KR20150033624A - IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법 - Google Patents
IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법 Download PDFInfo
- Publication number
- KR20150033624A KR20150033624A KR20150021308A KR20150021308A KR20150033624A KR 20150033624 A KR20150033624 A KR 20150033624A KR 20150021308 A KR20150021308 A KR 20150021308A KR 20150021308 A KR20150021308 A KR 20150021308A KR 20150033624 A KR20150033624 A KR 20150033624A
- Authority
- KR
- South Korea
- Prior art keywords
- denial
- level
- router
- attack
- data
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
IoT 환경에서, 많은 스마트센서들이 많은 데이타들을 일정한 서버로 전송하고, 이중 서비스 거부 공격을 위한 악성 코드에 감염된 센서들 또는, 이 스마트 센서들과 같이 연결된 네트워크의 악성코드에 감염된 단말들이 서비스 거부 공격을 할 경우, 빅 데이터 같이 많은 데이터를 처리하는 서버들은, 기능이 정지하게 된다. 따라서, 이 서버에 연결된 네트워크 상의 라우터에서, 서비스 거부 공격에 감염된 네트워크 패킷을 제거 함으로써, IoT 환경을 안전하게 유지 시켜주는 역할을 한다.
라우터는 특정 서버들을 목적지로 하는 패킷의 시간당 갯수들에 대한 데이터를 유지하고 있다가, 일정한 수준이상이면 "서비스 거부 공격"으로 판단하여 해당 패킷을 가능하면 많이 드롭한다. 또한, 라우터는 다른 라우터로 부터, "공격" 신호를 받으면 마찬가지로 해당 패킷을 자신의 라우터에서 드롭함으로써, 서비스 거부 공격을 방어하는데, 협조한다.
서비스 거부 공격에 대한 수준은, 다른 서버에서 안정된 환경에서, 미리 확률 분포를 추출하고, 높은 수준의 값을 미리 정하고, 이렇게 정해진 수준의 값들을 각 라우터로 전송하고, 각 라우터들은, 해당 서버로 부터 받은 수준 값을 사용한다.
라우터는 특정 서버들을 목적지로 하는 패킷의 시간당 갯수들에 대한 데이터를 유지하고 있다가, 일정한 수준이상이면 "서비스 거부 공격"으로 판단하여 해당 패킷을 가능하면 많이 드롭한다. 또한, 라우터는 다른 라우터로 부터, "공격" 신호를 받으면 마찬가지로 해당 패킷을 자신의 라우터에서 드롭함으로써, 서비스 거부 공격을 방어하는데, 협조한다.
서비스 거부 공격에 대한 수준은, 다른 서버에서 안정된 환경에서, 미리 확률 분포를 추출하고, 높은 수준의 값을 미리 정하고, 이렇게 정해진 수준의 값들을 각 라우터로 전송하고, 각 라우터들은, 해당 서버로 부터 받은 수준 값을 사용한다.
Description
본 발명은 근래에 각광받고 있는 사물 인터넷에서 발생 할 수 있는 서비스 거부 공격을 라우터에서 방어 하는 방법에 대한 발명으로써, 관련 분야는, 네트워크 보안 분야, 스마트센서 분야, 라우터 스위칭 분야이다.
문서 1: 서비스 거부 공격
http://en.wikipedia.org/w/index.php?title=Denial-of-service_attack&oldid=645280578
문서 2: 스마트센서
http://en.wikipedia.org/w/index.php?title=Smart_transducer&oldid=631239614
문서 3: 라우터
http://en.wikipedia.org/w/index.php?title=Router_(computing)&oldid=644817836
문서 4: Poisson Distribution
http://en.wikipedia.org/w/index.php?title=Poisson_distribution&oldid=643955147
IoT에서 단말로 사용하는 스마트센서는 자체에 프로세서를 가지고 있어서, 주기적으로 자신이 취득한 데이터를 유선 또는 무선으로 전송한다. IoT의 기본은 IP 주소를 사용하기 때문에, 이러한 스마트센서의 데이터를 인터넷 라우터가 중계하여, 목적지 서버로 전송한다. 데이터들을 전송하는 IoT 스마트센서는, 이전의 일반 단말기와는 달리 아주 많기 때문에, 라우터를 거쳐 가는 데이터의 양의 아주 많고, 서버는 빅데이터를 처리할 수 있을 정도로 큰 용량이어야 한다. 따라서, 이러한 상태에서 서비스 거부 공격이 발생하면, 아주 큰 혼란이 발생하며, 이러한 서비스 거부 공격을 방어하기 위해서 서버가 빅데이터를 처리하기에도 벅차기 때문에, 서비스 거부 공격을 방어하기 힘들다. 따라서, 서버에 가해지는 서비스 공격을 방어하기 위해, 서버가 아닌 곳에서 분산적으로 서비스 공격을 방어 하는 방법이 필요하다.
IoT환경에서 스마트센서에서 만들어진 데이터를 전송하는 네트워크에 설치되어 있는 라우터에서 서비스 거부 공격을 방어한다. 즉, 서비스 거부 공격을 방어하는 소프트웨어 프로그램을 설치하여 사용한다. 즉, 모든 라우터는 패킷을 목적지까지 전달하기 위하여, 해당 패킷을 이 라우터에 연결된 네트워크 중에서 어느 네트워크로 보낼지 결정하는데, 이때 목적지 주소를 검사한다. 목적지 주소를 검사할때, 시간당 특정 IP를 대상으로 전송되는 시간당 패킷의 수가 일정한 개수 이상으로 많아지면, 특정 목적 대상의 서비스 거부 공격으로 간주하고, 라우터 자체에서 스위칭 시간외에 비는 시간 내에서, 해당 패킷을 지워버리고, 무시한다. 이렇게 함으로써, 서비스 거부 공격의 대상이 되는 특정 서버로 전달되는 패킷의 양이 줄게 된다.
서비스 거부 공격이 발생하는 특정 서버로 전달 되는 패킷을 네트워크 상에 모든 라우터에서 자동으로 지워 버리기 때문에, 서버에는 서비스 거부 공격이 발생 하지 않은 것과 같은 효과가 발생한다.
도 1은 서비스 거부 공격에 대한 개념을 설명하는 그림이다.
이 라우터들은, 인터넷 패킷을 스마트센서 또는 다른 라우터로 부터 받아서, 목적 서버에 최단 시간에 보내기 위하여, 다음 라우터 또는 다음 전송 목적이 대상 서버이면 서버로 보내기 위하여 자신의 라우터의 해당 출력 단자로 패킷을 갖다 놓으면, 라우터의 하드웨어가 패킷의 전기신호를 해당 네트워크로 보내는 역할을 한다. 즉, 라우터는 패킷을 포트로 받아서, 다른 포트로 갖다 놓는다. 최근의 라우터들은 성능이 좋아져서, 일부 라우터는 고유의 패킷 스위칭 역할 외에, 부가적인 역할을 할 수 있는 충분한 성능이 된다
본 발명은 서비스 거부 공격을 방어하는 방법은 라우터내에 소프트웨어 프로그램 형태로 내장한다. 라우터는 두가지 방법으로 서비스 공격을 방어 하는데, 능동적으로 방어 하는 경우와 다른 라우터로 부터 정보를 받아 수동적으로 방어 하는 경우가 있다.
(능동적인 방어)
도 1은, 서비스 거부 공격을 파악하는 방법을 설명한다. 이 그림은 패킷의 목적 서버 별로, 시간당 패킷의 개수를 나타낸 그림이다. 그림 상에서 가로축(2)은 시간의 흐름을 나타내고, 세로축은 패킷의 갯수(1)를 나타낸다. (4)는 시간당 갯수가 서비스 거부 공격의 주의(Warning) 수준을 나타내고, (3)은 시간당 개수가 서비스 거부 공격의 개시 점을 나타낸다. 시간당이란, 일정한 시간 간격(예, 1초간, 또는 1분당)을 의미한다. 그림 1에서는 (5)로 표시하였다.
라우터는 본래의 스위칭 기능을 하기 위하여, 항상 목적 IP를 검사한다. 이때, 서비스 거부 공격을 탐지하여야 하는데, 목적 서버 마다, 시간 단위당(5), 패킷의 갯수를 추적한다. 시간당 갯수가 주의 수준(4)보다 작은 경우는, 무시한다. 즉, 시간 영역 (8)에서는 무시한다. 그러다가, 시간 구간 (6)이 시작되면, 즉, 시간당 갯수가 주의 수준(4)이 되는 순간, 이 패킷이 목적으로 하는 다음 목적지(다른 라우터)로 통하는 곳으로 "주의"를 보낸다. 러우터는 자신의 상태도 "주의"로 설정한다. 그러다가, 시간당 패킷 갯수가 공격 수준(3)을 넘어가면, 상태는 "공격"수준으로 설정한다. 라우터가 "공격" 수준으로 판단하고, 해당 패킷을 다음 라우터로 넘기는 그 네트워크의 대상 라우터에 "서비스 공격 시작"을 알린다. 이때, 목적 대상 IP 정보와 소스 IP 정보를 같이 보낸다. 공격에 대한 방어의 방법으로써 라우터는 해당 패킷을 드롭한다. 드롭이란 해당 패킷을 다른 라우터로 넘기지 않고, 해당 라우터에서 지워버리는 것을 의미한다. 서비스 거부 공격에 해당 하는 라우터를 지우되, 시간적으로 가능한 정도만 지운다. 즉, 라우팅 기능이 우선이기 때문에, 라우터가 사용가능한 시간 내에서 지우고, 그 외에는 그냥 대상 라우터에 정상적인 패킷으로 전송한다.
라우터는 공격 대상 서버를 목적으로 하는 패킷의 시간당 갯수가 공격 수준(3) 보다 작아지면, 패킷 드롭을 하지 않는다. 그리고, 수준을 "주의" 단계로 낮추고, 패킷의 시간당 갯수가 주의 수준(4) 보다 작아지면, 수주을 "정상"으로 바꾼다. 수준이 변경될 때 마다, 해당 패킷의 네트워크에 변경된 수준을 전달 한다.
(수동적인 방어)
라우터가 서비스 거부 공격에 대한 능동적인 방어를 하는 것과 동시에, 수동 방어도 하는데, 다음과 같이 한다.
즉, 다른 라우터로 부터, "주의" 수준에 해당하는 메세지를 받게 되면, 라우터는 이 메시지와 함께 보내오는 목적지 IP와 소스 IP 정보를 저장하고 있다가, 대기한다. 그러다가, 해당 라우터로 부터 "공격" 수준에 해당하는 메세지를 받게 되면, 입력되는 패킷 중에서, 목적지 IP와 소스 IP 가 일치하는 패킷을 드롭한다. 이 라우터도, 패킷 스위칭 기능을 주 목적으로 하고, 성능상에 남는 시간에, 이러한 드롭을 한다. 이 라우터도, 이렇게 드롭되는 패킷과 동일한 패킷의 시간당 갯수를 계산하여, 자체적으로 "주의", "공격", 또는 "안전"으로 설정하고, 수준에 맞는 기능을 하고, 수준이 변경될 때 마다, 이웃 라우터로 변경되는 수준을 전송한다.
(주의 수준 또는 공격 수준 설정 방법)
서비스거부 공격을 방어 하는 소프트웨어의 서비스 공격 거부의 수준들에 대한 설정은, 외부 서버에서 전송한다. 각 라우터는 전송받은 수준들을 저장하여 사용한다. 외부 서버는 각 목적 서버별로 수준 값들을 주기적으로 계산한다.
계산방법은,
네트워크가 안전하다고 생각되고, IoT의 스마트 센서들이 주기적이고 안정적인 상태에서 데이터 패킷들을 전송할 서버 별로 데이터를 수집하여 결정한다. 즉, 서버별로 시간적인 데이터 양을 확률 분포로 만든다. 데이터 수집양은, 일정한 시간 동안 수집 하는데, 특정한 시간 기간을 한정하지 않는다. 일정한 시간 동안 수집한 양을 확률 분포로 만들면 되는데, 일정한 시간 간격에 발생하는 갯수는, 일반적으로 Poisson 확률 분포를 따른다.
이 포아슨 분포는, 이미 결정된 
에 대하여, 패킷발생회수(k)가 k일 확률은
로 계산된다. 이 
는 회수 데이타가 정해지면, 그 분포에 가장 근접하는 것으로 결정 한다. 
가 커지면, 이 포아송분포는 Gaussian 분포가 된다.
이 분포가 확정되면, "주의" 레벨을 상위 80~90% 중의 특정 레벨로 하고, "공격"레벨은 주의 보다 높은 레벨, 예 90%~99%중, 특정 레벨로 정한다. 이렇게 정해진 레벨을 각 라우터로 전송한다.
IoT 환경에서, 많은 스마트센서들이 많은 데이타들을 일정한 서버로 전송하고, 이중 서비스 거부 공격을 위한 악성 코드에 감염된 센서들 또는, 이 스마트 센서들과 같이 연결된 네트워크의 악성코드에 감염된 단말들이 서비스 거부 공격을 할 경우, 빅 데이터 같이 많은 데이터를 처리하는 서버들은, 기능이 정지하게 된다. 따라서, 이 서버에 연결된 네트워크 상의 라우터에서, 서비스 거부 공격에 감염된 네트워크 패킷을 제거함으로써, IoT 환경을 안전하게 유지 시켜주는 역할을 한다. 따라서, 산업상에 아주 유용하다.
Claims (5)
- 스마트센서들은 유무선으로 네트워크에 연결되어 있고, 상기 네트워크는 구조에 따라 다양한 많은 라우터가 연결되어 있으며, 상기 네트워크에 상기 스마트센서들로부터 데이터들을 수집하는 서버가 존재하는 사물인터넷(IoT) 용 데이터 전달 통신 구조에서의 서비스 거부 공격 방어 방법으로,
상기 스마트센서 또는 단말들이 서비스 거부 공격 악성코드에 감염되어 서비스 공격이 발생할 때, 각 목적 서버별로 일정 시간동안 패킷의 개수를 카운트하여 상기 각 수준별로 해당 패킷이 전달될 이웃 라우터에 수준(경고, 공격) 정보 및 소스 IP와 목적 IP를 전송하는 단계 및;
상기 개수가 미리 설정된 "경고" 수준 미만이면 대기하고, 상기 개수가 경고 상태이면 방어를 위한 준비상태로, 상기 개수가 미리 설정된 "공격" 수준 이상이면 가용한 시간에 해당하는 패킷을 드롭하는 단계를 포함하는 것을 특징으로 하는 사물인터넷(IoT)용 데이터 전달 통신 구조에서의 서비스 거부 공격 방어 방법. - 청구항 제1항에서, 패킷을 전송하는 특정 라우터가 자체적으로는 서비스 거부 공격에 대한 상태가 안정적이라 하더라도, 이웃 라우터의 라우터 상태가 경고 또는 공격 상태가 되어 메시지가 전송되어 오면, 자신의 라우터도 같은 상태로 돌입하여 수준에 맞는 대응을 하는 것을 부가적 특징으로 하는 사물인터넷(IoT)용 데이터 전달 통신 구조에서의 서비스 거부 공격 방어 방법.
- 청구항 제1항에서, 상기 수준 계산 방법은 데이터들이 안전한 시간 동안에 각 목적 서버별로 패킷의 개수들에 대한 데이터를 수집하여, 수집한 상기 데이터를 이용하여 확률분포를 구하고, 확률 분포에서 주의 레벨과 공격 레벨을 설정하는 것을 부가적 특징으로 하는 사물인터넷(IoT)용 데이터 전달 통신 구조에서의 서비스 거부 공격 방어 방법.
- 청구항 제3항에서, 상기 확률 분포 함수는 포아손(Poisson) 확률 분포인 것을 부가적 특징으로 하는 사물인터넷(IoT)용 데이터 전달 통신 구조에서의 서비스 거부 공격 방어 방법.
- 청구항 제3항에서, 상기 주의 레벨은 80%~90%로, 상기 공격 레벨은 90%~99%로 설정하는 것을 부가적 특징으로 하는 사물인터넷(IoT)용 데이터 전달 통신 구조에서의 서비스 거부 공격 방어 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20150021308A KR20150033624A (ko) | 2015-02-12 | 2015-02-12 | IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20150021308A KR20150033624A (ko) | 2015-02-12 | 2015-02-12 | IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20150033624A true KR20150033624A (ko) | 2015-04-01 |
Family
ID=53030853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20150021308A KR20150033624A (ko) | 2015-02-12 | 2015-02-12 | IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20150033624A (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10609069B2 (en) | 2018-02-23 | 2020-03-31 | Bank Of America Corporation | Reflexive benign service attack on IoT device(s) |
| CN115396314A (zh) * | 2022-08-26 | 2022-11-25 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
-
2015
- 2015-02-12 KR KR20150021308A patent/KR20150033624A/ko not_active Application Discontinuation
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10609069B2 (en) | 2018-02-23 | 2020-03-31 | Bank Of America Corporation | Reflexive benign service attack on IoT device(s) |
| CN115396314A (zh) * | 2022-08-26 | 2022-11-25 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
| CN115396314B (zh) * | 2022-08-26 | 2024-04-26 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3337123B1 (en) | Network attack prevention method, apparatus and system | |
| KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
| CN109768955B (zh) | 基于软件定义网络防御分布式拒绝服务攻击的系统及方法 | |
| CN109005175B (zh) | 网络防护方法、装置、服务器及存储介质 | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN108737447B (zh) | 用户数据报协议流量过滤方法、装置、服务器及存储介质 | |
| CN109587167B (zh) | 一种报文处理的方法和装置 | |
| CN105577669B (zh) | 一种识别虚假源攻击的方法及装置 | |
| WO2016177131A1 (zh) | 防止dos攻击方法、装置和系统 | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| CN107347051B (zh) | 一种业务报文处理方法及系统 | |
| KR20150033624A (ko) | IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법 | |
| JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
| KR100733830B1 (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| JP2010193083A (ja) | 通信システムおよび通信方法 | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| KR101380096B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| KR101069341B1 (ko) | 분산 서비스 거부 공격 생성 방지 장치 | |
| CN109088896B (zh) | 一种基于物联网的互联网DDoS防御系统的工作方法 | |
| Khirwadkar | Defense against network attacks using game theory | |
| JP5952219B2 (ja) | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム | |
| JP5009200B2 (ja) | ネットワーク攻撃検出装置及び防御装置 | |
| CN111885092A (zh) | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |