KR20130009130A - 좀비 피씨 및 디도스 대응 장치 및 방법 - Google Patents

좀비 피씨 및 디도스 대응 장치 및 방법 Download PDF

Info

Publication number
KR20130009130A
KR20130009130A KR1020110070016A KR20110070016A KR20130009130A KR 20130009130 A KR20130009130 A KR 20130009130A KR 1020110070016 A KR1020110070016 A KR 1020110070016A KR 20110070016 A KR20110070016 A KR 20110070016A KR 20130009130 A KR20130009130 A KR 20130009130A
Authority
KR
South Korea
Prior art keywords
information
network traffic
ddos
generated
processes
Prior art date
Application number
KR1020110070016A
Other languages
English (en)
Inventor
박현우
강기수
김범준
Original Assignee
루멘소프트 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 루멘소프트 (주) filed Critical 루멘소프트 (주)
Priority to KR1020110070016A priority Critical patent/KR20130009130A/ko
Publication of KR20130009130A publication Critical patent/KR20130009130A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 좀비 피씨 및 디도스 대응 장치 및 방법에 관한 것이다. 보다 상세하게는 네트워크에 연결되는 복수 개의 클라이언트 단말로부터 발생 가능한 디도스 공격에 대응함과 동시에 네트워크에 연결되는 복수 개의 클라이언트 단말 중 C&C(Command and Contrdol) 서버의 지령에 의해 디도스 공격자 역할을 수행하는 좀비 피씨(Zombie PC)에도 대응할 수 있는 좀비 피씨 및 디도스 대응 장치 및 방법에 관한 것이다. 본 발명은 복수 개의 클라이언트 단말로부터 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 전송받는 프로세스 정보 수신부; 상기 복수 개의 프로세스 정보를 분석하여 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 위험도 분석부; 및 상기 산출된 보안 위험도에 따라 상기 복수 개의 클라이언트 단말 각각에서 상기 복수 개의 프로세스 각각에 대응하기 위한 시그니처를 생성하는 시그니처 생성부를 포함하는 것을 특징으로 한다. 본 발명에 의하면 복수 개의 클라이언트 단말로부터 외부로 전송되는 네트워크 트래픽을 발생시키는 다수의 프로세스를 각각 분석하여 특정 프로세스가 디도스 공격 등의 악성 행위를 지시하는 C&C로부터 수신되는 명령에 의한 것인지를 파악함으로써 복수의 클라이언트 단말 각각의 좀비 피씨 여부에 대한 파악 및 좀비 피씨에 대한 치료가 신속하게 이루어지는 효과를 갖는다.

Description

좀비 피씨 및 디도스 대응 장치 및 방법{Apparatus and method for dealing with zombie pc and ddos}
본 발명은 좀비 피씨 및 디도스 대응 장치 및 방법에 관한 것이다. 보다 상세하게는 네트워크에 연결되는 복수 개의 클라이언트 단말로부터 발생 가능한 디도스 공격에 대응함과 동시에 네트워크에 연결되는 복수 개의 클라이언트 단말 중 C&C(Command and Contrdol) 서버의 지령에 의해 디도스 공격자 역할을 수행하는 좀비 피씨(Zombie PC)에도 대응할 수 있는 좀비 피씨 및 디도스 대응 장치 및 방법에 관한 것이다.
일반적으로 디도스(DDoS : Destributed Denial of Service)란 해킹 방식의 하나로서 다수의 공격자를 분산 배치한 후 동시에 서비스 거부 공격을 함으로써 목표 대상인 특정 사이트 또는 시스템이 정상 서비스를 제공할 수 없도록 하는 것을 의미한다.
최근 발생 빈도가 증가하고 있는 디도스 공격은 다양한 방법으로 이루어지는데, 일반적으로 명령을 수신할 수 있는 프로그램들을 다수의 컴퓨터, 다시 말해서 좀비 피씨(Zombie PC)에 심어 놓은 후 목표 사이트의 시스템이 처리할 수 없는 엄청난 량의 패킷을 다수의 컴퓨터에서 동시에 전송하여 목표 사이트의 시스템 과부하로 인한 네트워크 성능 저하 또는 시스템 자체의 마비를 유발하는 방식이 주로 사용된다.
디도스 공격 명령을 전달하는 C&C(Command & Control) 서버는 명령을 수신할 수 있는 프로그램이 포함된 악성코드를 유포하기 위해 보안이 취약한 특정 사이트의 웹서버를 해킹하게 되며, 해킹된 후 악성코드 유포에 악용되는 특정 사이트를 방문한 피씨 사용자 중 보안이 취약한 피씨를 사용하는 사용자의 경우 특정 사이트를 방문하는 것만으로도 봇(Bot)에 감염되게 된다.
그리고, 봇에 감염된 피씨는 좀비 피씨(Zombie PC)가 되어 C&C 서버를 통해 전달되는 공격 명령에 따라 디도스 공격에 악용되게 되며, 이에 더하여 다른 피씨를 감염시키거나, 피씨 사용자의 개인 정보를 유출하거나, 또는 피씨의 하드 디스크를 파괴시키는 등의 치명적인 악성 행위를 수행하게 된다.
이에 따라, 디도스에 대응하기 위한 장비들이 다수 개발되었으며 대부분의 디도스 대응 장비들의 경우 비정상적으로 많이 들어오는 네트워크 트래픽을 차단하거나 또는 상기 비정상적으로 많이 들어오는 네트워크 트래픽이 우회하도록 함으로써 기존의 서비스 서버들이 안정적인 서비스를 제공할 수 있도록 한다.
그러나, 대부분의 디도스 대응 장비들의 경우 장비 자체에서 감당할 수 있는 트래픽량에 한계가 있으므로 실제 디도스 공격을 동시에 수행하는 공격자 피씨의 갯수가 수만 또는 수십 만대인 경우 해당 네트워크 대역폭 자체를 모두 소모시켜 디도스로부터 기존의 서비스 서버들을 보호할 수 없고, 실제 디도스 공격의 주체(아이피 주소)만 식별할 수 있으므로 디도스 공격을 수행하는 좀비 피씨 또는 디도스 공격을 유발하는 C&C 서버를 실제 수거하기 전까지는 디도스 공격을 야기하는 악성 프로그램에 정보를 파악할 수 없어 악성 프로그램에 대한 치료 또한 불가능한 문제점이 있었다.
또한, C&C 서버로부터 명령을 받아 좀비 피씨가 수행하는 악성 행위가 반드시 디도스 공격인 것은 아니며 추가적인 악성 행위가 지속적으로 보고되고 있지만종래의 디도스 대응 장비들로는 좀비 피씨 자체에 대한 대응이 불가능한 문제점이 있었다.
본 발명은 상기와 같은 문제점을 해결하고자 안출된 것으로 피씨와 같은 다수의 클라이언트 단말 각각으로부터 외부로 전송되며 디도스로 판단되는 네트워크 트래픽을 감지 및 차단하는 동시에 다수의 클라이언트 단말에서 발생하는 네트워크 트래픽을 유발하는 특정 프로세스를 분석하여 다수의 클라이언트 단말에 대한 좀비 피씨 여부 확인 및 좀비 피씨 치료가 가능한 좀비 피씨 및 디도스 대응 장치 및 방법을 제공하는 것을 목적으로 한다.
상기 목적을 달성하기 위한 본 발명에 따른 좀비 피씨 대응 장치는 복수 개의 클라이언트 단말로부터 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 전송받는 프로세스 정보 수신부; 상기 복수 개의 프로세스 정보를 분석하여 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 위험도 분석부; 및 상기 산출된 보안 위험도에 따라 상기 복수 개의 클라이언트 단말 각각에서 상기 복수 개의 프로세스 각각에 대응하기 위한 시그니처를 생성하는 시그니처 생성부를 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 좀비 피씨 대응 방법은 (a) 복수 개의 클라이언트 단말로부터 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 전송받는 단계; (b) 상기 복수 개의 프로세스 정보를 분석하여 상기 네트워크 트래픽을 발생시키는 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 단계; (c) 상기 보안 위험도에 따라 상기 복수 개의 클라이언트 단말 각각에서 상기 복수 개의 프로세스 각각에 대응하기 위한 시그니처를 생성하는 단계; 및 (d) 상기 복수 개의 프로세스 각각에 대한 보안 위험도 및 시그니처를 상기 복수 개의 클라이언트 단말로 전송하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 디도스 대응 장치는 외부로 전송하는 네트워크 트래픽 정보를 수집하는 트래픽 정보 수집부; 미리 결정된 주기에 따라 상기 수집된 네트워크 트래픽 정보에 대한 네트워크 임계치 초과 여부를 판단하는 임계치 초과 판단부; 및 상기 네트워크 임계치 초과로 판단된 네트워크 트래픽을 디도스로 판단한 후 차단하거나 또는 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스를 검출하는 프로세스 검출부를 포함하는 것을 특징으로 한다.
또한, 상기 목적을 달성하기 위한 본 발명에 따른 디도스 대응 방법은 (a) 외부로 전송하는 네트워크 트래픽 정보를 수집하는 단계; (b) 미리 결정된 주기에 따라 상기 수집된 네트워크 트래픽 정보에 대한 네트워크 임계치 초과 여부를 판단하는 단계; (c) 상기 네트워크 임계치 초과로 판단된 네트워크 트래픽을 디도스로 판단한 후 차단하는 단계; 및 (d) 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스를 검출하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 의하면 복수 개의 클라이언트 단말로부터 외부로 전송되는 네트워크 트래픽을 발생시키는 다수의 프로세스를 각각 분석하여 특정 프로세스가 디도스 공격 등의 악성 행위를 지시하는 C&C로부터 수신되는 명령에 의한 것인지를 파악함으로써 복수의 클라이언트 단말 각각의 좀비 피씨 여부에 대한 파악 및 좀비 피씨에 대한 치료가 신속하게 이루어지는 효과를 갖는다.
또한, 복수의 클라이언트 단말 각각으로부터 유무선 네트워크를 통하여 외부로 전송되는 네트워크 트래픽을 복수의 클라이언트 단말 각각에서 분석하여 상기 네트워크 트래픽에 대한 디도스 판단 및 차단이 이루어지므로 디도스에 대한 신속한 대응이 가능한 효과를 갖는다.
도 1은 본 발명의 바람직한 실시예에 따른 좀비 피씨 대응 장치에 대한 블록도,
도 2는 본 발명의 바람직한 실시예에 따른 좀비 피씨 대응 방법에 대한 순서도,
도 3은 본 발명의 바람직한 실시예에 따른 디도스 대응 장치에 대한 블록도, 및
도 4는 본 발명의 바람직한 실시예에 따른 디도스 대응 방법에 대한 순서도 이다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면들을 참조하여 상세하게 설명한다. 우선 각 도면의 구성 요소들에 참조 부호를 첨가함에 있어서, 동일한 구성 요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명은 생략한다. 또한, 이하에서 본 발명의 바람직한 실시예를 설명할 것이나, 본 발명의 기술적 사상은 이에 한정하거나 제한되지 않고 당업자에 의해 실시될 수 있음은 물론이다.
도 1은 본 발명의 바람직한 실시예에 따른 좀비 피씨 대응 장치에 대한 블록도 이다.
도 1에 도시된 바와 같이 본 발명의 바람직한 실시예에 따른 좀비 피씨 탐지 장치(100)는 프로세스 정보 수신부(110), 위험도 분석부(120), 시그니처 생성부(130), 및 정보 데이터베이스(140)를 포함한다.
프로세스 정보 수신부(110)는 복수 개의 클라이언트 단말로부터 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 전송받는다.
이때, 상기 복수 개의 프로세스에 대한 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함할 수 있다.
또한, 상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 또는 부모 프로세스 정보일 수 있고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 또는 세션 별 트래픽량일 수 있으며, 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 이에 한정되는 것은 아니다.
위험도 분석부(120)는 프로세스 정보 수신부(110)가 상기 복수 개의 클라이언트 단말로부터 전송받은 상기 복수 개의 프로세스 정보를 분석하여 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출한다.
이때, 위험도 분석부(120)는 상기 복수 개의 프로세스 정보 각각을 미리 결정되어 있거나 또는 상기 프로세스 정보에 따라 추가되는 복수 개의 위험도 발생 조건 중 적어도 하나 이상과 매칭시켜 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출할 수 있다.
여기에서, 상기 미리 결정되어 있는 복수 개의 보안 위험도 발생 조건은 프로세스가 접속하는 아이피의 지리적 위치, 프로세스의 최초 발견 시점, 프로세스를 사용하는 클라이언트 단말의 수, 프로세스 경로, 프로세스 동작 시간, 부모 프로세스, 프로세스의 해쉬 변경 빈도수, 프로세스의 평균 트래픽, 또는 상기 프로세스 연결 형태일 수 있으며, 상기 미리 결정되어 있는 복수 개의 보안 위험도 발생 조건은 이에 한정되는 것은 아니다.
또한, 위험도 분석부(120)는 상기 전송된 프로세스 정보 항목 중 프로세스의 유저 인터페이스 포함 여부, 프로세스 동작 시간, 프로세스 제작자, 또는 부모 프로세스와 같이 상기 미리 결정되어 있는 복수 개의 보안 위험도 발생 조건에 포함되지 않은 항목을 추가적으로 보안 위험도 발생 조건 항목에 포함시킨 후 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출할 수 있다.
또한, 위험도 분석부(120)는 상기 복수 개의 프로세스 정보 각각과 상기 복수 개의 보안 위험도 발생 조건의 매칭 갯수, 다시 말해서 상기 복수 개의 보안 위험도 발생 조건에서 보안 위험도가 높은 것으로 판단된 갯수에 따라 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출할 수 있다.(예를 들어, 보안 위험도가 '낮음', '보통', '높음', 또는 '매우 높음' 등으로)
예를 들어, 상기 프로세스가 접속하는 아이피의 지리적 위치가 해외인 경우 상기 아이피를 C&C(Command and Control) 서버의 소스 아이피로 판단하여 상기 프로세스를 보안 위험도가 높은 것으로 판단할 수 있고, 상기 프로세스의 발견 시점이 최근, 다시 말해서 2011년에 발견된 경우 상기 프로세스를 그 이전에 발견된 다른 프로세스들 보다 보안 위험도가 높은 것으로 판단할 수 있으며, 상기 프로세스를 사용하는 클라이언트 단말의 숫자에 따라 상기 프로세스를 범용적인 프로그램 또는 비범용적인 프로그램으로 판단하여 상기 프로세스가 비범용적인 프로그램으로 판단되는 경우 상기 프로세스를 보안 위험도가 높은 것으로 판단할 수 있다.
또한, 상기 프로세스의 해쉬(Hash)가 자주 변경이 되는 경우 상기 프로세스를 업데이트가 수시로 발생하는 프로그램으로 판단하여 보안 위험도가 낮은 것으로 판단할 수 있으며, 상기 프로세스가 접속하는 특정 아이피로 평균 이상의 높은 트래픽이 감지되는 경우 상기 프로세스를 보안 위험도가 높은 것으로 판단할 수 있고, 상기 프로세스가 내부, 다시 말해서 해당 클라이언트 단말과 근접한 복수 개의 클라이언트 단말과 접속하는 사내에서 네트워킹이 이루어지는 것으로 판단하여 상기 프로세스를 보안 위험도가 낮은 것으로 판단할 수 있다.
또한, 상기 프로세스의 연결 형태가 접속 아이피가 수시로 변경되는 P2P(Peer To Peer) 형태의 연결인 경우 상기 프로세스를 보안 위험도가 높은 것으로 판단할 수 있고, 상기 프로세스의 연결 형태가 계속 연결이 유지되는 연결 지향인 경우 상기 프로세스가 보안 위험도가 높은 것으로 판단할 수 있으며, 상기 프로세스가 주기적으로 연결을 맺는 형태인 경우 상기 프로세스가 C&C와 주기적으로 접속을 시도하는 것으로 판단하여 보안 위험도가 높은 것으로 판단할 수 있다.
또한, 상기 프로세스의 동작 시간이 일정 시간 이상인 경우, 다시 말해서 상기 프로세스가 항상 동작하는 형태로 판단되는 경우 상기 프로세스가 보안 위험도가 높은 것으로 판단할 수 있고, 상기 프로세스의 부모 프로세스를 분석하여 이상이 있는 경우, 다시 말해서 상기 프로세스의 부모 프로세스가 다른 프로세스들의 부모 프로세스인 비율이 현저하게 낮은 경우 상기 프로세스가 보안 위험도가 높은 것으로 판단할 수 있으며, 상기 프로세스의 프로세스 제작자 정보를 분석하여 이상이 있는 경우, 다시 말해서 제작자의 서명 정보가 없거나 상기 프로세스의 프로세스 제작자가 다른 프로세스들의 제작자인 비율이 현저하게 낮은 경우 상기 프로세스가 보안 위험도가 높은 것으로 판단할 수 있으며, 상기 프로세스에 유저 인터페이스(User Interface:UI)가 포함되어 있지 않은 경우 상기 프로세스가 보안 위험도가 높은 것으로 판단할 수 있다.
시그니처 생성부(130)는 위험도 분석부(120)에서 산출된 상기 복수 개의 프로세스 각각에 대한 보안 위험도에 따라 상기 복수 개의 클라이언트 단말 각각에서 상기 복수 개의 프로세스 각각에 대응하기 위한 시그니처를 생성한다.
여기에서, 상기 시그니처란 매칭되는 프로세스를 복수 개의 클라이언트 단말 각각에서 유지, 차단, 또는 삭제할 수 있는 보안 정책 정보를 의미하는데, 예를 들어 상기 보안 위험도가 '낮음' 또는 '보통'인 경우 생성되는 시그니처는 매칭되는 프로세스를 유지할 수 있고, 상기 보안 위험도가 '높음'인 경우 생성되는 시그니처는 매칭되는 프로세스를 차단할 수 있으며, 또는 상기 보안 위험도가 '매우 높음'인 경우 생성되는 시그니처는 매칭되는 프로세스를 삭제하도록 할 수 있다.
또한, 시그니처 생성부(130)는 위험도 분석부(120)에서 산출된 보안 위험도 및 시그니처 생성부(130)에서 생성된 시그니처를 외부에 위치한 상기 복수 개의 클라이언트 단말로 전송할 수 있다.
여기에서, 시그니처 생성부(130)가 위험도 분석부(120)에서 산출된 보안 위험도를 상기 복수 개의 클라이언트 단말로 전송하는 이유는 상기 복수 개의 클라이언트 단말 각각을 사용하는 사용자가 상기 보안 위험도를 확인한 후 상기 보안 위험도의 우선 순위에 따라 자체적으로 상기 복수 개의 프로세스 각각에 대한 대응을 할 수 있도록 하기 위함이다.
정보 데이터베이스(140)는 프로세스 정보 수신부(210)가 전송받은 프로세스 정보, 위험도 분석부(120)가 산출한 보안 위험도, 및 시그니처 생성부(130)가 생성된 시그니처를 저장하며, 위험도 분석부(120)는 정보 데이터베이스(140)를 참조하여 상기 복수 개의 프로세스에 대한 시그니처 생성 유무를 확인하여 상기 복수 개의 프로세스 중 시그니처가 생성되어 있는 프로세스에 매칭되는 보안 위험도 및 시그니처를 상기 복수 개의 클라이언트 단말로 전송할 수 있다.
도 2는 본 발명의 바람직한 실시예에 따른 좀비 피씨 대응 방법의 순서도 이다.
S110에서 프로세스 정보 수신부(110)가 복수 개의 클라이언트 단말로부터 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 전송받는다.
이때, S110에서 상기 복수 개의 프로세스에 대한 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함할 수 있다.
또한, 상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 또는 부모 프로세스 정보일 수 있고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 또는 세션 별 트래픽량일 수 있다.
또한, S110에 이어서 위험도 분석부(120)가 정보 데이터베이스(140)를 참조하여 상기 복수 개의 프로세스 각각에 대한 시그니처 생성 유무를 확인한 후 상기 복수 개의 프로세스 중 시그니처가 생성된 프로세스에 매칭되는 보안 위험도 및 시그니처를 상기 복수 개의 클라이언트 단말로 전송하는 단계를 더 포함할 수 있다.
S120에서 위험도 분석부(120)가 상기 복수 개의 프로세스 정보를 분석하여 상기 네트워크 트래픽을 발생시키는 복수 개의 프로세스 각각에 대한 보안 위험도를 산출한다.
이때, S120에서 위험도 분석부(120)는 상기 복수 개의 프로세스 정보 각각과 미리 결정되어 있거나 또는 상기 프로세스 정보에 따라 추가되는 복수 개의 보안 위험도 발생 조건 중 적어도 하나 이상을 매칭시켜 상기 복수 개의 프로세스 정보 각각에 대한 보안 위험도를 산출할 수 있으며, 상기 보안 위험도는 상기 복수 개의 프로세스 정보 각각과 상기 복수 개의 위험도 발생 조건의 매칭 갯수에 따라 산출될 수 있다.
또한, 상기 복수 개의 보안 위험도 발생 조건은 프로세스가 접속하는 아이피의 지리적 위치, 프로세스의 최초 발견 시점, 프로세스를 사용하는 클라이언트 단말의 수, 프로세스 경로, 프로세스 동작 시간, 부모 프로세스, 프로세스의 해쉬 변경 빈도수, 프로세스의 평균 트래픽, 또는 상기 프로세스 연결 형태일 수 있다.
S130에서 시그니처 생성부(130)는 위험도 분석부(120)에서 산출된 상기 프로세스의 보안 위험도에 따라 상기 복수 개의 클라이언트 단말 각각에서 상기 복수 개의 프로세스 각각을 처리하기 위한 시그니처를 생성한다.
이때, S130에서 상기 시그니처란 매칭되는 프로세스를 상기 복수 개의 클라이언트 단말 각각에서 유지, 차단 또는 삭제할 수 있는 보안 정책 정보를 의미한다.
S140에서 시그니처 생성부(130)가 위험도 분석부(120)에서 산출된 상기 복수 개의 프로세스 각각에 대한 보안 위험도 및 시그니처를 상기 복수 개의 클라이언트 단말로 전송하면 종료가 이루어진다.
본 발명의 바람직한 실시예에 따른 좀비 피씨 대응 장치 및 방법에 의하면 상기 복수 개의 클라이언트 단말로부터 전송되는 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 분석하여 특정 프로세스가 디도스 공격 등의 악성 행위를 지시하는 C&C로부터 수신되는 명령에 의한 것인지를 파악할 수 있고, 이에 따라 상기 복수 개의 프로세스 각각에 대응하기 위한 시그니처를 생성한 후 상기 복수 개의 클라이언트 단말로 전송하는 방식으로 상기 복수 개의 클라이언트 단말 각각에 대한 좀비 피씨 여부 및 좀비 피씨 상태에 대한 치료가 신속하게 이루어질 수 있게 된다.
도 3은 본 발명의 바람직한 실시예에 따른 디도스 대응 장치에 대한 블록도 이다.
여기에서, 본 발명의 바람직한 실시예에 따른 디도스 대응 장치(200)는 복수 개의 클라이언트 단말 각각에 설치 또는 포함될 수 있고, 상기 복수 개의 클라이언트 단말은 유무선 네트워크에 상호 연결될 수 있는 피씨, 노트북, 태블릿, 또는 스마트폰 등의 단말일 수 있다.
도 3에 도시된 바와 같이 본 발명의 바람직한 실시예에 따른 디도스 대응 장치(200)는 트래픽 정보 수집부(210), 임계치 초과 판단부(220), 프로세스 검출부(230), 시그니처 수신부(240), 및 프로세스 처리부(250)를 포함한다.
트래픽 정보 수집부(210)는 클라이언트 단말로부터 외부로 전송하는 네트워크 트래픽 정보를 수집한다.
이때, 상기 네트워크 트래픽 정보는 접속 대상의 아이피 주소, 포트, 프로토콜, 패킷 형태, 패킷 량, 또는 발신 프로세스 명일 수 있다.
임계치 초과 판단부(220)는 미리 결정된 주기에 따라 트래픽 정보 수집부(210)에서 수집된 네트워크 트래픽 정보에 대한 네트워크 임계치 초과 여부를 판단한다.
이때, 상기 네트워크 임계치는 프로토콜 형태에 따른 데이터 비율 또는 패킷 형태에 따른 데이터 비율에 따라 미리 설정될 수 있는데, 예를 들어 클라이언트 단말 중 피씨의 네트워크 트래픽의 경우 TCP(Transmisson Control Protocol) 패킷의 데이터 비율이 96% 정도이고, UDP(User Datagram Protocol) 패킷의 데이터비율은 4% 정도이며, ICMP(Internet Control Message Protocol) 패킷은 거의 존재하지 않는다.
또한, TCP 플래그(flag) 중 ACK 패킷의 경우 데이터 비율은 정상 상태에서는 92& 정도이고, SYN 패킷의 경우 데이터 비율이 8% 정도이다.
따라서, 피씨로부터 외부로 전송되는 네트워크 트래픽 중 UDP 패킷의 데이터비율이 4%를 초과하여 과도하게 높은 경우 해당 네트워크 트래픽을 디도스 공격의 일종으로 UDP를 이용하여 클라이언트 단말이 대상 서버에 가상의 데이터를 연속적으로 보내도록 함으로써 대상 서버의 네트워크 오버로드(network overload)를 발생시키는 UDP Flooding으로 판단할 수 있다.
또한, 피씨로부터 외부로 전송되는 네트워크 트래픽 중 호스트 간 혹은 호스트와 라우터 간의 에러 상태 혹은 상태 변화를 알려주고 요청에 응답하기 위해 사용되는 프로토콜인 ICMP 패킷이 존재하는 경우 해당 네트워크 트래픽을 디도스 공격의 일종으로 대량의 ICMP 패킷을 직접 목표에 전송하는 ICMP Flooding으로 판단할 수 있다.
또한, 피씨로부터 외부로 전송되는 네트워크 트래픽 중 SYN 패킷의 데이터 비율이 8%를 초과하여 과도하게 높은 경우 해당 네트워크 트래픽을 디도스 공격의 일종인 SYN Flooding으로 판단할 수 있다.
이에 더하여, 상기 네트워크 트래픽 임계치는 클라이언트 단말의 접속 대상아이피 주소에 대한 미리 결정된 시간 동안의 연결 횟수 또는 상기 연결의 지속 시간에 따라 미리 설정될 수 있는데, 예를 들어, 상기 네트워크 트래픽 중 특정 아이피 주소에 대한 미리 결정된 시간 동안의 연결 횟수가 과도하게 높은 경우, 다시 말해서 특정 아이피 주소에 1초 동안 50회 이상의 연결 횟수가 발생하게 되면 사용자가 아닌 클라이언트 단말에 심어진 봇(bot)에 의해 연결이 이루어진 것으로 판단하거나 또는 특정 아이피 주소에 대한 연결의 지속 시간이 1분 내지 5분 정도로 지속되는 경우 사용자가 아닌 클라이언트 단말에 심어진 봇에 의해 연결이 지속되는 것으로 판단하여 상기 네트워크 트래픽을 디도스 공격의 일종으로 Get Flooding으로 판단할 수 있다.
또한, 임계치 초과 판단부(220)는 상기 네트워크 트래픽 정보를 이용하여 상기 크라이언트 단말로부터 외부로 전송되는 패킷에 대한 위조 여부를 판단할 수 있는데, 예를 들어 상기 네트워크 트래픽 정보 중 패킷의 소스 아이피와 상기 클라이언트 단말의 실제 아이피를 비교하여 일치하지 않는 경우 상기 네트워크 트래픽을 디도스 공격의 일종으로 자신의 아이피를 위장하여 패킷의 근원지를 알 수 없게 하는 아이피 스푸핑(IP Spoofing)으로 판단할 수 있다.
프로세스 검출부(230)는 상기 네트워크 임계치 초과로 판단된 네트워크 트래픽을 디도스로 판단한 후 차단하거나 또는 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스를 검출한다.
이때, 상기 프로세스의 검출은 포트 바인드(PORT bind)에 대한 소유자 프로세스를 이용하여 검출하는 방법 또는 상기 클라이어트 단말에 기 설치될 수 있으며 상기 클라이언트 단말로부터 패킷이 외부로 전송되는 경우 확인이 가능한 TDI 레이어 네트워크 필터 드라이버를 이용하여 실제 네트워크 패킷 전송이 프로세스를 찾는 방법 등에 의해 이루어질 수 있다.
또한, 프로세스 검출부(230)는 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스에 대한 정보를 생성한 후 상기 프로세스 정보를 좀비 피씨 대응 장치(100)로 전송할 수 있으며, 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스에 대한 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함할 수 있다.
또한, 상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 또는 부모 프로세스 정보일 수 있고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 또는 세션 별 트래픽량일 수 있다.
시그니처 수신부(240)는 좀비 피씨 대응 장치(100)로 전송된 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스에 대한 정보에 따라 좀비 피씨 대응 장치(100)에서 생성된 후 디도스 대응 장치(200)로 전송되는 시그니처를 수신받는다.
이때, 상기 시그니처는 상기 복수 개의 클라이언트 단말 각각에서 복수 개의 프로세스에 대하여 유지, 차단 또는 삭제 등의 대응을 할 수 있는 보안 정책 정보일 수 있다.
프로세스 처리부(250)는 상기 시그니처를 적용하여 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 또는 상기 외부로 전송된 네트워크 트래픽을 발생시키는 프로세스가 재실행되는 경우 유지, 차단, 또는 삭제한다.
또한, 프로세스 처리부(250)는 상기 재실행된 프로세스를 상기 클라이언트 단말 사용자가 확인 가능하도록 상기 클라이언트 단말에 포함된 디스플레이 수단에 출력하여 상기 사용자에게 디도스에 대한 경고를 하거나 또는 상기 재실행된 프로세스의 명칭을 임의로 변경한 후 상기 클라이언트 단말 내의 미리 결정된 위치로 이동시킬 수 있다.
도 4는 본 발명의 바람직한 실시예에 따른 디도스 대응 방법에 대한 순서도 이다.
도 4에 도시된 바와 같이 S210에서 트래픽 정보 수집부(210)가 클라이언트 단말로부터 외부로 전송되는 네트워크 트래픽 정보를 수집한다.
이때, S210에서 상기 네트워크 트래픽 정보는 접속 대상의 아이피 주소, 포트, 프로토콜, 패킷 형태, 패킷 량, 또는 발신 프로세스 명일 수 있다.
S220에서 임계치 초과 판단부(220)가 미리 결정된 주기에 따라 트래픽 정보 수집부(210)에서 수집된 상기 네트워크 트래픽 정보에 대한 네트워크 임계치 초과 여부를 판단한다.
이때, S220에서 상기 네트워크 임계치는 프로토콜 형태에 따른 데이터 비율 또는 패킷 형태에 따른 데이터 비율에 따라 미리 설정되거나, 클라이언트 단말의 접속 대상의 아이피 주소에 대한 미리 결정된 시간 동안의 연결 횟수 또는 상기 연결의 지속 시간에 따라 미리 설정될 수 있다.
또한, S220에 이어서 임계치 초과 판단부(20)가 상기 네트워크 트래픽 정보 를 이용하여 상기 네트워크 트래픽을 발생시키는 패킷에 대한 위조 여부를 판단하는 단계를 더 포함할 수 있다.
이때, 상기 네트워크 트래픽을 발생시키는 패킷에 대한 위조 여부를 판단하는 단계는 임계치 초과 판단부(20)가 클라이언트 단말로부터 외부로 전송되는 패킷의 소스 아이피와 상기 클라이언트 단말의 실제 아이피를 비교하여 일치하지 않는 경우 상기 소스 아이피를 차단하는 단계일 수 있다.
S230에서 임계치 초과 판단부(220)가 상기 네트워크 트래픽 정보가 상기 네트워크 임계치를 초과하지 않은 것으로 판단한 경우 S250이 수행되며, S230에서 임계치 초과 판단부(220)가 상기 네트워크 트래픽 정보가 상기 네트워크 임계치를 초과한 것으로 판단한 경우 S240에서 프로세스 검출부(230)가 상기 네트워크 트래픽을 디도스로 판단하여 차단한다.
S250에서 프로세스 검출부(230)는 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스를 검출한다.
이때, S250에서 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스의 검출은 포트 바인드(PORT bind)에 대한 소유자 프로세스를 이용하여 검출하는 방법 또는 상기 클라이어트 단말에 기 설치될 수 있으며 상기 클라이언트 단말로부터 패킷이 외부로 전송되는 경우 확인이 가능한 TDI 레이어 네트워크 필터 드라이버를 이용하여 실제 네트워크 패킷 전송이 프로세스를 찾는 방법 등에 의해 이루어질 수 있다.
S250에 이어서 프로세스 검출부(230)가 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스에 대한 정보를 생성한 후 외부의 좀비 피씨 대응 장치(100)로 전송하는 단계, 및 시그니처 수신부(240)가 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스에 대한 정보에 따라 좀비 피씨 대응 장치(100)로부터 전송되는 시그니처를 수신하는 단계를 더 포함할 수 있다.
여기에서, 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스에 대한 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함할 수 있다.
또한, 상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 또는 부모 프로세스 정보일 수 있고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 또는 세션 별 트래픽량일 수 있다.
상기 시그니처는 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스를 유지, 차단, 또는 삭제할 수 있는 보안 정책 정보일 수 있다.
S260에서 프로세스 처리부(250)가 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스의 재실행 여부를 확인한 후 재실행되지 않은 경우 종료가 이루어지며, 재실행된 경우 S270에서 프로세스 처리부(250)가 상기 시그니처를 적용하여 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시키는 프로세스를 유지, 차단, 또는 삭제한 후 종료가 이루어진다.
본 발명의 바람직한 실시예에 따른 디도스 대응 장치 및 방법에 따르면 복수의 클라이언트 단말 각각으로부터 유무선 네트워크를 통하여 외부로 전송되는 네트워크 트래픽을 복수의 클라이언트 단말 각각에서 분석하여 상기 네트워크 트래픽에 대한 디도스 판단 및 차단이 이루어지므로 디도스에 대한 신속한 대응이 가능해질 수 있다.
이상은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 수정, 변경, 및 치환이 가능할 것이다. 따라서 본 발명에 개시된 실시예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예 및 첨부된 도면들에 의해서 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구 범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명이 권리 범위에 포함되는 것으로 해석되어야 할 것이다.
(100) : 좀비 피씨 대응 장치 (110) : 프로세스 정보 수신부
(120) : 위험도 분석부 (130) : 시그니처 생성부
(140) : 정보 데이터베이스 (200) : 디도스 대응 장치
(210) : 트래픽 정보 수집부 (220) : 임계치 초과 판단부
(230) : 프로세스 검출부 (240) : 시그니처 수신부
(250) : 프로세스 처리부

Claims (29)

  1. 복수 개의 클라이언트 단말로부터 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 전송받는 프로세스 정보 수신부;
    상기 복수 개의 프로세스 정보를 분석하여 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 위험도 분석부; 및
    상기 산출된 보안 위험도에 따라 상기 복수 개의 클라이언트 단말 각각에서 상기 복수 개의 프로세스 각각에 대응하기 위한 시그니처를 생성하는 시그니처 생성부를 포함하는 것을 특징으로 하는 좀비 피씨 대응 장치.
  2. 제 1항에 있어서,
    상기 위험도 분석부는 상기 복수 개의 프로세스 정보 각각을 미리 결정되어 있거나 또는 상기 프로세스 정보에 따라 추가되는 복수 개의 위험도 발생 조건 중 적어도 하나 이상과 매칭시켜 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 것을 특징으로 하는 좀비 피씨 대응 장치.
  3. 제 2항에 있어서,
    상기 위험도 분석부는 상기 복수 개의 프로세스 정보 각각과 상기 복수 개의 보안 위험도 발생 조건의 매칭 갯수에 따라 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 것을 특징으로 하는 좀비 피씨 대응 장치.
  4. 제 2항에 있어서,
    상기 복수 개의 보안 위험도 발생 조건은 프로세스가 접속하는 아이피의 지리적 위치, 프로세스의 최초 발견 시점, 프로세스를 사용하는 클라이언트 단말의 수, 프로세스의 경로, 프로세스의 동작 시간, 부모 프로세스, 프로세스의 해쉬 변경 빈도수, 프로세스의 평균 트래픽, 또는 프로세스의 연결 형태인 것을 특징으로 하는 좀비 피씨 대응 장치.
  5. 제 1항에 있어서,
    상기 프로세스 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함하며,
    상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스의 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 또는 상기 프로세스의 부모 프로세스 정보이고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 또는 세션 별 트래픽량인 것을 특징으로 하는 좀비 피씨 대응 장치.
  6. 제 1항에 있어서,
    상기 프로세스 정보, 상기 보안 위험도, 및 상기 시그니처가 저장되는 정보 데이터베이스를 더 포함하는 것을 특징으로 하는 좀비 피씨 대응 장치.
  7. 제 6항에 있어서,
    상기 위험도 분석부는 상기 정보 데이터베이스를 참조하여 상기 복수 개의 프로세스에 대한 시그니처 생성 유무를 확인하여 상기 복수 개의 프로세스 중 시그니처가 생성되어 있는 프로세스에 매칭되는 보안 위험도 및 시그니처를 상기 복수 개의 클라이언트 단말로 전송하는 것을 특징으로 하는 좀비 피씨 대응 장치.
  8. 외부로 전송하는 네트워크 트래픽 정보를 수집하는 트래픽 정보 수집부;
    미리 결정된 주기에 따라 상기 수집된 네트워크 트래픽 정보에 대한 네트워크 임계치 초과 여부를 판단하는 임계치 초과 판단부; 및
    상기 네트워크 임계치 초과로 판단된 네트워크 트래픽을 디도스로 판단한 후 차단하거나 또는 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스를 검출하는 프로세스 검출부를 포함하는 것을 특징으로 하는 디도스 대응 장치.
  9. 제 8항에 있어서,
    상기 네트워크 트래픽 정보는 접속 대상의 아이피 주소, 포트, 프로토콜, 패킷 형태, 패킷량, 또는 발신 프로세스 명인 것을 특징으로 하는 디도스 대응 장치.
  10. 제 8항에 있어서,
    상기 네트워크 임계치는 프로토콜 형태에 따른 데이터 비율 또는 패킷 형태에 따른 데이터 비율에 따라 미리 설정되는 것을 특징으로 하는 디도스 대응 장치.
  11. 제 8항에 있어서,
    상기 네트워크 임계치는 접속 대상의 아이피 주소에 대한 미리 결정된 시간 동안의 연결 횟수 또는 상기 연결의 지속 시간에 따라 미리 설정되는 것을 특징으로 하는 디도스 대응 장치.
  12. 제 8항에 있어서,
    상기 프로세스 검출부는 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보 및 상기 외부로 전송된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보를 외부의 좀비 피씨 대응 장치로 전송하는 것을 특징으로 하는 디도스 대응 장치.
  13. 제 12항에 있어서,
    상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보 및 상기 외부로 전송된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함하며,
    상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 상기 프로세스의 부모 프로세스 정보이고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 또는 세선 별 트래픽량인 것을 특징으로 하는 디도스 대응 장치.
  14. 제 12항에 있어서,
    상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보 및 상기 외부로 전송된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보에 따라 상기 좀비 피씨 대응 장치로부터 전송되는 시그니처를 수신하는 시그니처 수신부, 및 상기 시그니처를 적용하여 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 또는 상기 외부로 전송된 네트워크 트래픽을 발생시킨 프로세스가 재실행되는 경우 유지, 차단, 또는 삭제하는 프로세스 처리부를 더 포함하는 것을 특징으로 하는 디도스 대응 장치.
  15. (a) 복수 개의 클라이언트 단말로부터 네트워크 트래픽을 발생시키는 복수 개의 프로세스에 대한 정보를 전송받는 단계;
    (b) 상기 복수 개의 프로세스 정보를 분석하여 상기 네트워크 트래픽을 발생시키는 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 단계;
    (c) 상기 보안 위험도에 따라 상기 복수 개의 클라이언트 단말 각각에서 상기 복수 개의 프로세스 각각에 대응하기 위한 시그니처를 생성하는 단계; 및
    (d) 상기 복수 개의 프로세스 각각에 대한 보안 위험도 및 시그니처를 상기 복수 개의 클라이언트 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 좀비 피씨 대응 방법.
  16. 제 15항에 있어서,
    상기 (b) 단계는,
    상기 복수 개의 프로세스 정보 각각과 미리 결정되어 있거나 또는 상기 프로세스 정보에 따라 추가되는 복수 개의 보안 위험도 발생 조건 중 적어도 하나 이상을 매칭시켜 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 단계인 것을 특징으로 하는 좀비 피씨 대응 방법.
  17. 제 16항에 있어서,
    상기 (b) 단계에서,
    상기 복수 개의 보안 위험도 발생 조건은 프로세스가 접속하는 아이피의 지리적 위치, 프로세스의 최초 발견 시점, 프로세스를 사용하는 클라이언트 단말의 수, 프로세스 경로, 프로세스 동작 시간, 부모 프로세스, 프로세스의 해쉬 변경 빈도수, 프로세스의 평균 트래픽, 또는 프로세스의 연결 형태인 것을 특징으로 하는 좀비 피씨 대응 방법.
  18. 제 16항에 있어서,
    상기 (b) 단계는,
    상기 복수 개의 프로세스 정보 각각과 상기 복수 개의 위험도 발생 조건의 매칭 갯수에 따라 상기 복수 개의 프로세스 각각에 대한 보안 위험도를 산출하는 단계인 것을 특징으로 하는 좀비 피씨 대응 방법.
  19. 제 15항에 있어서,
    상기 (a) 단계에서,
    상기 프로세스 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함하며,
    상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스의 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 또는 상기 프로세스의 부모 프로세스 정보이고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 또는 세션 별 트래픽량인 것을 특징으로 하는 좀비 피씨 대응 장치.
  20. 제 15항에 있어서,
    상기 (a) 단계에 이어서,
    (a1) 상기 복수 개의 프로세스 각각에 대한 시그니처 생성 유무를 확인한 후 상기 복수 개의 프로세스 중 시그니처가 생성된 프로세스에 매칭되는 시그니처를 상기 복수 개의 클라이언트 단말로 전송하는 단계를 더 포함하는 것을 특징으로 하는 좀비 피씨 대응 방법.
  21. (a) 외부로 전송하는 네트워크 트래픽 정보를 수집하는 단계;
    (b) 미리 결정된 주기에 따라 상기 수집된 네트워크 트래픽 정보에 대한 네트워크 임계치 초과 여부를 판단하는 단계;
    (c) 상기 네트워크 임계치 초과로 판단된 네트워크 트래픽을 디도스로 판단한 후 차단하는 단계; 및
    (d) 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 및 상기 외부로 전송하는 네트워크 트래픽을 발생시킨 프로세스를 검출하는 단계를 포함하는 것을 특징으로 하는 디도스 대응 방법.
  22. 제 21항에 있어서,
    상기 (a) 단계에서,
    상기 네트워크 트래픽 정보는 접속 대상의 아이피 주소, 포트, 프로토콜, 패킷 형태, 패킷 량, 또는 발신 프로세스 명인 것을 특징으로 하는 디도스 대응 방법.
  23. 제 21항에 있어서,
    상기 (b) 단계에서,
    상기 네트워크 임계치는 프로토콜 형태에 따른 데이터 비율 또는 패킷 형태에 따른 데이터 비율에 따라 미리 설정되는 것을 특징으로 하는 디도스 대응 방법.
  24. 제 21항에 있어서,
    상기 (b) 단계에서,
    상기 네트워크 임계치는 접속 대상의 아이피 주소에 대한 미리 결정된 시간 동안의 연결 횟수 또는 상기 연결의 지속 시간에 따라 미리 설정되는 것을 특징으로 하는 디도스 대응 방법.
  25. 제 22항에 있어서,
    상기 (b) 단계에 이어서,
    (b1) 상기 네트워크 트래픽 정보를 이용하여 상기 네트워크 트래픽을 발생시키는 패킷에 대한 위조 여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 디도스 대응 방법.
  26. 제 25항에 있어서,
    상기 (b1) 단계는 상기 패킷의 소스 아이피에 대한 진위 여부를 파악한 후 상기 파악 결과에 따라 상기 소스 아이피를 차단하는 단계인 것을 특징으로 하는 디도스 대응 방법.
  27. 제 21항에 있어서,
    상기 (d) 단계에 이어서,
    (e) 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보 및 상기 외부로 전송되는 네트워크 트래픽을 발생시킨 프로세스에 대한 정보를생성한 후 외부의 좀비 피씨 대응 장치로 전송하는 단계를 더 포함하는 것을 특징으로 하는 디도스 대응 방법.
  28. 제 27항에 있어서,
    상기 (e) 단계에 이어서,
    (f) 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보 및 상기 외부로 전송되는 네트워크 트래픽을 발생시킨 프로세스에 대한 정보에 따라 상기 좀비 피씨 대응 장치로부터 전송되는 시그니처를 적용하여 상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스 또는 상기 외부로 전송된 네트워크 트래픽을 발생시킨 프로세스가 재실행되는 경우 이를 유지, 차단, 또는 삭제하는 단계를 더 포함하는 것을 특징으로 하는 디도스 대응 방법.
  29. 제 27항에 있어서,
    상기 (e) 단계에서,
    상기 디도스로 판단된 네트워크 트래픽을 발생시킨 프로세스에 대한 정보 및 상기 외부로 전송되는 네트워크 트래픽을 발생시킨 프로세스에 대한 정보는 상기 프로세스로부터 수집되는 정보 또는 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보를 포함하며,
    상기 프로세스로부터 수집되는 정보는 프로세스 명, 프로세스 경로, 프로세스 해쉬 정보, 프로세스의 크기, 프로세스의 유저 인터페이스 포함 여부, 프로세스의 최초 발견 시점, 프로세스 동작 시간, 프로세스 제작자, 또는 상기 프로세스의 부모 프로세스 정보이고, 상기 프로세스가 발생시키는 패킷으로부터 수집되는 정보는 접속 아이피, 접속 포트, 세션 수, 세션 별 트래픽량인 것을 특징으로 하는 디도스 대응 방법.
KR1020110070016A 2011-07-14 2011-07-14 좀비 피씨 및 디도스 대응 장치 및 방법 KR20130009130A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110070016A KR20130009130A (ko) 2011-07-14 2011-07-14 좀비 피씨 및 디도스 대응 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110070016A KR20130009130A (ko) 2011-07-14 2011-07-14 좀비 피씨 및 디도스 대응 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20130009130A true KR20130009130A (ko) 2013-01-23

Family

ID=47838965

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110070016A KR20130009130A (ko) 2011-07-14 2011-07-14 좀비 피씨 및 디도스 대응 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20130009130A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101427412B1 (ko) * 2014-04-17 2014-08-08 (주)지란지교소프트 데이터 유출 방지를 위한 악성 코드 탐색 방법 및 장치
KR101446280B1 (ko) * 2013-03-26 2014-10-01 건국대학교 산학협력단 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법
KR101498495B1 (ko) * 2013-08-26 2015-03-05 홍익대학교 산학협력단 DDoS 허위 트래픽을 차단하기 위한 시스템 및 그 방법
WO2016108415A1 (ko) * 2014-12-31 2016-07-07 주식회사 시큐아이 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101446280B1 (ko) * 2013-03-26 2014-10-01 건국대학교 산학협력단 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법
KR101498495B1 (ko) * 2013-08-26 2015-03-05 홍익대학교 산학협력단 DDoS 허위 트래픽을 차단하기 위한 시스템 및 그 방법
KR101427412B1 (ko) * 2014-04-17 2014-08-08 (주)지란지교소프트 데이터 유출 방지를 위한 악성 코드 탐색 방법 및 장치
WO2016108415A1 (ko) * 2014-12-31 2016-07-07 주식회사 시큐아이 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
US9781157B1 (en) Mitigating denial of service attacks
JP5886422B2 (ja) プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US20200137112A1 (en) Detection and mitigation solution using honeypots
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
Sanmorino et al. DDoS attack detection method and mitigation using pattern of the flow
CN114830112A (zh) 通过QUIC通信协议执行的检测和缓解DDoS攻击
KR20130017333A (ko) 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
Chaudhary et al. Ddos detection framework in resource constrained internet of things domain
KR101250899B1 (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
Quach et al. Investigation of the 2016 linux tcp stack vulnerability at scale
Vanitha et al. Distributed denial of service: Attack techniques and mitigation
KR20130009130A (ko) 좀비 피씨 및 디도스 대응 장치 및 방법
Luckie et al. Resilience of deployed TCP to blind attacks
KR20200109875A (ko) 유해 ip 판단 방법
Subbulakshmi et al. A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms
Nayak et al. Depth analysis on DoS & DDoS attacks
KR20110027386A (ko) 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법
Park et al. An effective defense mechanism against DoS/DDoS attacks in flow-based routers
Bojjagani et al. Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment.
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
KR101449627B1 (ko) 비정상 세션 탐지 방법 및 장치
Holik Protecting IoT Devices with Software-Defined Networks
KR101231801B1 (ko) 네트워크 상의 응용 계층 보호 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E601 Decision to refuse application