KR20140102399A - 비정상 세션 탐지 방법 및 장치 - Google Patents

비정상 세션 탐지 방법 및 장치 Download PDF

Info

Publication number
KR20140102399A
KR20140102399A KR1020130015606A KR20130015606A KR20140102399A KR 20140102399 A KR20140102399 A KR 20140102399A KR 1020130015606 A KR1020130015606 A KR 1020130015606A KR 20130015606 A KR20130015606 A KR 20130015606A KR 20140102399 A KR20140102399 A KR 20140102399A
Authority
KR
South Korea
Prior art keywords
session
abnormal
sessions
packet
transmission frequency
Prior art date
Application number
KR1020130015606A
Other languages
English (en)
Other versions
KR101449627B1 (ko
Inventor
서연식
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020130015606A priority Critical patent/KR101449627B1/ko
Publication of KR20140102399A publication Critical patent/KR20140102399A/ko
Application granted granted Critical
Publication of KR101449627B1 publication Critical patent/KR101449627B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예에 따라, 비정상 세션 탐지 방법 및 장치가 개시된다. 상기 방법은 적어도 하나의 패킷을 수신하는 단계; 상기 패킷과 관련되는 세션의 세션정보를 생성하는 단계; 상기 세션정보로부터 세션의 종료를 위한 전송빈도를 결정하는 단계; 및 상기 전송빈도에 기초하여 비정상 세션을 탐지하는 단계를 포함하며, 상기 세션정보는 세션을 식별하기 위한 정보, 세션의 전체 데이터의 크기 및 패킷 당 전송되는 데이터의 크기 중 적어도 하나를 포함할 수 있다.

Description

비정상 세션 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING ABNORMAL SESSION}
본 발명은 비정상 세션 탐지 방법 및 장치에 관한 것으로서, 더 구체적으로는, 세션 자원 고갈 형태의 공격을 신속하게 탐지하여 효과적으로 대응하기 위한 비정상 세션 탐지 방법 및 장치에 관한 것이다.
특정 네트워크를 공격하기 위해 다양한 형태의 서비스 거부(Denial of Service, DoS) 공격 및 분산 서비스거부 공격(Distributed Denial of Service Attack, DDoS) 공격이 이용되고 있다. DoS 공격은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격을 말한다. 또한, DDoS란 많은 수의 호스트들에 패킷을 범람시킬 수 있는 서비스거부 공격용 프로그램들이 분산 설치되어 이들이 서로 통합된 형태로 어느 목표의 컴퓨터 시스템이나 네트워크의 성능을 저하시키거나 시스템을 마비시키는 것을 말한다.
이러한 DoS 및 DDoS 공격에는 하나의 서버에서 제공할 수 있는 세션의 수가 제한적이라는 점을 이용한 세션 자원 고갈 형태의 공격이 이루어질 수 있다. 이러한 세션 자원 고갈 형태의 공격에는 RUDY(R U Dead Yet), slowread 등이 있을 수 있다.
도 1은 세션 자원 고갈 형태의 공격의 예시를 도시한다.
세션 자원 고갈 형태의 공격의 하나로서, RUDY가 있다. RUDY는 HTTP 포스트(post)를 전송하는 웹 페이지에 대해서 DoS 및 DDoS 공격을 하는 툴로서, 컨텐츠-길이(Content-Length)를 매우 크게 설정하여 서버의 지연을 유발하는 공격기법이다.
도 1에서 도시되는 바와 같이, 호스트는 서버로부터 15000000 byte의 데이터를 전송할 것을 요청하고 있다. 이러한 호스트의 요청에 대해 서버는 확인응답(ACK)하였으나, 호스트에 의해 실제 전송이 되는 데이트는 50 byte에 불과하다. 따라서 15000000 byte을 전부 전송하기 위해서는 300000번의 전송이 이루어 져야한다.
즉, 서버는 클라이언트의 HTTP 헤더의 컨텐츠-길이를 보고 그 길이만큼의 컨텐츠가 올 때까지 대기하게 되므로, 이를 이용하여 초기에 길이를 길게 설정하고, 실제 전송되는 데이터의 길이를 짧게 하면, 서버는 세션을 장기간 유지를 할 수 밖에 없다.
도 2는 세션 자원 고갈 형태의 공격의 다른 예시를 도시한다.
세션 자원 고갈 형태의 공격의 하나로서, slowread가 있다. slowread는 HTTP GET을 전송하는 웹 페이지에 대하여 DoS 및 DDoS 공격을 하는 툴로서, 버퍼의 크기, 즉, TCP 윈도우 크기(window size)를 조절하여 응답을 천천히 읽어 TCP 연결을 지연시키는 공격기법이다.
도 2에서 도시되는 바와 같이, 호스트는 웹 서버로 데이터를 요청하되, 윈도우 크기를 50 byte으로 제한하고 있다. 따라서 서버가 15000000 byte의 전체 데이터를 호스트로 전송하기 위해서는 300000번의 전송이 이루어 져야한다.
즉, 서버는 클라이언트의 TCP 윈도우 크기에 따라 컨텐츠를 전송해야 하므로, 이를 이용하여 TCP 윈도우 크기를 짧게 설정하면, 서버는 세션을 장기간 유지를 할 수 밖에 없다.
따라서 서버가 정상적이고 지속적으로 서비스를 호스트에게 제공하게 하기 위해 이러한 세션 자원 고갈 형태의 공격을 탐지 및 방어할 수 있는 기술이 요구된다.
본 발명은 상기 문제점을 해결하기 위한 것으로서, 세션 자원 고갈 형태의 공격을 신속하게 탐지 및 방어하여, 세션 자원을 효율적으로 관리하고, 지속적이고 안정적인 서비스를 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따라, 비정상 세션 탐지 방법이 개시된다. 상기 방법은 적어도 하나의 패킷을 수신하는 단계; 상기 패킷과 관련되는 세션의 세션정보를 생성하는 단계; 상기 세션정보로부터 세션의 종료를 위한 전송빈도를 결정하는 단계; 및 상기 전송빈도에 기초하여 비정상 세션을 탐지하는 단계를 포함하며, 상기 세션정보는 세션을 식별하기 위한 정보, 세션의 전체 데이터의 크기 및 패킷 당 전송되는 데이터의 크기 중 적어도 하나를 포함할 수 있다.
본 발명의 일 실시예에 따라, 비정상 세션 탐지 장치가 개시된다. 상기 장치는 적어도 하나의 패킷을 수신하기 위한 패킷 수신부; 상기 패킷과 관련되는 세션의 세션정보를 생성하기 위한 세션정보 생성부; 상기 세션정보로부터 세션의 종료를 위한 전송빈도를 결정하기 위한 전송빈도 결정부; 및 상기 전송빈도에 기초하여 비정상 세션을 탐지하기 위한 세션 탐지부를 포함하고, 상기 세션정보는 세션을 식별하기 위한 정보, 세션의 전체 데이터의 크기 및 패킷 당 전송되는 데이터의 크기 중 적어도 하나를 포함할 수 있다.
본 발명은 세션 종료를 위한 전송 빈도를 산출하고, 이에 기초하여 비정상 세션을 탐지함으로써, 세션 자원 고갈 형태의 공격을 신속하게 탐지 및 방어하며, 나아가, 세션 자원을 효율적으로 관리하고, 지속적이고 안정적인 서비스를 제공할 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 세션 자원 고갈 형태의 공격의 예시를 도시한다.
도 2는 세션 자원 고갈 형태의 공격의 다른 예시를 도시한다.
도 3은 본 발명의 일 실시예에 따른 네트워크 환경의 예시를 도시한다.
도 4는 본 발명의 일 실시예에 따른 비정상 세션 탐지 방법을 도시한다.
도 5는 본 발명의 다른 실시예에 따른 비정상 세션 탐지 방법을 도시한다.
도 6은 본 발명의 다른 실시예에 따른 비정상 세션 탐지 방법을 도시한다.
도 7은 본 발명의 일 실시예에 따른 비정상 세션 탐지 장치를 도시한다.
이하, 본 발명에 따른 실시예들은 첨부된 도면들을 참조하여 설명한다. 한편, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. 또한, 이하에서 본 발명의 실시예들을 설명할 것이나, 본 발명의 기술적 사상은 이에 한정되거나 제한되지 않고 당업자에 의해 변형되어 다양하게 실시될 수 있다.
도 3은 본 발명의 일 실시예에 따른 네트워크 환경의 예시를 도시한다.
도시되는 바와 같이, 상기 네트워크 환경은 외부 호스트 그룹(310), 내부 호스트 그룹(320), 및 보안 장치(330)를 포함할 수 있다.
외부 호스트 그룹(310) 및/또는 내부 호스트 그룹(320)은 적어도 하나의 서버 및/또는 적어도 하나의 사용자 단말을 포함할 수 있다. 보안 장치(330)는 외부 호스트 그룹(310) 및 내부 호스트 그룹(320) 사이에 위치하여 네트워크 간의 허가받지 않은 접근을 방지함으로써, 외부 호스트 그룹(310)으로부터 내부 호스트 그룹(32)을 보호할 수 있다. 이러한 보안 장치(330)에는 예를 들어, 방화벽, 침입 감지 시스템(IDS), 침입 차단 시스템(IPS), UTM 등이 포함될 수 있다.
외부 호스트 그룹(310) 내의 임의의 호스트가 악의적인 목적으로 내부 호스트 그룹(320)으로 지속적으로 연결을 유지하려 하는 세션을 생성하는 경우, 본 발명에 따른 보안 장치(330)는 이러한 비정상 세션을 탐지하고 방어할 수 있다. 구체적으로, 보안 장치(330)는 세션의 전데 데이터의 크기에 비해 지나치게 짧은 길이의 패킷이 전송되는 경우, 이러한 전송을 지속하는 세션을 비정상 세션으로 판단할 수 있으며, 이러한 비정상 세션에 속하는 패킷을 차단하거나, 비정상 세션 자체를 종료하여, 세션 자원 고갈 공격으로부터 웹 서버들을 보호할 수 있다.
도 3에서는 보안 장치가 본 발명에 따른 비정상 세션의 탐지를 수행하는 것으로 설명하였지만, 이는 예시적인 것으로서, 본 발명이 적용되는 실시예에 따라 다양한 컴포넌트가 비정상 세션의 탐지를 수행할 수 있다. 예를 들어, 도 3에 도시되는 호스트 그룹(310, 320) 내의 사용자 단말 또는 서버, 보안 장치(330)에 연결된 별개의 장치 또는 서버 등에 의해 비정상 세션의 탐지가 수행될 수 있다.
도 4는 본 발명의 일 실시예에 따른 비정상 세션 탐지 방법(400)을 도시한다.
먼저, 적어도 하나의 패킷을 수신할 수 있다(단계(410)). 상기 패킷은 예를 들어, 외부 호스트 그룹으로부터 웹 서버 그룹으로 전송되는 패킷 및 웹 서버 그룹으로부터 외부 호스트 그룹으로 전송되는 패킷 중 적어도 하나를 포함할 수 있다.
계속해서, 단계(410)에서 수신된 패킷과 관련되는 세션의 세션정보를 생성할 수 있다(단계(420)). 세션정보는 세션을 식별하기 위한 정보, 세션의 전체 데이터의 크기, 패킷 당 전송되는 데이터의 크기 및 패킷의 전송번호 및 패킷의 전송번호 중 적어도 하나를 포함할 수 있다. 여기서, 세션을 식별하기 위한 정보는 단계(410)에서 수신되는 패킷에 의해 형성되는 세션을 식별하기 위한 것으로서, 목적지 IP 주소, 목적지 포트 번호, 발신지 IP 주소 및 발신지 포트 번호 중 적어도 하나에 의해 결정될 수 있다. 세션의 전체 데이터 크기는 예를 들어, 웹 페이지를 열람하거나, 다운로드를 할 때, 세션을 통해 전송되는 전체 데이터의 크기를 의미한다. 세션의 전체 데이터 크기는 예를 들어, HTTP 요청 패킷의 content-length 필드, chunked response 필드 등으로부터 추출될 수 있다. 패킷 당 전송되는 데이터의 크기는 실제 패킷의 크기를 측정함으로써 결정될 수 있다. 패킷의 전송번호는 세션 내에서 현재 전송된 패킷이 몇 번째 패킷인지를 지시하는 것으로서, 예를 들어, 세션 내에서 패킷이 전송될 때마다, 패킷의 개수를 카운팅함으로써 결정될 수 있다. 세션 정보 중 적어도 일부에 대한 상기 결정 방식은 예시적인 것으로서, 본 발명이 적용되는 실시예에 따라 다양한 방식으로 세션 정보가 결정될 수 있다.
계속해서, 세션정보로부터 세션의 종료를 위한 전송빈도를 결정할 수 있다(단계(430)). 세션의 종료를 위한 전송빈도는 세션의 종료 시까지 총 전송되어야 하는 패킷의 개수(또는 길이)에 대응하는 것이다. 일 실시예에서, 전송빈도는 (세션의 전체 데이터 크기) / (패킷 당 전송되는 데이터의 크기)에 의해 결정될 수 있다. 일 실시예에서, 전송빈도는 (세션의 전체 데이터 크기 / 패킷 당 전송되는 데이터의 크기) - 패킷의 전송번호에 의해 결정될 수 있다.
계속해서, 전송빈도에 기초하여 비정상 세션을 탐지할 수 있다(단계(440)). 단계(440)는 전송빈도와 소정의 임계치를 비교함으로써 수행될 수 있다. 구체적으로, 전송빈도가 소정의 임계치를 초과하는 경우, 비정상 세션으로 판단할 수 있으며, 반대로, 전송빈도가 소정의 임계치를 초과하지 않는 경우, 정상 세션으로 판단할 수 있다.
계속해서, 비정상 세션이 탐지되면, 비정상 세션을 종료할 수 있다(단계(450)). 일 실시예에서, 비정상 세션에 속하는 패킷을 차단함으로써 비정상 세션을 종료할 수 있다. 일 실시예에서, 세션의 만기(expire)를 유도하여 비정상 세션을 종료할 수 있다. 세션의 만기는 발신지 및 수신지 중 적어도 하나에 "FIN" 또는 "RST" 패킷을 송신함으로써 수행될 수 있다.
도 5는 본 발명의 다른 실시예에 따른 비정상 세션 탐지 방법(500)을 도시한다. 도 5에 도시된 방법(500) 중 단계(510) 내지 단계(530) 및 단계(560)는 도 4를 참조하여 설명된 단계(410) 내지 단계(430) 및 단계(450)와 마찬가지로 설명된다. 이하 중복되는 설명은 생략한다.
단계(540)에서, 세션 점유율을 산출할 수 있다. 여기서 세션 점유율은 예를 들어, 웹 서버 그룹이 서비스 중인 세션의 부하 수준을 지시하는 것으로서, (현재 생성된 세션의 개수) / (생성가능한 전체 세션의 개수)에 의해 결정될 수 있다.
계속해서, 단계(550)에서, 비정상 세션을 탐지할 수 있다. 단계(550)는 세션 점유율 및 전송빈도에 기초하여 수행될 수 있다. 구체적으로, 세션 점유율이 소정의 임계율을 초과하는 경우, 전송빈도가 가장 높은 세션을 비정상 세션으로 판단할 수 있으며, 세션 점유율이 소정의 임계율을 초과하지 않더라도, 전송빈도가 소정의 임계치를 초과하면, 비정상 세션으로 판단할 수 있다. 반대로, 세션 점유율이 소정의 임계율을 초과하지 않고, 전송빈도가 소정의 임계치를 초과하지 않는 경우, 정상 세션으로 판단할 수 있다.
상기 단계들의 수행이 반드시 전술한 순서대로만 이루어지는 것은 아니며, 구현에 따라서는 임의적으로 변경 가능함은 본 기술분야의 당업자들은 쉽게 이해할 수 있을 것이다. 예를 들어, 다른 실시예에서는 단계(540)는 단계(530) 이전에 수행될 수 있다.
도 6은 본 발명의 다른 실시예에 따른 비정상 세션 탐지 방법(600)을 도시한다. 도 6에 도시된 방법(600) 중 단계(610) 내지 단계(640) 및 단계(670)는 도 5를 참조하여 설명된 단계(510) 내지 단계(540) 및 단계(560)와 마찬가지로 설명된다. 이하 중복되는 설명은 생략한다.
단계(650)에서, 세션 점유율과 소정의 임계율을 비교할 수 있다. 비교 결과, 세션 점유율이 소정의 임계율을 초과하면, 단계(660)가 수행되며, 세션 점유율이 소정의 임계율을 초과하지 않으면, 단계(660)는 수행되지 않는다.
단계(660)에 따른 비정상 세션 탐지 동작은 도 4를 참조하여 설명된 단계(440) 또는 도 5를 참조하여 설명된 단계(550)와 마찬가지로 설명되므로, 중복되는 설명은 생략한다.
상기 단계들의 수행이 반드시 전술한 순서대로만 이루어지는 것은 아니며, 구현에 따라서는 임의적으로 변경 가능함은 본 기술분야의 당업자들은 쉽게 이해할 수 있을 것이다. 예를 들어, 다른 실시예에서는 단계(650) 및 단계(650) 중 적어도 하나는 단계(630) 이전에 수행될 수 있다.
도 7은 본 발명의 일 실시예에 따른 비정상 세션 탐지 장치(700)를 도시한다.
장치(700)는 패킷 수신부(710), 세션정보 생성부(720), 전송빈도 결정부(730), 점유율 산출부(740), 세션 탐지부(750) 및 세션 종료부(760)를 포함할 수 있다.
패킷 수신부(710)는 적어도 하나의 패킷을 수신할 수 있다. 상기 패킷은 예를 들어, 외부 호스트 그룹으로부터 웹 서버 그룹으로 전송되는 패킷 및 웹 서버 그룹으로부터 외부 호스트 그룹으로 전송되는 패킷 중 적어도 하나를 포함할 수 있다.
세션정보 생성부(720)는 수신된 패킷과 관련되는 세션의 세션정보를 생성할 수 있다. 세션정보는 세션을 식별하기 위한 정보, 세션의 전체 데이터의 크기, 패킷 당 전송되는 데이터의 크기 및 패킷의 전송번호 중 적어도 하나를 포함할 수 있다. 여기서, 세션을 식별하기 위한 정보는 세션을 식별하기 위한 것으로서, 목적지 IP 주소, 목적지 포트 번호, 발신지 IP 주소 및 발신지 포트 번호 중 적어도 하나에 의해 결정될 수 있다. 세션의 전체 데이터 크기는 예를 들어, 웹 페이지를 열람하거나, 다운로드를 할 때, 세션을 통해 전송되는 전체 데이터의 크기를 의미한다. 세션의 전체 데이터 크기는 예를 들어, HTTP 요청 패킷의 content-length 필드, chunked response 필드 등으로부터 추출될 수 있다. 패킷 당 전송되는 데이터의 크기는 실제 패킷의 크기를 측정함으로써 결정될 수 있다. 패킷의 전송번호는 세션 내에서 현재 전송된 패킷이 몇 번째 패킷인지를 지시하는 것으로서, 예를 들어, 세션 내에서 패킷이 전송될 때마다, 패킷의 개수를 카운팅함으로써 결정될 수 있다. 세션 정보 중 적어도 일부에 대한 상기 결정 방식은 예시적인 것으로서, 본 발명이 적용되는 실시예에 따라 다양한 방식으로 세션 정보가 결정될 수 있다.
전송빈도 결정부(730)는 세션정보로부터 세션의 종료를 위한 전송빈도를 결정할 수 있다. 세션의 종료를 위한 전송빈도는 세션의 종료 시까지 총 전송되어야 하는 패킷의 개수(또는 길이)에 대응하는 것이다. 일 실시예에서, 전송빈도는 (세션의 전체 데이터 크기) / (패킷 당 전송되는 데이터의 크기)에 의해 결정될 수 있다. 일 실시예에서, 전송빈도는 (세션의 전체 데이터 크기 / 패킷 당 전송되는 데이터의 크기) - 패킷의 전송번호에 의해 결정될 수 있다.
점유율 산출부(740)는 세션 점유율을 산출할 수 있다. 여기서 세션 점유율은 예를 들어, 웹 서버 그룹이 서비스 중인 세션의 부하 수준을 지시하는 것으로서, (현재 생성된 세션의 개수) / (생성가능한 전체 세션의 개수)에 의해 결정될 수 있다.
세션 탐지부(750)는 전송빈도에 기초하여 비정상 세션을 탐지할 수 있다. 일 실시예에서, 세션 탐지부(750)는 전송빈도와 소정의 임계치를 비교하여 비정상 세션을 탐지할 수 있다. 구체적으로, 전송빈도가 소정의 임계치를 초과하는 경우, 비정상 세션으로 판단할 수 있으며, 반대로, 전송빈도가 소정의 임계치를 초과하지 않는 경우, 정상 세션으로 판단할 수 있다. 일 실시예에서, 세션 탐지부(750)는 세션 점유율 및 전송빈도에 기초하여 수행될 수 있다. 구체적으로, 세션 점유율이 소정의 임계율을 초과하는 경우, 전송빈도가 가장 높은 세션을 비정상 세션으로 판단할 수 있으며, 세션 점유율이 소정의 임계율을 초과하지 않더라도, 전송빈도가 소정의 임계치를 초과하면, 비정상 세션으로 판단할 수 있다. 반대로, 세션 점유율이 소정의 임계율을 초과하지 않고, 전송빈도가 소정의 임계치를 초과하지 않는 경우, 정상 세션으로 판단할 수 있다. 다른 실시예에서, 세션 탐지부(750)는 세션 점유율이 소정의 임계율을 비교하여, 세션 점유율이 소정의 임계율을 초과하는 경우에만 세션 탐지 동작을 수행하고, 반대로, 세션 점유율이 소정의 임계율을 초과하지 않으면, 세션 탐지 동작을 수행하지 않을 수 있다.
세션 종료부(760)는 비정상 세션이 탐지되면, 비정상 세션을 종료할 수 있다. 일 실시예에서, 세션 종료부(760)는 비정상 세션에 속하는 패킷을 차단함으로써 비정상 세션을 종료할 수 있다. 일 실시예에서, 세션 종료부(760)는 세션의 만기(expire)를 유도하여 비정상 세션을 종료할 수 있다. 세션의 만기는 세션 종료부(760)가 발신지 및 수신지 중 적어도 하나에 "FIN" 또는 "RST" 패킷을 송신함으로써 수행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (14)

  1. 비정상 세션 탐지 방법으로서,
    적어도 하나의 패킷을 수신하는 단계;
    상기 패킷과 관련되는 세션의 세션정보를 생성하는 단계;
    상기 세션정보로부터 세션의 종료를 위한 전송빈도를 결정하는 단계; 및
    상기 전송빈도에 기초하여 비정상 세션을 탐지하는 단계를 포함하며,
    상기 세션정보는 세션을 식별하기 위한 정보, 세션의 전체 데이터의 크기 및 패킷 당 전송되는 데이터의 크기 중 적어도 하나를 포함하는,
    비정상 세션 탐지 방법.
  2. 제 1 항에 있어서,
    상기 전송빈도는 (세션의 전체 데이터 크기) / (패킷 당 전송되는 데이터의 크기)에 의해 결정되는,
    비정상 세션 탐지 방법.
  3. 제 1 항에 있어서,
    상기 세션정보는 패킷의 전송번호를 더 포함하고,
    상기 전송빈도는 (세션의 전체 데이터 크기 / 패킷 당 전송되는 데이터의 크기) - 상기 패킷의 전송번호에 의해 결정되는,
    비정상 세션 탐지 방법.
  4. 제 1 항에 있어서,
    (현재 생성된 세션의 개수) / (생성가능한 전체 세션의 개수)에 의해 결정되는 세션 점유율을 산출하는 단계를 더 포함하는,
    비정상 세션 탐지 방법.
  5. 제 4 항에 있어서,
    상기 비정상 세션을 탐지하는 단계는 상기 세션 점유율이 소정의 임계치를 초과하면 수행되는,
    비정상 세션 탐지 방법.
  6. 제 4 항에 있어서,
    상기 세션 점유율이 소정의 임계치를 초과하면, 전송빈도가 가장 높은 세션을 비정상 세션으로 탐지하는 단계를 더 포함하는,
    비정상 세션 탐지 방법.
  7. 제 1 항에 있어서,
    상기 비정상 세션을 종료시키는 단계를 더 포함하는,
    비정상 세션 탐지 방법.
  8. 비정상 세션 탐지 장치로서,
    적어도 하나의 패킷을 수신하기 위한 패킷 수신부;
    상기 패킷과 관련되는 세션의 세션정보를 생성하기 위한 세션정보 생성부;
    상기 세션정보로부터 세션의 종료를 위한 전송빈도를 결정하기 위한 전송빈도 결정부; 및
    상기 전송빈도에 기초하여 비정상 세션을 탐지하기 위한 세션 탐지부를 포함하고,
    상기 세션정보는 세션을 식별하기 위한 정보, 세션의 전체 데이터의 크기 및 패킷 당 전송되는 데이터의 크기 중 적어도 하나를 포함하는,
    비정상 세션 탐지 방법.
  9. 제 8 항에 있어서,
    상기 전송빈도 결정부는 (세션의 전체 데이터 크기) / (패킷 당 전송되는 데이터의 크기)에 의해 상기 전송빈도를 결정하는,
    비정상 세션 탐지 방법.
  10. 제 8 항에 있어서,
    상기 세션정보는 패킷의 전송번호를 더 포함하고,
    상기 전송빈도 결정부는 (세션의 전체 데이터 크기 / 패킷 당 전송되는 데이터의 크기) - 상기 패킷의 전송번호에 의해 상기 전송빈도를 결정하는,
    비정상 세션 탐지 방법.
  11. 제 8 항에 있어서,
    (현재 생성된 세션의 개수) / (생성가능한 전체 세션의 개수)에 의해 결정되는 세션 점유율을 산출하기 위한 점유율 산출부를 더 포함하는,
    비정상 세션 탐지 방법.
  12. 제 11 항에 있어서,
    상기 세션 탐지부는 상기 세션 점유율이 소정의 임계치를 초과하면, 비정상 세션을 탐지하는,
    비정상 세션 탐지 방법.
  13. 제 11 항에 있어서,
    상기 세션 탐지부는 상기 세션 점유율이 소정의 임계치를 초과하면, 전송빈도가 가장 높은 세션을 비정상 세션으로 탐지하는,
    비정상 세션 탐지 방법.
  14. 제 8 항에 있어서,
    비정상 세션을 종료시키기 위한 세션 종료부를 더 포함하는,
    비정상 세션 탐지 방법.
KR1020130015606A 2013-02-14 2013-02-14 비정상 세션 탐지 방법 및 장치 KR101449627B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130015606A KR101449627B1 (ko) 2013-02-14 2013-02-14 비정상 세션 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130015606A KR101449627B1 (ko) 2013-02-14 2013-02-14 비정상 세션 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20140102399A true KR20140102399A (ko) 2014-08-22
KR101449627B1 KR101449627B1 (ko) 2014-10-13

Family

ID=51747202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130015606A KR101449627B1 (ko) 2013-02-14 2013-02-14 비정상 세션 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101449627B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101711074B1 (ko) * 2015-12-24 2017-02-28 한국인터넷진흥원 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120037865A (ko) * 2010-10-12 2012-04-20 한국전자통신연구원 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101711074B1 (ko) * 2015-12-24 2017-02-28 한국인터넷진흥원 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법

Also Published As

Publication number Publication date
KR101449627B1 (ko) 2014-10-13

Similar Documents

Publication Publication Date Title
KR101442020B1 (ko) 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
EP3337123B1 (en) Network attack prevention method, apparatus and system
TWI294726B (ko)
US9843590B1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
US8800039B2 (en) System and method for determining application layer-based slow distributed denial of service (DDoS) attack
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US9680951B1 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US20130055375A1 (en) Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
JP2019134484A (ja) アクセス要求を規制するシステムおよび方法
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
JP4373306B2 (ja) Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
KR20130006750A (ko) 서비스 거부 공격 탐지 방법 및 장치
US8006303B1 (en) System, method and program product for intrusion protection of a network
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
KR20200109875A (ko) 유해 ip 판단 방법
KR101449627B1 (ko) 비정상 세션 탐지 방법 및 장치
KR20130009130A (ko) 좀비 피씨 및 디도스 대응 장치 및 방법
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
JP5009200B2 (ja) ネットワーク攻撃検出装置及び防御装置
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
Kumar et al. An analysis of tcp syn flooding attack and defense mechanism

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181002

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 6