KR20160112661A - Method and apparatus for protecting network from distributed denial of service attack - Google Patents

Method and apparatus for protecting network from distributed denial of service attack Download PDF

Info

Publication number
KR20160112661A
KR20160112661A KR1020150038789A KR20150038789A KR20160112661A KR 20160112661 A KR20160112661 A KR 20160112661A KR 1020150038789 A KR1020150038789 A KR 1020150038789A KR 20150038789 A KR20150038789 A KR 20150038789A KR 20160112661 A KR20160112661 A KR 20160112661A
Authority
KR
South Korea
Prior art keywords
traffic pattern
packet
client terminal
pattern information
network
Prior art date
Application number
KR1020150038789A
Other languages
Korean (ko)
Inventor
진재환
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020150038789A priority Critical patent/KR20160112661A/en
Publication of KR20160112661A publication Critical patent/KR20160112661A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention provides a method and an apparatus for protecting a network from distributed denial of service attack. The method for protecting a network from distributed denial of service attack in a network management server according to an embodiment of the present invention may include a step of receiving traffic pattern information from a client terminal, a step of generating a packet control rule based on the traffic pattern information, and a step of transmitting the packet control rule to network equipment corresponding to the client terminal. Therefore, the distributed denial of service attack can be more adaptively defended by interlinking with the network management server and the client terminal.

Description

네트워크 분산 서비스 거부 공격 방어 방법 및 장치{Method and apparatus for protecting network from distributed denial of service attack} [0001] The present invention relates to a distributed denial of service attack method and apparatus,

본 발명은 네트워크상에서의 분산 서비스 거부 공격 방어에 관한 것으로서, 상세하게, 클라이언트 단말과의 연동을 통해 적응적으로 분산 서비스 거부 공격을 방어하는 것이 가능한 네트워크 분산 서비스 거부 공격 방어 방법 및 그를 위한 장치에 관한 것이다.The present invention relates to a defense against distributed denial of service attacks on a network, and more particularly to a network distributed denial of service attack defense method capable of adaptively preventing a distributed denial of service attack through interworking with a client terminal, and an apparatus therefor will be.

일반적으로, 분산 서비스 거부(DDoS: Dristributed Denial of Service) 공격은 네트워크에 연결된 복수의 컴퓨터를 동시에 동작시켜 특정 서버에 과도한 부하를 유발시킴으로써, 해당 서버의 정상 동작을 방해하거나 해당 서버를 다운시키는 공격을 말한다. In general, a distributed denial of service (DDoS) attack causes an attack that interferes with the normal operation of the server or causes the server to shut down by causing multiple computers connected to the network to operate simultaneously, It says.

특정 서버나 웹사이트를 공격하기 위해, 해커는 DDoS 공격을 위한 프로그램을 복수의 컴퓨터에 설치한 후, 해당 컴퓨터의 프로그램이 공격 대상 서버 또는 웹사이트에서 처리될 수 없는 엄청난 분량의 패킷을 동시에 생성하여 해당 공격 대상 서버에 전송하도록 제어한다. 결과적으로, DDoS 공격은 공격 대상 서버에서의 과도한 패킷 수신을 유발함으로써, 과부하를 발생시킨다.To attack a specific server or web site, a hacker can install a program for DDoS attacks on multiple computers, and then the program on that computer simultaneously creates a huge amount of packets that can not be processed by the attacked server or website To the attack target server. As a result, a DDoS attack causes excessive packet reception at the attack target server, thereby causing an overload.

일 예로, DDoS 공격을 받은 웹사이트는 정상적인 접속이 불가능해지며, 심한 경우 네트워크 장비나 서버의 하드웨어가 손상될 수도 있다.For example, a DDoS-attacked web site can not be accessed normally, and in severe cases, the hardware of a network device or a server may be damaged.

또한, 어떤 경로로든지 DDoS 공격 도구가 설치된 컴퓨터 시스템들은 자신도 모르는 사이에 DDoS 공격 시스템으로 이용될 수 있다. 이러한 DDoS 공격도구 중 널리 알려진 것으로는 과거에는 트리누(Trinoo), 트리벌 플러 네트워크(TFN;Tribal Flood Network), 슈타첼드라트(Stacheldraht) 등이 있으며, 최근에는 봇넷을 구성하는 넷봇(NetBot), 블랙에너지(BlackEnergy) 등이 있다. In addition, computer systems with DDoS attack tools installed on any path can be used as a DDoS attack system without their knowledge. One of the most widely known DDoS attack tools in the past is Trinoo, Tribal Flood Network (TFN), and Stacheldraht. In recent years, NetBot, a botnet, , And Black Energy (BlackEnergy).

DDoS 공격 도구는 웜(worm), 바이러스(virus) 등의 형태로 다양한 경로를 통해 일반인들의 컴퓨터 시스템에 침입한다.The DDoS attack tool penetrates the computer system of the general public through various paths such as worms and viruses.

종래의 DDoS 공격 탐지 및 차단 기술은 DDoS 고유의 공격 패턴을 탐지하여 차단하거나, 네트워크 또는 서버 단에서의 트래픽을 제한하여 서버 및 네트워크 장비를 보호하는 방법이 사용되었다. 여기서 고유의 공격 패턴이란 서버에 부하를 주기 위하여 DDoS마다 특정한 형태로 변조된 패킷(packet)을 과다하게 발생시키는 것을 말하며, 대표적인 것으로는TCP SYN Flood, TCP Flag Flood, HTTP Flood, UDP Flood, ICMP Flood 등이 있다.Conventional DDoS attack detection and blocking technologies have been used to detect and block DDoS-specific attack patterns or to protect servers and network equipment by limiting traffic at the network or server side. In this paper, we propose a new attack pattern, which is to generate a modulated packet in a specific form for each DDoS to load the server. Typical examples are TCP SYN Flood, TCP Flag Flood, HTTP Flood, UDP Flood, ICMP Flood .

종래 대부분의 DDoS 공격 탐지 기술은 네트워크상의 트래픽이 평상시 정상 상황일 때 보다 갑자기 늘어나는 경우, 이를 DDoS 공격으로 판단하는 방법이다. 즉, 종래의 공격 여부 판단 기준은 단순히 과거에 비해 얼마나 많은 트래픽이 갑자기 증가하였는가를 비교한다.Most conventional DDoS attack detection technology is a method of judging DDoS attack when the traffic on the network suddenly increases suddenly in a normal situation. In other words, the conventional attack criterion simply compares how much traffic has suddenly increased compared to the past.

이러한 형태의 공격 탐지 방안은 응용계층의 DDoS 공격을 탐지하는 데는 매우 부적합하다. 왜냐하면, 최근 발생하고 있는 응용계층에 대한 DDoS 공격은 그 트래픽의 양이 정상 범위를 벗어날 만큼 많지 않아, 트래픽의 양만으로 공격을 탐지하는 것이 매우 어렵기 때문이다. This type of attack detection scheme is very inadequate to detect DDoS attacks in the application layer. The reason for this is that it is very difficult to detect attacks based on the amount of traffic, because the recent amount of DDoS attacks on the application layer is not large enough to exceed the normal range of traffic.

특히, 클라이언트 단말 별 제공되는 서비스의 타입이 다양할 뿐만 아니라 서비스 타입 별 송/수신되는 패킷 형태 및 크기가 상이할 수 있다. 또한, 시간대 별 서버에서 제공하는 서비스 타입이 상이할 수도 있다.Particularly, not only are the types of services provided for each client terminal vary, but packet types and sizes to be transmitted / received for each service type may be different. In addition, the service type provided by the time zone server may be different.

따라서, 종래에는 클라이언트 단말 단위로 DDoS 공격을 감지하고 차단 방법이 제공되지 않았다.Accordingly, in the related art, a DDoS attack is not detected and a blocking method is not provided for each client terminal.

본 발명은 상술한 종래 기술의 문제점을 해결하기 위해 고안된 것으로, 본 발명의 목적은 네트워크 분산 서비스 거부 공격 방어 방법 및 장치를 제공하는 것이다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a network distributed denial of service attack prevention method and apparatus.

본 발명의 다른 목적은 네트워크 관리 서버에서 클라이언트 단말로부터 실시간 트래픽 패턴 정보를 수신하여 적응적으로 네트워크 장비를 제어함으로써 분산 서비스 거부 공격을 방어하는 것이 가능한 네트워크 분산 서비스 거부 공격 방어 방법을 제공하는 것이다.It is another object of the present invention to provide a network distributed denial of service attack defense method capable of protecting a distributed denial of service attack by receiving real-time traffic pattern information from a client terminal in a network management server and controlling the network equipment adaptively.

본 발명의 또 다른 목적은 DDoS 공격 감지 시 적응적으로 트래픽 패턴을 변경함으로써, 적응적으로 분산 서비스 거부 공격에 대응하는 것이 가능한 네트워크 분산 서비스 거부 공격 방어 방법 및 그를 위한 장치를 제공하는 것이다. Yet another object of the present invention is to provide a network distributed denial of service attack defense method and an apparatus therefor, which adaptively adapt to a distributed denial of service attack by adaptively changing a traffic pattern when a DDoS attack is detected.

본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are not restrictive of the invention, unless further departing from the spirit and scope of the invention as defined by the appended claims. It will be possible.

본 발명은 네트워크 분산 서비스 거부 공격 방어 방법 및 그를 위한 장치들을 제공한다.The present invention provides a network distributed denial of service attack defense method and apparatus therefor.

본 발명의 일 실시예에 따른 네트워크 관리 서버에서의 분산 서비스 거부 공격 방어 방법은 클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 단계와 상기 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 생성하는 단계와 상기 클라이언트 단말에 상응하는 네트워크 장비로 상기 패킷 제어 규칙을 전송하는 단계를 포함할 수 있다. A method of protecting a distributed denial of service attack in a network management server according to an embodiment of the present invention includes receiving traffic pattern information from a client terminal, generating a packet control rule based on the traffic pattern information, And sending the packet control rules to the corresponding network equipment.

여기서, 상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성될 수 있다. Here, the traffic pattern information may be generated by the client terminal based on a service currently provided by the client terminal.

또한, 상기 네트워크 관리 서버는 상기 패킷 제어 규칙을 서로 다른 상기 클라이언트 단말로부터 수신된 복수의 상기 트래픽 패턴 정보에 기반하여 생성할 수 있다.In addition, the network management server may generate the packet control rule based on a plurality of the traffic pattern information received from the different client terminals.

또한, 상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보를 수신하는 단계를 더 포함하되, 상기 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신한 후 상기 네트워크 장비에 전송할 수 있다.The method may further include receiving modified traffic pattern information from the client terminal. When the changed traffic pattern information is received, the packet control rule may be updated based on the changed traffic pattern information and then transmitted to the network equipment have.

또한, 상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 변경하고, 상기 변경된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송할 수 있다.The client terminal may change a current traffic pattern and transmit the changed traffic pattern information to the network management server when a distributed denial of service attack is detected.

또한, 상기 네트워크 장비는 라우터, 서버 수용 장비, 클라이언트 단말 네트워크 장비 중 적어도 어느 하나를 포함할 수 있다.Also, the network device may include at least one of a router, a server accommodating device, and a client terminal network device.

여기서, 상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함할 수 있다.Here, the router may include at least one of a backbone router, an edge router, and an access router.

또한, 상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함할 수 있다.In addition, the traffic pattern information may include at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information.

또한, 상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합으로 구성될 수 있다.The packet control rule may include rules for discarding packets having a specific traffic pattern, rules for filtering packets having a specific traffic pattern to be routed to corresponding client terminals, rules for routing packets having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets transmitted to the client terminal.

본 발명의 다른 일 실시예는 상기한 분산 서비스 거부 공격 방어 방법들 중 어느 하나의 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체가 제공될 수 있다.According to another embodiment of the present invention, a computer-readable recording medium having recorded thereon a program for executing any one of the distributed denial of service attack defense methods can be provided.

본 발명의 또 다른 일 실시예에 따른 네트워크상의 분산 서비스 거부 공격을 방어하는 네트워크 관리 서버는 상기 네트워크상의 클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 통신부와 상기 트패픽 패턴 정보를 네트워크 장비 단위로 분류하는 트래픽 패턴 정보 수집부와 상기 분류된 트래픽 패턴 정보에 기반하여 상기 네트워크 장비 별 패킷 제어 규칙을 생성하는 패킷 제어 규칙 생성부와 상기 생성된 패킷 제어 규칙을 상기 통신부를 통해 해당 네트워크 장비에 전송하는 제어부를 포함할 수 있다.A network management server for defending a distributed denial of service attack on a network according to another exemplary embodiment of the present invention includes a communication unit for receiving traffic pattern information from a client terminal on the network, a traffic classifying unit for classifying the traffic pattern information into network equipment units A packet control rule generation unit for generating a packet control rule for each network device based on the classified traffic pattern information and a control unit for transmitting the generated packet control rule to the corresponding network equipment through the communication unit can do.

여기서, 상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성될 수 있다.Here, the traffic pattern information may be generated by the client terminal based on a service currently provided by the client terminal.

또한, 상기 패킷 제어 규칙 생성부는 상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신하고, 상기 제어부가 상기 갱신된 패킷 제어 규칙을 해당 네트워크 장비로 전송할 수 있다.When the changed traffic pattern information is received from the client terminal, the packet control rule generator updates the packet control rule based on the changed traffic pattern information, and the controller transmits the updated packet control rule to the corresponding network equipment Lt; / RTI >

또한, 상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 상이한 트래픽 패턴으로 변경하고, 상기 변경된 트래픽 패턴에 관한 정보를 상기 네트워크 관리 서버에 전송할 수 있다. The client terminal may change a current traffic pattern to a different traffic pattern and transmit information on the changed traffic pattern to the network management server when a distributed denial of service attack is detected.

또한, 상기 네트워크 장비는 라우터, 서버 수용 장비, 클라이언트 단말 네트워크 장비 중 적어도 어느 하나를 포함할 수 있다.Also, the network device may include at least one of a router, a server accommodating device, and a client terminal network device.

여기서, 상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함할 수 있다.Here, the router may include at least one of a backbone router, an edge router, and an access router.

또한, 상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함할 수 있다.In addition, the traffic pattern information may include at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information.

또한, 상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합으로 구성될 수 있다.The packet control rule may include rules for discarding packets having a specific traffic pattern, rules for filtering packets having a specific traffic pattern to be routed to corresponding client terminals, rules for routing packets having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets transmitted to the client terminal.

또한, 상기 네트워크 장비로부터 수신된 패킷에 기반하여 공격 특성을 분석하는 공격 특성 분석부를 더 포함하되, 상기 분석된 공격 특성에 관한 정보를 상기 클라이언트 단말에 전송할 수 있다.The attacker may further include an attack characteristic analysis unit for analyzing an attack characteristic based on a packet received from the network device, and may transmit information on the analyzed attack characteristic to the client terminal.

또한, 상기 클라이언트 단말과 상기 네트워크 장비 사이의 연결 관계를 식별하기 위한 라우팅 테이블을 더 포함하되, 상기 트래픽 패턴 정보 수집부가 상기 라우팅 테이블을 참조하여 상기 네트워크 장비 별 상기 트래픽 패턴 정보를 분류할 수 있다.The network device may further include a routing table for identifying a connection relationship between the client terminal and the network device. The traffic pattern information collector may classify the traffic pattern information for each network device by referring to the routing table.

본 발명의 또 다른 일 실시예에 따른 네트워크 관리 서버와 연동하여 분산 서비스 거부 공격을 방어하는 클라이언트 단말은 현재 제공하고 있는 서비스에 대응되는 트래픽 패턴을 추출하는 트래픽 패턴 추출부와 상기 추출된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송하는 통신부와 네트워크 장비로부터 수신된 패킷을 분석하여 분산 서비스 거부 공격 발생 여부를 감지하는 공격 감지부와 상기 분산 서비스 거부 공격이 감지되면 상기 트래픽 패턴을 변경하는 트래픽 패턴 변경부를 포함할 수 있다.A client terminal that defends a distributed denial of service attack in cooperation with a network management server according to another embodiment of the present invention includes a traffic pattern extracting unit for extracting a traffic pattern corresponding to a currently provided service, And a traffic pattern changing unit for changing the traffic pattern when the distributed denial of service attack is detected, and a traffic pattern change unit for changing the traffic pattern when the distributed denial of service attack is detected, .

상기 본 발명의 양태들은 본 발명의 바람직한 실시예들 중 일부에 불과하며, 본원 발명의 기술적 특징들이 반영된 다양한 실시예들이 당해 기술분야의 통상적인 지식을 가진 자에 의해 이하 상술할 본 발명의 상세한 설명을 기반으로 도출되고 이해될 수 있다.It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. And can be understood and understood.

본 발명에 따른 방법 및 장치에 대한 효과에 대해 설명하면 다음과 같다.Effects of the method and apparatus according to the present invention will be described as follows.

첫째, 본 발명은 서버 인지 기반의 네트워크 분산 서비스 거부 공격 방어 방법 및 장치를 제공하는 장점이 있다.First, the present invention is advantageous in that it provides a method and an apparatus for defending a network distributed denial-of-service attack based on a server.

둘째, 본 발명은 클라이언트 단말과의 연동을 통해 클라이언트 단말 단위로 분산 서비스 거부 공격을 감지하고 이를 적응적으로 차단하는 것이 가능한 분산 서비스 거부 공격 방어 방법을 제공하는 장점이 있다.Second, the present invention has an advantage of providing a distributed denial-of-service attack defense method capable of detecting a distributed denial-of-service attack in units of client terminals through an interoperation with a client terminal and adaptively blocking the denial-of-service denial attack.

셋째, 본 발명은 클라이언트 단말로부터 수신되는 실시간 트래픽 패턴 정보에 기반하여 적응적으로 네트워크 장비상에서의 패킷 처리 동작을 제어하는 네트워크 관리 서버를 제공함으로써, 다양한 DDoS 공격에 적응적으로 대응할 수 있는 장점이 있다.Third, the present invention provides an advantage of adaptively adapting to various DDoS attacks by providing a network management server that controls packet processing operations on network devices adaptively based on real-time traffic pattern information received from a client terminal .

넷째, 본 발명은 DDoS 공격이 감지되면 트래픽 패턴을 변경하고, 변경된 트래픽 패턴 정보를 네트워크 관리 서버에 전송하는 것이 가능한 클라이언트 단말을 제공함으로써, 분산 서비스 거부 공격에 빠르게 대응할 수 있는 장점이 있다.Fourth, the present invention provides a client terminal capable of changing a traffic pattern and transmitting changed traffic pattern information to a network management server when a DDoS attack is detected, thereby being capable of responding to a distributed denial of service attack quickly.

다섯째, 본 발명은 DDoS 공격 감지 시 네트워크 관리 서버에서 서버 단위로 공격 패턴을 분석하여 통계 처리하고, 통계 처리 결과를 클라이언트 단말에 제공함으로써, 클라이언트 단말이 DDoS 공격에 회피 가능한 트래픽 패턴을 선택 가능하게 하는 장점이 있다.Fifth, according to the present invention, when a DDoS attack is detected, the network management server analyzes attack patterns on a server basis, statistically processes the statistics, and provides a statistical processing result to client terminals, thereby enabling a client terminal to select a traffic pattern that can avoid a DDoS attack There are advantages.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtained by the present invention are not limited to the above-mentioned effects, and other effects not mentioned can be clearly understood by those skilled in the art from the following description will be.

이하에 첨부되는 도면들은 본 발명에 관한 이해를 돕기 위한 것으로, 상세한 설명과 함께 본 발명에 대한 실시예들을 제공한다. 다만, 본 발명의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시예로 구성될 수 있다.
도 1은 본 발명의 일 실시예에 따른 시스템 구성을 설명하기 위한 블록도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.
도 3은 본 발명의 다른 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 고객 서버의구성을 설명하기 위한 블록도이다.
도 5는 본 발명의 일 실시예에 따른 네트워크 관리 서버의 구성을 설명하기 위한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 도면이다.
도 7 내지 9는 본 발명의 다른 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 도면이다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are included to provide a further understanding of the invention and are incorporated in and constitute a part of this specification, illustrate embodiments of the invention and, together with the description, serve to explain the principles of the invention. It is to be understood, however, that the technical features of the present invention are not limited to the specific drawings, and the features disclosed in the drawings may be combined with each other to constitute a new embodiment.
1 is a block diagram illustrating a system configuration according to an embodiment of the present invention.
2 is a flowchart illustrating a network distributed denial of service attack defense procedure according to an embodiment of the present invention.
3 is a flowchart illustrating a network distributed denial of service attack defense procedure according to another embodiment of the present invention.
4 is a block diagram illustrating a configuration of a customer server according to an embodiment of the present invention.
5 is a block diagram illustrating a configuration of a network management server according to an embodiment of the present invention.
6 is a view for explaining traffic pattern information transmitted by a customer server according to an embodiment of the present invention.
7 to 9 are views for explaining traffic pattern information transmitted by a customer server according to another embodiment of the present invention.

이하, 본 발명의 실시예들이 적용되는 장치 및 다양한 방법들에 대하여 도면을 참조하여 보다 상세하게 설명한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, an apparatus and various methods to which embodiments of the present invention are applied will be described in detail with reference to the drawings. The suffix "module" and " part "for the components used in the following description are given or mixed in consideration of ease of specification, and do not have their own meaning or role.

이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성 요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.While the present invention has been described in connection with what is presently considered to be the most practical and preferred embodiments, it is to be understood that the invention is not limited to the disclosed embodiments. That is, within the scope of the present invention, all of the components may be selectively coupled to one or more of them. In addition, although all of the components may be implemented as one independent hardware, some or all of the components may be selectively combined to perform a part or all of the functions in one or a plurality of hardware. As shown in FIG. The codes and code segments constituting the computer program may be easily deduced by those skilled in the art. Such a computer program can be stored in a computer-readable storage medium, readable and executed by a computer, thereby realizing an embodiment of the present invention. As the storage medium of the computer program, a magnetic recording medium, an optical recording medium, a carrier wave medium, or the like may be included.

또한, 이상에서 기재된 "포함하다", "구성하다" 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥 상의 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.It is also to be understood that the terms such as " comprises, "" comprising," or "having ", as used herein, mean that a component can be implanted unless specifically stated to the contrary. But should be construed as including other elements. All terms, including technical and scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs, unless otherwise defined. Commonly used terms, such as predefined terms, should be interpreted to be consistent with the contextual meanings of the related art, and are not to be construed as ideal or overly formal, unless expressly defined to the contrary.

또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성 요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.In describing the components of the present invention, terms such as first, second, A, B, (a), and (b) may be used. These terms are intended to distinguish the constituent elements from other constituent elements, and the terms do not limit the nature, order or order of the constituent elements. When a component is described as being "connected", "coupled", or "connected" to another component, the component may be directly connected to or connected to the other component, It should be understood that an element may be "connected," "coupled," or "connected."

도 1은 본 발명의 일 실시예에 따른 시스템 구성을 설명하기 위한 블록도이다.1 is a block diagram illustrating a system configuration according to an embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 시스템은 네트워크 관리 서버(10), 고객 서버(20), 고객서버 네트워크 장비(30), 에지라우터(Edge Router, 40), 백본라우터(Backbone Router, 50), 인터넷 데이터 센터(IDC : Internet Data Center, 60), 국제 게이트웨이(International Gateway, 70), 외부 인터넷 서비스 제공자(External Internet Service Provider, 80) 등을 포함하여 구성될 수 있다.1, a system according to the present invention includes a network management server 10, a customer server 20, a customer server network equipment 30, an edge router 40, a backbone router 50, An Internet data center (IDC) 60, an international gateway 70, an external Internet service provider 80, and the like.

고객 서버(20)는 본 발명에 따른 클라이언트 단말의 한 예로써, 다양한 웹 서비스를 제공하는 웹 서버, 게임 서비스를 제공하는 게임 서버, 금융 서비스를 제공하는 금융 서버, 광고 서비스를 제공하는 광고 서버 등을 포함할 수 있다. 클라이언트 단말의 다른 일 예로, 스마트폰, 노트북, 웨어어블 디바이스 등의 개인 휴대 단말뿐만 아니라 테블릿 PC 등의 고정 단말 등을 포함할 수도 있다.The client server 20 is an example of a client terminal according to the present invention. The client server 20 includes a web server for providing various web services, a game server for providing a game service, a financial server for providing financial services, an advertisement server for providing an advertisement service, . ≪ / RTI > Another example of the client terminal may include a personal terminal such as a smart phone, a notebook, and a wearable device as well as a fixed terminal such as a tablet PC.

상기한 시스템 구성은 반드시 필수적인 것은 아니어서, 사업자의 망 설계에 따라 일부 구성이 추가되거나 삭제될 수도 있음을 주의해야 한다.It should be noted that the above-described system configuration is not necessarily essential, and some configurations may be added or deleted depending on the operator's network design.

네트워크 관리 서버(10)는 클라이언트 단말로부터 수신되는 트래픽 패턴 정보에 기반하여 해당 네트워크에 발생되는 DDoS 공격을 방어하기 위한 일련의 제어 절차를 수행할 수 있다. 이하에서는, 클라이언트 단말이 웹 서버, 게임 서버 등과 같은 고객 서버(20)인 경우를 예를 들어 설명하기로 한다. 여기서, 고객 서버는 도 1에 도시된 바와 같이, 고객서버네트워크 장비(30)에 연결된 고객 서버(20) 및 서버 수용 장비(61)에 연결된 제1 내지 제n 고객 서버(63) 등을 포함할 수 있다.The network management server 10 may perform a series of control procedures for protecting a DDoS attack generated in the network based on the traffic pattern information received from the client terminal. Hereinafter, a case where the client terminal is a customer server 20 such as a web server, a game server, or the like will be described as an example. 1, the customer server includes a customer server 20 connected to the customer server network equipment 30 and first to nth customer servers 63 connected to the server accommodation equipment 61 .

일 예로, 네트워크 관리 서버(10)는 고객 서버로부터 현재 해당 고객 서버에서 발생되고 있는 트래픽 패턴에 관한 정보를 실시간으로 수집할 수 있다. 이 후, 네트워크 관리 서버(10)는 수집된 트래픽 패턴 정보에 기반하여 네트워크 장치 별 패킷 처리 규칙을 생성하고, 생성된 패킷 처리 규칙을 해당 네트워크 장치에 전송할 수 있다. 연이어, 네트워크 장치는 수신된 패킷 처리 규칙에 따라 패킷을 처리할 수 있다. For example, the network management server 10 can collect, in real time, information on a traffic pattern currently being generated from the customer server from the customer server. Thereafter, the network management server 10 may generate a packet processing rule for each network device based on the collected traffic pattern information, and may transmit the generated packet processing rule to the corresponding network device. Subsequently, the network device can process the packet according to the received packet processing rule.

여기서, 패킷 처리 규칙은 패킷 크기에 관한 정보, 패킷 분할 규칙(Packet Fragmentation Rule)에 관한 정보, 패킷 프로토콜에 관한 정보, IP 패킷 버전에 관한 정보 및 IP 패킷 식별자 정보 중 적어도 어느 하나를 포함할 수 있다.Here, the packet processing rule may include at least one of information on the packet size, information on the packet fragmentation rule, information on the packet protocol, information on the IP packet version, and IP packet identifier information .

또한, 네트워크 장치는 해당 네트워크를 구성하는 라우터-여기서, 라우터는 가입자단 엑세스라우터(미도시), 에지라우터(40) 및 백본라우터(50) 중 적어도 하나를 포함할 수 있음-, 고객서버 네트워크 장비(30)-여기서, 고객서버 네트워크 장비(30)는 홈 네트워크의 허브 기능을 제공하는 엑세스라우터를 포함할 수 있음-, 서버 수용 장비(61) 등을 포함할 수 있다.In addition, the network device may include at least one of a router constituting the network, where the router may be a subscriber-only access router (not shown), an edge router 40 and a backbone router 50, Here, the customer server network equipment 30 may include an access router that provides a hub function of the home network, a server accommodation equipment 61, and the like.

따라서, 해당 네트워크 장치에 연결된 고객 서버의 종류 및 해당 네트워크 장치의 네트워크 연결 구조에 따라 상이한 패킷 처리 규칙이 생성될 수 있다.Therefore, different packet processing rules can be generated depending on the type of the client server connected to the network device and the network connection structure of the network device.

일 예로, 도 1을 참조하면, 하나의 고객 서버(20)가 연결된 고객서버 네트워크 장비(30)와 제1 내지 제n 고객 서버(63)가 연결된 서버 수용 장비(610)에 대응되는 패킷 처리 규칙은 서로 상이할 수 있다. For example, referring to FIG. 1, a packet processing rule corresponding to a server accommodating equipment 610 to which a customer server network equipment 30 to which one customer server 20 is connected and first to nth customer servers 63 are connected, May be different from each other.

상기한 도 1에는 백본라우터(50)와 네트워크 관리 서버(10) 사이의 직접적인 통인 선로가 도시되어 있지 않으나, 이는 하나의 실시예에 불과하며, 본 발명의 다른 일 실시예는 네트워크 관리 서버(10)가 백본라우터(50) 사이에 직접적인 선로가 연결될 수도 있음을 주의해야 한다.1 does not show a direct communication line between the backbone router 50 and the network management server 10 but this is only one embodiment and another embodiment of the present invention is a network management server 10 ) May be connected directly to the backbone router 50 between the lines.

인터넷 데이터 센터(60)는 고객 서버를 한데 모아 집중시킬 필요가 있을 때 설치되며, 서버 수용 장비(61)와 서버 수용 장비(61)에 연결된 제1 내지 제n 고객 서버(63)로 구성될 수 있다. 일 예로, 인터넷 데이터 센터(60)는 온라인 게임과 같이 대용량의 실시간 데이터를 처리하는 복수의 서버들을 통합 관리하기 위한 용도로 사용될 수 있다.The Internet data center 60 is installed when the customer server needs to be collected and concentrated and may be constituted by first to nth customer servers 63 connected to the server accommodating equipment 61 and the server accommodating equipment 61 have. For example, the Internet data center 60 may be used for the integrated management of a plurality of servers that process a large amount of real-time data such as an online game.

백본라우터(50)에는 복수의 에지라우터(40) 및 복수의 인터넷 데이터 센터(60)가 연결될 수 있다. 또한, 백본라우터(50)는 타사망에 연결된 외부 인터넷 서비스 서버(80) 및 해외망으로의 연결을 제공하는 국제 게이트웨이(70)와도 연결될 수 있다.A plurality of edge routers 40 and a plurality of Internet data centers 60 may be connected to the backbone router 50. Also, the backbone router 50 may be connected to an external Internet service server 80 connected to another network and an international gateway 70 providing a connection to an overseas network.

도 2는 본 발명의 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.2 is a flowchart illustrating a network distributed denial of service attack defense procedure according to an embodiment of the present invention.

도 2를 참조하면, 고객 서버(20)는 현재 자신이 처리하고 있는 트래픽 패턴이 인지되면, 인지된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S201 내지 S203). 일반적으로, 고객 서버(20) 별 제공하고 있는 서비스의 종류에 따라 트래픽의 종류가 상이할 수 있으며, 그에 따른 트래픽 패턴도 상이할 수 있다.Referring to FIG. 2, the customer server 20 can transmit the detected traffic pattern information to the network management server 10 (S201 to S203) when the traffic pattern currently processed by the customer server 20 is recognized. Generally, traffic types may be different depending on the types of services provided by the customer server 20, and traffic patterns may be different therefrom.

일 예로, 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 분할 전송에 관한 정보 등을 포함할 수 있다.For example, the traffic pattern information may include packet size information, protocol information used for packet transmission, information about packet division transmission, and the like.

네트워크 관리 서버(10)는 수신된 트래픽 패턴 정보에 상응하는 패킷 제어 규칙을 생성하고, 생성된 패킷 제어 규칙이 포함된 패킷 제어 요청 메시지를 에지라우터(40)에 전송할 수 있다(S204 내지 S205).The network management server 10 generates a packet control rule corresponding to the received traffic pattern information and transmits a packet control request message including the generated packet control rule to the edge router 40 (S204 to S205).

에지라우터(40)는 수신된 패킷 제어 규칙에 따라 수신되는 패킷 필터링 및 라우팅을 수행할 수 있다(S207).The edge router 40 may perform packet filtering and routing according to the received packet control rules (S207).

고객 서버(20)는 DDoS 공격이 감지되면, 트래픽 패턴을 변경하고, 변경된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S209 내지 S213). 여기서, 고객 서버(20)는 현재 서비스하고 트래픽 패턴에 기반하여 원하지 않는 크기 또는 원하지 않는 프로토콜 타입 또는 원하지 않는 분할 타입의 패킷이 수신되거나 수신 트래픽의 양이 기준치 이상인 경우, DDoS 공격이 발생된 것으로 판단할 수 있다.When the DDoS attack is detected, the customer server 20 can change the traffic pattern and transmit the changed traffic pattern information to the network management server 10 (S209 to S213). Here, the customer server 20 judges that a DDoS attack has occurred when a packet of an undesired size, an undesired protocol type, or an undesired segment type is received or the amount of received traffic is equal to or more than a reference value can do.

네트워크 관리 서버(10)는 변경된 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 갱신하고, 갱신된 패킷 제어 규칙을 포함하는 패킷 제어 요청 메시지를 해당 에지라우터(40)에 전송할 수 있다(S215 내지 S217).The network management server 10 updates the packet control rule based on the changed traffic pattern information and transmits a packet control request message including the updated packet control rule to the edge router 40 (S215 to S217).

이 후, 에지라우터(40)는 갱신된 패킷 제어 규칙에 따라 이 후, 수신되는 패킷을 필터링하여 라우팅할 수 있다.Thereafter, the edge router 40 can filter and route the received packet according to the updated packet control rule.

본 발명의 일 실시예에 따른 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 고객 서버로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치-여기서, 장치는 네트워크 관리 서버(10)이거나 별도의 트래픽 분석 서버(미도시)일 수 있음-로 라우팅하는 규칙, 특정 고객 서버로 전송되는 패킷의 양을 제어하는 규칙 등을 포함할 수 있다. A packet control rule according to an exemplary embodiment of the present invention includes rules for discarding a packet having a specific traffic pattern, rules for filtering only packets having a specific traffic pattern, routing the packet to a corresponding customer server, Here, the apparatus may include a rule for routing to the network management server 10 or a separate traffic analysis server (not shown), a rule for controlling the amount of packets transmitted to a specific client server, and the like.

네트워크 관리 서버(10)는 에지라우터(40)로부터 패킷이 수신되는 경우, 수신된 패킷을 분석하여 DDoS 공격 패턴을 분석할 수 있으며, 분석 결과를 해당 고객 서버에 전송할 수 있다. 이 경우, 고객 서버는 수신된 분석 결과에 따라 트래픽 패턴을 변경함으로써, 가능한 DDoS 공격을 미연에 방지할 수 있다.When a packet is received from the edge router 40, the network management server 10 can analyze the received packet to analyze the DDoS attack pattern and transmit the analysis result to the corresponding client server. In this case, the customer server can prevent a possible DDoS attack by changing the traffic pattern according to the received analysis result.

도 3은 본 발명의 다른 일 실시예에 따른 네트워크 분산 서비스 거부 공격 방어 절차를 설명하기 위한 흐름도이다.3 is a flowchart illustrating a network distributed denial of service attack defense procedure according to another embodiment of the present invention.

도 3을 참조하면, IDS(60)에 포함된 제1 내지 제n 고객 서버(63)는 트래픽 패턴이 인지되면, 인지된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S301 내지 S303).Referring to FIG. 3, the first to nth customer servers 63 included in the IDS 60 may transmit the detected traffic pattern information to the network management server 10 when a traffic pattern is recognized (S301 to S303 ).

네트워크 관리 서버(10)는 수신된 제1 내지 제n 트래픽 패턴 정보에 대응되는 서버 수용 장비(61)를 식별하고, 제1 내지 제n 고객 서버(63)로부터 수집된 제1 내지 제n 트래픽 패턴 정보에 기반하여 식별된 서버 수용 장비(61)에 대응되는 패킷 처리 규칙을 생성할 수 있다(S305).The network management server 10 identifies the server accommodating equipment 61 corresponding to the received first to nth traffic pattern information and identifies the first to nth traffic patterns collected from the first to nth customer servers 63, The packet processing rule corresponding to the server accommodation equipment 61 identified based on the information can be generated (S305).

네트워크 관리 서버(10)는 생성된 패킷 처리 규칙이 포함된 패킷 제어 요청 메시지를 식별된 서버 수용 장비(61)에 전송할 수 있다(S307).The network management server 10 may transmit the packet control request message including the generated packet processing rule to the identified server accommodating equipment 61 (S307).

서버 수용 장비(61)는 수신된 패킷 처리 규칙에 기반하여 수신된 패킷에 대한 필터링 및 라우팅을 수행할 수 있다(S309).The server accommodating device 61 may perform filtering and routing on the received packet based on the received packet processing rule (S309).

제1 내지 제n 고객 서버(63) 중 DDoS 공격을 감지한 고객 서버는 트래픽 패턴을 변경하고, 변경된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다(S311 내지 S315). The customer server detecting the DDoS attack among the first to nth customer servers 63 may change the traffic pattern and transmit the changed traffic pattern information to the network management server 10 (S311 to S315).

네트워크 관리 서버(10)는 변경된 트래픽 패턴 정보에 기반하여 해당 서버 수용 장비(61)에 대응되는 패킷 제어 규칙을 갱신하고, 갱신된 패킷 제어 규칙을 포함하는 패킷 제어 요청 메시지를 해당 서버 수용 장비(61)에 전송할 수 있다(S317 내지 S319).The network management server 10 updates the packet control rule corresponding to the server accommodating equipment 61 based on the changed traffic pattern information and transmits a packet control request message including the updated packet control rule to the corresponding server accommodating equipment 61 (S317 to S319).

이 후, 서버 수용 장비(61)는 갱신된 패킷 제어 규칙에 따라 이 후, 수신되는 패킷을 필터링하여 라우팅할 수 있다.Thereafter, the server accommodating device 61 can filter the received packet and route the packet according to the updated packet control rule.

이상의 도 2 내지 3에서는 네트워크 관리 서버(10)가 고객 서버로부터 수신되는 트래픽 패턴 정보에 기반하여 서버 수용 장비(61) 또는 에지라우터(40)에 패킷 제어 규칙을 전송하는 것으로 설명되고 있으나, 이는 하나의 실시예에 불과하며, 본 발명의 다른 일 실시예에 따른 네트워크 관리 서버(10)은 백본라우터(50) 및 고객서버 네트워크 장비(30)에도 패킷 제어 규칙을 전송하여 DDoS 공격을 방어할 수 있음을 주의해야 한다.2 to 3, the network management server 10 transmits a packet control rule to the server accommodating device 61 or the edge router 40 based on the traffic pattern information received from the customer server. However, The network management server 10 according to another embodiment of the present invention can also protect the DDoS attack by transmitting a packet control rule to the backbone router 50 and the customer server network equipment 30. [ .

도 4는 본 발명의 일 실시예에 따른 고객 서버의 구성을 설명하기 위한 블록도이다.4 is a block diagram illustrating a configuration of a customer server according to an embodiment of the present invention.

도 4를 참조하면, 고객 서버(20)는 통신부(410), 트래픽 패턴 추출부(420), 공격 감지부(430), 트래픽 패턴 변경부(440) 및 제어부(450)를 포함하여 구성될 수 있다.4, the customer server 20 may include a communication unit 410, a traffic pattern extracting unit 420, an attack detecting unit 430, a traffic pattern changing unit 440, and a controller 450 have.

통신부(410)는 인접 장치와의 패킷 통신을 수행할 수 있다. 일 예로, 통신부(410)는 제어부(450)로부터 수신된 트래픽 패턴 정보를 네트워크 관리 서버(10)에 전송할 수 있다. 또한, 통신부(410)는 고객 서버(20)에서 생성된 패킷을 외부 네트워크 장비로 전송하거나 외부 네트워크 장비로부터 수신된 패킷을 처리하여 제어부(450)에 전달할 수 있다. The communication unit 410 can perform packet communication with the adjacent device. For example, the communication unit 410 may transmit the traffic pattern information received from the controller 450 to the network management server 10. The communication unit 410 may transmit the packet generated by the customer server 20 to the external network equipment or may process the packet received from the external network equipment and transmit the processed packet to the control unit 450.

트래픽 패턴 추출부(420)는 고객 서버(20)에서 제공하는 서비스에 대응되는 트래픽 패턴을 추출할 수 있다. 추출된 트래픽 패턴은 제어부(450)에 전달될 수 있다.The traffic pattern extracting unit 420 can extract a traffic pattern corresponding to a service provided by the customer server 20. The extracted traffic pattern may be transmitted to the controller 450.

공격 감지부(430)는 수신된 패킷을 분석하여 DDoS 공격 여부를 판단하는 기능을 수행할 수 있다. 공격 감지부(430)는 DDoS 공격이 감지되면, 소정 이벤트 신호를 제어부(450)에 전송할 수 있다. 이때, 제어부(450)는 트래픽 패턴 변경부(440)에 트래픽 패턴을 갱신하도록 요청할 수 있다. The attack detecting unit 430 may analyze the received packet to determine whether or not the packet is a DDoS attack. When the DDoS attack is detected, the attack detection unit 430 may transmit a predetermined event signal to the controller 450. [ At this time, the controller 450 may request the traffic pattern changing unit 440 to update the traffic pattern.

본 발명의 다른 일 실시예에 따른 공격 감지부(430)는 DDoS 공격 패턴을 분석하고, 분석된 DDoS 공격 패턴을 제어부(450)에 전달할 수도 있다. 이 경우, 트래픽 패턴 변경부(440)는 제어부(450)로부터 전달 받은 DDoS 공격 패턴에 기반하여 트래픽 패턴을 변경할 수도 있다.The attack detection unit 430 according to another embodiment of the present invention analyzes the DDoS attack pattern and may transmit the analyzed DDoS attack pattern to the controller 450. [ In this case, the traffic pattern changing unit 440 may change the traffic pattern based on the DDoS attack pattern transmitted from the control unit 450. [

제어부(450)는 고객 서버(20)의 전체적인 동작을 제어할 수 있다. The control unit 450 can control the overall operation of the customer server 20. [

도 5는 본 발명의 일 실시예에 따른 네트워크 관리 서버의 구성을 설명하기 위한 블록도이다.5 is a block diagram illustrating a configuration of a network management server according to an embodiment of the present invention.

도 5를 참조하면, 네트워크 관리 서버(10)는 통신부(510), 트래픽 패턴 정보 수집부(520), 패킷 제어 규칙 생성부(530), 공격 특성 분석부(540), 라우팅 테이블(550), 제어부(560) 중 적어도 하나를 포함하여 구성될 수 있다.5, the network management server 10 includes a communication unit 510, a traffic pattern information collection unit 520, a packet control rule generation unit 530, an attack characteristic analysis unit 540, a routing table 550, And a control unit 560. [0053]

통신부(510)는 인접 장치와의 패킷 통신 및 제어 메시지 송수신을 수행할 수 있다. 일 예로, 통신부(510)는 고객 서버로부터 트래픽 패턴 정보를 수신하여 제어부(560)에 전달하거나, 제어부(560)로부터 수신된 패킷 제어 요청 메시지를 해당 네트워크 장비-여기서, 네트워크 장비는 에지라우터(40), 백본라우터(40), 서버 수용 장비(61), 고객서버 네트워크 장비(30) 등을 포함함-에 전송할 수 있다.The communication unit 510 may perform packet communication with a neighboring device and transmission / reception of a control message. For example, the communication unit 510 receives traffic pattern information from the customer server and transmits the received traffic pattern information to the control unit 560 or transmits the packet control request message received from the control unit 560 to the corresponding network equipment, , A backbone router 40, a server accommodation equipment 61, a customer server network equipment 30, and the like.

트래픽 패턴 정보 수집부(520)는 트래픽 패턴 정보를 네트워크 장비 단위로 수집하는 기능을 수행할 수 있다. 일 예로, 트래픽 패턴 정보 수집부(520)는 서버 수용 장비(61)에 연결된 제1 내지 제n 고객 서버(63)로부터 수신된 트래픽 패턴 정보를 그룹화할 수 있다.The traffic pattern information collecting unit 520 may collect traffic pattern information on a network device basis. For example, the traffic pattern information collecting unit 520 may group the traffic pattern information received from the first to nth customer servers 63 connected to the server accommodating equipment 61.

패킷 제어 규칙 생성부(530)는 네트워크 장비 별 수집된 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 생성할 수 있다.The packet control rule generation unit 530 may generate a packet control rule based on the traffic pattern information collected for each network device.

공격 특성 분석부(540)는 네트워크 장비에 의해 라우팅된 패킷을 분석하여 고객 서버 별 DDoS 공격 특성을 추출하는 기능을 수행할 수 있다. 추출된 DDoS 공격 특성은 해당 고객 서버에 전송될 수 있으며, 이 경우, 고객 서버는 수신된 DDoS 공격 특성을 참조하여 트래픽 패턴을 변경할 수도 있다.The attack characteristic analyzing unit 540 may analyze the packets routed by the network equipment and extract the DDOS attack characteristics for each client. The extracted DDoS attack characteristic can be transmitted to the corresponding client server. In this case, the customer server can change the traffic pattern by referring to the received DDoS attack characteristic.

라우팅 테이블(550)은 해당 네트워크를 구성하는 모든 노드들의 연결 관계를 식별하기 위한 정보가 유지될 수 있다. 일 예로, 트래픽 패턴 정보 수집부(520)는 라우팅 테이블(550)을 참조하여 특정 네트워크 장비에 연결된 고객 서버를 식별할 수도 있다.In the routing table 550, information for identifying connection relationships of all the nodes constituting the network may be maintained. For example, the traffic pattern information collecting unit 520 may refer to the routing table 550 to identify a customer server connected to a specific network equipment.

제어부(560)는 네트워크 관리 서버(10)의 전체적인 동작을 제어할 수 있다.The control unit 560 can control the overall operation of the network management server 10.

도 6은 본 발명의 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 위한 IPv4 헤더 구조이다.6 is an IPv4 header structure for explaining traffic pattern information transmitted by a customer server according to an embodiment of the present invention.

도 6을 참조하면, IPv4 헤더(600)는 버전(Version, 601) 필드, IP 헤더 길이(IP Header Length, 602) 필드, 서비스 타입(Type of Service, 603) 필드, 총 길이(Total Length, 604) 필드, 식별자(Identification, 605) 필드, 플래그(Flags, 606) 필드, 분할 옵셋(Fragment Offset, 607) 필드, TTL(Time To Live, 608) 필드, 프로토콜(Protocol, 609) 필드, 헤더 체크썸(Header Checksum, 610) 필드, 발신지 주소(Source Address, 611) 필드 및 목적지 주소(Destination Address, 612) 필드를 포함하여 구성될 수 있다. 6, the IPv4 header 600 includes a Version 601 field, an IP Header Length field 602, a Type of Service field 603, a Total Length field 604, Field 609, a field 606, a field 609, a fragment offset 607, a time to live 608 field, a protocol 609 field, A Header Checksum field 610, a Source Address field 611, and a Destination Address field 612.

버전(601)은 해당 IP 패킷이 IPv4 패킷인지 IPv6 패킷인지를 식별하기 위한 정보이다.The version 601 is information for identifying whether the corresponding IP packet is an IPv4 packet or an IPv6 packet.

IP 헤더 길이(602)는 32비트 단위의 해당 IP 헤더의 전체 길이를 지시하기 위한 정보이며, 서비스 타입(603)은 해당 IP 패킷의 우선 순위를 식별하기 위한 정보이다. 일반적으로 우선 순위는 음성>영상>문자 순으로 정의될 수 있다.The IP header length 602 is information for indicating the total length of the corresponding IP header in units of 32 bits, and the service type 603 is information for identifying the priority of the corresponding IP packet. In general, the priority order can be defined as Voice> Video> Text.

총 길이(604)는 IP 헤더의 길이와 데이터의 길이를 합한 값을 바이트 단위로 표기된다. 따라서, 총 길이(640)에서 IP 헤더 길이(602)를 뺀 값이 데이터 길이가 된다.The total length 604 represents the value of the length of the IP header plus the length of the data in bytes. Therefore, the value obtained by subtracting the IP header length 602 from the total length 640 is the data length.

식별자(605)는 각 IP 패킷을 식별하기 위한 번호로서, 패킷을 재조합하기 위한 용도로 사용될 수 있다.The identifier 605 is a number for identifying each IP packet, and can be used for reassembling the packet.

플래그(606)는 패킷이 단편화되었는지 여부를 식별하기 위한 정보로서, 3개의 비트로 구성된다. 첫번째 비트(X)는 현재 사용되지 않고 있는 예약 비트로 항상 0으로 설정된다. 두번째 비트(D)는 패킷이 분할되었는지 여부를 식별하기 위한 비트로서, 1이면 분할되지 않았음을 의미하고, 0이면 분할되었음을 의미할 수 있다. 세번째 비트(M)은 해당 IP 패킷이 분할된 마지막 패킷인지 여부를 식별하기 위한 비트로 사용된다. 일 예로, M값이 1이면 분할된 마지막 패킷이 아님을 의미하고, 0이면 분할된 마지막 패킷임을 의미할 수 있다.The flag 606 is information for identifying whether or not the packet is fragmented, and consists of three bits. The first bit (X) is a reserved bit that is not currently used and is always set to zero. The second bit (D) is a bit for identifying whether or not the packet is divided. If it is 1, it means that the packet is not divided. If it is 0, it means that it is divided. The third bit (M) is used as a bit for identifying whether the corresponding IP packet is the last divided packet. For example, if the value of M is 1, it means that the packet is not the last packet to be divided, and if it is 0, it means that it is the last packet to be divided.

분할 옵셋(607)은 패킷 재조립 시 분할된 패킷간의 순서에 대한 정보 및 전체 데이터에서 분할된 패킷의 상대적인 위치 정보를 바이트 단위로 식별하기 위한 값이다.The division offset 607 is a value for identifying the order of the divided packets in the packet reassembly and the relative position information of the divided packets in the entire data in units of bytes.

TTL(608)은 해당 IP 패킷이 경유할 수 있는 최대 홉수를 의미한다. IP 패킷이 라우터를 통과할 때마다 TTL(608) 값은 1씩 감소하고, TTL(608) 값이 0에 도달하면 폐기된다. The TTL 608 indicates the maximum number of hops that the corresponding IP packet can pass through. Each time an IP packet passes through the router, the TTL 608 value is decremented by one and discarded when the TTL 608 value reaches zero.

프로토콜(609)는 IP 다이어그램의 몸체에 저장된 상위 계층 프로토콜을 의미한다. 일 예로, 상위 계층 프로토콜은 ICMP, TCP, UDP 등을 포함할 수 있다.The protocol 609 means an upper layer protocol stored in the body of the IP diagram. As an example, the upper layer protocol may include ICMP, TCP, UDP, and the like.

헤더 체크썸(610)은 수신단에서 IP 헤더의 오류 여부를 확인하기 위한 오류 체크 코드이다.The header check sum 610 is an error check code for confirming whether or not the IP header is erroneous at the receiving end.

발신지 주소(611)는 해당 IP 패킷의 최초 전송 노드를 식별하기 위한 64비트 길이의 IP 주소이고, 목적지 주소(611)는 해당 IP 패킷의 최종 도착 노드를 식별하기 위한 64비트 길이의 IP 주소이다.The source address 611 is a 64-bit IP address for identifying the first transmission node of the IP packet, and the destination address 611 is a 64-bit IP address for identifying a final destination node of the IP packet.

본 발명의 일 실시예에 따른 트래픽 패턴 정보는 상기한 IPv4 헤더(600)에 포함된 적어도 하나의 필드로 구성될 수 있다. 일 예로, 트래픽 패턴 정보는 버전(601), 총 길이(604), 플래그(606), 프로토콜(609) 등의 정보를 포함하여 구성될 수 있다.The traffic pattern information according to an embodiment of the present invention may include at least one field included in the IPv4 header 600. In one example, the traffic pattern information may comprise information such as version 601, total length 604, flag 606, protocol 609, and the like.

도 7 내지 9는 본 발명의 다른 일 실시예에 따른 고객 서버가 전송하는 트래픽 패턴 정보를 설명하기 도면이다.7 to 9 are views for explaining traffic pattern information transmitted by a customer server according to another embodiment of the present invention.

도 7은 IPv6의 패킷 헤더 포맷을 보여준다. 도 7을 참조하면, IPv6 헤더(700)는 버전(Version, 701) 필드, 트래픽 클래스(Traffic Class, 702) 필드, 플로우 라벨(Flow Label, 703) 필드, 페이로드 길이(Payload Length, 704) 필드, 넥스트 헤더(Next Header, 705) 필드, 홉 제한(Hop Limit, 706) 필드, 발신지 주소(Source Address, 707) 필드 및 목적지 주소(Destination Address, 708) 필드를 포함하여 구성된다.Figure 7 shows the packet header format of IPv6. 7, the IPv6 header 700 includes a version 701 field, a traffic class 702 field, a flow label 703 field, a payload length field 704, A Next Header field 705, a Hop Limit field 706, a Source Address field 707, and a Destination Address field 708.

버전(701)은 IPv6에 대응되는 상수 6(Bit Sequence 0110)으로 설정된다.The version 701 is set to a constant 6 (Bit Sequence 0110) corresponding to IPv6.

트래픽 클래스(702)는 8비트의 트래픽 클래스는 MSB(Most Significant Bits) 6비트의 해당 패킷에 상응하는 서비스를 식별하기 위한 정보와 2비트 길이의 해당 패킷의 우선 순위를 식별하기 위한 정보로 구성된다.The traffic class 702 consists of information for identifying a service corresponding to a corresponding packet of 6 bits of MSB (Most Significant Bits) and information for identifying a priority of a corresponding packet of 2 bits in length .

플로우 라벨(703)은 20비트 길이를 가지는 실시간 응용 특별 서비스를 제공하기 위한 정보로서, 다중 아웃바운드 경로(Multiple Outbound Paths)를 가지는 라우터나 스위치에 해당 패킷들이 재정렬(Reorder)되지 않도록 동일 패스를 유지하도록 지시하기 위한 용도로 사용될 수 있다.The flow label 703 is information for providing a real-time application special service having a length of 20 bits. The flow label 703 maintains the same path so that the packets are not reordered to a router or a switch having multiple outbound paths Quot ;. < / RTI >

페이로드 길이(704)는 바이트 단위의 페이로드 길이를 지시하기 16비트 길이를 갖는 정보이다.The payload length 704 is information having a 16-bit length indicating the payload length in bytes.

넥스트 헤더(705)는 넥스트 헤더의 타입을 식별하기 위한 8비트 길이를 갖는 정보로서, 해당 패킷의 페이로드에 의해 사용되는 전송 계층 프로토콜을 식별하기 위한 정보로 사용될 수 있다. 네스트 헤더(705) 값에 대응되는 확장 헤더(Extension header) 필드가 넥스트 헤더(705) 이후에 추가될 수 있다. 네스트 헤더(705) 값과 확장 헤더 사이의 매핑 관계는 도 8의 확장 헤더 매핑 테이블(800)과 같이 정의된다. The next header 705 is information having an 8-bit length for identifying the type of the next header, and can be used as information for identifying the transport layer protocol used by the payload of the packet. An Extension header field corresponding to the value of the nested header 705 may be added after the next header 705. [ The mapping relationship between the value of the nested header 705 and the extended header is defined as the extended header mapping table 800 of FIG.

홉 제한(706)은 상기 도 6의 IPv4 헤더(600)의 TTL(608)에 대응될 수 있다. 즉, 해당 IP 패킷이 경유할 수 있는 최대 홉수를 의미한다. IP 패킷이 라우터를 통과할 때마다 홉 제한(706) 값은 1씩 감소하고, 홉 제한(706) 값이 0에 도달하면 해당 IP 패킷이 폐기된다.The hop limit 706 may correspond to the TTL 608 of the IPv4 header 600 of FIG. That is, it means the maximum number of hops that the corresponding IP packet can pass through. Each time the IP packet passes through the router, the hop limit 706 value is decremented by 1, and when the hop limit 706 value reaches 0, the corresponding IP packet is discarded.

발신지 주소(707)와 목적지 주소(708)는 각각 128 비트의 길이를 가지며, 각각 송신 노드와 수신 노드의 IPv6 주소를 지시한다.The source address 707 and the destination address 708 each have a length of 128 bits and indicate the IPv6 address of the transmitting node and the receiving node, respectively.

본 발명의 일 실시예에 따른 트래픽 패턴 정보는 상기한 IPv6 헤더(700)에 포함된 적어도 하나의 필드로 구성될 수 있다. 일 예로, 트래픽 패턴 정보는 버전(701), 트래픽 클래스(702), 페이로드 길이(704), 네스트 헤더(705) 및 해당 네스트 헤더(705)에 대응되는 확장 헤더 정보, 프로토콜(609) 중 적어도 하나를 포함하여 구성될 수 있다.The traffic pattern information according to an embodiment of the present invention may include at least one field included in the IPv6 header 700. In one example, the traffic pattern information includes at least one of the version 701, the traffic class 702, the payload length 704, the nest header 705 and extended header information corresponding to the corresponding nest header 705, And may be configured to include one.

도 9의 도면 번호 900은 넥스트 헤더(705) 값이 44인 경우-즉, 확장 헤더 타입이 단편화(Fragment)인 경우, 삽입되는 단편화 확장 헤더(900)의 포맷을 설명하기 위한 도면이다.Reference numeral 900 in FIG. 9 is a diagram for explaining the format of a fragmented extension header 900 to be inserted when the value of the next header 705 is 44, that is, when the extension header type is a fragment.

도 9를 참조하면, 단편화 확장 헤더(900)는 네스트 헤더(705) 필드, 8비트 길이의 예약(Reseved, 902) 필드, 13비트 길이의 단편화 옵셋(Fragment Offset, 903), 2비트 길이의 예약 필드(904), 1비트 길이의 M 플래그(M Flag, 905) 필드, 32비트 길이의 식별자(Identification, 906) 필드를 포함하여 구성된다.9, the fragmentation extension header 900 includes a nest header 705 field, an 8-bit length reserved field 902, a 13-bit fragment offset 903, a 2-bit length reserved Field 904, a 1-bit M flag (M Flag, 905) field, and a 32-bit identifier (Identification) field 906.

단편화 옵셋(903)은 전체 데이터에서 분할된 패킷의 상대적인 위치 정보를 8바이트 단위로 식별하기 위한 값이다.The fragmentation offset 903 is a value for identifying the relative position information of packets divided in the entire data in 8-byte units.

M 플래그(905)는 해당 IP 패킷이 분할된 마지막 패킷인지 여부를 식별하기 위한 비트로 사용된다. 일 예로, M 플래그(905) 값이 1이면 분할된 마지막 패킷이 아님을 의미하고, 0이면 분할된 마지막 패킷임을 의미할 수 있다.The M flag 905 is used as a bit for identifying whether the corresponding IP packet is the last divided packet. For example, if the value of the M flag 905 is 1, it means that the packet is not the last packet to be divided, and if it is 0, it means that it is the last packet to be divided.

식별자(906)는 소스 노드에 의해 생성되는 패킷 식별자로서, 원래 패킷을 수신 노드에서 재조합하기 위한 용도로 사용될 수 있다.The identifier 906 is a packet identifier generated by the source node, and may be used to recombine the original packet at the receiving node.

본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. It will be apparent to those skilled in the art that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof.

따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.Accordingly, the above description should not be construed in a limiting sense in all respects and should be considered illustrative. The scope of the present invention should be determined by rational interpretation of the appended claims, and all changes within the scope of equivalents of the present invention are included in the scope of the present invention.

10: 네트워크 관리 서버
20: 고객 서버
30: 고객서버 네트워크 장비
40: 에지라우터
50: 백본라우터
60: 인터넷 데이터 센터
61: 서버 수용 장비
420: 트래픽 패턴 추출부
440: 트래픽 패턴 변경부
520: 트래픽 패턴 정보 수집부
530: 패킷 제어 규칙 생성부10: Network Management Server
20: Customer server
30: Customer server network equipment
40: edge router
50: backbone router
60: Internet Data Center
61: Server accommodation equipment
420: traffic pattern extracting unit
440: traffic pattern changing section
520: Traffic pattern information collecting unit
530: Packet control rule generation unit

Claims (21)

네트워크 관리 서버에서의 분산 서비스 거부 공격 방어 방법에 있어서
클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 단계;
상기 트래픽 패턴 정보에 기반하여 패킷 제어 규칙을 생성하는 단계; 및
상기 클라이언트 단말에 상응하는 네트워크 장비로 상기 패킷 제어 규칙을 전송하는 단계
를 포함하는, 분산 서비스 거부 공격 방어 방법.In a distributed denial of service attack method in a network management server
Receiving traffic pattern information from a client terminal;
Generating a packet control rule based on the traffic pattern information; And
Transmitting the packet control rule to the network equipment corresponding to the client terminal
And a distributed denial of service attack defense method. 제1항에 있어서,
상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성되는, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
Wherein the traffic pattern information is generated by the client terminal based on a service currently provided by the client terminal. 제2항에 있어서,
상기 패킷 제어 규칙을 서로 다른 상기 클라이언트 단말로부터 수신된 복수의 상기 트래픽 패턴 정보에 기반하여 생성하는, 분산 서비스 거부 공격 방어 방법.3. The method of claim 2,
And generates the packet control rule based on a plurality of the traffic pattern information received from the different client terminals. 제2항에 있어서,
상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보를 수신하는 단계를 더 포함하되, 상기 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신한 후 상기 네트워크 장비에 전송하는, 분산 서비스 거부 공격 방어 방법.3. The method of claim 2,
Further comprising the step of receiving the changed traffic pattern information from the client terminal, wherein when the changed traffic pattern information is received, the packet control rule is updated based on the changed traffic pattern information and then transmitted to the network equipment. How to defend against denial of service attacks. 제4항에 있어서,
상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 변경하고, 상기 변경된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송하는 것을 특징으로 하는, 분산 서비스 거부 공격 방어 방법.5. The method of claim 4,
Wherein the client terminal changes the current traffic pattern and transmits the changed traffic pattern information to the network management server when a distributed denial of service attack is detected. 제1항에 있어서,
상기 네트워크 장비는 라우터, 서버 수용 장비, 고객 서버 네트워크 장비 중 적어도 어느 하나를 포함하는, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
Wherein the network equipment comprises at least one of a router, a server accommodating equipment, and a customer server network equipment. 제6항에 있어서,
상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함하는, 분산 서비스 거부 공격 방어 방법.The method according to claim 6,
Wherein the router comprises at least one of a backbone router, an edge router and an access router. 제1항에 있어서,
상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함하는, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
Wherein the traffic pattern information includes at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information. 제1항에 있어서,
상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합인, 분산 서비스 거부 공격 방어 방법.The method according to claim 1,
The packet control rule includes a rule for discarding a packet having a specific traffic pattern, a rule for filtering only packets having a specific traffic pattern to route to a corresponding client terminal, a rule for routing a packet having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets to be transmitted to the mobile station. 제1항 내지 제9항 중 어느 한 항에 기재된 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium on which a program for executing the method according to any one of claims 1 to 9 is recorded. 네트워크상의 분산 서비스 거부 공격을 방어하는 네트워크 관리 서버에 있어서,
상기 네트워크상의 클라이언트 단말로부터 트래픽 패턴 정보를 수신하는 통신부;
상기 트패픽 패턴 정보를 네트워크 장비 단위로 분류하는 트래픽 패턴 정보 수집부;
상기 분류된 트래픽 패턴 정보에 기반하여 상기 네트워크 장비 별 패킷 제어 규칙을 생성하는 패킷 제어 규칙 생성부; 및
상기 생성된 패킷 제어 규칙을 상기 통신부를 통해 해당 네트워크 장비에 전송하는 제어부
를 포함하는, 네트워크 관리 서버.A network management server for defending a distributed denial of service attack on a network,
A communication unit for receiving traffic pattern information from a client terminal on the network;
A traffic pattern information collecting unit for classifying the traffic pattern information into network equipment units;
A packet control rule generator for generating a packet control rule for each network device based on the classified traffic pattern information; And
A control unit for transmitting the generated packet control rule to the corresponding network equipment through the communication unit,
And a network management server. 제11항에 있어서,
상기 트래픽 패턴 정보는 상기 클라이언트 단말에서 현재 제공하고 있는 서비스에 기반하여 상기 클라이언트 단말에 의해 생성되는, 네트워크 관리 서버.12. The method of claim 11,
Wherein the traffic pattern information is generated by the client terminal based on a service currently provided by the client terminal. 제12항에 있어서,
상기 패킷 제어 규칙 생성부는 상기 클라이언트 단말로부터 변경된 트래픽 패턴 정보가 수신되면, 상기 변경된 트래픽 패턴 정보에 기반하여 상기 패킷 제어 규칙을 갱신하고, 상기 제어부가 상기 갱신된 패킷 제어 규칙을 해당 네트워크 장비로 전송하는, 네트워크 관리 서버.13. The method of claim 12,
When the changed traffic pattern information is received from the client terminal, the packet control rule generator updates the packet control rule based on the changed traffic pattern information, and the controller transmits the updated packet control rule to the corresponding network device , Network management server. 제13항에 있어서,
상기 클라이언트 단말은 분산 서비스 거부 공격이 감지되면, 현재 트래픽 패턴을 상이한 트래픽 패턴으로 변경하고, 상기 변경된 트래픽 패턴에 관한 정보를 상기 네트워크 관리 서버에 전송하는 것을 특징으로 하는, 네트워크 관리 서버. 14. The method of claim 13,
Wherein the client terminal changes a current traffic pattern to a different traffic pattern and transmits information on the changed traffic pattern to the network management server when a distributed denial of service attack is detected. 제11항에 있어서,
상기 네트워크 장비는 라우터, 서버 수용 장비, 고객 서버 네트워크 장비 중 적어도 어느 하나를 포함하는, 네트워크 관리 서버.12. The method of claim 11,
Wherein the network equipment comprises at least one of a router, a server accommodating equipment, and a customer server network equipment. 제15항에 있어서,
상기 라우터는 백본라우터, 에지라우터 및 액세스라우터 중 적어도 하나를 포함하는, 네트워크 관리 서버.16. The method of claim 15,
Wherein the router comprises at least one of a backbone router, an edge router, and an access router. 제11항에 있어서,
상기 트래픽 패턴 정보는 패킷 크기 정보, 패킷 전송에 사용되는 프로토콜 정보, 패킷 단편화 정보 중 적어도 하나를 포함하는, 네트워크 관리 서버.12. The method of claim 11,
Wherein the traffic pattern information includes at least one of packet size information, protocol information used for packet transmission, and packet fragmentation information. 제11항에 있어서,
상기 패킷 제어 규칙은 특정 트래픽 패턴을 가지는 패킷을 폐기하는 규칙, 특정 트래픽 패턴을 가지는 패킷만을 필터링하여 해당 클라이언트 단말로 라우팅하는 규칙, 특정 트래픽 패턴을 가지는 패킷을 소정 장치로 라우팅하는 규칙 및 특정 클라이언트 단말로 전송되는 패킷의 양을 제어하는 규칙 중 적어도 하나의 조합으로 구성되는, 네트워크 관리 서버.12. The method of claim 11,
The packet control rule includes a rule for discarding a packet having a specific traffic pattern, a rule for filtering only packets having a specific traffic pattern to route to a corresponding client terminal, a rule for routing a packet having a specific traffic pattern to a predetermined device, And a rule for controlling the amount of packets transmitted to the network management server. 제11항에 있어서,
상기 네트워크 장비로부터 수신된 패킷에 기반하여 공격 특성을 분석하는 공격 특성 분석부를 더 포함하되, 상기 분석된 공격 특성에 관한 정보를 상기 클라이언트 단말에 전송하는, 네트워크 관리 서버.12. The method of claim 11,
Further comprising an attack characteristic analysis unit for analyzing an attack characteristic based on a packet received from the network equipment, wherein the network management server transmits information on the analyzed attack characteristic to the client terminal. 제11항에 있어서,
상기 클라이언트 단말과 상기 네트워크 장비 사이의 연결 관계를 식별하기 위한 라우팅 테이블을 더 포함하되, 상기 트래픽 패턴 정보 수집부가 상기 라우팅 테이블을 참조하여 상기 네트워크 장비 별 상기 트래픽 패턴 정보를 분류하는, 네트워크 관리 서버.12. The method of claim 11,
Further comprising a routing table for identifying a connection relationship between the client terminal and the network device, wherein the traffic pattern information collection unit classifies the traffic pattern information for each network device by referring to the routing table. 네트워크 관리 서버와 연동하여 분산 서비스 거부 공격을 방어하는 클라이언트 단말에 있어서,
현재 제공하고 있는 서비스에 대응되는 트래픽 패턴을 추출하는 트래픽 패턴 추출부;
상기 추출된 트래픽 패턴 정보를 상기 네트워크 관리 서버에 전송하는 통신부;
네트워크 장비로부터 수신된 패킷을 분석하여 분산 서비스 거부 공격 발생 여부를 감지하는 공격 감지부; 및
상기 분산 서비스 거부 공격이 감지되면 상기 트래픽 패턴을 변경하는 트래픽 패턴 변경부
를 포함하는, 클라이언트 단말.A client terminal for preventing a distributed denial of service attack in cooperation with a network management server,
A traffic pattern extracting unit for extracting a traffic pattern corresponding to a currently provided service;
A communication unit for transmitting the extracted traffic pattern information to the network management server;
An attack detection unit for analyzing packets received from the network equipment and detecting whether a distributed denial of service attack occurs or not; And
A traffic pattern changing unit for changing the traffic pattern when the distributed denial-
And a client terminal.
KR1020150038789A 2015-03-20 2015-03-20 Method and apparatus for protecting network from distributed denial of service attack KR20160112661A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150038789A KR20160112661A (en) 2015-03-20 2015-03-20 Method and apparatus for protecting network from distributed denial of service attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150038789A KR20160112661A (en) 2015-03-20 2015-03-20 Method and apparatus for protecting network from distributed denial of service attack

Publications (1)

Publication Number Publication Date
KR20160112661A true KR20160112661A (en) 2016-09-28

Family

ID=57101445

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150038789A KR20160112661A (en) 2015-03-20 2015-03-20 Method and apparatus for protecting network from distributed denial of service attack

Country Status (1)

Country Link
KR (1) KR20160112661A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2602254A (en) * 2020-12-15 2022-06-29 Senseon Tech Ltd Network traffic monitoring

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2602254A (en) * 2020-12-15 2022-06-29 Senseon Tech Ltd Network traffic monitoring
GB2602254B (en) * 2020-12-15 2023-04-05 Senseon Tech Ltd Network traffic monitoring

Similar Documents

Publication Publication Date Title
CN101589595B (en) A containment mechanism for potentially contaminated end systems
US9130978B2 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US7356689B2 (en) Method and apparatus for tracing packets in a communications network
US7752324B2 (en) Real-time packet traceback and associated packet marking strategies
CN113132342B (en) Method, network device, tunnel entry point device, and storage medium
US8874723B2 (en) Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
EP1775910B1 (en) Application layer ingress filtering
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US20200137112A1 (en) Detection and mitigation solution using honeypots
EP3635929B1 (en) Defend against denial of service attack
US20080127324A1 (en) DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
CN101779434A (en) processing packet flows
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Mopari et al. Detection and defense against DDoS attack with IP spoofing
Saad et al. A study on detecting ICMPv6 flooding attack based on IDS
Nur et al. Single packet AS traceback against DoS attacks
KR101118398B1 (en) Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
WO2005111805A1 (en) Method of network traffic signature detection
US8281400B1 (en) Systems and methods for identifying sources of network attacks
KR20030009887A (en) A system and method for intercepting DoS attack
KR20160112661A (en) Method and apparatus for protecting network from distributed denial of service attack
CN114938308B (en) Method and device for detecting IPv6 network attack based on address entropy self-adaptive threshold

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X601 Decision of rejection after re-examination