KR20050066049A - 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법 - Google Patents

네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법 Download PDF

Info

Publication number
KR20050066049A
KR20050066049A KR1020030097248A KR20030097248A KR20050066049A KR 20050066049 A KR20050066049 A KR 20050066049A KR 1020030097248 A KR1020030097248 A KR 1020030097248A KR 20030097248 A KR20030097248 A KR 20030097248A KR 20050066049 A KR20050066049 A KR 20050066049A
Authority
KR
South Korea
Prior art keywords
traffic
packet
denial
pattern
incoming packet
Prior art date
Application number
KR1020030097248A
Other languages
English (en)
Other versions
KR100609684B1 (ko
Inventor
이호균
김정녀
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030097248A priority Critical patent/KR100609684B1/ko
Publication of KR20050066049A publication Critical patent/KR20050066049A/ko
Application granted granted Critical
Publication of KR100609684B1 publication Critical patent/KR100609684B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그 방법에 관한 것으로 특히, 기존의 서비스 거부 공격 방지 수단 중의 하나인 침입 탐지 장비(IDS)의 성능과 정확성을 향상시킬 수 있는 서비스 거부 공격 방지 장치 및 그 방법에 관한 것이다.
본 발명이 제공하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치는 유입 패킷의 트래픽을 측정하고, 상기 측정 결과를 기반으로 상기 유입 패킷의 트래픽을 조절하는 QoS 모듈; 및 상기 QoS 모듈에 의해 측정되고 조절된 트래픽에 근거하여 상기 유입 패킷이 서비스 거부 공격 패킷에 해당되는 지 판단하는 IDS 모듈을 포함하고, 본 발명이 제공하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법은 (a)유입 패킷의 트래픽을 측정하고, 상기 측정 결과를 기반으로 상기 유입 패킷의 트래픽을 조절하는 단계; 및 (b)상기 (a)단계에서 측정되고 조절된 트래픽에 근거하여 상기 유입 패킷이 서비스 거부 공격 패킷에 해당되는 지 판단하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.

Description

네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그 방법{Apparatus for protecting DoS and Method thereof}
본 발명은 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그 방법에 관한 것으로 특히, 기존의 서비스 거부 공격 방지 수단 중의 하나인 침입 탐지 장비(IDS)의 성능과 정확성을 향상시킬 수 있는 서비스 거부 공격 방지 장치 및 그 방법에 관한 것이다.
서비스 거부 공격(Denial of Service : DoS)이란 컴퓨터가 정상적인 작업을 처리하기 위해서 필요한 여러 가지 자원들, 즉 네트워크 대역폭이나 TCP/IP 스택 처리를 위해서 필요한 캐쉬, 메모리, 버퍼들을 향해서 과도한 서비스 요청을 보냄으로써 서비스가 불가능한 상태로 만드는 공격을 지칭한다.
초기의 서비스 거부 공격은 그다지 정교하지 못해 ping 과 같은 ICMP(Internet Control Message Protocol)메시지를 단순 반복해서 보냈기 때문에 탐지 기반의 보안 시스템에서도 대응이 가능했지만 서비스 거부 공격이 점점 정교해짐에 따라 결국 공격 패킷들과 일반 패킷들의 구분이 불가능한 상황이 되고 있다. 자동화된 공격 툴로 가해지는 서비스 거부 공격은 공격하는 입장에서는 적은 노력으로 효과적인 공격을 가할 수 있는 반면에 이를 방어하는 입장에서는 공격 패킷과 정상 패킷과의 구분이 쉽지 않고 공격이 매우 빨리 전개되기 때문에 그 방어가 쉽지 않다.
이를 해결하기 위해 탐지 기반의 대응이 아닌 트래픽 감지 기반의 대응 방법이 각광 받고 있다. 트래픽 감지 기반의 대응 방법은 기존에 공격 패킷들의 패턴을 미리 저장해 두고 이를 네트워크 내부의 모든 패킷들과 일일이 비교해서 공격을 탐지하는 방식과는 달리 기존의 네트워크 기술, 즉 서비스 품질 보장 기법의 요소 기술들을 활용하고 있다.
서비스 품질 보장 기법 즉, QoS(Quality of Service) 또는 Diffserv(Differentiated services)로 지칭되는 기술에는 트래픽 측정과 트래픽 조절이라는 두 가지 핵심 기술이 있다. 트래픽 감지 기반의 대응 방법은 트래픽 측정 기능을 이용해서 계층 4(Layer 4)까지 트래픽의 변화 추이를 감시한다. 이를 통해서 트래픽의 이상 변화를 감지하고 이에 대응하기 위해서 트래픽 조절 기능을 이용하는 것이다.
서비스 거부 공격을 방지하기 위한 기존의 대응 방안을 정리해보면 다음과 같다.
1) 공격자 위치 추적 기법
위치 추적 기법은 공격 자체를 막을 수는 없지만 범인 추적에 활용하고 공격에 대한 법률적인 증거 수집에 이용될 수 있다. 위치 추적 기법에는 두 가지 방법이 있다. 첫 번째 방법은 라우터에서 추후에 있을 위치 추적을 위해서 라우터를 지나간 모든 패킷들에 대한 정보를 기록하는 것이다. 두 번째 방법은 라우터가 패킷의 목적지 호스트에게 ICMP와 같은 별도의 정보 패킷을 전송해 주는 방법이 있다.
2) 공격 탐지와 필터링 기법
공격 탐지는 공격 패킷과 그 패킷이 속한 플로우를 식별해서 망 관리자에게 보고를 하고, 공격 패킷에 대한 필터링 기능을 통해 망 관리자의 명령 또는 자동 정책에 따라 공격 패킷을 폐기 또는 조절시킨다. 이 때, 탐지 기능의 효과성을 측정하기 위해 FNR(False Negative Ratio)와 FPR(False Positive Ratio)가 사용된다. 또한, 필터링의 효과 측정을 위해서는 NPSR(Normal Packet Survival Ratio)를 사용한다. NPSR은 뒤에 얘기할 트래픽 감지 기법을 이용한 DDoS 완화 기법의 단점이 되는 사항으로 이에 대한 개선이 주요 연구 과제 중의 하나이다.
3) 트래픽 감지 기반의 대응 기법
트래픽 감지 기법은 QoS 기법의 트래픽 측정 기능을 이용해서 트래픽 변화 정보를 보고 공격의 발생을 탐지함과 동시에 트래픽 조절 기능을 이용해서 호스트가 서비스 중단 상태에 빠지는 상태를 미연에 방지한다. 하지만 트래픽을 패턴 정보를 보고 검사하는 것이 아니라 트래픽 전체 양의 변화 상황을 보고 유추하는 것이기 때문에 FNR, FPR 평가 기준으로 보았을 때 높은 성능을 갖고 있다고 말할 수 없다.
또한, 트래픽 조절 또한 정확하게 그 패킷이 공격 패킷이란 판단 하에 조절하는 것이 아니므로 NPSR 수치 또한 높다고 할 수 없다. 그럼에도 불구하고 상기 2)의 기법과 비교해서 성능 상의 장점, 그리고 중단 없는 서비스가 가능하단 점에서 매력적인 대응 방안이 되고 있다.
또한, 2)의 기법은 기존에 알려져 있지 않은 새로운 공격에 대해서는 전혀 무방비인 반면에 트래픽 감지 기법은 트래픽 측정 정보로 유추하므로 공격 패턴과 상관없는 대응이 가능하다. 따라서 감지 대응 기법의 가장 주요 연구 과제는 FNR, FPR, NPSR을 높이기 위해서 감지 결과를 판단하고 대응을 가할 패킷을 구분하기 위한 트래픽 분류 기준을 세우는 것이다.
서비스 거부 공격을 막기 위한 장비로 현재 IDS 장비와 QoS 장비가 나와 있다. IDS(Invasion Detection System)는 침입 탐지 시스템으로 네트워크에 들어오는 모든 패킷들을 미리 준비되어 있는 공격 패킷 패턴들과 비교해서 공격 패킷과 같으면 사용자에게 경보를 보내고, 아니면 정상 처리하는 장비를 말한다.
그러나, 미리 공격 패킷 패턴이 준비되어 있어야 한다는 점에서 새로운 공격에 대한 대비가 전혀 불가능하다는 단점이 있다. 즉 새로운 공격 패킷에 대해서는 정상 패킷으로 판단하기 때문에 FNR 수치가 기대치보다 높이 나온다. 그리고 모든 패킷을 일일히 검사해야 한다는 점에서 비교해야 하는 공격 패킷의 패턴 집합이 많아질수록 처리 속도가 느려지는 단점이 있다.
QoS 장비는 인터넷 서비스 품질 보장 장비로서 원래 개발 의도는 보안 용도가 아니지만 서비스 거부 공격이 원천 봉쇄된다는 면에서 보안 장비로서의 장점이 부각되기도 한다. QoS 장비는 특정 주소, 특정 서비스 트래픽에 대해서 사용할 수 있는 대역폭의 상한을 제한함으로써 여러 트래픽들이 각각 사용할 수 있는 트래픽의 양을 보장받을 수 있는 기술을 말한다. 이로 인해 특정 트래픽을 과다 발생 시켜 네트워크를 서비스 불능 상태로 만드는 서비스 거부 공격 또한 QoS 장비를 거치게 되면 효과를 발휘할 수 없게 되는 것이다.
하지만 QoS 장비는 공격 패킷을 정확하게 분류해서 제거하는 것이 아니라 특정 주소, 특정 서비스를 지정해서 포함되는 모든 트래픽을 일정 비율 제거하기 때문에 공격 패킷과 같이 분류될 수 있는 정상 패킷들도 같이 제거되는 단점이 있다. 이로 인해서 FPR 수치가 높게 나오고 NPSR 수치가 낮게 떨어지게 된다.
따라서 본 발명은 상기와 같은 문제점을 해결하기 위해 창안된 것으로 본 발명의 목적 및 이루고자하는 기술적 과제는 IDS 기반 공격 방지 기능과 QoS 기반 공격 방지 기능을 하나로 융합하여, 두 기능의 장점을 모두 활용하여 네트워크 시스템의 보안 성능을 향상시킬 수 있고, 또한 IDS의 공격 패턴 집합을 각 공격의 유행도에 따라서 일정하게 유지함으로써 IDS의 성능을 보장할 수 있는 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그 방법을 제공함에 있다.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 발명이 제공하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치는 유입 패킷의 트래픽을 측정하고, 상기 측정 결과를 기반으로 상기 유입 패킷의 트래픽을 조절하는 QoS 모듈; 및 상기 QoS 모듈에 의해 측정되고 조절된 트래픽에 근거하여 상기 유입 패킷이 서비스 거부 공격 패킷에 해당되는 지 판단하는 IDS 모듈을 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
아울러, 상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 발명이 제공하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법은 (a)유입 패킷의 트래픽을 측정하고, 상기 측정 결과를 기반으로 상기 유입 패킷의 트래픽을 조절하는 단계; 및 (b)상기 (a)단계에서 측정되고 조절된 트래픽에 근거하여 상기 유입 패킷이 서비스 거부 공격 패킷에 해당되는 지 판단하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
이하 본 발명의 구성, 작용 및 최적의 실시예를 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.
도 1a은 본 발명이 제공하는 서비스 거부 공격 방지 장치의 구성도이며, 도 1b는 도 1a에 제시된 QoS 모듈의 바람직한 일실시예의 구성도이며, 도 1c는 도 1a에 제시된 IDS 모듈의 바람직한 일실시예의 구성도이다. 도 2는 본 발명이 제공하는 서비스 거부 공격 방지 방법의 바람직한 일실시예의 흐름도이다.
도 1a를 참조하면 본 공격 방지 장치 발명은 크게 두 부분으로 이루어지는데, QoS 모듈(10)과 IDS 모듈(11)이 그것이다. QoS 모듈(10)과 IDS 모듈(11)은 네트워크 프로세서로 구현되어 하드웨어적으로 최대한 성능을 향상시킨다.
상기한 도면들을 참조하여, 입력단(Rx)에서 유입되는 패킷은 먼저 QoS 모듈(10)로 들어간다. QoS 모듈(10)은 두 가지 모듈로 구성되는데, 트래픽 측정 모듈(101)과 트래픽 조절 모듈(102)이 그것이다.
트래픽 측정 모듈(101)은 유입 패킷의 트래픽에 비정상적 트래픽이 있는 지를 판단하여 서비스 거부 공격이 시도됨을 판단하는데, 이를 위해 유입 패킷의 트래픽에 비정상 트래픽을 가지고 있는 지의 여부를 판단하기 위해서 서비스 타입과 호스트 타입별로 표준 트래픽 소비량 목록을 가지고 있다. 이 때 각각의 IP 주소별로 트래픽 소비량을 측정하는 것이 아니라, 서비스 타입별(Port 주소 별), 서브넷과 호스트 타입별로 트래픽 소비량을 측정한다. 이 때 호스트 타입에 해당하는 것은 일반 PC와 네트워크 서비스 장비 등을 들 수 있다.
트래픽 측정 모듈(101)은 이외에도 세션의 수, 세션의 트라이(Try) 수, Top 10(Top 10은 트래픽 소비를 가장 많이 하는 소비 주체 중 상위 10개를 의미)의 source IP, destination IP, source Port, Destination Port를 측정하고, 프로토콜에 의한 트래픽 볼륨도 측정한다.
트래픽 측정 결과로 가장 트래픽을 많이 소비하는 서비스, 서브넷, IP 주소와 기준 소비량과의 차이가 확연히 드러나는 소비 주체들이 출력된다.
트래픽 조절 모듈(102)에서는 두 가지 동작이 이루어진다.
첫째로, 서비스 거부 공격의 원천적인 봉쇄를 위해서 유입 패킷의 트래픽의 임계치(OV)를 지정하여, 유입 패킷의 트래픽(UV)이 OV를 월등히 초과하면(UV >> OV) 패킷의 유입을 차단하여 네트워크 전체의 서비스 불능 상태를 막는다.
둘째로, 트래픽 측정 결과를 기반으로 트래픽 조절 정책을 생성하는데 트래픽 조절 정책은 5 tuple(source IP, destination IP, source Port, Destination Port, Protocol)에 의한 필터링 정책, 5 tuple에 의한 레이트(rate) 제한 정책으로 이루어진다. 트래픽 조절 모듈(102)은 트래픽 조절 정책을 이용하여 현재 진행 중인 서비스 거부 공격을 차단한다.
QoS 모듈(10)에서 나온 패킷들은 IDS 모듈(11)을 거치게 된다.
먼저, QoS 모듈(10)에 의해 측정 및 조절된 유입 패킷의 트래픽(NS)과 트래픽 과부하 임계 경보 사용량 2(NC2)을 비교하여(S211), NS가 NC2보다 작으면 QoS 모듈(10)에서 나온 패킷들은 바로 출력단(Tx)으로 출력되고(S22), 그렇지 아니하면 패턴 비교부(111)에 의해 공격 패킷인지의 판정을 받는다.
IDS 모듈(11)은 네트워크에 걸리는 로드(load)에 따라서 그 적용 여부가 결정된다. 도 2에서 NS는 현재 유입되는 트래픽의 양, NC2는 심각한 과부하 상태, NC1(트래픽 과부하 임계 정보 사용량 1)은 정상 트래픽 유입 상태를 조금 벗어난 부하 상태의 시작 상태로 정의한다.
즉, NS가 NC2보다 큰 상태에서는 QoS 모듈(10)만 적용되어, 트래픽 과부하 상태를 먼저 해결하고, IDS 모듈(11)을 실행하지 않음으로써 네트워크 장비에 가해지는 부하를 줄인다.
NS가 NC2보다는 작고 NC1보다 큰 상태에서는 네트워크에 부하가 걸리기 시작하는 시점이므로 패턴 비교부(111)에서 준비된 패턴 집합 중에서 유행도가 높은 일부 패턴만 검사한다. NS가 NC1보다 작은, 즉 네트워크에 부하가 걸리지 않는 상태에서는 패턴 비교부(111)에 의해 모든 패턴이 검사된다.
패턴 비교부(111)는 주요 보안 사이트에서 공시하는 서비스 거부 공격 패킷의 유행도(prevalent degree)를 참조해서 유행도가 높은 순으로 패킷의 패턴을 설정한다. 패턴의 전체 개수는 고정되어 있고 유행도에 따라서 패턴을 변경 설정(삽입 또는 삭제)할 수 있다. 이점에서 패턴 비교부(111)는 '동적 패턴 관리자'로도 불릴 수 있다.
패턴 비교부(111)는 우선 현재 네트워크 사용량(NS)과 트래픽 과부하 임계 경보 사용량 2(NC2)을 비교한다(S212). 여기서, NC2는 상기한 NC1보다는 높은 값을 갖는다.
NS와 NC2의 비교 결과, NS가 NC2보다 크면 패턴 비교부(111)는 유입된 패킷의 패턴과 자신이 설정해 놓은 패턴을 비교하지 아니한다. NS가 NC2보다 작고 NC1보다 높으면 동적 패턴 집합 관리자는 유입된 패킷의 패턴과 자신이 준비해 둔 전체 패킷 중 유행도가 높은 일부 패킷의 패턴(축약 패턴)만을 비교(S214)한다. NS가 NC1보다 작으면 모든 패턴을 다 검사한다.
위의 두 비교(S213, S214)의 각각의 결과는 패킷 차단 모듈(112)에 전달되고, 패킷 차단 모듈(112)은 두 비교(S213, S214) 결과 각각의 패턴이 상호 일치하는지 판단하여, 일치하는 경우에는 패킷 차단 정책을 생성하여 유입된 패킷을 차단한다(S215). 여기서, 패킷 차단 정책이란 유입된 패킷의 패턴이 위에서 언급한 전체 패킷의 패턴 또는 유행도가 높은 일부 패킷의 패턴과 동일한 경우에 그 유입된 패킷을 전부 드롭핑(dropping)시킴을 의미한다. 패킷 차단 모듈(112)에 의해 드롭핑 되지 않은 패킷들은 출력단(Tx)을 통해 출력된다(S22).
본 발명을 요약하면, 네트워크 시스템에서의 서비스 거부 공격을 방지하기 위해 본 발명에서는 기존 IDS 모듈에 QoS 모듈과 동적 패턴 관리자를 추가한다. 이 두 가지의 추가를 통해서 네트워크 보안 장비의 성능 평가 기준인 FNR(False Negative Ratio)와 FPR(False Positive Ratio), 그리고 NPSR(Normal Packet Survival Ratio) 수치에서 더 높은 결과를 얻을 수 있도록 한다.
본 명세서에서 개시하는 방법 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.
그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
위에서 본 바와 같이, 기존의 IDS 모듈(장비)은 미리 준비되어 있지 않은 공격 패킷이 유입되는 경우 전혀 방어할 수 없는 단점이 있지만, 본 발명은 QoS 모듈(장비)과 혼용함으로써 서비스 불능 상태를 원천적으로 막을 수 있는 장점이 있다.
QoS 모듈만으로는 정상 패킷들도 경우에 따라서는 공격 패킷과 함께 삭제될 수 있는 문제점이 있었다. 이로 인해 FPR 수치가 높아지고 NPSR 수치가 낮게 나오는데 QoS 출력단에 IDS 모듈을 추가함으로써 두 가지 기준의 성능을 높일 수 있다.
IDS 모듈은 비교 패턴이 많아질수록 성능이 점점 떨어지게 되는데, 본 발명에서는 동적 패턴 집합 관리자를 구비하여 유행도에 따라서 패턴의 전체 양을 일정하게 유지함으로써 성능을 일정하게 유지한다. 이로 인해서 잘 쓰이지 않는 공격 패턴이 유입될 경우 공격을 탐지 할 수 없는 단점이 있지만 대부분의 인터넷 공격은 그 발생 인자인 웜 바이러스의 전파가 미리 파악되어 주요 보안 사이트에서 공시된다는 점에서 치명적인 서비스 거부 사태는 막을 수 있다고 하겠다.
위의 두 가지 기능은 네트워크 프로세서로 구현되어 하드웨어적으로 높은 성능을 보장한다.
도 1a은 본 발명이 제공하는 서비스 거부 공격 방지 장치의 구성도이다.
도 1b는 도 1a에 제시된 QoS 모듈의 바람직한 일실시예의 구성도이다.
도 1c는 도 1a에 제시된 IDS 모듈의 바람직한 일실시예의 구성도이다.
도 2는 본 발명이 제공하는 서비스 거부 공격 방지 방법의 바람직한 일실시예의 흐름도이다.
<도면의 주요 부호에 대한 설명>
10 : QoS 모듈
101 : 트래픽 측정 모듈 102 : 트래픽 조절 모듈
11 : IDS 모듈
111 : 패턴 비교부(동적 패턴 관리자) 112 : 패킷 차단 모듈
S20 : QoS 처리 단계 S21 : IDS 처리 단계

Claims (13)

  1. 유입 패킷의 트래픽을 측정하고, 상기 측정 결과를 기반으로 상기 유입 패킷의 트래픽을 조절하는 QoS 모듈; 및
    상기 QoS 모듈에 의해 측정되고 조절된 트래픽에 근거하여 상기 유입 패킷이 서비스 거부 공격 패킷에 해당되는 지 판단하는 IDS 모듈을 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치.
  2. 제 1 항에 있어서, 상기 QoS 모듈은
    상기 유입 패킷의 트래픽을 측정하여 서비스 거부 공격이 시도됨을 판단하는 트래픽 측정 모듈; 및
    상기 유입 패킷의 트래픽이 소정의 임계치를 초과하면 상기 유입 패킷을 차단하고, 상기 트래픽 측정 결과를 기반으로 트래픽 조절 정책을 생성하여 서비스 거부 공격을 차단하는 트래픽 조절 모듈을 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치.
  3. 제 1 항에 있어서, 상기 IDS 모듈은
    상기 유입 패킷의 패턴과 자신이 기 설정한 패킷의 동일성을 비교하는 패턴 비교부; 및
    상기 비교 결과 패턴이 상호 일치하는 경우에는 패킷 차단 정책을 생성하여 상기 유입 패킷을 드롭핑(dropping)하는 패킷 차단 모듈을 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치.
  4. 제 2 항에 있어서, 상기 트래픽 조절 정책은
    source IP, destination IP, source Port, Destination Port, Protocol의 5 tuple에 의한 필터링 정책과 상기 5 tuple에 의한 레이트(rate) 제한 정책을 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치.
  5. 제 3 항에 있어서, 상기 패턴 비교부는
    상기 QoS 모듈에 의해 측정 및 조절된 상기 유입 패킷의 트래픽이 트래픽 과부하 임계 경보 사용량 1(NC1)보다 작은 경우에는, 상기 유입 패킷의 패턴이 상기 기 설정된 패킷의 모든 패턴과 동일한 지 비교하고;
    상기 NC1보다 크고 과부하 임계 경보 사용량 2(NC2) 보다 작은 경우에는, 상기 유입 패킷의 패턴과 상기 기 설정된 패킷 중 유행도가 높은 일부 패킷의 패턴만을 비교하고;
    상기 NC2보다 클 때는, 상기 비교들을 생략함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치.
  6. 제 3 항 또는 제 5 항에 있어서, 상기 패턴 비교부는
    서비스 거부 공격 패킷의 유행도가 높은 순으로 상기 공격 패킷의 패턴을 설정하고, 상기 유행도에 따라 상기 패턴을 변경하여 상기 패턴을 동적으로 관리함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 장치.
  7. (a)유입 패킷의 트래픽을 측정하고, 상기 측정 결과를 기반으로 상기 유입 패킷의 트래픽을 조절하는 단계; 및
    (b)상기 측정되고 조절된 트래픽에 근거하여 상기 유입 패킷이 서비스 거부 공격 패킷에 해당되는 지 판단하는 단계를 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법.
  8. 제 7 항에 있어서, 상기 (a)단계는
    (a1)상기 유입 패킷의 트래픽을 측정하여 서비스 거부 공격이 시도됨을 판단하는 단계; 및
    (a2)상기 유입 패킷의 트래픽이 소정의 임계치를 초과하면 상기 유입 패킷을 차단하고, 상기 트래픽 측정 결과를 기반으로 트래픽 조절 정책을 생성하여 서비스 거부 공격을 차단하는 단계를 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법.
  9. 제 7 항에 있어서, 상기 (b)단계는
    (b1)상기 유입 패킷의 패턴과 자신이 기 설정한 패킷의 동일성을 비교하는 단계; 및
    (b2)상기 비교 결과 패턴이 상호 일치하는 경우에는 패킷 차단 정책을 생성하여 상기 유입 패킷을 드롭핑(dropping)하는 단계를 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법.
  10. 제 8 항에 있어서, 상기 트래픽 조절 정책은
    source IP, destination IP, source Port, Destination Port, Protocol의 5 tuple에 의한 필터링 정책과 상기 5 tuple에 의한 레이트(rate) 제한 정책을 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법.
  11. 제 9 항에 있어서, 상기 (b1)단계는
    (b11)상기 측정되고 조절된 상기 유입 패킷의 트래픽이 트래픽 과부하 임계 경보 사용량 1(NC1)보다 작은 경우에는, 상기 유입 패킷의 패턴이 상기 기 설정된 패킷의 전체 패턴과 동일한 지 비교하는 단계;
    (b12)상기 NC1보다 크고 트래픽 과부하 임계 경보 사용량 2(NC2)보다 작은 경우에는, 상기 유입 패킷의 패턴과 상기 기 설정된 패킷 중 유행도가 높은 일부 패킷의 패턴만을 비교하는 단계; 및
    (b13)상기 NC2보다 큰 경우에는 상기 비교들을 생략하는 단계를 포함함을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법.
  12. 제 9 항 또는 제 11 항에 있어서, 상기 (b1)단계는
    서비스 거부 공격 패킷의 유행도가 높은 순으로 상기 공격 패킷의 패턴을 설정하고, 상기 유행도에 따라 상기 패턴을 변경하여 상기 패턴을 동적으로 관리하여 이루어짐을 특징으로 하는 네트워크 시스템에서의 서비스 거부 공격 방지 방법.
  13. 제 7 항의 서비스 거부 공격 방지 방법을 컴퓨터에서 판독할 수 있고, 실행 가능한 프로그램 코드로 기록한 기록 매체.
KR1020030097248A 2003-12-26 2003-12-26 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법 KR100609684B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030097248A KR100609684B1 (ko) 2003-12-26 2003-12-26 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030097248A KR100609684B1 (ko) 2003-12-26 2003-12-26 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법

Publications (2)

Publication Number Publication Date
KR20050066049A true KR20050066049A (ko) 2005-06-30
KR100609684B1 KR100609684B1 (ko) 2006-08-08

Family

ID=37257174

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030097248A KR100609684B1 (ko) 2003-12-26 2003-12-26 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법

Country Status (1)

Country Link
KR (1) KR100609684B1 (ko)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR100733830B1 (ko) * 2005-06-09 2007-07-02 충남대학교산학협력단 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR100757076B1 (ko) * 2006-03-27 2007-09-10 주식회사 라오넷 플로우량 조절기능을 갖는 네트워크 장비
KR100882809B1 (ko) * 2006-08-31 2009-02-10 영남대학교 산학협력단 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법
WO2011013947A2 (ko) * 2009-07-27 2011-02-03 (주)잉카인터넷 분산서비스거부 공격 차단 시스템 및 방법
WO2011062342A1 (ko) * 2009-11-18 2011-05-26 주식회사 반딧불 개인 컴퓨터의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치
KR101103744B1 (ko) * 2010-08-23 2012-01-11 시큐아이닷컴 주식회사 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법
KR101135437B1 (ko) * 2009-07-27 2012-04-13 주식회사 잉카인터넷 분산서비스거부 공격 차단 시스템 및 방법
KR101217647B1 (ko) * 2005-08-05 2013-01-02 알카텔-루센트 유에스에이 인코포레이티드 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
KR101290036B1 (ko) * 2007-03-12 2013-07-30 주식회사 엘지씨엔에스 동적 공격에 대한 네트워크 보안 장치 및 방법
KR101380015B1 (ko) * 2009-09-22 2014-04-14 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR100733830B1 (ko) * 2005-06-09 2007-07-02 충남대학교산학협력단 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR101217647B1 (ko) * 2005-08-05 2013-01-02 알카텔-루센트 유에스에이 인코포레이티드 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
KR100757076B1 (ko) * 2006-03-27 2007-09-10 주식회사 라오넷 플로우량 조절기능을 갖는 네트워크 장비
KR100882809B1 (ko) * 2006-08-31 2009-02-10 영남대학교 산학협력단 플로우 기반 패킷 처리방식의 분산 서비스 거부 공격 방어시스템 및 방법
KR101290036B1 (ko) * 2007-03-12 2013-07-30 주식회사 엘지씨엔에스 동적 공격에 대한 네트워크 보안 장치 및 방법
WO2011013947A2 (ko) * 2009-07-27 2011-02-03 (주)잉카인터넷 분산서비스거부 공격 차단 시스템 및 방법
WO2011013947A3 (ko) * 2009-07-27 2011-04-21 (주)잉카인터넷 분산서비스거부 공격 차단 시스템 및 방법
KR101135437B1 (ko) * 2009-07-27 2012-04-13 주식회사 잉카인터넷 분산서비스거부 공격 차단 시스템 및 방법
KR101380015B1 (ko) * 2009-09-22 2014-04-14 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
WO2011062342A1 (ko) * 2009-11-18 2011-05-26 주식회사 반딧불 개인 컴퓨터의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치
KR101103744B1 (ko) * 2010-08-23 2012-01-11 시큐아이닷컴 주식회사 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법

Also Published As

Publication number Publication date
KR100609684B1 (ko) 2006-08-08

Similar Documents

Publication Publication Date Title
US8392991B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
KR101111433B1 (ko) 능동 네트워크 방어 시스템 및 방법
US9060020B2 (en) Adjusting DDoS protection based on traffic type
US7624447B1 (en) Using threshold lists for worm detection
US10075468B2 (en) Denial-of-service (DoS) mitigation approach based on connection characteristics
US7814542B1 (en) Network connection detection and throttling
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US20100251370A1 (en) Network intrusion detection system
US11128670B2 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
KR100609684B1 (ko) 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법
KR100479202B1 (ko) 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
US20110179479A1 (en) System and method for guarding against dispersed blocking attacks
US10171492B2 (en) Denial-of-service (DoS) mitigation based on health of protected network device
KR20060017109A (ko) 네트워크 보호 장치 및 방법
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
KR100770354B1 (ko) IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법
JP2005134972A (ja) ファイアウォール装置
JP2004140618A (ja) パケットフィルタ装置および不正アクセス検知装置
KR100728446B1 (ko) 하드웨어 기반의 침입방지장치, 시스템 및 방법
KR20060056195A (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
Cisar et al. Intrusion detection-one of the security methods
KR101166352B1 (ko) Ip 스푸핑 탐지 및 차단 방법
Fosić et al. VPN network protection by IDS system implementation
Pukkawanna et al. LD 2: A system for lightweight detection of denial-of-service attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee