KR20110033018A - 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 - Google Patents

분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 Download PDF

Info

Publication number
KR20110033018A
KR20110033018A KR1020100078305A KR20100078305A KR20110033018A KR 20110033018 A KR20110033018 A KR 20110033018A KR 1020100078305 A KR1020100078305 A KR 1020100078305A KR 20100078305 A KR20100078305 A KR 20100078305A KR 20110033018 A KR20110033018 A KR 20110033018A
Authority
KR
South Korea
Prior art keywords
data
attack
network device
traffic
distributed service
Prior art date
Application number
KR1020100078305A
Other languages
English (en)
Other versions
KR101380015B1 (ko
Inventor
박평구
이태호
이순석
홍성백
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US12/882,557 priority Critical patent/US20110072515A1/en
Publication of KR20110033018A publication Critical patent/KR20110033018A/ko
Application granted granted Critical
Publication of KR101380015B1 publication Critical patent/KR101380015B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치가 제공된다. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계와, 검출된 데이터가 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계와, 보안 장비로부터 검출된 데이터에 대한 분석결과를 수신하고 분석결과에 따라서 트래픽을 제어하는 제1동작또는, 제1동작의 수행 전에 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작중 적어도 하나를 수행하는 단계를 포함한다.

Description

분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치{Collaborative Protection Method and Apparatus for Distributed Denial of Service}
본 발명은 분산되어 있는 다수의 공격자들이 하나의 서비스 제공자에게 동시에 서비스 장애를 발생시키는 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 능동적이고 효율적인 방어를 지원하는 방어 체계에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-013-03, 과제명: All IPv6 기반 Fixed-Mobile Convergence 네트워킹 기술 개발].
분산서비스거부(DDoS: Distributed Denial of Service) 공격은 다수의 공격자들이 하나의 서비스 제공자를 공격하여 서비스 장애를 발생시키는 공격 패턴의 일종이다. DDoS 공격에 대하여, 기존에는 보안 장비가 모든 데이터에 대해 공격 패턴 분석, 공격 판단 및 공격 데이터 제어 등의 모든 방어 동작을 수행한다. 보안 장비는 서비스 제공자의 보안을 담당하는 장비이다. 라우터와 같은 네트워크 장비는 입력되는 모든 데이터를 보안 장비에게 전송한다.
이러한 방어 체계는 보안 장비가 모든 데이터에 대해 분석, 판단 및 제어 등의 방어 동작을 수행하므로 부하 증가를 발생시킨다. 부하증가는 방어 동작의 오류율이 증가할 뿐 아니라, 보안 장비를 통과하는 정상 데이터가 제공하는 서비스의 품질을 저하시킨다. 이는, 결과적으로 DDoS 공격이 성공하게 하는 결과를 초래한다.
따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 네트워크 장비와 보안 장비의 협업형 방어체계에 의해 외부로부터의 공격을 판단하고, 판단된 공격에 대응함으로써, 보안 장비의 부하를 최소화하고, 보다 효율적인 방어 체계를 구축할 수 있는, 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 을 제공하는 것이다.
본 발명의 일 실시예에 따른, 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계; 상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계; '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고, 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 단계를 포함할 수 있다.
상기 검출하는 단계는, 입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하는 단계; 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 단계; 및 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 단계를 포함할 수 있다.
상기 입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다.
상기 알려주는 단계는, 상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 단계; 및 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는 단계를 포함할 수 있다.
상기 알려주는 단계는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함-를 상기 보안 장비로 제공하는 단계; 및 상기 검출된 데이터를 상기 보안 장비로 전달하는 단계를 포함할 수 있다.
검출된 데이터에 대한 분석결과는 검출된 데이터의 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다.
상기 방어 동작에 대한 정보 및 상기 기설정된 룰은 각각, 상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다.
상기 제1 동작은, 상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하는 단계; 및 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하는 단계를 포함할 수 있다.
상기 트래픽의 분산서비스거부 공격을 차단하는 단계는, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 단계; 및 네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는 단계를 포함할 수 있다.
한편, 본 발명의 다른 실시예에 따른, 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법은, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신하는 단계; 상기 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 단계; 상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 단계; 및 상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 단계를 포함할 수 있다.
상기 데이터에 대한 정밀 분석결과는, 상기 데이터에 대한 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다.
한편, 본 발명의 다른 실시예에 따른, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 장치는, 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부; 상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및 '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 제어부를 포함할 수 있다.
상기 데이터 모니터링부는, 입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하고, 상기 확인된 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 패턴 판단부; 및 상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 의심 데이터 결정부를 포함할 수 있다.
상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 식별 표시부;를 더 포함하며, 상기 통신부는, 상기 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)할 수 있다.
상기 통신부는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함- 및 상기 검출된 데이터를 상기 보안 장비로 전달할 수 있다.
상기 제어부는, 상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하고, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하여, 상기 제1동작을 수행할 수 있다.
상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 방어 동작 등록부를 더 포함할 수 있다.
상기 제어부는, 네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하도록 상기 네트워크 장치에게 요청할 수 있다.
한편, 본 발명의 다른 실시예에 따른, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 보안 장비는, 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 데이터 확인부; 및 상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 판단부; 및 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 상기 네트워크 장치로부터 상기 데이터를 수신하며, 상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 통신부를 포함할 수 있다.
본 발명의 실시예에 따르면, 네트워크 장치는 이상징후 데이터를 검출하여 보안장비에게 전달하고, 보안장비는 네트워크 장치에서 검출된 이상징후 데이터에 대해 정밀 분석하여 공격 패턴을 인식함으로써, 보안장비의 부하를 감소시킬 수 있다. 또한, 보안 장비에서 검출된 공격패턴을 네트워크 장치에 설정함으로써, 네트워크 장치는 본래 기능을 유지하면서 1차적으로 공격데이터를 차단할 수 있다.
또한, 본 발명에 따르면, 보안장비와 네트워크장비와의 협업을 통해 능동적으로 분산서비스거부 공격에 대응할 수 있다.
또한, 협업형 방어 체계에 의해, 보안 장비의 부담이 감소됨으로써 공격에 대한 오탐색률을 감소시키고, 보다 신속하게 공격에 대응함으로, 능동적인 방어체계를 구축할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 장치를 도시한 블록도이다.
도 3은 검출된 데이터에 의심데이터임을 식별하기 위한 마킹을 수행하는 일 예를 보여주는 도면이다.
도 4는 본 발명이 일 실시예에 따른 DDoS 공격에 대한 협업형 방어를 위한 보안 장비를 도시한 블록도이다.
도 5는 본 발명의 다른 실시 예에 따른 DDoS 공격에 대한 협업형 방어를 위한 네트워크 시스템 중 일부를 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 공격패턴 및 방어를 위한 룰을 설정하는 방법을 설명하기 위한 흐름도이다.
도 7 및 도 8은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, DDoS 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.
도 9는 본 발명의 일 실시예에 따른 보안 장비에 의해 수행되는, DDoS 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시 예에 따른 분산서비스거부(DDoS: Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템을 도시한 도면이다.
도 1을 참조하면, 네트워크 시스템은 네트워크 관제 시스템(100), 네트워크 장치(200), 보안 장비(300) 및 서비스 서버(400)를 포함할 수 있다.
네트워크 관제 시스템(100)은 네트워크 장치(200)를 관리 및 제어하는 서버이다.
네트워크 장치(200)는 외부 기기들(10, 20, 30)로부터 입력되는 데이터를 보안 장비(300)로 포워딩할 수 있으며, 라우터를 예로 들 수 있다. 또한, 네트워크 장치(200)는 보안 장비(300)와의 협력을 기반으로 DDoS 공격을 1차적으로 방어할 수 있다. DDoS 공격은 다수의 공격자들이 분산 배치하여 동시에 서비스 장애를 발생시키는 공격이다. 다수의 공격자들은 도 1에 도시된 외부 기기들(10, 20, 30) 중 적어도 하나로부터 발생할 수 있다.
보안 장비(300)는 서비스 서버(400)의 보안을 담당하는 장치로서, 네트워크 장치(200)와의 협력을 기반으로 DDoS 공격을 2차적으로 방어할 수 있다. 예를 들어, 보안 장비(300)는 네트워크 장치(200)로부터 플로우(flow) 정보가 제공된 데이터 또는 패킷에 마킹이 추가된 데이터를 정밀 분석하여 공격패턴을 검출할 수 있다. 공격을 위한 데이터로 판단되면, 보안 장비(300)는 네트워크 장치(200)에게 방어 동작을 하도록 요청할 수 있다. 보안 장비(300)의 예로는 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 또는 방화벽 등이 있다.
서비스 서버(400)는 네트워크를 통해 연결된 다수의 사용자들에게 서비스를 제공하는 서비스 제공자이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 장치(200)를 도시한 블록도이다.
도 2를 참조하면, 네트워크 장치(200)는 제1통신부(210), 공격 패턴 등록부(220), 방어 동작 등록부(230), 데이터 모니터링부(240), 식별 표시부(250) 및 제1제어부(260)를 포함할 수 있다.
제1통신부(210)는 다수의 외부 기기들(10, 20, 30), 네트워크 관제 시스템(100) 및 보안 장비(300)와 통신한다. 제1통신부(210)는 유선 또는 무선 방식으로 통신할 수 있다. 다수의 외부 기기들(10, 20, 30)은 서비스 서버(400)로부터 서비스를 제공받기 위한 단말기이거나 또는 서비스 서버(400)를 공격하기 위한 좀비 단말기일 수 있다.
예를 들어, 제1통신부(210)는 다수의 외부 기기들(10, 20, 30)로부터 입력되는 데이터를 데이터 모니터링부(240)로 전달할 수 있다. 또한, 제1통신부(210)는 데이터 모니터링부(240)에서 검출된 데이터가 DDoS 공격으로 의심되는 의심데이터임을 보안 장비(300)로 알려줄 수 있다. 제1통신부(210)는 검출된 의심데이터에 대한 분석결과를 보안 장비(300)로부터 수신할 수 있다.
공격 패턴 등록부(220)에는 관리자에 의해 설정되는 공격 패턴이 등록될 수 있다. 일 예로, 공격 패턴은 동일한 사이즈를 갖는 데이터가 지속적으로 반복되는 볼륨 공격과, ICMP(Internet Control Message Protocol) 및 HTTP(Hypertext Transfer Protocol) GET과 같이 반복적으로 발생하기 어려운 데이터가 반복되는 공격이 있으며, 이는 일 예일 뿐 이에 한정되지 않는다. 또한, 공격 패턴 등록부(220)에는 보안 장비(300)에 의해 분석된 공격 패턴이 등록될 수 있다.
방어 동작 등록부(230)에는 외부 기기들(10, 20, 30)로부터 공격으로 의심되는 데이터가 검출되는 경우, 후술할 제2동작에 사용할 룰이 기설정된다. 기 설정되는 룰은 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다. 또한, 방어 동작 등록부(230)에는 분석결과에 포함된 트래픽에 대한 방어 동작을 등록할 수 있다. 분석결과에 포함된 방어 동작은 후술할 제1동작에 적용되는 방어 방식이다.
새로운 트래픽으로부터 공격으로 의심되는 데이터가 검출되면, 기설정된 룰 및 등록된 방어 동작은 제2동작을 이용하여 공격 데이터를 방어할 때 사용될 수 있다. 또한, 룰 또는 방어 동작은 공격 패턴 별로 설정되거나 등록될 수 있다.
데이터 모니터링부(240)는 서비스 서버(400)로 포워딩되는 트래픽에 대한 모니터링을 통해 DDoS 공격으로 의심되는 데이터를 검출할 수 있다. 이를 위하여, 데이터 모니터링부(240)는 패턴 판단부(241) 및 의심데이터 결정부(243)를 포함할 수 있다.
패턴 판단부(241)는 외부 기기들(10, 20, 30)로부터 입력된 데이터의 플로우(flow) 정보에 기초하여, 입력된 데이터의 발생 패턴을 확인하고, 확인된 발생 패턴이 공격 패턴 등록부(220)에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단할 수 있다.
입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다.
의심데이터 결정부(243)는 입력된 데이터의 발생 패턴이 공격 패턴 등록부(220)에 등록되어 있는 공격 패턴에 해당하면, 입력된 데이터를 DDoS 공격으로 의심되는 의심데이터로 결정할 수 있다. 이로써, 의심데이터가 검출된다.
식별 표시부(250)는 네트워크 장치(200)와 보안 장비(300) 간에 약속된 방식에 따라서, 검출된 데이터가 의심데이터, 즉, 이상 징후 데이터임을 표시할 수 있다. 식별 표시부(250)는 네트워크 장치(200)에 식별표시모드가 설정되어 있는 경우 해당 동작을 수행할 수 있다.
도 3은 검출된 데이터에 의심데이터임을 식별하기 위한 마킹을 수행하는 일 예를 보여주는 도면이다. 도 3을 참조하면, 검출된 데이터는 데이터와 IP 헤더를 포함한다. 식별 표시부(250)는 검출된 데이터가 의심데이터임을 표시하기 위하여, 데이터의 패킷에 식별 헤더를 추가할 수 있다. 또는, 식별 표시부(250)는 식별 헤더의 추가대신, 의심데이터임을 표시하는 식별자를 검출된 데이터에 마킹할 수 있다.
검출된 의심데이터는 하기 두 방식 중 적어도 하나에 의해 보안 장비(300)에게 통지될 수 있다. 이는, 보안 장비(300)가 보다 상세히 분석해야 하는 데이터를 쉽게 식별할 수 있도록 하기 위함이다.
먼저, 제1제어부(260)는 데이터 모니터링부(240)에서 의심데이터가 검출되면, 식별표시모드가 설정되어 있는 경우, 식별 표시부(250)를 제어하여 의심데이터임을 표시하고, 표시된 의심데이터를 보안 장비(300)로 전달하도록 제1통신부(210)를 제어할 수 있다.
또는, 제1제어부(260)는 식별표시모드가 오프되어 있으면, 검출된 의심데이터의 플로우(flow) 정보와 검출된 의심데이터를 보안 장비(300)로 전달하도록 제1통신부(210)를 제어할 수 있다. 플로우 정보는 의심데이터의 소스 어드레스, 목적지 어드레스 및 포트 넘버 중 적어도 하나를 포함할 수 있다. 소스 어드레스는 외부 기기(10)의 어드레스, 목적지 어드레스는 서비스 서버(400)의 어드레스일 수 있다.
상술한 방식에 의해, 제1통신부(210)는, 이상 징후 데이터로 표시된 의심데이터또는 의심데이터의 플로우 정보를 보안 장비(300)로 전달(forwarding)할 수 있다. 또한, 제1통신부(210)는 의심데이터에 대한 분석결과를 보안 장비(300)로부터 수신하여 제1제어부(260)로 전달한다.
제1제어부(260)는 보안 장비(300)로부터 제공된 의심데이터에 대한 분석결과에 따라서 트래픽을 제어하는 제1동작, 또는, 제1동작의 수행 전에 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작 중 적어도 하나를 수행할 수 있다.
제1동작을 수행하는 경우에 대해 먼저 설명한다.
보안 장비(300)로부터 제공되는 의심데이터에 대한 분석결과는 검출된 의심데이터의 공격 패턴에 대한 정보 및 네트워크 장치(200)가 수행할 방어 동작에 대한 정보를 포함할 수 있다. 포함된 방어 동작에 대한 정보는 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다.
제1제어부(260)는 분석결과에 포함된 공격 패턴이 DDoS 공격의 공격 패턴인 경우, 분석결과에 포함된 트래픽에 대한 방어 동작에 따라서 트래픽의 DDoS 공격을 차단할 수 있다. 그리고, 제1제어부(260)는 분석결과에 포함된 공격 패턴을 공격 패턴 등록부(220)에 등록하고, 분석결과에 포함된 트래픽에 대한 방어 동작을 방어 동작 등록부(230)에 등록할 수 있다.
제2동작을 수행하는 경우에 대해 설명하면 다음과 같다. 제1제어부(260)는 의심데이터가 검출되면, 방어 동작 등록부(230)에 기설정된 룰 중 적어도 하나를 이용하여 트래픽을 제어할 수 있다. 즉, 제1제어부(260)는 방어 동작 등록부(230)에 기설정된 룰 중 적어도 하나를 이용하여, 의심데이터에 의한 공격을 방어할 수 있다.
제1제어부(260)가 제2동작을 수행하는 동안, 보안 장비(300)로부터 분석 결과가 수신되면, 제1제어부(260)는 분석 결과에 포함된 방어 동작에 따라서 의심데이터에 의한 공격을 방어할 수 있다.
도 4는 본 발명이 일 실시예에 따른 DDoS 공격에 대한 협업형 방어를 위한 보안 장비(300)를 도시한 블록도이다.
도 4에 도시된 보안 장비(300)는 네트워크 장치(200)로부터 검출된 의심데이터를 수신하며, 의심데이터를 분석한 결과를 네트워크 장치(200)에게 전달할 수 있다. 이를 위하여, 보안 장비(300)는 제2통신부(310), 데이터 확인부(320), 판단부(330) 및 제2제어부(340)를 포함할 수 있다.
제2통신부(310)는 네트워크 장치(200)로부터 데이터를 수신하며, 데이터에 대한 정밀 분석결과를 네트워크 장치(200)로 전송할 수 있다. 네트워크 장치(200)는 서비스 서버(400)로 포워딩되는 트래픽에 대한 모니터링을 수행하는 장치이다.
데이터 확인부(320)는 네트워크 장치(200)로부터 수신된 데이터의 플로우 정보 또는, 데이터에 표시된 마킹 정보에 기초하여 데이터가 DDoS 공격으로 의심되는 의심데이터인지 여부를 확인할 수 있다. 예를 들어, 수신된 데이터의 패킷에 도 3에 도시된 바와 같은 식별 헤더가 추가되어 있으면, 데이터 확인부(320)는 네트워크 장치(200)로부터 제공된 데이터를 의심데이터로 판단할 수 있다.
판단부(330)는 수신된 데이터가 DDoS 공격으로 의심되는 의심데이터이면, 의심데이터를 정밀분석하여 DDoS 공격인지 여부를 판단하고, 공격 패턴을 추출할 수 있다. 기존에는 수신된 데이터의 모든 플로우 별로 기저장된 시그니처(signature)를 확인하여 정밀분석을 수행하였다. 그러나, 판단부(330)는 의심데이터에 대해서만 시그니처를 확인하여 정밀분석을 수행할 수 있다.
제2제어부(340)는 의심데이터의 공격 패턴에 대항할 방어 동작에 대한 정보를 정밀분석결과에 포함시킬 수 있다. 따라서, 정밀 분석결과는 의심데이터의 공격 패턴에 대한 정보 및 네트워크 장치(200)가 수행할 방어 동작에 대한 정보를 포함할 수 있다. 제2제어부(340)는 정밀 분석결과를 네트워크 장치(200)에게 전송하도록 제2통신부(310)를 제어한다.
또한, 판단부(330)에서 수신된 데이터가 의심데이터가 아닌 것으로 판단되면, 제2제어부(340)는 네트워크 장치(200)에게 의심데이터임을 표시하는 동작을 멈추게 하고, 데이터를 전달하도록 요청할 수 있다. 이는, 이상징후 트래픽으로 예상된 트래픽이 정상적인 서비스로 판단되었기 때문이다.
보안 장비(300)는 데이터 채널 또는 관리 채널을 이용하여 네트워크 장치(200)에게 분석결과를 전송할 수 있다. 데이터 채널을 이용하는 경우, 네트워크 장치(200)는 전송되는 분석결과를 공격패턴으로 인식할 수 있다. 따라서, 이를 미연에 방지하기 위하여, 보안 장비(300)는 분석결과는 허용된 데이터임을 기설정하도록 네트워크 장치(200)에게 요청할 수 있다.
도 5는 본 발명의 다른 실시 예에 따른 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 시스템 중 일부를 도시한 도면이다.
도 5를 참조하면, 네트워크 시스템은 도 1에 도시된 보안 장비(300) 및 서비스 서버(400)와, 네트워크 관제 시스템(510), 제1네트워크 장치(520) 및 제2네트워크 장치(530)를 더 포함할 수 있다.
외부 기기들(10, 20, 30) 중 적어도 하나가 서비스 서버(400)로 공격을 수행하면, 제1네트워크 장치(520)는 제2네트워크 장치(530)로 데이터를 전송한다. 제2네트워크 장치(530)는 전송되는 데이터의 트래픽을 모니터링하여, DDoS 공격으로 의심되는 데이터, 즉, 의심데이터를 검출한다. 제2네트워크 장치(530)는 검출된 의심데이터를 보안 장비(300)와 미리 약속된 방식으로 표시하고, 의심데이터를 보안 장비(300)로 전달한다.
보안 장비(300)는 의심데이터를 정밀 분석하여 공격 패턴을 판단하고, 방어 동작에 대한 정보를 포함하는 분석 결과를 제2네트워크 장치(530)에게 전송한다. 이 때, 보안 장비(300)는 네트워크 인입단 장치에서 트래픽의 DDoS 공격을 차단하도록, 제2네트워크 장치(530)에게 요청한다. 이로써, 제2네트워크 장치(530)는 수신된 분석 결과에 포함된 방어 동작에 대한 정보를 네트워크 관제 시스템(510)으로 전송하며, 네트워크 관제 시스템(510)은 방어 동작에 대한 정보를 이용하여 공격을 차단하도록 제1네트워크 장치(520)를 제어할 수 있다.
도 6은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 공격패턴 및 방어를 위한 룰을 설정하는 방법을 설명하기 위한 흐름도이다.
도 6의 방법은 도 1 또는 도 5를 참조하여 설명한 네트워크 장치(200, 530)에의해 수행될 수 있다.
610단계에서, 네트워크 장치는 관리자에 의해 입력되는 공격 패턴 및 허용 패턴을 등록할 수 있다. 공격 패턴은 외부 기기들로부터 입력되는 데이터의 공격 패턴이며, 허용 패턴은 입력되는 데이터가 공격 데이터가 아님을 판단하기 위한 패턴이다.
620단계에서, 네트워크 장치는 외부 기기들로부터 입력되는 공격으로 의심되는 데이터를 방어할 때 사용할 수 있는 룰을 설정할 수 있다. 기 설정되는 룰은 트래픽에 대한 대역폭 삭감(rate limit), 트래픽의 완전 차단(dropping) 및 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함할 수 있다.
도 7 및 도 8은 본 발명의 일 실시예에 따른 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.
도 7 및 도 8의 방법은 도 1 또는 도 5를 참조하여 설명한 네트워크 장치(200, 530)에의해 수행될 수 있다.
705단계에서, 네트워크 장치는 외부 기기들로부터 서비스 서버로 포워딩되는 데이터의 트래픽을 모니터링하고, 입력된 데이터의 플로우(flow) 정보에 기초하여, 입력된 데이터의 발생 패턴을 확인할 수 있다.
710단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있는 공격 패턴에 해당하는지 판단할 수 있다.
715단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있는 공격 패턴이면, 입력된 데이터를 DDoS 공격으로 의심되는 의심데이터로 결정할 수 있다. 입력된 데이터의 발생 패턴은, 단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정될 수 있다.
720단계에서, 식별표시모드가 네트워크 장치에 설정되어 있으면, 725단계에서, 네트워크 장치는 이상 징후 데이터임을 의미하는 식별자를 검출된 데이터에 표시할 수 있다. 예를 들어, 네트워크 장치는 헤더를 추가하거나 마킹을 이용할 수 있다.
730단계에서, 네트워크 장치는 식별자가 표시된 의심데이터를 보안 장비에게 전송할 수 있다.
반면, 식별표시모드가 설정되어 있지 않으면, 735단계에서, 네트워크 장치는 의심데이터 및 의심데이터의 플로우 정보를 보안 장비에게 전송할 수 있다. 플로우 정보는 의심데이터의 소스 어드레스, 목적지 어드레스 및 포트 넘버 중 적어도 하나를 포함할 수 있다.
740단계에서, 네트워크 장치는 네트워크 장치에 기설정된 룰이 존재하면, 745단계에서, 기설정된 룰에 따라 공격을 방어할 수 있다. 즉, 네트워크 장치는 기설정된 룰을 이용하여 트래픽을 제어할 수 있다.
750단계에서, 745단계를 수행하는 중 보안 장비로부터 분석결과를 수신하면, 755단계에서, 네트워크 장치는 기설정된 룰과 분석결과에 포함된 방어 동작에 대한 정보가 동일한지 판단한다.
동일하면, 네트워크 장치는 745단계를 유지한다.
동일하지 않으면, 네트워크 장치는 후술할 765단계를 수행한다.
반면, 760단계에서, 네트워크 장치는 보안 장비로부터 분석 결과를 수신하고, 분석 결과에 포함된 공격 패턴을 네트워크 장치 내에 등록할 수 있다.
765단계에서, 네트워크 장치는 분석 결과에 포함된 방어 동작을 이용하여 트래픽에 의한 공격을 방어하고, 방어 동작을 네트워크 장치 내에 등록할 수 있다.
한편, 710단계에서, 네트워크 장치는 확인된 발생 패턴이 공격 패턴 등록부에 등록되어 있지 않으면, 810단계를 수행한다.
도 8을 참조하면, 810단계에서, 네트워크 장치는 입력된 데이터를 보안 장비로 전송한다.
820단계에서, 네트워크 장치는 보안 장비로부터 데이터에 대한 분석 결과를 수신한다.
830단계에서, 분석 결과를 확인한 결과 입력된 데이터가 허용데이터이면, 840단계에서, 네트워크 장치는 분석 결과에 포함된 허용 패턴을 네트워크 장치 내에 등록할 수 있다.
850단계에서, 네트워크 장치는 입력되는 데이터를 지속적으로 보안 장비에게 전송한다.
반면, 분석 결과를 확인한 결과 입력된 데이터가 허용데이터가 아니면, 860단계에서, 네트워크 장치는 분석 결과에 포함된 공격 패턴을 네트워크 장치 내에 등록할 수 있다.
870단계에서, 네트워크 장치는 분석 결과에 포함된 방어 동작을 이용하여 트래픽에 의한 공격을 방어하고, 방어 동작을 네트워크 장치 내에 등록할 수 있다.
도 9는 본 발명의 일 실시예에 따른 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법을 설명하기 위한 흐름도이다.
도 9의 방법은 도 1 또는 도 5를 참조하여 설명한 보안 장비(300)에 의해 수행될 수 있다.
910단계에서, 보안 장비는 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신한다.
920단계에서, 보안 장비는 수신된 데이터가 DDoS 공격으로 의심되는 의심데이터인지 확인할 수 있다. 구체적으로, 보안 장비는 910단계에서 수신된 데이터의 플로우 정보 또는, 데이터에 표시된 마킹 정보에 기초하여 데이터가 의심데이터인지 여부를 확인할 수 있다.
930단계에서, 보안 장비는 데이터가 DDoS 공격으로 의심되면, 즉, 의심데이터로 확인되면, 데이터를 정밀분석하여 DDoS 공격인지 여부를 판단할 수 있다. 데이터에 대한 정밀 분석결과는, 데이터에 대한 공격 패턴에 대한 정보 및 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함할 수 있다.
940단계에서, 930단계의 분석 결과 의심데이터가 공격 패턴을 가지는 데이터로 확인되면, 950단계에서, 보안 장비는 공격 패턴 및 방어 동작을 포함하는 분석 결과를 네트워크 장치에게 전송한다.
반면, 930단계의 분석 결과 의심데이터가 공격 패턴을 가지는 데이터로 확인되면, 960단계에서, 보안 장비는 허용 패턴을 포함하는 분석 결과를 네트워크 장치에게 전송한다.
한편, 920단계에서 의심데이터가 아닌 것으로 확인되면, 970단계에서, 데이터가 공격 패턴을 가지는지 여부를 확인하기 위해 데이터를 분석한다.
분석 결과에 따라, 보안 장비는, 940단계 내지 960단계를 수행한다.
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
200: 네트워크 장치 210: 제1통신부
220: 공격 패턴 등록부 230: 방어 동작 등록부
240: 데이터 모니터링부 250: 식별 표시부
260: 제1제어부

Claims (19)

  1. 네트워크 장치에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
    서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 단계;
    상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 단계;
    '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 단계
    를 포함하는 분산서비스거부 공격에 대한 협업형 방어 방법.
  2. 제1항에 있어서,
    상기 검출하는 단계는,
    입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하는 단계;
    상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 단계; 및
    상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 단계를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  3. 제2항에 있어서,
    상기 입력된 데이터의 발생 패턴은,
    단위 시간당 입력되는 데이터의 양, 동일 사이즈를 갖는 데이터의 반복 발생 여부, 특정 기능을 위한 데이터의 반복 발생 여부 중 적어도 하나에 기초하여 결정되는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  4. 제1항에 있어서,
    상기 알려주는 단계는,
    상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 단계; 및
    이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는 단계를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  5. 제1항에 있어서,
    상기 알려주는 단계는,
    상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함-를 상기 보안 장비로 제공하는 단계; 및
    상기 검출된 데이터를 상기 보안 장비로 전달하는 단계를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  6. 제1항에 있어서,
    상기 검출된 데이터에 대한 분석결과는 상기 검출된 데이터의 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  7. 제6항에 있어서,
    상기 방어 동작에 대한 정보는 상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  8. 제1항에 있어서,
    상기 제1 동작은,
    상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하는 단계; 및
    상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하는 단계를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  9. 제8항에 있어서,
    상기 트래픽의 분산서비스거부 공격을 차단하는 단계는,
    상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 단계; 및
    네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는 단계를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  10. 제1항에 있어서,
    상기 기 설정된 룰은
    상기 트래픽에 대한 대역폭 삭감(rate limit), 상기 트래픽의 완전 차단(dropping), 상기 트래픽에 대한 확률적 차단(dropping probability) 중 적어도 하나를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  11. 보안 장비에 의해 수행되는, 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어 방법에 있어서,
    서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 수행하는 네트워크 장치로부터 데이터를 수신하는 단계;
    상기 네트워크 장치로부터 제공된 상기 데이터의 플로우 정보 또는, 상기 데이터에 표시된 마킹 정보에 기초하여 상기 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터인지 여부를 확인하는 단계;
    상기 데이터가 상기 분산서비스거부 공격으로 의심되면 상기 데이터를 정밀분석하여 상기 분산서비스거부 공격인지 여부를 판단하는 단계; 및
    상기 데이터에 대한 정밀 분석결과를 상기 네트워크 장치로 전송하는 단계를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  12. 제11항에 있어서,
    상기 데이터에 대한 정밀 분석결과는,
    상기 데이터에 대한 공격 패턴에 대한 정보 및 상기 네트워크 장치가 수행할 방어 동작에 대한 정보를 포함하는,
    분산서비스거부 공격에 대한 협업형 방어 방법.
  13. 서비스 서버로 포워딩되는 트래픽에 대한 모니터링을 통해 상기 분산서비스거부 공격으로 의심되는 데이터를 검출하는 데이터 모니터링부;
    상기 검출된 데이터가 상기 분산서비스거부 공격으로 의심되는 데이터임을 보안 장비로 알려주는 통신부; 및
    '상기 보안 장비로부터 상기 검출된 데이터에 대한 분석결과를 수신하고 상기 분석결과에 따라서 상기 트래픽을 제어하는 제1동작' 또는, '상기 제1동작의 수행 전에 상기 트래픽을 기 설정된 룰에 따라서 제어하는 제2동작' 중 적어도 하나를 수행하는 제어부
    를 포함하는 분산서비스거부(Distributed Denial of Service) 공격에 대한 협업형 방어를 위한 네트워크 장치.
  14. 제13항에 있어서,
    상기 데이터 모니터링부는,
    입력된 데이터의 플로우(flow) 정보에 기초하여 상기 입력된 데이터의 발생 패턴을 확인하고, 상기 확인된 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하는지 여부를 판단하는 패턴 판단부; 및
    상기 입력된 데이터의 발생 패턴이 상기 네트워크 장치에 등록되어 있는 공격 패턴에 해당하면 상기 입력된 데이터를 상기 분산서비스거부 공격으로 의심되는 데이터로 결정하는 의심 데이터 결정부
    를 포함하는, 분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.
  15. 제13항에 있어서,
    상기 네트워크 장치와 보안 장비간에 약속된 방식에 따라서 상기 검출된 데이터에 이상 징후 데이터임을 표시하는 식별 표시부;
    를 더 포함하며,
    상기 통신부는, 상기 이상 징후 데이터로 표시된 데이터를 보안 장비로 전달(forwarding)하는,
    분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.
  16. 제13항에 있어서,
    상기 통신부는, 상기 검출된 데이터의 플로우 정보-상기 플로우 정보는 소스 어드레스, 목적지 어드레스, 포트 넘버 중 적어도 하나를 포함함- 및 상기 검출된 데이터를 상기 보안 장비로 전달하는,
    분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.
  17. 제13항에 있어서,
    상기 제어부는,
    상기 분석결과가 상기 분산서비스거부 공격의 공격 패턴인 경우 상기 분석결과에 포함된 공격 패턴을 등록하고, 상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작에 따라서 상기 트래픽의 분산서비스거부 공격을 차단하여, 상기 제1동작을 수행하는,
    분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.
  18. 제17항에 있어서,
    상기 분석결과에 포함된 상기 트래픽에 대한 방어 동작을 등록하는 방어 동작 등록부
    를 더 포함하는,
    분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.
  19. 제17항에 있어서,
    상기 제어부는,
    네트워크 인입단 장치에서 상기 트래픽의 분산서비스거부 공격을 차단하도록 상기 방어 동작에 대한 정보를 네트워크 관제 시스템으로 전송하는,
    분산서비스거부 공격에 대한 협업형 방어를 위한 네트워크 장치.
KR1020100078305A 2009-09-22 2010-08-13 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 KR101380015B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/882,557 US20110072515A1 (en) 2009-09-22 2010-09-15 Method and apparatus for collaboratively protecting against distributed denial of service attack

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020090089575 2009-09-22
KR20090089575 2009-09-22

Publications (2)

Publication Number Publication Date
KR20110033018A true KR20110033018A (ko) 2011-03-30
KR101380015B1 KR101380015B1 (ko) 2014-04-14

Family

ID=43937672

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100078305A KR101380015B1 (ko) 2009-09-22 2010-08-13 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR101380015B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법
KR20140071776A (ko) * 2012-12-04 2014-06-12 한국전자통신연구원 무선랜 침입 탐지 방법 및 시스템
KR101468601B1 (ko) * 2014-03-13 2014-12-03 한국전자통신연구원 웹 서버/웹 어플리케이션 서버 보안 관리 장치 및 방법
KR101626293B1 (ko) * 2015-04-13 2016-06-01 한국전자통신연구원 접근제어리스트 생성 및 검증 장치, 및 방법
KR20170056876A (ko) * 2015-11-16 2017-05-24 주식회사 마크애니 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템
CN113992421A (zh) * 2021-11-03 2022-01-28 北京天融信网络安全技术有限公司 一种报文处理方法、装置及电子设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100609684B1 (ko) * 2003-12-26 2006-08-08 한국전자통신연구원 네트워크 시스템에서의 서비스 거부 공격 방지 장치 및 그방법
JP4322179B2 (ja) * 2004-07-07 2009-08-26 日本電信電話株式会社 サービス拒絶攻撃防御方法およびシステム
KR20080067549A (ko) * 2007-01-16 2008-07-21 유넷시스템주식회사 거짓 분산서비스거부공격 트래픽 유발 내부 네트워크 호스트 실시간 탐지 시스템 및 방법
KR100908404B1 (ko) 2008-09-04 2009-07-20 (주)이스트소프트 분산서비스거부공격의 방어방법 및 방어시스템

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법
KR20140071776A (ko) * 2012-12-04 2014-06-12 한국전자통신연구원 무선랜 침입 탐지 방법 및 시스템
KR101468601B1 (ko) * 2014-03-13 2014-12-03 한국전자통신연구원 웹 서버/웹 어플리케이션 서버 보안 관리 장치 및 방법
US9444830B2 (en) 2014-03-13 2016-09-13 Electronics And Telecommunications Research Institute Web server/web application server security management apparatus and method
KR101626293B1 (ko) * 2015-04-13 2016-06-01 한국전자통신연구원 접근제어리스트 생성 및 검증 장치, 및 방법
KR20170056876A (ko) * 2015-11-16 2017-05-24 주식회사 마크애니 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템
CN113992421A (zh) * 2021-11-03 2022-01-28 北京天融信网络安全技术有限公司 一种报文处理方法、装置及电子设备
CN113992421B (zh) * 2021-11-03 2023-08-29 北京天融信网络安全技术有限公司 一种报文处理方法、装置及电子设备

Also Published As

Publication number Publication date
KR101380015B1 (ko) 2014-04-14

Similar Documents

Publication Publication Date Title
US20110072515A1 (en) Method and apparatus for collaboratively protecting against distributed denial of service attack
US10187422B2 (en) Mitigation of computer network attacks
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
KR101231975B1 (ko) 차단서버를 이용한 스푸핑 공격 방어방법
KR101380015B1 (ko) 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치
KR101219796B1 (ko) 분산 서비스 거부 방어 장치 및 그 방법
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
KR20140093060A (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
KR100858271B1 (ko) 분산서비스거부공격 차단장치 및 그 방법
JP2006243878A (ja) 不正アクセス検知システム
JP2006350561A (ja) 攻撃検出装置
WO2020176174A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
Moon et al. RTNSS: a routing trace-based network security system for preventing ARP spoofing attacks
CN113411296B (zh) 态势感知虚拟链路防御方法、装置及系统
CN112491911B (zh) Dns分布式拒绝服务防御方法、装置、设备及存储介质
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
KR101231966B1 (ko) 장애 방지 서버 및 방법
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP2008011008A (ja) 不正アクセス防止システム
KR101375840B1 (ko) 악성코드 침입 방지시스템 및 악성코드 침입 방지시스템의 동작 방법
US11824831B2 (en) Hole punching abuse
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
Jansky et al. Hunting sip authentication attacks efficiently

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170321

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee