KR20100025796A - DDoS 공격 방어 장치 및 방법 - Google Patents
DDoS 공격 방어 장치 및 방법 Download PDFInfo
- Publication number
- KR20100025796A KR20100025796A KR1020080084495A KR20080084495A KR20100025796A KR 20100025796 A KR20100025796 A KR 20100025796A KR 1020080084495 A KR1020080084495 A KR 1020080084495A KR 20080084495 A KR20080084495 A KR 20080084495A KR 20100025796 A KR20100025796 A KR 20100025796A
- Authority
- KR
- South Korea
- Prior art keywords
- network system
- packet
- session
- resource state
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 30
- 230000000903 blocking effect Effects 0.000 claims abstract description 53
- 230000007123 defense Effects 0.000 claims abstract description 34
- 230000005540 biological transmission Effects 0.000 claims abstract description 29
- 238000001514 detection method Methods 0.000 claims description 4
- 238000005259 measurement Methods 0.000 abstract description 11
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 2
- 230000007423 decrease Effects 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함하는 DDoS 공격 방어 장치가 개시된다.
네트워크, 트래픽, 엔트로피, 패킷, IP, 리소스, 공격, 방어
Description
DDoS 공격(distributed denial-of-service attack) 방어 장치 및 방법이 개시된다. 특히, 네트워크 시스템에 대한 DDoS 공격 여부를 모니터링하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 상기 DDoS 공격을 방어하기 위한 DDoS 공격 방어 장치 및 방법이 개시된다.
최근, 초고속 인터넷 환경이 구축되면서, 해킹이나 인터넷 침해 등과 같은 네트워크 공격에 의한 피해가 속출하고 있다. 특히, 대형 포탈 사이트의 경우, 네트워크 공격으로 인해, 서버가 다운되거나 개인 정보 유출 등의 문제가 발생한다면, 상기 포탈 사이트를 운영하는 운영자에게 막대한 피해가 돌아갈 수 있다.
네트워크 공격의 유형으로는 인터넷 사이트를 해킹하여, 기밀 정보나 개인 정보를 획득하는 공격 방법이 있고, 다수의 클라이언트 컴퓨터에 악성 코드를 감염시켜서 상기 다수의 클라이언트 컴퓨터가 특정 네트워크 시스템에 한번에 다량의 패킷을 전송하도록 함으로써 상기 네트워크 시스템의 서버를 다운시키는 공격 방법 등이 있다.
특히, 후자의 공격 방법을 DDoS 공격(distributed denial-of-service attack)이라고 하는데, DDoS 공격은 공격 방법이 단순하고, DDoS 공격을 위한 툴(tool)을 어디서나 쉽게 구할 수 있어, 초급 해커도 얼마든지 이를 이용하여, 네트워크 시스템을 공격할 수 있다.
DDoS 공격은 일반적인 패킷으로 공격이 이루어지므로 정상 패킷과 비정상 패킷을 구분하기 어렵고, DDoS 공격을 방어한다고 해도, 비정상 패킷뿐만 아니라 정상 패킷에 대해서도 전송을 차단하기 때문에, 정상적인 사용자들에게 피해가 갈 수 있다.
따라서, 이러한 DDoS 공격을 효율적으로 방어할 수 있는 방어 기재에 대한 연구가 필요하다.
네트워크 시스템의 리소스 상태를 모니터링 하고, 상기 네트워크 시스템의 적어도 하나의 IP에 전송되는 트래픽을 측정함으로써, DDoS 공격 여부를 판단하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 비정상 패킷에 대해서만 전송을 차단함으로써, DDoS 공격에 대한 효율적인 방어가 가능한 DDoS 공격 방어 장치 및 방법을 제공하고자 한다.
본 발명의 일실시예에 따른 DDoS 공격 방어 장치는 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함한다.
또한, 본 발명의 일실시예에 따른 DDoS 공격 방어 방법은 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 단계, 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 단계, 상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 단계 및 상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 단계를 포함한다.
네트워크 시스템의 리소스 상태를 모니터링 하고, 상기 네트워크 시스템의 적어도 하나의 IP에 전송되는 트래픽을 측정함으로써, DDoS 공격 여부를 판단하고, 상기 네트워크 시스템에 DDoS 공격이 있는 경우, 비정상 패킷에 대해서만 전송을 차단함으로써, DDoS 공격에 대한 효율적인 방어가 가능한 DDoS 공격 방어 장치 및 방법을 제공할 수 있다.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 DDoS 공격 방어 장치의 구조를 도시한 도면이다.
도 1을 참조하면, 네트워크 시스템(110) 및 DDoS 공격 방어 장치(120)가 도시되어 있다.
DDoS 공격 방어 장치(120)는 리소스 상태 분석부(121), 시스템 상태 판단부(122), 트래픽 측정부(123) 및 패킷 전송 제어부(124)를 포함할 수 있다.
먼저, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정한다.
본 발명의 일실시예에 따르면, 상기 적어도 하나의 리소스 상태 값은 씨피유 로드 레이트(CPU Load rate), 네트워크 인터페이스 카드(Network Interface Card: NIC)의 패킷 변화량, 장비 세션 카운트 레이트(Count rate) 또는 라우팅 테이블 카운트 레이트(Table count rate) 등이 될 수 있다.
시스템 상태 판단부(122)는 리소스 상태 분석부(121)에서 측정된 상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는지 판단한다.
그리고 나서, 만약, 상기 적어도 하나의 리소스 상태 값 중 어느 하나 이상의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는 경우, 시스템 상태 판단부(122)는 네트워크 시스템(110)으로 패킷이 전송되는 것을 차단하기 위해 네트워크 시스템(110)에 차단 세션(session)을 생성한다.
예컨대, 리소스 상태 분석부(121)가 네트워크 시스템(110)의 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 및 라우팅 테이블 카운트 레이트를 측정한 경우, 시스템 상태 판단부(122)는 상기 측정된 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트를 각각의 선정된 기준 값들과 비교한다.
본 발명의 일실시예에 따르면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값들 각각에 대해 특정 기간 동안의 평균 값들을 계산할 수 있다. 이때, 본 발명의 일실시예에 따르면, 상기 선정된 기준 값들은 상기 평균 값들이 될 수 있다.
이에 대해, 예를 들어 설명하면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 및 라우팅 테이블 카운트 레이트를 실시간으로 측정하면서, 특정 기간 동안 측정한 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트를 이용하여, 각각의 평균 값들을 계산할 수 있다.
그리고 나서 시스템 상태 판단부(122)는 리소스 상태 분석부(121)로부터 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트와 상기 평균 값들을 수신한 후, 상기 평균 값들을 기준 값으로 하여, 상기 씨피유 로드 레이트, 상기 NIC의 패킷 변화량, 상기 장비 세션 카운트 레이트 및 상기 라우팅 테이블 카운트 레이트가 각각의 평균 값을 초과하는지 판단할 수 있다.
만약, 실시간으로 측정된 상기 씨피유 로드 레이트가 특정 기간 동안 측정한 씨피유 로드 레이트의 평균 값을 초과하는 경우, 시스템 상태 판단부(122)는 네트워크 시스템(110)이 DDoS 공격을 받는 것으로 판단하여, 네트워크 시스템(110)에 차단 세션을 생성할 수 있다.
본 발명의 일실시예에 따르면, 리소스 상태 분석부(121)는 네트워크 시스템(110)의 NIC의 트래픽 볼륨(Volume) 측정을 통해 상기 NIC의 패킷 변화량을 측정할 수 있다.
NIC의 트래픽 볼륨 측정은 NIC에 패킷이 도착하는 시간을 측정하여, 상기 측정된 시간 따라 NIC의 트래픽 증가 여부를 판단할 수 있는 측정 방법을 의미한다. 만약, 상기 측정된 시간이 갑자기 줄어든다면, NIC의 트래픽이 갑자기 증가하고 있음을 알 수 있다.
상기 NIC의 트래픽 볼륨 측정은 하기의 수학식 1로 나타낼 수 있다.
여기서 k는 NIC에 도착하는 패킷의 수로 예컨대 50개의 패킷이 NIC에 도착한 다고 가정하면, k=50이 될 수 있다. 리소스 상태 분석부(121)는 상기 수학식 1을 이용하여 NIC에 패킷이 도착하는 시간을 측정함으로써 NIC의 패킷 변화량을 측정할 수 있고, 시스템 상태 분석부(122)가 상기 NIC의 패킷 변화량과 기준 값을 비교하여, 상기 NIC의 패킷 변화량이 기준 값을 초과하는 경우, 네트워크 시스템(110)에 차단 세션을 생성할 수 있다.
본 발명의 일실시예에 따르면, 시스템 상태 판단부(122)는 리소스 상태 분석부(121)에서 측정된 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값이 선정된 기준 값을 초과하지 않고, 네트워크 시스템(110)에 차단 세션이 존재하고 있는 경우, 상기 차단 세션을 해제할 수 있다. 이를 통해, 네트워크 시스템(110)이 과거에 DDoS 공격을 받아서 DDoS 공격 방어 장치(120)에 의해 차단 세션이 생성된 이후, 시스템 상태 판단부(122)가 네트워크 시스템(110)의 적어도 하나의 리소스의 현재 상태를 판단한 결과, 네트워크 시스템(110)이 정상이라고 판단한 경우, 상기 차단 세션을 해제하고, 네트워크 시스템(110)으로 패킷이 정상적으로 전송되도록 할 수 있다.
트래픽 측정부(123)는 시스템 상태 판단부(122)가 네트워크 시스템(110)의 적어도 하나의 리소스 상태 값이 각각의 기준 값들을 초과하지 않는 것으로 판단한 경우, 네트워크 시스템(110)의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성한다. 이를 통해, 시스템 상태 판단부(122)가 네트워크 시스템(110)을 정상 상태인 것으로 판단한 경우에도 트래픽 측정부(123)가 네트워크 시스템(110)의 적어도 하나의 IP에 대한 트래픽을 모니터링함으로써 DDoS 공격에 대한 방어를 견고히 할 수 있다.
본 발명의 일실시예에 따르면, 트래픽 측정부(123)는 IP 검출부 및 엔트로피 측정부를 포함할 수 있다.
따라서, 이하에서는 도 2를 참조하여, 트래픽 측정부(123)의 구조를 상세히 설명하기로 한다.
도 2는 본 발명의 일실시예에 따른 트래픽 측정부의 구조를 도시한 도면이다.
도 2를 참조하면, 네트워크 시스템(210) 및 트래픽 측정부(220)가 도시되어 있다.
트래픽 측정부(220)는 IP 검출부(221) 및 엔트로피 측정부(222)를 포함할 수 있다.
IP 검출부(221)는 네트워크 시스템(210)의 적어도 하나의 IP에 접속되어 있는 복수의 소스(Source) IP 들의 개수를 모니터링하여, 상기 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟(target) IP를 검출한다.
본 발명의 일실시예에 따르면, IP 검출부(221)는 상기 적어도 하나의 IP에 접속되어 있는 복수의 소스 IP들의 목록을 생성하고, 선정된 시간 간격으로 상기 적어도 하나의 IP에 접속되어 있는 복수의 소스 IP들의 개수가 상기 기준 개수를 초과하는지 판단할 수 있다.
엔트로피 측정부(222)는 IP 검출부(221)에서 검출된 상기 타겟 IP에 접속되 어 있는 상기 복수의 소스 IP들의 엔트로피(Entropy) 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성한다.
이때, 본 발명의 일실시예에 따르면, 상기 엔트로피 값은 하기의 수학식 2를 통해 계산될 수 있다.
단, 
여기서 total은 네트워크 시스템(210)으로 전송되는 전체 패킷 수, srccnt는 상기 타겟 IP에 접속되어 있는 복수의 소스 IP들의 개수를 의미한다.
결국, 트래픽 측정부(220)는 IP 검출부(221)가 네트워크 시스템(210)의 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟 IP를 검출함으로써, 과다한 패킷이 전송되는 것으로 의심되는 IP를 검출하고, 엔트로피 측정부(222)가 상기 타겟 IP의 엔트로피를 측정함으로써 상기 타겟 IP에 실제로 과다한 패킷이 전송되는지 여부를 판단한 후, 만약, 상기 타겟 IP에 과다한 패킷이 전송되는 것으로 판단한 경우, 상기 타겟 IP에 대해 차단 세션을 생성함으로써, DDoS 공격에 대한 방어를 할 수 있다.
이상, 트래픽 측정부(220)의 구조에 대해 설명하였다. 이하에서는 도 1을 참조하여, DDoS 공격 방어 장치의 구조에 대해 계속 설명하기로 한다.
패킷 전송 제어부(124)는 시스템 상태 판단부(122) 또는 트래픽 측정부(123)에 의해 생성된 차단 세션으로 인해 네트워크 시스템(110)으로의 전송이 차단된 적어도 하나의 패킷 중 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 네트워크 시스템(110)으로 전송되도록 제어한다.
일반적으로 네트워크 시스템(110)이 DDoS 공격을 받는 경우, 기존의 DDoS 공격 방어 장치는 네트워크 시스템(110)으로 전송되는 모든 패킷에 대해 전송을 차단하기 때문에 정상적인 패킷까지 네트워크 시스템(110)으로 전송되지 못하는 경우가 많았다. 하지만, 패킷 전송 제어부(124)는 평상시 정상 패킷을 등록해 놓은 후, DDoS 공격에 의해 네트워크 시스템(110)에 차단 세션이 생성된 경우, 기 등록되어 있는 정상적인 패킷에 대해서는 네트워크 시스템(110)으로 전송되도록 함으로써, DDoS 공격에 의한 비정상 패킷의 전송만을 차단할 수 있어, DDoS 공격에 대한 효율적인 방어가 가능하다.
본 발명의 일실시예에 따르면, 패킷 전송 제어부(124)는 패킷 등록부를 포함할 수 있다.
따라서, 이하에서는 도 3을 참조하여, 패킷 전송 제어부(124)의 구조를 상세히 설명하기로 한다.
도 3은 본 발명의 일실시예에 따른 패킷 전송 제어부의 구조를 도시한 도면이다.
도 3을 참조하면, 네트워크 시스템(310) 및 패킷 전송 제어부(320)가 도시되어 있다.
패킷 전송 제어부(320)는 패킷 등록부(321)를 포함할 수 있다.
패킷 등록부(321)는 네트워크 시스템(310)에 차단 세션이 존재하지 않는 경우, 네트워크 시스템(310)으로 전송되는 적어도 하나의 패킷을 등록한다.
다시 말해서, 패킷 등록부(321)는 네트워크 시스템(310)이 DDoS 공격을 받지 않을 때, 전송되는 패킷들을 정상 패킷으로 판단하여, 상기 패킷들을 등록할 수 있다.
그리고 나서, 만약, 네트워크 시스템(310)이 DDoS 공격을 받는 경우, 패킷 전송 제어부(320)가 차단 세션에 의해 전송이 차단된 패킷들 중에서 상기 패킷 등록부(321)에 등록되어 있는 정상 패킷들에 대해서만 네트워크 시스템(310)으로 전송되도록 제어함으로써, DDoS 공격에 대한 효율적인 방어가 가능하다.
본 발명의 일실시예에 따르면, 패킷 등록부(321)는 네트워크 시스템(310)에 차단 세션이 존재하지 않고, 적어도 하나의 패킷이 TCP 프로토콜을 통해 네트워크 시스템(310)으로 전송되는 경우, 3번 악수 기법 인증(Three Hand Shaking)이 이루어진 패킷만을 등록할 수 있다.
이를 통해, 패킷 등록부(321)가 비정상 패킷을 등록할 위험을 줄일 수 있다.
도 4는 본 발명의 일실시예에 따른 DDoS 공격 방어 방법을 도시한 순서도이 다.
단계(S410)에서는 네트워크 시스템의 적어도 하나의 리소스 상태 값을 실시간으로 측정한다.
본 발명의 일실시예에 따르면, 상기 적어도 하나의 리소스 상태 값은 씨피유 로드 레이트, NIC의 패킷 변화량, 장비 세션 카운트 레이트 또는 라우팅 테이블 카운트 레이트가 될 수 있다.
또한, 단계(S410)에서는 상기 수학식 1에 따른 NIC 트래픽 볼륨 측정을 통해, 상기 NIC의 패킷 변화량을 측정할 수 있다.
단계(S420)에서는 단계(S410)에서 측정한 적어도 하나의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는지 판단한다.
만약, 단계(S420)에서 상기 적어도 하나의 리소스 상태 값 중 어느 하나 이상의 리소스 상태 값이 각각의 선정된 기준 값들을 초과하는 경우, 단계(S430)에서 상기 네트워크 시스템에 차단 세션을 생성한다.
하지만, 단계(S420)에서 상기 적어도 하나의 리소스 상태 값이 각각의 선정된 기준 값을 초과하지 않는다면, 단계(S440)에서 상기 네트워크 시스템에 차단 세션이 존재하는지 판단한다.
단계(S440)의 판단 결과, 상기 네트워크 시스템에 차단 세션이 존재하는 경우, 단계(S450)에서 상기 차단 세션을 해제한다.
결국, 단계(S420)에서 상기 네트워크 시스템의 리소스 상태가 비정상인 것으로 판단된 경우, 단계(S430)에서 차단 세션을 생성하여, 상기 네트워크 시스템으로 전송되는 패킷을 차단함으로써 DDoS 공격을 방어할 수 있다.
또한, 상기 네트워크 시스템이 과거에 DDoS 공격을 받아 차단 세션을 통해 상기 DDoS 공격을 방어하고 있는 중인 경우, 단계(S420)에서 상기 네트워크 시스템의 현재 리소스 상태를 판단한 결과, 상기 현재 리소스 상태가 정상인 것으로 판단되면, 단계(S440)에서 상기 네트워크 시스템에 상기 차단 세션이 존재함을 판단한 후, 단계(S450)에서 상기 차단 세션을 해제함으로써, 상기 네트워크 시스템으로 패킷이 정상적으로 전송되도록 할 수 있다.
단계(S460)에서는 단계(S440)의 판단 결과, 상기 네트워크 시스템에 차단 세션이 존재하지 않거나, 단계(S450)에서 상기 네트워크 시스템에 존재하였던 차단 세션이 해제되면, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성한다.
만약, 상기 적어도 하나의 IP 중에서 기준 트래픽을 초과하는 IP가 존재하지 않는다면, 단계(S460)에서는 상기 네트워크 시스템이 DDoS 공격을 받지 않는 것으로 판단하고, 상기 네트워크 시스템에 차단 세션을 생성하지 않는다.
본 발명의 일실시예에 따르면, 단계(S460)에서는 상기 네트워크 시스템의 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스 IP들이 접속되어 있는 타겟 IP를 검출하는 단계 및 상기 수학식 2를 참조하여, 상기 타겟 IP에 접속되어 있는 상기 복수의 소스 IP들의 엔트로피 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성하는 단 계를 포함할 수 있다.
결국, 단계(S420)에서 상기 네트워크 시스템의 리소스 상태가 정상인 것으로 판단된 경우에도, 단계(S460)을 통해, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하여, 상기 네트워크 시스템에 대한 DDoS 공격 여부를 판단함으로써, 상기 DDoS 공격에 대한 견고한 방어가 가능하다.
단계(S470)에서는 단계(S430) 또는 단계(S460)에서 생성된 차단 세션에 의해, 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중 기 등록되어 있는 패킷이 존재하는지 여부를 판단한다.
단계(S470)의 판단 결과, 상기 적어도 하나의 패킷 중 기 등록되어 있는 패킷이 존재하는 경우, 단계(S480)에서 상기 기 등록되어 있는 패킷이 상기 네트워크 시스템으로 전송되도록 제어한다.
이를 통해, 상기 네트워크 시스템에 차단 세션이 생성되어, DDoS 공격을 방어하는 경우에도, 정상 패킷에 대해서는 네트워크 시스템으로 전송되도록 함으로써, DDoS 공격에 대한 효율적인 방어가 가능하다.
본 발명에 따른 DDoS 공격 방어 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하 드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 일실시예에 따른 DDoS 공격 방어 장치의 구조를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 트래픽 측정부의 구조를 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 패킷 전송 제어부의 구조를 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 DDoS 공격 방어 방법을 도시한 순서도이다.
<도면의 주요 부분에 대한 부호의 설명>
110: 네트워크 시스템 120: DDoS 공격 방어 장치
121: 리소스 상태 분석부 122: 시스템 상태 판단부
123: 트래픽 측정부 124: 패킷 전송 제어부
210: 네트워크 시스템 220: 트래픽 측정부
221: IP 검출부 222: 엔트로피 측정부
310: 네트워크 시스템 320: 패킷 전송 제어부
321: 패킷 등록부
Claims (14)
- 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 리소스 상태 분석부;상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 시스템 상태 판단부;상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 트래픽 측정부; 및상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 패킷 전송 제어부를 포함하는 것을 특징으로 하는 DDoS 공격 방어 장치.
- 제1항에 있어서,상기 적어도 하나의 리소스 상태 값은,씨피유 로드 레이트(CPU Load rate), 네트워크 인터페이스 카드(Network Interface Card: NIC)의 패킷 변화량, 장비 세션 카운트 레이트(Count rate), 라우팅 테이블 카운트 레이트(Table count rate) 중 어느 하나 이상인 것을 특징으로 하는 DDoS 공격 방어 장치.
- 제2항에 있어서,상기 리소스 상태 분석부는,상기 NIC의 트래픽 볼륨(Volume) 측정을 통해 상기 NIC의 패킷 변화량을 측정하는 것을 특징으로 하는 DDoS 공격 방어 장치.
- 제1항에 있어서,상기 시스템 상태 판단부는,상기 리소스 상태 값이 상기 선정된 기준 값을 초과하지 않고, 상기 네트워크 시스템에 차단 세션이 존재하고 있는 경우, 상기 차단 세션을 해제하는 것을 특징으로 하는 DDoS 공격 방어 장치.
- 제1항에 있어서,상기 트래픽 측정부는,상기 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스(Source) IP들이 접속되어 있는 타겟(target) IP를 검출하는 IP 검출부; 및상기 타겟 IP에 접속되어 있는 상기 복수의 소스 IP들의 엔트로피(Entropy) 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성하는 엔트로피 측정부를 포함하는 것을 특징으로 하는 DDoS 공격 방어 장치.
- 제5항에 있어서,상기 IP 검출부는,상기 복수의 소스 IP들의 목록을 생성하고, 선정된 시간 간격으로 상기 복수의 IP들의 개수가 상기 기준 개수를 초과하는지 판단하는 것을 특징으로 하는 DDoS 공격 방어 장치.
- 제1항에 있어서,상기 패킷 전송 제어부는,상기 네트워크 시스템에 차단 세션이 존재하지 않는 경우, 상기 네트워크 시스템으로 전송되는 적어도 하나의 패킷을 등록하는 패킷 등록부를 포함하는 것을 특징으로 하는 DDoS 공격 방어 장치.
- 제7항에 있어서상기 패킷 등록부는,상기 적어도 하나의 패킷이 TCP 프로토콜을 통해 상기 네트워크 시스템으로 전송되는 경우, 3번 악수 기법 인증(Three Hand Shaking)이 이루어진 패킷만을 등 록하는 것을 특징으로 하는 DDoS 공격 방어 장치.
- 네트워크 시스템의 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 단계;상기 적어도 하나의 리소스 상태 값을 각각의 선정된(predetermined) 기준 값(threshold)들과 비교하여, 상기 적어도 하나의 리소스 상태 값이 상기 선정된 기준 값들을 초과하는 경우, 상기 네트워크 시스템에 차단 세션(session)을 생성하는 단계;상기 리소스 상태 값이 상기 기준 값들을 초과하지 않는 경우, 상기 네트워크 시스템의 적어도 하나의 IP에 대한 트래픽을 측정하고, 상기 적어도 하나의 IP 중에서 상기 측정된 트래픽이 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 단계; 및상기 차단 세션에 의해 상기 네트워크 시스템으로의 전송이 차단된 적어도 하나의 패킷 중에서 기 등록되어 있는 플로우(Flow)들의 패킷에 대해서만 상기 네트워크 시스템으로 전송되도록 제어하는 단계를 포함하는 것을 특징으로 하는 DDoS 공격 방어 방법.
- 제9항에 있어서,상기 적어도 하나의 리소스 상태 값은,씨피유 로드 레이트(CPU Load rate), 네트워크 인터페이스 카드(Network Interface Card: NIC)의 패킷 변화량, 장비 세션 카운트 레이트(Count rate), 라우팅 테이블 카운트 레이트(Table count rate) 중 어느 하나 이상인 것을 특징으로 하는 DDoS 공격 방어 방법.
- 제10항에 있어서,상기 적어도 하나의 리소스(Resource) 상태 값을 실시간으로 측정하는 단계는,상기 NIC의 트래픽 볼륨(Volume) 측정을 통해 상기 NIC의 패킷 변화량을 측정하는 것을 특징으로 하는 DDoS 공격 방어 방법.
- 제9항에 있어서,상기 네트워크 시스템에 차단 세션을 생성하는 단계는,상기 리소스 상태 값이 상기 선정된 기준 값을 초과하지 않고, 상기 네트워크 시스템에 차단 세션이 존재하고 있는 경우, 상기 차단 세션을 해제하는 단계를 포함하는 것을 특징으로 하는 DDoS 공격 방어 방법.
- 제9항에 있어서,상기 기준 트래픽을 초과하는 IP에 대해, 차단 세션을 생성하는 단계는,상기 적어도 하나의 IP 중에서 기준 개수를 초과하는 복수의 소스(Source) IP들이 접속되어 있는 타겟(target) IP를 검출하는 단계; 및상기 타겟 IP에 접속되어 있는 상기 복수의 소스 IP들의 엔트로피(Entropy) 값을 측정하고, 상기 엔트로피 값이 선정된 엔트로피 값을 초과하는 경우, 상기 타겟 IP에 대해, 차단 세션을 생성하는 단계를 포함하는 것을 특징으로 하는 DDoS 공격 방어 방법.
- 제9항 내지 제13항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080084495A KR101002801B1 (ko) | 2008-08-28 | 2008-08-28 | DDoS 공격 방어 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080084495A KR101002801B1 (ko) | 2008-08-28 | 2008-08-28 | DDoS 공격 방어 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20100025796A true KR20100025796A (ko) | 2010-03-10 |
| KR101002801B1 KR101002801B1 (ko) | 2010-12-21 |
Family
ID=42177220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080084495A Expired - Fee Related KR101002801B1 (ko) | 2008-08-28 | 2008-08-28 | DDoS 공격 방어 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101002801B1 (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8732832B2 (en) | 2010-12-02 | 2014-05-20 | Electronics And Telecommunications Research Institute | Routing apparatus and method for detecting server attack and network using the same |
| US8826381B2 (en) | 2011-06-09 | 2014-09-02 | Samsung Electronics Co., Ltd. | Node device and method to prevent overflow of pending interest table in name based network system |
| CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
| CN115277103A (zh) * | 2022-06-29 | 2022-11-01 | 中国科学院计算技术研究所 | DDoS攻击检测方法、DDoS攻击流量过滤方法、装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100576013B1 (ko) | 2004-10-27 | 2006-05-02 | 삼성전자주식회사 | 통신 네트워크에서 전송 제어 프로토콜 동기 플러드공격을 방어하기 위한 방법 |
-
2008
- 2008-08-28 KR KR1020080084495A patent/KR101002801B1/ko not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8732832B2 (en) | 2010-12-02 | 2014-05-20 | Electronics And Telecommunications Research Institute | Routing apparatus and method for detecting server attack and network using the same |
| US8826381B2 (en) | 2011-06-09 | 2014-09-02 | Samsung Electronics Co., Ltd. | Node device and method to prevent overflow of pending interest table in name based network system |
| CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
| CN106357673B (zh) * | 2016-10-19 | 2019-06-21 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
| CN115277103A (zh) * | 2022-06-29 | 2022-11-01 | 中国科学院计算技术研究所 | DDoS攻击检测方法、DDoS攻击流量过滤方法、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101002801B1 (ko) | 2010-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218725B2 (en) | Device and method for detecting command and control channel | |
| KR101574193B1 (ko) | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 | |
| KR101077135B1 (ko) | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 | |
| US8170020B2 (en) | Leveraging active firewalls for network intrusion detection and retardation of attack | |
| US9479532B1 (en) | Mitigating denial of service attacks | |
| US20120167161A1 (en) | Apparatus and method for controlling security condition of global network | |
| CN114830112A (zh) | 通过QUIC通信协议执行的检测和缓解DDoS攻击 | |
| KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
| CN110769007B (zh) | 一种基于异常流量检测的网络安全态势感知方法及装置 | |
| KR20130017333A (ko) | 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법 | |
| KR101002801B1 (ko) | DDoS 공격 방어 장치 및 방법 | |
| Buchanan et al. | A methodology to evaluate rate-based intrusion prevention system against distributed denial-of-service (DDoS) | |
| EP3144845B1 (en) | Detection device, detection method, and detection program | |
| CN104883364B (zh) | 一种判断用户访问服务器异常的方法及装置 | |
| JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| KR101598187B1 (ko) | DDoS 공격 차단 방법 및 장치 | |
| JP2006350561A (ja) | 攻撃検出装置 | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
| JP5952220B2 (ja) | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム | |
| KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
| Bakhoum | Intrusion detection model based on selective packet sampling | |
| US20180091527A1 (en) | Emulating network traffic | |
| US7908657B1 (en) | Detecting variants of known threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20080828 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20100531 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20101130 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20101214 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20101214 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment | ||
| PR1001 | Payment of annual fee |
Payment date: 20131217 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20141013 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20141013 Start annual number: 5 End annual number: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20151215 Year of fee payment: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20151215 Start annual number: 6 End annual number: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20161205 Year of fee payment: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20161205 Start annual number: 7 End annual number: 7 |
|
| LAPS | Lapse due to unpaid annual fee | ||
| PC1903 | Unpaid annual fee |