KR20170133790A - 상황인지 기반 의심 트래픽 대응 장치 및 방법 - Google Patents

상황인지 기반 의심 트래픽 대응 장치 및 방법 Download PDF

Info

Publication number
KR20170133790A
KR20170133790A KR1020160065011A KR20160065011A KR20170133790A KR 20170133790 A KR20170133790 A KR 20170133790A KR 1020160065011 A KR1020160065011 A KR 1020160065011A KR 20160065011 A KR20160065011 A KR 20160065011A KR 20170133790 A KR20170133790 A KR 20170133790A
Authority
KR
South Korea
Prior art keywords
traffic
information
suspicious
context
statistical information
Prior art date
Application number
KR1020160065011A
Other languages
English (en)
Inventor
이현진
노성기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160065011A priority Critical patent/KR20170133790A/ko
Publication of KR20170133790A publication Critical patent/KR20170133790A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 상황인지 기반 의심 트래픽 대응 장치는 소프트웨어 정의망으로부터 트래픽 정보를 수집하여 트래픽 통계 정보를 생성하고, 의심 트래픽 처리부로부터 수신된 경로 우회 명령에 기초하여 트래픽을 우회시키는 SDN 제어부 및 트래픽 통계 정보에 기초하여 의심 트래픽 여부를 판단하여 SDN 제어부로 경로 우회 명령을 전달하여 해당 트래픽을 우회시키는 의심 트래픽 처리부를 포함한다.

Description

상황인지 기반 의심 트래픽 대응 장치 및 방법{APPARATUS AND METHOD FOR AGAINST SUSPICIOUS TRAFFIC BASED CONTEXT COGNITION}
본 발명은 소프트웨어 정의망의 보안에 관한 것으로, 보다 상세하게는 소프트웨어 정의망에 대한 의심 트래픽의 탐지 및 차단 기술에 관한 것이다.
특정 네트워크를 공격하기 위한 공격 방법으로 Scanning 공격, Flooding 공격, Intrusion 공격 등이 이용되고 있고 공격으로 명확히 판단되기 전까지는 의심 트래픽으로 간주될 수 있다. Flooding 공격의 하나인 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격은 다수의 공격 PC를 분산적으로 배치해 동시에 대상 시스템에 분산 서비스 공격(DoS)을 한다. 일반적으로, 특정 서버에서 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 소모시키는 공격 등이 DDoS 공격의 범위에 포함될 수 있다.
이와 같은 의심 트래픽을 탐지 및 차단하기 위한 보안 기술 및 보안 장치는 의심 트래픽이 발생할 때 종류와 발생 횟수 등을 파악하여 관련 트래픽을 차단한다. 하지만, 기존의 의심 트래픽 탐지 방법은 패킷 전송 빈도 또는 연결 시도 빈도와 같은 트래픽 빈도를 기반으로 동작하기 때문에 오탐지가 발생하기 쉽다. 또한, 오탐지 발생을 인지하더라도 오탐지에 의해 중지시킨 서비스를 재개할 수 없다.
대한민국 공개특허 10-2014-0031616
본 발명이 해결하고자 하는 과제는 트래픽 빈도뿐만 아니라 트래픽 통계치를 활용하여 각 상황에 따른 트래픽을 예상하여 의심 트래픽 여부를 판단할 수 있으며, 의심 트래픽으로 판단되는 경우 트래픽을 복제 서버로 우회하여 서비스를 제공하는 의심 트래픽 대응 장치 및 방법을 제공하는 것이다.
본 발명에 따른 상황인지 기반 의심 트래픽 대응 장치는 소프트웨어 정의망으로부터 트래픽 정보를 수집하여 트래픽 통계 정보를 생성하고, 의심 트래픽 처리부로부터 수신된 경로 우회 명령에 기초하여 트래픽을 우회시키는 SDN 제어부 및 트래픽 통계 정보에 기초하여 의심 트래픽 여부를 판단하여 SDN 제어부로 경로 우회 명령을 전달하여 해당 트래픽을 우회시키는 의심 트래픽 처리부를 포함한다.
SDN 제어부는 트래픽 정보에 상황 정보를 추가하여 트래픽 통계 정보를 생성한다. 이 때, 상황 정보는 시간, 요일, 날짜, 날씨 및 고객 위치 정보 중에서 적어도 하나 이상을 포함할 수 있다.
의심 트래픽 처리부는 트래픽 통계 정보로부터 사용자 별 서비스 경향을 추정하고, 트래픽 통계 정보로부터 상황 중요도를 추출하고 현재의 상황 정보를 대입하여 상황에 따른 가중치를 생성하며, 생성된 가중치를 사용자 별 서비스 경향에 반영하여 트래픽 예상치를 산출하고, 산출된 트래픽 예상치(트래픽 예상 정보)와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단한다.
상황 중요도는 상호 정보량(Mutual Information), mRMR(minimum redundancy maximum relevance), 카이제곱(Chi-square) 및 정보획득(Information Gain) 등을 통해 추출될 수 있다.
의심 트래픽 처리부는 트래픽 통계 정보로부터 산출된 트래픽 예상치와 현재 트래픽의 차이가 기 설정된 차이 임계치를 초과하는 경우 해당 트래픽을 우회시키는 경로 우회 명령을 SDN 제어부로 전달하여, 해당 트래픽을 복제 서버로 우회 및 격리시킬 수 있다.
SDN 제어부는 경로 우회 명령에 기초하여 소프트웨어 정의망을 구성하는 오픈플로우 스위치에 변경된 플로우 테이블을 전달하여, 트래픽을 복제 서버로 우회시켜 격리한다. 그리고 SDN 제어부는 상기 격리된 의심 트래픽이 실제 공격인 경우 차단하고, 공격이 아닌 경우 실제 서버로 다시 우회시켜 서비스를 재개한다.
본 발명에 따른 상황인지 기반 의심 트래픽 대응 방법은 트래픽 통계 정보를 수집하는 단계, 트래픽 통계 정보에 기초하여 수신된 트래픽의 의심 트래픽 여부를 판단하는 단계 및 판단 결과에 기초하여 상기 수신된 트래픽을 복제 서버로 우회시키는 단계로 구성된다.
트래픽 통계 정보를 수집하는 단계는 소프트웨어 정의망으로부터 수집된 트래픽 정보에 상황 정보를 추가하여 트래픽 통계 정보를 생성한다.
의심 트래픽 여부를 판단하는 단계는 트래픽 통계 정보로부터 사용자 별 서비스 경향을 추정하는 단계, 트래픽 통계 정보로부터 상황 중요도를 추출하고 현재의 상황 정보를 대입하여 상황에 따른 가중치를 생성하는 단계, 생성된 가중치를 사용자 별 서비스 경향에 반영하여 트래픽 예상치를 산출하는 단계 및 산출된 트래픽 예상치와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단하는 단계를 포함한다.
그리고 복제 서버로 우회시키는 단계 이후에, 복제 서버로 우회된 의심 트래픽이 실제 공격인지 여부를 재확인하는 단계 및 재확인 결과에 기초하여 상기 트래픽을 차단하거나 실제 서버로 우회시키는 단계를 더 포함할 수 있다.
본 발명에 따른 상황인지 기반 의심 트래픽 대응 장치 및 방법은 트래픽 통계 정보(트래픽 통계치)를 기반으로 의심 트래픽을 탐지함으로써 탐지의 정확도를 높일 수 있다.
또한, 본 발명에 따른 상황인지 기반 의심 트래픽 대응 장치 및 방법은 의심 트래픽으로 판단된 트래픽을 복제 서버로 우회하여 차단한 후, 정상 트래픽으로 판단되면 실제 서버를 통해 다시 서비스를 재개시킬 수 있어, 오탐지에도 바로 트래픽을 차단시키지 않아 서비스 재개를 빠르게 수행할 수 있다.
또한, 본 발명에 따른 상황인지 기반 의심 트래픽 대응 장치 및 방법은 의심 트래픽 여부를 판단할 때, 상황별 트래픽을 예상하여 판단함으로써 오탐율을 줄일 수 있다.
도 1은 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)의 의심 트래픽 대응 과정의 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)의 의심 트래픽 여부를 판단하는 동작을 설명하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 방법의 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(500)의 다른 일례를 나타내는 구성도이다.
이하, 본 발명의 실시예를 첨부된 도면들을 참조하여 상세하게 설명한다. 본 명세서에서 사용되는 용어 및 단어들은 실시예에서의 기능을 고려하여 선택된 용어들로서, 그 용어의 의미는 발명의 의도 또는 관례 등에 따라 달라질 수 있다. 따라서 후술하는 실시예에서 사용된 용어는, 본 명세서에 구체적으로 정의된 경우에는 그 정의에 따르며, 구체적인 정의가 없는 경우는 당업자들이 일반적으로 인식하는 의미로 해석되어야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)의 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)는 의심 트래픽 처리부(110) 및 SDN 제어부(120)를 포함한다.
의심 트래픽 처리부(110)는 공격 탐지부(111) 및 공격 제어부(112)를 포함한다. 그리고 SDN 제어부(120)는 통계 처리부(121) 및 경로 관리부(122)를 포함한다.
SDN 제어부(121)의 통계 처리부(121)는 소프트웨어 정의망(Software Defined Network, 10)을 구성하는 다수의 오픈플로우 스위치(11)로부터 트래픽 정보를 수집한다.
통계 처리부(121)는 소프트웨어 정의망(10)에서 수집된 트래픽 정보에 기초하여 트래픽 통계 정보(트래픽 통계치)를 생성한다. 트래픽 통계 정보는 수집된 트래픽 정보에 상황 정보를 추가하여 생성된다. 상황 정보는 시간, 요일, 날짜, 날씨 및 고객 위치 정보 등을 포함할 수 있다.
통계 처리부(121)에서 생성된 트래픽 통계 정보는 5-튜플(tuple), 시간, 요일, 날씨, 고객위치 등의 값을 가지게 된다. 통계 처리부(121)는 외부로부터 상황 정보를 수신 받아 사용할 수 있다. 일례로서, 통계 처리부(121)는 외부 서버인 기상청 DB로부터 날씨 정보를 전달받아 상황 정보로 활용할 수 있다. 그리고 통계 처리부(121)는 소스 IP 주소를 직접 사용하거나 IP 주소 대역을 사용하여 고객 위치 정보를 상황 정보로 활용할 수 있다.
통계 처리부(121)는 수집된 트래픽 정보에 대응하는 상황 정보를 추가하여 트래픽 통계 정보를 생성하여 의심 트래픽 처리부(110)로 전달한다.
의심 트래픽 처리부(110)의 공격 탐지부(111)는 통계 처리부(121)로부터 수신된 트래픽 통계 정보에 기초하여 의심 트래픽 여부를 판단한다. 의심 트래픽의 일례는 TCP 동기 스캐닝, 지능형 지속 공격(ATP)을 위한 탤런트(talent)/SSH) 접근 시도와 분산 서비스 거부 공격(DDoS) 등이 포함될 수 있다.
공격 탐지부(111)는 수신된 트래픽 통계 정보로부터 사용자 별 서비스 경향을 추정한다. 공격 탐지부(111)는 협업적 필터링(Collaborative Filtering) 방식을 이용하여 사용자 별, 서비스 경향을 추적할 수 있다. 일례로서, 공격 탐지부(111)는 특정 사용자가 FTP 서비스를 사용하는 경우, 스트리밍 서비스를 사용하는 경향이 있는 것으로 판단할 수 있다.
그리고 공격 탐지부(111)는 사용자 별 서비스 경향을 추정하는 동시에, 상황 중요도를 추출한다. 상황 중요도는 사용자들이 주로 어떤 상황에서 어떤 서비스를 주로 사용하는지를 판단하는 정보이다. 일례로서, 상황 중요도는 퇴근 시간 이후부터 새벽 1~2시까지 P2P 서비스가 가장 많이 사용됨, 저녁 6시 30분부터 10시까지는 야구 중계에 따른 스트리밍 서비스가 많이 사용됨, 비가 오거나 국가대표팀 경기가 있는 날에 트래픽 사용량이 높아짐 등과 같은 정보를 포함할 수 있다.
공격 탐지부(111)는 상황 중요도가 추출되면, 현재의 상황 정보를 대입하여 상황에 따른 가중치를 생성한다. 그리고 공격 탐지부(111)는 생성된 가중치를 사용자 별 서비스 경향에 반영하여 상황 가중치를 매김으로서 트래픽 예상치를 산출한다. 즉, 공격 탐지부(111)는 현재 상황에서 발생할 수 있는 트래픽 예상치를 얻게 된다.
트래픽 예상치가 산출되면, 공격 탐지부(111)는 트래픽 예상치와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단한다. 이 때, 공격 탐지부(111)는 실제 트래픽과 트래픽 예상치의 차이가 기 설정된 임계치를 초과하는지 여부를 통해 의심 트래픽 여부를 판단할 수 있다.
공격 제어부(112)는 공격 탐지부(111)에서의 의심 트래픽 여부 판단 결과에 따라 소프트웨어 정의망(10)의 트래픽에 대한 경로 우회 명령을 전달한다. 공격 탐지부(111)는 공격 탐지부(111)에 의해 의심 트래픽이라고 판단되면, SDN 제어부(120)로 실제 서버(20)에서 복제 서버(30)로 트래픽 경로를 변경하는 경로 우회 명령을 전달한다.
SDN 제어부(121)의 경로 관리부(122)는 의심 트래픽 처리부(110)의 공격 제어부(112)로부터 수신된 경로 우회 명령에 기초하여 의심 트래픽으로 판단된 트래픽을 실제 서버(20)에서 복제 서버(30)로 우회 또는 복제 서버(30)에서 실제 서버(20)로 우회시킨다. 이 때, 경로 관리부(122)는 소프트웨어 정의망(10)을 구성하는 다수의 오픈플로우 스위치(11)에 변경된 플로우 테이블을 전달하여 실제 서버(20)와 복제 서버(30) 사이의 경로를 전환한다. 이를 통해, 의심 트래픽으로 판단된 트래픽을 복제 서버로 격리하여 시스템 또는 서비스에 대한 의심 트래픽을 탐지 및 방어할 수 있다.
SDN 제어부(121)는 의심 트래픽으로 판단된 트래픽을 복제 서버로 우회시켜 격리한 후, 해당 트래픽이 실제 공격이 맞는지 여부를 다시 판별한다. 그리고 해당 트래픽이 공격으로 최종 결정되면 해당 트래픽을 차단하고, 공격이 아닌 것으로 판단되면 해당 트래픽을 실제 서버로 다시 우회시켜 서비스를 재개한다.
본 발명에 따른 상황인지 기반 의심 트래픽 대응 장치(100)는 트래픽 빈도수만이 아닌 실제 트래픽과 트래픽 예상치의 차이를 통해 의심 트래픽을 판단한다. 또한, 의심 트래픽으로 의심되는 트래픽을 바로 차단하는 것이 아니라 복제 서버로 우회시킨 후, 다시 정확하게 판별하여 최종적으로 공격으로 판단된 트래픽만을 차단한다. 반면에, 최종적으로 공격이 아니라고 판단된 트래픽은 실제 서버로 다시 우회시켜 서비스를 재개함으로써, 서비스 끊김 없이 서비스를 재개시킬 수 있다. 본 발명은 이를 통해 공격에 대한 오탐지 가능성을 줄일 수 있다.
도 2는 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)의 의심 트래픽 대응 과정의 흐름도이다.
도 1 및 도 2를 참조하면, SDN 제어부(120)는 소프트웨어 정의망(SDN, 10)을 구성하는 다수의 오픈플로우 스위치로부터 트래픽 정보를 수집한다(S201). 그리고 SDN 제어부(120)는 소프트웨어 정의망(10)으로부터 수집된 트래픽 정보에 기초하여 트래픽 통계 정보를 생성하고, 생성된 트래픽 통계 정보를 의심 트래픽 처리부(110)로 전달한다(S202). 트래픽 통계 정보는 수집된 트래픽 정보에 상황 정보를 추가하여 생성된다. 상황 정보는 시간, 요일, 날짜, 날씨 및 고객 위치 정보 등을 포함할 수 있다.
SDN 제어부(120)로부터 트래픽 통계 정보가 수신되면, 의심 트래픽 처리부(110)는 수신된 트래픽 통계 정보를 분석하여 의심 트래픽 여부를 판단한다(S203). 의심 트래픽 처리부(110)는 수신된 트래픽 통계 정보로부터 사용자 별 서비스 경향을 추정한다. 이 때, 의심 트래픽 처리부(110)는 협업적 필터링(Collaborative Filtering) 방식을 이용하여 사용자 별, 서비스 경향을 추적할 수 있다. 그리고 의심 트래픽 처리부(110)는 트래픽 통계 정보로부터 상황 중요도를 추출한다.
다음으로, 상황 중요도가 추출되면, 의심 트래픽 처리부(110)는 현재의 상황 정보를 대입하여 상황에 따른 가중치를 생성한다. 그리고 의심 트래픽 처리부(110)는 생성된 가중치를 사용자 별 서비스 경향에 반영하여 상황 가중치를 매김으로서 트래픽 예상치를 산출한다. 트래픽 예상치가 산출되면, 의심 트래픽 처리부(110)는 트래픽 예상치와 현재 트래픽을 비교하여 기 설정된 소정의 임계치를 초과하는지 여부를 통해 의심 트래픽 여부를 판단한다.
의심 트래픽 처리부(110)는 S203 단계를 통해 의심 트래픽으로 판단되면, SDN 제어부(120)로 경로 우회 명령을 전달한다(S204). 경로 우회 명령은 실제 서버(20)에서 복제 서버(30)로 트래픽 경로를 변경(우회)하도록 하는 명령이다.
SDN 제어부(120)는 의심 트래픽 처리부(110)로부터 경로 우회 명령이 전달되면, 소프트웨어 정의망을 구성하는 오픈플로우 스위치로 변경된 플로우 테이블을 전달한다(S205). SDN 제어부(121)는 수신된 경로 우회 명령에 기초하여 의심 트래픽으로 판단된 트래픽을 실제 서버(20)에서 복제 서버(30)로 우회시킨다. 이를 SDN 제어부(120)는 오픈플로우 스위치로 변경된 플로우 테이블을 전달하여, 의심 트래픽이 실제 서버(20)에서 복제 서버(30)로 우회하도록 한다.
도 3은 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)의 의심 트래픽 여부를 판단하는 동작을 설명하는 도면이다.
도 1 및 도 3을 참조하면, 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(100)는 트래픽 통계치로부터 트래픽 예상치를 추출하고, 추출된 트래픽 예상치와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단한다.
의심 트래픽 처리부(110)는 수신된 트래픽 통계 정보로부터 사용자 별 서비스 경향을 추정한다(301). 이 때, 의심 트래픽 처리부(110)는 일반적으로 사용되는 협업적 필터링(CF) 방식을 이용하여 사용자 별 서비스 경향을 추적할 수 있다. 일례로서, 일례로서, 의심 트래픽 처리부(110)는 특정 사용자가 FTP 서비스를 사용하는 경우, 스트리밍 서비스를 사용하는 경향이 있는 것으로 판단하는 형태와 같이 SDN에 대응하는 형태의 협업적 필터링 방식을 활용할 수 있다.
다음으로, 의심 트래픽 처리부(110)는 트래픽 통계 정보로부터 상황 중요도를 추출한다(302). 상황 중요도는 사용자들이 주로 어떤 상황에서 어떤 서비스를 주로 사용하는지를 판단하는 정보이다. 일례로서, 상황 중요도는 퇴근 시간 이후부터 새벽 1~2시까지 P2P 서비스가 가장 많이 사용됨, 저녁 6시 30분부터 10시까지는 야구 중계에 따른 스트리밍 서비스가 많이 사용됨, 비가 오거나 국가대표팀 경기가 있는 날에 트래픽 사용량이 높아짐 등과 같은 정보를 포함할 수 있다. 상황 중요도는 상호 정보량(Mutual Information), mRMR(minimum redundancy maximum relevance), 카이제곱(Chi-square) 및 정보획득(Information Gain) 등을 사용하여 추출될 수 있다.
상황 중요도가 추출되면, 의심 트래픽 처리부(110)는 상황 중요도에 현재의 상황 정보를 대입하여 상황에 따른 가중치를 생성한다(303). 현재 상황 정보는 시간, 요일, 날씨, 고객 위치정보 등을 포함할 수 있다. 그리고 공격 탐지부(111)는 생성된 가중치를 사용자 별 서비스 경향에 반영하여 상황 가중치를 매김으로서 트래픽 예상치를 산출한다.
상황에 따른 가중치를 반영하여 트래픽 예상치가 산출되면, 의심 트래픽 처리부(110)는 산출된 트래픽 예상치와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단한다(S304). 이 때, 그리고 공격 탐지부(111)는 생성된 가중치를 사용자 별 서비스 경향에 반영하여 상황 가중치를 매김으로서 트래픽 예상치를 산출한다. 는 실제 트래픽과 트래픽 예상치의 차이가 기 설정된 임계치를 초과하는지 여부를 통해 의심 트래픽 여부를 판단할 수 있다.
도 4는 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 방법의 흐름도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 방법은 먼저 소프트웨어 정의망으로부터 트래픽 정보를 수집하여 트래픽 통계치를 수집한다(S401). 소프트웨어 정의망은 다수의 오픈플로우 스위치로 구성된다. 이러한 오픈플로우 스위치로부터 트래픽 수집된 트래픽 정보에 상황 정보를 추가하여 트래픽 통계 정보를 생성한다. 상황 정보는 시간, 요일, 날짜, 날씨 및 고객 위치 정보 등을 포함할 수 있다.
트래픽 통계치 정보가 수집되면, 트래픽 통계치로부터 상황별 트래픽 예상치를 추출한다(S402). 트래픽 통계 정보로부터 사용자별 서비스 경향을 추정하고 상황 중요도를 추출한다. 그리고 상황 중요도로부터 현재 상황에 따른 가중치를 생성하고, 생성된 가중치를 사용자별 서비스 경향에 반영하여 트래픽 예상치를 산출한다. 트래픽 예상치를 산출하는 과정은 상술한 도 3을 참조한다.
다음으로, 트래픽 빈도가 기 설정된 임계치를 초과하는지 여부를 판단한다(S403). 본 발명에서는 1차적으로 트래픽 빈도를 통해 판단한 후, 트래픽 예상치를 통해 2차적으로 의심 트래픽의 실제 공격 여부를 판단할 수 있다. 따라서, 현재 발생하는 트래픽 빈도가 기 설정된 임계치를 초과하는지 여부를 판단하여 의심 트래픽 여부를 1차적으로 판단한다. 만약, 현재의 트래픽 빈도가 임계치 미만일 경우, 의심 트래픽이 아닌 것으로 판단한다.
S403 단계에서 트래픽 빈도가 임계치를 초과하는 경우, 실제 트래픽과 예상 트래픽(트래픽 예상치) 사이의 차이가 기 설정된 탐지 임계치를 초과하는지 여부를 판단한다(S404). S403 단계에서의 트래픽 빈도만으로 의심 트래픽 여부를 판단하는 경우, 오탐지가 발생할 가능성이 있다. 따라서, 상황에 따른 트래픽 예상치와 현재 트래픽 사이에 차이가 있는지를 한번 더 판단하여 의심 트래픽 판단의 정확도를 높일 수 있다. 여기서 상황이란 상황 정보에 따른 요일, 날씨 및 고객 위치정보 등을 포함할 수 있다.
예를 들어, 특정 시간대나 비가 오는 날은 트래픽 량이 평소보다 증가할 수 있으며, 장소에 따라 트래픽 량이 증가할 수 있다. 이 경우, 트래픽 빈도가 임계치를 초과할지라도, 실제 트래픽과 트래픽 예상치 사이의 차이를 통해, 공격을 통해 트래픽이 증가한 것인지 사용량 자체가 증가한 것이지 판단의 정확도를 높일 수 있다.
실제 트래픽과 예상 트래픽(트래픽 예상치)의 차이가 차이 임계치를 초과하는 경우, 해당 트래픽을 복제 서버로 우회시킨다(S405). S403 단계 및 S404 단계를 통해 임계치를 초과한다고 판단되면, 우선 해당 트래픽을 복제 서버로 우회시킨다. 이 때, 소프트웨어 정의망을 구성하는 오픈플로우 스위치로 변경된 플로우 테이블을 전달하여, 트래픽이 실제 서버에서 복제 서버로 우회하도록 한다.
의심 트래픽에 대응하여 트래픽을 우회시킨 후, 해당 트래픽이 의심 트래픽인지 여부를 판단한다(S406). S403 단계 및 S404 단계의 판단 결과 공격으로 의심되는 트래픽을 우선 복제 서버로 우회시켜 격리한 후, 해당 트래픽이실제 공격인지 여부를 정확히 재확인한다. 만약, 실제 공격이라고 판단되면 해당 트래픽을 차단한다(S407). 반면에, 실제 공격이 아니라고 판단되면, 트래픽을 실제 서버로 다시 우회하여 서비스를 재개한다(S408).
도 5는 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(500)의 다른 일례를 나타내는 구성도이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 상황인지 기반 의심 트래픽 대응 장치(500)는 도 1과 일부 상이한 구성을 가진다. 도 5의 상황인지 기반 의심 트래픽 대응 장치(500)는 일반적인 의심 트래픽 탐지부(50)로부터 공격 알림을 수신한다. 도 5의 상황인지 기반 의심 트래픽 대응 장치(500)는 기존의 보안장비에 해당하는 의심 트래픽 탐지부(50)로부터 공격 알림이 수신되면, 트래픽 빈도에 따른 판단 과정을 생략하고, 트래픽 예상치와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단한다. 그리고 판단 결과에 따라 우회 여부를 결정하여 의심 트래픽으로 판단된 트래픽을 격리 및 차단할 수 있다.
상술한 내용을 포함하는 본 발명은 컴퓨터 프로그램으로 작성이 가능하다. 그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체 또는 정보저장매체에 저장되고, 컴퓨터에 의하여 판독되고 실행함으로써 본 발명의 방법을 구현할 수 있다. 그리고 상기 기록매체는 컴퓨터가 판독할 수 있는 모든 형태의 기록매체를 포함한다.
이상 바람직한 실시예를 들어 본 발명을 상세하게 설명하였으나, 본 발명은 전술한 실시예에 한정되지 않고, 본 발명의 기술적 사상의 범위 내에서 당분야에서 통상의 지식을 가진자에 의하여 여러 가지 변형이 가능하다.
100: 상황인지 기반 의심 트래픽 대응 장치
110: 의심 트래픽 처리부
111: 공격 탐지부
112: 공격 제어부
120: SDN 제어부
121: 통계 처리부
122: 경로 관리부

Claims (13)

  1. 소프트웨어 정의망으로부터 트래픽 정보를 수집하여 트래픽 통계 정보를 생성하고, 의심 트래픽 처리부로부터 수신된 경로 우회 명령에 기초하여 트래픽을 우회시키는 SDN 제어부; 및
    상기 트래픽 통계 정보를 통해 의심 트래픽 여부를 판단하여 SDN 제어부로 해당 트래픽을 우회시키는 경로 우회 명령을 전달하는 의심 트래픽 처리부;
    를 포함하는 상황인지 기반 의심 트래픽 대응 장치.
  2. 제1항에 있어서,
    상기 SDN 제어부는,
    상기 수집된 트래픽 정보에 상황 정보를 추가하여 상기 트래픽 통계 정보를 생성하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 장치.
  3. 제2항에 있어서,
    상기 상황 정보는 시간, 요일, 날짜, 날씨 및 고객 위치 정보 중에서 적어도 하나 이상을 포함하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 장치.
  4. 제1항에 있어서,
    상기 의심 트래픽 처리부는,
    상기 트래픽 통계 정보로부터 사용자 별 서비스 경향을 추정하고, 상기 트래픽 통계 정보로부터 상황 중요도를 추출하고 현재의 상황 정보를 대입하여 상황에 따른 가중치를 생성하며, 생성된 가중치를 사용자 별 서비스 경향에 반영하여 트래픽 예상치를 산출하고, 산출된 트래픽 예상치와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 장치.
  5. 제4항에 있어서,
    상기 상황 중요도는 상호 정보량(Mutual Information), mRMR(minimum redundancy maximum relevance), 카이제곱(Chi-square) 및 정보획득(Information Gain) 중에서 적어도 하나 이상을 사용하여 추출하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 장치.
  6. 제1항에 있어서,
    상기 의심 트래픽 처리부는 상기 트래픽 통계 정보로부터 산출된 트래픽 예상치와 현재 트래픽의 차이가 기 설정된 임계치를 초과하는 경우 해당 트래픽을 우회시키는 경로 우회 명령을 상기 SDN 제어부로 전달하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 장치.
  7. 제1항에 있어서,
    SDN 제어부는 경로 우회 명령에 기초하여 소프트웨어 정의망을 구성하는 오픈플로우 스위치에 변경된 플로우 테이블을 전달하여, 트래픽을 복제 서버로 우회시켜 격리하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 장치.
  8. 제7항에 있어서,
    상기 SDN 제어부는 상기 격리된 트래픽이 실제 공격인 경우 차단하고, 공격이 아닌 경우 실제 서버로 다시 우회시켜 서비스를 재개하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 장치.
  9. 트래픽 통계 정보를 수집하는 단계;
    트래픽 통계 정보에 기초하여 수신된 트래픽의 의심 트래픽 여부를 판단하는 단계; 및
    상기 판단 결과에 기초하여 상기 수신된 트래픽을 복제 서버로 우회시키는 단계;
    를 포함하는 상황인지 기반 의심 트래픽 대응 방법.
  10. 제9항에 있어서,
    상기 트래픽 통계 정보를 수집하는 단계는,
    소프트웨어 정의망으로부터 수집된 트래픽 정보에 상황 정보를 추가하여 상기 트래픽 통계 정보를 생성하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 방법.
  11. 제9항에 있어서,
    상기 의심 트래픽 여부를 판단하는 단계는,
    상기 트래픽 통계 정보로부터 사용자 별 서비스 경향을 추정하는 단계;
    상기 트래픽 통계 정보로부터 상황 중요도를 추출하고 현재의 상황 정보를 대입하여 상황에 따른 가중치를 생성하는 단계;
    생성된 가중치를 사용자 별 서비스 경향에 반영하여 트래픽 예상치를 산출하는 단계; 및
    산출된 트래픽 예상치와 현재 트래픽을 비교하여 의심 트래픽 여부를 판단하는 단계;
    를 포함하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 방법.
  12. 제9항에 있어서,
    상기 복제 서버로 우회시키는 단계 이후에 수행되는
    상기 복제 서버로 우회된 트래픽의 실제 공격인지 여부를 재확인하는 단계; 및
    상기 재확인 결과에 기초하여 상기 트래픽을 차단하거나 실제 서버로 우회시키는 단계;
    를 더 포함하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 방법.
  13. 제9항에 있어서,
    상기 복제 서버로 우회시키는 단계는 소프트웨어 정의망을 구성하는 오픈플로우 스위치에 변경된 플로우 테이블을 전달하여, 트래픽을 복제 서버로 우회시켜 격리하는 것을 특징으로 하는 상황인지 기반 의심 트래픽 대응 방법.
KR1020160065011A 2016-05-26 2016-05-26 상황인지 기반 의심 트래픽 대응 장치 및 방법 KR20170133790A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160065011A KR20170133790A (ko) 2016-05-26 2016-05-26 상황인지 기반 의심 트래픽 대응 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160065011A KR20170133790A (ko) 2016-05-26 2016-05-26 상황인지 기반 의심 트래픽 대응 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20170133790A true KR20170133790A (ko) 2017-12-06

Family

ID=60922253

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160065011A KR20170133790A (ko) 2016-05-26 2016-05-26 상황인지 기반 의심 트래픽 대응 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20170133790A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020013439A1 (ko) * 2018-07-11 2020-01-16 삼성전자 주식회사 Sdn네트워크에서 라우팅 제어 장치 및 방법
WO2020183012A1 (de) * 2019-03-14 2020-09-17 Anapur Ag Verfahren und kommunikationssteuersystem zur beeinflussung von kommunikation in einem kommunikationsnetzwerk

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020013439A1 (ko) * 2018-07-11 2020-01-16 삼성전자 주식회사 Sdn네트워크에서 라우팅 제어 장치 및 방법
WO2020183012A1 (de) * 2019-03-14 2020-09-17 Anapur Ag Verfahren und kommunikationssteuersystem zur beeinflussung von kommunikation in einem kommunikationsnetzwerk

Similar Documents

Publication Publication Date Title
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
CN101465770B (zh) 入侵检测系统部署方法
US11747799B2 (en) Industrial control system and network security monitoring method therefor
AU2004289001B2 (en) Method and system for addressing intrusion attacks on a computer system
US9369479B2 (en) Detection of malware beaconing activities
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US7039950B2 (en) System and method for network quality of service protection on security breach detection
JP5960978B2 (ja) 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US10701076B2 (en) Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources
JP2017528853A (ja) コンピュータネットワークへの攻撃を検出する方法
KR20170133790A (ko) 상황인지 기반 의심 트래픽 대응 장치 및 방법
Vasanthi et al. A study on network intrusion detection and prevention system current status and challenging issues
KR101268104B1 (ko) 침입방지시스템 및 그 제어방법
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
JP3822588B2 (ja) 不正アクセス検出装置、不正アクセス検出方法、および管理端末
CN114301796A (zh) 预测态势感知的验证方法、装置及系统
JP2006050442A (ja) トラヒック監視方法及びシステム
JP4190508B2 (ja) ネットワーク制御システムおよびネットワーク制御方法
KR20160084969A (ko) 모바일 업무환경에서 비정상 접근 탐지를 위한 상황 인지 시스템 및 그 방법
CN115277173A (zh) 一种网络安全监测管理系统及方法
Kirthiga et al. Detecting TCP SYNC Flood DDos Attack Using Modified Dendritic Cell Algorithm