KR20110029340A - 분산 서비스 거부 공격의 방어 시스템 - Google Patents

분산 서비스 거부 공격의 방어 시스템 Download PDF

Info

Publication number
KR20110029340A
KR20110029340A KR1020090086973A KR20090086973A KR20110029340A KR 20110029340 A KR20110029340 A KR 20110029340A KR 1020090086973 A KR1020090086973 A KR 1020090086973A KR 20090086973 A KR20090086973 A KR 20090086973A KR 20110029340 A KR20110029340 A KR 20110029340A
Authority
KR
South Korea
Prior art keywords
user
list
client
ddos
access
Prior art date
Application number
KR1020090086973A
Other languages
English (en)
Other versions
KR101072981B1 (ko
Inventor
김항진
남현우
김민규
Original Assignee
주식회사 유섹
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 유섹 filed Critical 주식회사 유섹
Priority to KR1020090086973A priority Critical patent/KR101072981B1/ko
Publication of KR20110029340A publication Critical patent/KR20110029340A/ko
Application granted granted Critical
Publication of KR101072981B1 publication Critical patent/KR101072981B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 분산 서비스 거부 공격(DDoS)의 방어 시스템에 관한 것으로서, 사용자 그룹을 3가지로 구분하여 접속 허용이 가능한 사용자 IP 그룹에 대한 제1 리스트, 접속 차단된 사용자 IP 그룹에 대한 제2 리스트를 관리하고, 클라이언트 접속시, 상기 접속된 사용자 IP가 해당되는 리스트를 추출하여 접속 여부를 결정하는 접속 제어 서버와, 상기 접속 제어 서버에서 상기 제1, 2 리스트에 해당되지 않는 클라이언트의 사용자 IP가 전달되면, 정상 사용자와 좀비를 구분할 수 있는 인증키의 입력을 요청하고, 상기 인증키의 정상 입력시 제1 리스트로 업데이트하여 접속을 허용하고, 정상입력이 일어나지 않을 때에는 제2리스트로 업데이트하여 접속을 차단하는 인증 서버로 구성된 것을 특징으로 한다.
따라서, 본 발명은 클라이언트를 화이트 리스트와 블랙 리스트로 등록한 후에 블랙 리스트에 해당하는 클라이언트만 사전에 접속을 차단하고, 각 리스트에 등록되지 않은 클라이언트를 그레이 존(Gray Zone)으로 하여 인증 절차를 거쳐 접속되도록 함으로써, 악성 프로그램에 의한 DDoS 공격을 차단할 수 있으며, 다양한 패턴 변화에 대해서 소모적인 패턴 업데이트와, 많은 패턴으로 인한 전체 네트워크 성능의 저하를 야기하지 않으면서도 좀비로 인한 DDoS 공격을 효과적으로 차단하고 치유할 수 있게 한다.
분산 서비스 거부 공격(DDoS), 접속 제어 서버, 인증 서버, 데이터베이스

Description

분산 서비스 거부 공격의 방어 시스템{Protection system against DDoS}
본 발명은 분산 서비스 거부 공격(DDoS)의 방어 시스템에 관한 것으로, 더욱 상세하게는 클라이언트를 정상 사용자 그룹과 비정상 사용자 그룹으로 등록한 후에 비정상 사용자 그룹에 해당하는 클라이언트만 사전에 접속을 차단하고, 각 그룹에 등록되지 않은 클라이언트를 그레이 존(Gray Zone)으로 하여 인증 절차를 거친 후 접속되도록 함으로써 DDoS 공격에 대응할 수 있는 분산 서비스 거부 공격(DDoS)의 방어 시스템에 관한 것이다.
분산 서비스 거부(DDoS) 공격은 좀비를 이용하여 호스트 컴퓨터, 라우터, 서버, 네트워크 등의 합법적인 사용을 방해 또는 저해하기 위해 공격자 또는 공격자들에 의한 명백한 공격이다. 이러한 서비스 거부 공격은 타겟 네트워크 자체 내에서 시작될 수 있지만, 대부분은 인터넷을 통해 타겟에 연결된 외부 시스템 및 네트워크로부터 시작된다.
오늘날 인터넷에 연결된 장치, 시스템 및 네트워크는 오늘날 급속히 확장되 고 있는 DDoS 공격으로부터의 실질적인 위협에 직면해 있다. 이러한 공격은 의도한 타겟에 손상을 줄 뿐만 아니라 인터넷 자체의 안정성을 위협한다.
초기 DoS 공격 기술은 단일 소스로부터 단일 목적지로 패킷을 발생하여 전송하는 단순한 도구를 사용하였다. 종종 이러한 공격은 수작업으로 구성되었으며, 이는 공격의 횟수 및 효율성을 제한하였고, 예를 들어 소스 주소 패킷 필터링(source address packet filtering)에 의해 용이하게 방어될 수 있었다.
그렇지만, 최근에는 소위 분산 DoS(DDoS) 공격이라고 하는 하나 이상의 타겟에 대해 자동으로 다중 소스 공격을 실행하는 툴킷이 개발되었다. 이들 툴킷은 해커 웹사이트로부터 다운로드하여 용이하게 제공받을 수 있으며, 비숙련된 인터넷 사용자조차도 DDoS 공격을 설정할 수 있을 정도로 사용하기 간편하다.
단일 타겟에 대한 다중 소스 공격은 현재 인터넷 연결된 장치, 시스템 및 네트워크에 대해 자행되는 가장 흔한 형태의 DDoS 공격이다. 이러한 공격은 충분한 수의 타협된 호스트들이 거의 동시에 타겟을 향해 쓸모없는 패킷을 전송하기 위해 집결된다는 점에서 인터넷과 타겟 사이의 커다란 자원 비대칭성(huge resource asymmetry)을 이용한다. 결합된 트래픽의 크기는 종종 타겟 시스템 또는 네트워크로 하여금 그의 인터넷 연결을 파괴(crash) 및/또는 플러딩(flood)하기에 충분하며, 그에 따라 적어도 공격의 지속기간 동안은 타겟을 인터넷으로부터 효과적으로 제거하게 된다. 이러한 유형의 공격을 종종 패킷 플러딩 DDoS 공격(packet flooding DDoS attack)이라고 한다.
단일 소스 DoS 공격에 있어서, 패킷이 실제 소스 주소를 포함한 경우 공격의 소스를 추적하는 것과 그 소스로부터 수신되고 있는 패킷을 폐기하기 위해 예를 들어 패킷 필터링을 사용하는 것이 가능하였지만, DDoS 공격은 타겟을 향해 쓸모없는 패킷을 전송하는 좀비의 수가 수만 개, 심지어는 수십만 개에 이를 수 있다는 점과, 좀비의 식별자를 마스킹하는 주소 스푸핑(address spoofing)도 종종 사용된다는 점에서 보다 악의적이다.
쓸모없는 패킷의 소스가 식별될 수 있는 경우조차도, 이것은 타겟이 그 자신을 방어하는 것에 도움이 되지 않을 수 있는데, 그 이유는 수신된 패킷이 소위 리플렉터형 또는 간접형 DDoS 공격(reflector or indirect DDoS attack)에서 일어나는 것과 같이 타겟을 향해 패킷을 전송하도록 재촉받는 합법적인 소스로부터 온 것일 수 있기 때문이다. 이들 소스로부터의 패킷을 차단시키는 것은 또한 합법적인 사용자로부터의 패킷을 차단하기도 한다.
공격의 분산 특성으로 인해, 타겟 및 그 근방에서의 패킷 필터링은 통상 공격 패킷은 물론 정상(합법적인) 패킷도 누락시키는데, 그 이유는 패킷 필터기(packet filterer)가 이들을 구별할 수 없어 적어도 타겟에서의 서비스 손상을 가져오기 때문이다.
그 결과, 타겟에서의 DDoS의 검출은 일반적으로 효과적이지 않는데, 이는 그 검출이 언제나 너무 늦어서 타겟 시스템은 이미 서비스가 중단된 상태이며 또 실제 공격 오더는 하는 공격자 ( Commander Center , 이하 CC ) 는 기 확보하거나 또는 좀비판매사이트를 통해서 일정기간 좀비를 렌트한 공격 대행 시스템 ( 이하 좀비 시스템 )을 통해서 공격함으로 실제 공격을 오더한 CC를 확보하는 것이 쉽지 않으 며 특히 다계층의 CC 로 구현되는 경우는 더욱더 최종 CC 를 확보하고 공격자를 색출하는 것이 지난하여 DDoS 공격에 대한 효과적인 방어에 용이치가 않다.
종종, 타겟 네트워크의 인터넷 서비스 제공자(ISP) 네트워크는 DDoS 공격이 검출되면 타겟 네트워크를 향해오는 모든 패킷을 누락시키며( Black Hole Routing), 그에 따라 타겟 네트워크에서의 서비스를 효과적으로 정지시켜 여하튼 자신을 DDoS 공격으로부터 방어하려는 타겟 네트워크의 노력을 수포로 돌아가게 한다.
모든 이러한 시스템은 인터넷 내의 지점 또는 지점들을 지나가는 패킷들을 모니터링하고, 결집된 패킷 스트림 거동의 어떤 측면을 분석하여 DDoS 공격을 검출하는 방법으로서 그 거동이 정상적인 거동으로부터 상당히 벗어나고 있는지 여부를 결정하려고 시도한다.
주된 문제점은 무엇이 정상적인 거동을 구성하는지를 파악하는 것이다. 주어진 목적지 주소로 가고 있는 예상된 수의 패킷 또는 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP) 패킷 대 전송 제어 프로토콜(Transmission Control Protocol, TCP) 패킷의 비등의 절대 척도(absolute measure)는 새 웹사이트가 인기를 끌고 있거나 새로운 애플리케이션이 배포되고 있는 등의 합법적인 이유로 인해 트래픽 패턴이 급격히 변할 수 있기 때문에 제한된 값을 갖는다.
TCP SYN 메시지 대 ACK 메시지의 비를 기록하는 등의 다른 기술은 어떤 DoS 공격을 식별할 수 있지만, 공격자는 이러한 독특한 파라미터를 사용하여 검출 툴을 신속하게 우회할 수 있다.
어디서 어떻게 DDoS 공격이 검출되는지에 관계없이, 타겟으로 향해가는 모든 패킷을 단순히 폐기하는 것 이외에, 현재 제안된 DDoS 공격에 대해 방어하는 방법들은 적어도 타겟 및/또는 그의 ISP가 인그레스 패킷 필터링(ingress packet filtering)을 수행하는 것을 포함한다. 이것은 패킷의 소스 주소가 그 착신 타겟 시스템 링크에 적절한 것인지를 ISP가 확인하는 것을 포함한다.
DDoS 공격에 대해 방어하는 다른 방법으로는 원격 ISP 조차도 특정의 소스 주소를 갖는 패킷이 올지도 모를 가능한 링크를 식별할 수 있도록 패킷의 라우팅 정보를 증대시키는 것이 있다.
충분한 패킷이 주어진 경우 수신자가 그 패킷들이 택한 경로를 재구성할 수 있는 정보를 포함하도록 그의 의도한 용도 외에 인터넷 프로토콜(Internet Protocol, IP) 헤더에 기존의 필드를 사용하는 것이 수신자가 공격 패킷을 필터링하여 제거할 수 있는 방법이다. 그렇지만, 이 방법은 대량의 잘못된 정보를 타겟(수신자)으로 전달하기 위해 여전히 공격자에 의해 악용될 수 있으므로 제한된 효율성을 갖는다.
따라서, 어떻게 DDoS 공격을 식별하고 그 공격이 있을 때 어떻게 그의 효과를 차단 또는 감소시키는지의 문제가 남는다. 인터넷 내의 어떤 선택된 지점(또는 지점들)에서 DDoS 공격을 검출하는 기존의 방법들은 시간에 따라 아주 가변적이고 인터넷의 기술이 진보함에 따라 발전하여 사라지게 될 수 있는 파라미터에 기초하고 있다. 따라서, 필요한 것은 기술의 변화에 불변이고 또 많은 DDoS 공격을 검출 할 가능성이 높을 정도로 충분히 일반적인 파라미터에 기초한 방법이다.
DDoS 공격 검출 시스템을 인터넷 내에 설치하기 위한 조치들에도 불구하고, 대부분의 DDoS 검출 및 방어 시스템은 그의 네트워크, 시스템 및 장치를 이러한 공격으로부터 보호하고자 하는 엔드 호스트(수신자, 가능한 타겟)에 의해 운영되는 인터넷의 경계에 위치한다. 플러딩 패킷 공격의 특성이 주어진 경우, 필터링 시스템 자체가 무력화되지 않는 한 높은 처리 용량을 가져야만 하는 방어 시스템은 공격을 방어하기 위해 패킷 필터링에 주로 의존한다.
현재, 경쟁하는 ISP들이 DDoS 공격에 대해 방어하기 위해 그의 네트워크를 업그레이드할 동기가 거의 없지만, 이것은 전 세계적으로 입법적 압력이 가해짐에 따라 변할 수 있다. 따라서, 수신자가 보다 지능적으로 수신된 패킷을 필터링하고 인터넷의 다른 연결된 시스템 및 네트워크에 대해 이 프로세스를 지원하도록 하는 동기를 생성할 수 있는 방법이 필요하다.
따라서, 본 발명의 목적은 네트워크를 통해 접속되는 클라이언트를 정상 사용자 그룹과 비정상 사용자 그룹으로 등록한 후에 비정상 사용자 그룹에 해당하는 클라이언트는 사전에 접속을 차단하고, 각 그룹에 등록되지 않은 클라이언트를 그레이 존(Gray Zone)으로 하여 간결한 인증 절차를 거쳐 접속되도록 함으로써 좀비로 인하여 유발된 DDoS 공격에 대응할 수 있고 효과적으로 좀비를 관제할 수 있는 근본적이고 원천적인 방어 능력을 제공하는 것이다.
상술한 본 발명의 목적을 달성하기 위한 본 발명에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템은, 접속 IP를 정상사용 IP와, 공격자 IP 및 분류 불가 IP를 포함한 3가지의 그룹으로 분류하여 대응하는 분산 서비스 거부 공격(DDoS)의 방어 시스템에 있어서, 상기 정상사용 IP에 해당하여 접속 허용이 가능한 사용자 IP 그룹에 대한 제1 리스트, 상기 공격자 IP에 해당하여 접속 차단된 사용자 IP 그룹에 대한 제2 리스트를 관리하고, 소정의 사용자 IP를 갖는 클라이언트 접속시, 상기 접속된 사용자 IP가 해당되는 리스트를 추출하여 접속 여부를 결정하는 접속 제어 서버와, 상기 접속 제어 서버에서 상기 제1, 2 리스트에 해당되지 않는 분류 불가의 클라이언트의 사용자 IP가 전달되면, 정상 사용자를 구분할 수 있는 인증키의 입력을 요청하고, 상기 인증키의 정상 입력시 접속을 허용하는 인증 서버로 구성된 것을 특징으로 한다.
이때, 상기 제1 리스트와 제2 리스트는 데이터베이스화하여 데이터베이스에서 관리되고, 상기 접속 제어 서버와 인증 서버는 상기 데이터베이스와 각각 연결되는 것을 특징으로 한다.
그리고, 상기 접속 제어 서버는, 상기 접속된 클라이언트의 사용자 IP가 제1 리스트에 해당되면 정상 사용자로 판단하여 접속을 허용하고, 상기 접속된 클라이언트의 사용자 IP가 제2 리스트에 해당되면 비정상 사용자로 판단하여 접속을 차단 하며, 상기 접속된 클라이언트의 사용자 IP가 제1, 2 리스트에 해당되지 않으면 그레이 존(Gray Zone)으로 판단하여 인증 서버에 전달하는 것을 특징으로 한다.
한편, 상기 인증 서버의 인증키는 숫자, 난수, 문자, 특수 기호 중 적어도 하나 이상의 조합으로 이루어진 그래픽 퍼즐인 것을 특징으로 한다.
또한, 상기 인증 서버는, 상기 인증키를 정상 입력하는 클라이언트의 사용자 IP를 제1 리스트에 포함시키고, 상기 인증키를 입력하지 않은 클라이언트의 사용자 IP를 제2 리스트에 포함시키도록 하는 것을 특징으로 한다.
그리고, 상기 접속 제어 서버는 분산 서비스 거부 공격(DDoS) 이전에 정상 접속한 사용자 IP들을 제1 리스트로 하고, 평상시 보유한 비정상 사용자 IP들을 제2 리스트로 하여 지속적으로 업데이트 하는 것을 특징으로 한다.
상기 접속 제어 서버는 상기 제1 리스트와 제2 리스트에 등록된 사용자 IP가 일정 시간 동안 접속이 차단 또는 허용되도록 타임스탬프를 적용한 후에 정해진 시간이 경과되면 자동으로 각 리스트에서 제거되도록 하는 것을 특징으로 한다.
한편, 상기 접속 제어 서버는 상기 접속된 클라이언트의 사용자 IP가 상기 제2 리스트에 해당하면 상기 클라이언트에게 경고메시지를 팝업창을 이용하여 표시하도록 하는 것을 특징으로 한다.
또한, 상기 접속 제어 서는 상기 접속된 클라이언트의 사용자 IP가 상기 제2 리스트에 해당하면 상기 클라이언트에게 웹페이지를 이용하여 치료 방법을 제시하고, 치료 후에 ‘차단리스트 해제요청’버튼을 클릭할 것을 경고메시지를 통해 제시하는 것을 특징으로 한다.
상기 인증 서버는, 클라이언트, 접속 제어 서버와 정보를 교환하는 통신부와, 상기 인증키를 생성하는 퍼즐 생성부와, 상기 접속 제어 서버에서 전달되는 사용자 IP의 클라이언트에게 인증키를 전송하는 퍼즐 전송부, 상기 클라이언트에서 키입력 데이터가 통신부를 통해 전송되면 상기 키입력 데이터와 인증키가 일치하는지를 판단하는 키입력 판단부와, 상기 키입력 판단부에서 클라이언트가 입력한 키입력 데이터와 인증키가 일치하면 정상 사용자로 판단하여 접속을 허용하고, 키입력 데이터가 입력되지 않으면 비정상 사용자로 판단하여 접속을 차단하는 접속 제어부를 포함하는 것을 특징으로 한다.
이때, 상기 퍼즐 생성부는, 상기 클라이언트의 URL에 포함되어 있는 정보를 사용하여 지원 언어를 확인하고, 클라이언트별 지원 언어에 따라 서로 다른 언어의 그래픽 퍼즐을 생성하는 것을 특징으로 한다.
한편, 상기 접속 제어 서버 또는 인증 서버에는 상기 인증 서버에서 접속을 허용한 사용자 IP를 제1 리스트에 추가하고, 접속을 차단한 사용자 IP를 제2 리스트에 추가하도록 하는 업데이트부를 포함하는 것을 특징으로 한다.
상기와 같은 분산 서비스 거부 공격(DDoS)의 방어 시스템에 따르면, 네트워크를 통해 접속되는 클라이언트를 정상 사용자인 화이트 리스트와 비정상 사용자인 블랙 리스트로 등록한 후에 블랙 리스트에 해당하는 클라이언트만 사전에 접속을 차단하고, 각 리스트에 등록되지 않은 클라이언트인 신규접속 IP를 공격자와 정상 사용자를 구분하지 않고 그레이 존(Gray Zone)으로 분류하여 접속 초기에 간단한 인증 절차를 거쳐 접속되도록 하여 정상 사용자 PC와 좀비 PC를 분리함으로써 변화 무쌍한 공격의 패턴의 변화와 상관없이 DDoS 공격을 가장 원천적이고 분명하게 차단할 수 있는 효과가 있다.
또한, 본 발명은 트래픽분석, 접속 제어와 인증을 담당하는 각 서버와의 연동을 통해 행동 기반으로 화이트 리스트 또는 블랙리스트에 해당하는 클라이언트를 찾아낼 수 있고, 다양하게 변형하는 공격 방법에 대하여 일관되게 대응할 수 있는 인증시스템을 통하여 정상 사용자와 좀비 PC를 분류함으로써 고도의 관리 기술이 요구되지 않더라도 네트워크 등에서 수신된 비정상 트래픽을 지능적으로 차단 또는 필터링할 수 있고, 효과적으로 치유를 유도할 수 있는 효과도 있다.
한편, 본 발명은 피공격 대상 서버의 URL에 포함된 정보를 사용하여 피공격 대상 서버의 지원 언어를 확인하여 그에 따른 그래픽 퍼즐을 생성하여 전송함으로써 국내외 사용자에 대한 개별 언어 인증으로 외국에서의 프로그램을 통한 공격 접근을 원천 봉쇄 또는 제어할 수 있고, 국내 운영중인 외국어 사이트를 별도 관리할 수 있어 DDoS 공격시에도 해외 접속자의 불편을 최소화할 수 있는 효과도 있다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발 명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다.
도 1은 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템의 전체 구성이 도시된 블록도이고, 도 2는 본 발명의 실시예에 따른 인증 서버의 내부 구성을 도시한 블록도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템은, 네트워크를 통해 접속되는 다수의 클라이언트(110)와, 접속 제어 서버(200)와, 인증 서버(300) 및 데이터베이스(400)를 포함하고 있지만, 본 발명의 적용이 이에 한정되는 것은 아니고 트래픽 분석 서버나 안내 서버와 같이 웹상에서 접속 가능한 서버 컴퓨터를 포함할 수 있다.
또한, 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템은 네트워크(100)를 포함하고 있으며, 상기 네트워크(100)는 각종 장치 및 컴퓨터들 사이에 통신 링크를 제공하는데 사용된 매체로서 전선, 무선 통신 링크, 또는 광섬유 케이블과 같은 각종 접속 수단을 포함할 수 있다.
여기서, 상기 클라이언트(110)는 개인용 컴퓨터 또는 네트워크 컴퓨터로서, 각각 고유의 사용자 IP를 가지고 네트워크(100)를 통해 네트워크상의 각종 웹페이지에 접속한다.
상기 접속 제어 서버(200)는 접속 허용이 가능한 사용자 IP 그룹에 대한 제1 리스트(410)와 접속 차단된 사용자 IP 그룹에 대한 제2 리스트(420)를 관리하여, 소정의 사용자 IP를 갖는 클라이언트(110) 접속시, 상기 접속된 클라이언트(110)의 사용자 IP와 리스트를 비교하여 접속 허용 여부를 결정한다.
즉, 상기 접속 제어 서버(200)는 접속된 클라이언트(110)의 사용자 IP가 제1 리스트(410)에 해당되면 정상 사용자로 판단하여 접속을 허용하고, 접속된 클라이언트(110)의 사용자 IP가 제2 리스트(420)에 해당되면 비정상 사용자로 판단하여 접속을 차단하며, 접속된 클라이언트(110)의 사용자 IP가 제1, 2 리스트(410, 420)에 모두 해당되지 않으면 그레이 존(Gray Zone)으로 판단하여 인증 서버(300)에 알린다.
이를 위해, 상기 접속 제어 서버(200)는 분산 서비스 거부 공격(DDoS) 이전에 정상적으로 접속한 사용자의 IP들을 화이트 리스트(White list)로 등록하고, 이를 제1 리스트(410)로 선정하여 데이터베이스(400)에 저장한다. 그리고, 평상시 보유한 비정상 사용자의 IP들을 블랙 리스트(Black list)로 등록하고, 이를 제2 리스트(420)로 선정하여 데이터베이스(400)에 저장한 후에, 지속적으로 상기 화이트 리스트와 블랙 리스트 정보를 업데이트한다.
또한, 접속 제어 서버(200)는 제1 리스트(410)와 제2 리스트(420)에 등록된 각 IP들에 일정 시간 동안 접속을 차단하거나 혹은 허용하는 타임 스탬프를 적용하고, 정해진 시간이 초과하면 자동으로 리스트에서 제거되도록 한다.
따라서, 일정 시간이 경과하여 제1 리스트(410)에 해당하는 클라이언트가 제1 리스트에서 제거되면, 그 클라이언트가 다시 인증 절차를 거쳐 접속을 시도함으로써, 제1 리스트(410)에 해당되는 클라이언트도 주기적으로 정상 사용자인지를 확인할 수 있게 된다.
또한, 상기 접속 제어 서버(200)는 접속된 클라이언트의 사용자 IP가 제2 리스트(420)에 해당하면 해당 클라이언트에게 "좀비PC로 추정되오니 백신 치료 후 접 속해 주십시오"와 같은 경고메시지를 팝업창을 이용하여 표시한다.
물론, 상기 접속 제어 서버(200)는 접속된 클라이언트의 사용자 IP가 제2 리스트(420)에 해당하면 해당 클라이언트에게 웹페이지를 이용하여 치유방법을 제시하고, 치료 후에 ‘차단리스트해제요청’버튼을 클릭할 것을 경고메시지를 통해 제시할 수도 있다.
한편, 상기 인증 서버(300)는, 정상 사용자와 좀비(즉, 공격자)를 분류하기 위한 것으로, 접속 제어 서버(200)에서 제1, 2 리스트(410, 420)에 모두 해당되지 않는 클라이언트의 사용자 IP가 전달되면, 정상 사용자를 구분할 수 있는 인증키의 입력을 요청하고, 상기 인증키의 정상 입력시에만 접속을 허용한다.
이때, 상기 인증 서버(300)는, 도 2에 도시된 바와 같이, 클라이언트(110), 접속 제어 서버(200) 및 데이터베이스(400)와 정보를 교환하는 통신부(310)와, 상기 접속 제어 서버(200)에 전달되는 사용자 IP의 클라이언트에게 숫자, 난수, 문자, 특수 기호 중 적어도 하나 이상의 조합으로 이루어진 그래픽 퍼즐(325), 즉 인증키를 생성하는 퍼즐 생성부(320)와, 상기 접속 제어 서버(200)에서 전달되는 그레이 존에 해당되는 사용자 IP의 클라이언트에게 그래픽 퍼즐(325)을 전송하는 퍼즐 전송부(330)와, 상기 클라이언트(110)에서 상기 그래픽 퍼즐(325)에 해당하는 키입력 데이터가 통신부(310)를 통해 전송되면 상기 키입력 데이터와 그래픽 퍼즐(325)이 일치하는지를 판단하는 키입력 판단부(340) 및 상기 키입력 판단부(340)에서의 판단 결과 클라이언트가 입력한 키입력 데이터와 그래픽 퍼즐(325)이 일치하면 정상 사용자로 판단하여 접속을 허용하고, 키입력 데이터가 입력되지 않으면 비정상 사용자로 판단하여 접속을 차단하는 접속 제어부(350)를 포함한다.
한편, 상기 접속 제어 서버(200) 또는 인증 서버(300)에는 접속을 허용한 사용자 IP를 제1 리스트(410)에 추가하고, 접속을 차단한 사용자 IP를 제2 리스트에 추가하도록 데이터베이스(400)에 새로운 정보를 전송하는 업데이트부(360)를 포함한다.
그리고, 상기 데이터베이스(400)는 화이트 리스트에 해당되는 사용자 IP 그룹에 대한 제1 리스트(410)와, 블랙 리스트에 해당되는 사용자 IP 그룹에 대한 제2 리스트(420)가 저장되고, 상기 접속 제어 서버(200) 또는 인증 서버(300)를 통해 새로운 정보가 지속적으로 추가, 삭제, 수정되게 된다.
이러한 데이터베이스(400)는 제1, 2 리스트(410, 420)가 저장되는 저장소 외에 여러 개의 저장소를 마련해 두고, 각종 운용 및 응용 프로그램, 사용자 정보 등의 다양한 자료를 저장할 수 있다.
이하, 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템의 동작에 대해 설명한다.
도 3은 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템의 흐름도이다.
도 3을 참조하면, 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템은, 먼저 DDoS 공격 이전에 정상 접속한 사용자 IP 그룹으로 이루어진 화이트 리스트에 해당되는 제1 리스트(410)와, DDoS 또는 다른 종류의 악성 프로그 램에 감염된 좀비 PC를 보유한 사용자 IP 그룹으로 이루어진 블랙 리스트에 해당되는 제2 리스트(420)가 데이터베이스(400)에 저장되어 있다.
이때, 화이트 리스트에 해당되는 클라이언트1(111)의 접속 시도시, 접속 제어 서버(200)는 클라이언트1(111)의 사용자 IP를 조회하여, 상기 사용자 IP가 제1 리스트(410)에 해당되면 클라이언트1(111)의 접속을 허용한다.(S1, S2, S3)
반면, 블랙 리스트에 해당되는 클라이언트2(112)의 접속 시도시, 상기 접속 제어 서버(200)는 클라이언트2(112)의 사용자 IP를 조회하여, 상기 사용자 IP가 제2 리스트(420)에 해당되면 클라이언트2(112)의 접속을 차단하고, 좀비PC로 추정되니 백신 치료 후 접속을 재시도할 것을 요청하는 경고 메시지를 팝업창으로 출력한다.(S4, S5, S6)
한편, 클라이언트3(113)의 접속 시도시, 접속 제어 서버(200)는 클라이언트3(113)의 사용자 IP를 조회하여 상기 사용자 IP가 제1, 2 리스트(410, 420)에 해당되는지를 확인한다.
그 결과, 클라이언트3(113)의 사용자 IP가 제1, 2 리스트(410, 420)에 모두 존재하지 않으면 그레이 존에 해당된다고 판단하고, 클라이언트3(113)의 사용자 IP를 인증 서버(300)로 전달한다.(S7, S8, S9)
그러면, 인증 서버(300)는 클라이언트3(113)의 사용자 IP로 숫자, 문자, 특수기호, 난수 중 적어도 1개 이상의 조합으로 이루어진 그래픽 퍼즐(325)을 생성하여 전송한다.(S10, 11)
상기 클라이언트3(113)에서 그래픽 퍼즐(325)을 보고 입력한 키입력 데이터 가 전송되면, 인증 서버(300)는 키입력 데이터와 그래픽 퍼즐(325)이 일치하는지를 판단하여 데이터가 일치하면 클라이언트3(113)에게 접속을 허용한다.(S12, S13, S14, S15)
반면, 상기 인증 서버(300)는 키입력 데이터가 전송되었으나 키입력 데이터와 그래픽 퍼즐(325)이 일치하지 않는다면 재인증 절차를 거치고, 클라이언트3(113)에서 키입력 데이터가 전송되지 않으면 비정상 사용자(좀비 PC)로 판단하고, 클라이언트3(113)의 접속을 차단한다.(S16, S17, S18)
또한, 상기 인증 서버(300)는 자신의 업데이트부(360) 또는 접속 제어 서버(200)를 통해 접속이 허용된 클라이언트3(113)의 사용자 IP를 제1 리스트(410)에 추가하거나, 접속이 차단된 클라이언트3(113)의 사용자 IP를 제2 리스트(420)에 추가한다.
한편, 상기 제2 리스트(420)에 등록된 클라이언트(110)가 자신의 컴퓨터에 존재하는 악성 프로그램을 제거한 후 접속을 시도하고자 할 경우, 안내 페이지 '차단리스트해제요청’ 버튼을 클릭하여 블랙리스트 차단 해제를 요청하면, 해당 IP가 정상 사용자인지를 확인하고 블랙 리스트인 제2 리스트(420)에서 제외한 후에 인증 서버(300)로 전달된다.
상기에서는 분산 서비스 거부 공격(DDoS)에 대응하는 기능을 구현하는 실시예를 설명하였으나, 본 발명의 분산 서비스 거부 공격(DDoS)의 방어 시스템은 DDoS 공격에 수행되는 것으로 한정되지 않으며, 바이러스, 웜, 트로이 목마, 및 데이터 처리 시스템 또는 네트워크의 정상적인 동작을 방해하도록 설계된 다른 유형의 해로운 프로그램에도 적용될 수 있다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
본 발명은 분산 서비스 거부 공격(DDoS)의 방어 시스템에 관한 것으로서, 특히 네트워크를 통해 접속되는 클라이언트를 정상 사용자인 화이트 리스트와 비정상 사용자인 블랙 리스트로 등록한 후에 블랙 리스트에 해당하는 클라이언트만 사전에 접속을 차단하고, 각 리스트에 등록되지 않은 클라이언트를 그레이 존(Gray Zone)으로 하여 인증 절차를 거쳐 접속되도록 함으로써 DDoS 공격에 대응할 수 있고, 그 외에 시스템 또는 네트워크의 정상적인 동작을 방해하는 악성 프로그램에 감염된 비정상 트래픽을 지능적으로 차단 또는 필터링하고, 효과적으로 치유할 수 있도록 유도할 수 있다.
도 1은 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템의 전체 구성이 도시된 블록도이고,
도 2는 본 발명의 실시예에 따른 인증 서버의 내부 구성을 도시한 블록도이고,
도 3은 본 발명의 실시예에 따른 분산 서비스 거부 공격(DDoS)의 방어 시스템의 흐름도이다.
*** 도면의 주요부분에 대한 부호의 설명 ***
100 : 네트워크 110 : 클라이언트
200 : 접속 제어 서버 300 : 인증 서버
310 : 통신부 320 : 퍼즐 생성부
325 : 그래픽 퍼즐 330 : 퍼즐 전송부
340 : 키입력 판단부 350 : 접속 제어부
360 : 업데이트부 400 : 데이터베이스
410, 420 : 제1, 2 리스트

Claims (12)

  1. 접속 IP를 정상사용 IP와, 공격자 IP 및 분류 불가 IP를 포함한 3가지의 그룹으로 분류하여 대응하는 분산 서비스 거부 공격(DDoS)의 방어 시스템에 있어서,
    상기 정상사용 IP에 해당하여 접속 허용이 가능한 사용자 IP 그룹에 대한 제1 리스트, 상기 공격자 IP에 해당하여 접속 차단된 사용자 IP 그룹에 대한 제2 리스트를 관리하고, 소정의 사용자 IP를 갖는 클라이언트 접속시, 상기 접속된 사용자 IP가 해당되는 리스트를 추출하여 접속 여부를 결정하는 접속 제어 서버와,
    상기 접속 제어 서버에서 상기 제1, 2 리스트에 해당되지 않는 분류 불가의 클라이언트의 사용자 IP가 전달되면, 정상 사용자를 구분할 수 있는 인증키의 입력을 요청하고, 상기 인증키의 정상 입력시 접속을 허용하는 인증 서버로 구성된 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  2. 제1항에 있어서,
    상기 제1 리스트와 제2 리스트는 데이터베이스화하여 데이터베이스에서 관리되고, 상기 접속 제어 서버와 인증 서버는 상기 데이터베이스와 각각 연결되는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  3. 제1항에 있어서,
    상기 접속 제어 서버는, 상기 접속된 클라이언트의 사용자 IP가 제1 리스트 에 해당되면 정상 사용자로 판단하여 접속을 허용하고, 상기 접속된 클라이언트의 사용자 IP가 제2 리스트에 해당되면 비정상 사용자로 판단하여 접속을 차단하며, 상기 접속된 클라이언트의 사용자 IP가 제1, 2 리스트에 해당되지 않으면 그레이 존(Gray Zone)으로 판단하여 인증 서버에 전달하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  4. 제1항에 있어서,
    상기 인증 서버의 인증키는 숫자, 난수, 문자, 특수 기호 중 적어도 하나 이상의 조합으로 이루어진 그래픽 퍼즐인 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  5. 제1항에 있어서,
    상기 인증 서버는, 상기 인증키를 정상 입력하는 클라이언트의 사용자 IP를 제1 리스트에 포함시키고, 상기 인증키를 입력하지 않은 클라이언트의 사용자 IP를 제2 리스트에 포함시키도록 하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  6. 제1항에 있어서,
    상기 접속 제어 서버는 분산 서비스 거부 공격(DDoS) 이전에 정상 접속한 사용자 IP들을 제1 리스트로 하고, 평상시 보유한 비정상 사용자 IP들을 제2 리스트 로 하여 지속적으로 업데이트 하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  7. 제1항에 있어서,
    상기 접속 제어 서버는 상기 제1 리스트와 제2 리스트에 등록된 사용자 IP가 일정 시간 동안 접속이 차단 또는 허용되도록 타임스탬프를 적용한 후에 정해진 시간이 경과되면 자동으로 각 리스트에서 제거되도록 하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  8. 제1항에 있어서,
    상기 접속 제어 서버는 상기 접속된 클라이언트의 사용자 IP가 상기 제2 리스트에 해당하면 상기 클라이언트에게 경고메시지를 팝업창을 이용하여 표시하도록 하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  9. 제1항에 있어서,
    상기 접속 제어 서는 상기 접속된 클라이언트의 사용자 IP가 상기 제2 리스트에 해당하면 상기 클라이언트에게 웹페이지를 이용하여 치료 방법을 제시하고, 치료 후에 ‘차단리스트 해제요청’버튼을 클릭할 것을 경고메시지를 통해 제시하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  10. 제1항에 있어서,
    상기 인증 서버는,
    클라이언트, 접속 제어 서버와 정보를 교환하는 통신부와,
    상기 인증키를 생성하는 퍼즐 생성부와,
    상기 접속 제어 서버에서 전달되는 사용자 IP의 클라이언트에게 인증키를 전송하는 퍼즐 전송부,
    상기 클라이언트에서 키입력 데이터가 통신부를 통해 전송되면 상기 키입력 데이터와 인증키가 일치하는지를 판단하는 키입력 판단부와,
    상기 키입력 판단부에서 클라이언트가 입력한 키입력 데이터와 인증키가 일치하면 정상 사용자로 판단하여 접속을 허용하고, 키입력 데이터가 입력되지 않으면 비정상 사용자로 판단하여 접속을 차단하는 접속 제어부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  11. 제10항에 있어서,
    상기 퍼즐 생성부는, 상기 클라이언트의 URL에 포함되어 있는 정보를 사용하여 지원 언어를 확인하고, 클라이언트별 지원 언어에 따라 서로 다른 언어의 그래픽 퍼즐을 생성하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
  12. 제1항에 있어서,
    상기 접속 제어 서버 또는 인증 서버에는 상기 인증 서버에서 접속을 허용한 사용자 IP를 제1 리스트에 추가하고, 접속을 차단한 사용자 IP를 제2 리스트에 추가하도록 하는 업데이트부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격(DDoS)의 방어 시스템.
KR1020090086973A 2009-09-15 2009-09-15 분산 서비스 거부 공격의 방어 시스템 KR101072981B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090086973A KR101072981B1 (ko) 2009-09-15 2009-09-15 분산 서비스 거부 공격의 방어 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090086973A KR101072981B1 (ko) 2009-09-15 2009-09-15 분산 서비스 거부 공격의 방어 시스템

Publications (2)

Publication Number Publication Date
KR20110029340A true KR20110029340A (ko) 2011-03-23
KR101072981B1 KR101072981B1 (ko) 2011-10-12

Family

ID=43935231

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090086973A KR101072981B1 (ko) 2009-09-15 2009-09-15 분산 서비스 거부 공격의 방어 시스템

Country Status (1)

Country Link
KR (1) KR101072981B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012165777A2 (ko) * 2011-05-27 2012-12-06 주식회사 시큐클라우드 탐지되기 어려운 디도스 공격을 방어하는 방법
KR101223932B1 (ko) * 2011-04-19 2013-02-05 주식회사 코닉글로리 실사용자 인증방식을 이용한 디도스 공격 대응 시스템 및 이를 이용한 디도스 공격 대응 방법
KR101375375B1 (ko) * 2012-02-24 2014-03-17 주식회사 퓨쳐시스템 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템
CN110351291A (zh) * 2019-07-17 2019-10-18 海南大学 基于多尺度卷积神经网络的DDoS攻击检测方法及装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101132573B1 (ko) * 2011-11-23 2012-04-05 주식회사 윈스테크넷 웹 서버를 위협하는 자동화 코드 공격의 차단시스템 및 차단방법
KR101434387B1 (ko) 2013-01-02 2014-08-26 주식회사 윈스 분산 서비스 거부 공격 차단 시스템 및 그 차단 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100858271B1 (ko) * 2007-11-27 2008-09-11 주식회사 나우콤 분산서비스거부공격 차단장치 및 그 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101223932B1 (ko) * 2011-04-19 2013-02-05 주식회사 코닉글로리 실사용자 인증방식을 이용한 디도스 공격 대응 시스템 및 이를 이용한 디도스 공격 대응 방법
WO2012165777A2 (ko) * 2011-05-27 2012-12-06 주식회사 시큐클라우드 탐지되기 어려운 디도스 공격을 방어하는 방법
WO2012165777A3 (ko) * 2011-05-27 2013-03-28 주식회사 시큐클라우드 탐지되기 어려운 디도스 공격을 방어하는 방법
KR101375375B1 (ko) * 2012-02-24 2014-03-17 주식회사 퓨쳐시스템 좀비 컴퓨터 블랙리스트 수집에 기초한 좀비 컴퓨터 탐지 및 방어 시스템
CN110351291A (zh) * 2019-07-17 2019-10-18 海南大学 基于多尺度卷积神经网络的DDoS攻击检测方法及装置
CN110351291B (zh) * 2019-07-17 2021-07-13 海南大学 基于多尺度卷积神经网络的DDoS攻击检测方法及装置

Also Published As

Publication number Publication date
KR101072981B1 (ko) 2011-10-12

Similar Documents

Publication Publication Date Title
US11405359B2 (en) Network firewall for mitigating against persistent low volume attacks
JP6894003B2 (ja) Apt攻撃に対する防御
Portokalidis et al. Sweetbait: Zero-hour worm detection and containment using low-and high-interaction honeypots
Koniaris et al. Analysis and visualization of SSH attacks using honeypots
Ghafir et al. Blacklist-based malicious ip traffic detection
Zarras et al. Automated generation of models for fast and precise detection of HTTP-based malware
Soltani et al. A survey on real world botnets and detection mechanisms
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP6086423B2 (ja) 複数センサの観測情報の突合による不正通信検知方法
Ko et al. Management platform of threats information in IoT environment
KR101072981B1 (ko) 분산 서비스 거부 공격의 방어 시스템
Nicholson et al. A taxonomy of technical attribution techniques for cyber attacks
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
Udhani et al. Human vs bots: Detecting human attacks in a honeypot environment
Saad et al. Rule-based detection technique for ICMPv6 anomalous behaviour
Särelä et al. Evaluating intrusion prevention systems with evasions
KR101022508B1 (ko) 서비스 거부 공격 및 분산 서비스 공격 차단 시스템
Davanian et al. MalNet: A binary-centric network-level profiling of IoT malware
Granberg Evaluating the effectiveness of free rule sets for Snort
Blackwell Ramit-Rule-Based Alert Management Information Tool
Marchetti et al. Cyber attacks on financial critical infrastructures
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
Aravind et al. Tracing Ip Addresses Behind Vpn/Proxy Servers
Lehtiö C&c-as-a-service: Abusing third-party web services as c&c channels
Fleming et al. Network intrusion and detection: An evaluation of snort

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee