KR20140088396A - Blocking Method for the Advanced Distributed Denial of Service Attack - Google Patents

Blocking Method for the Advanced Distributed Denial of Service Attack Download PDF

Info

Publication number
KR20140088396A
KR20140088396A KR1020130000226A KR20130000226A KR20140088396A KR 20140088396 A KR20140088396 A KR 20140088396A KR 1020130000226 A KR1020130000226 A KR 1020130000226A KR 20130000226 A KR20130000226 A KR 20130000226A KR 20140088396 A KR20140088396 A KR 20140088396A
Authority
KR
South Korea
Prior art keywords
processing unit
user
authentication
authentication processing
traffic
Prior art date
Application number
KR1020130000226A
Other languages
Korean (ko)
Other versions
KR101434387B1 (en
Inventor
최병환
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020130000226A priority Critical patent/KR101434387B1/en
Publication of KR20140088396A publication Critical patent/KR20140088396A/en
Application granted granted Critical
Publication of KR101434387B1 publication Critical patent/KR101434387B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a system and a method for blocking a distributed denial of service attack which, when distributed denial of service attack traffic is incoming in a network traffic environment, performs classification of a normal/abnormal user and blocks the traffic according to a classification result by variously applying user authentication methods. The system for blocking a distributed denial of service attack according to the present invention comprises an authentication control unit for, when distributed denial of service attack traffic is incoming in the network traffic environment, determining a user authentication method; an authentication processing unit for performing classification of a normal/abnormal user according to the authentication method determined by the authentication control unit; and a block processing unit for blocking traffic from an abnormal user according to an authentication result of the authentication processing unit, thereby efficiently blocking the distributed denial of service attack consuming a network bandwidth as technical effect.

Description

분산 서비스 거부 공격 차단 시스템 및 그 차단 방법{Blocking Method for the Advanced Distributed Denial of Service Attack}[0001] The present invention relates to a distributed denial-of-service attack blocking system and a blocking method thereof,

본 발명은 분산 서비스 거부 공격 차단 기술에 관한 것으로, 더 상세하게는 네트워크 트래픽 환경에서 분산 서비스 거부 공격 트래픽이 유입 시, 사용자 인증 방식을 다양하게 적용하여, 사용자의 정상/비정상을 분류하고, 분류된 결과에 따라 트래픽을 차단하는 분산 서비스 거부 공격 차단 시스템 및 그 차단 방법에 관한 것이다.
The present invention relates to a distributed denial-of-service attack prevention technique, and more particularly, to a distributed denial-of-service attack prevention technique, in which distributed denial-of-service attack traffic flows in a network traffic environment, various types of user authentication schemes are applied, The present invention relates to a distributed denial-of-service attack blocking system for blocking traffic according to a result and a blocking method thereof.

최근 들어 발생하는 해킹, 바이러스는 단일 시스템을 대상으로 한 공격에서 발전하여, 네트워크 인프라를 위협할 수 있는 대규모 공격으로 발전하고 있으며, 이러한 네트워크 공격을 차단하기 위한 보안장비가 내부 시스템에 설치되고 있는 실정이다.In recent years, hacking and viruses have evolved from attacks targeting a single system and are developing into massive attacks that can threaten network infrastructures. In addition, security devices for blocking such network attacks are installed in internal systems to be.

네트워크 대여폭(bandwidth)을 위협하는 공격 유형에는 DoS(Denial of Service), DDoS(Distributed Denial of Service), Flooding 공격 등이 대표적이다.Denial of Service (DoS), Distributed Denial of Service (DDoS), and flooding attacks are typical attacks that threaten network bandwidth.

DoS 공격이란 목적 망/서버에 유해 트래픽을 유입시켜 네트워크 서비스 기능을 일시적 또는 완전히 정지시키는 공격 방식을 말하며, DDoS 공격은 DoS 공격의 한 형태로 분산 설치된 다수의 공격 프로그램이 서로 통합된 형태로 목적 망/ 서버에 트래픽을 집중시키는 공격이며, 일반적인 DoS 공격에 비해 탐지가 어려울 뿐만 아니라 훨씬 더 강력한 파괴력을 가지고 있다. 이러한 DDoS 공격은 대량의 유해 트래픽으로 네트워크 전체 자원을 고갈시키는 한편 네트워크에 심각한 부하를 주어 해당 네트워크를 마비시키기도 한다. A DoS attack is an attack method that temporarily or completely stops a network service function by introducing harmful traffic to a target network / server. A DDoS attack is a type of a DoS attack. A plurality of distributed attack programs are integrated into a target network / It is an attack that concentrates traffic to the server. It is not only difficult to detect as compared to general DoS attacks, but also has much more destructive power. These DDoS attacks are exhausting the entire network resources due to a large amount of harmful traffic, while also causing a serious load on the network to paralyze the network.

이러한 DDoS 공격이 증가하는 이유는 공격에 이용할 수 있는 취약한 서버들을 쉽게 구할 수 있는 환경을 들 수 있으며, 보다 강력한 공격을 위해 컴퓨팅 파워나 네트워크 대여폭과 같은 공격자원을 확보하기 위해 분산된 다수의 시스템을 이용하기 때문이다.The reason for this increase in DDoS attacks is that it is easy to find vulnerable servers that can be used for attacks. In order to secure attack resources such as computing power and network bandwidth for a more powerful attack, a plurality of distributed systems It is because it uses.

이러한 DDos와 같은 네트워크 마비 공격을 보다 효과적으로 막을 대책이 절실히 요구되고 있지만 과거와 달리 사용자(end-point)의 네트워크 망이 고속화됨에 따라 백본의 대여폭을 위협하는 공격이 더욱 심각한 실정이다.However, unlike the past, as the end-point network is increased in speed, attacks that threaten the bandwidth of the backbone are more serious.

또한, 현재의 DDoS 공격은 분산화되고, IP가 랜덤 형태로 이루어지는 경우가 많으므로 대한민국 등록특허 공보 제10-1109563호(2012. 01. 18)에 기재된 인터넷 서비스 보장 장치 및 방법과 같이 다양한 보안 장비가 개발되고 있는 실정이지만 종래의 보안 장비에서는 이러한 현재의 DDoS 공격을 효과적으로 차단하지 못하는 문제점이 있다.
In addition, since the current DDoS attacks are distributed and the IPs are often random, various security devices such as the Internet service guarantee device and method disclosed in Korean Patent Registration No. 10-1109563 (Jan. 18, 2012) The existing DDoS attack can not be effectively blocked by the conventional security equipment.

대한민국 등록특허 공보 10-1109563B1, 2012. 01. 18, 6쪽 내지 8쪽.Korean Registered Patent No. 10-1109563B1, 2012. 01. 18, pp.6-8.

본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 제안된 것으로, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템의 목적은, 네트워크 트래픽 환경에서 적어도 하나 이상의 사용자 인증 방식을 적용하여, 인증된 결과에 따라 트래픽을 차단하는 시스템을 제공하는데 있다.Disclosure of Invention Technical Problem The present invention has been made in order to solve the above problems, and it is an object of the present invention to provide a distributed denial-of-service attack prevention system in which at least one user authentication scheme is applied in a network traffic environment, And to provide a system for blocking traffic.

다른 목적은, 기본인증처리부를 포함하여, 임계치의 트래픽을 허용하여 서버의 응답 상태에 따라 사용자를 인증하는데 있다.Another object is to allow a traffic of a threshold value, including a basic authentication processing unit, to authenticate a user according to the response status of the server.

또 다른 목적은, TCP인증처리부를 더 포함하여, 응답패킷과 요청패킷의 TCP헤더부의 쿠키값을 비교하여, 사용자를 인증하는데 있다.Another object is to further include a TCP authentication processing unit to compare a response packet with a cookie value of a TCP header part of a request packet to authenticate a user.

또 다른 목적은, HTTP인증처리부를 더 포함하여, 응답패킷과 요청패킷의 HTTP헤더부의 쿠키값을 비교하여, 사용자를 인증하는데 있다.Another object is to further include an HTTP authentication processing unit to compare the response packet with the cookie value of the HTTP header part of the request packet to authenticate the user.

또 다른 목적은, 적어도 하나 이상의 사용자 인증 방식을 조합하여 결정하는데 있다.Another object is to determine at least one user authentication method in combination.

또 다른 목적은, 인증정보부를 더 포함하여, 인증처리부에서 인증된 정상 사용자의 정보를 등록하여, 관리하는데 있다.
Still another object is to register and manage information of a normal user authenticated by the authentication processing unit, further including an authentication information unit.

본 발명에 따른 분산 서비스 거부 공격 차단 방법의 목적은, 분산 서비스 거부 공격 트래픽이 유입되면 사용자 인증 방식을 결정하여, 사용자의 정상/비정상을 분류하고, 정상 사용자로 분류되면 사용자 정보를 등록하여, 트래픽 소통을 허용하고, 비정상 사용자로 분류되면 트래픽을 차단하는 방법을 제공하는데 있다.The object of the distributed denial-of-service attack blocking method according to the present invention is to determine a user authentication method when distributed denial-of-service attack traffic is input, classify normal / abnormal users, register user information when classified as a normal user, And to provide a method of blocking traffic when it is classified as an abnormal user.

다른 목적은, 기본인증처리부에 의한 사용자 인증 방식, TCP인증처리부에 의한 사용자 인증 방식, HTTP인증처리부에 의한 사용자 인증 방식 중 어느 하나 이상을 결정하는데 있다.Another object is to determine at least one of a user authentication method by the basic authentication processing unit, a user authentication method by the TCP authentication processing unit, and a user authentication method by the HTTP authentication processing unit.

또 다른 목적은, 허용된 임계치 트래픽에 관하여, 서버의 응답 상태에 따라 사용자의 정상/비정상을 분류 작업을 수행하는데 있다.Yet another object is to perform classification operation of the user's normal / abnormal according to the response status of the server with respect to the allowed threshold traffic.

또 다른 목적은, 응답패킷의 TCP헤더부에 쿠키값을 삽입하여 전송 후, 요청패킷의 쿠키값과 비교하여 사용자의 정상/비정상 분류 작업을 수행하는데 있다.Another object of the present invention is to insert a cookie value into a TCP header portion of a response packet, and to compare the cookie value with a cookie value of a request packet to perform a normal / abnormal classification operation of the user.

또 다른 목적은, 응답패킷의 HTTP헤더부에 쿠키값을 삽입하여 전송 후, 요청패킷의 쿠키값과 비교하여 사용자의 정상/비정상 분류 작업을 수행하는데 있다.Another object of the present invention is to insert a cookie value into an HTTP header part of a response packet and to compare the cookie value with a cookie value of a request packet to perform a normal / abnormal classification operation of the user.

또 다른 목적은, 적어도 두 개 이상의 사용자 인증 방식을 순차적으로 수행하는데 있다.Yet another object is to perform at least two or more user authentication methods sequentially.

또 다른 목적은, 적어도 두 개 이상의 사용자 인증 방식을 동시에 수행하는데 있다.
Another object is to perform at least two user authentication methods at the same time.

본 발명에 따른 분산 서비스 거부 공격 차단 시스템은 네트워크 트래픽 환경에서 분산 서비스 거부 공격 트래픽이 유입되면, 사용자의 인증 방식을 결정하는 인증제어부, 상기 인증제어부에서 결정된 인증 방식에 따라 정상/비정상 사용자를 분류하는 인증처리부 및 상기 인증처리부에서 인증된 결과에 따라 비정상 사용자의 트래픽을 차단하는 차단처리부를 포함하는 것을 특징으로 한다.The distributed denial-of-service attack blocking system according to the present invention classifies the normal / abnormal users in accordance with the authentication method determined by the authentication control unit, when the distributed denial-of-service attack traffic flows in the network traffic environment, And a blocking processing unit for blocking traffic of an abnormal user according to a result authenticated by the authentication processing unit and the authentication processing unit.

또한, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 인증처리부는 설정된 임계치의 트래픽을 허용하여, 서버의 응답 상태에 따라 사용자를 인증하는 기본인증처리부를 포함하는 것을 특징으로 한다.In addition, in the distributed denial-of-service attack blocking system according to the present invention, the authentication processing unit includes a basic authentication processing unit for allowing the traffic of the set threshold value and authenticating the user according to the response status of the server.

또한, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 인증처리부는 상기 트래픽에 관하여, 응답패킷과 요청패킷의 TCP헤더부의 쿠키(cookie)값을 비교하여, 사용자를 인증하는 TCP인증처리부를 더 포함하는 것을 특징으로 한다.In the distributed denial-of-service attack blocking system according to the present invention, the authentication processing unit may further include a TCP authentication processing unit for comparing the response packet with the cookie value of the TCP header part of the request packet to authenticate the user .

또한, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 인증처리부는 상기 트래픽에 관하여, 응답패킷과 요청패킷의 HTTP헤더부의 쿠키(cookie)값을 비교하여, 사용자를 인증하는 HTTP인증처리부를 더 포함하는 것을 특징으로 한다.Also, in the distributed denial-of-service attack blocking system according to the present invention, the authentication processing unit may further include an HTTP authentication processing unit for comparing the response packet with a cookie value of an HTTP header part of the request packet to authenticate the user .

또한, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 인증제어부는 상기 기본인증처리부, 상기 TCP인증처리부, 상기 HTTP인증처리부 중 어느 하나 이상의 사용자 인증 방식을 조합하여 결정하는 것을 특징으로 한다.In the distributed denial-of-service attack blocking system according to the present invention, the authentication control unit may determine the combination of at least one of the basic authentication processing unit, the TCP authentication processing unit, and the HTTP authentication processing unit.

또한, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템은 인증제어부와 연결되어, 상기 인증처리부에서 인증된 정상 사용자의 정보를 등록하여, 관리하는 인증정보부를 더 포함하는 것을 특징으로 한다.
The distributed denial-of-service attack blocking system according to the present invention further includes an authentication information unit, which is connected to the authentication control unit and registers and manages information of a normal user authenticated by the authentication processing unit.

본 발명에 따른 분산 서비스 거부 공격 차단 방법은 (a) 트래픽유입부를 통해 분산 서비스 거부 공격 트래픽이 유입되면 인증제어부를 이용하여, 사용자 인증 방식을 결정하는 단계, (b) 인증처리부를 이용하여, 사용자의 정상/비정상을 분류하는 단계, (c) 상기 (b) 단계에서 정상 사용자로 분류되면, 상기 인증정보부를 이용하여 사용자 정보를 등록하는 단계 및 (d) 상기 (b) 단계에서 비정상 사용자로 분류되면 상기 차단처리부를 이용하여, 트래픽을 차단하는 단계를 포함하는 것을 특징으로 한다.A method for blocking a distributed denial-of-service attack according to the present invention includes the steps of: (a) determining a user authentication method using an authentication control unit when a distributed denial-of-service attack traffic flows through a traffic inflow unit; (b) (C) registering user information using the authentication information unit when the user is classified as a normal user in the step (b), and (d) registering user information as an abnormal user in the step (b) And blocking the traffic using the blocking processing unit.

또한, 본 발명에 따른 분산 서비스 거부 공격 차단 방법에 있어서, (a) 단계는, 기본인증처리부에 의한 사용자 인증 방식, TCP인증처리부에 의한 사용자 인증 방식, HTTP인증처리부에 의한 사용자 인증 방식 중 어느 하나 이상의 사용자 인증 방식을 결정하는 것을 특징으로 한다.
In the distributed denial-of-service-denial-of-attack blocking method according to the present invention, the step (a) may be any one of a user authentication method by a basic authentication processing unit, a user authentication method by a TCP authentication processing unit, The above-mentioned user authentication method is determined.

이상에서 설명한 바와 같이, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템은 네트워크 트래픽 환경에서 적어도 하나 이상의 사용자 인증 방식을 적용하여, 인증된 결과에 따라 트래픽을 차단하는 시스템을 제공함으로써, 네트워크 대여폭을 위협하는 분산 서비스 거부 공격을 효율적으로 차단할 수 있는 효과가 있다.As described above, the distributed denial-of-service attack blocking system according to the present invention provides a system for blocking traffic according to an authenticated result by applying at least one user authentication method in a network traffic environment, It is effective to effectively block distributed denial of service attacks.

또한, 임계치의 트래픽을 허용하여 서버의 응답 상태에 따라 사용자를 인증할 수 있는 효과가 있다.In addition, it is possible to allow the traffic of the threshold value to authenticate the user according to the response state of the server.

또한, 응답패킷과 요청패킷의 TCP헤더부의 쿠키값을 비교함으로써, 정상/비정상 사용자를 분류할 수 있는 효과가 있다.In addition, there is an effect that the normal / abnormal users can be classified by comparing the response packet with the cookie value of the TCP header part of the request packet.

또한, 응답패킷과 요청패킷의 HTTP헤더부의 쿠키값을 비교함으로써, 정상/비정상 사용자를 분류할 수 있는 효과가 있다.In addition, there is an effect that the normal / abnormal users can be classified by comparing the response packet with the cookie value of the HTTP header part of the request packet.

또한, 적어도 하나 이상의 사용자 인증 방식을 조합하여 결정함으로써, 각 사용자 인증 방식의 단점을 보완할 수 있는 효과가 있다.Further, by determining at least one or more user authentication methods in combination, it is possible to complement the disadvantages of each user authentication method.

또한, 인증정보부를 더 포함함으로써, 인증처리부에서 정상 사용자로 분류된 사용자의 정보를 등록하여, 관리할 수 있는 효과가 있다.
Further, by further including the authentication information unit, there is an effect that information of the user classified as a normal user in the authentication processing unit can be registered and managed.

본 발명에 따른 분산 서비스 거부 공격 차단 방법은, 분산 서비스 거부 공격 트래픽이 유입되면 사용자 인증 방식을 결정하여, 사용자의 정상/비정상을 분류함으로써 정상 사용자로 분류되면 사용자 정보를 등록하여, 원활한 트래픽 소통을 허용할 수 있으며, 비정상 사용자로 분류되면 트래픽을 철저하게 차단할 수 있는 효과가 있다.The distributed denial-of-service attack blocking method according to the present invention determines a user authentication scheme when distributed denial-of-service attack traffic is input, classifies the normal / abnormal users of the user, registers user information when classified as a normal user, And if it is classified as an abnormal user, the traffic can be thoroughly blocked.

또한, 기본인증처리부에 의한 사용자 인증 방식, TCP인증처리부에 의한 사용자 인증 방식, HTTP인증처리부에 의한 사용자 인증 방식 중 어느 하나 이상을 조합하여 결정할 수 있는 효과가 있다.Further, there is an effect that the user authentication method by the basic authentication processing unit, the user authentication method by the TCP authentication processing unit, and the user authentication method by the HTTP authentication processing unit can be combined and determined.

또한, 허용된 임계치 트래픽에 관하여, 서버의 응답 상태에 따라 사용자의 정상/비정상 분류 작업을 정확하게 수행할 수 있다.Further, regarding the allowed threshold traffic, the normal / abnormal classification operation of the user can be accurately performed according to the response status of the server.

또한, 응답패킷의 TCP헤더부에 쿠키값을 삽입하여 전송 후, 요청패킷의 쿠키값과 비교함으로써, 사용자의 정상/비정상 분류 작업을 정확하게 수행할 수 있다.In addition, the cookie value is inserted into the TCP header portion of the response packet, and the cookie value is compared with the cookie value of the request packet after the transmission, so that the normal / abnormal classification operation of the user can be accurately performed.

또한, 응답패킷의 HTTP헤더부에 쿠키값을 삽입하여 전송 후, 요청패킷의 쿠키값과 비교함으로써, 사용자의 정상/비정상 분류 작업을 정확하게 수행할 수 있다.In addition, the cookie value is inserted into the HTTP header portion of the response packet, and the cookie value is compared with the cookie value of the request packet after the transmission, so that the normal / abnormal classification operation of the user can be accurately performed.

또한, 적어도 두 개 이상의 사용자 인증 방식을 순차적으로 수행함으로써, 개별 사용자 인증 방식의 단점을 보안하여, 사용자의 정상/비정상 재분류 작업을 수행할 수 있다.In addition, by performing at least two or more user authentication methods sequentially, it is possible to secure the disadvantage of the individual user authentication method and perform the normal / abnormal reclassification operation of the user.

또 다른 목적은, 적어도 두 개 이상의 사용자 인증 방식을 동시에 수행하여, 트래픽 차단 작업 시간을 단축할 수 있는 효과가 있다.
Another object of the present invention is to perform at least two or more user authentication schemes at the same time, thereby reducing the traffic blocking work time.

도 1은 본 발명에 따른 분산 서비스 거부 공격 차단 시스템의 전체 구성을 나타내는 구성도.
도 2는 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 인증처리부의 상세 구성을 나타내는 구성도.
도 3은 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 기본인증처리부의 상세 구성을 나타내는 구성도.
도 4는 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, TCP인증처리부의 상세 구성을 나타내는 구성도.
도 5는 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, HTTP인증처리부의 상세 구성을 나타내는 구성도.
도 6 내지 도 9는 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 사용자 인증 방식의 제1실시예 내지 제4실시예를 나타내는 개념도.
도 10은 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 사용자 인증에 따른 트래픽 흐름을 나타내는 개념도.
도 11은 본 발명에 따른 분산 서비스 거부 공격 차단 방법의 전체 흐름을 나타내는 흐름도.
도 12 내지 도 15는 본 발명에 따른 분산 서비스 거부 공격 차단 방법에 있어서, S300의 제1상세 흐름도 내지 제4상세 흐름도.Brief Description of the Drawings Fig. 1 is a configuration diagram showing the overall configuration of a distributed denial-of-service attack blocking system according to the present invention; Fig.
FIG. 2 is a configuration diagram showing a detailed configuration of an authentication processing unit in a distributed denial-of-service attack blocking system according to the present invention; FIG.
3 is a configuration diagram showing a detailed configuration of a basic authentication processing unit in a distributed denial-of-service attack blocking system according to the present invention;
4 is a configuration diagram showing a detailed configuration of a TCP authentication processing unit in a distributed denial-of-service attack blocking system according to the present invention;
5 is a configuration diagram showing a detailed configuration of an HTTP authentication processing unit in a distributed denial-of-service attack blocking system according to the present invention;
6 to 9 are conceptual diagrams illustrating first to fourth embodiments of a user authentication method in a distributed denial of service attack blocking system according to the present invention.
10 is a conceptual diagram illustrating traffic flow according to user authentication in a distributed denial-of-service attack blocking system according to the present invention.
FIG. 11 is a flowchart showing an overall flow of a distributed denial of service attack blocking method according to the present invention. FIG.
12 to 15 are flowcharts of a first detailed flowchart to a fourth detailed flowchart of S300 in a distributed denial of service attack blocking method according to the present invention.

이하, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템 및 그 차단 방법을 실시하기 위한 구체적인 내용을 설명하면 다음과 같다.
Hereinafter, the distributed denial-of-service attack blocking system and the blocking method according to the present invention will be described in detail.

[도 1]은 본 발명에 따른 분산 서비스 거부 공격 차단 시스템(100)의 전체 구성을 나타내는 구성도로, 트래픽유입부(10), 인증제어부(20), 인증처리부(30), 인증정보부(40) 및 차단처리부(50)를 포함한다.1 is a block diagram illustrating an entire configuration of a distributed denial-of-service attack blocking system 100 according to an embodiment of the present invention. Referring to FIG. 1, a traffic inflow unit 10, an authentication control unit 20, an authentication processing unit 30, And a blocking processing unit 50.

상기 트래픽유입부(10)는 네트워크 트래픽 환경에서 분산 서비스 거부 공격 트래픽을 유입시키는 구성으로 상기 트래픽유입부(10)를 통해 유입된 트래픽은 상기 인증제어부(20)에 전달된다.The traffic inflow unit 10 is configured to introduce distributed denial-of-service attack traffic in a network traffic environment, and the traffic flowing through the traffic inflow unit 10 is transmitted to the authentication control unit 20.

상기 인증제어부(20)는 분산 서비스 거부 공격 트래픽이 유입되면, 사용자의 인증 방식을 결정하는 역할을 하며, 본 발명에 따른 인증제어부(20)는 적어도 하나 이상의 사용자 인증 방식을 결정할 수 있으며, 두 개 이상의 사용자 인증 방식을 결정 시, 순차적 또는 동시 수행을 제어하는 신호를 상기 인증처리부(30)에 전달한다.
When the distributed denial-of-service attack traffic flows, the authentication control unit 20 determines the authentication method of the user. The authentication control unit 20 according to the present invention can determine at least one user authentication method, When determining the above user authentication method, the authentication processing unit 30 transmits a signal for controlling sequential or simultaneous execution.

상기 인증처리부(30)는 상기 인증제어부(20)에서 결정된 인증 방식에 따라 유입된 트래픽의 정상/비정상 사용자를 분류하는 역할을 하며, 본 발명에 따른 상기 인증처리부(30)는 [도 2]에 도시된 바와 같이, 기본인증처리부(31), TCP인증처리부(32) 및 HTTP인증처리부(33)를 포함한다.The authentication processing unit 30 serves to classify the normal / abnormal users of the incoming traffic in accordance with the authentication method determined by the authentication control unit 20, and the authentication processing unit 30 according to the present invention is shown in FIG. 2 A basic authentication processing unit 31, a TCP authentication processing unit 32, and an HTTP authentication processing unit 33, as shown in FIG.

상기 기본인증처리부(31)는 설정된 임계치의 트래픽을 허용하여, 서버의 응답 상태에 따라 정상/비정상 사용자를 분류하는 역할을 하며, 본 발명에 따른 상기 기본인증처리부(31)는 [도 3]에 도시된 바와 같이, 임계치설정부(311) 및 서버응답판단부(312)를 포함한다.The basic authentication processing unit 31 allows the traffic of the set threshold value to classify the normal / abnormal users according to the response status of the server, and the basic authentication processing unit 31 according to the present invention is configured as shown in FIG. 3 As shown in the figure, the threshold setting unit 311 and the server response determining unit 312 are included.

상기 임계치설정부(311)는 정상/비정상 사용자 분류를 위해 허용되는 트래픽 임계치를 설정하는 역할을 하며, 트래픽 임계치는 네트워크의 상황에 따라 가변 설정이 가능하다.The threshold value setting unit 311 sets a traffic threshold value allowed for normal / abnormal user classification, and the traffic threshold value can be variably set according to the network conditions.

상기 서버응답판단부(312)는 상기 임계치설정부(311)에 설정된 임계치의 트래픽에 관하여, 서버 응답이 정상인지 여부를 판단하고, 서버 응답의 정상여부에 따라 정상/비정상 사용자를 분류하는 역할을 한다.The server response determination unit 312 determines whether the server response is normal with respect to the traffic of the threshold value set in the threshold setting unit 311 and classifies the normal / abnormal users according to whether the server response is normal or not do.

이러한 본 발명에 따른 상기 기본인증처리부(31)를 통해 특정 임계치만큼 트래픽을 허용하고, 허용되지 않은 트래픽을 차단함으로써, 네트워크의 부하 발생을 방지하고, 허용 트래픽에 따른 서버의 응답 상태로 정상/비정상 사용자를 정확하게 분류할 수 있는 것이다.
The basic authentication processing unit 31 according to the present invention allows the traffic of a certain threshold value and blocks unauthorized traffic, thereby preventing the occurrence of a load on the network, Users can be classified correctly.

상기 TCP인증처리부(32)는 상기 기본인증처리부(31)에 의해 허용되지 않은 트래픽에 관하여, 응답패킷과 요청패킷의 TCP헤더부의 쿠키(cookie)값을 비교하여, 사용자를 인증하는 역할을 하며, 본 발명에 따른 TCP인증처리부(32)는 [도 4]에 도시된 바와 같이, 제1응답패킷전송부(321), 제1요청패킷수신부(322) 및 TCP쿠키판단부(323)를 포함한다.The TCP authentication processing unit 32 compares the response packet with the cookie value of the TCP header part of the request packet with respect to the traffic not allowed by the basic authentication processing unit 31 and authenticates the user, The TCP authentication processing unit 32 according to the present invention includes a first response packet transmission unit 321, a first request packet reception unit 322 and a TCP cookie determination unit 323 as shown in FIG. 4 .

상기 제1응답패킷전송부(321)는 유입된 트래픽에 관하여, 패킷의 TCP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전달하는 역할을 하며, 상기 제2요청패킷수신부(322)SS 상기 응답패킷에 따른 요청패킷을 수신하는 역할을 한다.The first response packet transmitter 321 transmits a response packet to the user terminal by inserting a cookie value into the TCP header of the packet with respect to the incoming traffic, SS It receives the request packet according to the response packet.

또한, 상기 TCP쿠키판단부(323)는 상기 응답패킷과 상기 요청패킷의 TCP헤더부에 포함된 상기 쿠키값의 동일여부를 판단하고, 판단된 결과에 따라 정상/비정상 사용자를 분류하는 역할을 한다.In addition, the TCP cookie determination unit 323 determines whether the cookie value included in the TCP header part of the response packet and the request packet are the same, and classifies the normal / abnormal users according to the determined result .

이러한 본 발명에 따른 상기 TCP인증처리부(32)를 통해 기본인증처리부(31)에서 허용되지 않은 트래픽에 관하여, 정상/비정상 사용자를 재분류할 수 있으며, 이외의 트래픽에 관해서는 차단할 수 있는 것이다.
It is possible to reclassify the normal / abnormal users with respect to traffic that is not permitted in the basic authentication processing unit 31 through the TCP authentication processing unit 32 according to the present invention, and to block other traffic.

상기 HTTP인증처리부(33)는 상기 기본인증처리부(31) 및 상기 TCP인증처리부(32)에 의해 허용되지 않은 트래픽에 관하여, 응답패킷과 요청패킷의 HTTP헤더부의 쿠키값을 비교하여, 사용자를 인증하는 역할을 하며, 본 발명에 따른 상기 HTTP인증처리부(33)는 상기 제2응답패킷전송부(331), 제2요청패킷수신부(332) 및 HTTP쿠키판단부(333)를 포함한다.The HTTP authentication processing unit 33 compares the response packet with the cookie value of the HTTP header part of the request packet with respect to the traffic not permitted by the basic authentication processing unit 31 and the TCP authentication processing unit 32, And the HTTP authentication processing unit 33 according to the present invention includes the second response packet transmitting unit 331, the second request packet receiving unit 332 and the HTTP cookie determining unit 333. [

상기 제2응답패킷전송부(331)는 상기 기본인증처리부(31) 및 상기 TCP인증처리부(32)에 의해 허용되지 않은 트래픽에 관하여, 패킷의 HTTP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전달하는 역할을 하며, 상기 제2요청패킷수신부(332)는 상기 응답패킷에 따른 요청패킷을 수신하는 역할을 한다.The second response packet transmission unit 331 inserts a cookie value in the HTTP header part of the packet with respect to traffic that is not allowed by the basic authentication processing unit 31 and the TCP authentication processing unit 32, Response packet, and the second request packet receiver 332 receives a request packet according to the response packet.

상기 HTTP쿠키판단부(333)는 상기 응답패킷과 상기 요청패킷의 HTTP헤더부에 포함된 상기 쿠키값의 동일여부를 판단하고, 판단된 결과에 따라 정상/비정상 사용자를 분류하는 역할을 한다.The HTTP cookie determination unit 333 determines whether the response packet and the cookie value included in the HTTP header of the request packet are the same, and classifies the normal / abnormal users according to the determined result.

이러한 본 발명에 따른 상기 HTTP인증처리부(33)를 통해 기본인증처리부(31) 및 TCP인증처리부(32)에서 허용되지 않은 트래픽에 관하여, 정상/비정상 사용자를 재분류할 수 있으며, 이외의 트래픽에 관해서는 차단할 수 있는 것이다.
The normal authentication processing unit 31 and the TCP authentication processing unit 32 can reclassify the normal / abnormal users with respect to traffic that is not permitted by the HTTP authentication processing unit 33 according to the present invention, It can be blocked.

상기 인증정보부(40)는 상기 인증제어부(20)와 연결되어, 상기 인층처리부(30)에서 분류된 정상 사용자의 정보를 등록하여, 관리하는 역할을 하며, 상기 인증정보부(40)의 등록 여부에 따라 사용자의 트래픽은 소통되거나 차단되는 것이다.
The authentication information unit 40 is connected to the authentication control unit 20 and registers and manages the information of the normal users classified by the in-layer processing unit 30. The authentication information unit 40 registers the authentication information Accordingly, the traffic of the user is communicated or blocked.

상기 차단처리부(50)는 상기 인증제어부(20)와 연결되어, 상기 인증처리부(30)에서 인증된 결과에 따라 비정상 사용자의 트래픽을 차단하는 역할을 하며, 이를 통해 분산 서비스 거부 공격의 방어가 가능한 효과가 있는 것이다.The blocking processing unit 50 is connected to the authentication control unit 20 and blocks the traffic of the abnormal user according to the result authenticated by the authentication processing unit 30. Through this, It is effective.

[도 6] 내지 [도 9]는 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 사용자 인증 방식에 따른 트래픽 판단 처리 흐름을 나타내는 제1실시예 내지 제4실시예로 본 발명에 따른 상기 인증제어부(20)는 트래픽의 흐름에 따라 상기 기본인증처리부(31), 상기 TCP인증처리부(32), 상기 HTTP인증처리부(33) 중 어느 하나 이상의 사용자 인증 방식을 조합하여 결정할 수 있다.FIG. 6 is a block diagram illustrating a distributed denial-of-service attack blocking system according to an embodiment of the present invention. Referring to FIG. 6, The control unit 20 can determine the combination of the basic authentication processing unit 31, the TCP authentication processing unit 32, and the HTTP authentication processing unit 33 according to the traffic flow.

[도 6]은 본 발명에 따른 기본인증처리부(31)에 의한 트래픽 판단 처리 흐름을 나타내는 것이며, [도 7]은 본 발명에 따른 TCP인증처리부(32)에 의한 트래픽 판단 처리 흐름을 나타내는 도면이다.6 shows a flow of a traffic determination process performed by the basic authentication processing unit 31 according to the present invention and Fig. 7 is a diagram showing a flow of a traffic determination process performed by the TCP authentication processing unit 32 according to the present invention .

[도 8]은 본 발명에 따른 상기 기본인증처리부(31) 및 상기 TCP인증처리부(32)를 연동하여, 동작하는 모습을 나타내는 모습으로 특정 임계치만큼의 트래픽을 허용하여, 상기 기본인증처리부(31)에서 정상/비정상 사용자를 분류하고, 차단되는 트래픽 중에 특정 임계치를 상기 TCP인증처리부(32)로 정상/비정상 사용자로 분류하는 것이다.8 is a diagram showing a state in which the basic authentication processing unit 31 and the TCP authentication processing unit 32 are operated in cooperation with each other according to the present invention and allows traffic corresponding to a specific threshold value to be transmitted to the basic authentication processing unit 31 ), And classifies a specific threshold value among the blocked traffic as a normal / abnormal user in the TCP authentication processing unit (32).

이처럼 상기 인증처리부(30)를 통해 두 가지 이상의 사용자 인증 방식을 연동할 경우, 단일 사용자 인증 방식의 단점을 보완할 수 있는 것이다.If two or more user authentication methods are linked through the authentication processing unit 30, the disadvantage of the single user authentication method can be compensated.

[도 9]는 본 발명에 따른 상기 HTTP인증처리부(33)에 의한 트래픽 판단 처리 흐름을 나타내는 도면으로, 상기 HTTP인증처리부(33)를 통해 상기 기본인증처리부(31) 및 상기 TCP인증처리부(32)에만 한정될 때보다 더 강화된 사용자 인증 작업이 가능한 것이다.9 is a view showing a flow of traffic determination processing by the HTTP authentication processing unit 33 according to the present invention. The basic authentication processing unit 31 and the TCP authentication processing unit 32 ), It is possible to perform a more authenticated user authentication operation.

[도 10]은 본 발명에 따른 분산 서비스 거부 공격 차단 시스템에 있어서, 사용자 인증에 따른 트래픽 흐름을 나타내는 개념도로, 상기 기본인증처리부(31), TCP인증처리부(32) 및 HTTP인증처리부(33)를 통해 정상 사용자로 분류된 경우, 상기 인증정보부(40)에 등록되어 트래픽이 허용되며 이로 인해 원활한 소통(5)이 이루어지나 비정상 사용자로 분류된 경우 상기 차단처리부(50)에 의해 트래픽이 차단(7)되는 것이다.
10 is a conceptual diagram illustrating a traffic flow according to user authentication in the distributed denial-of-service attack blocking system according to the present invention. The basic authentication processing unit 31, the TCP authentication processing unit 32, and the HTTP authentication processing unit 33, The traffic is allowed to be blocked by the blocking processor 50 when the traffic is allowed to be registered in the authentication information unit 40 and the traffic is smoothly communicated 5 but is classified as an abnormal user 7).

이상에서 설명한 바와 같이, 본 발명에 따른 분산 서비스 거부 공격 차단 시스템을 적용하면, 네트워크 트래픽 환경에서 적어도 하나 이상의 사용자 인증 방식을 적용하여, 각 사용자 인증 방식의 단점을 보완하여 네트워크 대여폭을 위협하는 분산 서비스 거부 공격을 효율적으로 차단할 수 있는 효과를 누릴 수 있는 것이다.
As described above, by applying the distributed denial-of-service attack blocking system according to the present invention, at least one user authentication scheme is applied in a network traffic environment, and a distributed service It is possible to effectively block rejection attacks.

[도 11]은 본 발명에 따른 분산 서비스 거부 공격 차단 시스템을 이용한 분산 서비스 거부 공격 차단 방법의 전체 흐름도로, 트래픽유입부(10)를 통해 분산 서비스 거부 공격 트래픽이 유입(S100)되면 상기 인증제어부(20)를 이용하여, 상기 인증처리부(30)의 사용자 인증 방식을 결정하는 단계(S200)를 수행한다.11 is a flowchart illustrating a distributed denial-of-service attack blocking method using a distributed denial-of-service attack blocking system according to the present invention. When distributed denial-of-service attacking traffic flows through a traffic inflow unit 10 (S100) (S200) of determining the user authentication method of the authentication processing unit (30) by using the authentication processing unit (20).

본 발명에 있어서, 상기 S200 단계에서 상기 인증제어부(20)는 상기 기본인증처리부(31)에 의한 사용자 인증 방식, TCP인증처리부(32)에 의한 사용자 인증 방식, HTTP인증처리부(33)에 의한 사용자 인증 방식 중 어느 하나 이상의 사용자 인증 방식을 결정하는 것이 바람직하다.
In the present invention, in step S200, the authentication control unit 20 determines whether the user authentication method by the basic authentication processing unit 31, the user authentication method by the TCP authentication processing unit 32, It is desirable to determine at least one of the authentication methods.

다음으로, 상기 인증처리부(30)를 이용하여, 사용자의 정상/비정상을 분류하는 단계(S300)를 수행한다.Next, the authentication processing unit 30 is used to classify the user's normal / abnormal state (S300).

[도 12]는 S300단계의 제1실시예로 상기 S200단계에서 상기 기본인증처리부(31)에 의한 사용자 인증 방식(S310)이 결정된 경우이며, 이때 상기 S310단계는 상기 임계치설정부(311)에서 설정된 트래픽 임계치를 허용하는 단계(S311)를 수행하고, 상기 서버응답판단부(312)를 이용하여, 서버 응답의 정상 여부를 판단하는 단계(S312)를 수행하고, 상기 서버응답판단부(313)의 판단 결과에 따라 사용자의 정상/비정상을 분류하는 단계(S313)를 수행한다.12 is a flowchart illustrating an example of a case where the user authentication method (S310) by the basic authentication processing unit 31 is determined in step S200 in the first embodiment of step S300, and the step S310 is performed by the threshold setting unit 311 The server response determination unit 313 performs step S312 of determining whether the server response is normal by using the server response determination unit 312 in step S311, (Step S313) of classifying the user's normal / abnormal according to the determination result of step S312.

또한, [도 13]은 S300단계의 제2실시예로 상기 S200 단계에서, TCP인증처리부(32)에 의한 사용자 인증 방식(S320)이 결정된 경우이며, 이때 상기 S320 단계는 제1응답패킷전송부(321)를 이용하여, 패킷의 TCP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전송하는 단계(S321)를 수행하고, 상기 제1요청패킷수신부(322)를 이용하여, 상기 응답패킷에 따른 요청패킷을 수신하는 단계(S322)를 수행한다.13 is a diagram illustrating a second embodiment of step S300. In step S200, a user authentication method (S320) by the TCP authentication processing unit 32 is determined. In step S320, (S321) of transmitting a response packet to the user terminal by inserting a cookie value into the TCP header part of the packet using the first request packet receiving part 321, A step S322 of receiving a request packet according to the packet is performed.

다음으로, 상기 TCP쿠키판단부(323)를 이용하여, 상기 응답패킷과 상기 요청패킷의 TCP헤더부의 쿠키값이 동일한지 여부를 판단하는 단계(S323)를 수행하고, 상기 S323단계의 판단 결과에 따라 정상/비정상 사용자를 분류하는 단계(S324)를 수행한다.Next, in step S323, it is determined whether the response packet is identical to the cookie value in the TCP header part of the request packet using the TCP cookie determination unit 323. In step S323, And performs a step S324 of classifying the normal / abnormal users.

또한, [도 14]는 S300단계의 제3실시예로 상기 S200단계에서 상기 기본인증처리부(31)에 의한 사용자 인증 방식과 상기 TCP인증처리부(32)에 의한 사용자 인증 방식이 조합 결정된 경우, 상기 S300 단계는 상기 기본인증처리부(31)에 의한 사용자 인증 단계인 상기 S310 단계를 수행하고, 다음으로 S310 단계에서 차단된 트래픽에 관하여, 상기 TCP인증처리부(32)에 의한 사용자 인증 단계인 상기 S320 단계를 순차적으로 수행한다.14 shows a third embodiment of operation S300. When the combination of the user authentication method by the basic authentication processing unit 31 and the user authentication method by the TCP authentication processing unit 32 is determined in step S200, In step S300, the user authentication step (S310) is performed by the basic authentication processing unit (31). Next, in step S320, the user authentication step by the TCP authentication processing unit (32) .

또한, [도 15]는 S300단계의 제4실시예로, 상기 S200 단계에서, HTTP인증처리부(33)에 의한 사용자 인증 방식(S330)이 결정된 경우이며, 이때 상기 S330 단계는 상기 제2응답패킷전송부(331)를 이용하여, 패킷의 HTTP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전송하는 단계(S331)를 수행하고, 상기 제2요청패킷수신부(332)를 이용하여, 상기 응답패킷에 따른 요청패킷을 수신하는 단계(S332)를 수신한다.15 is a fourth embodiment of the S300 step. In step S200, a user authentication method (S330) by the HTTP authentication processing unit 33 is determined. In this case, in step S330, (S331) of transmitting a response packet to the user terminal by inserting the cookie value into the HTTP header portion of the packet using the transmitting unit 331, and using the second request packet receiving unit 332, And receiving a request packet according to the response packet (S332).

다음으로, HTTP쿠키판단부(333)를 이용하여, 상기 응답패킷과 상기 요청패킷의 HTTP헤더부의 쿠키값이 동일한지 여부를 판단하는 단계(S333)를 수행하고, 상기 S333 단계의 판단 결과에 따라 정상/비정상 사용자를 분류하는 단계(S334)를 수행한다.Next, a step (S333) of judging whether the response packet and the cookie value of the HTTP header part of the request packet are the same is performed (S333) by using the HTTP cookie judging part 333, and in accordance with the judgment result of the step S333 And classifying the normal / abnormal users (S334).

본 발명에 따른 상기 S310 단계, S320 단계 및 S330 단계는 각각 트래픽 임계치를 적용하여, 동시에 수행하거나 적어도 두 개 이상의 사용자 인증 방식을 순차적으로 수행하여, 각 사용자 인증 방식의 단점을 보완하는 것이 바람직하다.
Preferably, the steps S310, S320, and S330 according to the present invention apply traffic thresholds, respectively, or perform at least two or more user authentication schemes sequentially to compensate for the disadvantages of each user authentication scheme.

다음으로, 트래픽에 관해 정상 사용자인지 여부를 확인하는 단계(S400)를 수행하고, 상기 S400 단계에서 정상 사용자로 확인되면 상기 인증정보부(40)를 이용하여 사용자 정보를 등록하는 단계(S500)를 수행하여, 인증된 사용자의 트래픽을 허용하는 단계(S600)를 수행한다.Next, a step S400 of checking whether the traffic is a normal user is performed, and if it is confirmed as a normal user in the step S400, a step S500 of registering user information using the authentication information unit 40 is performed , And performs step S600 of allowing the traffic of the authenticated user.

만일 상기 400단계에서 비정상 사용자로 확인되면 상기 차단처리부(50)를 이용하여, 트래픽을 차단하는 단계(S700)를 수행한다.
If it is determined in step 400 that the user is an abnormal user, step S700 of blocking traffic using the blocking processor 50 is performed.

이상에서 설명한 바와 같이, 본 발명에 따른 분산 서비스 거부 공격 차단 방법을 적용 시, 분산 서비스 거부 공격 트래픽이 유입되면 사용자 인증 방식을 결정하여, 사용자의 정상/비정상을 분류함으로써 정상 사용자의 트래픽 원활하게 소통하도록 하며, 비정상 사용자의 트래픽을 철저하게 차단할 수 있는 효과를 누릴 수 있는 것이다.
As described above, when applying the distributed denial-of-service attack blocking method according to the present invention, when the distributed denial-of-service attack traffic flows, the user authentication method is determined, and the normal / abnormal status of the user is classified, And the traffic of the abnormal user can be thoroughly blocked.

이상 본 발명의 실시예로 설명하였으나 본 발명의 기술적 사상이 상기 실시예로 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범주에서 다양한 분산 서비스 거부 공격 차단 시스템 및 그 차단 방법으로 구현할 수 있다.
While the present invention has been described with reference to exemplary embodiments, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but may be implemented by various distributed denial-of-service attack blocking systems and blocking methods in a range not departing from the technical idea of the present invention.

3 : 트래픽 판단 신호 흐름
5 : 정상 사용자의 트래픽 흐름
7 : 비정상 사용자의 트래픽 흐름
10 : 트래픽유입부
20 : 인증제어부
30 : 인증처리부
31 : 기본인증처리부
32 : TCP인증처리부
33 : HTTP인증처리부
40 : 인증정보부
50 : 차단처리부
100 : 분산 서비스 거부 공격 차단 시스템
311 : 임계치설정부
312 : 서버응답판단부
321 : 제1응답패킷전송부
322 : 제1요청패킷수신부
323 : TCP쿠키판단부
331 : 제2응답패킷전송부
332 : 제2요청패킷수신부
333 : HTTP쿠키판단부3: traffic decision signal flow
5: Normal user traffic flow
7: Traffic flow of abnormal users
10: Traffic inflow section
20:
30:
31: Basic authentication processing unit
32: TCP authentication processing unit
33: HTTP authentication processing unit
40: Authentication information section
50:
100: Distributed denial of service attack prevention system
311: threshold value setting unit
312: Server response judgment unit
321: first response packet transmission unit
322: first request packet receiver
323: TCP Cookie Judgment Unit
331: second response packet transmission unit
332: second request packet receiver
333: HTTP Cookie Judgment Unit

Claims (16)

네트워크 트래픽 환경에서 분산 서비스 거부 공격 트래픽이 유입되면, 사용자의 인증 방식을 결정하는 인증제어부;
상기 인증제어부에서 결정된 인증 방식에 따라 정상/비정상 사용자를 분류하는 인증처리부 및
상기 인증처리부에서 인증된 결과에 따라 비정상 사용자의 트래픽을 차단하는 차단처리부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
An authentication control unit for determining a user authentication method when distributed denial of service attack traffic flows in a network traffic environment;
An authentication processing unit for classifying the normal / abnormal users according to the authentication method determined by the authentication control unit,
And a blocking processing unit for blocking traffic of an abnormal user according to a result of authentication in the authentication processing unit.
제1항에 있어서,
상기 인증처리부는,
설정된 임계치의 트래픽을 허용하여, 서버의 응답 상태에 따라 사용자를 인증하는 기본인증처리부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
The method according to claim 1,
The authentication processing unit,
And a basic authentication processing unit for allowing the traffic of the set threshold value to authenticate the user according to a response state of the server.
제2항에 있어서,
상기 기본인증처리부는
정상/비정상 사용자 분류를 위해 허용되는 트래픽 임계치를 설정하는 임계치설정부 및 상기 임계치설정부에 설정된 임계치의 트래픽에 관하여, 서버 응답이 정상인지 여부를 판단하고, 서버 응답의 정상 여부에 따라 정상/비정상 사용자를 분류하는 서버응답판단부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
3. The method of claim 2,
The basic authentication processing unit
A threshold value setting unit for setting a traffic threshold value allowed for normal / abnormal user classification, and a threshold value setting unit for determining whether or not the server response is normal with respect to the traffic of the threshold value set in the threshold value setting unit, And a server response deciding unit for classifying the users.
제2항에 있어서,
상기 인증처리부는,
상기 트래픽에 관하여, 응답패킷과 요청패킷의 TCP헤더부의 쿠키(cookie)값을 비교하여, 사용자를 인증하는 TCP인증처리부를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
3. The method of claim 2,
The authentication processing unit,
Further comprising a TCP authentication processor for comparing the response packet with a cookie value of a TCP header part of the request packet to authenticate a user regarding the traffic.
제4항에 있어서,
상기 TCP인증처리부는,
상기 트래픽에 관하여, 패킷의 TCP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전달하는 제1응답패킷전송부;
상기 응답패킷에 따른 요청패킷을 수신하는 제1요청패킷수신부 및
상기 응답패킷과 상기 요청패킷의 TCP헤더부에 포함된 상기 쿠키값의 동일여부를 판단하고, 판단된 결과에 따라 정상/비정상 사용자를 분류하는 TCP쿠키판단부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
5. The method of claim 4,
The TCP authentication processing unit,
A first response packet transmitter for transmitting a response packet to the user terminal by inserting a cookie value into the TCP header of the packet with respect to the traffic;
A first request packet receiver for receiving a request packet according to the response packet,
And a TCP cookie deciding unit for deciding whether or not the cookie value contained in the TCP header part of the response packet and the request packet are the same and classifying the normal / abnormal user according to the determined result. Blocking system.
제4항에 있어서,
상기 인증처리부는,
상기 트래픽에 관하여, 응답패킷과 요청패킷의 HTTP헤더부의 쿠키(cookie)값을 비교하여, 사용자를 인증하는 HTTP인증처리부를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
5. The method of claim 4,
The authentication processing unit,
Further comprising an HTTP authentication processing unit for comparing a response packet with a cookie value of an HTTP header part of the request packet to authenticate a user with respect to the traffic.
제6항에 있어서,
상기 HTTP인증처리부는,
상기 트래픽에 관하여, 패킷의 HTTP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전달하는 제2응답패킷전송부;
상기 응답패킷에 따른 요청패킷을 수신하는 제2요청패킷수신부 및
상기 응답패킷과 상기 요청패킷의 HTTP헤더부에 포함된 상기 쿠키값의 동일여부를 판단하고, 판단된 결과에 따라 정상/비정상 사용자를 분류하는 HTTP쿠키판단부를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
The method according to claim 6,
The HTTP authentication processing unit,
A second response packet transmitter for transmitting the response packet to the user terminal by inserting a cookie value into the HTTP header of the packet;
A second request packet receiver for receiving a request packet according to the response packet,
And an HTTP cookie deciding unit for deciding whether or not the response packet and the cookie value included in the HTTP header part of the request packet are the same and classifying the normal / abnormal user according to the determined result. Blocking system.
제6항에 있어서,
상기 인증제어부는,
상기 기본인증처리부, 상기 TCP인증처리부, 상기 HTTP인증처리부 중 어느 하나 이상의 사용자 인증 방식을 조합하여 결정하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
The method according to claim 6,
The authentication control unit,
Wherein the authentication processing unit determines the combination of at least one of the basic authentication processing unit, the TCP authentication processing unit, and the HTTP authentication processing unit.
제1항에 있어서,
상기 인증제어부와 연결되어, 상기 인증처리부에서 분류된 정상 사용자의 정보를 등록하여, 관리하는 인증정보부를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 시스템.
The method according to claim 1,
Further comprising an authentication information unit connected to the authentication control unit and registering and managing information of a normal user classified by the authentication processing unit.
(a) 트래픽유입부를 통해 분산 서비스 거부 공격 트래픽이 유입되면 인증제어부를 이용하여, 사용자 인증 방식을 결정하는 단계;
(b) 인증처리부를 이용하여, 사용자의 정상/비정상을 분류하는 단계;
(c) 상기 (b) 단계에서 정상 사용자로 분류되면, 상기 인증정보부를 이용하여 사용자 정보를 등록하는 단계; 및
(d) 상기 (b) 단계에서 비정상 사용자로 분류되면 상기 차단처리부를 이용하여, 트래픽을 차단하는 단계를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 방법.
(a) determining a user authentication method using an authentication control unit when a distributed denial-of-service attack traffic flows through a traffic inflow unit;
(b) classifying the user's normal / abnormal by using the authentication processing unit;
(c) registering user information using the authentication information unit if the user is classified as a normal user in the step (b); And
(d) blocking the traffic using the blocking processor if it is classified as an abnormal user in the step (b).
제10항에 있어서,
상기 (a) 단계는, 기본인증처리부에 의한 사용자 인증 방식, TCP인증처리부에 의한 사용자 인증 방식, HTTP인증처리부에 의한 사용자 인증 방식 중 어느 하나 이상의 사용자 인증 방식을 결정하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 방법.
11. The method of claim 10,
Wherein the step (a) determines at least one of a user authentication method by a basic authentication processing unit, a user authentication method by a TCP authentication processing unit, and a user authentication method by an HTTP authentication processing unit. How to block attacks.
제11항에 있어서,
상기 (a) 단계에서 상기 기본인증처리부에 의한 사용자 인증 방식이 결정된 경우, 상기 (b) 단계는,
(b-1) 임계치설정부에서 설정된 트래픽 임계치를 허용하는 단계;
(b-2) 서버응답판단부를 이용하여, 서버 응답의 정상 여부를 판단하는 단계 및 (b-3) 상기 서버응답판단부의 판단 결과에 따라 사용자의 정상/비정상을 분류하는 단계를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 방법.
12. The method of claim 11,
If the user authentication method by the basic authentication processing unit is determined in step (a), the step (b)
(b-1) allowing a traffic threshold set by the threshold setting unit;
(b-2) determining whether the server response is normal using the server response determination unit, and (b-3) classifying the user's normal / abnormal according to the determination result of the server response determination unit A distributed denial of service attack method.
제11항에 있어서,
상기 (a) 단계에서, TCP인증처리부에 의한 사용자 인증 방식이 결정된 경우, 상기 (b) 단계는,
(b-4) 제1응답패킷전송부를 이용하여, 패킷의 TCP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전송하는 단계;
(b-5) 제1요청패킷수신부를 이용하여, 상기 응답패킷에 따른 요청패킷을 수신하는 단계;
(b-6) TCP쿠키판단부를 이용하여, 상기 응답패킷과 상기 요청패킷의 TCP헤더부의 쿠키값이 동일한지 여부를 판단하는 단계;
(b-7) 상기 (b-6)단계의 판단 결과에 따라 사용자의 정상/비정상을 분류하는 단계를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 방법.
12. The method of claim 11,
If the user authentication method by the TCP authentication processing unit is determined in step (a), the step (b)
(b-4) transmitting a response packet to the user terminal by inserting a cookie value into the TCP header portion of the packet using the first response packet transmitter;
(b-5) receiving a request packet according to the response packet using a first request packet receiving unit;
(b-6) using the TCP cookie determination unit, determining whether the response packet and the cookie value of the TCP header part of the request packet are the same;
(b-7) classifying the user's normal / abnormal according to the determination result of the step (b-6).
제11항에 있어서,
상기 (a) 단계에서, HTTP인증처리부에 의한 사용자 인증 방식이 결정된 경우, 상기 (b) 단계는,
(b-8) 제2응답패킷전송부를 이용하여, 패킷의 HTTP헤더부에 쿠키값을 삽입하여, 사용자단말기에 응답패킷을 전송하는 단계;
(b-9) 제2요청패킷수신부를 이용하여, 상기 응답패킷에 따른 요청패킷을 수신하는 단계;
(b-10) HTTP쿠키판단부를 이용하여, 상기 응답패킷과 상기 요청패킷의 HTTP헤더부의 쿠키값이 동일한지 여부를 판단하는 단계;
(b-11) 상기 (b-10)단계의 판단 결과에 따라 정상/비정상 사용자를 분류하는 단계를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 방법.
12. The method of claim 11,
If the user authentication method by the HTTP authentication processing unit is determined in the step (a), the step (b)
(b-8) transmitting a response packet to the user terminal by inserting the cookie value into the HTTP header portion of the packet using the second response packet transmitter;
(b-9) receiving a request packet according to the response packet using a second request packet receiving unit;
(b-10) determining whether the response packet and the cookie value of the HTTP header part of the request packet are the same using the HTTP cookie determination unit;
(b-11) classifying the normal / abnormal users according to the determination result of the step (b-10).
제11항에 있어서,
상기 (a) 단계에서, 상기 기본인증처리부에 의한 사용자 인증 방식과 상기 TCP인증처리부에 의한 사용자 인증 방식이 조합 결정된 경우,
상기 (b) 단계는
(b-12) 상기 기본인증처리부에 의한 사용자 인증 단계 및
(b-13) 상기 (b-12) 단계에서 차단된 트래픽에 관하여, 상기 TCP인증처리부에 의한 사용자 인증 단계를 수행하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 방법.
12. The method of claim 11,
If the combination of the user authentication method by the basic authentication processing unit and the user authentication method by the TCP authentication processing unit is determined in step (a)
The step (b)
(b-12) the user authentication step by the basic authentication processing unit and
(b-13) a step of performing user authentication by the TCP authentication processing unit with respect to the traffic blocked in the step (b-12).
제11항에 있어서,
상기 (a) 단계에서, 기본인증처리부에 의한 사용자 인증 방식, TCP인증처리부에 의한 사용자 인증 방식, HTTP인증처리부에 의한 사용자 인증 방식 중 어느 하나 이상의 사용자 인증 방식이 모두 결정된 경우,
상기 (b) 단계는 각각의 상기 사용자 인증 방식에 트래픽 임계치를 적용하여, 동시에 수행하는 것을 특징으로 하는 분산 서비스 거부 공격 차단 방법.12. The method of claim 11,
If at least one of the user authentication method by the basic authentication processing unit, the user authentication method by the TCP authentication processing unit, and the user authentication method by the HTTP authentication processing unit is all determined in the step (a)
Wherein the step (b) applies the traffic threshold to each of the user authentication schemes and simultaneously performs the traffic thresholds.
KR1020130000226A 2013-01-02 2013-01-02 Blocking Method for the Advanced Distributed Denial of Service Attack KR101434387B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130000226A KR101434387B1 (en) 2013-01-02 2013-01-02 Blocking Method for the Advanced Distributed Denial of Service Attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130000226A KR101434387B1 (en) 2013-01-02 2013-01-02 Blocking Method for the Advanced Distributed Denial of Service Attack

Publications (2)

Publication Number Publication Date
KR20140088396A true KR20140088396A (en) 2014-07-10
KR101434387B1 KR101434387B1 (en) 2014-08-26

Family

ID=51736966

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130000226A KR101434387B1 (en) 2013-01-02 2013-01-02 Blocking Method for the Advanced Distributed Denial of Service Attack

Country Status (1)

Country Link
KR (1) KR101434387B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114579194A (en) * 2022-03-08 2022-06-03 杭州每刻科技有限公司 Spring remote call-based exception handling method and system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101072981B1 (en) 2009-09-15 2011-10-12 주식회사 유섹 Protection system against DDoS
KR101095447B1 (en) * 2011-06-27 2011-12-16 주식회사 안철수연구소 Apparatus and method for preventing distributed denial of service attack

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114579194A (en) * 2022-03-08 2022-06-03 杭州每刻科技有限公司 Spring remote call-based exception handling method and system
CN114579194B (en) * 2022-03-08 2024-04-05 杭州每刻科技有限公司 Exception handling method and system based on Spring remote call

Also Published As

Publication number Publication date
KR101434387B1 (en) 2014-08-26

Similar Documents

Publication Publication Date Title
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
US9825928B2 (en) Techniques for optimizing authentication challenges for detection of malicious attacks
US20070011741A1 (en) System and method for detecting abnormal traffic based on early notification
CN108337219B (en) Method for preventing Internet of things from being invaded and storage medium
US20160359904A1 (en) Method and system for detection of headless browser bots
CN109327426A (en) A kind of firewall attack defense method
CN110166408B (en) Method, device and system for defending flood attack
KR101250899B1 (en) Apparatus for detecting and preventing application layer distribute denial of service attack and method
Chouhan et al. Packet monitoring approach to prevent DDoS attack in cloud computing
KR20110049282A (en) System and method for detecting and blocking to distributed denial of service attack
Sahri et al. Protecting DNS services from IP spoofing: SDN collaborative authentication approach
Aziz et al. Distributed Denial of Service Attacks on Cloud Computing Environment‎
KR101434387B1 (en) Blocking Method for the Advanced Distributed Denial of Service Attack
Abraham et al. Security and privacy challenges in fog computing
RU2531878C1 (en) Method of detection of computer attacks in information and telecommunication network
KR100983549B1 (en) System for defending client distribute denial of service and method therefor
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
CN113923021A (en) Sandbox-based encrypted flow processing method, system, device and medium
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
Alturfi et al. An advanced classification of cloud computing security techniques: A survey
Yu et al. SDNDefender: a comprehensive DDoS defense mechanism using hybrid approaches over software defined networking
Kang et al. Whitelist generation technique for industrial firewall in SCADA networks
CN112532617A (en) Detection method, device, equipment and medium for HTTP Flood attack
Czyczyn-Egird et al. The effectiveness of data mining techniques in the detection of DDoS attacks
Bojjagani et al. Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170727

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180820

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190820

Year of fee payment: 6