KR20130085570A - 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치 - Google Patents

단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치 Download PDF

Info

Publication number
KR20130085570A
KR20130085570A KR1020110140316A KR20110140316A KR20130085570A KR 20130085570 A KR20130085570 A KR 20130085570A KR 1020110140316 A KR1020110140316 A KR 1020110140316A KR 20110140316 A KR20110140316 A KR 20110140316A KR 20130085570 A KR20130085570 A KR 20130085570A
Authority
KR
South Korea
Prior art keywords
traffic
packet
interrupt
transmission
abnormal
Prior art date
Application number
KR1020110140316A
Other languages
English (en)
Inventor
정우석
박종대
예병호
정태수
노성기
문승진
고남석
허환조
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020110140316A priority Critical patent/KR20130085570A/ko
Priority to US13/616,670 priority patent/US20130167219A1/en
Publication of KR20130085570A publication Critical patent/KR20130085570A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

단말 중심 사이버 공격하는 방지 방법 및 그에 따른 단말 장치가 제공된다. 단말 장치는, 송신 패킷으로 인한 과다 트래픽을 감지하는 패킷 처리부와, 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건을 이용하여 이상 트래픽을 감지하는 이상 트래픽 감지부와, 이상 트래픽 감지 결과에 따라 송신 패킷의 송신 차단을 요청하는 트래픽 차단 요청 신호를 생성하는 트래픽 차단 요청부를 포함한다.

Description

단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치{Method and terminal apparatus of cyber-attack prevention}
본 발명은 악성 코드로 인한 사이버 공격을 방지하는 기술에 관한 것으로, 특히 네트워크로 유입되는 과도한 트래픽을 차단함으로써 봇넷(BotNet)과 같은 악성 코드에 의한 사이버 공격을 효과적으로 차단하기 위한 기술이다.
DDoS 공격은 네트워크 상에 존재하는 다수 컴퓨터가 악성 코드인 봇(Bot)에 의해 감염된 좀비 PC가 되어 C&C(Command & Control) 서버에 의해 동시 다발적으로 특정 사이트를 접속함으로써 네트워크를 마비시킨다. 이러한 봇이 네트워크로 연결되어 있는 것을 봇넷(BotNet)이라고 한다. 1993년 EggDrop이라는 봇넷이 출시된 이후, 최근에는 매일 5,000개 이상의 신규 악성 코드들이 출현하고 있다. 이러한 봇넷에 의한 사이버 공격을 차단하기 위해서 네트워크상에 보안 관제 시스템이 존재한다.
기존 보안 관제 시스템은 이미 알려진 악성 코드 식별자(Signature) 또는 새로운 유형의 사이버 공격 패턴을 추출하여 패턴 매칭 기반의 공격 탐지 및 제어를 수행함으로 수동적 사후 대응 조치로 인한 서비스 품질 저하를 야기한다. 또한, 네트워크 장비와 결합한 협업형 DDoS 차단 시스템은 링크 전송률 경감을 통한 보안관제 시스템과 협업으로 공격 트래픽에 대한 개별 차단으로 대응 가능하지만, 중앙 집중식 네트워크 장치에 대한 집중 공격으로 인해 해당 장비가 기능 상실할 수 있다. 즉, 기존 보안 관제 시스템은 새로운 악성 코드에 의한 사이버 공격이나 서버에 집중된 사이버 테러에 대해 취약점을 가진다. 특히, 악성 코드의 경우 단시간에 자기 복제 및 다른 시스템을 감염시킴으로써 시간이 지남에 따라 급격한 경제적 피해뿐 아니라 사회적인 혼란을 야기한다. 또한, 중앙집중식 관제 시스템은 일순간 집중되는 과도한 트래픽을 유발하는 C&C와 같은 사이버 공격에 취약한 문제점을 가진다.
본 발명은 봇넷과 같은 악성 코드에 의한 사이버 공격을 단말 중심의 사용자 행동 패턴 분석을 통해 네트워크로 유입되는 과도한 트래픽을 차단함으로써 효과적으로 사이버 공격을 차단하기 위한 장치 및 그에 따른 방법에 관한 것이다.
일 측면에 따른 단말 장치는, 송신 패킷으로 인한 과다 트래픽을 감지하는 패킷 처리부와, 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건을 이용하여 이상 트래픽을 감지하는 이상 트래픽 감지부와, 이상 트래픽 감지 결과에 따라 송신 패킷의 송신 차단을 요청하는 트래픽 차단 요청 신호를 생성하는 트래픽 차단 요청부를 포함한다.
이상 트래픽 감지부는, 제1 조건 및 제2 조건 중 하나 이상의 조건이 만족되는 경우 이상 트래픽이 발생했음을 나타내는 이상 트래픽 감지 신호를 생성할 수 있다.
단말 장치는, 사용자 입력 신호에 기초하여 패킷 차단 여부를 결정하는 사용자 정합부를 더 포함하고, 패킷 처리부는 사용자 정합부로부터 사용자 입력 신호에 기초하여 트래픽 차단을 승인하는 차단 승인 응답의 수신에 따라 패킷 전송을 차단할 수 있다.
사용자 정합부는, 이상 트래픽이 감지된 송신 패킷을 처리하여 송신 패킷의 상세 정보를 제공하는 사용자 인터페이스 화면을 제공할 수 있다.
단말 장치는, 미리 설정된 인터럽트 계수 주기당 송신 패킷에 의해 발생하는 제1 인터럽트 발생 횟수 및 인터럽트 계수 주기당 사용자 입력에 의해 발생하는 제2 인터럽트 발생 횟수를 계수하여 인터럽트 계수 값을 생성하는 인터럽트 분석부;를 더 포함하고, 이상 트래픽 감지부는, 제1 조건 및 제2 조건이 둘 다 만족되는 경우 인터럽트 분석부가 동작하도록 제어할 수 있다.
인터럽트 분석부는, 제1 인터럽트 발생 횟수 및 제2 인터럽트 발생 횟수를 합산하고, 합산된 인터럽트 발생 횟수를 인터럽트 계수 값으로 생성할 수 있다.
이상 트래픽 감지부는, 인터럽트 계수 값을 입력받고, 인터럽트 계수 값이 기준 인터럽트 계수 값 이상인 경우, 이상 트래픽이 발생했음을 나타내는 이상 트래픽 감지 신호를 생성할 수 있다.
인터럽트 분석부는, 미리 설정된 인터럽트 계수 주기가 지나면, 인터럽트 계수 값을 초기화하고, 다음 인터럽트 계수 주기 동안 인터럽트 계수 값을 생성할 수 있다.
패킷 처리부는, 트래픽 차단 요청 신호에 따라 트래픽 차단 요청 신호와 관련된 송신 패킷이 공격 패턴을 포함하는지 확인하기 위하여 송신 패킷을 네트워크를 통해 연결된 보안 관제 센터로 전송할 수 있다.
패킷 처리부는, 일반 보안 모드에서는 트래픽 차단 요청 신호 발생시 사용자 승인을 받아 송신 패킷 전송을 차단하고, 일반 보안 모드 보다 높은 수준의 보안이 요구되는 상위 보안 모드에서는 트래픽 차단 요청 신호 발생시 사용자 승인없이 송신 패킷 전송을 차단할 수 있다.
패킷 처리부는, 패킷 계수 주기 동안 송신 패킷 수를 계수하기 위한 패킷 계수부와, 패킷 계수 주기를 생성하는 패킷 계수 주기 생성부와, 송신 패킷을 버퍼링하고, 공격 패턴이 은닉되었을 것으로 의심되는 패킷을 보완 관제 시스템으로 전송하는 패킷 버퍼부와, 계수된 송신 패킷의 수가 임계치를 초과할 경우 과다 트래픽 감지 신호를 생성하는 과다 트래픽 감지부를 포함할 수 있다.
패킷 주기 생성부는, 패킷 계수 주기 단위로 패킷 계수 초기화 신호를 생성하고, 패킷 계수 초기화 신호의 입력에 따라 패킷 계수부는 계수된 송신 패킷 수를 초기화할 수 있다.
이상 트래픽 감지부는, 과다 트래픽이 제1 기간 이상 지속되는지 여부를 결정하는 과다 트래픽 결정부와, 제2 기간 동안 다수의 동일 헤더 정보를 가지는 동일한 종류의 송신 패킷이 임계 발생량 이상 발생하였는지를 감지하는 이상 패킷 감지부를 포함할 수 있다.
다른 측면에 따른 단말 장치의 사이버 공격 차단 방법은, 송신 패킷으로 인한 과다 트래픽을 감지하는 단계와, 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건을 이용하여, 이상 트래픽이 감지되었는지 여부를 결정하는 단계와, 이상 트래픽 감지 결과에 따라 송신 패킷의 송신 차단을 요청하는 트래픽 차단 요청 신호를 생성하는 단계를 포함한다.
본 발명에 따르면, 기존의 중앙 관제 시스템 중심의 보안 시스템에 비하여 공격 패턴 검출 이전에 단말에서 유발된 다량의 트래픽이 네트워크로 유입되는 것을 방지함으로써 악성 코드에 의한 DDoS 공격을 조기에 차단하여 사회적 혼란 및 경제적 손실을 최소화할 수 있다.
도 1은 본 발명의 일 실시예에 따른 단말 중심의 사이버 공격을 차단하는 단말 장치의 구성을 나타내는 도면이다.
도 2는 도 1의 패킷 처리부의 구성의 일 예를 나타내는 도면이다.
도 3은 도 1의 인터럽트 분석부의 구성의 일 예를 나타내는 도면이다.
도 4는 도 1의 이상 트래픽 감지부의 구성의 일 예를 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 단말 중심의 사이버 공격 차단 방법을 나타내는 순서도이다.
도 6은 본 발명의 다른 실시예에 따른 단말 중심의 사이버 공격 차단 방법을 나타내는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 일 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 단말 중심의 사이버 공격을 차단하는 단말 장치의 구성을 나타내는 도면이다.
단말 장치(100)는 단말 중심의 트래픽 분석을 통하여 네트워크로 유입되는 과도한 트래픽을 차단함으로써 기존의 중앙 집중식 보안 관제 시스템의 부하를 경감하여 사이버 공격을 차단하도록 구성된다. 또한, 단말 장치(100)는 단말 중심의 사용자 행동 패턴 분석을 통한 분산 관제 구조를 가진다.
상세하게는, 단말 장치(100)는 단말에서 발생하는 트래픽양을 모니터링하여, 사용자가 정상적인 동작에 의해 발생하는 데이터 양을 초과하는지에 대한 단말 중심의 사용자 행동 패턴을 분석하고, 사용자가 정상적인 동작에 의해 발생하는 데이터 양을 초과하는 트래픽이 발생되는 경우를 이상 상태로 간주할 수 있다. 또한, 단말 장치(100)는 이상 트래픽이 감지되는 경우, 사용자 동의하에 단말에서 발생하는 트래픽 양을 조정할 수 있다.
일 실시예에 따른 단말 장치(100)는 단말 장치(100) 내부에서 과다 트래픽이 발생하였는지 여부를 감시하는 방법 및 과다 트래픽이 감지되었을 경우 해당 트래픽이 사용자에 의해 발생된 것인지 봇넷과 같은 악성 코드에 의해 발생한 것인지를 구분하는 방법을 포함하는 사이버 공격 차단 방법을 수행하도록 구성된다.
도 1을 참조하면, 단말 장치(100)는 패킷 처리부(110), 인터럽트 분석부(120), 이상 트래픽 감지부(130), 트래픽 차단 요청부(140) 및 사용자 정합부(150)를 포함한다. 단말 장치(100)는 사용자 입력 장치, 디스플레이 장치, 데이터 처리 장치 등 다양한 기능을 수행하는 구성요소를 더 포함하여 구성될 수 있으나, 여기에서는 설명의 편의를 위하여 이상 트래픽을 감지하고 이상 트래픽을 차단하는 구성을 중심으로 설명한다.
패킷 처리부(110)는 단말 장치(100)를 통해 전송될 송신 패킷을 처리한다. 패킷 처리부(110)는 네트워크를 통해 연결된 보안 관제 센터와 통신하고 송신 패킷을 네트워크로 출력할 수 있다. 패킷 처리부(110)는 프로세서(도시되지 않음)로부터의 패킷 생성 요청에 따라 송신 패킷을 생성할 수 있다.
패킷 처리부(110)는 송신 패킷을 송신하기 전에 송신 패킷에 의한 과다 트래픽이 발생하는지 여부를 감지할 수 있다. 패킷 처리부(110)는 프로세서(도시되지 않음)로부터 패킷 계수 주기 초기화 신호를 수신하고, 패킷 계수 주기 초기화 신호에 따라 패킷 계수 주기를 설정하고, 설정된 패킷 계수 주기 동안 송신 패킷의 개수를 계수할 수 있다. 송신 패킷의 생성 및 처리는 패킷 처리부(110) 외부의 다른 모듈(도시되지 않음)에서 수행되고, 패킷 처리부(110)는 송신 패킷에 의한 과다 트래픽 발생 여부만 감지하도록 구성될 수도 있다.
인터럽트 분석부(120)는 단말 장치(100)에서 발생된 인터럽트를 계수하여 발생된 과다 트래픽이 사용자에 의해 유발된 것인지 아닌지 분류하기 위한 기능을 수행한다. 인터럽트 분석부(120)는 패킷 처리부(110)에서 과다 트래픽이 감지되고, 이상 트래픽 감지부(130)에 의해 이상 트래픽이 감지되었을 경우, 이상 트래픽 감지부(130)에서 생성하는 “상위 보안 모드” 신호를 수신하면 동작할 수 있다. 이와 같이, 인터럽트 분석부(120)는 이상 트래픽이 감지된 경우와 같은 특정 상황에서만 인터럽트 발생 빈도 감시를 하도록 하여 단말 장치(100)의 성능 저하를 최소화할 수 있다.
인터럽트 분석부(120)는 미리 설정된 인터럽트 계수 주기당 송신 패킷에 의해 발생하는 제1 인터럽트 발생 횟수 및 인터럽트 계수 주기당 사용자 입력에 의해 발생하는 제2 인터럽트 발생 횟수를 계수하여 인터럽트 계수 값을 생성할 수 있다. 인터럽트 분석부(120)는 인터럽트 계수 주기를 설정하기 위한 인터럽트 계수 주기 초기화 신호를 프로세서(도시되지 않음)로부터 입력받을 수 있다. 또한, 인터럽트 분석부(120)는 패킷 처리부(110)로부터 송신 패킷이 입력될 때마다 발생되는 인터럽트를 수신하여 제1 인터럽트 발생 횟수를 계수하고, 사용자 입출력 장치(도시되지 않음)로부터 사용자 입력에 따른 입력 장치 인터럽트를 수신하여 제2 인터럽트 발생 횟수를 계수할 수 있다.
인터럽트 분석부(120)는, 제1 인터럽트 발생 횟수 및 제2 인터럽트 발생 횟수를 합산하고, 합산된 인터럽트 발생 횟수를 인터럽트 계수 값으로 생성할 수 있다. 인터럽트 분석부(120)는 인터럽트 계수 값을 이상 트래픽 감지부(130)로 전달할 수 있다. 인터럽트 분석부(120)로부터 입력된 인터럽트 계수 값이 임계값에 해당하는 기준 인터럽트 계수 값 이상인 경우, 이상 트래픽 감지부(130) 이상 트래픽이 발생했음을 나타내는 이상 트래픽 감지 신호를 생성할 수 있다.
이상 트래픽 감지부(130)는 단말 장치(100)에서 과도한 트래픽이 지속적으로 발생되거나, 또는 동일한 종류의 송신 패킷이 임계치를 넘어 발생하는 경우, “이상 트래픽 감지” 신호를 발생하여 단말 장치(100)에서 발생하는 과다 트래픽을 네트워크에 영향을 미치지 않도록 할 수 있다.
또한, 이상 트래픽 감지부(130)는 패킷 처리부(110)에 의하여 과다 트래픽이 감지되었다는 신호인 “과다 트래픽 감지” 신호가 소정의 제1 기간 이상 지속되고, 이상 트래픽을 감지하여 "이상 트래픽 감지" 신호를 생성하게 되는 경우, 인터럽트 분석부(120)를 구동하기 위한 "상위 보안 모드" 신호를 생성할 수 있다.
이를 위해, 이상 트래픽 감지부(130)는 단말에서 발생한 과도한 트래픽이 순간적으로 발생한 것인지 지속적으로 발생하는 트래픽인지 구분하기 위해 제1 기간 동안 “과다 트래픽 감지” 신호를 감시할 수 있다. 또한, 이상 트래픽 감지부(130)는 "송신 패킷 헤더”를 시간 단위로 비교하여 소정의 제2 기간 동안 동일한 종류의 송신 패킷이 임계치를 넘어 발생한다면, 해당 트래픽이 사용자에 의해 발생한 것이 아니라, 봇넷와 같은 악성 코드에 의해 발생한 것으로 간주하여 “이상 트래픽 감지” 신호를 발생할 수 있다.
여기에서, 제1 기간 및 제2 기간은 각각 이상 트래픽 감지를 위해 이용되는 기준이 되는 시간으로, 동일하게 설정될 수도 있고, 서로 다르게 설정될 수도 있다. 이상 트래픽 감지부(130)는 "이상 트래픽 감지" 신호가 발생하면, 단말 장치(100)에서 발생한 트래픽이 네트워크에 과도하게 유입되지 않도록 하여 단말 장치(100)에서 발생한 트래픽이 네트워크에 과도한 부담을 주지 않도록 하기 위한 동작을 수행할 수 있다.
과다 트래픽이 일정 기간 유지되는 경우를 제1 조건이라고 하고, 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 경우를 제2 조건이라고 할 수 있다. 정리하면, 이상 트래픽 감지부(130)중 제1 조건 및 제2 조건 중 하나 이상의 조건을 만족하는지에 따라 이상 트래픽을 감지하여 "이상 트래픽 감지" 신호를 생성할 수 있다.
이상 트래픽 감지부(130)는 “이상 트래픽 감지” 신호를 트래픽 차단 요청부(140)로 전송할 수 있다. 트래픽 차단 요청부(140)는 "이상 트래픽 감지" 신호가 수신되면, 트래픽 차단 요청 신호를 생성할 수 있다. 또한, 트래픽 차단 요청부(140)는 “이상 트래픽 감지” 신호를 수신에 따라 해당 트래픽을 차단하는 것에 대한 사용자 동의를 구하기 위한 “차단 승인 요청” 신호를 사용자 정합부(150)로 전송할 수 있다.
사용자 정합부(150)는 사용자 입출력 장치(도시되지 않음)와 연결되어, 사용자 입력 신호를 수신 및 처리하고, 사용자 입력 신호에 기초하여 송신 패킷에 대한 트래픽 차단 여부를 결정할 수 있다.
사용자 정합부(150)는, 사용자에게 이상 트래픽을 발생시킨 송신 패킷에 대한 정보를 제공하기 위하여, 이상 트래픽이 발생한 송신 패킷을 처리하여 송신 패킷의 상세 정보를 제공하는 사용자 인터페이스 화면을 생성하고, 터치 스크린, 키보드 및 모니터와 같은 사용자 입출력 장치(도시되지 않음)를 통해 제공할 수 있다. 사용자 입출력 장치로부터 해당 트래픽 차단 여부를 결정하는 사용자 입력 신호가 사용자 정합부(150)로 수신될 수 있다. 사용자 입력 신호가 해당 트래픽을 차단할 것을 나타낸 경우, 사용자 정합부(150)는 "차단 승인 응답” 신호를 생성하여, 트래픽 차단 요청부(140)로 전달할 수 있다. 트래픽 차단 요청부(140)는 사용자 정합부(150)로부터 사용자 입력 신호에 기초하여 트래픽 차단을 승인하는 "차단 승인 응답"의 수신에 따라 패킷 전송을 차단하기 위한 "트래픽 차단 요청" 신호를 발생하여 단말 장치(100)로부터 더 이상 과도한 트래픽이 네트워크로 유입되지 않도록 할 수 있다.
전술한 바와 같이, 이상 트래픽에 속하는 송신 패킷이 패킷 처리부(110)에 버퍼링되어 있는 경우에는, "트래픽 차단 요청" 신호는 패킷 처리부(110)로 전송될 수 있다. 또한, 트래픽 차단 요청부(140)는 “트래픽 차단 요청" 신호와 함께 “보안 관제 요청” 신호를 패킷 처리부(110)로 전송할 수 있다. 패킷 처리부(110)는 "보안 관제 요청" 신호를 수신하면, 봇넷이 포함되어 있을 수 있는 패킷을 보안 관제 시스템에 보고하기 위해 해당 송신 패킷을 보안 관제 패킷으로서 전송할 수 있다.
상위 보안 모드로 전환된 상태에서, 인터럽트 분석부(120)로부터 입력된 인터럽트 계수 값이 기준 인터럽트 계수 값 이상이어서, 이상 트래픽 감지부(130)에서 이상 트래픽이 발생했음을 나타내는 "이상 트래픽 감지" 신호가 생성된 경우에는, 사용자 정합부(150)를 통하여 사용자 입력 신호에 따른 차단 승인 없이도, "트래픽 차단 요청" 신호를 생성하여, 이상 트래픽으로 결정된 송신 패킷들이 외부 네트워크로 출력되는 것을 차단할 수 있다.
도 2는 도 1의 패킷 처리부(110)의 구성의 일 예를 나타내는 도면이다.
패킷 처리부(110)는 송신되는 패킷의 수를 계수하여 일정 시간 동안 임계치를 초과할 경우 단말 장치(100)에서 과도한 네트워크 트래픽이 발생하였다고 간주하여 네트워크 트래픽 차단을 요구한다.
패킷 처리부(110)는 패킷 계수 주기 생성부(210), 패킷 계수부(220), 과다 트래픽 감지부(230) 및 패킷 버퍼부(240)를 포함한다.
패킷 계수 주기 생성부(210)는 패킷 계수 주기를 생성하여 패킷 계수부(220)에 설정한다. 패킷 계수 주기 생성부(210)는 패킷 계수를 위한 주기를 설정하기 위해 타이머 형태로 구성될 수 있다. 또한, 패킷 계수 주기 생성부(210)는 “패킷 계수 클럭”을 입력으로 받아 패킷 계수 주기 단위로 “패킷 계수 초기화” 신호를 생성하여 패킷 계수부(220)로 전송하여, 패킷 계수부(220)가 패킷 계주 주기 동안 패킷의 수를 계수하도록 할 수 있다.
패킷 계수부(220)는 패킷 계수 주기 생성부(210)에서 설정된 패킷 계수 주기 단위로 전송되는 패킷의 수를 계수할 수 있다. 패킷 계수부(220)는 패킷 계수 주기 생성부(210)에 설정된 패킷 계수 주기 단위로 패킷을 전송하기 위한 패킷 송신을 결정하는 모듈(도시되지 않음)로부터 “패킷 전송 요청” 신호를 수신하여 송신 패킷의 수를 계수할 수 있다. 패킷 계수부(220)는 “패킷 계수 초기화” 신호를 수신하면 계수 값을 초기화한 후 재구동한다.
과다 트래픽 감지부(230)는 일정 시간 동안 계수된 패킷의 수와 과다 트래픽 발생 판단의 기준이 되는 패킷 계수 임계값을 비교하여 과다 트래픽을 감지한다. 과다 트래픽 감지부(230)는 패킷 계수부(220)로부터 수신한 패킷 계수 값을 소정의 패킷 계수 임계값과 비교하여 패킷 계수값이 패킷 계수 임계값보다 클 경우 “과다 트래픽 감지” 신호를 생성한다.
패킷 버퍼부(240)는 송신 패킷을 입력받아 임시 저장할 수 있다. 특히, 패킷 버퍼부(240)는 과다 트래픽 감지부(230) 및 도 1의 트래픽 차단 요청부(140)로부터 보안 과제 요청이 인입되었을 때 해당 패킷을 보안 관제 센터(도시되지 않음)로 보고하기 위한 패킷을 임시 저장한다. 패킷 버퍼부(240)는 네트워크로 전송하는 패킷인 송신 패킷을 버퍼링한 후, 이상 트래픽 감지부(230)로부터 “보안 관제 요청”신호를 수신하면 송신 패킷”을 보안 관제 패킷으로 변경하여 보안 관제 센터로 전송할 수 있다.
이러한 보안 관제 패킷 전송 기능에 따라, 보안 관제 센터가 보안 관제 패킷을 수신하여 해당 패킷을 분석하여 봇넷과 같은 악성 코드가 자기 복제를 통해 이웃 시스템을 감염하는 시간을 최소화할 수 있다. 또한, 패킷 버퍼부(240)는, 트래픽 차단 요청부(140)로부터 트래픽 차단 요청 신호가 입력되면, 트래픽 차단 요청 신호를 일으킨 이상 트래픽에 대응하는 송신 패킷들을 삭제하여 이상 트래픽이 단말 장치(100) 외부 네트워크로 출력되는 것을 차단하도록 구성될 수 있다.
도 3은 도 1의 인터럽트 분석부(120)의 구성의 일 예를 나타내는 도면이다.
인터럽트 분석부(120)는 인터럽트 계수 주기 생성부(310) 및 인터럽트 계수부(320)를 포함한다.
인터럽트 계수 주기 생성부(310)는 인터럽트를 계수하기 위한 인터럽트 계수 주기를 생성한다. 인터럽트 계수부(320)는 인터럽트 계수 주기 생성부(310)에 의해 생성된 인터럽트 계수 주기 단위로 인터럽트 발생 횟수를 계수한다.
인터럽트 계수 주기 생성부(310)는 “인터럽트 계수 클럭”을 입력받아 인터럽트 계수 주기를 생성할 수 있다. 인터럽트 계수 주기 생성부(310)는 기 설정된 인터럽트 계수 주기가 지나면, 인터럽트 계수부(310)를 초기화하기 위한 “인터럽트 계수 초기화” 신호를 생성하여 인터럽트 계수부(320)로 전송한다.
인터럽트 계수 주기 생성부(310)는 타이머 형태로 손쉽게 구현 가능하다. 인터럽트 계수부(320)는 송신 패킷에 의한 제1 인터럽트 발생 횟수 및 사용자 입력에 의한 제2 인터럽트 발생 횟수를 계수하기 위한 것으로, 과도한 트래픽이 사용자에 의한 것인지 여부를 판단하는데 이용될 수 있다. 인터럽트 계수부(320)는 제1 인터럽트 발생 횟수 및 제2 인터럽트 발생 횟수를 합산하고, 합산된 인터럽트 발생 횟수를 인터럽트 계수 값으로 생성하고, 생성된 인트럽트 계수 값을 이상 트래픽 판단부(130)로 전송할 수 있다. 인터럽트 계수부(320)는 인터럽트 발생시 계수하기 때문에 프로세서 성능 저하를 유발할 수 있기 때문에 보안 모드 등급에 따라 동작하도록 구성할 수 있다. 이를 위해, 인터럽트 계수부(320)는 이상 트래픽 감지부(130)로부터 “상위 보안 모드” 신호를 수신할 경우에만 동작하도록 구성될 수 있다.
도 4는 도 1의 이상 트래픽 감지부(130)의 구성의 일 예를 나타내는 도면이다.
이상 트래픽 감지부(130)는 단말 장치(100)에서 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건을 이용하여 이상 트래픽을 감지할 수 있다. 이상 트래픽 감지부(130)는 제1 조건 및 제2 조건 중 하나 이상의 조건이 만족되는 경우 이상 트래픽이 발생했음을 나타내는 "이상 트래픽 감지" 신호를 생성할 수 있다.
이상 트래픽 감지부(130)는, 제1 조건을 만족하는지 확인하는 과다 트래픽 결정부(410), 제2 조건을 만족하는지 확인하는 이상 패킷 감지부(420) 및 과다 트래픽 결정부(410) 및 이상 패킷 감지부(420)의 처리 결과에 따라 동작하는 이상 트래픽 판단부(430)를 포함할 수 있다.
과다 트래픽 결정부(410)는 과다 트래픽 감지 주기 생성부(412) 및 과다 트래픽 감지부(414)를 포함할 수 있다.
과다 트래픽 감지 주기 생성부(412)는 입력되는 “과다 트래픽 계수 클럭”을 계수하여 기 설정된 과다 트래픽 감지 주기를 단위로 과다 트래픽 감지부(410)의 계수기를 초기화하기 위한 “과다 트래픽 계수 초기화” 신호를 생성한다.
과다 트래픽 감지부(414)는 미리 설정된 과다 트래픽 감지 주기 동안 패킷 처리부(120)로부터 수신되는 "과다 트래픽 감지" 신호가 유지되는지 확인하여, 단말 장치(100)에서의 과다 트래픽 발생 유무를 판단한다.
과다 트래픽 감지부(414)는 "과다 트래픽 감지" 신호가 과다 트래픽 감지 주기 시간 동안 유지될 경우 “과다 트래픽 경고” 신호를 생성하여, 이상 트래픽 판단부(430)로 전송할 수 있다.
또한, 과다 트래픽 감지부(414)는 과다 트래픽 감지 주기 생성부(412)로부터 “과다 트래픽 계수 초기화”를 수신하면 과다 트래픽 감지부(414) 내부의 계수기를 초기화할 수 있다. 과다 트래픽 감지부(414)는 “과다 트래픽 감지”상태가 과다 트래픽 감지 주기가 초과하기 이전에 해제가 되면 “과다 트래픽 계수 주기 초기화”신호를 생성하여, 이전에 계수된 값을 초기화하여, 순간적으로 발생한 과다 트래픽에 의한 단말기의 네트워크 성능 저하를 최소화할 수 있다.
이상 패킷 감지부(420)는 패킷 헤더 버퍼부(422), 패킷 헤더 비교부(424), 패킷 헤더 계수부(426) 및 패킷 헤더 주기 생성부(428)를 포함할 수 있다.
패킷 헤더 버퍼부(422)는 송신 패킷 헤더를 수신하여, 현재 송신 패킷 헤더 및 이전 송신 패킷 헤더를 패킷 헤더 비교부(424)로 전달한다.
패킷 헤더 비교부(424)는 내부의 비교기를 이용하여 현재 송신 패킷 헤더와 이전 송신 패킷 헤더를 비교한 결과인 “패킷 헤더 비교 결과”를 패킷 헤더 계수부(450)로 전송한다.
패킷 헤더 계수부(426)는 패킷 헤더 주기 생성부(428)에 설정된 주기 동안 동일한 패킷 헤더를 가진 패킷을 계수하여 패킷 헤더 계수부(426)에 설정된 임계값을 초과할 경우 “패킷 헤더 경고” 신호를 생성하고, 생성된 "패킷 헤더 경고" 신호를 이상 트래픽 판단부(430)로 전송한다.
패킷 헤더 계수부(426)는 패킷 헤더 주기 생성부(428)에 설정된 주기 동안 임계값을 초과하지 않을 경우 “패킷 헤더 계수 주기 초기화” 신호를 패킷 헤더 주기 생성부(460)로 전송하여 패킷 헤더 주기를 초기화한다.
이와 같은, 패킷 헤더 버퍼부(422), 패킷 헤더 비교부(424), 패킷 헤더 계수부(426) 및 패킷 헤더 주기 생성부(428)의 구성에 따라 송신 패킷 헤더 정보를 이용하여 현재 송신 패킷와 직전 송신 패킷 헤더 정보를 비교하여 동일한 종류의 송신 패킷이 단시간 다량으로 전송되는 것을 감지할 수 있다.
이상 트래픽 판단부(430)는 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건 중 하나 이상의 조건을 만족하는 경우, 이상 트래픽이 발생한 것으로 결정하여, "이상 트래픽 감지" 신호를 생성할 수 있다.
이상 트래픽 판단부(430)는 상위 보안 모드와 일반 보안 모드로 구분하여 동작할 수 있다. 이상 트래픽 판단부(430)는“과다 트래픽 경고”와 “패킷 헤더 경고”를 수신하면 상위 보안 모드를 생성하여 도 1에 도시된 인터럽트 분석부(120)로 전송할 수 있다.
이상 트래픽 판단부(430)는 일반 보안 모드에서는 “과다 트래픽 경고” 또는 “패킷 헤더 경고”를 수신하면 “이상 트래픽 감지” 신호를 생성할 수 있다. 이상 트래픽 판단부(430)는 상위 보안 모드에서는 인터럽트 분석부(120)로부터 수신한 “인터럽트 계수값”와 내부에 설정된 임계값을 초과할 경우에도 “이상 트래픽 감지” 신호를 생성하여, 단말에서 발생한 과도한 트래픽이 네트워크에 영향을 미치지 않도록 네트워크 트래픽 차단을 요청할 수 있다.
도 5는 본 발명의 일 실시예에 따른 단말 중심의 사이버 공격 차단 방법을 나타내는 순서도이다.
단말 장치(100)는 송신 패킷으로 인한 과다 트래픽을 감지한다(510).
단말 장치(100)는 과다 트래픽이 과다 트래픽 감지 주기(또는 제1 기간) 동안 유지되는 제1 조건 및 패킷 헤더 주기(또는 제2 기간) 동안 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건 중 하나 이상의 조건을 만족하는지 여부를 결정한다(520).
과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건 중 하나 이상의 조건이 만족되면(520), 단말 장치(100)는 이상 트래픽 감지 신호를 생성한다(530).
단말 장치(530)는 이상 트래픽 감지 신호가 생성되면, 송신 패킷의 차단을 요청하는 트래픽 차단 요청 신호를 생성한다(540). 단말 장치(100)는 트래픽 차단 요청 신호에 따라 과다 트래픽을 일으킨 송신 패킷이 단말 장치(100)에서 네트워크로 출력되는 것을 차단할 수 있다. 또한, 단말 장치(100)는 트래픽 차단 요청 신호가 발생되면, 과다 트래픽을 일으킨 송신 패킷을 외부의 보안 관제 센터로 전송하여, 보안 관제 센터가 송신 패킷이 공격 패턴을 포함하는지 확인하도록 요청할 수 있다. 또는, 단말 장치(100)는 트래픽 차단 요청 신호가 발생되면, 사용자 승인을 받아서 송신 패킷이 외부 네트워크로 출력되는 것을 차단할 수 있다.
도 6은 본 발명의 다른 실시예에 따른 단말 중심의 사이버 공격 차단 방법을 나타내는 순서도이다.
단말 장치(100)는 송신 패킷으로 인한 과다 트래픽을 감지한다(610).
단말 장치(100)는 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건 중 하나 이상의 조건을 만족하는지 여부를 결정한다(620).
제1 조건 및 제2 조건 중 하나의 조건이 만족되는 경우(610), 단말 장치(100)는 이상 트래픽이 발생된 것으로 결정하여, 이상 트래픽 감지 신호를 생성하고(630), 사용자가 패킷을 차단할 것인지를 확인하기 위한 차단 승인 요청 신호를 생성할 수 있다(640). 사용자로부터 트래픽 차단을 승인하는 차단 승인 응답이 수신되면(650), 단말 장치(100)는 내부 저장부에 버퍼링된 상태에 있는 과다 트래픽을 발생시킬 수 있는 송신 패킷을 삭제하여, 송신 패킷이 외부 네트워크로 출력되는 것을 차단할 수 있다(660). 또한, 단말 장치(100)는 송신 패킷에 공격 패턴이 포함되어 있는지를 확인하기 위하여 송신 패킷을 보안 관제 센터로 전송할 수 있다.
한편, 제1 조건 및 제2 조건 둘 다가 만족되는 경우(670), 단말 장치(100)는 높은 수준의 보안이 요구되는 상위 보안 모드로 변경되고, 단말 장치(100)에서 발생되는 인터럽트 발생 횟수를 분석하여 인터럽트 계수 값을 생성한다(680). 단말 장치(100)는 송신 패킷에 의해 단위 시간당 발생되는 제1 인터럽트 발생 횟수 및 사용자 입력에 의해 단위 시간당 발생되는 제2 인터럽트 발생 횟수를 계수하여 인터럽트 계수 값을 생성하고, 인터럽트 계수 값이 기준 인터럽트 계수 값 이상인 경우, 이상 트래픽이 발생했음을 나타내는 이상 트래픽 감지 신호를 생성하고, 내부 저장부에 버퍼링된 상태에 있는 과다 트래픽을 발생시킬 수 있는 송신 패킷을 삭제하여, 송신 패킷이 외부 네트워크로 출력되는 것을 차단할 수 있다(660). 이와 같이, 상위 보안 모드에서는, 이상 트래픽 감지 신호 생성시 사용자 승인없이 송신 패킷 전송을 차단할 수 있다.
본 발명의 일 양상은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있다. 상기의 프로그램을 구현하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 디스크 등을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상의 설명은 본 발명의 일 실시예에 불과할 뿐, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.

Claims (19)

  1. 송신 패킷으로 인한 과다 트래픽을 감지하는 패킷 처리부;
    상기 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건을 이용하여 이상 트래픽을 감지하는 이상 트래픽 감지부; 및
    이상 트래픽 감지 결과에 따라 송신 패킷의 송신 차단을 요청하는 트래픽 차단 요청 신호를 생성하는 트래픽 차단 요청부; 를 포함하는 것을 특징으로 하는 단말 장치.
  2. 제1항에 있어서,
    상기 이상 트래픽 감지부는, 제1 조건 및 제2 조건 중 하나 이상의 조건이 만족되는 경우 이상 트래픽이 발생했음을 나타내는 이상 트래픽 감지 신호를 생성하는 것을 특징으로 하는 단말 장치.
  3. 제2항에 있어서,
    사용자 입력 신호에 기초하여 트래픽 차단 여부를 결정하는 사용자 정합부;를 더 포함하고,
    상기 패킷 처리부는 사용자 정합부로부터 사용자 입력 신호에 기초하여 트래픽 차단을 승인하는 차단 승인 응답의 수신에 따라 패킷 전송을 차단하는 것을 특징으로 하는 단말 장치.
  4. 제3항에 있어서,
    상기 사용자 정합부는, 이상 트래픽이 감지된 송신 패킷을 처리하여 상기 송신 패킷의 상세 정보를 제공하는 사용자 인터페이스 화면을 제공하는 것을 특징으로 하는 단말 장치.
  5. 제1항에 있어서,
    미리 설정된 인터럽트 계수 주기당 송신 패킷에 의해 발생하는 제1 인터럽트 발생 횟수 및 상기 인터럽트 계수 주기당 사용자 입력에 의해 발생하는 제2 인터럽트 발생 횟수를 계수하여 인터럽트 계수 값을 생성하는 인터럽트 분석부;를 더 포함하고,
    상기 이상 트래픽 감지부는, 상기 제1 조건 및 제2 조건이 둘 다 만족되는 경우 상기 인터럽트 분석부가 동작하도록 제어하는 것을 특징으로 하는 단말 장치.
  6. 제5항에 있어서,
    상기 인터럽트 분석부는, 상기 제1 인터럽트 발생 횟수 및 상기 제2 인터럽트 발생 횟수를 합산하고, 합산된 인터럽트 발생 횟수를 상기 인터럽트 계수 값으로 생성하는 것을 특징으로 하는 단말 장치.
  7. 제5항에 있어서,
    상기 이상 트래픽 감지부는, 상기 인터럽트 계수 값을 입력받고, 상기 인터럽트 계수 값이 기준 인터럽트 계수 값 이상인 경우, 이상 트래픽이 발생했음을 나타내는 이상 트래픽 감지 신호를 생성하는 것을 특징으로 하는 단말 장치.
  8. 제5항에 있어서,
    상기 인터럽트 분석부는, 상기 미리 설정된 인터럽트 계수 주기가 지나면, 상기 인터럽트 계수 값을 초기화하고, 다음 인터럽트 계수 주기 동안 인터럽트 계수 값을 생성하는 것을 특징으로 하는 단말 장치.
  9. 제1항에 있어서,
    상기 패킷 처리부는, 트래픽 차단 요청 신호에 따라 상기 트래픽 차단 요청 신호와 관련된 송신 패킷이 공격 패턴을 포함하는지 확인하기 위하여 상기 송신 패킷을 네트워크를 통해 연결된 보안 관제 센터로 전송하는 것을 특징으로 하는 단말 장치.
  10. 제1항에 있어서,
    상기 패킷 처리부는, 일반 보안 모드에서는 트래픽 차단 요청 신호 발생시 사용자 승인을 받아 송신 패킷 전송을 차단하고, 일반 보안 모드 보다 높은 수준의 보안이 요구되는 상위 보안 모드에서는 트래픽 차단 요청 신호 발생시 사용자 승인없이 송신 패킷 전송을 차단하는 것을 특징으로 하는 단말 장치.
  11. 제1항에 있어서, 상기 패킷 처리부는,
    패킷 계수 주기 동안 송신 패킷 수를 계수하기 위한 패킷 계수부;
    패킷 계수 주기를 생성하는 패킷 계수 주기 생성부;
    송신 패킷을 버퍼링하고, 공격 패턴이 은닉되었을 것으로 의심되는 패킷을 보완 관제 시스템으로 전송하는 패킷 버퍼부; 및
    계수된 송신 패킷의 수가 임계치를 초과할 경우 과다 트래픽 감지 신호를 생성하는 과다 트래픽 감지부;를 포함하는 것을 특징으로 하는 단말 장치.
  12. 제11항에 있어서,
    상기 패킷 주기 생성부는, 패킷 계수 주기 단위로 패킷 계수 초기화 신호를 생성하고, 상기 패킷 계수 초기화 신호의 입력에 따라 상기 패킷 계수부는 계수된 송신 패킷 수를 초기화하는 것을 특징으로 하는 단말 장치.
  13. 제1항에 있어서, 상기 이상 트래픽 감지부는,
    과다 트래픽이 제1 기간 이상 지속되는지 여부를 결정하는 과다 트래픽 결정부; 및
    제2 기간 동안 다수의 동일 헤더 정보를 가지는 동일한 종류의 송신 패킷이 임계 발생량 이상 발생하였는지를 감지하는 이상 패킷 감지부; 를 포함하는 것을 특징으로 하는 단말 장치.
  14. 단말 장치의 사이버 공격 차단 방법으로서,
    송신 패킷으로 인한 과다 트래픽을 감지하는 단계;
    상기 과다 트래픽이 일정 기간 유지되는 제1 조건 및 동일한 종류의 송신 패킷의 발생량이 임계 발생량 이상인 제2 조건을 이용하여, 이상 트래픽이 감지되었는지 여부를 결정하는 단계; 및
    상기 이상 트래픽 감지 결과에 따라 송신 패킷의 송신 차단을 요청하는 트래픽 차단 요청 신호를 생성하는 단계; 를 포함하는 것을 특징으로 하는 방법.
  15. 제14항에 있어서,
    제1 조건 및 제2 조건 중 하나 이상의 조건이 만족되는 경우, 이상 트래픽이 발생된 것으로 결정되는 것을 특징으로 하는 방법.
  16. 제14항에 있어서,
    상기 트래픽 차단 요청 신호에 따라 상기 송신 패킷에 공격 패턴이 포함되어 있는지를 확인하기 위하여 상기 송신 패킷을 보안 관제 센터로 전송하는 단계;를 더 포함하는 것을 특징으로 하는 방법.
  17. 제14항에 있어서,
    제1 조건 및 제2 조건 중 하나의 조건이 만족되는 경우, 상기 트래픽 차단 요청 신호에 따라 상기 송신 패킷에 대한 트래픽 차단 여부를 결정하는 사용자 입력 신호를 수신하고, 사용자 입력 신호에 따라 트래픽 차단을 수행하는 단계;를 더 포함하는 것을 특징으로 하는 방법.
  18. 제17항에 있어서,
    제1 조건 및 제2 조건이 둘 다 만족되는 경우, 미리 설정된 인터럽트 계수 주기당 송신 패킷에 의해 발생하는 제1 인터럽트 발생 횟수 및 상기 인터럽트 계수 주기당 사용자 입력에 의해 발생하는 제2 인터럽트 발생 횟수를 계수하여 인터럽트 계수 값을 생성하는 단계;
    상기 인터럽트 계수 값이 기준 인터럽트 계수 값 이상인 경우, 이상 트래픽이 발생했음을 나타내는 이상 트래픽 감지 신호를 생성하는 단계; 및
    상기 이상 트래픽 감지 신호가 생성되면, 이상 트래픽 감지 신호와 관련된 송신 패킷을 삭제하여 이상 트래픽을 차단하는 단계;를 더 포함하는 하는 것을 특징으로 하는 방법.
  19. 제14항에 있어서,
    트래픽 차단 요청 신호에 따라, 일반 보안 모드에서는 이상 트래픽 감지시 사용자 승인을 받아 송신 패킷 전송을 차단하고, 일반 보안 모드 보다 높은 수준의 보안이 요구되는 상위 보안 모드에서는 이상 트래픽 감지시 발생시 사용자 승인없이 송신 패킷 전송을 차단하는 것을 특징으로 하는 방법.
KR1020110140316A 2011-12-22 2011-12-22 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치 KR20130085570A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110140316A KR20130085570A (ko) 2011-12-22 2011-12-22 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
US13/616,670 US20130167219A1 (en) 2011-12-22 2012-09-14 Apparatus and method for cyber-attack prevention

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110140316A KR20130085570A (ko) 2011-12-22 2011-12-22 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치

Publications (1)

Publication Number Publication Date
KR20130085570A true KR20130085570A (ko) 2013-07-30

Family

ID=48655903

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110140316A KR20130085570A (ko) 2011-12-22 2011-12-22 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치

Country Status (2)

Country Link
US (1) US20130167219A1 (ko)
KR (1) KR20130085570A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9817969B2 (en) 2013-10-15 2017-11-14 Penta Security Systems Inc. Device for detecting cyber attack based on event analysis and method thereof
KR102386287B1 (ko) * 2021-07-19 2022-04-29 주식회사 샌즈랩 비정상 데이터 탐지를 위한 시그널 허브

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP6191248B2 (ja) * 2013-06-04 2017-09-06 富士通株式会社 情報処理装置及び情報処理プログラム
US9088508B1 (en) * 2014-04-11 2015-07-21 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
CN105468497A (zh) * 2015-12-15 2016-04-06 迈普通信技术股份有限公司 中断异常监控方法和装置
JP6088700B2 (ja) * 2016-08-17 2017-03-01 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP6145588B2 (ja) * 2017-02-03 2017-06-14 株式会社ラック 情報処理装置、情報処理方法及びプログラム
EP3422659A1 (en) * 2017-06-30 2019-01-02 Thomson Licensing Method of blocking distributed denial of service attacks and corresponding apparatus
CN110599136B (zh) * 2019-09-20 2023-07-25 腾讯科技(深圳)有限公司 区块链交易池流量管控方法以及装置
CN113037595B (zh) * 2021-03-29 2022-11-01 北京奇艺世纪科技有限公司 异常设备检测方法、装置、电子设备及存储介质
US20230379363A1 (en) * 2022-05-17 2023-11-23 Amadeus S.A.S. Proxy detection systems and methods
CN116112380B (zh) * 2023-02-13 2024-02-02 山东云天安全技术有限公司 一种基于异常流量的工控安全控制系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2367715B (en) * 2000-02-08 2002-05-29 Marconi Comm Ltd Communications system
US7274665B2 (en) * 2002-09-30 2007-09-25 Intel Corporation Packet storm control
US8839405B2 (en) * 2011-08-10 2014-09-16 Marvell World Trade Ltd. Intelligent PHY with security detection for ethernet networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9817969B2 (en) 2013-10-15 2017-11-14 Penta Security Systems Inc. Device for detecting cyber attack based on event analysis and method thereof
KR102386287B1 (ko) * 2021-07-19 2022-04-29 주식회사 샌즈랩 비정상 데이터 탐지를 위한 시그널 허브

Also Published As

Publication number Publication date
US20130167219A1 (en) 2013-06-27

Similar Documents

Publication Publication Date Title
KR20130085570A (ko) 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
US10187422B2 (en) Mitigation of computer network attacks
CN110249603B (zh) 用于检测无线网络中的分布式攻击的方法和装置
US10666680B2 (en) Service overload attack protection based on selective packet transmission
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
US20050182950A1 (en) Network security system and method
US20100251370A1 (en) Network intrusion detection system
US10693890B2 (en) Packet relay apparatus
US20070150955A1 (en) Event detection system, management terminal and program, and event detection method
JP2005252808A (ja) 不正アクセス阻止方法、装置及びシステム並びにプログラム
US11451563B2 (en) Dynamic detection of HTTP-based DDoS attacks using estimated cardinality
JP2006350561A (ja) 攻撃検出装置
WO2016139910A1 (ja) 通信システム、通信方法、及びプログラムを格納した非一時的なコンピュータ可読媒体
JP6233414B2 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
JP6470201B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
KR101927100B1 (ko) 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치
US11895146B2 (en) Infection-spreading attack detection system and method, and program
KR100734866B1 (ko) 비정상 패킷 탐지 방법 및 장치
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
KR20220014796A (ko) 의도적 에러를 이용한 위변조 제어기 식별 시스템 및 방법
KR20100048105A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR20060056195A (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
CN114189360B (zh) 态势感知的网络漏洞防御方法、装置及系统
KR20140051486A (ko) 보안기능을 갖는 오류 관리 시스템 및 그 제어방법
WO2024159901A1 (zh) 网络攻击的防御方法、网元设备及计算机可读存储介质

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid