KR20150065261A - 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법 - Google Patents
트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법 Download PDFInfo
- Publication number
- KR20150065261A KR20150065261A KR1020130150381A KR20130150381A KR20150065261A KR 20150065261 A KR20150065261 A KR 20150065261A KR 1020130150381 A KR1020130150381 A KR 1020130150381A KR 20130150381 A KR20130150381 A KR 20130150381A KR 20150065261 A KR20150065261 A KR 20150065261A
- Authority
- KR
- South Korea
- Prior art keywords
- node
- attacker
- information
- sensor
- triangle
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
대규모 센서 네트워크와 같은 한정적인 자원을 가진 센서 네트워크의 서비스 거부 공격을 방어하기 위한 트라이앵글 카운팅(Triangle Counting) 및 센서 네트워크 정보 전달 특성을 이용하여 공격자 노드를 찾는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법이 개시된다. 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치는 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부 및 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부를 포함한다.
Description
본 발명은, 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법에 관한 것이다. 더욱 상세하게는 본 발명은, 대규모 센서 네트워크와 같은 한정적인 자원을 가진 센서 네트워크의 서비스 거부 공격을 방어하기 위한 트라이앵글 카운팅(Triangle Counting) 및 센서 네트워크 정보 전달 특성을 이용하여 공격자 노드를 찾는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법에 관한 것이다.
무선 센서 네트워크 (WSN, Wireless Sensor Network)란 다양한 센서 장비를 무선 네트워크로 연결한 것을 말한다. 센서 네트워크는 교통흐름, 기상정보, 산불 정보, 군사나 기업의 보안 시스템 등 특정 지역에서 측정한 다양한 정보를 수집하는 역할을 한다.
이러한 무선 센서 네트워크는 센서 장비가 움직이는 MANET(Mobile Adhoc Network)과 같은 네트워크와 한번 설치되면 이동을 할 수 없는 센서 네트워크로 구분된다.
움직이지 못하는 센서 네트워크는 넓은 영역에 설치되며 설치 된 후에는 독립적으로 동작하며 주변의 센서들과 연결하여 네트워크를 구성하며 센서에서 측정된 정보를 한 개 이상의 싱크 노드 (sink node)로 전달한다. 이러한 고정형 무선 센서네트워크는 한번 설치되면 내부 배터리가 소모될 때 까지만 동작하는 경우가 많기 때문에 에너지 소비를 줄이는 다양한 방법의 라우팅이나 통신 알고리즘이 등장 하였다.
반대로 이러한 무선 센서 네트워크를 마비시키기 위해서는 한정된 배터리를 사용하는 센서의 에너지를 과도하게 소비시켜 동작을 중지 시키는 것이 효율적이다.
이러한 무선 센서 네트워크 환경에서 대한 서비스 거부 공격(DoS; Denial of Service)을 받게 되면 특정 센서 노드 뿐만 아니라 전체 센서 네트워크의 작동이 중단 될 수 있다. 그러므로 센서 네트워크에 대한 DoS 공격 혹은 DDoS(Distributed Denial of Service) 공격의 공격자를 찾아내어 접속을 차단하여야 한다.
현재 개발된 유선 네트워크상의 DDoS 공격에 대한 방어 기법으로는 크게 공격 예방(attack prevention), 공격 탐지(attack detection), 공격자 찾기(attack source identification) 그리고 공격 대응(attack reaction)의 네 가지 방법이 있다.
Attack prevention은 DDoS 공격을 사전에 차단하는 기술이고 attack detection은 단지 DDoS 공격이 발생하는지를 탐지하는 기술이다.
Attack source identification은 공격을 일으킨 최초 공격자를 찾아가는 방법이고, 마지막으로 attack reaction은 DDoS 공격이 일어났을 때 대응하는 체계나 방법을 말한다.
이 방법 중 무선 센서 네트워크에 적용할 방법은 attack source identification의 방법으로 DDoS 공격이 발생하면 라우터들의 패킷을 수집하여 수집된 정보를 바탕으로 간단한 계산 과정과 빠른 시간 안에 DDoS 공격의 흐름을 파악하여 적적한 대응을 빠른 시간 안에 할 수 있도록 하기 위한 방법이다.
이러한 여러 방법 중 무선 센서 네트워크에 적합한 방식은 빠른 공격 탐지와 공격자를 찾는 방법이다. 이 중 본 발명에서는 Triangle Counting 알고리즘을 이용하여 공격자를 찾는 방법을 선택하였다.
Triangle Counting이란 삼각형(triangle)의 개수를 찾는 방법을 말한다. 모든 네트워크는 노드(node)와 연결을 표현한 에지(edge)로 구성되는 그래프로 표현할 수 있다. 이렇게 전체 네트워크 그래프에서 삼각형을 찾는 방법을 Triangle Counting이라고 한다.
대부분의 무선 센서 네트워크는 센서에서 측정된 데이터를 싱크 노드로 전달한다. 그래서 대부분의 센서간의 통신은 싱크 노드로 정보를 전달 할 수 있는 방향으로 되어 있다.
그러나 공격자 입장에서 전체 센서 네트워크를 마비시키기 정상 경로가 아닌 다른 이웃 노드와의 통신을 이용하게 된다. 이런 경우 전체 통신 그래프에서 삼각형이 많이 발생하게 된다.
특히 규모가 큰 센서 네트워크 환경에서는 Triangle Counting을 이용한 공격자 찾기가 더욱 더 효율적이다. 그러나 이 방법은 실시간으로 공격자를 찾기가 힘들기 때문에 각 센서 노드에서 적절한 확률로 효율적인 샘플링 방법을 이용하여 적은 계산만으로 공격자를 찾을 수 있도록 부분 Triangle Counting 계산을 수행할 수 있다. 관련 기술로는 한국공개특허 제2010-0084681호가 존재한다.
본 발명의 목적은, 상기 종래 기술의 문제점을 해결하기 위한 것으로, 대규모 무선 센서 네트워크와 같은 안정적인 자원을 가진 센서 네트워크에서 트라이앵글 카운팅(Triangle Counting)방법을 이용하여 정확하고 효율적으로 Dos 공격을 방어하고 공격자를 알아내는 것을 가능케 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치는, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부 및 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부를 포함한다.
이 때, 상기 정보 수집부는, 상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 저장할 수 있다.
이 때, 상기 적어도 하나의 센서 노드는, 자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달할 수 있다.
이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Source ID 및 Destination ID를 포함할 수 있다.
이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Next ID를 더 포함할 수 있다.
이 때, 상기 판단부는, 복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서, 상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함될 수 있다.
이 때, 상기 공격자 노드는, 자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행할 수 있다.
이 때, 상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송부를 더 포함할 수 있다.
이 때, 상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 연결을 차단하는 차단부를 더 포함할 수 있다.
이 때, 상기 기정해진 확률은, 상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법은, 정보 수집부에 의하여, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집 단계, 판단부에 의하여, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단 단계 및 추출부에 의하여, 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출 단계를 포함한다.
이 때, 상기 정보 수집 단계는, 상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 저장할 수 있다.
이 때, 상기 적어도 하나의 센서 노드는, 자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달할 수 있다.
이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Source ID 및 Destination ID를 포함할 수 있다.
이 때, 상기 자신을 지나가는 모든 패킷에 대한 정보는, Next ID를 더 포함할 수 있다.
이 때, 상기 판단 단계는, 복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서, 상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함될 수 있다.
이 때, 상기 공격자 노드는, 자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행할 수 있다.
이 때, 상기 추출 단계 이후에, 상기 추출 단계에서, 공격자 노드가 추출되면, 전송부에 의하여, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송 단계를 더 포함할 수 있다.
이 때, 상기 추출 단계 이후에, 상기 추출 단계에서, 공격자 노드가 추출되면, 차단부에 의하여, 상기 공격자 노드에 대한 연결을 차단하는 차단 단계를 더 포함할 수 있다.
이 때, 상기 기정해진 확률은, 상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경할 수 있다.
본 발명에 의하면, 대규모 무선 센서 네트워크와 같은 안정적인 자원을 가진 센서 네트워크에서 트라이앵글 카운팅(Triangle Counting)방법을 이용하여 정확하고 효율적으로 Dos 공격을 방어하고 공격자를 알아낼 수 있는 효과가 있다.
도 1은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치의 블록도이다.
도 2는 트라이앵글 카운팅(triangle Counting) 방법을 적용할 센서 네트워크를 설명하기 위한 도면이다.
도 3은 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.
도 4는 노드 N으로부터의 DoS 공격을 설명하기 위한 도면이다.
도 5는 Dos 공격이 발생한 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.
도 6은 노드 J에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.
도 7은 노드 D에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.
도 8은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법의 흐름도이다.
도 2는 트라이앵글 카운팅(triangle Counting) 방법을 적용할 센서 네트워크를 설명하기 위한 도면이다.
도 3은 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.
도 4는 노드 N으로부터의 DoS 공격을 설명하기 위한 도면이다.
도 5는 Dos 공격이 발생한 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.
도 6은 노드 J에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.
도 7은 노드 D에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.
도 8은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법의 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다.
본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a),(b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다.
이하, 도면을 참조하여 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치에 대하여 설명하도록 한다.
도 1은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치의 블록도이다.
도 1을 참조하여 설명하면, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100)는, 정보 수집부(110), 판단부(120), 추출부(130), 전송부(140) 및 차단부(150)를 포함하여 구성될 수 있다.
보다 구체적으로, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100)는, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부(110), 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부(120) 및 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부(130)를 포함한다.
이 때, 상기 추출부(130)에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송부(140)를 더 포함할 수 잇다.
또한, 상기 추출부(130)에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 연결을 차단하는 차단부(150)를 더 포함할 수 있다.
이하, 트라이앵글 카운팅(Triangle Counting)의 원리에 대하여 살펴보도록 한다.
최근에는 기술의 폭발적인 발전으로 대용량의 데이터가 쌓이게 되었다. World Wide Web, social networks, biological networks, computer networks, Web graphs, Road networks, Autonomous systems, Wikipedia networks, Twitter 그리고 Memetracker 등이 있다.
이러한 분야들은 모두 대용량 데이터를 가지고 있고 모두 그래프로 표현이 가능하다. 그래프로 표현이 가능하다는 것은 노드(node)와 에지(edge)의 관계로 표현이 가능하며 그래프의 특징을 갖게 된다.
그 중 가장 많이 다루는 것이 삼각형 수의 계산이고 특히 복잡한 네트워크 분석에서 삼각형의 수를 계산하는 문제는 중요한 역할을 한다. Triangle Counting 방법이란 이렇게 다양한 데이터로 구성된 그래프에서 삼각형의 개수를 구하는 방법을 말한다.
그래프 분석에서 삼각형의 수를 계산하는 문제는 현재 데이터 마이닝 어플리케이션에서 가장 중요한 문제이다.
최근 Spamming Activity 검출에 사용될 수 있고, 또한 여러 라우터에서 많은 데이터를 수집하여 DDoS공격을 검출할 수 있는 Triangle Expectation 방법도 제안되었다.
특히, 본 발명에서는 Triangle Expectation 방법의 DDoS 공격자를 찾아내는 방법을 Triangle Counting에 적용하여 Triangle Counting의 삼각형을 구하는 방법을 이용하여 서비스 거부 공격의 공격자와 피해자를 찾아내려고 한다.
이러한 Triangle Counting 방법의 삼각형을 찾는 방법과 대부분의 센서 네트워크의 통신이 싱크 노드를 중심으로 이루어진다는 점을 이용하여 센서 노드에서 DoS 공격을 발생시키는 공격자를 찾아내는 것이다.
이하, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법을 통하여 센서 네트워크 환경에서 서비스 거부 공격의 공격자를 찾는 방법에 대하여 설명하도록 한다.
본 발명에서의 네트워크 환경은 복합 네트워크를 기반으로 하고 있다. 복합 네트워크는 유선 네트워크와 다양한 무선 네트워크 그리고 센서 네트워크 등이 모두 연결된 복합적인 네트워크 환경을 말한다.
이러한 복합 네트워크에서 특별히 대규모의 무선 센서 네트워크 환경에서 이루어지는 서비스 거부 공격을 대상으로 한다.
대표적인 대규모의 센서 네트워크 환경으로는 산불 관제, 고속도로 통제, 그리고 군사 망 등이 있다. 특히 군사 센서 네트워크의 경우 특정 지역에 살포된 적외선 센서, 모션 센서, 그리고 음향 센서 등을 이용하여 적의 침입을 탐지 할 수 있다. 또한 센서를 설치한 부대원, 탱크, 장갑차, 비행기, 선박 등에 각각의 모바일 센서를 설치하여 군사 작전을 위한 독립적인 센서 네트워크로 구성될 수도 있다.
본 발명에서는 이러한 복합 네트워크 구조에 포함된 대규모 센서 네트워크 환경을 가정 하였다.
또 모든 센서 노드는 고정형이고 한정적인 배터리를 가지고 있다. 또 센서 네트워크 라우팅 방식은 대부분 적용 가능하나 싱크 노드로 통신이 집중되는 일반적인 방식을 사용한다.
도 2는 트라이앵글 카운팅(triangle Counting) 방법을 적용할 센서 네트워크를 설명하기 위한 도면이다.
도 2를 참조하여 설명하면, 각 센서 노드는 싱크 노드인 A부터 노드 N까지 존재하고 파란색 원은 각 노드의 전파 전송 반경이고 검정색 선은 현재 설정된 라우팅 테이블이다.
본 발명의 가정에서 대규모 센서 네트워크에 적용되어 테이블 기반 라우팅 알고리즘의 적용이 힘들지만 확실한 예를 보여주고자 센서 네트워크 규모를 줄이고 테이블 기반 라우팅 알고리즘으로 일반적인 싱크 노드로 전송되는 경로가 정해진 상태이다.
도 3은 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다. 도 4는 노드 N으로부터의 DoS 공격을 설명하기 위한 도면이다.
도 3을 참조하여 설명하면, 실제 대부분의 패킷은 각 노드에서 싱크 노드를 향하여 수집된 데이터를 전달하기 때문에 도 3과 같은 구성을 하게 된다.
예를 들어 노드 D에서 수집된 데이터의 패킷 헤더에는 {노드 D, 노드 A,....} 형태로 Source ID와 Destination ID가 설정되지만 실제 경로는 D -> C -> A 경로로 전송된다.
여기서 노드 N이 공격자라고 가정한다. 그리고 특정 노드의 공격이 아니라 네트워크 전체에 대한 공격이라고 가정한다면 도 4와 같은 형태로 공격이 이루어 질 것이다.
실제로 노드 N이 알고 있는 대부분의 노드로 DDoS 공격을 수행할 것이다. 노드 N의 공격은 다음과 같은 형태로 공격이 이루어 질 것이다. 보통 일반적인 센서 네트워크의 라우팅이라면 다른 노드로 메시지를 전달할 경우 {Source ID, Destination ID, Next ID....}로 전달한다.
즉 이러한 라우팅 특성을 이용하여 노드 N은 자신의 통신 범위 안에 있는 모든 노드를 이용하여 공격을 수행한다. 자신의 통신 범위에 있는 노드를 이용하여 트래픽을 전파하게 된다면 더욱 더 효과적일 수 있다.
도 5는 Dos 공격이 발생한 센서 네트워크의 논리적인 구성을 설명하기 위한 도면이다.도 5를 참조하여 설명하면, 기존 라우팅 경로인 검정색 선과 DoS 공격을 한 빨간색 화살표를 이용하여 도 5의 그래프를 보게 되면 많은 삼각형이 생성되었음을 알 수 있다. 구체적으로, NJA, NMA, NKA, NLA, NDA, NCA, NEA, NGA, NHA 가 만들어 졌다,
만들어진 삼각형을 분석해 보면 에지 AN을 공통으로 삼각형들이 만들어 졌는데 이 경우 공격자는 싱크 노드 A가 아닌 N이 란 것을 알 수 있다.
그러나 실제 센서 네트워크에서 이러한 분석을 하기 위해서는 싱크 노드나 관리자가 전체 센서 노드의 패킷을 모두 수집하여 분석하여야 한다.
이 경우 DoS 공격이 모두 끝난 후 분석해야 하기 때문에 센서 네트워크 노드들은 많은 에너지를 소비한 후 이거나 모두 소진하여 기능을 발휘 할 수 없는 상태 일 것이다.
이하, 노드 단위의 탐지에 대하여 설명하도록 한다.
서비스 거부 공격이 발생하고 모든 공격이 끝났거나 오랜 시간이 분석할 경우 제대로 된 대응을 할 수 없고 센서 노드들은 이미 많은 에너지를 소비 했을 것이다.
이렇게 DoS 공격이 발생할 경우 실시간으로 분석하여 대응 할 수 있게 하기 위하여 모든 센서 노드는 자신을 지나가는 모든 패킷을 일정 확률 p1으로 저장한 후 간단한 계산을 통해 분석하여 대응한다.
도 6은 노드 J에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다. 도 7은 노드 D에서 수집한 패킷의 논리적 구성을 설명하기 위한 도면이다.
도 7의 노드 D에서 5개의 삼각형을 발견하게 되고 노드 N이 공격자임을 탐지 할 수 있다. 이를 인접 노드나 관리자에게 전달하고 노드 N에 대한 연결을 끊을 수 있도록 한다.
그러나 도 6의 J에서는 삼각형이 하나 밖에 발견되지 않았다. 적은 수의 삼각형은 신뢰도를 떨어뜨리므로 즉시 보고나 차단 같은 작업을 수행하지 않는다. 수가 적지만 센서 노드간의 통신이 이루어지기도 하기 때문이다.
그러나 노드 J가 DoS 공격을 탐지 하지 못하는 것은 아니다. 싱크 노드 A를 기준으로 노드 J보다 하위에 있는 노드 L, K, M이 자신의 데이터를 싱크노드로 보낼 때 일정 확률 p2로 샘플링한 자신의 수집 정보를 전송한다.
여기서 만약 노드 N이 싱크노드인 A에 자신의 센서 수집 데이터를 보고하지 않거나 공격 패킷을 보내지도 않는다고 가정하면 노드 C, D, E, F, G, H, I는 노드 N이 DoS 공격을 시도해도 삼각형을 만들 수 없게 된다. 그래서 모든 노드는 싱크 노드를 알고 있고 싱크 노드에 데이터를 전송하고 있다는 가정을 한다.
이하, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법의 성능을 실험하기 위하여 고려하여야 할 사항에 대하여 설명하도록 한다.
실험의 목적은 샘플링을 이용하여 계산 량을 줄이면서 최대한 정확한 결과를 낼 수 있는 한계를 측정하는 것이다. 다음은 실험 시 알아내어야 하는 값들을 나열 하였다.
1. 센서 노드에서 수집된 연결 정보를 이용하여 p1확률로 샘플링을 하여 Triangle counting을 이용한 연결정보 계산한다.
2. 계산 후 p3 확률로 저장을 하고 t1시간 동안 보관한다.(전체 센서 네트워크 규모 대비 저장하는 정보 비율 계산)
3. 싱크 노드로 데이터를 전송 할 경우 p2 확률로 주변 노드에게 자신의 수집 정보를 전송한다.
공격자 노드와 인접한 노드는 샘플링 확률과 좁은 경로로 인하여 공격자를 확정 짓기가 힘들 수 있다.
그러나 리프 노드에 가까울수록 다양한 경로를 통해 자신의 통신 범위 내에 있는 샘플링 정보를 수집하여 추가로 계산하므로 정확한 공격자를 판단할 수 있다.
그러나 공격자 노드에 가까운 노드가 빨리 공격을 판단하고 대응하는 것이 전체 네트워크에 좋으므로 노드의 샘플링 확률 p1을 싱크 노드에 얼마나 가까운지에 따라 변화 시켜 실험을 수행 할 필요성도 있다.
이하, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법에 대하여 설명하도록 한다.
상기 설명한 바와 같이, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 장치와 중복되는 기술 내용에 대한 설명은 생략하도록 한다.
도 8은 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법의 흐름도이다.
도 8을 참조하여 설명하면, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방법은, 정보 수집부에 의하여, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집 단계(S100), 판단부에 의하여, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단 단계(S110) 및 추출부에 의하여, 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출 단계(S120)를 포함한다.
이 때, 상기 추출 단계(S120) 이후에, 상기 추출 단계(S120)에서, 공격자 노드가 추출되면, 전송부에 의하여, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송 단계를 더 포함할 수 있다.
또한, 상기 추출 단계(S120) 이후에, 상기 추출 단계(S120)에서, 공격자 노드가 추출되면, 차단부에 의하여, 상기 공격자 노드에 대한 연결을 차단하는 차단 단계를 더 포함할 수 있다.
상기 살펴본 바와 같이, 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100) 및 방법에 의하면, 대규모 무선 센서 네트워크와 같은 안정적인 자원을 가진 센서 네트워크에서 트라이앵글 카운팅(Triangle Counting)방법을 이용하여 정확하고 효율적으로 Dos 공격을 방어하고 공격자를 알아낼 수 있는 장점이 있다.
이상에서와 같이 본 발명에 따른 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치(100) 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치
110: 정보 수집부
120: 판단부
130: 추출부
140: 전송부
150: 차단부
130: 판단부
110: 정보 수집부
120: 판단부
130: 추출부
140: 전송부
150: 차단부
130: 판단부
Claims (20)
- 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집부;
수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단부; 및
적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출부를 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 1에 있어서,
상기 정보 수집부는,
상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 저장하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 1에 있어서,
상기 적어도 하나의 센서 노드는,
자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 3에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Source ID 및 Destination ID를 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 4에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Next ID를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 1에 있어서,
상기 판단부는,
복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서,
상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함된 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 6에 있어서,
상기 공격자 노드는,
자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 1에 있어서,
상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송부를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 1에 있어서,
상기 추출부에 의하여, 공격자 노드가 추출되면, 상기 공격자 노드에 대한 연결을 차단하는 차단부를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 청구항 2에 있어서,
상기 기정해진 확률은,
상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치. - 정보 수집부에 의하여, 적어도 하나의 센서 노드에서 수집되는 패킷 정보를 수집하는 정보 수집 단계;
판단부에 의하여, 수집된 패킷 정보를 기반으로 복수개의 센서 노드 간의 경로의 형태가 삼각형인지를 판단하는 판단 단계; 및
추출부에 의하여, 적어도 하나의 삼각형 형태의 경로를 갖는 노드 경로를 분석하여 공격자 노드를 추출하는 추출 단계를 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 11에 있어서,
상기 정보 수집 단계는,
상기 적어도 하나의 센서 노드를 지나가는 모든 패킷에 대한 정보를 기정해진 확률에 대응하여 저장하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 11에 있어서,
상기 적어도 하나의 센서 노드는,
자신을 지나가는 모든 패킷에 대한 정보를 싱크 노드에게 전달하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 13에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Source ID 및 Destination ID를 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 14에 있어서,
상기 자신을 지나가는 모든 패킷에 대한 정보는,
Next ID를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 11에 있어서,
상기 판단 단계는,
복수개의 센서 노드 간의 경로의 형태가 삼각형 인지를 판단함에 있어서,
상기 복수개의 센서 노드에는 싱크 노드 및 공격자 노드가 포함된 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 16에 있어서,
상기 공격자 노드는,
자신의 통신 범위 안에 있는 적어도 하나의 노드를 경유하여 공격을 수행하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 11에 있어서,
상기 추출 단계 이후에,
상기 추출 단계에서, 공격자 노드가 추출되면, 전송부에 의하여, 상기 공격자 노드에 대한 정보를 인접 노드 또는 관리자에게 전송하는 전송 단계를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 11에 있어서,
상기 추출 단계 이후에,
상기 추출 단계에서, 공격자 노드가 추출되면, 차단부에 의하여, 상기 공격자 노드에 대한 연결을 차단하는 차단 단계를 더 포함하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법. - 청구항 12에 있어서,
상기 기정해진 확률은,
상기 적어도 하나의 센서 노드와, 싱크 노드와의 거리에 대응하여 변경하는 것을 특징으로 하는 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130150381A KR101958494B1 (ko) | 2013-12-05 | 2013-12-05 | 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130150381A KR101958494B1 (ko) | 2013-12-05 | 2013-12-05 | 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150065261A true KR20150065261A (ko) | 2015-06-15 |
KR101958494B1 KR101958494B1 (ko) | 2019-03-14 |
Family
ID=53504210
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130150381A KR101958494B1 (ko) | 2013-12-05 | 2013-12-05 | 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101958494B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170091912A (ko) * | 2016-02-02 | 2017-08-10 | 한국전자통신연구원 | 단말 자원을 활용한 지역삼각형 개수 산출 시스템 및 그 동작 방법 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101267414B1 (ko) * | 2011-12-12 | 2013-05-30 | 건국대학교 산학협력단 | 디도스 방어를 위해 트라이앵글 엑스펙테이션을 사용하는 시스템 및 그 방법 |
KR101267493B1 (ko) * | 2011-12-29 | 2013-05-31 | 순천향대학교 산학협력단 | 모바일 애드 혹 네트워크용 아이피 역추적 시스템 및 그 역추적 방법 |
-
2013
- 2013-12-05 KR KR1020130150381A patent/KR101958494B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101267414B1 (ko) * | 2011-12-12 | 2013-05-30 | 건국대학교 산학협력단 | 디도스 방어를 위해 트라이앵글 엑스펙테이션을 사용하는 시스템 및 그 방법 |
KR101267493B1 (ko) * | 2011-12-29 | 2013-05-31 | 순천향대학교 산학협력단 | 모바일 애드 혹 네트워크용 아이피 역추적 시스템 및 그 역추적 방법 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170091912A (ko) * | 2016-02-02 | 2017-08-10 | 한국전자통신연구원 | 단말 자원을 활용한 지역삼각형 개수 산출 시스템 및 그 동작 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR101958494B1 (ko) | 2019-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Liu et al. | Data collection for attack detection and security measurement in mobile ad hoc networks: A survey | |
Krundyshev et al. | Artificial swarm algorithm for VANET protection against routing attacks | |
Verma et al. | An efficient defense method against UDP spoofed flooding traffic of denial of service (DoS) attacks in VANET | |
Tun et al. | Wormhole attack detection in wireless sensor networks | |
Luo et al. | CREDND: A novel secure neighbor discovery algorithm for wormhole attack | |
Raja Basha | Energy efficient aggregation technique‐based realisable secure aware routing protocol for wireless sensor network | |
Dhurandher et al. | E2siw: An energy efficient scheme immune to wormhole attacks in wireless ad hoc networks | |
Gao et al. | Detection and defense technology of blackhole attacks in wireless sensor network | |
Chen et al. | Defense denial-of service attacks on IPv6 wireless sensor networks | |
KR101958494B1 (ko) | 트라이앵글 카운팅을 이용한 서비스 거부 공격 방어 장치 및 방법 | |
CN103269337A (zh) | 数据处理方法及装置 | |
Patel et al. | Detection of wormhole attacks in mobility-based wireless sensor networks | |
Basan et al. | Behavior-Based Assessment of Trust in a Cyber-Physical System | |
Keerthi et al. | Locating the attacker of wormhole attack by using the honeypot | |
Tahboush et al. | Multistage security detection in mobile ad-hoc network (MANET) | |
Gokulraj et al. | Data consistency matrix based data processing model for efficient data storage in wireless sensor networks | |
Meddeb et al. | An effective ids against routing attacks on mobile ad-hoc networks | |
Gill et al. | Intelligent transportation architecture for enhanced security and integrity in vehicles integrated internet of things | |
Waraich et al. | Performance analysis of AODV routing protocol with and without malicious attack in mobile adhoc networks | |
Garg et al. | Issues and Challenges of Wormhole Attack Detection for Secure Localization in WSNs | |
Jegan et al. | Wormhole attack detection in zigbee wireless sensor networks using intrusion detection system | |
Basan et al. | Detection of anomalies in the robotic system based on the calculation of Kullback-Leibler divergence | |
Madtha et al. | Detection of side-channel communication in ad hoc networks using request to send (RTS) messages | |
Kim et al. | Timing-based localization of in-band wormhole tunnels in manets | |
Azni et al. | Analysis of Packets Abnormalities in Wireless Sensor Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |