KR20200014139A - 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템 - Google Patents

이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템 Download PDF

Info

Publication number
KR20200014139A
KR20200014139A KR1020180089620A KR20180089620A KR20200014139A KR 20200014139 A KR20200014139 A KR 20200014139A KR 1020180089620 A KR1020180089620 A KR 1020180089620A KR 20180089620 A KR20180089620 A KR 20180089620A KR 20200014139 A KR20200014139 A KR 20200014139A
Authority
KR
South Korea
Prior art keywords
traffic
defender
endpoint
attack
distributed denial
Prior art date
Application number
KR1020180089620A
Other languages
English (en)
Inventor
조성래
덕 지아 부
응곡 다오 누
Original Assignee
중앙대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 중앙대학교 산학협력단 filed Critical 중앙대학교 산학협력단
Priority to KR1020180089620A priority Critical patent/KR20200014139A/ko
Publication of KR20200014139A publication Critical patent/KR20200014139A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명의 일 실시예에 따른 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 방법은, 사물인터넷 네트워크의 에지 노드에 위치하는 종점 디펜더가 사물인터넷 네트워크로부터 트래픽 정보를 수신하는 단계, 상기 종점 디펜더가 상기 트래픽 정보를 기계-학습하는 단계, 상기 종점 디펜더가 상기 기계-학습된 트래픽 정보를 기반으로 트래픽 통계 리포트를 생성하는 단계; 오케스트레이터가 상기 트래픽 통계 리포트를 상기 종점 디펜더로부터 수신하여 분산 서비스 거부 공격을 분석하는 단계; 상기 오케스트레이터가 분산 서비스 거부 공격을 탐지하면 정책을 생성하여 상기 종점 디펜더로 전송하는 단계 및 상기 종점 디펜더가 상기 수신한 정책을 기반으로 분산 서비스 거부 공격시 트래픽의 특징을 추출하여 상기 기계 학습에 적용하는 단계를 포함할 수 있다.

Description

이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템 {THE METHOD OF DEFENSE AGAINST DISTRIBUTED DENIAL-OF-SERVICE ATTACK ON THE HETEROGENEOUS IOT NETWORK AND THE SYSTEM THEREOF}
본 발명은 이종 사물인터넷(H-IoT) 상에서 분산 서비스 거부 공격으로부터 방어하는 방법 및 그 시스템에 관한 것이다. 보다 자세하게는, MEC 기반의 엣지 노드에서 기계학습을 수행하여 분산 서비스 거부 공격을 예방하는 방법에 관한 것이다.
사물인터넷 기기들이 증가하고, 사용자 어플리케이션 위주의 시장이 인기를 끌면서, 이종 사물인터넷의 규모가 점점 커지고 있다.
이종 사물인터넷의 이질성과 그 규모도 커짐에 따라 네트워크 상에 데이터 트래픽이 크게 증가하는데, 이종 사물인터넷(H-IoT, Heterogeneous Internet-of-things) 상에서 분산 서비스 거부(DDOS, Distributed denial-of-service) 공격은 상당히 치명적일 수 있다.
따라서, 이종 사물인터넷(H-IoT)상에서 보안은 아주 중요하며 보안기술에 대한 요구가 점차 증가하고 있다.
(특허문헌 0001) 미국등록특허 9398035 B2 Cisco Technology, Inc
본 발명이 해결하고자 하는 기술적 과제는 이종 사물인터넷 상에서 분산 서비스 거부(DDOS) 공격으로부터 네트워크를 보호하는 이종 사물인터넷(H-IoT) 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 해결하기 위하여 본 발명의 일 실시예에 따른 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 방법은, 사물인터넷 네트워크의 에지 노드에 위치하는 종점 디펜더가 사물인터넷 네트워크로부터 트래픽 정보를 수신하는 단계, 상기 종점 디펜더가 상기 트래픽 정보를 기계-학습하는 단계, 상기 종점 디펜더가 상기 기계-학습된 트래픽 정보를 기반으로 트래픽 통계 리포트를 생성하는 단계; 오케스트레이터가 상기 트래픽 통계 리포트를 상기 종점 디펜더로부터 수신하여 분산 서비스 거부 공격을 분석하는 단계; 상기 오케스트레이터가 분산 서비스 거부 공격을 탐지하면 정책을 생성하여 상기 종점 디펜더로 전송하는 단계 및 상기 종점 디펜더가 상기 수신한 정책을 기반으로 분산 서비스 거부 공격시 트래픽의 특징을 추출하여 상기 기계 학습에 적용하는 단계를 포함할 수 있다.
본 발명의 일 실시예에 따른 기계-학습하는 단계는 하기 수학식 1에 따른 위닝 뉴런(winning neuron)을 활용할 수 있다.
[수학식 1]
Figure pat00001
,
(여기서,
Figure pat00002
는 위닝 뉴런,
Figure pat00003
는 트레이닝 데이터,
Figure pat00004
는 가중치 데이트, 트레이닝 횟수 i>0, 뉴런의 순서 j>0, 뉴런의 차원 수 m>0 을 의미한다.)
본 발명의 일 실시예에 따른 이종 사물 인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 방법은 상기 종점 디펜더가 정상 트래픽을 수신하면 상기 트래픽 유입을 허용하여 네트워킹 인프라로 전송하고, 상기 종점 디펜더가 상기 분산 서비스 거부 공격에 관한 트래픽을 수신하면 트래픽을 차단하는 단계를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 시스템은 오케스트레이터와 종점 디펜더를 포함하되, 상기 오케스트레이터는, 상기 종점 디펜더로부터 트래픽 리포트를 수신하는 리포트 수집부; 상기 리포트 수집부에서 전처리된 정보를 기반으로 분산 서비스 거부 공격 증상을 파악하는 공격 분석부 및 상기 공격 분석부에서 공격이 파악되면, 정책을 생성하여 상기 종점 디펜더로 전송하는 정책 생성부를 포함하고, 상기 종점 디펜더는, 트래픽 통계 리포트를 생성하고 상기 오케스트레이터에 상기 통계 리포트를 전송하는 트래픽 모니터링부; 상기 트래픽 모니터링부로부터 트래픽 데이터를 수신하여 트래픽 특징을 추출하고 상기 오케스트레이터에서 생성된 정책을 트래픽 특징 추출에 적용하는 특징 추출부; 상기 특징 추출부로부터 수신한 데이터 및 상기 정책에 관한 데이터를 기반으로 기계-학습을 수행하는 SOM 필터 및 상기 오케스트레이터에서 생성된 정책을 수신하여 상기 특징 추출부 및 상기 SOM 필터에 전송하는 로컬 정책 실행부를 포함할 수 있다.
본 발명의 일 실시예에 따른 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 시스템의 기계 학습은 하기 수학식 1에 따른 위닝 뉴런(winning neuron)을 활용할 수 있다.
[수학식 1]
Figure pat00005
,
(여기서,
Figure pat00006
는 위닝 뉴런,
Figure pat00007
는 트레이닝 데이터,
Figure pat00008
는 가중치 데이트, 트레이닝 횟수 i>0, 뉴런의 순서 j>0, 뉴런의 차원 수 m>0 을 의미한다.)
본 발명의 일 실시예에 따른 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 시스템은 상기 SOM 필터로부터 트래픽에 대한 정책 정보를 수신하여, 이종 로컬 사물인터넷 네트워크로부터 유입되는 트래픽이 정상 트래픽인 경우 트래픽의 유입을 허용하고, 상기 트래픽이 감염 트래픽인 경우 트래픽을 차단하는 라우팅부를 더 포함할 수 있다.
본 발명의 일 실시예에 의하면, 분산 서비스 거부(DDOS) 공격에 대한 탐지 정확도가 증가하고 반응 대기 시간도 감소시킴으로써 분산 서비스 거부(DDOS) 공격에 대해 효율적으로 대응 가능하다.
본 발명의 일 실시예에 따른 방어방법이 네트워크의 엣지 노드에서 작동하는데 엣지 노드는 공격 소스 앞에 배치되기 때문에 네트워크 상의 트래픽 증가를 감소시킬 수 있다.
본 발명의 일 실시예에 의하면, 기계 학습 과정이 네트워크의 엣지 노드에서 수행되기 때문에 DDOs 공격에 의하여 발생하는 병목 현상을 방지하여 시스템을 안정화시킬 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 시스템의 개념도이다.
도 2는 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 방법의 순서도이다.
도 3은 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 방법에서 트래픽의 흐름도를 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 기계-학습에 적용된 알고리즘을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 시스템의 블록도이다.
도 6은 다양한 공격 수준에 대한 본원 발명과 대조군의 반응 대기 시간을 나타낸다.
도 7은 본원 발명과 대조군의 트래픽 탐지에 대한 탐지율 및 정확도를 나타낸다.
도 8은 본원 발명과 대조군의 전체 시스템에서의 분산 서비스 거부(DDoS) 공격에 의한 CPU 사용률을 나타낸다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
명세서 전체에서 MEC(Mobile Edge Computing)은 무선 기지국에 분산 클라우드 컴퓨팅 기술을 적용하여 다양한 서비스와 캐싱 콘텐츠를 사용자 단말에 가까이 전개하여 새로운 로컬 네트워크를 창출하는 기술을 지칭한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 시스템의 개념도이다.
도 1을 참조하면, 복수개의 이종 로컬 사물인터넷(H-IoT) 네트워크(112)가 네트워킹 인프라(104)에 연결되고 네트워킹 인프라(104)는 데이터 센터(105)에 연결된다.
각각의 이종 로컬 사물인터넷(H-IoT) 네트워크(112)는 카메라, 가상현실기기, 스마트 TV 등과 같은 가정용 셋톱 박스(101)나 산업용 사물인터넷(102), 공용 사물인터넷(103)을 포함할 수 있다.
복수개의 이종 로컬 사물인터넷 네트워크(112)와 네트워킹 인프라(104)가 연결되는 복수개의 엣지 노드(106)들은 MEC(Mobile Edge Computing)기반에서 기계 학습이 가능하다.
따라서, 본 발명의 일 실시예에 따른 복수개의 엣지 노드(106)들은 기계 학습이 구현된 종점 디펜더(110)를 포함할 수 있다.
본 발명의 일 실시예에 따른 종점 디펜더(110)는 데이터 센터(105)와 네트워킹 인프라(104) 사이를 연결하는 경계 라우터(107)에도 포함될 수 있다. 경계 라우터(107)도 상기 엣지 노드(106)와 마찬가지로 MEC 기반에서 기계 학습이 가능하다.
엣지 노드(106)와 경계 라우터(107)에 포함된 종점 디펜더(110)는 오케스트레이터(111)에 연결되며 오케스트레이터(111)로부터 통제를 받는다.
한편, 데이터 센터(105)는 서버(108)와 스토리지(109)를 포함하는 것으로 이종 로컬 사물인터넷 네트워크(112)에서 생성된 데이터가 저장되고 관리된다.
상기 구성들 간의 상호 작용과 트래픽의 흐름은 도 2 내지 도 3에서 상세히 설명한다.
도 2는 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 방법의 순서도이다.
도 2를 참조하면, 본 발명은 사물인터넷 네트워크의 엣지 노드에 위치하는 종점 디펜더가 사물인터넷 네트워크로부터 트래픽 정보를 수신하는 단계(S201), 상기 종점 디펜더가 상기 트래픽 정보를 기계-학습하는 단계(S202), 상기 종점 디펜더가 상기 기계-학습된 트래픽 정보를 기반으로 트래픽 통계 리포트를 생성하는 단계(S203), 오케스트레이터가 상기 트래픽 통계 리포트를 상기 종점 디펜더로부터 수신하여 분산 서비스 거부 공격을 분석하는 단계(S204), 상기 오케스트레이터가 분산 서비스 거부 공격을 탐지하면 정책을 생성하여 상기 종점 디펜더로 전송하는 단계(S205), 및 상기 종점 디펜더가 상기 수신한 정책을 기반으로 분산 서비스 거부 공격시 트래픽의 특징을 추출하여 상기 기계 학습에 적용하는 단계(S206)를 포함할 수 있다.
본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 방법은 마지막으로 종점 디펜더가 분산 서비스 거부 공격에 관한 트래픽 데이터를 수신하여 트래픽을 차단하는 단계(S207)를 더 포함할 수 있다.
상기 트래픽을 차단하는 단계는 본 발명의 필수 구성요소는 아니나, 발명의 실시에 수반되는 단계에 해당한다.
도 3은 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 방법에서 트래픽의 흐름도를 나타내는 도면이다.
도 3은 도 2에 도시된 본 발명의 순서를 보다 상세하게 설명한다.
도 3을 참조하면, 복수의 로컬 사물 인터넷 네트워크(112)에는 여러개의 사물인터넷 장치들이 포함될 수 있다. 사물인터넷 장치는 정상적을 작동하는 장치(301)와 분산 서비스 거부 공격(DDOS)에 감염된 사물인터넷 장치(302)를 포함할 수 있다.
상기 사물인터넷 장치(301, 302) 에서 발생하는 데이터 트래픽은 로컬 사물 인터넷 네트워크(112)의 엣지 노드에 위치하는 종점 디펜더(110)로 전송될 수 있다.
상기 트래픽은 종점 디펜더(110)를 구성하는 라우팅부를 거쳐 SOM 필터, 트래픽 모니터링부 및 특징 추출부를 순차적으로 거쳐 다시 SOM 필터로 전송된다.
한편, 상술된 종점 디펜더(110)를 구성하는 각각의 구성요소들(라우팅부, SOM 필터, 트래픽 모니터링부, 특징 추출부, 로컬 정책 실행부)에 대한 상세한 설명은 도 5를 참조하여 후술한다.
정상 트래픽(311)과 감염 트래픽(312)은 종점 디펜더(110) 내부에서 같이 흐르는데, 다만 정상 트래픽(311)으로 판단된 경우는 정상적인 네트워킹 인프라(104) 루트로 전달된다.
한편, 트래픽 모니터링부에서 정상 트래픽(311)과 감염 트래픽(312)을 통합적으로 모니터링하여 트래픽 통계 데이터(314)를 생성할 수 있다.
상기 생성된 통계 데이터(314)는 오케스트레이터(111)에 전송되고, 오케스트레이터(111)의 공격 분석부는 트래픽 통계 데이터(314)를 분석하여 분산 서비스 거부 공격(감염 여부)을 탐지할 수 있다.
공격 분석부에서 분산 서비스 거부 공격을 탐지하면, 정책 생성부에 제어 데이터(313)를 전송하며, 정책 생성부는 공격 분석부의 제어 데이터(313)에 따라 종점 디펜더(110)의 로컬 정책 실행부로 전송할 수 있다.
한편, 상기 제어 데이터(313)는 정책에 관한 데이터로 공격대상, 공격 수단, 대응 가능한 완화 정책 등에 관한 정보를 포함할 수 있다.
상기 로컬 정책 실행부는 특징 추출부 및 SOM 필터에 상기 제어 데이터(313)를 전송하는데, SOM 필터는 상기 제어 데이터가 반영된 정상 트래픽(311)과 감염 트래픽(312)을 기계-학습할 수 있다.
SOM 필터는 수신한 제어 데이터(313)를 라우팅부에 전송하여 감염 트래픽의 진입을 차단할 수 있다.
상술한 오케스트레이터(111)를 구성하는 리포트 수집부, 공격 분석부, 정책 생성부에 대한 상세한 설명도 도 5를 참조하여 후술한다.
도 4는 본 발명의 일 실시예에 따른 기계-학습에 적용된 알고리즘을 설명하기 위한 도면이다.
본 발명의 일 실시예에 따른 기계-학습에 적용되는 알고리즘은 SOM 필터에 구현된다.
상기 알고리즘은 먼저 j개의 뉴런에 대한 가중치 벡터
Figure pat00009
를 초기화한다. 그리고 수학식 1에 따라 도출되는 위닝 뉴런(winning neuron)을 활용할 수 있다.
[수학식 1]
Figure pat00010
,
위닝 뉴런
Figure pat00011
은 트레이닝 모드에서 생성된 지도에서 가장 작은 유클리디언(Euclidean) 거리를 가지는 것을 의미한다.
여기서,
Figure pat00012
는 위닝 뉴런,
Figure pat00013
는 트레이닝 데이터,
Figure pat00014
는 가중치 데이터, 트레이닝 횟수 i>0, 뉴런의 순서 j>0, 뉴런의 차원 수 m>0 을 의미한다.
상기 위닝 뉴런에 대한 보다 상세한 설명은 다음과 같다.
위닝 뉴런
Figure pat00015
은 트레이닝 벡터
Figure pat00016
와 가중치 벡터
Figure pat00017
사이의 유클리디언(Euclidean) 거리가 최소가 되는 뉴런을 의미하는 것이다.
마지막으로 위닝 뉴런 근처의 뉴런과 그 가중치도 업데이트하며, 트레이닝 벡터가 입력될 때마다 상술한 과정들을 반복한다.
도 5는 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 시스템의 블록도이다.
본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 시스템은 오케스트레이터(510)와 종점 디펜더(520)를 포함할 수 있다.
오케스트레이터(510)는 복수개의 종점 디펜더(520)에 연결되고, 종점 디펜더(520)는 오케스트레이터(510)로부터 트래픽 분석 결과 데이터와 정책 데이터를 수신함으로써 기계 학습 알고리즘을 수행할 수 있다.
본 발명의 일 실시예에 따른 종점 디펜더(520)는 복수의 이종 로컬 사물인터넷 네트워크의 엣지 노드에 위치하는데 분산 서비스 거부(DDOS) 공격의 소스 또는 목적지가 될 수 있다.
본 발명의 일 실시예에 따른 오케스트레이터(111)는, 종점 디펜더(110)로부터 트래픽 리포트를 수신하는 리포트 수집부(511), 리포트 수집부(511)에서 전처리된 정보를 기반으로 분산 서비스 거부 공격 증상을 파악하는 공격 분석부(512) 및 공격 분석부(512)에서 공격이 파악되면, 정책을 생성하여 상기 종점 디펜더로 전송하는 정책 생성부(513)를 포함할 수 있다.
본 발명의 일 실시예에 따른 리포트에는 트래픽 프로토콜, 포트 범위, 볼륨, 트래픽 흐름양, 분산 서비스 거부(DDOS) 소스 IP 주소, 목적지 IP주소를 포함할 수 있다. 상기 기술한 정보는 리포트 수집부(511)에서 전처리 되고 업데이트된다.
본 발명의 일 실시예에 따른 공격 분석부(512)는 분산 서비스 거부(DDOS) 공격 탐지 기술이 구현되어 분산 서비스 거부(DDOS) 공격을 파악할 수 있다. 공격 분석부(512)가 상기 공격을 파악하면 공격 목표물이나 공격 방법에 대한 추가적인 정보를 수집한다.
본 발명의 일 실시예에 따른 정책은 분산 서비스 거부(DDOS) 공격에 관한 정보를 포함할 수 있다. 예컨대, 공격 목표 대상, 공격 수단, 공격 특징, 공격에 대응 가능한 완화 정책을 포함할 수 있다.
본 발명의 일 실시예에 따른 종점 디펜더(520)는 트래픽 통계 리포트를 생성하고 상기 오케스트레이터(510)에 상기 통계 리포트를 전송하는 트래픽 모니터링부(521), 트래픽 모니터링부(521)로부터 트래픽 데이터를 수신하여 트래픽 특징을 추출하고 상기 오케스트레이터에서 생성된 정책을 트래픽 특징 추출에 적용하는 특징 추출부(523), 특징 추출부(523)로부터 수신한 데이터 및 상기 정책에 관한 데이터를 기반으로 기계-학습을 수행하는 SOM 필터(522) 및 오케스트레이터(510)에서 생성된 정책을 수신하여 상기 특징 추출부(523) 및 상기 SOM 필터(522)에 전송하는 로컬 정책 실행부(524)를 포함할 수 있다.
본 발명의 일 실시예에 따른 트래픽 통계 리포트는 트래픽 프로토콜 서비스 포트, 볼륨, 공격 소스 및 공격 대상 IP 주소를 포함할 수 있다. 트래픽 모니터링부(521)는 상기 트래픽 통계 리포트를 오케스트레이터의 리포트 수집부(511)에 전송한다.
본 발명의 일 실시예에 따른 로컬 정책 실행부(524)는 오케스트레이터(510)로부터 정책을 수신하여 특징 추출부(523) 및 SOM 필터(522)에 상기 정책을 적용함으로써, 감염 트래픽에 대한 분류에 상기 정책을 반영할 수 있다.
특징 추출부(523)는 트래픽 모니터링부(521)로부터 수신한 트래픽과 로컬 정책 실행부(524)로부터 수신한 정책을 이용하여 SOM 필터의 입력 벡터값을 생성한다.
SOM 필터(522) 상기 특징 추출부(523)로부터 수신한 입력 벡터를 기계-학습한다.
상기 기계-학습은 하기 수학식 1에 따른 위닝 뉴런(winning neuron)을 활용하다.
[수학식 1]
Figure pat00018
,
여기서,
Figure pat00019
는 위닝 뉴런,
Figure pat00020
는 트레이닝 데이터,
Figure pat00021
는 가중치 데이트, 트레이닝 횟수 i>0, 뉴런의 순서 j>0, 뉴런의 차원 수 m>0 을 의미한다.
SOM 필터(522)가 분산 서비스 거부 공격(DDOS) 벡터를 수신하면 방어 모드가 활성화 되고 라우팅부(525)에 통지한다. 이 경우 감염 트래픽에 해당하므로, 라우팅부(525)는 사물 인터넷 네트워크로 유입되는 트래픽을 차단한다.
한편, 각각의 종점 디펜더(520)는 공격 시나리오에 따라 각기 독립적으로 작동할 수 있다. 예컨대, 분산 서비스 거부(DDOS) 공격의 소스가 된 로컬 사물인터넷 네트워크의 엣지 노드에 있는 종점 디펜더에서만 정책이 실행되고, 라우팅부에서 트래픽을 차단할 수 있다.
도 6 내지 도 8은 본 발명의 일 실시예에 따른 분산 서비스 거부 공격 방어 방법의 효과를 입증하는 도면이다.
본 발명의 일 실시예에 따라 엣지 노드에서 분산 서비스 거부 공격(DDOS)을 방어하는 방법 및 그 시스템(이하 설명 및 도면에서 MECshield로 명명함)의 효과를 입증하기 위해, MLDMF(Multi-level DDoS Mitigation Framework for the industrial Internet of things), D-SOM(Distributed-SOM)이 대조군으로 활용되었다.
도 6은 다양한 공격 수준에 대한 본원 발명과 대조군의 반응 대기 시간을 나타낸다.
도 6을 참조하면, MLDMF 의 경우는 50-Mbps, 100-Mbps, 200-Mbps, 300-Mbps 의 트래픽 레벨에서 모두 D-SOM과 본원발명인 MECshield 보다 반응 대기 시간이 느린 것을 확인할 수 있다.
즉, 분산 서비스 거부(DDOS) 공격이 발생했을 때, D-SOM과 본원 발명은 빠르게 반응할 수 있다.
도 7은 본원 발명과 대조군의 비정상 트래픽 탐지에 대한 탐지율 및 정확도를 나타낸다.
도 7을 참조하면, 본원 발명인 MECShield는 비정상 트래픽에 대한 탐지율이 99.3%이며, 정확도는 99.4%로 다른 두 개의 대조군(D-SOM, MLDMF) 보다 비정상 트래픽에 대한 탐지율 및 정확도가 더 높은 것을 확인할 수 있다.
이러한 이유는, 본원 발명 MECShield에서는 SOM 필터의 기계-학습 과정이 이종 로컬 사물인터넷(H-IoT) 네트워크로부터 분리되어 이루어지기 때문이다.
도 8은 본원 발명과 대조군의 전체 시스템에서의 분산 서비스 거부(DDoS) 공격에 의한 CPU 사용률을 나타낸다.
도 8을 참조하여, 본원 발명 MECShield, D-SOM, MLDMF 각각의 경우 CPU 사용량을 비교해보면, 순서대로 36%, 43%, 46% 이다. 따라서, 본원발명 MECShield가 대조군보다 자원을 절약할 수 있으며, 병목현상도 감소시킬 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
101 : 가정용 셋톱 박스, 102 : 산업용 사물인터넷, 103: 공용 사물인터넷
104 : 네트워킹 인프라, 105 : 데이터 센터, 106 : 엣지 노드
107 : 경계 라우터, 108 : 서버, 109 : 스토리지
110 : 종점 디펜더, 111 : 오케스트레이터,
112 : 이종 로컬 사물인터넷(H-IoT) 네트워크
301 : 정상 사물인터넷 장치, 302 : 감염
311 : 정상 트래픽, 312 : 감염 트래픽
313 : 제어 데이터, 314 : 통계 데이터
510 : 오케스트레이터, 511 : 리포트 수집부, 512: 공격 분석부
513: 정책 생성부, 520 : 종점 디펜더, 521 : 트래픽 모니터링부
522 : SOM 필터, 523 : 특징 추출부, 524 : 로컬 정책 실행부
525 : 라우팅부

Claims (5)

  1. 사물인터넷 네트워크의 에지 노드에 위치하는 종점 디펜더가 사물인터넷 네트워크로부터 트래픽 정보를 수신하는 단계;
    상기 종점 디펜더가 상기 트래픽 정보를 기계-학습하는 단계;
    상기 종점 디펜더가 상기 기계-학습된 트래픽 정보를 기반으로 트래픽 통계 리포트를 생성하는 단계;
    오케스트레이터가 상기 트래픽 통계 리포트를 상기 종점 디펜더로부터 수신하여 분산 서비스 거부 공격을 분석하는 단계;
    상기 오케스트레이터가 분산 서비스 거부 공격을 탐지하면 정책을 생성하여 상기 종점 디펜더로 전송하는 단계; 및
    상기 종점 디펜더가 상기 수신한 정책을 기반으로 분산 서비스 거부 공격시 트래픽의 특징을 추출하여 상기 기계 학습에 적용하는 단계;
    를 포함하는
    이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 방법.
  2. 제1항에 있어서,
    상기 기계-학습하는 단계는 하기 수학식 1에 따른 위닝 뉴런(winning neuron)을 활용하는 것인 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 방법.
    [수학식 1]
    Figure pat00022
    ,
    (여기서,
    Figure pat00023
    는 위닝 뉴런,
    Figure pat00024
    는 트레이닝 데이터,
    Figure pat00025
    는 가중치 데이트, 트레이닝 횟수 i>0, 뉴런의 순서 j>0, 뉴런의 차원 수 m>0 을 의미한다.)
  3. 제1항에 있어서,
    상기 종점 디펜더가 정상 트래픽을 수신하면 상기 트래픽 유입을 허용하여 네트워킹 인프라로 전송하고,
    상기 종점 디펜더가 상기 분산 서비스 거부 공격에 관한 트래픽을 수신하면 트래픽을 차단하는 단계;
    를 포함하는 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 방법.
  4. 오케스트레이터와 종점 디펜더를 포함하되,
    상기 오케스트레이터는,
    상기 종점 디펜더로부터 트래픽 리포트를 수신하는 리포트 수집부;
    상기 리포트 수집부에서 전처리된 정보를 기반으로 분산 서비스 거부 공격 증상을 파악하는 공격 분석부 및
    상기 공격 분석부에서 공격이 파악되면, 정책을 생성하여 상기 종점 디펜더로 전송하는 정책 생성부를 포함하고,
    상기 종점 디펜더는,
    트래픽 통계 리포트를 생성하고 상기 오케스트레이터에 상기 통계 리포트를 전송하는 트래픽 모니터링부;
    상기 트래픽 모니터링부로부터 트래픽 데이터를 수신하여 트래픽 특징을 추출하고 상기 오케스트레이터에서 생성된 정책을 트래픽 특징 추출에 적용하는 특징 추출부;
    상기 특징 추출부로부터 수신한 데이터 및 상기 정책에 관한 데이터를 기반으로 기계-학습을 수행하는 SOM 필터 및
    상기 오케스트레이터에서 생성된 정책을 수신하여 상기 특징 추출부 및 상기 SOM 필터에 전송하는 로컬 정책 실행부를 포함하는,
    이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 시스템.
  5. 제4항에 있어서,
    상기 기계-학습은 하기 수학식 1에 따른 위닝 뉴런(winning neuron)을 활용하는 것인 이종 사물인터넷 네트워크 상에서 분산 서비스 거부 공격으로부터 방어 시스템.
    [수학식 1]
    Figure pat00026
    ,
    (여기서,
    Figure pat00027
    는 위닝 뉴런,
    Figure pat00028
    는 트레이닝 데이터,
    Figure pat00029
    는 가중치 데이트, 트레이닝 횟수 i>0, 뉴런의 순서 j>0, 뉴런의 차원 수 m>0 을 의미한다.)
KR1020180089620A 2018-07-31 2018-07-31 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템 KR20200014139A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180089620A KR20200014139A (ko) 2018-07-31 2018-07-31 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180089620A KR20200014139A (ko) 2018-07-31 2018-07-31 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템

Publications (1)

Publication Number Publication Date
KR20200014139A true KR20200014139A (ko) 2020-02-10

Family

ID=69627354

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180089620A KR20200014139A (ko) 2018-07-31 2018-07-31 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR20200014139A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210120503A (ko) 2020-03-27 2021-10-07 윤여표 네트워크 말단에서의 부정접근 방지 방법
CN116192383A (zh) * 2023-02-22 2023-05-30 深圳市怡丰云智科技股份有限公司 基于erp加密的物联网监控方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
(특허문헌 0001) 미국등록특허 9398035 B2 Cisco Technology, Inc

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210120503A (ko) 2020-03-27 2021-10-07 윤여표 네트워크 말단에서의 부정접근 방지 방법
CN116192383A (zh) * 2023-02-22 2023-05-30 深圳市怡丰云智科技股份有限公司 基于erp加密的物联网监控方法、装置、设备及存储介质
CN116192383B (zh) * 2023-02-22 2023-10-31 深圳市怡丰云智科技股份有限公司 基于erp加密的物联网监控方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US11936683B2 (en) Analyzing encrypted traffic behavior using contextual traffic data
Santos et al. Machine learning algorithms to detect DDoS attacks in SDN
Lima Filho et al. Smart detection: an online approach for DoS/DDoS attack detection using machine learning
Zheng et al. Realtime DDoS defense using COTS SDN switches via adaptive correlation analysis
US11201882B2 (en) Detection of malicious network activity
Musumeci et al. Machine-learning-assisted DDoS attack detection with P4 language
Musumeci et al. Machine-learning-enabled ddos attacks detection in p4 programmable networks
KR102135024B1 (ko) IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치
KR101917062B1 (ko) 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램
Balarezo et al. A survey on DoS/DDoS attacks mathematical modelling for traditional, SDN and virtual networks
Mousavi Early detection of DDoS attacks in software defined networks controller
Chen et al. Detpro: A high-efficiency and low-latency system against ddos attacks in sdn based on decision tree
KR101980901B1 (ko) SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법
Zeleke et al. Efficient intrusion detection system for SDN orchestrated Internet of Things
Jose et al. Towards detecting flooding DDOS attacks over software defined networks using machine learning techniques
Aslam et al. ONOS flood defender: An intelligent approach to mitigate DDoS attack in SDN
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
KR20200014139A (ko) 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템
US10805318B2 (en) Identification of a DNS packet as malicious based on a value
Cherian et al. Secure SDN–IoT framework for DDoS attack detection using deep learning and counter based approach
Sree et al. Detection of http flooding attacks in cloud using dynamic entropy method
KR20190018947A (ko) 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
Singhal et al. State of the art review of network traffic classification based on machine learning approach
Singh Machine learning in openflow network: comparative analysis of DDoS detection techniques.
Shalini et al. DOCUS-DDoS detection in SDN using modified CUSUM with flash traffic discrimination and mitigation

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application