KR102643547B1 - 접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 방법 - Google Patents

접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 방법 Download PDF

Info

Publication number
KR102643547B1
KR102643547B1 KR1020207032910A KR20207032910A KR102643547B1 KR 102643547 B1 KR102643547 B1 KR 102643547B1 KR 1020207032910 A KR1020207032910 A KR 1020207032910A KR 20207032910 A KR20207032910 A KR 20207032910A KR 102643547 B1 KR102643547 B1 KR 102643547B1
Authority
KR
South Korea
Prior art keywords
attack
connection
sub
flows
characteristic parameters
Prior art date
Application number
KR1020207032910A
Other languages
English (en)
Other versions
KR20210018802A (ko
Inventor
에릭 퍼로드
Original Assignee
르노 에스.아.에스.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 르노 에스.아.에스. filed Critical 르노 에스.아.에스.
Publication of KR20210018802A publication Critical patent/KR20210018802A/ko
Application granted granted Critical
Publication of KR102643547B1 publication Critical patent/KR102643547B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 복수의 접속 유입들을 수신하는 접속 모듈(5)을 타깃으로 하는 공격 흐름들을 필터링하는 방법에 관한 것이며, 상기 공격 흐름들의 필터링 방법은, - 각각의 집합체가 사전에 정의된 기간 동안 수신된 복수의 접속 유입들의 조합으로 인해 발생하는 복수의 집합체들을 결정하는 단계; - 상기 집합체들 중 하나에 각각 연관되고 연관된 집합체의 제1 특성 매개변수들의 값들을 포함하는 복수의 제1 측정 벡터들을 결정하는 단계; - 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내에 상기 복수의 제1 측정 벡터들을 투영하는 단계; - 다른 기간 동안 수신된 복수의 접속 유입들의 조합으로부터 발생하는 다른 집합체를 결정하는 단계; - 다른 집합체에 연관된 다른 제1 측정 벡터를 결정하는 단계; - 상기 다른 제1 측정 벡터를 적어도 하나의 서브-공간 내로 투영하는 단계; - 상기 다른 제1 측정 벡터의 투영 및 상기 복수의 제1 측정 벡터들의 투영의 결과에 따라 이상 점수(abnormality score)를 결정하는 단계; 및 그 후, 만약 상기 이상 점수가 공격 흐름의 존재에 대한 의심 구역에 포함되어 있는 경우: - 상기 집합체들 중 하나와 각각 연관되는 복수의 제2 측정 벡터들을 결정하는 단계; - 상기 다른 집합체에 연관된 다른 제2 측정 벡터를 결정하는 단계; 및 - 상기 다른 제2 측정 벡터를 분석함으로써 공격의 유무를 검출하는 단계;를 포함한다.

Description

접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 방법
본 발명은 일반적으로 서비스 거부 공격으로부터 접속 모듈을 보호하는 것에 관한 것이다.
더 구체적으로 본 발명은 복수 개의 접속 유입들을 수신하는 접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 방법에 관한 것이다.
또한, 본 발명은 이러한 공격 흐름을 필터링하는 장치에 관한 것이다.
서비스 거부(Denial-of-Service) 공격들(DoS 공격들) 및 분산 서비스 거부(Distributed Denial-of-Service) 공격들(DDoS 공격들)은 공격을 받은 사이트의 서비스를 사용할 수 없게 하는 것을 목적으로 하는 사이버 공격들이다. 이는 상기 사이버 공격들이 공격을 받은 사이트의 데이터를 손상시킨다는 맥락에서의 문제가 아니다.
상기 공격들은 임의의 서버에 링크된 접속 모듈, 특히 임의의 인터넷-서버에 링크도니 접속 모듈을 타깃으로 할 수 있다.
자동차의 접속 모듈은 일반적으로 제조업체의 사설 네트워크에 접속된다. 그러나 특정 운전자 지원 시스템을 개선하기 위해서나 또는 제공된 멀티미디어를 공급함에 있어서 다양한 선택을 제안하기 위해서 자동차의 접속 모듈을 공용 인터넷 네트워크에 접속하는 것이 고려되고 있다. 이 경우에 상기 접속 모듈은 다양한 공격, 특히 분산 서비스 거부 공격에 노출되게 된다.
접속 모듈, 다시 말하면 예를 들어 서버 또는 라우터와 같은 네트워크 장비를 타깃으로 하는 잠재적인 공격들을 검출하는 데 사용되는 기계-학습 방법이 공지되어 있다. 상기 공지된 방법은 무한한 개수의 착신 및 발신 접속들을 수신하는 중요한 네트워크 장비용으로 개발되었다. 이러한 방법은 착신 인터넷 흐름들(또는 IP 흐름들, 여기서 IP는 Internet protocol(인터넷 프로토콜)의 약어임)을 합법적인 흐름들과 공격 흐름들로 분류하는 것을 목적으로 한다.
이를 위해, 상기 방법은 복수의 서브-공간들에서 착신 흐름들을 특성화하는 매개변수들의 그래픽 분포를 기반으로 하여 이루어진다. 서브-공간은 유입을 특성화하는 2개의 매개변수로 표시된 그래픽 영역에 의해 정의된다. 이는 예를 들어, 접속-흐름 소스들의 개수에 따라 요청의 평균 수명(IP 패킷들의 나머지 부분들)을 보여주는 그래프의 문제일 수 있다.
명목상 조건하에서 유입 매개변수들은 하나의 운영 지점에 대한 클러스터에 그래픽 방식으로 군집하는 반면에, 공격의 경우 공격 흐름 매개변수들은 비정상적인 값들을 지니며 격리된 지점들 또는 아웃라이어(outlier)들에 대해 그래픽 방식으로 군집한다.
공지된 방법에서는, 복수의 접속 유입들이 주어진 기간에 소스 주소별로 집합된다. 그 후에, 다양한 집합 흐름들이 분석되고 만약 (적어도 하나의 비정상적인 값의 존재로) 공격이 검출되면, 불법적인 것으로 식별되는 유입이 관련된 프로세서들의 엄청난 계산 능력에 의해 즉시 필터링된다.
이러한 방법은 공용 인터넷 네트워크(전형적으로는 서버들)에 접속된 네트워크 장비의 경우에 효과적인 데, 그 이유는 복수의 접속 유입들 또는 유출들이 매우 많은 접속으로 이루어져 있어서 신뢰할 수 있는 통계가 추출되는 것을 허용하기 때문이고 그리고 프로세싱을 수행하기 위해 사용되는 프로세서들이 강력하기 때문이다. 공격이 일반적으로 총 접속 유입 개수에 비해 적은 개수의 접속 유입들을 초래하므로, 클러스터들과 비정상적인 값들 간의 차별화가 가능하고 잘 이루어진다.
이와는 대조적으로, 자동차의 접속 모듈은 제한된 개수의 착신 접속(일반적으로는 약 10개의 착신 접속)만을 수신하는 데 적합하다. 따라서, 유입들의 분석 동안, 합법적인 흐름들은 공격 흐름들에서 빠져나가게 되고 후자는 클러스터(결과적으로는 명목상 조건)로서 나타나게 되며 더는 비정상적인 값들로 나타나지 않게 된다. 그러므로 위에서 설명한 해결수법은 자동차의 접속 모듈 보호에 적용 가능하지 않다.
본 발명은 특히 자동차에 포함되어 있는 접속 모듈의 경우에, 접속 모듈들을 타깃으로 하는 공격들의 검출을 개선하는 것을 제안한다.
더 구체적으로는, 본 발명에 의하면, 도입부에서 정의된 바와 같은 공격 흐름들을 필터링하는 방법이 제안되며, 상기 방법은,
- 각각의 집합체가 사전에 정의된 기간 동안 수신된 복수의 접속 유입들의 조합으로 인해 발생하는 복수의 집합체들을 결정하는 단계 - 각각의 집합체를 결정하기 위해 고려되는 상기 기간은 다른 집합체를 결정하기 위해 고려된 것과 다른 것이고, 상기 복수의 집합체들 모두를 결정하기 위해 고려된 상기 기간은 제1 관측 시간 윈도우에 포함됨 -;
- 상기 집합체들 중 하나와 각각 연관되고 연관된 집합체의 제1 특성 매개변수들의 값들을 포함하는 복수의 제1 측정 벡터들을 결정하는 단계;
- 상기 복수의 제1 측정 벡터들을 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내로 투영하는 단계;
- 다른 기간 동안 수신된 복수의 접속 유입들의 조합으로 인해 발생하는 다른 집합체를 결정하는 단계 - 상기 다른 기간은 상기 제1 관측 시간 윈도우 다음에 오게 됨 -;
- 다른 집합체에 연관되고 다른 집합체의 제1 특성 매개변수들의 값들을 포함하는 다른 제1 측정 벡터를 결정하는 단계;
- 상기 다른 제1 측정 벡터를 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내로 투영하는 단계;
- 상기 다른 제1 측정 벡터의 투영 및 상기 복수의 제1 측정 벡터들의 투영의 결과에 따라 이상 점수(abnormality score)를 결정하는 단계;
그 후, 만약 상기 이상 점수가 공격 흐름들의 존재에 대한 의심 구역에 포함되어 있는 경우:
- 상기 집합체들 중 하나와 각각 연관되고 연관된 집합체의 다른 특성 매개변수들의 값들을 포함하는 복수의 제2 측정 벡터들을 결정하는 단계 - 상기 다른 특성 매개변수들은 상기 제1 특성 매개변수들과는 별개인 것임 -;
- 다른 집합체와 연관되고 다른 집합체의 다른 특성 매개변수들의 값들을 포함하는 다른 제2 측정 벡터를 결정하는 단계; 및
- 상기 다른 제2 측정 벡터를 분석하여 공격의 존재 또는 부재를 검출하는 단계;
를 포함한다.
따라서, 본 발명에 의하면, 공격 흐름들은 복수의 별개의 구현 단계들에서 검출되며 결과적으로는 이러한 단계들을 실행하는 데 필요한 계산 능력을 제한한다. 그러므로 이러한 구현은 차량의 접속 모듈에 통합된 것과 같은, 그다지 강력하지 않은 프로세스들에 의해 이루어질 수 있다.
또한, 일반적으로 사용되는 특성 매개변수들과는 별개이면서 독립적인 다른 특성 매개변수들에 따라 정의된 제2 측정 벡터를 사용하면 차량의 접속 모듈을 타깃으로 하는 공격의 존재 또는 부재에 대해 이어지게 되는 결론이 검증될 수 있다.
개별적으로 또는 임의의 기술적으로 가능한 조합으로 이루어질 수 있는 이하의 구현들은 본 발명에 따른 공격 흐름들을 필터링하는 방법의 다른 비-제한적이고 유리한 특징들이다:
- 이상 점수가 공격 흐름들의 존재에 대한 의심 구역에 포함되어 있는 지를 결정하기 위해, 상기 이상 점수를 제1 임계 값 및 제2 임계 값과 비교하도록 제공되는 구현;
- 이상 점수를 제2 임계 값과 비교하도록 제공되고, 만약 이상 점수가 제2 임계 값보다 높으면 다른 기간에 공격의 존재가 검출되는 구현;
- 이상 점수를 제1 임계 값과 비교하도록 제공되며, 만약 이상 점수가 제1 임계 값보다 낮으면 다른 기간에 공격의 부재가 검출되는 구현;
- 이하의 단계들이 제공되는 구현:
- 제2 관측 시간 윈도우를 정의하는 단계 - 상기 제2 관측 시간 윈도우는 다른 기간만큼 이동된 제1 관측 시간 윈도우에 상응함 -;
- 새로운 집합체를 결정하는 단계 - 새로운 집합체는 새로운 기간 동안 수신된 복수의 접속 유입들의 조합으로 인해 발생하는 것이고, 상기 새로운 기간은 제2 관측 시간 윈도우 다음에 오게 됨 -;
- 새로운 집합체에 연관되고 연관된 새로운 집합체의 제1 특성 매개변수들의 값들을 포함하는 새로운 제1 측정 벡터를 결정하는 단계;
- 제1 관측 시간 윈도우 내에 있지만 제2 관측 시간 윈도우 외에 있는 기간 동안 수신된 복수의 접속 유입들의 조합으로 인해 발생하는 집합체에 연관된 제1 측정 벡터의 투영을 삭제하는 단계;
- 새로운 제1 벡터를 적어도 상기 제1 특성 매개변수들에 의해 정의된 상기 서브-공간 내로 투영하는 단계; 및
- 상기 투영의 결과에 따라 새로운 이상 점수를 결정하는 단계;
- 상기 투영 단계에서, 복수의 제1 측정 벡터들을 복수의 서브-공간들 내로 투영하도록 제공되고, 이상 점수는 이상 함수들의 합으로부터 결정되며, 하나의 이상 함수는 복수의 제1 측정 벡터들의 투영 결과 그리고 다른 제1 측정 벡터의 투영 및 평균 이상에 따라 단위 서브-공간 마다 결정되고, 평균 이상은 또한 복수의 제1 측정 벡터들의 투영으로부터 그리고 다른 제1 측정 벡터의 투영으로부터 결정되는 구현;
- 공격의 존재가 검출되면 다음 단계들이 제공되는 구현;
- 모든 서브-공간들에 대해 결정된 이상 함수들을 비교하는 단계;
- 가장 높은 이상 함수를 지니는 적어도 하나의 서브-공간을 선택하는 단계;
- 다른 집합체를 복수의 개별 접속 흐름들로 분리하는 단계;
- 복수의 개별 접속 흐름들의 복수의 식별 벡터들을 결정하는 단계 - 상기 식별 벡터들은 제1 측정 벡터들과 동일한 제1 특성 매개변수들을 포함함 -;
- 상기 복수의 식별 벡터들을 상기 적어도 하나의 선택된 서브-공간 내로 투영하는 단계;
- 적어도 하나의 불법적인 접속 흐름을 식별하는 단계 - 상기 불법적인 접속 흐름은 식별 벡터의 이상 투영에 연관된 접속 흐름에 상응함 -;
- 불법적인 접속 흐름을 필터링하는 단계;
- 서브-공간은 제1 축 및 제2 축에 의해 정의되고, 제1 축은 제1 특성 매개변수에 상응하며, 제2 축은 제1 특성 매개변수로부터 선택된 제2 특성 매개변수에 상응한 구현;
- 제1 특성 매개변수들 중 적어도 하나는 이하의 데이터 중 하나를 포함하는 구현:
- 접속-흐름 소스들의 개수;
- 서브-네트워크 당 평균 접속-흐름 소스들의 개수;
- 전송 요청들의 비율;
- 수신된 오류 요청들의 비율;
- 수신된 요청들의 평균 크기;
- 수신된 요청들의 평균 수명; 및
- 다른 특성 매개변수들 중 적어도 하나는 이하의 데이터 중 하나를 포함하는 구현:
- 제1 캐시 메모리 레벨에 대한 액세스에 연관된 적중률;
- 제2 캐시 메모리 레벨에 대한 액세스에 연관된 적중률;
- 다른 캐시 메모리 레벨에 대한 액세스에 연관된 실패율; 및
- 사용된 메모리의 비율.
본 발명은 또한 복수의 접속 유입들로부터 접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 장치를 제공하며, 상기 장치는,
- 복수의 집합체들을 결정하는 모듈 - 각각의 집합체는 사전에 정의된 기간 동안 수신된 복수의 접속 유입들의 조합으로 인해 발생하며, 각각의 집합체를 결정하기 위해 고려된 상기 기간은 다른 집합체를 결정하기 위해 고려되는 것과는 다른 것이고, 복수의 집합체들 모두를 결정하기 위해 고려된 상기 기간은 제1 관측 시간 윈도우 내에 포함되어 있는 것임 -;
- 상기 집합체들 중 하나에 각각 연관되고 연관된 집합체의 제1 특성 매개변수들을 포함하는 복수의 제1 측정 벡터들을 결정하는 모듈;
- 복수의 제1 측정 벡터들을 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내로 투영하는 모듈;
- 다른 기간 동안 수신된 복수의 접속 유입들의 조합으로 인해 발생하는 다른 집합체를 결정하는 모듈 - 상기 다른 기간은 제1 관측 시간 윈도우 다음에 오게 됨 -;
- 다른 집합체에 연관되고 연관된 다른 집합체의 제1 특성 매개변수들의 값들을 포함하는 다른 제1 측정 벡터를 결정하는 모듈;
- 다른 제1 측정 벡터를 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내로 투영하는 모듈;
- 다른 제1 측정 벡터의 투영 및 복수의 제1 측정 벡터들의 투영의 결과에 따라 이상 점수를 결정하는 모듈;
- 만약 이상 점수가 공격 흐름들의 존재에 대한 의심 구역에 포함된다면, 상기 집합체들 중 하나에 각각 연관되고 연관된 집합체의 다른 특성 매개변수들을 포함하는 복수의 제2 측정 벡터들을 결정하는 데 적합한 결정 모듈 - 상기 다른 특성 매개변수들은 상기 제1 특성 매개변수들과는 별개인 것임 -;
- 다른 집합체에 연관되고 연관된 다른 집합체의 다른 특성 매개변수들의 값들을 포함하는 다른 제2 측정 벡터를 결정하는 모듈; 및
- 다른 제2 측정 벡터를 분석하여 공격의 존재 또는 부재를 검출하는 모듈;
을 포함한다.
비-제한적인 예로 제공된 첨부도면들을 참조하여 주어진 이하의 설명은 본 발명이 무엇으로 이루어지고 그것이 어떻게 수행되는지가 명확하게 이해될 수 있게 해줄 것이다.
도 1은 본 발명에 따른 공격 흐름들을 필터링하는 장치가 장착된 차량의 객실을 개략적으로 보여주는 도면이다.
도 2는 본 발명에 따른 공격 흐름들을 필터링하는 방법을 흐름도의 형태로 보여주는 도면이다.
도 3 내지 도 10은 도 2에 도시된 공격 흐름들을 필터링하는 방법을 구현하는 데 사용되는 서브-공간들의 8가지 예를 보여주는 도면들이다.
도 1은 복수의 접속 흐름들을 수신하기에 적합한 접속 모듈(5) 및 공격 흐름들을 필터링하는 장치(2)가 장착된 자동차(1)의 객실을 개략적으로 보여준다.
예를 들어 접속 흐름들은 서버들에서 나온 것일 수 있으며 예를 들어 인터넷에 대한 액세스를 허용할 수 있다. 접속 모듈(5)은 예를 들어 자동차(1)의 멀티미디어 프로세서(10)에 접속되어 있으며, 그럼으로써 광범위한 멀티미디어 오퍼링(multimedia offering)이 자동차(1) 내부에 존재하는 개인에 의해 액세스되는 것을 허용하게 된다.
공격 흐름들을 필터링하는 장치(2)는 잠재적인 공격들을 식별하기 위해 접속 모듈(5)에 의해 수신된 접속 흐름들을 분석하는데 적합하다. 공격 흐름들을 필터링하는 장치(2)는 또한, 검출된 공격들을 필터링하는데 적합하다.
도 1에 도시된 바와 같이, 공격 흐름들을 필터링하는 장치(2)는 예를 들어 접속 모듈(5)에 포함되어 있다. 대안으로, 이는 접속 모듈(5)과는 독립적이지만 그와 직접 통신하는 엔티티에 배치될 수 있다.
공격 흐름들을 필터링하는 장치(2)는 한 세트의 모듈들(도시되지 않음)을 포함한다. 이러한 모듈들은 실제로 하드웨어 요소들과 소프트웨어 요소들을 조합하여 만들어질 수 있다. 각각의 모듈은 본 발명에 따른 방법에 설명되고 이하에 설명되는 기능들 중 하나를 지닌다.
도 2는 본 발명에 따른 공격 흐름들을 필터링하는 장치(2)에서 구현되는 방법의 일 예를 흐름도의 형태로 보여준다.
상기 방법은 단계 E2에서 복수의 접속 유입들을 접속 모듈(5)이 수신하는 것에서부터 시작된다. 이러한 여러 접속 유입들은 단일 소스 엔티티(예를 들어, 단일 서버) 또는 복수의 개별 소스 엔티티들에서 나온 것일 수 있다.
상기 방법의 나머지 단계들에 대해, 제1 관측 시간 윈도우()가 정의되며, 제1 관측 시간 윈도우에서 상기 방법의 단계들이 구현되게 된다. 이러한 제1 관측 시간 윈도우는 예를 들어 약 5s이다.
이러한 제1 관측 시간 윈도는 연속 기간()으로 나뉘게 된다. 본 발명의 맥락에서, 기간()은 동일하다. 사용된 기간()은 예를 들어 약 100 밀리초이다(그러므로 제1 관측 시간 윈도우는 50개의 연속적인 개별 기간으로 이루어진다). 기간()은 분산된 서비스 거부 공격이 존재하는지를 결정하기 위해 접속 유입들 모두가 분석되는 기간에 상응한다.
단계 E4에서, 하나의 기간() 동안 수신된 접속 유입들 모두가 "집합체(aggregate)"로서 언급되는 단일 흐름을 얻기 위해 조합된다. 그러므로 단계 E4에서, 하나의 집합체가 단위 기간에 대해 획득된다(결과적으로, 약 50개의 집합체가 제1 관측 시간 윈도우() 전체에서 획득된다).
실제로 각각의 접속 흐름에는 일련의 데이터, 특히 네트워크에 대한 액세스를 허용하는 데이터가 포함되어 있다. 이때, 접속 유입들 모두를 조합하는 것은 접속 흐름들 모두에 포함되어 있는 데이터 모두를 단일 흐름(본 설명에서는 "집합체"라 지칭됨)으로 그룹화하는 것으로 이루어진다.
한 집합체는 복수의 측정들을 포함하는 제1 측정 벡터를 통해 정의된다. 예를 들어, 기간()에서, 연관된 제1 측정 벡터()는 로 표기되며, 여기서 은 기간() 동안의 측정(n)에 상응하는 변수이다. 각각의 변수()는 연구된 데이터의 유형에 따라 다르게 계산된다.
예를 들어, 변수()는 기간()에 걸쳐 해당 데이터의 평균을 계산함으로써 평가될 수 있다. 이는 예를 들어 수신된 요청들(통상적으로 수신된 IP 패킷들이라고도 언급됨)의 평균 크기가 기간() 동안 접속들 모두에 대해 수신된 모든 요청들 모두의 크기의 평균을 계산하여 획득되는 경우이다.
소스들의 개수의 예에서, 변수()는 기간() 동안 수신된 서로 다른 소스 주소들의 개수로부터 결정된다.
단위 서브-네트워크에 대한 평균 소스들의 개수의 예에서, 변수()는 기간() 동안 수신된 서로 다른 소스 주소들의 개수와 기간() 동안 수신된 요청들 중 서브-네트워크들(이하에서는 로 표기됨)로부터 결정된다. 실제로 소스 주소들(이러한 소스 주소는 IP/24로 표기됨)의 단지 24개의 제1 비트들만이 고려된다. 그 후에, 각각의 소스 주소(IP/24)에 대해, 서로 다른 소스들의 개수와 수신된 요청들(또는 수신된 IP 패킷들)의 개수가 결정된다. 마지막으로, 단위 서브-네트워크에 대한 평균 소스들의 개수(이하의 수식에서 로 표기됨)는 단위 소스 주소(IP/24)에 대한 수신된 요청들의 개수(이하의 수식에서 로 표기됨)와 함께 단위 소스 주소(IP/24)에 대한 서로 다른 소스들의 개수(이하의 수식에서 로 표기됨)를 가중화함으로써 획득되는데, 다시 말하면
이다.
수신된 전송 요청들의 비율(이는 또한 TCP 접속 요청들의 비율이라고 언급되고, TCP는 전송 제어 프로토콜(transmission control protocol)의 약어임)에 연관하여, 변수()는 기간() 동안 수신된 전송 요청들의 개수 및 수신된 요청들의 총 개수 간의 비율로 정의된다.
수신된 오류 요청들의 비율(이는 또한 ICMP 프로토콜에 따른 패킷들의 비율이라고 언급되고, ICMP는 인터넷 제어 메시지 프로토콜(Internet control message protocol)의 약어임)의 예에서, 변수()는 기간() 동안 수신된 오류 요청들의 개수 및 수신된 요청들의 총 개수 간의 비율로 정의된다.
도 2에서 볼 수 있는 바와 같이, 상기 방법은 단계 E6로부터 속행된다. 이러한 단계에서, (제1 관측 시간 윈도우의 각각의 기간 동안) 획득된 각각의 집합체에 대해, 제1 측정 벡터()가 결정된다. 이러한 제1 측정 벡터()는 특성 매개변수들을 통해 연관된 집합체를 특성화한다.
이러한 특성 매개변수들은 수신된 인터넷 통신 흐름들(또는 IP 흐름들, 여기서 IP는 인터넷 프로토콜(Internet protocol)의 일반적으로 사용되는 약어임)이 특성화되는 것을 허용한다. 이러한 수신된 접속 흐름들은 특히 진행 중인 접속 유형에 따라 또는 이러한 연결 흐름들을 통해 전송되는 데이터 유형에 의존하게 된다. 이러한 특성 매개변수들 중, 이하의 특성 매개변수들은 예를 들어 접속 흐름들의 소스들의 개수(이하에서 로 표기된 매개변수), 단위 서브-네트워크에 대한 평균 소스들의 개수(로 표기된 매개변수), 데이터 전송 요청들의 비율(이는 일반적으로 TCP 패킷들을 통해 결정되며, 이러한 매개변수가 로 표기됨), 오류 제어 요청들의 비율(이는 일반적으로 ICMP 패킷들이라고 언급되고, 이러한 매개변수는 로 표기됨), 전송된 요청들의 평균 크기(이는 일반적으로 수신된 IP 패킷들로부터 결정되고 이러한 매개변수는 로 표기됨), 데이터 전송 중 요청들(또는 수신된 IP 패킷들)의 평균 수명(또는 TTL, 여기서 TTL은 타임 투 리브(Time to Live)의 약어임) 또는 심지어 서브-네트워크들의 개수로 구분된다.
이러한 특성 매개변수들은 접속 모듈에 대해 분산된 서비스 거부 공격이 식별되는 것을 허용하도록 판별된다.
여기서, 제1 측정 벡터()는 , , , , 로 표기되는 5개의 매개변수를 포함한다.
단계 E6의 종료시, 제1 측정 벡터()가 기간()마다 결정되고 결과적으로는 복수의 제1 측정 벡터()들이 제1 관측 시간 윈도우()에서 획득된다. 따라서, 예를 들어 100ms의 기간과 5s의 제1 관측 시간 윈도우에 대해, 50개의 제1 측정 벡터가 획득된다.
이러한 제1 측정 벡터()들은 차후에 단계 E8의 방법에서 사용된다. 특성 매개변수들을 사용하여 투영 서브-공간들이 정의될 수 있다. 서브-공간은 셀들의 그리드(grid)로 정의된다. 이러한 그리드의 경우, 제1 축, 예를 들어 가로 축은 제1 특성 매개변수에 상응하는 것이고 제2 축, 예를 들어 세로 축은 제2 특성 매개변수에 상응하는 것이다. 실제로, 쌍으로 선택된 특성 매개변수들을 사용하여 복수의 2차원 서브-공간들이 정의될 수 있다. 한 변형 예로서, 더 높은 차원을 지니는 서브-공간들도 고려될 수 있다.
도 3 내지 도 10은 위에 소개한 특성 매개변수들에서 획득되는 서브-공간들을 보여준다. 여기서 각각의 서브-공간은 10셀 x 10셀의 그리드로 정의된다. 도 3 및 도 7은 예를 들어 오류 제어 요청 비율()의 함수로서 데이터 전송 요청 비율()에 상응하는 서브-공간을 보여준다. 도 4 및 도 8은 전송된 요청들(또는 수신된 IP 패킷들)의 평균 크기()의 함수로서 데이터 전송 요청 비율()에 상응하는 서브-공간을 보여준다. 도 5 및 도 9는 접속-흐름 소스 개수()의 함수로서 데이터 전송 요청 비율()에 상응하는 서브-공간을 보여준다. 도 6 및 도 10은 접속-흐름 소스 개수()의 함수로서 오류 제어 요청 비율()을 보여준다.
단계 E8에서, 제1 측정 벡터()들은 특성 매개변수들에 의해 정의된 서브-공간들 내로 투영된다. 제1 관측 시간 윈도우()에서 획득되는 제1 측정 벡터()들 모두는 이러한 서브-공간들 내에 투영된다. 투영(projection)이라 함은, 투영된 제1 측정 벡터()의 값이 속하는 그리드의 셀을 식별하는 것을 의미한다. 다시 말하면, 2개의 데이터(n, m)로부터 정의되는 서브-공간에 대해, 투영은 제1 측정 벡터()의 점( ; )이 속하는 그리드의 셀에 대한 식별에 상응한다.
실제로, 투영 전에, 제1 측정 벡터()들은 특성 매개변수들의 관련 비교를 보장하기 위해 정규화된다. 여기서, 제1 측정 벡터()들의 특성 매개변수들 각각은 해당 매개변수의 사전에 정의된 값에 의해 정규화된다. 사용되는 사전에 정의된 값은 예를 들어 특성 매개변수들의 최대 합리적인 값에 상응한다. "최대(maximum)"라는 개념은 자동차에 존재하는 접속 모듈이 수신할 수 있는 한정된 접속 흐름과 관련하여 정의된다. 예를 들어, 매개변수가 로 표기되는 전송 요청들(또는 수신 IP 패킷들)의 평균 크기의 경우, 값 1500이 IP 프로토콜의 IPv4 버전에 대한 정규화 값으로 사용되게 된다. 값 8000은 IP 프로토콜의 IPv6 버전에 대한 정규화 값으로 사용되게 된다.
도 3 내지 도 10은 제1 관측 시간 윈도우() 동안 다양한 서브-공간 내로의 제1 측정 벡터()들의 투영에 대한 예들을 보여준다. 제1 측정 벡터()들의 투영이 종료될 때 해당 셀 내에 제1 측정 벡터()가 투영되지 않은 경우 셀들은 비어 있게 된다.
셀들의 밀도는 상기 셀들 내에 투영된 제1 측정 벡터()들의 비율에 상응하는 것으로 정의된다. 셀 내에 투영된 제1 측정 벡터()들의 비율이 사전에 정의된 비율보다 높으면 셀은 조밀하다고 한다. 사전에 정의된 비율은 예를 들어 5%이다.
복수의 인접하는 조밀한 셀들은 클러스터를 정의할 수 있다. "인접하는 셀들"이라 함은 공통의 에지를 지니는 셀들을 의미한다. 도 3 내지 도 10에서는, 위에 정의한 바와 같은 클러스터가 사선 해칭을 포함하는 셀들로 표시되어 있다. 예를 들어, 도 3에서는 이러한 서브-공간 내로의 제1 측정 벡터()의 투영들 모두는 단일 셀에 집중되어 있다.
예를 들어 도 4, 도 8, 도 9 및 도 10에 있는 수평 해칭은, 비어 있지 않지만 밀도가 사전에 정의된 비율보다 낮은(여기서는 5%보다 낮은) 셀들을 표시한다. 수평선들의 개수가 많을수록 셀의 밀도가 높아진다(사전에 정의된 비율 미만으로 유지됨).
도 7 내지 도 10에 있는 X 표들은 공격의 존재를 나타낸다(공격의 검출은 이하에서 구체적으로 설명될 것이다).
도 2에서 볼 수 있는 바와 같이, 상기 방법은 그 후에 E10 단계로부터 속행된다. 이러한 단계에서, 제1 측정 벡터()들이 투영된 서브-공간들 각각에 대해 이상 점수()가 결정된다.
서브-공간(이하에서는 서브-공간(k)으로 표기됨)에서, 점의 이상()은 이러한 점이 속한 셀(j) 및 가장 가까운 클러스터 간의 거리로 정의된다. 다시 말하면, 이상()은 상기 셀(j) 및 상기(또는 둘 이상의) 가장 가까운 조밀한 셀(들)(다시 말하면, 5%보다 큰 투영된 제1 측정 벡터()들의 비율) 간의 거리에 상응한다. 상기 계산된 거리는 유클리드 거리(Euclidean distance) 또는 마할라노비스 거리(Mahalanobis distance)이다.
점이 클러스터에 있는 경우, 이상()은 0이다. 해당 서브-공간에 클러스터가 없는 경우(다시 말하면, 예를 들어 투영된 제1 측정 벡터들의 5% 이상을 포함하는 셀이 없는 경우), 이상()은 상기 셀(j) 및 해당 서브-공간(k)에서 가장 큰 밀도를 지니는(그러나 여전히 5%보다 낮게 되는) 셀 간의 거리에 상응한다.
서브-공간(k)의 각각의 셀(j)에 대해 정의된 이상()으로부터, 해당 서브-공간(k)의 셀(j)들 모두의 평균 이상()을 결정하는 것이 가능하다. 상기 평균 이상은,
와 같이 표기되며, 여기서 는 서브-공간(k) 내 셀(j)의 이상(위에서 정의됨)에 상응하고, 해당하고, 는 서브-공간(k) 내 셀(j)의 밀도에 상응하며 해당하고 은 서브-공간(k) 내 셀들의 개수이다.
이러한 정의에 의하면, 평균 이상()이 0에 가까울수록 제1 관측 시간 윈도우()에서의 점들(제1 측정 벡터()들의 투영들에 상응함)이 동심 클러스터들에 더 많이 분포된다. 예를 들어, 도 3에 도시된 서브-공간에 대해 평가된 평균 이상은 점들 모두가 단일 클러스터에 분산되어 있기 때문에 0이다. 도 5에 도시된 서브-공간 및 도 6의 서브-공간에 대해서도 마찬가지이다.
이와는 반대로, 평균 이상()이 높을수록 해당 서브-공간에 더 많은 점이 균일하게 분포된다.
이상 점수()를 결정하기 위해, 서브-공간(k) 내 제1 측정 벡터()의 이상 함수()가
와 같이 도입되며, 여기서 는 서브-공간(k) 내로의 제1 측정 벡터()의 투영()의 이상이다. 여기서 평균 이상()은 (서브-공간들 모두가 동일하게 취급되는 것을 허용하기 위해) 서브-공간(k) 내 해당 제1 측정 벡터()의 투영()의 이상()이 정규화되는 것을 허용한다.
이러한 이상 함수()들로부터, 각각의 서브-공간(k)에 대해 결정된 이상 함수()들 모두를 합산함으로써 제1 측정 벡터()에 대한 이상 점수()를,
와 같이 정의하는 것이 가능하다.
그러므로 이상 점수()는 여러 서브-공간 내로의 제1 측정 벡터()의 투영들에 대해 획득된 이상 함수()들의 합에 상응한다.
상기 방법은 그 후에, 새로운 기간()이 정의되는 단계 E12로부터 속행된다. 새로운 기간()은 제1 관측 시간 윈도우() 다음에 바로 이어지는 기간이다.
(위에 설명한 단계 E4에서 채용한 것과 유사한 방법을 사용하여) 새로운 집합체를 획득하기 위해 새로운 기간() 동안 수신된 접속 유입들 모두가 조합된다.
새로운 제1 측정 벡터()에는 이러한 새로운 집합체의 특성 매개변수들이 포함된다.
위에 설명한 방법을 사용하여 새로운 제1 측정 벡터()에 대해 결정된 이상 점수()는 시간 윈도우() 동안 접속 모듈(5)에 의해 수신된 접속 유입들 중에 공격 흐름들이 존재하는 지의 여부가 결정되는 것을 허용하게 되는 수량이다. 이러한 이상 점수()는 (기간()에 앞서 존재하는) 제1 관측 시간 윈도우()에 대해 기간() 동안 수신되는(그리고 새로운 집합체에 의해 특성화되는) 접속 흐름들 모두의 이상의 정도를 측정한다.
그래픽 관점에서, 만약 이러한 이상 점수() 가 높다면 이것이 의미하는 것은 다양한 서브-공간 내로의 새로운 제1 측정 벡터()_의 투영들이 제1 관측 기간() 동안 형성되고 단계 E8에서 다양한 서브-공간 내에서 식별되는 클러스터들과는 상당히 다르다는 것을 의미한다. 새로운 집합체에 상응하는 접속 흐름의 세트는 의심스러운 것으로 보여서 공격의 존재를 확인하거나 무효화하기 위해 분석을 심화할 필요가 있다.
이를 위해, 단계 E14에서, 이상 점수()는 제1 임계 값() 및 제2 임계 값()과 비교된다. 제1 임계 값()은 제2 임계 값()보다 낮다. 3가지 다른 경우가 설명될 것이다.
첫 번째 경우는 제1 임계 값()보다 낮은 이상 점수()에 상응한다. 이 경우에, 공격의 부재는 새로운 시간 윈도우()에서 검출되고 상기 방법은 단계 E20으로부터 속행된다. 이는 도 3 내지 도 6에 도시된 예들의 문제이며, 여기서 투영들 모두가 조밀하거나 밀도가 높은 인접한 셀들에 집중되어 있다(도 4). 이러한 도면들에서는, 이상 점수들의 계산에 의해 분리된 값이 식별되지 않는다.
단계 E20에서, 제2 관측 시간 윈도우()이 정의된다. 이러한 제2 관측 시간 윈도우()는 한 기간()만큼 이동된 제1 관측 시간 윈도우()에 상응한다. 다시 말하면, 제1 관측 시간 윈도우()는 이동 윈도우이고, 이는 제2 관측 시간 윈도우()를 정의하기 위해 한 기간()만큼 증분하게 된다. 이러한 제2 관측 시간 윈도우()에서 새로운 제1 측정 벡터()가 통합된다. 마지막으로, 2개의 관측 시간 윈도우는 결과적으로 공통의 복수의 기간들을 지닌다. 제1 관측 시간 윈도우의 제1 기간(이하에서는 "구 기간(old time period)"이라 언급됨)은 제2 관측 시간 윈도우()에 포함되지 않는다. 더군다나, 제2 관측 시간 윈도우()의 마지막 기간(위에서 새로운 기간())으로 언급됨)은 제1 관측 시간 윈도우()에 포함되지 않는다.
단계 E8에서 고려되는 서브-공간에서, 구 기간에 상응하는 제1 측정 벡터의 투영은 단계 E22에서 삭제된다.
단계 E24에서, 새로운 제1 측정 벡터()는 이러한 서브-공간들에 투영된다. 이러한 서브-공간들에 존재하는 클러스터들은 단계 E8을 참조하여 설명한 방법을 사용하여 다시 식별된다. 상기 방법에서 이전에 획득한 결과들에 기반하여 단계들 E22 및 E24는 상기 방법의 실행 시간이 제한되는 것을 허용한다. 그들은 또한, 이러한 방법의 실행에 필요한 계산 능력(특히 공격 흐름들을 필터링하기 위해 장치(2)에 포함된 프로세서의 계산 능력)이 제한되는 것을 허용한다.
도 2에 도시된 바와 같이, 상기 방법은 일단 새로운 제1 측정 벡터()가 해당 서브-공간들 모두 내에 투영되고 구 기간에 연관된 제1 측정 벡터가 삭제되면 단계 E26에서 평균 이상()의 결정으로부터 속행된다.
상기 방법은 그 후에 다시 반복되어 단계 E12로부터 다시 반복된다.
두 번째 비교 경우는 제2 임계 값()보다 높은 이상 점수에 상응한다. 이 경우에, 새로운 기간()에서 공격의 존재가 검출되고 상기 방법은 단계 E60으로부터 속행된다.
이러한 두 번째 경우는 도 7 내지 도 10에 도시된 예들에 상응한다. 이러한 예들에 대해 계산된 이상 점수들은 높은 것으로 나타났다.
이러한 단계 E60는 새로운 제1 측정 벡터()에 대해 단계 E10에서 결정된 이상 함수()가 비교되는 것을 허용한다.
고려한 서브-공간들 모두 중에서, 적어도 2개의 서브-공간이 단계 E62에서 선택된다. 실제로는 1개 또는 2개의 서브-공간이 선택된다. 이는 가장 높은 이상 함수()들을 지니는 서브-공간들의 문제이다. 이러한 선택된 서브-공간들로 이루어지는 검사에 기반하여, 상기 (또는 2개 이상의) 공격 흐름(들)은 그 후에 특히 (새로운 기간()에 앞서 존재하는) 제1 관측 시간 윈도우()에 대해 선택된 서브-공간들 내에 존재하는(그리고 공칭 작동 조건들을 특성화하는) 클러스터들을 사용하여 식별된다. 예를 들어, 도 7 내지 도 10에서, 상기 클러스터들은 (위에 설명한 바와 같이) 사선 해칭에 의해 식별된다.
공격 흐름들이 식별되는 것을 허용하기 위해, 새로운 기간() 동안 수신된 복수의 유입들의 조합인 새로운 집합체 - 상기 유입들은 단계 E12에서 이러한 조합을 생성하기 위해 조합됨 - 는 단계 E64에서 개별 접속 흐름들로서 언급되는 복수의 접속 흐름들로 분해된다. 접속 모듈(5)에 의해 새로운 기간() 동안 수신된 접속 유입들 모두는 새로운 집합체를 형성하기 위해 단계 E12에서 조합하기 위한 용도로 고려된다. 이러한 새로운 집합체는 새로운 기간() 동안 수신된 접속 흐름들을 소스 주소별로 조합함으로써 분리된다. 그러므로 의심스러운 것으로 간주되는 복수의 개별 집합체들을 정의하는 것이 가능하다. 실제로는 소스 주소들만큼 많은 개별 집합체가 존재한다.
단계 E66에서, 개별 집합체들 각각은 식별 벡터로서 언급되는 벡터에 의해 특성화된다. 이러한 식별 벡터들은 서브-공간들을 선택함으로써 단계 E62에서 식별된 매개변수들로부터 구성된다. 그러므로 식별 벡터들은 예를 들어 위에 정의한 새로운 제1 측정 벡터()에 대한 적은 개수의 매개변수들을 포함한다. 예를 들어, 만약 매개변수들 에 의해 정의된 서브-공간만이 단계 E62에서 선택되었다면, 식별 벡터들은 이러한 2개의 매개변수만을 포함하게 된다(이러한 2개의 매개변수는 새로운 기간() 동안 개별 집합체 별로 결정된다).
이러한 식별 벡터들은 그 후에 단계 E68에서 하나 이상의 선택된 서브-공간들 내로 투영된다. 이러한 식별 벡터들이 클러스터를 형성하는 서브-공간들의 셀들 내에 투영될 때 연관된 개별 접속 흐름은 공격 흐름으로 간주되지 않는다. 이와는 반대로 만약 식별 벡터가 클러스터 외부에 투영된다면 개별 집합체가 공격으로 간주된다.
이러한 단계가 종료되면, 서브-공간들에서 공격이 식별된다. 도 7 내지 도 10에서, 이는 X 표가 있는 셀들에 의해 나타나게 된다.
구성에 의해, 공격에 상응하는 개별 집합체는 동일한 소스 주소에서 나온 것인 개별 접속 흐름들의 세트에 연관된다. 공격에 상응하는 개별 집합체의 검출은 그 후에 단계 E70에서 소위 불법 접속 흐름들을 생성하는 소스 주소가 식별되는 것을 허용한다.
이러한 불법 접속 흐름들은 그 후에 상기 방법의 단계 E72에서 필터링된다. 상기 필터링은 예를 들어 접속 모듈(5)의 입력에서 불법 접속 흐름들을 차단함으로써 수행된다. 실제로 이러한 흐름들은 예를 들어 불법 접속 흐름들과 연관된 소스 주소를 차단된 소스 주소들의 리스트에 추가함으로써 차단된다. 이러한 소스 주소로부터 비롯된 임의의 요청은 이때 폐기된다.
단계 E74에서, 일단 불법 접속 흐름들이 필터링되면, 개별 접속 흐름들이 소위 필터링된 집합체를 형성하도록 재결합되고 연관된 필터링된 제1 측정 벡터()가 결정된다. 이러한 필터링된 제1 측정 벡터()는 해당 서브-공간들 모두 내에 투영된다. 더군다나, 공격 흐름들이 필터링됨에 따라, 상기 방법은 위에서 설명한(공격이 검출되지 않았을 때 상기 방법의 나머지 단계에 상응하는) 단계 E20으로부터 속행된다.
제1 임계 값() 및 제2 임계 값()에 대한 이상 점수()의 비교의 세번째 경우는 의심 구역에 포함된 이상 점수()에 상응한다. 이러한 의심 구역은 제1 임계 값() 및 제2 임계 값() 간에 포함된 이상 점수()에 대해 정의된다. 이 경우에 새로운 기간() 내 공격의 유무에 대해 직접 결론이 내려지지 않을 수 있다. 상기 방법은 그 후에 단계 E40으로부터 속행된다.
이러한 단계 E40에서, (제1 관측 시간 윈도우()의 각각의 기간()에 대해) 단계 E4에서 획득된 각각의 집합체에 대해, 제2 측정 벡터()가 결정된다. 이러한 제2 측정 벡터()는 다른 특성 매개변수들을 통해 연관되게 되는 집합체를 특성화한다. 이러한 다른 특성 매개변수들은 제1 측정 벡터()들에 연관된 특성 매개변수들과는 다르다.
이러한 다른 특성 매개변수들은 이번에 IP 접속 흐름들이 아니라 공격 흐름들을 필터링하기 위해 장치(2) 내에 통합된 소프트웨어의 실행이 특성화되는 것을 허용한다. 이러한 다른 특성 매개변수들은 특히 공격 흐름들을 필터링하기 위해 장치(2) 내에 포함된 다양한 메모리 레벨들에 대한 명령어들 및 데이터의 분산이 설명되는 것을 허용한다. 이러한 다른 특성 매개변수들 중, 이하의 특성 매개변수들이 예를 들어 다음과 같이 구분된다: (일반적으로 레벨-1 "데이터" 및 "명령어들" 캐시 메모리의 적중률에 의해 측정되는) 제1 캐시-메모리 레벨에 대한 액세스에 연관된 적중률, (일반적으로 레벨-2 통합 캐시 메모리의 적중률에 의해 측정되는) 제2 캐시-메모리 레벨에 대한 액세스에 연관된 적중률, 제3 캐시-메모리 레벨에 연관된 적중 실패율 또는 심지어는 사용된 메모리의 비율.
이러한 특성 매개변수들을 사용하여 주어진 프로세서상에서의 소프트웨어 실행을 특성화하는 것은 알려져 있다.
단계 E40의 종료시, 하나의 제2 측정 벡터()는 기간() 마다 결정되고, 결과적으로는 복수의 제2 측정 벡터()들이 제1 관측 시간 윈도우()에서 획득된다. 따라서, 예를 들어 100ms의 기간과 5s의 제1 관측 시간 윈도우에 대해 50초의 측정 벡터가 획득된다.
이러한 제2 측정 벡터()들은 차후에 공격의 존재 또는 부재의 검출에 대한 의심이 제거되는 것을 허용하기 위해 분석되게 되는 상기 방법의 단계 E42에서 사용된다.
제2 측정 벡터()들의 분석 목적은 소프트웨어의 실행에서 이상 동작을 검출하는 것이다.
제1 측정 벡터()에 대해서와 마찬가지로, 단계 E6에서, 제2 측정 벡터()들이 2-차원 서브-공간들 내로 투영된다. 또한, 클러스터들을 식별하고 (평균 이상()의 결정과 동일한 원칙에 따라) 서브-공간당 하나의 다른 평균 이상()을 결정하는 것이 가능하다.
상기 방법의 이전 단계들에서 새로운 제1 벡터()의 분석을 기반으로 새로운 기간() 동안 공격의 존재에 대한 의심이 식별될 때, 새로운 기간()에 연관된 새로운 제2 측정 벡터()에 대한 다른 이상 스코어()가 위에 설명한 방법을 사용하여 계산된다.
그 후에, 이러한 다른 이상 점수()는 제3 임계 값()과 비교된다. 만약 다른 이상 점수()가 제3 임계 값()보다 높다면, 새로운 기간() 동안 공격의 존재가 확인된다.
도 2에 도시된 바와 같이, 단계 E42 이후에, 만약 공격의 부재가 검출되면, 상기 방법은 위에 설명한 단계 E20으로부터 속행된다. 제2 측정 벡터들의 분석이 종료될 때 공격의 존재가 검출된 경우에, 상기 방법은 위에 설명한 단계 E60으로부터 속행된다.

Claims (11)

  1. 복수의 접속 유입들을 수신하는 접속 모듈(5)을 타깃으로 하는 공격 흐름들을 필터링하는 방법에 있어서,
    상기 공격 흐름들의 필터링 방법은,
    - 각각의 집합체가 사전에 정의된 기간() 동안 수신된 복수의 접속 유입들의 조합으로부터 발생하는 복수의 집합체들을 결정하는 단계 - 상기 기간()은 각각의 집합체가 다른 집합체들을 결정하기 위해 고려되는 집합체와는 다르다는 것을 결정하기 위해 고려되며 그리고 복수의 집합체들 모두가 제1 관측 시간 윈도우()에 포함된다는 것을 결정하기 위해 고려되는 것임 -;
    - 상기 집합체들 중 하나에 각각 연관되고 연관된 집합체의 제1 특성 매개변수들의 값들을 포함하는 복수의 제1 측정 벡터()들을 결정하는 단계;
    - 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내에 상기 복수의 제1 측정 벡터()들을 투영하는 단계;
    - 다른 기간() 동안 수신된 복수의 접속 유입들의 조합으로부터 발생하는 다른 집합체를 결정하는 단계 - 상기 다른 기간()은 상기 제1 관측 시간 윈도우() 다음에 오게 됨 -;
    - 다른 집합체에 연관되고 다른 집합체의 제1 특성 매개변수들의 값들을 포함하는 다른 제1 측정 벡터()를 결정하는 단계;
    - 상기 다른 제1 측정 벡터()를 상기 제1 특성 파라미터에 의해 정의된 적어도 하나의 서브-공간 내로 투영하는 단계;
    - 상기 다른 제1 측정 벡터()의 투영 및 상기 복수의 제1 측정 벡터()들의 투영의 결과에 따라 이상 점수(abnormality score)()를 결정하는 단계;
    그 후, 만약 상기 이상 점수()가 공격 흐름들의 존재에 대한 의심 구역에 포함되어 있는 경우:
    - 상기 집합체들 중 하나와 각각 연관되고 연관된 집합체의 다른 특성 매개변수들의 값들을 포함하는 복수의 제2 측정 벡터()들을 결정하는 단계 - 상기 다른 특성 매개변수들은 상기 제1 특성 매개변수들과는 별개인 것임 -;
    - 상기 다른 집합체에 연관되고 상기 다른 집합체의 다른 특성 매개변수들의 값들을 포함하는 다른 제2 측정 벡터()를 결정하는 단계; 및
    - 상기 다른 제2 측정 벡터()를 분석함으로써 공격의 유무를 검출하는 단계;
    를 포함하는, 공격 흐름들의 필터링 방법.
  2. 제1항에 있어서,
    상기 이상 점수()가 공격 흐름들의 존재에 대한 의심 구역에 포함되어 있는지를 결정하기 위해, 제1 임계 값() 및 제2 임계 값()에 상기 이상 점수()를 비교하는 단계가 제공되는, 공격 흐름들의 필터링 방법.
  3. 제1항 또는 제2항에 있어서,
    상기 이상 점수()를 제2 임계 값()과 비교하는 단계가 제공되며, 만약 상기 이상 점수()가 상기 제2 임계 값()보다 높으면, 다른 기간()에 공격의 존재가 검출되는, 공격 흐름들의 필터링 방법.
  4. 제1항 또는 제2항에 있어서,
    상기 이상 점수()를 제1 임계 값()과 비교하는 단계가 제공되고, 만약 상기 이상 점수()가 상기 제1 임계 값()보다 낮으면, 다른 기간()에 공격의 부재가 검출되는, 공격 흐름들의 필터링 방법.
  5. 제1항 또는 제2항에 있어서,
    상기 공격 흐름들의 필터링 방법은 또한,
    - 제2 관측 시간 윈도우()를 정의하는 단계 - 상기 제2 관측 시간 윈도우()는 상기 다른 기간()만큼 이동된 제1 관측 시간 윈도우()에 상응함 -;
    - 새로운 집합체를 결정하는 단계 - 상기 새로운 집합체는 새로운 기간() 동안 수신된 복수의 접속 유입들의 조합으로부터 발생하는 것이고, 상기 새로운 기간()은 제2 관측 시간 윈도우() 다음에 오게 됨 -;
    - 상기 새로운 집합체에 연관되고 연관된 새로운 집합체의 제1 특성 매개변수들의 값들을 포함하는 새로운 제1 측정 벡터()를 결정하는 단계;
    - 상기 제1 관측 시간 윈도우() 내에 있지만 상기 제2 관측 시간 윈도우() 외에 있는 기간 동안 수신된 복수의 접속 유입들의 조합으로부터 발생하는 집합체에 연관된 제1 측정 벡터의 투영을 삭제하는 단계;
    - 상기 새로운 제1 벡터()를 적어도 상기 제1 특성 매개변수들에 의해 정의된 상기 서브-공간 내로 투영하는 단계; 및
    - 상기 투영의 결과에 따라 새로운 이상 점수를 결정하는 단계;
    를 포함하는, 공격 흐름들의 필터링 방법.
  6. 제1항 또는 제2항에 있어서,
    상기 투영 단계에서, 복수의 제1 측정 벡터()들을 복수의 서브-공간들 내로 투영하는 단계가 제공되고, 상기 이상 점수()는 이상 함수()들의 합으로부터 결정되며, 하나의 이상 함수()는 복수의 제1 측정 벡터()들의 투영 결과 그리고 다른 제1 측정 벡터()의 투영 및 평균 이상()에 따라 단위 서브-공간 마다 결정되고, 상기 평균 이상()은 또한 상기 복수의 제1 측정 벡터()들의 투영으로부터 그리고 다른 제1 측정 벡터()의 투영으로부터 결정되는, 공격 흐름들의 필터링 방법.
  7. 제6항에 있어서,
    상기 공격 흐름들의 필터링 방법은 또한,
    만약 공격의 존재가 검출되면,
    - 서브-공간들 모두에 대해 결정된 이상 함수()들을 비교하는 단계;
    - 가장 높은 이상 함수()를 지니는 적어도 하나의 서브-공간을 선택하는 단계;
    - 다른 집합체를 복수의 개별 접속 흐름들로 분리하는 단계;
    - 상기 복수의 개별 접속 흐름들의 복수의 식별 벡터들을 결정하는 단계 - 상기 식별 벡터들은 제1 측정 벡터()들과 동일한 제1 특성 매개변수들을 포함함 -;
    - 상기 복수의 식별 벡터들을 상기 적어도 하나의 선택된 서브-공간 내로 투영하는 단계;
    - 적어도 하나의 불법적인 접속 흐름을 식별하는 단계 - 상기 불법적인 접속 흐름은 식별 벡터의 이상 투영에 연관된 접속 흐름에 상응함 -;
    - 불법적인 접속 흐름을 필터링하는 단계;
    를 포함하는, 공격 흐름들의 필터링 방법.
  8. 제1항 또는 제2항에 있어서,
    서브-공간은 제1 축 및 제2 축에 의해 정의되고, 상기 제1 축은 상기 제1 특성 매개변수에 상응하며, 상기 제2 축은 상기 제1 특성 매개변수들로부터 선택된 제2 특성 매개변수에 상응하는, 공격 흐름들의 필터링 방법.
  9. 제1항 또는 제2항에 있어서,
    상기 제1 특성 매개변수들 중 적어도 하나는,
    - 접속-흐름 소스들의 개수();
    - 서브-네트워크 당 평균 접속-흐름 소스들의 개수();
    - 전송 요청들의 비율();
    - 수신된 오류 요청들의 비율();
    - 수신된 요청들의 평균 크기();
    - 수신된 요청들의 평균 수명;
    의 데이터 중 하나를 포함하는, 공격 흐름들의 필터링 방법.
  10. 제1항 또는 제2항에 있어서,
    상기 다른 특성 매개변수들 중 적어도 하나는,
    - 제1 캐시 메모리 레벨에 대한 액세스에 연관된 적중률;
    - 제2 캐시 메모리 레벨에 대한 액세스에 연관된 적중률;
    - 다른 캐시 메모리 레벨에 대한 액세스에 연관된 실패율;
    - 사용된 메모리의 비율;
    의 데이터 중 하나를 포함하는, 공격 흐름들의 필터링 방법.
  11. 복수의 접속 유입들로부터 접속 모듈(5)을 타깃으로 하는 공격 흐름들을 필터링하는 장치에 있어서,
    상기 공격 흐름들의 필터링 장치는,
    - 복수의 집합체들을 결정하는 모듈 - 각각의 집합체는 사전에 정의된 기간() 동안 수신된 복수의 접속 유입들의 조합으로부터 발생하며, 각각의 집합체를 결정하기 위해 고려된 상기 기간()은 다른 집합체들을 결정하기 위해 고려되는 것과는 다른 것이고, 복수의 집합체들 모두를 결정하기 위해 고려된 상기 기간()은 제1 관측 시간 윈도우() 내에 포함되어 있는 것임 -;
    - 상기 집합체들 중 하나에 각각 연관되고 연관된 집합체의 제1 특성 매개변수들을 포함하는 복수의 제1 측정 벡터()들을 결정하는 모듈;
    - 복수의 제1 측정 벡터()들을 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내로 투영하는 모듈;
    - 다른 기간() 동안 수신된 복수의 접속 유입들의 조합으로부터 발생하는 다른 집합체를 결정하는 모듈 - 상기 다른 기간()은 상기 제1 관측 시간 윈도우() 다음에 오게 됨 -;
    - 다른 집합체에 연관되고 연관된 다른 집합체의 제1 특성 매개변수들의 값들을 포함하는 다른 제1 측정 벡터()를 결정하는 모듈;
    - 다른 제1 측정 벡터()를 상기 제1 특성 매개변수들에 의해 정의된 적어도 하나의 서브-공간 내로 투영하는 모듈;
    - 다른 제1 측정 벡터()의 투영 및 복수의 제1 측정 벡터()들의 투영의 결과에 따라 이상 점수()를 결정하는 모듈;
    - 만약 상기 이상 점수()가 공격 흐름들의 존재에 대한 의심 구역에 포함된다면, 상기 집합체들 중 하나에 각각 연관되고 연관된 집합체의 다른 특성 매개변수들을 포함하는 복수의 제2 측정 벡터들을 결정하도록 구성된 결정 모듈 - 상기 다른 특성 매개변수들은 상기 제1 특성 매개변수들과는 별개인 것임 -;
    - 다른 집합체에 연관되고 연관된 다른 집합체의 다른 특성 매개변수들의 값들을 포함하는 다른 제2 측정 벡터()를 결정하는 모듈; 및
    - 다른 제2 측정 벡터()를 분석하여 공격의 존재 또는 부재를 검출하는 모듈;
    을 포함하는, 공격 흐름들의 필터링 장치.
KR1020207032910A 2018-04-17 2019-04-04 접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 방법 KR102643547B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1853343A FR3080203B1 (fr) 2018-04-17 2018-04-17 Procede de filtrage de flux d’attaque visant un module de connectivite
FR1853343 2018-04-17
PCT/EP2019/058477 WO2019201609A1 (fr) 2018-04-17 2019-04-04 Procédé de filtrage de flux d'attaque visant un module de connectivité

Publications (2)

Publication Number Publication Date
KR20210018802A KR20210018802A (ko) 2021-02-18
KR102643547B1 true KR102643547B1 (ko) 2024-03-06

Family

ID=63683965

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207032910A KR102643547B1 (ko) 2018-04-17 2019-04-04 접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 방법

Country Status (7)

Country Link
US (1) US12010094B2 (ko)
EP (1) EP3782345B1 (ko)
JP (1) JP7339276B2 (ko)
KR (1) KR102643547B1 (ko)
CN (1) CN112042166B (ko)
FR (1) FR3080203B1 (ko)
WO (1) WO2019201609A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110912912B (zh) * 2019-11-29 2022-03-01 杭州迪普科技股份有限公司 一种切换ip信誉检测模式的方法及装置
CN116488938B (zh) * 2023-06-12 2024-01-30 湖南三湘银行股份有限公司 一种基于大数据行为分析的数据检测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101021697B1 (ko) 2009-04-30 2011-03-15 경희대학교 산학협력단 6LoWPAN에서 봇넷 공격을 탐지하는 방법
US8544087B1 (en) 2001-12-14 2013-09-24 The Trustess Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US20170134401A1 (en) 2015-11-05 2017-05-11 Radware, Ltd. System and method for detecting abnormal traffic behavior using infinite decaying clusters
KR101807441B1 (ko) 2013-12-04 2017-12-08 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 가상 머신들 간의 사이드 채널 공격들의 검출

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7743415B2 (en) * 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
JP2007243459A (ja) 2006-03-07 2007-09-20 Nippon Telegraph & Telephone East Corp トラヒック状態抽出装置及び方法ならびにコンピュータプログラム
CN101150581A (zh) * 2007-10-19 2008-03-26 华为技术有限公司 分布式拒绝服务攻击检测方法及装置
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
US20100034102A1 (en) * 2008-08-05 2010-02-11 At&T Intellectual Property I, Lp Measurement-Based Validation of a Simple Model for Panoramic Profiling of Subnet-Level Network Data Traffic
CN102271068B (zh) * 2011-09-06 2015-07-15 电子科技大学 一种dos/ddos攻击检测方法
US9544321B2 (en) * 2015-01-30 2017-01-10 Securonix, Inc. Anomaly detection using adaptive behavioral profiles
US20160328654A1 (en) * 2015-05-04 2016-11-10 Agt International Gmbh Anomaly detection for context-dependent data
US10735438B2 (en) * 2016-01-06 2020-08-04 New York University System, method and computer-accessible medium for network intrusion detection
US10372910B2 (en) 2016-06-20 2019-08-06 Jask Labs Inc. Method for predicting and characterizing cyber attacks
US10846308B2 (en) * 2016-07-27 2020-11-24 Anomalee Inc. Prioritized detection and classification of clusters of anomalous samples on high-dimensional continuous and mixed discrete/continuous feature spaces
US10616251B2 (en) * 2017-02-23 2020-04-07 Cisco Technology, Inc. Anomaly selection using distance metric-based diversity and relevance
US10749883B1 (en) * 2017-05-02 2020-08-18 Hrl Laboratories, Llc Automatic anomaly detector

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8544087B1 (en) 2001-12-14 2013-09-24 The Trustess Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
KR101021697B1 (ko) 2009-04-30 2011-03-15 경희대학교 산학협력단 6LoWPAN에서 봇넷 공격을 탐지하는 방법
KR101807441B1 (ko) 2013-12-04 2017-12-08 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 가상 머신들 간의 사이드 채널 공격들의 검출
US20170134401A1 (en) 2015-11-05 2017-05-11 Radware, Ltd. System and method for detecting abnormal traffic behavior using infinite decaying clusters

Also Published As

Publication number Publication date
CN112042166B (zh) 2023-07-14
FR3080203B1 (fr) 2020-03-27
EP3782345B1 (fr) 2022-08-31
CN112042166A (zh) 2020-12-04
KR20210018802A (ko) 2021-02-18
US20210168119A1 (en) 2021-06-03
EP3782345A1 (fr) 2021-02-24
FR3080203A1 (fr) 2019-10-18
WO2019201609A1 (fr) 2019-10-24
US12010094B2 (en) 2024-06-11
JP2021522566A (ja) 2021-08-30
JP7339276B2 (ja) 2023-09-05

Similar Documents

Publication Publication Date Title
Collins et al. Using uncleanliness to predict future botnet addresses
Prasad et al. DoS and DDoS attacks: defense, detection and traceback mechanisms-a survey
EP2619958B1 (en) Ip prioritization and scoring method and system for ddos detection and mitigation
US20150040228A1 (en) Selection of a countermeasure
CA2540802A1 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
KR102643547B1 (ko) 접속 모듈을 타깃으로 하는 공격 흐름들을 필터링하는 방법
Robinson et al. Evaluation of mitigation methods for distributed denial of service attacks
JP4422176B2 (ja) トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
Keshariya et al. DDoS defense mechanisms: A new taxonomy
CN106357661B (zh) 一种基于交换机轮换的分布式拒绝服务攻击防御方法
Irum et al. DDoS detection and prevention in internet of things
KR100803029B1 (ko) 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
Goldstein et al. Bayes optimal ddos mitigation by adaptive history-based ip filtering
Goncalves et al. WIDIP: Wireless distributed IPS for DDoS attacks
KR20130009130A (ko) 좀비 피씨 및 디도스 대응 장치 및 방법
CN113992421B (zh) 一种报文处理方法、装置及电子设备
CN108521413A (zh) 一种未来信息战争的网络抵抗和防御方法及系统
Datta et al. idam: A distributed mud framework for mitigation of volumetric attacks in iot networks
RU2777839C2 (ru) Способ фильтрации атакующих потоков, нацеленных на модуль связи
Sophakan et al. A secured OpenFlow-based software defined networking using dynamic bayesian network
Bojjagani et al. Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment.
Song et al. Collaborative defense mechanism using statistical detection method against DDoS attacks
Kahani et al. A reactive defense against bandwidth attacks using learning automata
KR20160087448A (ko) 플로우 별 통계 정보를 활용한 아웃라이어 감지 기반의 DDoS 공격자 구별 방법 및 장치

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right