KR20180078154A - 반사형 ddos 플로우의 전환 방법 및 시스템 - Google Patents

반사형 ddos 플로우의 전환 방법 및 시스템 Download PDF

Info

Publication number
KR20180078154A
KR20180078154A KR1020170180575A KR20170180575A KR20180078154A KR 20180078154 A KR20180078154 A KR 20180078154A KR 1020170180575 A KR1020170180575 A KR 1020170180575A KR 20170180575 A KR20170180575 A KR 20170180575A KR 20180078154 A KR20180078154 A KR 20180078154A
Authority
KR
South Korea
Prior art keywords
attack
flow
network node
source sip
base server
Prior art date
Application number
KR1020170180575A
Other languages
English (en)
Inventor
량 룬치앙
장 궈원
양 예인칭
예 메이샤
관 즈라이
Original Assignee
광둥 이프라이클라우드 컴퓨팅 컴퍼니.,리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광둥 이프라이클라우드 컴퓨팅 컴퍼니.,리미티드 filed Critical 광둥 이프라이클라우드 컴퓨팅 컴퍼니.,리미티드
Publication of KR20180078154A publication Critical patent/KR20180078154A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

반사형 DDOS 플로우의 전환 방법에 있어서, 네트워크 노드(A)의 데이터 흐름을 획득하고 검출하며, 공격 근원지 SIP와 공격 유형 집합(T)을 획득하는 단계; 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기에 발송하는 단계; 상기 유도 기기가 상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하는 단계; 상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우는 재주입되는 단계를 포함한다. 반사형 DDOS 플로우의 전환 시스템은, 검출 기기, 유도 기기 및 클리닝 기기를 포함하는 바, 여기서 공격 근원지 SIP는 해커에게 이용되는 베이스 서버의 IP이고; 본 발명은 이용되는 베이스 서버에 주동적으로 요청을 발송하는 것을 통해, 베이스 서버의 플로우를 유도하고 끌어들여, 공격자가 베이스 서버에 발송한 공격 요청이 처리되는 양을 감소시킴으로써, 베이스 서버가 공격 받는 오브젝트에 발송하는 플로우를 간접적으로 감소시킨다.

Description

반사형 DDOS 플로우의 전환 방법 및 시스템{Method and system for diverting reflective DDOS flow}
본 발명은 네트워크 기술에 관한 것이고, 특히는 반사형 DDOS 플로우의 전환 방법 및 시스템에 관한 것이다.
현재 보편적인 DDOS 공격 또는 반사형 DDOS 공격에 대해 모두 피보호 엔드의 전방에 플로우 클리닝 기기를 배치하고, 주동적인 검출과 피동적인 견인 클리닝의 방식을 사용하는데, 이러한 방식은 매우 큰 흠결이 존재하는 바, 즉 플로우가 일단 이미 형성되고 피보호 엔드의 전송 링크에 진입하며 다시 클리닝하면 단지 일부분 작용만 일으키게 되는데, 플로우가 전송 정체되지 않을 정도라면 이러한 클리닝 방법은 비교적 효과적이지만, 일단 플로우가 전송이 정체될만큼 커진다면 이러한 클리닝 방안이 작용을 일으키기에는 매우 한정적이다. 그러나 반사형 DDOS공격 플로우는 일반적으로 모두 수 십 Gbps 이상에 달하는데 일반적인 데이터 센터와 작은 운영 체제에서는 이토록 거대한 플로우를 전송할만큼의 충분한 대역폭이 존재하는 지도 확정할 수 없다.
또한, 각 하나의 네트워크의 전송 소스 엔드에 모두 클리닝 기기를 배치하여 각 하나의 소스 엔드에서 발생되는 공격 플로우를 클리닝하는 비교적 신형의 클리닝 방안이 있는데, 이러한 소스 엔드를 클리닝하는 방법은 공격 플로우의 출발점에서 플로우를 클리닝할 수 있으나 큰 공격 플로우의 형성에 대해 매우 뚜렷한 효과를 형성하지만 동시에 큰 결점이 존재하는 바, 이러한 클리닝 방법은 설치 비용이 매우 높고 네트워크 가설(架設)도 매우 복잡하다.
본 발명의 목적은 반사형 DDOS 플로우의 전환 방법 및 시스템을 제공하여, 이용되는 베이스 서버에 주동적으로 요청을 발송하는 것을 통해, 베이스 서버의 플로우를 유도하고 끌어들여, 공격자가 베이스 서버에 발송한 공격 요청이 처리되는 양을 감소시킴으로써, 베이스 서버가 공격 받는 오브젝트에 발송하는 플로우를 간접적으로 감소시켜, 반사형 플로우에 대해 전환 효과를 달성하는 것이다.
상기 목적을 달성하기 위해, 본 발명은 하기와 같은 기술적 해결수단을 사용한다.
반사형 DDOS 플로우의 전환 방법에 있어서,
네트워크 노드(A)의 데이터 흐름을 획득하고 검출하며, 공격 근원지 SIP와 공격 유형 집합(T)을 획득하는 단계;
상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기에 발송하는 단계;
상기 유도 기기가 상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하는 단계;
상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우는 재주입되는 단계를 포함한다.
여기서 공격 근원지 SIP는 해커에게 이용되는 베이스 서버의 IP이다.
부가적으로, 상기 네트워크 노드(A)의 대역폭은 상기 네트워크 노드(B)의 대역폭보다 좁다.
부가적으로, 분광 또는 미러링 방식을 통해 상기 베이스 서버의 데이터 흐름을 획득하고, 알고리즘 분석과 전략 매칭을 통해 상기 데이터 흐름을 검출하며, 상기 공격 근원지 SIP와 공격 유형 집합(T)을 획득한다.
반사형 DDOS 플로우의 전환 시스템은,
네트워크 노드(A)의 데이터 흐름을 획득하고 검출하며, 공격 근원지 SIP와 공격 유형 집합(T)을 획득하고, 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기에 발송하기 위한 검출 기기;
상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하기 위한 유도 기기;
상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우를 재주입하기 위한 클리닝 기기를 포함한다.
부가적으로, 상기 네트워크 노드(A)의 대역폭은 상기 네트워크 노드(B)의 대역폭보다 좁다.
부가적으로, 상기 검출 기기는 상기 네트워크 노드(A)에 배치되고, 상기 유도 기기와 클리닝 기기는 상기 네트워크 노드(B)에 배치된다.
부가적으로, 상기 검출 기기는 분광 또는 미러링의 방식을 통해 상기 베이스 서버의 데이터 흐름을 획득하고, 알고리즘 분석과 전략 매칭을 통해 상기 데이터 흐름을 검출하며, 상기 공격 근원지 SIP와 공격 유형 집합(T)을 획득한다.
상기 공격 근원지 SIP는 해커에게 이용되는 베이스 서버의 IP이고, 상기 네트워크 노드(A)의 데이터 흐름을 획득하고 검출하는 것을 통해 공격 근원지 SIP와 공격 유형 집합(T)을 직접 획득하며, 그 다음 다시 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기에 발송하고, 본 실시예의 상기 유도 기기는 몇 대의 보통의 서버로 구성되는 바, 작동상에서 더욱 간편하고, 네트워크 구조와 배치에 엄격한 요구도 없으며, 배치가 매우 용이하고 원가를 효과적으로 제어할 수 있다.
상기 유도 기기가 상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하고, 상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되며, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하고, 정상적인 플로우는 재주입된다.
이용되는 상기 베이스 서버에 상기 공격 유형 집합(T)의 모든 요청을 주동적으로 발송하는 것을 통해, 상기 베이스 서버의 플로우를 유도하고 끌어들이며, 상기 베이스 서버가 발송하는 전체 플로우가 일반적으로 모두 고정된 것이고, 그 성능도 한정적인 것이기에, 상기 베이스 서버에 요청을 발송하는 것을 통해, 공격자가 상기 베이스 서버에 발송하는 공격 요청이 처리되는 양을 감소시키고, 상기 베이스 서버가 피공격자에 발송하는 공격 플로우를 간접적으로 감소시켜, 반사형 DDOS 플로우에 대해 전환 효과를 달성하며, 공격 받는 오브젝트가 위치하는 네트워크 노드(A)가 전송 정체되는 것을 방지한다.
도 1은 본 발명의 일 실시예의 반사형 DDOS 플로우의 전환 방법의 과정도이다.
도 2는 본 발명의 일 실시예의 반사형 DDOS 플로우의 전환 시스템의 모식도이다.
이하, 도면과 결부하고 구체적인 실시예를 거쳐 본 발명의 기술적 해결수단을 상세하게 설명하도록 한다.
반사형 DDOS 플로우의 전환 방법은 하기의 단계를 포함한다.
단계S1: 네트워크 노드(A)의 데이터 흐름을 획득하고 검출하며, 공격 근원지 SIP와 공격 유형 집합(T)을 획득한다.
단계S2: 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기(12)에 발송한다.
단계S3: 상기 유도 기기(12)는 상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송한다.
단계S4: 상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우는 재주입된다.
본 실시예 중의 상기 공격 유형 집합(T)은 ntp, ssdp 및 dns를 포함하고, 이러한 공격 유형은 비교적 흔히 볼 수 있는 것으로서, 물론 기타 실시예 중 상기 공격 유형 집합(T)도 기타 공격 유형일 수 있다.
본 실시예에 있어서, 상기 공격 근원지 SIP는 해커에게 이용되는 베이스 서버의 IP이다, 상기 네트워크 노드(A)의 데이터 흐름을 획득하고 검출하는 것을 통해 공격 근원지 SIP와 공격 유형 집합(T)을 직접 획득하며, 그 다음 다시 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기(12)에 발송하고, 본 실시예의 상기 유도 기기(12)는 몇 대의 보통의 서버로 구성되며, 작동상에서 더욱 간편하고, 네트워크 구조와 배치에 엄격한 요구도 없으며, 배치가 매우 용이하고 원가를 효과적으로 제어할 수 있다.
상기 유도 기기(12)는 상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하고, 상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우는 재주입된다.
이용되는 상기 베이스 서버에 상기 공격 유형 집합(T)의 모든 요청을 주동적으로 발송하는 것을 통해, 상기 베이스 서버의 플로우를 유도하고 끌어들이며, 상기 베이스 서버가 발송하는 전체 플로우가 일반적으로 모두 고정된 것이고, 그 성능도 한정적인 것이기에, 상기 베이스 서버에 요청을 발송하는 것을 통해, 공격자가 상기 베이스 서버에 발송하는 공격 요청이 처리되는 양을 감소시키고, 상기 베이스 서버가 피공격자에 발송하는 공격 플로우를 간접적으로 감소시켜, 반사형 DDOS 플로우에 대해 전환 효과를 달성하며, 공격 받는 오브젝트가 위치하는 네트워크 노드(A)에 전송 정체가 발생되는 것을 방지한다.
부가적으로, 상기 네트워크 노드(A)의 대역폭은 상기 네트워크 노드(B)의 대역폭보다 좁다.
말하자면, 대역폭 자원이 비교적 충족한 상기 네트워크 노드(B)를 이용하여 대역폭 자원이 비교적 적은 상기 네트워크 노드(A)를 보호할 수 있고, 상기 네트워크 노드(A)에 전송 정체가 발생되는 가능성을 감소시킨다.
부가적으로, 단계S1은 분광 또는 미러링 방식을 통해 상기 네트워크 노드(A)의 데이터 흐름을 획득하고, 알고리즘 분석과 전략 매칭을 통해 상기 데이터 흐름을 검출하며, 상기 공격 근원지 SIP와 공격 유형 집합(T)을 획득한다.
반사형 DDOS 플로우의 전환 시스템은,
네트워크 노드(A)의 데이터 흐름을 획득하고 검출하고, 공격 근원지 SIP와 공격 유형 집합(T)을 획득하며, 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기(12)에 발송하기 위한 검출 기기(11);
상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하기 위한 유도 기기(12);
상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우를 재주입하기 위한 클리닝 기기(13)를 포함한다.
본 실시예에 있어서, 상기 공격 근원지 SIP는 해커에게 이용되는 베이스 서버의 IP이다, 상기 네트워크 노드(A)의 데이터 흐름을 획득하고 검출하는 것을 통해 공격 근원지 SIP와 공격 유형 집합(T)을 직접 획득하며, 그 다음 다시 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기(12)에 발송하고, 본 실시예의 상기 유도 기기(12)는 몇 대의 보통의 서버로 구성되며, 작동상에서 더욱 간편하고, 네트워크 구조와 배치에 엄격한 요구도 없으며, 배치가 매우 용이하고 원가를 효과적으로 제어할 수 있다.
상기 유도 기기(12)는 상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하고, 상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되며, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하고, 정상적인 플로우는 재주입된다.
이용되는 상기 베이스 서버에 상기 공격 유형 집합(T)의 모든 요청을 주동적으로 발송하는 것을 통해, 상기 베이스 서버의 플로우를 유도하고 끌어들이며, 상기 베이스 서버가 발송하는 전체 플로우가 일반적으로 모두 고정된 것이고, 그 성능도 한정적인 것이기에, 상기 베이스 서버에 요청을 발송하는 것을 통해, 공격자가 상기 베이스 서버에 발송하는 공격 요청이 처리되는 양을 감소시키고, 상기 베이스 서버가 피공격자에 발송하는 공격 플로우를 간접적으로 감소시켜, 반사형 DDOS 플로우에 대해 전환 효과를 달성하며, 공격 받는 오브젝트가 위치하는 네트워크 노드(A)에 전송 정체가 발생되는 것을 방지한다.
부가적으로, 상기 네트워크 노드(A)의 대역폭은 상기 네트워크 노드(B)의 대역폭보다 좁다.
이렇게 되면, 대역폭 자원이 비교적 충족한 상기 네트워크 노드(B)를 이용하여 대역폭 자원이 비교적 적은 상기 네트워크 노드(A)를 보호할 수 있고, 상기 네트워크 노드(A)에 전송 정체가 발생될 가능성을 감소한다.
부가적으로, 상기 검출 기기(11)는 상기 네트워크 노드(A)에 배치되고, 상기 유도 기기(12)와 클리닝 기기(13)는 상기 네트워크 노드(B)에 배치된다.
상기 네트워크 노드(A)의 대역폭 자원이 비교적 적기에, 상기 검출 기기(11)는 상기 네트워크 노드(A)에 배치되고, 대역폭 자원이 비교적 충족한 상기 네트워크 노드(B)를 이용하여 대역폭 자원이 비교적 적은 상기 네트워크 노드(A)를 보호하는 데 유리하다.
부가적으로, 상기 검출 기기(11)는 분광 또는 미러링 방식을 통해 상기 네트워크 노드(A)의 데이터 흐름을 획득하고, 알고리즘 분석과 전략 매칭을 통해 상기 데이터 흐름을 검출하며, 상기 공격 근원지 SIP와 공격 유형 집합(T)을 획득한다.
상기와 같이 구체적인 실시예를 결부하여 본 발명의 기술적 원리를 설명하였다. 이러한 서술은 단지 본 발명의 원리를 해석하기 위한 것인 바, 임의의 방식으로 본 발명의 보호범위를 제한하는 것으로 해석되어서는 아니 된다. 이 해석에 기반하면, 본 기술분야의 통상의 기술자는 진보성 창출에 힘쓰지 않은 전제하에서 본 발명의 기타 구체적인 실시예를 연상하여 생각해낼 수 있는데, 이러한 방식도 전부 본 발명의 보호범위 내에 속해야 한다.
11: 검출 기기,
12: 유도 기기,
13: 클리닝 기기.

Claims (7)

  1. 네트워크 노드(A)의 데이터 흐름을 획득하고 검출하며, 공격 근원지 SIP와 공격 유형 집합(T)을 획득하는 단계;
    상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기에 발송하는 단계;
    상기 유도 기기가 상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하는 단계;
    상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우는 재주입되는 단계;
    공격 근원지 SIP는 해커에게 이용되는 베이스 서버의 IP인 것을 특징으로 하는 반사형 DDOS 플로우의 전환 방법.
  2. 제 1항에 있어서,
    상기 네트워크 노드(A)의 대역폭은 상기 네트워크 노드(B)의 대역폭보다 좁은 것을 특징으로 하는 반사형 DDOS 플로우의 전환 방법.
  3. 제 1항에 있어서,
    분광 또는 미러링 방식을 통해 상기 베이스 서버의 데이터 흐름을 획득하고, 알고리즘 분석과 전략 매칭을 통해 상기 데이터 흐름을 검출하며, 상기 공격 근원지 SIP와 공격 유형 집합(T)을 획득하는 것을 특징으로 하는 반사형 DDOS 플로우의 전환 방법.
  4. 네트워크 노드(A)의 데이터 흐름을 획득하고 검출하고, 공격 근원지 SIP와 공격 유형 집합(T)을 획득하며, 상기 공격 근원지 SIP와 공격 유형(T)을 유도 기기(12)에 발송하기 위한 검출 기기;
    상기 공격 근원지 SIP에 상기 공격 유형 집합(T)의 모든 요청을 발송하기 위한 유도 기기;
    상기 공격 근원지 SIP가 발송하는 공격 플로우는 네트워크 노드(B)에 유도되고, 상기 공격 유형 집합(T)에 의해 산생되는 T유형의 공격 플로우를 클리닝하며, 정상적인 플로우를 재주입하기 위한 클리닝 기기; 를 포함하는 것을 특징으로 하는 제 1항 내지 제 3항 중 어느 한 항에 따른 상기 반사형 DDOS 플로우의 전환 방법을 사용하는 반사형 DDOS 플로우의 전환 시스템.
  5. 제 4항에 있어서,
    상기 네트워크 노드(A)의 대역폭은 상기 네트워크 노드(B)의 대역폭보다 좁은 것을 특징으로 하는 반사형 DDOS 플로우의 전환 시스템.
  6. 제 5항에 있어서,
    상기 검출 기기는 상기 네트워크 노드(A)에 배치되고, 상기 유도 기기와 클리닝 기기는 상기 네트워크 노드(B)에 배치되는 것을 특징으로 하는 반사형 DDOS 플로우의 전환 시스템.
  7. 제 4항에 있어서,
    상기 검출 기기는 분광 또는 미러링의 방식을 통해 상기 베이스 서버의 데이터 흐름을 획득하고, 알고리즘 분석과 전략 매칭을 통해 상기 데이터 흐름을 검출하며, 상기 공격 근원지 SIP와 공격 유형 집합(T)을 획득하는 것을 특징으로 하는 반사형 DDOS 플로우의 전환 시스템.
KR1020170180575A 2016-12-29 2017-12-27 반사형 ddos 플로우의 전환 방법 및 시스템 KR20180078154A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201611242165.5A CN106534209B (zh) 2016-12-29 2016-12-29 一种分流反射型ddos流量的方法及系统
CN201611242165.5 2016-12-29

Publications (1)

Publication Number Publication Date
KR20180078154A true KR20180078154A (ko) 2018-07-09

Family

ID=58339184

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170180575A KR20180078154A (ko) 2016-12-29 2017-12-27 반사형 ddos 플로우의 전환 방법 및 시스템

Country Status (4)

Country Link
US (1) US20180191774A1 (ko)
JP (1) JP2018110388A (ko)
KR (1) KR20180078154A (ko)
CN (1) CN106534209B (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196969B (zh) * 2017-07-13 2019-11-29 携程旅游信息技术(上海)有限公司 攻击流量的自动识别及验证方法及系统
CN108199726B (zh) * 2018-03-16 2020-08-28 Oppo广东移动通信有限公司 多路选择开关及相关产品
US10868828B2 (en) * 2018-03-19 2020-12-15 Fortinet, Inc. Mitigation of NTP amplification and reflection based DDoS attacks
CN109194680B (zh) * 2018-09-27 2021-02-12 腾讯科技(深圳)有限公司 一种网络攻击识别方法、装置及设备
CN112953956B (zh) * 2021-03-05 2022-11-18 中电积至(海南)信息技术有限公司 一种基于主被动结合的反射放大器识别方法
CN112968916B (zh) * 2021-05-19 2021-08-03 金锐同创(北京)科技股份有限公司 网络攻击状态识别方法、装置、设备及计算机可读存储介质
CN113037784B (zh) * 2021-05-25 2021-09-21 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN113726729A (zh) * 2021-07-13 2021-11-30 中国电信集团工会上海市委员会 一种基于双向引流的网站安全防护方法及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2863128A1 (fr) * 2003-11-28 2005-06-03 France Telecom Procede de detection et de prevention des usages illicites de certains protocoles de reseaux sans alteration de leurs usages licites
CN101309150B (zh) * 2008-06-30 2012-06-27 成都市华为赛门铁克科技有限公司 分布式拒绝服务攻击的防御方法、装置和系统
CN102111394B (zh) * 2009-12-28 2015-03-11 华为数字技术(成都)有限公司 网络攻击防护方法、设备及系统
KR101005927B1 (ko) * 2010-07-05 2011-01-07 펜타시큐리티시스템 주식회사 웹 어플리케이션 공격 탐지 방법
CN103139184B (zh) * 2011-12-02 2016-03-30 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
US10193924B2 (en) * 2014-09-17 2019-01-29 Acalvio Technologies, Inc. Network intrusion diversion using a software defined network

Also Published As

Publication number Publication date
CN106534209B (zh) 2017-12-19
US20180191774A1 (en) 2018-07-05
CN106534209A (zh) 2017-03-22
JP2018110388A (ja) 2018-07-12

Similar Documents

Publication Publication Date Title
KR20180078154A (ko) 반사형 ddos 플로우의 전환 방법 및 시스템
EP3178216B1 (en) Data center architecture that supports attack detection and mitigation
Sinanović et al. Analysis of Mirai malicious software
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
Zaalouk et al. OrchSec: An orchestrator-based architecture for enhancing network-security using network monitoring and SDN control functions
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
KR101900154B1 (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
CA2540802A1 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
US20170250998A1 (en) Systems and methods of preventing infection or data leakage from contact with a malicious host system
JP6502902B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
JP2018518127A (ja) インライン・アクティブ・セキュリティ・デバイスによるパッシブセキュリティ分析
Sonchack et al. Timing SDN control planes to infer network configurations
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
KR101887544B1 (ko) Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
US10834110B1 (en) Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
KR101358794B1 (ko) 이상 패킷 차단 시스템 및 방법
JP2019092039A (ja) 攻撃検知方法、攻撃検知装置及び通信システム
KR101144332B1 (ko) 네트워크 트래픽 처리 시스템
KR20110061217A (ko) 플로우 패턴 정보를 이용한 분산 서비스 거부 공격 검출 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application