KR20190007697A - 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 - Google Patents

네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 Download PDF

Info

Publication number
KR20190007697A
KR20190007697A KR1020170089013A KR20170089013A KR20190007697A KR 20190007697 A KR20190007697 A KR 20190007697A KR 1020170089013 A KR1020170089013 A KR 1020170089013A KR 20170089013 A KR20170089013 A KR 20170089013A KR 20190007697 A KR20190007697 A KR 20190007697A
Authority
KR
South Korea
Prior art keywords
module
network bandwidth
blocking
packet
abnormal behavior
Prior art date
Application number
KR1020170089013A
Other languages
English (en)
Inventor
김태범
Original Assignee
주식회사 린아레나
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 린아레나 filed Critical 주식회사 린아레나
Priority to KR1020170089013A priority Critical patent/KR20190007697A/ko
Publication of KR20190007697A publication Critical patent/KR20190007697A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템는 네트워크 대역폭 이상행위로부터 보호하고자 하는 컴퓨팅 장치를 목적지로 하여 유입되는 패킷에 대하여, 커널 레벨에서, 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 설정된 제1 임계치 및 상기 컴퓨팅 장치별로 설정된 제2 임계치에 기반하여 네트워크 대역폭을 시계열적으로 탐지하고 차단하는 커널 기반 탐지/차단 모듈; 상기 커널 기반 탐지/차단 모듈에서 적용할 상기 임계치를 설정하는 임계치 설정모듈; 정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 캐시 관리 모듈(130); 및 상기 커널기반 탐지/차단 모듈(110)에 의하여 탐지되는 이상행위를 시계열적으로 저장하는 시계열 저장모듈(140)을 포함한다.

Description

네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템{SYSTEM FOR DETECTIG TIME-SERIES IMPROPER ACTION ON THE BASIS OF NETWORK BANDWIDTH}
본 발명은 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템에 관한 것으로, 네트워크 보안을 위한 네트워크 대역폭을 감지하고 그에 따라 시계열 이상행위를 탐지하기 위한 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템에 관한 것이다.
최근들어, 이동통신 및 인터넷의 발달로 개인과 기업 및 공공기관에 이르기까지 정보보안에 대한 관심이 늘어나고 있다. 우리나라의 경우, 정보통신기반보호법과 전자금융거래법에는 주요정보통신 기반보호시설과 전자금융기반시설에 대해 매년 취약점 분석 평가를 실시해야 한다. 정보화 기술의 발달에 따라 정보화 기술 서비스 영역도 넓어지고 있다. 예를 들어, 은행의 경우 모바일 앱을 통한 폰뱅킹 서비스, 인터넷뱅킹 서비스, 지로공과금 처리서비스, 무인자동인출기를 통한 계좌송금서비스, 해외텔레뱅킹 서비스 등을 통해 다수의 고객 정보를 처리함에 따라 정보화 기술 보안 진단 및 취약점 분석 관리 업무 영역이 늘어나고 있다.
한편, 네트워크 상에서 외부로부터 내부 시스템으로 유입되는 트래픽에는 네트워크를 위협하는 여러 공격들이 존재하게 된다. 따라서, 이러한 공격들을 차단하여 양호한 네트워크 망을 유지하기 위해 보안장비가 상기 내부 시스템에 설치된다. 또한, 이러한 공격 유형으로는 네트워크 대역폭(bandwidth)을 위협하는 Dos(Denial of Service), DDos(Distributed Denial of Service) 등이 대표적이고, 그 이외에도 다양한 해킹, 바이러스 공격 등이 있다. Dos(Denial of Service) 공격은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 사이버 공격방식의 하나로, 한명 또는 그 이상의 사용자가 시스템의 리소스를 독점하거나, 파괴함으로써 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격방법이다. 네트워크 대역폭을 통한 공격의 한 형태인 DDoS 공격은, 분산 설치된 다수의 공격 프로그램이 서로 통합된 형태로 목적 네트워크/서버에 트래픽을 집중시키는 공격이다. 네트워크 대역폭의 이상행위에 해당하는 DDoS공격 등에 의해 다중소스로부터 결합된 패킷들은 타겟 시스템과 인터넷 연결을 파괴하게 되고 공격의 지속시간 동안 공격 타겟을 인터넷으로부터 격리시키면서 서버나 서비스를 무력화시킨다.
이러한 유형의 공격을 패킷 플러딩 디도스 공격(Packet flooding DDoS attack)이라고 한다.기업의 정보와 기술 보안 진단 및 취약점 분석 관리 업무 영역이 늘어남에 따라 정보 보안관리 담당자들도 함께 증가하여 커뮤니케이션(Communication) 및 관리의 효율성 확보가 절실히 필요한 실정이다. 따라서 네트워크의 대역폭을 감지하고 그에 따른 이상 행위를 탐지하여 분석하거나 그에 대응하는 보안 시스템이 요구되고 있다.
본 발명에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템은 네트워크에서의 트래픽 대역폭을 기반으로 시계열적으로 이를 분석하고 그에 따른 이상행위를 탐지하여 보다 효과적인 보안 대응책을 강구하기 위한 탐지 시스템을 제공하는데 그 목적이 있다.
본 발명에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템은 네트워크 대역폭 이상행위로부터 보호하고자 하는 컴퓨팅 장치를 목적지로 하여 유입되는 패킷에 대하여, 커널 레벨에서, 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 설정된 제1 임계치 및 상기 컴퓨팅 장치별로 설정된 제2 임계치에 기반하여 네트워크 대역폭을 시계열적으로 탐지하고 차단하는 커널 기반 탐지/차단 모듈; 상기 커널 기반 탐지/차단 모듈에서 적용할 상기 임계치를 설정하는 임계치 설정모듈; 정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 캐시 관리 모듈(130); 및 상기 커널기반 탐지/차단 모듈(110)에 의하여 탐지되는 이상행위를 시계열적으로 저장하는 시계열 저장모듈(140)을 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템은 상기 커널 기반 탐지/차단 모듈은, 인터페이스를 통해 유입되는 패킷을 수집하는 패킷 수집 모듈; 상기 패킷 수집 모듈에 의해 수집된 패킷에 의한 네트워크 대역폭의 설정된 임계치를 초과하는지 여부에 따라 이상행위를 탐지하는 탐지모듈; 상기 이상행위가 탐지되는 경우 해당 패킷을 차단하는 차단 모듈을 커널 레벨에 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템은 상기 시계열 저장모듈(140)에 저장된 네트워크 대역폭의 이상행위를 기반으로 네트워크 대역폭의 임계치를 조정하는 보안정책을 마련하는 것을 특징으로 한다.
본 발명에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템은 네트워크 대역폭을 시계열 상에서 효과적으로 탐지할 수 있으며, 그에 따른 시계열적으로 분석되는 이상 행위를 탐지하여 그에 적절한 보안 정책에 따른 대응을 함으로써 네트워크 보안을 강화할 있는 장점을 갖는다.
도 1는 본 발명의 일실시예에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템의 구성 블록도이다.
도 2은 본 발명의 일실시예에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템의 커널 기반 탐지/차단 모듈의 구성 블록도이다.
이하 본 발명의 실시예에 관하여 구체적으로 설명하도록 한다. 아래의 실시예는 본 발명의 내용을 이해하기 위해 제시된 것일 뿐이며 당 분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상 내에서 많은 변형이 가능할 것이다. 따라서 본 발명의 권리범위가 이러한 실시예에 한정되는 것으로 해석되어서는 안 된다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 ‘연결’되어 있다고 할 때, 이는 ‘직접적으로 연결’되어 있는 경우뿐만 아니라, 그 중간에 다른 구성요소를 사이에 두고 ‘간접적으로 연결’되어 있는 경우도 포함한다.
또한, 어떤 구성요소를 ‘포함’ 또는 '구비'한다는 것은, 특별히 반대되는 기재가 없는 한 해당 구성요소 이외의 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.
도 1는 본 발명의 일실시예에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템의 구성 블록도이다.
도 1를 참조하면, 본 발명의 일실시예에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템(100)은 예를들어 DDoS 공격 등의 네트워크 대역폭에 따른 이상행위를 할 수 있는데 사용되는 일종의 좀비 PC들(200)이 연결되는 네트워크(20)에 대하여 보호하고자 하는 서비스 서버들(300, 400, 500)의 앞단에 설치된다.
상기 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템(100)은 커널 레벨에서, 유입되는 패킷에 대하여, 설정된 임계치에 기반하여 유해 트래픽에 대한 탐지 및 차단을 수행하는 커널 기반 탐지/차단 모듈(110), 상기 커널 기반 탐지/차단 모듈(110)에서 적용할 서버별 임계치를 설정하는 임계치 설정모듈(120), 일정시간 정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 캐시 관리 모듈(130), 및 상기 커널기반 탐지/차단 모듈(110)에 의하여 탐지되는 이상행위를 시계열적으로 저장하는 시계열 저장모듈(140)을 포함할 수 있다.
상기 커널 기반 탐지/차단 모듈(110)은 네트워크(20)를 통과하여 내부망으로 유입되는 패킷을 신속하게 처리하기 위해서 커널 레벨에서 패킷을 빠르게 캡쳐하여 트래픽 공격을 탐지하고 차단한다. 상기 커널 기반 탐지/차단모듈(110)은 대량의 플러딩 공격 발생시 유저 스페이스 레벨에서 처리능력의 한계로 인한 장애발생 가능성을 없애기 위해서 주로 커널 레벨에서 비연결지향 프로토콜은 물론 연결지향 프로토콜까지 차단하는 기능을 포함하도록 구성될 수 있다.
상기 임계치 설정 모듈(120)은 예컨대, 보호해야 할 서버들의 상세정보와 서버별 서비스대역폭을 고려하여 정책설정을 설정함으로써, 서버별 임계치를 설정할 수 있다. 상기 임계치 설정 모듈(120)은 전체 임계치에 제한받지 않고 서버의 IP별로 임계치를 주어서 트래픽 공격을 차단할 수 있게 한다.
상기 캐시 관리 모듈(130)은 일정 시간 예컨대,10분 동안 패킷을 차단하고 이후에는 차단된 패킷 근원지의 IP 정보를 저장하고 있는 캐시를 리셋시켜 두어 동일한 IP로 차단되지 않게 할 수 있다.
상기 시계열 저장모듈(140)은 상기 커널 기반 탐지/차단 모듈(110)에서 네트워크(20)를 통과하여 내부망으로 유입되는 패킷을 신속하게 처리하기 위해서 커널 레벨에서 패킷을 빠르게 캡쳐하여 시계열적으로 탐지되는 네트워크 대역폭의 이상행위를 저장한다. 상기 시계열 저장모듈(140)은 네트워크 대역폭의 이상행위들을 저장하고 향후 보안 정책에 반영하여 보다 효과적인 보안 정책을 수립하거나, 이상 침입 행위를 방지하는 역할을 할 수 있다.
이와 같이 구성된 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템(100)은 보호하고자 하는 서버별로 임계치를 설정하고, 커널 레벨에서
대량 트래픽을 처리하고, 캐시를 제어함으로써, 대량 플러딩 공격에 대응할 수 있고, 소규모 트래픽으로 인한 CC공격을 방어하고 HTTP공격과 같이 연결지향성 프로토콜에 대하여 효과적으로 방어, 차단할 수 있다.
상기 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템(100)을 구성하는 커널 기반 탐지/차단 모듈(110), 임계치 설정 모듈(120), 캐시관리 모듈(130), 및 시계열 저장모듈(140)의 기능 및 동작을 좀더 상세하게 설명하기에 앞서, 본 발명의 성능 및 장점이 잘 드러날 수 있도록 각 구성요소들의 동작과 연관된 기술들에 대하여 설명하도록 한다.
상기 커널 기반 탐지/차단 모듈(110)은 커널 레벨에서 대량 트래픽을 처리하도록 구성되어 있다. 네트워크 대역폭의 이상행위에 해당하는 DDoS공격 등이 발생하면 DDoS방어장비에서는 패킷을 수집하여 이를 프로토콜의 종류에 따라 분류하여, 차단조건과 임계치를 적용할 수 있을 것이다. 아울러, 네트워크 대역폭의 이상행위에 해당하는 DDoS공격 등의 경우 탐지되는 프로토콜의 종류에 따라 유저 스페이스 (User Space)에서 처리하는 경우와 커널 스페이스(Kernel Space)에서 처리하는 경우로 구분하여 처리할 수 있을 것이다. 특히, 연결지향 프로토콜(예: TCP경우)의 경우 클라이언트(61)와 웹서버(62) 사이에 3 웨이 핸드쉐이크(Three way handshake)를 마친 후 접속(connection)이 성공한 상태에서 클라이언트측 요청을 받아들여 서버(62)측에서 자원을 클라이언트(61)에게 할당해준다. 그러나 네트워크 대역폭의 이상행위에 해당하는 DDoS공격 등이 대량으로 플러딩된 상태에서는 이 같은 접속 작업은 그 자체로도 웹서버와 DDoS방어장비에 부하가 발생되는 요인이 될 수 있고 접속이 맺어진 상태에서도 이후에 시그니쳐(signature)기반으로 컨텐츠를 분석하여 네트워크 대역폭의 이상행위에 해당하는 DDoS공격 등여부를 판단할 경우 DDoS탐지/차단시스템과 웹서버에는 많은 리소스가 소모되며 이 같은 차단 로직으로는 네트워크 대역폭의 이상행위에 해당하는 DDoS공격 등을 탐지하여 방어용으로 설치된 장비가 오히려 네트워크 대역폭의 이상행위에 해당하는 DDoS공격 등으로 인해 장애가 발생하는 경우가 발생한다.
도 2은 본 발명의 일실시예에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템의 커널 기반 탐지/차단 모듈의 구성 블록도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템의 커널 기반 탐지/차단 모듈(110)은 커널 레벨에서 DDoS탐지 및 차단을 수행할 수 있도록 패킷 수집 모듈(111), 탐지 모듈(112), 및 차단 모듈(113)을 포함하여 구성될 수 있다.
상기 패킷 수집 모듈(111)은 이더넷 인터페이스(eth0)(114)를 통하여 패킷을 전달받는다. 패킷 수집 모듈(111)은 패킷을 재조합한 후 비연결지향/연결지향 프로토콜을 구분하지 않고 탐지모듈(112)로 전달한다.
상기 탐지모듈(112)은 개별적인, 특수한 DDoS방어로직(예: 임계치 기준(rate limit))에 기반하여 DDoS공격여부를 판단한다. 탐지 모듈(112)에 의해서 DDoS공격이 검출되면 검출된 DDoS공격은 차단모듈(113)에서 부여된 정책설정에 따라서 빠른 속도로 패킷 드롭(drop)을 발생시킨다.
상기 차단모듈(113)은 임계치 기준(rate limit)의 기능을 사용하여 임계치 차단을 수행하는 동작을 수행한다. 그렇지만, 본 발명은 이에 제한되지 않으며 차단모듈(113)은 특별한 정책설정이나 프로토콜 종류에 따라 그 차단조건들의 조합된 결과로 DDOS공격에 해당하는 패킷들을 차단할 수 있다. 상기 차단 모듈(113)에서의 차단 동작 형태는 DDoS탐지/차단시스템의 종류에 따라서 다르게 적용될 수 있다.
[0087] 상기 차단모듈(113)은 커널 레벨에서 미리 설정된 방어정책에 의해 패킷 차단을 수행할 수 있다. 차단모듈(113)은 기본 룰(basic rule), IP룰, 시간 기반 룰(time base rule)의 3가지 방어 정책에 의해 패킷 차단을 수행하도록 구성될 수 있다.
상기 임계치 설정 모듈(120)은 네트워크 대역폭의 폭발적인 증가나 기존의 시계열적인 평균적인 네트워크 대역폭 이상의 네트워크 대역폭의 증가가 나타나는 경우, 그 대역폭의 임계치를 설정하여 네트워크를 차단하거나 대역폭을 줄여 네트워크 대역폭의 이상행위로 인하여 네트워크에 설치된 자원들이 제 기능을 온전히 수행하거나 보호하는 역할을 한다. 상기 임계치 설정 모듈(120)은 다양한 방식으로 설정될 수 있으며, 시간에 따라 그 임계치 설정을 달리 할 수도 있으며, 여러가지 고려 조건들에 따라 임계치 설정에 대한 스케줄링을 별도로 관리할 수도 있다.
상기 캐시관리 모듈(130)은 일정 시간 예컨대, 10분 동안 패킷을 차단하고 이후에는 차단된 패킷 근원지의 IP 정보를 저장하고 있는 캐시를 리셋시켜 두어 동일한 IP로 차단되지 않게 할 수 있다. 상기 커널 기반 탐지/차단 모듈(110)에 의해 유해 트래픽이 차단된 후 일정시간이 경과하여 DDoS공격이 종료되거나 트래픽의 양이 임계치 이하로 떨어졌을 경우, 캐시 관리 모듈(130)이 DDoS공격으로 인해 차단된 조건들을 원상복구 시켜서 서비스가 정상적으로 동작하기 위한 일련의 해제과정을 수행한다. DDoS 공격에 사용한 IP는 보통 스푸핑(spoofing)된 IP로 이루어진다. 따라서 임계치 정책설정에 의해서 차단된 근원지(source) IP 는 보통 로그에 공격유형과 함께 차단된 IP기록을 갖고 있다.
도 3는 본 발명의 일실시예에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템의 캐시 관리 모듈에서 차단된 IP 정보를 활용하거나 특정시간 이후에 차단 IP정보를 리셋시키는 것을 설명하기 위한 도면이다.
도 3을 참조하면, 상기 캐시 관리 모듈(130)은 차단 IP저장 모듈(131)과 리셋 모듈(132)을 포함할 수 있다. 상기 차단 IP 저장 모듈(131)은 차단 모듈(112)에 의해 차단된 근원지의 IP 정보를 저장하고 있는 캐시를 포함할 수 있다. 상기 리셋 모듈(132)은 일정시간마다 차단 모듈(112)에 의해 차단된 근원지의 IP 정보를 저장하고 있는 차단 IP저장 모듈(131)을 리셋시킬 수 있다. 특정 사이트로 DDoS공격이 발생되면 IP헤더와 페이로드(data)를 포함하는 패킷에 대하여 탐지 모듈(112)의 임계치 기준에 의해서 차단모듈(113)은 차단동작을 수행한다. 차단모듈(113)은 임계치값을 기준으로 DDOS공격패킷을 필터링하여 정상 패킷은 통과시키고 비정상 패킷에 해당하는 해당 IP정보는 별도의 임시 저장소인 차단 IP저장모듈(131)에 저장하게 된다. 이때, DDoD공격이 발생될 경우 차단 IP는 수백만 개에 달할 수 있다. 저장된 차단IP는 특정시간내에(예: 5분) 동일한 IP에서 공격이 발생할 경우 이를 정확하게 차단할 수 있으며 특정시간 이후에 (예: 10분)는 리셋 모듈(132)에 의해서 차단 IP 저장 모듈(131)에 저장된 IP가 순차적으로 삭제된다. DDoS공격의 종료여부를 보장할 수는 없지만 이와 같이 차단 IP 저장 모듈(131)에 저장된 IP정보는 일정한 시간이 경과한 후에는 모두 제거될 수 있도록 처리된다. 차단 IP 저장 모듈(131)에 저장되어 있는 임시룰의 결과물(차단 IP들)을 소거하여 일정시간이 경과한 후에 이를 다시 복원하기 때문에, 정상적인 사용자라면 차단되었던 동일한 IP로 접속을 보장받을 수 있다.
이상과 같이, 본 발명에 따른 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템은 네트워크 대역폭을 시계열 상에서 효과적으로 탐지할 수 있으며, 그에 따른 시계열적으로 분석되는 이상 행위를 탐지하여 그에 적절한 보안 정책에 따른 대응을 함으로써 네트워크 보안을 강화할 있는 장점을 갖는다.

Claims (3)

  1. 네트워크 대역폭 이상행위로부터 보호하고자 하는 컴퓨팅 장치를 목적지로 하여 유입되는 패킷에 대하여, 커널 레벨에서, 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 설정된 제1 임계치 및 상기 컴퓨팅 장치별로 설정된 제2 임계치에 기반하여 네트워크 대역폭을 시계열적으로 탐지하고 차단하는 커널 기반 탐지/차단 모듈;
    상기 커널 기반 탐지/차단 모듈에서 적용할 상기 임계치를 설정하는 임계치 설정모듈;
    정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 캐시 관리 모듈(130); 및
    상기 커널기반 탐지/차단 모듈(110)에 의하여 탐지되는 이상행위를 시계열적으로 저장하는 시계열 저장모듈(140)을 포함하는 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템.
  2. 제1항에 있어서,
    상기 커널 기반 탐지/차단 모듈은, 인터페이스를 통해 유입되는 패킷을 수집하는 패킷 수집 모듈; 상기 패킷 수집 모듈에 의해 수집된 패킷에 의한 네트워크 대역폭의 설정된 임계치를 초과하는지 여부에 따라 이상행위를 탐지하는 탐지모듈;상기 이상행위가 탐지되는 경우 해당 패킷을 차단하는 차단 모듈을 커널 레벨에 포함하는 것을 특징으로 하는 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템.
  3. 제1항에 있어서,
    상기 시계열 저장모듈(140)에 저장된 네트워크 대역폭의 이상행위를 기반으로 네트워크 대역폭의 임계치를 조정하는 보안정책을 마련하는 것을 특징으로 하는 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템.
KR1020170089013A 2017-07-13 2017-07-13 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템 KR20190007697A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170089013A KR20190007697A (ko) 2017-07-13 2017-07-13 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170089013A KR20190007697A (ko) 2017-07-13 2017-07-13 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템

Publications (1)

Publication Number Publication Date
KR20190007697A true KR20190007697A (ko) 2019-01-23

Family

ID=65280193

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170089013A KR20190007697A (ko) 2017-07-13 2017-07-13 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템

Country Status (1)

Country Link
KR (1) KR20190007697A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995694A (zh) * 2019-11-28 2020-04-10 新华三半导体技术有限公司 网络报文检测方法、装置、网络安全设备及存储介质
CN114726633A (zh) * 2022-04-14 2022-07-08 中国电信股份有限公司 流量数据处理方法及装置、存储介质及电子设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995694A (zh) * 2019-11-28 2020-04-10 新华三半导体技术有限公司 网络报文检测方法、装置、网络安全设备及存储介质
CN110995694B (zh) * 2019-11-28 2021-10-12 新华三半导体技术有限公司 网络报文检测方法、装置、网络安全设备及存储介质
CN114726633A (zh) * 2022-04-14 2022-07-08 中国电信股份有限公司 流量数据处理方法及装置、存储介质及电子设备
CN114726633B (zh) * 2022-04-14 2023-10-03 中国电信股份有限公司 流量数据处理方法及装置、存储介质及电子设备

Similar Documents

Publication Publication Date Title
US11503052B2 (en) Baselining techniques for detecting anomalous HTTPS traffic behavior
US10887341B2 (en) Detection and mitigation of slow application layer DDoS attacks
EP2528005B1 (en) System and method for reducing false positives during detection of network attacks
US20160182542A1 (en) Denial of service and other resource exhaustion defense and mitigation using transition tracking
US11563772B2 (en) Detection and mitigation DDoS attacks performed over QUIC communication protocol
US20040054925A1 (en) System and method for detecting and countering a network attack
US20100251370A1 (en) Network intrusion detection system
US20140130152A1 (en) Defense against dns dos attack
JP2009500936A (ja) 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法
CN109995794B (zh) 一种安全防护系统、方法、设备及存储介质
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
Al-Hawawreh SYN flood attack detection in cloud environment based on TCP/IP header statistical features
Xiao et al. A novel approach to detecting DDoS attacks at an early stage
Smith-perrone et al. Securing cloud, SDN and large data network environments from emerging DDoS attacks
US10171492B2 (en) Denial-of-service (DoS) mitigation based on health of protected network device
Haggerty et al. DiDDeM: a system for early detection of TCP SYN flood attacks
KR20190007697A (ko) 네트워크 대역폭을 기반으로 한 시계열 이상행위 탐지 시스템
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Subbulakshmi et al. A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms
Keshri et al. DoS attacks prevention using IDS and data mining
Sahu et al. DDoS attacks & mitigation techniques in cloud computing environments
Devi et al. Cloud-based DDoS attack detection and defence system using statistical approach
Ashoor et al. Intrusion detection system (IDS) & intrusion prevention system (IPS): Case study
Leu et al. Intrusion detection with CUSUM for TCP-based DDoS