KR20130010818A - Apparatus for control abnormal traffic and method for the same - Google Patents

Apparatus for control abnormal traffic and method for the same Download PDF

Info

Publication number
KR20130010818A
KR20130010818A KR1020110106468A KR20110106468A KR20130010818A KR 20130010818 A KR20130010818 A KR 20130010818A KR 1020110106468 A KR1020110106468 A KR 1020110106468A KR 20110106468 A KR20110106468 A KR 20110106468A KR 20130010818 A KR20130010818 A KR 20130010818A
Authority
KR
South Korea
Prior art keywords
traffic
blocking
abnormal
address
port
Prior art date
Application number
KR1020110106468A
Other languages
Korean (ko)
Other versions
KR101236129B1 (en
Inventor
한승철
Original Assignee
주식회사 엔피코어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔피코어 filed Critical 주식회사 엔피코어
Publication of KR20130010818A publication Critical patent/KR20130010818A/en
Application granted granted Critical
Publication of KR101236129B1 publication Critical patent/KR101236129B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An abnormal traffic control device and a method thereof are provided to allow a normal traffic and to block abnormal traffic. CONSTITUTION: A blocking policy storage unit(200) stores a blocked target IP(Internet Protocol) address list and a port list. A blocked target IP address is defined on the blocked target IP address list. A blocking exception policy setting unit(130) determines a port which the normal traffic uses. The blocking exception policy setting unit adds the port on the blocking exception port list. [Reference numerals] (110) Abnormal traffic detecting unit; (120) Traffic blocking policy setting unit; (130) Blocking exception policy setting unit; (140) Abnormal traffic processing unit; (200) Blocking policy storing unit; (AA,BB) Blocking target IP address; (BB) Blocking target IP address; (CC) Blocking exception port; (DD) Blocking target IP address, blocking exception port, abnormal process

Description

비정상 트래픽 제어 장치 및 방법{APPARATUS FOR CONTROL ABNORMAL TRAFFIC AND METHOD FOR THE SAME}Abnormal traffic control device and method {APPARATUS FOR CONTROL ABNORMAL TRAFFIC AND METHOD FOR THE SAME}

본 발명은 본 발명은 비정상 트래픽 차단 장치 및 방법에 관한 것으로, 더욱 상세하게는 특정 컴퓨터에서 유출되는 비정상 트래픽을 차단하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for blocking abnormal traffic, and more particularly, to an apparatus and method for blocking abnormal traffic flowing out from a specific computer.

악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷(Botnet)이라고 한다. 즉, 봇들을 자유자재로 통제하는 권한을 가진 봇 마스터에 의해 원격 조종되며 각종 악성행위를 수행할 수 있는 수천에서 수십만 대의 악성 프로그램 봇에 감염된 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷이라고 한다.Botnets are a type of network in which a large number of computers are infected by malicious software, bots. In other words, botnets are computers that are remotely controlled by a bot master who has the authority to freely control bots and that are infected by thousands or hundreds of thousands of malicious bots that can perform various malicious activities.

봇넷은 1993년에 EggDrop으로 처음 나온 이후로 최근 10년간 Forbot, PBot, Toxt 등으로 진화한 봇이 출현하였으며, 최근에는 매일 같이 많은 변종이 출현하면서 대응을 어렵게 하고 있다. 전 세계적으로 봇 좀비들에게 명령을 내리고 제어하기 위한 C&C(Command & Control) 서버와 악성 봇은 광범위하게 분포하고 있다. 특히 초고속 인터넷이 잘 갖추어진 경우 강력한 DDoS(Distributed Denial Of Service)와 같은 공격이 가능하기 때문에 국내는 봇넷 감염에 취약하다.Botnets have evolved into Forbot, PBot, Toxt, etc. in the last decade since EggDrop first appeared in 1993. Recently, many variants are appearing every day, making it difficult to respond. There are a wide range of C & C (C & C) servers and malicious bots for commanding and controlling bot zombies around the world. In particular, Korea is vulnerable to botnet infections because of the possibility of attacks such as the powerful Distributed Denial Of Service (DDoS) when the high-speed Internet is well equipped.

최근 들어, 봇넷의 심각성의 부각과 함께 봇넷을 차단하기 위한 연구가 활발해지고 있지만, 주로 IRC 봇넷을 중심으로 진행되어 왔으며, HTTP 및 P2P 봇넷에 대해서는 현황 및 특성 정도만 다루어 왔다. IRC 봇넷에 대한 기존 대부분의 연구들은 채널 암호화, 스텔스 스캐닝, 명령/제어 패턴 변경, DNS 스푸핑 등을 통해 회피가 가능하고 오탐발생의 소지가 있으며, 최근 등장하는 HTTP/P2P 신규 봇넷에 대한 대응이 미흡한 문제가 있다.Recently, researches to block botnets have been actively conducted with the severity of botnets, but mainly IRC botnets have been carried out, and HTTP and P2P botnets have only dealt with the current status and characteristics. Most existing researches on IRC botnets can be avoided through channel encryption, stealth scanning, command / control pattern changes, DNS spoofing, and false positives, and they have insufficient response to new HTTP / P2P new botnets. there is a problem.

또한, 봇넷의 공격이나 DDoS(Distributed Denial Of Service) 공격을 막기 위하여 블랙리스트 방식을 취하기도 하는데, 이러한 방식은 공격을 수행하는 서버의 인터넷 주소를 블랙리스트에 등록하여 해당 인터넷 주소를 갖는 호스트의 접속을 차단하는 방식을 사용한다. 그러나 이러한 방식은 블랙리스트에 포함된 인터넷 주소를 갖는 호스트의 모든 트래픽을 차단함으로써 정상적인 트래픽까지도 차단하는 문제점이 있다.In addition, a blacklist method is used to prevent botnet attacks or distributed denial of service (DDoS) attacks. This method registers the Internet address of the server performing the attack in a blacklist to access a host having the corresponding internet address. Use a way to block. However, this method has a problem of blocking even normal traffic by blocking all traffic of a host having an Internet address included in the blacklist.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 정상 트래픽은 허용하고 비정상 트래픽만을 차단하는 비정상 트래픽 차단장치를 제공하는 데 있다.An object of the present invention for solving the above problems is to provide an abnormal traffic blocking device that allows normal traffic and blocks only abnormal traffic.

상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 정상 트래픽은 허용하고 비정상 트래픽만을 차단하는 비정상 트래픽 차단방법을 제공하는 데 있다.Another object of the present invention for solving the above problems is to provide an abnormal traffic blocking method that allows normal traffic and blocks only abnormal traffic.

상기의 목적을 달성하기 위한 본 발명은 호스트 컴퓨터에서 수행되는 비정상 트래픽 차단장치로, 차단대상 IP 주소 목록과 상기 차단대상 IP 주소에 대한 차단제외 포트 목록이 저장되는 트래픽 차단 정책 저장부. 상기 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 비정상 트래픽 탐지부 및 상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 상기 미리 정의된 기준치 범위 내의 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 상기 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 차단 예외 정책 설정부를 포함하는 트래픽 차단장치를 제공한다.In accordance with an aspect of the present invention, there is provided an apparatus for blocking abnormal traffic performed by a host computer, wherein the list of blocked IP addresses and a list of excluded ports for blocking IP addresses are stored. An abnormal traffic detector for detecting abnormal traffic exceeding a predetermined threshold by monitoring the traffic generated by the computer, and within the predefined threshold range of traffic destined for an IP address included in the blocking target IP address list. When there is normal traffic, it provides a traffic blocking device including a blocking exception policy setting unit for determining a port used by the normal traffic and adding the port to the list of blocking ports for the blocking target IP address.

상기의 다른 목적을 달성하기 위한 본 발명은 호스트 컴퓨터에서 수행되는 비정상 트래픽 차단 방법으로, 상기 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 비정상 트래픽 탐지단계, 상기 탐지된 비정상 트래픽과 관련된 목적지 IP 주소를 판별하여 상기 목적지 IP 주소를 차단대상 IP 주소 목록에 추가하는 트래픽 차단 정책 설정단계 및 상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 상기 미리 정의된 기준치 범위 내의 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 예외 정책 설정단계를 포함하는 트래픽 차단방법을 제공한다. The present invention for achieving the above another object is an abnormal traffic blocking method performed by a host computer, abnormal traffic detection step of detecting abnormal traffic exceeding a predefined threshold by monitoring the traffic generated from the computer, the detection A traffic blocking policy setting step of determining a destination IP address related to the abnormal abnormal traffic and adding the destination IP address to the list of blocked IP addresses and the predefined traffic among the traffic having the IP address included in the blocked IP address list as a destination When there is normal traffic within the specified reference value range, it provides a traffic blocking method comprising the step of determining the port used by the normal traffic, and adding the port to the list of excluded ports for the blocking target IP address. .

본 발명에 따른 트래기 차단장치 및 방법을 이용할 경우에는 호스트 컴퓨터에서 발생하는 비정상 트래픽을 탐지하여, 해당 트래픽의 목적지 주소를 차단 대상 IP주소로 설정하고 차단하되, 해당 IP주소를 목적지로 하는 트래픽 중 정상 트래픽이 탐지되는 경우, 정상 트래픽이 이용하는 포트를 판별하여 차단제외 포트로 설정함으로써, 해당 포트를 이용하는 트래픽은 차단하지 않음으로써, 공격에 이용되는 트래픽만을 선별적으로 차단할 수 있다.In the case of using the apparatus and method for blocking a trap according to the present invention, an abnormal traffic generated from a host computer is detected, and a destination address of the corresponding traffic is set as a blocking target IP address and blocked, but among traffics that target the IP address. When the normal traffic is detected, by determining the port used by the normal traffic and setting the port to the non-blocking port, the traffic using the corresponding port is not blocked, so that only traffic used for the attack can be selectively blocked.

또한, 차단제외 포트를 이용하는 트래픽이라도 비정상 프로세스와 연관된 트래픽인 경우에는 해당 트래픽을 차단함으로써 상기의 과정에서 걸러지지 않는 공격 트래픽을 차단하는 효과가 있다.In addition, even if the traffic using the non-blocking port is the traffic associated with the abnormal process, blocking the corresponding traffic has the effect of blocking the attack traffic not filtered in the above process.

도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 구성 및 구성요소간의 연결관계를 보여주는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 트래픽 차단정책에 대한 스키마를 보여주는 개념도이다.
도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하기 위한 과정을 보여주는 시퀀스 차트이다.
도 4는 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정을 보여주는 시퀀스 차트이다.
도 5는 본 발명의 일 실시예에 따른 좀비행위 차단장치의 구성 및 구성요소간의 연결을 보여주는 블록도이다.
도 6은 본 발명의 일 실시예에 따른 좀비행위를 차단하기 위한 보안정책의 좀 더 상세한 구성의 예를 보여주는 개념도이다.
1 is a block diagram showing a connection between components and components of an abnormal traffic blocking apparatus according to an embodiment of the present invention.
2 is a conceptual diagram illustrating a schema for a traffic blocking policy according to an embodiment of the present invention.
3 is a sequence chart showing a process for setting an abnormal traffic blocking policy according to an embodiment of the present invention.
4 is a sequence chart showing a process of blocking abnormal traffic according to a blocking policy according to an embodiment of the present invention.
5 is a block diagram showing the configuration and connection between components of the zombie behavior blocking device according to an embodiment of the present invention.
6 is a conceptual diagram illustrating an example of a more detailed configuration of a security policy for blocking zombie behavior according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 이용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. In describing the drawings, similar reference numerals are used for similar elements.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 이용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 이용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. Terms such as first, second, A, and B may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 이용한 용어는 단지 특정한 실시예를 설명하기 위해 이용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 이용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 이용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 본 발명에 따른 바람직한 실시예를 첨부한 도면들을 참조하여 상세하게 설명한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 이용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, the same reference numerals are used for the same elements in the drawings and redundant descriptions of the same elements will be omitted.

먼저 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 구성에 대해서 설명하고, 본 발명에 따른 트래픽 차단장치에서 비정상 트래픽을 차단하기 위한 과정에 대해서 설명하기로 한다.
First, a configuration of an abnormal traffic blocking apparatus according to an embodiment of the present invention will be described, and a process for blocking abnormal traffic in the traffic blocking apparatus according to the present invention will be described.

비정상 abnormal 트래픽traffic 차단 장치의 구성 및 차단 방법 How to configure and disconnect your fence device

도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 구성 및 구성요소간의 연결관계를 보여주는 블록도이다.1 is a block diagram showing a connection between components and components of an abnormal traffic blocking apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치는 는 비정상 트래픽 탐지부(110), 트래픽 차단정책 설정부(120), 차단예외정책 설정부(130), 비정상 트래픽 처리부(140) 및 차단정책 저장부(200)를 포함하여 구성될 수 있다.Referring to Figure 1, the abnormal traffic blocking device according to an embodiment of the present invention is an abnormal traffic detection unit 110, traffic blocking policy setting unit 120, blocking exception policy setting unit 130, abnormal traffic processing unit ( 140 and the blocking policy storage unit 200 may be configured.

도 2는 본 발명의 일 실시예에 따른 트래픽 차단정책에 대한 개념적 스키마를 보여주는 개념도이다. 2 is a conceptual diagram illustrating a conceptual schema of a traffic blocking policy according to an embodiment of the present invention.

도 2를 참조하면 본 발명의 일 실시예에 따른 차단정책(200)은 차단대상 IP주소 목록(210), 차단제외 포트목록(220), 비정상 프로세스 목록(230) 및 정상 프로세스 목록(240)에 기초하여 수립될 수 있다.Referring to FIG. 2, the blocking policy 200 according to an embodiment of the present invention may be included in the blocking target IP address list 210, the blocking blocking port list 220, the abnormal process list 230, and the normal process list 240. Can be established on the basis of

또한, 도 1과 도 2를 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 차단장치의 각 구성요소 및 구성요소간의 연결 관계는 다음과 같이 설명될 수 있다.In addition, referring to Figures 1 and 2, the components of the abnormal traffic blocking apparatus and the connection relationship between the components according to an embodiment of the present invention can be described as follows.

비정상 트래픽 탐지부(110)는 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 부분이다. 본 발명에 따른 트래픽 차단장치는 네트워크 트래픽을 발생시키는 컴퓨터에서 수행되며, 해당 컴퓨터에서 발생하는 트래픽을 탐지하여 기준치 대비 비정상적으로 과도하게 발생된 트래픽을 탐지할 수 있다.The abnormal traffic detector 110 is a part that monitors the traffic generated from the computer and detects the abnormal traffic exceeding a predetermined threshold. The traffic blocking apparatus according to the present invention is performed in a computer generating network traffic, and detects traffic generated from the corresponding computer to detect abnormally excessive traffic generated from a reference value.

트래픽 차단정책 설정부(120)는 비정상 트래픽 탐지부(110)에서 탐지한 비정상 트래픽과 관련된 목적지의 IP 주소를 판별하여, 해당 목적지 IP 주소를 차단대상 IP 주소 목록(210)에 추가할 수 있다. 즉 예를 들면, 비정상 트래픽을 탐지하는 경우, 탐지된 비정상 트래픽과 관련된 패킷에 포함된 목적지 IP주소를 추출하여 차단대상 IP 주소 목록(210)에 추가할 수 있다. 이와 같이 차단대상 IP 주소목록(210)에 포함된 목적지 IP주소는, 상기 IP주소를 목적지로 하는 패킷을 송신 시 해당 패킷을 차단할 지 여부를 결정하기 위하여 이용될 수 있다.The traffic blocking policy setting unit 120 may determine the IP address of the destination related to the abnormal traffic detected by the abnormal traffic detecting unit 110 and add the corresponding destination IP address to the blocking target IP address list 210. That is, for example, when detecting abnormal traffic, the destination IP address included in the packet related to the detected abnormal traffic may be extracted and added to the blocking target IP address list 210. As such, the destination IP address included in the blocking target IP address list 210 may be used to determine whether to block the packet when transmitting the packet destined for the IP address.

차단예외정책 설정부(130)는 차단대상 IP 주소 목록(210)에 포함된 IP 주소를 목적지로 하는 트래픽 중 미리 정의된 기준치에 범위 내의 정상 트래픽이 존재하는 경우, 정상 트래픽이 이용하는 포트를 판별하여 상기 차단대상 IP 주소에 대한 차단제외 포트 목록(220)에 추가하는 부분일 수 있다. 이때, 정상 트래픽이 이용하는 포트는 출발지 포트나 목적지 포트 또는 출발지 포트 및 목적지 포트일 수 있다. The blocking exception policy setting unit 130 determines the port used by the normal traffic when the normal traffic within the range exists in a predefined reference value among the traffic destined for the IP address included in the blocking target IP address list 210. It may be a portion added to the blocking blocking port list 220 for the blocking target IP address. In this case, the port used by normal traffic may be a source port or a destination port, or a source port and a destination port.

정상 트래픽에 대한 판단은 탐지된 트래픽이 미리 정해진 기준치보다 과도하게 발생하는지 여부를 판단하여 정상여부를 판단할 수 도 있지만, 발생한 트래픽이 허용된 프로세스와 관련되어 있는 경우에 정상 트래픽으로 판단할 수 있다. 예를 들면 특정 IP주소로 향하는 트래픽 중 좀비 행위 프로세스와 관련된 트래픽이 있을 수 있고 정상 프로세스(240)와 관련된 트래픽이 있을 수 있다. 이 경우 정상 프로세스의 트래픽과 관련된 포트를 판별하여 상기 차단대상 IP 주소에 대한 차단제외 포트 목록(220)에 추가할 수도 있다.The determination of normal traffic can be judged as normal by determining whether the detected traffic is excessively exceeded by a predetermined threshold, but can be determined as normal traffic when the generated traffic is related to the allowed process. . For example, there may be traffic associated with a zombie behavior process among traffic destined for a particular IP address and traffic associated with normal process 240. In this case, a port related to traffic of a normal process may be determined and added to the list of excluded ports 220 for the blocking target IP address.

즉 예를 들면, 컴퓨터가 바이러스 등에 감염되어 공격행위를 하는 비정상 트래픽을 유발하는 경우, 공격대상이 되는 목적지 컴퓨터의 IP 주소를 차단대상 IP 주소목록(210)에 등록하여 해당 목적지로 가는 모든 트래픽을 차단할 수 도 있지만, 동일한 목적지로 향하는 트래픽이라도, 정상 트래픽이 발생하기도 한다면, 예를 들어, 익스플로어, 게임 등과 같은 정상 프로그램의 사용으로 인한 트래픽은 허용하고 좀비 행위로 인한 트래픽을 막을 수 있다. 이를 위하여, 해당 정상 트래픽이 이용하는 포트를 판별하여 해당 포트를 차단제외 포트목록(220)에 추가함으로써 차단예외 정책으로서 활용할 수 있다.
That is, for example, if a computer is infected with a virus or the like and causes abnormal traffic to attack, the IP address of the target computer to be attacked is registered in the blocking target IP address list 210 so that all traffic going to the corresponding destination is registered. You can block, but even traffic destined for the same destination, if normal traffic occurs, may allow traffic from normal program use such as Explorer, games, etc., and block traffic from zombie behavior. To this end, it is possible to determine a port used by the normal traffic and add the corresponding port to the blocking port list 220 to be used as a blocking exception policy.

비정상 트래픽 처리부(140)는 차단대상 IP 주소 목록(210)에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하여, 탐지된 패킷이 차단제외 포트 목록(220)에 포함된 포트를 이용하지 않는 경우 상기 패킷을 차단하는 부분일 수 있다.The abnormal traffic processing unit 140 detects a packet destined for an IP address included in the blocking target IP address list 210, and when the detected packet does not use a port included in the blocking blocking port list 220. It may be a part that blocks the packet.

한편 탐지된 패킷이 차단제외 포트 목록(220)에 포함된 포트를 이용하는 경우라도 해당 패킷을 차단해야 하는 경우가 있을 수 있다. 예를 들면, 탐지된 패킷과 관련된 프로세스가 좀비 행위나 특정 공격행위를 하는 프로세스로 판별된 비정상 프로세스라면 해당 패킷을 차단하도록 차단정책을 설정할 수 도 있다. 이때 비정상 프로세스를 정의하는 비정상 프로세스 목록(230)이 별도로 정의되어 있을 수 있다.Meanwhile, even if the detected packet uses a port included in the blocking port list 220, there may be a case where the packet should be blocked. For example, if a process related to the detected packet is an abnormal process that is determined to be a zombie action or a specific attacking process, a blocking policy may be set to block the packet. In this case, the abnormal process list 230 defining the abnormal process may be separately defined.

즉 상술한 바와 같이, 본 발명의 일 실시예에 따른 트래픽 차단장치가 수행되는 컴퓨터에서 송신되는 패킷 중에서 패킷에 포함된 목적지 IP주소가 차단대상 IP주소목록(210)에 포함되어 있는 경우, 해당 패킷을 바로 차단하는 것이 아니라, 해당 IP 주소와 관련하여 차단제외 포트목록(220)에 차단제외 포트가 정의되어 있다면, 해당 포트를 이용하지 않는 패킷 만을 차단할 수도 있다. 이때 차단 제외 포트로서 발신포트(221) 또는 수신포트(222)가 포함되어 있을 수 있다. That is, as described above, when the destination IP address included in the packet is included in the blocking target IP address list 210 among the packets transmitted from the computer on which the traffic blocking device according to an embodiment of the present invention is performed, the corresponding packet Rather than blocking directly, if the blocking port is defined in the blocking port list 220 in relation to the corresponding IP address, only packets not using the corresponding port may be blocked. At this time, the blocking port may include an outgoing port 221 or a receiving port 222.

또한, 차단제외 포트 목록(220)에 포함되어 있는 포트를 이용하는 패킷이라도 비정상 프로세스 목록(230)에 포함된 프로세스와 관련된 패킷이라면 차단할 수 있다.In addition, even a packet using a port included in the blocking port list 220 may be blocked if it is a packet related to a process included in the abnormal process list 230.

차단정책 저장부(200)는 상술한 차단대상 IP 주소 목록(210)과 차단대상 IP 주소에 대한 차단제외 포트 목록(220)을 저장하는 부분일 수 있다. 또한 비정상 프로세스 목록(230) 및 트래픽 허용 프로세스가 정의되는 정상 프로세스 목록(240)도 저장할 수 있다.The blocking policy storage unit 200 may be a part for storing the aforementioned blocking target IP address list 210 and the blocking blocking port list 220 for the blocking target IP address. In addition, the abnormal process list 230 and the normal process list 240 in which traffic allowing processes are defined may be stored.

트래픽을 허용 프로세스는 사용자가 직접 프로세스 목록에서 선택하게 할 수도 있고, 사용자의 프로그램 사용패턴이나 정상 프로세스 탐지 모듈을 사용하여 선택함으로써 정상 프로세스 목록을 작성할 수도 있다. Allowing traffic allows the user to choose from a list of processes directly, or it can create a list of normal processes by selecting them using the user's program usage patterns or the normal process detection module.

다음으로 본 발명에 따른 트래픽 차단장치에서 비정상 트래픽을 차단하기 위한 정책을 수립하는 과정과 수립된 정책에 따라서 비정상 트래픽을 차단하는 과정에 대해서 설명하기로 한다.Next, a process of establishing a policy for blocking abnormal traffic and a process of blocking abnormal traffic according to the established policy in the traffic blocking apparatus according to the present invention will be described.

도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하는 과정을 보여주는 시퀀스 차트이다.3 is a sequence chart showing a process of setting an abnormal traffic blocking policy according to an embodiment of the present invention.

도 3은 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하는 과정은 비정상 트래픽 탐지 단계(S310), 트래픽 차단정책 설정단계(S320), 차단예외 정책 설정단계(S330)을 포함하여 구성된다.3 is a diagram illustrating a process for setting an abnormal traffic blocking policy according to an exemplary embodiment of the present invention, including an abnormal traffic detecting step (S310), a traffic blocking policy setting step (S320), and a blocking exception policy setting step (S330). .

도 3을 참조하면, 본 발명의 일 실시예에 따른 비정상 트래픽 차단정책을 설정하는 과정상의 각 단계는 다음과 같이 설명될 수 있다.Referring to Figure 3, each step in the process of setting the abnormal traffic blocking policy according to an embodiment of the present invention can be described as follows.

비정상 트래픽 탐지 단계(S310)는 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 단계일수 있다. 즉 기준치 대비 비정상적으로 과도하게 발생된 트래픽을 탐지할 수 있다.The abnormal traffic detection step (S310) may be a step of detecting abnormal traffic exceeding a predefined threshold by monitoring traffic generated from a computer. In other words, the traffic generated abnormally excessively compared to the reference value can be detected.

트래픽 차단정책 설정단계(S320)는 비정상 트래픽 탐지 단계(S310)에서 탐지한 비정상 트래픽과 관련된 목적지 IP 주소를 판별하여 해당 목적지 IP 주소를 차단대상 IP 주소 목록에 추가하는 단계이다. 상술한 바와 같이, 비정상 트래픽을 탐지하는 경우, 해당 비정상 트래픽과 관련된 패킷에 포함된 목적지 IP주소를 추출하여 차단대상 IP 주소 목록에 추가함으로써, 차단대상 IP 주소목록에 포함된 IP주소를 목적지로 하는 패킷을 송신 시 해당 패킷을 차단할 지 여부를 결정시 이용할 수 있다.The traffic blocking policy setting step (S320) is a step of determining a destination IP address related to abnormal traffic detected in the abnormal traffic detection step (S310) and adding the corresponding destination IP address to the blocking target IP address list. As described above, when detecting abnormal traffic, the destination IP address included in the packet related to the abnormal traffic is extracted and added to the blocking target IP address list, whereby the IP address included in the blocking target IP address list is used as a destination. It can be used to decide whether to block the packet when transmitting it.

차단예외 정책 설정단계(S330)는 차단대상 IP 주소 목록에 포함된 IP 주소로 전송되는 트래픽 중 미리 정의된 기준치 범위 내의 정상 트래픽이 존재하거나 정상 프로세스 목록에 정의된 정상 프로세스와 관련된 트래픽이 존재하는 경우, 정상 트래픽이 이용하는 포트를 판별하여, 판별한 포트를 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 단계이다.The blocking exception policy setting step (S330) may be performed when normal traffic within a predefined threshold range exists or traffic related to the normal process defined in the normal process list among the traffic transmitted to the IP addresses included in the blocked IP address list. The method may include determining a port used by normal traffic and adding the determined port to the list of excluded ports for the blocked IP address.

즉 차단대상 IP 주소목록에 포함된 IP주소를 목적지로 하는 트래픽 중 정상 트래픽이 이용하는 포트를 판별하여 해당 포트를 차단제외 포트목록에 추가함으로써 차단예외 정책으로서 활용할 수 있다.
That is, it can be utilized as a blocking exception policy by determining the ports used by normal traffic among the traffic destined for the IP addresses included in the blocking target IP address list and adding the corresponding ports to the blocking blocking port list.

이하. 상기와 같이 설정된 차단정책을 이용하여 비정상 트래픽을 차단하는 방법에 대하여 설명하기로 한다.Below. A method of blocking abnormal traffic using the blocking policy set as described above will be described.

도 4는 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정을 보여주는 시퀀스 차트이다.4 is a sequence chart showing a process of blocking abnormal traffic according to a blocking policy according to an embodiment of the present invention.

도 4를 참조하면 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정은 차단대상 IP주소를 목적지로 하는 패킷 탐지 단계(S410), 이용포트 판별단계(S420), 프로세스 판별단계(S430), 패킷 처리단계(S440)를 포함하여 구성될 수 있다.Referring to FIG. 4, the process of blocking abnormal traffic according to a blocking policy according to an embodiment of the present invention includes a packet detection step (S410), a use port determination step (S420), and a process determination step of a target IP address as a destination. It may be configured to include a (S430), packet processing step (S440).

또한 도 4를 참조하면 본 발명의 일 실시예에 따른 비정상 트래픽을 차단정책에 따라 차단하는 과정의 각 단계는 다음과 같이 설명될 수 있다.In addition, referring to Figure 4, each step of the process of blocking the abnormal traffic according to the blocking policy according to an embodiment of the present invention can be described as follows.

차단대상 IP주소를 목적지로 하는 패킷 탐지 단계(S410)는 차단대상 IP 주소 목록을 참조하여, 해당 목록에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하는 단계이다. The packet detection step (S410) of the blocking IP address as a destination is a step of detecting a packet destined for an IP address included in the list by referring to the blocking IP address list.

이용포트 판별단계(S420)는 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 패킷이 차단제외 포트 목록에 포함된 포트를 이용하는 지 여부를 판별하는 단계이다. 즉 패킷에 포함된 발신지 포트나 목적지 포트, 또는 발신지포트/목적지 포트가 차단제외 포트목록에 포함되어 있는지 여부를 판별 하는 단계이다. The use port determination step (S420) is a step of determining whether a packet destined for an IP address included in the blocking target IP address list uses a port included in the blocking blocking port list. That is, it is a step of determining whether the source port, the destination port, or the source port / destination port included in the packet are included in the block exclusion port list.

프로세스 판별단계(S430)는 상기 탐지된 패킷이 차단제외 포트 목록에 포함된 포트를 이용하는 패킷으로 판별한 경우, 해당 패킷과 관련된 프로세스를 판별하는 단계이다. The process determining step (S430) is a step of determining a process related to the packet when the detected packet is determined to be a packet using a port included in the list of excluded ports.

패킷 처리단계(S440)는 탐지된 패킷이 이용포트 판별단계(S420)에서 차단제외 포트 목록에 포함된 포트를 이용하지 않는다고 판단한 경우 해당 패킷을 차단하는 단계일 수 있다. 또한, 탐지된 패킷이 차단제외 포트 목록에 포함된 포트를 이용한다고 판단하였더라도 프로세스 판별단계(S430)에서 비정상 프로세스와 관련이 있다고 판단하였다면 해당 패킷을 차단할 수 있다.
The packet processing step S440 may be a step of blocking a corresponding packet when it is determined that the detected packet does not use a port included in the blocking blocking port list in the use port determination step S420. In addition, even if it is determined that the detected packet uses a port included in the blocking blocking port list, the packet may be blocked if it is determined in the process determination step S430 that it is related to the abnormal process.

이하 비정상 프로세스를 판별하는 방법에 대한 일 실시예를 설명하기로 한다. 상술한 바와 같이 본 발명에 따른 비정상 트래픽 차단 장치 및 방법은 이미 작성된 비정상 프로세스 목록을 이용한다. 비정상 트래픽을 유발하는 비정상 프로세스를 판별하여 비정상 프로세스 목록을 생성하기 위한 일 실시예로서 좀비행위 차단 장치에 대해서 설명하기로 한다.
Hereinafter, an embodiment of a method of determining an abnormal process will be described. As described above, the apparatus and method for blocking abnormal traffic according to the present invention uses an abnormal process list that has already been prepared. As an embodiment for generating an abnormal process list by determining an abnormal process causing an abnormal traffic, a zombie behavior blocking device will be described.

좀비 행위 차단장치의 구성 및 보안 정책의 구성Configuration of zombie behavior blocking device and configuration of security policy

도 5는 본 발명의 일 실시예에 따른 좀비행위 차단장치의 구성 및 구성요소간의 연결을 보여주는 블록도이다.5 is a block diagram showing the configuration and connection between components of the zombie behavior blocking device according to an embodiment of the present invention.

도 5를 참조하면 본 발명에 따른 좀비행위 차단장치는 트래픽 감시부(510), 프로세스 및 트래픽 분석부(520), 비정상 프로세스 처리부(530), 보안정책 저장부(540), 이벤트 로그 저장부(550), 신규 좀비행위 유형 저장부(560)를 포함하여 구성되는 것을 알 수 있다.Referring to FIG. 5, the zombie behavior blocking apparatus according to the present invention includes a traffic monitoring unit 510, a process and traffic analysis unit 520, an abnormal process processing unit 530, a security policy storage unit 540, and an event log storage unit ( 550, a new zombie behavior type storage unit 560 can be seen.

이하, 도 5를 참조하여 본 발명의 일 실시예에 따른 좀비 행위 차단장치의 구성요소와 각 구성요소 간의 연결관계 대하여 좀 더 자세하게 설명하기로 한다.Hereinafter, with reference to Figure 5 will be described in more detail with respect to the connection relationship between the components and components of the zombie behavior blocking device according to an embodiment of the present invention.

트래픽 감시부(510)은 컴퓨터상에서 수행되는 트래픽들을 감시하여 미리 정의된 기준치를 벗어나는 트래픽과 관련된 프로세스를 탐지하기 위한 부분이다. 특히 기준치를 초과하는 트래픽이 발생하는 경우 이를 상기 프로세스 및 트래픽 분석부(520)로 전달하게 된다.The traffic monitoring unit 510 is a part for monitoring the traffic performed on the computer and detecting a process related to traffic that falls outside a predefined reference value. In particular, when traffic exceeding the threshold occurs, it is transmitted to the process and traffic analysis unit 520.

프로세스 및 트래픽 분석부(520)는 위 트래픽 감시부(510)에서 전달된 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고 트래픽 특성을 분석하는 부분이다. 상기 비정상 프로세스가 유발하는 트래픽 특성을 분석하여 보안정책 저장부(540)에 저장된 좀비 행위 유형별 트래픽 특성과 비교하여, 비정상 프로세스의 비정상 트래픽 특성과 일치하는 좀비행위 유형을 파악하여 비정상 프로세스 처리부(530)로 전달하게 된다. 또한 비정상 프로세스와 관련되어 발생한 이벤트 로그를 수집하여 이벤트 로그 저장부(550)에 저장한다. The process and traffic analysis unit 520 is a part for identifying an abnormal process causing the abnormal traffic transmitted from the traffic monitoring unit 510 and analyzing traffic characteristics. Analyze the traffic characteristics caused by the abnormal process to compare the traffic characteristics for each type of zombie behavior stored in the security policy storage unit 540, and identify the type of zombie behavior that matches the abnormal traffic characteristics of the abnormal process abnormal process processor 530 Will be sent to. In addition, the event log generated in association with the abnormal process is collected and stored in the event log storage unit 550.

한편 상기 비정상 프로세스의 비정상 트래픽 특성과 일치하는 좀비행위 유형을 보안정책 저장부(540)에서 검색하지 못한 경우에는 해당 프로세스의 트래픽 특성을 신규 좀비행위 유형 저장부(560)에 저장하고, 상기 비정상 프로세스를 비정상 프로세스 처리부(530)로 전달하게 된다.On the other hand, if the security policy storage unit 540 does not detect the zombie behavior type that matches the abnormal traffic characteristics of the abnormal process, the traffic characteristic of the corresponding process is stored in the new zombie behavior type storage unit 560, and the abnormal process is performed. This is delivered to the abnormal process processing unit 530.

비정상 프로세스 처리부(530)는 프로세스 및 트래픽 분석부(520)로부터 전달받은 비정상 프로세스를 보안정책 저장부(540)의 좀비행위 유형별 보안정책을 참조하여, 해당 보안정책에 따라서 처리한다. 이때 전달받은 비정상 프로세스가 신규 좀비행위에 해당하는 경우에는 기타유형의 좀비행위에 대한 보안정책을 참조하여 처리하게 된다.The abnormal process processing unit 530 processes the abnormal process received from the process and traffic analysis unit 520 according to the security policy by referring to the security policy for each zombie behavior type of the security policy storage unit 540. In this case, if the abnormal process received corresponds to a new zombie behavior, it is processed by referring to the security policy for other types of zombie behavior.

보안정책 저장부(540)는 좀비행위 프로세스와 관련된 보안정책이 저장되는 부분으로 좀비행위 유형을 정의하고, 각 좀비행위 유형별 트래픽 특성과 보안정책이 정의되는 부분이다. 예를 들면 DDoS 공격이라는 좀비행위 유형에 대하여, 해당 좀비행위의 트래픽 특성이 정의되고, 해당 좀비행위가 발견된 프로세스에 대한 차단정책이 정의된다. 또한 보안정책 설정 당시 존재하지 않던 좀비행위 유형이 발생하는 경우에 대비하여 신규의 좀비행위 유형을 갖는 프로세스, 즉 기타유형의 좀비행위에 대한 처리방법이 정의될 수 있다.The security policy storage unit 540 is a part in which a security policy related to a zombie behavior process is defined, and defines a zombie behavior type, and a portion in which traffic characteristics and security policies for each zombie behavior type are defined. For example, for the type of zombie behavior called DDoS attack, the traffic characteristics of the zombie behavior are defined, and the blocking policy for the process where the zombie behavior is found is defined. In addition, in case a zombie behavior type that does not exist at the time of security policy setting occurs, a process having a new zombie behavior type, that is, a method of handling other types of zombie behavior can be defined.

보안정책 저장부(540)에 저장되는 보안정책에 대한 좀 더 자세한 내용은 이후에 설명하기로 한다.A more detailed description of the security policy stored in the security policy storage unit 540 will be described later.

이벤트 로그 저장부(550)는 좀비행위 프로세스와 관련된 이벤트 로그가 저장되는 부분으로, 트래픽을 많이 발생시키는 프로세스에 대한 분석을 통한 보고서의 발행 또는 보안정책에의 반영을 목적으로 한다. The event log storage unit 550 is a part in which an event log related to a zombie act is stored, and aims to issue a report or reflect it to a security policy through an analysis of a process that generates a lot of traffic.

신규 좀비행위 유형 저장부(560)는 기준치에서 벗어난 트래픽을 발생시키는 비정상 프로세스가 발생하였으나, 새로운 것이어서 보안정책 저장부에 해당 좀비행위 유형이 정의되어 있지 않은 경우, 추후 보안정책에 반영할 수 있도록 새로운 좀비유형에 대한 트래픽 특성이 정의되는 부분이다.
The new zombie behavior type storage unit 560 generates an abnormal process that generates traffic outside of the standard value, but if it is new and the zombie behavior type is not defined in the security policy storage, the new zombie behavior storage unit 560 can be applied to the security policy later. This is where traffic characteristics for zombie types are defined.

이하 본 발명의 실시예에 따른 본 발명의 좀비행위 차단장치의 보안정책 저장부(540)에 저장되는 보안정책의 구성에 대하여 좀 더 자세하게 설명하기로 한다.Hereinafter, the configuration of the security policy stored in the security policy storage unit 540 of the zombie behavior blocking device according to the embodiment of the present invention will be described in more detail.

도 6은 본 발명에 따른 좀비 행위를 차단하기 위한 보안정책의 좀 더 상세한 구성의 예를 보여주는 개념도이다.6 is a conceptual diagram illustrating an example of a more detailed configuration of a security policy for blocking zombie behavior according to the present invention.

도 6을 참조하면 본 발명에 따른 좀비 행위를 차단하기 위한 보안정책에는 좀비행위 유형(541), 좀비행위 유형별 트래픽 임계치(543), 트래픽 임계치 초과 허용시간(545) 및 차단정책(547)을 포함하여 구성된다.Referring to FIG. 6, the security policy for blocking zombie behavior according to the present invention includes a zombie behavior type 541, a traffic threshold 543 for each zombie behavior type, a traffic threshold exceeded allowed time 545, and a blocking policy 547. It is configured by.

이하, 도 6을 참조하여 본 발명에 따른 좀비행위를 차단하기 위한 보안정책및 좀비행위 유형을 탐지하는 방법에 대해서 좀 더 자세하게 설명하기로 한다.Hereinafter, with reference to Figure 6 will be described in more detail with respect to the security policy and method for detecting the type of zombie behavior for blocking zombie behavior according to the present invention.

본 발명에서는 기존의 좀비행위 패턴 분석을 통하여 좀비 프로세스를 탐지하던 방식과 달리 좀비행위 유형(541)을 분류하고 해당 유형에 따른 트래픽을 분석하여 정의한다.In the present invention, unlike the conventional method of detecting the zombie process through the analysis of the zombie behavior pattern, the zombie behavior type 541 is classified and analyzed according to the traffic type.

좀비행위 유형(541)으로는 DDoS 공격(601), IP 스캐닝(602), 포트 스캐닝(603) 및 스푸핑 공격(604) 등이 포함되어, 해당 좀비행위 유형이 갖는 트래픽 특성이 정의될 수 있다. 또한 미리 정의되지 않은 유형의 좀비행위가 발생하는 경우에 대비하여 기타유형의 좀비행위를 위한 차단정책이 정의될 수 있다.The zombie behavior type 541 includes a DDoS attack 601, an IP scanning 602, a port scanning 603, a spoofing attack 604, and the like, so that traffic characteristics of the zombie behavior type can be defined. In addition, a blocking policy for other types of zombies may be defined in case of undefined types of zombies.

한편 좀비행위 유형별 트래픽 특성으로는 트래픽 임계치(543)와 트래픽 임계치를 초과허용 시간(545)이 포함될 수 있다. 즉 어떤 프로세스와 관련된 트래픽이 특정 좀비행위 유형의 트래픽 특성과 일치하고, 해당 트래픽이 임계치 초과 허용시간(543)을 초과하여 지속 되는 경우 해당 프로세스 및 트래픽에 대한 차단정책(547)이 적용되도록 작동할 것이다.On the other hand, traffic characteristics by zombie behavior type may include a traffic threshold 543 and a traffic allowance time allowance 545. In other words, if traffic associated with a process matches traffic characteristics of a specific zombie behavior type, and that traffic persists beyond the over-threshold time limit (543), then the blocking policy (547) for that process and traffic will be applied. will be.

예를 들면, 트래픽 감시부에서 비정상 트래픽을 탐지한 경우, 해당 비정상 트래픽을 유발하는 비정상 프로세스와 관련된 좀비행위 유형을 파악하기 위해서, 상기 보안정책 저장부(540)에 저장된 좀비행위 유형별 임계치를 기초로 상기 비정상 프로세스기 유발하는 트래픽 특성에 대응하는 좀비행위 유형(541)을 검색한다. 또한 상기 비정상 프로세스의 트래픽이 상기 검색된 좀비행위 유형에 해당하는 트래픽 임계치 초과허용시간(545)을 초과하여 지속되는 경우, 상기 비정상 프로세스는 상기 검색된 유형의 좀비행위를 하는 것으로 판단하고 이에 따른 차단정책(547)을 적용할 수 있다.
For example, when the traffic monitoring unit detects abnormal traffic, in order to determine the type of zombie behavior associated with the abnormal process causing the abnormal traffic, based on the zombie behavior type threshold stored in the security policy storage unit 540. Search for the zombie behavior type 541 corresponding to the traffic characteristic causing the abnormal process. In addition, when the traffic of the abnormal process continues beyond the traffic threshold exceeding allowable time 545 corresponding to the detected zombie behavior type, the abnormal process is determined to be the zombie behavior of the detected type, and the blocking policy ( 547) may be applied.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that

Claims (13)

호스트 컴퓨터에서 수행되는 비정상 트래픽 차단장치로,
차단대상 IP 주소가 정의된 차단대상 IP 주소 목록과 상기 차단대상 IP 주소에 대한 차단제외 포트 목록이 저장되는 트래픽 차단 정책 저장부; 및
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 미리 정의된 기준에 따른 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 상기 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 차단 예외 정책 설정부를 포함하는 트래픽 차단장치.
An abnormal traffic blocker on the host computer.
A traffic blocking policy storage unit storing a blocking target IP address list in which a blocking target IP address is defined, and a blocking blocking port list for the blocking target IP address; And
If there is normal traffic according to a predefined criterion among the traffic destined for the IP address included in the blocking target IP address list, a port used by the normal traffic is determined and the port is assigned to the blocking target IP address. A traffic blocker that includes a block exception policy setting to add to the list of excluded ports.
제 1항에 있어서,
상기 트래픽 차단 정책 저장부는 정상 프로세스가 정의된 정상 프로세스 목록을 포함하고,
차단 예외 정책 설정부는 상기 트래픽이 상기 정상 프로세스와 관련된 경우에 정상 트래픽으로 판단하는 것을 특징으로 하는 트래픽 차단장치.
The method of claim 1,
The traffic blocking policy storage unit includes a normal process list in which normal processes are defined,
The blocking exception policy setting unit determines that the traffic is normal traffic when the traffic is related to the normal process.
제 1항에 있어서,
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하여, 상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하지 않는 경우 상기 패킷을 차단하는 비정상 트래픽 처리부를 더 포함하는 것을 특징으로 하는 트래픽 차단장치.
The method of claim 1,
The apparatus further includes an abnormal traffic processing unit that detects a packet destined for an IP address included in the blocking target IP address list and blocks the packet when the detected packet does not use a port included in the blocking blocking port list. Traffic blocking device, characterized in that.
제 3항에 있어서,
상기 비정상 트래픽 처리부는
상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하는 경우, 상기 패킷과 관련된 프로세스를 판별하고,
비정상 프로세스가 정의되어 있는 비정상 프로세스 목록을 참조하여, 상기 판별된 프로세스를 비정상 프로세스로 판단한 경우 상기 탐지된 패킷을 차단하는 것을 특징으로 하는 트래픽 차단장치.
The method of claim 3,
The abnormal traffic processing unit
When the detected packet uses a port included in the list of excluded ports, determining a process related to the packet,
A traffic blocking apparatus for blocking the detected packet when it is determined that the determined process is an abnormal process with reference to an abnormal process list in which an abnormal process is defined.
제 4항에 있어서,
상기 비정상 프로세스는 좀비행위를 하는 프로세스를 포함하는 것을 특징으로 하는 트래픽 차단장치.
5. The method of claim 4,
The abnormal process includes a traffic blocking device comprising a zombie act.
제 1항에 있어서,
상기 차단제외 포트는 상기 정상 트래픽과 관련된 패킷에 포함된 출발지 포트 및 목적지 포트 중 적어도 하나를 포함하는 것을 특징으로 하는 트래픽 차단장치.
The method of claim 1,
The blocking blocking port includes at least one of a source port and a destination port included in the packet related to the normal traffic.
제 1항에 있어서,
상기 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치에서 벗어난 비정상 트래픽을 탐지하는 비정상 트래픽 탐지부; 및
상기 탐지된 비정상 트래픽과 관련된 목적지 IP 주소를 판별하여 상기 목적지 IP 주소를 상기 차단대상 IP 주소 목록에 추가하는 트래픽 차단 정책 설정부를 더 포함하는 트래픽 차단장치.
The method of claim 1,
An abnormal traffic detector configured to monitor traffic generated by the computer and detect abnormal traffic that deviates from a predetermined reference value; And
And a traffic blocking policy setting unit configured to determine a destination IP address related to the detected abnormal traffic and add the destination IP address to the blocking target IP address list.
호스트 컴퓨터에서 수행되는 비정상 트래픽 차단 방법으로,
상기 컴퓨터에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 벗어난 비정상 트래픽을 탐지하는 비정상 트래픽 탐지단계;
상기 탐지된 비정상 트래픽과 관련된 목적지 IP 주소를 판별하여 상기 목적지 IP 주소를 차단대상 IP 주소 목록에 추가하는 트래픽 차단 정책 설정단계; 및
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 트래픽 중 미리 정의된 기준에 따른 정상 트래픽이 존재하는 경우, 상기 정상 트래픽이 이용하는 포트를 판별하여, 상기 포트를 차단대상 IP 주소에 대한 차단제외 포트 목록에 추가하는 예외 정책 설정단계를 포함하는 트래픽 차단방법.
An anomalous traffic blocking method performed by the host computer.
An abnormal traffic detection step of monitoring abnormal traffic generated by the computer to detect abnormal traffic that deviates from a predetermined reference value;
Determining a destination IP address related to the detected abnormal traffic and adding the destination IP address to a list of blocked IP addresses; And
If there is normal traffic according to a predefined criterion among the traffic destined for the IP address included in the blocking IP address list, the port determined by the normal traffic is determined, and the port is blocked for the blocking IP address. A method of blocking traffic that includes an exception policy setting step that adds to the list of excluded ports.
제 8항에 있어서,
상기 예외 정책 설정단계에서 정상 트래픽을 판단하는 기준은 정상 프로세스가 정의된 정상 프로세스 목록을 참조하여 상기 트래픽이 정상 프로세스와 관련된 경우에 정상 트래픽으로 판단하는 것을 특징으로 하는 트래픽 차단방법.
The method of claim 8,
The criterion for determining normal traffic in the exception policy setting step may be determined as normal traffic when the traffic is related to the normal process with reference to the normal process list in which the normal process is defined.
제 8항에 있어서,
상기 차단대상 IP 주소 목록에 포함된 IP 주소를 목적지로 하는 패킷을 탐지하여, 상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하지 않는 경우 상기 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 차단방법.
The method of claim 8,
Detecting a packet destined for an IP address included in the blocking target IP address list, and blocking the packet if the detected packet does not use a port included in the blocking blocking port list. Traffic blocking method characterized by.
제 8항에 있어서,
상기 탐지된 패킷이 상기 차단제외 포트 목록에 포함된 포트를 이용하는 경우, 상기 패킷과 관련된 프로세스를 판별하는 단계; 및
비정상 프로세스가 정의되어 있는 비정상 프로세스 목록을 참조하여, 상기 판별된 프로세스를 비정상 프로세스로 판단한 경우 상기 탐지된 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 트래픽 차단방법.
The method of claim 8,
If the detected packet uses a port included in the list of excluded ports, determining a process associated with the packet; And
And blocking the detected packet when it is determined that the determined process is an abnormal process with reference to the abnormal process list in which an abnormal process is defined.
제 8항에 있어서,
상기 비정상 프로세스는 좀비 행위를 하는 프로세스를 포함하는 것을 특징으로 하는 트래픽 차단방법.
The method of claim 8,
The abnormal process includes a process for performing zombie behavior.
제 8항에 있어서,
상기 차단 제외 포트는 상기 정상 트래픽과 관련된 패킷에 포함된 출발지 포트 및 목적지 포트 중 적어도 하나를 포함하는 것을 특징으로 하는 트래픽 차단방법.
The method of claim 8,
The blocking exclusion port includes at least one of a source port and a destination port included in a packet related to the normal traffic.
KR1020110106468A 2011-07-19 2011-10-18 Apparatus for control abnormal traffic and method for the same KR101236129B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020110071415 2011-07-19
KR20110071415 2011-07-19

Publications (2)

Publication Number Publication Date
KR20130010818A true KR20130010818A (en) 2013-01-29
KR101236129B1 KR101236129B1 (en) 2013-02-28

Family

ID=47839957

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110106468A KR101236129B1 (en) 2011-07-19 2011-10-18 Apparatus for control abnormal traffic and method for the same

Country Status (1)

Country Link
KR (1) KR101236129B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190027122A (en) * 2017-09-06 2019-03-14 전북대학교산학협력단 Apparatus and method for analyzing network attack pattern

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100614757B1 (en) * 2004-07-14 2006-08-21 엘지엔시스(주) Apparatus and method for searching and cutting off abnormal traffic by packet header analysis
KR20110028106A (en) * 2009-09-11 2011-03-17 한국전자통신연구원 Apparatus for controlling distribute denial of service attack traffic based on source ip history and method thereof
KR101036750B1 (en) 2011-01-04 2011-05-23 주식회사 엔피코어 System for blocking zombie behavior and method for the same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190027122A (en) * 2017-09-06 2019-03-14 전북대학교산학협력단 Apparatus and method for analyzing network attack pattern

Also Published As

Publication number Publication date
KR101236129B1 (en) 2013-02-28

Similar Documents

Publication Publication Date Title
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7624447B1 (en) Using threshold lists for worm detection
US9479532B1 (en) Mitigating denial of service attacks
US8650287B2 (en) Local reputation to adjust sensitivity of behavioral detection system
US8661544B2 (en) Detecting botnets
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
KR101231975B1 (en) Method of defending a spoofing attack using a blocking server
KR101036750B1 (en) System for blocking zombie behavior and method for the same
RU2480937C2 (en) System and method of reducing false responses when detecting network attack
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
KR20140088340A (en) APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH
NZ516346A (en) A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
JP2007179131A (en) Event detection system, management terminal and program, and event detection method
JP2005210601A (en) Intrusion detector
JP4161989B2 (en) Network monitoring system
JP5531064B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
EP1461704B1 (en) Protecting against malicious traffic
JP7060800B2 (en) Infection spread attack detection system and method, and program
KR101230919B1 (en) Distributed denial of service attack auto protection system and method
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
KR101236129B1 (en) Apparatus for control abnormal traffic and method for the same
Pattinson et al. Trojan detection using MIB-based IDS/IPS system
Ladigatti et al. Mitigation of DDoS Attacks in SDN using Access Control List, Entropy and Puzzle-based Mechanisms

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171201

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190211

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200210

Year of fee payment: 8