KR20050098603A - 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법 - Google Patents

액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법 Download PDF

Info

Publication number
KR20050098603A
KR20050098603A KR1020040024030A KR20040024030A KR20050098603A KR 20050098603 A KR20050098603 A KR 20050098603A KR 1020040024030 A KR1020040024030 A KR 1020040024030A KR 20040024030 A KR20040024030 A KR 20040024030A KR 20050098603 A KR20050098603 A KR 20050098603A
Authority
KR
South Korea
Prior art keywords
signature
class
packet
packets
source address
Prior art date
Application number
KR1020040024030A
Other languages
English (en)
Inventor
홍충선
이대환
송문숙
Original Assignee
홍충선
이대환
송문숙
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 홍충선, 이대환, 송문숙 filed Critical 홍충선
Priority to KR1020040024030A priority Critical patent/KR20050098603A/ko
Publication of KR20050098603A publication Critical patent/KR20050098603A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/44Distributed routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

액티브 라우터를 이용한 분산서비스거부공격을 방어하는 방법이 제공된다. 공격목표 서버와 가장 가까운 액티브 라우터(Active Router)가 패킷을 탐지하여 이에 따른 시그네쳐(Signature)를 생성한다. 생성된 시그네쳐는 다른 액티브 라우터들에게 전달된다. 이들 액티브 라우터들은 전달받은 시그네쳐에 기반하여 필터링을 수행한다. 본 발명에서 구현하는 이중적인 분류과정 중에서 기본형 분류를 통하여 네트워크의 혼잡문제를 줄일 수 있고, 적응형 분류를 통하여 간접피해 문제를 줄일 수 있는 효과가 있다.

Description

액티브 라우터를 이용한 분산서비스거부공격을 방어하는 방법 {Method for defending Distributed Denial of Service using active router}
본 발명은 액티브 라우터를 이용한 분산서비스거부공격을 방어하는 방법에 관한 것으로서, 더욱 상세하게는 액티브 라우터에서 기본형과 적응형의 이중 분류과정을 이용한 탐지과정과 트래픽 제어 모듈의 필터링 과정을 통하여 분산서비스거부공격을 방어하는 방법에 관한 것이다.
인터넷은 모든 정보를 가장 빠르게, 손쉽게 얻을 수 있는 정보의 보고로 자리잡았고, 이에 따라 대부분의 회사나 조직체들은 보다 나은 서비스를 제공하고 보다 앞선 경쟁력을 갖추기 위해 대부분의 사내망을 인터넷에 접속시키고 있다. 그러나 인터넷은 본질적으로 신뢰할 수 없는 네트워크들의 집합체로, 정보의 흐름을 통제하기가 대단히 어렵다. 따라서, 인터넷에 산재한 자원을 충분히 활용하며 내부의 중요한 자원을 인터넷으로부터 보호해 줄 수 있는 인터넷 보안이 가장 심각한 문제로 대두되고 있다. 특히 2000년 2월, Amazon.com, Yahoo, CNN.com, E*TRADE, eBay, Buy.com 같은 주요 회사 웹사이트가 DDoS(Distributed Denial of Service) 공격을 당하여 몇 시간 동안 사용불능 상태가 되었다. 또한, 우리나라에서는 2003년 1월 25일에 SQL 슬래머웜의 발생 및 전파로 인한 트래픽 폭증으로 인터넷이 마비되는 일이 발생했다. 이렇게 피해가 증가함에 따라 DDoS 공격은 의심할 여지없이 인터넷상에서 시급히 해결해야 할 문제가 되었다.
이렇듯 인터넷에서 시스템의 공격을 방어하기 위한 연구에 있어서는 공격 방지와 선점(attack prevention and preemption : 공격전에 이루어진다), 공격 탐지와 필터링(attack detection and filtering :공격중에 이루어진다), 공격 발신지 역추적과 식별(attack source traceback and identification : 공격후에 이루어진다)의 3분야로 진행되고 있다.
먼저 공격 방지와 선점 방법에서 호스트는 마스터와 에이전트에 의해 보호 받는데, 마스터는 트래픽을 모니터하고 DDoS 공격의 패턴을 정의해 놓은 시그네쳐(signature)와 비교하여 공격을 탐지한다. 그리고, 공격 발신지 역추적과 식별방법은 패킷의 발신지 주소와 상관없이 패킷이 실제로 어떤 경로로 통해 전달되었는지를 식별하는데 사용된다. 공격 탐지와 필터링 방법은 실제 공격에 근거하여 시그네쳐를 생성하고 이를 사용하여 공격을 필터링할 수 있다는 점에서 가장 활발한 연구가 진행되고 있다. 이중 탐지 부분은 DDoS 공격이나 공격패킷을 식별하는데 사용되어 진다. 즉 공격 플로우나 공격패킷을 식별한 뒤 필터링 부분은 공격패킷을 분류하고 드롭한다.
도 1은 DDoS 공격탐지/필터링이 구성될 수 있는 위치를 나타낸 것이다. 도 1에서 보는 바와 같이, 공격목표 대상 네트워크에 가까울수록 공격 탐지의 효율성은 높아지고, 반대로 공격소스 네트워크에 가까울수록 패킷 필터링 과정의 효율성은 높아진다.
DDoS 보안연구에 있어서 탐지부의 효율성은 FPR(false positive ratio)과 FNR(false negative ratio)로 평가할 수 있다. 여기서 FPR은 전체 일반패킷에 대한 공격패킷으로 잘못 분류되는 패킷의 비율이고, FNR은 그 반대의 경우이다. 또한 필터링의 효율성은 DDoS 공격중에도 공격패킷의 필터링을 통해 일반 서비스가 가능한지 여부로 평가된다. 또한 공격 플로우의 시그네쳐가 IP주소와 포트번호 같은 일반값들을 사용하기 때문에 공격패킷이 아닌 일반 패킷이 공격 플로우의 시그네쳐와 일치하여 공격패킷으로 분류될 수 있다. 이 문제에 대한 효율성은 필터링되지 않고 목적지에 도달하는 일반패킷의 비율인 NPSR(normal packet survival ratio)로 평가된다.
DDoS 공격은 일반적인 패킷으로 공격이 이루어 지므로 합법적인 패킷과 구분하기 어렵고, 각각의 공격 소스에서 보내는 패킷의 양이 적기 때문에 로컬 관리자가 쉽게 탐지할 수 없다. 따라서 이를 탐지하기 위해서는 통계적인 방법을 사용하는 것이 가장 효율적이다.
통계적인 탐지 알고리즘에는 패킷 속성값의 엔트로피(entropy)나 카이 제곱 (Chi-Square) 검증법 등이 사용되고 있다. 이중 엔트로피 연산법은 어떠한 네트워크 속성값에 대한 임의성(randomness)를 계산한 뒤, 그 값의 평균의 변화량을 탐지하는 방법이다.
위의 공식은 n개의 속성값(ex. Source address, destination address)에 대한 엔트로피 H를 구하는 공식이다. 여기서 pi는 i번째의 속성값이 선택될 확률을 나타낸다.
카이 제곱 검증법은 속성값에 대한 분산도를 측정하는 방법이다. 여기서는 기대값에 대한 분산도를 계산하여 그 값에 따라 비정상적인 속성값을 탐지할 수 있다. 이 방법의 구체적인 식은 다음과 같다.
여기서 B는 샘플 패킷들이 가질 수 있는 값들을 묶어놓은 binning 값이다.(ex. 패킷길이는 0-64, 65-128, 129-255로 binning 될 수 있다) Ni는 N개의 샘플 패킷에서 각각의 binning 범위에 속하는 패킷의 개수고, ni는 일반적인 분포에서 binning에 속하는 기댓값이다.
능동 네트워크의 기본 개념은 네트워크를 구성하는 여러 스위치나 라우터에서 전달받은 패킷에 대해 필요한 컴퓨팅이나 프로그램을 수행하고, 이에 따라 변형된 패킷 내용을 연결된 다음 스위치나 라우터에게 전달하는 기능을 부여함으로써 네트워크가 좀 더 유연하고 능동적으로 움직일 수 있도록 하자는 것이다. AR(Active Router)는 이런 능동 네트워크 기술의 핵심으로써 라우터에 프로그래밍이 가능하도록 한 것이다. 이 라우터는 단순히 패킷을 포워딩하는 식의 단순한 네트워킹 기능을 하는 것이 아니고 사용자가 원하는 프로그램을 패킷을 통하여 전송하여 실행하거나 라우터에 미리 설치된 프로그램 중에서 해당 기능을 실행함으로써 사용자가 원하는 네트워크 기능을 이용할 수 있도록 한 것이다. 이처럼 라우터가 단순한 기능에서 벗어나 네트워크 종단간에서만 이루어지던 여러 가지 에러처리 및 흐름제어와 같은 복잡한 기능 혹은 그 외 사용자가 원하는 기능을 라우터에서 수행할 수 있다는 것은 사용자나 네트워크 망 자체에 유연성 뿐만 아니라 여러 많은 장점들을 제공할 수 있다.
현재 능동 보안 기술과 관련된 연구로는 DARPA에서 진행중인 IDIP(Intruder Detection and Isolation Protocol)와 AN-IDR(Active Network Intrusion Detection and Response)이 대표적이다.
미국의 DARPA(Defense Advanced Research Projects Agency)에서는 현재 네트워크 보안 기술의 한계를 극복하기 위해 SLSS(Survivability of Large Scale Systems) 프로그램의 일환으로 IDIP(Intruder Detection and Isolation Protocol)를 개발하였고 이후 보안 정책을 추가하여 CITRA로 발전시켰다. 또한 IDIP가 실제 시스템에 탑재될 때 생기는 정적(static)인 측면을 보안하기 위해 FTN(Fault Tolerant Network) 프로그램에서 AN-IDR(Active Network Intrusion Detection and Request) 프로젝트를 실행하였다.
IDIP는 침입탐지 시스템과 방화벽, 호스트, 보안관리 관련 시스템들 간의 협력 작업을 통해 공격자의 실제 위치를 역추적하여 공격자를 네트워크로부터 고립시키기 위한 프로토콜이다.
도 2는 IDIP 네트워크 구조를 보여주는 도면이다. IDIP 네트워크의 구조는 크게 커뮤니티(Community)와 네이버후드(Neighborhood)로 이루어 진다. 커뮤니티는 해당 도메인의 전체 IDIP 기능을 관리하는 DC(Discovery Coordinator) 시스템이 관할하는 영역으로 DC는 한 커뮤니티 안에 하나씩 존재한다. 네이버후드는 실제 IDIP가 실장된 시스템이 존재하는 영역이다. DC는 공격 경로 상에 있는 IDIP 노드들로부터 상태 보고를 접수하여 조합한 후 각 IDIP가 임의로 수행한 대응 방안을 해제하거나 추가적인 대응을 지시하여 회생의 대응 방안을실행한다. 그러나 IDIP가 실제 네트워크에 적용되기 위해서는 프로토콜 스택으로 구현되어 시스템에 탑재되어야 하므로, 새로운 기능이 추가되거나 기능이 변경될 경우 문제점이 생긴다.
AN-IDR(Active Network Intrusion Detection and Request)은 공격자를 탐지, 추적하여 공격자와 인접한 노드에서 공격자의 네트워크에 대한 연결성을 단절하여 공격자를 네트워크로부터 고립시키기 위한 목적으로 수행된 프로젝트로 공격자 탐지와 추적은 IDIP의 방법을 그대로 사용하지만, IDIP가 동적이지 못함으로 해서 생기는 문제점은 액티브 네트워크 기술을 적용해 해결하였다.
도 3은 AN-IDR의 네트워크 구조를 보여주는 도면이다. AN-IDR의 네트워크 구조는 기존 IDIP의 구조와 같으나 다른 점은 AN-IDR의 보안상 관리 도메인을 계층적 구조로 가져 가고 있다는 점이다. 실제로 침입자를 추적하고 대응하기 위해서는 여러 관리 도메인 간의 정보 교환이나 특정 시스템을 제어할 필요가 있는데, 이때 각 망 사업자나 서비스 제공 사업자들이 자신의 망의 제어권을 보호하기 위한 방안으로 고안된 방법이다. 각 사업자는 자신의 도메인에서 AN-IDR의 제어, 관리를 수행하고, 각 사업자들의 이러한 대응 방법들을 조합하여 상위 계층에 도입해 사업자의 고유 권한 침범 없이 정보 공유를 가능하게 한다.
그러나, AR을 이용한 탐지과정과 필터링과정을 통해 DDoS를 방어하는 시스템은 아직 제안되어 있지 않다.
본 발명은 이러한 점을 감안하여 이루어진 것으로서, 네트워크 혼잡문제와 간접피해문제를 줄일 수 있는 액티브 라우터를 이용한 DDoS 방어 방법을 제공하는데 그 목적이 있다.
이러한 목적을 달성하기 위한 본 발명은, 공격목표 서버와 가장 가까운 액티브 라우터(Active Router)가 패킷을 탐지하고, 이에 따른 시그네쳐(Signature)를 생성하는 제 1단계와, 상기 시그네쳐를 다른 액티브 라우터들에게 전달하는 제 2단계와, 상기 액티브 라우터들이 전달받은 시그네쳐에 기반하여 필터링을 수행하는 제 3단계를 구비한다.
상기 제 1단계는 액티브 라우터가 지나가는 패킷의 속성값 중에서 소스 어드레스(Source Address)와 패킷길이를 수집하는 단계와, 상기 소스 어드레스에 대한 엔트로피 값을 계산하고, 이를 엔트로피 평균값과 비교하여 임계값을 초과하면 상기 소스 어드레스로 서스피셔스(Suspicious) 시그네쳐를 생성하고, 임계값 미만이면 엔트로피 평균값을 업데이트하는 기본형 분류단계와, 상기 서스피셔스 시그네쳐에 속하는 패킷의 수가 일정치 이상이 되면 상기 서스피셔스 시그네쳐에 속하는 패킷의 패킷길이에 대한 카이-제곱(Chi-square) 값을 계산하고, 이를 카이-제곱 평균값과 비교하여 임계값을 초과하면 상기 소스 어드레스에 패킷길이를 더하여 맬리셔스(Malicious) 시그네쳐를 생성하고, 임계값 미만이면 카이-제곱 평균값을 업데이트하는 적응형 분류 단계를 포함할 수 있다.
상기 제 3단계는 기본형 분류 단계를 수행하는 디텍팅 컴포넌트(Detecting Component)에서 공격목표 서버에 대한 공격이 탐지되면 컴포넌트 매니저(Component Manager)에서 트래픽 제어 모듈(Traffic Control Module)로 레드 메시지를 보내고, 이 메시지를 받은 트래픽 제어 모듈은 현재 트래픽 제어 모듈을 지나는 패킷들을 버퍼에 저장하는 단계와, 상기 트래픽 제어 모듈이 상기 컴포넌트 매니저로부터 시그네쳐들을 받아 이에 따라 각각 일반 패킷을 저장하기 위한 노멀 클래스, 서스피셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 서스피셔스 클래스를 생성하는 단계와, 상기 노멀 클래스, 서스피셔스 클래스가 생성되면 상기 컴포넌트 매니저에서 상기 트래픽 제어 모듈로 그린 메시지를 보내고, 이 메시지를 받은 상기 트래픽 제어 모듈은 버퍼에 저장되어 있는 패킷 중에서 상기 서스피셔스 시그네쳐와 일치하는 패킷은 서스피셔스 클래스의 큐(queue), 일반패킷은 노멀 클래스의 큐에 각각 저장하는 단계와, 상기 서스피셔스 클래스는 서스피셔스 클래스의 큐에 저장되는 패킷을 카운팅한 후에 그 패킷들의 소스 어드레스와 패킷길이를 레포지터리(Repository)에 저장하는 단계와, 패킷을 카운팅한 수가 일정한 임계값을 초과하면 상기 레포지터리에 저장된 소스 어드레스와 패킷길이 중에서 임계값을 초과한 패킷의 소스 어드레스와 패킷길이를 상기 컴포넌트 매니저에 전달하고, 상기 컴포넌트 매니저는 적응형 분류 단계를 수행하는 디텍팅 컴포넌트에게 상기 소스 어드레스와 패킷길이를 보내는 단계와, 상기 적응형 분류 단계를 수행하는 디텍팅 컴포넌트가 임계값을 초과하는 패킷길이를 탐지하면, 상기 트래픽 제어 모듈은 맬리셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 맬리셔스 클래스를 생성하고, 버퍼에 저장되어 있는 패킷 중에서 상기 맬리셔스 시그네쳐와 일치하는 패킷을 맬리셔스 클래스의 큐에 저장하는 단계와, 노드의 허용 대역폭 안에서 노멀 클래스, 서스피셔스 클래스, 맬리셔스 클래스의 순서에 따라 각각의 클래스의 큐에 저장되어 있는 패킷을 통과시키는 단계를 포함할 수 있다.
이하, 첨부된 도면을 참조해서 본 발명의 실시예를 상세히 설명하면 다음과 같다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 4는 본 발명의 바람직한 일실시예에 따른 액티브 라우터를 이용한 보안관리 네트워크 구성도를 보여주는 도면이다.
액티브 네트워크 기술을 사용하여 공격목표서버에서 가장 가까운 액티브 라우터(AR1)에서 공격을 탐지하고, 여기서 생성된 시그네쳐를 다른 액티브 라우터들(AR2, AR3)에게 전달한다. 그리고, 시그네쳐를 전달받은 액티브 라우터들(AR2, AR3)은 이에 기반하여 필터링을 수행한다. 이러한 구조는 공격대상서버와 가까운 곳에서 탐지를 수행하고, 공격소스서버와 가까운 곳에서 필터링을 수행하므로, 도 1에서 살펴보았던 공격 탐지과정의 효율성과 패킷필터링 과정의 효율성에 부합한다. 따라서, 본 발명은 높은 효율성으로 공격패킷의 탐지과정과 필터링 과정을 수행할 수 있다.
여기서, "시그네쳐"라는 용어에 대해 설명하고자 한다. 시그네쳐는 NIDS(Network-based Intrusion Detection System)에서 공격패킷을 탐지하고 식별하는데 쓰이는 비트열이나 2진 패턴을 포함한 패킷 등을 가리킨다. 본 발명에서는 DDoS 공격을 빠르고 정확하게 탐지할 수 있도록, 동적·이중적인 탐지기법을 사용하였는데, 이 과정에서 네트워크 혼잡을 일으키는 수상한 플로우의 임시 식별자가 되는 서스피셔스(Suspicious) 시그네쳐, 노드들이 DDoS 공격의 특성값을 발견하였을 때 생성되는 맬리셔스(Malicious) 시그네쳐 등이 생성된다. 각 시그네쳐에 대한 상세한 설명은 후술하기로 한다.
도 5는 본 발명의 바람직한 일실시예에 따른 시그네쳐 생성과정을 보여주는 도면이다. 더욱 상세하게는 액티브 라우터가 복수의 탐지 알고리즘을 사용하여 시그네쳐를 생성하는 과정이다. 액티브 라우터가 패킷을 탐지하는 과정은 크게 기본형 분류(Elementary Classification)와 적응형 분류(Adaptive Classification)의 두 과정으로 나뉜다.
먼저 기본형 분류(520)에서는 지나가는 패킷(510)들을 모니터링하면서 연산난이도가 비교적 낮은 단수의 탐지 알고리즘을 사용하여 서스피셔스 시그네쳐를 생성하게된다. 이러한 서스피셔스 시그네쳐를 생성하는 과정에서는 네트워크 혼잡문제를 해결하기 위하여 정밀도가 낮도록, 즉 FPR, NPSR이 높도록 임계값이 낮게 설정된다. 본 발명의 일실시예에서 단수의 탐지 알고리즘으로 엔트로피 계산법이 사용된다.
다음, 공격패킷으로 오분류된 일반패킷의 양을 줄이기 위하여 적응형 분류(530)과정이 수행된다. 적응형 분류(530)에서는 일정한 기간동안 계속하여 서스피셔스 시그네쳐에 속하는 패킷속성값을 복수의 탐지 알고리즘을 사용하여 더 정밀히 분석하여 맬리셔스 시그네쳐를 생성하게 된다. 이러한 맬리셔스 시그네쳐를 생성하는 과정에서는 간접피해문제를 해결하기 위하여 정밀도가 높도록, 즉 FNR, NPSR이 낮도록 임계값이 높게 설정된다. 본 발명의 일실시예에서 복수의 탐지 알고리즘으로 카이-제곱 검증법이 사용된다.
필터링(540)과정에서는 상기 서스피셔스 시그네쳐와 맬리셔스 시그네쳐를 기반으로 패킷(510)을 필터링하여 필터링된 패킷(550)을 내보내게 된다. 필터링에 대한 상세한 설명은 후술하기로 한다.
이러한 탐지 과정과 필터링 과정을 수행하는 액티브 라우터의 구성을 도면을 참조하여 설명하기로 한다. 도 6은 본 발명의 바람직한 일실시예에 따른 액티브 라우터의 구성을 보여주는 도면이다. 도 6의 실시예에서는 기존 라우터의 구성부분은 도시하지 않고, 본 발명에 해당하는 액티브 라우터의 구성부분만을 도시하였다. 본 발명의 실시예에서 액티브 라우터는 모니터링 툴(610), 디텍팅 컴포넌트(620), 컴포넌트 매니저(630), 트래픽 제어 모듈(640) 등을 포함하여 구성된다.
모니터링 툴(610)은 지나가는 패킷들을 모니터링하는 역할을 수행한다.
디텍팅 컴포넌트(620)는 패킷의 속성값에 대한 탐지 알고리즘인 엔트로피 계산법과 카이제곱 검증법을 수행하는 n개로 구성된다. 이렇게 컴포넌트 형식으로 구현된 이유는 전술한 탐지 알고리즘의 업데이트를 용이하게 하기 위함이다.
컴포넌트 매니저(630)는 관리 서버의 명령을 받아 탐지알고리즘의 임계값 설정등의 컴포넌트 관리, 트래픽 제어 메시지 생성, 시그네쳐의 전달, 연산 평균값 유지 등의 역할을 수행한다.
트래픽 제어 모듈(640)은 컴포넌트 매니저(630)로부터 수신한 제어메시지에 따라 트래픽을 조절하는 부분으로써, 실질적인 필터링과정이 수행된다.
도 7은 본 발명의 바람직한 일실시예에 따른 트래픽 제어 모듈(640)의 구성을 보여주는 도면이다.
트래픽 제어 모듈(640)은 패킷을 임시 저장하기 위한 버퍼(710), 일반 패킷을 저장하기 위한 노멀 클래스(720)와 노멀 큐(720), 서스피셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 서스피셔스 클래스(740)와 서스피셔스 큐(750), 맬리셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 맬리셔스 클래스(770)와 맬리셔스 큐(780), 서스피셔스 시그네쳐의 속성값을 저장하기 위한 레포지터리(760), 패킷을 최종적으로 통과시키는 부분인 Leaky Bucket(790) 등을 포함하여 구성된다.
트래픽 제어 모듈(640)에서 수행되는 필터링 과정에 대한 상세한 설명은 후술하기로 한다.
도 8은 본 발명의 바람직한 일실시예에 따른 액티브 라우터(AR)를 이용한 DDoS를 방어하는 방법을 보여주는 흐름도이다. 도 4에서 도시된 바와 같이, 공격목표 서버와 가장 가까운 액티브 라우터(AR1)가 패킷을 탐지한다(S810). 그리고, 패킷에 따른 시그네쳐를 생성하게 된다(S820). 예를 들면, 엔트로피 탐지 알고리즘을 이용하여 서스피셔스 시그네쳐를 생성하고, 카이-제곱 탐지 알고리즘을 이용하여 맬리셔스 시그네쳐를 생성한다. 액티브 라우터(AR1)는 이렇게 생성된 시그네쳐를 다른 액티브 라우터들(AR2, AR3)에게 전달한다(S830). 액티브 라우터들(AR2, AR3)은 전달받은 시그네쳐에 기반하여 필터링을 수행한다(S840). 도 4의 실시예는 도 1에서 살펴본 대로 공격목표 서버와 가까운 곳에서 탐지과정을 수행하고, 공격소스서버와 가까운 곳에서 필터링과정을 수행하여 효율적인 DDoS 방어 시스템을 구축할 수 있게 된다.
도 9는 본 발명의 바람직한 일실시예에 따른 시그네쳐를 생성하는 방법을 보여주는 흐름도이다. 상기한 바와 같이 액티브 라우터는 공격 패킷을 탐지하고, 이에 따른 시그네쳐를 생성하게 된다. 이러한 시그네쳐를 생성하는 방법을 도 9의 흐름도를 참조하여 설명하고자 한다.
패킷을 탐지하고 시그네쳐를 생성하는 과정은 서스피셔스 시그네쳐를 생성하는 기본형 분류 단계와, 맬리셔스 시그네쳐를 생성하는 적응형 분류 단계로 나눌 수 있다.
먼저, 기본형 분류 단계는 액티브 라우터는 지나가는 패킷의 속성값 중에서 소스 어드레스(Source Address)와 패킷길이를 수집한다(S905). 이중에서 소스 어드레스에 대한 엔트로피 값을 계산한다(S910). 이 엔트로피 값을 업데이트 해오고 있던 엔트로피 평균값과 비교한다(S915). 이 엔트로피 값이 임계값을 초과하면 그 소스 어드레스로 서스피셔스 시그네쳐를 생성한다(S920, S925). 그렇지 않으면, 엔트로피 평균값을 업데이트한다(S925, S940).
서스피셔스 시그네쳐에 속하는 패킷의 수가 일정치 이상이 되면 악의적인 패킷일 가능성이 높기 때문에 이 패킷들은 적응형 분류 단계를 거치게 된다.
적응형 분류 단계는 서스피셔스 시그네쳐에 속하는 패킷의 수가 일정치 이상이면, 이에 해당하는 패킷의 패킷길이에 대한 카이-제곱 값을 계산한다(S930, S945). 이 카이-제곱 값을 업데이트 해오고 있던 카이-제곱 평균값과 비교한다(S950). 기본형 분류 단계와 마찬가지로, 이 카이-제곱 값이 임계값을 초과하면 소스 어드레스에 패킷길이를 더하여 맬리셔스 시그네쳐를 생성한다(S955, S960). 그렇지 않으면, 카이-제곱 평균값을 업데이트한다(S955, S965).
최종적으로, 이렇게 생성된 서스피셔스 시그네쳐와 맬리셔스 시그네쳐를 이용하여 필터링을 하게 된다(S935).
상기 패킷 탐지와 시그네쳐 생성과정을 예를 들어 설명한다.
[표 1] 서스피셔스 시그네쳐의 예
엔트로피 평균값 현재 엔트로피 값 서스피셔스 시그네쳐
7(임계값 8) 8.7 {Scr=201.170.123.6}
표 1은 기본형 분류 단계에서 엔트로피 방법을 이용한 서스피셔스 시그네쳐 생성예이다. 상기예는 소스 어드레스에 대해서 엔트로피 값을 계산한 예이다. 엔트로피 평균값이 7(임계값 8)일 때 현재 소스 어드레스의 엔트로피 값이 8.7이면, 임계값을 초과하였으므로 그 소스 어드레스인 201.170.123.6이 서스피셔스 시그네쳐가 생성된다.
[표 2] 맬리셔스 시그네쳐의 예
카이-제곱 평균값 현재 카이-제곱 값 맬리셔스 시그네쳐
1200(임계값 1300) 2000 {Scr=201.170.123.6leng=1-64 byte}
표 2는 적응형 분류 단계에서 카이-제곱 검증법을 이용한 맬리셔스 시그네쳐 생성예이다. 상기예는 패킷 길이에 대해서 카이-제곱 값을 계산한 예이다. 카이-제곱 평균값이 1200(임계값 1300)일 때 현재 패킷 길이의 카이-제곱 값이 2000이면, 임계값을 초과하였으므로 그 소스 어드레스인 201.170.123.6에 그 패킷길이인 1-64 byte를 더하여 맬리셔스 시그네쳐가 생성된다.
도 10은 본 발명의 바람직한 일실시예에 따른 필터링을 수행하는 방법을 보여주는 흐름도이다.
기본형 분류 단계를 수행하는 디텍팅 컴포넌트(620)에서 공격목표 서버에 대한 공격이 탐지되면(S110), 컴포넌트 매니저(630)에서 트래픽 제어 모듈(640)로 레드 메시지를 보낸다(S120). 여기서 레드 메시지는 공격이 탐지되었지만 일반패킷과 공격패킷을 구분할 수 없으므로, 액티브 라우터가 임시로 패킷전송을 중지하도록 하는 메시지이다. 이러한 레드 메시지를 받은 트래픽 제어 모듈(640)은 지나는 패킷들을 버퍼(710)에 저장한다(S130).
트래픽 제어 모듈(640)은 컴포넌트 매니저(630)로부터 시그네쳐들을 받아 이에 따라 클래스를 생성한다(S140). 본 발명의 실시예에서는 일반 패킷을 저장하기 위한 노멀 클래스, 서스피셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 서스피셔스 클래스가 생성된다.
각각의 패킷을 저장하기 위한 클래스가 생성되면 컴포넌트 매니저(630)에서는 트래픽 제어 모듈(640)로 그린 메시지를 송신한다(S150). 여기서 그린 메시지는 공격 패킷을 구분하여 그에 해당하는 클래스가 생성되어 공격 패킷을 필터링할 수 있는 매커니즘이 형성되었을 때 보내는 메시지로서, 액티브 라우터가 이 매커니즘에 근거하여 다시 패킷 전송을 수행할 것을 지시하는 메시지이다. 이러한 그린 메시지를 받은 트래픽 제어 모듈(640)은 버퍼(710)에 저장되어 있는 패킷 중에서 서스피셔스 시그네쳐와 일치하는 패킷은 서스피셔스 큐(750)에, 일반 패킷은 노멀 큐(730)에 각각 저장한다(S160).
서스피셔스 클래스(740)는 서스피셔스 큐(750)에 저장되는 패킷을 카운팅한 후에 그 패킷들의 소스 어드레스와 패킷길이를 레포지터리(760)에 저장한다. 이때, 패킷을 카운팅한 수가 일정한 임계값을 초과하면 레포지터리(760)에 저장된 소스 어드레스와 패킷길이 중에서 임계값을 초과한 패킷의 소스 어드레스와 패킷길이를 컴포넌트 매니저(630)에 전달한다. 컴포넌트 매니저(630)는 적응형 분류 단계를 수행하는 디텍팅 컴포넌트(620)에게 소스 어드레스와 패킷길이를 보내게 된다. 디텍팅 컴포넌트(620)에서 적응형 분류를 수행하는 중에 임계값을 초과하는 패킷길이가 탐지되면, 트래픽 제어 모듈(640)은 맬리셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 맬리셔스 클래스(770)를 생성하고, 버퍼(710)에 저장되어 있는 패킷 중에서 맬리셔스 시그네쳐와 일치하는 패킷을 맬리셔스 큐(780)에 저장한다.
마지막으로, 트래픽 제어 모듈(640)은 노드의 허용 대역폭 안에서 노멀 클래스(720), 서스피셔스 클래스(740), 맬리셔스 클래스(770)의 순서에 따라 각각의 클래스의 큐에 저장되어 있는 패킷을 통과시킨다(S170).
이상 본 발명을 몇 가지 바람직한 실시예를 사용하여 설명하였으나, 이들 실시예는 예시적인 것이며 한정적인 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 지닌 자라면 본 발명의 사상과 첨부된 특허청구범위에 제시된 권리범위에서 벗어나지 않으면서 다양한 변화와 수정을 가할 수 있음을 이해할 것이다.
이상에서 설명한 바와 같이, 본 발명에 의하면 액티브 라우터를 이용한 DDoS 방어 방법이 제공된다. 본 발명에서 구현하는 이중적인 분류과정 중에서 기본형 분류를 통하여 네트워크의 혼잡문제를 줄일 수 있고, 적응형 분류를 통하여 간접피해 문제를 줄일 수 있는 효과가 있다. 또한, 탐지과정과 필터링 과정은 그것이 가장 효율적으로 수행될 수 있는 곳에 위치하게 되므로, 보다 정확하고 효율적으로 DDoS에 대응할 수 있는 장점이 있다. 또한, 액티브 라우터의 구성 요소가 컴포넌트화 되므로, 업그레이드가 용이하여 다양하게 변화하는 시스템공격에 효과적으로 대처할 수 있다.
도 1은 DDoS 공격탐지위치와 필터링위치를 보여주는 도면이다.
도 2는 IDIP의 네트워크 구조를 보여주는 도면이다.
도 3은 AN-IDR의 네트워크 구조를 보여주는 도면이다.
도 4는 본 발명의 바람직한 일실시예에 따른 액티브 라우터를 이용한 보안관리 네트워크 구성도를 보여주는 도면이다.
도 5는 본 발명의 바람직한 일실시예에 따른 시그네쳐 생성과정을 보여주는 도면이다.
도 6은 본 발명의 바람직한 일실시예에 따른 액티브 라우터의 구성을 보여주는 도면이다.
도 7은 본 발명의 바람직한 일실시예에 따른 트래픽 제어 모듈의 구성을 보여주는 도면이다.
도 8은 본 발명의 바람직한 일실시예에 따른 액티브 라우터를 이용한 DDoS를 방어하는 방법을 보여주는 흐름도이다.
도 9는 본 발명의 바람직한 일실시예에 따른 시그네쳐를 생성하는 방법을 보여주는 흐름도이다.
도 10은 본 발명의 바람직한 일실시예에 따른 필터링을 수행하는 방법을 보여주는 흐름도이다.

Claims (3)

  1. 공격목표 서버와 가장 가까운 액티브 라우터(Active Router)가 패킷을 탐지하고, 이에 따른 시그네쳐(Signature)를 생성하는 제 1단계와,
    상기 시그네쳐를 다른 액티브 라우터들에게 전달하는 제 2단계와,
    상기 액티브 라우터들이 전달받은 시그네쳐에 기반하여 필터링을 수행하는 제 3단계
    를 구비하는 분산서비스거부공격을 방어하는 방법.
  2. 제 1항에 있어서, 상기 제 1단계는
    액티브 라우터가 지나가는 패킷의 속성값 중에서 소스 어드레스(Source Address)와 패킷길이를 수집하는 단계와,
    상기 소스 어드레스에 대한 엔트로피 값을 계산하고, 이를 엔트로피 평균값과 비교하여 임계값을 초과하면 상기 소스 어드레스로 서스피셔스(Suspicious) 시그네쳐를 생성하고, 임계값 미만이면 엔트로피 평균값을 업데이트하는 기본형 분류단계와,
    상기 서스피셔스 시그네쳐에 속하는 패킷의 수가 일정치 이상이 되면 상기 서스피셔스 시그네쳐에 속하는 패킷의 패킷길이에 대한 카이-제곱(Chi-square) 값을 계산하고, 이를 카이-제곱 평균값과 비교하여 임계값을 초과하면 상기 소스 어드레스에 패킷길이를 더하여 맬리셔스(Malicious) 시그네쳐를 생성하고, 임계값 미만이면 카이-제곱 평균값을 업데이트하는 적응형 분류 단계
    를 포함하는 것을 특징으로 하는 분산서비스거부공격을 방어하는 방법.
  3. 제 1항에 있어서, 상기 제 3단계는
    기본형 분류 단계를 수행하는 디텍팅 컴포넌트(Detecting Component)에서 공격목표 서버에 대한 공격이 탐지되면 컴포넌트 매니저(Component Manager)에서 트래픽 제어 모듈(Traffic Control Module)로 레드 메시지를 보내고, 이 메시지를 받은 트래픽 제어 모듈은 현재 트래픽 제어 모듈을 지나는 패킷들을 버퍼에 저장하는 단계와,
    상기 트래픽 제어 모듈이 상기 컴포넌트 매니저로부터 시그네쳐들을 받아 이에 따라 각각 일반 패킷을 저장하기 위한 노멀 클래스, 서스피셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 서스피셔스 클래스를 생성하는 단계와,
    상기 노멀 클래스, 서스피셔스 클래스가 생성되면 상기 컴포넌트 매니저에서 상기 트래픽 제어 모듈로 그린 메시지를 보내고, 이 메시지를 받은 상기 트래픽 제어 모듈은 버퍼에 저장되어 있는 패킷 중에서 상기 서스피셔스 시그네쳐와 일치하는 패킷은 서스피셔스 클래스의 큐(queue), 일반패킷은 노멀 클래스의 큐에 각각 저장하는 단계와,
    상기 서스피셔스 클래스는 서스피셔스 클래스의 큐에 저장되는 패킷을 카운팅한 후에 그 패킷들의 소스 어드레스와 패킷길이를 레포지터리(Repository)에 저장하는 단계와,
    패킷을 카운팅한 수가 일정한 임계값을 초과하면 상기 레포지터리에 저장된 소스 어드레스와 패킷길이 중에서 임계값을 초과한 패킷의 소스 어드레스와 패킷길이를 상기 컴포넌트 매니저에 전달하고, 상기 컴포넌트 매니저는 적응형 분류 단계를 수행하는 디텍팅 컴포넌트에게 상기 소스 어드레스와 패킷길이를 보내는 단계와,
    상기 적응형 분류 단계를 수행하는 디텍팅 컴포넌트가 임계값을 초과하는 패킷길이를 탐지하면, 상기 트래픽 제어 모듈은 맬리셔스 시그네쳐와 일치하는 패킷을 저장하기 위한 맬리셔스 클래스를 생성하고, 버퍼에 저장되어 있는 패킷 중에서 상기 맬리셔스 시그네쳐시그네쳐는 패킷을 맬리셔스 클래스의 큐에 저장하는 단계와,
    노드의 허용 대역폭 안에서 노멀 클래스, 서스피셔스 클래스, 맬리셔스 클래스의 순서에 따라 각각의 클래스의 큐에 저장되어 있는 패킷을 통과시키는 단계
    를 포함하는 것을 특징으로 하는 분산서비스거부공격을 방어하는 방법.
KR1020040024030A 2004-04-08 2004-04-08 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법 KR20050098603A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040024030A KR20050098603A (ko) 2004-04-08 2004-04-08 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040024030A KR20050098603A (ko) 2004-04-08 2004-04-08 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법

Publications (1)

Publication Number Publication Date
KR20050098603A true KR20050098603A (ko) 2005-10-12

Family

ID=37278025

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040024030A KR20050098603A (ko) 2004-04-08 2004-04-08 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법

Country Status (1)

Country Link
KR (1) KR20050098603A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR100733830B1 (ko) * 2005-06-09 2007-07-02 충남대학교산학협력단 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR100803029B1 (ko) * 2006-12-01 2008-02-18 경희대학교 산학협력단 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
KR101428573B1 (ko) * 2013-06-20 2014-08-11 경북대학교 산학협력단 네트워크 장치 및 트래픽 처리 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR100733830B1 (ko) * 2005-06-09 2007-07-02 충남대학교산학협력단 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR100803029B1 (ko) * 2006-12-01 2008-02-18 경희대학교 산학협력단 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법
KR101428573B1 (ko) * 2013-06-20 2014-08-11 경북대학교 산학협력단 네트워크 장치 및 트래픽 처리 방법

Similar Documents

Publication Publication Date Title
Swami et al. Software-defined networking-based DDoS defense mechanisms
Dayal et al. Research trends in security and DDoS in SDN
Singh et al. Detection and mitigation of DDoS attacks in SDN: A comprehensive review, research challenges and future directions
CN108063765B (zh) 适于解决网络安全的sdn系统
Abliz Internet denial of service attacks and defense mechanisms
US20210112091A1 (en) Denial-of-service detection and mitigation solution
Abdelsayed et al. An efficient filter for denial-of-service bandwidth attacks
Gupta et al. An ISP level solution to combat DDoS attacks using combined statistical based approach
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
Krishnan et al. SDN/NFV security framework for fog‐to‐things computing infrastructure
EP1919162A2 (en) Identification of potential network threats using a distributed threshold random walk
Raghunath et al. Towards a secure SDN architecture
Rafique et al. CFADefense: A security solution to detect and mitigate crossfire attacks in software-defined IoT-edge infrastructure
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
Jiang et al. BSD‐Guard: A Collaborative Blockchain‐Based Approach for Detection and Mitigation of SDN‐Targeted DDoS Attacks
Ramprasath et al. Mitigation of malicious flooding in software defined networks using dynamic access control list
Ghannam et al. Handling malicious switches in software defined networks
Kareem et al. The current trends of ddos detection in sdn environment
Noh et al. Protection against flow table overflow attack in software defined networks
Keshariya et al. DDoS defense mechanisms: A new taxonomy
Xia et al. Effective worm detection for various scan techniques
Dressler et al. Attack detection using cooperating autonomous detection systems (CATS)
KR20050098603A (ko) 액티브 라우터를 이용한 분산서비스거부공격을 방어하는방법
Divya et al. Malicious Traffic detection and containment based on connection attempt failures using kernelized ELM with automated worm containment algorithm
Chan et al. Intrusion detection routers: design, implementation and evaluation using an experimental testbed

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee