KR20140037052A - 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템 - Google Patents

하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템 Download PDF

Info

Publication number
KR20140037052A
KR20140037052A KR20137024322A KR20137024322A KR20140037052A KR 20140037052 A KR20140037052 A KR 20140037052A KR 20137024322 A KR20137024322 A KR 20137024322A KR 20137024322 A KR20137024322 A KR 20137024322A KR 20140037052 A KR20140037052 A KR 20140037052A
Authority
KR
South Korea
Prior art keywords
attack
traffic
ddos
probability
exception
Prior art date
Application number
KR20137024322A
Other languages
English (en)
Other versions
KR101747079B1 (ko
Inventor
수르야 파뿌
산제이 오자
Original Assignee
세이블 네트웍스 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 세이블 네트웍스 인코포레이티드 filed Critical 세이블 네트웍스 인코포레이티드
Publication of KR20140037052A publication Critical patent/KR20140037052A/ko
Application granted granted Critical
Publication of KR101747079B1 publication Critical patent/KR101747079B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DDoS(Distributed Denial of Service) 공격을 검출하고 완화하는 방법 및 시스템이 본 명세서에 설명된다. 본 발명은 서버 사용 데이터에서 편차를 모니터링하고 검출하기 위하여 플로우 기반의 통계 수집 메커니즘을 이용하는 다양한 개선된 기술을 고려한다. 본 방법은 하이 레이트 DDoS 공격을 식별하는 정확성을 개선하기 위하여 고유 방식으로 여러 예외 알고리즘을 결합하는 단계를 더 포함한다. DDoS 솔루션은 검출과 완화의 2 페이즈 접근 방식을 포함하며, 그 양자는 로컬 및 글로벌 기반으로 동작한다. 플로우 기반의 통계 수집을 이용하여, DDoS 솔루션은 개별 및 집합 레벨에서 플로우 기록 데이터를 모니터링하고, 잠재적인 위협을 나타내는 트래픽에서의 편차를 검출한다. 검출은 트래픽 편차에 기초하여 (일반적으로 여러 알고리즘의 결과의 가중치가 부여된 합을 계산함으로써) 공격 확률을 판단하기 위하여 그리고 공격이 도용된 어드레스로부터인지 정당한 어드레스로부터인지 여부를 판단하기 위하여 네트워크 플로우 상태 데이터를 수집하고 분석하는 단계를 포함한다. DDoS 솔루션은 DDoS 공격이 언제 진행 중인지 신속하게 식별하기 위하여 플로우 데이터를 모니터링하고 식별할 수 있다. 또한, 예외 알고리즘이 트래픽 편차 파라미터 및 이에 따른 공격 확률을 획득하기 위하여 수정되거나 추론될 수 있다. 완화 정책은 미리 결정된 공격 확률에 기초할 수 있으며, 운영자가 공격에 대한 적합한 동작을 구성할 수 있게 한다. 일 실시예에서, DDoS 솔루션은 라인 카드의 로컬 메커니즘을 통해 성능 또는 처리 능력에 대한 임의의 열화 없이 실시간으로 공격을 제어할 수 있다. 다른 실시예에서, DDoS 솔루선은 네트워크 전체에 관점으로 더욱 글로벌한 기반으로 공격에 대한 판단을 하는 외부 소프트웨어 애플리케이션과 같은 글로벌 메커니즘을 더 포함한다.

Description

하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템{METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A HIGH-RATE DISTRIBUTED DENIAL OF SERVICE (DDOS) ATTACK}
[교차 참조]
본 출원은 본 명세서에 참조로서 편입되는 2011년 2월 17일 출원된 "METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A DISTRIBUTED DENIAL OF SERVICE ATTACK"의 발명의 명칭을 갖는 미국 가출원 제61/444,083호의 이익을 주장한다.
본 출원은 모두 본 명세서에 전문이 참조되는 다음의 특허 문헌에 설명된 기술에 관련된다:
2000년 4월 19일 출원되고 발명의 명칭이 "MICRO-FLOW MANAGEMENT"인 미국 등록 특허 제6,574,195호(출원 번호: 제09/552,278호);
2002년 2월 27일 출원되고 발명의 명칭이 "MICRO-FLOW MANAGEMENT"인 미국 등록 특허 제7,126,918호(출원 번호: 제10/086,763호); 및
2006년 9월 19일 출원되고 발명의 명칭이 "MICRO-FLOW MANAGEMENT"인 미국 등록 특허 제7,813,356호(출원 번호: 제11/533,346호).
분산 서비스 거부(Distrubuted Denial of Service(DDoS)) 공격은 목표가 되는 시스템뿐만 아니라 전체 네트워크의 대역폭 및 리소스를 손상시키고 약화시킬 수 있다. 레거시 라우터 및 전통적인 감시 및 모니터링 기술은 - 공격 검출 정확성과 스케일링 성능 모두에서(즉, 초당 대략 수십 기가 바이트의 빠른 속도로 정당한 사용자가 서버에 액세스하는 것을 여전히 허용하면서 검출을 수행하고 공격 트래픽을 잠재적으로 완화시킬 수 있도록) - 자신에 대한 DDoS 공격에 대항하는 방어에서 주요 한계를 가진다.
트래픽 예외를 검출하는 관점으로부터, 모든 종류의 공격은 2개의 카테고리로 넓게 분류될 수 있다: "하이 레이트(high-rate)" 및 "로우 레이트(low-rate)". 로우 레이트 공격은 일반적으로 TCP 애플리케이션에 맞도록 구성되며, 집중 공격이 TCP의 내재적인 지수 함수적 백오프(back-off) 메커니즘을 이용하기 위하여 짧은 기간 동안 전송된다. 로우 레이트 공격은 종종 짧은 집중 공격 트래픽과 이에 이어지는 트래픽이 없는 소강 상태를 포함하며, 이러한 패턴은 계속 반복된다. 대조적으로, 하이 레이트 공격은 희생 서버를 향하여 패킷, 바이트 또는 플로우 카운트에서 불시의 급증을 포함하는 다중 연결로부터의 끊임없는 활동 폭주로서 특징이 나타난다. 다양한 프로토콜은 하이 레이트 공격(예를 들어, ICMP 핑 폭주(flood), UDP 폭주, TCP SYN 공격)에 당하기 쉬워, 하이 레이트 DDoS 공격을 검출하고 완화시키는 시스템이 광범위의 폭주 공격을 해결하여야만 한다.
안티(anti)-DDoS 시스템 및 보안 장비(침범 검출/침범 방지 시스템)은 특정 DDoS 공격의 검출을 목표로 하고, 따라서 CPU 집약적 운영을 필요로 한다. 모든 종류의 공격을 검출하는데 필요한 엄청난 양의 상태 정보는 시스템 성능을 상당히 제한하고, 확장가능한(scalable) 솔루션(즉, 초당 대략 수십 기가바이트로 확장할 수 있는 솔루션)을 갖는 것을 불가능하게 한다. 최근의 DDoS 공격 동안의 장치 고장에 대한 여러 보고된 경우는, 보안 장비/안티-DDoS 시스템이 쉽게 압도될 수 있는 것을 보여주며, 이에 의해 네트워크에서 이러한 장비를 갖는 목적을 헛되게 한다. DDoS 공격을 검출하고 완화하는데 필수적인 빠른 응답은 보안 장치의 현재 모델에서 데이터 경로와 CPU 성능을 열화시킬 수 있다.
DDoS 공격 검출을 지원하는 레거시 라우터 및 레이어 3 장치는, 데이터 경로로부터의 패킷을 샘플링하는 것에 주로 기초하는 다양한 트래픽 예외 알고리즘(traffic anomaly algorithm)을 이용한다. 이러한 접근 방식은 매우 부정확할 수 있고(높은 긍정 오류 비율(false positive rate) 또는 부정 오류 비율(false negative rate)을 가지기 때문에), 사용된 샘플링 주파수에 따라 열화된 데이터 경로 또는 CPU 성능을 초래할 수 있다. 하이 레이트 공격 동안, 대부분의 플로우(예를 들어, 다섯 개의 투플(tuple)을 이용하여 식별되는)는 그 내에 매우 적은(단지 커플만큼 낮은) 패킷을 가질 수 있다("플로우(flow)"에 대한 더 많은 상세에 대하여 "교차 참조"에 기재된 관련 특허 문헌 참조). 전형적인 패킷 샘플링 기술은, 특히 샘플링 주파수가 너무 낮다면, 플루우에서 손실된 샘플 때문에, 이러한 공격을 검출하지 못할 것이다. 개선된 공격 검출을 갖는 더 높은 샘플링 주파수가 획득될 수 있지만, 열화된 데이터 경로(또는 CPU) 성능을 초래할 것이다.
공격이 성공적으로 검출되면, 표준 완화 전술은 DDoS 공격을 해결하는데 있어서도 불충분하다. 일반적인 완화 정책은 패킷이 정당한 사용자로부터 유래하는지 아니면 공격자로부터 유래하는지를 분석하지 않고 희생 서버로 향하는 모든 패킷을 폐기하는 것을 포함하다. 또한, 표준 접근 방식은 다른 장치에 데이터를 실시간으로 내보내는 능력을 제공하지 않으며 또한 유연하고 커스터마이징된 정책을 사용자가 구성할 수 있게 하지 않는다.
이와 같이, 전술한 단점을 해결하는 본질적으로 지능적인 새롭고, 확장 가능하고, 강력한 DDoS 검출 및 완화 접근 방식이 요구된다. 이러한 접근 방식은 예외 트래픽 패턴(다양한 하이 레이트 DDoS 공격을 검출하기 위하여)을 검사하기 위하여 정확한 상태 정보를 유지하고, 공격이 검출되는 경우에 공격자와 정당한 사용자를 구별할 수 있고, 운영자가 유연한 완화 정책(추가 분석을 위하여 다른 장치에 플로우 데이터를 실시간으로 내보내는 것을 포함할 수 있는)을 구성할 수 있게 하고, 전체 시스템 성능을 열화시키지(데이터 경로 또는 제어 평면 CPU를 포워딩하지) 않으면서 동작할 수 있다.
하이 레이트 DDoS(Distributed Denial of Service) 공격을 검출하고 완화하는 방법, 시스템 및 장치의 예가 도면에 예시된다. 예 및 도면은 한정하는 것이 아니라 예시적인 것이다.
도 1은 하이 레이트 DDoS 공격 검출 및 완화 방법 및 시스템이 구현될 수 있는 예시적인 환경을 도시한다.
도 2a는 하이 레이트 DDoS 공격 검출 및 완화 시스템을 보여주는 예시적인 블록도를 도시한다.
도 2b는 BSR 모듈, 패킷 처리 모듈 및 플로우 상태 블록의 상세한 예시적인 과정을 보여주는 예시적인 블록도를 도시한다.
도 3은 일 실시예에 따른 로컬 티어(local-tier) 검출 및 완화의 예시적인 과정을 보여주는 흐름도를 도시한다.
도 4는 일 실시예에 따른 로컬 티어 검출의 상세한 예시적인 과정을 보여주는 흐름도를 도시한다.
도 5는 트래픽 편차 파라미터로부터 공격 확률을 계산하는 예시적인 과정을 보여주는 흐름도를 도시한다.
도 6은 일 실시예에 따른 로컬 완화의 예시적인 과정을 보여주는 흐름도를 도시한다.
도 7은 일 실시예에 따른 글로벌 티어(global-tier) 검출 및 완화의 예시적인 과정을 보여주는 흐름도를 도시한다.
다음의 설명 및 도면은 예시적이며, 한정하는 것으로 고려되어서는 안 된다. 많은 특정 상세가 본 개시 내용의 완전한 이해를 제공하기 위하여 설명된다. 그러나, 소정의 경우에, 널리 알려지거나 일반적인 상세는 설명을 흐리게 하는 것을 방지하기 위하여 설명되지 않는다.
본 개시 내용의 범위를 더 한정하려는 의도 없이, 본 개시 내용의 실시예에 따른 설비, 장치, 방법 및 이들의 관련된 결과의 예가 제공된다. 본 명세서에서 "하나의 실시예" 또는 "일 실시예"에 대한 언급은 그 실시예와 관련하여 설명된 특정 특징, 구조 또는 특성이 본 개시 내용의 적어도 하나의 실시예에 포함된다는 것을 의미한다. 본 명세서의 다양한 곳에서의 "일 실시예에서"라는 문구의 출현은 반드시 모두 동일한 실시예를 말하는 것은 아니며, 또한 다른 실시예를 상호 배재하는 개별의 또는 대체적인 실시예도 아니다. 또한, 일부 실시예에 의해 제시될 수 있지만 다른 실시예에 의해서는 제시되지 않을 수 있는 다양한 특징이 설명된다. 유사하게, 일부 실시예에 대한 요건일 수 있지만 다른 실시예에 대한 요건이 아닐 수 있는 다양한 요건이 설명된다.
본 명세서에서 사용된 용어는 본 개시 내용과 연계하여 그리고 각 용어가 사용되는 특정 문맥에서 본 발명이 속하는 기술분야에서의 통상의 의미를 가진다. 본 개시 내용을 설명하는데 사용되는 소정의 용어는, 본 개시 내용의 설명에 관하여 실시자에 추가적인 안내를 제공하기 위하여, 아래에서 또는 본 명세서의 다른 부분에서 논의된다. 여기에서 논의되는 임의의 용어의 예를 포함하는 본 명세서 내의 어느 곳에서의 예의 사용은 단지 예시적인 것이며, 본 개시 내용 또는 임의의 예시된 용어의 범위 및 의미를 추가로 한정하려고 의도되지 않는다. 유사하게, 본 개시 내용은 본 명세서에서 주어진 다양한 실시예에 제한되지 않는다.
아래에서 제공된 설명에 사용되는 용어는 본 발명의 소정의 특정 예에 대한 상세한 설명과 함께 사용되더라도 최광의의 적절한 방식으로 해석되도록 의도된다. 소정의 용어는 아래에서 강조될 수 있다; 그러나, 임의의 제한적인 방식으로 해석되도록 의도된 임의의 용어는 본 발명을 실시하기 위한 구체적인 내용 부분에서 그러한 것으로 명시적이고 구체적으로 정의될 것이다.
도 1 및 이어지는 논의는 하이 레이트 DDoS 공격 검출 및 완화 방법 및 시스템(일반적으로 "DDoS 솔루션"이라 한다)이 구현될 수 있는 대표적인 환경의 간단하고 일반적인 설명을 제공한다. 여기에서 "시스템"이란 용어의 사용은 도 1의 일부 또는 모든 요소나, DDoS 솔루션의 다른 양태를 말할 수 있다.
도 1은 네트워크(예를 들어, 인터넷)(120)를 통해 연결된 하나 이상의 DDoS 공격자(110A-N)와 하나 이상의 정당한 사용자(130A-N), 하나 이상의 로컬 티어(local-tier) 메커니즘(140A-N)과 추가적인 글로블 티어(global-tier) 메커니즘(160)을 갖는 DDoS 솔루션(150), 하나 이상의 보안 장비(170)[예를 들어, 침범 방지 시스템(IPS(Intrusion Prevention System)), 침범 검출 시스템(IDS(Intrusion Detection System), 안티-DDoS 시스템], 스위치(180) 및 복수의 서버(190)을 포함하는 예시적인 환경(100)을 도시한다. 로컬 티어 메커니즘(140)의 일 실시예가 도 1에서 라우터로서 도시되지만, 로컬 티어 메커니즘은 다른 시스템(예를 들어, 보안 장비, 레거시 라우터)에서도 구현될 수 있다.
네트워크(120)는 전화 네트워크 또는 인터넷과 같은 개방형 네트워크를 포함할 수 있지만 이에 한정되지 않는다. 네트워크(120)는 전자 장치에 대한 연결을 제공하기 위하여 협력하여 전체적으로 또는 부분적으로 동작하는 개별 네트워크들의 임의의 집합일 수 있으며, 서비스 대상 시스템 및 장치에 하나 이상의 네트워크로서 나타날 수 있다. 일 실시예에서, 네트워크(120)를 통한 통신은 SSL(secure sockets layer) 또는 TLS(transport layer security)과 같은 보안 통신 프로토콜에 의해 획득될 수 있다.
또한, 통신은, LAN(Local Area Network), WLAN(Wireless Local Area Network), PAN(Personal area network), CAN(Campus area network), MAN(Metropolitan area network), WAN(Wide area network), WWAN(Wireless wide area network), GSM(Global System for Mobile Communications), PCS(Personal Communications Service), D-Amps(Digital Advanced Mobile Phone Service), 블루투스, Wi-Fi, 고정 무선 데이터(Fixed Wireless Data), 2G, 2.5G, 3G 네트워크, EDGE(enhanced data rates for GSM evolution), GPRS(General packet radio service), enhanced GPRS 중 하나 이상과 같은 하나 이상의 무선 네트워크, TCP/IP, SMS, MMS, XMPP(extensible messaging and presence protocol), RTMP(real time messaging protocol), IMPP(instant messaging and presence protocol), 인스턴트 메시징, USSD, IRC와 같은 메시징 프로토콜 및 임의의 다른 무선 데이터 네트워크나 메시징 프로토콜을 통해 획득될 수 있다.
도 1에 도시된 예시적인 환경은 예시적인 DDoS 솔루션(150)을 도시하며, 이에 의해 복수의 서버(190)가 공격에 대하여 모니터된다. DDoS 솔루션(150)은 2 티어 방식을 통해 구현될 수 있으며, 이에 의해 각 티어는 검출 페이즈와 완화 페이즈를 포함한다. 본 실시예의 제1 티어(140)는 로컬 검출 페이즈 및 로컬 완화 페이즈로 이루어진다. 다른 말로 하면, 로컬 티어는 개별적인 기반으로 서버에 대한 트래픽의 로컬 관점에 기초한다. 또한, 본 실시예의 제2 티어(160)는 검출 및 완화 기능을 수행하지만, 시스템 및 네트워크 레벨 요건에 책임을 지는 더욱 전체론적인(즉, 글로블) 기반으로 수행된다. 즉, 글로벌 티어는 서버에 대한 트래픽의 더욱 포괄적인 관점을 제공하기 위하여 다중 로컬 티어로부터 데이터를 모으는데 기초한다. 제2 티어의 검출 페이즈는 하나 이상의 로컬 티어 엔티티로부터 데이터를 주기적으로 수신하는 것을 포함한다. 글로벌 티어의 완화 페이즈는 영향을 받지 않은 활동이 재개될 수 있게 함에 따라 특정 예외를 해결할 수 있는 더욱 포괄적인 정책을 적용하는 것을 포함한다.
일 실시예에서, DDoS 솔루션(150)은 하이 레이트 DDoS 공격의 로컬 검출 및 완화를 수행하는 하나 이상의 로컬 메커니즘(140A-N)을 단독으로 포함한다. 로컬 티어 메커니즘(140)의 검출 페이즈는 서버(들)(190)에 로컬화된 예외 트래픽 패턴을 선행 학습을 통해 찾는 것으로 하이 레이트 DDoS 공격을 식별한다. 로컬 티어 메커니즘(140)의 완화 페이즈는 공격의 종류에 대하여 맞추어진 정책을 동적으로 적용함으로써 특정 서버(들)에 대한 하이 레이트 DDoS 공격을 제어하는 것(공격자로부터 유래하는 트래픽에 응보의 동작을 강화하는 것과 같이)을 포함한다.
도 1에 도시된 바와 같이, DDoS 솔루션의 근본적인 네트워크 환경은 "플로우 상태(flow-state)" 기반으로 동작한다. "플로우 상태"라는 용어를 설명하는데 있어서, "플로우(flow)"는 모든 패킷이 동일한 프로토콜을 사용하여 특정 소스 IP 어드레스 및 포트로부터 특정 목적지 IP 어드레스 및 포트로 가는 IP 패킷의 스트림(예를 들어, 보이스 콜(voice call), 비디오 콜(video call), 파일 전송 또는 웹 액세스)으로서 설명된다. 따라서, 플로우 상태 라우터는 패킷이 아니라 플로우를 라우팅하고, 시스템을 통해 이동하는 모든 플로우에 대한 상태 정보를 유지한다(즉, 플로우에 속하는 모든 패킷으로서 업데이트되어). 상태 정보는 포워딩, QoS(Quality of Service), 애플리케이션 전용 정보 및 트래픽 종류와, 트래픽 레이트와, 애플리케이션과, 서비스 요구에 관한 정보를 포함할 수 있지만 이에 한정되지 않는다. 추가적인 상세에 대하여는, 발명의 명칭이 "MICRO-FLOW MANAGEMENT"인 미국 등록 특허 제6,574,195호 (출원 번호: 제09/552,278호), 제7,126,918호(출원 번호: 제10/086,763호) 및 제7,813,356호(출원 번호: 제11/533,346호)(교차 참조 항목 참조)를 참조하라.
일 실시예에서, 제1 로컬 티어 메커니즘(140A-N)은 플로우 상태 라우터이다. 플로우는, 이어서 고유 헤더(header)(예를 들어, 소스 어드레스 및 포트, 목적지 어드레스 및 포트, 프로토콜 종류를 포함하는 다섯 개의 투플 헤더)로 플로우에 라벨을 붙이고 플로우 상태 정보에 대한 고유 기록을 생성하는 플로우 상태 라우터를 플로우의 제1 패킷이 지나갈 때 자동으로 구축된다. 각 플로우 기록의 누적 통계는 다양한 종류의 "집합 데이터(aggregate data)"를 형성하도록 결합될 수 있으며, 이는 이의 소스(SA), 목적지(예를 들어, DA) 등에 따라 분류될 수 있다. 일부 경우에, 플로우 상태 라우터는 플로우의 특정 패킷(또는 새로운 패킷)이 제1 티어 로컬 메커니즘(140)을 지나갈 때마다 기록을 업데이트한다. 또한, 플로우 상태 라우터는 유형, 규칙 또는 정책 등에 기초하여 특정 처리 또는 동작을 전체 플로우(즉, 그 내의 모든 패킷)에 적용할 수 있다. 이러한 경우에, 플로우 상태 라우터는 플로우 내에서 이어지는 패킷에 대하여 리소스의 가용성을 보장하기 위하여 정책을 적용하는데 필요한 적합한 리소스를 보유한다.
이와 같이, 플로우 상태 라우터는, 일부 실시예에서, 본 발명이 속하는 기술분야에서 널리 알려진 통상적인 라우터에 비하여 상이하게 동작한다. 예를 들어, 통상적인 라우터가 모든 패킷에 라우팅 테이블 룩업을 수행하여 개별적으로 접해진 모든 패킷을 포워딩하는 반면, 플로우 상태 라우터는 새로운 플로우의 제1 패킷에 대하여 하나의 룩업을 수행하고, 플로우 기록에 결과/상태를 저장하고, 그 다음 특정 정책, 애플리케이션 요구, 제어 파라미터, 할당된 QoS 프로파일 또는 룩업을 다시 초래하지 않으면서 플로우 기록에 저장되는 다른 가이드라인에 따라 플로우의 모든 속 패킷을 처리한다. 또한, 각 플로우에 대한 플로우 상태 정보는 추가적인 모니터링, 로깅(logging) 및 분석을 위해 내부 또는 외부 장치로 리디렉션될 수 있다 - 모든 이러한 플로우 정보는 라우터를 통과하는 트래픽의 가장 정확한 스냅샷이다.
도 2a는 하이 레이트 DDoS 공격 검출 및 완화 시스템(200)을 보여주는 간략화된 블록도를 도시한다. 본 실시예에서, DDoS 솔루션(150)은 하이 레이트 DDoS 공격을 검출하고 완화하는 하드웨어 및 소프트웨어 양자의 복합 접근 방식이다. 그러나, 이러한 결합된 하드웨어 및 소프트웨어 구성은 단지 예시적인 실시예를 예시하며, 본 발명을 본 명세서의 구현례로 제한하지 않는다. 로컬 티어 메커니즘(140)은, 수백 만개의 플로우의 플로우 상태를 유지하기 위한 하나 이상의 라인 카드(linecard)(210)(예를 들어, Sable Network의 S-시리즈 라인 카드)와 같은 하드웨어의 하부 구조일 수 있다. 다른 실시예에서, DDoS 솔루션은 개별 또는 집합 플로우를 모니터하고, 분석하고, 제어하기 위하여, Sable Network의 SAVi(Service & Application Vision) 소프트웨어와 같은 소프트웨어(270A-N)를 포함하는 글로벌 티어 메커니즘(160)을 더 포함한다. 도 2a에 도시된 바와 같이, 소프트웨어(270A-N)는 하나 이상의 서버와 같은 외부 장치(260A-N)에 구현될 수 있고, 소프트웨어(270A-N)는 부분적으로 또는 전적으로 하나 이상의 서버의 내부에 있을 수 있다. 다른 실시예에서, 로컬 티어 메커니즘과 글로벌 티어 메커니즘은 완전히 통합된 솔루션일 수 있다.
도 2a에서, 로컬 티어 메커니즘은 네트워크 인터페이스(250)를 통해 글로벌 티어(예를 들어, 외부 장치(260A-N))에 통신 가능하게 연결된 하나 이상의 라인 카드(210A-N)를 포함한다. 각 라인 카드(210)는 통신 모듈(245), 범용 프로세서(220)에 의해 실행되는 BSR(Bulk Statistics Record) 모듈(230), 관련된 기능(트래픽 분류, 포워딩 및 QoS를 포함)을 갖는 패킷 처리 모듈(240), 플로우 상태 블록(29)을 구비하는 메모리(280)를 포함한다(더 상세하게는 "교차 참조" 항목에서의 관련 출원 참조). 추가의 또는 더 적은 모듈이 방화벽(미도시)의 존재에 더하여 포함될 수 있다. 이러한 컴포넌트 각각에 관한 상세는 아래에서 더 논의된다.
로컬 티어 검출 및 완화
위에서 논의된 바와 같이, DDoS 솔루션(150)은 로컬 티어(140) 검출 및 완화를 포함한다. 검출 페이즈는 통계를 실시간으로 모니터함으로써 시스템에서 플로우 데이터를 모니터하고 업데이트한다. 또한, 검출 페이즈는 2 이상의 예외 알고리즘이 트래픽에서 편차를 검출하기 위하여 사용되는 예외 트래픽 패턴을 식별하는 단계를 포함한다. 예로서, 알고리즘은 "정상" 트래픽 조건을, 특정 인커밍/아웃고잉 인터페이스 또는 목적지 어드레스(DA)(서버)에서 주어진 관찰 기간에서의 바이트 수에 대한 전송된 패킷/플로우의 미리 결정된 비율인 것으로 정의할 수 있다. 이와 같이, "공격"은 소정의 인자에 의해 "정상"으로부터의 임의의 편차인 것으로 고려될 수 있다.
일 실시예에서, 로컬 티어(140) 검출은 시스템에서 장치(예를 들어, 플로우 라우터(140))로 일체화된("인라인"이라 함) 하나 이상의 라인 카드(210A-N)에 의해 수행된다. 시스템에서 라인 카드(210) 위치가 주어진다면, 이는 방어의 제1 선 역할을 하여 짧은 시간(예를 들어, 수십 초) 내에 예외 트래픽 패턴을 신속하게 식별할 수 있다.
도 2a의 예에서, 라인 카드(210)는 서로 연결될 수 있는 복수의 모듈 및/또는 컴포넌트를 포함하고, 각각은 개별적이고 별개인 것으로 표시된다. 그러나, 일부 실시예에서, 컴포넌트들의 일부 또는 전부 그리고/또는 각각의 컴포넌트에 의해 표현되는 기능들은 임의의 편리하고 그리고/또는 알려진 방법으로 결합될 수 있다. 예를 들어, 라인 카드(210)의 모듈들은 단일 장치에, 복수의 장치에, 그리고/또는 분산된 방식으로 구현될 수 있다.
따라서, 라인 카드(210)의 블록/모듈은 여러 장치 및/또는 처리 유닛에 대하여 분할될 수 있거나 또는 단일 장치 상에 결합될 수 있는 기능 유닛이다. 또한, 블록/모듈에 의해 표현되는 기능은 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어의 조합으로 개별적으로 구현될 수 있다. 상이하고 추가적인 하드웨어 모듈 및/또는 소프트웨어 에이전트는 본 개시 내용의 기술적 사상을 벗어나지 않으면서 라인 카드(210)에 포함될 수 있다.
라인 카드(210)의 일 실시예에서, 패킷 처리 모듈(240)은 IP 패킷의 스트림을 모니터링함으로써 플로우 데이터를 수집한다. 플로우 상태 기반으로 동작함으로써, 패킷 처리 모듈(240)은 모든 개별 플루우에 대한 플로우 기록 데이터를 처리하고, 이는 이어서 축적되어 집합 데이터를 생성할 수 있다(집합 데이터에 대한 전술한 설명 참조). 패킷 처리 모듈(240)은 추가 분석을 위하여 (소스 어드레스, 목적지 어드레서, 프로토콜 또는 패킷 헤더로부터의 필드의 임의의 다른 조합에 기초하여) 개별 플로우 및 집합 데이터에 대한 이러한 기록을 유지하고, 이 데이터를 아래에서 상세히 논의되는 BSR 모듈(230)에 내보낸다.
일 실시예에서, 패킷 처리 모듈(240)은 플로우의 "샘플"(즉, 주어진 시간에서의 최신의 플로우 상태 정보)을 BSR 모듈(230)에 제공하는 맞춤형 패킷 처리 ASIC이다. 일례로서, 각 플로우에 대하여, 패킷 처리 모듈(240)은 플로우의 맨 처음 샘플인 "첫 번째 샘플", 플로우로부터 통계적으로 선택된 "중간 샘플" 및 플로우가 종료하거나 끝나는 최종 또는 요약 샘플인 "종료 샘플"과 같은 상이한 종류의 샘플을 제공한다. BSR 모듈(230)에 전송된 각 샘플은 패킷 처리 모듈(240)에 의해 유지되고 업데이트된 플로우 상태 블록(290)으로부터의 정보를 포함한다. 따라서, 플로우 상태 샘플은 각각의 그리고 모든 플로우에 대하여 BSR 모듈(230)로 전송되어, 이에 따라 BSR(230)에 의해 유지되고 사용되는 집합 데이터의 정확성을 보장한다.
도 2b는 BSR 모듈(230), 패킷 처리 모듈(240) 및 메모리(280) 내에 포함된 플로우 상태 블록(20)의 상세한 예시적인 처리를 보여주는 예시적인 블록도를 도시한다. 도 2b는 플로우 상태 블록(290)으로부터 직접 유래하는 첫 번째 샘플, 중간 샘플 및 종료 샘플을 도시한다. 이 샘플들은 BSR 모듈(230)에 의해 수신되어, 이에 의해 개별 플로우 기록 및 필터링된 집합 기록을 (DA, SA에 기초하여) 유지한다. 특히, 바람직한 실시예에서, 여기에서 언급되는 "샘플"은 주기적으로 전송되는 정확한 플로우 상태 데이터이고, 통계적으로 샘플링된 패킷이 아니다.
또한, 도 2a에 도시된 바와 같이, 라인 카드(210)는 플로우 상태 블록(290)을 구비하는 메모리(280)를 포함한다. 플로우 상태는 플로우에 속하는 패킷이 패킷 처리 모듈(240)에 의해 수신됨에 따라 생성되고 업데이트된다. 전술한 바와 같이, 플로우 상태 블록(290)에 의해 유지되는 상태 정보는 트래픽 종류, 트래픽 레이트, 애플리케이션 및 서비스 요구에 관한 정보를 포함한다. 플로우 상태 블록(290)에 저장될 수 있는(또한, 도 2b에 도시된) 상태 정보의 구체적인 예는 IPSA, IPDA, 인커밍(즉, 진입(ingress)) 인터페이스, 아웃고잉(즉, 진출(engress)) 인터페이스, QoS(quality of service) 데이터, 포워딩 동작, 패킷 필터링 동작, 타임스탬프 형성, 통계(예를 들어, 바이트, 패킷 또는 드롭 카운트), 프로토콜, 소스 포트, 목적지 포트 등을 포함한다. 전술한 예에서, 첫 번째 샘플, 중간 샘플 및 종료 샘플은 다음의 정보를 포함할 수 있다: 소스 IP 어드레스, 목적지 IP 어드레스, 소스 포트 번호, 목적지 포트 번호, IP 프로토콜, 진입 및 진출 인터페이스 정보와 같은 플로우를 식별하기 위한 플로우 키(flow key), 그 샘플링 인스턴스까지 포워딩된 플루우 내의 패킷의 누적 개수, 그 샘플링 인스턴스까지 포워딩된 플로우 내의 바이트의 누적 개수, 그 샘플링 인스턴스까지 드롭된 패킷의 누적 개수 및 지터, 플로우 레이트, 패킷 도착/출발 타임스탬프 등을 포함하는 QoS(Quality of Service).
또한, 라인 카드(210)는 BSR(Bulk Statistics Record) 모듈(230)을 실행하는 범용 프로세서(220)를 포함한다. BSR 모듈(230)은 패킷 처리 모듈(240)로부터 플로우에 대한 샘플 정보(예를 들어, 플로우 상태 기록)를 수신하고, 수신된 샘플을 연속 플로우 기록 및 집합 기록으로 축적시킬 수 있다. 그 다음, BSR 모듈(230)은 설정된 시간 구간에서 집합 기록(또는 서버를 향하는 다른 유사한 기록)의 다양한 속성의 비율을 계산한다. 그 다음, BSR(230)은 보호된 서버 DA를 향하는 트래픽 예외를 검출하기 위하여 다양한 알고리즘을 이용하여 이러한 속성 비율에 동작한다. 도 2b에 도시된 바와 같이, BSR 모듈(230)에서의 검출 논리는 패킷 처리 모듈(240)로부터 획득된 데이터를 이용하여 트래픽 편차 비율를 계산하는 단계와, 다양한 예외 알고리즘(아래에서 더욱 상세히 설명됨)을 실행하는 단계를 포함한다. BSR 모듈(230)은 상이한 레벨의 입도(granularity)로 예외 알고리즘(들)을 실행하여 "정상"으로부터의 임의의 트래픽 편차를 검출한다. 주기적인 플로우 기록 또는 집합 기록을 다른 모듈로 제공하는 것과 같은 이러한 주요 기능에 대하여 지엽적인 추가 특징은, BSR 모듈(230)에 의해 수행될 수 있다.
BSR 모듈(230) 상에서 검출 알고리즘을 실행시키는 것은, 예외 검출이 패킷 처리 모듈(230)의 주요 데이터 경로에서 발생하고 있지 않기 때문에, 패킷 처리 모듈(240)의 포워딩 성능 또는 처리 능력을 열화시키지 않는다. 일 실시예에서, BSR(230)은 분류/필터링 기준을 이용하여 단지 관심 플로우에 대하여만 플로우 데이터를 획득하고, 따라서 패킷 처리 모듈(240)과 BSR(230) 사이의 대역폭을 절약한다. 또한, 트래픽에서 편차를 검출하기 위하여, BSR 모듈(230)은 패킷 처리 모듈(240)로부터 획득된 플로우 상태 샘플을 이용하여 상이한 레벨의 입도(예를 들어, (네트워크 인터페이스(250)와 같은) 인터페이스, 소스 어드레스(SA(Source Address)), 목적지 어드레스(DA(Destination Address) 등)로 통계를 획득한다. 여기에서 설명된 기술이 주로 DA 집합 레벨(예를 들어, 보호되고 있는 하나 이상의 서버로의 트래픽을 모니터링하는 것)을 주로 참조하지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 기술이 인터페이스 레벨에서와 같이(예를 들어,서버로부터 나오거나 서버로 나가는 네트워크 인터페이스(250) 트래픽을 모니터링) 다른 방식으로 실시될 수 있다는 것을 이해할 것이다.
도 2a에서, 라인 카드(210)는 복수의 통신 프로토콜을 통해 일방향, 양방향 및/또는 다방향 통신 세션을 관리하기 위하여 네트워크 인터페이스(250)에 통신 가능하게 연결된 통신 모듈(245) 또는 통신 모듈들의 조합을 포함한다. 일 실시예에서, 통신 모듈(245)은 네트워크를 통해 데이터(예를 들어, 정보, 커맨드, 요청 및/또는 메시지)를 전송 및/또는 수신한다.
통신 모듈(245)이 일반적으로 다양한 통신 프로토콜로부터 유래하는 데이터를 수신 및/또는 해석하는 것과 양립 가능하기 때문에, 통신 모듈(245)은 데이터 및 커맨드 교환(예를 들어, 경고(alert) 및/또는 운영자 커맨드)을 위한 원격 클라이언트 장치의 운영자와 병렬 및/또는 직렬 통신 세션을 구축할 수 있다.
도 2a에서, 네트워크 인터페이스(250)는, 라인 카드 및 외부 엔티티에 의해 지원되는 임의의 공지된 그리고/또는 편리한 통신 프로토콜을 통해, 라인 카드(210)가 라인 카드의 외부에 있는 엔티티와 네트워크 내에서 데이터를 중재할 수 있게 하는 하나 이상의 네트워킹 장치일 수 있다. 네트워크 인터페이스(250)는 네트워크 어댑터 카드, 무선 네트워크 인터페이스 카드, 라우터, 액세스 포인트, 무선 라우터, 스위치, 멀티레이어 스위치, 프로토콜 컨버터, 게이트웨이, 브리지, 브리지 라우터, 허브, 디지털 미디어 수신기 및/또는 리피터 중 하나 이상을 포함할 수 있다.
일부 실시예에서, 컴퓨터 네트워크에서 데이터를 액세스/프록시(proxy)하는 것에 대한 허가를 통제 및/또는 관리하고, 상이한 기계 및/또는 애플리케이션 사이의 가변하는 신뢰 레벨을 추적하기 위하여 방화벽이 포함될 수 있다. 방화벽(미도시)은, 예를 들어, 이러한 가변하는 엔티티 사이에 공유하는 트래픽 및 리소스의 플로우를 조정하기 위하여, 특정 세트의 기계와 애플리케이션, 기계와 기계 및/또는 애플리케이션과 애플리케이션 사이의 액세스 권한에 대한 미리 결정된 세트를 강화할 수 있는 하드웨어 및/또는 소프트웨어의 임의의 조합을 갖는 임의의 개수의 모듈일 수 있다. 방화벽은, 추가적으로, 예를 들어 개인, 기계 및/또는 애플리케이션에 의한 객체의 액세스 및 동작 권한을 포함하는 허가 및 허가 권한이 처한 상황을 열거하는 액세스 제어 리스트를 관리하고 그리고/또는 그에 대한 액세스를 가질 수 있다. 일부 실시예에서, 네트워크 인터페이스(250)와 방화벽의 기능은 부분적으로 또는 전체적으로 결합되고, 그 기능은, 부분적으로 또는 전체적으로 소프트웨어 및/또는 하드웨어의 임의의 조합으로 구현될 수 있다.
도 3은 일 실시예에 따른 로컬 티어 검출 및 완화에 대한 예시적인 과정(300)을 보여주는 흐름도를 도시한다.
블록 310에서, 과정은 DDoS 공격이 존재하지 않는 정상 모드에서 시작한다. 플로우 기록이 패킷 처리 모듈(240)로부터 BSR 모듈(230)로 획득됨에 따라, 시스템(BSR 모듈(230))은 2 이상의 예외 검출 알고리즘을 실행한다. 예외 검출 알고리즘이 실행되는 빈도는 가변한다. 예를 들어, 시스템은 예외 알고리즘(들)을 백그라운드에서 주기적으로(즉, 소정의 기간 마다) 실행할 수 있다. 다른 예에서, 시스템은 알고리즘(들)을 연속적으로 실행할 수 있다.
로컬 티어 검출 동안, 2 이상의 알고리즘이 트래픽 예외 및 궁극적으로는 DDoS 공격을 모니터하여 검출하는데 적용된다. 문헌에서 제안된 많은 검출 알고리즘 중에서, 모든 검출 알고리즘은 여러 가정에 기초하고 특정 제한 사항을 가진다. 각각의 알고리즘은 소정의 긍정 오류 비율 및 부정 오류 비율을 가진다. 이와 같이, DDoS 공격이 높은 수준의 확실성으로 식별될 수 있도록 여러 알고리즘이 채용된다.
일 실시예에서, 최소 처리 오버헤드를 필요로 하는 간단한 알고리즘이 제1 통과 검출을 신속하게 수행하는데 사용된다. 다른 실시예에서, 여러 복잡한 알고리즘이 동시에 병렬로 활용된다. 이러한 실시예에서, 대부분의 알고리즘이 트래픽 편차를 공격인 것으로 간주한다면, 이는 종종 공격에 대한 강력한 표시이다. 한편, 트래픽 편차를 공격으로 간주하는 알고리즘의 개수가 소수라면, 이는 종종 실제 공격에 대한 더 낮은 위험을 의미하고 그리고/또는 긍정 오류를 나타낸다.
트래픽 비율에서의 편차는 종종 잠재적인 위협을 나타낸다. 판단 블록(320)에서, 시스템(예를 들어, BSR 또는 알고리즘이 실행되는 다른 이러한 모듈)은 실행 알고리즘(들)으로부터 트래픽 예외가 관찰되는지 여부를 판단한다. 트래픽 예외를 식별하는 과정에 관한 추가적인 상세는 도 4와 관련하여 아래에서 설명된다. 일반적으로, 트래픽 예외는 하나 이상의 알고리즘이 주어진 레벨(예를 들어, DA 집합 레벨)의 공격 트래픽을 검출한다.
트래픽 예외가 관찰되지 않으면(블록 330 - 아니오), 시스템은 예외 검출 알고리즘을 계속 실행하는 블록(310)으로 복귀한다. 트래픽 예외가 관찰되면(블록 320 - 예), 시스템은 로컬 티어 완화를 계속해서 수행한다. 트래픽 예외가 관찰되었다는 판단에 따라(도 4 참조), 시스템은 위협 검출 모드(330)에 들어간다; 그 결과, 운영자가 구성한 완화 동작이 개시된다. 또한, 사전 예방의 경고가 활동 업데이트/로그를 통해 발행되고, 운영자는 임의의 특이한 활동에 대한 최초 징후에서 통지받을 수 있다. 이러한 위협 검출 모드의 과정에 관한 상세는 도 5와 관련하여 아래에서 설명된다.
도 4는 일 실시예에 따른 로컬 티어 검출의 예시적인 과정(400)을 보여주는 흐름도를 도시한다.
각각의 예외 검출 알고리즘은 관련된 편차 인자(factor)를 산출하고, 이 트래픽 편차 인자로부터 공격 확률이 도 5에 도시된 바와 같이 계산될 수 있다. 각 알고리즘의 공격 확률을 이용하고, 여러 알고리즘을 실행함으로써, 순(net)(전체) 공격 확률이 계산될 수 있다. 일 실시예에서, 로컬 티어 검출에 대한 예시적인 과정이 DA 레벨에서 발생하고, 알고리즘 및 휴리스틱스(heuristics)의 조합을 이용한다. 특정의 휴리스틱스 검출 알고리즘뿐만 아니라 소정의 예외 알고리즘이 사용을 위해 선택될 수 있다. 각 예외 알고리즘 및 휴리스틱스 알고리즘이 가중치를 할당받은 후에, 순 공격 확률이 계산될 수 있다. 아래의 명령어는 예시적인 검출 알고리즘에 대한 간략화된 예를 제공한다.
DAAggr:ddos_check(){
for every DA being monitored, periodically {
run algo1; //(algo_weight = w1)(P_attack_1=attack probability)
run algo2 //(algo_weight = w2)(P_attack_2)
run algo3; //(algo_weight = w3)(P_attack_3)
compute Pnet; //(w1*P_attack1+w2*P_attack2+w3*P_attack3)
if (Pnet>P_low_threshold)
threat_detect = yes;
activate mitigation;
}}
블록 405에서, 여러(2 이상의) 예외 알고리즘은 알고리즘의 조합이 더 높은 신뢰 레벨에서 더 큰 검출 가능성을 산출할 수 있도록 트래픽 편차를 검출하기 위해 실행된다. 관련 기술분야에서 통상의 지식을 가진 자는 여러(2 이상의) 예외 알고리즘이 상이한 타이밍 스킴(예를 들어, 동시에, 순차적으로, 산발적으로 등)을 이용하여 다양한 방식으로 실행될 수 있다는 것을 인식할 것이다.
또한, 로컬 티어 검출을 위한 여러 알고리즘의 사용은 선택된 알고리즘의 우선 순위 매김을 허용한다. 블록 410에서, 예외를 검출하는데 사용되는 각 알고리즘은 가중치(w)와 관련되고, 모든 가중치의 합은 1이다.
일 실시예에서, 가중치(w)는 긍정 오류 비율에 기초하여 블록 410에서 알고리즘에 할당될 수 있다. 각 예외 검출 알고리즘은 소정의 긍정 오류 비율(fp)(일반적으로 백분율로 표시됨)을 가질 수 있고, 긍정 오류 비율이 낮을수록 알고리즘이 더 정확하다. 긍정 오류 비율은, 일 실시예에서, 예를 들어 알고리즘의 운영자 또는 창작자에 의해 임의로 할당되거나 통계적으로 정의될 수 있는 미리 정해진 값이다.
일 실시예에 따라 가중치(w)가 긍정 오류 비율에 기초하여 상이한 알고리즘에 어떻게 할당될 수 있는지 예시하기 위하여, 알고리즘 1(Algo1)은 문헌에서 널리 알려져 있으며, 10%의 상대적으로 낮은 긍정 오류 비율을 갖는다(fp1 = 0.1). 일련의 플로우 휴리스틱스 모니터링인 알고리즘 2(Algo2)는 20%의 더 높은 긍정 오류 비율을 갖는다(fp2 = 0.2). Algo2가 Algo1에 비하여 2배의 긍정 오류 비율을 가지기 때문에, Algo1은 Algo2보다 더 정확하고 따라서 2배로 가중치가 부여된다. 즉, Algo1에 대한 w1는 0.67이며, Algo2에 대한 w2는 0.33이다. 다른 예에서, 알고리즘 1 및 알고리즘 2가 10%의 동일한 긍정 오류 비율을 가진다면, 각 알고리즘은 동일한 가중치를 할당받을 수 있다(즉, w1 및 w2 = 0.5). 다른 예로서, 알고리즘에 할당된 가중치는 긍정 오류 비율에 반비례할 수 있다(w1는 1/fp1에 비례한다). 또 다른 예로서, 가중치는 예시된 바와 같이 사례별 기반으로 각 알고리즘에 할당될 수 있다:
알고리즘 1 알고리즘 2
사용자가 구성 W1 W2
디폴트 가중치 0.5 0.5
기업 사용의 경우 0.5 0.5
IX 사용의 경우 0.3 0.7
각 알고리즘에 가중치(w)가 어떻게 할당되고 어떤 가중치(w)가 할당되는지는 상이한 실시예에서 바뀔 수 있다. 일 실시예에서, 가중치는 운영자에 의해 수동으로 할당될 수 있다. 다른 실시예에서, 각 알고리즘에 대한 가중치는 디폴트 값으로 사전 할당될 수 있다. 또 다른 실시예에서, 가중치가 계산되어 자동으로 할당될 수 있다. 또한, 각 알고리즘(410)에 대하여 가중치를 계산하고 할당하는 과정은 모두 바이패스될 수 있는 선택적 단계일 수 있다. 또한, 할당되는 가중치는 바뀔 수 있다. 일 실시예에서, 가중치는 임의의 값일 수 있다. 다른 실시예에서, 가중치는 다른 알고리즘과 관련한 그 효율에 기초하여 미리 결정된 파라미터일 수 있다. 예를 들어, 더 큰 가중치가 실제 DDoS 공격을 식별하는데 상대적으로 더 효율적인 알고리즘 또는 방법에 할당된다. 관련 기술분야에서 통상의 지식을 가진 자가 인식하는 바와 같이, 이러한 다양한 수정 및 조합이 가능하다.
블록 415에서, 공격 확률(Pattack)이 트래픽 편차(td) 인자에 기초하여 각 알고리즘에 대하여 계산된다. 각각의 예외 검출 알고리즘은 DA 레벨(즉, 보호되는 서버에 대한 모든 트래픽을 모니터링)과 같은 주어진 레벨에서의 트래픽을 주목한다. 예를 들어, 진입 및 진출 데이터는 알고리즘에 따라 이러한 데이터에 대한 임의의 변경이 공격으로서 잠재적으로 주목될 수 있도록 특정 노드에서 모니터링된다. 트래픽 패턴은 플로우, 패킷, 바이트의 수, 소정의 기간에 대한 비율 또는 이들의 임의의 조합에 관하여 모니터링될 수 있다. 이와 같이, "트래픽 편차(td)" 인자는 정상 베이스라인에 비교한 트래픽 패턴의 현재 상태의 표지(indicator)이고, 관찰된 예외 트래픽의 측정값 역할을 할 수 있다. 따라서, 각 알고리즘에 대하여 td를 계산할 수 있다. 블록 415에서 공격 확률이 계산되게 하는 예시적인 과정이 도 5에 예시된다.
도 5는 트래픽 편차 파라미터에 기초하여 알고리즘의 공격 확률을 계산하는 예시적인 과정(500)을 보여주는 흐름도를 도시한다. 관련 기술분야에서 통상의 지식을 가진 자는 500의 흐름도가 애플리케이션의 필요에 맞도록 다양한 방법으로 수정되거나 조합될 수 있다는 것을 인식할 것이다. 상이한 접근 방식을 갖는 다수의 예외 알고리즘이 사용될 수 있다. 이러한 알고리즘 또는 휴리스틱스의 일부는 트래픽 편차 파라미터(td)를 명시적으로 정의하지 않을 수 있다 - 그러나, 현재 과정은 td를 유도하기 위하여 알고리즘을 추론하거나 수정하는 단계를 포함한다. 획득된 td에 기초하여, 공격 확률은 아래에서 논의되는 바와 같이 계산된다. 예를 들어, 공격 확률 계산은 2 이상의 Pattack이 동시에 계산되도록 동시에 일어날 수 있다.
블록 505에서, 트래픽 편차 및 이에 따른 공격 확률이 계산되는 알고리즘이 선택된다. 블록 510에서, 임계 트래픽 편차 파라미터가 알고리즘에 대하여 정의된다. 일 실시예에서, 로우(low) 트래픽 편차 임계값(tdlow)과 하이(high) 트래픽 편차 임계값(tdhigh)가 정의된다. 로우 트래픽 편차는 예외 알고리즘이 잠재적인 공격을 나타낼 수 있는 더 낮은 임계값을 특정하고, 하이 트래픽 편차는 예외 알고리즘이 공격을 나타내는 것으로 알려진 더 높은 임계값을 특정한다. 관련 기술분야에서 통상의 지식을 가진 자는 상이한 실시예에서 이러한 파라미터를 정의하는 다양한 방법을 인식할 것이다. 일 실시예에서, 임계값은 운영자에 의해 수동으로 할당될 수 있다. 다른 실시예에서, 각 알고리즘에 대한 임계값은 디폴트 값으로 미리 할당될 수 있다. 또 다른 실시예에서, 임계값은 계산되어 자동으로 정의될 수 있다. 또한, 알고리즘(510)에 대하여 임계값을 정의하는 단계는 모두 바이패스될 수 있는 선택적인 단계일 수 있다.
블록 515에서, 대응하는 공격 확률(Pattack) 파라미터는, 일 실시예에 따라, 로우 공격 확률(Pattacklow) 및 하이 공격 확률(Pattackhigh)와 같은 각각의 임계 트래픽 편차(td) 파라미터에 관련된다. Pattack 파라미터는 td로 표시되는 트래픽 예외 편차가 공격이라고 명시할 수 있는 확률을 나타낸다. 예를 들어, Pattack이 0.7이면, 이는 판단된 예외 트래픽 편차가 공격이며 정당한 트래픽 급증이 아닌 70%의 확률이 있다는 것을 의미한다. 로우 공격 확률은 트래픽 편차가 tdlow일 때의 공격 확률이다. 예를 들어, Pattacklow 값은 완화 동작이 개시될 가장 낮은 공격 확률일 수 있다. 하이 공격 확률은 트래픽 편차가 tdhigh일 때의 공격 확률이다. 예를 들어, Pattackhigh는 판단된 트래픽 예외가 실제로 공격인 것을 확실하게 명시할 수 있는 가장 큰 공격 확률일 수 있다. 따라서, 강화될 수 있는 더욱 응보적인 완화 동작이 있을 수 있다. 관련 기술분야에서 통상의 지식을 가진 자는 이러한 파라미터가 어떻게 정의되는지가 상이한 실시예에서 바뀔 수 있다는 것을 인식할 것이다. 일 실시예에서, 파라미터는 운영자에 의해 수동으로 할당될 수 있다. 다른 실시예에서, 각 알고리즘에 대한 파리미터는 디폴트 값으로 미리 할당될 수 있다(예를 들어, 0.5, 1.0). 또 다른 실시예에서, 임계값이 계산되어 자동으로 정의될 수 있다. 블록 520에서, 흐름도(500)는 트래픽 편차(td) 인자를 계산하기 위하여 블록 505에서 선택된 알고리즘을 실행한다.
계산된 td 인자에 기초하여, 선택된 알고리즘에 대한 개별 공격 확률이 다양한 방식으로 유도될 수 있다. 일 실시예에서, 블록 525에서 선형 외삽법이 다음의 수학식을 통해 공격 확률(Pattack)을 결정하는데 사용된다.
(A) = (td - tdlow) * (Pattackhigh - Pattacklow)
(B) = (tdhigh - tdlow)
Pattack = Minimum (1.0, [(A)/(B) + Pattacklow])
다른 실시예에서, 공격 확률(Pattack)은 블록 535에서 비선형적인 방식으로(예를 들어, 지수적이거나 다른 분포) 계산될 수 있다. 이와 병행하여 또는 이 대신에, 블록 530에서 공격 확률은 td의 다양한 값에 대하여 별개의 방법을 이용하여 결정될 수 있다.
예시적인 Pattack 계산을 보여주기 위하여, 다음의 설명은 공격 확률이 예시적인 알고리즘인 C Kotsokalis 알고리즘(아래에서 상술되는 알고리즘)으로 어떻게 계산되는지를 설명한다. C Kotsokalis 알고리즘에서, (네트워크 인터페이스(250)와 같은 인터페이스 또는 DA 집합 레벨과 같은 집합 레벨에서 모니터링되는) 다음의 트래픽 비율들은 상태가 정상일 때 서로 가깝게 추적되고, Bratio, Pratio 및 Fratio는 각각 바이트, 패킷 및 플로우 카운트의 비율이다:
Bratio = (최대 바이트) / (평균 바이트)
Pratio = (최대 패킷) / (평균 패킷)
Fratio = (최대 플로우) / (평균 플로우)
또한, 트래픽 편차는 (Bratio/Pratio) 및/또는 (Bratio/Fratio)로서 정의될 수 있다. 정상 트래픽 상태 하에서, 트래픽 편차는 1.0에 가까운 것으로 예측된다. 트래픽 편차가 1.0보다 더 클 때, 트래픽 패턴은 공격으로 고려될 수 있는 트래픽에서의 예외를 나타낸다.
이러한 예시적인 계산에서, 블록 510 및 515의 임계 td 파라미터 및 공격 확률(Pattack) 파라미터는 다음과 같이 정의된다: tdlow = 1.25, tdhigh = 1.75, Pattacklow = 0.6 및 Pattackhigh = 1.0. 현재 시나리오 하에서, C Kotsokalis 알고리즘은 소정의 트래픽 패턴을 나타내고, 블록 520에서 계산된 td는 1.48이다. 다음으로, 블록 525의 선형 외삽법을 이용하여 계산된 공격 확률{즉, Pattack = Minimum (1.0, [(A)/(B) + Pattacklow])}은 0.784이다. 다른 말로 하면, C Kotsokalis 알고리즘으로, 예외 트래픽 편차가 공격인 78%의 가능성이 있다.
개별 공격 확률이 여러 알고리즘의 각각에 대하여 계산된 후에, 순 공격 확률이 결정된다. 도 4의 블록 415로 돌아가면, 순 공격 확률은 블록 420에서 각 알고리즘의 Pattack을 이용하여 계산될 수 있다. 위에서 논의된 일 실시예에서, 개별 공격 확률이 각각의 알고리즘으로부터 유도되고 그 대응하는 트래픽 편차(td) 인자인 순 공격 확률이 이러한 개별 공격 확률로부터 계산된다. n개의 알고리즘이 사용되는 시나리오에서, 순 공격 확률은 다음의 수학식을 이용하여 계산된다: Pnet_attack = ∑i=1 to n [wi * Pattack_i], 즉 Pnet _ attack = w1 * Pattack_1 + w2 * Pattack_2 + … + wn * Pattack_n, 여기에서 wi는 알고리즘 i에 할당된 가중치이고, Pattack_i는 알고리즘 i에 대하여 획득된 공격 확률이다. 또한, 블록 410은 각 알고리즘에 할당된 가중치(wn)를 이전에 논의된 바와 같이 결정할 수 있고, 모든 알고리즘의 가중치의 합(Σ wi i=1에서 n)은 1이다.
판단 블록 425에서, 시스템은 순 공격 확률이 확률 임계값보다 더 큰지 판단한다. 일 실시예에서, 이 공격 확률은 위협이 검출되고 완화 논리가 효력을 발생하여야만 한다고 운영자가 판단하는 최소 확률을 나타내는 Plow _ threshold로서 정의된다.
확률 임계값 파라미터를 정의하는 것은 상이한 실시예에서 바뀔 수 있다. 일 실시예에서, 확률 임계값은 운영자에 의해 정의될 수 있다. 다른 실시예에서, 확률 임계값은 디폴트 값으로 미리 정의될 수 있고(예를 들어, 순 공격 확률이 50%이면 0.5), 잠재적인 위협이 암시될 수 있고, 운영자는 완화를 강화하기 원한다. 또 다른 실시예에서, 확률 임계값이 계산되어 자동으로 정의될 수 있다. 관련 기술분야에서 통상의 지식을 가진 자가 인식하는 바와 같이, 이에 대한 다양한 수정 및 조합이 가능하다.
순 공격 확률이 확률 임계값보다 더 크다고 시스템이 판단하면(블록 425 - 예), 시스템은 로컬 티어 완화를 계속 수행한다(추가적인 상세는 아래에서 더 설명된다). 순 공격 확률이 확률 임계값보다 더 크지 않다고 시스템이 판단하면(블록 425 - 아니오), 시스템은 블록 405로 복귀하고, 그 결과 로컬 티어 검출 과정이 다시 시작하고, 예외 검출 알고리즘이 실행된다. 일반적으로, 순 Pattack이 높을수록 완화가 더 응보적이게 될 수 있다. 이는 더 높은 공격 확률이 예외가 실제로 공격인 더 높은 신뢰도를 나타내기 때문이다.
도 6은 일 실시예에서 따라 로컬 티어 완화에 대한 예시적인 과정(600)을 보여주는 흐름도를 도시한다. 로컬 티어 검출 이후, 소정의 레벨에서(예를 들어, DA) 임의의 관찰된 트래픽 예외는 시스템이 위협 검출 모드로 진입하여 로컬 티어 완화를 수행하게 한다. 시스템은 블록 425에 도시된 바와 같이 Pattack이 확률 임계값을 교차하면 위협 완화 모드로 진입한다. 이것은 모니터링되고 있는 서버(DA)에서의 실제 공격 확률이 있다는 것을 나타낸다(블록 605). 이와 같이, DA가 공격 하에 있다고 시스템이 판단하면(판단 블록 605 - 예), 시스템은 희생 서버에 대하여 트래픽을 전송하고 있는 사용자(또는 SA)의 리스트를 계속 유지한다(블록 615에 도시됨). 이것은 공격에 관련된 공격자(SA)를 판단하기 위하여 시스템이 (공격 희생 서버에 대한) SA 트래픽을 모니터할 수 있도록 수행된다. 비정상적인 트래픽 휴리스틱스(소스 어드레스(SA) 또는 사용자 레벨에서)는 일반적으로 특정 SA가 공격에 대하여 책임이 있으며 완화 동작이 일반적으로 대응하는 SA에 대하여 강화된다는 것을 나타낸다. 공격자(SA)의 리스트가 결정되면, 적합한 완화 동작이 취해질 수 있다. 도 6은 DA와 관련된 로컬 티어 완화를 도시한다(즉, DA 집합 레벨에서 트래픽 예외를 관찰하는 것에 기초하여); 그러나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 기술들이 다른 레벨(예를 들어, 인터페이스가 도 2a에 도시된 250과 같은 네트워크 인터페이스인 인터페이스 레벨과 같은)에서 실시될 수 있다는 것을 인식할 것이다.
이 대신에, DA가 공격 하에서 있는 것으로 인지되지 않는다면(판단 블록 605 - 아니오), 이는 "공격 없음"을 나타내며, 예외 알고리즘이 계속 실행될 수 있다(블록 610). 트래픽 편차를 검출하기 위하여, 작은 평균 패킷 크기, TCP 또는 UDP 패킷의 큰 백분율 또는 많은 플로우 수 등과 같은 추가적인 휴리스틱스 측정이 역시 실행되고 있는 예외 알고리즘의 일부로서 고려될 수 있다.
희생 서버 DA(공격 하에 있는 목적지 주소)에 트래픽을 전송하는 SA(예를 들어, 사용자 소스 어드레스)의 리스트를 생성한 후에, 도 6에서의 로컬 완화 과정은 하이 레이트 DDoS 공격과 관련된 SA가 도용되었는지 판단하기 위한 판단 블록(620)으로 진행한다. 시스템은 본 발명이 속하는 기술분야에 알려진 바와 같은 다양한 방식으로 공격자가 정상 또는 도용 어드레스를 사용하고 있는지 판단할 수 있다. 일 실시예에서, 공격이 도용된 어드레스로부터 오는지 판단하기 위하여 소스 어드레스의 반대 경로 체크가 수행될 수 있다. 다른 실시예에서, TCP SYN가 TCP SYN+ACK와 상관되거나, 트래픽 비율에서의 다른 상당한 차이가 도용된 SA를 검출하기 위하여 식별될 수 있다.
공격이 도용된 어드레스로부터 공급되면(블록 620 - 예), 일 실시예에 따라, 완화 알고리즘이 플로우를 버리는 정책을 적용할 수 있다(블록 625). 이것은 디폴트 동작일 수 있다. 다른 실시예에서, 완화 알고리즘은 외부 서버에 경고를 전송할 수 있으며, 시스템은 그 출처를 추적하기 위하여 도용된 어드레스의 상세를 기록한다. 도용이 없다면(판단 블록 620 - 아니오), 이는 고려 대상인 SA가 서버에 대한 자신의 트래픽을 위하여 유효한 IP 어드레스를 이용하고 있다는 것을 나타낸다. 이제 작업은 이 사용자(SA)가 서버를 액세스하려고 하는 정당한 사용자인지 아니면 공격자(즉, 손상된 사용자)인지 판단하는 것이다. 블록 630에서, 시스템은 SA가 공격자인지 아닌지를 휴리스틱스가 나타내는지 판단한다.
SA가 공격자라고 휴리스틱스가 나타내지 않는다면(블록 630 - 아니오), 소스는 정당한 것으로 간주될 수 있고, 시스템은 이 SA로부터의 트래픽을 포워딩한다(블록 640). 그렇지 않다면(판단 블록 645 - 아니오), 블록 650에서 시스템은 리스트 상의 다음 SA를 체크하고, 각 SA에 대하여 블록 620에서 시작하는 평가 과정을 반복한다. 모든 SA가 체크된 후에(판단 블록 645 - 예), 시스템은 블록 610에서 예외 알고리즘을 실행하는 단계로 복귀하고, 트래픽에서 눈에 띄는 편차가 여전히 관찰되는지(예를 들어, DA가 여전히 공격 하에 있는지) 판단한다. 과정은 다시 반복되고, 로걸 티어 완화 정책을 적용하기 위한 새로운 SA 리스트(SA가 서버에 트래픽을 전송하는데 의존하는 각 시간에서 상이할 수 있는)가 다시 생성된다(블록 615).
SA가 공격자라고 휴리스틱스가 나타낸다면, 시스템은 공격 트래픽을 동적으로 제어하는 DDoS 완화 정책을 자동으로 적용할 수 있다(블록 635). 정책에서 구체화될 수 있는 가능한 동작의 일부는 다음을 포함할 수 있다:
■ 주어진 SA로부터 공격 하에 있는 SA까지의 트래픽 비율을 제한하는 것
■ 희생 서버 및 경로에 있는 다른 장비를 보호하기 위하여 주어진 SA로부터 유래하는 플로우의 개수를 제한하는 것
■ 내부 또는 외부 모니터링을 위하여 경고를 검출하여 전송하는 것
■ 더욱 상세한 모니터링 및 분석을 위하여 이러한 SA(및/또는 DA)로부터 특정 플로우 기록을 생성하여 내보내는 것
■ 추가 데이터 처리를 위하여 이 SA로부터 특정 플로우를 미러링하여 리디렉션하는 것
■ 소정의 확률로 이 SA로부터의 새로운 플로우에 CAC(Connection Admission Control)를 수행하는 것
■ 공격자 정보를 상세하게 기록하는 것("syslog")
■ 트래픽 편차에 의해 주어진 양만큼 이 SA로부터 대역폭을 감소시켜 대역폭을 동적으로 균등화하는 것("대역폭 균등화")
■ 소정의 폐기 확률로 패킷을 폐기하는 것
■ 이 SA로부터의 트래픽을 위한 소정의 대역폭으로 트래픽 비율을 제한하는 것
아래의 명령어는 전술한 동작의 일부로 완화 프로파일을 구성하는 간략화된 예를 제공한다:
forwarding ddos-mitigation profile <name>{
destination-address<list of addresses> /*보호된 목적지 어드레스(호스트)*/
term XX {
attack-probability{
less-than <1.0>;
greater-than <0.8>;
}
then {
cac; /*새로운 플로우에 대하여*/
syslog;
bandwidth-equalization; /*현재 플로우에 대하여*/
}}};
이는 공격에 대하여 모니터링될 필요가 있는 DA 세트를 리스트하는 운영자가 구성하는 완화 정책의 일례이다. 공격 확률(Pattack)이 0.8보다 더 크고 1.0의 최대값까지인 경우에, 공격자(SA)로부터의 트래픽에 대하여 강화될 구성된 동작은 트래픽 편차 인자(td)에 비례하여 결정된 양만큼 CAC를 실행하는 단계(새로운 플로우의 연결 허가 제어하는 단계로서, 대역폭을 감소시키는 단계)와, 공격자(SA) 상세를 기록하는 단계를 포함한다.
일 실시예에서, 검출 논리가 활동의 로컬 관점에 기초하기 때문에, 취해진 완화 동작은 더 부드럽고 덜 강력할 수 있다; 적어도 활동이 글로벌 티어 메커니즘에 의해 공격으로서 더 입증될 때까지. 후술되는 바와 같이, 완화 정책의 강도는 조정될 수 있다.
다른 실시예에서, 로컬 티어 완화 페이즈는 정책 범위를 유연하게 허용하기 위하여 완화 정책을 커스터마이징하는 운영자의 능력을 포함한다. 일 실시예에서, 운영자는, 상이한 공격 확률 값에 기초하여, 서버(DA)가 공격의 희생물이 될 때, 영향을 받는 SA(공격자)에 대하여 완화 동작을 구성한다.
공격 확률 완화 동작
임계값 1 공격 확률 > 90% 각 공격 SA로부터의 대역폭을 70%만큼 감소; 도용된 모든 트래픽을 폐기
임계값 2 80% 내지 90% 사이의 공격 확률 공격 SA로부터의 대역폭을 50%만큼 감소
임계값 3 70% 내지 80% 사이의 공격 확률 공격 SA로부터의 대역폭을 30%만큼 감소
임계값 4 공격 확률 < 70% 동작 없음; 경고/기록
<표 1: 운영자 커스터마이징>
표 1은 커스터마이징된 완화 정책의 다른 예를 예시한다. 본 실시예에서, 공격 확률의 특정 임계값은 상이한 완화 동작에 대응한다. 예를 들어, 90%보다 큰 공격 확률은 공격 SA로부터의 대역폭을 70%만큼 감소시키기 위한 동작에 대응한다; 80 내지 90% 사이의 공격 확률은 공격 SA로부터의 대역폭을 50%만큼 감소시키기 위한 동작에 대응한다; 70 내지 80% 사이의 공격 확률은 공격 SA로부터의 대역폭을 30%만큼 감소시키기 위한 동작에 대응한다; 그리고, 70% 미만의 공격 확률은 동작 없음에 대응한다. 다음으로, 완화를 적용하기 위한 공격 확률, 완화 동작 및 대역폭 감소 백분율과 같은 파라미터들은 개별적으로 구성 가능하다. 다른 실시예에서, 완화 정책이 구체적으로 구성되지 않으면, 디폴트 모드가 자동으로 적용되며, 이에 의해 모든 공격자의 상세가 기록된다.
검출 및 완화에서의 첫 번째 패스를 넘어서는, 로컬 티어 메커니즘(140)은 글로벌 티어에 의한 예외 분석을 위하여 집합 데이터를 선택적으로 전송할 수 있다. 예를 들어, 로컬 티어 메커니즘은 면밀한 예외 분석을 위하여 (모든 사용자의 데이터에 대조적으로) 로컬 티어 메커니즘에 대한 상위의 강력한 사용자(heavy user) 만에 대한 플로우 데이터를 전송할 수 있다.
글로벌 티어 검출 및 완화
위에서 논의된 바와 같이, 로컬 티어 메커니즘은 특정 노드(예를 들어, 서버 DA, 인터페이스)로 향하는 트래픽의 로컬 관점에 기초한다. 로컬 티어 검출 및 완화에 더하여, DDoS 솔루션은 하이 레이트 DDoS 공격을 전체론적으로 검출하여 완화하는 글로벌 티어 메커니즘을 추가로 포함할 수 있다(도 1에서 160으로 도시됨). 글로벌 티어 메커니즘의 검출 및 완화는 여러 로컬 티어로부터 데이터를 수집하는 것에 기초하고, 특정 노드(예를 들어, 서버, 인터페이스)에 대한 트래픽의 더욱 포괄적인 관점을 제공한다. 여러 로컬 티어로부터의 정보를 이용하여, 글로벌 티어는 유사하게 DDoS 공격을 검출하고 완화하도록 플로우 데이터를 상관시키고 분석하기 위하여 2 이상의 알고리즘을 이용할 수 있다.
도 2a를 참조하면, 글로벌 티어 메커니즘(예를 들어, 도 1에서 160)은 외부 서버(들)(260A-N)에서 실행되는 소프트웨어(270A-N)로 하이 레이트 공격을 식별하고 그리고/또는 제어할 수 있다. 외부 서버(들)(260A-N)는 소프트웨어, 데이터베이스, 시스템 정보, 서술 데이터(descriptive data), 이미지, 비디오 및/또는 동작을 위하여 서버(260)에 의해 활용되는 임의의 다른 데이터 항목을 저장할 수 있다. 글로벌 티어 메커니즘(들)(260A-N)은 하나의 시스템의 하나 이상의 로컬 티어(210A-N)으로부터 또는 여러 시스템(미도시)으로부터 데이터를 수신할 수 있다.
데이터베이스는 예를 들어 Oracle, DB2, Microsoft Access, Microsoft SQL Server, PostgreSQL, MySQL, FileMaker 등의, 그러나 이에 한정되지 않는 데이터베이스 관리 시스템(DBMS)에 의해 관리될 수 있고, 객체 지향 기술을 통해 그리고/또는 텍스트 파일을 통해 구현될 수 있고, 분산 데이터베이스 관리 시스템, 객체 지향 데이터베이스 관리 시스템(OODBMS)(예를 들어, ConceptBase, FastDB Main Memory Database Management System, JDOInstruments, ObjectDB 등), 객체 관계형 데이터베이스 관리 시스템(ORDBMS)(예를 들어, Informix, OpenLink Virtuoso, VMDS 등), 파일 시스템 및/또는 임의의 다른 편리하거나 알려진 데이터베이스 관리 패키지에 의해 관리될 수 있다.
외부 서버(들)(260A-N)는 서버 컴퓨터, UNIX 워크스테이션, 개인용 컴퓨터 및/또는 다른 종류의 컴퓨터 및 처리 장치와 같은 하나 이상의 처리 유닛을 이용하여 구현될 수 있다. 도 2의 예에서, 서버(260)는 서로 연결될 수 있는 복수의 컴포넌트 및/또는 장치를 포함하고, 각각은 개별적이고 별개인 것으로서 예시된다. 그러나, 일부 실시예에서, 컴포턴트의 일부 또는 전부 및/또는 컴포넌트의 각각에 의해 표현되는 기능은 임의의 편리하고 그리고/또는 알려진 방식으로 결합될 수 있다.
따라서, 서버(들)(260A-N)의 컴포넌트는 여러 장치 및/또는 처리 유닛으로 분할될 수 있는 기능 유닛이다. 따라서, 장치에 의해 표현되는 기능은 하드웨어, 소프트웨어 또는 하드웨어와 소프트웨어의 조합으로 개별적으로 또는 조합하여 구현될 수 있다. 상이하고 추가적인 하드웨어 모듈 및/또는 소프트웨어 에이전트는 본 개시 내용의 기술적 사상을 벗어나지 않으면서 서버(들)(260A-N)에 포함될 수 있다.
위에서 논의된 바와 같이, 로컬 티어 메커니즘(140)은 더욱 포괄적인 레벨에서 추가 모니터링 및 분석을 위하여 글로벌 티어 메커니즘(160)으로 개별 플로우 및 집합 데이터(예를 들어, DA 집합과 같은)를 내보낼 수 있다. 로컬 티어에 비교하여, 글로벌 티어는 하이 레이트 DDoS 공격을 전체론적으로 검출하고 완화하는 더욱 포괄적인 접근 방식을 이용한다. 예를 들어, 시스템에서의 여러 라인 카드로부터 그리고/또는 여러 시스템으로부터 데이터를 수신하는 글로벌 티어는, 네트워크 내에서 모든 노드의 실험적 데이터를 평가하고 분석할 수 있다. 또한, 글로벌 티어는 특정 노드에 국지적인 특정 완화 정책을 개시할 수 있다. 글로벌 티어 완화 정책은 여러 알고리즘이 순 공격 확률을 결정하는데 사용된다는 점에서 로컬 티어의 완화 정책에 매우 유사하다.
도 7은 일 실시예에 따른 글로벌 티어 검출 및 완화에 대한 예시적인 과정을 보여주는 흐름도를 도시한다. 글로벌 티어의 검출 페이즈 동안, 외부 서버(들)(260A-N)에서의 소프트웨어(270)는 하나 이상의 로컬 티어 메커니즘(예를 들어, 도 2a의 라인 카드(210A-N))으로부터 개별 플로우 기록 및/또는 집합 데이터(예를 들어, DA 기반)를 주기적으로 수신할 수 있다. 도 7에 도시된 바와 같이, 블록 710에서 하나 이상의 로컬 티어로부터의 플로우 기록 데이터가 수신된다. 일 실시예에서, 글로벌 티어 검출은 모든 사용자에 대한 집합 데이터에 대조적으로 상위 N 사용자(예를 들어, N = 100)만에 대한 집합 데이터를 모니터하도록 커스터마이징될 수 있다. 다른 실시예에서, 상위 N 사용자에 대한 정렬된 집합 데이터가 여러 상이한 기준에 기초하여 수신된다. 기준의 예는 상당히 많은 바이트의 사용, 사용자당 상당히 많은 플로우 등이다.
또한, 글로벌 티어는 예외가 초기에 검출될 때 여러 라인 카드(210A-N)로부터 경고를 수신할 수 있다. 이러한 경우, 글로벌 티어는, 로컬 레벨에서 수행되는 바와 같이, 예외 알고리즘을 이용하여 데이터를 상관시키고 분석하기 위하여 여러 로컬 티어로부터의 정보를 이용할 수 있다. 도 7에 도시된 바와 같이, DA에 대한 플로우 데이터 및 집합 데이터는 예외 알고리즘을 실행하는 동안 블록 720에서 상관된다. 또한, 임의의 경고는 예외가 검출된 특정 어드레스(즉, 소스 어드레스, 목적지 어드레스, 소스-목적지 집합)에 대한 플로우 기록만을 수신하도록 글로벌 티어를 트리거할 수 있다.
완화 페이즈 동안, 글로벌 티어 메커니즘(예를 들어, 외부 서버(들)(260A-N)에서의 소프트웨어)은 글로벌 검출 페이즈 동안 식별된 검출된 예외 트래픽 패턴을 해결할 수 있다. 블록 730에서, 개시된 예외 검출 및 완화 전략은 로컬 티어 검출 및 완화와 유사하지만, 글로벌 티어에 특정된 완화 정책을 포함한다. 일 실시예에서, 다른 비예외(non-anomalous) 플로우가 정상적으로 통과할 수 있게 하는 동안(따라서, 영향을 받지 않은 장치로의 또는 정상적인 비공격 사용자에 의한 액세스를 계속하면서), 소프트웨어는 단지 특정 플로우 또는 플로우 집합만을 제어하도록 더욱 정련된 정책을 적용할 수 있다. 또한, 글로벌 완화 페이즈는 로컬 레벨에서 사용 가능한 임의의 완화 정책을 적용할 수 있다. 블록 740에 나타낸 바와 같이, 이러한 글로벌 완화 정책은 공격 트래픽에 가장 많이 기여한 노드에 대한 정보에 기초하여 하나 이상의 특정 노드에 적용될 수 있다.
하이 레이트 DDoS 공격의 검출 및 완화 이후
로컬 및 글로벌 티어 완화 정책이 효과를 나타내기 시작한 후에, 로컬 및 글로벌 티어 검출 페이즈에 의해 모니터링된 트래픽 패턴(예를 들어, 계산된 비율/임계값)은 DDoS 공격이 진정됨에 따라 "정상" 상태로 복귀하기 시작하여야 한다. 트래픽이 정상으로 복귀하면서(정상 베이스라인 값으로 복귀하는 계산된 비율 및 트래픽 편차 파라미터에 의해 표시되는 바와 같이), DDoS 솔루션(150)의 로컬 및 글로벌 티어에서 구현된 임의의 완화 정책이 종료될 수 있다. 일 실시예에서, DDoS 솔루션(150)은 적용된 임의의 완화 정책을 자동으로 중단할 수 있다. 다른 실시예에서, 완화 정책의 제어는 수동 또는 실시간 처리를 위하여 운영자에게 전송될 수 있다. 공격에 대한 표지가 남아 있는 경우에, 완화 정책은 트래픽 패턴이 정상으로 복귀할 때까지 계속 구현될 수 있다.
검출 알고리즘
검출 알고리즘에 대한 다음의 설명은 포괄적인 것으로 또는 그 구현례를 개시된 정확한 형태로 한정하려고 의도되지 않는다 - 단지 중대하지 않은 샘플만이 제공된다. 또한, 각 알고리즘의 양태는 전체적으로 또는 부분적으로 구현될 수 있다. 더하여, 모든 알고리즘 및 휴리스틱스는, 예를 들어, 일반론에 대한 손실 없이, 모니터링되는 DA 각각에 대하여 수행될 수 있다. 일 실시예에서, Z Mao 등(이하, Z Mao라 한다) 알고리즘은 간단한 플로우 휴리스틱스를 해결하기 위하여 DDoS 솔루션의 검출 페이즈에서 구현될 수 있다. Z Mao의 주요 관찰은 1시간 미만 동안 지속된 대부분의(예를 들어, 70%보다 더 큰) 공격이 TCP를 사용하고, TCP 기반의 공격이 주로 ACK 또는 SYN 플러드(flood)를 포함한다는 아이디어를 포함한다. 또한, 패킷 레이트는 일반적으로 초당 수 만이며, 최대 패킷 레이트는 대략 초당 1백만 패킷이다. 또한, 대부분의 공격은 100B보다 더 작은 패킷으로만 이루어진다.
Z Mao 알고리즘은 가능성 있는 DDoS 공격을 나타낼 수 있는 다양한 표지를 제공한다. 일 실시예에서, 초당 수 만 이상의 높은 패킷 레이트는 잠재적으로 공격이다. 다른 실시예에서, 플로우 내의 패킷의 95% 이상이 더 큰 수의 소스 IP로부터 유래하는 ICMP 패킷 또는 UDP 패킷이라면, 해당하는 ICMP 또는 UDP 패킷의 플러딩(flooding)도 공격으로 고려될 수 있다. 다른 실시예에서, 공격은 다음 중 임의의 것에 의해 나타낼 수 있다: 트래픽의 90% 이상이 TCP이고 모든 TCP 패킷이 단일 플래그를 가지는 경우(예를 들어, SYN, RST, ACK); 트래픽의 80% 이상이 100B보다 작은 패킷을 가지는 경우; 진입 인터페이스 또는 DA의 작은 백분율이 공격 트래픽의 90% 이상을 운반할 수 있는 경우; 또는 목표 서비스가 http, ssh, dns 또는 irc를 포함하는 경우.
다른 알고리즘은 C Kotsokalis 등(이하, C Kotsokalis라 한다)에 의한 것이며, DoS(Denial of Service) 및 DDoS 공격을 해결하기 위하여 하이 레이트 공격을 검출하기 위한 임계값을 사용한다. 라우터 기반의 검출 알고리즘은 공격 전에 그리고 공격 동안 관찰된 다양한 네트워크 트래픽 속성을 상관시킨다. 예를 들어, 바이트, 패킷 및 플로우 카운트의 패턴이, 1주일 동안 백본(backbone) 라우터에서 관찰되고, 수집되고, 분석될 수 있다.
C Kotsokalis 알고리즘의 상세는 다음과 같이 구현될 수 있다. 인터페이스 A로부터 인터페이스 B로 진행하는 트래픽에 대하여(트래픽의 모니터링은 특정 서버(DA)로 진행하는 트래픽을 모니터링하기 위하여 추론될 수 있다는 점에 주목하라), 관찰 기간(T)은 바이트, 플로우 및 패킷의 수가 카운트되는 기간으로 정의될 수 있다. 바이트, 플로우 및 패킷의 평균 수는 여러 관찰 기간에 걸쳐 계산된다. 또한, 모든 관찰 기간에 걸쳐 판단된 패킷/플로우/바이트의 최대 수가 모니터링되고 추적된다. 이와 같이, 평균 바이트에 대한 최대 바이트(MaxBytes/AvgBytes), 평균 플로우에 대한 최대 플로우(MaxFlows/AvgFlows) 및 평균 패킷에 대한 최대 패킷(MaxPkts/AvgPkts)의 비율 계산이 계산될 수 있다.
일 실시예에서, 전술한 3개의 비율은 정상 트래픽 상태 하에서 서로 매우 가깝게 이동한다. 다른 말로 하면, MaxBytes/AvgBytes는 대략 MaxPkts/AvgPkts와 동일하며, 이는 MaxFlows/AvgFlows와 대략 동일하다. 다음으로, 패킷 또는 플로우의 수에서의 진정한 증가는 바이트의 수에서의 비례하는 증가에 대응하여야 한다.
일 실시예에서, C Kotsokalis 알고리즘은 서버에 대한 트래픽 비율을 모니터링함으로써(인터페이스 레벨에서 모니터링하는 대신에) DA 레벨에서 추론될 수 있다. 한 경우에, C Kotsokalis 기술은 임의의 활동 폭주에 플래그를 표시하고, 패킷 또는 플로우의 비율을 바이트의 비율과 상관시켜 하이 레이트 공격을 검출한다. 예를 들어, MaxPkts/AvgPkts 또는 MaxFlows/AvgFlows의 비율이 MaxBytes/AvgBytes보다 더 높은 미리 결정된 인자(예를 들면, 1.25X, 1.5X, 2X)라면, 예외는 공격으로서 플래그가 표시될 수 있다. 전술한 바와 같이, 3개의 비율은 정상 상태 하에서 서로 매우 가깝게 이동한다. 그러나, 대부분의 하이 레이트 공격이 각각에 있어서 매우 적은 패킷으로 많은 연결(즉, 플로우)을 생성하기 때문에, 패킷 및 플로우 비율은 아마도 공격 이벤트에서 바이트 카운트를 따라가지 않을 것이고, 따라서 예외로서 플래그가 표시될 수 있다.
예외 알고리즘으로서 구현될 수 있는 다른 공지된 이론은 V Chatzigiannakis 등의 알고리즘(이하, V Chatzigiannakis라 함)이다. V Chatzigiannakis 알고리즘은 정상 거동으로부터의 편차에 대하여 사용자, 컴퓨터 또는 링크와 같은 엔티티를 체크하고, 하이 레이트 공격에 대하여 사용될 수 있다. V Chatzigiannakis는 패킷 및 플로우를 추적하고, 짧은 수명을 갖는 플로우의 수, 작은 수의 패킷을 갖는 플로우의 수, TCP/UDP 트래픽의 백분율 및 인터페이스 i에서 인터페이스 j까지의 현재의 패킷/플로우 또는 평균 패킷/플로우와 같은 계량을 모니터링한다. 또한, 예를 들어, 모든 인터페이스 쌍에 대한 패킷 및 플로우의 수를 추적하는 목적지 IP 테이블과 같은 데이터 구조가 V Chatzigiannakis를 구현하는데 사용될 수 있다.
예외 알고리즘으로서 구현될 수 있는 다른 공지된 이론은 Y Chen 등(이하, Y Chen이라 함)에 의한 것이다. 알고리즘은 IPDA에서 동일한 n 비트 접두사를 공유하는 모든 패킷을 담당하는 "수퍼 플로우(super flow)"에 대한 트래픽을 모니터링한다. 또한, Y Chen은 장기 평균 거동으로부터 단기 편차를 주시한다. 알고리즘은 각 인터페이스에서 모든 플로우를 모니터링할 수 있고, 타임 슬롯당 인커밍/아웃고잉 패킷을 카운트한다. 수퍼 플로우에서 인커밍 레이트에서의 비정상적인 증가가 있다면, 라우터는 변화 패턴 및 이것이 시스템을 통해 어떻게 전파되는지를 체크할 것이다. 정상적인 장기 거동으로부터 비정상적인 단기 거동을 구별하기 위하여, 알고리즘은 비정상적인 트래픽 증가를 평균으로부터의 편차(DFA(deviation from an average))로 정의한다. 또한, Y Chen은 장기 거동을 묘사하기 위하여 가중치가 부여된 실행 평균을 사용할 수 있다.
DDoS 솔루션이 플로우 상태 기반으로 동작하는 것으로 본 명세서에 설명되지만, DDoS 솔루션은 이 플랫폼에 제한되지 않으며, 레거시 시스템(예를 들어, 레거시 라우터, 침범 검출 시스템, 침범 방지 시스템 및 안티-DDoS 시스템)을 포함하는 다른 플랫폼에 대하여 맞추어질 수 있다. 일반론에 대한 손실 없이, 일부 알고리즘이 특정 레벨(예를 들어, 인터페이스)에서 트래픽 편차를 관찰하는 것에 기초하더라도, 제안된 알고리즘은 다른 레벨(예를 들어, DA)에서 트래픽 편차를 모니터링하도록 맞추어지고, 수정되고 그리고/또는 추론될 수 있다.
문맥이 명확하게 달리 요구하지 않는다면, 발명을 실시하기 위한 구체적인 내용 및 특허청구범위 전체를 통해, "포함한다", "포함하는" 등의 단어는 배제적 또는 소진적 의미에 반대되는 포괄적 의미로 고려되어야 한다; 즉, "포함하지만 이에 한정되지 않는"의 의미로 고려되어야 한다. 본 명세서에 사용되는 바와 같이, "연결되는", "결합되는" 또는 임의의 그 파생어는 2 이상의 요소들 사이의 직접적이거나 간접적인 임의의 연결 또는 결합을 의미한다; 2개의 요소 사이의 연결의 결합은 물리적이거나, 논리적이거나 또는 이들의 조합일 수 있다. 또한, "여기에서", "위에서", "아래에서" 및 유사한 의미의 단어들은, 본 특허 출원서에 사용될 때, 전체로서 본 출원서를 말하며, 본 출원서의 임의의 특정 부분을 지칭하지 않는다. 문맥이 허용한다면, 단수 또는 복수를 사용하는 전술한 발명을 실시하기 위한 구체적인 내용에서의 단어들은 각각 복수 또는 단수를 포함할 수 있다. 2 이상의 항목에 대한 리스트를 참조하는데 있어서의 "또는"이라는 단어는, 단어에 대한 다음의 해석 모두를 포함한다: 리스트 내의 임의의 항목, 리스트 내의 모든 항목, 리스트 내의 항목의 임의의 조합.
본 개시 내용의 실시예에 대한 전술한 발명을 실시하기 위한 구체적인 내용은 소진적인 것으로 의도되지 않으며 또한 교시 내용을 위에서 개시된 정확한 형태로 제한하려고 의도되지 않는다. 본 개시 내용에 대한 특정 실시예 및 그에 대한 예가 예시적인 목적으로 전술되었지만, 관련 기술분야에서 통상의 지식을 가진 자가 인식하는 바와 같이, 다양한 균등한 수정물이 본 개시 내용의 범위 내에서 가능하다. 예를 들어, 과정 또는 블록이 주어진 순서로 제공되지만, 다른 실시예는, 상이한 순서로, 단계를 갖는 루틴을 수행하거나 블록을 갖는 시스템을 사용할 수 있고, 일부 과정 또는 블록은 삭제되고, 이동되고, 추가되고, 분할되고, 조합되고 그리고/또는 수정되어 다른 대체예 또는 서브 컴비네이션을 제공할 수 있다. 이러한 과정 또는 블록의 각각은 다양한 다른 방식으로 구현될 수 있다. 또한, 과정 또는 블록이 시간적으로 순차적으로 수행되는 것으로 보여지지만, 이러한 과정 또는 블록은 이 대신에 병행하여 수행될 수 있거나, 또는 상이한 시간에 수행될 수 있다. 본 명세서에서 언급된 임의의 특정 숫자는 단지 예이다: 다른 구현례는 다른 값 또는 범위를 채용할 수 있다.
본 명세서에 제공된 본 개시 내용의 교시는 반드시 전술한 시스템이 아니라 다른 시스템에 적용될 수 있다. 전술된 다양한 실시예의 요소 및 동작은 결합되어 다른 실시예를 제공할 수 있다.
전술한 발명을 실시하기 위한 구체적인 내용이 본 개시 내용의 소정의 실시예를 설명하고 고려되는 최선의 모드를 설명하지만, 본문에서 얼마나 상세하게 나타나는지에 관계없이, 교시 내용은 많은 방식으로 실시될 수 있다. 시스템의 상세는 그 구현 상세에 있어서 상당히 바뀔 수 있지만, 본 명세서에 개시된 내용에 의해 여전히 포함된다. 전술한 바와 같이, 본 개시 내용의 소정의 특징 또는 양태를 설명할 때 사용되는 특정 용어는, 관련된 본 개시 내용의 임의의 특정 특성, 특징 또는 양태로 제한되도록 그 용어가 본 명세서에서 재정의되는 것을 의미하도록 취급되어서는 안 된다. 일반적으로, 이어지는 특허청구범위에서 사용되는 용어는, 전술한 발명을 실시하기 위한 구체적인 내용이 그러한 용어를 명시적으로 정의하고 있지 않는 한, 본 명세서에 개시된 특정 실시예로 개시 내용을 제한하는 것으로 고려되어서는 안 된다. 따라서, 본 개시 내용의 실제 범위는 개시된 실시예뿐만 아니라 특허청구범위 하에서 본 개시 내용을 실시하거나 구현하는 모든 균등한 방식을 포함한다.

Claims (26)

  1. 플로우 상태(flow-state) 시스템에서의 DDoS(Distributed Denial of Service) 공격 해결 방법에 있어서,
    플로우 데이터에서 예외를 검출하기 위하여 네트워크 내의 하나 이상의 노드에서 상기 플로우 데이터를 모니터링하는 단계;
    제1 관련 가중치를 갖는 제1 예외 알고리즘을 실행하는 단계;
    제2 관련 가중치를 갖는 제2 예외 알고리즘을 실행하는 단계;
    상기 제1 예외 알고리즘에 대하여, 상기 플로우 데이터에 기초하여 제1 트래픽 편차 인자를 계산하는 단계 및 상기 제1 트래픽 편차 인자에 기초하여 제1 개별 공격 확률을 계산하는 단계;
    상기 제2 예외 알고리즘에 대하여, 상기 플로우 데이터에 기초하여 제2 트래픽 편차 인자를 계산하는 단계 및 상기 제2 트래픽 편차 인자에 기초하여 제2 개별 공격 확률을 계산하는 단계;
    상기 제1 개별 공격 확률과 상기 제1 관련 가중치를 곱한 제1 곱과, 상기 제2 개별 공격 확률과 상기 제2 관련 가중치를 곱한 제2 곱의 합인 순(net) 공격 확률을 계산하는 단계;
    상기 순 공격 확률이 순 확률 임계값 위에 있을 때, 상기 플로우 데이터에서 예외를 갖는 후보자 노드를 식별하는 단계;
    상기 후보자 노드에 트래픽을 전송하는 하나 이상의 소스 어드레스(SA(source address))를 식별하는 단계; 및
    리스트에서의 각각의 소스 어드레스(SA)에 대하여,
    상기 SA가 도용되었는지 여부를 판단하는 단계; 및
    상기 SA가 정당한지 또는 도용되었는지 여부에 기초하여 상기 SA에 로컬 완화 동작을 적용하는 단계
    를 수행하는 단계
    를 포함하는,
    DDoS 공격 해결 방법.
  2. 제1항에 있어서,
    상기 플로우 데이터는 개별(individual) 플로우 데이터인,
    DDoS 공격 해결 방법.
  3. 제1항에 있어서,
    상기 플로우 데이터는 집합(aggregate) 플로우 데이터인,
    DDoS 공격 해결 방법.
  4. 제1항에 있어서,
    상기 후보자 노드는 목적지 어드레스(DA(destination address))인,
    DDoS 공격 해결 방법.
  5. 제1항에 있어서,
    상기 후보자 노드는 인터페이스 어드레스인,
    DDoS 공격 해결 방법.
  6. 제1항에 있어서,
    상기 제1 관련 가중치는 상기 제1 예외 알고리즘의 제1 긍정 오류 비율(false positive rate)에 기초하고, 상기 제2 관련 가중치는 상기 제2 예외 알고리즘의 제2 긍정 오류 비율에 기초하는,
    DDoS 공격 해결 방법.
  7. 제1항에 있어서,
    상기 제1 트래픽 편차 인자를 계산하는 단계는,
    제1 트래픽 편차 임계값 및 제2 트래픽 편차 임계값을 정의하는 단계; 및
    제1 공격 확률 임계값 및 제2 공격 확률 임계값을 결정하는 단계
    를 더 포함하는,
    DDoS 공격 해결 방법.
  8. 제7항에 있어서,
    상기 제2 트래픽 편차 인자를 계산하는 단계는,
    제3 트래픽 편차 임계값 및 제4 트래픽 편차 임계값을 정의하는 단계; 및
    제3 공격 확률 임계값 및 제3 공격 확률 임계값을 결정하는 단계
    를 더 포함하는,
    DDoS 공격 해결 방법.
  9. 제7항에 있어서,
    상기 제1 개별 공격 확률을 계산하는 단계는,
    상기 제1 트래픽 편차 임계값, 상기 제2 트래픽 편차 임계값, 상기 제1 공격 확률 임계값 및 상기 제2 공격 확률 임계값에 기초하여 상기 제1 개별 공격 확률을 선형으로 외삽하는 단계를 더 포함하는,
    DDoS 공격 해결 방법.
  10. 제2항에 있어서,
    추가 분석을 위하여 외부 엔티티에 내보낼 개별 플로우 데이터를 수집하는 단계를 더 포함하는,
    DDoS 공격 해결 방법.
  11. 제10항에 있어서,
    상기 후보자 노드를 식별하기 위하여 개별 플로우 데이터와 집합 데이터를 상관시키는 단계를 더 포함하는,
    DDoS 공격 해결 방법.
  12. DDoS(Distributed Denial of Service) 공격 검출 및 완화 시스템에 있어서,
    프로세서;
    상기 프로세서에 연결되어, 네트워크 서버 사용에 관한 플로우 데이터를 모니터링하기 위하여 상기 시스템 상에서 구현되는(instantiated) 패킷 처리 모듈; 및
    상기 시스템 상에서 구현되는 벌크 통계 기록(Bulk Statistics Record) 모듈
    을 포함하고,
    상기 벌크 통계 기록 모듈은,
    상기 플로우 데이터에서 트래픽 예외를 검출하도록 2 이상의 알고리즘을 채용하고,
    개별 공격 확률이 상기 2 이상의 알고리즘의 각각으로부터 계산되어 제공되는 2 이상의 개별 공격 확률의 함수로서 순 공격 확률을 계산하고,
    상기 순 공격 확률이 순 확률 임계값보다 더 클 때, 상기 트래픽 예외가 정당한 어드레스로부터인지 또는 도용된 어드레스로부터인지 여부에 기초하여 상기 트래픽 예외를 완화하도록
    동작하는,
    DDoS 공격 검출 및 완화 시스템.
  13. 제12항에 있어서,
    상기 순 공격 확률을 계산하는 동작은, 상기 2 이상의 개별 공격 확률의 각각에 가중치를 곱하는 것을 포함하고, 가중치의 합은 1인,
    DDoS 공격 검출 및 완화 시스템.
  14. 제12항에 있어서,
    상기 벌크 통계 기록 모듈은 상기 트래픽 예외를 발생시키는 소스 어드레스의 리스트를 결정하도록 더 동작하는,
    DDoS 공격 검출 및 완화 시스템.
  15. 제12항에 있어서,
    상기 벌크 통계 기록 모듈에서 상기 트래픽 예외를 완화하는 것은 운영자에 의해 구성 가능한,
    DDoS 공격 검출 및 완화 시스템.
  16. 제12항에 있어서,
    상기 벌크 통계 기록 모듈은 추가 분석을 위하여 내보낼 플로우 데이터를 수집하도록 더 동작하는,
    DDoS 공격 검출 및 완화 시스템.
  17. 제16항에 있어서,
    상기 시스템 상에 구현되는 글로벌 검출 및 완화 모듈을 더 포함하고,
    상기 글로벌 검출 및 완화 모듈은,
    하나 이상의 목적지 어드레스를 포함하는 네트워크 내에서 플로우 데이터를 모니터링하고;
    하나 이상의 벌크 통계 기록 모듈로부터 집합 플로우 데이터를 수신하고;
    상기 네트워크 내의 플로우 데이터와 목적지 어드레스에 대한 상기 집합 플로우 데이터를 상관시키고; 그리고,
    상기 네트워크의 다른 목적지 어드레스에 대한 활동을 방해하지 않으면서 글로벌 완화 동작을 상기 목적지 어드레스에 적용함으로써 상기 트래픽 예외를 완화하도록,
    동작하는,
    DDoS 공격 검출 및 완화 시스템.
  18. DDoS(Distributed Denial of Service) 공격 검출 방법에 있어서,
    플로우 데이터에서 트래픽 예외를 검출하기 위하여 2 이상의 알고리즘을 채용하는 단계;
    개별 공격 확률이 상기 2 이상의 알고리즘의 각각으로부터 계산되어 제동되는 2 이상의 개별 공격 확률의 함수로서 순 공격 확률을 계산하는 단계;
    상기 순 공격 확률이 순 확률 임계값보다 더 큰지 판단하는 단계; 및
    상기 순 공격 확률이 상기 순 확률 임계값보다 더 큰 경우, 완화 동작을 개시하는 단계
    를 포함하는,
    DDoS 공격 검출 방법.
  19. 제18항에 있어서,
    상기 2 이상의 알고리즘은 휴리스틱스 기반(heuristic-based)의 알고리즘을 포함하는,
    DDoS 공격 검출 방법.
  20. 제18항에 있어서,
    플로우 데이터에서의 상기 트래픽 예외는 목적지 어드레스(DA(destination address)) 레벨에서 검출되는,
    DDoS 공격 검출 방법.
  21. 제18항에 있어서,
    상기 순 공격 확률을 계산하는 단계는,
    상기 2 이상의 개별 공격 확률의 각각에 가중치를 곱하는 단계를 더 포함하고, 가중치의 합은 1인,
    DDoS 공격 검출 방법.
  22. 제18항에 있어서
    상기 개별 공격 확률은,
    제1 트래픽 편차 임계값과 제2 트래픽 편차 임계값을 정의하는 단계;
    상기 제1 트래픽 편차 임계값에 기초하여 제1 공격 확률 임계값을 결정하는 단계; 및
    상기 제2 트래픽 편차 임계값에 기초하여 제2 공격 확률 임계값을 결정하는 단계
    에 의해 계산되는,
    DDoS 공격 검출 방법.
  23. 제22항에 있어서,
    상기 제1 트래픽 편차 임계값, 상기 제2 트래픽 편차 임계값, 상기 제1 공격 확률 임계값 및 상기 제2 공격 확률 임계값에 기초하여 상기 개별 공격 확률을 선형으로 외삽하는 단계를 더 포함하는,
    DDoS 공격 검출 방법.
  24. 제18항에 있어서,
    상기 순 공격 확률이 상기 순 확률 임계값보다 더 큰 경우, 외부 서버에 경고 기록을 전송하는 단계를 더 포함하는,
    DDoS 공격 검출 방법.
  25. 제18항에 있어서,
    상기 완화 동작은 운영자에 의해 구성 가능한,
    DDoS 공격 검출 방법.
  26. 제18항에 있어서,
    개시된 상기 완화 동작은 상기 순 공격 확률의 값에 기초하는,
    DDoS 공격 검출 방법.
KR1020137024322A 2011-02-17 2012-02-16 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템 KR101747079B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161444083P 2011-02-17 2011-02-17
US61/444,083 2011-02-17
PCT/US2012/025362 WO2013105991A2 (en) 2011-02-17 2012-02-16 Methods and systems for detecting and mitigating a high-rate distributed denial of service (ddos) attack

Publications (2)

Publication Number Publication Date
KR20140037052A true KR20140037052A (ko) 2014-03-26
KR101747079B1 KR101747079B1 (ko) 2017-06-14

Family

ID=46653852

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137024322A KR101747079B1 (ko) 2011-02-17 2012-02-16 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템

Country Status (4)

Country Link
US (2) US9167004B2 (ko)
EP (1) EP2676402A4 (ko)
KR (1) KR101747079B1 (ko)
WO (1) WO2013105991A2 (ko)

Families Citing this family (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
CN104246743B (zh) * 2012-02-20 2017-03-29 维图斯瑞姆Ip控股公司 涉及在网络上虚拟机主机隔离的系统和方法
US9633201B1 (en) * 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US9485164B2 (en) 2012-05-14 2016-11-01 Sable Networks, Inc. System and method for ensuring subscriber fairness using outlier detection
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
CN102868685B (zh) * 2012-08-29 2015-04-15 北京神州绿盟信息安全科技股份有限公司 一种判定自动扫描行为的方法及装置
US11095665B2 (en) * 2012-08-31 2021-08-17 Fastly, Inc. User access rate limiting among content delivery nodes
US8943587B2 (en) * 2012-09-13 2015-01-27 Symantec Corporation Systems and methods for performing selective deep packet inspection
CN102833268B (zh) * 2012-09-17 2015-03-11 福建星网锐捷网络有限公司 抵抗无线网络泛洪攻击的方法、设备及系统
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9456001B2 (en) * 2013-01-31 2016-09-27 Hewlett Packard Enterprise Development Lp Attack notification
US9692775B2 (en) * 2013-04-29 2017-06-27 Telefonaktiebolaget Lm Ericsson (Publ) Method and system to dynamically detect traffic anomalies in a network
US9344440B2 (en) * 2013-06-20 2016-05-17 Arbor Networks, Inc. Forced alert thresholds for profiled detection
US9282113B2 (en) * 2013-06-27 2016-03-08 Cellco Partnership Denial of service (DoS) attack detection systems and methods
US9172721B2 (en) * 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
CN104348811B (zh) * 2013-08-05 2018-01-26 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
CN103442076B (zh) * 2013-09-04 2016-09-07 上海海事大学 一种云存储系统的可用性保障方法
CN103581172A (zh) * 2013-09-10 2014-02-12 昆山奥德鲁自动化技术有限公司 长距离以太网tcp协议的实现方法
US9503465B2 (en) 2013-11-14 2016-11-22 At&T Intellectual Property I, L.P. Methods and apparatus to identify malicious activity in a network
CN104753863B (zh) * 2013-12-26 2018-10-26 中国移动通信集团公司 一种分布式拒绝服务攻击的防御方法、设备及系统
CN103916387B (zh) * 2014-03-18 2017-06-06 汉柏科技有限公司 一种防护ddos攻击的方法及系统
US9686312B2 (en) 2014-07-23 2017-06-20 Cisco Technology, Inc. Verifying network attack detector effectiveness
US9800592B2 (en) * 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US10951637B2 (en) * 2014-08-28 2021-03-16 Suse Llc Distributed detection of malicious cloud actors
US10509909B2 (en) 2014-09-06 2019-12-17 Mazebolt Technologies Ltd. Non-disruptive DDoS testing
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US11533255B2 (en) 2014-11-14 2022-12-20 Nicira, Inc. Stateful services on stateless clustered edge
CN104378288B (zh) * 2014-11-19 2017-11-21 清华大学 基于路由交换范式的构件组装方法及系统
US9769186B2 (en) * 2014-12-23 2017-09-19 Mcafee, Inc. Determining a reputation through network characteristics
US10484406B2 (en) * 2015-01-22 2019-11-19 Cisco Technology, Inc. Data visualization in self-learning networks
US10484405B2 (en) * 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows
US20160219066A1 (en) * 2015-01-26 2016-07-28 Cisco Technology, Inc. Event correlation in a network merging local graph models from distributed nodes
WO2016149556A1 (en) * 2015-03-18 2016-09-22 Hrl Laboratories, Llc System and method for detecting attacks on mobile ad hoc networks based on network flux
CN106161333B (zh) * 2015-03-24 2021-01-15 华为技术有限公司 基于sdn的ddos攻击防护方法、装置及系统
US9866576B2 (en) * 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10033766B2 (en) * 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
CN106487742B (zh) * 2015-08-24 2020-01-03 阿里巴巴集团控股有限公司 用于验证源地址有效性的方法及装置
CN108028828B (zh) * 2015-08-29 2020-10-27 华为技术有限公司 一种分布式拒绝服务DDoS攻击检测方法及相关设备
US9838409B2 (en) * 2015-10-08 2017-12-05 Cisco Technology, Inc. Cold start mechanism to prevent compromise of automatic anomaly detection systems
US10063575B2 (en) * 2015-10-08 2018-08-28 Cisco Technology, Inc. Anomaly detection in a network coupling state information with machine learning outputs
GB2547202B (en) * 2016-02-09 2022-04-20 Darktrace Ltd An anomaly alert system for cyber threat detection
US10333968B2 (en) * 2016-02-10 2019-06-25 Verisign, Inc. Techniques for detecting attacks in a publish-subscribe network
US11297098B2 (en) 2016-03-10 2022-04-05 Telefonaktiebolaget Lm Ericsson (Publ) DDoS defence in a packet-switched network
US10659333B2 (en) * 2016-03-24 2020-05-19 Cisco Technology, Inc. Detection and analysis of seasonal network patterns for anomaly detection
US10432650B2 (en) 2016-03-31 2019-10-01 Stuart Staniford System and method to protect a webserver against application exploits and attacks
US10681059B2 (en) * 2016-05-25 2020-06-09 CyberOwl Limited Relating to the monitoring of network security
JP6599819B2 (ja) * 2016-06-02 2019-10-30 アラクサラネットワークス株式会社 パケット中継装置
US9584381B1 (en) 2016-10-10 2017-02-28 Extrahop Networks, Inc. Dynamic snapshot value by turn for continuous packet capture
US10715548B2 (en) * 2016-10-17 2020-07-14 Akamai Technologies, Inc. Detecting device masquerading in application programming interface (API) transactions
US10305931B2 (en) * 2016-10-19 2019-05-28 Cisco Technology, Inc. Inter-domain distributed denial of service threat signaling
CN106790035A (zh) * 2016-12-15 2017-05-31 郑州云海信息技术有限公司 一种协议分析装置、方法及系统
US10397270B2 (en) * 2017-01-04 2019-08-27 A10 Networks, Inc. Dynamic session rate limiter
WO2018129595A1 (en) * 2017-01-14 2018-07-19 Curtin University Of Technology Method and system for detecting and mitigating a denial of service attack
US10887341B2 (en) 2017-03-06 2021-01-05 Radware, Ltd. Detection and mitigation of slow application layer DDoS attacks
US10951648B2 (en) 2017-03-06 2021-03-16 Radware, Ltd. Techniques for protecting against excessive utilization of cloud services
US11381509B2 (en) 2017-03-17 2022-07-05 Citrix Systems, Inc. Increased packet scheduling throughput and efficiency using úber batching
US10567285B2 (en) 2017-03-17 2020-02-18 Citrix Systems, Inc. Increasing QoS throughput and efficiency through lazy byte batching
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
CN107040554B (zh) * 2017-06-22 2020-07-17 四川长虹电器股份有限公司 一种防御cc攻击的方法
EP3422659A1 (en) * 2017-06-30 2019-01-02 Thomson Licensing Method of blocking distributed denial of service attacks and corresponding apparatus
US10951584B2 (en) 2017-07-31 2021-03-16 Nicira, Inc. Methods for active-active stateful network service cluster
US11570092B2 (en) * 2017-07-31 2023-01-31 Nicira, Inc. Methods for active-active stateful network service cluster
US11296984B2 (en) 2017-07-31 2022-04-05 Nicira, Inc. Use of hypervisor for active-active stateful network service cluster
US10911473B2 (en) * 2017-08-31 2021-02-02 Charter Communications Operating, Llc Distributed denial-of-service attack detection and mitigation based on autonomous system number
US11005865B2 (en) * 2017-08-31 2021-05-11 Charter Communications Operating, Llc Distributed denial-of-service attack detection and mitigation based on autonomous system number
CN107465693B (zh) * 2017-09-18 2020-06-16 北京星选科技有限公司 请求消息处理方法和装置
US10116671B1 (en) 2017-09-28 2018-10-30 International Business Machines Corporation Distributed denial-of-service attack detection based on shared network flow information
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US11606387B2 (en) * 2017-12-21 2023-03-14 Radware Ltd. Techniques for reducing the time to mitigate of DDoS attacks
US11032315B2 (en) 2018-01-25 2021-06-08 Charter Communications Operating, Llc Distributed denial-of-service attack mitigation with reduced latency
JP6943196B2 (ja) * 2018-02-05 2021-09-29 日本電信電話株式会社 制御システム及び制御方法
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10382340B1 (en) * 2018-02-09 2019-08-13 Juniper Networks, Inc. Dynamic filtering of network traffic
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US11153122B2 (en) 2018-02-19 2021-10-19 Nicira, Inc. Providing stateful services deployed in redundant gateways connected to asymmetric network
US11347867B2 (en) 2018-05-18 2022-05-31 Ns Holdings Llc Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
CN109067787B (zh) * 2018-09-21 2019-11-26 腾讯科技(深圳)有限公司 分布式拒绝服务ddos攻击检测方法和装置
US10768990B2 (en) 2018-11-01 2020-09-08 International Business Machines Corporation Protecting an application by autonomously limiting processing to a determined hardware capacity
RU2703329C1 (ru) * 2018-11-30 2019-10-16 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11522874B2 (en) 2019-05-31 2022-12-06 Charter Communications Operating, Llc Network traffic detection with mitigation of anomalous traffic and/or classification of traffic
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US20210105300A1 (en) * 2019-10-08 2021-04-08 Secure64 Software Corporation Methods and systems that detect and deflect denial-of-service attacks
CN110855657B (zh) * 2019-11-07 2021-05-18 深圳市高德信通信股份有限公司 一种计算机网络用的网络安全控制系统
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US20210226988A1 (en) * 2019-12-31 2021-07-22 Radware, Ltd. Techniques for disaggregated detection and mitigation of distributed denial-of-service attacks
US11405418B2 (en) 2020-06-16 2022-08-02 Bank Of America Corporation Automated distributed denial of service attack detection and prevention
US11652833B2 (en) * 2020-07-24 2023-05-16 Microsoft Technology Licensing, Llc Detection of anomalous count of new entities
US11601457B2 (en) 2020-08-26 2023-03-07 Bank Of America Corporation Network traffic correlation engine
CN112165464B (zh) * 2020-09-15 2021-11-02 江南大学 一种基于深度学习的工控混合入侵检测方法
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11765195B2 (en) 2021-02-16 2023-09-19 Icf International Distributed network-level probabilistic attack graph generation
US12034755B2 (en) * 2021-03-18 2024-07-09 International Business Machines Corporation Computationally assessing and remediating security threats
CN113179256B (zh) * 2021-04-12 2022-02-08 中国电子科技集团公司第三十研究所 一种时间同步系统时间信息安全融合方法及系统
CN113365249B (zh) * 2021-05-06 2023-01-03 西安交通大学 一种面向5G大规模机器通信的终端劫持DDoS攻击检测方法
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11962615B2 (en) 2021-07-23 2024-04-16 Bank Of America Corporation Information security system and method for denial-of-service detection
CN113536508B (zh) * 2021-07-30 2023-11-21 齐鲁工业大学 一种制造网络节点分类方法及系统
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11799761B2 (en) 2022-01-07 2023-10-24 Vmware, Inc. Scaling edge services with minimal disruption
US12088625B2 (en) * 2022-01-19 2024-09-10 Arbor Networks, Inc. Slowing requests from malicious network clients
US11962564B2 (en) 2022-02-15 2024-04-16 VMware LLC Anycast address for network address translation at edge
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN115190107B (zh) * 2022-07-07 2023-04-18 四川川大智胜系统集成有限公司 基于泛域名多子系统管理方法、管理终端及可读存储介质
US12052131B2 (en) 2022-11-08 2024-07-30 T-Mobile Usa, Inc. Multi-dimensional correlation for network incident management
EP4254876A1 (en) * 2023-03-21 2023-10-04 Ovh Methods and systems for detecting denial of service attacks on a network
CN117395070B (zh) * 2023-11-16 2024-05-03 国家计算机网络与信息安全管理中心 一种基于流量特征的异常流量检测方法

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03108845A (ja) 1989-09-21 1991-05-09 Toshiba Corp 輻輳回避制御方式
US5014265A (en) 1989-11-30 1991-05-07 At&T Bell Laboratories Method and apparatus for congestion control in a data network
JP3241716B2 (ja) 1990-08-31 2001-12-25 株式会社東芝 Atm交換方法
US5555100A (en) 1993-10-07 1996-09-10 Audiofax, Inc. Facsimile store and forward system with local interface translating DTMF signals into store and forward system commands
GB9326476D0 (en) 1993-12-24 1994-02-23 Newbridge Networks Corp Network
US5436886A (en) 1994-07-14 1995-07-25 Northern Telecom Limited ATM switch in dual switch plane operation
US5467343A (en) 1994-07-27 1995-11-14 Motorola, Inc. Method and device for consolidation of preferential resource constraints
JP2723097B2 (ja) 1995-12-04 1998-03-09 日本電気株式会社 Qosルーティング装置
US5995503A (en) 1996-06-12 1999-11-30 Bay Networks, Inc. Method and apparatus for providing quality of service routing in a network
US5701291A (en) 1996-08-22 1997-12-23 The Whitaker Corporation ATM systems
US5909440A (en) 1996-12-16 1999-06-01 Juniper Networks High speed variable length best match look-up in a switching device
US6081522A (en) 1997-06-30 2000-06-27 Sun Microsystems, Inc. System and method for a multi-layer network element
US6081524A (en) 1997-07-03 2000-06-27 At&T Corp. Frame relay switched data service
US6072797A (en) 1997-07-31 2000-06-06 International Business Machines Corporation Methods, apparatus and computer program products for aggregated transmission groups in high speed networks
US6006264A (en) 1997-08-01 1999-12-21 Arrowpoint Communications, Inc. Method and system for directing a flow between a client and a server
US6249519B1 (en) 1998-04-16 2001-06-19 Mantra Communications Flow based circuit steering in ATM networks
GB9810376D0 (en) 1998-05-15 1998-07-15 3Com Technologies Ltd Computation of traffic flow by scaling sample packet data
US6487170B1 (en) 1998-11-18 2002-11-26 Nortel Networks Limited Providing admission control and network quality of service with a distributed bandwidth broker
US6760775B1 (en) 1999-03-05 2004-07-06 At&T Corp. System, method and apparatus for network service load and reliability management
US6801502B1 (en) 1999-05-07 2004-10-05 At&T Corp. Method and apparatus for load-sensitive routing of long-lived packet flows
US6195697B1 (en) 1999-06-02 2001-02-27 Ac Properties B.V. System, method and article of manufacture for providing a customer interface in a hybrid network
US6574195B2 (en) 2000-04-19 2003-06-03 Caspian Networks, Inc. Micro-flow management
CN100379208C (zh) 2000-05-05 2008-04-02 诺玛迪克斯公司 网络使用情况监视设备和相关方法
US20020032793A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7266754B2 (en) * 2003-08-14 2007-09-04 Cisco Technology, Inc. Detecting network denial of service attacks
US7854003B1 (en) 2004-03-19 2010-12-14 Verizon Corporate Services Group Inc. & Raytheon BBN Technologies Corp. Method and system for aggregating algorithms for detecting linked interactive network connections
US8243593B2 (en) * 2004-12-22 2012-08-14 Sable Networks, Inc. Mechanism for identifying and penalizing misbehaving flows in a network
KR100628328B1 (ko) * 2005-03-10 2006-09-27 한국전자통신연구원 적응적 침해 방지 장치 및 방법
US8001601B2 (en) * 2006-06-02 2011-08-16 At&T Intellectual Property Ii, L.P. Method and apparatus for large-scale automated distributed denial of service attack detection
US8248946B2 (en) * 2006-06-06 2012-08-21 Polytechnic Institute of New York Unversity Providing a high-speed defense against distributed denial of service (DDoS) attacks
US8015249B2 (en) 2006-10-10 2011-09-06 Microsoft Corporation Mitigating data usage in messaging applications
JP4905086B2 (ja) 2006-11-29 2012-03-28 富士通株式会社 イベント種類推定システム、イベント種類推定方法およびイベント種類推定プログラム
US8176167B2 (en) 2006-12-05 2012-05-08 Qualcomm Incorporated Methods and apparaus for requesting wireless communication device performance data and providing the data in optimal file size
JP2010531553A (ja) 2007-03-30 2010-09-24 ネットクオス・インコーポレーテッド ネットワーク異常検出のための統計的方法およびシステム
EP2112800B1 (en) 2008-04-25 2017-12-27 Deutsche Telekom AG Method and system for enhanced recognition of attacks to computer systems
US8069471B2 (en) * 2008-10-21 2011-11-29 Lockheed Martin Corporation Internet security dynamics assessment system, program product, and related methods
US9015532B2 (en) 2008-10-31 2015-04-21 Ebay Inc. System and method to test executable instructions
US8280968B1 (en) * 2009-04-20 2012-10-02 The Florida State University Research Foundation, Inc. Method of detecting compromised computers in a network
GB2470071B (en) 2009-05-08 2013-06-05 Vodafone Plc Telcommunications networks
US9195713B2 (en) 2009-11-08 2015-11-24 Hewlett-Packard Development Company, L.P. Outlier data point detection
US8495196B2 (en) 2010-03-22 2013-07-23 Opanga Networks, Inc. Systems and methods for aligning media content delivery sessions with historical network usage

Also Published As

Publication number Publication date
US20150312273A1 (en) 2015-10-29
US20120216282A1 (en) 2012-08-23
WO2013105991A3 (en) 2013-10-17
EP2676402A2 (en) 2013-12-25
WO2013105991A2 (en) 2013-07-18
KR101747079B1 (ko) 2017-06-14
US9167004B2 (en) 2015-10-20
EP2676402A4 (en) 2015-06-03

Similar Documents

Publication Publication Date Title
KR101747079B1 (ko) 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템
US20220030021A1 (en) Method and system for confident anomaly detection in computer network traffic
Kumar et al. A distributed approach using entropy to detect DDoS attacks in ISP domain
US7607170B2 (en) Stateful attack protection
Xue et al. Linkscope: Toward detecting target link flooding attacks
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
Chen et al. Collaborative change detection of DDoS attacks on community and ISP networks
EP3138008B1 (en) Method and system for confident anomaly detection in computer network traffic
Dang-Van et al. A multi-criteria based software defined networking system Architecture for DDoS-attack mitigation
Sardana et al. An auto-responsive honeypot architecture for dynamic resource allocation and QoS adaptation in DDoS attacked networks
KR20110065273A (ko) 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
Noh et al. Protection against flow table overflow attack in software defined networks
Habib et al. DDoS mitigation in eucalyptus cloud platform using snort and packet filtering—IP-tables
Ahmed et al. Real-time detection of intrusive traffic in QoS network domains
Mohammadi et al. Practical extensions to countermeasure dos attacks in software defined networking
Ahmed Investigation model for DDoS attack detection in real-time
Chen et al. Distributed change-point detection of DDoS attacks over multiple network domains
Xia et al. Cids: Adapting legacy intrusion detection systems to the cloud with hybrid sampling
Muraleedharan et al. ADRISYA: a flow based anomaly detection system for slow and fast scan
Nguyen et al. Network anomaly detection: Flow-based or packet-based approach?
Sardana et al. Honeypot based routing to mitigate ddos attacks on servers at isp level
Ghosh et al. Managing high volume data for network attack detection using real-time flow filtering
US20240048587A1 (en) Systems and methods for mitigating domain name system amplification attacks
Jeong et al. An effective DDoS attack detection and packet-filtering scheme

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant