KR20110028106A - 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 - Google Patents

접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 Download PDF

Info

Publication number
KR20110028106A
KR20110028106A KR1020090086039A KR20090086039A KR20110028106A KR 20110028106 A KR20110028106 A KR 20110028106A KR 1020090086039 A KR1020090086039 A KR 1020090086039A KR 20090086039 A KR20090086039 A KR 20090086039A KR 20110028106 A KR20110028106 A KR 20110028106A
Authority
KR
South Korea
Prior art keywords
source address
traffic
address
abnormal
attack
Prior art date
Application number
KR1020090086039A
Other languages
English (en)
Inventor
허영준
정일안
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020090086039A priority Critical patent/KR20110028106A/ko
Publication of KR20110028106A publication Critical patent/KR20110028106A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/805QOS or priority aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 접속 이력 기반 분산 서비스(DDoS) 공격 트래픽 제어 기술에 관한 것으로, 네트워크나 서버의 부하를 증가시켜 서비스를 방해하는 DDoS 공격 으로부터 네트워크와 서버들의 서비스 연속성을 보장하기 위해, 입력 트래픽의 근원지 주소(source IP address)에 대한 우선 순위에 기반하여 정상, 비정상 트래픽으로 분류하고 비정상 트래픽을 차단함으로써 정상 사용자들의 서비스 연속성을 보장하기 위한 근원지 주소 접속 이력 기반 트래픽 제어를 수행하는 것을 특징으로 한다. 본 발명에 의하면, 네트워크나 서버의 부하 정도에 따라 트래픽 양 및 서비스 요청 수를 제어함으로써 DDoS 등의 공격으로부터 발생하는 과다 트래픽 및 서비스 요청 감지를 통해 네트워크 자원과 서버 시스템 자원을 보호할 수 있다.
분산서비스거부(DDoS) 공격, 클러스터링, 근원지 주소 접속 이력 관리, 근원지 주소 분포 분석

Description

접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법{APPARATUS FOR CONTROLLING distribute denial of service attack TRAFFIC BASED ON SOURCE IP HISTORY AND METHOD THEREOF}
본 발명은 네트워크 망을 위협하는 공격들에 대한 탐지 및 차단을 수행하는 기술에 관한 것으로서, 특히 네트워크나 서버의 부하를 증가시켜 서비스를 방해하는 분산 서비스 거부(Distribute Denial of Service, 이하 DDoS라 한다) 공격으로부터 네트워크와 서버들의 서비스 연속성을 보장하기 위해, 입력 트래픽의 근원지 주소(source IP address)에 대한 우선 순위에 기반하여 정상, 비정상 트래픽으로 분류하고, DDoS 공격 시 비정상 트래픽을 차단함으로써 정상 사용자들의 서비스 연속성을 보장하기 위한 근원지 주소 접속 이력(history) 기반 트래픽 제어를 수행하는데 적합한 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법에 관한 것이다.
본 발명은 지식경제부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2009-S-038-01, 과제명: 분산서비스거부(DDoS) 공격 대응 기술 개발].
일반적으로 DDoS 공격이란, 여러 대의 컴퓨터를 일제히 동작시켜 특정 사이트에 과도한 부하를 유발하는 방식의 공격을 말한다. 특정 사이트를 공격하기 위해서는 해커가 DDoS 공격용 프로그램들을 여러 컴퓨터에 심어놓고 공격대상 사이트의 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시에 목표 사이트로 전송함으로써, 시스템 과부하로 인한 네트워크의 성능 저하, 시스템에서 제공하는 특정 서비스의 마비, 또는 시스템 자체의 마비를 유발하는 것이다. 이러한 DDoS 공격을 받으면 특정 사이트에 대한 정상적인 이용자의 사이트 접속이 불가능해지며, 심한 경우 네트워크 장비나 서버의 하드웨어가 손상될 수도 있다.
또한, 어떤 경로로든지 DDoS 공격도구가 설치된 컴퓨터 시스템들은 자신도 모르는 사이에 DDoS 공격 시스템으로 이용될 수 있다. 이러한 DDoS 공격도구 중 널리 알려진 것으로는 과거에는 트리누(Trinoo), 트리벌 플러드(TFN;Tribal Flood Network), 슈타첼드라트(Stacheldraht) 등이 있으며, 최근에는 봇넷을 구성하는 넷봇(NetBot), 블랙에너지(BlackEnergy) 등이 있다. DDoS 공격도구는 웜(worm), 바이러스(virus) 등의 형태로 다양한 경로를 통해 일반인들의 컴퓨터 시스템에 침입한다.
이러한 DDoS 공격에 대응하여 트래픽 모니터링을 수행하는 기술에는 MIB(Management Information Base), RMO, Netflow 등이 있으나, 이들 대부분이 DDoS 공격이 발생된 후에야 그에 따른 대응을 수행하고 있다.
상기한 바와 같이 동작하는 종래 기술에 의한 DDOS 공격에 따른 대응 기술에 있어서는, MIB(Management Information Base), RMO, Netflow등과 같이 트래픽을 모니터링하는 기술이 사용될 수 있으나, 이들은 DDoS 공격이 발생된 후에 대응하는 기술로서 효율적인 대응이 될 수 없으며, DDoS 공격 시 주로 전체 트래픽의 양을 일정 수준 즉, 기 결정된 기준 부하 이하로 유지하기 위해 대역폭 제한(Rate Limit) 방식의 대응 방법을 이용하고 있으나, 이는 차단되는 트래픽에 정상 사용자의 트래픽도 포함될 수 있으므로, 정상적인 사용자들의 서비스 사용을 방해한다는 단점이 있다.
또한 네트워크 대역폭이 증가하므로 선로 속도로 모니터링하며 분석을 수행하는 데에는 성능에 한계가 있어 제 기능을 수행하지 못한다는 단점이 있다. 이러한 단점들을 해결하기 위해 샘플링 알고리즘을 이용하여 전체 트래픽에 대한 정보를 수집하는 대신 일부 트래픽 흐름에 대한 정보만을 수집하고 분석하고 있으나, 이러한 일부 트래픽 흐름에 대해서만 분석을 수행함으로써, 서비스 거부 공격의 이상 과다 트래픽을 정확하게 탐지하지 못한다는 문제점이 있었다.
이에 본 발명은, 네트워크나 서버의 부하를 증가시켜 서비스를 방해하는 DDoS 공격으로부터 네트워크와 서버들의 서비스 연속성을 보장할 수 있는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법을 제공한다.
또한 본 발명은, 네트워크나 서버의 부하를 증가시켜 서비스를 방해하는 DDoS 공격으로부터 네트워크와 서버들의 서비스 연속성을 보장하기 위해 입력 트래픽의 근원지 주소에 대한 우선 순위에 기반하여 정상, 비정상 트래픽을 분류함으로써, 비정상 트래픽을 제어할 수 있는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법을 제공한다.
또한 본 발명은, 네트워크 및 서비스 요청 트래픽의 근원지 주소에 대한 접속 이력 관리를 통하여 목적지 주소, 포트를 기반으로 하는 근원지 주소들의 클러스터링을 구성한 후, 구성된 클러스터링 별 각 클러스터의 근원지 주소 분포를 분석하고, 근원지 주소 트래픽의 서비스 요청 시간 간격을 검사하여 DDoS 공격 징후 단계에서부터 DDoS 공격을 인지하여 이에 대응할 수 있는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법을 제공한다.
본 발명의 일 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치는, 네트워크 및 서버로 향하는 트래픽에 대한 모니터링을 통해 분산 서비스(DDoS) 공격 발생 여부를 사전에 탐지하는 네트워크 모니터링부와, 상기 네트워크 및 서버에 기 결정된 기준 부하 이상의 부하가 발생하는 경우, 입력되는 트래픽에 대한 근원지 주소의 이력과 서비스 요청 패턴을 통하여 정상 또는 비정상 근원지 주소로 판단하고, 판단된 근원지 주소별로 우선순위를 설정하는 유해성 검사부와, 상기 네트워크 모니터링부를 통해 DDoS 공격이 발생한 것으로 판단된 경우에는 상기 우선순위 정보로 트래픽을 제어하는 차단부를 포함한다.
이때, 상기 유해성 검사부는, 상기 근원지 주소들의 목적지 주소, 포트를 기반으로 클러스터링을 수행하고, 상기 클러스터링 별로 각 클러스터의 근원지 주소 분포 상태를 분석하고, 상기 분포 상태가 분석된 근원지 주소 별로 트래픽의 서비스 요청 시간 간격을 검사하여 정상 또는 비정상 근원지 주소인지 여부를 판별하는 것을 특징으로 한다.
또한, 상기 유해성 검사부는, 상기 근원지 주소 분포 상태를 분석하여 일정 임계치 이상이고, 상기 근원지 주소의 서비스 요청 간격을 검사하여 단위시간에 기 설정 개수 이상의 서비스 요청 트래픽이 발생하면, 비정상 근원지 주소로 판단하여 정상/비정상 주소 분류 DB에 저장하는 것을 특징으로 한다.
그리고 상기 차단부는, 상기 DDoS 공격 발생 상태인 경우, 상기 우선 순위가 높은 근원지 주소의 트래픽을 먼저 처리하고, 우선 순위가 낮은 비정상 근원지 주소의 트래픽을 제어하는 것을 특징으로 한다.
한편, 상기 장치는, 상기 트래픽 정보에서 각 트래픽 별 근원지 주소를 찾아내는 주소 분류부와, 상기 근원지 주소가 주소 이력 DB에 포함되어 있는지 여부를 통해 기 접속 이력을 판단하는 접속 이력 관리부를 더 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 방법은, 네트워크 및 서버로 향하는 트래픽에 대한 모니터링을 통해 분산 서비스(DDoS) 공격 발생 여부를 사전에 탐지하는 과정과, 상기 네트워크 및 서버에 기 결정된 기준 부하 이상의 부하가 발생하는 경우, 입력되는 트래픽에 대한 근원지 주소의 이력과 서비스 요청 패턴을 통하여 정상 또는 비정상 근원지 주소를 판단하는 과정과, 상기 모니터링을 통해 DDoS 공격이 발생한 경우, 상기 비정상 근원지 주소로부터의 서비스 요청을 제어하는 과정을 포함한다.
이때, 상기 정상 및 비정상 근원지 주소를 판단하는 과정은, 상기 근원지 주소들의 목적지 주소, 포트를 기반으로 클러스터링을 수행하는 과정과, 상기 클러스터링 별로 각 클러스터의 근원지 주소 분포 상태를 분석하는 과정과, 상기 분포 상태가 분석된 근원지 주소 별로 트래픽의 서비스 요청 시간 간격을 검사하여 정상 또는 비정상 근원지 주소인지 여부를 판별하는 과정을 포함하는 것을 특징으로 한다.
또한, 상기 정상 및 비정상 근원지 주소를 판단하는 과정은, 상기 근원지 주소 분포 상태를 분석하여 일정 임계치 이상이고, 상기 근원지 주소의 서비스 요청 간격을 검사하여 단위시간에 기 설정 개수 이상의 서비스 요청 트래픽이 발생하는 경우, 비정상 근원지 주소로 판단하여 정상/비정상 주소 분류 DB에 저장하는 것을 특징으로 한다.
그리고 상기 서비스 요청을 제어하는 과정은, 상기 DDoS 공격 발생 상태인 경우, 우선 순위가 높은 정상 근원지 주소의 트래픽을 먼저 처리하고, 우선 순위가 낮은 비정상 근원지 주소의 트래픽을 제어하는 것을 특징으로 한다.
한편, 상기 탐지하는 과정 이후, 상기 트래픽 정보에서 각 트래픽 별 근원지 주소를 찾아내는 과정과, 상기 근원지 주소가 주소 이력 DB에 포함되어 있는지 여부를 통해 기 접속 이력을 판단하는 과정을 더 포함하는 것을 특징으로 한다.
상기와 같은 본 발명의 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법에 따르면 다음과 같은 효과가 있다.
본 발명의 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법에 의하면, 네트워크나 서버의 부하 정도에 따라 트래픽 양 및 서비스 요청 수를 제어함으로써 DDoS 등의 공격으로부터 발생하는 과다 트래픽 및 서비스 요청 감지를 통해 네트워크 자원과 서버 시스템 자원을 보호할 수 있다.
또한, 트래픽 수집 및 분류 기능을 통해 근원지 주소의 접속 이력을 관리함으로써 DDoS 공격 트래픽의 특징인 새로운 근원지 주소가 많이 발생하는 것으로부터 DDoS 공격을 감지할 수 있고, DDoS 공격 발생시 새로운 근원지 주소에 대한 트래픽 제어를 가능하게 할 수 있는 효과가 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이 다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기 타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
본 발명의 실시예는 네트워크나 서버의 부하를 증가시켜 서비스를 방해하는 DDoS 공격으로부터 네트워크와 서버들의 서비스 연속성을 보장하기 위해, 입력 트래픽의 근원지 주소에 대한 우선 순위에 기반하여 정상, 비정상 트래픽으로 분류하고 비정상 트래픽을 차단함으로써 정상 사용자들의 서비스 연속성을 보장하는 것이다.
즉, 기존의 DDoS 대응 시스템은 DDoS 공격이 발생하여 네트워크 트래픽이 증가하거나 서버의 부하가 증가한 후 공격에 대응함으로써 정상적인 사용자의 요청에 대한 효율적인 서비스를 제공하지 못하고 있다. 그러므로 네트워크 및 서버로 향하는 트래픽에 대한 모니터링을 통해 네트워크 및 서버에 일정 수준 이상의 부하 가 발생하는 경우 입력 트래픽에 대한 근원지 주소의 이력과 주소 분포도에 따라 DDoS 공격 발생을 사전에 탐지하고 대응함으로써 정상적인 사용자의 지속적인 서비스 요청을 제공하는 것이다.
일반적으로 DDoS 공격 트래픽은 공격자가 여러 대의 좀비(zombie) 시스템으로 공격자 네트워크를 구성하여, 이들 시스템들이 특정 시스템으로 많은 트래픽 또는 서비스 요청을 유입시킴으로써, 목적지 주소가 특정 시스템인 DDoS 공격 트래픽에는 근원지 주소가 신규로 접속하는 경우가 많이 발생한다. 따라서 근원지 주소를 기준으로 이들 주소들의 접속 이력 및 형태에 대한 정보를 관리하여 DDoS 공격에 대비한다.
이에 트래픽 수집 및 분류 기능을 통하여 근원지 주소의 접속 이력을 관리함으로써DDoS 공격 트래픽의 특징인 새로운 근원지 주소가 많이 발생하는 것으로부터 DDoS 공격을 감지할 수 있고, 또한 DDoS 공격 발생시 새로운 접속자의 트래픽을 제어함으로써 DDoS 공격으로부터 네트워크와 서버를 보호할 수 있다.
이러한 본 발명의 실시예에 따른 근원지 주소 기반 이상 트래픽 제어 방법을 첨부된 도면에 의거하여 기술하면 다음과 같다.
도 1은 본 발명의 실시예에 따른 네트워크 및 서버의 상태 천이 단계를 도시한 도면이다.
도 1을 참조하면, 네트워크 및 서버의 상태는 정상 상태(Green Level)(100), DDoS 공격 징후 발생 상태(Yellow Level)(102), 공격 발생 및 대응 상태(Red Level)(104)로 나누어지며 각 상태에서 처리해야 할 내용을 나타낸다.
정상 상태(Green Level)(100)는 네트워크와 서버가 정상적으로 서비스를 할 수 있는 상태로, 네트워크 및 서버로의 서비스 요청 트래픽이 네트워크와 서버의 처리 능력 보다 작은 상태로서 입력되는 트래픽에 대해서 모두 통과시키게 된다. DDoS 공격 징후 발생 상태(Yellow Level)(102)에서는 네트워크 및 서버로의 서비스 요청 트래픽이 점차적으로 증가하여 DDoS 공격 등 이상징후가 나타나기 시작하는 상태로, 네트워크 및 서버로의 서비스 요청 트래픽이 일정 임계치 이상이며 네트워크와 서버가 점진적으로 부하를 받기 시작하는 것으로서, 입력되는 모든 트래픽에 대해 트래픽 양과 서비스 요청 비율을 조사하여 DDoS 공격 징후를 탐지하게 된다.
공격 발생 및 대응 상태(Red Level)(104)는 DDoS 공격이 발생하여 네트워크와 서버가 정상적으로 서비스를 하기 곤란한 상태로서, 정상 트래픽과 비정상 트래픽을 분류하고 DDoS 공격으로부터 네트워크와 서버를 보호하기 위해 비정상 트래픽을 차단하게 된다.
도 2는 본 발명의 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치의 구조를 도시한 블록도이다.
도 2를 참조하면, 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치는 DDoS 공격 징후 발생 상태(Yellow Level)(102) 및 공격 발생 및 대응 상태(Red Level)(104) 상태에서 네트워크와 서버로 송신되는 네트워크 패킷, 즉 네트워크 및 서버로의 서비스 요청 트래픽을 모니터링하여 입력 트래픽의 근원지 주소에 대한 접속 이력을 기반으로 정상, 비정상 트래픽을 분류하고 이에 대한 대응을 수행하는 것으로서, 네트워크 모니터링부(202), 수집부(204), 주소 분류부(Source IP Address Classifier)(206), 접속 이력 관리부(208), 유해성 검사부(212), 유해성 등급 관리부(216), 차단부(218) 등을 포함한다.
네트워크 모니터링부(202)는 네트워크와 서버의 서비스 요청 트래픽을 도 1과 같이 정상 단계(정상 상태(Green Level)(100)), 이상 징후 발견 단계(DDoS 공격 징후 발생 상태(Yellow Level)(102)), 공격 단계(공격 발생 및 대응 상태(Red Level)(104))의 3단계로 나누어 트래픽을 모니터링하게 된다.
이에, 이상 징후 발견 단계 및 공격 단계에 해당하는 트래픽들을 수집부(204)로 전달하여 네트워크 및 서버로의 서비스 요청 트래픽 정보들을 수집하고, 수집된 트래픽 정보를 주소 분류부(206)로 전달한다.
주소 분류부(206)에서는 전달된 트래픽 정보에서 각 트래픽 별 근원지 주소를 찾아낸 후, 트래픽 별 근원지 주소 정보를 접속 이력 관리부(208)로 전달한다. 이에 접속 이력 관리부(208)에서는 주소 이력DB(210)를 참조하여, 주소 이력DB(210) 내 근원지 주소와 일치하는 근원지 주소를 갖는 트래픽이 존재하는지 여부를 판단하여 일치 또는 불일치하는 트래픽 정보로 나누어 이를 유해성 검사부(212)로 전달한다.
또한, 시간 별 근원지 주소의 트래픽 상태를 통해 근원지 주소의 신규 접속 여부를 판단하고, 해당 근원지 주소가 연속적으로 접속되는 근원지 주소인지 여부도 판단할 수 있다. 이에 대해선 하기 도 7에 대한 설명을 통해 구체적으로 설명하기로 한다.
유해성 검사부(212)는 근원지 주소의 정상 및 비정상 여부를 판단하는 것으 로서, 기 저장된 정상/비정상 주소 분류 DB(214)와, 근원지 주소의 분포도, 서비스 요청 패턴 등을 통해 근원지 주소의 정상 및 비정상 여부를 판단하게 된다.
즉, 유해성 검사부(212)는 주소 이력DB(210) 내 근원지 주소와 일치하는 근원지 주소를 갖는 트래픽에 대해서는 정상/비정상 주소 분류 DB(214)에 해당 근원지 주소에 대한 정상/비정상 여부를 포함하고 있으므로, 이를 참조하여 정상/비정상 주소 여부를 판단할 수 있다.
다만, 주소 이력DB(210) 내 근원지 주소와 일치하는 근원지 주소가 없는 트래픽의 경우, 즉 새로 접속한 근원지 주소의 경우에는 서비스 요청 패턴으로서 일정 임계치 이상의 서비스 요청 여부, 서비스 요청 간격 시간 등을 검색하여 단위 시간에 기 설정된 개수 이상의 요청 트래픽이 발생하는지 여부를 판단한다. 즉, DDoS 공격간에는 매우 짧은 시간 동안 다량의 트래픽이 발생하므로, 사용자에 의해 발생되는 트래픽 형태와는 확연하게 구분할 수 있으며, 이러한 트래픽을 발생시키는 근원지 주소를 비정상 근원지 주소로 판단하여 정상/비정상 주소 분류 DB(214)에 저장하게 된다.
또한, 서비스 패턴을 이용한 방식 중 클러스터링을 통한 근원지 주소 분포도를 분석하는 방식이 있다. 이는 트래픽 내에 포함된 목적지 주소 및 포트를 통한 클러스터링을 수행하여 각 클러스터링의 클러스터 별 근원지 주소의 분포도를 계산하여 해당 분포도에 따라 우선순위를 설정할 수도 있다. 이러한 클러스터링 방식에 대해서는 하기 도 5 내지 도 6을 통해 구체적으로 설명하도록 한다.
그리고 유해성 등급 관리부(216)는 근원지 주소별 정상 비정상 레벨을 관리 함으로써 DDoS 공격 발생시 트래픽 제어의 우선 순위를 결정하는데 이용한다. 즉, 차단부(218)와 연계하여 우선 순위가 높은 근원지 주소의 트래픽은 허용하고 우선 순위가 낮은 근원지 주소의 트래픽은 우선적으로 차단되게 함으로, 정상적인 근원지 주소 트래픽의 흐름을 보장하여 정상적인 사용자의 서비스를 보장하게 한다.
즉, 유해성 등급 관리부(216)에는 근원지 주소 별로 우선순위가 설정되어 있으므로, 이를 차단부(218)로 전달하고, 차단부(218)에서 네트워크 모니터링부(202)로부터 공격 단계임을 전달받은 경우, 근원지 주소의 우선순위 별로 트래픽 차단 여부를 판단하여 차단을 수행하게 된다.
예를 들어, 다량의 트래픽이 발생한 정상 레벨과, 비정상 레벨의 근원지 주소가 수신되는 경우에 네트워크 모니터링부(202)로부터 공격 단계임을 전달받은 경우, 차단부(218)에서는 정상 레벨의 근원지 주소로부터 전송되는 트래픽은 통과시키고, 비정상 레벨의 근원지 주소로부터 전송되는 트래픽은 차단하게 된다.
도 3은 본 발명의 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치의 동작 절차를 도시한 흐름도이다.
도 3을 참조하면, 300단계에서 네트워크 모니터링부(202)에서는 네트워크과 서버의 서비스 요청 트래픽을 정상 단계, 이상 징후 발견 단계, 공격 단계의 3단계로 나누어 트래픽을 모니터링하여, 302단계에서는 이상 징후 발견 단계 및 공격 단계에 대한 트래픽 정보를 수집부(204)에서 수집하게 된다.
304단계에서는 주소 분류부(206)에서 수집부(204)를 통해 수집된 각각의 트래픽 정보에 대한 근원지 주소를 탐색하여 찾고, 탐색된 트래픽 별 근원지 주소 정 보를 접속 이력 관리부(208)로 전달하면, 접속 이력 관리부(208)에서는 306 단계에서 복수의 근원지 주소에 대해 네트워크 및 서버로의 접속 이력 정보를 포함하는 주소 이력 DB(210)를 참조하여, 해당 근원지 주소의 접속 이력을 판단하게 된다.
이에 308단계에서 해당 근원지 주소가 주소 이력 DB(210)에 포함된 근원지 주소와 일치하는 경우, 즉 이전에 접속 이력이 존재하는 경우에는 310단계로 진행하여 이를 유해성 검사부(212)로 전달함으로써, 유해성 검사부(212)에서는 정상/비정상 주소 분류 DB(214)를 통해 해당 근원지 주소가 정상 또는 비정상 근원지 주소 인지 여부를 판단할 수 있다.
그러나, 308단계에서 해당 근원지 주소가 주소 이력 DB(210)에 포함된 근원지 주소와 불일치하는 경우, 즉 이전에 접속 이력이 존재하지 않는 신규 접속 주소인 경우에는 312단계로 진행하여 이를 유해성 검사부(212)로 전달함으로써, 유해성 검사부(212)에서는 클러스터링을 통한 근원지 주소의 분포도 분석 및 일정시간 동안 인입 트래픽 변화 추이 및 행위와 같은 서비스 요청 패턴의 분석을 통해 정상 및 비정상 근원지 주소 여부를 판단한다.
이에 314단계에서는 유해성 검사부(212)에서 판단된 정상 및 비정상 근원지 주소 여부에 따라 우선순위를 설정하고, 설정된 우선순위는 유해성 등급 관리부(216)에 전달된다.
이후 316단계에서 네트워크 모니터링부(202)의 모니터링 결과 DDoS 공격 상태로 판단된 경우에는 318단계로 진행하여 유해성 등급 관리부(216)에서 차단부(218)로 근원지 주소별 우선순위 정보를 전달함으로써, 네트워크 모니터링 부(202)로부터 DDoS 공격 정보를 전달받은 차단부(218)는 318단계에서 전달된 근원지 주소별 우선순위 정보를 확인한 후, 먼저, 우선순위 정보에 포함되지 않은, 즉 기존에 접속 이력이 없는 주소의 트래픽을 우선 차단하고, 근원지 주소별 우선순위 정보에 따라 우선순위가 높은 정상 근원지 주소는 통과시키고, 우선순위가 낮은 비정상 근원지 주소에 대해서는 차단을 수행하게 된다.
도 4는 본 발명의 실시예에 따라 처음 접속하는 근원지 주소의 유해성 여부를 판단하기 절차를 도시한 흐름도이다.
도 4를 참조하면, 402단계에서 유해성 검사부(212)는 트래픽의 서비스 요청 간격을 검사하여, 404단계에서 일정시간 이하의 간격을 가지는 트래픽이 많이 발생하는 경우에는, DDoS 공격 트래픽일 확률이 높으므로 406단계로 진행하여 해당 트래픽의 근원지 주소를 정상/비정상 주소 분류 DB(214) 내의 비정상 근원지 주소 테이블에 삽입하고, 그렇지 않은 경우에는 408단계로 진행하여 정상/비정상 주소 분류 DB(214) 내의 정상 트래픽 테이블에 삽입하여 관리한다.
도 5는 본 발명의 실시예에 따라 목적지 주소(Destination IP Address)와 포트를 기반으로 입력 트래픽을 근원지 주소 네트워크 별로 클러스터링(clustering)하는 방식을 도시한 도면이다.
도 5를 참조하면, 유해성 검사부(212)는 근원지 주소의 유해 여부를 판단하기 위해 목적지 주소 및 포트를 기반으로 근원지 주소로부터 입력되는 트래픽에 대한 클러스터링을 수행한다. 즉 군집 방식으로서, 먼저, 1단계에서 목적지 주소가 같은 트래픽들을 클러스터링(500)하고, 2단계에서는 같은 목적지 주소를 가지는 클 러스터링(500) 내에서 포트가 같은 트래픽들을 클러스터링(502, 504)한다.
이후, 3단계에서는 목적지 주소와 목적지 포트가 같은 각 클러스터링(502, 504)에서 클러스터 별로 근원지 주소의 분포 상태를 분석하게 된다.
도 6은 본 발명의 실시예에 따른 클러스터링 내의 주소 분포도를 계산하는 절차를 도시한 흐름도이다.
도 6을 참조하면, 유해성 검사부(212)에서는 600단계에서 목적지 주소와 목적지 포트가 같은 각 클러스터링 내에서 트래픽별 근원지 주소의 분포도를 계산하고, 602단계에서는 각 클러스터링의 주소 분포도를 비교 분석하게 된다.
이에 604단계에서 유사한 주소 분포를 갖는 클러스터의 수가 기 설정수준 이상 일 경우에는, 606단계로 진행하여 해당 클러스터의 근원지 주소에 낮은 우선순위를 부여하고, 유사한 주소 분포를 갖는 클러스터의 수가 일정수준 미만인 경우에는 608단계로 진행하여 해당 클러스터의 근원지 주소에 높은 우선순위를 부여하게 된다.
이에 유해성 검사부(212)에서 근원지 주소별로 부여된 우선순위 정보는 유해성 등급 관리부(216)로 전달하여 유해성 등급 관리부(216)에서 이를 관리하게 된다.
도 7은 본 발명의 실시예에 따른 근원지 주소의 신규 접속 여부를 판단하기 위한 시간 별 근원지 주소의 트래픽 상태를 도시한 도면이다.
도 7을 참조하면, 시간대 별 근원지 주소의 트래픽 상태를 판단하기 위한 것으로서, 접속 이력 관리부(208)에서는 아래와 같은 식을 통해 연속적으로 접속되 는 근원지 주소의 판단이 가능하다.
Newer IP Address = (IP_Addr _Tblt-1 XOR IP_Addr_Tblt) AND IP_Addr_Tblt
Continuous IP Address = Normal_IP_Addr_Tblt-1 AND IP_Addr_Tblt
이를 구체적으로 설명하면, 특정 시간 대에 단위시간 t를 설정하여, time t-1(700), t(702), t+1(704)에 입력되는 트래픽의 주소테이블을 각각 생성한다. 이후, time t-1(700) 주소 테이블과 time t(702) 주소테이블에 대한 XOR연산을 수행한 후, time t(702) 주소테이블과의 AND연산을 수행하여 신규 접속된 근원지 주소인지 여부를 판단하고, time t-1(700) 주소 테이블과 time t(702) 주소테이블에 대한 AND 연산을 통해 연속적으로 접속되는 근원지 주소인지 여부를 판단하게 된다.
이상 설명한 바와 같이, 본 발명의 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법은, 네트워크나 서버의 부하를 증가시켜 서비스를 방해하는 DDoS 공격 으로부터 네트워크와 서버들의 서비스 연속성을 보장하기 위해, 입력 트래픽의 근원지 주소에 대한 우선 순위에 기반하여 신규 접속자의 근원지 트래픽 흐름에 대해서만 세부적인 분석을 수행하여 신규 접속자의 각 트래픽을 정상, 비정상 트래픽으로 분류하고 비정상 트래픽을 차단함으로써 정상 사용자들의 서비스 연속성을 보장한다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 실시예에 따른 네트워크 및 서버의 상태 천이 단계를 도시한 도면,
도 2는 본 발명의 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치의 구조를 도시한 블록도,
도 3은 본 발명의 실시예에 따른 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치의 동작 절차를 도시한 흐름도,
도 4는 본 발명의 실시예에 따라 처음 접속하는 근원지 주소의 유해성 여부를 판단하기 절차를 도시한 흐름도,
도 5는 본 발명의 실시예에 따라 목적지 주소와 포트를 기반으로 입력 트래픽을 근원지 주소 네트워크 별로 클러스터링하는 방식을 도시한 도면,
도 6은 본 발명의 실시예에 따른 클러스터링 내의 주소 분포도를 계산하는 절차를 도시한 흐름도,
도 7은 본 발명의 실시예에 따른 근원지 주소의 신규 접속 여부를 판단하기 위한 시간별 근원지 주소의 트래픽 상태를 도시한 도면.
< 도면의 주요 부분에 대한 부호 설명 >
202 : 네트워크 모니터링부 204 : 수집부
206 : 주소 분류부 208 : 접속이력 관리부
210 : 주소이력 DB 212 : 유해성 검사부
214 : 정상/비정상 주소분류 DB 216 : 유해성 등급 관리부
218 : 차단부

Claims (10)

  1. 네트워크 및 서버로 향하는 트래픽에 대한 모니터링을 통해 분산 서비스(DDoS) 공격 발생 여부를 사전에 탐지하는 네트워크 모니터링부와,
    상기 네트워크 및 서버에 기 결정된 기준 부하 이상의 부하가 발생하는 경우, 입력되는 트래픽에 대한 근원지 주소의 이력과 서비스 요청 패턴을 통하여 정상 또는 비정상 근원지 주소로 판단하고, 판단된 근원지 주소별로 우선순위를 설정하는 유해성 검사부와,
    상기 네트워크 모니터링부를 통해 DDoS 공격이 발생한 것으로 판단된 경우에는 상기 우선순위 정보로 트래픽을 제어하는 차단부
    를 포함하는 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치.
  2. 제 1항에 있어서,
    상기 유해성 검사부는,
    상기 근원지 주소들의 목적지 주소 및 포트를 기반으로 클러스터링을 수행하고,
    상기 클러스터링 별로 각 클러스터의 근원지 주소 분포 상태를 분석하고,
    상기 분포 상태가 분석된 근원지 주소 별로 트래픽의 서비스 요청 시간 간격을 검사하여 정상 또는 비정상 근원지 주소인지 여부를 판별하는 것을 특징으로 하 는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치.
  3. 제 2항에 있어서,
    상기 유해성 검사부는,
    상기 근원지 주소 분포 상태를 분석하여 일정 임계치 이상이고,
    상기 근원지 주소의 서비스 요청 간격을 검사하여 단위시간에 기 설정 개수 이상의 서비스 요청 트래픽이 발생하면, 비정상 근원지 주소로 판단하여 정상/비정상 주소 분류 DB에 저장하는 것을 특징으로 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치.
  4. 제 1항에 있어서,
    상기 차단부는,
    상기 DDoS 공격 발생 상태인 경우, 상기 우선 순위가 높은 근원지 주소의 트래픽을 먼저 처리하고, 우선 순위가 낮은 비정상 근원지 주소의 트래픽을 제어
    하는 것을 특징으로 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치.
  5. 제 1항에 있어서,
    상기 장치는,
    상기 트래픽 정보에서 각 트래픽 별 근원지 주소를 찾아내는 주소 분류부와,
    상기 근원지 주소가 주소 이력 DB에 포함되어 있는지 여부를 통해 기 접속 이력을 판단하는 접속 이력 관리부
    를 더 포함하는 것을 특징으로 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치.
  6. 네트워크 및 서버로 향하는 트래픽에 대한 모니터링을 통해 분산 서비스(DDoS) 공격 발생 여부를 사전에 탐지하는 과정과,
    상기 네트워크 및 서버에 기 결정된 기준 부하 이상의 부하가 발생하는 경우, 입력되는 트래픽에 대한 근원지 주소의 이력과 서비스 요청 패턴을 통하여 정상 또는 비정상 근원지 주소를 판단하는 과정과,
    상기 모니터링을 통해 DDoS 공격이 발생한 경우, 상기 비정상 근원지 주소로부터의 서비스 요청을 제어하는 과정
    을 포함하는 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 방법.
  7. 제 6항에 있어서,
    상기 정상 및 비정상 근원지 주소를 판단하는 과정은,
    상기 근원지 주소들의 목적지 주소, 포트를 기반으로 클러스터링을 수행하는 과정과,
    상기 클러스터링 별로 각 클러스터의 근원지 주소 분포 상태를 분석하는 과정과,
    상기 분포 상태가 분석된 근원지 주소 별로 트래픽의 서비스 요청 시간 간격을 검사하여 정상 또는 비정상 근원지 주소인지 여부를 판별하는 과정
    을 포함하는 것을 특징으로 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 방법.
  8. 제 7항에 있어서,
    상기 정상 및 비정상 근원지 주소를 판단하는 과정은,
    상기 근원지 주소 분포 상태를 분석하여 일정 임계치 이상이고, 상기 근원지 주소의 서비스 요청 간격을 검사하여 단위시간에 기 설정 개수 이상의 서비스 요청 트래픽이 발생하는 경우, 비정상 근원지 주소로 판단하여 정상/비정상 주소 분류 DB에 저장하는 것을 특징으로 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 방법.
  9. 제 6항에 있어서,
    상기 서비스 요청을 제어하는 과정은,
    상기 DDoS 공격 발생 상태인 경우, 우선 순위가 높은 정상 근원지 주소의 트래픽을 먼저 처리하고, 우선 순위가 낮은 비정상 근원지 주소의 트래픽을 제어하는 것을 특징으로 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 방법.
  10. 제 6항에 있어서,
    상기 탐지하는 과정 이후, 상기 트래픽 정보에서 각 트래픽 별 근원지 주소를 찾아내는 과정과,
    상기 근원지 주소가 주소 이력 DB에 포함되어 있는지 여부를 통해 기 접속 이력을 판단하는 과정
    을 더 포함하는 것을 특징으로 하는 접속 이력 기반 분산 서비스 공격 트래픽 제어 방법.
KR1020090086039A 2009-09-11 2009-09-11 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 KR20110028106A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090086039A KR20110028106A (ko) 2009-09-11 2009-09-11 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090086039A KR20110028106A (ko) 2009-09-11 2009-09-11 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR20110028106A true KR20110028106A (ko) 2011-03-17

Family

ID=43934605

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090086039A KR20110028106A (ko) 2009-09-11 2009-09-11 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR20110028106A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101236129B1 (ko) * 2011-07-19 2013-02-28 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법
WO2014055337A1 (en) * 2012-10-04 2014-04-10 Akamai Technologies, Inc. Server with mechanism for reducing internal resources associated with a selected client connection
KR101414959B1 (ko) * 2012-02-29 2014-07-09 주식회사 팬택 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법
KR101503718B1 (ko) * 2014-06-11 2015-03-19 경북대학교 산학협력단 트래픽 분류 장치 및 방법, 트래픽 분류 프로그램 구축 장치 및 방법, 컴퓨터로 판독 가능한 기록매체
CN110830384A (zh) * 2019-09-30 2020-02-21 浙江口碑网络技术有限公司 业务流量的限流方法、装置及系统
KR102401661B1 (ko) * 2021-06-23 2022-05-24 김응노 DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101236129B1 (ko) * 2011-07-19 2013-02-28 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법
KR101414959B1 (ko) * 2012-02-29 2014-07-09 주식회사 팬택 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법
WO2014055337A1 (en) * 2012-10-04 2014-04-10 Akamai Technologies, Inc. Server with mechanism for reducing internal resources associated with a selected client connection
US8875287B2 (en) 2012-10-04 2014-10-28 Akamai Technologies, Inc. Server with mechanism for reducing internal resources associated with a selected client connection
US9525701B2 (en) 2012-10-04 2016-12-20 Akamai Technologies, Inc. Server with mechanism for changing treatment of client connections determined to be related to attacks
KR101503718B1 (ko) * 2014-06-11 2015-03-19 경북대학교 산학협력단 트래픽 분류 장치 및 방법, 트래픽 분류 프로그램 구축 장치 및 방법, 컴퓨터로 판독 가능한 기록매체
CN110830384A (zh) * 2019-09-30 2020-02-21 浙江口碑网络技术有限公司 业务流量的限流方法、装置及系统
KR102401661B1 (ko) * 2021-06-23 2022-05-24 김응노 DDoS 공격의 탐지 및 방어 시스템 및 그 방법
KR20220170738A (ko) * 2021-06-23 2022-12-30 (주) 뉴엔네트웍스 DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
CN109005157B (zh) 一种软件定义网络中DDoS攻击检测与防御方法与系统
Imran et al. Toward an optimal solution against denial of service attacks in software defined networks
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7835348B2 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
RU129279U1 (ru) Устройство обнаружения и защиты от аномальной активности на сети передачи данных
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
US8826437B2 (en) Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
US20050182950A1 (en) Network security system and method
Ha et al. Suspicious flow forwarding for multiple intrusion detection systems on software-defined networks
KR20110028106A (ko) 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
Carvalho et al. A novel anomaly detection system to assist network management in SDN environment
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
CN117319032A (zh) 网络安全主动防御方法及系统
CN110365673B (zh) 一种隔离网络攻击面的方法、服务器和系统
Demırcı et al. Virtual security functions and their placement in software defined networks: A survey
Songma et al. Classification via k-means clustering and distance-based outlier detection
Oo et al. Effective detection and mitigation of SYN flooding attack in SDN
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
CN114205147A (zh) 基于软件定义网络的链路泛洪攻击防御方法及系统
CN117319064A (zh) 基于可信计算的网络空间安全管控系统

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination