KR20160087448A - Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow - Google Patents
Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow Download PDFInfo
- Publication number
- KR20160087448A KR20160087448A KR1020150006104A KR20150006104A KR20160087448A KR 20160087448 A KR20160087448 A KR 20160087448A KR 1020150006104 A KR1020150006104 A KR 1020150006104A KR 20150006104 A KR20150006104 A KR 20150006104A KR 20160087448 A KR20160087448 A KR 20160087448A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- outlier
- ddos
- flow
- data
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 분산 서비스 거부(DDoS attack: distributed denial of service) 공격(attack)의 공격자를 구별하기 위한 알고리즘 및 방법에 관한 것으로, 보다 상세하게는 (고가의 인라인 보안 장비를 사용하지 않고) 라우터가 패킷을 처리하면서 (또는 간이 망 관리 프로토콜(SNMP: simple network management protocol) 등을 통해) 수집한 플로우 별 통계 정보를 활용하여 라우터 단에서 DDoS 공격자를 구별하는 알고리즘 및 그 장치에 관한 것이다. 이때, 공격자 구별은 비정상 트래픽을 검출하는데 사용되는 아웃라이어(Outlier) 감지 기법을 활용할 수 있다. The present invention relates to an algorithm and method for distinguishing an attacker from a distributed denial of service (DDoS) attack, and more particularly, to an algorithm and method for distinguishing an attacker from a distributed denial of service (Or through a simple network management protocol (SNMP)) to the DDoS attacker by using the flow-specific statistical information. At this time, the attacker distinction can utilize an outlier detection technique used to detect abnormal traffic.
분산 서비스 거부(DDoS: distributed denial of service) 공격은 서비스 불능 상태로 만들고자 하는 서버에 수십만에 달하는 좀비 PC를 이용하여 공격 트래픽을 보내 정상적인 서비스 제공을 거부하게 하는 것이다. 그리고 이러한 DDoS 공격은 현재 가장 큰 보안 위협 문제 중 하나로 여겨지고 있다. A distributed denial of service (DDoS) attack is a denial-of-service (DDoS) attack that sends hundreds of thousands of zombie PCs to a server that is trying to make a service out of service and sends attack traffic to deny service. These DDoS attacks are now considered one of the biggest security threats.
이와 같은 DDoS 공격에 의한 피해를 줄이기 위해, 일반적으로 망 관리자는 공격 여부에 상관없이 레이트 제한(rate limit)을 걸어 전체 트래픽 량을 줄일 수 있다. 또는 망 관리자가 접속 리스트(access lists)를 관리하여 등록되어 있는 플로우만 접속을 허용하고 나머지는 드랍시킬 수도 있다. 또는 고가의 인라인 보안 장비를 설치하여 실시간으로 DDoS 공격을 대응하게 하는 방법들을 사용할 수도 있다. In order to reduce the damage caused by such DDoS attacks, the network administrator can reduce the total traffic amount by imposing a rate limit regardless of the attack. Alternatively, the network administrator may manage the access lists to allow only registered flows to connect and drop the remainder. Alternatively, expensive inline security equipment may be installed to respond to DDoS attacks in real time.
그러나, 상술한 방법 중 레이트 제한(rate limit)을 이용하여 전체 트래픽 량을 줄이는 방법의 경우에는 대다수의 정상 사용자들 역시 레이트 제한(rate limit)으로 인해 피해를 볼 수 있다. 또한, 접속 리스트(access list)를 관리하여 등록되어 있는 플로우만 접속을 허용하는 방법의 경우에는 접속 리스트(access list) 관리가 관리자의 수동 제어로 이루어진다는 점에서 OPEX 발생 및 접속 리스트의 잘못된 입력이 발생할 수 있다. 그리고, 고가의 인라인 보안 장비를 도입하는 방법의 경우에는 처리 용량이 커질수록 인라인 보안 장비 가격이 급속도로 증가한다는 점에서 한계점을 가지고 있다.However, in the case of the method of reducing the total traffic amount using the rate limit among the above-described methods, most of the normal users may also suffer from the rate limit. Also, in the case of a method of managing a connection list (access list) and allowing access only to the registered flow, the access list management is performed by the manual control of the administrator, Lt; / RTI > In addition, in the case of a method of introducing expensive inline security equipment, the price of inline security equipment is rapidly increased as the processing capacity is increased.
본 발명은 상술한 문제점을 해결하기 위한 것으로, 라우터가 패킷을 처리하면서 (또는 간이 망 관리 프로토콜(SNMP: simple network management protocol) 등을 통해) 수집한 플로우 별 통계 정보로부터 분산 서비스 거부(DDoS: distributed denial of service) 공격 관련 정보를 추출하고, 그 정보에 아웃라이어(outlier) 감지 기법을 적용하여 DDoS 공격 등의 비이상적인 행동 패턴을 보이는 공격자를 파악하는 알고리즘을 제안하는데 그 목적이 있다. Disclosure of Invention Technical Problem The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a method and system for providing a distributed denial of service (DDoS) from a statistical information collected by a router processing a packet (or via a simple network management protocol The purpose of this algorithm is to extract an attack related information and apply an outlier detection technique to the information to identify an attacker who exhibits a non-ideal behavior pattern such as a DDoS attack.
또한 망 상태 통계 정보를 활용한 아웃라이어(outlier) 감지 기반의 DDoS 공격자 구별 알고리즘을 제공하여, 경제적인 DDoS 공격 탐지에 대응하는 방법을 제공하고자 한다. The present invention also provides a DDoS attacker discrimination algorithm based on outlier detection using network state statistical information, thereby providing a method for responding to economic DDoS attack detection.
또한, 다수 개의 아웃라이어(Outlier) 기법을 중복 적용하여 DDoS 공격자 오탐 현상을 최소화하는 방법을 제공하는 것을 목적으로 한다. It is another object of the present invention to provide a method for minimizing the DDoS attacker misfit by applying a plurality of outlier schemes.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are not restrictive of the invention, unless further departing from the spirit and scope of the invention as defined by the appended claims. It will be possible.
상기 목적을 달성하기 위해 본 발명의 일 실시 예에 따른 DDoS 공격 구별 방법은, 플로우 별 통계 정보를 수집하는 단계; 정보 추출 기준을 이용하여 상기 수집된 통계 정보로부터 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보를 추출하는 단계; 상기 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보의 데이터에 적어도 하나의 아웃라이어(outlier) 감지 기법을 적용하여 상기 데이터가 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하는 단계; 및 상기 결과 값에 따라 해당 플로우가 DDoS 공격인지 여부를 판단하는 단계;를 포함할 수 있다.According to an aspect of the present invention, there is provided a method for distinguishing a DDoS attack according to an embodiment of the present invention includes collecting statistical information for each flow; Extracting information for determining whether there is at least one DDoS attack from the collected statistical information using an information extraction criterion; Determining whether the data is an outlier by applying at least one outlier detection technique to data of information for determining whether the attack is at least one DDoS attack, and outputting the result; And determining whether the flow is a DDoS attack according to the result value.
본 발명의 일 실시 예에 따르면, 망 상태 통계 정보를 활용한 아웃라이어(Outlier) 감지 기반의 분산 서비스 거부(DDoS: distributed denial of service) 공격자 구별 알고리즘은 망 상태 통계 정보를 활용하여 라우터 단에서 DDoS 공격을 탐지하고 대응할 수 있기에 다른 고가의 인라인 보안 장비에 비해 가격 경쟁력이 있을 수 있다. According to an embodiment of the present invention, a distributed denial of service (DDoS) attacker distinguishing algorithm based on outlier detection using network state statistical information is performed by using DDoS Because it can detect and respond to attacks, it can be cost competitive compared to other expensive inline security devices.
또한 다수 개의 아웃라이어(Outlier) 기법을 중복 적용하여 DDoS 공격자를 구별하기에, 통계 정보 기반의 탐지의 주요 문제점으로 여겨지는 DDoS 공격자 오탐지 현상을 최소화할 수 있다는 장점이 있다. In addition, DDoS attackers are distinguished by applying a plurality of outlier techniques to minimize DDoS attacker false positives, which are considered to be major problems of statistical information based detection.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtained by the present invention are not limited to the above-mentioned effects, and other effects not mentioned can be clearly understood by those skilled in the art from the following description will be.
도 1은 본 발명의 일 실시 예에 따른 DDoS 공격 탐지 및 대응 장치 개념도를 도시한 도면이다.
도 2는 본 발명의 일 실시 예에 따른 DDoS 공격자 구별을 위한 정보 추출 및 생산 방법의 흐름도를 도시한 도면이다.
도 3은 본 발명의 일 실시 예에 따른 추출 및 생산된 정보 안의 데이터 포맷의 일 예를 도시한 도면이다.
도 4는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별을 위한 아웃라이어 감지 적용 방안의 일 예를 도시한 도면이다.
도 5는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별 및 대응 알고리즘의 일 예를 도시한 도면이다.
도 6은 본 발명의 일 실시 예에 따른 결과 값 계산 세부 절차도의 일 예를 도시한 도면이다. 1 is a conceptual diagram of a DDoS attack detection and countermeasure apparatus according to an embodiment of the present invention.
2 is a flowchart illustrating an information extraction and production method for distinguishing a DDoS attacker according to an embodiment of the present invention.
3 is a diagram illustrating an example of a data format in extracted and produced information according to an embodiment of the present invention.
4 is a diagram illustrating an outlier detection application method for discriminating a DDoS attacker according to an embodiment of the present invention.
5 is a diagram illustrating an example of a DDoS attacker discrimination and corresponding algorithm according to an embodiment of the present invention.
FIG. 6 is a diagram illustrating an example of a result calculation detailed flowchart according to an embodiment of the present invention.
이하, 본 명세서의 실시 예의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
실시 예를 설명함에 있어서 본 명세서의 실시 예가 속하는 기술 분야에 익히 알려져 있고 본 명세서의 실시 예와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 명세서의 실시 예의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.In describing the embodiments, descriptions of techniques which are well known in the art to which the embodiments of the present invention belong, and which are not directly related to the embodiments of the present specification are not described. This is for the sake of clarity of the gist of the embodiment of the present invention without omitting the unnecessary explanation.
하기에서 본 명세서의 실시 예를 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 명세서의 실시 예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 이하 첨부된 도면을 참조하여 본 명세서의 실시 예의 실시 예를 설명하기로 한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In the following description of the embodiments of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present disclosure rather unclear. DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. The following terms are defined in consideration of the functions of the present invention, and these may be changed according to the intention of the user, the operator, or the like. Therefore, the definition should be based on the contents throughout this specification.
도 1은 본 발명의 일 실시 예에 따른 DDoS 공격 탐지 및 대응 장치 개념도를 도시한 도면이고, 도 2는 본 발명의 일 실시 예에 따른 DDoS 공격자 구별을 위한 정보 추출 및 생산 방법의 흐름도를 도시한 도면이고, 도 3은 본 발명의 일 실시 예에 따른 추출 및 생산된 정보 안의 데이터 포맷의 일 예를 도시한 도면이다. FIG. 1 is a conceptual diagram of a DDoS attack detection and countermeasure apparatus according to an embodiment of the present invention. FIG. 2 is a flowchart of an information extraction and production method for distinguishing a DDoS attacker according to an embodiment of the present invention FIG. 3 is a diagram illustrating an example of a data format in extracted and produced information according to an embodiment of the present invention. Referring to FIG.
도 1을 참고하면, 분산 서비스 거부(DDoS: distributed denial of service) 공격 탐지 및 대응 장치의 개괄적 구성은 1) 라우터가 패킷을 처리하면서 또는 간이 망 관리 프로토콜(SNMP: simple network management protocol) 등을 통해 플로우 별 통계 정보를 수집하는 통계 정보 수집부(110), 2) 수집된 정보에 기반하여 DDoS 공격 여부를 판단하는 DDoS 감지부(120), 3) 감지된 공격에 대응하는 DDoS 대응부(130), 4) 대응하면서 얻은 공격 패턴 정보를 추출하는 정보 추출부(140), 그리고 5) 공격에 관련된 정보를 총체적으로 관리하고, 관련된 정보를 여러 모듈에 분배하는 정보 관리부(150) 등으로 구성될 수 있다. 한편, 도 1에서는 각각의 기능을 하는 모듈이 별개로 도시되어 있으나 이는 설명의 편의를 위한 것으로, 실시 예에 따라서는 하나의 모듈이 여러 기능을 함께 수행할 수도 있다. 예를 들면, DDos 감지부(120)는 패킷을 처리하면서 플로우별 통계 정보를 수집하고, 수집된 정보에 기반하여 DDoS 공격 여부를 함께 판단할 수도 있다. 또는 상기 기능들을 하나의 제어부가 수행할 수도 있음은 물론이다. Referring to FIG. 1, a general configuration of a distributed denial of service (DDoS) attack detection and countermeasure device is as follows. 1) When a router processes a packet or a simple network management protocol (SNMP) A
본 발명의 일 실시 예에 따른 아웃라이어(outlier) 기반의 DDoS 공격자 구별 알고리즘은 예를 들면 DDoS 대응부(130)에 적용될 수 있으며, 공격자에 의해 생성된 플로우를 신속하고 정확하게 식별하여 제재함으로써 최대한 빨리 망을 안정 상태로 돌릴 수 있다. The outlier-based DDoS attacker distinguishing algorithm according to an embodiment of the present invention can be applied to the
이러한 경우에 있어서, 본 발명의 일 실시 예에 따른 아웃라이어(outlier) 기반의 DDoS 공격자 구별 알고리즘은, 수집된 플로우 별 통계 정보로부터 DDoS 공격자 구별을 위해 필요한 여러 가지 정보를 획득하는 작업부터 시작할 수 있다. 이 때 획득되는 정보는 통계 정보 수집부(110)가 수집한 통계 정보를 이용하여 여러 가지 기준에 의거하여 추출된 정보일 수 있다. 또는 실시 예에 따라, 상기 추출된 정보를 이용하여 추출된 정보의 다양한 조합을 통해 생산해낸 정보일 수도 있다. 도 2는 본 발명의 일 실시 예에 따른 수집된 플로우 별 통계 정보로부터 DDoS 공격자 구별을 위해 필요한 정보를 추출 및 생산하는 일반화된 도면을 나타낸 것이다. In this case, an outlier-based DDoS attacker distinguishing algorithm according to an embodiment of the present invention can start from a task of obtaining various information necessary for distinguishing a DDoS attacker from collected statistical information for each flow . The information obtained at this time may be information extracted on the basis of various criteria by using the statistical information collected by the statistical
도 2를 참고하면, 예를 들면 총 n 개의 정보 추출 기준이 존재할 수 있으며, 이들 정보 추출 기준들에 의해 추출된 정보를 활용하여 총 m 개의 새로운 타입의 정보를 생산할 수 있다. Referring to FIG. 2, for example, a total of n information extraction criteria may exist, and a total of m new types of information may be produced using the information extracted by these information extraction criteria.
좀 더 구체적으로 살펴보면, 장치는 통계 정보 수집부(110)를 통해 플로우 별 통계 정보(data set)(210)를 수집할 수 있다. 그리고, 수집된 통계 정보로부터 미리 설정된 n 개의 정보 추출 기준(220, 223, 225)을 이용하여, 기준 의거 추출 정보 세트(230, 235)를 추출할 수 있다. 예를 들면, 통계 정보에 제1 정보 추출 기준(또는 정보 추출 기준 #1)(220)을 적용하여 제1 기준 의거 추출 정보 세트(set)(또는 기준 의거 추출 정보 세트 #1)(230)를 추출할 수 있다. 즉, 제1 기준 의거 추출 정보 세트(230)는 통계 정보(210)로부터 제1 정보 추출 기준(220)에 의해 추출된 정보 세트를 나타낸다. 유사하게, 제n1 기준 의거 추출 정보 세트(235)는 통계 정보(210)로부터 제n 정보 추출 기준(225)에 의해 추출된 정보 세트를 나타낸다. More specifically, the device may collect the flow-specific
또한, 장치는 수집된 통계 정보(210)로부터 정보 추출 기준(220, 223, 225)에 의해 추출된 정보들을 조합하여 생산 정보 세트(240, 245)를 생산할 수 있다. 예를 들면, 통계 정보에 제1 정보 추출 기준(220)을 적용하여 추출된 정보와, 제2 정보 추출 기준(223)을 적용하여 추출된 정보를 조합하여 제1 생산 정보 세트(또는 생산 정보 세트 #1)(240)를 생산할 수 있다. 즉, 제1 생산 정보 세트(240)는 통계 정보(210)로부터 제1 정보 추출 기준(220) 및 제2 정보 추출 기준(223)에 의해 추출된 정보를 조합하여 생산된 정보 세트를 나타낸다. 유사하게, 예를 들면, 제n2 생산 정보 세트(245)는 통계 정보(210)로부터 제2 정보 추출 기준(223) 및 제n 정보 추출 기준(225)에 의해 추출된 정보를 조합하여 생산된 정보 세트를 나타낼 수 있다. 또는 제n2 생산 정보 세트(245)는 통계 정보(210)로부터 제n-1 정보 추출 기준 및 제n 정보 추출 기준(225)에 의해 추출된 정보를 조합하여 생산된 정보 세트를 나타낼 수 있다. 한편, 본 도면에서는 2 개의 정보 추출 기준에 의해 추출된 정보를 조합하여 생산 정보 세트를 생산하는 것만이 도시되어 있지만, 이에 한정되는 것은 아니다. 예를 들면, 3 개의 정보 추출 기준에 의해 추출된 정보를 조합하여 생산 정보 세트를 생산할 수도 있으며 그 이상의 정보 추출 기준에 의해 추출된 정보들을 조합하여 생산 정보 세트를 생산할 수도 있다. 또한, 각각의 생산 정보 세트들은 조합되는 추출된 정보의 개수가 서로 다를 수도 있음은 물론이다. The apparatus may also produce the production information set 240, 245 by combining the information extracted by the
이때, 추출된 정보 세트 또는 생산된 정보 세트, 즉 기준 의거 추출 정보 세트(230, 235) 및 생산 정보 세트(240, 245) 안의 모든 데이터들은 DDoS 공격자를 구별하는데 활용될 수 있다. 이를 위하여, 예를 들면 도 3에 도시된 것과 같이 5-튜플(tuple) 정보(310)를 포함하는 일반화된 포맷으로 구성될 수 있다. 이때, 5-튜플 정보(310)는 플로우를 구별하는데 사용될 수 있다. 즉, 본 발명의 일 실시 예에 따른 추출 및 생산된 정보 안의 데이터 포맷은 기준 의거 추출 정보 세트 및 생산 정보 세트(370)에 더하여 플로우를 구별하기 위한 정보(310)를 더 포함할 수 있다. 이때, 상기 5-튜플 정보(310)는 Src IP(320), Dst IP(330), Src Port(350) 및 Protocol(360)을 포함할 수 있으며 이에 대한 구체적인 설명은 생략하기로 한다. At this time, all the data in the extracted information set or the produced information set, that is, the reference-based extract information set 230, 235 and the production information set 240, 245, can be used to distinguish the DDoS attacker. For this purpose, it may be configured in a generalized format including, for example, 5-
도 4는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별을 위한 아웃라이어 감지 적용 방안의 일 예를 도시한 도면이다. 4 is a diagram illustrating an outlier detection application method for discriminating a DDoS attacker according to an embodiment of the present invention.
DDoS 공격자 구별의 정확도는 추출된 정보 세트 및 생산된 정보 세트 안의 정보(데이터)들이 어떤 분포를 따르냐에 따라 달라질 수 있고, 또한 어떤 아웃라이어(outlier) 감지 기법을 적용하느냐에 따라서 그 정확도는 바뀔 수 있다. 본 발명의 일 실시 예에 따른 DDoS 공격자 구별 알고리즘은, DDoS 공격자 구별의 정확도를 높이기 위하여, 상술한 과정을 통해 얻어진 여러 개의 추출된 정보 세트 및 생산된 정보 세트에 여러 개의 아웃라이어(outlier) 감지 기법을 중복 적용하여 DDoS 공격자를 구별하는 방법을 제공한다. 이렇게 함으로써 DDoS 공격자 구별의 정확성을 크게 향상시킬 수 있다. The accuracy of the DDoS attacker distinction may vary depending on the distribution of information (data) in the extracted information set and the produced information set, and the accuracy may vary depending on which outlier detection technique is applied . The DDoS attacker distinguishing algorithm according to an embodiment of the present invention may include a plurality of extracted information sets obtained through the process described above and a plurality of outlier detection techniques To provide a method to distinguish DDOS attackers. This greatly improves the accuracy of the DDoS attacker distinction.
도 4를 참고하면, 본 발명의 일 실시 예에 따른 DDoS 공격자 구별 알고리즘은 추출 및 생산된 정보(410), 즉 추출된 정보 세트(411, 413) 및 생산된 정보 세트(415, 417)의 각각에 대하여 아웃라이어(outlier) 감지 기법을 적용하여 DDoS 공격자를 구별할 수 있다. 4, the DDoS attacker distinguishing algorithm according to an embodiment of the present invention includes extracting and producing
구체적으로 살펴보면, 상기 도 2 및 도 3과 관련된 부분에서 설명한 일반화된 포맷으로 추출 및 생산된 정보 세트들(410; 411, 413, 415, 417)로부터 하나의 정보 세트(420)를 선택할 수 있다. Specifically, one information set 420 can be selected from the information sets 410 (411, 413, 415, 417) extracted and produced in the generalized format described with reference to FIG. 2 and FIG.
그 후, 본 발명의 일 실시 예에 따른 DDoS 공격자 구별 알고리즘은 선택된 정보 세트(420)의 각각의 데이터(430)에 다수 개의 아웃라이어(outlier) 감지 기법들(440; 441, 443, 445)을 적용할 수 있다. 그리고 각각의 아웃라이어(outlier) 감지 기법(440)은 정보 세트(420)에 속해 있는 각각의 데이터(430)에 대해 아웃라이어(outlier) 여부를 판단할 수 있다. 그리고 아웃라이어(outlier)로 판단되면 그에 따른 결과 값을 출력할 수 있다. 예를 들면 아웃라이어(outlier)로 판단되면 1의 값을, 아니면 0의 값을 반환할 수 있다. 이때, 종복 적용되는 아웃라이어(outlier) 감지 기법(440)의 개수(n)는 정확성 측면과 복잡도 측면을 동시에 고려하여 정해질 수 있다. 예를 들면, 제1 아웃라이어 감지 기법(441)은 정보 세트(420)에 속해 있는 각각의 데이터(430)에 대해 아웃라이어(outlier) 여부를 판단하고, 판단 결과 아웃라이어(outlier)로 식별된 경우 1 값을 반환할 수 있다. 또는 판단 결과 아웃라이어(outlier)가 아닌 것으로 판단된 경우 0 값을 반환할 수 있다. 유사하게 제2 아웃라이어 감지 기법(443), 제n 아웃라이어 감지 기법(445)은 정보 세트(420)에 속해 있는 각각의 데이터(430)에 대해 아웃라이어(outlier) 여부를 판단하고, 판단 결과에 따른 결과 값을 출력할 수 있다. The DDoS attacker distinguishing algorithm according to an embodiment of the present invention then includes a plurality of outlier detection techniques 440 (441, 443, 445) in each
이후, 각각의 아웃라이어(outlier) 감지 기법에 의해 반환된 값들은 모두 더해져(450), 데이터의 결과 값(RV)(460)으로 출력된다. 그리고 그 결과 값(RV)(460)이 특정 임계치 값 α 이상인지 여부를 판단할 수 있다(470). 판단 결과, 결과 값(RV)(460)이 임계값 α 이상인 경우에는 데이터 값이 비정상이라고 결정할 수 있다(490). 또한, 결과 값(RV)(460)이 임계값 α 미만인 경우에는 데이터 값이 정상이라고 결정할 수 있다(480). 이때, 상기 도 3과 관련된 부분에서 설명한 바와 같이, 데이터의 일반화된 포맷에는 데이터 값뿐만 아니라 데이터의 플로우를 구별하기 위한 5-튜플 정보를 포함하고 있다. 이에, 480 단계에서 데이터가 비정상이라고 판단된 경우에는, 비정상이라고 결정된 데이터의 5-튜플 정보를 참조하여 플로우를 식별할 수 있다. 그리고 그 플로우를 잠정적으로 공격 플로우로 결정하고 해당 플로우에 속한 패킷들을 확률적으로 폐기시킬 수 있다. 한편, 상기의 결과 값(460), 즉 RV 값(460)이 특정 임계치와 같아지면, 본 발명의 일 실시 예에 따른 알고리즘을 구현한 시스템은 데이터의 5-튜플 정보를 참조하여 플로우를 식별한 후, 해당 플로우는 DDoS 공격자에 의해 생성된 플로우라 확정지을 수 있다. 그리고 확정된 플로우에 속하는 모든 패킷은 폐기할 수 있다. 실시 예에 따라, 상기 특정 임계치는 아웃라이어 감지 기법(440)의 개수와 같을 수 있다. 이때, 아웃라이어 감지 기법(440)은 아웃라이어 여부에 따라 1 또는 0의 값을 반환하므로, 결과 값이 아웃라이어 감지 기법(440)의 개수와 같다는 의미는 적용된 모든 아웃라이어 감지 기법들(440)이 데이터를 아웃라이어에 속한 값으로 판단했음을 의미한다. The values returned by each outlier detection technique are then summed (450) and output as the result value (RV) 460 of the data. And determine whether the result value (RV) 460 is equal to or greater than a specific threshold value alpha (470). As a result of the determination, if the result value (RV) 460 is equal to or greater than the threshold value?, It can be determined that the data value is abnormal (490). Further, if the result value (RV) 460 is less than the threshold value?, It can be determined that the data value is normal (480). 3, the generalized format of the data includes not only data values but also 5-tuple information for distinguishing the flow of data. If it is determined in
실시 예에 따라, 전수 및 확률적 폐기 정책은 관리자에 의해 설정될 수도 있고, 망 상황을 반영하여 동적으로 변경될 수 있다. 또한 전수 및 확률적 폐기 정책 이외에도 신규 세션 생성 불가 정책 등을 공격자에 대한 대응 정책으로 취할 수도 있다. Depending on the embodiment, the full number and probabilistic revocation policy may be set by the administrator or dynamically changed to reflect the network situation. In addition, it is possible to take policies such as new session creation policy as countermeasures against attackers in addition to historical and probabilistic disposal policies.
도 5는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별 및 대응 알고리즘의 일 예를 도시한 도면이다. 5 is a diagram illustrating an example of a DDoS attacker discrimination and corresponding algorithm according to an embodiment of the present invention.
도 5를 참고하면, 본 발명의 일 실시 예에 따른 아웃라이어 기반의 DDoS 공격자 구별 알고리즘은 플로우 별 패킷 수, 바이트 수 등의 두 가지 기준에 의거하여 정보를 추출할 수 있다. Referring to FIG. 5, the outlier-based DDoS attacker distinguishing algorithm according to an embodiment of the present invention can extract information based on two criteria such as the number of packets per flow and the number of bytes.
구체적으로 살펴보면, 장치는 통계 정보 수집부(110)를 통해 플로우 별 통계 정보(data set)(510)를 수집할 수 있다. 그리고 정보 추출 기준으로, 플로우 별 패킷 수(525) 및 바이트 수(520)에 의거하여 수집된 통계 정보(510)로부터 정보를 추출할 수 있다. 즉, 바이트 사용량(520)에 따라 통계 정보(510)로부터 기준 의거 바이트 사용량 세트(530)를 추출하고, 패킷 수(525)에 따라 통계 정보(510)로부터 기준 의거 패킷 수 세트(533)를 추출할 수 있다. 그리고 추출된 정보를 활용하여 패킷 별 평균 바이트 수 정보(535)를 생성할 수 있다. IP 스푸핑(spoofing) 공격의 경우에는 한 세션 당 적은 수(예를 들면, 약 3개 정도)의 패킷을 생성하여 공격하는 특징이 있다. 그리고 TCP 플로딩(flooding)의 경우에는 공격 패킷의 크기가 정상 패킷에 비하여 작다는 특징(예를 들면, 약 120 바이트 정도)이 있다. 이러한 점을 고려하면, 상기의 추출 및 생산된 정보를 기반으로 DDoS 공격자 판별이 가능하게 된다. Specifically, the device can collect the flow-specific
이후, 상기 추출 및 생산된 정보 세트(530, 533, 535) 안의 각각의 데이터(540, 543, 545)에 다수 개의 아웃라이어 감지 기법(550)들이 적용되게 된다. 본 실시 예에서는 DDoS 공격자 구별의 정확성 향상을 위해 박스플롯(boxplot) 및 모디파이드 Z-스코어(modified z-score), 두 가지의 아웃라이어 감지 기법을 중복 사용할 수 있다. 이후, 앞서 언급한 바와 같이, 아웃라이어 감지 기법을 이용하여 해당 데이터가 아웃라이어 여부에 따라 1 또는 0의 값을 반환할 수 있다. A plurality of
예를 들면, 기준 의거 바이트 사용량 세트(530)의 각각의 데이터(540)에 대하여 boxplot 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력할 수 있다. 또한, 기준 의거 바이트 사용량 세트(530)의 각각의 데이터(540)에 대하여 modified z-score 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력할 수 있다. 그리고 그 결과 값들을 합쳐, 바이트 사용량 결과 값(RVb)(560)으로 출력할 수 있다. 유사하게, 기준 의거 패킷 수 세트(533)의 각각의 데이터(543)에 대하여 xplot 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하고, modified z-score 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하고, 그 두 결과 값들을 합쳐, 패킷 수 결과 값(RVp)(563)으로 출력할 수 있다. 생산 정보 평균 패킷 크기 세트(535)에 대하여도 유사하게 아웃라이어 감지 기법을 중복 적용하여 평균 패킷 크기 결과 값(RVa)(565)을 출력할 수 있다. For example, it is possible to determine whether each
이와 같이 본 예에서는 각가의 정보 세트(530, 533, 535) 안의 모든 데이터(540, 543, 545)에 두 가지 아웃라이어 감지 기법(550)이 적용되므로, 그 결과 값은 0, 1, 2 중 어느 하나의 값을 반환하게 된다. 그리고, 각각의 결과 값을 더하게 된다(570). 이때, 생산 및 추출된 정보 세트(530, 533, 535)가 총 세 개 존재하므로, 반환되는 최종 결과 값(RV = RVb + RVp + RVa)(580)은 0 내지 6 중 어느 하나의 값을 가지게 된다. 즉, RV(580)의 최소값은 0이고, 최대값은 n(정보 세트의 수) * a(적용된 아웃라이어 감지 기법의 수)가 된다. Thus, in this example, since two
그리고 그 결과 값(RV)(580)과 임계값을 비교하여(590), 결과 값(RV)(580)이 임계값보다 작은 경우에는 정상 트래픽으로 판단할 수 있다. 그러나 결과 값(RV)(580)이 임계값 이상인 경우에 그 트래픽은 비정상 트래픽, 즉 공격 트래픽으로 판단할 수 있다. If the result value (RV) 580 is compared with the threshold value (590) and the result value (RV) 580 is smaller than the threshold value, it can be determined as normal traffic. However, when the result value (RV) 580 is equal to or greater than the threshold value, the traffic can be determined as abnormal traffic, that is, attack traffic.
이때, 실시 예에 따라, 최종 반환된 RV 값(580)이 (n * a) / 2 이상이면 잠정적으로 공격 플로우로 결정하고 해당 플로우에 속한 패킷들을 확률적으로 폐기시키기 시작할 수 있다. 그리고, RV 값(580)이 (n * a) 이 될 경우에는 플로우에 속하는 모든 패킷을 폐기할 수 있다. At this time, according to the embodiment, if the finally returned
도 6은 본 발명의 일 실시 예에 따른 결과 값 계산 세부 절차도의 일 예를 도시한 도면이다. FIG. 6 is a diagram illustrating an example of a result calculation detailed flowchart according to an embodiment of the present invention.
도 6은 상술한 도 5의 기준 의거 바이트 사용량 세트(530)에 두 개의 아웃라이어 감지 기법(550)이 어떻게 적용되는지에 대하여 설명한 도면이다. 도 5의 나머지 두 개의 세트, 즉 기준 의거 패킷 사용량 세트(533) 및 생산 정보 평균 패킷 크기 세트(535)에도 도 6의 절차는 동일하게 적용될 수 있다. FIG. 6 is a diagram for explaining how two
도 6을 참고하면, 기준 의거 바이트 사용량 세트(610)의 각각의 데이터(620)에 대하여 modified z-score 기법(630)과 boxplot 기법(640)을 적용하여 아웃라이어인지 여부를 판단할 수 있다. Referring to FIG. 6, the modified z-
즉, RV 값 결정 시 각 알고리즘 고유의 아웃라이어 결정 임계치 값을 고려하여 아웃라이어 여부를 판단하게 된다. 설명의 편의를 위하여 아웃라이어 감지 기법인 modified z-score 및 boxplot 기법에 대한 자세한 설명은 생략하기로 한다. modified z-score 기법(630)의 경우 데이터의 z-score 값을 계산하고(633), 데이터의 z-score 값에 따라 아웃라이어인지 여부를 판단할 수 있다(635). 예를 들면, 데이터의 z-score 값이 3.5 이상이면 아웃라이어로 판단하고 결과 값으로 1을, 3.5 이하면 정상 트래픽으로 판단하고 결과 값으로 0을 반환할 수 있다. 그에 반해 boxplot 기법(640)은 데이터 집합을 작은 값에서 큰 값 순으로 정렬한 후, 전체 데이터 중 1/4번째로 큰 값을 Q1으로, 1/2번째로 큰 값을 Q2로, 3/4번째로 큰 값을 Q3로 설정한 후, 위의 Q1, Q2, Q3값을 활용하여 펜스(fence)를 설정할 수 있다(643). 그리고, 데이터 값이 상기 설정된 fence를 벗어나는지 여부에 따라 아웃라이어인지 여부를 판단할 수 있다(645). 예를 들면, boxplot 기법(640)은 데이터 값이 상기 설정된 fence를 벗어나면 아웃라이어로 판단하고 1의 결과 값을, 아니면 정상 트래픽으로 판단하고 0의 결과 값을 반환할 수 있다. That is, when the RV value is determined, it is determined whether the outlier is determined by considering the outlier determination threshold value unique to each algorithm. For the sake of convenience of explanation, the detailed description of the outlier detection technique, the modified z-score and the boxplot technique will be omitted. In the case of the modified z-
이러한 아웃라이어 감지 기법들에 의해 반환된 결과 값들은 계속해서 RVb 값에 더해지게 된다(650, 660). The results returned by these outlier detection techniques continue to be added to the RV b value (650, 660).
위의 절차는 도 5의 기준 의거 패킷 수 정보 세트와 생산 정보 평균 패킷 크기 정보 세트에도 동일하게 적용될 수 있음은 상술하였다. It has been described above that the above procedure can be equally applied to the packet number information set based on the reference and the production information average packet size information set in FIG.
이에 따라서, 본 발명의 일 실시 예에 따른 아웃라이어 감지 기반의 DDoS 공격자 감지 알고리즘은 최종적으로 얻어진 결과 값 RV를 기반으로 특정 임계치를 넘어진 경우에 DDoS 공격자로 구별할 수 있다.Accordingly, the outlier detection-based DDoS attacker detection algorithm according to an embodiment of the present invention can be distinguished as a DDoS attacker when a specific threshold is exceeded based on the finally obtained result value RV.
본 명세서와 도면에 개시된 실시 예는 기술 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.The embodiments disclosed in the present specification and drawings are merely illustrative of specific examples for the purpose of easy explanation and understanding, and are not intended to limit the scope of the present invention. It is to be understood by those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.
한편, 본 명세서와 도면에는 본 발명의 바람직한 실시 예에 대하여 개시하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것이지, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예 외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, And is not intended to limit the scope of the invention. It is to be understood by those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.
110: 통계 정보 수집부
120: DDoS 감지부
130: DDoS 대응부
140: 정보 추출부
150: DDoS 관련 정보 관리부110: statistical information collecting unit 120: DDoS detecting unit
130: DDoS counterpart 140: Information extractor
150: DDoS related information management unit
Claims (1)
플로우 별 통계 정보를 수집하는 단계;
정보 추출 기준을 이용하여 상기 수집된 통계 정보로부터 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보를 추출하는 단계;
상기 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보의 데이터에 적어도 하나의 아웃라이어(outlier) 감지 기법을 적용하여 상기 데이터가 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하는 단계; 및
상기 결과 값에 따라 해당 플로우가 DDoS 공격인지 여부를 판단하는 단계;
를 포함하는 DDoS 공격 구별 방법. In a distributed denial of service (DDoS) attack distinguishing method,
Collecting flow-specific statistical information;
Extracting information for determining whether there is at least one DDoS attack from the collected statistical information using an information extraction criterion;
Determining whether the data is an outlier by applying at least one outlier detection technique to data of information for determining whether the attack is at least one DDoS attack, and outputting the result; And
Determining whether the flow is a DDoS attack according to the result;
The method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150006104A KR20160087448A (en) | 2015-01-13 | 2015-01-13 | Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150006104A KR20160087448A (en) | 2015-01-13 | 2015-01-13 | Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20160087448A true KR20160087448A (en) | 2016-07-22 |
Family
ID=56681132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150006104A KR20160087448A (en) | 2015-01-13 | 2015-01-13 | Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20160087448A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210013432A (en) | 2019-07-25 | 2021-02-04 | 호서대학교 산학협력단 | Anomaly detection apparatus based on outlier score in EDR |
CN116846060A (en) * | 2023-03-08 | 2023-10-03 | 国网江苏省电力有限公司淮安供电分公司 | Working condition safety learning system of IEC61850 intelligent substation |
-
2015
- 2015-01-13 KR KR1020150006104A patent/KR20160087448A/en not_active Application Discontinuation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210013432A (en) | 2019-07-25 | 2021-02-04 | 호서대학교 산학협력단 | Anomaly detection apparatus based on outlier score in EDR |
CN116846060A (en) * | 2023-03-08 | 2023-10-03 | 国网江苏省电力有限公司淮安供电分公司 | Working condition safety learning system of IEC61850 intelligent substation |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Dharma et al. | Time-based DDoS detection and mitigation for SDN controller | |
US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
US8966627B2 (en) | Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session | |
CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
CN108632269B (en) | Distributed denial of service attack detection method based on C4.5 decision tree algorithm | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
Shamsolmoali et al. | Statistical-based filtering system against DDOS attacks in cloud computing | |
US20060129810A1 (en) | Method and apparatus for evaluating security of subscriber network | |
WO2018108052A1 (en) | Ddos attack defense method, system and related equipment | |
US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
KR20120068612A (en) | Dns query traffic monitoring and processing method and apparatus | |
KR20110070189A (en) | Malicious traffic isolation system using botnet infomation and malicious traffic isolation method using botnet infomation | |
CN112134894A (en) | Moving target defense method for DDoS attack | |
Devi et al. | Detection of application layer DDoS attacks using information theory based metrics | |
KR101711022B1 (en) | Detecting device for industrial control network intrusion and detecting method of the same | |
KR100684602B1 (en) | Corresponding system for invasion on scenario basis using state-transfer of session and method thereof | |
CN105429940B (en) | A method of the extraction of network data flow zero watermarking is carried out using comentropy and hash function | |
JP2005210601A (en) | Intrusion detector | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
Vrat et al. | Anomaly detection in IPv4 and IPv6 networks using machine learning | |
KR20160087448A (en) | Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow | |
RU2684575C1 (en) | METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS | |
US20210234871A1 (en) | Infection-spreading attack detection system and method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |