KR20050002542A - The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway - Google Patents

The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway Download PDF

Info

Publication number
KR20050002542A
KR20050002542A KR1020030043923A KR20030043923A KR20050002542A KR 20050002542 A KR20050002542 A KR 20050002542A KR 1020030043923 A KR1020030043923 A KR 1020030043923A KR 20030043923 A KR20030043923 A KR 20030043923A KR 20050002542 A KR20050002542 A KR 20050002542A
Authority
KR
South Korea
Prior art keywords
subscriber
traffic
call
received
packet
Prior art date
Application number
KR1020030043923A
Other languages
Korean (ko)
Inventor
최창효
박준우
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020030043923A priority Critical patent/KR20050002542A/en
Publication of KR20050002542A publication Critical patent/KR20050002542A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A method for cutting off a DOS(Denial Of Service) attack in an NGN(Next Generation Network) is provided to determine different time threshold values by subscriber feature, and to store the determined time threshold values to cut off traffic when a lot of traffic received from a subscriber enters within the time threshold values, thereby cutting off DOS attack-type traffic. CONSTITUTION: An attack traffic cutoff manager checks information on each subscriber, and perceives subscriber features(S310). The cutoff manager sets threshold values according to each subscriber packet and each call(S320). The cutoff manager supplies the set threshold values of each subscriber to access gateways which take charge of the subscribers(S330). Each access gateway stores threshold value information on self subscribers, calculates statistics, and manages the threshold value information(S340).

Description

NGN망에서 서비스거부공격 차단 방법 {The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway}{The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway}

본 발명은 NGN(Next Generation Network)에 관한 것으로, 특히, 악의적 공격자로부터의 서비스거부공격(DOS; Denial Of Service)을 차단하는 방법에 관한 것이다.The present invention relates to Next Generation Network (NGN), and more particularly, to a method of blocking denial of service (DOS) from a malicious attacker.

상기 서비스거부공격(이하 'DOS 공격'이라 한다)은 공격 목표 호스트로 대량의 트래픽을 발생시켜 대상 호스트의 네트웍 서비스 기능을 일시적 또는 완전히 정지시키는 것을 말하며, 상기 트래픽은 NGN의 전달망(bearer channel)의 패킷 트래픽과 신호망(signaling channel)의 호 트래픽으로 구분된다.The denial of service attack (hereinafter referred to as 'DOS attack') refers to generating a large amount of traffic to the target host to temporarily or completely stop the network service function of the target host, and the traffic is transmitted to the bearer channel of the NGN. It is divided into packet traffic and call traffic of a signaling channel.

최근 인터넷이 대중화되고 인터넷을 통한 전자상거래 등의 서비스가 확산됨에 따라 보안 문제의 중요성이 높아지고 있다. 이러한 보안 문제를 해결하기 위해 침입탐지 시스템과 침입차단 시스템이 개발되었다.Recently, as the Internet is popularized and services such as electronic commerce through the Internet are spreading, the importance of security issues is increasing. Intrusion detection systems and intrusion prevention systems have been developed to solve these security problems.

침입탐지 시스템과 침입차단 시스템은 효과적으로 전자적 침해 행위를 탐지하고 차단할수 있는 시스템으로서, 가입자 네트웍과 공중망 네트웍의 접속점 혹은 가입자 네트웍 내부에 설치하여 입출력되는 트래픽의 이상을 검출하고 이상 트래픽의 침해를 차단한다.Intrusion detection system and intrusion blocking system are effective systems to detect and block electronic infringement behaviors. They are installed inside subscriber networks and public networks or inside subscriber networks to detect abnormalities of input / output traffic and block intrusion of abnormal traffic. .

그러나, 대부분의 회사와 가입자는 영세하여 상기 보안 장치를 구비하지 못하거나 그 밖의 여러 가지 이유로 보안 전담 인력을 운영하지 못하고 있다. 더욱이 보안인력을 운용한다고 하더라도 전문 인력이 아닌 경우가 대부분이기 때문에 고도의 보안 서비스를 유지하거나 새로운 해킹 방법에 대한 대응이 어려운 실정이다.However, most companies and subscribers are so small that they are not equipped with the security device or otherwise have no dedicated security personnel. Moreover, even if security personnel are operated, most of them are not skilled workers, so it is difficult to maintain high security services or respond to new hacking methods.

따라서, 통신사업자는 영세 회사 또는 가입자를 대행하여 보안 기능을 제공할 필요성이 높아졌고, DOS 공격에 의해 자체 네트웍 트래픽이 폭주할 가능성에 대비하여 통신 사업자 자체적인 측면에서도 이에 대한 차단의 필요성이 높아지고 있다.As a result, service providers need to provide security functions on behalf of small companies or subscribers, and the need for blocking on the service providers' own side is increasing in preparation for the possibility of congestion of their network traffic by DOS attacks. .

현재, NGN에서는 전달망 트래픽 혹은 신호망 트래픽의 DOS 공격에 대한 보안에 대해서 별다른 방법이 제시되어 있지 않다. 그런데, NGN 단말은 자동으로 대량의 호를 발생하거나 트래픽을 발생하여 소프트스위치를 마비시키거나 네트웍을 폭주할 수 있으므로, NGN망은 DOS 공격에 대한 차단 대책이 절실한 실정이다.At present, NGN does not provide any method for security against DOS attack of transport network signal or signaling network traffic. However, since the NGN terminal can automatically generate a large number of calls or generate traffic to paralyze the soft switch or congest the network, the NGN network is in urgent need of blocking measures against DOS attacks.

본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 악의적 공격자로부터 가해지는 DOS 공격을 차단하는 것을 목적으로 한다. 또한, 본 발명은 별도의 장치를 NGN망에 구비하지 않고도 저렴한 망 구축 비용으로 DOS 공격을 차단하는 것을 목적으로 한다.The present invention has been made to solve the above-mentioned conventional problems, and an object thereof is to block DOS attacks from malicious attackers. In addition, an object of the present invention is to block DOS attack at low network construction cost without having a separate device in the NGN network.

도 1은 일반적인 NGN 망의 구성도.1 is a block diagram of a general NGN network.

도 2는 본 발명의 실시예에 따른 NGN 망의 구성을 보인 간략도.2 is a simplified diagram showing the configuration of an NGN network according to an embodiment of the present invention.

도 3은 본 발명의 실시예에 따른 공격트래픽 차단관리부의 동작을 보인 순서도.Figure 3 is a flow chart showing the operation of the attack traffic blocking management unit according to an embodiment of the present invention.

도 4는 본 발명의 실시예에 따른 이상트래픽 차단부의 동작을 보인 순서도.Figure 4 is a flow chart showing the operation of the abnormal traffic blocking unit according to an embodiment of the present invention.

상기한 기술적 과제를 달성하기 위한 본 발명은 별도의 보안차단 장치를 도입하면 많은 비용이 소요되므로, 별도의 보안차단 장치를 구비하지 않고 기존의 NGN망 구성을 이용하여 DOS 공격을 차단하는 것에 그 특징이 있다.The present invention for achieving the above technical problem is expensive to introduce a separate security block device, it is characterized by blocking the DOS attack using the existing NGN network configuration without having a separate security block device There is this.

본 발명은 상기 특징을 위해 NGN에서 가입자 액세스 단의 접속 장비인 액세스 GW(access GateWay) 또는 미디어 GW(media GateWay)에 DOS 공격을 감지하고 차단하는 기능을 가지도록 설계한다. 즉, 본 발명은 정상 가입자인지 악의적 공격자인지를 분별할 수 있도록 전달망의 패킷 발생과 신호망의 호 발생 트래픽의 량들에 대한 각각의 트래픽 문턱치를 액세스 GW(또는 미디어 GW)에 설정한다.The present invention is designed to have a function of detecting and blocking a DOS attack on the access GW (media GateWay) or media GW (media GateWay) that is the access equipment of the subscriber access stage in the NGN. That is, the present invention sets each traffic threshold for the amount of packet generation in the transmission network and the amount of call generation traffic in the signaling network to the access GW (or media GW) so as to discriminate whether it is a normal subscriber or a malicious attacker.

이때, 본 발명은 가입자별 특징(일예로, 개인 가입자와 대용량 서버를 사용하는 가입자의 특징)에 따라 발생되는 트래픽의 양이 다르므로 이를 고려하여 트래픽 문턱치를 차별적으로 적용하며, 시간대별로도 트래픽의 양이 달라지므로 시간대별로 트래픽 문턱치를 차별적으로 적용시키는 것을 기본으로 한다. 즉, 본 발명은 가입자별(또는 그룹별), 시간대별로 트래픽 문턱치를 차별적으로 적용시킨다.In this case, since the amount of traffic generated according to the characteristics of each subscriber (for example, the characteristics of individual subscribers and subscribers using a large capacity server) is different, the traffic thresholds are differentially applied in consideration of this. Since the amount is different, the traffic thresholds are applied differently according to time slots. That is, the present invention differentially applies traffic thresholds by subscriber (or group) and by time zone.

따라서, 상기한 기술적 과제를 달성하기 위한 본 발명은 가입자 단말에 연결된 액세스 GW(또는 미디어 GW)를 포함하는 NGN망에서의 서비스거부공격 차단 방법에 있어서, NGN망 사용 형태에 따라 가입자를 다수의 그룹으로 분류하는 제1 단계, 분류한 그룹별로 트래픽에 대한 서로 다른 시간 문턱치를 설정하고 설정한 시간 문턱치를 적어도 해당 가입자가 연결된 각 액세스 GW에 제공하는 제2 단계, 및 상기 각 액세스 GW는 수신되는 패킷에 포함된 IP를 통해 가입자를 확인한 후 확인한 가입자의 트래픽에 대한 시간 문턱치를 2회 이상 중복하여 수신되는 트래픽의 수신 시간 간격에 적용시켜 2회 이상 수신된 트래픽에 대한 차단 여부를 결정하는 제3 단계를 포함한다.Accordingly, the present invention for achieving the above technical problem is a method for blocking denial of service attacks in the NGN network including an access GW (or media GW) connected to the subscriber terminal, the number of subscribers according to the NGN network usage type A second step of classifying, a second step of setting different time thresholds for traffic for each classified group and providing the set time thresholds to at least each access GW to which the corresponding subscriber is connected, and wherein each access GW is a received packet A third step of determining whether to block the traffic received two or more times by identifying the subscriber through the IP included in and applying the time threshold for the checked traffic to the reception time interval of the received traffic two or more times It includes.

상기 트래픽은 패킷 또는 호인 것이 양호하다.The traffic is preferably a packet or call.

이하, 첨부한 도면을 참조로 하여 본 발명의 실시예에 따른 NGN망에서 서비스거부공격 차단 방법을 설명한다.Hereinafter, a method of blocking service denial attack in an NGN network according to an embodiment of the present invention will be described with reference to the accompanying drawings.

도 1은 일반적인 NGN 망의 구성도이다.1 is a block diagram of a general NGN network.

도 1에 도시된 바와 같이, NGN 망은 호를 담당하는 소프트스위치(Softswitch)(11), 각종 가입자 단말을 수용하여 소프트스위치(11)와의 연결을 위한 프로토콜 처리 및 미디어 변환 등을 담당하는 각종 게이트웨이(12, 13, 14), 이들 가입자에게 다양한 서비스를 제공하는 응용서버(15), 이들 요소간 정보를 전달하기 위한 백본 전달망(16), 그리고 다양한 가입자 서비스에 필요한 자원을 저장 및 제공하는 미디어 서버(17)를 포함한다. 그리고, 액세스 GW(12)는 NGN 가입자 단말을 패킷 전달망과 연결한다. 여기서, 액세스 GW(12) 위치에 미디어 GW가 위치할 수 있다. 상기와 같이 구성된 NGN 망에서 단말은 NGN 망에 접속하기위해서는 우선적으로 가입자측에 설치된 액세스 GW(12)를 통해 NGN 망에 접속하게 된다.As shown in FIG. 1, the NGN network includes a softswitch 11 that is in charge of a call, various gateways that receive various subscriber stations and perform protocol processing and media conversion for connection with the softswitch 11. (12, 13, 14), an application server 15 providing various services to these subscribers, a backbone delivery network 16 for transferring information between these elements, and a media server storing and providing resources necessary for various subscriber services. (17). The access GW 12 then connects the NGN subscriber station with the packet delivery network. Here, the media GW may be located at the access GW 12 location. In the NGN network configured as described above, in order to access the NGN network, the terminal first accesses the NGN network through an access GW 12 installed at the subscriber side.

본 발명은 상기 도 1과 같이 구성된 NGN 망에서 DOS/DDOS 공격을 방지하기 위해 도 2에 도시된 바와 같이 NGN 망을 구성한다.The present invention configures the NGN network as shown in FIG. 2 to prevent DOS / DDOS attacks in the NGN network configured as shown in FIG. 1.

도 2는 본 발명의 실시예에 따른 NGN 망의 구성을 보인 간략도로서, 본 발명을 달성하기 위해 변형되는 구성만을 기준으로 도시한 구성이다.Figure 2 is a simplified view showing the configuration of the NGN network according to an embodiment of the present invention, the configuration shown only based on the configuration that is modified to achieve the present invention.

도 2에 도시된 바와 같이, 본 발명을 위한 NGN망은 동일한 기능을 수행하는 복수의 액세스 GW(AG)에 이상트래픽 차단부(100)를 내장시킨다. 상기 각 액세스 GW(AG)의 이상트래픽 차단부(100)는 모두 동일한 기능을 하므로, 동일한 인용부호로 기재하였다.As shown in FIG. 2, the NGN network for the present invention incorporates the abnormal traffic blocking unit 100 in a plurality of access GWs (AGs) that perform the same function. Since the abnormal traffic blocking unit 100 of each of the access GW (AG) all have the same function, it is described with the same reference numerals.

일반적으로, 액세스 GW(AG)는 다수의 사용자의 단말에 연결되어 있다. 즉, 하나의 액세스 GW(AG)는 용량이 허락하는 한도내에서 다수의 가입자를 담당한다.In general, an access GW (AG) is connected to a terminal of a plurality of users. That is, one access GW (AG) is responsible for multiple subscribers to the extent that capacity permits.

상기 이상트래픽 차단부(100)는 악의적인 사용자가 NGN 단말을 통해 DOS/DDOS(Distributed Denial Of Service) 형태의 공격형 패킷 혹은 공격형 호 트래픽을 NGN 네트워크로 유입, 유출시켰을 경우에, 정상적인 사용자 트래픽과 함께 혼재하는 공격 트래픽을 효과적으로 검출하고 차단한다.The abnormal traffic blocking unit 100, when a malicious user introduces or leaks an attack packet or an attack call traffic of DOS / DDOS (Distributed Denial Of Service) type through the NGN terminal to the NGN network, together with normal user traffic. Effectively detect and block mixed attack traffic.

이상트래픽 차단부(100)의 동작은 운용관리시스템(200)의 공격트래픽 차단 관리부(201)에서 제공하는 시간별 문턱치 정보에 따라 이상트래픽을 검출하고 차단한다. 이상트래픽 차단부(100)는 가입자들의 NGN 망 접속 시간, 패킷 발생량, 호발생량 등의 가입자 특징을 분류하고, 서로 다른 시간별 문턱치 정보를 설정한다. 즉, 가입자 A, 가입자 B, 가입자 C, 가입자 D가 서로 다른 가입자 특성을 가지면, 각 가입자에 대해 서로 다른 문턱치 즉, 다 문턱치를 적용한다. 상기 가입자 특성은 이하의 설명에 명백히 기재되어 있다.The operation of the abnormal traffic blocking unit 100 detects and blocks the abnormal traffic according to the time threshold information provided by the attack traffic blocking management unit 201 of the operation management system 200. The abnormal traffic blocking unit 100 classifies subscriber characteristics such as NGN network access time, packet generation amount, and call generation amount of subscribers, and sets different time threshold information. That is, when subscribers A, B, C, and D have different subscriber characteristics, different thresholds, that is, multiple thresholds, are applied to each subscriber. The subscriber characteristics are clearly described in the following description.

이하, 도 3과 도 4를 참조로 하여 공격트래픽 차단 관리부 및 이상트래픽 차단부의 동작을 설명한다.Hereinafter, operations of the attack traffic blocking management unit and the abnormal traffic blocking unit will be described with reference to FIGS. 3 and 4.

도 3은 본 발명의 실시예에 따른 공격트래픽 차단관리부의 동작을 보인 순서도이다.Figure 3 is a flow chart showing the operation of the attack traffic blocking management unit according to an embodiment of the present invention.

NGN 망의 운용관리시스템(200)은 NGN 망에 가입된 모든 가입자 정보를 저장하고 있다. 각 가입자는 개개인의 통신 장치 또는 주변 여건에 따라 NGN 망에 접속하는 트래픽의 접속속도, 자주 사용하는 서비스, 패킷 발생량, 호 발생량 등과 같이 트래픽 특성이 다르다. 즉, 각 가입자는 NGN 망으로 보내는 전송 패킷의 발생량 특성에 따라, 전송 패킷간의 시간간격(NGN 망측에서 보면 수신율이라 할 수 있음)이 다르고, 호 발생량 특성에 따라 호 발생간의 시간간격 등이 다르다. 또한, 이것들은 시간별, 요일별로도 차이가 있다.The operation management system 200 of the NGN network stores all subscriber information subscribed to the NGN network. Each subscriber has different traffic characteristics such as connection speed, frequently used service, packet generation amount, call generation amount, etc., depending on individual communication device or surrounding conditions. That is, each subscriber has different time intervals (referred to as reception rates in the NGN network side) between transmission packets according to characteristics of transmission packets sent to the NGN network, and time intervals between call occurrences according to call generation characteristics. These also differ by hour and day of the week.

공격트래픽 차단관리부(201)는 상기 각 가입자에 대한 수신율, 패킷 발생량, 호 발생량 등을 시간별, 요일별로 체크하여 각 가입자별 특성을 파악한다(S310).The attack traffic blocking management unit 201 checks the reception rate, the packet generation amount, the call generation amount, etc. for each subscriber by time and day of week to determine characteristics of each subscriber (S310).

상기 가입자 특성은 패킷 발생량에 따라 거의 결정되며, 부가적으로 가입자를 DOS공격으로부터 보호할 경우에는 수신율이 고려된다.The subscriber characteristics are almost determined according to the packet generation amount, and additionally, the reception rate is considered when protecting the subscriber from the DOS attack.

공격트래픽 차단관리부(201)는 가입자 특성에 따라 각 가입자별 패킷발생의 문턱치와 호 발생의 문턱치를 시간별, 요일별로 설정한다(S320). 상기 문턱치는 패킷(혹은 호)의 통과 여부를 결정하는 조건값으로, 시간 빈도(즉, 패킷 또는 호가 도착하는 시간 간격)이다. 일반적으로 대용량 가입자에게는 높은 문턱치로 설정되고, 일반 가입자에게는 낮은 문턱치로 설정된다.The attack traffic blocking management unit 201 sets the threshold of packet generation and the threshold of call generation by time and day of the week according to subscriber characteristics (S320). The threshold is a condition value that determines whether a packet (or call) passes, and is a frequency of time (ie, a time interval at which a packet or call arrives). In general, a high threshold is set for a large subscriber and a low threshold is set for a general subscriber.

공격트래픽 차단관리부(201)는 상기와 같이 각 가입자별 문턱치를 설정하면, 가입자를 담당하는 해당 액세스 GW로 가입자별 문턱치를 제공한다(S330). 이에 따라 각 액세스 GW는 자신이 담당하는 가입자에 대한 문턱치 정보를 저장하고 통계치를 산출하여 관리하게 된다(S340).When the attack traffic blocking management unit 201 sets a threshold for each subscriber as described above, the attack traffic blocking management unit 201 provides a threshold for each subscriber to the corresponding access GW in charge of the subscriber (S330). Accordingly, each access GW stores threshold information on the subscriber in charge of the subscriber and calculates and manages statistics (S340).

여기서, 공격트래픽 차단관리부(201)는 보안을 요하는 가입자 또는 보안을 요하는 서비스를 망관리자에 의해 지정하고, 지정한 보안을 요하는 가입자 및 서비스의 정보를 이상트래픽 차단부(100)에 제공한다.Here, the attack traffic blocking management unit 201 designates the subscriber or service requiring security by the network administrator, and provides the abnormal traffic blocking unit 100 with information of the subscriber and the service requiring the specified security. .

한편, 본 발명의 공격트래픽 차단관리부(201)는 상기 과정(S310)에서 판단한 가입자 특성별로 다수의 그룹으로 분류하고, 분류한 그룹별로 상기 문턱치를 결정할 수 있도록 설계할 수 있다.On the other hand, the attack traffic blocking management unit 201 of the present invention can be designed to classify into a plurality of groups for each subscriber characteristics determined in the step (S310), and to determine the threshold for each classified group.

이하, 도 4를 참조로 하여 상기와 같이 가입자별 문턱치 정보를 저장하고 있는 액세스 GW 특히 이상트래픽 차단부의 동작을 설명한다.Hereinafter, referring to FIG. 4, the operation of the access GW, in particular, the abnormal traffic blocking unit, which stores the threshold information of each subscriber as described above, will be described.

도 4는 본 발명의 실시예에 따른 패킷 발생량 측면의 이상트래픽 차단부의 동작을 보인 순서도이다. 도 4에 도시된 바와 같이, 이상트래픽 차단부(100)는 NGN단말로부터 패킷을 수신하면(S401), 수신된 패킷에 포함된 IP 주소와 포트번호를 확인한다(S402).4 is a flowchart illustrating an operation of an abnormal traffic blocking unit in terms of packet generation amount according to an exemplary embodiment of the present invention. As shown in FIG. 4, when the abnormal traffic blocking unit 100 receives a packet from the NGN terminal (S401), the abnormal traffic blocking unit 100 checks an IP address and a port number included in the received packet (S402).

상기 IP 주소는 가입자 정보를 알 수 있게 하는 자료이고, 포트번호는 가입자가 요구하는 서비스가 무엇인지를 알 수 있게 하는 자료이다.The IP address is a data that allows the subscriber information to be known, and the port number is a data that allows the subscriber to know what service is required.

이상트래픽 차단부(100)는 수신한 패킷의 IP를 공격트래픽 차단관리부(201)에서 제공한 보안을 요구하는 가입자 정보 즉, IP 리스트와, 보안을 요하는 포트번호의 리스트에 대조하여 수신한 패킷에 보안모드를 적용할 것인지를 판단한다(S403).The abnormal traffic blocking unit 100 compares the received packet's IP with subscriber information requiring security provided by the attack traffic blocking management unit 201, that is, an IP list and a list of port numbers requiring security. It is determined whether to apply the security mode to (S403).

상기 판단(S403)에서, 이상트래픽 차단부(100)는 수신한 패킷의 IP가 보안을 요하는 IP 리스트에 포함되면 IP 보안모드를 적용하고, 수신한 패킷의 포트번호가 보안을 요하는 IP 리스트에 포함되면 포트 보안모드를 적용하며, 해당 사항이 없으면 패킷을 통과시킨다(S404).In the determination (S403), the abnormal traffic blocking unit 100 applies the IP security mode when the IP of the received packet is included in the IP list requiring security, the IP list of which the port number of the received packet requires security If included in the port security mode is applied, if there is no corresponding to pass the packet (S404).

이하, 이상트래픽 차단부(100)가 IP 보안모드를 적용한 경우를 일예로 설명한다. 포트 보안모드를 적용한 경우에도 이하의 설명과 거의 동일하므로 쉽게 이해할 수 있을 것이다.Hereinafter, the case where the abnormal traffic blocking unit 100 applies the IP security mode will be described as an example. Even when the port security mode is applied, it is almost the same as the following description, so it can be easily understood.

상기 판단(S403)에서 수신한 패킷에 대해 보안모드를 적용하여야 한다고 판단되면, 이상트래픽 차단부(100)는 수신한 패킷에 대한 차단 타이머가 작동하고 있는지를 확인하여 수신한 패킷이 초기 상태(즉, 처음 수신된 것)인지 그렇지 않은 것인지를 판단한다(S405).If it is determined in step S403 that the security mode should be applied to the received packet, the abnormal traffic blocking unit 100 checks whether the blocking timer for the received packet is operating, and thus the received packet is in an initial state (ie, The first received) or not (S405).

상기에서, 차단 타이머가 할당되어 있으면 초기 상태가 아니고, 차단 타이머가 할당되어 있지 않으면 초기상태이다. 만약, 초기상태이면 이상트래픽 차단부(100)는 해당 패킷에 대한 차단 타이머를 할당하여 해당 패킷의 IP(즉, 가입자)에 대응하는 문턱치를 설정하여 구동시킨다(S406).In the above, it is not the initial state if the cutoff timer is assigned, and it is the initial state if the cutoff timer is not assigned. If the initial state, the abnormal traffic blocking unit 100 allocates a blocking timer for the packet, and sets and drives a threshold corresponding to the IP (ie, subscriber) of the packet (S406).

여기서, 문턱치는 가입자 또는 가입자의 해당되는 그룹 특성에 맞게 설정되어지며, 이미 그 값이 공격트래픽 차단관리부(200)에 의해 정해져 이상트래픽 차단부(100)에 저장되어 있는 상태이다. 상기 차단 타이머는 문턱치를 한계값으로 하여 내림 카운터하다가, 문턱치를 초과하면 0이 된다. 예를 들어, 문턱치가 3초이면 차단 타이머는 시간을 카운터하다가 3초를 초과하면 0이 되어 종료된다.Here, the threshold is set according to the subscriber or the corresponding group characteristics of the subscriber, the value is already determined by the attack traffic blocking management unit 200 is stored in the abnormal traffic blocking unit 100. The cutoff timer counts down the threshold value as a threshold value, and becomes 0 when the threshold value is exceeded. For example, if the threshold is 3 seconds, the cutoff timer counters the time, and if it exceeds 3 seconds, the cutoff timer is 0 and ends.

상기 과정(S406) 이후에, 이상트래픽 차단부(100)는 동일 가입자로부터 패킷을 수신하면(S401), 수신 패킷의 IP와 포트번호를 확인하여(S402), 보안모드 적용 여부를 판단한다(S403).After the process (S406), when the abnormal traffic blocking unit 100 receives a packet from the same subscriber (S401), by checking the IP and port number of the received packet (S402), it determines whether to apply the security mode (S403) ).

만약, 수신 패킷의 IP와 포트번호가 동일 가입자로부터 이전에 수신한 패킷과 동일하면 이상트래픽 차단부(100)는 보안모드를 설정하고 해당 패킷에 대해 타이머가 생성된 상태이므로 현재 수신된 패킷이 초기 상태가 아님을 알게 된다. 그리고, 이상트래픽 차단부(100)는 타이머의 카운트값이 종료되었는지를 확인하여(S407), 수신된 패킷이 이상 트래픽인지 정상 트래픽인지를 판단한다.If the IP and the port number of the received packet are the same as the packet previously received from the same subscriber, the abnormal traffic blocking unit 100 sets the security mode and a timer is generated for the packet. You know it's not a condition. The abnormal traffic blocking unit 100 checks whether the timer count value has expired (S407), and determines whether the received packet is abnormal traffic or normal traffic.

즉, 이상트래픽 차단부(100)는 타이머가 카운터한 값이 0이 아니면 이전에 수신한 패킷과의 시간 간격이 문턱치보다 작다고 판단하여 현재 수신된 패킷을 이상 트래픽으로 판단하고 패킷 전송을 차단한다(S409). 그리고, 이상트래픽 차단부(100)는 차단한 패킷을 수신한 시점으로부터 차단 타이머를 다시 구동시키고문턱치를 재설정한다(S410).That is, the abnormal traffic blocking unit 100 determines that the time interval with the previously received packet is smaller than the threshold value if the timer counter value is not 0, and determines the currently received packet as abnormal traffic and blocks the packet transmission ( S409). The abnormal traffic blocking unit 100 drives the blocking timer again from the time point at which the blocked packet is received and resets the threshold value (S410).

반면에, 이상트래픽 차단부(100)는 타이머가 카운터한 값이 0이면 정상 패킷이라고 판단하여 차단 타이머를 다시 구동시키고 문턱치를 설정한 후(S408), 패킷을 통과시킨다(S404).On the other hand, the abnormal traffic blocking unit 100 determines that the timer counts to 0, and determines that the packet is a normal packet. Then, the abnormal traffic blocking unit 100 sets the threshold again (S408) and passes the packet (S404).

그리고, 이상 트래픽 차단부(100)는 이상 패킷을 차단하면, 차단한 패킷에 대한 정보를 생성하여 운영관리 시스템(200)에 전송한다(S411).When the abnormal traffic blocking unit 100 blocks the abnormal packet, the abnormal traffic blocking unit 100 generates information on the blocked packet and transmits the information to the operation management system 200 (S411).

도 4를 참조로 한 설명은 도 2에 도시된 가입자 A에 대한 트래픽 보안에 관한 것이며, 가입자 B, C, D에 대해서도 동일하게 적용된다. 다만, 가입자 B, C, D가 가입자 A와 트래픽 특성이 다른 가입자 그룹이면 적용되는 문턱치를 달리하는 다른 타이머를 할당하여 적용하게 된다.The description with reference to FIG. 4 relates to traffic security for subscriber A shown in FIG. 2, and the same applies to subscribers B, C, and D. However, if subscribers B, C, and D have different traffic characteristics from subscriber A, other timers having different thresholds are allocated and applied.

도 5는 본 발명의 실시예에 따른 호 발생량 측면의 이상트래픽 차단부의 동작을 보인 순서도이다. 도 5에 도시된 바와 같이, 이상트래픽 차단부(100)는 NGN 단말(M1)로부터 호를 수신하면(S501), 수신된 패킷에 포함된 IP 주소와 시그널링 프로토콜을 확인한다(S502).5 is a flowchart illustrating an operation of an abnormal traffic blocking unit on the side of a call generation amount according to an exemplary embodiment of the present invention. As shown in FIG. 5, when the abnormal traffic blocking unit 100 receives a call from the NGN terminal M1 (S501), the abnormal traffic blocking unit 100 checks an IP address and a signaling protocol included in the received packet (S502).

상기 IP 주소는 가입자 정보를 알 수 있게 하는 자료이고, 시그널링 프로토콜은 가입자가 요구하는 호의 종류가 무엇인지를 알 수 있게 하는 자료이다.The IP address is a data that allows the subscriber information to be known, and the signaling protocol is a data that allows the subscriber to know what kind of call is required.

이상트래픽 차단부(100)는 수신한 호의 발신지 IP를 공격트래픽 차단관리부(201)에서 제공한 보안을 요구하는 가입자 정보 즉, 호 보안 리스트에 대조하여 수신한 호에 보안모드를 적용할 것인지를 판단한다(S503).The abnormal traffic blocking unit 100 checks the source IP of the received call against subscriber information requiring security provided by the attack traffic blocking management unit 201, that is, whether the security mode is applied to the received call. (S503).

상기 판단(S503)에서, 이상트래픽 차단부(100)는 수신한 호의 IP가 보안을요하는 호 보안 리스트에 포함되면 호 보안모드를 설정하고, 해당 사항이 없으면 호를 통과시킨다(S504).In the determination (S503), the abnormal traffic blocking unit 100 sets the call security mode when the IP of the received call is included in the call security list requiring security, and passes the call if there is no corresponding item (S504).

만약, 상기 판단(S503)에 의해 호 보안모드를 설정할 상황이면, 이상트래픽 차단부(100)는 수신한 호에 대한 차단 타이머가 생성되어 있는지를 확인하여 수신한 호가 초기 상태(즉, 처음 수신된 것)인지 그렇지 않은 것인지를 판단하는데(S505), 초기상태이면 차단 타이머를 할당하여 해당 호의 IP(즉, 가입자)에 대응하는 문턱치를 설정하여 구동시킨다(S506).If the call security mode is set by the determination (S503), the abnormal traffic blocking unit 100 checks whether a blocking timer for the received call is generated and the received call is in an initial state (that is, the first received call). It is determined whether or not (S505), if it is the initial state by assigning a blocking timer to set the threshold corresponding to the IP (ie, subscriber) of the call to drive (S506).

여기서, 문턱치는 가입자 특성에 맞게 설정되어지며, 이미 그 값이 공격트래픽 차단관리부(200)에 의해 정해져 이상트래픽 차단부(100)에 저장되어 있는 상태이다.Here, the threshold is set in accordance with the characteristics of the subscriber, the value is already determined by the attack traffic blocking management unit 200 is stored in the abnormal traffic blocking unit 100.

상기 과정(S506) 이후에, 이상트래픽 차단부(100)는 동일 가입자로부터 호를 수신하면(S501), 수신 호의 IP와 시그널링프로토콜을 확인하여(S502), 보안모드 적용 여부를 판단한다(S503).After the process (S506), when the abnormal traffic blocking unit 100 receives a call from the same subscriber (S501), by checking the IP and the signaling protocol of the received call (S502), it determines whether to apply the security mode (S503) .

만약, 수신 호의 IP와 시그널링프로토콜이 동일 가입자로부터 이전에 수신한 호와 동일하면 이상트래픽 차단부(100)는 보안모드를 적용하고 해당 패킷에 대해 타이머가 생성된 상태이므로 현재 수신된 호가 초기 상태가 아님을 알게 된다. 그리고, 이상트래픽 차단부(100)는 타이머의 카운트값이 종료되었는지를 확인하여(S507), 수신된 호가 이상 호인지 정상 호 인가를 판단한다.If the IP of the received call and the signaling protocol are the same as the previously received call from the same subscriber, the abnormal traffic blocking unit 100 applies the security mode and the timer is generated for the packet, so the currently received call has an initial state. I know not. The abnormal traffic blocking unit 100 checks whether the timer count value is terminated (S507), and determines whether the received call is an abnormal call or a normal call.

즉, 이상트래픽 차단부(100)는 타이머가 카운터한 값이 0이 아니면 이전에 수신한 호와의 시간 간격이 문턱치보다 작다고 판단하여 현재 수신된 호를 이상 호라고 판단하고 호 전송을 차단한다(S509). 그리고, 이상트래픽 차단부(100)는 차단한 호를 수신한 시점으로부터 차단 타이머를 다시 구동시키고 문턱치를 재설정한다(S510).That is, the abnormal traffic blocking unit 100 determines that the time interval with the previously received call is smaller than the threshold value when the timer counter value is not 0, and determines that the currently received call is an abnormal call and blocks the call transmission. S509). The abnormal traffic blocking unit 100 drives the blocking timer again from the time point at which the blocked call is received and resets the threshold value (S510).

반면에, 이상트래픽 차단부(100)는 타이머가 카운터한 값이 0이면 정상 호라고 판단하여 차단 타이머를 다시 구동시키고 문턱치를 설정한 후(S508), 호를 통과시킨다(S504).On the other hand, the abnormal traffic blocking unit 100 determines that it is a normal call when the timer counter value is 0, drives the blocking timer again, sets a threshold (S508), and passes the call (S504).

그리고, 이상 트래픽 차단부(100)는 이상 호를 차단하면, 차단한 호에 대한 정보를 생성하여 운영관리 시스템(200)에 전송한다(S511).When the abnormal traffic blocking unit 100 blocks the abnormal call, the abnormal traffic blocking unit 100 generates information on the blocked call and transmits the information to the operation management system 200 (S511).

도 5를 참조로 한 설명은 도 2에 도시된 가입자 A에 대한 신호망 트래픽 보안에 관한 것이며, 가입자 B, C, D에 대해서도 동일하게 적용된다. 다만, 가입자 B, C, D가 가입자 A와 신호망 트래픽 특성이 다른 가입자 그룹이면 적용되는 문턱치를 달리하는 다른 타이머를 할당하여 적용하게 된다.The description with reference to FIG. 5 relates to signal network traffic security for subscriber A shown in FIG. 2, and the same applies to subscribers B, C, and D. However, if subscribers B, C, and D are subscriber groups having different signal network traffic characteristics from subscriber A, other timers having different thresholds are allocated and applied.

이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.The technical spirit of the present invention has been described above with reference to the accompanying drawings, but this is by way of example only and not intended to limit the present invention. In addition, it is obvious that any person skilled in the art can make various modifications and imitations without departing from the scope of the technical idea of the present invention.

본 발명은 가입자 특성별로 서로 다른 시간 문턱치를 결정하고, 결정한 가입자 특성별 시간 문턱치를 NGN 망의 액세스 GW 또는 미디어 GW 등에 저장시켜 가입자로부터 수신되는 트래픽이 시간 문턱치 이내에 복수개가 유입되면 트래픽을 차단시킴으로써, 가입자로부터 유입되는 DOS 공격 형태의 트래픽을 차단할 수 있다.The present invention determines different time thresholds for each subscriber characteristic, and stores the determined time thresholds for each subscriber characteristic, such as access GW or media GW of the NGN network, so as to block traffic when a plurality of traffic received from the subscriber enters within the time threshold. It can block traffic in the form of DOS attacks from subscribers.

본 발명은 별도의 장치를 NGN 망에 구축하지 않고 기존에 사용하던 장치에 부가하여 DOS 공격 형태의 트래픽을 차단함으로써, 망 구축 비용과 관리인력을 절감시킬 수 있다.The present invention can reduce network construction costs and manpower by blocking traffic in the form of DOS attacks by adding a separate device to an existing device without building a separate device in the NGN network.

본 발명은 가입자로부터 깊은 신뢰감을 유발시켜 가입자 확보 기반을 마련하고 가입자 이탈 방지하여 수익성 서비스를 창출할 수 있게 한다.The present invention induces a deep trust from subscribers to provide a base for securing subscribers and prevent subscriber churn to create profitable services.

Claims (9)

가입자 단말에 연결된 액세스 GW(또는 미디어 GW)를 포함하는 NGN망에서의 서비스거부공격 차단 방법에 있어서,A method for preventing a denial of service attack in an NGN network including an access GW (or media GW) connected to a subscriber station, NGN망 사용 형태에 따라 가입자를 다수의 그룹으로 분류하는 제1 단계;Classifying subscribers into a plurality of groups according to NGN network usage types; 분류한 그룹별로 트래픽에 대한 서로 다른 시간 문턱치를 설정하고 설정한 시간 문턱치를 해당 가입자가 연결된 각 액세스 GW에 제공하는 제2 단계; 및A second step of setting different time thresholds for traffic for each classified group and providing the set time thresholds to each access GW connected to the corresponding subscriber; And 상기 각 액세스 GW는 수신되는 패킷에 포함된 IP를 통해 가입자를 확인한 후 확인한 가입자의 트래픽에 대한 시간 문턱치를 2회 이상 중복하여 수신되는 트래픽의 수신 시간 간격에 적용시켜 2회 이상 수신된 트래픽에 대한 차단 여부를 결정하는 제3 단계를 포함하는 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.Each of the access GWs checks the subscriber through the IP included in the received packet and applies the time threshold for the checked traffic to the receiving time interval of the received traffic two or more times. And a third step of determining whether to block the service denial of service attack in the NGN network. 청구항 1에 있어서,The method according to claim 1, 상기 가입자의 NGN망 사용 형태는 가입자의 접속속도, 상기 트래픽 발생량을 포함하는 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.The NGN network usage type of the subscriber includes a connection speed of the subscriber and the traffic generation amount. 청구항 2에 있어서,The method according to claim 2, 상기 제2 단계는,The second step, 상기 시간 문턱치는 상기 트래픽 발생량이 많고 접속 속도가 빠른 사용자 그룹순으로 높게 설정하는 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.The time threshold is a service denial attack blocking method of the NGN network, characterized in that the high traffic generation and the connection speed is set in the order of the user group. 청구항 3에 있어서,The method according to claim 3, 상기 제3 단계는 보안을 필요로 하는 트래픽에 대해서 수행되는 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.The third step is a service denial attack blocking method in the NGN network, characterized in that performed for traffic requiring security. 청구항 4에 있어서,The method according to claim 4, 상기 트래픽은 전달망 트래픽으로서 그 단위가 패킷인 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.And the traffic is a transport network traffic and a unit thereof is a packet. 청구항 4에 있어서,The method according to claim 4, 상기 트래픽은 신호망 트래픽으로서 그 단위가 호(call)인 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.The traffic is a signal network traffic, the unit is a call (call), characterized in that the denial of service attack blocking method in the NGN network. 청구항 5에 있어서,The method according to claim 5, 상기 제3 단계는,The third step, 수신된 패킷의 IP와 포트번호를 확인하는 제1 서브단계;A first substep of checking an IP and a port number of the received packet; 확인한 IP와 포트번호를 IP 보안 리스트와 포트 보안 리스트에 각각 대조하여 보안모드 설정을 판단하는 제2 서브단계;A second sub-step of determining a security mode setting by comparing the checked IP and the port number with the IP security list and the port security list, respectively; 보안모드를 설정하면, 수신한 패킷이 처음 수신된 패킷인지를 판단하는 제3 서브단계와,Setting a security mode, a third sub-step of determining whether a received packet is a first received packet; 처음 수신된 패킷이면 차단 타이머를 할당하여 구동시키고 상기에서 확인한 IP에 대응하는 시간 문턱치를 설정하여 통과시키고, 처음 수신된 패킷이 아니면 상기 차단 타이머가 상기 시간 문턱치를 종료하기 전에 수신된 패킷을 차단시키는 제4 서브단계를 포함하는 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.If it is the first packet received, a blocking timer is assigned and driven, and a time threshold corresponding to the identified IP is set and passed. If the packet is not received for the first time, the received packet is blocked before the blocking timer ends the time threshold. And a fourth sub-step, the service denial attack blocking method in the NGN network. 청구항 6에 있어서,The method according to claim 6, 상기 제3 단계는,The third step, 수신된 패킷의 IP와 호를 확인하는 제1 서브단계;A first substep of confirming the IP and the call of the received packet; 확인한 IP와 호를 호 보안 리스트에 각각 대조하여 보안모드 설정을 판단하는 제2 서브단계;A second sub-step of determining a security mode setting by comparing the checked IP and the call to a call security list, respectively; 보안모드를 설정하면, 수신한 호가 처음 수신된 호인지를 판단하는 제3 서브단계;Setting a secure mode, determining whether the received call is a first received call; 처음 수신된 호이면 차단 타이머를 할당하여 구동시키고 상기에서 확인한 IP의 호에 대응하는 시간 문턱치를 설정하여 통과시키고, 처음 수신된 호가 아니면 상기 차단 타이머가 상기 시간 문턱치를 종료하기 전에 수신된 호를 차단시키는 제4 서브단계를 포함하는 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.If the call is received for the first time, it allocates and operates a cutoff timer, sets a time threshold corresponding to the call of the IP identified above, and passes it. If not, the received call is blocked before the cutoff timer ends the time threshold. The service denial attack blocking method of the NGN network, characterized in that it comprises a fourth sub-step. 청구항 1에 있어서,The method according to claim 1, 상기 시간 문턱치는 동일 가입자 그룹에 대해서 시간별, 요일별로 다른 값을 가지는 것을 특징으로 하는 NGN망에서 서비스거부공격 차단 방법.The time threshold is a denial of service attack blocking method in the NGN network, characterized in that different values for each hour, day of the week for the same subscriber group.
KR1020030043923A 2003-06-30 2003-06-30 The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway KR20050002542A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030043923A KR20050002542A (en) 2003-06-30 2003-06-30 The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030043923A KR20050002542A (en) 2003-06-30 2003-06-30 The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway

Publications (1)

Publication Number Publication Date
KR20050002542A true KR20050002542A (en) 2005-01-07

Family

ID=37218047

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030043923A KR20050002542A (en) 2003-06-30 2003-06-30 The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway

Country Status (1)

Country Link
KR (1) KR20050002542A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231966B1 (en) * 2010-04-19 2013-02-08 에스2정보 주식회사 Server obstacle protecting system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231966B1 (en) * 2010-04-19 2013-02-08 에스2정보 주식회사 Server obstacle protecting system and method

Similar Documents

Publication Publication Date Title
US7246376B2 (en) Method and apparatus for security management in a networked environment
US8619578B2 (en) Communications switching architecture
US20070140275A1 (en) Method of preventing denial of service attacks in a cellular network
US7278159B2 (en) Coordinated thwarting of denial of service attacks
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
US8102879B2 (en) Application layer metrics monitoring
EP1533977B1 (en) Detection of denial of service attacks against SIP (session initiation protocol) elements
US20050157647A1 (en) Metering packet flows for limiting effects of denial of service attacks
US20040148520A1 (en) Mitigating denial of service attacks
US20110119761A1 (en) Mitigating Low-Rate Denial-of-Service Attacks in Packet-Switched Networks
US20080126531A1 (en) Blacklisting based on a traffic rule violation
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
CN101341715A (en) Methods and devices for defending a 3g wireless network against malicious attacks
EP1519541B1 (en) DOS attack mitigation using upstream router suggested remedies
WO2017035717A1 (en) Distributed denial of service attack detection method and associated device
US8428516B2 (en) Wireless ad hoc network security
WO2017143897A1 (en) Method, device, and system for handling attacks
US20070140121A1 (en) Method of preventing denial of service attacks in a network
US8281400B1 (en) Systems and methods for identifying sources of network attacks
KR20030009887A (en) A system and method for intercepting DoS attack
JP2003289337A (en) Communication network, router, and distributed service refusal attack detection and defense method
KR20050002542A (en) The method for protection DOS attack traffic by setting time frequency number which has multi-thresholds in access gateway or media gateway
JP2006023934A (en) Method and system for protecting against denial-of-service attack
KR20070114501A (en) Url(uniform resource locator) filtering system and method
Quingueni et al. Reduction of traffic between switches and IDS for prevention of DoS attack in SDN

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination