KR20090116206A - System for defending client distribute denial of service and method therefor - Google Patents

System for defending client distribute denial of service and method therefor Download PDF

Info

Publication number
KR20090116206A
KR20090116206A KR1020080042005A KR20080042005A KR20090116206A KR 20090116206 A KR20090116206 A KR 20090116206A KR 1020080042005 A KR1020080042005 A KR 1020080042005A KR 20080042005 A KR20080042005 A KR 20080042005A KR 20090116206 A KR20090116206 A KR 20090116206A
Authority
KR
South Korea
Prior art keywords
security information
information list
security
packet
server
Prior art date
Application number
KR1020080042005A
Other languages
Korean (ko)
Other versions
KR100983549B1 (en
Inventor
김기영
박재성
Original Assignee
소프트포럼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트포럼 주식회사 filed Critical 소프트포럼 주식회사
Priority to KR1020080042005A priority Critical patent/KR100983549B1/en
Publication of KR20090116206A publication Critical patent/KR20090116206A/en
Application granted granted Critical
Publication of KR100983549B1 publication Critical patent/KR100983549B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A client DDOS(Distribute Denial Of Service) defense system and method is provided to block the DDO defense in the client end, reduce the server load, and control the traffic by transmitting the packet validated by the server. CONSTITUTION: A security client(100) detects the malicious program and attack packet flowed from the outside. The security client checks the detected packet corresponded with a stored rule and transmits the corresponded packet to a service server(200). The security agent receives/stores the updated security information list in the security information database(120). The security information list corresponds with the request list for the security information list which is periodically transmitted in the security information list server(300).

Description

클라이언트 DDOS 방어 시스템 및 그 방법{SYSTEM FOR DEFENDING CLIENT DISTRIBUTE DENIAL OF SERVICE AND METHOD THEREFOR}Client DODOS defense system and its method {SYSTEM FOR DEFENDING CLIENT DISTRIBUTE DENIAL OF SERVICE AND METHOD THEREFOR}

본 발명은 클라이언트 DDOS 방어 시스템에 관한 것으로서, 더욱 상세하게는 DDOS 공격을 목적으로 하는 해커들에 의해 유포된 불법 프로그램들의 패킷을 보안에이전트가 보안갱신서버로부터 기배포받은 보안정보목록을 통해 차단함으로써, 서비스를 제공하는 서버로의 DDOS 공격을 차단ㅇ방어하는 기술에 관한 것이다.The present invention relates to a client DDOS defense system, and more particularly, by blocking the packets of illegal programs distributed by hackers for the purpose of DDOS attacks through the security information list distributed by the security agent from the security update server, It's a technique for blocking DDOS attacks on servers that provide services.

분산서비스거부공격(DDOS: Distribute Denial Of Service)은 인터넷의 구조적인 취약성을 공격하여 길게는 수일 동안 정상적인 서비스의 지연 혹은 마비상황을 불러일으키는 해킹 공격을 일컫는데, 구체적으로 도 1에 나타난 바와 같이, 특정 사이트를 공격하기 위해 해커들이 서비스 공격을 위한 공격용 프로그램을 여러 컴퓨터에 분산ㅇ설치되도록 하고, 공격대상 사이트의 컴퓨터 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시다발적으로 범람시켜 네트워크의 성능 저하나 시스템의 마비를 초래하는 해킹기법이다.Distribute Denial Of Service (DDOS) refers to a hacking attack that attacks structural vulnerabilities of the Internet and causes a delay or paralysis of normal services for a few days. Specifically, as shown in FIG. In order to attack a specific site, hackers can distribute attack programs to several computers to attack a service, and simultaneously flood a huge amount of packets that the computer system of the target site can't handle. It is a hacking technique that causes paralysis of one system.

기존의 일반적인 해킹 방법은 해커가 기업의 네트워크에 불법적인 방법으로 침투해서 중요한 시스템의 슈퍼 사용자 권한을 획득하고, 그 내부에 들어있는 기밀 정보를 탈취하는 것이 대표적이었다.Conventional hacking methods typically included hackers penetrating into corporate networks in an illegal manner, gaining superuser privileges of critical systems, and stealing confidential information contained within.

하지만, DDOS 공격은 기업이 대고객 서비스를 운영하고 있는 운영 서버들(웹 서버, DNS 서버 등)과 네트워크 장비(라우터, 방화벽 등)에 임의로 조작된 엄청난 양의 공격성 트래픽을 전송해서 시스템 자체를 지연 혹은 마비시켜 버림으로써 고객들이 기업의 서비스를 이용할 수 없는 서비스거부(Denial of Service) 상황을 만드는 목적을 가진다는 점에서 그 성격이 다르다고 볼 수 있다. However, DDOS attacks often send huge amounts of arbitrarily manipulated aggressive traffic to production servers (web servers, DNS servers, etc.) and network equipment (routers, firewalls, etc.) where businesses operate large customer services, delaying the system itself, By paralyzing, the nature is different in that customers have the purpose of creating a Denial of Service situation in which the company's service is unavailable.

최근의 공격 추세를 보면 기업의 개별적인 서비스 웹 사이트나 기타 서버들에 대한 공격을 통해 서비스를 마비시키는 공격 형태에서 점차 인터넷서비스 제공업체의 코어(Core) 라우터, DNS 서버들을 직접 공격해서 인터넷 인프라 자체를 완전히 마비시키는 형태로 발전해 가고 있다.Recent attack trends show that in the form of an attack paralyzing a company by attacking individual service websites or other servers, the Internet infrastructure itself is gradually attacked by directly attacking the Internet service provider's core routers and DNS servers. It is developing into a completely paralyzed form.

뿐만 아니라, 이런 공격방법이 정치적인 핵티비즘(Hactivism, Hacking과 Activism의 합성어)의 목적과 사이버 테러리스트들의 테러 목적을 수행하는 강력한 도구가 되는 경우가 빈번해서, 비단 일반 기업뿐만 아니라 국가나 정부 차원의 대응이 절실하게 필요하다는 인식이 확산되고 있으며, DDOS 공격으로부터의 방어와 관련한 연구들이 활발히 이루어지고 있다.In addition, these methods of attack often become powerful tools for the purposes of political nuclear television (a combination of Hactivism, Hacking and Activism) and the terrorist purposes of cyber terrorists. There is a growing perception that it is desperately needed, and there are active researches on defense against DDOS attacks.

이러한 DDOS 공격을 방어하기 위해 사용되고 있는 기술 중에 하나로, 블랙홀링(BlackHoling) 기법이 있다. 블랙홀링은 라우터에서 특정 목적지로 전송되는 모든 트래픽을 차단한 후 블랙홀이라고 하는 일종의 폐기장소로 빼내서 소멸시키는 방법이다. 하지만 해당 목적지로 전송되는 악성공격패킷들뿐만 아니라 정상적인 패킷들도 포함한 모든 트래픽이 소멸되기 때문에 이 방법은 해결책이 될 수 없다.One technique used to defend against such DDOS attacks is the BlackHoling technique. Blackhole is a method of blocking all traffic from a router to a specific destination and then extinguishing it by dismantling it into a sort of disposal site called a black hole. However, this method is not a solution because all traffic including normal packets as well as malicious attack packets sent to the destination is destroyed.

또한, 라우터는 ACL(Access Control List)을 이용한 필터링 기능을 제공하는데, 이 기능만으로는 현재의 고도화된 DDOS 공격을 방어하기 어렵다. 첫째로, 라우터는 핑(Ping) 공격 같은 인터넷 통신에 꼭 필요하지 않은 몇 가지 간단한 DDOS 공격에 대해서는 필터링 메커니즘을 통해 방어할 수 있다. 하지만 최근의 DDOS 공격은 인터넷을 사용하기 위해서 가장 기본적이고 필수적인 프로토콜을 사용하기 때문에 특정 프로토콜 자체를 모두 필터링하는 방법은 사용할 수가 없는 것이다. 둘째로, 스푸핑된 공격에 대해서는 uRPF를 이용한 방어법이 권고되고 있으나 실제로 구현하는 것은 한계가 있다. 셋째로, 라우터의 ACL기능은 소스가 스푸핑 되었는가 여부에 상관없이 HTTP 에러와 HTTP half-open 커넥션 공격 같은 애플리케이션 레이어의 공격에 대해선 그 효과를 발휘하기 어렵다는 한계점을 가진다.In addition, routers provide filtering using access control lists (ACLs), which are difficult to defend against today's advanced DDOS attacks. First, routers can defend against some simple DDOS attacks that are not necessary for Internet communication, such as ping attacks, through filtering mechanisms. However, the recent DDOS attacks use the most basic and essential protocols to use the Internet, so it is impossible to filter all of the specific protocols themselves. Second, uRPF-based defenses are recommended for spoofed attacks, but the actual implementation is limited. Third, the ACL function of routers has a limitation that it is difficult to be effective against application layer attacks such as HTTP errors and HTTP half-open connection attacks regardless of whether the source is spoofed.

또한, 많은 방화벽 공급업체들 역시 자사의 방화벽이 DDOS 방어 기능을 제공한다고 주장하지만 역시나 한계점을 가지고 있다. 첫째로, 방화벽은 네트워크 트래픽이 흐르는 경로의 내부(In-line)에 위치하기 때문에 방화벽 자체가 공격의 대상이 되어서 대용량의 공격 트래픽을 견디지 못하고 다운되는 경우가 많다. 이렇게 되면 전체 네트워크가 마비되는 문제가 발생할 수 있다. 둘째로, 인터넷 서비스를 위해서 모든 외부 사용자에게 개방해야만 하는 Web, DNS같은 일반적인 인터넷 프로토콜을 이용한 공격은 방어하기가 어렵다. 셋째로, 설사 방화벽이 비정상적인 행위를 정확히 탐지할 수 있다고 할지라도 개별 패킷들에 대해서 정상적인 것인지 아닌지의 여부를 구분할 수 있는 기능이 없기 때문에 스푸핑된 소스에서의 공격은 방어하기 어렵다.In addition, many firewall vendors claim that their firewalls provide DDOS defenses, but they also have limitations. First, since the firewall is located in-line of the network traffic flow path, the firewall itself is a target of attack, and thus, the firewall is often unable to endure a large amount of attack traffic. This can cause the entire network to become paralyzed. Second, attacks using common Internet protocols such as Web and DNS, which must be open to all external users for Internet services, are difficult to defend against. Third, even if the firewall can accurately detect abnormal behavior, attacks from spoofed sources are difficult to defend against because they lack the ability to distinguish whether or not they are normal for individual packets.

또한, 사람이 직접 수작업을 통해 방어를 하는 경우는 그 대응이 너무 부분적이며 즉각적인 반응이 어렵다. DDOS 공격을 당했을 때 전형적인 첫번째 반응은 해당 ISP에 연락해서 소스를 밝혀달라고 요청하는 일이다. 스푸핑된 주소일 경우에는 다수의 ISP들이 협력해서 검증해야 하는 복잡하고 오랜 작업이 필요하다. 또한, 소스가 밝혀진다고 할지라도 그것을 차단한다는 것은 모든 트래픽을 차단한다는 의미가 된다.In addition, if a person defends by hand, the response is too partial and immediate response is difficult. The typical first response to a DDOS attack is to contact your ISP and ask for the source. Spoofed addresses require complex and lengthy work that many ISPs have to work with to verify. Also, even if the source is known, blocking it means blocking all traffic.

마지막으로, 로드 밸런싱 혹은 이중화, 삼중화 등을 통해서 더욱 용량이 큰 트래픽에 대해서도 처리할 수 있도록 네트워크의 대역폭 및 성능을 강화시키는 방법이 있다. 하지만, 이런 방법은 비용 대비 효과적인 대안이 되지 못한다고 할 수 있다. 비용 대비 효과 문제를 떠나서라도, 결국 얼마간 기간이 지나면 또다시 그 용량을 초과하는 형태의 공격이 발생하게 될 것이 자명한 일이기 때문에 임시방편에 그칠 수 있다.Finally, there is a way to enhance the bandwidth and performance of the network to handle even larger traffic through load balancing, redundancy, and triplet. However, this method is not a cost-effective alternative. Aside from the cost-effectiveness problem, it can be a temporary solution because it is obvious that after a period of time, an attack in excess of its capacity will occur again.

본 발명은 상기와 같은 문제점을 해소하고자 안출된 것으로서, DDOS 공격을 목적으로 하는 해커들에 의해 유포된 불법 프로그램들을 사전에 보안에이전트가 보안정보목록서버로부터 수신한 보안패킷정보를 사용자 시스템에 설치된 보안에이전트 프로그램에 갱신하여 차단한다. 즉, 개개의 보안에이전트가 트래픽 발생의 근원을 차단하여, 트래픽을 통제할 수 있다.The present invention has been made to solve the above problems, security packet information received by the security agent from the security information list server in advance for illegal programs distributed by hackers for the purpose of DDOS attack security installed in the user system Block by updating to the agent program. That is, individual security agents can control the traffic by blocking the source of traffic.

이러한 기술적 과제를 달성하기 위한 본 발명에 따른 클라이언트 DDOS 방어 시스템은, 외부로부터 유입되어 타서버로 유포되기 위한 악성프로그램 및 공격패킷을 탐지하고, 기저장된 룰에 따라 탐지된 패킷을 검사하여 룰에 대응되는 패킷만을 서비스서버로 송신하며, 소정의 주기로 보안정보목록서버로 송신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 수신하여 보안정보DB(120)에 저장하는 보안에이전트(100)와, 검사된 패킷을 수신하여 이와 대응하는 서비스정보를 보안에이전트로 송신하고, 보안에이전트 이외의 서버로부터 수신한 공격패킷을 보안정보목록서버로 송신하여 이와 대응하는 갱신된 보안정보목록을 수신하는 서비스서버(200), 및 보안정보목록 요청정보에 대응하는 보안정보목록을 보안에이전트로 송신하며, 공격패킷을 수신ㅇ분석하여 보안정보DB(320)에 갱신하고, 갱신된 보안정보목록을 상기 서비스서버로 송신하는 보안정보목록서버(300)를 포함한다.The client DDOS defense system according to the present invention for achieving the technical problem, detects malicious programs and attack packets to be introduced from the outside and distributed to other servers, and checks the detected packets according to the stored rules to respond to the rules Security agent 100 that transmits only the packet to the service server, and receives the updated security information list corresponding to the security information list request information sent to the security information list server at a predetermined cycle and stores it in the security information DB (120); The service server receives the inspected packet and transmits the corresponding service information to the security agent, sends the attack packet received from the server other than the security agent to the security information list server, and receives the updated security information list corresponding thereto. (200), and transmits a security information list corresponding to the security information list request information to the security agent, attack packet O receive analyzed and a list of security information server 300 to update the security information DB (320), and sends the updated list of security information to the service server.

또한, 본 발명에 따른 보안에이전트(100)는, 악성프로그램에 포함된 패킷을 탐지하는 패킷탐지모듈(110)과, 기배포받은 보안정보목록을 저장하는 보안정보DB(120)와, 탐지된 패킷을 보안정보DB(120)를 통해 색인한 보안정보목록의 룰에 따라 검사하여 탐지된 패킷이 보안정보목록과 대응하면, 검사된 패킷을 서비스서버로 송신 또는 통과시켜 이와 대응하는 서비스정보를 수신하고, 대응되지 않으면 탐지된 패킷을 차단하는 패킷검사모듈(130) 및, 소정의 주기로 보안정보목록서버에 보안정보목록 요청정보를 송신하여 갱신된 보안정보목록을 수신하고, 수신한 보안정보목록을 상기 보안정보DB(120)에 저장토록하는 보안정보목록 갱신모듈(140)을 더 포함한다.In addition, the security agent 100 according to the present invention, the packet detection module 110 for detecting a packet included in the malicious program, the security information DB 120 for storing a list of distributed security information, and the detected packet In accordance with the rules of the security information list indexed through the security information DB (120), if the detected packet corresponds to the security information list, and transmits or passes the inspected packet to the service server to receive the corresponding service information. The packet inspection module 130 blocks the detected packet if it does not correspond, and transmits the security information list request information to the security information list server at predetermined intervals to receive the updated security information list and recalls the received security information list. Security information list updating module 140 to be stored in the security information DB 120 further includes.

그리고, 본 발명에 따른 보안정보목록서버(300)는, 보안에이전트로부터 보안정보목록 요청정보를 수신함과 아울러 서비스서버(200)로부터 공격받은 패킷을 수신하는 패킷수집모듈(310)과, 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 패킷 모니터링 룰, 패킷 분석 룰, 방화벽 설정리스트를 포함하는 보안정보목록, 및 DDOS 차단을 동의한 서비스서버들의 목록(서비스서버 IP 및 서비스 Port 포함)을 저장하는 보안정보DB(320)와, 수집된 패킷 및 공격받은 패킷들을 유형별로 색인하여 보안정보목록의 룰에 따라 분석하고, 분석된 패킷들을 차단할 패킷과 검증된 패킷으로 분류하여 상기 보안정보DB(320)의 보안정보목록을 갱신토록 하는 패킷분석모듈(330), 및 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 보안에이전트로 송신함과 아울러 공격패킷에 대응하는 갱신된 보안정보목록을 서비스서버로 송신하는 보안정보목록 송신모듈(340)을 더 포함한다.In addition, the security information list server 300 according to the present invention, the packet collection module 310 receives the security information list request information from the security agent and receives the attacked packet from the service server 200, and the verified packet And a security storing a list of packets to be blocked, a list of security information including a packet monitoring rule, a packet analysis rule, a firewall setting list, and a list of service servers (including service server IP and service port) that have agreed to block DDOS. The information DB 320, the collected packets and the attacked packets are indexed by type and analyzed according to the rules of the security information list, and the analyzed packets are classified into a packet to be blocked and a verified packet, and then the security information DB 320 is analyzed. A packet analysis module 330 for updating the security information list, and an updated security information list corresponding to the security information list request information to the security agent; A list of the updated security information corresponding to the security information further includes a list transmitting module 340 to transmit to the service server.

한편, 상술한 시스템을 기반으로 하는 본 발명의 따른 클라이언트 DDOS 방어 방법은, 보안에이전트(100)가 공격 프로그램이 전송하는 패킷을 탐지함과 아울러 보안정보DB(120)에 기저장된 보안정보목록을 색인하고, 탐지된 패킷이 색인된 보안정보목록과 대응하는지 검사하는 제 1 과정과, 탐지된 패킷이 색인된 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신하여 검사된 패킷과 대응하는 서비스정보를 수신하는 제 2 과정, 및 보안정보목록서버(300)가 공격패킷들을 수집함과 아울러 이를 검증된 패킷 및 차단할 패킷으로 분석하여 보안정보DB(320)에 기저장된 보안갱신목록에 갱신하는 제 3 과정으로 이루어지되, 상기 제 1 과정 이후, 상기 보안에이전트(100)는 탐지된 패킷이 색인된 보안정보목록과 대응하지 않으면, 탐지된 패킷이 상기 서비스서버(200)로 송신되지 못하도록 차단하는 제 4 과정을 포함한다.On the other hand, in the client DDOS defense method of the present invention based on the above-described system, the security agent 100 detects the packet transmitted by the attack program, and also indexes the security information list previously stored in the security information DB 120 And checking whether the detected packet corresponds to the indexed security information list, and if the detected packet corresponds to the indexed security information list, transmitting the inspected packet to the service server 200 and checking the detected packet. The second process of receiving the corresponding service information, and the security information list server 300 collects attack packets, and analyzes them as verified packets and packets to be blocked, and stores them in the security update list previously stored in the security information DB 320. A third process of updating, but after the first process, the security agent 100, if the detected packet does not correspond to the indexed security information list, the detected packet is A fourth step of blocking is sent to the switch server 200.

그리고, 상기 제 3 과정 또는 4 과정 이후, 보안에이전트(100)가 소정의 주기로 보안정보목록서버(300)에 보안정보목록 요청정보를 송신하고, 서비스서버(200)가 수신한 공격패킷을 상기 보안정보목록서버(300)로 송신하는 제 5 과정과, 보안정보목록서버(300)가 수신한 보안정보목록 요청정보에 대응되는 보안정보목록을 보안에이전트로 송신하며, 공격패킷을 수신하여 분석하고, 이를 갱신한 보안정보목록을 상기 서비스서버(200)로 송신하는 제 6 과정, 및 보안에이전트 배포서버(400)가 사전에 허가된 보안에이전트들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포하는 제 7 과정을 더 포함한다.After the third process or the fourth process, the security agent 100 transmits the security information list request information to the security information list server 300 at a predetermined cycle, and transmits the attack packet received by the service server 200 to the security packet. A fifth process of transmitting to the information list server 300 and a security information list corresponding to the security information list request information received by the security information list server 300 to a security agent, receiving and analyzing an attack packet, The sixth process of transmitting the updated security information list to the service server 200, and the security agent distribution server 400 provides a package or packaged recording medium including the security information list to the security agents authorized in advance It further includes a seventh process of distribution.

상기와 같은 본 발명에 따르면, 보안에이전트가 기배포받은 보안정보목록의 룰에 따라 사용자 시스템이 전송하는 패킷을 검사하여 검증되지 않은 패킷들을 차단함으로써, 서비스를 제공하는 서버로 검증된 패킷만을 송신하도록 하여 해커들에 의한 DDOS 공격을 클라이언트 단에서 차단하고, 서버의 부하를 감소시킴과 아울러 트래픽을 통제하는 효과가 있다.According to the present invention as described above, the security agent checks the packet transmitted by the user system according to the rules of the distributed security information list to block the unverified packets, thereby transmitting only the verified packet to the server providing the service. Therefore, it blocks DDOS attacks by hackers at the client side, reduces the load on the server and controls traffic.

본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.Specific features and advantages of the present invention will become more apparent from the following detailed description based on the accompanying drawings. Prior to this, the terms or words used in the present specification and claims are defined in the technical spirit of the present invention on the basis of the principle that the inventor can appropriately define the concept of the term in order to explain his invention in the best way. It should be interpreted to mean meanings and concepts. In addition, when it is determined that the detailed description of the known function and its configuration related to the present invention may unnecessarily obscure the subject matter of the present invention, it should be noted that the detailed description is omitted.

도 2 는 본 발명에 따른 클라이언트 DDOS 방어 시스템(S)을 나타내는 구성도이고, 도 3 은 본 발명의 클라이언트 DDOS 방어 시스템의 구성요소들간의 관계를 나타낸 도면이다.2 is a block diagram showing a client DDOS defense system (S) according to the present invention, Figure 3 is a diagram showing the relationship between the components of the client DDOS defense system of the present invention.

본 발명의 제 1 실시예에 따른 클라이언트 DDOS 방어 시스템(S)은 도 2 에 도시된 바와 같이, 보안에이전트(100), 서비스서버(200) 및 보안정보목록서버(300)를 포함하는데, 구체적으로 도 3 과 함께 살피면, 보안에이전트(100)는 외부로부터 유입되어 타서버로 유포되기 위한 악성프로그램 및 에 포함된 패킷(이하, '공격패킷')을 독출하여 탐지하고, 기저장된 룰에 따라 탐지된 패킷을 검사하여 룰에 대응 되는 패킷만을 서비스서버(200)로 송신하며, 소정의 주기로 보안정보목록서버(300)로 송신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 수신하여 보안정보DB(120)에 저장한다.The client DDOS defense system S according to the first embodiment of the present invention includes a security agent 100, a service server 200 and a security information list server 300, as shown in FIG. Referring to FIG. 3, the security agent 100 reads and detects a malicious program and a packet (hereinafter, “attack packet”) included in the malware to be distributed to another server and distributed to another server, and detected according to a pre-stored rule. Inspects the packet and transmits only the packet corresponding to the rule to the service server 200, and receives the updated security information list corresponding to the security information list request information transmitted to the security information list server 300 at predetermined intervals, thereby securing the security information. Stored in the DB (120).

패킷탐지모듈(110)은 악성프로그램에 포함된 패킷을 탐지하고, 보안정보DB(120)는 기배포받은 보안정보목록을 저장한다. 여기서 보안정보목록이란, 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 악성프로그램에 포함된 패킷을 탐지하는 모니터링 룰과, 탐지된 패킷들을 검사하는 룰, 방화벽 설정리스트 및 DDOS 차단을 동의한 서비스서버들의 목록을 포함하며, 컴퓨터시스템의 드라이버레벨 등에 상주될 수 있다.The packet detection module 110 detects a packet included in a malicious program, and the security information DB 120 stores a list of previously distributed security information. In this case, the security information list is a list of verified and blocked packets, a monitoring rule for detecting packets included in a malicious program, a rule for inspecting detected packets, a firewall configuration list, and a service server agreeing to block DDOS. List, and can reside on the driver level of the computer system.

패킷검사모듈(130)은 탐지된 패킷을 보안정보DB(120)를 통해 색인한 보안정보목록의 룰에 따라 검사하여 탐지된 패킷이 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신 또는 통과시켜 이와 대응하는 서비스정보를 수신하고, 대응하지 않으면 차단한다. 이때, 차단이란, 서비스서버(200)를 포함하는 기타 외부로의 송신을 차단하는 것으로 이해할 수 있다.The packet inspection module 130 inspects the detected packet according to the rules of the security information list indexed through the security information DB 120, and if the detected packet corresponds to the security information list, the service server 200 checks the detected packet. Receive the service information corresponding to the transmission or pass through, and block if not. In this case, blocking may be understood as blocking transmission to other external devices including the service server 200.

보안정보목록 갱신모듈(140)은 소정의 주기로 보안정보목록서버(300)의 보안정보목록 송신모듈(340)에 보안정보목록 요청정보를 송신하여 갱신된 보안정보목록을 수신하고, 수신한 보안정보목록을 보안정보DB(120)에 저장ㅇ갱신토록 한다. 이러한 보안에이전트는 사용자 시스템, 휴대폰, TV, 셋탑박스, 게임기, 라우터, 게이트웨이 등의 네트워크가 가능한 모든 시스템에 위치할 수 있다.The security information list updating module 140 receives the updated security information list by transmitting the security information list request information to the security information list transmitting module 340 of the security information list server 300 at predetermined intervals, and receives the received security information. The list is stored and updated in the security information DB (120). Such a security agent may be located in any network capable system such as a user system, a mobile phone, a TV, a set-top box, a game machine, a router, a gateway, and the like.

또한, 서비스서버(200)는 보안에이전트(100)로부터 검사된 패킷을 수신하여 이와 대응하는 서비스정보를 보안에이전트(100)로 송신하고, 해커들이 유포한 악성(공격) 프로그램들에 의한 공격패킷을 보안정보목록서버(300)로 송신하여 이와 대응하는 보안정보목록을 수신한다. 여기서 보안정보목록의 수신은 사전에 허가된 서비스서버(200)에 한정되어 수신될 수 있으며, 이러한 서비스서버는 특정분야에 한정되지 않고 서비스를 제공하는 서버를 총칭하는 것으로, 정부기관, 은행, 웹 포털, 대학, 기업, 쇼핑몰 등의 총체적 서비스 시스템을 포함한다.In addition, the service server 200 receives the inspected packet from the security agent 100 and transmits the corresponding service information to the security agent 100, and sends an attack packet by malicious (attack) programs distributed by hackers The security information list server 300 receives the security information list corresponding thereto. Here, the reception of the security information list can be received limited to the previously authorized service server 200, and such a service server is a general term for a server providing a service without being limited to a specific field, and a government agency, a bank, a web. It includes a total service system of portals, universities, businesses, shopping malls, and the like.

또한, 보안정보목록서버(300)는 보안에이전트(100)로부터 수신한 보안정보목록 요청정보에 대응하는 보안정보목록을 송신하며, 서비스서버(200)로부터 공격패킷을 수신ㅇ분석하여 보안정보DB(320)를 갱신하고, 갱신된 보안정보목록을 서비스서버(200)로 송신한다.In addition, the security information list server 300 transmits a security information list corresponding to the security information list request information received from the security agent 100, and receives and analyzes the attack packet from the service server 200 security information DB ( 320, and transmits the updated security information list to the service server 200.

패킷수집모듈(310)은 보안에이전트(100)로부터 보안정보목록 요청정보를 수신함과 아울러 서비스서버(200)로부터 공격받은 패킷을 수신한다.The packet collecting module 310 receives the security information list request information from the security agent 100 and receives the attacked packet from the service server 200.

보안정보DB(320)는 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 패킷 모니터링 룰, 패킷 분석 룰 및 방화벽 설정리스트를 포함하는 보안정보목록, 허가된 보안에이전트(100)들의 목록, 허가된 서비스서버(200)들의 목록 및 DDOS 차단을 동의한 서비스서버(200)들의 목록(서비스서버 IP 및 서비스 Port 포함)을 저장한다.The security information DB 320 includes a list of verified packets and packets to be blocked, a list of security information including a packet monitoring rule, a packet analysis rule, and a firewall setting list, a list of authorized security agents 100, and an authorized service. A list of the servers 200 and a list of the service servers 200 (including the service server IP and the service port) agreed to block DDOS are stored.

패킷분석모듈(330)은 수집된 패킷 및 공격받은 패킷들을 유형별로 색인하여 보안정보목록의 룰에 따라 분석하고, 분석된 패킷들을 차단할 패킷과 검증된 패킷으로 분류하여 보안정보DB(320)의 보안정보목록을 갱신토록 한다.The packet analysis module 330 indexes the collected packets and the attacked packets by type, analyzes them according to the rules of the security information list, and classifies the analyzed packets into packets to block and validated packets to secure the security information DB 320. Update the list of information.

보안정보목록 송신모듈(340)은 보안에이전트(100)의 보안정보목록 갱신모 듈(140)로부터 수신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 보안에이전트(100)로 송신함과 아울러 공격패킷에 대응하는 갱신된 보안정보목록을 서비스서버(200)로 송신한다. 이때 갱신된 보안정보목록의 송신은 보안정보DB(320)에 기저장된 허가된 보안에이전트(100) 및 서비스서버(200)들에게만 송신한다.The security information list transmitting module 340 transmits the updated security information list corresponding to the security information list request information received from the security information list updating module 140 of the security agent 100 to the security agent 100. In addition, the updated security information list corresponding to the attack packet is transmitted to the service server 200. In this case, the updated security information list is transmitted only to the authorized security agent 100 and the service server 200 previously stored in the security information DB 320.

보안정보목록 관리모듈(350)은 상술한 구성요소 패킷수집모듈(310), 보안정보DB(320), 패킷분석모듈(330), 및 보안정보목록 송신모듈을 제어함과 아울러 패킷 수집과 보안정보DB(320)의 갱신과, 패킷 분석 및 갱신된 보안정보목록을 송신하는 일련의 과정을 출력한다.The security information list management module 350 controls the aforementioned packet collecting module 310, the security information DB 320, the packet analysis module 330, and the security information list transmitting module, and collects and collects the security information. A series of processes for updating the DB 320, packet analysis, and updated security information list are output.

그리고, 보안에이전트 배포서버(400)는 사전에 허가된 보안에이전트(100)들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포한다.In addition, the security agent distribution server 400 distributes a package or packaged recording medium including a security information list to the security agents 100 previously authorized.

이하, 본 발명에 따른 클라이언트 DDOS 방어 방법에 대해 살펴본다.Hereinafter, the client DDOS defense method according to the present invention will be described.

도 4 내지 도 6 을 참조하면, 보안에이전트(100)가 공격 프로그램이 전송하는 패킷을 탐지함과 아울러 보안정보DB(120)에 기저장된 보안정보목록을 색인하고, 탐지된 패킷이 색인된 보안정보목록과 대응하는지 검사한다(S10).4 to 6, the security agent 100 detects the packet transmitted by the attack program, indexes the security information list pre-stored in the security information DB 120, and detects the detected security information. Check whether it corresponds to the list (S10).

이어서, 탐지된 패킷이 색인된 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신하여 검사된 패킷과 대응하는 서비스정보를 수신하고, 이를 출력한다(S20).Subsequently, if the detected packet corresponds to the indexed security information list, the inspected packet is transmitted to the service server 200 to receive service information corresponding to the inspected packet and output the same (S20).

뒤미처, 보안정보목록서버(300)는 공격패킷들을 수신함과 아울러 이를 검증된 패킷 및 차단할 패킷으로 분류하여 보안정보DB(320)에 기저장된 보안갱신목록에 갱신한다(S30).Afterwards, the security information list server 300 receives attack packets and classifies them into verified packets and blocked packets and updates them in the security update list previously stored in the security information DB 320 (S30).

이때, 상기 S10 단계 이후, 탐지된 패킷이 색인된 보안정보목록과 대응하지 않으면, 탐지된 패킷이 서비스서버(200)로 송신되지 못하도록 차단한다(S40).In this case, after the step S10, if the detected packet does not correspond to the indexed security information list, the detected packet is blocked from being transmitted to the service server 200 (S40).

한편, 보안에이전트(100)가 소정의 주기로 보안정보목록서버(300)에 보안정보목록 요청정보를 송신하고, 서비스서버(200)는 공격 프로그램으로부터 전송되는 공격패킷을 보안정보목록서버(300)로 송신한다(S50).Meanwhile, the security agent 100 transmits the security information list request information to the security information list server 300 at a predetermined cycle, and the service server 200 transmits the attack packet transmitted from the attack program to the security information list server 300. Transmit (S50).

그리고, 보안정보목록서버(300)가 수신한 보안정보목록 요청정보에 대응되는 보안정보목록을 보안에이전트(100)로 송신하며, 서비스서버(200)로부터 공격패킷을 수신하여 분석하고, 이를 갱신한 보안정보목록을 서비스서버(200)로 송신한다(S60). 또한, 보안에이전트 배포서버(400)는 사전에 허가된 보안에이전트(100)들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포한다(S70).The security information list server 300 transmits a security information list corresponding to the security information list request information received to the security agent 100, receives and analyzes an attack packet from the service server 200, and updates the attack packet. The security information list is transmitted to the service server 200 (S60). In addition, the security agent distribution server 400 distributes the package or packaged recording medium including the security information list to the security agent 100 previously authorized (S70).

이처럼 사전에 보안정보목록을 기저장하고 있는 보안에이전트(100)는 도 7 에 도시된 바와 같이 특정서버에 대한 DDOS 공격을 위해 해커가 유포한 악성 프로그램을 원천적으로 차단시킨다. 또한, DDOS 공격 뿐만 아니라, 기타 해킹 등 사용자 기반의 악의적 네트워크 및 시스템 공격의 근원을 차단할 수 있다.As described above, the security agent 100 pre-stores the security information list, as shown in FIG. 7, to block malicious programs distributed by hackers for a DDOS attack on a specific server. It can also block the roots of user-based malicious network and system attacks, as well as DDOS attacks.

이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서, 그러한 모든 적절한 변경 및 수정과 균등물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.As described above and described with reference to a preferred embodiment for illustrating the technical idea of the present invention, the present invention is not limited to the configuration and operation as shown and described as described above, it is a deviation from the scope of the technical idea It will be understood by those skilled in the art that many modifications and variations can be made to the invention without departing from the scope of the invention. Accordingly, all such suitable changes and modifications and equivalents should be considered to be within the scope of the present invention.

도 1 은 종래의 DDOS 방어 시스템을 나타낸 도면.1 shows a conventional DDOS defense system.

도 2 는 본 발명에 따른 클라이언트 DDOS 방어 시스템의 구성을 나타낸 도면.2 is a diagram showing the configuration of a client DDOS defense system according to the present invention;

도 3 은 본 발명에 따른 클라이언트 DDOS 방어 시스템의 구성요소들간의 관계를 나타낸 도면.3 illustrates a relationship between components of a client DDOS defense system in accordance with the present invention.

도 4 는 본 발명에 따른 클라이언트 DDOS 방어 방법을 나타낸 순서도.4 is a flow chart illustrating a client DDOS defense method in accordance with the present invention.

도 5 는 본 발명의 제 3 과정 또는 제 4 과정 이후의 클라이언트 DDOS 방어 방법을 나타낸 도면.5 is a diagram illustrating a client DDOS defense method after the third or fourth process of the present invention.

도 6 은 본 발명에 따른 클라이언트 DDOS 방어 방법의 구성요소간 정보의 흐름을 나타낸 도면.6 is a diagram illustrating the flow of information between components of the client DDOS defense method according to the present invention.

도 7 은 본 발명에 따라 DDOS 공격이 차단되는 것을 나타낸 도면.7 is a diagram illustrating that a DDOS attack is blocked according to the present invention.

** 도면의 주요 부분에 대한 부호의 설명 **** Description of symbols for the main parts of the drawing **

100: 보안에이전트 110: 패킷탐지모듈100: security agent 110: packet detection module

120: 보안정보DB 130: 패킷검사모듈120: security information DB 130: packet inspection module

140: 보안정보목록 갱신모듈 200: 서비스서버140: security information list update module 200: service server

300: 보안정보목록서버 310: 패킷수집모듈300: security information list server 310: packet collection module

320: 보안정보DB 330: 패킷분석모듈320: security information DB 330: packet analysis module

340: 보안정보목록 송신모듈 350: 보안정보목록 관리모듈340: Security information list transmission module 350: Security information list management module

400: 보안에이전트 배포서버400: security agent distribution server

Claims (5)

클라이언트 DDOS 방어 시스템에 있어서,In the client DDOS defense system, 외부로부터 유입되어 타서버로 유포되기 위한 악성프로그램 및 공격패킷을 탐지하고, 기저장된 룰에 따라 탐지된 패킷을 검사하여 상기 룰에 대응되는 패킷만을 서비스서버로 송신하며, 소정의 주기로 보안정보목록서버로 송신한 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 수신하여 보안정보DB(120)에 저장하는 보안에이전트(100);Detects malicious programs and attack packets that are introduced from outside and distributed to other servers, inspects detected packets according to pre-stored rules, and sends only packets corresponding to the rules to the service server. A security agent 100 for receiving the updated security information list corresponding to the security information list request information transmitted to the security information DB 120 and storing the received security information list; 상기 검사된 패킷을 수신하여 이와 대응하는 서비스정보를 상기 보안에이전트로 송신하고, 상기 보안에이전트 이외의 서버로부터 수신한 공격패킷을 상기 보안정보목록서버로 송신하여 이와 대응하는 갱신된 보안정보목록을 수신하는 서비스서버(200); 및Receives the inspected packet and transmits corresponding service information to the security agent, sends an attack packet received from a server other than the security agent to the security information list server, and receives an updated security information list corresponding thereto. Service server 200; And 상기 보안정보목록 요청정보에 대응하는 보안정보목록을 상기 보안에이전트로 송신하며, 상기 공격패킷을 수신ㅇ분석하여 보안정보DB(320)를 갱신하고, 갱신된 보안정보목록을 상기 서비스서버로 송신하는 보안정보목록서버(300); 를 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 시스템.Transmitting a security information list corresponding to the security information list request information to the security agent, receiving and analyzing the attack packet to update the security information DB 320, and transmitting the updated security information list to the service server. Security information list server 300; Client DDOS defense system comprising a. 제 1 항에 있어서,The method of claim 1, 상기 보안에이전트(100)는,The security agent 100, 상기 악성프로그램에 포함된 패킷을 탐지하는 패킷탐지모듈(110);A packet detection module 110 for detecting a packet included in the malicious program; 기배포받은 보안정보목록을 저장하는 보안정보DB(120);Security information DB (120) for storing the previously distributed security information list; 상기 탐지된 패킷을 상기 보안정보DB(120)를 통해 색인한 보안정보목록의 룰에 따라 검사하여 상기 탐지된 패킷이 상기 보안정보목록과 대응하면, 검사된 패킷을 상기 서비스서버로 송신 또는 통과시켜 이와 대응하는 서비스정보를 수신하고, 대응되지 않으면 상기 탐지된 패킷을 차단하는 패킷검사모듈(130); 및The detected packet is inspected according to the rules of the security information list indexed through the security information DB 120, and if the detected packet corresponds to the security information list, the inspected packet is transmitted or passed to the service server. A packet inspection module 130 for receiving service information corresponding thereto and blocking the detected packet if it does not correspond; And 소정의 주기로 상기 보안정보목록서버에 보안정보목록 요청정보를 송신하여 갱신된 보안정보목록을 수신하고, 수신한 보안정보목록을 상기 보안정보DB(120)에 저장토록하는 보안정보목록 갱신모듈(140); 을 더 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 시스템.Security information list updating module 140 for transmitting the security information list request information to the security information list server at predetermined intervals to receive the updated security information list and storing the received security information list in the security information DB 120. ); Client DDOS defense system characterized in that it further comprises. 제 1 항에 있어서,The method of claim 1, 상기 보안정보목록서버(300)는,The security information list server 300, 상기 보안에이전트로부터 보안정보목록 요청정보를 수신함과 아울러 상기 서비스서버(200)로부터 공격받은 패킷을 수신하는 패킷수집모듈(310);A packet collecting module 310 which receives security information list request information from the security agent and receives a packet attacked from the service server 200; 검증된 패킷 및 차단할 패킷들에 대한 리스트와, 패킷 모니터링 룰, 패킷 분석 룰 및 방화벽 설정리스트를 포함하는 보안정보목록, 허가된 보안에이전트들의 목록, 및 DDOS 차단을 동의한 서비스서버들의 목록(서비스서버 IP 및 서비스 Port 포함)을 저장하는 보안정보DB(320);A list of validated and blocked packets, a list of security information including packet monitoring rules, packet analysis rules, and firewall configuration lists, a list of authorized security agents, and a list of service servers that have agreed to block DDOS. Security information DB 320 for storing IP and service port); 상기 수집된 패킷 및 공격받은 패킷들을 유형별로 색인하여 상기 보안정보목록의 룰에 따라 분석하고, 분석된 패킷들을 차단할 패킷과 검증된 패킷으로 분류하 여 상기 보안정보DB(320)의 보안정보목록을 갱신토록 하는 패킷분석모듈(330); 및The collected packets and the attacked packets are indexed according to the type and analyzed according to the rules of the security information list, and classified into the packets to be blocked and the verified packets, and the security information list of the security information DB 320 is classified. A packet analysis module 330 for updating; And 상기 보안정보목록 요청정보와 대응하는 갱신된 보안정보목록을 상기 보안에이전트로 송신함과 아울러 상기 공격패킷에 대응하는 갱신된 보안정보목록을 서비스서버로 송신하는 보안정보목록 송신모듈(340);을 더 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 시스템.A security information list transmitting module 340 for transmitting the updated security information list corresponding to the security information list request information to the security agent and transmitting the updated security information list corresponding to the attack packet to a service server; Client DDOS defense system characterized in that it further comprises. 클라이언트 DDOS 방어 방법에 있어서,In the client DDOS defense method, 보안에이전트(100)가 공격 프로그램이 전송하는 패킷을 탐지함과 아울러 보안정보DB(120)에 기저장된 보안정보목록을 색인하고, 탐지된 패킷이 상기 색인된 보안정보목록과 대응하는지 검사하는 제 1 과정;The security agent 100 detects the packet transmitted by the attack program, indexes the security information list previously stored in the security information DB 120, and checks whether the detected packet corresponds to the indexed security information list. process; 상기 탐지된 패킷이 상기 색인된 보안정보목록과 대응하면, 검사된 패킷을 서비스서버(200)로 송신하여 상기 검사된 패킷과 대응하는 서비스정보를 수신하는 제 2 과정; 및If the detected packet corresponds to the indexed security information list, transmitting the inspected packet to the service server 200 to receive service information corresponding to the inspected packet; And 보안정보목록서버(300)가 공격패킷들을 수집함과 아울러 이를 검증된 패킷 및 차단할 패킷으로 분석하여 보안정보DB(320)에 기저장된 보안갱신목록에 갱신하는 제 3 과정; 으로 이루어지되,A third step in which the security information list server 300 collects attack packets and analyzes them as verified packets and packets to block, and updates them in the security update list previously stored in the security information DB 320; Consisting of 상기 제 1 과정 이후, 상기 보안에이전트(100)는 상기 탐지된 패킷이 색인된 보안정보목록과 대응하지 않으면, 상기 탐지된 패킷이 상기 서비스서버(200)로 송신되지 못하도록 차단하는 제 4 과정; 을 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 방법.After the first step, the security agent 100 blocks the detected packet from being transmitted to the service server 200 if the detected packet does not correspond to the indexed security information list; Client DDOS defense method comprising the. 제 4 항 에 있어서,The method of claim 4, 상기 제 3 과정 또는 4 과정 이후,After the third or fourth process, 보안에이전트(100)가 소정의 주기로 상기 보안정보목록서버(300)에 보안정보목록 요청정보를 송신하고, 상기 서비스서버(200)가 수신한 공격패킷을 상기 보안정보목록서버(300)로 송신하는 제 5 과정;The security agent 100 transmits security information list request information to the security information list server 300 at predetermined intervals, and transmits the attack packet received by the service server 200 to the security information list server 300. Fifth process; 상기 보안정보목록서버(300)가 수신한 보안정보목록 요청정보에 대응되는 보안정보목록을 상기 보안에이전트(100)로 송신하며, 상기 공격패킷을 수신하여 분석하고, 이를 갱신한 보안정보목록을 상기 서비스서버(200)로 송신하는 제 6 과정; 및The security information list server 300 transmits a security information list corresponding to the security information list request information received to the security agent 100, receives and analyzes the attack packet, and updates the updated security information list. A sixth process of transmitting to the service server 200; And 보안에이전트 배포서버(400)가 사전에 허가된 보안에이전트들에게 보안정보목록을 포함하는 패키지 또는 패키지화된 기록매체를 배포하는 제 7 과정; 을 더 포함하는 것을 특징으로 하는 클라이언트 DDOS 방어 방법.A seventh process of distributing the package or packaged recording medium including the security information list to the security agents authorized by the security agent distribution server 400 in advance; Client DDOS defense method characterized in that it further comprises.
KR1020080042005A 2008-05-06 2008-05-06 System for defending client distribute denial of service and method therefor KR100983549B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080042005A KR100983549B1 (en) 2008-05-06 2008-05-06 System for defending client distribute denial of service and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080042005A KR100983549B1 (en) 2008-05-06 2008-05-06 System for defending client distribute denial of service and method therefor

Publications (2)

Publication Number Publication Date
KR20090116206A true KR20090116206A (en) 2009-11-11
KR100983549B1 KR100983549B1 (en) 2010-09-27

Family

ID=41601001

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080042005A KR100983549B1 (en) 2008-05-06 2008-05-06 System for defending client distribute denial of service and method therefor

Country Status (1)

Country Link
KR (1) KR100983549B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101518852B1 (en) * 2013-12-23 2015-05-13 주식회사 시큐아이 Security system including ips device and ids device and operating method thereof
KR101658450B1 (en) * 2016-04-01 2016-09-21 이석우 Security device using transaction information obtained from web application server and proper session id

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101511030B1 (en) * 2010-11-25 2015-04-10 네이버비즈니스플랫폼 주식회사 Method, system and compueter readable medium to block dos attack using contents filtering system and packet level blocking system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101518852B1 (en) * 2013-12-23 2015-05-13 주식회사 시큐아이 Security system including ips device and ids device and operating method thereof
KR101658450B1 (en) * 2016-04-01 2016-09-21 이석우 Security device using transaction information obtained from web application server and proper session id

Also Published As

Publication number Publication date
KR100983549B1 (en) 2010-09-27

Similar Documents

Publication Publication Date Title
Alsmadi et al. Security of software defined networks: A survey
EP3178216B1 (en) Data center architecture that supports attack detection and mitigation
Izhikevich et al. {LZR}: Identifying unexpected internet services
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
US20040193943A1 (en) Multiparameter network fault detection system using probabilistic and aggregation analysis
US20060026682A1 (en) System and method of characterizing and managing electronic traffic
Alabady Design and Implementation of a Network Security Model for Cooperative Network.
Ahmed et al. Modelling cyber security for software-defined networks those grow strong when exposed to threats: Analysis and propositions
Jeyanthi Internet of things (IoT) as interconnection of threats (IoT)
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
van Oorschot et al. Intrusion detection and network-based attacks
Nasser et al. Provably curb man-in-the-middle attack-based ARP spoofing in a local network
KR100983549B1 (en) System for defending client distribute denial of service and method therefor
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Balogh et al. LAN security analysis and design
Devi et al. Cloud-based DDoS attack detection and defence system using statistical approach
Lindström Next generation security operations center
Kumbhare et al. IDS: survey on intrusion detection system in cloud computing
Verwoerd et al. Security architecture testing using IDS—a case study
Pant et al. A cumulative security metric for an information network
KR101045332B1 (en) System for sharing information and method of irc and http botnet
Kakanakov et al. Securing against Denial of Service attacks in remote energy management systems
Holik Protecting IoT Devices with Software-Defined Networks
Foote et al. Low Cost ICS Network Scanning for Vulnerability Prevention
Chieffalo et al. The Internet of Things-An Engineering Approach to Combating a Potential Skynet

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130828

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140901

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160901

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170901

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180903

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200121

Year of fee payment: 10