KR20110116962A - 장애 방지 서버 및 방법 - Google Patents

장애 방지 서버 및 방법 Download PDF

Info

Publication number
KR20110116962A
KR20110116962A KR1020100127676A KR20100127676A KR20110116962A KR 20110116962 A KR20110116962 A KR 20110116962A KR 1020100127676 A KR1020100127676 A KR 1020100127676A KR 20100127676 A KR20100127676 A KR 20100127676A KR 20110116962 A KR20110116962 A KR 20110116962A
Authority
KR
South Korea
Prior art keywords
source
traffic
server
access
service server
Prior art date
Application number
KR1020100127676A
Other languages
English (en)
Other versions
KR101231966B1 (ko
Inventor
곽동선
Original Assignee
에스2정보 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스2정보 주식회사 filed Critical 에스2정보 주식회사
Publication of KR20110116962A publication Critical patent/KR20110116962A/ko
Application granted granted Critical
Publication of KR101231966B1 publication Critical patent/KR101231966B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 장애 방지 서버 및 방법에 관한 것으로, 네트워크 장비로부터 서비스 서버로 전송되는 네트워크 트래픽을 수집하고, 상기 수집된 네트워크 트래픽을 소스 IP별로 분류하여 상기 소스 IP별로 상기 서비스 서버로의 접속횟수와 트래픽량을 파악하며, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량을 설정된 고정 임계치와 비교하고, 상기 비교에서 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 고정 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하며, 상기 비정상 접속이라고 판단된 경우에, 상기 서비스 서버의 IP 주소를 자신의 IP 주소로 변경하고 상기 서비스 서버에게 IP 주소 변경을 알리고, 상기 서비스 서버로의 접속을 요청한 사용자 단말과 접속하여 상기 사용자 단말에 대한 인증을 수행한 후에, 상기 장애방지서버가 상기 서비스 인증에 성공한 사용자 단말에 대하여 상기 서비스 서버로 리다이렉션시킨다.

Description

장애 방지 서버 및 방법{Server obstacle protecting system and method}
본 발명은 네트워크 서버의 장애를 방지하는 시스템 및 방법에 관한 것으로, 특히, 외부의 공격에 의해 서버가 장애를 일으키는 것을 방지하는 장애 방지 서버 및 방법에 관한 것이다.
인터넷의 발달로 다양한 종류의 인터넷 서비스와 이러한 인터넷 서비스를 제공하는 인터넷 서버들이 구축되어 사용되고 있다.
인터넷 서비스의 이용은 유저가 인터넷 서버에 접속한 후 서비스를 요청하는 단순한 동작만으로 가능하며, 인터넷 서비스의 제공 또한 서버가 접속한 유저 단말기와 세션(session)을 연결한 후 연결된 세션을 통해 해당 서비스 컨텐츠를 제공하는 것으로 달성된다.
서버는 세션을 연결하기 위해서 자신의 자원(resource) 중 일부를 사용하게 된다. 그러므로, 접속자 수가 많을수록 서버의 성능은 떨어지고, 심지어 서비스를 유저에게 제공하지 못하는 장애가 발생하게 된다.
이런 이유로 인터넷 서비스 사업자(ISP: Internet Service Provider)는 많은 유저의 접속에 따른 장애를 방지하기 위하여 많은 자원을 가진 고가의 서버를 구축하고 있는 실정이다.
그러나 고가의 서버를 구축하더라도 DDoS(Distributed Denial of Service, 분산 서비스 거부 공격)와 같이 악의적으로 많은 양의 네트워크 트래픽(이하 "트래픽"이라 한다)으로 공격하는 경우에 서버는 장애가 발생하게 된다.
따라서 DDoS와 같이 악의적인 공격에도 서버가 안정적으로 서비스를 제공할 수 있는 방법이나 시스템이 요구된다.
본 발명이 이루고자 하는 기술적 과제는 악의적인 트래픽 공격에 따른 서버 장애를 방지하는 장애 방지 서버 및 방법을 제공하는 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 일 특징에 따르면, 사용자 단말과 서비스 서버 간의 네트워크 경로상에 위치한 네트워크 장비로부터 상기 서비스 서버로 제공되는 네트워크 트래픽을 수집하는 수집부, 상기 수집부에 의해 수집된 네트워크 트래픽에 대하여 소스 IP별로 상기 서비스 서버로의 접속 횟수를 카운트하는 접속 카운트부, 상기 수집부에 의해 수집된 네트워크 트래픽에 대하여 소스 IP별로 트래픽량을 산출하는 트래픽 산출부, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량을 설정된 고정 임계치와 비교하고, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 고정 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하는 비정상접속 판단부, 상기 비정상접속 판단부가 상기 비정상 접속이라고 판단하는 경우에, 상기 서비스 서버의 IP 주소를 자신의 IP 주소로 변경하고, 상기 서비스 서버에게 IP 주소 변경을 알리는 IP 변경부, 상기 비정상접속 판단부가 상기 비정상 접속이라고 판단하는 경우에, 접속한 사용자 단말에 대하여 사용자 인증을 수행하는 사용자 인증부, 그리고 상기 사용자 인증부로부터 사용자 인증에 성공한 사용자 단말을 상기 서비스 서버로 리다이렉션시키고, 사용자 인증에 성공하지 못한 사용자 단말을 접속 차단시키는 서비스접속 결정부를 포함하는 장애 방지 서버를 제공한다.
상기에서 비정상접속 판단부는 상기 고정 임계치를 초과하지 않은 상기 소스 IP별 접속횟수와 상기 트래픽량을 설정된 가변 임계치와 비교하고, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 가변 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하되, 상기 가변 임계치는 상기 고정 임계치보다 낮은 값으로 설정된다.
이때 가변 임계치는 이전주의 해당 요일/시간대에 발생된 접속 횟수와 트래픽량을 고려하여 결정되고 설정되는 것을 특징으로 한다.
상기 네트워크 장비는 라우터이며, 상기 네트워트 트래픽은 넷플로우(netflow)인 것을 특징으로 한다.
상기 기술적 과제를 달성하기 위한 본 발명의 다른 특징에 따르면, 장애방지서버가 네트워크 장비로부터 서비스 서버로 전송되는 네트워크 트래픽을 수집하는 제1 단계, 상기 장애방지서버가 상기 수집된 네트워크 트래픽을 소스 IP별로 분류하여 상기 소스 IP별로 상기 서비스 서버로의 접속횟수와 트래픽량을 파악하는 제2 단계, 상기 장애방지서버가 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량을 설정된 고정 임계치와 비교하는 제3 단계, 상기 장애방지서버가 상기 비교에서 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 고정 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하는 제4 단계, 상기 비정상 접속이라고 판단된 경우에, 상기 장애방지서버가 상기 서비스 서버의 IP 주소를 자신의 IP 주소로 변경하고 상기 서비스 서버에게 IP 주소 변경을 알리는 제5 단계, 상기 장애방지서버가 상기 서비스 서버로의 접속을 요청한 사용자 단말과 접속하여 상기 사용자 단말에 대한 인증을 수행하는 제6 단계, 그리고 상기 장애방지서버가 상기 서비스 인증에 성공한 사용자 단말에 대하여 상기 서비스 서버로 리다이렉션시키는 제7 단계를 포함하는 장애 방지 방법을 제공한다.
그리고, 본 발명의 실시 예에 따른 장애 방지 방법은 상기 제4 단계 이후에, 상기 고정 임계치를 초과하지 않은 상기 소스 IP별 접속횟수와 상기 트래픽량을 설정된 가변 임계치와 비교하고, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 가변 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하는 제8 단계를 더 포함하되, 상기 가변 임계치는 상기 고정 임계치보다 낮은 값인 것을 특징으로 한다.
본 발명은 장애방지서버에서 메인 서버를 공격하는 비정상적인 트래픽을 감지하면 메인 서버로의 접속 경로를 장애방지서버로 변경하여 메인 서버를 보호하고, 이와 동시에 정상적 사용자에 대해서 리다이렉션(redirection)시킴으로써, 메인 서버에서 정상적인 트래픽에 대해서만 서비스를 제공할 수 있게 하여 서버 장애를 방지할 수 있게 한다.
또한 본 발명은 접속방지서버 및 메인 서버에서도 악의적 공격을 감시함으로써, 서버 장애 방지를 보다 강화시킨다.
도 1은 본 발명의 실시 예에 따른 장애 방지 시스템 및 개념적 동작을 보인 도면이다.
도 2는 본 발명의 실시 예에 따른 장애 방지 서버 및 서비스 서버의 구성을 보인 블록 구성도이다.
도 3은 본 발명의 실시 예에 따른 장애 방지 방법에서 악의적 공격을 탐지하는 방법을 보인 순서도이다.
도 4는 본 발명의 실시 예에 따른 장애 방지 방법에서 악의적 공격 탐지 후에 이루어지는 접속 제어 방법을 보인 일 예에 따른 순서도이다.
도 5는 본 발명의 실시 예에 따른 장애 방지 방법에서 악의적 공격 탐지 후에 이루어지는 접속 제어 방법을 보인 다른 예에 따른 순서도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이제, 첨부한 도면을 참조로 하여 본 발명의 실시 예에 따른 장애 방지 서버 및 방법을 설명한다.
도 1은 본 발명의 실시 예에 따른 장애 방지 시스템 및 개념적 동작을 보인 도면이다. 도 1에 도시된 바와 같이, 본 발명의 실시 예에 따른 장애 방지 시스템은 정상 사용자(10), 악의적 사용자(20), 네트워크 장비(100), 서비스 서버(200) 및 장애 방지 서버(300)를 포함한다.
정상 사용자(10)는 정상 사용자가 사용하는 인터넷 단말로서, 서비스 서버(200)에 접속하여 정상적인 트래픽을 발생하는 인터넷 단말이다.
악의적 사용자(20)는 악의적 사용자가 사용하는 인터넷 단말로서, 서비스 서버(200)에 접속하여 비정상적인 트래픽(예; DDos 등)을 발생하는 인터넷 단말이다.
네트워크 장비(100)는 정상 사용자(10) 또는 악의적 사용자(20)와 서비스 서버(200) 간의 트래픽 경로 상에 위치한 네트워크 장비로서, 예컨대, 라우터이며, 경우에 따라 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), CISCO Gaurd(CISCO사에서 이상 트래픽으로부터 서버를 보호하기 위해 개발한 장치) 중 적어도 하나를 더 포함할 수 있다.
서비스 서버(200)는 인터넷 상에 위치하며 사용자가 요청하는 각종 컨텐츠를 제공한다. 경우에 따라, 서비스 서버(200)는 장애 방지 서버(300)로부터 리다이렉션된 사용자 단말에 대한 접속 인증을 수행하고, 접속 인증된 사용자 단말에 대해서만 서비스를 제공하여 자체 트래픽 보안을 수행한다.
장애 방지 서버(300)는 서비스 서버(200)를 악의적인 트래픽 공격으로부터 방어하기 위한 서버이다. 장애 방지 서버(300)는 평상시는 서비스 서버(200)에 대한 악의적인 트래픽 공격이 있는지를 감시하는 감시모드로 동작하다가, 악의적인 트래픽 공격을 감지하면 방어모드로 동작한다.
감시모드시의 장애 방지 서버(300)는 네트워크 장비(100)로부터 서비스 서버(200)로 전송되는 트래픽 정보를 수집하고, 수집한 트래픽 정보를 분석하여 비정상적인 트래픽(즉, 악의적으로 서비스 서버(200)를 마비시키기 위한 트래픽)인지를 판단한다. 여기서 트래픽 정보는 예컨대, IP 플로우 패킷, 넷플로우(netflow) 패킷이거나 넷플로우 패킷 및 시스로그(syslog)이나, 이에 한정되지 않는다.
그리고 장애 방지 서버(300)는 악의적인 트래픽 공격을 감지하면 서비스 서버(200)의 IP 주소를 자신에게 할당하고, 서비스 서버(200)의 IP 주소를 별도의 IP 주소로 변경한다. 결국, 장애 방지 서버(300)는 악의적인 트래픽 공격을 감지하면 서비스 서버(200)로 접속하려는 사용자를 자신에게 접속하게 한다.
방어모드시의 장애 방지 서버(300)는 서비스 서버(200)의 IP 주소를 자신의 주소로 변경하면 방어모드를 설정하고, 이후 접속하는 사용자 단말에 대한 사용자 인증을 수행하며, 사용자 인증에 성공한 사용자 단말에 대해서만 서비스 서버(200)로 리다이렉션시킨다.
이상과 같이 구성된 본 발명의 실시 예에 따른 장애 방지 시스템의 개념적인 동작을 간략히 설명하면, 정상적인 트래픽이 서비스 서버(200)로 제공되는 경우에는 정상 접속 경로(1)에 따라 트래픽이 전송되게 하고, 비정상적인 트래픽이 서비스 서버(200)로 제공되는 경우에는 장애방지서버(200)를 경유하는 장애방지 접속 경로(2)에 따라 트래픽이 전송되게 한다. 이때 장애방지 접속 경로(2) 상에 위치하는 장애방지서버(300)는 트래픽을 서비스 서버(200)에 제공할 것인지를 결정하는 동작을 수행한다.
이하에서는 도 2를 참조로 하여 본 발명의 실시 예에 따른 장애 방지 서버 및 서비스 서버에 대하여 보다 상세히 설명한다. 도 2는 본 발명의 실시 예에 따른 장애 방지 서버 및 서비스 서버의 구성을 보인 블록 구성도이다.
도 2에 도시된 바와 같이, 본 발명의 실시 예에 따른 장애 방지 서버(300)는 사용자 입력부(301), 수집부(302), 접속 카운트부(303), 트래픽 산출부(304), 모니터링부(305), 비정상접속 판단부(306), 임계치 저장부(307), 메인 저장부(308), 제1 IP 변경부(309), 사용자 인증부(310) 및 서비스접속 결정부(311)를 포함한다.
사용자 입력부(301)는 키보드 또는 콘솔, 터치패드 등으로서, 사용자에 의해 조작되어 사용자 입력을 받아들인다.
수집부(302)는 인터넷 상에서 서비스 서버(200)로 웹페이지 호출시에 네트워크 장비(100)(일 예로 이하에서는 "라우터"라 한다)로부터 유입되는 패킷을 실시간으로 수집하되, 라우터(100)에서 제공하는 넷플로우 프로토콜을 이용하여 넷플로우 발생시 자동으로 수집한다. 여기서 라우터(100)는 서비스 서버(200)의 가장 근접된 위치의 종단 라우터인 것이 양호하다. 이때 수집부(302)는 넷플로우 패킷 중 웹 페이지 호출에 해당하는 HTTP 패킷만을 수집하며, 수집한 HTTP 패킷을 소스 IP별로 분류하여 메인 저장부(308)에 저장한다.
접속 카운트부(303)는 수집부(302)에 의해 분류된 소스 IP 각각에 대하여 카운트를 하여 설정 시간 동안의 서비스 서버(200)로의 접속 횟수를 파악한다. 트래픽 산출부(304)는 수집부(302)에서 수집한 HTTP 패킷의 소스 IP별로 HTTP 패킷의 트래픽량을 산출한다. 접속 카운트부(303)와 트래픽 산출부(304)에 의한 접속 횟수와 트래픽량은 소스 IP별로 메인 저장부(308)에 저장된다.
비정상접속 판단부(306)는 접속 카운트부(303)에 의해 파악한 접속 횟수(즉, 접속 카운트)와 소스 IP별 트래픽량을 임계치 저장부(307)에 등록된 고정 임계치와 비교하고, 고정 임계치를 초과하는 경우에 비정상 접속이라고 판단한다. 여기서 고정 임계치는 고정 설정된 접속 횟수(이하 "고정 접속횟수" 라 함)와 고정 설정된 트래픽 임계치(이하 "고정 트래픽량" 이라 함)으로, 통상적으로 비정상 트래픽을 판단할 수 있게 하는 임계값으로 설정한다.
그리고 비정상접속 판단부(306)는 비정상 트래픽이 아니라고 판단된 IP의 접속횟수와 트래픽량에 대하여 2차 비정상 접속 판단한다. 즉, 비정상접속 판단부(306)는 임계치 저장부(307)에 등록된 가변 임계치와 비교하고, 가변 임계치에 비해 접속횟수가 크거나 트래픽량이 큰 소스 IP에 대하여 비정상 접속이라고 판단한다.
여기서, 가변 임계치는 고정 임계치보다 낮은 값으로 설정된다. 그리고 비정상접속 판단부(306)에서 수행하는 가변 임계치와의 비교 판단에 의한 비정상 접속 판단은 경우에 따라 생략될 수 있다.
가변 임계치와의 비교는 계절별, 일별, 시간대별로 비정상 트래픽의 환경이 변하는 것에 대응하기 위한 것이다. 이에 따라 가변 임계치는 가변 설정되는 접속횟수(이하 "가변 접속횟수" 라 함)과 가변 설정되는 트래픽 임계치(이하 "가변 트래픽량" 이라 함)을 포함하며, 요일별/시간대별 접속횟수 및 트래픽량이 변하므로 전주 해당 요일/시간대에 발생된 접속 횟수와 트래픽량을 고려하여 설정된다.
관리자는 사용자 입력부(301)를 통해 메인 저장부(308)에 등록된 가변 임계치를 설정일마다 가변 등록한다.
모니터링부(305)는 메인 저장부(308)에 저장된 IP별 접속 횟수와 트래픽량에 대한 통계 정보를 설정 시간(예; 5분, 10분, 1시간 등 중 적어도 하나) 간격으로 통계 데이터를 생성하고, 생성한 통계 데이터를 관리자가 확인할 수 있게 제공한다.
이때 관리자로의 제공은 관리자의 요청에 따라 이루어지며, 그래프 및 리스트의 형태로 제공된다. 모니터링부(305)는 비정상 접속 판단부(306) 중 적어도 하나로부터 비정상 트래픽 발생 신호를 수신하면, 관리자에게 알람 형태로 경보를 알린다.
임계치 저장부(306)는 관리자에 의해 등록된 고정 임계치와 가변 임계치를 저장하고 있으며, 메인 저장부(307)는 수집부(302)에 의해 수집된 HTTP 패킷이 트래픽량 및 접속 횟수의 형태로 해당 소스 IP에 대응하여 저장되어 있다. 물론 이 때 메인 저장부(307)는 수집부(302)에 의해 수집된 원시 데이터 형태로 저장되어 있을 수 있다.
제1 IP 변경부(308)는 모니터링부(305) 또는 비정상접속 판단부(306) 중 하나로부터 비정상 트래픽 감지 신호를 수신하면, 장애방지서버(300) 및 서비스 서버(200)의 IP 주소를 변경되게 한다. 구체적으로, 제1 IP 변경부(308)는 장애방지서버(300)의 IP 주소를 변경하여 서비스 서버(200)의 IP 주소가 되게 한다. 이에 따라 이후 서비스 서버(200)로의 접속을 요청하는 사용자 단말은 서비스 서버(200)를 대신하여 장애방지서버(300)에 접속하게 된다.
그리고, 제1 IP 변경부(309)는 서비스 서버(200)로 비정상 트래픽 감지를 알려, 서비스 서버(200)가 자체적으로 자신의 IP 주소를 설정된 별도의 IP 주소로 변경하게 한다.
사용자 인증부(310)는 비정상 트래픽이 감지된 경우에 동작한다. 사용자 인증부(310)는 비정상 트래픽이 감지된 이후에, 자신으로 접속한 사용자 단말에 대하여 사용자 인증을 수행한다.
서비스접속 결정부(311)는 사용자 인증부(309)로부터 사용자 인증에 성공한 사용자 단말에 대해서만 서비스 서버(200)로 리다이렉션시켜 서비스 서버(200)에 접속되게 한다.
다음으로, 서비스 서버(200)에 대하여 설명한다. 본 발명의 실시 예에 따른 서비스 서버(200)는 서비스 제공부(201), 제2 IP 변경부(202), 접속 인증부(203) 및 웹컨텐츠 저장부(204)를 포함한다.
서비스 제공부(201)는 웹컨텐츠 제정부(204)와 연계하여 사용자가 요청하는 웹페이지 또는 웹컨텐츠 등을 제공한다. 제2 IP 변경부(202)는 장애방지서버(300)의 비정상 트래픽의 감지 알림에 따라 자신의 IP 주소를 설정된 별도의 IP 주소로 변경한다.
접속 인증부(203)는 방어 모드인 장애방지서버(300)와 연동하여, 장애방지서버(300)로부터 리다이렉션되어 접속한 사용자 단말에 대한 사용자 인증을 수행한다. 구체적으로, 장애방지서버(300)는 리다이렉션시 사용자가 전송한 암호화된 인증키를 쿠키(cookie)에 담아 다시 이중 암호화하여 서비스 서버(300)에 전송하고, 서비스 서버(300)의 접속 인증부(203)는 암호화된 쿠키를 디코드하여 암호화하여 인증키의 존재 여부를 확인하고 존재하여 사용자 인증이 성공이라고 판단하고 정상적인 서비스를 제공하게 하며, 인증키가 존재하지 않으면 비정상 침입이라고 판단하여 사용자 단말의 접속을 차단한다.
웹컨텐츠 저장부(204)는 웹페이지 및 각종 웹컨텐츠를 저장하고 있다.
이하에서는 도 3을 참조로 하여 본 발명의 실시 예에 따른 장애 방지 방법에서 감시모드에서의 동작을 설명한다. 도 3은 본 발명의 실시 예에 따른 장애 방지 방법에서 악의적 공격을 탐지하는 방법을 보인 순서도이다.
장애방지서버(300)는 수집부(302)를 통해 네트워크 장비(예; 라우터)(100)로부터 HTTP 패킷(즉, 트래픽)을 수집하고(S301), 수집한 HTTP 패킷을 소스 IP별로 분류한다(S302).
이렇게 분류된 HTTP 패킷은 접속 카운트부(303)와 트래픽 산출부(304)에 의해 소스 IP별로 접속횟수가 카운트되고, 트래픽량이 산출되며(S303), 소스 IP별 접속 횟수와 트래픽량은 설정 시간 간격을 기준으로 통계 데이터로 산출되어 모니터링 자료로 사용된다(S304).
한편, 장애방지서버(300)는 비정상접속 판단부(306)를 이용하여 소스 IP별 접속 횟수를 고정 임계치의 고정 접속횟수와 비교하고, 트래픽량을 고정 임계치의 고정 트래픽량과 비교한다(S305).
장애방지서버(300)는 수집된 트래픽 중 특정 소스 IP의 트래픽이 고정 임계치를 초과하는 경우에 특정 소스 IP의 트래픽을 비정상 트래픽이라고 판단하고(S306), 그에 따라 소스 IP의 사용자(즉, 악의적 사용자(20))로부터 트래픽 공격을 받고 있다고 판단한다(S309).
물론 S309 과정에서 장애방지서버(300)의 비정상접속 판단부(306)는 비정상 트래픽이라고 판단한 소스 IP를 차단 대상 IP로 등록한 후 서비스 서버(200)에게 이를 알려 접속을 차단하게 할 수 있다.
이에 따라 장애방지서버(300)는 제1 IP 변경부(309)를 통해 자신의 IP 주소를 서비스 서버(300)의 IP 주소로 변경하고, 서비스 서버(300)에게 트래픽 공격을 알려 IP 주소를 변경하게 한다(S310).
한편, 상기 S305의 비교를 통해, 장애방지서버(300)는 고정 임계치를 초과한 소스 IP가 존재하지 않는다고 판단하면, 비정상접속 판단부(306)를 이용하여 소스 IP별 접속 횟수를 가변 임계치의 가변 접속횟수와 비교하고, 트래픽량을 가변 임계치의 가변 트래픽량과 비교한다(S307).
그런 다음 장애방지서버(300)는 수집된 트래픽 중 특정 소스 IP의 트래픽이 가변 임계치를 초과하는 경우에 특정 소스 IP의 트래픽을 비정상 트래픽이라고 판단하고(S308), 그에 따라 소스 IP의 사용자(즉, 악의적 사용자(20))로부터 트래픽 공격을 받고 있다고 판단한다(S309).
물론 장애방지서버(300)는 가변 임계치를 초과한 소스 IP가 존재하지 않으면 비정상 트래픽이 없다고 판단하고 계속적으로 감시 모드에 따른 동작(S301 내지 S310)을 수행한다.
이하에서는 도 4를 참조로 하여 본 발명의 실시 예에 따른 장애 방지 방법에서 감시모드에서의 동작을 설명한다. 도 4는 본 발명의 실시 예에 따른 장애 방지 방법에서 악의적 공격 탐지 후에 이루어지는 접속 제어 방법을 보인 일 예에 따른 순서도이다.
장애방지서버(300)는 비정상 트래픽이 서비스 서버(200)로 유입되는 것을 감시모드를 통해 감지하면 방어 모드를 설정하고, 이하의 동작을 수행한다.
사용자 단말(10 또는 20)의 서비스 서버(200)로의 접속 요청에 따라 사용자 단말(10 또는 20)이 장애방지서버(300)에 접속하면(S401), 사용자 단말(10 또는 20)의 IP를 확인한 후(S402), 사용자가 정상 사용자인지 악의적 사용자인를 확인하기 위하여 사용자 단말(10 또는 20)에게 사용자 인증을 요청한다(S403).
이때 장애방지서버(300)는 사용자 인증 요청을 위해 암화화된 인증키(Authentication Key)를 인증 화면을 사용자 단말에게 제공하며, 경우에 따라 인증 화면에는 보안문자(CAPTCHA : Completely Automated Public Turning test and humans Apart)를 포함하고 있다.
정상 사용자(10)인 경우에는 인증 화면에 보여지는 인증에 필요한 텍스트(text)를 입력하거나, 추가로 보안문자를 입력하여 사용자 인증에 대응할 것이다. 그러나 악의적 사용자(10)는 프로그램에 의해 동작중이므로 사용자 인증 화면에 대응하는 응답(인증정보 제공)을 하지 않을 것이다.
이에 따라 장애방지서버(300)는 사용자 인증 화면에 대응한 인증정보가 수신되었는지를 판단하고(S404), 사용자 입력이 설정시간(예; 5초, 10초, 20초 등)에 없는 경우에 사용자 단말의 IP를 등록하고, 등록한 사용자 단말의 IP에 대한 접속횟수를 판단하여(S410), 실질적인 악의적 사용자인지를 판단한다.
만약, S410 과정에서 등록된 사용자 단말의 IP가 고정 접속횟수 및 가변 접속횟수를 초과하면, 장애방지서버(300)는 해당 사용자 단말의 IP를 차단 대상 IP로 등록한 후(S412), 서비스 서버(200)로의 접속을 차단한다(S413).
한편, 장애방지서버(300)는 S404 과정에서 사용자 단말로부터 인증정보를 수신하면 인증정보(텍스트 정보 및 암호화된 인증키, 보안문자)를 설정된 인증정보와 비교하여 일치하는지를 확인한다(S405).
장애방지서버(300)는 수신된 인증정보가 설정된 인증정보와 일치하면 인증 성공이라고 판단하고(S406), 정상 사용자로 판단하여(S407), 해당 사용자 단말을 서비스 서버(200)로 리다이렉션시켜 서비스 서버(200)에 접속시킨다(S408). 이에 따라 서비스 서버(200)는 접속한 사용자 단말에게 사용자가 요청하는 서비스를 제공하게 된다(S409).
반면에, 장애방지서버(300)는 S405 과정에서 수신된 인증정보가 설정된 인증정보와 일치하지 않으면 인증 실패이라고 판단하고(S406), 이러한 인증 실패가 설정 접속횟수를 초과한 경우에(S410), 해당 사용자 단말의 IP를 차단 대상 IP로 등록한 후(S412), 서비스 서버(200)로의 접속을 차단한다(S413).
이하에서는 도 5를 참조로 하여 본 발명의 다른 실시 예에 따른 방어 모드에 따른 동작을 설명한다. 도 5는 본 발명의 실시 예에 따른 장애 방지 방법에서 악의적 공격 탐지 후에 이루어지는 접속 제어 방법을 보인 다른 예에 따른 순서도이다.
도 5에 도시된 바와 같이, 본 발명의 다른 실시 예에 따른 방어 모드에 따른 동작은 장애방지서버(300)에서의 동작은 도 4를 참조로 한 설명과 동일하다.
다만, 본 발명의 다른 실시 예에 따른 방어 모드에 따른 동작은 방어모드의 장애방지서버와 연동하는 서비스 서버(300)에서의 보안 동작이 추가된다.
구체적으로, 방어모드의 장애방지서버(300)가 사용자 인증에 성공한 사용자 단말을 서비스 서버(200)에 리다이렉션시키면, 서비스 서버(200)는 장애방지서버(300)로부터 암호화된 인증정보(쿠키)를 수신하고(S509a), 수신한 인증정보를 디코딩하여(S509b), 인증정보에 인증키가 존재하는지를 판단한다(S590c).
상기 S509c 과정의 판단으로, 서비스 서버(200)는 인증키가 존재하면 해당 사용자 단말에게 서비스를 제공하지만(S590d), 인증키가 존재하지 않으면 해당 사용자 단말의 IP를 차단 대상 IP로 등록한 후(S511), 접속을 차단한다(S512).
한편, 비정상접속 판단부(306)는 고정 임계치 또는 가변 임계치와의 비교를 통해 서비스 서버(200)로의 비정상 접속(즉, 비정상 트래픽)이라고 판단하면 알람을 통해 경고를 하는 기능을 더 가질 수 있다.
이상에서 설명한 본 발명의 실시 예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
10 : 정상 사용자 20 : 악의적 사용자
100 : 네트워크 장비 200 : 서비스 서버
300 : 장애방지서버

Claims (7)

  1. 사용자 단말과 서비스 서버 간의 네트워크 경로상에 위치한 네트워크 장비로부터 상기 서비스 서버로 제공되는 네트워크 트래픽을 수집하는 수집부,
    상기 수집부에 의해 수집된 네트워크 트래픽에 대하여 소스 IP별로 상기 서비스 서버로의 접속 횟수를 카운트하는 접속 카운트부,
    상기 수집부에 의해 수집된 네트워크 트래픽에 대하여 소스 IP별로 트래픽량을 산출하는 트래픽 산출부,
    상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량을 설정된 고정 임계치와 비교하고, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 고정 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하는 비정상접속 판단부,
    상기 비정상접속 판단부가 상기 비정상 접속이라고 판단하는 경우에, 상기 서비스 서버의 IP 주소를 자신의 IP 주소로 변경하고, 상기 서비스 서버에게 IP 주소 변경을 알리는 IP 변경부,
    상기 비정상접속 판단부가 상기 비정상 접속이라고 판단하는 경우에, 접속한 사용자 단말에 대하여 사용자 인증을 수행하는 사용자 인증부, 그리고
    상기 사용자 인증부로부터 사용자 인증에 성공한 사용자 단말을 상기 서비스 서버로 리다이렉션시키고, 사용자 인증에 성공하지 못한 사용자 단말을 접속 차단시키는 서비스접속 결정부를 포함하는 장애 방지 서버.
  2. 제1항에 있어서,
    상기 비정상접속 판단부는 상기 고정 임계치를 초과하지 않은 상기 소스 IP별 접속횟수와 상기 트래픽량을 설정된 가변 임계치와 비교하고, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 가변 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하되, 상기 가변 임계치는 상기 고정 임계치보다 낮은 값으로 설정되는 것을 특징으로 하는 장애 방지 서버.
  3. 제2항에 있어서,
    상기 가변 임계치는 이전주의 해당 요일/시간대에 발생된 접속 횟수와 트래픽량을 고려하여 결정되고 설정되는 것을 특징으로 하는 장애 방지 서버.
  4. 제3항에 있어서,
    상기 네트워크 장비는 라우터이며, 상기 네트워트 트래픽은 넷플로우(netflow)인 것을 특징으로 하는 장애 방지 서버.
  5. 장애방지서버가 네트워크 장비로부터 서비스 서버로 전송되는 네트워크 트래픽을 수집하는 제1 단계,
    상기 장애방지서버가 상기 수집된 네트워크 트래픽을 소스 IP별로 분류하여 상기 소스 IP별로 상기 서비스 서버로의 접속횟수와 트래픽량을 파악하는 제2 단계,
    상기 장애방지서버가 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량을 설정된 고정 임계치와 비교하는 제3 단계,
    상기 장애방지서버가 상기 비교에서 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 고정 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하는 제4 단계,
    상기 비정상 접속이라고 판단된 경우에, 상기 장애방지서버가 상기 서비스 서버의 IP 주소를 자신의 IP 주소로 변경하고 상기 서비스 서버에게 IP 주소 변경을 알리는 제5 단계,
    상기 장애방지서버가 상기 서비스 서버로의 접속을 요청한 사용자 단말과 접속하여 상기 사용자 단말에 대한 인증을 수행하는 제6 단계, 그리고
    상기 장애방지서버가 상기 서비스 인증에 성공한 사용자 단말에 대하여 상기 서비스 서버로 리다이렉션시키는 제7 단계를 포함하는 장애 방지 방법.
  6. 제5항에 있어서,
    상기 장애방지서버는 상기 제4 단계 이후에,
    상기 고정 임계치를 초과하지 않은 상기 소스 IP별 접속횟수와 상기 트래픽량을 설정된 가변 임계치와 비교하고, 상기 소스 IP별 접속횟수와 상기 소스 IP별 트래픽량 중 적어도 하나가 상기 가변 임계치를 초과하는 소스 IP에 대해 비정상 접속이라고 판단하는 제8 단계를 더 포함하되,
    상기 가변 임계치는 상기 고정 임계치보다 낮은 값인 것을 특징으로 하는 장애 방지 방법.
  7. 제6항에 있어서,
    상기 가변 임계치는 이전주의 해당 요일/시간대에 발생된 접속 횟수와 트래픽량을 고려하여 결정되고 설정되는 것을 특징으로 하는 장애 방지 방법.
KR1020100127676A 2010-04-19 2010-12-14 장애 방지 서버 및 방법 KR101231966B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020100035855 2010-04-19
KR20100035855 2010-04-19

Publications (2)

Publication Number Publication Date
KR20110116962A true KR20110116962A (ko) 2011-10-26
KR101231966B1 KR101231966B1 (ko) 2013-02-08

Family

ID=45031173

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100127676A KR101231966B1 (ko) 2010-04-19 2010-12-14 장애 방지 서버 및 방법

Country Status (1)

Country Link
KR (1) KR101231966B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101581400B1 (ko) * 2014-11-10 2015-12-31 안동대학교 산학협력단 감시카메라의 트래픽 감시 시스템 및 이를 이용한 트래픽 감시 방법
KR20180047078A (ko) * 2016-10-31 2018-05-10 삼성에스디에스 주식회사 웹 응용 서버의 클라이언트 세션 차단 방법 및 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102293044B1 (ko) 2020-10-20 2021-08-25 주식회사 지케스 융합관리 플랫폼인 아이씨밤의 트래픽 성능 오탐방지 및 장애예측 장치

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
KR20050002542A (ko) * 2003-06-30 2005-01-07 주식회사 케이티 Ngn망에서 서비스거부공격 차단 방법
KR20050051269A (ko) * 2003-11-27 2005-06-01 주식회사 케이티 인터넷상의 서비스 포트 공격 차단 시스템 및 방법
KR100832536B1 (ko) * 2006-11-06 2008-05-27 한국전자통신연구원 대규모 네트워크에서의 보안 관리 방법 및 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101581400B1 (ko) * 2014-11-10 2015-12-31 안동대학교 산학협력단 감시카메라의 트래픽 감시 시스템 및 이를 이용한 트래픽 감시 방법
KR20180047078A (ko) * 2016-10-31 2018-05-10 삼성에스디에스 주식회사 웹 응용 서버의 클라이언트 세션 차단 방법 및 장치
US10701178B2 (en) 2016-10-31 2020-06-30 Samsung Sds Co., Ltd. Method and apparatus of web application server for blocking a client session based on a threshold number of service calls

Also Published As

Publication number Publication date
KR101231966B1 (ko) 2013-02-08

Similar Documents

Publication Publication Date Title
US9848016B2 (en) Identifying malicious devices within a computer network
US9781157B1 (en) Mitigating denial of service attacks
Yatagai et al. Detection of HTTP-GET flood attack based on analysis of page access behavior
US10097578B2 (en) Anti-cyber hacking defense system
Wu et al. An effective architecture and algorithm for detecting worms with various scan techniques
US8302180B1 (en) System and method for detection of network attacks
US10187422B2 (en) Mitigation of computer network attacks
CN105577608B (zh) 网络攻击行为检测方法和装置
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US20100071054A1 (en) Network security appliance
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US9253153B2 (en) Anti-cyber hacking defense system
Rajkumar A survey on latest DoS attacks: classification and defense mechanisms
KR100973076B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법
Al‐Hammouri et al. ReCAP: a distributed CAPTCHA service at the edge of the network to handle server overload
KR101231966B1 (ko) 장애 방지 서버 및 방법
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
KR101794746B1 (ko) 네트워크의 침입을 탐지하는 방법, 방화벽 시스템 및 컴퓨터 판독 가능한 기록 매체
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
CN114189360B (zh) 态势感知的网络漏洞防御方法、装置及系统
CN113037841B (zh) 一种提供分布式拒绝攻击的防护方法
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection
Atighetchi et al. PhishBouncer: An HTTPS proxy for attribute-based prevention of Phishing Attacks
Razaque et al. Restoring the privacy and confidentiality of users over Mobile collaborative learning (MCL) environment

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151217

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180219

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190131

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200204

Year of fee payment: 8