KR20120059914A - Method And Apparatus For Evaluating Products Of Detecting DDoS Attack - Google Patents

Method And Apparatus For Evaluating Products Of Detecting DDoS Attack Download PDF

Info

Publication number
KR20120059914A
KR20120059914A KR1020100121418A KR20100121418A KR20120059914A KR 20120059914 A KR20120059914 A KR 20120059914A KR 1020100121418 A KR1020100121418 A KR 1020100121418A KR 20100121418 A KR20100121418 A KR 20100121418A KR 20120059914 A KR20120059914 A KR 20120059914A
Authority
KR
South Korea
Prior art keywords
connection
attack
server
ddos attack
product
Prior art date
Application number
KR1020100121418A
Other languages
Korean (ko)
Inventor
박혜숙
강경순
조현제
이명우
황강욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100121418A priority Critical patent/KR20120059914A/en
Publication of KR20120059914A publication Critical patent/KR20120059914A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 DDoS 공격 탐지 제품에 대한 평가 방법 및 장치로서, DDoS 공격 탐지 제품에 대한 평가 방법은 정상 패킷에 의한 연결 완료 메시지의 레이트와 연결 요청 레이트를 측정하는 단계, 전체 연결 요청 레이트를 측정하는 단계, 측정 값을 기반으로 연결 실패 확률을 산출하는 단계, 산출된 연결 실패 확률과 소정의 기준 실패 확률을 비교하는 단계, 연결 실패 확률이 기준 실패 확률보다 큰 경우에, 평가 대상 제품이 DDoS 공격을 탐지하였는지 판단하는 단계 및 이 판단에 기반하여, 평가 대상 제품의 성능을 평가하는 단계를 포함한다. 본 발명에 의하면, 네트워크상의 서버에 대한 공격을 네트워크 인입단에 위치한 라우팅 장치에서 탐지하는 제품의 성능을 정확하게 평가할 수 있으므로, 서버에 대한 공격을 효과적으로 막아내는 제품을 이용하여, 서버의 보호에 만전을 기할 수 있다.The present invention provides a method and apparatus for evaluating a DDoS attack detection product. The method for evaluating a DDoS attack detection product includes measuring a connection completion message rate and a connection request rate by a normal packet, and measuring an overall connection request rate. Calculating a connection failure probability based on the measured value, comparing the calculated connection failure probability with a predetermined reference failure probability, and when the connection failure probability is greater than the reference failure probability, the evaluated product detects the DDoS attack. And determining the performance of the product to be evaluated based on the determination. According to the present invention, it is possible to accurately evaluate the performance of a product that detects an attack on a server on a network by a routing device located at a network entry point. It can be done.

Description

분산 서비스 거부 공격 탐지용 제품에 대한 평가 방법 및 평가 장치{Method And Apparatus For Evaluating Products Of Detecting DDoS Attack}Evaluation Method and Apparatus for Products for Detecting Distributed Denial of Service Attacks {Method And Apparatus For Evaluating Products Of Detecting DDoS Attack}

본 발명은 네트워크상의 서버, 라우터, 스위치 등을 보호하기 위한 방법에 관한 것으로서, 더 구체적으로는 네트워크상의 서버, 라우터, 스위치 등에 대한 공격을 탐지하는 방법에 관한 것이다. The present invention relates to a method for protecting a server, a router, a switch, and the like on a network, and more particularly, to a method for detecting an attack on a server, a router, a switch, and the like on a network.

인터넷을 비롯한 네트워크 기술이 발달함에 따라서, 네트워크상의 취약점을 노리는 공격도 증가하고 있다. 네트워크상의 공격은 점차 무차별적이고 자동화되어 가고 있다. As network technologies, including the Internet, have evolved, more and more attacks are targeting vulnerabilities on the network. Attacks on the network are becoming increasingly indiscriminate and automated.

이런 공격들의 유형은 크게 3 가지로, 시스템의 취약점을 이용하거나 소프트웨어로 구현되는 버그를 이용하는 방법, 공격 대상이 이용할 수 있는 자원을 모두 소모하게 하는 방법, 가용 대역폭을 모두 소모하게 하는 방법 등이 있다. There are three main types of attacks: exploiting system vulnerabilities or using bugs implemented in software, using up all available resources for the target, and using up all available bandwidth. .

특히 인터넷의 경우는 네트워크 보안이 상호 의존적이므로 보안이 침해된 곳을 통해 다른 호스트들을 공격하기 용이하다. 또한, 인터넷의 호스트, 네트워크 등은 모두 제한된 자원을 가지고 운용되기 때문에, 처리 대역폭, 작업 처리량, 저장 용량 등이 모두 제한되어 있어, 공격의 대상이 되기 쉽다. 비연결적인 IP(Internet Protocol)의 성질은 침입자를 추적을 어렵게 만든다. Especially in the case of the Internet, network security is interdependent, so it is easy to attack other hosts through the compromised security. In addition, since hosts, networks, and the like of the Internet all operate with limited resources, processing bandwidth, throughput, storage capacity, and the like are all limited, and thus are susceptible to attack. The nature of the connectionless Internet Protocol (IP) makes it difficult to track intruders.

본 발명은 네트워크상의 서버에 대한 공격을 탐지하는 제품의 성능을 정확하게 평가할 수 있는 방법을 제공하는 것을 목적으로 한다.An object of the present invention is to provide a method for accurately evaluating the performance of a product for detecting an attack on a server on a network.

본 발명은, 네트워크상의 서버에 대한 공격을 네트워크 인입단(引入端)에 위치한 라우팅 장치에서 탐지하는 제품의 성능을 정확하게 평가하는 방법을 통하여, 서버에 대한 공격을 효과적으로 막아내는 제품을 선택해서 사용할 수 있도록 하는 것을 목적으로 한다.The present invention can select and use a product that effectively prevents an attack on a server through a method for accurately evaluating the performance of a product that detects an attack on a server on a network by a routing device located at a network entrance. The purpose is to make sure.

본 발명은 일 양태는 DDoS 공격 탐지 제품에 대한 평가 방법으로서, 정상 패킷에 의한 연결 완료 메시지의 레이트와 연결 요청 레이트를 측정하는 단계, 전체 연결 요청 레이트를 측정하는 단계, 측정 값을 기반으로 연결 실패 확률을 산출하는 단계, 산출된 연결 실패 확률과 소정의 기준 실패 확률을 비교하는 단계, 연결 실패 확률이 기준 실패 확률보다 큰 경우에, 평가 대상 제품이 DDoS 공격을 탐지하였는지 판단하는 단계 및 이 판단에 기반하여, 평가 대상 제품의 성능을 평가하는 단계를 포함한다. According to an aspect of the present invention, there is provided a method for evaluating a DDoS attack detection product, comprising: measuring a connection completion message rate and a connection request rate by a normal packet, measuring an overall connection request rate, and a connection failure based on a measurement value Calculating a probability, comparing the calculated connection failure probability with a predetermined reference failure probability, determining whether the evaluation target product detects a DDoS attack when the connection failure probability is greater than the reference failure probability, and the judgment Based on evaluating the performance of the product under evaluation.

본 발명에 의하면, 네트워크상의 서버에 대한 공격을 탐지하는 제품의 성능을 정확하게 평가할 수 있다.According to the present invention, it is possible to accurately evaluate the performance of a product that detects an attack on a server on a network.

본 발명에 의하면, 네트워크상의 서버에 대한 공격을 네트워크 인입단에 위치한 라우팅 장치에서 탐지하는 제품의 성능을 정확하게 평가할 수 있으므로, 서버에 대한 공격을 효과적으로 막아내는 제품을 이용하여, 서버의 보호에 만전을 기할 수 있다.According to the present invention, it is possible to accurately evaluate the performance of a product that detects an attack on a server on a network by a routing device located at a network entry point. It can be done.

도 1은 DDoS 공격의 한 예를 개략적으로 도시한 개념도이다.
도 2는 TCP의 연결 설정 방법을 개략적으로 설명하는 순서도이다.
도 3은 TCP SYN 플러딩 공격을 받는 서버의 백로그 큐 상태를 개략적으로 설명하는 개념도이다.
도 4는 본 발명이 적용되는 평가 장치가 DDoS 공격을 탐지하는 제품에 대한 평가를 수행하는 방법을 개략적으로 도시한 순서도이다.
도 5는 본 발명이 적용되는, DDoS 공격을 탐지하는 제품에 대한 평가 장치의 구성을 개략적으로 설명하는 블록도이다.1 is a conceptual diagram schematically illustrating an example of a DDoS attack.
2 is a flowchart schematically illustrating a connection establishment method of TCP.
3 is a conceptual diagram schematically illustrating a backlog queue state of a server subjected to a TCP SYN flooding attack.
4 is a flowchart schematically illustrating a method for evaluating a product detecting a DDoS attack by an evaluation apparatus to which the present invention is applied.
5 is a block diagram schematically illustrating a configuration of an evaluation apparatus for a product for detecting a DDoS attack to which the present invention is applied.

본 발명은 서버들이 서비스를 제공하는 네트워크의 인입단에 위치한 라우팅 장치에서 서버를 공격하는 것을 감지하는 장치를 평가하는 방법에 관한 것이다. The present invention relates to a method for evaluating a device for detecting attacks by a server at a routing device located at an incoming end of a network providing a service.

분산 서비스 거부(Distributed Denial of Service: DDoS, 이하 'DDoS'라 함) 공격은 네트워크상의 서버와 같은 공격 대상에 순간적으로 다량의 데이터를 송신함으로써 공격 대상이 정상적으로 동작하지 못하게 한다.Distributed Denial of Service (DDoS) attacks are designed to prevent an attacker from operating normally by sending a large amount of data to an attacker, such as a server on a network.

DDoS 공격은 인터넷상에서 발생하는 공격 유형 중에서 가장 심각한 피해를 가져오며 발생 횟수도 잦다. DDoS 공격을 탐지하는 알고리즘이 제안되고 있으나, 실제로 그 효과를 검증하기는 쉽지 않다. 따라서, 다양한 알고리즘을 적용한 DDoS 탐지용 제품에 대해서 그 성능이나 신뢰성을 평가할 방법이 필요하다.DDoS attacks are the most serious of the types of attacks on the Internet, and they are frequent. Algorithms for detecting DDoS attacks have been proposed, but their effectiveness is not easy to verify. Therefore, there is a need for a method for evaluating the performance or reliability of DDoS detection products using various algorithms.

이하, 도면을 참조하여 본 발명의 일 실시 형태에 대하여 구체적으로 설명한다. 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 명세서의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.EMBODIMENT OF THE INVENTION Hereinafter, one Embodiment of this invention is described concretely with reference to drawings. It should be noted that, in adding reference numerals to the constituent elements of the drawings, the same constituent elements are denoted by the same reference symbols as possible even if they are shown in different drawings. In addition, in describing the embodiments of the present specification, when it is determined that the detailed description of the related well-known configuration or function may obscure the subject matter of the present specification, the detailed description thereof will be omitted.

또한, 본 명세서의 구성 요소를 설명하는데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성 요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합", "접속"될 수도 있다고 이해되어야 할 것이다.
In addition, in describing the components of the present specification, terms such as first, second, A, B, (a), and (b) may be used. These terms are only for distinguishing the components from other components, and the nature, order or order of the components are not limited by the terms. If a component is described as being "connected", "coupled", or "connected" to another component, that component may be directly connected or connected to that other component, but there is another component between each component. It will be understood that may be "connected", "coupled", "connected".

도 1은 DDoS 공격의 한 예를 개략적으로 도시한 개념도이다. 1 is a conceptual diagram schematically illustrating an example of a DDoS attack.

악성 바이러스 등에 감염된 PC들(100)은 ISP(Internet Service Provider) 네트워크(110)를 통해 대량의 트래픽을 발생시킨다. 일반적인 라우터(120)는 유입되는 트래픽을 패킷의 전송 경로를 따라서 방화벽(130)과 공격 대상(140)이 위치한 네트워크로 보낸다. The PCs 100 infected with the malicious virus generate a large amount of traffic through the Internet Service Provider (ISP) network 110. The general router 120 sends the incoming traffic to the network where the firewall 130 and the attack target 140 are located along the transmission path of the packet.

대량의 트래픽 유입으로 인해, 방화벽(130)과 공격 대상(140) 등은 부하(load)를 감당하지 못하고 다운되거나, 정상적으로 기능하지 못하게 된다.Due to the influx of a large amount of traffic, the firewall 130 and the target of attack 140 may not be able to bear the load, or may not function normally.

DDoS 공격은 ICMP 플러딩(Flooding), UDP 플러딩, TCP 플러딩, TCP SYN 플러딩 등이 있다. DDoS attacks include ICMP flooding, UDP flooding, TCP flooding, and TCP SYN flooding.

ICMP(Internet Control Message Protocol) 플러딩 방법은 ICMP 에코 요청(Echo Request) 메시지를 브로드캐스트 주소로 보냄으로써, 모든 시스템이 에코 응답 메시지를 공격 대상에게 전송하게 한다. 공격 대상은 모든 요청을 처리하기 위해 시스템 자원을 소모하게 되며, 결국 시스템이 기능을 상실한다.The Internet Control Message Protocol (ICMP) flooding method sends an ICMP Echo Request message to the broadcast address, allowing all systems to send an echo response message to the victim. The attacker consumes system resources to handle all requests, and eventually the system loses its functionality.

UDP(User Datagram Protocol) 플러딩 방법은 대량의 UDP 패킷을 공격 대상의 IP로 전송하는 방법이다. 공격자는 목적지 포트를 지정하여 UDP 패킷을 전송한다. UDP 패킷을 수신한 호스트들은, 해당 포트에 대한 애플리케이션을 찾기 시작한다. 대응하는 애플리케이션을 찾지 못하면, UDP 패킷의 소스 주소로 설정된 공격 대상에게 도달 불능(unreachable) 메시지를 전송하며, 대량의 메시지로 인해 공격 대상의 시스템이 기능을 상실한다. UDP (User Datagram Protocol) flooding method is a method of sending a large amount of UDP packets to the IP of the attack target. The attacker sends a UDP packet specifying the destination port. Hosts that receive a UDP packet start looking for an application for that port. If no corresponding application is found, an unreachable message is sent to the attack target set to the source address of the UDP packet, and a large number of messages cause the target system to lose its function.

TCP(Transmission Control Protocol) 플러딩 역시 대량의 TCP 패킷을 공격 대상의 IP로 전송하는 방법으로서, 기본적으로 UDP 플러딩과 동일한 방법이다.Transmission Control Protocol (TCP) flooding is a method of sending a large amount of TCP packets to an attacking IP, basically the same method as UDP flooding.

TCP SYN 플러딩 방법은 TCP 연결 설정 방식의 취약점을 이용한 방법이다. 공격자는 공격 대상에게 연결을 요청하는 TCP 패킷을 전송한 후, 연결 설정을 위한 ACK 메시지를 보내지 않는다. 공격 대상은 연결 설정을 위해 대기 상태에 머무르게 되며 연결 설정을 위한 메모리 공간인 백로그 큐의 용량이 모두 소진되게 된다.The TCP SYN flooding method exploits a vulnerability in the TCP connection establishment method. The attacker sends a TCP packet requesting a connection to the target, and does not send an ACK message to establish the connection. The target will be waiting for the connection to be established, and the backlog queue, the memory space for the connection, will be exhausted.

이하, 분산 서비스 거부(DDoS) 공격 방식의 가장 대표적인 예인 TCP SYN 플러딩을 통해 본 발명이 적용되는 일 예를 설명한다.Hereinafter, an example to which the present invention is applied through TCP SYN flooding, which is the most representative example of a distributed denial of service (DDoS) attack method, will be described.

TCP는 소정의 규칙(3 Way Handshaking)에 따라서 연결 설정의 신뢰성을 유지한다. 도 2는 이 소정의 규칙(3 Way Handshaking)에 따른 TCP의 연결 설정 방법을 개략적으로 설명하는 순서도이다. TCP maintains the reliability of connection establishment according to certain rules (3 Way Handshaking). 2 is a flowchart schematically illustrating a connection establishment method of TCP according to this predetermined rule (3 Way Handshaking).

클라이언트는 접속을 요청하는 SYN 메시지를 서버에게 전송한다(S210). 서버는 클라이언트의 SYN 메시지를 수신하고, 클라이언트의 SYN 메시지에 대한 ACK 메시지와 함께 접속을 요청하는 SYN 메시지를 클라이언트에게 전송한다(S220). 이때, 서버는 클라이언트로부터의 해당 접속 요청을 백로그 큐(backlog queue)에 대기시킨다. The client sends a SYN message requesting a connection to the server (S210). The server receives the SYN message of the client, and transmits a SYN message for requesting connection with the ACK message for the SYN message of the client (S220). At this time, the server queues the corresponding connection request from the client to the backlog queue.

클라이언트는 서버로부터 ACK 메시지와 SYN 메시지를 수신하면, 서버와의 연결을 설정(connection establishment)한다(S230). 클라이언트는 서버로부터 수신한 ACK 메시지와 SYN 메시지에 대한 ACK 메시지를 서버에게 전송한다(S240). 서버는 클라이언트로부터 ACK 메시지를 수신하고, 클라이언트와의 연결을 설정한다(S250).When the client receives an ACK message and a SYN message from the server, the client establishes a connection with the server (S230). The client transmits an ACK message received from the server and an ACK message for the SYN message to the server (S240). The server receives an ACK message from the client, and establishes a connection with the client (S250).

서버가 클라이언트에 ACK 메시지와 SYN 메시지를 전송하면, 클라이언트로부터의 ACK 메시지가 수신될 때까지 해당 접속 요청은 백로그 큐에 반 오픈(half-open) 상태로 대기한다. 서버가 클라이언트로부터 ACK 메시지를 수신하면, TCP 연결이 설정되고, 백로그 큐에서 해당 접속 요청이 삭제된다. 서버가 클라이언트로부터 일정 시간 동안 ACK 메시지를 수신하지 못하면, 해당 접속 요청은 백로그 큐에서 삭제되고 TCP 접속이 설정되지 않는다.When the server sends an ACK message and a SYN message to the client, the connection request waits half-open in the backlog queue until an ACK message from the client is received. When the server receives an ACK message from the client, a TCP connection is established and the connection request is deleted from the backlog queue. If the server does not receive an ACK message from the client for some time, the connection request is deleted from the backlog queue and no TCP connection is established.

이때, 공격자가 다수의 클라이언트 컴퓨터를 이용하여 SYN 메시지를 서버에 전송하고, SYN 메시지와 ACK 메시지를 수신한 뒤에, ACK 메시지를 전송하지 않고 계속해서 SYN 메시지를 전송하는 경우에는, 서버의 백로그 큐가 계속된 전송 요청에 의해 가득 차게 된다. 따라서 서버는 더 이상의 서비스 접속 요청을 받아들일 수 없게 되므로, 서비스 거부 상태가 된다. At this time, if the attacker sends the SYN message to the server using multiple client computers, receives the SYN message and the ACK message, and then sends the SYN message continuously without transmitting the ACK message, the server's backlog queue Is filled by subsequent transfer requests. As a result, the server is unable to accept any further service connection request, which results in a denial of service.

도 3은 TCP SYN 플러딩 공격을 받는 서버의 백로그 큐 상태를 개략적으로 설명하는 개념도이다.3 is a conceptual diagram schematically illustrating a backlog queue state of a server subjected to a TCP SYN flooding attack.

서버의 백로그 큐(300)는 한정된 용량, 즉 한정된 대기열(N)을 갖는다.The backlog queue 300 of the server has a limited capacity, i.e. a limited queue (N).

정상 상태(normal state)에서, 클라이언트의 SYN 메시지(310)가 들어오면, 이에 대한 ACK 메시지와 함께 접속을 요청하는 SYN 메시지를 클라이언트에게 전송하면서, 서버는 클라이언트로부터의 해당 접속 요청을 백로그 큐(300)에 대기시킨다. In normal state, when a client's SYN message 310 comes in, it sends an SYN message to the client requesting a connection with an ACK message to it, while the server sends the connection request from the client to the backlog queue ( Wait 300).

DDoS 공격 메시지(320)가 들어오면서, DDoS 공격이 시작된다. DDoS 공격 메시지를 수신하고 이에 대한 접속 요청을 반 오픈 상태로 백로그 큐(300)에 대기시킨다. 백로그 큐(300)가 DDoS 공격을 위해 전송된 메시지들에 대한 접속 요청으로 가득 차서, 더 이상 접속 요청을 처리할 수 없게 되면, 시스템은 서비스 거부 상태가 된다.As the DDoS attack message 320 comes in, a DDoS attack is initiated. Receives a DDoS attack message and queues a connection request to the backlog queue 300 in a semi-open state. When the backlog queue 300 is full of connection requests for messages sent for a DDoS attack, and can no longer process the connection request, the system is in a denial of service state.

TCP SYN 플러딩은 TCP의 동작 특성을 이용하는 공격이다. 즉, TCP의 연결 방식을 그대로 따르고 있으므로, 네트워크상에서 공격을 미리 탐지하기 어렵다. 서버가 데미지를 받은 뒤에 공격이 있었던 것을 파악하게 되면, 대응은 그만큼 어려워지고 피해는 커진다.TCP SYN flooding is an attack that exploits the operational characteristics of TCP. In other words, since it follows the connection method of TCP, it is difficult to detect an attack on the network in advance. If the server detects that an attack occurred after taking damage, the response becomes that hard and the damage is greater.

따라서, DDoS 공격을 적시(適時)에 탐지하여 대응해야 하며, DDoS 공격을 탐지하는 제품의 성능과 신뢰성을 평가하는 것이 중요하다. 이하, 수식을 참조하여 본 발명에 대하여 구체적으로 설명한다. Therefore, it is important to detect and respond to DDoS attacks in a timely manner, and it is important to evaluate the performance and reliability of products that detect DDoS attacks. Hereinafter, the present invention will be described in detail with reference to the formula.

서버의 백로그 큐에 대기하는 반 오픈(half-open)의 수를 이용하여 마코브 체인(Markov chain) 모델을 만들 수 있다. 반 오픈(Half-open)이란 클라이언트로부터 SYN 패킷을 받고 서버가 SYN+ACK 패킷을 보낸 상태에서, 클라이언트로부터 ACK 패킷을 받기 전의 상태를 의미한다. You can build a Markov chain model using the number of half-opens waiting in the server's backlog queue. Half-open refers to a state before receiving an ACK packet from a client in a state in which a SYN packet is received from the client and the server sends a SYN + ACK packet.

서버에서 최대 연결 가능한 반 오픈(half-open)의 수를 C라 한다. 서버에 연결 요청은 레이트(rate) λ로 들어오고, 백로그 큐에 있는 시간은 레이트 μ를 따른다. 정상적인 클라이언트의 연결 요청이 백로그 큐에 대기할 수 있는 시간은 네트워크의 RTT(Round Trip Time)에 의존한다. The maximum number of half-opens that can be connected to a server is called C. The connection request to the server comes in at rate [lambda], and the time in the backlog queue follows the rate [mu]. The length of time that a normal client's connection request can wait in the backlog queue depends on the Round Trip Time (RTT) of the network.

마코브 체인의 각 상태는 두 가지 값 Nl과 Na로 표현될 수 있다. Nl은 정상적인(legitimate) 유저의 연결 요청 수를 의미하고, Na는 공격 유저(attacker)의 연결 요청 수를 의미한다. 만약 포화(saturated) 상태(Nl+Na=C)에서 새로운 연결 요청이 들어오게 되면, 이 새로운 연결은 거절(reject)되게 된다. Each state of the Markov chain can be represented by two values, N l and N a . N l represents the number of connection requests from a legitimate user, and N a represents the number of connection requests from an attacker. If a new connection request comes in in the saturated state (N l + N a = C), the new connection is rejected.

λl은 정상적인 유저의 연결 요청 레이트이고, μl는 정상적인 유저의 서비스 레이트이다. 또한, λa는 공격 유저의 연결 요청 레이트이고, μa는 공격 유저의 서비스 레이트이다. λ l is the normal user's connection request rate and μ l is the normal user's service rate. Λ a is the connection request rate of the attacking user, and μ a is the service rate of the attacking user.

마코브 체인의 상태 전환(transition)은 다음과 같은 이벤트에 의해서 발생한다.The transition of a Markov chain is caused by the following events:

- 연결 도착: 서버가 클라이언트로부터 연결 요청을 받는다. 이는 레이트 λ로 발생한다. Connection Arrival : The server receives a connection request from a client. This occurs at rate λ.

- 연결 완료: 연결이 상위 레벨 프로토콜로 전달되어 연결이 성공적으로 완료될 경우를 의미한다. 이는 레이트 μl로 발생한다. -Connection complete : It means that the connection is successfully completed because the connection is delivered to a higher level protocol. This occurs at rate μ l .

- 연결 거절: 대기 큐에 연결 요청이 가득 차게 되어 새로운 연결 요청을 거절하게 되는 경우를 의미한다. 이는 확률 φr로 발생한다. -Connection Rejection : It means that the connection request is filled in the waiting queue and the new connection request is rejected. This occurs with probability φ r .

- 연결 만기: 서버는 연결 요청에 대해서 연결을 완료하려 했으나 대기 큐에 있을 수 있는 최대 시간을 초과하게 되어 타임아웃(time out)이 발생되는 경우를 의미한다. 이는 확률 φe로 발생한다. Connection expiration : A server attempts to complete a connection request but exceeds the maximum time that can be in the waiting queue, causing a timeout. This occurs with probability φ e .

- 연결 실패: 연결 거절 또는 연결 만기가 되는 경우를 의미한다. 이는 확률 φ=φre로 발생한다.
 -Connection failure : It means the connection is rejected or the connection expires. This occurs with probability φ = φ r + φ e .

실제 네트워크의 트래픽을 모델링하기 위해서 정상적인 패킷의 도착 레이트와 서비스 레이트(rate)를 어떻게 설정하는지가 중요한 요소가 된다. In order to model the traffic of a real network, how to set the arrival rate and service rate of a normal packet becomes an important factor.

본 발명에서는 패킷 도착 프로세스가 포아송(Poisson) 프로세스라고 가정한다. 이는 폰 콜(phone calls)의 연구에서 많이 사용되고 있다. 즉 패킷의 도착 시간 간격은 지수 분포를 따른다. 이러한 가정은 많은 DDoS 관련 연구에서도 사용하고 있다. In the present invention, it is assumed that the packet arrival process is a Poisson process. This is widely used in the study of phone calls. That is, the arrival time interval of the packet follows the exponential distribution. This assumption is also used in many DDoS related studies.

대부분의 경우에, 서비스 레이트는 네트워크의 전송 시간뿐만 아니라 유저의 상호 작용에 영향을 받는다. IP 패킷의 도착 프로세스는 로드(load)가 증가할수록 포아송 프로세스를 따르는 경향이 있다. 본 발명에서는 네트워크상에 많은 패킷이 전송되고 있다고 가정하겠다. In most cases, the service rate is affected by the user's interaction as well as the transmission time of the network. The arrival process of an IP packet tends to follow the Poisson process as the load increases. In the present invention, it is assumed that many packets are transmitted on a network.

따라서, 연결 완료는 연결 만기가 발생하지 않으면 패킷이 도착하고 나서 지수 분포의 시간 이후에 발생하게 된다. 연결 만기는 클라이언트로부터 SYN 패킷 도착 이후 타임아웃 시간이 경과한 후에 발생하게 된다. Therefore, connection completion occurs after the time of exponential distribution after the packet arrives, if no connection expiration occurs. Connection expiration occurs after the timeout period has elapsed since the arrival of the SYN packet from the client.

정상적인 패킷에 의해 생성되는 연결 완료 메시지(클라이언트로부터의 ACK 패킷)의 레이트(rate)를 μc라 한다. 타임아웃 시간이 경과하기 전에 연결 완료 메시지가 도착해야 하므로 μlc의 관계식을 가지게 된다. 즉, 타임아웃 시간이 경과한 후에 들어오는 패킷은 무시된다. The rate of the connection complete message (ACK packet from the client) generated by the normal packet is referred to as μ c . Since the connection complete message must arrive before the timeout period elapses, we have a relationship of μ l > μ c . In other words, an incoming packet after the timeout time elapses is ignored.

따라서 정상적인 연결의 서비스 시간, Gl(t)의 확률 분포 함수(Probability Distribution Function, PDF)는 수학식 1과 같이, 타임아웃 tout보다 작은 영역에서는 지수 분포를 따르게 되고 tout 시점에서는 가중 델타 디락 함수(weighted delta Dirac function)로 근사할 수 있다. Therefore, the service time of a normal connection, the probability distribution function (Gl) of G l (t), follows the exponential distribution in the area smaller than the timeout t out as shown in Equation 1, and the weighted delta dirac at the time t out. Can be approximated by a weighted delta Dirac function.

Figure pat00001
Figure pat00001

여기서 Pexpire의 의미는 수학식 2와 같다.Here, P expire means the same as Equation 2.

Figure pat00002
Figure pat00002

수학식 1과 수학식 2를 통해 정상적인 연결에 대한 평균 서비스 시간을 수학식 3과 같이 구할 수 있다.Through Equation 1 and Equation 2, the average service time for a normal connection may be obtained as shown in Equation 3.

Figure pat00003
Figure pat00003

수학식 1과 수학식 2를 통해 정상적인 연결에 대한 평균 서비스 레이트(rate)를 수학식 4와 같이 구할 수 있다.Through Equation 1 and Equation 2, an average service rate for a normal connection may be obtained as shown in Equation 4.

Figure pat00004
Figure pat00004

본 발명에서는 정상적인 패킷의 도착이 포아송 프로세스를 따른다고 가정하고 있지만 공격 패킷은 일반적으로 공격자의 전략이 무엇이냐에 따라 자유롭게 패킷을 생성할 수 있다. 이때, 공격 유저는 DDoS 공격 판정을 피하기 위해서 정상적인 패킷의 도착 프로세스를 모방하는 경향이 있다. 따라서, 공격 패킷의 도착 프로세스 역시 포아송 프로세스를 따른다고 가정할 수 있다.In the present invention, it is assumed that the arrival of a normal packet follows the Poisson process, but an attack packet can generally generate a packet freely according to an attacker's strategy. At this time, the attacking user tends to imitate the normal packet arrival process in order to avoid DDoS attack determination. Thus, it can be assumed that the arrival process of the attack packet also follows the Poisson process.

공격 패킷의 서비스 프로세스는 공격 유저의 전략을 바탕으로 계산할 수 있다. 공격 유저는 최소한 노력으로 서버의 자원을 모두 고갈시키기를 원한다. 이는 SYN 패킷을 서버에 보낸 후, ACK 패킷을 다시 보내지 않음으로써 달성할 수 있다. 즉 공격 패킷에 의해 만들어진 연결은 모두 연결 만기가 된다. 즉 공격 패킷에 의해 생성된 연결의 서비스 레이트는 μa = 1/tout이 된다. The service process of the attack packet can be calculated based on the strategy of the attacking user. The attacker wants to exhaust all of the server's resources with at least effort. This can be accomplished by sending the SYN packet to the server and then not sending the ACK packet again. That is, all connections made by attack packets are expired. That is, the service rate of the connection generated by the attack packet is μ a = 1 / t out .

본 발명에서, 정상 유저와 공격 유저에 의해서 들어오는 SYN 패킷은 레이트(rate) λl과 λa의 포아송 프로세스를 따른다. 따라서 서버에 들어오는 전체 SYN 패킷의 도착 프로세스는 레이트 λ=λla의 포아송 프로세스를 따른다고 할 수 있다. In the present invention, SYN packets coming from normal users and attacking users follow a Poisson process of rates λ l and λ a . Therefore, it can be said that the arrival process of the entire SYN packet entering the server follows the Poisson process at a rate λ = λ l + λ a .

지금까지 설명한 DDoS 공격에 관한 마코브 체인 모델은 정상적인 패킷과 공격 패킷을 구분하고 있지만, 실제 서버로 들어오는 패킷에는 정상과 공격 패킷의 구분이 불가능하다. The Markov chain model for DDoS attacks described so far distinguishes between normal and attack packets, but it is impossible to distinguish between normal and attack packets for packets that actually enter the server.

이러한 이유로 정상 유저와 공격 유저가 서버에 SYN 패킷을 보낸 전체 수 N을 이용하여 마코브 체인을 분석할 필요가 있다. 본 명세서에서는, 정상 유저와 공격 유저가 서버에 SYN 패킷을 보낸 전체 수 N을 이용한 마코브 체인 모델을 가시 마코브 체인(Visible Markov chain)이라고 한다. For this reason, it is necessary to analyze Markov chains using the total number N of normal users and attackers sending SYN packets to the server. In the present specification, the Markov chain model using the total number N in which normal users and attacking users send SYN packets to a server is referred to as a visible markov chain.

가시 마코브 체인이 스테이트(state) N에 있을 확률은 정상 패킷과 공격 패킷의 수(Nl+Na)의 합이 N=Nl+Na이 되는 모든 경우의 확률의 합과 같다.The probability that the visible Markov chain is in state N is equal to the sum of the probabilities of all cases where the sum of the normal packets and the number of attack packets (N l + N a ) equals N = N l + N a .

가시 마코브 체인에서 연결 도착 프로세스는 레이트 λl과 λa인 두 개의 포아송 프로세스의 합으로서, 이 또한 포아송 프로세스가 되고 레이트는 λ = λla가 된다. In the visible Markov chain, the connection arrival process is the sum of two Poisson processes with rates λ l and λ a , which is also a Poisson process and the rate is λ = λ l + λ a .

마코브 체인 모델에서 로드(load), ρ를 도착 레이트(rate)와 서비스 레이트(rate)의 비로 정의한다. 정상 유저의 로드와 공격 유저의 로드를 따로 정의할 수 있는데, ρl = λll은 정상 유저에 의해 만들어지는 로드고, ρa = λaa는 공격 유저에 의해 만들어지는 로드다. In the Markov chain model, load, ρ is defined as the ratio of arrival rate and service rate. The loads of normal users and those of attacking users can be defined separately, where ρ l = λ l / μ l is a load made by normal users, and ρ a = λ a / μ a is a load made by attacking users All.

전체 시스템 로드를 구하기 위해 전체 평균 서비스 시간,

Figure pat00005
를 이용한다.
Figure pat00006
는 상수로 고려하고 정상 패킷의 평균 서비스 타임 tl과 공격 패킷의 서비스 타임, tout에 각 도착 레이트 만큼의 가중치를 두어서 고려한다. 이를 통해
Figure pat00007
는 수학식 5와 같이 구할 수 있다. Overall average service time to determine overall system load,
Figure pat00005
Use
Figure pat00006
Is taken as a constant and weighted by each arrival rate to the average service time t l of the normal packet and the service time of the attack packet, t out . because of this
Figure pat00007
Can be obtained as shown in Equation 5.

Figure pat00008
Figure pat00008

가시 마코브 체인의 평균 서비스 레이트는 수학식 6과 같다. The average service rate of the visible Markov chain is shown in Equation 6.

Figure pat00009
Figure pat00009

수학식 4를 이용하여, 수학식 5와 수학식 6을 정리하면, 가시 마코브 체인의 평균 레이트에 관한 수학식 7을 얻을 수 있다. Using Equation 4, Equation 5 and Equation 6 can be arranged to obtain Equation 7 regarding the average rate of the visible Markov chain.

Figure pat00010
Figure pat00010

이를 통해서 정상 유저와 공격 유저에 의해 만들어지는 전체 로드를 수학식 8과 같이 계산할 수 있다. Through this, the total load generated by the normal user and the attacking user can be calculated as shown in Equation 8.

Figure pat00011
Figure pat00011

Figure pat00012
를 통해서 시스템이 스테이트 k에 있을 정상 상태(steady state) 확률을 수학식 9과 같이 구할 수 있다. 수학식 9는 도착 프로세스가 포아송 프로세스를 따르며, 패킷의 서비스 프로세스에 관한 서비스 시간이 일반적인 분포를 가지고 각 패킷에 독립적으로 적용되며, 하나하나의 서버에 대응하는 백로그 큐에 있는 패킷들이 서로 독립적으로 일정 시간 시스템에 머무르다 처리되고, 백로그 큐의 사이즈를 고려한 Queueing 모델로서, M/G/c/c를 이용하여 구할 수 있다.
Figure pat00012
Through Equation 9, the steady state probability that the system is in state k can be obtained as in Equation 9. In Equation 9, the arrival process follows the Poisson process, the service time of the packet's service process is applied to each packet independently with a general distribution, and the packets in the backlog queue corresponding to one server are independent of each other. As a queuing model that stays in a fixed time system and considers the size of the backlog queue, it can be obtained using M / G / c / c.

Figure pat00013
Figure pat00013

서버에서 수신하게 되는 패킷의 처리는 독립적으로 이루어지기 때문에 시스템의 중요한 성능 측정값은 정상적인 접속이 실패될 확률 φ이다. φ는 연결이 거절될 확률 φr과 연결이 만기가 될 확률 φe의 합과 같다. 다시 말해, φ=φre이다. Because the processing of packets received by the server is done independently, an important performance measure of the system is the probability φ of normal connection failure. φ is equal to the sum of the probability φ r at which the connection is rejected and the probability φ e at which the connection will expire. In other words, φ = φ r + φ e .

연결이 거절될 확률은 시스템이 포화 상태(saturated state)가 될 확률을 의미한다. 즉 백로그 큐(backlog queue)가 가득 차게 될 확률이다. 연결이 거절되는 경우는 SYN 패킷이 도착했을 때, 시스템이 포화 상태인 경우이기 때문이다. 따라서 연결 거절될 확률 φr은 서버의 상태가 C가 될 확률과 같게 된다. The probability that a connection will be rejected means the probability that the system will be in a saturated state. That is, the probability that the backlog queue will become full. This is because the connection is rejected when the system is saturated when the SYN packet arrives. Therefore, the probability φ r of connection rejection becomes equal to the probability that the state of the server becomes C.

만약 시스템이 평형(equilibrium) 상태에 있으면 φr은 πi와 정확히 일치한다. 시스템이 평형 상태라 가정하면 φri가 된다.If the system is in equilibrium, φ r exactly matches π i . Assuming the system is in equilibrium, φ r = π i .

연결 만기는 SYN 패킷이 도착했을 때, 시스템이 포화 상태가 아닌 경우에 Pexpire의 확률로 발생한다. 연결이 만기가 될 확률 φe는 정상 상태 확률(steady state probability)을 이용하여 수학식 10와 같이 구할 수 있다. Connection expiration occurs with the probability of P expire if the system is not saturated when the SYN packet arrives. The probability that the connection expires φ e can be obtained as shown in Equation 10 by using a steady state probability.

Figure pat00014
Figure pat00014

따라서 연결이 실패될 확률 φ는 수학식 11과 같다.Therefore, the probability φ to fail the connection is expressed by Equation 11.

Figure pat00015
Figure pat00015

수학식 11과 같은, 연결이 실패할 확률 φ를 기반으로 DDoS 공격을 탐지하는 제품의 알고리즘, 즉 DDoS 공격을 탐지하는 제품의 성능과 신뢰성을 평가할 수 있다. As shown in Equation 11, an algorithm of a product that detects a DDoS attack, that is, a product that detects a DDoS attack, may be evaluated based on the probability φ of the connection failure.

도 4는 본 발명이 적용되는 평가 장치가 DDoS 공격을 탐지하는 제품에 대한 평가를 수행하는 방법을 개략적으로 도시한 순서도이다. 4 is a flowchart schematically illustrating a method for evaluating a product detecting a DDoS attack by an evaluation apparatus to which the present invention is applied.

네트워크상의 라우터에는 DDoS 공격을 탐지하는 제품이 사용되고 있다. DDoS 공격을 탐지하는 제품은 라우터에 내장되어 있을 수도 있다. 본 발명이 적용되는 DDoS 공격을 탐지하는 제품에 대한 평가는 라우터에 내장된 평가 장치에서 수행될 수도 있고, 라우터와 연결된 별도의 평가 장치에서 수행될 수 있다. Routers on the network are using products that detect DDoS attacks. Products that detect DDoS attacks may be built into routers. Evaluation of a product for detecting a DDoS attack to which the present invention is applied may be performed in an evaluation device embedded in a router, or may be performed in a separate evaluation device connected to the router.

제품 평가를 시작하면, 평가 장치는 라우터상에서 μc와 λl을 측정한다(S410). 서버들의 백로그 큐의 용량(N)과 연결 요청이 백로그 큐에 대기할 수 있는 시간(tout)은 제품의 사양에 따라서 정해져 있다. When the product evaluation starts, the evaluation device measures μ c and λ l on the router (S410). The capacity (N) of the server's backlog queue and the time (t out ) that a connection request can wait in the backlog queue are determined according to the product specification.

μc는 정상적인 패킷에 의해 생성되는 연결 완료 메시지, 즉 클라이언트로부터의 ACK 패킷의 레이트(rate)이다. 따라서, 평가 장치는 정상 유저로부터의 ACK 패킷의 단위 시간당 횟수를 측정하여 μc값을 획득할 수 있다. μc값으로부터 수학식 3과 수학식 4를 이용하여, tl과 μl을 구할 수 있다.μ c is the rate of the connection complete message generated by the normal packet, ie the ACK packet from the client. Therefore, the evaluation apparatus may obtain a μ c value by measuring the number of times per unit time of the ACK packet from the normal user. From the values of c c, equations 3 and 4 can be used to find t l and μ l .

λl은 정상 유저의 연결 요청 레이트이다. 평가 장치는 정상 유저로부터의 연결 요청 횟수를 측정하여 λl값을 획득할 수 있다.λ l is the normal user's connection request rate. The evaluation apparatus may obtain a value of λ 1 by measuring the number of connection requests from a normal user.

평가 장치는 라우터상에서 λ를 측정한다(S420). λ는 서버에 대한 전체 연결 요청 수이다. 평가 장치는 라우터상에서의 연결 요청 수의 변화를 계속 측정한다. λ의 수가 소정의 수보다 커지거나 시간당 증가폭이 소정의 증가폭보다 커지는 경우에, λ와 λl의 차이값으로 λa의 값을 획득할 수 있다. The evaluation apparatus measures λ on the router (S420). λ is the total number of connection requests to the server. The evaluation apparatus continuously measures the change in the number of connection requests on the router. When the number of lambda is larger than the predetermined number or the increase in time is larger than the predetermined increase, the value of lambda a can be obtained as a difference between lambda and lambda l .

평가 장치는 연결이 실패할 확률이 소정의 문턱값(threshold)보다 크거나 같은지를 판단한다(S430). 연결이 실패할 확률 φ는 수학식 7 내지 수학식 11에서 보듯이 TCP SYN 공격 레이트 λa와 λl, tout, μc, μl의 값을 알면 구할 수 있다. 앞서 구한 이 값들을 이용하여, 연결이 실패할 확률 φ값을 획득할 수 있다. The evaluation apparatus determines whether the probability of connection failure is greater than or equal to a predetermined threshold (S430). The probability φ of connection failure can be obtained by knowing the values of the TCP SYN attack rates λ a and λ l , t out , μ c , μ l as shown in Equations 7 to 11. Using these values, we can obtain the probability φ value that the connection will fail.

소정의 문턱값 α는 정상 유저들의 QoS(Quality of Service)를 기반으로 하여 사용자가 정상적으로 서비스를 이용할 수 있는 범위 내에서, 연결이 실패할 확률 φ의 최대값으로서 정할 수 있다. 즉, φ값이 α값과 같아지거나 α값을 넘어서게 되면 정상 유저의 서비스에 문제가 생긴다고 볼 수 있다. The predetermined threshold α may be determined as the maximum value of the probability φ of connection failure within a range in which the user can normally use the service based on the quality of service (QoS) of the normal users. That is, if the value of φ is equal to or exceeds the value of α, it may be considered that a problem occurs in the service of a normal user.

따라서, 평가 장치는 φ값이 α값과 같거나 α값을 넘어서는지를 판단하여, DDoS 공격이 시작되었는지를 판단할 수 있다.Therefore, the evaluation apparatus can determine whether the DDoS attack has started by determining whether the value of φ is equal to or exceeds the value of α.

뿐만 아니라, φ는 λ의 함수이므로 문턱값 α가 주어졌을 때의

Figure pat00016
의 값을 수학식 12와 같이 구할 수 있다. Furthermore, φ is a function of λ, so given the threshold α
Figure pat00016
Can be calculated as in Equation 12.

Figure pat00017
Figure pat00017

여기서 φ-1은 φ의 역함수를 의미한다. 레이트

Figure pat00018
이상으로 공격이 발생하면 정상 유저의 서비스에 문제가 생긴다. Where φ- 1 represents the inverse of φ. Rate
Figure pat00018
If the above attack occurs, the service of the normal user is troubled.

따라서, DDoS 공격이 시작되었는지를 φ값과 α값을 직접 비교하여 판단할 수 있을 뿐만 아니라, 서버에 대한 연결 요청 레이트 λ와

Figure pat00019
를 비교하여, λ가
Figure pat00020
와 같거나
Figure pat00021
보다 큰 경우에, DDoS 공격이 시작되었다고 판단할 수도 있다.Therefore, it is not only possible to directly determine whether the DDoS attack has started by comparing the values of φ and α, but also to determine the connection request rate λ and
Figure pat00019
By comparing
Figure pat00020
Equals or
Figure pat00021
In larger cases, it may be determined that a DDoS attack has begun.

DDoS 공격이 시작되었다고 판단한 경우, 평가 장치는 DDoS 공격을 탐지하는 제품이 DDoS 공격을 탐지하였는지를 검출한다(S440). DDoS 공격이 시작되지 않았다고 판단한 경우, 평가 장치는 연결 요청 레이트 λ 측정을 계속한다(S420). If it is determined that the DDoS attack has been started, the evaluation apparatus detects whether the product detecting the DDoS attack has detected the DDoS attack (S440). If it is determined that the DDoS attack is not started, the evaluation apparatus continues to measure the connection request rate λ (S420).

평가 장치는 DDoS 공격을 탐지하는 제품이 DDoS 공격을 탐지하였는지를 검출한 결과를 기반으로 DDoS 공격을 탐지하는 제품의 알고리즘에 대한 평가, 즉 제품 성능과 신뢰성에 대한 평가를 한다(S450). The evaluation apparatus evaluates the algorithm of the product detecting the DDoS attack, that is, the product performance and reliability based on the result of detecting whether the product detecting the DDoS attack has detected the DDoS attack (S450).

예컨대, 평가 장치가 DDoS 공격이 시작되었다고 판단하였을 때, DDoS 공격을 탐지하는 제품이 이를 탐지한 경우에, 평가 장치는 DDoS 공격을 탐지하는 제품이 적절한 시기에 탐지를 수행했다고 평가할 수 있다. 평가 장치가 DDoS 공격이 시작되었다고 판단하였으나, DDoS 공격을 탐지하는 제품이 이를 탐지하지 못한 경우에, 평가 장치는 DDoS 공격을 탐지하는 제품이 적절한 시기에 탐지를 수행하지 못했다고 평가할 수 있다.For example, when the evaluating device determines that the DDoS attack has started, when the product detecting the DDoS attack detects it, the evaluating device may evaluate that the product detecting the DDoS attack performed the detection at an appropriate time. If the evaluation device determines that the DDoS attack has started, but the product detecting the DDoS attack does not detect it, the evaluation device may evaluate that the product detecting the DDoS attack did not perform the detection in a timely manner.

도 5는 본 발명이 적용되는, DDoS 공격을 탐지하는 제품에 대한 평가 장치의 구성을 개략적으로 설명하는 블록도이다.5 is a block diagram schematically illustrating a configuration of an evaluation apparatus for a product for detecting a DDoS attack to which the present invention is applied.

평가 장치(500)는 네트워크의 라우터 내에 장착될 수도 있고, 라우터와는 별도의 장치로서 라우터와 연결될 수도 있다.The evaluation apparatus 500 may be mounted in a router of the network, or may be connected to the router as a separate device from the router.

평가 장치(500)는 송수신부(510), 제어부(520), 저장부(530)를 포함한다. The evaluation apparatus 500 includes a transceiver 510, a controller 520, and a storage 530.

송수신부(510)는 라우터와 연결되어 DDoS 공격을 판단할 수 있는 다양한 정보를 수신할 수 있다. 또한 송수신부(510)는 평가 대상인 DDoS 공격을 탐지하는 제품이 탐지를 시작했는지 여부에 관한 정보를 수신할 수 있다.The transceiver 510 may be connected with a router to receive various information for determining a DDoS attack. In addition, the transceiver 510 may receive information regarding whether a product detecting a DDoS attack, which is an evaluation target, has started detection.

저장부(530)는 송수신부(510)를 통해 수신한 다양한 정보들 중에서, DDoS 공격 여부를 판단할 수 있는 정보와 DDoS 공격을 탐지하는 제품을 평가할 수 있는 정보, 예컨대, 백로그 큐의 대기 시간과 용량(tout, N), 문턱값 α, 연결 요청 레이트 λ의 값 등을 저장할 수 있다.The storage unit 530 may, among various pieces of information received through the transceiver unit 510, may determine information on whether a DDoS attack is performed and information that may evaluate a product that detects a DDoS attack, for example, a waiting time of a backlog queue. And capacity (t out , N), threshold α, connection request rate λ, and the like.

제어부(520)는 저장부(530)에 저장된 정보와 송수신부(510)를 통해 수신한 정보를 바탕으로, DDoS 공격이 시작되었는지를 판단하고, DDoS 공격을 탐지하는 제품을 평가할 수 있다. The controller 520 may determine whether a DDoS attack is started based on the information stored in the storage 530 and the information received through the transceiver 510, and evaluate a product that detects the DDoS attack.

본 명세서에서 설명하는 내용 중, 통신 네트워크에서 이루어지는 작업은 해당 통신 네트워크를 관할하는 시스템(예를 들어 서버 또는 미디어 센터)에서 네트워크를 제어하고 데이터를 송신하는 과정에서 이루어지거나, 해당 네트워크에 결합한 단말에서 작업이 이루어질 수 있다. In the description of the present specification, an operation performed in a communication network is performed in a process of transmitting a data and controlling a network in a system (for example, a server or a media center) that manages the communication network, or in a terminal coupled to the network. Work can be done.

아울러, 본 발명에서 특정 구성을 "포함"한다고 기술하는 내용은 해당 구성 이외의 구성을 배제하는 것이 아니며, 추가적인 구성이 본 발명의 실시 또는 본 발명의 기술적 사상의 범위에 포함될 수 있음을 의미한다.In addition, the content described as "include" a specific configuration in the present invention does not exclude a configuration other than the configuration, it means that additional configuration may be included in the scope of the technical idea of the present invention or the present invention.

상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. 또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다. In the exemplary system described above, the methods are described based on a flowchart as a series of steps or blocks, but the invention is not limited to the order of steps, and certain steps may occur in a different order or concurrently with other steps than those described above. Can be. In addition, those skilled in the art will appreciate that the steps shown in the flowcharts are not exclusive and that other steps may be included or one or more steps in the flowcharts may be deleted without affecting the scope of the present invention.

상술한 실시예는 다양한 양태의 예시들을 포함한다. 다양한 양태들을 나타내기 위한 모든 가능한 조합을 기술할 수는 없지만, 해당 기술 분야의 통상의 지식을 가진 자는 다른 조합이 가능함을 인식할 수 있을 것이다. 따라서, 본 발명은 이하의 특허청구범위 내에 속하는 모든 다른 교체, 수정 및 변경을 포함한다고 할 것이다.The above-described embodiments include examples of various aspects. While it is not possible to describe every possible combination for expressing various aspects, one of ordinary skill in the art will recognize that other combinations are possible. Accordingly, it is intended that the invention include all alternatives, modifications and variations that fall within the scope of the following claims.

Claims (1)

정상 패킷에 의한 연결 완료 메시지의 레이트와 연결 요청 레이트를 측정하는 단계;
전체 연결 요청 레이트를 측정하는 단계;
상기 측정 값을 기반으로 연결 실패 확률을 산출하는 단계;
산출된 상기 연결 실패 확률과 소정의 기준 실패 확률을 비교하는 단계;
상기 연결 실패 확률이 상기 기준 실패 확률보다 큰 경우에, 평가 대상 제품이 DDoS 공격을 탐지하였는지 판단하는 단계; 및
상기 판단에 기반하여, 상기 평가 대상 제품의 성능을 평가하는 단계를 포함하는 DDoS 공격 탐지 제품에 대한 평가 방법.Measuring a rate of a connection complete message and a connection request rate by a normal packet;
Measuring an overall connection request rate;
Calculating a probability of connection failure based on the measured value;
Comparing the calculated connection failure probability with a predetermined reference failure probability;
Determining whether the evaluation target product detects a DDoS attack when the connection failure probability is greater than the reference failure probability; And
Based on the determination, evaluating the performance of the product to be evaluated.
KR1020100121418A 2010-12-01 2010-12-01 Method And Apparatus For Evaluating Products Of Detecting DDoS Attack KR20120059914A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100121418A KR20120059914A (en) 2010-12-01 2010-12-01 Method And Apparatus For Evaluating Products Of Detecting DDoS Attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100121418A KR20120059914A (en) 2010-12-01 2010-12-01 Method And Apparatus For Evaluating Products Of Detecting DDoS Attack

Publications (1)

Publication Number Publication Date
KR20120059914A true KR20120059914A (en) 2012-06-11

Family

ID=46610966

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100121418A KR20120059914A (en) 2010-12-01 2010-12-01 Method And Apparatus For Evaluating Products Of Detecting DDoS Attack

Country Status (1)

Country Link
KR (1) KR20120059914A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110443035A (en) * 2018-05-02 2019-11-12 罗伯特·博世有限公司 The method and apparatus that the system for invading trial for identification is calibrated

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110443035A (en) * 2018-05-02 2019-11-12 罗伯特·博世有限公司 The method and apparatus that the system for invading trial for identification is calibrated

Similar Documents

Publication Publication Date Title
US20200177556A1 (en) Methods and systems for api deception environment and api traffic control and security
US8392991B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US8677473B2 (en) Network intrusion protection
JP6291135B2 (en) Connection control device, connection control method, and connection control program
US9860181B2 (en) System and method for inferring traffic legitimacy through selective impairment
CN114830112A (en) Detection and mitigation of DDoS attacks performed over QUIC communication protocols
US8732832B2 (en) Routing apparatus and method for detecting server attack and network using the same
KR102088299B1 (en) Apparatus and method for detecting drdos
KR20190053540A (en) System of defensing against Slow HTTP DDoS attack based on SDN and method thereof
KR101042291B1 (en) DDoS detection / blocking system for DDoS attack and its method
KR20130006750A (en) Method for identifying a denial of service attack and apparatus for the same
Sen A robust mechanism for defending distributed denial of service attacks on web servers
JP4259183B2 (en) Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network
CN105812318A (en) Method, controller and system for preventing attack in network
WO2019096104A1 (en) Attack prevention
Bellaiche et al. SYN flooding attack detection based on entropy computing
RU2531878C1 (en) Method of detection of computer attacks in information and telecommunication network
WO2019159989A1 (en) Monitoring system, monitoring method, and monitoring program
KR20120059914A (en) Method And Apparatus For Evaluating Products Of Detecting DDoS Attack
Rathgeb et al. On the robustness of sctp against dos attacks
Ohsita et al. Deployable overlay network for defense against distributed SYN flood attacks
JP7363503B2 (en) Information processing device, information processing method, and information processing system
Sen et al. A mechanism for detection and prevention of distributed denial of service attacks
JP2007166154A (en) Attack detection apparatus, attack detection method, and attack detection program
Tanabe et al. Adaptive timer-based countermeasures against TCP SYN flood attacks

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20101201

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid