KR20060030037A - 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체 - Google Patents

네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체 Download PDF

Info

Publication number
KR20060030037A
KR20060030037A KR1020057023289A KR20057023289A KR20060030037A KR 20060030037 A KR20060030037 A KR 20060030037A KR 1020057023289 A KR1020057023289 A KR 1020057023289A KR 20057023289 A KR20057023289 A KR 20057023289A KR 20060030037 A KR20060030037 A KR 20060030037A
Authority
KR
South Korea
Prior art keywords
attack
information
countermeasure
network
resumption
Prior art date
Application number
KR1020057023289A
Other languages
English (en)
Other versions
KR100679170B1 (ko
Inventor
유지 소에지마
마사키 오니시
히토시 후지
Original Assignee
니폰덴신뎅와 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 니폰덴신뎅와 가부시키가이샤 filed Critical 니폰덴신뎅와 가부시키가이샤
Publication of KR20060030037A publication Critical patent/KR20060030037A/ko
Application granted granted Critical
Publication of KR100679170B1 publication Critical patent/KR100679170B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Abstract

공격이 정지했을 때에, 공격의 대책을 정지하고, 또한, 이때, 자체 네트워크 공격 대책장치보다도 공격자측에 위치하며, 협조하여 공격의 대책을 행하고 있는 네트워크 공격 대책장치 혹은 공격 재개에 대비하고 있는 네트워크 공격 대책장치가 존재하는지 여부를 판정하는 것으로 공격 재개에 대비할 필요가 있는지 여부를 판정한다. 이 판정에 의해, 공격 재개에 대비할 필요가 없음을 판정할 경우에, 그 공격에 관한 정보를 삭제하여 통상 상태로 복귀하고, 한편, 공격 재개에 대비할 필요가 있음을 판정할 경우에, 그 공격에 관한 정보를 삭제하지 않는 것으로 공격 재개에 대비한다.
DDos방어장치, 네트워크 인터페이스부, 패킷 배분부, 공격 검출부

Description

네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램{NETWORK ATTACK COMBATING METHOD, NETWORK ATTACK COMBATING DEVICE AND NETWORK ATTACK COMBATING PROGRAM}
본 발명은, 네트워크 상에 존재하는 장치 혹은 네트워크에 대하여 행해지는 불필요한 패킷을 사용한 공격을 방어하는 네트워크 공격 대책방법 및 그 장치와, 그 네트워크 공격 대책방법의 실현에 이용되는 네트워크 공격 대책 프로그램에 관한 것이다.
더욱 상세하게 설명하면, 본 발명은, 네트워크에 접속되는 하나 이상의 단말이, 다른 하나 이상의 단말이나 서버 등에 불필요한 패킷을 송신함으로써, 패킷의 송신처의 단말이 네트워크에 접속하여 행하고 있는 서비스 등을 방해하는 네트워크 공격에 대하여, 그 대책을 복수의 장치로 행하고 있는 경우에, 그것들의 각 장치가 자율적으로 공격 대책을 정지하고, 또한, 대책범위를 수속시키는 기술에 관한 것이다.
불필요한 패킷을 대량으로 보내는 네트워크 공격(DDoS공격)은, 네트워크의 복수지점으로부터 공격 패킷이 보내져 오므로, 네트워크의 복수지점에서 공격의 대책을 행하는 것으로 효과적으로 네트워크를 지킬 수 있다.
이 관점에 선 네트워크 공격의 대책 시스템으로서, Arbor networks사의 PeakFlow나 일본 전신 전화주식회사의 MovingFirewall이 있다.
Arbor networks사의 PeakFlow(예를 들면 비특허문헌 1참조)는, 복수지점에서 트래픽을 관측하는 것으로 네트워크 공격을 검지하고, 네트워크내에 존재하는 라우터나 대책장치 등으로 대책을 행한다.
단, 이 시스템에서는, 공격이 수습되면 시스템 관리자가 대책을 정지할 필요가 있다.
한편, 일본 전신 전화주식회사의 MovingFirewall은, 방어 대상의 근처에서 공격을 검지하여 복수의 공격 단말을 향해서 파이어월 기능을 움직여 가는 것으로 방어하는 네트워크를 넓혀 간다.
이 시스템에서는, 네트워크내의 각 장치가 자율적으로 공격의 정지를 판단하여 대책을 막는다. 이때, 공격의 정보는 계속 유지하여 공격이 재개했을 때를 위해 대비한다. 최종적으로 모든 장치로 공격이 정지되었다고 판단되었을 경우, 각 장치의 정보를 알 수 있는 관리 장치에 의해, 각 장치는 초기화되고 공격의 정보도 삭제된다.
이와 같이, 이 시스템에서는, 공격이 수습되면 시스템의 관리자에 의하지 않고, 각 장치가 초기화된다. 또, 시스템 관리자가 각 장치의 초기화의 명령을 낼 수도 있도록 되어 있다.
[비특허문헌1]PEAKFLOW SP, 인터넷
<URL:http://www.arbornetworks.com >
일본 전신 전화주식회사의 MovingFirewall 은 DDoS공격에 대하여 지극히 유효한 대책 시스템을 구축하지만, 관리 장치가 필요하게 된다.
한편, 네트워크 공격 대책장치에는, 시스템이 공격 정지의 판단을 행하여 자동으로 통상시의 상태로 되돌아 가는 것도 있다.
이러한 시스템에 있어서 각 장치가 독립적으로 공격 대책의 정지를 행할 경우, 각 장치에서 공격이 정지했다고 판단함과 동시에 공격의 정보를 바로 소거하는 방법이 있다.
그러나, 이 방법을 이용하면, 다른 장치에 있어서 공격의 대책을 계속하고 있으면 공격 재개의 가능성이 있기 때문에, 공격이 재개했을 때에 공격의 정보를 유지하지 않는 장치는 바로 대응할 수 없으며, 거기가 구멍이 되어, 막을 수 있었던 공격 트래픽이 방어하고 있던 네트워크에 유입되어 버린다는 문제가 있다(문제1).
그래서, 공격 재개시에 바로 대응하기 위해서, 과거의 정보를 계속해서 유지하는 방법도 있다.
그러나, 공격의 정보를 계속해서 유지하면, 과거의 공격 정보가 포화되어 검지 처리나 대책처리를 압박하게 된다. 그 때문에 어느 시점에 있어서 이들의 정보를 삭제 할 필요가 있지만, 독립적으로 이 삭제처리가 행해지고 있으면 적절한 삭제의 계기를 판단할 수 없다는 문제가 있다(문제2).
또한 상기한 바와 같이, 관리시스템을 설치하는 것으로, 모든 장치에서 대책이 정지했음을 판단하고, 대책의 최종정지를 행한다는 방법이 있다.
그러나, 이 방법에서는 관리 장치가 필요하게 된다는 문제가 있다(문제3). 또한 각 장치의 대책 정지 후에 공격이 재개했을 경우에 바로 대응하기 위한 정보도, 모든 장치가 대책을 정지할 때까지 삭제되지 않기 때문에, (문제2)의 해결책으로서는 불충분하다.
본 발명은 이러한 문제를 해결하기 위한 것으로, 본 발명을 적용한 복수의 네트워크 공격 대책장치에 있어서, 각 장치가 자율적으로 판단해서 공격 대책을 정지할 때, 이들의 문제를 해결하면서 공격 대책의 정지 처리를 행하는 것을 가능하게 하는 새로운 네트워크 공격 대책기술의 제공을 목적으로 한다.
[발명의 구성]
전술한 과제를 해결하고, 목적을 달성하기 위하여, 청구항 1에 따른 발명은, 네트워크 상에 존재하는 장치 혹은 네트워크에 대하여 행해지는 불필요한 패킷을 사용한 공격을 복수의 네트워크 공격 대책장치와 협조해서 방어하는 네트워크 공격 대책 장치로 실행되는 네트워크 공격 대책방법에 있어서, 상기 공격의 정지에 따라 이 공격의 대책을 정지했을 경우에, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 현재 공격의 대책을 행하고 있는지, 공격 재개에 대비하고 있는지,혹은 공격의 대책을 정지하여 통상 상태로 복귀하고 있는 지에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 판정 공정과, 상기 판정 공정에 의해 공격 재개에 대비할 필요가 없다고 판정될 경우에, 이 공격에 관한 정보를 삭제하여 통상 상태로 복귀하는 복귀 공정과, 상기 판정 공정에 의해 공격 재개에 대비할 필요가 있다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제하지 않고 이 공격 재개에 대비하는 재개 대비 공정을 포함하는 것을 특징으로 한다.
또한 청구항 2에 따른 발명은, 상기한 발명에 있어서, 상기 판정 공정은, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하는가에 따라 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 한다.
또한 청구항 3에 따른 발명은, 상기한 발명에 있어서, 상기 공격의 대책으로서 자체 장치보다도 공격자측에 위치하는 것 다른 네트워크 공격 대책장치에 대하여 상기 공격에 대한 정보를 통지하는 공격 통지 공정을 더 포함하고, 상기 판정 공정은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치가 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 한다.
또한 청구항 4에 따른 발명은, 상기한 발명에 있어서, 상기 판정 공정은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두가 통상 상태로 복귀하고 있을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 한다.
또한 청구항 5에 따른 발명은, 상기한 발명에 있어서, 상기 공격에 관한 정보를 삭제하여 통상 상태로 복귀할 경우에, 이 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치에 대하여 통상 상태로의 복귀를 통지하는 복귀 통지 공정을 더 포함하고, 상기 판정 공정은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두로부터 통상 상태로 복귀한 취지의 통지를 받았을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 한다.
또한 청구항 6에 따른 발명은, 네트워크 상에 존재하는 장치 혹은 네트워크에 대하여 행해지는 불필요한 패킷을 사용한 공격을 복수의 네트워크 공격 대책장치와 협조하여 방어하는 네트워크 공격 대책장치에 있어서, 상기 공격의 정지에 따라 이 공격의 대책을 정지했을 경우에, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 현재 공격의 대책을 행하고 있는지, 공격 재개에 대비하고 있는지, 혹은 공격의 대책을 정지하여 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 판정 수단과, 상기 판정 수단에 의해 공격 재개에 대비할 필요가 없다고 판정되었을 경우에, 이 공격에 대한 정보를 삭제하여 통상 상태로 복귀하는 복귀 수단과, 상기 판정 수단에 의해 공격 재개에 대비할 필요가 있다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제하지 않고 이 공격 재개에 대비하는 재개 대비 수단을 구비한 것을 특징으로 한다.
또한 청구항 7에 따른 발명은, 상기한 발명에 있어서, 상기 판정 수단은, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하는가에 따라 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 한다.
또한 청구항 8에 따른 발명은, 상기한 발명에 있어서, 상기 공격의 대책으로서 자체 장치보다도 공격자측에 위치하는 다른 네트워크 공격 대책장치에 대하여 상기 공격에 관한 정보를 통지하는 공격 통지 수단을 더 구비하고, 상기 판정 수단은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치가 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 한다.
또한 청구항 9에 따른 발명은, 상기한 발명에 있어서, 상기 판정 수단은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두가 통상 상태로 복귀하고 있을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 한다.
또한 청구항 10에 따른 발명은, 상기한 발명에 있어서, 상기 공격에 관한 정보를 삭제하여 통상 상태로 복귀할 경우에, 이 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치에 대하여 통상 상태로의 복귀를 통지하는 복귀 통지 수단을 더 구비하고, 상기 판정 수단은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두로부터 통상 상태로 복귀한 취지의 통지를 받았을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 한다.
또한 청구항 11에 따른 발명은, 네트워크 상에 존재하는 장치 혹은 네트워크에 대하여 행해지는 불필요한 패킷을 사용한 공격을 복수의 네트워크 공격 대책장치와 협조하여 방어하는 네트워크 공격 대책 장치로 실행되는 네트워크 공격 대책 프로그램에 있어서, 상기 공격의 정지에 따라 이 공격의 대책을 정지했을 경우에, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 현재 공격의 대책을 행하고 있는지, 공격 재개에 대비하고 있는지, 혹은 공격의 대책을 정지하여 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 판정 순서와, 상기 판정 순서에 의해 공격 재개에 대비할 필요가 없다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제하여 통상 상태로 복귀하는 복귀 순서와, 상기 판정 순서에 의해 공격 재개에 대비할 필요가 있다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제 하지 않고 이 공격 재개에 대비하는 재개 대비 순서를 컴퓨터에 실행시키는 것을 특징으로 한다.
또한 청구항 12에 따른 발명은, 상기한 발명에 있어서, 상기 판정 순서는, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하는가에 따라 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 한다.
또한 청구항 13에 따른 발명은, 상기한 발명에 있어서, 상기 공격의 대책으로서 자체 장치보다도 공격자측에 위치하는 다른 네트워크 공격 대책장치에 대하여 상기 공격에 대한 정보를 통지하는 공격 통지 순서를 또 컴퓨터에 실행시키고, 상기 판정 순서는, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치가 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 한다.
또한 청구항 14에 따른 발명은, 상기한 발명에 있어서, 상기 판정 순서는, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두가 통상 상태로 복귀하고 있을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 한다.
또한 청구항 15에 따른 발명은, 상기한 발명에 있어서, 상기 공격에 관한 정보를 삭제하여 통상 상태로 복귀할 경우에, 이 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치에 대하여 통상 상태로의 복귀를 통지하는 복귀 통지 순서를 또 컴퓨터에 실행시키고, 상기 판정 순서는, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두로부터 통상 상태로 복귀한 취지의 통지를 받았을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 한다.
[발명의 효과]
청구항 1, 6 또는 11의 발명에 의하면, 공격의 정지에 따라 공격의 대책을 정지했을 경우에, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 현재 공격의 대책을 행하고 있는지, 공격 재개에 대비하고 있는지, 혹은 공격의 대책을 정지하여 통상 상태로 복귀하고 있는 가에 따라, 공격 재개에 대비할 필요가 있는지 여부를 판정하고, 공격 재개에 대비할 필요가 없다고 판정되었을 경우에, 공격에 관한 정보를 삭제하여 통상 상태로 복귀하고, 공격 재개에 대비할 필요가 있다고 판정되었을 경우에, 공격에 관한 정보를 삭제하지 않고 공격 재개에 대비하도록 구성했으므로, 복수의 네트워크 공격 대책장치를 사용하여 네트워크를 보호하는 시스템에 있어서, 관리 장치를 이용하지 않고 각 장치가 자율적으로 공격 정지와 대책정지의 판정을 행하는 경우에도, 공격 재개에 대비하면서 효율적으로 대책범위를 수속할 수 있다는 효과를 나타낸다.
또한 청구항 2, 7 또는 12의 발명에 의하면, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하는가에 따라 공격 재개에 대비할 필요가 있는지 여부를 판정하도록 구성했으므로, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하지 않는 경우라도, 공격 재개에 대비하면서 효율적으로 대책범위를 수속할 수 있다는 효과를 나타낸다.
또한 청구항 3, 8 또는 13의 발명에 의하면, 공격의 대책으로서 자체 장치보다도 공격자측에 위치하는 다른 네트워크 공격 대책장치에 대하여 공격에 관한 정보를 통지하도록 하고, 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치가 통상 상태로 복귀하고 있는 가에 따라, 공격 재개에 대비할 필요가 있는지 여부를 판정하도록 구성했으므로, 자체 장치가 공격 통지를 행한 다른 네트워크 공격 대책장치가 통상 상태로 되돌아 왔는지 여부에 의거하여 자체 장치에서 행해지고 있는 공격 대책을 계속할지 여부를 판정함으로써, 공격 대책을 계속해야 할지 여부를 효율적으로 판정할 수 있다. 따라서, 공격 재개에 대비하면서 효율적으로 대책범위를 수속할 수 있다는 효과를 나타낸다.
또한 청구항 4, 9 또는 14의 발명에 의하면, 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두가 통상 상태로 복귀하고 있을 경우에, 공격 재개에 대비할 필요가 없다고 판정하도록 구성했으므로, 자체 장치가 공격 통지를 행한 다른 네트워크 공격 대책장치가 모두 통상 상태로 되돌아 간 경우, 즉, 자체 장치가 공격자측에 가장 가까운 최전선 노드인 것을 검출했을 경우에, 공격 대책을 정지할 수 있다. 따라서, 효율적으로 대책범위를 수속할 수 있다는 효과를 나타낸다.
또한 청구항 5, 10 또는 15의 발명에 의하면, 공격에 관한 정보를 삭제하여 통상 상태로 복귀할 경우에, 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치에 대하여 통상 상태로의 복귀를 통지하는 것으로 하고, 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두로부터 통상 상태로 복귀한 취지의 통지를 받았을 경우에, 공격 재개에 대비할 필요가 없다고 판정하도록 구성했으므로, 복귀 통지를 이용함으로써, 자체 장치가 공격 통지를 행한 다른 네트워크 공격 대책장치가 모두 통상 상태로 되돌아온 것을 확실하게 파악하는 것이 가능하게 된다. 따라서, 효율적으로 대책범위를 수속할 수 있다는 효과를 나타낸다.
도 1은, DDoS방어 장치의 협조에 의한 공격 대상의 방어의 일 예를 도시한 도면,
도 2는, 본 발명을 구비하는 DDoS방어 장치의 장치구성의 일 예를 도시한 도면,
도 3은, 공격 패킷 정보DB의 데이터 구조의 일 예를 도시한 도면,
도 4는, 장치협조 정보DB의 데이터 구조의 일 예를 도시한 도면,
도 5는, 패킷 배분부가 실행하는 처리 플로우의 일 예를 도시한 도면,
도 6은, 공격 검출부가 실행하는 처리 플로우의 일 예를 도시한 도면,
도 7은, 공격 패킷 대처부가 실행하는 처리 플로우의 일 예를 도시한 도면,
도 8은, 정지·재기동 판정부가 실행하는 처리 플로우의 일 예를 도시한 도 면,
도 9는, 장치 협조부가 실행하는 처리 플로우의 일 예를 도시한 도면,
도 10은, 장치 협조부가 실행하는 처리 플로우의 일 예를 도시한 도면이다.
[도면의 주요부분에 대한 부호의 설명]
101 : 네트워크 인터페이스부 102 : 패킷 배분부
103 : 공격 검출부 104 : 공격 패킷 정보DB
105 : 공격 패킷 대처부 106 : 정지·재기동 판정부
107 : 장치 협조부 108 : 장치협조 정보DB
우선, 본 발명을 네트워크 공격 대책장치에 적용했을 경우의 처리에 관하여 설명한다. 또, 이하의 설명에서는, 특정한 공격으로의 대책을 정지했을 경우에, 네트워크 공격 대책장치의 대책상태가, 공격의 대책을 정지하여 통상 상태로 복귀하고 있는 상태인 「통상상태」에 있는지 여부에 따라 공격 재개에 대비할 필요가 있는지 여부를 판정할 경우에 관하여 설명한다. 그러나, 이에 한정하지 않고, 이러한 대책상태가, 공격 대책을 실행하고 있는 「대책중 상태」인지 여부, 혹은 공격 대책은 정지하고 있지만 공격에 관한 정보를 유지하고 있는 「재개 대비 상태」인지 여부에 따라, 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것으로 해도 좋다.
본 발명의 네트워크 공격 대책장치는, 다른 장치(네트워크 공격 대책장치)와 협조하면서 네트워크 공격을 방어하는 것으로, 다른 장치로부터 공격 정보를 통지받으면, 그 장치의 정보를 기억한다. 만약에 자체 장치로 공격을 검지했으면, 검지한 것이 자체 장치인 것을 기억한다. 그리고, 공격 정보를 다른 장치에 통지할 때에는, 어느 장치에 통지했는 지를 기억한다.
다음에 본 발명의 네트워크 공격 대책장치에 있어서, 공격 대책중에, 감시하고 있는 네트워크내의 공격 트래픽이 수습되었다고 판단되면, 공격 대책을 정지한다.
이때, 수습했다고 판단한 공격 정보를 다른 장치에 통지하고 있는 경우에는, 이 공격 정보를 삭제하지 않고 계속해서 유지하여 공격 재개에 대비한다.
한편, 수습되었다고 판단한 공격 정보를 다른 장치에 통지하지 않은 경우에는, 이 공격 정보를 삭제하고, 통상시의 상태로 되 돌아 간다.
이때, 이 삭제하는 공격 정보가 다른 장치로부터 통지된 정보인 경우에는, 그 장치에 대하여, 공격이 수습되어 공격 정보를 삭제했음을 통지(통상 상태로의 복귀 통지)하고, 또한 이 삭제하는 공격 정보의 공격이 자체 장치로 검지한 것일 경우에는, 공격 정보를 삭제했음을 통지할 필요는 없으므로, 그대로 통상시의 상태로 되돌아간다.
다음에 본 발명의 네트워크 공격 대책장치는, 다른 장치로부터 공격 정보의 삭제 통지를 받으면, 통지를 해 온 장치를 기억한다. 이때, 자체 장치에 있어서 공격 대책을 정지하고 있는 가와, 자체 장치가 공격 정보를 통지한 모든 장치로부터 공격 정보삭제의 통지가 왔음을 조사한다.
이 조사에 의해, 자체 장치에 있어서 공격 대책을 정지하지 않으면 대책을 속행하고, 한편, 자체 장치에 있어서 공격 대책을 정지하고 있지만, 하나라도 공격 정보삭제의 통지를 보내 오지 않은 장치가 있으면, 그대로 공격 재개에 대비한다.
그리고, 자체 장치에 있어서 공격 대책을 정지하고 있고, 자체 장치가 공격 정보를 통지한 모든 장치로부터 공격 정보삭제의 통지가 왔으면, 자체 장치에 있어서도 공격 정보를 삭제하고, 통상시의 상태로 되돌아간다.
이때, 이 삭제하는 공격 정보가 다른 장치로부터 통지된 정보인 경우에는, 그 장치에 대하여, 공격이 수습되어 공격 정보를 삭제했음을 통지하고, 또한 이 삭제하는 공격 정보의 공격이 자체 장치로 검지한 것일 경우에는, 공격 정보를 삭제했음을 통지할 필요는 없기 때문에, 그대로 통상시의 상태로 되돌아간다.
이 규칙에 따라, 본 발명의 네트워크 공격 대책장치의 각각의 장치가 공격 대책의 정지 처리를 행함으로써, 각 장치가 자율적으로 판단하여 공격 대책을 정지하는 경우에도, 방어하고 있는 네트워크에 대하여 구멍을 만들지 않고, 공격 대책을 행하고 있는 장치 및 공격 재개에 대비하고 있는 장치가 존재하는 범위를 수속해 가는 것이 가능하다. 그리고, 공격이 재개한 경우에도, 수속 도중의 장치에 있어서 바로 대처가능하고, 그 장치로부터 공격 정보를 재통지함으로써 방어 범위를 확대할 수 있다.
이와 같이 하여, 본 발명에 의하면, 공격에 맞추어, 공격 대책을 행하고 있는 장치 및 공격 재개에 대비하고 있는 장치가 존재하는 범위를 유연하게 변화시킬 수 있으므로, 각 장치는 공격 정보의 포화에 의해 처리가 압박되는 가능성은 종래 보다도 낮아진다. 그리고, 각 장치가 자율적으로 판단을 행하여 공격 대책을 정지하거나, 통상시의 상태로 되돌아오거나 할 수 있기 때문에, 이들의 처리를 실현하기 위한 관리 장치를 준비할 필요가 없다.
다음에 실시예를 따라서 본 발명을 상세하게 설명한다.
[실시예]
도 1에, 본 발명의 일 실시형태 예로서, DDoS공격 발생시에 있어서의 복수의 DDoS방어 장치의 협조에 의한 공격 대상의 방어를 나타낸 접속예를 도시한다.
도 1에 있어서, DDoS공격 단말(31∼35)이 공격 대상(11) 및 공격 대상(12)에 공격 패킷을 송신하고, 또한 각 DDoS공격 단말(31∼35)과 공격 대상(11,12)과의 사이에는 복수의 DDoS방어 장치(21∼27)가 접속되고 있으며, 이들의 DDoS방어 장치(21∼27)가 협조하여 DDoS공격으로부터 공격 대상(11,12)을 방어하고 있다.
이들 DDoS방어 장치(21∼27)는, 공격 대상(11,12)에 대한 DDoS공격이 발생하면, 구체적으로는, 공격 대상(11,12)에 가까운 DDoS방어 장치(21,22)로부터 공격에 대한 방어에 들어가,
DDoS방어 장치(21,22)->DDoS방어 장치(23)
->DDoS방어 장치(24)->DDoS방어 장치(25∼26)
->DDoS방어 장치(27)
와 같이, DDoS공격 단말(31∼35) 측으로 방어 라인을 넓혀 가서, DDoS공격이 종료하면, 공격 대상(11,12)으로부터 먼 DDoS방어 장치(25∼27)로부터 공격에 대한 방어의 정지를 행하여,
DDoS방어 장치(25∼26)->DDoS방어 장치(24)->DDoS방어 장치(23)
DDoS방어 장치(27) ->DDoS방어 장치(23)
->DDoS방어 장치(21,22)
와 같이, 방어 라인을 수속시켜 간다.
도 2에, 본 발명을 구비하는 DDoS방어 장치(21∼27)의 장치구성의 일 예를 도시한다.
이 도면에 나타나 있는 바와 같이 본 실시형태 예의 DDoS방어 장치(21∼27)는, 네트워크 인터페이스부(101)와, 패킷 배분부(102)와, 공격 검출부(103)와, 공격 패킷 정보DB(104)와, 공격 패킷 대처부(105)와, 정지·재기동 판정부(106)와, 장치 협조부(107)와, 장치협조 정보DB(108)를 구비한다.
DDoS방어 장치(21∼27)는, DDoS공격이 발생하지 않는 상태에서는, 패킷을 네트워크 인터페이스부(101)에서 수신하면, 패킷 배분부(102)를 경유하여 네트워크 인터페이스부(101)에 전송한다.
한편, DDoS방어 장치(21∼27)는, DDoS공격 상태에서는, 공격 패킷을 네트워크 인터페이스부(101)에서 수신하면, 그 공격 패킷을 정지·재기동 판정부(106)나 공격 검출부(103)를 경유하도록 하여, 공격 패킷 대처부(105)로 공격 대책 처리를 실시하고나서 네트워크 인터페이스부(101)로 전송함으로써, DDoS공격으로부터 공격 대상(11,12)을 보호하는 것을 실현한다.
도 3에, 공격 패킷 정보DB(104)의 데이터 구조의 일 예를 도시하고, 도 4에, 장치협조 정보DB(108)의 데이터 구조의 일 예를 도시한다.
공격 패킷 정보DB(104)는, 공격 패킷 정보를 관리하는 것으로, 도 3에 나타나 있는 바와 같이 공격 패킷의 식별 정보에 대응하여, 그 공격 패킷으로의 대처 방법과, 그 대처 방법의 실시 정지의 조건과, 그 대처 방법의 재기동의 조건과, 그 대처 방법을 기동중인 지 정지중(정지는 종료와 동의)인지를 나타내는 상태정보를 관리한다.
또한 장치협조 정보DB(108)는, 협조하여 공격에 대한 대책을 실시하는 장치의 협조 정보를 관리하는 것으로, 도 4에 나타나 있는 바와 같이 공격 패킷 정보에 대응하여, 그 공격 패킷 정보를 송신해 온 장치의 정보(송신원의 장치의 정보)와, 그 공격 패킷 정보를 송신한 장치의 정보(송신처의 장치의 정보)와, 그 송신처의 장치의 상태정보를 관리한다. 여기에서, 송신처의 장치 안에 자체 장치를 포함하도록 되어 있으며, 그 송신처 장치의 상태정보로, 자체 장치의 상태정보를 관리하도록 하고 있다.
예를 들면 도 4에 도시하는 장치협조 정보DB(108)는, 장치 "3"이 구비하는 장치협조 정보DB(108)의 일 예를 도시하는 것이며, 장치 "1"의 DDoS방어 장치로부터, IP 어드레스가 "1.1.1.1"이고, 프로토콜이 "UDP"이며, 포토 번호가 "1434"이고, 대처 방법이 "차단"이며, 정지 조건이 "10Mbps
의 트래픽이 3초간 지속되면 대처 방법을 정지하시오"에서, 재기동 조건이 "20Mbps의 트래픽이 1초간 지속되면 대처 방법을 재기동하시오",라는 공격 패킷 정보가 자체 장치로 송신되어, 그 공격 패킷 정보를, 장치 "4"의 DDoS방어 장치(현재 상태는 "기동중")에 송신했음을 관리하고, 또한, 자체 장치가 "종료(정지)"라는 상 태에 있음을 관리하고 있다.
도 5에, 패킷 배분부(102)가 실행하는 처리 플로우의 일 예를 도시하고, 도 6에, 공격 검출부(103)가 실행하는 처리 플로우의 일 예를 도시하며, 도 7에, 공격 패킷 대처부(105)가 실행하는 처리 플로우의 일 예를 도시하고, 도 8에, 정지·재기동 판정부(106)가 실행하는 처리 플로우의 일 예를 도시하고, 도 9 및 도 10에, 장치 협조부(107)가 실행하는 처리 플로우의 일 예를 도시한다.
다음에 이들의 처리 플로우에 따라, 이와 같이 구성되는 DDoS방어 장치(21∼27)가 실행하는 처리에 대해서 상세하게 설명한다.
우선 최초에, 도 5의 처리 플로우에 따라, 패킷 배분부(102)가 실행하는 처리에 관하여 설명한다.
패킷 배분부(102)는, 도 5의 처리 플로우에 나타나 있는 바와 같이 스텝 10에서, 네트워크 인터페이스부(101)로부터 패킷을 수신하면, 스텝 11로 진행하고, 수신 패킷을 복사하여, 그 복사한 패킷을 공격 검출부(103)에 전송한다.
계속해서, 스텝 12에서, 수신 패킷의 정보가 공격 패킷 정보DB(104)에 등록되고 있는 지를 판단한다.
이 판단 처리에 따라, 수신 패킷이 공격 패킷 정보DB(104)에 등록되어 있음을 판단한 경우에는, 스텝 13으로 진행하여, 수신 패킷을 복사하여, 그 복사한 패킷을 정지·재기동 판정부(106)에 전송한다.
계속해서, 스텝 14에서, 공격 패킷 정보DB(104)에 등록되어 있는 엔트리 정보(수신 패킷에 적합한 엔트리 정보)에 기록되는 상태정보가 기동중인지 여부를 판단한다.
이 판단 처리에 따라, 수신 패킷에 적합한 엔트리 정보에 기록되는 상태정보가 기동중인 지를 판단한 경우에는, 스텝 15로 진행하고, 수신 패킷을 공격 패킷 대처부(105)에 전송하고나서, 스텝 10으로 되돌아간다.
한편, 스텝 12에서, 수신 패킷의 정보가 공격 패킷 정보DB(104)에 등록되지 않음을 판단한 경우에는, 스텝 16으로 진행하여, 수신 패킷을 네트워크 인터페이스부(101)에 전송하고나서, 스텝 10으로 되돌아간다.
그리고, 스텝 14에서, 수신 패킷에 적합한 엔트리 정보에 기록되는 상태정보가 기동중이 아님을 판단한 경우, 즉, 정지중임을 판단한 경우에는, 스텝 16으로 진행하여, 수신 패킷을 네트워크 인터페이스부(101)로 전송하고나서, 스텝 10으로 되돌아간다.
이와 같이 하여, 패킷 배분부(102)는, 네트워크 인터페이스부(101)로부터 패킷을 수신하면, 그 수신 패킷의 복사를 공격 검출부(103)에 전송함과 동시에, 그 수신 패킷이 공격 패킷 정보DB(104)에 등록되어 있는 공격 패킷인지 여부와, 공격에 대하여 대처를 실행하고 있는 중인 지 여부를 기초로, 그 수신 패킷의 복사를 정지·재기동 판정부(106)에 전송하거나, 그 수신 패킷을 공격 패킷 대처부(105)에 전송하거나, 그 수신 패킷을 네트워크 인터페이스부(101)에 전송하도록 처리하는 것이다.
다음에 도 6의 처리 플로우에 따라, 공격 검출부(103)가 실행하는 처리에 관하여 설명한다.
공격 검출부(103)는, 도 6의 처리 플로우에 나타나 있는 바와 같이 스텝 20에서, 패킷 배분부(102)로부터 패킷을 수신하면, 스텝 21로 진행하고, 수신 패킷이 공격 패킷 정보DB(104)에 등록되어 있는 지를 판단한다.
이 판단 처리에 따라, 수신 패킷이 공격 패킷 정보DB(104)에 등록되어 있음을 판단한 경우에는, 스텝 22로 진행하고, 등록되어 있는 정보를 타 장치에 보낼지를 판단하여(아직 보내지 않았을 경우에는 "보냄"으로 판단하고, 이미 보낸 적이 있는 경우에는 "보내지 않음"으로 판단하게 된다), 타장치로 보낸다고 판단했을 경우에는, 스텝 23으로 진행하여, 등록 정보를 포함한 협조 메시지를 장치 협조부(107)에 통지하고나서, 스텝 20으로 되돌아간다.
한편, 스텝 22에서, 등록되어 있는 정보를 타장치로 보내지 않는다고 판단했을 경우에는, 스텝 23의 처리를 행하지 않고, 즉시 스텝 20으로 되돌아간다.
그리고, 스텝 21에서, 수신 패킷이 공격 패킷 정보DB(104)에 등록되지 않았음을 판단한 경우에는, 스텝 24로 진행하고, 수신 패킷으로부터 공격인지 여부를 판단한다.
이 판단 처리에 따라, 수신 패킷이 공격 패킷임을 판단한 경우에는, 스텝 25로 진행하고, 공격 패킷 정보를 생성하여, 그 생성한 공격 패킷 정보를 공격 패킷 정보DB(104)에 등록하고, 계속되는 스텝 26에서, 공격 패킷 정보를 포함한 등록 메시지를 장치 협조부(107)에 통지하고나서, 스텝 20으로 되돌아간다.
한편, 스텝 24에서, 수신 패킷이 공격 패킷이 아님을 판단한 경우에는, 스텝 25,26의 처리를 행하지 않고, 바로 스텝 20으로 되돌아간다.
이와 같이 하여, 공격 검출부(103)는, 패킷 배분부(102)로부터 패킷을 수신하면, 그 수신 패킷이 공격 패킷 정보DB(104)에 등록되어 있는 경우에 있고, 공격 패킷 정보를 다른 장치로 보낼 필요가 있는 경우에는, 협조 메시지를 장치 협조부(107)에 통지하여, 그 수신 패킷이 공격 패킷 정보DB(104)에 등록되지 않은 경우에 있고, 그 수신 패킷이 공격 패킷일 경우에는, 공격 패킷 정보를 생성하여 그것을 공격 패킷 정보DB(104)에 등록하고나서, 등록 메시지를 장치 협조부(107)에 통지하도록 처리하는 것이다.
다음에 도 7의 처리 플로우에 따라, 공격 패킷 대처부(105)가 실행하는 처리에 관하여 설명한다.
공격 패킷 대처부(105)는, 도 7의 처리 플로우에 나타나 있는 바와 같이 스텝 30에서, 패킷 배분부(102)로부터 패킷을 수신하면, 스텝 31로 진행하고, 공격 패킷 정보DB(104)에 기억되는 수신 패킷에 적합한 엔트리 정보를 특정한다.
계속해서, 스텝 32에서, 그 특정한 엔트리 정보에 기록되어 있는 대처 방법을 수신 패킷에 실시한 후, 계속되는 스텝 33에서, 패킷을 전송할 필요가 있는지 여부를 판단하여, 패킷을 전송할 필요가 있는 경우에는, 스텝 34로 진행하고, 그 대처 방법을 실시한 수신 패킷을 네트워크 인터페이스부(101)에 전송한다.
이와 같이 하여, 공격 패킷 대처부(105)는, 패킷 배분부(102)로부터 패킷을 수신하면, 그 수신 패킷에 대하여 공격 대책의 대처 방법을 실시하고 나서, 네트워크 인터페이스부(101)로 전송하도록 처리하는 것이다.
다음에 도 8의 처리 플로우에 따라, 정지·재기동 판정부(106)가 실행하는 처리 에 관하여 설명한다.
정지·재기동 판정부(106)는, 도 8의 처리 플로우에 나타나 있는 바와 같이 스텝 40에서, 패킷 배분부(102)로부터 패킷(이 패킷은 공격 패킷 정보DB(104)에 등록되어 있는 공격 패킷)을 수신하면, 스텝 41로 진행하고, 공격 패킷 정보DB(104)에 기억되는 수신 패킷에 적합한 엔트리 정보를 특정하여, 계속되는 스텝 42에서, 그 특정한 엔트리 정보에 기록되는 상태정보가 기동중인지 여부를 판단한다.
이 판단 처리에 따라, 수신 패킷에 적합한 엔트리 정보에 기록되는 상태정보가 기동중임을 판단한 경우에는, 스텝 43으로 진행하여, 그 엔트리 정보에 기록되는 정지 조건을 만족시키는지 여부를 판단하여, 정지 조건을 만족시킬 경우에는, 스텝 44로 진행하고, 정지 메시지를 장치 협조부(107)에 통지한다.
계속해서, 스텝 45에서, 그 특정한 엔트리 정보에 기록되는 상태정보를 기동중에서 정지중으로 변경함으로써 공격 패킷 정보DB(104)을 갱신하고, 처리를 종료한다.
한편, 스텝 43에서, 수신 패킷에 적합한 엔트리 정보에 기록되는 정지 조건을 만족시키지 않았음을 판단한 경우에는, 스텝 44,45의 처리를 행하지 않고, 즉시 처리를 종료한다.
그리고, 스텝 42에서, 수신 패킷에 적합한 엔트리 정보에 기록되는 상태정보가 기동중이 아님을 판단한 경우, 즉, 정지중임을 판단한 경우에는, 스텝 46으로 진행하여, 그 엔트리 정보에 기록되는 재기동 조건을 만족시키는지 여부를 판단하여, 재기동 조건을 만족시킬 경우에는, 스텝 47로 진행하고, 재기동 메시지를 장치 협조부(107)에 통지한다.
계속해서, 스텝 48에서, 그 특정한 엔트리 정보에 기록되는 상태정보를 정지중에서 기동중으로 변경하는 것으로 공격 패킷 정보DB(104)를 갱신하고, 처리를 종료한다.
한편, 스텝 46에서, 수신 패킷에 적합한 엔트리 정보에 기록되는 재기동 조건을 만족시키지 않음을 판단한 경우에는, 스텝 47,48의 처리를 행하지 않고, 즉시 처리를 종료한다.
이와 같이 하여, 정지·재기동 판정부(106)는, 패킷 배분부(102)로부터 공격 패킷 정보DB(104)에 등록되어 있는 공격 패킷을 수신하면, 대처 방법을 기동중(실시중)일 경우에는, 정지 조건을 만족시키는지 여부를 판단하여, 정지 조건을 만족시킬 경우에는, 정지 메시지를 장치 협조부(107)에 통지하고, 한편, 대처 방법을 정지중일 경우에는, 재기동 조건을 만족시키는지 여부를 판단하여, 재기동 조건을 만족시킬 경우에는, 재기동 메시지를 장치 협조부(107)에 통지하도록 처리하는 것이다.
다음에 도 9 및 도 10의 처리 플로우에 따라, 장치 협조부(107)가 실행하는 처리에 관하여 설명한다.
장치 협조부(107)는, 도 9 및 도 10의 처리 플로우에 나타내는 바와 같이 스텝 50에서, 타장치로부터 종료 메시지(타장치가 구비하는 장치 협조부(107)가 후술하는 스텝 54의 처리를 실행함으로써 보내진다)가 보내졌음을 판단한 경우에는, 스텝 51에서, 그 수신한 종료 메시지에 포함되어 있는 공격 패킷 정보를 검색 키로서 장치협조 정보DB(108)를 검색하는 것으로 장치협조 정보DB(108)에 기억되는 해당하는 엔트리 정보를 특정하여, 그 특정한 엔트리 정보에 기록되는 송신처(종료 메시지를 송신해 온 장치)의 상태를 기동중에서 종료(정지와 동의)로 변경한다.
계속해서, 스텝 52에서, 그 특정한 엔트리 정보에 기록되는 송신처의 상태(자체 장치의 상태도 포함한다)가 전부 종료되었는 지 여부를 판단하여, 전부 종료되었음을 판단한 경우에는, 스텝 53으로 진행하여, 그 특정한 엔트리 정보에 송신원 정보가 등록되어 있는지 여부를 판단한다.
이 스텝 52,53의 판단 처리에 따라, 특정한 엔트리 정보에 기록되는 송신처의 상태(자체 장치의 상태도 포함한다)가 전부 종료되고, 또한, 그 엔트리 정보에 송신원 정보가 등록되어 있을 경우에는, 스텝 54로 진행하고, 그 엔트리 정보에 기록되는 공격 패킷 정보를 포함한 종료 메시지를 신규로 생성하여, 그 생성한 종료 메시지를 송신원 정보에 등록되어 있는 장치에 송신한다.
그리고, 이 종료 메시지의 송신을 끝내면, 계속되는 스텝 55에서, 그 엔트리 정보를 장치협조 정보DB(108)로부터 삭제한다.
이와 같이 하여, 장치 협조부(107)는, 타장치로부터 종료 메시지가 보내져 올 때, 스텝 50∼스텝 55의 처리를 실행하는 것으로 자체 장치가 공격 패킷 정보를 송신한 모든 장치(자체 장치보다도 방어 라인의 최전선측에 위치하는 장치)로부터 종료 메시지가 보내져 오고, 자체 장치도 대책을 종료했을 경우에는, 그 공격 패킷 정보를 자체 장치에 송신해 온 장치(송신원 장치)에 대하여 종료 메시지를 송신함과 동시에, 그 공격 패킷 정보에 대하여 엔트리 정보를 장치협조 정보DB(108)로 부터 삭제하도록 처리하는 것이다.
한편, 장치 협조부(107)는, 스텝 56에서, 정지·재기동 판정부(106)로부터 정지 메시지가 보내져 오는 것을 판단할 경우에는, 스텝 57에서, 그 수신한 정지 메시지에 포함되어 있는 공격 패킷 정보를 검색 키로서 공격 패킷 정보DB(104)를 검색하는 것으로, 해당하는 엔트리 정보를 특정하고, 그 특정한 엔트리 정보를 공격 패킷 정보DB(104)로부터 삭제한다. 이 삭제처리에 의해 대책의 정지(종료)가 행해지게 된다.
계속해서, 스텝 58에서, 그 수신한 정지 메시지에 포함되어 있는 공격 패킷 정보를 검색 키로서 장치협조 정보DB(108)을 검색하는 것으로 장치협조 정보DB(108)에 기억되는 해당하는 엔트리 정보를 특정하고, 그 특정한 엔트리 정보에 기록되는 대응하는 송신처(이 루트를 지날 경우에는 자체 장치임)의 상태를 기동중에서 종료로 변경한다.
계속해서, 스텝 52에서, 그 특정한 엔트리 정보에 기록되는 송신처의 상태(자체 장치의 상태도 포함한다)가 전부 종료된 것인지 여부를 판단하여, 전부 종료가 되었음을 판단할 경우에는, 스텝 53에 진행하고, 그 특정한 엔트리 정보에 송신원 정보가 등록되었는 지 여부를 판단한다.
이 스텝 52,53의 판단 처리에 따라, 특정한 엔트리 정보에 기록되는 송신처의 상태(자체 장치의 상태도 포함한다)가 전부 종료되고, 또한, 그 엔트리 정보에 송신원 정보가 등록되어 있을 경우에는, 스텝 54로 진행하여, 그 엔트리 정보에 기록되는 공격 패킷 정보를 포함한 종료 메시지를 신규로 생성하고, 그 생성한 종료 메시지를 송신원 정보에 등록되어 있는 장치에 송신한다.
그리고, 이 종료 메시지의 송신을 마치면, 계속되는 스텝 55에서, 그 엔트리 정보를 장치협조 정보DB(108)로부터 삭제한다.
이와 같이 하여, 장치 협조부(107)는, 자체 장치의 정지·재기동 판정부(106)로부터 정지 메시지가 보내져 올 때, 스텝 56∼스텝 58/스텝 52∼스텝 55의 처리를 실행하는 것으로 자체 장치가 공격 패킷 정보를 송신한 모든 장치(자체 장치보다도 방어 라인의 최전선측에 위치하는 장치)로부터 종료 메시지가 보내져 오고, 또한, 자체 장치도 대책을 종료하고 있을 경우에는, 그 공격 패킷 정보를 자체 장치에 송신해 온 장치(송신원 장치)에 대하여 종료 메시지를 송신함과 동시에, 그 공격 패킷 정보에 관한 엔트리 정보를 장치협조 정보DB(108)로부터 삭제하도록 처리하는 것이다.
한편, 장치 협조부(107)는, 스텝 59에서, 타장치로부터 협조 메시지(타장치가 구비하는 장치 협조부(107)가 후술하는 스텝 65의 처리를 실행함으로써 보내져 온다)가 보내져 오는 것을 판단할 경우에는, 스텝 60에서, 그 수신한 협조 메시지에 포함되어 있는 공격 패킷 정보와, 그 수신한 협조 메시지의 송신원을 송신원 정보로서 설정한 것을 장치협조 정보DB(108)에 등록한다.
계속해서, 스텝 61에서, 그 공격 패킷 정보를 공격 패킷 정보DB(104)에 등록한다.
이와 같이 하여, 장치 협조부(107)는, 스텝 59∼스텝 61의 처리를 실행하는 것으로 타장치로부터 보내져 오는 협조 메시지에 의거하여 장치협조 정보DB(108) 에 새로운 장치협조 정보를 등록함과 동시에, 공격 패킷 정보DB(104)에 새로운 공격 패킷 정보를 등록하도록 처리하는 것이다.
한편, 장치 협조부(107)는, 스텝 62에서, 공격 검출부(103)로부터 등록 메시지가 보내져 오는 것을 판단할 경우에는, 스텝 63에서, 그 수신한 등록 메시지에 포함되어 있는 공격 패킷 정보를 장치협조 정보DB(108)에 등록한다.
이와 같이 하여, 장치 협조부(107)는, 스텝 62∼스텝 63의 처리를 실행하는 것으로, 공격 검출부(103)로부터 보내져 오는 등록 메시지에 의거하여 장치협조 정보DB(108)에 새로운 공격 패킷 정보를 등록하도록 처리하는 것이다.
한편, 장치 협조부(107)는, 스텝 64에서, 공격 검출부(103)로부터 협조 메시지가 보내져 오는 것을 판단할 경우에는, 스텝 65에서, 그 수신한 협조 메시지를 타 장치에 송신한다.
계속해서, 스텝 66에서, 그 수신한 협조 메시지에 포함되어 있는 공격 패킷 정보를 검색 키로서 장치협조 정보DB(108)를 검색하는 것으로 해당하는 엔트리 정보를 특정하고, 그 특정한 엔트리 정보에 기록되는 송신처 정보에, 협조 메시지를 송신한 타장치의 정보를 추가로 쓰는 것으로 장치협조 정보DB(108)를 갱신한다.
이와 같이 하여, 장치 협조부(107)는, 스텝 64∼스텝 66의 처리를 실행하는 것으로, 공격 검출부(103)로부터 보내져 오는 협조 메시지를 타장치에 송신하고, 그것에 의거하여 장치협조 정보DB(108)에 기억되는 장치협조 정보를 갱신하도록 처리하는 것이다.
한편, 장치 협조부(107)는, 스텝 67에서, 정지·재기동 판정부(106)로부터 재기동 메시지가 보내져 오는 것을 판단할 경우에는, 스텝 68에서, 그 수신한 재기동 메시지에 포함되어 있는 공격 패킷 정보를 검색 키로서 장치협조 정보DB(108)를 검색하는 것으로 해당하는 엔트리 정보를 특정하고, 그 특정한 엔트리 정보에 기록되는 송신처 정보에 있는 자체 장치의 상태를 종료에서 기동중으로 변경한다.
계속해서, 스텝 69에서, 그 수신한 재기동 메시지에 포함되어 있는 공격 패킷 정보를 공격 패킷 정보DB(104)에 등록한다.
이와 같이 하여, 장치 협조부(107)는, 스텝 67∼스텝 69의 처리를 실행하는 것으로 공격에 대한 대책의 재실시를 실행하도록 처리하는 것이다.
이와 같이 하여, 본 발명에 의하면, 각 네트워크 공격 대책장치가 공격 대책의 정지 처리를 함으로써, 각 장치가 자율적으로 판단하여 공격 대책을 정지하는 경우에도, 방어하고 있는 네트워크에 대하여 구멍을 만들지 않고, 공격 대책을 행하고 있는 장치 및 공격 재개에 대비하고 있는 장치가 존재하는 범위를 수속해 갈 수 있게 된다. 그리고, 공격이 재개했을 경우에도, 집속 중간의 장치에 있어서 바로 대처가능하며, 그 장치로부터 공격 정보를 재통지함으로써 방어 범위를 확대할 수 있게 된다.
이상의 각 처리 수단이 동작함으로써 실현되는 본 발명의 네트워크 공격 대책방법은 컴퓨터 프로그램에서도 실현할 수 있는 것이며, 이 컴퓨터 프로그램은, 적당한 기록 매체에 기록하여 제공되거나, 네트워크를 통해 제공되어, 본 발명을 실시할 때 인스톨되어 CPU등의 제어 수단 상에서 동작함으로써 본 발명을 실현하게 된다.

Claims (15)

  1. 네트워크 상에 존재하는 장치 혹은 네트워크에 대하여 행해지는 불필요한 패킷을 사용한 공격을 복수의 네트워크 공격 대책장치와 협조해서 방어하는 네트워크 공격 대책 장치로 실행되는 네트워크 공격 대책방법에 있어서,
    상기 공격의 정지에 따라 이 공격의 대책을 정지했을 경우에, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 현재 공격의 대책을 행하고 있는지, 공격 재개에 대비하고 있는지, 혹은 공격의 대책을 정지하여 통상 상태로 복귀하고 있는 지에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 판정 공정과,
    상기 판정 공정에 의해 공격 재개에 대비할 필요가 없다고 판정될 경우에, 이 공격에 관한 정보를 삭제하여 통상 상태로 복귀하는 복귀 공정과,
    상기 판정 공정에 의해 공격 재개에 대비할 필요가 있다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제하지 않고 이 공격 재개에 대비하는 재개 대비 공정을 포함하는 것을 특징으로 하는 네트워크 공격 대책방법.
  2. 제 1항에 있어서,
    상기 판정 공정은, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하는가에 따라 상기 공격 재개에 대비할 필요가 있는지 여부를 판정 하는 것을 특징으로 하는 네트워크 공격 대책방법.
  3. 제 1항 또는 제 2항에 있어서,
    상기 공격의 대책으로서 자체 장치보다도 공격자측에 위치하는 것 다른 네트워크 공격 대책장치에 대하여 상기 공격에 대한 정보를 통지하는 공격 통지 공정을 더 포함하고,
    상기 판정 공정은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치가 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 하는 네트워크 공격 대책방법.
  4. 제 3항에 있어서,
    상기 판정 공정은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두가 통상 상태로 복귀하고 있을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 하는 네트워크 공격 대책방법.
  5. 제 3항 또는 제 4항에 있어서,
    상기 공격에 관한 정보를 삭제하여 통상 상태로 복귀할 경우에, 이 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치에 대하여 통상 상태로의 복귀를 통지하는 복귀 통지 공정을 더 포함하고,
    상기 판정 공정은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두로부터 통상 상태로 복귀한 취지의 통지를 받았을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 하는 네트워크 공격 대책방법.
  6. 네트워크 상에 존재하는 장치 혹은 네트워크에 대하여 행해지는 불필요한 패킷을 사용한 공격을 복수의 네트워크 공격 대책장치와 협조하여 방어하는 네트워크 공격 대책장치에 있어서,
    상기 공격의 정지에 따라 이 공격의 대책을 정지했을 경우에, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 현재 공격의 대책을 행하고 있는지, 공격 재개에 대비하고 있는지, 혹은 공격의 대책을 정지하여 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 판정 수단과,
    상기 판정 수단에 의해 공격 재개에 대비할 필요가 없다고 판정되었을 경우에, 이 공격에 대한 정보를 삭제하여 통상 상태로 복귀하는 복귀 수단과,
    상기 판정 수단에 의해 공격 재개에 대비할 필요가 있다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제하지 않고 이 공격 재개에 대비하는 재개 대비 수 단을 구비한 것을 특징으로 하는 네트워크 공격 대책장치.
  7. 제 6항에 있어서,
    상기 판정 수단은, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하는가에 따라 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 하는 네트워크 공격 대책장치.
  8. 제 6항 또는 제 7항에 있어서,
    상기 공격의 대책으로서 자체 장치보다도 공격자측에 위치하는 다른 네트워크 공격 대책장치에 대하여 상기 공격에 관한 정보를 통지하는 공격 통지 수단을 더 구비하고,
    상기 판정 수단은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치가 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 하는 네트워크 공격 대책장치.
  9. 제 8항에 있어서,
    상기 판정 수단은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두가 통상 상태로 복귀하고 있을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 하는 네트워크 공격 대책장치.
  10. 제 8항 또는 제 9항에 있어서,
    상기 공격에 관한 정보를 삭제하여 통상 상태로 복귀할 경우에, 이 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치에 대하여 통상 상태로의 복귀를 통지하는 복귀 통지 수단을 더 구비하고,
    상기 판정 수단은, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두로부터 통상 상태로 복귀한 취지의 통지를 받았을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 하는 네트워크 공격 대책장치.
  11. 네트워크 상에 존재하는 장치 혹은 네트워크에 대하여 행해지는 불필요한 패킷을 사용한 공격을 복수의 네트워크 공격 대책장치와 협조하여 방어하는 네트워크 공격 대책 장치로 실행되는 네트워크 공격 대책 프로그램에 있어서,
    상기 공격의 정지에 따라 이 공격의 대책을 정지했을 경우에, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 현재 공격의 대책을 행하고 있는지, 공격 재개에 대비하고 있는지, 혹은 공격의 대책을 정지하여 통상 상태로 복 귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 판정 순서와,
    상기 판정 순서에 의해 공격 재개에 대비할 필요가 없다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제하여 통상 상태로 복귀하는 복귀 순서와,
    상기 판정 순서에 의해 공격 재개에 대비할 필요가 있다고 판정되었을 경우에, 이 공격에 관한 정보를 삭제하지 않고 이 공격 재개에 대비하는 재개 대비 순서를 컴퓨터에 실행시키는 것을 특징으로 하는 네트워크 공격 대책 프로그램.
  12. 제 11항에 있어서,
    상기 판정 순서는, 자체 장치보다도 공격자측에 위치하는 네트워크 공격 대책장치가 존재하는가에 따라 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 하는 네트워크 공격 대책 프로그램.
  13. 제 11항 또는 제 12항에 있어서,
    상기 공격의 대책으로서 자체 장치보다도 공격자측에 위치하는 다른 네트워크 공격 대책장치에 대하여 상기 공격에 대한 정보를 통지하는 공격 통지 순서를 또 컴퓨터에 실행시키고,
    상기 판정 순서는, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치가 통상 상태로 복귀하고 있는 가에 따라, 상기 공격 재개에 대비할 필요가 있는지 여부를 판정하는 것을 특징으로 하는 네트워크 공격 대책 프로그램.
  14. 제 13항에 있어서,
    상기 판정 순서는, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두가 통상 상태로 복귀하고 있을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 하는 네트워크 공격 대책 프로그램.
  15. 제 13항 또는 제 14항에 있어서,
    상기 공격에 관한 정보를 삭제하여 통상 상태로 복귀할 경우에, 이 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치에 대하여 통상 상태로의 복귀를 통지하는 복귀 통지 순서를 또 컴퓨터에 실행시키고,
    상기 판정 순서는, 상기 공격에 관한 정보의 통지처인 다른 네트워크 공격 대책장치의 모두로부터 통상 상태로 복귀한 취지의 통지를 받았을 경우에, 상기 공격 재개에 대비할 필요가 없다고 판정하는 것을 특징으로 하는 네트워크 공격 대책 프로그램.
KR1020057023289A 2004-05-12 2005-05-12 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체 KR100679170B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004142052 2004-05-12
JPJP-P-2004-00142052 2004-05-12

Publications (2)

Publication Number Publication Date
KR20060030037A true KR20060030037A (ko) 2006-04-07
KR100679170B1 KR100679170B1 (ko) 2007-02-05

Family

ID=35320574

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057023289A KR100679170B1 (ko) 2004-05-12 2005-05-12 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체

Country Status (6)

Country Link
US (1) US20070118896A1 (ko)
EP (1) EP1746791A1 (ko)
JP (1) JPWO2005109797A1 (ko)
KR (1) KR100679170B1 (ko)
CN (1) CN1788475A (ko)
WO (1) WO2005109797A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100862187B1 (ko) * 2006-10-27 2008-10-09 한국전자통신연구원 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100738567B1 (ko) 2006-02-01 2007-07-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
US7735139B1 (en) * 2006-05-17 2010-06-08 Trend Micro Incorporated In-line scanning of network data in an asymmetric routing environment
US8467527B2 (en) 2008-12-03 2013-06-18 Intel Corporation Efficient key derivation for end-to-end network security with traffic visibility
US20080307526A1 (en) * 2007-06-07 2008-12-11 Mi5 Networks Method to perform botnet detection
US8966622B2 (en) * 2010-12-29 2015-02-24 Amazon Technologies, Inc. Techniques for protecting against denial of service attacks near the source
US9015895B2 (en) 2012-07-02 2015-04-28 Sigma Enterprises, Llc Textured device for cleaning cosmetic brushes
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
CN102946458A (zh) * 2012-11-17 2013-02-27 刘成功 一种急救电话机
US8997224B1 (en) * 2013-03-14 2015-03-31 Hrl Laboratories, Llc Explosive network attack and mitigation strategies
CN107104926B (zh) * 2016-02-22 2019-10-18 华为技术有限公司 攻击防护系统、方法、装置和网络设备
US10516694B1 (en) * 2016-03-29 2019-12-24 Amazon Technologies, Inc. Hierarchical mitigation of denial of service attacks on communication networks

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3549861B2 (ja) * 2000-09-12 2004-08-04 日本電信電話株式会社 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム
JP2003333092A (ja) * 2002-05-14 2003-11-21 Mitsubishi Electric Corp ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100862187B1 (ko) * 2006-10-27 2008-10-09 한국전자통신연구원 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법

Also Published As

Publication number Publication date
KR100679170B1 (ko) 2007-02-05
JPWO2005109797A1 (ja) 2008-03-21
WO2005109797A1 (ja) 2005-11-17
EP1746791A1 (en) 2007-01-24
CN1788475A (zh) 2006-06-14
US20070118896A1 (en) 2007-05-24

Similar Documents

Publication Publication Date Title
KR100679170B1 (ko) 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체
KR101263329B1 (ko) 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법
Alharbi et al. The (in) security of topology discovery in software defined networks
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
US7188366B2 (en) Distributed denial of service attack defense method and device
US8732832B2 (en) Routing apparatus and method for detecting server attack and network using the same
US7596097B1 (en) Methods and apparatus to prevent network mapping
US20060143709A1 (en) Network intrusion prevention
US20190149573A1 (en) System of defending against http ddos attack based on sdn and method thereof
JP2006352669A (ja) 攻撃検知・防御システム
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
CN107690004B (zh) 地址解析协议报文的处理方法及装置
JP2008306610A (ja) 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP4922620B2 (ja) ネットワークシステム
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
JP3549861B2 (ja) 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム
Beitollahi et al. FOSeL: filtering by helping an overlay security layer to mitigate DoS attacks
JP2007208575A (ja) 不正トラフィック管理装置およびシステム
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
CN113660199B (zh) 流量攻击的防护方法、装置、设备及可读存储介质
JP2006190057A (ja) 不正接続検知システム
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
JP2004104739A (ja) ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee