KR20040057257A - System and method for protecting from ddos, and storage media having program thereof - Google Patents

System and method for protecting from ddos, and storage media having program thereof Download PDF

Info

Publication number
KR20040057257A
KR20040057257A KR1020020083895A KR20020083895A KR20040057257A KR 20040057257 A KR20040057257 A KR 20040057257A KR 1020020083895 A KR1020020083895 A KR 1020020083895A KR 20020083895 A KR20020083895 A KR 20020083895A KR 20040057257 A KR20040057257 A KR 20040057257A
Authority
KR
South Korea
Prior art keywords
traffic
protocol
abnormal
flows
attack
Prior art date
Application number
KR1020020083895A
Other languages
Korean (ko)
Other versions
KR100479202B1 (en
Inventor
권윤주
문정훈
이만희
변옥환
Original Assignee
한국과학기술정보연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술정보연구원 filed Critical 한국과학기술정보연구원
Priority to KR10-2002-0083895A priority Critical patent/KR100479202B1/en
Publication of KR20040057257A publication Critical patent/KR20040057257A/en
Application granted granted Critical
Publication of KR100479202B1 publication Critical patent/KR100479202B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

PURPOSE: A system and a method for confronting a DDoS(Distributed Denial of Service) attack, and a recording medium recording a program for the same are provided to control a network connection device by detecting the DDoS attack, confront system breakdown and network resource loss, and guarantee the stable operation of the system by blocking the DDoS attack at a backbone. CONSTITUTION: A statistics database(200) stores traffic statistics values. A confrontation server(100) judges abnormality by collecting traffic information from the network connection devices(10,20,30), judges that the abnormal traffic is attacked by the DDoS attack, and applies a traffic migration limit to the network connection device attacked by the DDoS attack. The confrontation server comprises a detecting tool(110) and a confronting tool(120).

Description

분산서비스거부 공격 대응 시스템 및 방법과 그 프로그램을 기록한 기록매체{SYSTEM AND METHOD FOR PROTECTING FROM DDOS, AND STORAGE MEDIA HAVING PROGRAM THEREOF}SYSTEM AND METHOD FOR PROTECTING FROM DDOS, AND STORAGE MEDIA HAVING PROGRAM THEREOF}

본 발명은 분산서비스거부 공격을 탐지하여 해당 네트워크 연결장치를 제어하는 분산서비스거부 공격 대응 시스템 및 방법과 그 프로그램을 저장한 기록매체를 제공하기 위한 것이다.The present invention provides a distributed service denial attack response system and method for detecting a distributed service denial attack and control a network connection device, and a recording medium storing the program.

서비스거부(Denial of Service ; DoS) 공격이나 분산서비스거부 (Distributed Denial of Service ; DDoS) 공격과 같은 대용량 트래픽 공격을 통해 전세계 네트워크가 중단되는 사례가 급속히 증가하고 있으며, 공격의 방법과 유형도 날로 다양해지고 있다.Massive traffic attacks, such as denial of service (DoS) attacks and distributed denial of service (DDoS) attacks, are rapidly increasing the number of global network outages, and the methods and types of attacks vary widely. Is getting.

대기업과 서비스 제공업체들이 현재 직면하고 있는 가장 중요한 문제는 바로 이와 같은 해커의 공격에 의해서 시스템이 마비되거나, 시스템에 저장되어 있는 데이터의 안정성과 무결성이 침해받는 보안위험이다.The most important issue facing large enterprises and service providers today is the security risks that result from paralyzing these hacker attacks and compromising the stability and integrity of the data stored on them.

이와 같은 보안위험을 해결하기 위한 방법으로 방화벽과 침입탐지 시스템(Intrusion Detection System ; IDS)의 도입이 늘어나고 있다.In order to solve such security risks, the introduction of firewalls and intrusion detection systems (IDS) is increasing.

그렇지만, 서비스거부(DoS) 공격을 포함한 분산서비스거부 (DDoS) 공격은 일반 해킹과는 달리 시스템의 파괴 뿐만 아니라, 네트워크의 자원점유를 통한 서비스 차단에 목적이 있다.However, unlike general hacking, distributed denial of service (DDoS) attacks, including denial of service (DoS) attacks, aim not only to disrupt the system but also to block services through the network's seizure of resources.

따라서, 방화벽이나 침입탐지 시스템과 같이 격리된 솔루션으로 서비스거부 공격이나 분산서비스거부 공격을 해결할 수 없는 문제점이 있다.Therefore, there is a problem in that an isolated solution such as a firewall or an intrusion detection system cannot solve a denial of service attack or a distributed denial of service attack.

그리고, 서비스거부 공격이나 분산서비스거부 공격의 탐지가 쉽지 않으며, 그와 같은 공격을 탐지하더라도 해당 근원지를 적절하게 차단하지 못하는 등의 문제점이 있다.In addition, it is not easy to detect a denial of service attack or a distributed denial of service attack, and even if such an attack is detected, there is a problem such that the corresponding source is not properly blocked.

본 발명은 이러한 문제점을 해결하기 위해 안출한 것으로, 분산서비스거부 공격을 탐지하여 해당 네트워크 연결장치를 제어하는 분산서비스거부 공격 대응 시스템 및 방법과 그 프로그램을 저장한 기록매체를 제공하기 위한 것이다.The present invention has been made to solve the above problems, and to provide a distributed service denial attack response system and method for detecting a distributed service denial attack and control the network connection device and a recording medium storing the program.

본 발명의 다른 목적은 분산서비스거부 공격을 중간단계인 백본에서 차단하여 시스템 파괴 및 네트워크 자원손실에 대응하고 시스템의 안전한 작동을 보장할 수 있는 분산서비스거부 공격 대응 시스템 및 방법과 그 프로그램을 저장한 기록매체를 제공하기 위한 것이다.It is another object of the present invention to prevent distributed service denial attacks in the intermediate backbone and to prevent system destruction and network resource loss and to ensure the safe operation of the system. To provide a recording medium.

도 1은 본 발명에 따른 분산서비스거부 공격 대응 시스템의 일실시예를 나타낸 블록 구성도.1 is a block diagram showing an embodiment of a distributed service denial attack response system according to the present invention.

도 2는 네트워크 트래픽에 대한 상태도.2 is a state diagram for network traffic.

도 3은 본 발명에 따른 분산서비스거부 공격 대응방법의 일실시예를 나타낸 흐름도.Figure 3 is a flow diagram illustrating an embodiment of a distributed service denial attack response method according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10,20,30 : 네트워크 연결장치 100 : 대응서버10,20,30: Network connection device 100: Response server

110 : 탐지수단 112 : 수집부110: detection means 112: collector

114 : 분류부 116 : 검사부114: classification unit 116: inspection unit

118 : 분석부 120 : 대응수단118: analysis unit 120: countermeasures

200 : 통계DB200: Statistics DB

상기 목적을 달성하기 위하여 본 발명의 일 실시예에서는 트래픽 통계값을 저장한 통계DB; 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하여 비정상 여부를 판단하고, 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하여, 분산서비스거부 공격을 받는 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하는 대응서버를 포함하는 분산서비스거부 공격 대응 시스템을 제공한다.In one embodiment of the present invention to achieve the above object is a statistics DB for storing the traffic statistics; Traffic information is collected from one or more network connection devices connecting the network to determine whether it is abnormal, and whether the traffic determined to be abnormal is subjected to a distributed service denial attack. Provides a distributed service denial attack response system including a response server to apply the movement limit.

또, 본 발명에서, 상기 네트워크 연결장치는 라우터인 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the network connection device solves the above problems as a distributed service denial attack response system, characterized in that the router.

또, 본 발명에서, 상기 대응서버는 상기 네트워크 연결장치로부터 트래픽 정보를 수집하고, 상기 수집한 트래픽을 미리 설정한 기준비율 및 상기 통계값과 비교하여 비정상 여부를 판단하고, 상기 트래픽이 비정상으로 판단되면 분산서비스거부 공격을 받는지 판단하는 탐지수단; 및 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 대응수단을 포함하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.Further, in the present invention, the corresponding server collects traffic information from the network connection device, and determines whether the traffic is abnormal by comparing the collected traffic with a preset reference ratio and the statistical value, and determines that the traffic is abnormal Detecting means for determining whether a distributed service denial attack is performed; And a countermeasure for applying the traffic movement limit to the corresponding network connection device determined to be subjected to the distributed service denial attack.

또, 본 발명에서, 상기 탐지수단은 상기 네트워크 연결장치로부터 트래픽 정보를 수집하는 수집부; 상기 수집부에서 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 분류부; 및 상기 분류부에서 분류된 프로토콜별 플로우 개수를 상기 기준비율 및 상기 통계값과 비교하여 트래픽의 비정상 여부를 판단하고, 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 검사부를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the detection means is a collection unit for collecting traffic information from the network connection device; A classification unit classifying the traffic information collected by the collection unit into flows for each protocol of inbound and outbound; And determining whether the traffic is abnormal by comparing the number of flows for each protocol classified by the classification unit with the reference ratio and the statistical value, and deriving the distributed service denial attack by the ratio of the destination address of the abnormal protocol flow to the total traffic. The above-mentioned problem is solved as a distributed service denial attack response system, characterized in that it comprises a check unit for determining whether or not to receive.

또, 본 발명에서, 상기 분류부는 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the classifying unit compares whether the input interface index and the output interface index included in the traffic information corresponds to a predetermined inbound combination and outbound combination, characterized in that classified into inbound flow and outbound flow, respectively The above-mentioned problem is solved as a distributed service denial attack response system.

또, 본 발명에서, 상기 분류부는 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the classification unit solves the above-mentioned problems as a distributed service denial attack response system, characterized in that the classification by the protocol of the inbound flow and the outbound flow using the protocol number included in the traffic information.

또, 본 발명에서, 상기 검사부는 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the inspection unit for each protocol is determined as an abnormality if the number of inbound protocol flows and the number of outbound protocol flows is more than the reference ratio is determined as abnormal as the distributed service denial attack response system Solve one task.

또, 본 발명에서, 상기 검사부는 상기 분류부에서 프로토콜별로 분류된 플로우 개수를 상기 통계DB에 저장된 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the inspection unit compares the number of flows classified for each protocol by the classification unit with the statistical value stored in the statistics DB and determines that it is abnormal when it is out of a predetermined confidence interval. The system solves the above problem.

또, 본 발명에서, 상기 대응수단은 미리 지정된 시간 이후에 상기 검사부에서 상기 비정상 트래픽이 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키고, 미리 지정된 시간 이후에 상기 검사부에서 상기 과도상태 트래픽이 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the countermeasure unit transitions the abnormal state to a transient state if the inspection unit determines that the abnormal traffic is normal after a predetermined time, and the transient state traffic is again returned from the inspection unit after a predetermined time. If it is determined to be normal, the above-mentioned problem is solved as a distributed service denial attack countermeasure system, which transitions the transient state to a normal state and releases the traffic movement limit applied to the network connection device.

또, 본 발명에서, 상기 대응수단은 미리 지정된 시간 이후에 상기 검사부에서 상기 과도상태 트래픽이 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the countermeasure means, when the inspection unit determines that the transient traffic is abnormal again after a predetermined time, the transient service transition to the abnormal service, characterized in that for transition to the abnormal state described above Solve one task.

또, 본 발명에서, 상기 탐지수단은 상기 분류부에서 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계DB에 저장된 통계값을 업데이트하는 분석부를 더포함하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템으로서 상술한 과제를 해결한다.In addition, in the present invention, the detection means further comprises an analysis unit for updating the statistical value stored in the statistics DB by including the number of flows classified by protocol in the classification unit as described above as a distributed service denial attack response system Solve a task.

상기의 목적을 달성하기 위하여 본 발명의 다른 실시예에서는 (a) 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하는 단계; (b) 상기 수집된 트래픽의 비정상 여부를 판단하는 단계; (c) 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하는 단계; 및 (d) 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 단계를 포함하는 분산서비스거부 공격 대응방법을 제공한다.In order to achieve the above object, another embodiment of the present invention includes the steps of: (a) collecting traffic information from one or more network connection devices connecting the network; (b) determining whether the collected traffic is abnormal; (c) determining whether the traffic determined to be abnormal is subjected to a distributed service denial attack; And (d) applying a traffic movement restriction to the corresponding network connection device that is determined to be subjected to the distributed service denial attack.

또, 본 발명에서, 상기 (b)단계는 (b1) 상기 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 단계; 및 (b2) 분류된 프로토콜별 플로우 개수를 미리 설정한 기준비율 및 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법으로서 상술한 과제를 해결한다.In addition, in the present invention, step (b) comprises the steps of: (b1) classifying the collected traffic information into inbound and outbound protocol specific flows; And (b2) determining whether the traffic is abnormal by comparing the number of classified protocol flows with a preset reference ratio and pre-stored statistical values. Solve.

또, 본 발명에서, 상기 (b1)단계는 (b11) 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 단계; 및 (b12) 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법으로서 상술한 과제를 해결한다.Also, in the present invention, step (b1) compares whether the input interface index and the output interface index included in the traffic information correspond to a predetermined inbound combination and outbound combination, respectively, as inbound flow and outbound flow. Classifying; And (b12) classifying the inbound flow and the outbound flow for each protocol using the protocol number included in the traffic information.

또, 본 발명에서, 상기 (b2)단계는 (b21) 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 단계; 및 (b22) 프로토콜별로 분류된 플로우 개수를 상기 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법으로서 상술한 과제를 해결한다.In addition, in the present invention, step (b2) may include (b21) determining an abnormality if the number of inbound protocol flows and the number of outbound protocol flows for each protocol differ by more than the reference ratio; And (b22) comparing the number of flows classified for each protocol with the statistical value to determine abnormality when it is out of a predetermined confidence interval.

또, 본 발명에서, 상기 (c)단계는 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응방법으로서 상술한 과제를 해결한다.In addition, in the present invention, the step (c) is a distributed service denial of service attack response method, characterized in that for determining whether the traffic is subjected to a distributed service denial attack at the ratio of the destination address of the abnormal protocol flow in the total traffic. Solve the problem.

또, 본 발명에서, 상기 (d)단계는 (d1) 상기 (c)단계에서 상기 비정상 트래픽이 미리 지정된 시간 이후에 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키는 단계; 및 (d2) 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법으로서 상술한 과제를 해결한다.In addition, in the present invention, step (d) comprises: (d1) transitioning the abnormal state to a transient state if it is determined that the abnormal traffic is normal after a predetermined time in step (c); And (d2) if the transient traffic is determined to be normal again after a predetermined time, transitioning the transient state to a normal state and releasing a restriction on the amount of traffic movement applied to the network connection device. The above-mentioned problem is solved as a countermeasure against a denial of service attack.

또, 본 발명에서, 상기 (d1)단계는 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 분산서비스거부 공격 대응방법으로서 상술한 과제를 해결한다.Further, in the present invention, the step (d1), if the transient traffic is determined to be abnormal again after a predetermined time, the transient service rejection attack countermeasure method, characterized in that for transition to the abnormal state; Solve the problem.

또, 본 발명에서, 상기 프로토콜별로 분류된 플로우 개수를 포함시켜 상기통계값을 업데이트하는 (e)단계를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법으로서 상술한 과제를 해결한다.In addition, the present invention solves the above-mentioned problem as a countermeasure against distributed service denial attack, further comprising the step (e) of updating the statistical value by including the number of flows classified for each protocol.

상기의 목적을 달성하기 위하여 본 발명의 또 다른 실시예에서는 (a) 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하는 프로세스; (b) 상기 수집된 트래픽의 비정상 여부를 판단하는 프로세스; (c) 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하는 프로세스; 및 (d) 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 프로세스를 포함하는 분산서비스거부 공격 대응 프로그램을 기록한 기록매체를 제공한다.Another embodiment of the present invention to achieve the above object is (a) a process of collecting traffic information from one or more network connection devices connecting the network; (b) determining whether the collected traffic is abnormal; (c) determining whether the traffic determined to be abnormal is subjected to a distributed service denial attack; And (d) a recording medium recording a distributed service denial attack response program including a process of applying and managing a traffic movement limit to a corresponding network connection device determined to be subjected to a distributed service denial attack.

또, 본 발명에서, 상기 (b)프로세스는 (b1) 상기 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 프로세스; 및 (b2) 분류된 프로토콜별 플로우 개수를 미리 설정한 기준비율 및 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단하는 프로세스를 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.In addition, in the present invention, the process (b) includes (b1) a process of classifying the collected traffic information into inbound and outbound protocol-specific flows; And (b2) a process for determining whether the traffic is abnormal by comparing the number of classified flows for each protocol with a preset reference ratio and pre-stored statistical values.

또, 본 발명에서, 상기 (b1)프로세스는 (b11) 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 프로세스; 및 (b12) 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 프로세스를 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.Also, in the present invention, the process (b1) compares (b11) whether the input interface index and the output interface index included in the traffic information correspond to a predetermined inbound combination and outbound combination, respectively, as inbound flow and outbound flow. Classification process; And (b12) classifying the inbound flow and the outbound flow for each protocol using the protocol number included in the traffic information.

또, 본 발명에서, 상기 (b2)프로세스는 (b21) 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 프로세스; 및 (b22) 프로토콜별로 분류된 플로우 개수를 상기 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 프로세스를 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.In addition, in the present invention, the process (b2) includes: (b21) a process of determining that the number of inbound protocol flows and the outbound protocol flows for each protocol is abnormal when the difference is greater than or equal to the reference ratio; And (b22) comparing the number of flows classified for each protocol with the statistical value, and determining the abnormality when the interval is out of a predetermined confidence interval.

또, 본 발명에서, 상기 (c)프로세스는 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.In addition, in the present invention, the process (c) solves the above-described problem as a recording medium, characterized in that the traffic is subject to a distributed denial of service attack by the ratio of the destination address of the abnormal protocol flow to the total traffic.

또, 본 발명에서, 상기 (d)프로세스는 (d1) 상기 (c)프로세스에서 상기 비정상 트래픽이 미리 지정된 시간 이후에 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키는 프로세스; 및 (d2) 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 프로세스를 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.In addition, in the present invention, the process (d) comprises: (d1) a process of transitioning the abnormal state to a transient state if it is determined that the abnormal traffic is normal after a predetermined time in the process (c); And (d2) if the transient traffic is determined to be normal again after a predetermined time, transitioning the transient state to a normal state, and releasing a restriction on the amount of traffic movement applied to the corresponding network connection device. The above problem is solved as a medium.

또, 본 발명에서, 상기 (d1)프로세스는 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.In addition, in the present invention, the process (d1) solves the above-described problems as the recording medium, wherein if the transient traffic is determined to be abnormal again after a predetermined time, the transient state transitions to an abnormal state. .

또, 본 발명에서, 상기 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계값을 업데이트하는 (e)프로세스를 더 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.In addition, the present invention solves the above-described problem as a recording medium, further comprising the step (e) of updating the statistical value by including the number of flows classified for each protocol.

본 발명의 목적과 특징 및 장점은 첨부 도면 및 다음의 상세한 설명을 참조함으로서 더욱 쉽게 이해될 수 있을 것이다.The objects, features and advantages of the present invention will be more readily understood by reference to the accompanying drawings and the following detailed description.

본 발명은 분산서비스거부 공격을 탐지하여 해당 네트워크 연결장치를 제어하는 방법 및 그를 지원하도록 구현되는 시스템을 바람직한 실시예로 제안한다.The present invention proposes a method for controlling a network connection device by detecting a distributed service denial attack and a system implemented to support the same as a preferred embodiment.

본 발명의 바람직한 실시예는 본 발명방법을 실행하도록 프로그램된 컴퓨터 시스템 및 컴퓨터 프로그램 제품과 같은 실시예를 포함한다. 컴퓨터 시스템의 실시예에 따르면, 방법을 실행하기 위한 명령어 세트는 하나 또는 그 이상의 메모리에 상주하며, 이들 명령어 세트는 CD-ROM 등과 같은 기록매체에 컴퓨터 프로그램 제품으로서 저장될 수 있다.Preferred embodiments of the invention include embodiments such as computer systems and computer program products programmed to carry out the methods of the invention. According to an embodiment of a computer system, a set of instructions for carrying out a method resides in one or more memories, which may be stored as a computer program product on a recording medium such as a CD-ROM or the like.

도 1은 본 발명에 따른 분산서비스거부 공격 대응 시스템의 일실시예를 나타낸 블록 구성도이다. 도 1을 참조하면, 본 발명에 따른 분산서비스거부 공격 대응 시스템은 분산서비스거부 공격을 탐지하여 관리하는 대응서버(100)와 트래픽 통계값을 저장한 통계DB(200)를 포함한다.1 is a block diagram showing an embodiment of a distributed service denial attack response system according to the present invention. Referring to FIG. 1, the distributed denial of service attack response system according to the present invention includes a corresponding server 100 for detecting and managing a distributed denial of service attack and a statistics DB 200 storing traffic statistics.

분산서비스거부 공격은 대단위 트래픽량으로 하나의 네트워크 또는 시스템 자원을 고갈시키는 방법을 취한다. 따라서, 분산서비스거부 공격을 탐지하기 위해서는 네트워크 전체에 대한 거시적인 트래픽 모니터링이 필요하다.Distributed service denial attacks take a method of depleting a network or system resource with a large amount of traffic. Therefore, macro traffic monitoring of the entire network is required to detect distributed service denial attacks.

일반적으로 단위 네트워크마다 하나 또는 그 이상의 네트워크 연결장치가 그 네트워크에 대한 트래픽 조율을 담당한다. 네트워크 연결장치는 하나의 네트워크에 유입되거나 유출되는 트래픽 정보를 대응서버(100)에 제공할 수 있는 것이 바람직하며, 이 때 제공되는 트래픽 정보를 넷플로우(Netflow)라고 한다.Typically, one or more network connections are responsible for traffic coordination for each network. It is preferable that the network connection device can provide traffic information flowing into or out of one network to the corresponding server 100, and the traffic information provided at this time is referred to as a netflow.

따라서, 대응서버(100)는 네트워크 연결장치로부터 넷플로우 정보를 입력받아 네트워크 트래픽의 행동을 관찰하고, 비정상 트래픽을 감지하면 해당 네트워크 연결장치를 적절하게 제어해야 한다.Therefore, the corresponding server 100 receives the netflow information from the network connection device, observes the behavior of the network traffic, and if it detects abnormal traffic, appropriately controls the network connection device.

이를 위하여, 대응서버(100)는 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치(10~30)로부터 트래픽 정보를 수집한다. 본 실시예에서 네트워크 연결장치(10~30)는 라우터인 것이 바람직하다.To this end, the corresponding server 100 collects traffic information from one or more network connection devices 10 to 30 connecting the network. In this embodiment, the network connection devices 10 to 30 are preferably routers.

그리고, 대응서버(100)는 수집한 트래픽의 비정상 여부를 판단하여 트래픽이 비정상으로 판단되면, 대응서버(100)는 비정상 트래픽이 분산서비스거부 공격을 받는지 판단한다. 그래서, 분산서비스거부 공격을 받는 것으로 판단되면, 해당 네트워크 연결장치(예를 들면, 10)에 트래픽 이동량 제한을 적용한다.When the traffic is determined to be abnormal by determining whether the collected traffic is abnormal, the response server 100 determines whether the abnormal traffic is subjected to a distributed service denial attack. Therefore, if it is determined that the distributed service denial of attack, the traffic movement limit is applied to the network connection device (for example, 10).

대응서버(100)는 탐지수단(110)과 대응수단(120)을 포함한다.The correspondence server 100 includes a detection means 110 and a correspondence means 120.

탐지수단(110)은 네트워크 연결장치(10~30)로부터 트래픽 정보를 수집하고, 수집한 트래픽을 미리 설정한 기준비율 및 통계값과 비교하여 비정상 여부를 판단한다. 그리고, 트래픽이 비정상으로 판단되면 분산서비스거부 공격을 받는지 판단한다.The detection unit 110 collects traffic information from the network connection devices 10 to 30, and compares the collected traffic with a preset reference ratio and statistical value to determine whether the traffic is abnormal. If it is determined that the traffic is abnormal, it is determined whether a distributed service denial attack is made.

대응수단(120)은 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치(10)에 트래픽 이동량 제한을 적용하여 관리한다.The countermeasure unit 120 manages by applying a traffic movement limit to the network connection device 10 determined to be subjected to the distributed service denial attack.

탐지수단(110)과 대응수단(120)을 더 자세히 설명하면 다음과 같다.The detection means 110 and the corresponding means 120 will be described in more detail as follows.

탐지수단(110)은 수집부(112), 분류부(114), 검사부(116)를 포함하고, 도 1과 같이 분석부(118)를 더 포함할 수 있다.The detection unit 110 may include a collection unit 112, a classification unit 114, and an inspection unit 116, and may further include an analysis unit 118 as shown in FIG. 1.

수집부(112)는 네트워크 연결장치(10~30)로부터 트래픽 정보를 주기적으로(예를 들면, 5분 단위) 수집하며, 트래픽 정보는 표 1과 같이 구성되어 있다.The collecting unit 112 collects traffic information periodically (for example, every 5 minutes) from the network connection devices 10 to 30, and the traffic information is configured as shown in Table 1 below.

source IP addresssource IP address destination IP addressdestination IP address next hop IP addressnext hop IP address input interface indexinput interface index output interface indexoutput interface index packetspackets bytesbytes start time of flowstart time of flow end time of flowend time of flow source portsource port destination portdestination port padpad TCP flagsTCP flags IP protocolIP protocol TOSTOS source ASsource AS destination ASdestination AS src netmask lengthsrc netmask length dst netmask lengthdst netmask length

넷플로우는 근원지 주소(source IP address), 목적지 주소(destination IP address), 프로토콜 번호(IP protocol), 근원지 포트번호(source port), 목적지 포트번호(destination port)를 키(key)로 하여 하나의 단위정보로 구성된다.Netflow uses a source IP address, a destination IP address, a protocol number (IP protocol), a source port number (source port), and a destination port number as a key. It consists of unit information.

분류부(114)는 수집부(112)에서 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류한다.The classifier 114 classifies the traffic information collected by the collector 112 into inbound and outbound protocol specific flows.

트래픽 정보를 인바운드와 아웃바운드로 분류하는 과정은 다음과 같다.The process of classifying traffic information into inbound and outbound is as follows.

입력 인터페이스 인덱스(input interface index) 값의 집합을 A로 가정하고, 출력 인터페이스 인덱스(output interface index) 값의 집합을 B라고 가정하자. 그리고, 분류부(114)는 미리 정의해 놓은 인바운드 플로우 조합{A,B}과, 아웃바운드 플로우 {B,A}조합을 가지고 있다.Assume that the set of input interface index values is A, and the set of output interface index values is B. The classification unit 114 has a predefined inbound flow combination {A, B} and an outbound flow {B, A} combination.

따라서, 분류부(114)는 수집부(112)에서 수집된 트래픽 정보의 입력 인터페이스 인덱스 값과 출력 인터페이스 인덱스 값이 어느 조합에 해당하는지 판단하면, 트래픽 정보를 인바운드와 아웃바운드 플로우로 분류할 수 있다.Accordingly, when the classification unit 114 determines which combination of the input interface index value and the output interface index value of the traffic information collected by the collection unit 112 corresponds to, the classification unit 114 may classify the traffic information into inbound and outbound flows. .

그리고, 트래픽 정보에 포함된 프로토콜 번호(IP protocol)를 이용하여 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류를 한다.Then, classification is performed for each inbound flow and outbound flow protocol by using a protocol number (IP protocol) included in the traffic information.

예를 들어, TCP, UDP, ICMP의 3가지 프로토콜이 있다고 가정하면, 분류부(114)는 인바운드 TCP 플로우, 인바운드 UDP 플로우, 인바운드 ICMP 플로우, 아웃바운드 TCP 플로우, 아웃바운드 UDP 플로우, 아웃바운드 ICMP 플로우로 분류한다.For example, assuming that there are three protocols: TCP, UDP, and ICMP, the classification unit 114 may determine inbound TCP flow, inbound UDP flow, inbound ICMP flow, outbound TCP flow, outbound UDP flow, and outbound ICMP flow. Classify as

검사부(116)는 분류부(114)에서 분류된 프로토콜별 플로우를 미리 설정한 기준비율 및 통계DB(200)에 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단한다.The inspection unit 116 compares the flow for each protocol classified by the classification unit 114 with a preset reference ratio and statistical values stored in the statistics DB 200 to determine whether the traffic is abnormal.

먼저, 각각의 프로토콜에 대하여 인바운드의 프로토콜 개수와 아웃바운드의 프로토콜 플로우 개수가 기준비율 이상의 차이가 있는지 판단한다. 만약, 동일한 프로토콜에 대하여 인바운드의 플로우 개수와 아웃바운드의 플로우 개수가 기준비율 이상 차이가 나면 비정상 트래픽으로 판단하고, 그렇지 않으면 정상 트래픽으로 판단한다.First, for each protocol, it is determined whether the number of inbound protocols and the number of outbound protocol flows differ by more than a reference ratio. If the number of inbound flows and the number of outbound flows differ by more than a reference ratio for the same protocol, it is determined as abnormal traffic, otherwise it is determined as normal traffic.

예를 들면, 일반 상태에서 인바운드 TCP 플로우 개수와 아웃바운드 TCP 플로우 개수는 비슷하게 유지된다. 그러나, 분산서비스 공격이 일어날 경우 8배 이상의 플로우 개수 차이가 있는 것을 알아내었다. 따라서, 인바운드 TCP 플로우 개수와 아웃바운드 TCP 플로우 개수가 8배 이상 차이가 나는지 판단하면 비정상 여부를 판단할 수 있다. UDP와 ICMP의 경우도 TCP와 동일하게 8배 이상의 차이가 나는지 판단한다.For example, in normal state, the number of inbound and outbound TCP flows remains similar. However, we found that there are more than 8 times the number of flows in case of distributed service attack. Therefore, if it is determined whether the number of inbound TCP flows and the number of outbound TCP flows differ by more than 8 times, it may be determined whether an abnormality occurs. In the case of UDP and ICMP, it is determined whether the difference is more than 8 times as in TCP.

그리고, 분류부(114)에서 프로토콜별로 분류된 플로우 개수를 통계DB(200)에 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단한다. 즉, 분류부(114)에서 프로토콜별로 분류된 플로우 개수가 통계DB(200)에 저장된 통계값과 비교하여 기설정된 신뢰구간(예를 들면, 95%)을 벗어나면 비정상 트래픽으로 판단한다.Then, the classification unit 114 compares the number of flows classified for each protocol with statistical values previously stored in the statistics DB 200 to determine whether the traffic is abnormal. That is, when the number of flows classified for each protocol in the classification unit 114 is out of a predetermined confidence interval (for example, 95%) by comparing with a statistical value stored in the statistics DB 200, it is determined as abnormal traffic.

위와 같은 두 가지 판단 기준 중에서 어느 하나에 의해서 비정상으로 판단되면, 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 트래픽이 분산서비스거부 공격을 받는지 판단한다.If it is determined to be abnormal by any one of the above two criteria, it is determined whether the traffic is attacked by the distributed service denial by the ratio of the destination address of the abnormal protocol flow to the total traffic.

이를 위하여, 검사부(116)는 비정상으로 구분된 프로토콜 플로우의 목적지 주소를 구하고, 구해진 목적지 주소가 전체 트래픽의 기준비율 이상을 차지하는지 확인한다.To this end, the inspection unit 116 obtains a destination address of a protocol flow classified as abnormal, and checks whether the obtained destination address occupies more than a reference ratio of all traffic.

예를 들면, 비정상으로 구분된 프로토콜 플로우의 목적지 주소 중에서 상위 10개를 구하고, 상위 10개 중에 어느 하나라도 전체 트래픽의 90% 이상을 차지하면 트래픽이 분산서비스 거부공격을 받는 것으로 판단한다.For example, if the top 10 of the destination addresses of the protocol flows classified as abnormal are obtained, and any one of the top 10 accounts for more than 90% of the traffic, the traffic is determined to receive a distributed denial of service attack.

대응수단(120)은 검사부(116)에 의해서 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치(예를 들면, 10)에 트래픽 이동량 제한을 적용하여 관리한다. 이것은 목적지 주소를 기준으로 어느 호스트에서 트래픽이 출입되던 간에, 일정한 대역폭을 할당하기 위해서 네트워크 연결장치에 트래픽 이동량 제한을적용하는 것이다.The countermeasure unit 120 manages by applying a traffic movement limit to the corresponding network connection device (eg, 10) determined by the inspection unit 116 to be subjected to the distributed service denial attack. This imposes a traffic traffic limit on the network connection in order to allocate a certain amount of bandwidth to any host based on the destination address.

도 1에서는 설명의 편의를 위하여 하나의 네트워크 연결장치(10)에 트래픽 이동량 제한을 적용하는 경우를 도시하였으나, 대응수단(120)은 분산서비스거부 공격을 받는 것으로 구분된 모든 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리한다.Although FIG. 1 illustrates the case where the traffic movement limit is applied to one network connection device 10 for convenience of explanation, the countermeasure 120 has a traffic movement amount to all network connection devices classified as being subjected to a distributed service denial attack. Manage by applying restrictions.

대응수단(120)은 검사부(116)에서 구한 목적지 주소를 이용하여 해당 네트워크 연결장치에 대한 액세스 리스트를 작성하는 것이 바람직하다.The countermeasure unit 120 preferably uses the destination address obtained by the inspection unit 116 to prepare an access list for the network connection device.

도 2는 네트워크 트래픽에 대한 상태도이다.2 is a state diagram for network traffic.

정상상태는 트래픽이 정상적인 흐름을 가지고 있는 상태로서, 트래픽 이동량 제한이 적용되지 않는 상태이다. 비정상 상태는 트래픽이 비정상적인 흐름을 가지고 있는 상태로서, 트래픽 이동량 제한이 적용되는 상태이다.The steady state is a state in which traffic has a normal flow, and a traffic movement limit is not applied. An abnormal state is a state in which traffic has an abnormal flow, and a traffic movement limit is applied.

과도상태는 비정상 상태에서 정상상태로 넘어가기 위한 중간상태이다.The transient state is an intermediate state for transitioning from an abnormal state to a normal state.

비정상 트래픽이 미리 지정된 시간 이후에 검사부(116)에서 정상으로 판단되면, 대응수단(120)은 도 2와 같이 비정상 상태를 과도상태로 천이시킨다. 이것은 정상상태로 천이해도 되는지 검사하기 위한 것으로서, 대응수단(120)은 비정상 상태일 때 적용한 트래픽 이동량 제한을 계속 유지한다.If abnormal traffic is determined to be normal by the inspection unit 116 after a predetermined time, the countermeasure unit 120 transitions the abnormal state to the transient state as shown in FIG. This is to check whether the transition to the normal state may be performed, and the countermeasure unit 120 maintains the traffic movement amount limit applied in the abnormal state.

그리고, 과도상태 트래픽이 미리 지정된 시간 이후에 검사부(116)에서 다시 정상으로 판단되면, 대응수단(120)은 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제한다.And, if it is determined that the transient traffic is normal again by the inspection unit 116 after a predetermined time, the countermeasure unit 120 transitions the transient state to the normal state, and releases the restriction on the traffic movement amount applied to the network connection device.

만약, 과도상태 트래픽이 미리 지정된 시간 이후에 검사부(116)에서 비정상으로 판단되면, 대응수단(120)은 과도상태를 비정상 상태로 천이시킨다.If the transient traffic is determined to be abnormal by the inspection unit 116 after a predetermined time, the countermeasure unit 120 transitions the transient to an abnormal state.

한편, 분석부(118)는 분류부(114)에서 프로토콜별로 분류된 플로우 개수를 포함시켜 통계DB(200)에 저장된 통계값을 업데이트 한다.On the other hand, the analysis unit 118 updates the statistical values stored in the statistics DB 200 by including the number of flows classified for each protocol in the classification unit 114.

도 3은 본 발명에 따른 분산서비스거부 공격 대응방법의 일실시예를 나타낸 흐름도이다.3 is a flowchart illustrating an embodiment of a method for responding to a distributed service denial attack according to the present invention.

도 3을 참조하면, 본 발명은 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하는 단계(S300), 수집된 트래픽의 비정상 여부를 판단하는 단계(S310~S330), 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하는 단계(S340), 및 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 단계(S350)를 포함한다.Referring to FIG. 3, the present invention collects traffic information from one or more network connection devices connecting the network (S300), determining whether the collected traffic is abnormal (S310 to S330), and determines abnormal. Determining whether the traffic is subjected to a distributed service denial attack (S340), and applying a traffic movement limit to the network connection device determined to be subjected to a distributed service denial attack (S350).

그리고, 본 발명은 프로토콜별로 분류된 플로우 개수를 포함시켜 통계값을 업데이트하는 단계(S360)를 더 포함할 수 있다.The present invention may further include updating the statistical value by including the number of flows classified for each protocol (S360).

S310 단계는 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류한다.In step S310, the input interface index and the output interface index included in the traffic information are classified into inbound flows and outbound flows, respectively, by comparing whether they correspond to a predetermined inbound combination and outbound combination.

그리고, S320 단계는 트래픽 정보에 포함된 프로토콜 번호를 이용하여 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류한다.In step S320, the protocol number included in the traffic information is used to classify the protocols of the inbound flow and the outbound flow.

S330 단계는 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 기준비율 이상의 차이가 있으면 비정상으로판단한다. 또, 프로토콜별로 분류된 플로우 개수를 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단한다.In step S330, if there is a difference between the number of inbound protocol flows and the number of outbound protocol flows for each protocol by more than a reference ratio, it is determined to be abnormal. In addition, by comparing the number of flows classified for each protocol with a statistical value, it is determined to be abnormal when it is out of a predetermined confidence interval.

S340 단계는 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 트래픽이 분산서비스거부 공격을 받는지 판단한다.In step S340, the traffic is denied a distributed service denial attack at a ratio of the destination address of the abnormal protocol flow in the total traffic.

S350 단계는 비정상 트래픽이 미리 지정된 시간 이후에 정상으로 판단되면 비정상 상태를 과도상태로 천이시킨다. 그리고, 과도상태 트래픽이 미리 지정된 시간 이후에 다시 정상으로 판단되면 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제한다.In step S350, when the abnormal traffic is determined to be normal after a predetermined time, the abnormal state transitions to the transient state. If the transient traffic is determined to be normal again after a predetermined time, the transient state is shifted to the normal state, and the traffic movement amount applied to the network connection device is released.

만약, 과도상태 트래픽이 미리 지정된 시간 이후에 다시 비정상으로 판단되면, 과도상태를 비정상 상태로 천이시킨다.If the transient traffic is determined to be abnormal again after a predetermined time, the transient state transitions to an abnormal state.

이상과 같이 구성된 본 발명에서 분산서비스거부 공격 대응 시스템이 분산서비스거부 공격을 탐지하여 해당 네트워크 연결장치를 제어하는 과정을 도 1 내지 도 3을 참조하여 자세히 설명하면 다음과 같다.In the present invention configured as described above, a process of detecting a distributed service denial attack attack by controlling a network connection device by detecting a distributed service denial attack will be described in detail with reference to FIGS. 1 to 3.

수집부(112)는 네트워크 연결장치(10~30)로부터 트래픽 정보를 주기적으로 수집하고(S300), 분류부(114)는 수집부(112)에서 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류한다.Collector 112 periodically collects the traffic information from the network connection device (10 ~ 30) (S300), the classification unit 114 for each protocol of the inbound and outbound traffic information collected by the collection unit 112 Classify as a flow.

분류부(114)는 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여, 수집된 트래픽 정보를 인바운드 플로우와 아웃바운드 플로우로 각각 분류한다(S310).The classification unit 114 compares whether the input interface index and the output interface index included in the traffic information correspond to a predetermined inbound combination and outbound combination, and classifies the collected traffic information into inbound flow and outbound flow, respectively (S310). ).

그리고, 트래픽 정보에 포함된 프로토콜 번호를 이용하여 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 한 번 더 분류한다(S320).Then, using the protocol number included in the traffic information, classify once again for each protocol of the inbound flow and the outbound flow (S320).

검사부(116)는 분류부(114)에서 분류된 프로토콜별 플로우를 미리 설정한 기준비율 및 통계DB(200)에 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단한다(S330).The inspection unit 116 determines whether the traffic is abnormal by comparing the protocol-specific flows classified by the classification unit 114 with a preset reference ratio and statistical values stored in the statistics DB 200 (S330).

먼저, 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 기준비율 이상의 차이가 있는지 판단한다.First, for each protocol, it is determined whether the number of inbound protocol flows and the number of outbound protocol flows differ by more than a reference ratio.

동일한 프로토콜에 대하여 인바운드의 플로우 개수와 아웃바운드의 플로우 개수가 기준비율 이상 차이가 나면 비정상 트래픽으로 판단하고, 그렇지 않으면 정상 트래픽으로 판단한다.When the number of inbound flows and the number of outbound flows differ by more than a reference ratio for the same protocol, it is determined as abnormal traffic, otherwise it is determined as normal traffic.

그리고, 분류부(114)에서 프로토콜별로 분류된 플로우 개수를 통계DB(200)에 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단한다. 프로토콜별로 분류된 플로우 개수가 통계DB(200)에 저장된 통계값과 비교하여 기설정된 신뢰구간(예를 들면, 95%)을 벗어나면 비정상 트래픽으로 판단한다.Then, the classification unit 114 compares the number of flows classified for each protocol with statistical values previously stored in the statistics DB 200 to determine whether the traffic is abnormal. When the number of flows classified by protocol is out of a predetermined confidence interval (for example, 95%) by comparing with a statistical value stored in the statistics DB 200, it is determined as abnormal traffic.

위와 같은 두 가지 판단 기준 중에서 어느 하나에 의해서 비정상으로 판단되면, 검사부(116)는 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 트래픽이 분산서비스거부 공격을 받는지 판단한다(S340).If it is determined as abnormal by any one of the above two criteria, the inspection unit 116 determines whether the traffic is subjected to the distributed service denial attack at a ratio of the destination address of the abnormal protocol flow in the total traffic (S340).

대응수단(120)은 검사부(116)에 의해서 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치(예를 들면, 10)에 트래픽 이동량 제한을 적용하여 관리한다(S350).The countermeasure unit 120 manages by applying a traffic movement limit to the corresponding network connection device (eg, 10) determined by the inspection unit 116 to be subjected to the distributed service denial attack (S350).

미리 지정된 시간 이후에 비정상 트래픽이 검사부(116)에서 정상으로 판단되면, 대응수단(120)은 비정상 상태를 과도상태로 천이시킨다.If abnormal traffic is determined to be normal by the inspection unit 116 after a predetermined time, the countermeasure unit 120 transitions the abnormal state to a transient state.

그리고, 과도상태 트래픽이 미리 지정된 시간 이후에 검사부(116)에서 다시 정상으로 판단되면, 대응수단(120)은 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치(10)에 적용된 트래픽 이동량 제한을 해제한다.Then, if the transient traffic is determined to be normal again by the inspection unit 116 after a predetermined time, the countermeasure unit 120 transitions the transient state to the normal state, and limits the amount of traffic movement applied to the corresponding network connection device 10. Release it.

만약, 과도상태 트래픽이 미리 지정된 시간 이후에 검사부(116)에서 다시 비정상으로 확인되면, 대응수단(120)은 과도상태를 비정상 상태로 천이시킨다.If the transient traffic is confirmed to be abnormal again by the inspection unit 116 after a predetermined time, the countermeasure unit 120 transitions the transient state to an abnormal state.

한편, 분석부(118)는 분류부(114)에서 프로토콜별로 분류된 플로우 개수를 포함시켜 통계DB(200)에 저장된 통계값을 업데이트 한다(S360).On the other hand, the analysis unit 118 updates the statistical value stored in the statistics DB 200 by including the number of flows classified for each protocol in the classification unit 114 (S360).

이상의 본 발명은 상기에 기술된 실시예들에 의해 한정되지 않고, 당업자들에 의해 다양한 변형 및 변경을 가져올 수 있으며, 이는 첨부된 청구항에서 정의되는 본 발명의 취지와 범위에 포함된다.The present invention is not limited to the embodiments described above, and various modifications and changes can be made by those skilled in the art, which are included in the spirit and scope of the present invention as defined in the appended claims.

이상에서 살펴본 바와 같이 본 발명은, 네트워크 연결장치에 유입 또는 유출되는 넷플로우를 분석하여 분산서비스거부 공격을 탐지하고 비정상 트래픽을 제어할 수 있다.As described above, the present invention may analyze a netflow flowing into or out of a network connection device to detect a distributed service denial attack and control abnormal traffic.

그리고, 분산서비스거부 공격을 중간단계인 백본에서 근원적으로 차단하여 시스템 파괴 및 네트워크 자원손실에 대응할 수 있고, 시스템의 안전한 작동을 보장할 수 있다.In addition, the distributed service denial attack can be fundamentally blocked from the intermediate backbone to cope with system destruction and network resource loss, and ensure the safe operation of the system.

또, 해당 네트워크를 분산서비스거부 공격으로부터 저지할 수 있기 때문에,단위 네트워크마다의 보안을 통하여 다양한 해킹을 막을 수 있는 이점 등이 있다.In addition, since the network can be prevented from a distributed service denial attack, various hacking can be prevented through security for each unit network.

Claims (27)

트래픽 통계값을 저장한 통계DB;A statistics DB for storing traffic statistics; 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하여 비정상 여부를 판단하고, 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하여, 분산서비스거부 공격을 받는 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하는 대응서버를 포함하는 분산서비스거부 공격 대응 시스템.Traffic information is collected from one or more network connection devices connecting the network to determine whether it is abnormal, and whether the traffic determined to be abnormal is subjected to a distributed service denial attack. Distributed service denial attack response system including a response server to apply the movement limit. 제 1항에 있어서, 상기 네트워크 연결장치는 라우터인 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.The distributed service denial attack response system according to claim 1, wherein the network connection device is a router. 제 1항 또는 제 2항에 있어서, 상기 대응서버는The method of claim 1 or 2, wherein the corresponding server 상기 네트워크 연결장치로부터 트래픽 정보를 수집하고, 상기 수집한 트래픽을 미리 설정한 기준비율 및 상기 통계값과 비교하여 비정상 여부를 판단하고, 상기 트래픽이 비정상으로 판단되면 분산서비스거부 공격을 받는지 판단하는 탐지수단; 및Collects traffic information from the network connection device, compares the collected traffic with a preset reference ratio and the statistical value, and determines whether the traffic is abnormal, and if the traffic is abnormal, detects whether a distributed service denial attack is received. Way; And 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 대응수단을 포함하는 분산서비스거부 공격 대응 시스템.Distributed service denial attack response system comprising a countermeasure for applying the traffic movement limit to the network connection device determined to be subjected to a distributed service denial attack. 제 3항에 있어서, 상기 탐지수단은The method of claim 3, wherein the detecting means 상기 네트워크 연결장치로부터 트래픽 정보를 수집하는 수집부;Collecting unit for collecting traffic information from the network connection device; 상기 수집부에서 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 분류부; 및A classification unit classifying the traffic information collected by the collection unit into flows for each protocol of inbound and outbound; And 상기 분류부에서 분류된 프로토콜별 플로우 개수를 상기 기준비율 및 상기 통계값과 비교하여 트래픽의 비정상 여부를 판단하고, 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 검사부를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.By comparing the number of flows for each protocol classified by the classification unit with the reference ratio and the statistical value, it is determined whether the traffic is abnormal or not, and the traffic is subjected to the distributed service denial attack in the ratio of the destination address of the abnormal protocol flow to the total traffic. Distributed service rejection attack response system, characterized in that it comprises a check unit for determining whether to receive. 제 4항에 있어서, 상기 분류부는The method of claim 4, wherein the classification unit 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.And comparing the input interface index and the output interface index included in the traffic information to a predetermined inbound combination and outbound combination, and classifying them into inbound flow and outbound flow, respectively. 제 5항에 있어서, 상기 분류부는The method of claim 5, wherein the classification unit 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.Distributed service denial attack response system, characterized in that the classification by the protocol of the inbound flow and the outbound flow using the protocol number included in the traffic information. 제 4항에 있어서, 상기 검사부는The method of claim 4, wherein the inspection unit 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.Distributed service denial attack response system for each protocol characterized in that it is determined that the number of inbound protocol flows and the number of outbound protocol flows is more than the reference ratio. 제 4항에 있어서, 상기 검사부는The method of claim 4, wherein the inspection unit 상기 분류부에서 프로토콜별로 분류된 플로우 개수를 상기 통계DB에 저장된 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.The classification unit compares the number of flows classified for each protocol with the statistical values stored in the statistics DB, and determines abnormality when it is out of a predetermined confidence interval. 제 4항에 있어서, 상기 대응수단은The method of claim 4, wherein the corresponding means 미리 지정된 시간 이후에 상기 검사부에서 상기 비정상 트래픽이 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키고, 미리 지정된 시간 이후에 상기 검사부에서 상기 과도상태 트래픽이 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.After the predetermined time, if the abnormal traffic is determined to be normal by the inspection unit, the abnormal state is transitioned to a transient state, and after the predetermined time, when the transient traffic is determined to be normal again, the transient state is normal. A system for countering a denial of service attack, comprising: transitioning to a network; 제 9항에 있어서, 상기 대응수단은The method of claim 9, wherein the corresponding means 미리 지정된 시간 이후에 상기 검사부에서 상기 과도상태 트래픽이 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.If the inspection unit determines that the transient traffic is abnormal again after a predetermined time, the distributed service rejection attack response system, characterized in that for transition to the abnormal state. 제 4항에 있어서, 상기 탐지수단은The method of claim 4, wherein the detection means 상기 분류부에서 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계DB에 저장된 통계값을 업데이트하는 분석부를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템.The classification unit further includes an analysis unit including the number of flows classified for each protocol to update the statistical value stored in the statistics DB. (a) 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하는 단계;(a) collecting traffic information from one or more network connection devices connecting the network; (b) 상기 수집된 트래픽의 비정상 여부를 판단하는 단계;(b) determining whether the collected traffic is abnormal; (c) 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하는 단계; 및(c) determining whether the traffic determined to be abnormal is subjected to a distributed service denial attack; And (d) 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 단계를 포함하는 분산서비스거부 공격 대응방법.(d) Distributed service denial of service attack response method comprising the step of applying the traffic traffic restrictions to the network connection device determined to be subjected to a distributed service denial of attack. 제 12항에 있어서, 상기 (b)단계는The method of claim 12, wherein step (b) (b1) 상기 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 단계; 및(b1) classifying the collected traffic information into inbound and outbound protocol specific flows; And (b2) 분류된 프로토콜별 플로우 개수를 미리 설정한 기준비율 및 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법.(b2) comparing the classified number of flows for each protocol with a preset reference ratio and a pre-stored statistical value to determine whether the traffic is abnormal. 제 13항에 있어서, 상기 (b1)단계는The method of claim 13, wherein step (b1) (b11) 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 단계; 및(b11) classifying the input interface index and the output interface index included in the traffic information into inbound and outbound flows, respectively, by comparing whether they correspond to a predetermined inbound and outbound combination; And (b12) 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법.and (b12) classifying each protocol according to the inbound flow and the outbound flow by using the protocol number included in the traffic information. 제 13항에 있어서, 상기 (b2)단계는The method of claim 13, wherein step (b2) (b21) 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 단계; 및(b21) determining an abnormality if the number of inbound protocol flows and the number of outbound protocol flows for each protocol differ by more than the reference ratio; And (b22) 프로토콜별로 분류된 플로우 개수를 상기 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법.and (b22) comparing the number of flows classified for each protocol with the statistical value and determining abnormality when it is out of a predetermined confidence interval. 제 12항에 있어서, 상기 (c)단계는The method of claim 12, wherein step (c) 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응방법.Distributed service denial attack response method characterized in that it determines whether the traffic is subjected to a distributed service denial attack in the ratio of the destination address of the abnormal protocol flow in the total traffic. 제 12항에 있어서, 상기 (d)단계는The method of claim 12, wherein step (d) (d1) 상기 (c)단계에서 상기 비정상 트래픽이 미리 지정된 시간 이후에 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키는 단계; 및(d1) transitioning the abnormal state to a transient state if it is determined that the abnormal traffic is normal after a predetermined time in step (c); And (d2) 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법.(d2) if the transient traffic is determined to be normal again after a predetermined time, transitioning the transient state to a normal state and releasing a restriction on the amount of traffic movement applied to the network connection device. Countermeasures to Deny Attacks. 제 17항에 있어서, 상기 (d1)단계는The method of claim 17, wherein step (d1) 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 분산서비스거부 공격 대응방법.If the transient traffic is determined to be abnormal again after a predetermined time, the distributed service rejection attack response method, characterized in that for transition to the abnormal state. 제 12항 내지 제 18항 중 어느 한 항에 있어서,The method according to any one of claims 12 to 18, 상기 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계값을 업데이트하는 (e)단계를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법.And (e) updating the statistical value by including the number of flows classified for each protocol. (a) 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하는 프로세스;(a) a process of collecting traffic information from one or more network connection devices connecting the network; (b) 상기 수집된 트래픽의 비정상 여부를 판단하는 프로세스;(b) determining whether the collected traffic is abnormal; (c) 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하는 프로세스; 및(c) determining whether the traffic determined to be abnormal is subjected to a distributed service denial attack; And (d) 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 프로세스를 포함하는 분산서비스거부 공격 대응 프로그램을 기록한 기록매체.(d) a recording medium recording a distributed denial of service attack response program including a process of applying and managing traffic movement restriction to a corresponding network connection device determined to be subjected to a distributed denial of service attack. 제 20항에 있어서, 상기 (b)프로세스는The process of claim 20, wherein (b) (b1) 상기 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 프로세스; 및(b1) classifying the collected traffic information into inbound and outbound protocol specific flows; And (b2) 분류된 프로토콜별 플로우 개수를 미리 설정한 기준비율 및 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단하는 프로세스를 포함하는 것을 특징으로 하는 기록매체.and (b2) a process of determining whether the traffic is abnormal by comparing the number of classified flows for each protocol with a preset reference ratio and previously stored statistical values. 제 21항에 있어서, 상기 (b1)프로세스는The process of claim 21, wherein the process (b1) (b11) 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 프로세스; 및(b11) comparing the input interface index and the output interface index included in the traffic information with a predetermined inbound combination and an outbound combination to classify each into an inbound flow and an outbound flow; And (b12) 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 프로세스를 포함하는 것을 특징으로 하는 기록매체.and (b12) classifying the protocols of the inbound flow and the outbound flow by using the protocol number included in the traffic information. 제 21항에 있어서, 상기 (b2)프로세스는The process of claim 21, wherein (b2) (b21) 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 프로세스; 및(b21) determining that the number of inbound protocol flows and the number of outbound protocol flows are abnormal for each protocol when there is a difference of more than the reference ratio; And (b22) 프로토콜별로 분류된 플로우 개수를 상기 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 프로세스를 포함하는 것을 특징으로 하는 기록매체.and (b22) comparing the number of flows classified by protocol with the statistical value and determining that the flow is abnormal when out of a predetermined confidence interval. 제 20항에 있어서, 상기 (c)프로세스는The process of claim 20, wherein the process (c) 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 것을 특징으로 하는 기록매체.And determining whether the traffic is subject to a distributed denial of service attack by the ratio of the destination address of the abnormal protocol flow to the total traffic. 제 20항에 있어서, 상기 (d)프로세스는The process of claim 20, wherein the process (d) (d1) 상기 (c)프로세스에서 상기 비정상 트래픽이 미리 지정된 시간 이후에 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키는 프로세스; 및(d1) a process of transitioning the abnormal state to a transient state if it is determined that the abnormal traffic is normal after a predetermined time in the process (c); And (d2) 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 프로세스를 포함하는 것을 특징으로 하는 기록매체.and (d2) if the transient traffic is determined to be normal again after a predetermined time, transitioning the transient state to a normal state and releasing a restriction on the amount of traffic movement applied to the network connection device. . 제 25항에 있어서, 상기 (d1)프로세스는The process of claim 25, wherein the (d1) process is 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 기록매체.And if the transient traffic is determined to be abnormal again after a predetermined time, transitioning the transient state to an abnormal state. 제 20항 내지 제 26항 중 어느 한 항에 있어서,The method according to any one of claims 20 to 26, 상기 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계값을 업데이트하는 (e)프로세스를 더 포함하는 것을 특징으로 하는 기록매체.And (e) a process of updating the statistical value by including the number of flows classified for each protocol.
KR10-2002-0083895A 2002-12-26 2002-12-26 System and method for protecting from ddos, and storage media having program thereof KR100479202B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0083895A KR100479202B1 (en) 2002-12-26 2002-12-26 System and method for protecting from ddos, and storage media having program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0083895A KR100479202B1 (en) 2002-12-26 2002-12-26 System and method for protecting from ddos, and storage media having program thereof

Publications (2)

Publication Number Publication Date
KR20040057257A true KR20040057257A (en) 2004-07-02
KR100479202B1 KR100479202B1 (en) 2005-03-28

Family

ID=37349854

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0083895A KR100479202B1 (en) 2002-12-26 2002-12-26 System and method for protecting from ddos, and storage media having program thereof

Country Status (1)

Country Link
KR (1) KR100479202B1 (en)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100617310B1 (en) * 2004-09-25 2006-08-30 한국전자통신연구원 Apparatus for detecting abnormality of traffic in network and method thereof
KR100773006B1 (en) * 2004-07-09 2007-11-05 인터내셔널 비지네스 머신즈 코포레이션 A METHOD OF IDENTIFYING A DISTRIBUTED DENIAL OF SERVICEDDoS ATTACK WITHIN A NETWORK AND DEFENDING AGAINST SUCH AN ATTACK
WO2009051915A1 (en) * 2007-10-12 2009-04-23 Microsoft Corporation Active learning using a discriminative classifier and a generative model to detect and/or prevent malicious behavior
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
KR100950900B1 (en) * 2007-11-12 2010-04-06 주식회사 안철수연구소 Protection Method and System for Distributed Denial of Service Attack
WO2011013947A2 (en) * 2009-07-27 2011-02-03 (주)잉카인터넷 Distributed denial of service attack blocking system and method
WO2011034338A2 (en) * 2009-09-21 2011-03-24 주식회사 안철수연구소 Apparatus and method for monitoring packets, and apparatus and method for managing altered data
KR101036750B1 (en) * 2011-01-04 2011-05-23 주식회사 엔피코어 System for blocking zombie behavior and method for the same
KR101107739B1 (en) * 2010-08-03 2012-01-20 한국인터넷진흥원 Detection system for abnormal traffic in voip network and method for detecting the same
KR101135437B1 (en) * 2009-07-27 2012-04-13 주식회사 잉카인터넷 protecting system and method of DDoS attack
KR101230919B1 (en) * 2011-03-21 2013-02-07 에스케이브로드밴드주식회사 Distributed denial of service attack auto protection system and method
WO2014038737A1 (en) * 2012-09-07 2014-03-13 에스케이텔레콤 주식회사 Network traffic management system using monitoring policy and filtering policy, and method thereof
KR20150134717A (en) 2014-05-22 2015-12-02 엔트릭스 주식회사 System for servicing cloud streaming, method of servicing cloud streaming and server for the same
US9467360B2 (en) 2011-06-27 2016-10-11 Sk Telecom Co., Ltd. System, device and method for managing network traffic by using monitoring and filtering policies
CN117596079A (en) * 2024-01-18 2024-02-23 北京安博通科技股份有限公司 Distributed denial of service attack detection method, device, electronic equipment and medium

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101574193B1 (en) 2010-12-13 2015-12-11 한국전자통신연구원 Apparatus and method for defending DDoS attack
KR20120136507A (en) 2011-06-09 2012-12-20 삼성전자주식회사 Node apparatus and method that prevent overflow of pending interest table in network system of name base
KR101326804B1 (en) 2012-11-19 2013-11-11 서울대학교산학협력단 Distributed denial of service detection method and system

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100773006B1 (en) * 2004-07-09 2007-11-05 인터내셔널 비지네스 머신즈 코포레이션 A METHOD OF IDENTIFYING A DISTRIBUTED DENIAL OF SERVICEDDoS ATTACK WITHIN A NETWORK AND DEFENDING AGAINST SUCH AN ATTACK
KR100617310B1 (en) * 2004-09-25 2006-08-30 한국전자통신연구원 Apparatus for detecting abnormality of traffic in network and method thereof
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
WO2009051915A1 (en) * 2007-10-12 2009-04-23 Microsoft Corporation Active learning using a discriminative classifier and a generative model to detect and/or prevent malicious behavior
KR100950900B1 (en) * 2007-11-12 2010-04-06 주식회사 안철수연구소 Protection Method and System for Distributed Denial of Service Attack
KR101135437B1 (en) * 2009-07-27 2012-04-13 주식회사 잉카인터넷 protecting system and method of DDoS attack
WO2011013947A3 (en) * 2009-07-27 2011-04-21 (주)잉카인터넷 Distributed denial of service attack blocking system and method
WO2011013947A2 (en) * 2009-07-27 2011-02-03 (주)잉카인터넷 Distributed denial of service attack blocking system and method
WO2011034338A2 (en) * 2009-09-21 2011-03-24 주식회사 안철수연구소 Apparatus and method for monitoring packets, and apparatus and method for managing altered data
WO2011034338A3 (en) * 2009-09-21 2011-08-04 주식회사 안철수연구소 Apparatus and method for monitoring packets, and apparatus and method for managing altered data
KR101066209B1 (en) * 2009-09-21 2011-09-20 주식회사 안철수연구소 Packet monitering apparatus and its method, recording medium having computer program recorded, and forgery data management apparatus and its method
KR101107739B1 (en) * 2010-08-03 2012-01-20 한국인터넷진흥원 Detection system for abnormal traffic in voip network and method for detecting the same
KR101036750B1 (en) * 2011-01-04 2011-05-23 주식회사 엔피코어 System for blocking zombie behavior and method for the same
KR101230919B1 (en) * 2011-03-21 2013-02-07 에스케이브로드밴드주식회사 Distributed denial of service attack auto protection system and method
US9467360B2 (en) 2011-06-27 2016-10-11 Sk Telecom Co., Ltd. System, device and method for managing network traffic by using monitoring and filtering policies
WO2014038737A1 (en) * 2012-09-07 2014-03-13 에스케이텔레콤 주식회사 Network traffic management system using monitoring policy and filtering policy, and method thereof
KR20150134717A (en) 2014-05-22 2015-12-02 엔트릭스 주식회사 System for servicing cloud streaming, method of servicing cloud streaming and server for the same
CN117596079A (en) * 2024-01-18 2024-02-23 北京安博通科技股份有限公司 Distributed denial of service attack detection method, device, electronic equipment and medium

Also Published As

Publication number Publication date
KR100479202B1 (en) 2005-03-28

Similar Documents

Publication Publication Date Title
KR100479202B1 (en) System and method for protecting from ddos, and storage media having program thereof
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
US8122494B2 (en) Apparatus and method of securing network
US8438241B2 (en) Detecting and protecting against worm traffic on a network
Zou et al. Monitoring and early warning for internet worms
US7624447B1 (en) Using threshold lists for worm detection
US7835348B2 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
CN101803305B (en) Network monitoring device, network monitoring method, and network monitoring program
US20150067764A1 (en) Whitelist-based network switch
US20020107953A1 (en) Method and device for monitoring data traffic and preventing unauthorized access to a network
RU2480937C2 (en) System and method of reducing false responses when detecting network attack
US7773507B1 (en) Automatic tiered services based on network conditions
US9253153B2 (en) Anti-cyber hacking defense system
US20200274902A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
EP1595193B1 (en) Detecting and protecting against worm traffic on a network
KR20010079361A (en) Apparatus for firewall of network status based Method thereof
KR101074198B1 (en) Method and system for isolating the harmful traffic generating host from the network
Dressler et al. Attack detection using cooperating autonomous detection systems (CATS)
KR20060044050A (en) Security policy management method and apparatus of secure router system
Cisco Working With Sensor Signatures
KR100456637B1 (en) Network security service system including a classifier based on blacklist
KR100862321B1 (en) Method and apparatus for detecting and blocking network attack without attack signature
TWM504990U (en) System for guarding against on network
JP7366320B1 (en) Information processing system, information processing method, and information processing program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111228

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee