KR20060061571A - 이상 트래픽 제어 장치 및 그 제어 방법 - Google Patents

이상 트래픽 제어 장치 및 그 제어 방법 Download PDF

Info

Publication number
KR20060061571A
KR20060061571A KR1020040100357A KR20040100357A KR20060061571A KR 20060061571 A KR20060061571 A KR 20060061571A KR 1020040100357 A KR1020040100357 A KR 1020040100357A KR 20040100357 A KR20040100357 A KR 20040100357A KR 20060061571 A KR20060061571 A KR 20060061571A
Authority
KR
South Korea
Prior art keywords
packet
traffic
normal
channel
success rate
Prior art date
Application number
KR1020040100357A
Other languages
English (en)
Other versions
KR100639969B1 (ko
Inventor
김광식
최병철
서동일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040100357A priority Critical patent/KR100639969B1/ko
Priority to US11/292,462 priority patent/US7680062B2/en
Publication of KR20060061571A publication Critical patent/KR20060061571A/ko
Application granted granted Critical
Publication of KR100639969B1 publication Critical patent/KR100639969B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이상 트래픽 제어 장치 및 그 제어 방법을 개시한다.
본 발명에 의하면, 네트워크 트래픽을 제어하는 장치에 있어서, 정상적인 패킷을 전송하는 아이피를 등록한 리스트를 저장하며, 네트워크에 유입되는 패킷 트래픽을 전송한 아이피가 리스트에 등록된 아이피인 경우 등록된 아이피로부터의 패킷 트래픽임을 통지하는 리스트관리부, 리스트관리부를 통해 유입되는 패킷이 정상인지 이상인지를 판단하여 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하며, 정상 패킷 트래픽에 대한 서비스 정도에 따른 소정의 제어 명령에 따라 정상 패킷에 대한 채널 수를 조정하여 네트워크 노드로 패킷을 전달하며, 네트워크 노드로 전달된 정상 패킷 트래픽의 아이피를 성공률측정부로 통지하는 채널할당부, 리스트관리부로부터 통지받은 패킷 트래픽 정보와 상기 채널할당부로부터 통지받은 패킷 트래픽의 정보로부터 리스트관리부에 등록된 아이피로부터의 패킷에 대한 서비스 성공률을 측정하는 성공률측정부 및 성공률측정부가 측정한 서비스 성공률의 값이나 범위에 따라 정상 패킷에 할당하는 채널의 수를 조정하도록 채널할당부에 제어 명령을 전달하는 채널수결정부를 포함하여, 네트워크로 유입되는 이상 트래픽을 적절히 제어하여 네트워크의 생존성을 보장하고 신뢰성 높은 인터넷 서비스를 제공할 수 있다.

Description

이상 트래픽 제어 장치 및 그 제어 방법{Apparatus for abnormal traffic control and method thereof}
도 1은 본 발명에 따른 이상 트래픽 제어 장치의 구성의 예를 블록으로 도시한 것이다.
도 2는 본 발명에 따른 이상 트래픽 제어 방법의 흐름을 도시한 것이다.
도 3은 본 발명에 따른 이상 트래픽 제어 장치의 채널할당부의 내부 구성과 패킷의 흐름도의 예를 도시한 것이다.
본 발명은 네트워크에 관한 것으로서, 네트워크에 유입되는 이상 트래픽을 제어하는 방법 및 그 장치에 관한 것이다.
최근에 사이버 공격의 추세는 단순한 시스템 공격에서 특정 서비스가 중단되는 네트워크 공격으로 변하고 있다. 예를 들어, 인터넷 웜이 급속히 확산된 2003년도 1월 25일 인터넷 침해사고로 인해 서비스가 마비되는 사태가 발생했다. 이를 통해 사이버 공격이 개별 사생활 침해를 넘어 국가적인 경제 손실뿐만 아니라 국가 보안 및 사회 질서를 위협하는 수준에 이르렀다.
그러나, 기존의 보안기술은 인터넷 에러가 발생할 때 복구하는데 너무 많은 시간이 소요된다. 이는 많은 패킷들이 패킷 타입에 관계없이 제거되고 정상 서비스 제공이 긴 에러 복구시간이 지나야 가능하기 때문이다.
보안 측면에서, ISP 네트워크 접속점에서의 트래픽 모니터링과 제어기술은 사용자 서비스를 안전하게 고객망에서 백본망으로 지속적으로 전달하고 또한 해킹과 바이러스에 의한 침입에 따른 피해의 국지화 등을 통한 신속한 대응으로 네트워크의 생존성을 높이는 현실적인 해결책으로 부상하고 있다.
안전한 인터넷 서비스에 대한 대표적인 연구로는 DARPA FTN (Fault tolerant network)과 Arbor Inc.사의 Peakflow가 있다.
Peakflow는 보안 관련 데이터를 측정하고, 모으고, 상관성을 분석할 때 CISCO의 netflow가 제공하는 트래픽 분석결과에 의존한다. 즉, CISCO 라우터가 존재하는 환경에서만 적용할 수 있다.
네트워크 노드에서, 라인 속도는 매우 빠른데, 이에 따라 보안 관점에서 상세하게 입력 트래픽을 조사하는 것은 어렵다. 그래서, 인터넷 접속점에 위치하는 네트워크 노드의 보안 강도는 고객망에 위치하는 보안 장치의 보안 강도보다 약하다.
현재 알려지지 않는 공격이 글로벌 네트워크 환경에서의 일반적인 추세가 되어가고 있다. 알려지지 않은 공격이 발생하면, 네트워크 노드는 입력 트래픽이 악의적이다라고 판단하는 것이 아니라 그 트래픽은 이상(abnormal) 트래픽인 것으로 주로 판단할 것이다. 만일 모든 이상 트래픽이 악의적인 공격에 의한 트래픽이었다 면 이상 트래픽을 서비스하는 것은 의미가 없다.
이상 트래픽이 모두 악의적인 트래픽은 아닐 것이므로 이상 트래픽에 대해서도 최소한의 서비스는 해야 한다. 그런데 이상 트래픽을 제어하는 네트워크 장치에서 정상 트래픽의 블록킹 확률은 이상 트래픽을 차단하는 장치보다 더 높게 된다. 인터넷에서 이상 트래픽은 악의적인 공격의 결과로 발생할 수 있다. 이상 트래픽을 제어하는 네트워크 장치에서 이상 트래픽의 일부는 정상 트래픽으로 생존하기 때문에 이와 같은 이상 트래픽을 서비스하기 위해 가용 자원의 일부를 할당함으로써 시스템 자원이 소비된다. 이와 같은 경우 정상 트래픽을 위한 가용한 자원은 줄게 된다.
즉, 네트워크 서비스에서 정상 트래픽이 포함될 수 있는 이상 트래픽에 대한 서비스를 제공할 때에 정상 트래픽에 대한 정상적인 서비스를 위한 시스템의 자원을 사용하게 되어 정상 트래픽에 대한 원활한 서비스를 미흡하게 할 우려가 생긴다. 이상 트래픽을 아예 차단하는 경우를 제외하고는 이와 같이 이상 트래픽을 서비스할 때의 문제점은 아직 원활하게 해결되지 않고 있다.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, 이상 트래픽을 원활하게 제어하면서도 서비스 완료성을 보장할 수 있으며, 네트워크 시스템의 자원 낭비를 줄일 수 있는 이상 트래픽 제어 장치 및 그 제어 방법을 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 이상 트래픽 제어 장치는, 정상적인 패킷을 전송하는 아이피를 등록한 리스트를 저장하며, 상기 네트워크에 유입되는 패킷 트래픽을 전송한 아이피가 상기 리스트에 등록된 아이피인 경우 등록된 아이피로부터의 패킷 트래픽임을 통지하는 리스트관리부; 상기 리스트관리부를 통해 유입되는 패킷이 정상인지 이상인지를 판단하여 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하며, 정상 패킷 트래픽에 대한 서비스 정도에 따른 소정의 제어 명령에 따라 정상 패킷에 대한 채널 수를 조정하여 네트워크 노드로 패킷을 전달하며, 네트워크 노드로 전달된 정상 패킷 트래픽의 아이피를 통지하는 채널할당부; 상기 리스트관리부로부터 통지받은 패킷 트래픽 정보와 상기 채널할당부로부터 통지받은 패킷 트래픽의 아이피 정보로부터 상기 리스트관리부에 등록된 아이피로부터의 패킷에 대한 서비스 성공률을 측정하는 성공률측정부; 및 상기 성공률측정부가 측정한 서비스 성공률의 값이나 범위에 따라 정상 패킷에 할당하는 채널의 수를 조정하도록 상기 채널할당부에 제어 명령을 전달하는 채널수결정부;를 포함하는 것을 특징으로 한다.
이때에 상기 채널수결정부는 상기 서비스 성공률이 소정의 값 이상 혹은 소정의 범위 이상이면 정상 패킷에 할당된 채널 수를 줄이고, 소정의 값 이하거나 소정의 범위 이하이면 채널 수를 늘리도록 제어 명령을 전달하며, 특히 상기 서비스 성공률이 소정의 값 혹은 범위보다 크거나 작은 정도에 따라 정상 패킷에 할당된 채널 수를 줄이거나 늘리는 정도를 결정할 수 있는 것이 바람직하다.
상기 채널할당부는 이용 가능한 채널이 정상 패킷을 위해 할당된 채널의 수 보다 많은 경우에만 이상 패킷에 대한 서비스를 하는 것이 바람직하다.
또한 상기 리스트관리부는 오염된 패킷 혹은 비정상적인 패킷을 전송하는 아이피를 등록한 블랙리스트를 저장하며, 블랙리스트에 등록된 아이피로부터 전송된 패킷은 통과시키지 않는 것이 바람직하다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 이상 트래픽 제어 방법은, (a) 상기 네트워크에 정상적인 패킷을 전송하는 아이피들을 별도로 등록하는 단계; (b) 상기 네트워크로 유입되는 트래픽을 구성하는 패킷을 전송한 아이피 정보를 검출하는 단계; (c) 상기 네트워크에 유입되는 패킷 트래픽 중 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하여 패킷을 네트워크의 노드로 전달하고, 전달된 정상 패킷의 아이피 정보를 검출하는 단계; (d) 상기 (b) 단계에서 검출된 아이피 정보와 상기 (c) 단계에서 검출된 아이피 정보로부터 상기 (a) 단계에서 등록된 아이피로부터의 패킷에 대한 서비스 성공률을 측정하는 단계; 및 (e) 상기 서비스 성공률의 값에 따라 상기 (c) 단계에서 정상 패킷에 할당하는 채널의 수를 조정하여 패킷을 전달하는 단계;를 포함하는 것을 특징으로 한다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.
도 1은 본 발명에 따른 이상 트래픽 제어 장치의 구성의 예를 블록으로 도시한 것이다.
네트워크 트래픽을 제어하는 이 장치는, 정상적인 패킷을 전송하는 아이피를 등록한 리스트를 저장하며, 상기 네트워크에 유입되는 패킷 트래픽을 전송한 아이 피가 상기 리스트에 등록된 아이피인 경우 등록된 아이피로부터의 패킷 트래픽임을 통지하는 리스트관리부(100), 리스트관리부(100)를 통해 유입되는 패킷이 정상인지 이상인지를 판단하여 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하며, 정상 패킷 트래픽에 대한 서비스 정도에 따른 소정의 제어 명령에 따라 정상 패킷에 대한 채널 수를 조정하여 네트워크 노드(140)로 패킷을 전달하며, 네트워크 노드로 전달된 정상 패킷 트래픽의 아이피를 성공률측정부(120)로 통지하는 채널할당부(110), 리스트관리부(100)로부터 통지받은 패킷 트래픽 정보와 채널할당부(110)로부터 통지받은 패킷 트래픽의 정보로부터 상기 리스트관리부(100)에 등록된 아이피로부터의 패킷에 대한 서비스 성공률을 측정하는 성공률측정부(120) 및 상기 성공률측정부가 측정한 서비스 성공률의 값이나 범위에 따라 정상 패킷에 할당하는 채널의 수를 조정하도록 채널할당부(110)에 제어 명령을 전달하는 채널수결정부(130)를 포함한다.
도 2는 본 발명에 따른 이상 트래픽 제어 방법의 흐름을 도시한 것이다.
네트워크 트래픽을 제어하는 이 방법은, 상기 네트워크에 정상적인 패킷을 전송하는 아이피들을 별도로 등록하고(200 단계), 상기 네트워크로 유입되는 트래픽을 구성하는 패킷을 전송한 아이피 정보를 검출하며(210 단계), 상기 네트워크에 유입되는 패킷 트래픽 중 이상 패킷보다 정상 패킷에 더 높은 우선 순위의 채널을 할당하여 패킷을 네트워크의 노드로 전달하고, 전달된 정상 패킷의 아이피 정보를 검출하여(220 단계), 210 단계에서 검출된 아이피 정보와 220 단계에서 검출된 아이피 정보로부터 상기 200 단계에서 등록된 아이피로부터의 패킷에 대한 서비스 성 공률을 측정하고(230 단계), 상기 서비스 성공률의 값에 따라 220 단계에서 정상 패킷에 할당하는 채널의 수를 조정하여 패킷을 전달한다(240 단계).
본 발명이 동작할 수 있는 네트워크의 동작에 대해 예를 들어 설명한다.
첫 번째로 패킷 트래픽에 대해 흐름 기반의 트래픽 분석을 한다. 이와 같은 분석 단계 혹은 분석 장치는 인터넷 서비스 에러에 대한 예방적 행위를 위한 네트워크 취약성 분석 엔진과 에러 사건 시간을 짧게 하기 위한 이상 트래픽 제어를 위한 공격 패킷 분석 엔진으로 구성된다.
두번째는 이상 트래픽 제어 단계이다. 이 단계는 다시 흐름기반 트래픽 분석을 통한 패킷 모니터링과 이상 트래픽에 대한 적절한 행위를 수행하는 부분으로 구성된다.
데이터베이스인 GIB(Global information base)는 패킷정보를 모으고 상관성을 분석하고 대응방식을 결정하게 된다. 또한 패킷, 사용자 및 사이트 정보를 관리한다. 흐름기반 트래픽 분석 결과는 GIB를 통하여 본 발명에 따른 도 1의 제어 장치의 리스트관리부(100)로 보내진다.
이하의 설명에서는 본 발명에 따른 장치는 흐름기반 트래픽 분석을 통하여 이상 트래픽 제어기능을 수행한다고 가정한다.
리스트관리부(100)는 상기에 언급한 GIB와 같은 수단으로부터 등록된 사용자 혹은 서버의 아이피(IP)에 대한 리스트를 받아 저장한다(200 단계). 등록되었다는 것은 그 사용자 혹은 서버 장치로부터의 트래픽은 정상 패킷인 것을 뜻하게 된다. 이와 같은 리스트를 이하에서는 "white list"라고 언급한다.
리스트관리부(100)를 통해 유입되는 패킷은 white list에 등록되지 않은 아이피에 의해 발생된 패킷(10)이거나 혹은 white list에 등록된 아이피로부터의 패킷(20)이거나 혹은 이전에 오염된 패킷이나 비정상적인 패킷을 전송한 적이 있는 주의해야 할 아이피로부터의 패킷(30)이 포함될 수 있다.
이때에 리스트관리부(100)는 마지막 경우인 오염된 패킷 혹은 비정상적인 패킷을 전송하는 아이피를 블랙리스트(black list)로 저장하여, 블랙리스트에 등록된 아이피로부터 전송된 패킷(30)은 통과시키지 않는 것이 바람직하다.
참조번호 10의 굵은 실선의 화살표는 white list에 등록되지 않은 아이피로부터 전송되는 패킷에 의해 발생되는 트래픽을 나타내며, 참조번호 20의 점선으로 표시된 화살표는 white list에 등록된 아이피로부터 전송되는 패킷에 의해 발생되는 트래픽을 나타낸다. 그리고 참조번호 30의 화살표는 블랙리스트에 등록된 아이피로부터 전송되는 패킷의 흐름을 나타낸 것이며, 이는 결국은 손실되는 트래픽이 된다.
리스트관리부(100)에서 채널할당부(110)로 향하는 그리고 채널할당부(110)에서 네트워크 노드(140)로 향하는 굵은 실선의 화살표는 상기와 마찬가지로 white list에 등록되지 않은 아이피로부터 전송되는 패킷에 의해 발생되는 트래픽의 경로를 나타낸다. 그리고 리스트관리부(100)에서 채널할당부(110)와 성공률측정부(120)로 향하는 그리고 채널할당부(110)에서 네트워크 노드(140)와 성공률측정부로 향하는 점선의 화살표는 white list에 등록된 아이피로부터 전송되는 패킷에 의해 발생되는 트래픽 혹은 그 트래픽에 관련된 정보가 전달되는 통로를 나타낸다.
리스트관리부(100)는 white list로 등록된 사용자의 ip의 정보를 받아서 저장하여 두며(200 단계), 그리고 네트워크로 유입되는 패킷 트래픽에 포함된 패킷을 전송한 상대방의 아이피를 검출하고(210 단계), 이를 white list에 등록된 아이피와 비교하여 등록된 아이피인지를 판단하여 등록된 아이피인 경우만 그 정보를 성공률측정부(120)로 보낸다.
채널할당부(110)는 리스트관리부(100)를 통해 유입되는 패킷이 정상인지 이상인지를 판단하여 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하여 소정의 네트워크 노드(140)로 패킷이 전달되게 한다. 이를 통해 본 발명에 따른 장치가 설치된 네트워크 내로 패킷이 유입된 것이다. 또한 채널할당부(110)는 네크워크 노드(140)로 전달된 정상 패킷에 대해 패킷을 전송한 아이피를 포함하여 성공률판단부(120)로 통지한다(220 단계).
성공률측정부(120)는 리스트관리부(100)로부터 수신한 패킷 트래픽에 대한 정보와 채널할당부(110)로부터의 패킷에 대한 정보로부터 등록된 아이피로부터의 패킷이 중간에 제거되지 않고 네트워크 노드로 얼마나 전달되었나에 대한 지표인 서비스 성공률을 측정한다(230 단계).
채널수결정부(130)는 white list에 등록된 아이피로부터의 패킷에 대한 서비스 성공률의 값이나 범위에 따라 높은 값이면 채널할당부(110)의 정상 패킷에 할당되는 채널 수를 줄이게 하고, 성공률이 낮은 값이면 정상 패킷에 할당된 채널 수를 늘리도록 제어 명령을 채널할당부(110)에 전달한다(240 단계).
성공률이 높은 값 혹은 낮은 값이라는 판단의 기준은 미리 소정의 기준값 또 는 기준 범위를 정하고 그 기준 범위와 비교하여 결정한다. 이때에 성공률이 높은 값이라는 것은 등록된 아이피로부터의 정상 패킷에 대해 서비스가 잘 되고 있다는 것이므로 이상 패킷에 대한 서비스를 더 잘하기 위해 정상 패킷에 대한 채널 할당을 줄이는 것이다. 반대로 성공률이 낮으면 정상 패킷에 대해 서비스가 제대로 되고 있지 않은 것이므로 정상 패킷에 할당되는 채널 할당을 늘려서 정상 패킷에 대한 서비스가 더 잘되게 하는 것이다.
그리고 서비스할 채널의 수를 결정할 때에 단순히 늘이고 줄이는 것만이 아니라 서비스 성공률의 기준되는 값이나 범위보다 크고 작은 정도에 따라 채널의 수도 변경되는 것이 더 효율이 좋을 것이다. 이를 위해 채널수결정부(130)는 상기 서비스 성공률이 소정의 값 혹은 범위보다 크거나 작은 정도에 따라 정상 패킷에 할당된 채널 수를 줄이거나 늘리는 정도를 결정할 수 있는 것이 바람직하다.
이와 같은 일종의 피드백을 통한 제어 명령을 채널수결정부(130)로부터 전달받은 채널할당부(110)는 그 명령에 따라서 예약 채널 수를 조정하여 패킷을 네트워크 노드(140)로 전달하게 된다.
상기와 같은 과정을 통해 채널할당부(110)는 정상 패킷에 대한 서비스 성공률에 따라 실시간적으로 정상 패킷에 대한 채널 할당을 하여 네트워크로 패킷을 유입하게 하며, 본 발명에 따른 이 과정에서 이상 패킷에 대한 제어를 할 수 있게 된다.
도 3은 본 발명에 따른 이상 트래픽 제어 장치의 채널할당부의 내부 구성과 패킷의 흐름도의 예를 도시한 것이다.
채널할당부(110)에 포함된 패킷 모니터(112)는 패킷의 흐름(flow)의 시작과 끝 시점을 모니터링한다. 채널할당부(110)에 도착한 패킷은 흐름 단위로 관리를 받게 된다. 이때에 흐름들은 전화망에서의 채널처럼 가상 채널 연결 단위로 볼 수 있다.
패킷 모니터(112)에 유입된 패킷에 대해 패킷 모니터(112)는 유입된 패킷에 대해 정상인지 이상한지에 대한 판단을 하게 된다. 만일 패킷이 오염된 패킷으로 의심된다면 이상 트래픽으로 간주된다.
패킷 모니터(112)에 유입되는 목적지 및 발신지 아이피 및 포트 번호가 동일한 패킷들의 도착빈도와 패킷 크기가 미리 정해진 특정 확률 분포 범위에 있으면 정상 패킷으로, 그 범위를 벗어나면 이상 패킷으로 판단될 수 있다. 이 경우 실시예에 따라서는 그 판단 기준이 반대가 될 수도 있다. 예를 들어 특정값의 아이피에 관련되어 유입되는 패킷의 유입양에 대해 미리 예측을 하여 전체 패킷 중에서 그 아이피로부터의 유입되는 패킷의 비율의 범위를 미리 결정할 수 있다. 그리고 그 아이피로부터의 패킷이 미리 정한 비율의 범위 내에서는 정상 패킷으로, 그 범위를크게 넘어서면 이상 패킷으로 판정할 수 있다.
혹은 동일 크기의 패킷이 연속해서 온다면 공격에 의한 패킷으로 판단되어 그 패킷으로 인한 트래픽을 제거하거나, 이상 트래픽으로 간주하여 후순위로 채널을 할당할 수 있다.
패킷 모니터(112)에서 서버(114)로 전송된 이상 트래픽에 대해 서버(114)는 후 순위를 줌으로써 이상 트래픽을 제어한다. 이때의 제어정책은 차단이나 큐잉을 사용하게 된다. 이상하다고 판단된 이상 패킷이 수가 남아있는 채널 중에서 정상 패킷을 위해 예약 할당해둔 채널의 수보다 작으면 그 이상 패킷은 네트워크 노드로 유입되지 않고 손실되는 것이고, 이상 패킷의 수가 예약 채널의 수보다 많이 남아 있으면 채널 할당을 받아 서비스 받게 된다.
또한, 새로운 목적지 및 발신지 아이피를 가지는 패킷이 패킷 모니터(112)에 유입될 때 그 패킷이 우선 순위를 가지는 정상 패킷의 경우라도 채널들을 가지고 있는 서버(114)의 채널이 모두 사용 중이면 새로이 유입되는 패킷을 서비스할 채널이 남아있지 않으므로, 새로이 유입된 패킷은 정상 패킷 혹은 이상 패킷에 무관하게 채널을 할당받지 못하고 소실되게 된다. 이와 같은 예가 도 3에서 채널할당부(110)의 서버(114)에서 네트워크 노드(140)로 전달되지 못하고 제거되는 것으로 도시되어 있다.
이와 같은 과정을 통해 오염된 이상 패킷은 낮은 생존률을 가지게 되고 전체 유효전송률은 증가하게 될 것이다.
상기와 같은 과정을 다시 간략하게 기술하면 본 발명에 따른 장치는 이상 트래픽 중에서 실제적으로는 정상 사용자에 의해 발생된 정상 트래픽을 보호하기 위해 이상 트래픽에 대한 소프트 방화벽 기능의 보안 정책을 수행한 것이다.
채널할당부(110)는 에러를 국지화하고 네트워크 생존성을 높이기 위해 이상 트래픽 모니터링과 트래픽 제어 기술을 사용하였으며, 이를 통해 에러 요인이 지속적으로 존재하고 반복될 때에도 서비스 완료율을 가능한 높일 수 있다는 이점을 제공한다.
본 발명을 사용하면 알려지지 않은 공격에 의해 트래픽이 과다하게 발생하는 경우에, 정상 패킷 트래픽에 우선권을 주면서 동시에 정상 패킷 트래픽에 대한 서비스 성공률을 측정하고 그 결과를 기준으로 정상 패킷 트래픽용으로만 할당되는 예약 채널의 수를 결정하여 정상 트래픽의 서비스의 수준을 보장함으로써 서비스 생존성을 보장한다. 정상 패킷에 대한 예약 채널로 할당된 채널의 수가 증가하면, 이상 트래픽에 할당되는 채널의 수가 감소하게 되며 결국은 이상 트래픽의 서비스 생존율은 감소하게 된다.
본 발명에 따른 장치는 예를 들면 ADSL 기술을 사용하는 가입자망에서 DSLAM과 같은 액세스망 노드 근처에 위치할 수 있다. 또한 본 발명에 따른 장치는 일종의 전처리 프로세서이며 네트워크 노드에 플러그인 형태나 독립적인 시스템으로 운영될 수 있으므로 네트워크 운용에 있어서 유연성을 줄 수 있다.
최근에는 알려지지 않은 공격이 종종 일어나고 있는데, 미래에는 일상적인 것이 될 것이다. 알려지지 않은 공격의 경우에 IDS 및 보안어플라이언스와 같은 보안 장비들은 고객망과 접속하는 ISP 인입점에 유입되는 트래픽에 대하여 오탐지를 할 수 있다. 종래의 보안 장비는 이상 트래픽을 막을지 아니면 통과시킬 지에 대해 어려움을 가지게 된다. 왜냐하면, 이상 트래픽의 일부는 오염된 트래픽이 아닌 인터넷 사용자에 의해 발생된 실제적으로 정상 트래픽이기 때문이다. 결국 과다 트래픽을 통한 알려지지 않은 공격이 발생할 때, 네트워크 IDS에서의 오탐지율은 높아지게 되고, 이에 따라 종래의 장치를 통한 탐지결과는 무용지물이 될 수 있다. 이러한 환경에서 본 발명에 따른 장치는 라우터와 같은 네트워크 노드를 도와서 이상 트래픽을 다루는데 주요한 역할을 담당할 수 있게 된다.
본 발명에 의하면, 네트워크 트래픽을 제어하는 장치에 있어서, 정상적인 패킷을 전송하는 아이피를 등록한 리스트를 저장하며, 네트워크에 유입되는 패킷 트래픽을 전송한 아이피가 리스트에 등록된 아이피인 경우 등록된 아이피로부터의 패킷 트래픽임을 통지하는 리스트관리부, 리스트관리부를 통해 유입되는 패킷이 정상인지 이상인지를 판단하여 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하며, 정상 패킷 트래픽에 대한 서비스 정도에 따른 소정의 제어 명령에 따라 정상 패킷에 대한 채널 수를 조정하여 네트워크 노드로 패킷을 전달하며, 네트워크 노드로 전달된 정상 패킷 트래픽의 아이피를 통지하는 채널할당부, 리스트관리부로부터 통지받은 패킷 트래픽 정보와 상기 채널할당부로부터 통지받은 패킷 트래픽의 아이피 정보로부터 리스트관리부에 등록된 아이피로부터의 패킷에 대한 서비스 성공률을 측정하는 성공률측정부 및 성공률측정부가 측정한 서비스 성공률의 값이나 범위에 따라 정상 패킷에 할당하는 채널의 수를 조정하도록 채널할당부에 제어 명령을 전달하는 채널수결정부를 포함하여, 네트워크로 유입되는 이상 트래픽을 적절히 제어하여 네트워크의 생존성을 보장하고 신뢰성 높은 인터넷 서비스를 제공할 수 있으며, 네트워크에서 에러의 요인이 계속 존재하거나 반복되는 경우 이상 트래픽 제어를 통해 서비스 완료성을 가능한 보장할 수 있고, 블록킹 확률과 정상 트래픽 전송률 측면에서 이상 트래픽에 대해 제어정책을 가지는 본 발명은 종래의 네트워크 노드뿐만 아니라 차단정책을 가지는 종래의 장치들보다 우위에 있게 되며, 더 나아가 미래에는 본 발명과 같은 네트워크 공격 대응 기술이 네트워크의 에지나 액세스 점에 점차 적용될 것이며, 그 결과 본 발명을 통해 인터넷 인프라에서 적절한 품질 보장을 사용자에게 제공할 수 있다.

Claims (7)

  1. 네트워크 트래픽을 제어하는 장치에 있어서,
    정상적인 패킷을 전송하는 아이피를 등록한 리스트를 저장하며, 상기 네트워크에 유입되는 패킷 트래픽을 전송한 아이피가 상기 리스트에 등록된 아이피인 경우 등록된 아이피로부터의 패킷 트래픽임을 통지하는 리스트관리부;
    상기 리스트관리부를 통해 유입되는 패킷이 정상인지 이상인지를 판단하여 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하며, 정상 패킷 트래픽에 대한 서비스 정도에 따른 소정의 제어 명령에 따라 정상 패킷에 대한 채널 수를 조정하여 네트워크 노드로 패킷을 전달하며, 네트워크 노드로 전달된 정상 패킷 트래픽의 아이피를 통지하는 채널할당부;
    상기 리스트관리부로부터 통지받은 패킷 트래픽 정보와 상기 채널할당부로부터 통지받은 패킷 트래픽의 아이피 정보로부터 상기 리스트관리부에 등록된 아이피로부터의 패킷에 대한 서비스 성공률을 측정하는 성공률측정부; 및
    상기 성공률측정부가 측정한 서비스 성공률의 값이나 범위에 따라 정상 패킷에 할당하는 채널의 수를 조정하도록 상기 채널할당부에 제어 명령을 전달하는 채널수결정부;를 포함하는 것을 특징으로 하는 이상 트래픽 제어 장치.
  2. 제1항에 있어서,
    상기 채널수결정부는 상기 서비스 성공률이 소정의 값 이상 혹은 소정의 범위 이상이면 정상 패킷에 할당된 채널 수를 줄이고, 소정의 값 이하거나 소정의 범위 이하이면 채널 수를 늘리도록 제어 명령을 전달하는 것을 특징으로 하는 이상 트래픽 제어 장치.
  3. 제2항에 있어서,
    상기 채널수결정부는 상기 서비스 성공률이 소정의 값 혹은 범위보다 크거나 작은 정도에 따라 정상 패킷에 할당된 채널 수를 줄이거나 늘리는 정도를 결정할 수 있는 것을 특징으로 하는 이상 트래픽 제어 장치.
  4. 제1항에 있어서,
    상기 채널할당부는 이용 가능한 채널이 정상 패킷을 위해 할당된 채널의 수보다 많은 경우에만 이상 패킷에 대한 서비스를 하는 것을 특징으로 하는 이상 트래픽 제어 장치.
  5. 제1항에 있어서,
    상기 리스트관리부는 오염된 패킷 혹은 비정상적인 패킷을 전송하는 아이피를 등록한 블랙리스트를 저장하며, 블랙리스트에 등록된 아이피로부터 전송된 패킷 은 통과시키지 않는 것을 특징으로 하는 이상 트래픽 제어 장치.
  6. 네트워크 트래픽을 제어하는 방법에 있어서,
    (a) 상기 네트워크에 정상적인 패킷을 전송하는 아이피들을 별도로 등록하는 단계;
    (b) 상기 네트워크로 유입되는 트래픽을 구성하는 패킷을 전송한 아이피 정보를 검출하는 단계;
    (c) 상기 네트워크에 유입되는 패킷 트래픽 중 이상 패킷보다 정상 패킷에 더 높은 우선 순위로 채널을 할당하여 패킷을 네트워크의 노드로 전달하고, 전달된 정상 패킷의 아이피 정보를 검출하는 단계;
    (d) 상기 (b) 단계에서 검출된 아이피 정보와 상기 (c) 단계에서 검출된 아이피 정보로부터 상기 (a) 단계에서 등록된 아이피로부터의 패킷에 대한 서비스 성공률을 측정하는 단계; 및
    (e) 상기 서비스 성공률의 값에 따라 상기 (c) 단계에서 정상 패킷에 할당하는 채널의 수를 조정하여 패킷을 전달하는 단계;를 포함하는 것을 특징으로 하는 이상 트래픽 제어 방법.
  7. 제6항에 있어서,
    상기 (e) 단계에서 상기 서비스 성공률이 소정의 값이나 범위 이상인 경우 정상 패킷에 할당된 채널 수를 줄이고, 소정의 값이나 범위 이하이면 채널 수를 늘 리도록 제어 명령을 전달하며, 이때에 서비스 성공률이 소정의 값이나 범위보다 크거나 작은 정도에 따라 정상 패킷에 할당된 채널 수를 줄이거나 늘리는 정도를 결정할 수 있는 것을 특징으로 하는 이상 트래픽 제어 방법.
KR1020040100357A 2004-12-02 2004-12-02 이상 트래픽 제어 장치 및 그 제어 방법 KR100639969B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040100357A KR100639969B1 (ko) 2004-12-02 2004-12-02 이상 트래픽 제어 장치 및 그 제어 방법
US11/292,462 US7680062B2 (en) 2004-12-02 2005-12-01 Apparatus and method for controlling abnormal traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040100357A KR100639969B1 (ko) 2004-12-02 2004-12-02 이상 트래픽 제어 장치 및 그 제어 방법

Publications (2)

Publication Number Publication Date
KR20060061571A true KR20060061571A (ko) 2006-06-08
KR100639969B1 KR100639969B1 (ko) 2006-11-01

Family

ID=36574072

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040100357A KR100639969B1 (ko) 2004-12-02 2004-12-02 이상 트래픽 제어 장치 및 그 제어 방법

Country Status (2)

Country Link
US (1) US7680062B2 (ko)
KR (1) KR100639969B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101220174B1 (ko) * 2008-12-02 2013-01-11 한국전자통신연구원 사용자별 트래픽 제어 방법 및 장치

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8005029B1 (en) * 2005-12-22 2011-08-23 Nortel Networks Limited Error handling for named signal events in wireless communications
JP2008113409A (ja) * 2006-10-04 2008-05-15 Alaxala Networks Corp トラフィック制御システム及び管理サーバ
KR101447677B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 감염 이동단말의 탐지 및 제어 장치
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
CN105490954A (zh) * 2014-09-19 2016-04-13 中兴通讯股份有限公司 一种控制网络数据流量的方法及装置
US9591022B2 (en) 2014-12-17 2017-03-07 The Boeing Company Computer defenses and counterattacks
CN107979581B (zh) * 2016-10-25 2020-10-27 华为技术有限公司 僵尸特征的检测方法和装置
JP6793524B2 (ja) * 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
WO2018172818A1 (en) * 2017-03-23 2018-09-27 Pismo Labs Technology Ltd. Method and system for restricting transmission of data traffic for devices with networking capabilities
CN110519349B (zh) * 2019-08-15 2022-07-15 济南浪潮数据技术有限公司 一种基于DNS固定分配虚拟ip的负载均衡方法及装置

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06188909A (ja) * 1992-12-18 1994-07-08 Fujitsu Ltd 異常パケット処理方式
JPH1098449A (ja) * 1996-09-25 1998-04-14 Canon Inc 情報信号通信装置及び方法
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US6115370A (en) * 1998-05-26 2000-09-05 Nera Wireless Broadband Access As Method and system for protocols for providing voice, data, and multimedia services in a wireless local loop system
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
US7120934B2 (en) * 2000-03-30 2006-10-10 Ishikawa Mark M System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
KR100674329B1 (ko) 2000-12-30 2007-01-24 주식회사 케이티 전송 제어 프로토콜/인터넷 프로토콜 네트웍에서 라우터의폭주 제어방법
US7051367B1 (en) * 2001-05-14 2006-05-23 Juniper Networks, Inc. Dynamically controlling packet processing
KR100427448B1 (ko) 2001-12-18 2004-04-14 한국전자통신연구원 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법
KR100439174B1 (ko) 2001-12-20 2004-07-05 한국전자통신연구원 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
KR100481614B1 (ko) 2002-11-19 2005-04-08 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US20060051478A1 (en) * 2002-12-18 2006-03-09 Raymond Seltzer Antioxidant for fats,oils and food
KR100479202B1 (ko) 2002-12-26 2005-03-28 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
FR2852754B1 (fr) * 2003-03-20 2005-07-08 At & T Corp Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
KR100561628B1 (ko) * 2003-11-18 2006-03-20 한국전자통신연구원 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
JP2006352831A (ja) * 2005-05-20 2006-12-28 Alaxala Networks Corp ネットワーク制御装置およびその制御方法
US7757283B2 (en) * 2005-07-08 2010-07-13 Alcatel Lucent System and method for detecting abnormal traffic based on early notification
WO2007103864A2 (en) * 2006-03-03 2007-09-13 New Jersey Institute Of Technology BEHAVIOR-BASED TRAFFIC DIFFERENTIATION (BTD) FOR DEFENDING AGAINST DISTRIBUTED DENIAL OF SERVICE(DDoS) ATTACKS
KR100922579B1 (ko) * 2006-11-30 2009-10-21 한국전자통신연구원 네트워크 공격 탐지 장치 및 방법
US20080137542A1 (en) * 2006-12-11 2008-06-12 Inventec Corporation Method for detecting abnormal network packets
KR100839941B1 (ko) * 2007-01-08 2008-06-20 성균관대학교산학협력단 IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101220174B1 (ko) * 2008-12-02 2013-01-11 한국전자통신연구원 사용자별 트래픽 제어 방법 및 장치

Also Published As

Publication number Publication date
US7680062B2 (en) 2010-03-16
KR100639969B1 (ko) 2006-11-01
US20060120284A1 (en) 2006-06-08

Similar Documents

Publication Publication Date Title
KR101519623B1 (ko) 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
JP4545647B2 (ja) 攻撃検知・防御システム
JP4634456B2 (ja) ネットワーク・トラフィックのセキュリティのための方法およびシステム
US10187422B2 (en) Mitigation of computer network attacks
US8392991B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
US20070140275A1 (en) Method of preventing denial of service attacks in a cellular network
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
Huang et al. Countering denial-of-service attacks using congestion triggered packet sampling and filtering
Xu et al. DDoS attack in software defined networks: a survey
Chi et al. Design and implementation of cloud platform intrusion prevention system based on SDN
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
Ha et al. Design and implementation of SIP-aware DDoS attack detection system
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP2003289337A (ja) 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
KR20060130892A (ko) 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
WO2023109587A1 (zh) 拒绝服务攻击防御方法及装置、可读存储介质
Ahn et al. MF (minority first) scheme for defeating distributed denial of service attacks
Quingueni et al. Reduction of traffic between switches and IDS for prevention of DoS attack in SDN
KR20160143086A (ko) Sdn을 이용한 사이버 검역 시스템 및 방법
KR20050002542A (ko) Ngn망에서 서비스거부공격 차단 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20091228

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee