KR20110065273A - Method and system for ddos traffic detection and traffic mitigation using flow statistic - Google Patents

Method and system for ddos traffic detection and traffic mitigation using flow statistic Download PDF

Info

Publication number
KR20110065273A
KR20110065273A KR1020100055496A KR20100055496A KR20110065273A KR 20110065273 A KR20110065273 A KR 20110065273A KR 1020100055496 A KR1020100055496 A KR 1020100055496A KR 20100055496 A KR20100055496 A KR 20100055496A KR 20110065273 A KR20110065273 A KR 20110065273A
Authority
KR
South Korea
Prior art keywords
traffic
statistical information
flow
distributed denial
service attack
Prior art date
Application number
KR1020100055496A
Other languages
Korean (ko)
Other versions
KR101352553B1 (en
Inventor
김학서
강경순
전기철
김봉태
안병준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US12/946,849 priority Critical patent/US20110138463A1/en
Publication of KR20110065273A publication Critical patent/KR20110065273A/en
Application granted granted Critical
Publication of KR101352553B1 publication Critical patent/KR101352553B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A DDoS attack detection and traffic reduction method using per-flow statistical information, and a system thereof are provided to quickly report DDoS traffic to a policy management server. CONSTITUTION: A router processes first statistical information to second statistical information(S303). A router confirms the change rate of the second statistical information(S304). In case the change rate exceeds a set threshold rate, the router decides a DDoS(Distributed Denial of Service) attack(S305). The router reports a DDoS attack generation event to a policy management server(S307). The router performs a rate limit function for the reduction of the traffic(S308).

Description

플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDOS) 탐지 및 트래픽 경감 방법 및 그 시스템{Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic}Distributed denial of service attack (DOS) detection and traffic mitigation method using flow-specific statistical information and method thereof {Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic}

본 발명은 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감 방법 및 그 시스템에 관한 것이다.The present invention relates to a distributed denial of service attack (DDoS) detection and traffic mitigation method and system using the statistical information for each flow.

본 발명은 지식경제부의 IT성장동력사업의 일환으로 수행한 연구로부터 도출된 것이다.[과제관리번호: 2009-S-020-01, 과제명: 차세대 유무선 융합 게이트웨이 기술 개발]The present invention is derived from a study conducted as part of the IT growth engine business of the Ministry of Knowledge Economy. [Task management number: 2009-S-020-01, Title: Development of next generation wired / wireless convergence gateway technology]

일반적으로 분산 서비스 거부 공격(Distributed Denial Of Sevice, DDoS)은 악의적인 공격자가 인터넷 상의 웹 서비스 제공 서버와 같은 목표 시스템과 그 시스템이 속한 네트워크로 순간적으로 다량의 데이터를 보냄으로써 해당 시스템 및 네트워크가 정상적으로 동작하지 못하게 하는 것을 의미한다.In general, Distributed Denial Of Sevice (DDoS) allows a malicious attacker to send a large amount of data instantaneously to a target system, such as a web service providing server on the Internet, and to the network to which the system belongs. It means not working.

도 1은 일반적인 분산 서비스 거부 공격(DDoS)의 예를 나타내는 네트워크 구성도이다.1 is a network diagram illustrating an example of a general distributed denial of service attack (DDoS).

공격 단말(100)은 좀비 PC와 같이 악성 바이러스등에 감염되어 공격대상서버(500)로 다량의 트래픽을 발생한다. 일반적으로 라우터(200)는 유입되는 모든 트래픽을 DDoS 방어 시스템(300), IPS 방어 시스템(400), 공격대상서버(500)등이 있는 네트워크로 보내게 된다. 이 때, 라우터(200)의 뒤에 위치한 각종 장비들은 너무나 많은 공격성 트래픽의 유입으로 인해 자신의 기능을 제대로 수행하지 못하고 다운되거나 부하가 심하여 정상적인 사용자의 트래픽을 서비스하지 못하게 된다. 또한, 다량의 공격성 트래픽으로 인하여 네트워크 전체에 트래픽이 증가함으로써 값비싼 자원을 효율적으로 사용하지 못하게 되는 문제점이 발생한다. The attack terminal 100 is infected with a malicious virus such as a zombie PC and generates a large amount of traffic to the target server 500. In general, the router 200 sends all incoming traffic to a network including the DDoS defense system 300, the IPS defense system 400, and the target server 500. At this time, various devices located behind the router 200 fail to properly perform their functions due to the influx of too much aggressive traffic and are unable to service traffic of a normal user due to a heavy down load. In addition, due to the large amount of aggressive traffic, there is a problem in that it is impossible to efficiently use expensive resources by increasing traffic throughout the network.

이러한 공격을 위한 트래픽 종류는 TCP SYN Flooding, ICMP Flooding, UDP Flooding 등이 있다. Traffic types for such attacks include TCP SYN Flooding, ICMP Flooding, and UDP Flooding.

TCP SYN Flooding 공격은 서버에게 계속해서 SYN 패킷만을 보냄으로서 서버가 많은 TCP 연결을 맺게 하여 서버의 자원을 고갈시키게 하는 공격이다. 이러한 공격 형태는 외관상 정상적인 트래픽의 흐름으로 보이기 때문에 이런 공격을 탐지하는 것은 상당히 어려운 문제이다. 현존하는 탐지 방법으로는 DDoS 공격을 완벽히 탐지하지 못하고 공격이 발생한 후 많은 시간이 경과한 후에야 공격 여부를 인식하고 대응하기 때문에 상당한 시간 동안 정상적인 서비스를 제공하지 못한다. The TCP SYN Flooding attack is an attack that sends out only SYN packets to the server, causing the server to make many TCP connections and exhaust the server's resources. Since this type of attack appears to be a normal flow of traffic, it is quite difficult to detect such an attack. Existing detection methods do not fully detect DDoS attacks, and recognize and respond to attacks only after many hours have elapsed.

한편, 종래의 공격 탐지 방법은 송신지(source/attacker)측면에서 탐지하는 방법, 목적지(destination/victim)측면에서 탐지하는 방법, 코어 네트워크에서 감지하는 방법이 있다. 대표적인 기술로는 푸시백(pushback)기법과 IP 역추적(traceback) 기법을 들 수 있다. On the other hand, the conventional attack detection method is a method of detecting at the source (attachment / side) side, a method of detection at the destination (destination / victim) side, a method of detecting in the core network. Typical technologies include pushback techniques and IP traceback techniques.

그 중에서 푸시백(pushback) 기법은 네트워크상의 개별 라우터의 패킷 버림(packet drop)통계를 관찰하여 공격을 탐지한다. 좀비 PC와 같은 공격자에 의해 발생된 DDoS 공격은 여러 경로를 거쳐 목적지에 도착하게 되므로, 공격 패킷이 증가하는 목적지 근처의 라우터에서는 많은 량의 패킷 버림 현상이 발생한다. 즉, 이런 경우 목적지 근처의 라우터는 패킷을 보낸 경로로 푸시백 메시지를 전달하고, 이 메시지를 수신한 다른 라우터는 해당 트래픽의 전달을 차단하고, 계속해서 패킷이 온 경로를 향해 푸시백 메시지를 전달함으로써 전체적으로 공격 패킷을 차단할 수 있는 것이다. Among them, pushback technique detects attacks by observing packet drop statistics of individual routers on the network. Since DDoS attacks caused by attackers such as zombie PCs arrive at their destinations through various paths, a large amount of packet dropping occurs at routers near the destination where attack packets increase. That is, in this case, the router near the destination forwards the pushback message along the path from which the packet was sent, the other router that received the message blocks the delivery of that traffic, and continues forwarding the pushback message toward the path the packet came from. By doing so, you can block attack packets as a whole.

그러나, 기존의 푸시백 기법은 많은 좀비 PC에서 이루어지는 현재의 DDoS 공격 추세에 적절히 대응하기 어려운 문제가 있다. 왜냐하면 네트워크상에는 공격 PC들이 분산되어 있으므로 모든 개별 라우터에 푸시백 메시지를 전달하는 것은 많은 시간과 자원이 소모된다. 따라서, 푸시백 메시지를 전달하는 것이 오히려 네트워크에 부하를 가중시키는 결과를 초래하는 문제가 발생한다.However, the existing pushback technique has a problem that it is difficult to adequately cope with the current DDoS attack trends that are performed on many zombie PCs. Because there are distributed attack PCs on the network, delivering pushback messages to all individual routers can be time-consuming and resource-intensive. Thus, a problem arises that the delivery of pushback messages results in loads on the network.

IP 역추적(traceback) 기법은 공격 대상 시스템 관리자에게 DDoS 공격의 실제적인 공격 근원지 IP 주소를 알려주는 기능을 제공한다. IP 역추적 기법은 크게 패킷을 중심으로 마킹 방법론을 사용한 기법, ICMP(Internet Control Message Protocol) 프로토콜과 같은 프로토콜 등에 대한 변형을 통해 근원지 패킷의 전달 경로 정보를 관리하는 기법 및 네트워크 망 구조 측면에서의 관리 프로토콜을 응용한 기법 등으로 구분된다. 그리고, 공격에 대한 대응 방식에 따라 전향적 역추적 기술과 대응적 역추적 기술로 구분된다. The IP traceback technique provides the target system administrator with the IP address of the actual attack source of the DDoS attack. IP traceback technique is mainly a packet-based marking methodology, a method of managing the forwarding path information of the source packet through modifications to protocols such as the Internet Control Message Protocol (ICMP) protocol, and management in terms of network structure It is divided into techniques using protocols. In addition, according to the response method to the attack, it is divided into a forward and backward tracking technology.

그러나, IP 역추적 기법은 현재의 다단계 공격 형태를 가지는 상황에서 근원지 IP 주소를 알아내는데 많은 문제점을 가진다. 또한, 역추적을 위해서는 라우터내에 많은 메모리를 가져야 하며, 라우터가 많은 량의 정보를 처리해야 하므로 라우터의 성능에 많은 부정적 영향을 초래한다. 그리고, 실제 트래픽을 차단하기 위해서 많은 시간이 경과하게 되는 단점이 있다.However, the IP traceback technique has a lot of problems in finding the source IP address in the situation of the current multi-level attack form. In addition, backtracking requires a lot of memory in the router, and since the router must process a large amount of information, it causes a lot of negative effects on the performance of the router. And, there is a disadvantage that a lot of time passes to block the actual traffic.

이처럼 기존의 DDoS 탐지 방식들은 DDoS 공격 여부를 확인하기 위해 많은 시간과 자원이 소요되며, 막대한 량의 공격 트래픽으로부터 공격대상서버를 보호하지 못하는 문제점이 있다. 따라서, DDoS 공격 혹은 비정상적인 트래픽 발생을 신속히 판단하고 그에 대처할 수 있는 방안이 절실히 요구된다.As such, the existing DDoS detection methods take a lot of time and resources to determine whether the DDoS attack, and there is a problem that can not protect the target server from a large amount of attack traffic. Therefore, there is an urgent need for a method to quickly determine and cope with DDoS attacks or abnormal traffic generation.

따라서 본 발명은 상기 문제점을 해결하기 위한 것으로 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS)의 신속한 탐지와 그에 따른 트래픽을 경감하는 방법 및 그 시스템을 제공하기 위한 것이다.Accordingly, an object of the present invention is to provide a method and system for quickly detecting a distributed denial of service attack (DDoS) using traffic statistics and reducing traffic accordingly.

전술한 기술 과제를 해결하기 위한, 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법은,In order to solve the above technical problem, a distributed denial of service attack detection and traffic reduction method using statistical information for each flow according to an embodiment of the present invention,

a) 네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하는 단계; b) 상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 단계; c) 상기 제2 통계정보의 변화비율을 계산하여 상기 변화비율이 미리 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 단계; 및 d) 상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 단계를 포함한다.a) collecting first statistical information for each flow based on flow information generated according to the movement of traffic of a device connecting a network; b) grouping the first statistical information for each flow by flow and classifying the flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number; c) calculating a change rate of the second statistical information and determining that the change rate is a distributed denial of service attack when the change rate exceeds a preset threshold rate; And d) performing a rate limit function according to the determination to limit the amount of movement of the traffic according to a preset policy.

여기에, 상기 d) 단계는, 상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 상기 분산 서비스 거부 공격 발생 이벤트를 보고하는 단계를 더 포함한다.Here, the step d) may further include reporting the distributed denial of service attack event to a policy management server managing a network policy according to the determination.

한편, 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격 탐지 및 트래픽 경감 시스템은,On the other hand, the distributed denial of service attack detection and traffic reduction system using the statistical information for each flow according to an embodiment of the present invention,

네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하는 플로우 통계정보 수집부; 상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 통계정보 가공부; 상기 제2 통계정보의 변화비율을 계산하여 상기 변화비율이 미리 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 판단부; 및 상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 제어부를 포함한다.A flow statistics information collecting unit for collecting first statistical information for each flow based on flow information generated according to traffic movement of a device connecting a network; A statistical information processing unit which aggregates the first statistical information for each flow and divides each flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number; A determination unit calculating a change rate of the second statistical information and determining that the change rate exceeds a preset threshold rate as a distributed denial of service attack; And a controller configured to limit the amount of movement of the traffic according to a preset policy by performing a rate limit function according to the determination.

여기에, 라우터 시스템의 라인카드의 인터페이스에서 수신되는 패킷을 라우팅 테이블에서 검색하여 상기 패킷을 해당 목적 노드로 전달하며, 상기 패킷을 복수의 튜플(tuple)로 구분되는 플로우 정보를 생성하는 패킷 포워딩 처리부; 및 상기 라우팅 테이블과 상기 제2 통계정보를 가지는 통계정보 테이블이 저장되는 데이터베이스를 더 포함한다.The packet forwarding processor retrieves a packet received at a line card interface of a router system from a routing table, delivers the packet to a corresponding node, and generates a packet of flow information divided into a plurality of tuples. ; And a database in which a statistical information table having the routing table and the second statistical information is stored.

전술한 구성에 의하여 본 발명에 따르면 네트워크 상의 개별 라우터에서 플로우별 통계정보를 이용하여 실시간으로 DDoS 의심 트래픽을 확인하고, 이를 네트워크를 관리하는 정책 관리 서버에 신속히 보고하여 정책 관리 서버에서 DDoS 발생에 빠른 대응을 가능하게 하는 효과가 있다.According to the present invention, according to the present invention, the DDoS suspicious traffic is checked in real time by using the statistical information for each flow in individual routers on the network, and it is quickly reported to the policy management server managing the network, so that the policy management server can quickly generate DDoS. This has the effect of enabling correspondence.

또한, 정책 서버가 없는 상황에서도 자체적인 다량의 유입 트래픽을 감소시키거나 차단하여 네트워크 내의 각종 장비가 지속적으로 서비스 가능하게 하는 효과를 기대할 수 있다.In addition, even in the absence of a policy server, it can be expected to reduce or block a large amount of inflow traffic of its own so that various equipment in the network can be continuously serviced.

도 1은 일반적인 분산 서비스 거부 공격(DDoS)의 예를 나타내는 네트워크 구성도이다.
도 2는 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 시스템을 갖는 라우터를 개략적으로 나타낸 블록도이다.
도 3은 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 방법을 나타낸 흐름도이다.1 is a network diagram illustrating an example of a general distributed denial of service attack (DDoS).
2 is a block diagram schematically illustrating a router having a DDoS detection and traffic reduction system using statistical information for each flow according to an embodiment of the present invention.
3 is a flowchart illustrating a DDoS detection and traffic reduction method using statistical information for each flow according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. In addition, the terms “… unit”, “… unit”, “module”, etc. described in the specification mean a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software. have.

이제 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감 방법 및 그 시스템에 대하여 도면을 참조로 하여 상세하게 설명한다.Now, a distributed denial of service attack (DDoS) detection and traffic reduction method using the statistical information for each flow according to an embodiment of the present invention and a system thereof will be described in detail with reference to the accompanying drawings.

본 발명은 플로우 기반 라우터에서 플로우별 통계정보를 이용하여 단위 시간당 통계정보의 변화 비율을 이용하여 DDoS 공격에 대한 신속한 탐지를 수행한다. 그리고, DDoS 공격 탐지시 네트워크 자원의 고갈을 방지하고자 유입되는 트래픽의 감소를 위해서 네트워크 정책 서버(미도시)로 보고할 수 있으며, 빠른 대처를 위하여 유입 트래픽에 레이트 리미트(rate-limit) 기능을 설정하여 트래픽 량을 감소시키는 역할을 한다. The present invention performs a rapid detection of DDoS attack using the rate of change of statistical information per unit time using the statistical information for each flow in the flow-based router. When DDoS attack is detected, it can report to the network policy server (not shown) to reduce the inflow of traffic to prevent the depletion of network resources, and set the rate-limit function on the inflow traffic for quick response. To reduce traffic volume.

도 1의 분산 서비스 거부 공격(DDoS)의 예를 나타내는 네트워크 구성을 참조하면, 공격 단말(100)은 악성 바이러스에 감염된 좀비 PC로 유선 혹은 무선 인터넷을 통해 연결되는 소스 노드들이다. 공격대상서버(500)는 소스 노드의 접속에 따른 다양한 서비스를 제공하는 사업자의 서버이다.Referring to a network configuration illustrating an example of a distributed denial of service attack (DDoS) of FIG. 1, the attack terminals 100 are source nodes connected to a zombie PC infected with a malicious virus through a wired or wireless Internet. The target server 500 is a server of an operator that provides various services according to access of a source node.

여기에, 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감 시스템은 라우터(200)에 적용될 수 있다.Here, the distributed denial of service attack (DDoS) detection and traffic reduction system using statistical information for each flow according to an embodiment of the present invention may be applied to the router 200.

즉, 도 1의 라우터(200)는 본 발명의 실시 예에 따른 DDoS 탐지 및 트래픽 경감 시스템이 탑재되어 DDoS 공격발생시 신속히 공격 트래픽을 탐지하고, 네트워크 정책 서버로 보고한다. 또한, 탐지된 트래픽에 대하여 레이트 리미트(rate-limit) 기능을 통해 트래픽량을 감소시킴으로써 네트워크 내의 각종 장비들(예; 300, 400, 500)을 보호할 수 있다.That is, the router 200 of FIG. 1 is equipped with a DDoS detection and traffic reduction system according to an embodiment of the present invention to quickly detect attack traffic when a DDoS attack occurs, and report to a network policy server. In addition, it is possible to protect various devices (eg, 300, 400, 500) in the network by reducing the traffic volume through a rate-limit function on the detected traffic.

이하, 본 발명의 실시 예에서는 편의상 DDoS 탐지 및 트래픽 경감 시스템이 라우터(200)에 탑재된 것으로 설명 한다. 그러나, DDoS 탐지 및 트래픽 경감 시스템이 라우터(200)에 탑재 적용되는 것만으로 한정되지 않으며 별도의 독립된 장치로 구성하여 라우터뿐 아니라 트래픽 관리가 가능한 다른 네트워크 장치와 연동하거나 그 시스템에 적용될 수도 있다.Hereinafter, in the embodiment of the present invention, a DDoS detection and traffic reduction system is described as being mounted in the router 200 for convenience. However, the DDoS detection and traffic reduction system is not limited to being applied to the router 200 and may be configured as a separate independent device and interworked with the router as well as other network devices capable of traffic management or applied to the system.

한편, 도 2는 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 시스템을 갖는 라우터를 개략적으로 나타낸 블록도이다.On the other hand, Figure 2 is a block diagram schematically showing a router having a DDoS detection and traffic reduction system using the flow-specific statistical information according to an embodiment of the present invention.

첨부된 도 2를 참조하면, 본 발명의 실시 예에 따른 라우터(200)는 패킷 포워딩(Packet Forwarding) 처리부(210), 플로우 통계정보 수집부(220), 통계정보 가공부(230), 데이터베이스(240), DDoS 판단부(250) 및 제어부(260)를 포함한다.Referring to FIG. 2, the router 200 according to an embodiment of the present invention may include a packet forwarding processor 210, a flow statistics information collector 220, a statistics information processor 230, and a database ( 240, the DDoS determination unit 250 and the control unit 260.

패킷 포워딩 처리부(210)는 라우터 시스템의 라인카드의 인터페이스에서 수신되는 패킷을 데이터베이스(240)에 저장된 라우팅 테이블에서 검색(Look-up)하여 패킷을 해당 목적지로 전달하는 기능을 수행한다. 또한, 패킷 포워딩 처리부(210)는 패킷을 5가지 튜플(5-tuple)로 구분되는 플로우(Flow) 기반으로 처리(생성)한다. 그리고, 각 플로우 별로 첫 번째 패킷, 중간 n번째 패킷, 플로우 종료 패킷을 플로우 통계정보 수집부(220)로 전달하는 역할을 한다.The packet forwarding processor 210 looks up the packet received at the interface of the line card of the router system in the routing table stored in the database 240 and delivers the packet to the corresponding destination. In addition, the packet forwarding processor 210 processes (generates) a packet based on a flow divided into five tuples (5-tuples). In addition, the first packet, the middle n-th packet, and the flow end packet are transmitted to the flow statistics information collecting unit 220 for each flow.

여기서, 상기 플로우는 IP 패킷의 헤더 정보인 소스 주소(Source Address), 목적지 주소(Destination Address), 소스 포트(Source Port), 목적지 포트(Destination Port) 및 프로토콜 ID와 같은 5가지 튜플(5-tuple)에 근거하여 같은 정보를 갖는 패킷을 모아 구성한 것을 의미한다.Here, the flow includes five tuples (5-tuple) such as a source address, a destination address, a source port, a destination port, and a protocol ID, which are header information of an IP packet. Means that packets with the same information are collected and configured.

패킷 포워딩 처리부(210)는 상기 플로우를 사용목적에 따라 전술한 5가지 튜플이 모두 동일한 패킷들만 모아서 구성할 수 있고, 5개의 튜플 중 일부만이 동일한 패킷을 모아서 구성할 수도 있다. 예컨대, 소스 주소, 목적지 주소, 소스 포트, 목적지 포트 및 프로토콜 ID가 모두 동일한 패킷만을 모아서 플로우를 구성하거나, 소스 주소 및 목적지 주소가 동일한 패킷만을 모아서 플로우를 구성할 수도 있다. 또한, 사용목적에 따라서는 다른 항목을 더 추가하여 사용하거나 5개의 튜플 중 일부만을 사용하여 플로우를 구성할 수도 있다.The packet forwarding processor 210 may configure the above-described five tuples by collecting only the same packets, and only some of the five tuples may configure the same packet. For example, the flow may be configured by collecting only packets having the same source address, destination address, source port, destination port, and protocol ID, or collecting only packets having the same source address and destination address. In addition, depending on the purpose of use, additional items may be added or the flow may be configured using only some of the five tuples.

플로우 통계정보 수집부(220)는 패킷 포워딩 처리부(210)로부터 각각의 패킷을 전달받아, 해당 플로우의 현재까지 처리한 바이트 수, 패킷 수, 차단된 패킷 수 등의 플로우별 통계정보(이하, 제1 통계정보라 명명함)를 수집한다.The flow statistics information collecting unit 220 receives each packet from the packet forwarding processing unit 210, and provides statistical information for each flow such as the number of bytes processed, the number of packets, and the number of blocked packets. 1 called statistical information).

통계정보 가공부(230)는 플로우 통계정보 수집부(220)에서 수집한 각 플로우별 제1 통계정보를 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 등의 집합 별로 각각 구분하여 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수를 포함하는 통계정보(이하, 제2 통계정보로 명명함)로 가공한다. 그리고, 통계정보 가공부(230)는 가공된 제2 통계정보를 데이터베이스(240)의 통계정보 테이블에 저장한다.The statistical information processing unit 230 divides the first statistical information for each flow collected by the flow statistical information collecting unit 220 by a set of a source address, a destination address, a source-destination address, a protocol, and the like, and outputs a predetermined byte per unit time. Processed into statistical information (hereinafter referred to as second statistical information) including the number, the number of packets, and the number of flows. The statistical information processing unit 230 stores the processed second statistical information in the statistical information table of the database 240.

데이터베이스(240)는 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감을 위한 각종 데이터와 프로그램을 가지며, 그 동작에 따라 생성되는 데이터들을 저장한다.The database 240 has various data and programs for detecting a distributed denial of service attack (DDoS) using traffic statistics and traffic reduction, and stores data generated according to the operation.

DDoS 판단부(250)는 일정 주기로 통계정보 테이블에 저장된 단위시간당 제2통계정보의 변화비율을 계산하고, 상기 변화비율이 미리 설정된 임계비율을 초과하여 변화하는 경우 DDoS 공격으로 판단하여 제어부(260)로 알린다. 즉, DDoS 판단부(250)는 일정한 시간마다 DDoS 판단을 위해 통계정보 테이블에서 제2 통계정보를 읽어 주기적으로 직전(이전) 주기와 현 주기 사이의 제2 통계정보 변화비율을 계산하고, 이를 기반으로 일정 수준이상으로 비율이 변화하면 DDoS 공격으로 판단한다. The DDoS determination unit 250 calculates a change rate of the second statistical information per unit time stored in the statistical information table at regular intervals, and when the change rate is changed beyond a preset threshold rate, determines that the DDoS attack is a control unit 260. Informed by That is, the DDoS determination unit 250 periodically reads the second statistical information from the statistical information table for DDoS determination at regular intervals and periodically calculates the rate of change of the second statistical information between the previous (previous) period and the current period, and based on this. If the ratio changes above a certain level, it is determined as a DDoS attack.

이 때, DDoS 판단부(250)는 상기 임계비율을 복수의 단계별로 설정할 수 있으며, 제2 통계정보의 변화비율이 기 설정된 단계별 임계비율을 초과하는 범위에 따라 비정상 트래픽, DDoS 공격 의심 및 DDoS 공격 등으로 판단할 수 있다.  At this time, the DDoS determination unit 250 may set the threshold ratio in a plurality of stages, and abnormal traffic, DDoS attack suspicion, and DDoS attack according to a range in which the change ratio of the second statistical information exceeds a preset threshold ratio in stages. You can judge by.

또한, DDoS 판단부(250)는 단위 시간당 지나간 패킷의 수(예:pps(Packet per Second))를 확인하여 하나의 소스 노드(PC) 등에서 발생할 수 있는 적절한 수준 이상이 패킷이 발생하면 이를 DDoS 공격으로 판단할 수도 있다. 여기서, 상기 적절한 수준 이상의 패킷은 정책에 따라 단위 시간당 하나의 소스 노드에 허용되는 패킷 발생 임계치일 수 있으며, 소스 주소 혹은 소스 포트의 단위시간 패킷 수를 바탕으로 확인할 수 있다.In addition, the DDoS determination unit 250 checks the number of packets (eg, pps (Packet per Second)) that have passed per unit time, and if a packet is generated that is higher than an appropriate level that may occur in one source node (PC), the DDoS attack is performed. You can also judge. Here, the packet above the appropriate level may be a packet generation threshold allowed for one source node per unit time according to a policy, and may be confirmed based on the number of unit time packets of a source address or a source port.

또한, DDoS 판단부(250)는 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 집합별로 정보를 가공함으로 네트워크상 라우터(200)의 위치에 따라 다양한 조합으로 DDoS 공격 여부를 판단할 수 있다. In addition, the DDoS determination unit 250 may determine whether the DDoS attack in various combinations according to the location of the router 200 on the network by processing the information by source address, destination address, source-destination address, protocol set.

예를 들면, 도 1에서 라우터(200)의 경우는 소스 주소별로 플로우 정보를 가공하여 확인할 경우 DDoS 공격을 하는 좀비 PC를 쉽게 확인할 수 있다. 또한, 목적지 주소별로 플로우 정보를 가공하여 확인할 경우 DDoS 공격 대상인 서버를 확인할 수 있을 것이다. For example, in the case of the router 200 in FIG. 1, when processing and confirming flow information for each source address, a zombie PC performing a DDoS attack can be easily identified. In addition, when processing and confirming flow information for each destination address, a server that is a target of DDoS attack may be identified.

제어부(260)는 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDoS) 탐지 및 트래픽 경감을 위한 라우터내 각부의 동작을 제어하는 역할을 한다.The control unit 260 serves to control the operation of each unit in the router for detecting a distributed denial of service attack (DDoS) using traffic information and flow reduction.

제어부(260)는 DDoS 판단부(250)의 판단에 따른 DDoS 공격 발생 이벤트를 수신하면, 의심 트래픽 정보를 네트워크 정책을 관할하는 네트워크 정책 관리 서버로 보내어 망내에서의 이상 트래픽 발생을 알림으로써 더욱더 정교한 DDoS 공격 패턴을 확인할 수 있다.When the control unit 260 receives the DDoS attack occurrence event according to the determination of the DDoS determination unit 250, the control unit 260 sends suspicious traffic information to the network policy management server that manages the network policy and notifies the occurrence of abnormal traffic in the network. You can check the attack pattern.

특히, 제어부(260)는 네트워크 정책 관리 서버를 가지고 있지 않거나 정책 관리 서버를 갖더라도 DDoS 공격 및 이상 트래픽에 대한 자체적인 신속한 대응이 필요한 경우 라우터(200)내에서 해당 트래픽에 대하여 트래픽 경감을 위한 레이트 리미트(Rate-Limit) 기능을 수행하도록 제어하여 트래픽 이동량을 제한 적용 및 보고할 수 있다. 여기서, 상기 제한 적용은 다량의 트래픽을 감소시키거나 좀비 PC로 의심되는 소스 노드의 트래픽을 차단하는 기능을 모두 포함한다.In particular, even if the controller 260 does not have a network policy management server or has a policy management server, when a rapid response for DDoS attack and abnormal traffic is required, the controller 260 may reduce the traffic rate for the corresponding traffic in the router 200. It can control to perform the limit-limit function to apply and report the traffic movement limit. In this case, the restriction application includes all functions of reducing a large amount of traffic or blocking traffic of a source node suspected of being a zombie PC.

이처럼, 본 발명의 실시 예에 따른 라우터(200)는 내부에서 수집된 실시간 정보를 주기적으로 확인하고 가공하여 DDoS 트래픽 여부를 탐지함으로 매우 신속한 이상 트래픽의 탐지가 가능한 장점이 있다. 그리고, 탐지한 트래픽 이상 발생에 대한 이벤트 정보를 외부의 네트워크 정책 관리 서버로 신속히 보고하거나, 더욱 더 빠른 대처를 위해서 라우터(200)에서 자체적으로 탐지된 이상 트래픽에 대하여 레이트 리미트 기능을 수행하여 트래픽을 제한 적용함으로써 DDoS 공격에 능동적으로 대처할 수 있는 장점이 있다. As such, the router 200 according to an embodiment of the present invention has the advantage of detecting abnormal traffic very quickly by periodically checking and processing the real-time information collected therein to detect whether the traffic is DDoS. In addition, the event information on the occurrence of the detected traffic anomaly can be quickly reported to an external network policy management server, or a rate limit function can be performed on the abnormal traffic detected by the router 200 in order to deal with the traffic more quickly. By applying restrictions, there is an advantage that can proactively cope with DDoS attacks.

이러한 본 발명의 실시 예에 따른 DDoS 탐지 및 트래픽 경감 시스템은 코어 네트워크을 포함한 네트워크상의 모든 라우터(200)에 적용 가능하며, 그럴 경우 개별 라우터(200)에서 공격 트래픽을 빠르게 차단하고, 이를 신속히 보고함으로써 네트워크 전체의 자원을 효율적으로 사용할 수 있는 효과가 있다.The DDoS detection and traffic reduction system according to an embodiment of the present invention is applicable to all routers 200 on the network including the core network, and in this case, the individual router 200 blocks the attack traffic quickly and reports the network quickly. It is effective to use the whole resource efficiently.

한편, 다음의 도 3을 통하여 지금까지 설명한 본 발명의 실시 예에 따른 라우터(200)가 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감을 수행하는 방법을 설명하도록 한다.Meanwhile, a method of performing DDoS detection and traffic reduction using the flow-specific statistical information by the router 200 according to the embodiment of the present invention described so far through FIG. 3 will be described.

도 3은 본 발명의 실시 예에 따른 플로우별 통계정보를 이용한 DDoS 탐지 및 트래픽 경감 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a DDoS detection and traffic reduction method using statistical information for each flow according to an embodiment of the present invention.

첨부된 도 3을 참조하면, 본 발명의 실시 예에 따른 시스템이 탑재된 라우터(200)의 패킷 포워딩 처리부(210)는 라우터(200)를 거쳐가는 트래픽을 감시하고, 패킷을 5가지 튜플(5-tuple)로 구분되는 플로우(Flow) 기반으로 처리하여 플로우 정보를 생성한다(S301).Referring to FIG. 3, the packet forwarding processor 210 of the router 200 equipped with the system according to an embodiment of the present invention monitors traffic passing through the router 200, and transmits five tuples 5 of packets. Flow information is generated by processing based on a flow divided by -tuple (S301).

라우터(200)는 생성된 플로우 정보를 기반으로 플로우 수, 바이트 수, 패킷 수 등의 플로우별 제1 통계정보를 수집한다(S302). 그리고, 수집한 각 플로우별 제1 통계정보를 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 집합 별로 각각 구분하고 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수를 포함하는 제2 통계정보로 가공하여 통계정보 테이블에 저장한다(S303).The router 200 collects first statistical information for each flow, such as the number of flows, the number of bytes, and the number of packets, based on the generated flow information (S302). The collected first statistical information for each flow is divided into source addresses, destination addresses, source-destination addresses, and protocol sets, respectively, and processed into second statistical information including bytes, packets, and flows per unit time. It stores in the statistical information table (S303).

라우터(200)는 일정 주기로 통계정보 테이블에 저장된 단위시간당 제2 통계정보의 변화비율을 확인하고(S304), 상기 변화비율이 미리 설정된 임계비율을 초과하여 변화하는 경우 DDoS 공격으로 판단한다(S305).The router 200 checks the rate of change of the second statistical information per unit time stored in the statistical information table at regular intervals (S304), and determines that the change rate exceeds the preset threshold rate as a DDoS attack (S305). .

라우터(200)는 미리 설정된 정책에 따라 DDoS 공격 발생을 정책 관리 서버로의 보고하거나 레이트 리미트 기능의 수행여부를 판단한다(S306). 라우터(200)는 상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 DDoS 공격 발생 이벤트를 보고하거나(S307), 자체적으로 트래픽 경감을 위하여 레이트 리미트 기능을 수행한다(S308). 이 때, 경우에 따라서는 정책 관리 서버로 보고함과 동시에 자체적으로 트래픽 경감을 위하여 레이트 리미트 기능을 수행할 수도 있다.The router 200 reports the occurrence of the DDoS attack to the policy management server according to a preset policy or determines whether to perform a rate limit function (S306). The router 200 reports the DDoS attack occurrence event to the policy management server managing the network policy according to the determination (S307), or performs a rate limit function for itself to reduce traffic (S308). In this case, in some cases, the policy management server may perform a rate limit function in order to reduce traffic by itself.

이와 같은 본 발명의 실시 예에 따르면 네트워크 상의 개별 라우터에서 플로우별 통계정보를 이용하여 실시간으로 DDoS 의심 트래픽을 확인하고, 이를 네트워크를 관리하는 정책 관리 서버에 신속히 보고하여 정책 관리 서버에서 DDoS 발생에 빠른 대응을 가능하게 하는 효과가 있다. According to the embodiment of the present invention, the DDoS suspicious traffic is checked in real time by using the statistical information for each flow in individual routers on the network, and quickly reported to the policy management server managing the network, so that the policy management server can quickly generate DDoS. This has the effect of enabling correspondence.

그리고, 정책 서버가 없는 상황에서도 자체적인 다량의 유입 트래픽을 감소시키거나 차단하여 네트워크 내의 각종 장비가 지속적으로 서비스 가능하게 하는 효과를 기대할 수 있다.In addition, even in the absence of a policy server, it can be expected to reduce or block a large amount of inflow traffic of its own to enable continuous service of various equipment in the network.

또한, 종래에는 DDoS 발생시 너무 느린 대응으로 웹 서버 및 서비스 서버가 정상적으로 동작하지 못하여 막대한 손실과 기업 이미지 실추를 초래할 수 있는 문제점이 있었다. 그러나 본 발명의 실시 예에 따르면 라우터(200) 단에서부터 다량의 공격 트래픽을 쉽게 인지하고, 이에 빠르게 대응을 함으로써 공격 대상 서버의 중단 없는 서비스 제공을 가능하게 하는 효과가 있다. In addition, in the related art, when the DDoS occurs, the web server and the service server may not operate normally due to too slow response, which may cause enormous loss and loss of corporate image. However, according to the exemplary embodiment of the present invention, a large amount of attack traffic is easily recognized from the router 200 stage, and a quick response thereto enables an uninterrupted service of the target server.

또한, 종래의 기술 중 푸시백 기법은 푸시백 메시지를 이전 라우터로 전송하는 부하가 있으나 본 발명의 실시 예에 따르면, 개별 라우터(200)가 DDoS 및 트래픽 이상여부를 각각 판단함으로 푸시백 메시지 전송과 같은 부하를 발생하지 않는 장점이 있다. In addition, the conventional pushback scheme has a load for transmitting a pushback message to the previous router, but according to an embodiment of the present invention, the individual router 200 determines whether the DDoS and traffic abnormality, respectively, and transmits the pushback message. It has the advantage of not generating the same load.

또한, 종래의 IP 역추적 기법은 많은 메모리와 프로세싱 능력이 필요한 것에 반하여 본 발명의 실시 예에 따르면 플로우별 통계정보만을 집합별로 관리함으로 상기 IP 역추적 기법보다 상대적으로 적은 양의 메모리가 필요하고 이에 따라 프로세싱 능력도 작게 요구되는 이점이 있다. In addition, while the conventional IP traceback technique requires a lot of memory and processing capability, according to an embodiment of the present invention, a relatively small amount of memory is required than the IP traceback scheme by managing only statistical information for each set by a set. Therefore, there is an advantage that the processing power is also required small.

또한, DDoS 공격 발생시의 핵심은 신속한 공격 판단과 그에 대한 대응인대 반해, 종래에는 DDoS 탐지 장비들이 DDoS 공격 여부를 확인하기에는 많은 시간이 소요되고 있으며, 막대한 량의 공격 트래픽으로 웹서버 및 서비스 서버등은 제 기능을 수행하지 못하는 문제점이 있었다. In addition, the core of the DDoS attack is the rapid attack judgment and countermeasures, while conventional DDoS detection equipment takes a lot of time to determine whether the DDoS attack, and the web server and service server, such as a large amount of attack traffic There was a problem of not functioning.

이러한 문제점을 해결하기 위하여 본 발명의 실시 예에 따르면 네트워크 상의 개별 라우터에서 신속한 DDoS 발생을 탐지하고, 그 판단에 따라 즉각적인 DDoS 발생 이벤트를 보고하거나 트래픽 경감을 수행함으로써 서버 다운과 같은 최악의 상황을 방지하는 효과를 기대할 수 있다.In order to solve this problem, according to an embodiment of the present invention, by detecting a rapid DDoS occurrence in each router on the network, and according to the determination to report an immediate DDoS occurrence event or to reduce the traffic to prevent the worst situation such as server down You can expect the effect.

본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.The embodiments of the present invention are not limited to the above-described apparatuses and / or methods, but may be implemented through a program for realizing functions corresponding to the configuration of the embodiment of the present invention, a recording medium on which the program is recorded And such an embodiment can be easily implemented by those skilled in the art from the description of the embodiments described above.

이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

Claims (10)

플로우별 통계정보를 이용한 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법에 있어서,
a) 네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하는 단계;
b) 상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 단계;
c) 상기 제2 통계정보의 변화비율을 계산하여 상기 변화비율이 미리 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 단계; 및
d) 상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 단계
를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.In the distributed denial of service attack detection and traffic mitigation method using flow-specific statistical information,
a) collecting first statistical information for each flow based on flow information generated according to the movement of traffic of a device connecting a network;
b) grouping the first statistical information for each flow by flow and classifying the flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number;
c) calculating a change rate of the second statistical information and determining that the change rate is a distributed denial of service attack when the change rate exceeds a preset threshold rate; And
d) performing a rate limit function according to the determination to restrict and apply the amount of movement of the traffic according to a preset policy;
Distributed denial of service attack detection and traffic mitigation method comprising a. 제 1 항에 있어서,
상기 d) 단계는,
상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 상기 분산 서비스 거부 공격 발생 이벤트를 보고하는 단계를 더 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
Step d),
And reporting the distributed denial of service attack event to a policy management server managing a network policy according to the determination. 제 1 항에 있어서,
상기 플로우별 제1 통계정보는,
주기적으로 처리한 플로우 수, 바이트 수, 패킷 수 중 적어도 하나를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
The first statistical information for each flow,
Distributed denial of service attack detection and traffic mitigation method comprising at least one of the number of flows, bytes, and packets processed periodically. 제 1 항에 있어서,
상기 b) 단계는,
상기 플로우별 제1 통계정보를 소스 주소, 목적지 주소, 소스-목적지 주소, 프로토콜 중 적어도 하나로 집합화하는 단계를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
The step b)
And aggregating the first statistical information for each flow into at least one of a source address, a destination address, a source-destination address, and a protocol. 제 1 항에 있어서,
상기 c) 단계는,
단위 시간당 지나간 패킷의 수를 확인하여 하나의 소스 노드에서 발생할 수 있는 임계기준을 초과하는 패킷이 발생하면 상기 분산 서비스 거부 공격으로 판단하는 단계를 더 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
C),
And determining the number of packets that have passed per unit time and determining that the distributed denial of service attack occurs when a packet exceeding a threshold that can occur at one source node is determined as the distributed denial of service attack. 제 1 항에 있어서,
상기 d) 단계의 제한 적용은,
상기 트래픽 이동량을 경감시키거나 상기 분산 서비스 거부 공격으로 의심되는 소스 노드의 트래픽을 차단하는 것을 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 경감 방법.The method of claim 1,
Applying the limitation of step d) above,
And reducing the traffic movement amount or blocking traffic of a source node suspected of the distributed denial of service attack. 네트워크를 연결하는 장치의 트래픽 이동에 따라 생성되는 플로우 정보에 기초하여 플로우별 제1 통계정보를 수집하는 플로우 통계정보 수집부;
상기 플로우별 제1 통계정보를 플로우 별로 집합화하여 각각 구분하고, 일정한 단위 시간당 바이트 수, 패킷 수, 플로우 수 중 적어도 하나를 포함하는 제2 통계정보로 가공하는 통계정보 가공부;
상기 제2 통계정보의 변화비율을 계산하여 상기 변화비율이 미리 설정된 임계비율을 초과한 경우 분산 서비스 거부 공격으로 판단하는 판단부; 및
상기 판단에 따라 레이트 리미트(Rate-Limit) 기능을 수행하여 미리 설정된 정책에 따른 상기 트래픽의 이동량을 제한 적용하는 제어부
를 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.A flow statistics information collecting unit for collecting first statistical information for each flow based on flow information generated according to traffic movement of a device connecting a network;
A statistical information processing unit which aggregates the first statistical information for each flow and divides each flow into second statistical information including at least one of a predetermined number of bytes per unit time, a packet number, and a flow number;
A determination unit calculating a change rate of the second statistical information and determining that the change rate exceeds a preset threshold rate as a distributed denial of service attack; And
The controller performs a rate limit function according to the determination to limit the amount of traffic movement according to a preset policy.
Distributed denial of service attack detection and traffic system comprising a. 제 7 항에 있어서,
라우터 시스템의 라인카드의 인터페이스에서 수신되는 패킷을 라우팅 테이블에서 검색하여 상기 패킷을 해당 목적 노드로 전달하며, 상기 패킷을 복수의 튜플(tuple)로 구분되는 플로우 정보를 생성하는 패킷 포워딩 처리부; 및
상기 라우팅 테이블과 상기 제2 통계정보를 가지는 통계정보 테이블이 저장되는 데이터베이스
를 더 포함하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.The method of claim 7, wherein
A packet forwarding processing unit which searches for a packet received at an interface of a line card of a router system in a routing table, transfers the packet to a corresponding destination node, and generates flow information divided into a plurality of tuples; And
A database storing a statistical information table having the routing table and the second statistical information
Distributed denial of service attack detection and traffic system further comprising. 제 7 항에 있어서,
상기 제어부는,
상기 판단에 따라 네트워크 정책을 관리하는 정책 관리 서버로 상기 분산 서비스 거부 공격 발생 이벤트를 보고하고, 상기 트래픽 이동량을 경감시키거나 상기 분산 서비스 거부 공격으로 의심되는 소스 노드의 트래픽을 차단하는 것을 특징으로 하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.The method of claim 7, wherein
The control unit,
Report the distributed denial of service attack event to a policy management server managing network policy according to the determination, and reduce the traffic movement or block traffic of the source node suspected of the distributed denial of service attack. Distributed Denial of Service Attack Detection and Traffic Systems. 제 7 항에 있어서,
상기 판단부는,
상기 임계비율을 복수의 단계별로 설정하여 상기 제2 통계정보의 변화비율이 기 설정된 단계별 임계비율을 초과하는 범위에 따라 비정상 트래픽, 분산 서비스 거부 공격 의심 및 분산 서비스 거부 공격 중 어느 하나로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격 탐지 및 트래픽 시스템.The method of claim 7, wherein
The determination unit,
The threshold ratio may be set in a plurality of stages to determine one of an abnormal traffic, a distributed denial of service attack, and a distributed denial of service attack according to a range in which the change rate of the second statistical information exceeds a predetermined threshold ratio. Distributed denial of service attack detection and traffic systems.
KR1020100055496A 2009-12-07 2010-06-11 Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic KR101352553B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/946,849 US20110138463A1 (en) 2009-12-07 2010-11-15 Method and system for ddos traffic detection and traffic mitigation using flow statistics

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020090120542 2009-12-07
KR20090120542 2009-12-07

Publications (2)

Publication Number Publication Date
KR20110065273A true KR20110065273A (en) 2011-06-15
KR101352553B1 KR101352553B1 (en) 2014-01-15

Family

ID=44398574

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100055496A KR101352553B1 (en) 2009-12-07 2010-06-11 Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic

Country Status (1)

Country Link
KR (1) KR101352553B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101326804B1 (en) * 2012-11-19 2013-11-11 서울대학교산학협력단 Distributed denial of service detection method and system
KR101380292B1 (en) * 2011-04-08 2014-04-14 주식회사 케이티 Method and System for Utility Saving Time-Division DDoS Detection using Link Switch
KR20190066741A (en) * 2017-12-06 2019-06-14 에스케이텔레콤 주식회사 System for performing anomaly detection using traffic classification
CN113992421A (en) * 2021-11-03 2022-01-28 北京天融信网络安全技术有限公司 Message processing method and device and electronic equipment
CN114531273A (en) * 2022-01-11 2022-05-24 北京理工大学 Method for defending distributed denial of service attack of industrial network system

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101655224B1 (en) * 2014-12-30 2016-09-22 주식회사 시큐아이 Policy managing method and apparatus applying the method
KR102588642B1 (en) 2017-02-14 2023-10-11 한국전자통신연구원 Apparatus and method for detecting of stepping stone attacks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4547342B2 (en) 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 Network control apparatus, control system, and control method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101380292B1 (en) * 2011-04-08 2014-04-14 주식회사 케이티 Method and System for Utility Saving Time-Division DDoS Detection using Link Switch
KR101326804B1 (en) * 2012-11-19 2013-11-11 서울대학교산학협력단 Distributed denial of service detection method and system
KR20190066741A (en) * 2017-12-06 2019-06-14 에스케이텔레콤 주식회사 System for performing anomaly detection using traffic classification
CN113992421A (en) * 2021-11-03 2022-01-28 北京天融信网络安全技术有限公司 Message processing method and device and electronic equipment
CN113992421B (en) * 2021-11-03 2023-08-29 北京天融信网络安全技术有限公司 Message processing method and device and electronic equipment
CN114531273A (en) * 2022-01-11 2022-05-24 北京理工大学 Method for defending distributed denial of service attack of industrial network system
CN114531273B (en) * 2022-01-11 2024-05-14 北京理工大学 Method for defending distributed denial of service attack of industrial network system

Also Published As

Publication number Publication date
KR101352553B1 (en) 2014-01-15

Similar Documents

Publication Publication Date Title
Shang et al. FloodDefender: Protecting data and control plane resources under SDN-aimed DoS attacks
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
KR101352553B1 (en) Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic
US20160080411A1 (en) Hardware-logic based flow collector for distributed denial of service (ddos) attack mitigation
US10693890B2 (en) Packet relay apparatus
US10986018B2 (en) Reducing traffic overload in software defined network
JP4380710B2 (en) Traffic anomaly detection system, traffic information observation device, and traffic information observation program
KR101042291B1 (en) System and method for detecting and blocking to distributed denial of service attack
Varga et al. Real-time security services for SDN-based datacenters
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
Wan et al. Engineering of a global defense infrastructure for DDoS attacks
Noh et al. Protection against flow table overflow attack in software defined networks
Mohammadi et al. Practical extensions to countermeasure dos attacks in software defined networking
Wang et al. An approach for protecting the openflow switch from the saturation attack
KR20030009887A (en) A system and method for intercepting DoS attack
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
KR20060130892A (en) Ddos detection and packet filtering scheme
JP2003289337A (en) Communication network, router, and distributed service refusal attack detection and defense method
Patel et al. Throughput analysis of AQM schemes under low-rate Denial of Service attacks
Hayashi et al. Method for detecting low-rate attacks on basis of burst-state duration using quick packet-matching function
Liu et al. TAP: A Traffic-Aware Probabilistic Packet Marking for Collaborative DDoS Mitigation
Pattanaik et al. Early Detection and Diminution of DDoS attack instigated by compromised switches on the controller in Software Defined Networks
Singh et al. A comparative analysis of various deployment based DDoS defense schemes

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee