KR20120040935A - 의심 패킷에 대한 대응 방법 및 스위칭 장치 - Google Patents

의심 패킷에 대한 대응 방법 및 스위칭 장치 Download PDF

Info

Publication number
KR20120040935A
KR20120040935A KR1020100102454A KR20100102454A KR20120040935A KR 20120040935 A KR20120040935 A KR 20120040935A KR 1020100102454 A KR1020100102454 A KR 1020100102454A KR 20100102454 A KR20100102454 A KR 20100102454A KR 20120040935 A KR20120040935 A KR 20120040935A
Authority
KR
South Korea
Prior art keywords
packet
modulated
normal
restoration information
received
Prior art date
Application number
KR1020100102454A
Other languages
English (en)
Other versions
KR101151306B1 (ko
Inventor
김준모
나연묵
방성일
Original Assignee
단국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 단국대학교 산학협력단 filed Critical 단국대학교 산학협력단
Priority to KR1020100102454A priority Critical patent/KR101151306B1/ko
Publication of KR20120040935A publication Critical patent/KR20120040935A/ko
Application granted granted Critical
Publication of KR101151306B1 publication Critical patent/KR101151306B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

개시된 기술은 의심 패킷에 대한 대응 방법 및 스위칭 장치에 관한 것이다. 실시예들 중에서, 의심 패킷에 대한 대응 방법에 있어서, 스위칭 장치가 네트워크로부터 패킷을 수신하는 단계; 상기 스위칭 장치가 상기 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 해당 패킷을 선택하는 단계; 상기 선택된 패킷의 실행 코드가 실행되지 않도록 상기 선택된 패킷을 변조하는 단계; 및 상기 스위칭 장치가 상기 변조된 패킷을 해당 패킷 주소로 송신하는 단계를 포함한다.

Description

의심 패킷에 대한 대응 방법 및 스위칭 장치 {METHOD AND SWITCHING APPARATUS TO TREAT AGAINST SUSPECTED PACKET}
개시된 기술은 의심 패킷에 대한 대응 방법 및 스위칭 장치에 관한 것이다.
인터넷을 구성하는 각종 스위치에서 동일한 코드를 가진 패킷들이 대거 불특정 다수의 주소로 전송된다면, 보안상 문제를 일으킬 수 있으므로 동일한 코드를 가진 다수의 패킷들에 대해 적절히 대응할 필요가 있다. 하지만, 동일한 코드를 가진 다수의 패킷들이 DDOS(Distribute Denial of Service) 공격을 위한 것이라는 사실이 판정되기까지는 보안에 위배된다는 근거가 없으므로 함부로 대응할 수 없다. 동일한 코드를 가진 다수의 패킷들의 전송이 정상 트래픽일 가능성도 있기 때문이다. 하지만, 동일한 코드를 가진 다수의 패킷들의 전송이 악성행위에 해당하는 것이 확인될 때까지 기다리는 동안 걷잡을 수 없는 상황이 될 수도 있다.
개시된 기술이 이루고자 하는 기술적 과제는, 악성 행위가 의심되는 패킷의 실행 코드에 변경을 가하여 실행 코드를 무력화하고, 나중에 악성 행위가 의심되는 패킷들이 정상 패킷으로 판별되면 변경된 패킷을 쉽게 복구할 수 있게 하는 데 있다.
또한, 개시된 기술이 이루고자 하는 기술적 과제는, 악성 행위가 의심되는 패킷에 대하여, 악성 행위가 확인되기 전에 보안 조치를 적용할 수 있게 하는 데 있다.
상기의 기술적 과제를 이루기 위해 개시된 기술의 제 1 측면은, 의심 패킷에 대한 대응 방법에 있어서, 스위칭 장치가 네트워크로부터 패킷을 수신하는 단계; 상기 스위칭 장치가 상기 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 해당 패킷을 선택하는 단계; 상기 선택된 패킷의 실행 코드가 실행되지 않도록 상기 선택된 패킷을 변조하는 단계; 및 상기 스위칭 장치가 상기 변조된 패킷을 해당 패킷 주소로 송신하는 단계를 포함한다.
상기의 기술적 과제를 이루기 위해 개시된 기술의 제 2 측면은, 의심 패킷에 대한 스위칭 장치에 있어서, 패킷을 송신 및 수신하는 스위치; 상기 수신된 패킷을 모니터링하여 악성 행위 의심 패킷을 감지하는 패킷 감지부; 및 상기 감지된 패킷의 실행 코드가 실행되지 않도록 상기 감지된 패킷을 변조하는 패킷 변조부를 포함한다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
개시된 기술에 따르면, 악성 행위가 의심되는 패킷의 실행 코드에 대해 일부의 실행 코드에 변경을 가하는 방법으로 실행코드를 무력화할 수 있다. 또한, 의심 패킷이 나중에 정상 패킷으로 판별될 경우에는 변경된 패킷을 복구할 수 있다.
또한, 개시된 기술에 따르면, 악성 행위가 의심되는 데이터의 흐름에 대하여, 네트워크를 관리하는 기관에서 자유로운 보안 정책 적용을 할 수 있고, 스위칭 장치로 연결된 디바이스, 컴퓨터 또는 서버의 기하급수적인 악성 행위의 감염을 방지할 수 있다.
도 1은 개시된 기술의 일 실시예에 따른 스위칭 장치를 나타내는 도면이다.
도 2는 개시된 기술의 일 실시예에 따른 의심 패킷에 대한 대응 방법을 나타내는 도면이다.
도 3은 개시된 기술의 일 실시예에 따른 의심 패킷에 대한 대응 방법을 나타내는 순서도이다.
도 4는 개시된 기술의 일 실시예에 따른 패킷의 원형 시프트를 나타내는 도면이다.
개시된 기술에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 개시된 기술이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 개시된 기술의 일 실시예에 따른 스위칭 장치를 나타내는 도면이다. 도 1 을 참조하면, 스위칭 장치(100)는 스위치(110), 패킷 감지부(120), 패킷 변조부(130), 패킷 판단부(140) 및 복원 정보 송신부(150)를 포함한다.
스위치(110)는 네트워크로부터 패킷을 수신하고, 해당 패킷 주소로 패킷을 송신한다. 스위치(110)는 수신된 패킷을 해당 패킷 주소로 송신한다. 그러나, 패킷 감지부(120)가 수신된 패킷을 악성 행위가 의심되는 패킷으로 감지한 경우에는, 패 킷 변조부(130)에서 패킷을 변조하고 스위치(110)는 수신된 패킷과 다른 변조된 패킷을 해당 패킷 주소로 송신한다.
패킷 감지부(120)는 스위칭 장치(100)가 네트워크로부터 수신된 패킷을 모니터링하여 악성 행위 의심 패킷을 감지한다. 악성 행위로 의심될 수 있는 패킷들을 스위치(100)를 통하여 송신할 경우에는 DDOS(Distribute Denial of Service) 공격과 같은 보안상 문제가 발생할 수 있기 때문이다. 일 실시예로서, 패킷 감지부(120)는 스위칭 장치(100)가 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 해당 수신 패킷을 감지할 수 있다. DDOS 공격 패킷은 하나의 패킷에 악성 행위를 하는 짧은 실행코드를 포함하는 형태로서, 패킷 감지부(120)는 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 악성 행위의 의심 패킷으로 볼 수 있다.
패킷 변조부(130)는 패킷 감지부(120)에서 악성 행위가 의심되는 패킷으로 감지된 패킷에 대하여 실행 코드가 실행되지 않도록 패킷을 변조한다. 패킷에 포함된 실행 코드 중 일부만이 변경되어도 패킷은 실행이 될 수 없기 때문이다. 패킷 변조부(130)는 악성 행위가 의심되는 패킷의 실행 코드 중 적어도 일부 실행 코드를 원형 시프트하는 방식으로 변조할 수 있다. 일 실시예로서, 실행 코드의 1 비트를 제 1 방향으로 시프트하는 방식으로 변조할 수 있다. 패킷의 실행 코드의 일부가 변경되어도 실행이 되지 않으므로, 실행 코드의 무력화를 위해서는 단순하게 1 비트를 시프트하여 실행이 되지 않게 할 수 있다. 다른 일 실시예로서, 실행 코드의 비트를 임의적으로 시프트하는 방식으로 변조하는 것이 가능하다. 임의적인 규칙을 적용하는 이유는 DDOS 공격 시간동안 해커가 무력화된 패킷을 바로 복원하지 못하게 하기 위함이다. 임의적인 규칙을 적용할 경우에는, 해커 입장에서 짧은 공격시간 내에 임의적인 규칙을 파악하여 복원하기 힘들 수 있다.
패킷 판단부(140)는 스위칭 장치(100)가 해당 패킷 주소로 송신한 패킷이 정상 패킷인지 여부를 판단한다. 여기에서, 송신된 패킷은 패킷 감지부(120)가 악성 행위가 의심되는 패킷으로 감지하여 실행 코드의 일부가 변조되어 해당 패킷 주소로 송신된 패킷을 의미한다. 패킷 판단부(140)는 송신된 패킷이 정상 패킷인 것으로 판단한 경우에는 일부 실행 코드가 변조된 패킷을 복원하도록 판단할 수 있고, 송신된 패킷이 악성 패킷인 것으로 판단한 경우에는 변조된 패킷을 복원하지 않을 수 있다.
복원 정보 송신부(150)는 스위칭 장치(100)가 해당 패킷 주소로 송신한 패킷을 패킷 판단부(140)가 정상 패킷으로 판단한 경우에, 정상 패킷으로 복원할 수 있는 정보를 해당 패킷 주소로 송신한다. 보다 상세하게는, 악성 행위가 의심되어 일부 실행 코드를 변조하여 송신한 패킷을 정상적으로 동작하게 하기 위하여 해당 패킷 주소의 컴퓨터가 복원할 수 있는 복원 정보를 송신한다. 일 실시예로서, 패킷 변조부(130)에서 실행 코드의 1 비트를 제 1 방향으로 시프트하는 방식으로 변조한 경우에는, 실행 코드의 1 비트를 제 1 방향과 반대되는 방향으로 시프트하는 복원 정보를 송신할 수 있다. 다른 일 실시예로서, 패킷 변조부(130)에서 실행 코드의 비트를 임의적으로 시프트하는 방식으로 변조한 경우에는, 임의적으로 시프트한 방식과 반대로 시프트하는 복원 정보를 송신할 수 있다.
한편, 스위칭 장치(100)는 별도의 프로세서를 포함하며, 별도의 프로세서와 스위치(110)가 물리적으로 연결될 수 있다. 여기에서, 별도의 프로세서는 패킷 감지부(120), 패킷 변조부(130), 패킷 판단부(140) 및 복원 정보 송신부(150)를 포함할 수 있다. 별도의 소형 프로세서를 통하여 인터넷상의 네트워크 시스템에 부하가 적게 걸리도록 할 수 있다. 다만, 패킷 판단부(140)의 경우에는 별도의 프로세서에 포함되지 않고 외부에 존재할 수 있고, 사람이 직접 송신된 패킷이 정상 패킷인지 판단하는 것이 가능하다.
도 2는 개시된 기술의 일 실시예에 따른 의심 패킷에 대한 대응 방법을 나타내는 도면이다. 도 2를 참조하면, 스위칭 장치(100)는 네트워크로부터 악성 행위로 의심되는 패킷을 수신한다. 스위치(110)에서 수신된 패킷은 해당 패킷 주소로 송신된다. 패킷 감지부(120)는 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 해당 패킷을 선택한다. 패킷 감지부(120)에서 악성 행위로 의심되는 패킷으로 판단한 경우에, 패킷 변조부(130)는 악성 행위로 의심되는 패킷을 패킷의 실행 코드의 적어도 일부를 변조하여 실행을 불가능하게 한다. 일 실시예로서, 선택된 패킷의 실행 코드 중 적어도 일부 실행 코드를 원형 시프트하는 방식으로 변조할 수 있다. 스위치(110)는 변조된 패킷을 해당 패킷 주소로 송신된다. 패킷을 변조하는 것은 일종의 보안 장치 역할을 하여 악성 행위가 의심되는 패킷이 해당 패킷 주소에서 실행되지 않게 할 수 있다. 패킷 판단부(140)는 변조된 패킷이 정상 패킷인지 판단한다. 변조되어 해당 패킷 주소로 송신된 패킷이 악성 행위가 의심되는 패킷인 경우에는 문제되지 않으나, 송신된 패킷이 정상 패킷인 경우에는 복원 정보 송신부(150)는 해당 패킷 주소의 컴퓨터로 복원 정보를 전송한다. 해당 패킷 주소의 컴퓨터는 복원 정보를 수신하고, 복원 정보를 통하여 변조된 패킷을 정상 패킷으로 복원하여 정상적인 실행이 가능하게 할 수 있다.
도 3은 개시된 기술의 일 실시예에 따른 의심 패킷에 대한 대응 방법을 나타내는 순서도이다. 도 3을 참조하면, 스위칭 장치(100)는 네트워크로부터 패킷을 수신한다(S210). 스위치(110)를 통하여 패킷을 수신하고, 수신되는 패킷에는 보안상 문제를 일으키지 않는 정상 패킷과 DDOS와 같은 보안상 문제를 일으킬 수 있는 악성 행위가 의심되는 패킷이 포함될 수 있다.
스위칭 장치(100)는 수신된 패킷을 모니터링하여 악성 행위가 의심되는 패킷을 선택한다(S220). 보다 상세하게는, 패킷 감지부(120)는 수신된 패킷들 중에서 실행 코드의 내용에 비추어 악성 행위가 의심되는 패킷을 선택할 수 있다. 악성 행위로 의심될 수 있는 패킷들을 스위치(100)를 통하여 송신할 경우에는 DDOS(Distribute Denial of Service) 공격과 같은 보안상 문제를 일으킬 수 있기 때문이다. 일 실시예로서, 패킷 감지부(120)는 스위칭 장치(100)가 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 해당 수신 패킷을 악성 행위가 의심되는 패킷으로 선택할 수 있다. DDOS 공격 패킷은 하나의 패킷에 악성 행위를 하는 짧은 실행코드를 포함하는 형태이므로, 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 악성 행위의 의심 패킷으로 볼 수 있다. 여기에서, 악성 행위가 의심되는 패킷을 선택하는 단계는 스위치(110)와 물리적으로 연결될 수 있는 별도의 프로세서에서 이루어질 수 있다.
스위칭 장치(100)는 선택된 패킷의 실행 코드가 실행되지 않도록 선택된 패킷을 변조한다(S230). 보다 상세하게는, 패킷 변조부(130)가 악성 행위가 의심되는 패킷으로 선택된 패킷의 실행 코드의 적어도 일부를 변조하여 실행되지 않도록 한다. 패킷에 포함된 실행 코드 중 일부가 변경되어도 패킷은 실행이 될 수 없고 일부를 변경하는 것이 컴퓨터 및 네트워크에 부하를 적게 발생시키기 때문이다. 패킷 변조부(130)는 악성 행위가 의심되는 패킷의 실행 코드 중 적어도 일부 실행 코드를 원형 시프트하는 방식으로 변조할 수 있다. 일 실시예로서, 실행 코드의 1 비트를 제 1 방향으로 시프트하는 방식으로 변조하는 것이 가능하다. 패킷의 실행 코드의 일부가 변경되어도 실행이 되지 않고, 이후에 정상 패킷으로 판단되어 복원될 경우에도 간단하게 복원할 수 있기 때문이다. 다른 일 실시예로서, 실행 코드의 비트를 임의적으로 시프트하는 방식으로 변조하는 것이 가능하다. 임의적인 규칙을 적용하는 이유는 DDOS 공격 시간동안 해커가 무력화된 패킷을 바로 복원하지 못하게 하기 위함이다. 임의적인 규칙을 적용할 경우에는, 해커 입장에서 짧은 공격시간 내에 임의적인 규칙을 파악하여 복원하기 힘들기 때문이다. 다른 일 실시예로서, 실행 코드의 적어도 일부를 인코딩(Encoding)하는 것도 가능하다. 실행 코드를 인코딩하는 것은 종래 기술로 구현이 가능하며 이 분야에 종사하는 자라면 충분히 이해할 수 있을 것이다. 여기에서, 패킷을 변조하는 단계는 스위치(110)와 물리적으로 연결될 수 있는 별도의 프로세서에서 이루어질 수 있다.
스위칭 장치(100)는 변조된 패킷을 해당 패킷 주소로 송신한다(S240). 스위치(110)는 패킷을 송신하고 수신하는 역할을 하는 것으로서, 악성 행위가 의심되어 패킷 변조부(130)에서 변조된 패킷을 해당 패킷 주소로 송신할 수 있다.
스위칭 장치(100)는 변조된 패킷이 정상 패킷인지 판단한다(S250). 패킷 판단부(140)는 적어도 일부의 실행코드가 변조된 패킷이 정상 패킷인지 판단한다. 패킷 판단부(140)는 변조된 패킷이 정상 패킷이 아닌 것으로 판단된 경우에는 보안을 위하여 변조된 패킷을 정상 패킷으로 복원하지 않을 수 있다. 그러나, 패킷 판단부(140)가 변조된 패킷이 정상 패킷인 것으로 판단한 경우에는 변조된 패킷을 정상 패킷으로 복원할 수 있다. 여기에서, 정상 패킷인지 판단하는 단계는 스위치(110)와 물리적으로 연결될 수 있는 별도의 프로세서에서 이루어지거나 사람에 의해 직접 판단될 수 있다.
변조된 패킷이 정상 패킷으로 판단된 경우에는, 스위칭 장치(100)는 해당 패킷 주소로 복원 정보를 송신한다(S260). 보다 상세하게는, 복원 정보 송신부(150)는 악성 행위가 의심되어 적어도 일부의 실행 코드를 변조하여 송신된 패킷을 정상적으로 동작하게 하기 위하여 해당 패킷 주소의 컴퓨터가 패킷을 복원하기 위한 복원 정보를 송신한다. 일 실시예로서, 패킷 변조부(130)에서 실행 코드의 1 비트를 제 1 방향으로 시프트하는 방식으로 변조한 경우에는, 실행 코드의 1 비트를 제 1 방향과 반대되는 방향으로 시프트하는 복원 정보를 송신할 수 있다. 다른 일 실시예로서, 패킷 변조부(130)에서 실행 코드의 비트를 임의적으로 시프트하는 방식으로 변조한 경우에는, 임의적으로 시프트한 방식과 반대로 시프트하는 복원 정보를 송신할 수 있다. 다른 일 실시예로서, 패킷 변조부(130)에서 실행 코드의 일부를 인코딩(Encoding)하는 방식으로 변조한 경우에는, 실행 코드의 적어도 일부를 디코딩(Decoding)하는 복원 정보를 송신하여 정상 패킷으로 복원하게 할 수 있다. 실행 코드를 디코딩하는 것은 종래 기술로 구현이 가능하며 이 분야에 종사하는 자라면 충분히 이해할 수 있을 것이다. 여기에서, 복원 정보를 송신하는 단계는 스위치(110)와 물리적으로 연결될 수 있는 별도의 프로세서에서 이루어질 수 있다.
변조된 패킷은 복원 정보를 이용하여 정상 패킷으로 복원된다(S270). 여기에서, 변조된 패킷을 정상 패킷으로 복원하는 단계는 변조된 패킷을 수신한 주소의 컴퓨터에서 이루어질 수 있다. 컴퓨터가 수신된 복원 정보를 이용하여 변조된 패킷을 정상 패킷으로 복원하는 경우에 패킷은 정상적으로 실행 가능할 것이다.
도 4는 개시된 기술의 일 실시예에 따른 패킷의 원형 시프트를 나타내는 도면이다. 도 4를 참조하면, 패킷 변조부(130)는 악성 행위가 의심되는 패킷을 1 비트씩 오른쪽으로 원형 시프트하여 변조할 수 있다. 따라서, 원래 '1011 1000 1111 0000'이었던 실행코드는 1 비트를 오른쪽으로 시프트하여 '0101 1100 0111 1000'으로 변조된다. 실행 코드가 무력화되기 위해서는, 패킷의 실행 코드 중 일부만 변경되어도 가능하므로, 1 비트를 시프트하여 실행 코드를 무력화할 수 있다. 여기에서, 실행코드는 워드 단위로 처리되고, 하나의 워드를 임의적인 규칙에 따라서 비트 단위로 시프트할 수 있다. 도 4에 나타난 변조된 패킷이 정상 패킷으로 판단된 경우에는, 복원 정보 송신부(150)는 변조된 패킷을 1 비트씩 왼쪽으로 원형 시프트하는 복원 정보를 해당 패킷 주소로 송신할 수 있다. 다른 일 실시예로서, 패킷 변조부(130)는 도 4에 나타난 의심 패킷을 2 비트씩 오른쪽으로 원형 시프트하여 변조할 수 있다. 도 4에 나타난 '1011 1000 1111 0000'을 2 비트를 오른쪽으로 시프트하여 '0010 1110 0011 1100'으로 변조할 수 있다. 여기에서, 변조된 패킷이 정상 패킷으로 판단된 경우에 복원 정보 송신부(150)는 변조된 패킷을 2비트씩 왼쪽으로 원형 시프트하는 복원 정보를 해당 패킷 주소로 송신할 수 있다. 한편, 악성 행위가 의심되는 패킷에 임의적인 규칙을 적용하여 패킷을 변조하는 것이 가능하다. DDOS 공격 시간동안 해커가 무력화된 패킷을 바로 복원하지 못하도록 예방하는 것으로서, 해커 입장에서 짧은 공격시간에 임의의 규칙을 파악하여 복원 방법을 알아내는 것이 힘들 수 있기 때문이다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 스위칭 장치 110 : 스위치
120 : 패킷 감지부 130 : 패킷 변조부
140 : 패킷 판단부 150 : 복원 정보 송신부

Claims (14)

  1. 스위칭 장치가 네트워크로부터 패킷을 수신하는 단계;
    상기 스위칭 장치가 상기 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 해당 패킷을 선택하는 단계;
    상기 선택된 패킷의 실행 코드가 실행되지 않도록 상기 선택된 패킷을 변조하는 단계; 및
    상기 스위칭 장치가 상기 변조된 패킷을 해당 패킷 주소로 송신하는 단계를 포함하는 의심 패킷에 대한 대응 방법.
  2. 제 1 항에 있어서,
    상기 변조된 패킷이 정상 패킷인지 판단하는 단계를 더 포함하는 의심 패킷에 대한 대응 방법.
  3. 제 2 항에 있어서,
    상기 스위칭 장치가 상기 해당 패킷 주소로 복원 정보를 송신하는 단계를 더 포함하는 의심 패킷에 대한 대응 방법.
  4. 제 3 항에 있어서,
    상기 판단하는 단계에서, 상기 변조된 패킷이 정상 패킷으로 판단된 경우에, 상기 변조된 패킷을 상기 복원 정보에 의해 복원하는 단계를 더 포함하는 의심 패킷에 대한 대응 방법.
  5. 제 4 항에 있어서,
    상기 변조하는 단계에서 상기 선택된 패킷의 상기 실행 코드 중 적어도 일부 실행 코드를 원형 시프트하는 방식으로 변조하는 의심 패킷에 대한 대응 방법.
  6. 제 5 항에 있어서,
    상기 복원하는 단계에서 상기 변조된 패킷의 상기 실행 코드 중 상기 적어도 일부 실행 코드를 상기 변조하는 단계에서 수행되는 상기 원형 시프트의 반대방향으로 원형 시프트하는 방식으로 복원하는 의심 패킷에 대한 대응 방법.
  7. 제 4 항에 있어서,
    상기 변조된 패킷을 복원하는 단계는 상기 변조된 패킷을 수신한 주소의 컴퓨터에서 이루어지는 의심 패킷에 대한 대응 방법.
  8. 패킷을 송신 및 수신하는 스위치;
    상기 수신된 패킷을 모니터링하여 악성 행위 의심 패킷을 감지하는 패킷 감지부; 및
    상기 감지된 패킷의 실행 코드가 실행되지 않도록 상기 감지된 패킷을 변조하는 패킷 변조부를 포함하는 의심 패킷에 대한 스위칭 장치.
  9. 제 8 항에 있어서,
    상기 패킷 감지부는 상기 스위칭 장치가 상기 수신된 패킷을 모니터링하여 동일한 실행 코드가 반복되면 해당 수신 패킷을 감지하는 의심 패킷에 대한 스위칭 장치.
  10. 제 8 항에 있어서,
    상기 변조된 패킷이 정상 패킷인지 판단하는 패킷 판단부를 더 포함하는 의심 패킷에 대한 스위칭 장치.
  11. 제 10 항에 있어서,
    상기 스위칭 장치가 패킷 주소로 복원 정보를 송신하는 복원 정보 송신부를 더 포함하는 의심 패킷에 대한 스위칭 장치.
  12. 제 11 항에 있어서,
    상기 변조된 패킷이 정상 패킷에 해당하는 경우에, 상기 변조된 패킷을 상기 복원 정보에 의해 복원하는 패킷 복원부를 더 포함하는 의심 패킷에 대한 스위칭 장치.
  13. 제 12 항에 있어서,
    상기 패킷 변조부는 상기 감지된 패킷의 상기 실행 코드 중 적어도 일부 실행 코드를 원형 시프트하는 방식으로 변조하는 의심 패킷에 대한 스위칭 장치.
  14. 제 13 항에 있어서,
    상기 패킷 복원부는 상기 변조된 패킷의 상기 실행 코드 중 상기 적어도 일부 실행 코드를 상기 변조하는 단계에서 수행되는 상기 원형 시프트의 반대방향으로 원형 시프트하는 방식으로 복원하는 의심 패킷에 대한 스위칭 장치.

KR1020100102454A 2010-10-20 2010-10-20 의심 패킷에 대한 대응 방법 및 스위칭 장치 KR101151306B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100102454A KR101151306B1 (ko) 2010-10-20 2010-10-20 의심 패킷에 대한 대응 방법 및 스위칭 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100102454A KR101151306B1 (ko) 2010-10-20 2010-10-20 의심 패킷에 대한 대응 방법 및 스위칭 장치

Publications (2)

Publication Number Publication Date
KR20120040935A true KR20120040935A (ko) 2012-04-30
KR101151306B1 KR101151306B1 (ko) 2012-06-08

Family

ID=46140669

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100102454A KR101151306B1 (ko) 2010-10-20 2010-10-20 의심 패킷에 대한 대응 방법 및 스위칭 장치

Country Status (1)

Country Link
KR (1) KR101151306B1 (ko)

Also Published As

Publication number Publication date
KR101151306B1 (ko) 2012-06-08

Similar Documents

Publication Publication Date Title
US9853998B2 (en) Mitigation of computer network attacks
US20180241771A1 (en) Unobtrusive and Dynamic DDoS Mitigation
WO2011027496A1 (ja) 不正プロセス検知方法および不正プロセス検知システム
CN109845227B (zh) 用于网络安全的方法和系统
US10193868B2 (en) Safe security proxy
KR20140022975A (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
Gasior et al. Exploring covert channel in android platform
CA2887428A1 (en) A computer implemented system and method for secure path selection using network rating
US10205738B2 (en) Advanced persistent threat mitigation
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
Zi et al. Implementing a passive network covert timing channel
KR101151306B1 (ko) 의심 패킷에 대한 대응 방법 및 스위칭 장치
CN105743863A (zh) 一种对报文进行处理的方法及装置
JP2015207912A (ja) 情報提供装置および情報提供方法
KR100956498B1 (ko) 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법
KR101104959B1 (ko) 네트워크 패킷 전달 장치 및 방법
US10616094B2 (en) Redirecting flow control packets
CN113810380A (zh) 代理层次切换方法、系统、可读存储介质及计算机设备
US10104104B1 (en) Security alerting system with network blockade policy based on alert transmission activity
Chourib et al. Adaptive warden strategy for countering network covert storage channels
Rodosek et al. Cyber security: challenges and application areas
KR101717697B1 (ko) 가상화 환경에서의 침입 감내 시스템 및 그 방법
CN113542302B (zh) 攻击干扰方法、装置、网关及可读存储介质
CN110971680B (zh) 通信方法、装置、系统、电子设备及可读存储介质
CN114157441A (zh) 请求处理系统、方法、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150417

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160325

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180411

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee