KR20100049470A - 공격 탐지 방법 및 장치 - Google Patents
공격 탐지 방법 및 장치 Download PDFInfo
- Publication number
- KR20100049470A KR20100049470A KR1020090004302A KR20090004302A KR20100049470A KR 20100049470 A KR20100049470 A KR 20100049470A KR 1020090004302 A KR1020090004302 A KR 1020090004302A KR 20090004302 A KR20090004302 A KR 20090004302A KR 20100049470 A KR20100049470 A KR 20100049470A
- Authority
- KR
- South Korea
- Prior art keywords
- matrix
- cluster
- rank value
- distribution
- distribution matrix
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
네트워크 상태 | 제1 랭크값 | 제2 랭크값 | 제3 랭크값 |
보통의 상태 | 작음 | 작음 | 작음 |
플래시 이벤트 | 중간+ | 중간 | 중간- |
소스 변조된 분산 서비스 거부 공격 | 큼( > T) | 큼( > T) | 작음 |
소스 변조되지 않은 분산 서비스 거부 공격 | 큼( > T) | 작음 | 큼 ( > T) |
Claims (12)
- 네트워크로부터 제1 시각에 개시되는 제1 시간 영역에 입력되는 복수의 리퀘스트의 클러스터 분포 특성을 나타낸 제1 분포 행렬과, 상기 제1 시간 영역의 종료시각인 제2 시각에 개시되는 제2 시간 영역에 입력되는 복수의 리퀘스트의 클러스터 분포 특성을 나타낸 제2 분포 행렬을 생성하는 클러스터링 단계와;상기 제1 분포 행렬과 상기 제2 분포 행렬에 중복되는 클러스터를 처리하여 적어도 하나의 신규 분포 행렬을 생성하는 중복 클러스터 처리 단계와;상기 복수의 클러스터 분포의 무작위도를 검사하는 무작위도 검사 단계; 및상기 무작위도에 의거하여, 서비스 거부 공격의 발생 여부를 판단하는 공격여부 판단 단계를 포함하는 공격 탐지 방법.
- 제1항에 있어서,상기 중복 클러스터 처리 단계는,상기 제1 분포 행렬과 상기 제2 분포 행렬에 중복된 행렬 성분을 소거하여 중복 클러스터 소거 행렬을 생성하는 중복 클러스터 소거 단계; 및상기 제1 분포 행렬과 상기 제2 분포 행렬에 중복된 행렬이 아닌 성분을 소거하여 비중복 클러스터 소거 행렬을 생성하는 비중복 클러스터 소거 단계를 더 포함하는 공격 탐지 방법.
- 제2항에 있어서,상기 무작위도 검사 단계는,상기 제2 분포 행렬에 관한 제1 랭크값, 상기 중복 클러스터 소거 행렬에 관한 제2 랭크값 및 상기 비중복 클러스터 소거 행렬에 관한 제3 랭크값을 계산하는 랭크값 계산 단계를 더 포함하는 공격 탐지 방법.
- 제2항에 있어서,상기 중복 클러스터 소거 단계에서, 상기 중복 클러스터 소거 행렬은, 상기 제1 분포 행렬과 상기 제2 분포 행렬을 배타적 논리합하여 생성되는 공격 탐지 방법.
- 제2항에 있어서,상기 비중복 클러스터 소거 단계에서, 상기 비중복 클러스터 소거 행렬은, 상기 제1 분포 행렬과 상기 제2 분포 행렬을 논리곱하여 생성되는 공격 탐지 방법.
- 제3항에 있어서,상기 공격여부 판단 단계는,상기 제1 랭크값과 상기 제3 랭크값이 기준값보다 크고 상기 제2 랭크값은 상기 기준값보다 작은 경우에는 소스 변조되지 않은 분산 서비스 거부 공격이 발생한 것으로 판단하는 단계를 더 포함하는 공격 탐지 방법.
- 제3항에 있어서,상기 공격여부 판단 단계는,상기 제1 랭크값과 상기 제2 랭크값이 상기 기준값보다 크고, 상기 제3 랭크값이 상기 기준값보다 작은 경우에는 소스 변조된 분산 서비스 거부 공격이 발생한 것으로 판단하는 단계를 더 포함하는 공격 탐지 방법.
- 제3항에 있어서,상기 공격여부 판단 단계는,상기 제1 랭크값, 상기 제2 랭크값, 상기 제3 랭크값이 모두 상기 기준값보다 크지 않고, 상기 네트워크의 평상시의 랭크값보다는 큰 경우에는 플래시 이벤트가 발생한 것으로 판단하는 단계를 더 포함하는 공격 탐지 방법.
- 네트워크로부터 제1 시각에 개시되는 제1 시간 영역에 입력되는 복수의 리퀘스트의 클러스터 분포 특성을 나타낸 제1 분포 행렬과, 상기 제1 시간 영역의 종료시각인 제2 시각에 개시되는 제2 시간 영역에 입력되는 복수의 리퀘스트의 클러스터 분포 특성을 나타낸 제2 분포 행렬을 생성하는 클러스터링부와;상기 제1 분포 행렬과 상기 제2 분포 행렬에 중복된 행렬 성분을 소거하여 중복 클러스터 소거 행렬을 생성하는 중복 클러스터 소거부와;상기 제1 분포 행렬과 상기 제2 분포 행렬에 중복된 행렬이 아닌 성분을 소 거하여 비중복 클러스터 소거 행렬을 생성하는 비중복 클러스터 소거부와;상기 복수의 클러스터 분포의 무작위도를 검사하는 무작위도 검사부; 및상기 무작위도에 의거하여, 서비스 거부 공격의 발생 여부를 판단하는 공격여부 판단부를 포함하는 공격 탐지 장치.
- 제9항에 있어서,상기 무작위도 검사부는,상기 클러스터 분포의 상기 제2 분포 행렬에 관한 제1 랭크값을 계산하는 제1 랭크값 계산부와,상기 중복 클러스터 소거 행렬에 관한 제2 랭크값을 계산하는 제2 랭크값 계산부; 및상기 비중복 클러스터 소거 행렬에 관한 제3 랭크값을 계산하는 제3 랭크값 계산부를 더 포함하는 공격 탐지 장치.
- 제9항에 있어서,상기 분포 행렬 생성부는 상기 리퀘스트의 IP 주소에 포함되는 4개의 옥텟 중 일부를 이용하여 상기 제1 분포 행렬 및 상기 제2 분포 행렬을 생성하는 공격 탐지 장치.
- 제11항에 있어서,상기 분포 행렬 생성부는, 상기 리퀘스트의 상기 옥텟 중 두번째 옥텟을 열로 하고, 상기 옥텟 중 세번째 옥텟을 행으로 하는 행렬 성분에 상기 리퀘스트를 대응시키는 공격 탐지 장치.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20080108351 | 2008-11-03 | ||
KR1020080108351 | 2008-11-03 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100049470A true KR20100049470A (ko) | 2010-05-12 |
KR100972206B1 KR100972206B1 (ko) | 2010-07-23 |
Family
ID=42275921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090004302A KR100972206B1 (ko) | 2008-11-03 | 2009-01-19 | 공격 탐지 방법 및 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100972206B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101455293B1 (ko) * | 2013-03-28 | 2014-10-31 | 고려대학교 산학협력단 | 캐시 공격 탐지 장치 및 방법 |
WO2016108415A1 (ko) * | 2014-12-31 | 2016-07-07 | 주식회사 시큐아이 | 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100745613B1 (ko) * | 2006-03-20 | 2007-08-02 | 고려대학교 산학협력단 | 네트워크 감시를 수행하는 장치 및 프로그램이 저장된 기록매체 |
-
2009
- 2009-01-19 KR KR1020090004302A patent/KR100972206B1/ko active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101455293B1 (ko) * | 2013-03-28 | 2014-10-31 | 고려대학교 산학협력단 | 캐시 공격 탐지 장치 및 방법 |
WO2016108415A1 (ko) * | 2014-12-31 | 2016-07-07 | 주식회사 시큐아이 | 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR100972206B1 (ko) | 2010-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
US7720965B2 (en) | Client health validation using historical data | |
US8516585B2 (en) | System and method for detection of domain-flux botnets and the like | |
US7779465B2 (en) | Distributed peer attack alerting | |
US11863570B2 (en) | Blockchain-based network security system and processing method | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
US20020184362A1 (en) | System and method for extending server security through monitored load management | |
US11095671B2 (en) | DNS misuse detection through attribute cardinality tracking | |
EP2672676B1 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
US20210258325A1 (en) | Behavioral DNS tunneling identification | |
US20110072516A1 (en) | Prevention of distributed denial of service attacks | |
US9197657B2 (en) | Internet protocol address distribution summary | |
US7917957B2 (en) | Method and system for counting new destination addresses | |
CN110830520A (zh) | 一种物联网的健壮可靠的边缘存储方法及系统 | |
Guerid et al. | Privacy-preserving domain-flux botnet detection in a large scale network | |
Soltanaghaei et al. | Detection of fast-flux botnets through DNS traffic analysis | |
KR100972206B1 (ko) | 공격 탐지 방법 및 장치 | |
Rajesh | Protection from application layer DDoS attacks for popular websites | |
Tian et al. | Stopguessing: Using guessed passwords to thwart online password guessing | |
Mezzour et al. | Global variation in attack encounters and hosting | |
Chen et al. | Doctrina: annotated bipartite graph mining for malware-control domain detection | |
Sivabalan et al. | Detecting IoT zombie attacks on web servers | |
Jin et al. | Mitigating HTTP GET Flooding attacks through modified NetFPGA reference router | |
Honda et al. | Detection of novel-type brute force attacks used ephemeral springboard ips as camouflage | |
US20240179164A1 (en) | Strategically aged domain detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130621 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140630 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151116 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170711 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180515 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190715 Year of fee payment: 10 |