KR20160087448A - Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow - Google Patents

Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow Download PDF

Info

Publication number
KR20160087448A
KR20160087448A KR1020150006104A KR20150006104A KR20160087448A KR 20160087448 A KR20160087448 A KR 20160087448A KR 1020150006104 A KR1020150006104 A KR 1020150006104A KR 20150006104 A KR20150006104 A KR 20150006104A KR 20160087448 A KR20160087448 A KR 20160087448A
Authority
KR
South Korea
Prior art keywords
information
outlier
ddos
flow
data
Prior art date
Application number
KR1020150006104A
Other languages
Korean (ko)
Inventor
김영민
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150006104A priority Critical patent/KR20160087448A/en
Publication of KR20160087448A publication Critical patent/KR20160087448A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an algorithm to detect a DDoS attack and a method thereof. According to an embodiment of the present invention, the algorithm to detect a DDoS attack includes: a step of collecting statistical data by flow; a step of extracting data to determine if the flow is at least one DDoS attack from the collected statistical data using data extraction criteria; a step of applying at least one outlier detection technique to the data to determine if the flow is at least one DDoS attack to determine if the data is an outlier and outputting the result; and a step of determining if the flow is an DDoS attack according to the result. According to an embodiment of the present invention, the present invention can minimize wrong detection of a DDoS attack.

Description

플로우 별 통계 정보를 활용한 아웃라이어 감지 기반의 DDoS 공격자 구별 방법 및 장치{OUTLIER SENSING BASED DDOS ATTACKER DISTINCTION METHOD AND APPARATUS USING STATISTICAL INFORMATION OF FLOW} TECHNICAL FIELD [0001] The present invention relates to an outlier detection method and an apparatus for distinguishing a DDoS attacker based on outlier detection using flow-specific statistical information,

본 발명은 분산 서비스 거부(DDoS attack: distributed denial of service) 공격(attack)의 공격자를 구별하기 위한 알고리즘 및 방법에 관한 것으로, 보다 상세하게는 (고가의 인라인 보안 장비를 사용하지 않고) 라우터가 패킷을 처리하면서 (또는 간이 망 관리 프로토콜(SNMP: simple network management protocol) 등을 통해) 수집한 플로우 별 통계 정보를 활용하여 라우터 단에서 DDoS 공격자를 구별하는 알고리즘 및 그 장치에 관한 것이다. 이때, 공격자 구별은 비정상 트래픽을 검출하는데 사용되는 아웃라이어(Outlier) 감지 기법을 활용할 수 있다. The present invention relates to an algorithm and method for distinguishing an attacker from a distributed denial of service (DDoS) attack, and more particularly, to an algorithm and method for distinguishing an attacker from a distributed denial of service (Or through a simple network management protocol (SNMP)) to the DDoS attacker by using the flow-specific statistical information. At this time, the attacker distinction can utilize an outlier detection technique used to detect abnormal traffic.

분산 서비스 거부(DDoS: distributed denial of service) 공격은 서비스 불능 상태로 만들고자 하는 서버에 수십만에 달하는 좀비 PC를 이용하여 공격 트래픽을 보내 정상적인 서비스 제공을 거부하게 하는 것이다. 그리고 이러한 DDoS 공격은 현재 가장 큰 보안 위협 문제 중 하나로 여겨지고 있다. A distributed denial of service (DDoS) attack is a denial-of-service (DDoS) attack that sends hundreds of thousands of zombie PCs to a server that is trying to make a service out of service and sends attack traffic to deny service. These DDoS attacks are now considered one of the biggest security threats.

이와 같은 DDoS 공격에 의한 피해를 줄이기 위해, 일반적으로 망 관리자는 공격 여부에 상관없이 레이트 제한(rate limit)을 걸어 전체 트래픽 량을 줄일 수 있다. 또는 망 관리자가 접속 리스트(access lists)를 관리하여 등록되어 있는 플로우만 접속을 허용하고 나머지는 드랍시킬 수도 있다. 또는 고가의 인라인 보안 장비를 설치하여 실시간으로 DDoS 공격을 대응하게 하는 방법들을 사용할 수도 있다. In order to reduce the damage caused by such DDoS attacks, the network administrator can reduce the total traffic amount by imposing a rate limit regardless of the attack. Alternatively, the network administrator may manage the access lists to allow only registered flows to connect and drop the remainder. Alternatively, expensive inline security equipment may be installed to respond to DDoS attacks in real time.

그러나, 상술한 방법 중 레이트 제한(rate limit)을 이용하여 전체 트래픽 량을 줄이는 방법의 경우에는 대다수의 정상 사용자들 역시 레이트 제한(rate limit)으로 인해 피해를 볼 수 있다. 또한, 접속 리스트(access list)를 관리하여 등록되어 있는 플로우만 접속을 허용하는 방법의 경우에는 접속 리스트(access list) 관리가 관리자의 수동 제어로 이루어진다는 점에서 OPEX 발생 및 접속 리스트의 잘못된 입력이 발생할 수 있다. 그리고, 고가의 인라인 보안 장비를 도입하는 방법의 경우에는 처리 용량이 커질수록 인라인 보안 장비 가격이 급속도로 증가한다는 점에서 한계점을 가지고 있다.However, in the case of the method of reducing the total traffic amount using the rate limit among the above-described methods, most of the normal users may also suffer from the rate limit. Also, in the case of a method of managing a connection list (access list) and allowing access only to the registered flow, the access list management is performed by the manual control of the administrator, Lt; / RTI > In addition, in the case of a method of introducing expensive inline security equipment, the price of inline security equipment is rapidly increased as the processing capacity is increased.

본 발명은 상술한 문제점을 해결하기 위한 것으로, 라우터가 패킷을 처리하면서 (또는 간이 망 관리 프로토콜(SNMP: simple network management protocol) 등을 통해) 수집한 플로우 별 통계 정보로부터 분산 서비스 거부(DDoS: distributed denial of service) 공격 관련 정보를 추출하고, 그 정보에 아웃라이어(outlier) 감지 기법을 적용하여 DDoS 공격 등의 비이상적인 행동 패턴을 보이는 공격자를 파악하는 알고리즘을 제안하는데 그 목적이 있다. Disclosure of Invention Technical Problem The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a method and system for providing a distributed denial of service (DDoS) from a statistical information collected by a router processing a packet (or via a simple network management protocol The purpose of this algorithm is to extract an attack related information and apply an outlier detection technique to the information to identify an attacker who exhibits a non-ideal behavior pattern such as a DDoS attack.

또한 망 상태 통계 정보를 활용한 아웃라이어(outlier) 감지 기반의 DDoS 공격자 구별 알고리즘을 제공하여, 경제적인 DDoS 공격 탐지에 대응하는 방법을 제공하고자 한다. The present invention also provides a DDoS attacker discrimination algorithm based on outlier detection using network state statistical information, thereby providing a method for responding to economic DDoS attack detection.

또한, 다수 개의 아웃라이어(Outlier) 기법을 중복 적용하여 DDoS 공격자 오탐 현상을 최소화하는 방법을 제공하는 것을 목적으로 한다. It is another object of the present invention to provide a method for minimizing the DDoS attacker misfit by applying a plurality of outlier schemes.

본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are not restrictive of the invention, unless further departing from the spirit and scope of the invention as defined by the appended claims. It will be possible.

상기 목적을 달성하기 위해 본 발명의 일 실시 예에 따른 DDoS 공격 구별 방법은, 플로우 별 통계 정보를 수집하는 단계; 정보 추출 기준을 이용하여 상기 수집된 통계 정보로부터 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보를 추출하는 단계; 상기 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보의 데이터에 적어도 하나의 아웃라이어(outlier) 감지 기법을 적용하여 상기 데이터가 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하는 단계; 및 상기 결과 값에 따라 해당 플로우가 DDoS 공격인지 여부를 판단하는 단계;를 포함할 수 있다.According to an aspect of the present invention, there is provided a method for distinguishing a DDoS attack according to an embodiment of the present invention includes collecting statistical information for each flow; Extracting information for determining whether there is at least one DDoS attack from the collected statistical information using an information extraction criterion; Determining whether the data is an outlier by applying at least one outlier detection technique to data of information for determining whether the attack is at least one DDoS attack, and outputting the result; And determining whether the flow is a DDoS attack according to the result value.

본 발명의 일 실시 예에 따르면, 망 상태 통계 정보를 활용한 아웃라이어(Outlier) 감지 기반의 분산 서비스 거부(DDoS: distributed denial of service) 공격자 구별 알고리즘은 망 상태 통계 정보를 활용하여 라우터 단에서 DDoS 공격을 탐지하고 대응할 수 있기에 다른 고가의 인라인 보안 장비에 비해 가격 경쟁력이 있을 수 있다. According to an embodiment of the present invention, a distributed denial of service (DDoS) attacker distinguishing algorithm based on outlier detection using network state statistical information is performed by using DDoS Because it can detect and respond to attacks, it can be cost competitive compared to other expensive inline security devices.

또한 다수 개의 아웃라이어(Outlier) 기법을 중복 적용하여 DDoS 공격자를 구별하기에, 통계 정보 기반의 탐지의 주요 문제점으로 여겨지는 DDoS 공격자 오탐지 현상을 최소화할 수 있다는 장점이 있다. In addition, DDoS attackers are distinguished by applying a plurality of outlier techniques to minimize DDoS attacker false positives, which are considered to be major problems of statistical information based detection.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtained by the present invention are not limited to the above-mentioned effects, and other effects not mentioned can be clearly understood by those skilled in the art from the following description will be.

도 1은 본 발명의 일 실시 예에 따른 DDoS 공격 탐지 및 대응 장치 개념도를 도시한 도면이다.
도 2는 본 발명의 일 실시 예에 따른 DDoS 공격자 구별을 위한 정보 추출 및 생산 방법의 흐름도를 도시한 도면이다.
도 3은 본 발명의 일 실시 예에 따른 추출 및 생산된 정보 안의 데이터 포맷의 일 예를 도시한 도면이다.
도 4는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별을 위한 아웃라이어 감지 적용 방안의 일 예를 도시한 도면이다.
도 5는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별 및 대응 알고리즘의 일 예를 도시한 도면이다.
도 6은 본 발명의 일 실시 예에 따른 결과 값 계산 세부 절차도의 일 예를 도시한 도면이다. 1 is a conceptual diagram of a DDoS attack detection and countermeasure apparatus according to an embodiment of the present invention.
2 is a flowchart illustrating an information extraction and production method for distinguishing a DDoS attacker according to an embodiment of the present invention.
3 is a diagram illustrating an example of a data format in extracted and produced information according to an embodiment of the present invention.
4 is a diagram illustrating an outlier detection application method for discriminating a DDoS attacker according to an embodiment of the present invention.
5 is a diagram illustrating an example of a DDoS attacker discrimination and corresponding algorithm according to an embodiment of the present invention.
FIG. 6 is a diagram illustrating an example of a result calculation detailed flowchart according to an embodiment of the present invention.

이하, 본 명세서의 실시 예의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

실시 예를 설명함에 있어서 본 명세서의 실시 예가 속하는 기술 분야에 익히 알려져 있고 본 명세서의 실시 예와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 명세서의 실시 예의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.In describing the embodiments, descriptions of techniques which are well known in the art to which the embodiments of the present invention belong, and which are not directly related to the embodiments of the present specification are not described. This is for the sake of clarity of the gist of the embodiment of the present invention without omitting the unnecessary explanation.

하기에서 본 명세서의 실시 예를 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 명세서의 실시 예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 이하 첨부된 도면을 참조하여 본 명세서의 실시 예의 실시 예를 설명하기로 한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In the following description of the embodiments of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present disclosure rather unclear. DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. The following terms are defined in consideration of the functions of the present invention, and these may be changed according to the intention of the user, the operator, or the like. Therefore, the definition should be based on the contents throughout this specification.

도 1은 본 발명의 일 실시 예에 따른 DDoS 공격 탐지 및 대응 장치 개념도를 도시한 도면이고, 도 2는 본 발명의 일 실시 예에 따른 DDoS 공격자 구별을 위한 정보 추출 및 생산 방법의 흐름도를 도시한 도면이고, 도 3은 본 발명의 일 실시 예에 따른 추출 및 생산된 정보 안의 데이터 포맷의 일 예를 도시한 도면이다. FIG. 1 is a conceptual diagram of a DDoS attack detection and countermeasure apparatus according to an embodiment of the present invention. FIG. 2 is a flowchart of an information extraction and production method for distinguishing a DDoS attacker according to an embodiment of the present invention FIG. 3 is a diagram illustrating an example of a data format in extracted and produced information according to an embodiment of the present invention. Referring to FIG.

도 1을 참고하면, 분산 서비스 거부(DDoS: distributed denial of service) 공격 탐지 및 대응 장치의 개괄적 구성은 1) 라우터가 패킷을 처리하면서 또는 간이 망 관리 프로토콜(SNMP: simple network management protocol) 등을 통해 플로우 별 통계 정보를 수집하는 통계 정보 수집부(110), 2) 수집된 정보에 기반하여 DDoS 공격 여부를 판단하는 DDoS 감지부(120), 3) 감지된 공격에 대응하는 DDoS 대응부(130), 4) 대응하면서 얻은 공격 패턴 정보를 추출하는 정보 추출부(140), 그리고 5) 공격에 관련된 정보를 총체적으로 관리하고, 관련된 정보를 여러 모듈에 분배하는 정보 관리부(150) 등으로 구성될 수 있다. 한편, 도 1에서는 각각의 기능을 하는 모듈이 별개로 도시되어 있으나 이는 설명의 편의를 위한 것으로, 실시 예에 따라서는 하나의 모듈이 여러 기능을 함께 수행할 수도 있다. 예를 들면, DDos 감지부(120)는 패킷을 처리하면서 플로우별 통계 정보를 수집하고, 수집된 정보에 기반하여 DDoS 공격 여부를 함께 판단할 수도 있다. 또는 상기 기능들을 하나의 제어부가 수행할 수도 있음은 물론이다. Referring to FIG. 1, a general configuration of a distributed denial of service (DDoS) attack detection and countermeasure device is as follows. 1) When a router processes a packet or a simple network management protocol (SNMP) A DDoS detection unit 120 for determining whether a DDoS attack is based on the collected information, 3) a DDoS counterpart 130 corresponding to a detected attack, 4) an information extracting unit 140 for extracting attack pattern information obtained in correspondence, and 5) an information managing unit 150 for collectively managing information related to an attack and distributing related information to various modules. have. In FIG. 1, the respective functional modules are shown separately, but for convenience of description, one module may perform various functions together. For example, the DDos detection unit 120 may collect flow-specific statistical information while processing a packet, and may also determine whether a DDOS attack is based on the collected information. Or one of the functions may be performed by the control unit.

본 발명의 일 실시 예에 따른 아웃라이어(outlier) 기반의 DDoS 공격자 구별 알고리즘은 예를 들면 DDoS 대응부(130)에 적용될 수 있으며, 공격자에 의해 생성된 플로우를 신속하고 정확하게 식별하여 제재함으로써 최대한 빨리 망을 안정 상태로 돌릴 수 있다. The outlier-based DDoS attacker distinguishing algorithm according to an embodiment of the present invention can be applied to the DDoS counterpart 130, for example, and can quickly and accurately identify and prevent the flow generated by an attacker, You can turn the net into a steady state.

이러한 경우에 있어서, 본 발명의 일 실시 예에 따른 아웃라이어(outlier) 기반의 DDoS 공격자 구별 알고리즘은, 수집된 플로우 별 통계 정보로부터 DDoS 공격자 구별을 위해 필요한 여러 가지 정보를 획득하는 작업부터 시작할 수 있다. 이 때 획득되는 정보는 통계 정보 수집부(110)가 수집한 통계 정보를 이용하여 여러 가지 기준에 의거하여 추출된 정보일 수 있다. 또는 실시 예에 따라, 상기 추출된 정보를 이용하여 추출된 정보의 다양한 조합을 통해 생산해낸 정보일 수도 있다. 도 2는 본 발명의 일 실시 예에 따른 수집된 플로우 별 통계 정보로부터 DDoS 공격자 구별을 위해 필요한 정보를 추출 및 생산하는 일반화된 도면을 나타낸 것이다. In this case, an outlier-based DDoS attacker distinguishing algorithm according to an embodiment of the present invention can start from a task of obtaining various information necessary for distinguishing a DDoS attacker from collected statistical information for each flow . The information obtained at this time may be information extracted on the basis of various criteria by using the statistical information collected by the statistical information collecting unit 110. Or information obtained through various combinations of extracted information using the extracted information according to an embodiment. FIG. 2 is a generalized diagram for extracting and producing information necessary for distinguishing a DDoS attacker from collected statistical information for each flow according to an embodiment of the present invention.

도 2를 참고하면, 예를 들면 총 n 개의 정보 추출 기준이 존재할 수 있으며, 이들 정보 추출 기준들에 의해 추출된 정보를 활용하여 총 m 개의 새로운 타입의 정보를 생산할 수 있다. Referring to FIG. 2, for example, a total of n information extraction criteria may exist, and a total of m new types of information may be produced using the information extracted by these information extraction criteria.

좀 더 구체적으로 살펴보면, 장치는 통계 정보 수집부(110)를 통해 플로우 별 통계 정보(data set)(210)를 수집할 수 있다. 그리고, 수집된 통계 정보로부터 미리 설정된 n 개의 정보 추출 기준(220, 223, 225)을 이용하여, 기준 의거 추출 정보 세트(230, 235)를 추출할 수 있다. 예를 들면, 통계 정보에 제1 정보 추출 기준(또는 정보 추출 기준 #1)(220)을 적용하여 제1 기준 의거 추출 정보 세트(set)(또는 기준 의거 추출 정보 세트 #1)(230)를 추출할 수 있다. 즉, 제1 기준 의거 추출 정보 세트(230)는 통계 정보(210)로부터 제1 정보 추출 기준(220)에 의해 추출된 정보 세트를 나타낸다. 유사하게, 제n1 기준 의거 추출 정보 세트(235)는 통계 정보(210)로부터 제n 정보 추출 기준(225)에 의해 추출된 정보 세트를 나타낸다. More specifically, the device may collect the flow-specific statistical information 210 through the statistical information collecting unit 110. From the collected statistical information, it is possible to extract the reference-based extracted information sets 230 and 235 by using the n information extraction references 220, 223, and 225 set in advance. For example, a first reference-based extracted information set (or reference-based extracted information set # 1) 230 is applied to the statistical information by applying a first information extraction reference (or information extraction reference # 1) Can be extracted. That is, the first-criterion-based extracting information set 230 indicates the information set extracted by the first information extracting criterion 220 from the statistical information 210. Similarly, the n- 1- based extract information set 235 indicates the information set extracted by the n-th information extracting criterion 225 from the statistical information 210. [

또한, 장치는 수집된 통계 정보(210)로부터 정보 추출 기준(220, 223, 225)에 의해 추출된 정보들을 조합하여 생산 정보 세트(240, 245)를 생산할 수 있다. 예를 들면, 통계 정보에 제1 정보 추출 기준(220)을 적용하여 추출된 정보와, 제2 정보 추출 기준(223)을 적용하여 추출된 정보를 조합하여 제1 생산 정보 세트(또는 생산 정보 세트 #1)(240)를 생산할 수 있다. 즉, 제1 생산 정보 세트(240)는 통계 정보(210)로부터 제1 정보 추출 기준(220) 및 제2 정보 추출 기준(223)에 의해 추출된 정보를 조합하여 생산된 정보 세트를 나타낸다. 유사하게, 예를 들면, 제n2 생산 정보 세트(245)는 통계 정보(210)로부터 제2 정보 추출 기준(223) 및 제n 정보 추출 기준(225)에 의해 추출된 정보를 조합하여 생산된 정보 세트를 나타낼 수 있다. 또는 제n2 생산 정보 세트(245)는 통계 정보(210)로부터 제n-1 정보 추출 기준 및 제n 정보 추출 기준(225)에 의해 추출된 정보를 조합하여 생산된 정보 세트를 나타낼 수 있다. 한편, 본 도면에서는 2 개의 정보 추출 기준에 의해 추출된 정보를 조합하여 생산 정보 세트를 생산하는 것만이 도시되어 있지만, 이에 한정되는 것은 아니다. 예를 들면, 3 개의 정보 추출 기준에 의해 추출된 정보를 조합하여 생산 정보 세트를 생산할 수도 있으며 그 이상의 정보 추출 기준에 의해 추출된 정보들을 조합하여 생산 정보 세트를 생산할 수도 있다. 또한, 각각의 생산 정보 세트들은 조합되는 추출된 정보의 개수가 서로 다를 수도 있음은 물론이다. The apparatus may also produce the production information set 240, 245 by combining the information extracted by the information extraction criteria 220, 223, 225 from the collected statistical information 210. For example, by combining the information extracted by applying the first information extraction criterion 220 to the statistical information and the information extracted by applying the second information extraction criterion 223, the first production information set (or the production information set # 1) < / RTI > That is, the first production information set 240 represents the information set produced by combining the information extracted from the statistical information 210 by the first information extraction criterion 220 and the second information extraction criterion 223. Similarly, for example, the n-th 2 production information set 245 may be produced by combining information extracted from the statistical information 210 by the second information extraction criterion 223 and the n-th information extraction criterion 225 Can represent a set of information. Or the n- 2 production information set 245 may represent an information set produced by combining the information extracted from the statistical information 210 by the n-1-th information extraction reference and the n-th information extraction reference 225. In the figure, only the production information set is produced by combining the information extracted by the two information extraction criteria, but the present invention is not limited to this. For example, the production information set may be produced by combining the information extracted by the three information extraction criteria, or the production information set may be produced by combining the information extracted by the information extraction criteria. Needless to say, the respective sets of production information may have different numbers of pieces of extracted information to be combined.

이때, 추출된 정보 세트 또는 생산된 정보 세트, 즉 기준 의거 추출 정보 세트(230, 235) 및 생산 정보 세트(240, 245) 안의 모든 데이터들은 DDoS 공격자를 구별하는데 활용될 수 있다. 이를 위하여, 예를 들면 도 3에 도시된 것과 같이 5-튜플(tuple) 정보(310)를 포함하는 일반화된 포맷으로 구성될 수 있다. 이때, 5-튜플 정보(310)는 플로우를 구별하는데 사용될 수 있다. 즉, 본 발명의 일 실시 예에 따른 추출 및 생산된 정보 안의 데이터 포맷은 기준 의거 추출 정보 세트 및 생산 정보 세트(370)에 더하여 플로우를 구별하기 위한 정보(310)를 더 포함할 수 있다. 이때, 상기 5-튜플 정보(310)는 Src IP(320), Dst IP(330), Src Port(350) 및 Protocol(360)을 포함할 수 있으며 이에 대한 구체적인 설명은 생략하기로 한다. At this time, all the data in the extracted information set or the produced information set, that is, the reference-based extract information set 230, 235 and the production information set 240, 245, can be used to distinguish the DDoS attacker. For this purpose, it may be configured in a generalized format including, for example, 5-tuple information 310 as shown in FIG. At this time, the 5-tuple information 310 can be used to distinguish the flow. That is, the data format in the extracted and produced information according to an embodiment of the present invention may further include information 310 for distinguishing flows in addition to the reference-based extracted information set and the production information set 370. [ The 5-tuple information 310 may include a Src IP 320, a Dst IP 330, a Src Port 350, and a Protocol 360, and a detailed description thereof will be omitted.

도 4는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별을 위한 아웃라이어 감지 적용 방안의 일 예를 도시한 도면이다. 4 is a diagram illustrating an outlier detection application method for discriminating a DDoS attacker according to an embodiment of the present invention.

DDoS 공격자 구별의 정확도는 추출된 정보 세트 및 생산된 정보 세트 안의 정보(데이터)들이 어떤 분포를 따르냐에 따라 달라질 수 있고, 또한 어떤 아웃라이어(outlier) 감지 기법을 적용하느냐에 따라서 그 정확도는 바뀔 수 있다. 본 발명의 일 실시 예에 따른 DDoS 공격자 구별 알고리즘은, DDoS 공격자 구별의 정확도를 높이기 위하여, 상술한 과정을 통해 얻어진 여러 개의 추출된 정보 세트 및 생산된 정보 세트에 여러 개의 아웃라이어(outlier) 감지 기법을 중복 적용하여 DDoS 공격자를 구별하는 방법을 제공한다. 이렇게 함으로써 DDoS 공격자 구별의 정확성을 크게 향상시킬 수 있다. The accuracy of the DDoS attacker distinction may vary depending on the distribution of information (data) in the extracted information set and the produced information set, and the accuracy may vary depending on which outlier detection technique is applied . The DDoS attacker distinguishing algorithm according to an embodiment of the present invention may include a plurality of extracted information sets obtained through the process described above and a plurality of outlier detection techniques To provide a method to distinguish DDOS attackers. This greatly improves the accuracy of the DDoS attacker distinction.

도 4를 참고하면, 본 발명의 일 실시 예에 따른 DDoS 공격자 구별 알고리즘은 추출 및 생산된 정보(410), 즉 추출된 정보 세트(411, 413) 및 생산된 정보 세트(415, 417)의 각각에 대하여 아웃라이어(outlier) 감지 기법을 적용하여 DDoS 공격자를 구별할 수 있다. 4, the DDoS attacker distinguishing algorithm according to an embodiment of the present invention includes extracting and producing information 410, that is, extracted information sets 411 and 413 and produced information sets 415 and 417, respectively The outlier detection technique can be applied to the DDoS attacker.

구체적으로 살펴보면, 상기 도 2 및 도 3과 관련된 부분에서 설명한 일반화된 포맷으로 추출 및 생산된 정보 세트들(410; 411, 413, 415, 417)로부터 하나의 정보 세트(420)를 선택할 수 있다. Specifically, one information set 420 can be selected from the information sets 410 (411, 413, 415, 417) extracted and produced in the generalized format described with reference to FIG. 2 and FIG.

그 후, 본 발명의 일 실시 예에 따른 DDoS 공격자 구별 알고리즘은 선택된 정보 세트(420)의 각각의 데이터(430)에 다수 개의 아웃라이어(outlier) 감지 기법들(440; 441, 443, 445)을 적용할 수 있다. 그리고 각각의 아웃라이어(outlier) 감지 기법(440)은 정보 세트(420)에 속해 있는 각각의 데이터(430)에 대해 아웃라이어(outlier) 여부를 판단할 수 있다. 그리고 아웃라이어(outlier)로 판단되면 그에 따른 결과 값을 출력할 수 있다. 예를 들면 아웃라이어(outlier)로 판단되면 1의 값을, 아니면 0의 값을 반환할 수 있다. 이때, 종복 적용되는 아웃라이어(outlier) 감지 기법(440)의 개수(n)는 정확성 측면과 복잡도 측면을 동시에 고려하여 정해질 수 있다. 예를 들면, 제1 아웃라이어 감지 기법(441)은 정보 세트(420)에 속해 있는 각각의 데이터(430)에 대해 아웃라이어(outlier) 여부를 판단하고, 판단 결과 아웃라이어(outlier)로 식별된 경우 1 값을 반환할 수 있다. 또는 판단 결과 아웃라이어(outlier)가 아닌 것으로 판단된 경우 0 값을 반환할 수 있다. 유사하게 제2 아웃라이어 감지 기법(443), 제n 아웃라이어 감지 기법(445)은 정보 세트(420)에 속해 있는 각각의 데이터(430)에 대해 아웃라이어(outlier) 여부를 판단하고, 판단 결과에 따른 결과 값을 출력할 수 있다. The DDoS attacker distinguishing algorithm according to an embodiment of the present invention then includes a plurality of outlier detection techniques 440 (441, 443, 445) in each data 430 of the selected information set 420 Can be applied. And each outlier detection scheme 440 may determine whether to outlier each data 430 belonging to the information set 420. If the outlier is determined, the resultant value can be output. For example, a value of 1 may be returned if it is determined to be an outlier, or a value of 0 may be returned. At this time, the number (n) of the outlier detection methods 440 to be applied sequentially can be determined by considering both the accuracy and the complexity. For example, the first outlier detection method 441 determines whether an outlier exists for each of the data 430 belonging to the information set 420, and if it is determined as outliers In case you can return a value of 1. Or may return a value of 0 if it is determined that it is not an outlier as a result of the determination. Similarly, the second outlier detection method 443 and the n-th outlier detection method 445 determine whether an outlier exists for each of the data 430 belonging to the information set 420, Can be output.

이후, 각각의 아웃라이어(outlier) 감지 기법에 의해 반환된 값들은 모두 더해져(450), 데이터의 결과 값(RV)(460)으로 출력된다. 그리고 그 결과 값(RV)(460)이 특정 임계치 값 α 이상인지 여부를 판단할 수 있다(470). 판단 결과, 결과 값(RV)(460)이 임계값 α 이상인 경우에는 데이터 값이 비정상이라고 결정할 수 있다(490). 또한, 결과 값(RV)(460)이 임계값 α 미만인 경우에는 데이터 값이 정상이라고 결정할 수 있다(480). 이때, 상기 도 3과 관련된 부분에서 설명한 바와 같이, 데이터의 일반화된 포맷에는 데이터 값뿐만 아니라 데이터의 플로우를 구별하기 위한 5-튜플 정보를 포함하고 있다. 이에, 480 단계에서 데이터가 비정상이라고 판단된 경우에는, 비정상이라고 결정된 데이터의 5-튜플 정보를 참조하여 플로우를 식별할 수 있다. 그리고 그 플로우를 잠정적으로 공격 플로우로 결정하고 해당 플로우에 속한 패킷들을 확률적으로 폐기시킬 수 있다. 한편, 상기의 결과 값(460), 즉 RV 값(460)이 특정 임계치와 같아지면, 본 발명의 일 실시 예에 따른 알고리즘을 구현한 시스템은 데이터의 5-튜플 정보를 참조하여 플로우를 식별한 후, 해당 플로우는 DDoS 공격자에 의해 생성된 플로우라 확정지을 수 있다. 그리고 확정된 플로우에 속하는 모든 패킷은 폐기할 수 있다. 실시 예에 따라, 상기 특정 임계치는 아웃라이어 감지 기법(440)의 개수와 같을 수 있다. 이때, 아웃라이어 감지 기법(440)은 아웃라이어 여부에 따라 1 또는 0의 값을 반환하므로, 결과 값이 아웃라이어 감지 기법(440)의 개수와 같다는 의미는 적용된 모든 아웃라이어 감지 기법들(440)이 데이터를 아웃라이어에 속한 값으로 판단했음을 의미한다. The values returned by each outlier detection technique are then summed (450) and output as the result value (RV) 460 of the data. And determine whether the result value (RV) 460 is equal to or greater than a specific threshold value alpha (470). As a result of the determination, if the result value (RV) 460 is equal to or greater than the threshold value?, It can be determined that the data value is abnormal (490). Further, if the result value (RV) 460 is less than the threshold value?, It can be determined that the data value is normal (480). 3, the generalized format of the data includes not only data values but also 5-tuple information for distinguishing the flow of data. If it is determined in step 480 that the data is abnormal, the flow can be identified by referring to the 5-tuple information of the data determined to be abnormal. Then, the flow is provisionally determined as an attack flow, and packets belonging to the flow can be stochastically discarded. On the other hand, if the result value 460, that is, the RV value 460 is equal to a certain threshold value, the system implementing the algorithm according to an embodiment of the present invention identifies the flow by referring to the 5-tuple information of the data After that, the flow can be confirmed as a flow generated by the DDoS attacker. And all packets belonging to the confirmed flow can be discarded. According to an embodiment, the specific threshold may be equal to the number of outlier detection techniques 440. Since the outlier detection method 440 returns a value of 1 or 0 depending on whether the outlier detection method 440 is performed or not, the meaning that the result value is equal to the number of the outlier detection methods 440 means that all the outlier detection methods 440, This means that the data is judged to belong to the outlier.

실시 예에 따라, 전수 및 확률적 폐기 정책은 관리자에 의해 설정될 수도 있고, 망 상황을 반영하여 동적으로 변경될 수 있다. 또한 전수 및 확률적 폐기 정책 이외에도 신규 세션 생성 불가 정책 등을 공격자에 대한 대응 정책으로 취할 수도 있다. Depending on the embodiment, the full number and probabilistic revocation policy may be set by the administrator or dynamically changed to reflect the network situation. In addition, it is possible to take policies such as new session creation policy as countermeasures against attackers in addition to historical and probabilistic disposal policies.

도 5는 본 발명의 일 실시 예에 따른 DDoS 공격자 판별 및 대응 알고리즘의 일 예를 도시한 도면이다. 5 is a diagram illustrating an example of a DDoS attacker discrimination and corresponding algorithm according to an embodiment of the present invention.

도 5를 참고하면, 본 발명의 일 실시 예에 따른 아웃라이어 기반의 DDoS 공격자 구별 알고리즘은 플로우 별 패킷 수, 바이트 수 등의 두 가지 기준에 의거하여 정보를 추출할 수 있다. Referring to FIG. 5, the outlier-based DDoS attacker distinguishing algorithm according to an embodiment of the present invention can extract information based on two criteria such as the number of packets per flow and the number of bytes.

구체적으로 살펴보면, 장치는 통계 정보 수집부(110)를 통해 플로우 별 통계 정보(data set)(510)를 수집할 수 있다. 그리고 정보 추출 기준으로, 플로우 별 패킷 수(525) 및 바이트 수(520)에 의거하여 수집된 통계 정보(510)로부터 정보를 추출할 수 있다. 즉, 바이트 사용량(520)에 따라 통계 정보(510)로부터 기준 의거 바이트 사용량 세트(530)를 추출하고, 패킷 수(525)에 따라 통계 정보(510)로부터 기준 의거 패킷 수 세트(533)를 추출할 수 있다. 그리고 추출된 정보를 활용하여 패킷 별 평균 바이트 수 정보(535)를 생성할 수 있다. IP 스푸핑(spoofing) 공격의 경우에는 한 세션 당 적은 수(예를 들면, 약 3개 정도)의 패킷을 생성하여 공격하는 특징이 있다. 그리고 TCP 플로딩(flooding)의 경우에는 공격 패킷의 크기가 정상 패킷에 비하여 작다는 특징(예를 들면, 약 120 바이트 정도)이 있다. 이러한 점을 고려하면, 상기의 추출 및 생산된 정보를 기반으로 DDoS 공격자 판별이 가능하게 된다. Specifically, the device can collect the flow-specific statistical information 510 through the statistical information collecting unit 110. [ Information can be extracted from the statistical information 510 collected based on the number of packets 525 and the number of bytes 520 for each flow on the basis of an information extraction standard. That is to say, the reference-oriented byte usage amount set 530 is extracted from the statistical information 510 in accordance with the byte usage amount 520 and the reference-based packet number set 533 is extracted from the statistical information 510 in accordance with the packet number 525 can do. The extracted information may be used to generate the average byte count information 535 per packet. In the case of an IP spoofing attack, a small number (for example, about three) of packets are generated and attacked per session. In the case of TCP flooding, there is a feature (for example, about 120 bytes) that the size of the attack packet is smaller than that of the normal packet. In consideration of this, the DDOS attacker can be identified based on the extracted and produced information.

이후, 상기 추출 및 생산된 정보 세트(530, 533, 535) 안의 각각의 데이터(540, 543, 545)에 다수 개의 아웃라이어 감지 기법(550)들이 적용되게 된다. 본 실시 예에서는 DDoS 공격자 구별의 정확성 향상을 위해 박스플롯(boxplot) 및 모디파이드 Z-스코어(modified z-score), 두 가지의 아웃라이어 감지 기법을 중복 사용할 수 있다. 이후, 앞서 언급한 바와 같이, 아웃라이어 감지 기법을 이용하여 해당 데이터가 아웃라이어 여부에 따라 1 또는 0의 값을 반환할 수 있다. A plurality of outlier detection methods 550 are applied to each of the data 540, 543, and 545 in the extracted and produced information sets 530, 533, and 535. In this embodiment, two types of outlier detection techniques, such as boxplot and modified z-score, can be used redundantly to improve the accuracy of DDOS attacker distinction. Thereafter, as mentioned above, the outlier detection technique can be used to return a value of 1 or 0 depending on whether the corresponding data is outliers.

예를 들면, 기준 의거 바이트 사용량 세트(530)의 각각의 데이터(540)에 대하여 boxplot 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력할 수 있다. 또한, 기준 의거 바이트 사용량 세트(530)의 각각의 데이터(540)에 대하여 modified z-score 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력할 수 있다. 그리고 그 결과 값들을 합쳐, 바이트 사용량 결과 값(RVb)(560)으로 출력할 수 있다. 유사하게, 기준 의거 패킷 수 세트(533)의 각각의 데이터(543)에 대하여 xplot 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하고, modified z-score 기법을 사용하여 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하고, 그 두 결과 값들을 합쳐, 패킷 수 결과 값(RVp)(563)으로 출력할 수 있다. 생산 정보 평균 패킷 크기 세트(535)에 대하여도 유사하게 아웃라이어 감지 기법을 중복 적용하여 평균 패킷 크기 결과 값(RVa)(565)을 출력할 수 있다. For example, it is possible to determine whether each data 540 of the reference-oriented byte usage set 530 is an outlier by using the boxplot technique, and output the resultant value. In addition, a modified z-score technique may be used for each data 540 of the reference set of byte usage set 530 to determine whether it is an outlier and to output the result. Then, the resultant values may be combined and output as the byte usage result value (RV b ) 560. Similarly, for each data 543 of the set of reference number of packets 533, it is determined whether it is an outlier by using the xplot technique, and the result is output, and an outlier recognition is performed using the modified z- And outputs the resultant value. Then, the two resultant values are combined and output as the packet number resultant value (RV p ) 563. Similar to the production information average packet size set 535, the outlier detection technique may be applied redundantly to output the average packet size result value (RV a ) 565.

이와 같이 본 예에서는 각가의 정보 세트(530, 533, 535) 안의 모든 데이터(540, 543, 545)에 두 가지 아웃라이어 감지 기법(550)이 적용되므로, 그 결과 값은 0, 1, 2 중 어느 하나의 값을 반환하게 된다. 그리고, 각각의 결과 값을 더하게 된다(570). 이때, 생산 및 추출된 정보 세트(530, 533, 535)가 총 세 개 존재하므로, 반환되는 최종 결과 값(RV = RVb + RVp + RVa)(580)은 0 내지 6 중 어느 하나의 값을 가지게 된다. 즉, RV(580)의 최소값은 0이고, 최대값은 n(정보 세트의 수) * a(적용된 아웃라이어 감지 기법의 수)가 된다. Thus, in this example, since two outlier detection methods 550 are applied to all the data 540, 543, and 545 in the respective information sets 530, 533, and 535, It returns one of the values. Then, the respective result values are added (570). At this time, the production and the extracted information set (530, 533, 535) is because the total three exist, any of the final results returned value (RV = RV b + RV p + RV a) (580) is from 0 to 6 a . That is, the minimum value of RV 580 is 0, and the maximum value is n (the number of information sets) * a (the number of applied outlier detection techniques).

그리고 그 결과 값(RV)(580)과 임계값을 비교하여(590), 결과 값(RV)(580)이 임계값보다 작은 경우에는 정상 트래픽으로 판단할 수 있다. 그러나 결과 값(RV)(580)이 임계값 이상인 경우에 그 트래픽은 비정상 트래픽, 즉 공격 트래픽으로 판단할 수 있다. If the result value (RV) 580 is compared with the threshold value (590) and the result value (RV) 580 is smaller than the threshold value, it can be determined as normal traffic. However, when the result value (RV) 580 is equal to or greater than the threshold value, the traffic can be determined as abnormal traffic, that is, attack traffic.

이때, 실시 예에 따라, 최종 반환된 RV 값(580)이 (n * a) / 2 이상이면 잠정적으로 공격 플로우로 결정하고 해당 플로우에 속한 패킷들을 확률적으로 폐기시키기 시작할 수 있다. 그리고, RV 값(580)이 (n * a) 이 될 경우에는 플로우에 속하는 모든 패킷을 폐기할 수 있다. At this time, according to the embodiment, if the finally returned RV value 580 is (n * a) / 2 or more, it is possible to provisionally determine the attack flow and to start discarding the packets belonging to the flow probabilistically. When the RV value 580 is (n * a), all packets belonging to the flow can be discarded.

도 6은 본 발명의 일 실시 예에 따른 결과 값 계산 세부 절차도의 일 예를 도시한 도면이다. FIG. 6 is a diagram illustrating an example of a result calculation detailed flowchart according to an embodiment of the present invention.

도 6은 상술한 도 5의 기준 의거 바이트 사용량 세트(530)에 두 개의 아웃라이어 감지 기법(550)이 어떻게 적용되는지에 대하여 설명한 도면이다. 도 5의 나머지 두 개의 세트, 즉 기준 의거 패킷 사용량 세트(533) 및 생산 정보 평균 패킷 크기 세트(535)에도 도 6의 절차는 동일하게 적용될 수 있다. FIG. 6 is a diagram for explaining how two outlier detection methods 550 are applied to the reference-based byte usage set 530 of FIG. The procedure of FIG. 6 can be equally applied to the remaining two sets of FIG. 5, that is, the reference-based packet usage set 533 and the production information average packet size set 535.

도 6을 참고하면, 기준 의거 바이트 사용량 세트(610)의 각각의 데이터(620)에 대하여 modified z-score 기법(630)과 boxplot 기법(640)을 적용하여 아웃라이어인지 여부를 판단할 수 있다. Referring to FIG. 6, the modified z-score technique 630 and the boxplot technique 640 may be applied to each data 620 of the reference set of byte usage set 610 to determine whether it is an outlier.

즉, RV 값 결정 시 각 알고리즘 고유의 아웃라이어 결정 임계치 값을 고려하여 아웃라이어 여부를 판단하게 된다. 설명의 편의를 위하여 아웃라이어 감지 기법인 modified z-score 및 boxplot 기법에 대한 자세한 설명은 생략하기로 한다. modified z-score 기법(630)의 경우 데이터의 z-score 값을 계산하고(633), 데이터의 z-score 값에 따라 아웃라이어인지 여부를 판단할 수 있다(635). 예를 들면, 데이터의 z-score 값이 3.5 이상이면 아웃라이어로 판단하고 결과 값으로 1을, 3.5 이하면 정상 트래픽으로 판단하고 결과 값으로 0을 반환할 수 있다. 그에 반해 boxplot 기법(640)은 데이터 집합을 작은 값에서 큰 값 순으로 정렬한 후, 전체 데이터 중 1/4번째로 큰 값을 Q1으로, 1/2번째로 큰 값을 Q2로, 3/4번째로 큰 값을 Q3로 설정한 후, 위의 Q1, Q2, Q3값을 활용하여 펜스(fence)를 설정할 수 있다(643). 그리고, 데이터 값이 상기 설정된 fence를 벗어나는지 여부에 따라 아웃라이어인지 여부를 판단할 수 있다(645). 예를 들면, boxplot 기법(640)은 데이터 값이 상기 설정된 fence를 벗어나면 아웃라이어로 판단하고 1의 결과 값을, 아니면 정상 트래픽으로 판단하고 0의 결과 값을 반환할 수 있다. That is, when the RV value is determined, it is determined whether the outlier is determined by considering the outlier determination threshold value unique to each algorithm. For the sake of convenience of explanation, the detailed description of the outlier detection technique, the modified z-score and the boxplot technique will be omitted. In the case of the modified z-score method 630, the z-score value of the data is calculated 633, and it can be determined whether it is an outlier according to the z-score value of the data 635. For example, if the z-score value of the data is 3.5 or more, it is judged as an outlier and 1 is set as a result value. If the z-score value is 3.5 or less, it is judged as normal traffic and 0 can be returned. On the other hand, the boxplot technique 640 arranges the data set in order from a small value to a large value. Then, the 1/4 largest value of the data is Q1, the 1/2 largest value is Q2, After setting the third largest value to Q3, the fence can be set using the Q1, Q2, and Q3 values (643). If the data value is out of the set fence, it can be determined whether it is an outlier (645). For example, the boxplot technique 640 may determine that the data value is outlier if the data value is out of the set fence, and may determine a result value of 1 or a normal traffic, and return a value of zero.

이러한 아웃라이어 감지 기법들에 의해 반환된 결과 값들은 계속해서 RVb 값에 더해지게 된다(650, 660). The results returned by these outlier detection techniques continue to be added to the RV b value (650, 660).

위의 절차는 도 5의 기준 의거 패킷 수 정보 세트와 생산 정보 평균 패킷 크기 정보 세트에도 동일하게 적용될 수 있음은 상술하였다. It has been described above that the above procedure can be equally applied to the packet number information set based on the reference and the production information average packet size information set in FIG.

이에 따라서, 본 발명의 일 실시 예에 따른 아웃라이어 감지 기반의 DDoS 공격자 감지 알고리즘은 최종적으로 얻어진 결과 값 RV를 기반으로 특정 임계치를 넘어진 경우에 DDoS 공격자로 구별할 수 있다.Accordingly, the outlier detection-based DDoS attacker detection algorithm according to an embodiment of the present invention can be distinguished as a DDoS attacker when a specific threshold is exceeded based on the finally obtained result value RV.

본 명세서와 도면에 개시된 실시 예는 기술 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.The embodiments disclosed in the present specification and drawings are merely illustrative of specific examples for the purpose of easy explanation and understanding, and are not intended to limit the scope of the present invention. It is to be understood by those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.

한편, 본 명세서와 도면에는 본 발명의 바람직한 실시 예에 대하여 개시하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것이지, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예 외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, And is not intended to limit the scope of the invention. It is to be understood by those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.

110: 통계 정보 수집부 120: DDoS 감지부
130: DDoS 대응부 140: 정보 추출부
150: DDoS 관련 정보 관리부110: statistical information collecting unit 120: DDoS detecting unit
130: DDoS counterpart 140: Information extractor
150: DDoS related information management unit

Claims (1)

분산 서비스 거부(DDoS: distributed denial of service) 공격 구별 방법에 있어서,
플로우 별 통계 정보를 수집하는 단계;
정보 추출 기준을 이용하여 상기 수집된 통계 정보로부터 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보를 추출하는 단계;
상기 적어도 하나의 DDoS 공격인지 여부를 판단하기 위한 정보의 데이터에 적어도 하나의 아웃라이어(outlier) 감지 기법을 적용하여 상기 데이터가 아웃라이어인지 여부를 판단하여 그 결과 값을 출력하는 단계; 및
상기 결과 값에 따라 해당 플로우가 DDoS 공격인지 여부를 판단하는 단계;
를 포함하는 DDoS 공격 구별 방법. In a distributed denial of service (DDoS) attack distinguishing method,
Collecting flow-specific statistical information;
Extracting information for determining whether there is at least one DDoS attack from the collected statistical information using an information extraction criterion;
Determining whether the data is an outlier by applying at least one outlier detection technique to data of information for determining whether the attack is at least one DDoS attack, and outputting the result; And
Determining whether the flow is a DDoS attack according to the result;
The method comprising:
KR1020150006104A 2015-01-13 2015-01-13 Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow KR20160087448A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150006104A KR20160087448A (en) 2015-01-13 2015-01-13 Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150006104A KR20160087448A (en) 2015-01-13 2015-01-13 Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow

Publications (1)

Publication Number Publication Date
KR20160087448A true KR20160087448A (en) 2016-07-22

Family

ID=56681132

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150006104A KR20160087448A (en) 2015-01-13 2015-01-13 Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow

Country Status (1)

Country Link
KR (1) KR20160087448A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210013432A (en) 2019-07-25 2021-02-04 호서대학교 산학협력단 Anomaly detection apparatus based on outlier score in EDR
CN116846060A (en) * 2023-03-08 2023-10-03 国网江苏省电力有限公司淮安供电分公司 Working condition safety learning system of IEC61850 intelligent substation

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210013432A (en) 2019-07-25 2021-02-04 호서대학교 산학협력단 Anomaly detection apparatus based on outlier score in EDR
CN116846060A (en) * 2023-03-08 2023-10-03 国网江苏省电力有限公司淮安供电分公司 Working condition safety learning system of IEC61850 intelligent substation

Similar Documents

Publication Publication Date Title
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
CN108632269B (en) Distributed denial of service attack detection method based on C4.5 decision tree algorithm
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
Shamsolmoali et al. Statistical-based filtering system against DDOS attacks in cloud computing
US20060129810A1 (en) Method and apparatus for evaluating security of subscriber network
WO2018108052A1 (en) Ddos attack defense method, system and related equipment
US10469528B2 (en) Algorithmically detecting malicious packets in DDoS attacks
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
KR20120068612A (en) Dns query traffic monitoring and processing method and apparatus
KR20110070189A (en) Malicious traffic isolation system using botnet infomation and malicious traffic isolation method using botnet infomation
CN112134894A (en) Moving target defense method for DDoS attack
Devi et al. Detection of application layer DDoS attacks using information theory based metrics
KR101711022B1 (en) Detecting device for industrial control network intrusion and detecting method of the same
KR100684602B1 (en) Corresponding system for invasion on scenario basis using state-transfer of session and method thereof
CN105429940B (en) A method of the extraction of network data flow zero watermarking is carried out using comentropy and hash function
JP2005210601A (en) Intrusion detector
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
Vrat et al. Anomaly detection in IPv4 and IPv6 networks using machine learning
KR20160087448A (en) Outlier sensing based ddos attacker distinction method and apparatus using statistical information of flow
RU2684575C1 (en) METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS
US20210234871A1 (en) Infection-spreading attack detection system and method, and program

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination