KR20210089592A - DRDoS 공격 탐지 방법 및 이를 수행하는 장치들 - Google Patents

DRDoS 공격 탐지 방법 및 이를 수행하는 장치들 Download PDF

Info

Publication number
KR20210089592A
KR20210089592A KR1020210001955A KR20210001955A KR20210089592A KR 20210089592 A KR20210089592 A KR 20210089592A KR 1020210001955 A KR1020210001955 A KR 1020210001955A KR 20210001955 A KR20210001955 A KR 20210001955A KR 20210089592 A KR20210089592 A KR 20210089592A
Authority
KR
South Korea
Prior art keywords
attack
udp
packet
pattern
payload
Prior art date
Application number
KR1020210001955A
Other languages
English (en)
Other versions
KR102512622B1 (ko
Inventor
김성열
전강태
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Publication of KR20210089592A publication Critical patent/KR20210089592A/ko
Application granted granted Critical
Publication of KR102512622B1 publication Critical patent/KR102512622B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

DRDoS 공격 탐지 방법 및 이를 수행하는 장치들이 개시된다. 일 실시예에 따른 DRDoS 공격 탐지 방법은 UDP 패킷들을 수신하는 동작; 상기 UDP 패킷들에 패킷 필터링을 수행하여 패킷의 포트 번호, 페이로드 및 UDP 길이를 추출하는 동작; 및 상기 포트 번호, 페이로드 및 UDP 길이에 기초하여 상기 UDP 패킷들에 대한 공격 패턴과의 패턴 검사를 수행하는 동작을 포함할 수 있다.

Description

DRDoS 공격 탐지 방법 및 이를 수행하는 장치들{METHOD FOR DETECTING DRDoS ATTACK, AND APPARATUSES PERFORMING THE SAME}
아래 개시는 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들에 관한 것이다.
DDoS(Distributed Denial of Service) 공격 즉 분산 서비스 거부 공격은 여러 대의 악성코드에 감염된 공격 PC를 이용하여 동시에 특정 서버나 네트워크를 공격하여 자원을 고갈시켜 서비스를 마비시키는 공격이다.
다양한 DDoS 공격 방법 중 DRDoS(Distributed Reflection Denial of Service) 즉, 분산 반사 서비스 공격이 있는데 IP를 기반으로 공격을 방어하거나 역추적을 어렵게 하도록 출발지 IP를 스푸핑(spoofing)하고 공격에 이용할 서버 등의 반사체(reflector)에 요청 패킷을 보내어 스푸핑된 출발지 IP(예: 공격 타겟)로 응답 패킷을 보내는 공격이다.
공격자는 먼저 피해자의 IP 주소를 출발지 주소로 사용하여 반사체 서버에 요청 패킷을 보낸다. 반사체 서버는 요청 패킷의 출발지 주소 즉 피해자의 IP 주소로 응답 패킷을 보낸다. 피해자는 다수의 반사체 서버에서 오는 대규모 응답 패킷으로 서비스가 마비된다.
DRDoS 공격은 이처럼 요청 패킷의 검증이 미비한 UDP 프로토콜의 취약점을 이용하여 응답 패킷을 증폭시키는 증폭(amplification) 공격 방법을 사용한다. 공격에 사용되는 특정 프로토콜들은 적응 양의 요청 트래픽에 대해 큰 사이즈의 응답 패킷을 보내는 특징이 있다. 공격 특성상 악성코드에 감염된 봇넷이 특별히 필요하지 않다는 것이 편리하고 공격 규모가 훨씬 크다는 점에서 다양한 공격 툴에 사용되고 있다.
증폭 DRDoS 공격은 주로 UDP 프로토콜이 이용되는데 이는 TCP의 경우 3-wayhandshake때문에 출발지 IP를 위조하고 취약점을 이용한 증폭 공격이 어렵기 때문이다. 증폭 공격은 취약한 정상 서버를 반사체로 이용하여 수행되며 공격당하는 입장에서는 정상적인 서버에서 오는 트래픽으로 보여 단순히 출발지 IP를 기준으로 차단하면 정상적인 서비스도 불가능하게 된다. 공격 규모는 프로토콜 및 반사체 수에 따라 수백 Gbps 규모까지 되기 때문에 보안 장비도 필터링 전에 마비되기 일쑤며 방어하기 매우 어렵다.
초창기 증폭 공격은 DDoS보다 동작 조건을 맞추기 어렵고 반사체에 악용되는 서버 수가 적어서 점차 줄어드는 추세였으나 IoT의 발전으로 취약한 IoT 기기들이 폭발적으로 늘어나면서 이를 악용하여 다시 증가하는 추세다. 저가의 IoT 기기들은 자동 취약점 업데이트를 제공하지 않는 경우가 많고 지원이 끊긴 채 방치된 기기들도 많아 이들이 손쉽게 공격에 악용되고 있다.
위에서 설명한 배경기술은 발명자가 본원의 개시 내용을 도출하는 과정에서 보유하거나 습득한 것으로서, 반드시 본 출원 전에 일반 공중에 공개된 공지기술이라고 할 수는 없다.
실시예들은 포그 컴퓨팅 환경에서 DRDoS 공격을 탐지하는 기술을 제공할 수 있다.
다만, 기술적 과제는 상술한 기술적 과제들로 한정되는 것은 아니며, 또 다른 기술적 과제들이 존재할 수 있다.
일 실시예에 따른 DRDoS 공격 탐지 방법은 UDP 패킷들을 수신하는 동작; 상기 UDP 패킷들에 패킷 필터링을 수행하여 패킷의 포트 번호, 페이로드 및 UDP 길이를 추출하는 동작; 및 상기 포트 번호, 페이로드 및 UDP 길이에 기초하여 상기 UDP 패킷들에 대한 공격 패턴과의 패턴 검사를 수행하는 동작을 포함할 수 있다.
상기 방법은 상기 UDP 패킷들에 대해서 IP 검사를 수행하는 동작을 더 포함할 수 있다.
상기 IP 검사는 상기 UDP 패킷들에 대한 공격 IP 검사 또는 중복 IP 검사 중에서 하나 이상을 포함할 수 있다.
상기 패턴 검사를 수행하는 동작은 상기 포트 번호를 상기 공격 패턴과 매칭하는 동작; 상기 포트 번호가 상기 공격 패턴과 매칭하는 경우, 상기 페이로드를 상기 공격 패턴과 매칭하는 동작; 및 상기 페이로드가 상기 공격 패턴과 매칭하는 경우, 상기 UDP 길이를 상기 공격 패턴과 매칭하는 동작을 포함할 수 있다.
상기 방법은 상기 포트 번호, 상기 페이로드, 및 상기 UDP 길이가 상기 공격 패턴과 매칭하는 경우, 해당 UDP 패킷을 공격 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 차단 리스트에 등록하는 동작; 및 상기 포트 번호 또는 상기 페이로드 또는 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷을 정상 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 허용 리스트에 등록하는 동작을 더 포함할 수 있다.
상기 IP 허용 리스트에 등록하는 동작은 상기 포트 번호 및 상기 페이로드가 상기 공격 패턴과 매칭하지만 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷의 고유 ID를 저장하는 동작을 포함할 수 있다.
일 실시예에 따른 포그 컴퓨팅 환경에서 DRDoS 공격을 탐지하는 장치는 하나 이상의 인스트럭션을 저장하는 메모리; 및 상기 인스트럭션을 실행시키기 위한 프로세서를 포함하고, 상기 인스트럭션이 실행될 때, 상기 프로세서는, UDP 패킷들을 수신하고, 상기 UDP 패킷들에 패킷 필터링을 수행하여 패킷의 포트 번호, 페이로드 및 UDP 길이를 추출하고, 상기 포트 번호, 페이로드 및 UDP 길이에 기초하여 상기 UDP 패킷들에 대한 공격 패턴과의 패턴 검사를 수행할 수 있다.
상기 프로세서는 상기 UDP 패킷들에 대해서 IP 검사를 수행할 수 있다.
상기 IP 검사는 상기 UDP 패킷들에 대한 공격 IP 검사 또는 중복 IP 검사 중에서 하나 이상을 포함할 수 있다.
상기 프로세서는 상기 포트 번호를 상기 공격 패턴과 매칭하고, 상기 포트 번호가 상기 공격 패턴과 매칭하는 경우 상기 페이로드를 상기 공격 패턴과 매칭하고, 상기 페이로드가 상기 공격 패턴과 매칭하는 경우 상기 UDP 길이를 상기 공격 패턴과 매칭할 수 있다.
상기 프로세서는 상기 포트 번호, 상기 페이로드, 및 상기 UDP 길이가 상기 공격 패턴과 매칭하는 경우, 해당 UDP 패킷을 공격 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 차단 리스트에 등록하고, 상기 포트 번호 또는 상기 페이로드 또는 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷을 정상 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 허용 리스트에 등록할 수 있다.
상기 프로세서는 상기 포트 번호 및 상기 페이로드가 상기 공격 패턴과 매칭하지만 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷의 고유 ID를 저장할 수 있다.
도 1은 포그 컴퓨팅 환경을 나타낸다.
도 2는 DRDoS 공격 기법 및 이의 완화 기법을 설명하기 위한 도면이다.
도 3은 Cloudflare의 DDoS 완화 솔루션을 나타낸다.
도 4는 일 실시예에 따른 포그 컴퓨팅 환경에서의 DRDoS 공격의 완화 프로세스를 나타낸다.
도 5는 일 실시예에 따라 DRDoS 공격을 탐지하는 동작의 일 예를 설명하기 위한 흐름도이다.
도 6은 패턴 검사를 간편화하기 위한 공격 패턴과 매칭하는 의사 코드의 일 예를 나타낸다.
도 7은 일 실시예에 따른 공격 탐지 장치의 블록도를 나타낸다.
실시예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 구현될 수 있다. 따라서, 실제 구현되는 형태는 개시된 특정 실시예로만 한정되는 것이 아니며, 본 명세서의 범위는 실시예들로 설명한 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 실시예들을 첨부된 도면들을 참조하여 상세하게 설명한다. 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고, 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 포그 컴퓨팅 환경을 나타낸다.
포그 컴퓨팅은 기존의 클라우드가 제공하는 기능을 네트워크 가장자리에 분산 배치하여 데이터 부하를 줄이는 패러다임으로 제안되었다. 네트워크 가장자리(edge)에서 처리한다 하여 엣지 컴퓨팅이라고도 하며 플랫폼 자체를 일컫는 클라우드렛(Cloudlet)이라는 용어도 혼용되어 쓰이고 있다. 포그 컴퓨팅은 데이터의 생성부터 저장까지 처리되는 모든 방식을 일컫는 것으로 단지 데이터가 생성된 지점 가까이에서 처리한다는 엣지(edge) 컴퓨팅을 포함하는 개념이다. 클라우드보다 물리적으로 기기와 더 가까운 곳에 있는 포그 서버는 기기가 생성한 1차 데이터를 더욱 빠른 속도로 처리하고 실시간으로 대응할 수 있다. 또한, 한번 처리를 거친 핵심 2차 데이터만 클라우드로 보내 처리하면서 클라우드에 걸리는 데이터 부하를 크게 줄일 수 있다.
포그 컴퓨팅이 클라우드 컴퓨팅의 기능을 분산하므로 유사한 보안 문제가 발생할 수 있다. 포그 컴퓨팅에도 가능한 주요 보안 위협들은 표 1과 같이 정리될 수 있다.
분류 보안 위협 내용
포그 서버 가상화 가상화 내부에 포함된 요소 기술의 취약점을 이용해 공격자들이 공유된 정보에 접근
취약점 응용 애플리케이션, 시스템, 프로토콜의 취약점
악의적인 내부자 내부 직원 또는 사용자의 유효한 접근 권한으로 인한 악의적인 공격
접근 관리 다양한 규모와 환경에 맞는 통합된 사용자 인증 및 권한 권리 필요
포그 네트워크 악의적인 침입 서비스 거부 공격, 악성코드 같은 악의적인 사용자에 의한 서비스 침입, 지연, 가용성 고갈 등
라우팅 위협 라우팅 정보 변조, 간섭을 통한 전송 방해, 에러 메시지 생성, 지연 등
네트워크 장애 네트워크 오류로 인한 서비스 장애
포그 데이터 암호화 알고리즘 데이터 무결성에 대한 위협으로 비효율적인 암호화, 취약점이 있는 암호화, 유출되어도 기밀을 보장하는 암호화 등
키 관리 데이터의 안정성을 보장하는 암호화 통신을 위한 키를 생성, 교환, 저장, 관리 등을 포함
프라이버시 데이터 연산과정에서 사용자의 민감한 개인정보가 노출되지 않게 처리
포그 서버의 가상화, 악의적인 내부자, 접근 제어, 취약점 등은 기존 클라우드 보안 위협과 동일하며 포그 플랫폼의 표준화가 미비하고 과도기적 상황이므로 주의가 필요할 수 있다. 네트워크 보안은 포그 컴퓨팅에서 특히 더 중요할 수 있다. 포그 컴퓨팅은 기존보다 더 많은 기기와 포그 서버들이 통신하고 클라우드와 연결되기 때문에 공격을 당할 경우 더 큰 피해를 보기 쉬울 수 있다. 포그 데이터는 IoT가 생성하는 만큼 이들이 생산하는 빅데이터를 비교적 저 사양인 포그 서버에서 할 수 있는 경량화된 암호화, 처리, 프라이버시 보장이 필요할 수 있다. 포그 컴퓨팅 서비스는 그 특성상 다수의 노출된 포그 서버들과 개방적인 네트워크 및 웹과 프로토콜 및 정보 시스템의 보안 취약점 등으로 악의적인 불법 침입에 대해 노출이 가능하며, 서비스 제공 및 사용 등이 모두 네트워크를 통해 이루어지기 때문에 네트워크 보안이 특히 더 중요할 수 있다.
도 2는 DRDoS 공격 기법 및 이의 완화 기법을 설명하기 위한 도면이다.
DRDoS 공격을 수행하는 공격자는 먼저 증폭이 가능한 서버나 봇넷 리스트를 확보한다. 확보된 리스트에 출발지 주소를 공격 타겟의 주소로 위조하여 요청 패킷을 전송하면 서버(또는 봇넷)들은 증폭된 응답 패킷을 타겟에 전송하여 서비스 거부 공격을 수행한다. 다음은 주요 공격기법을 정리한 것이다.
■ NTP
NTP(Network Time Protocol)의 취약점을 이용한 공격은 오래된 DRDoS 공격 기법 중 하나이다. NTP는 네트워크를 통해 시간 동기화를 지원하는 프로토콜로 전 세계에 수백만 대 이상의 서버가 존재한다. NTP 프로토콜에서 시간 동기화를 요청하는 패킷을 받으면 요청을 받은 시간과 현재 시각을 포함하여 응답한다. NTP 서버는 ‘monlist’라는 명령으로 요청을 받는데 이는 최근에 요청한 최대 600개의 호스트 정보를 응답하여 500배가 넘는 증폭된 응답이 발생한다. 서버 수가 많다는 점과 증폭 배율이 높아 현재도 자주 사용된다.
■ CLDAP
CLDAP(Connection-less Lightweight Directory Access Protocol) 증폭 공격은 현재 가장 자주 사용되는 공격으로 CLDAP는 디렉터리 서비스를 조회하고 수정하는 LDAP(Lightweight Directory Access Protocol) 프로토콜의 경량화 버전이다. CLDAP는 인증이 없는 UDP를 사용하여 LDAP 서버 389번 포트에 작업 요청을 보내는데 응답 트래픽은 최대 86배까지 증폭될 수 있다.
■ DNS
DNS(Domain Name System)는 호스트의 도메인 이름을 아이피 주소로 변환하거나 반대로 수행할 수 있는 주소 변환 프로토콜이며 기본적으로 53번 포트를 사용한다. Shodan의 검색에 따르면 전 세계에 수백만 대 이상의 DNS 서버가 존재한다. DNS서버는 A타입 (IP Address), MX(Mail Exchange)같은 수십여 개가 넘는 레코드 타입이 존재하는데 이 중에서 dig명령어로 질의를 보낼 때 ANY 타입으로 보내면 DNS서버는 질의를 받은 도메인과 관련된 모든 타입의 레코드 정보를 보내주며 재귀적 질의가 설정된 서버는 요청한 도메인 네임이 서버에 없을 때 상위 서버에 요청을 보내는 과정을 반복하여 응답한다. 증폭이 최대 54배에 달하고 특히 공격에 자주 이용되는 Public DNS들은 누구나 접근할 수 있다. 기존의 DNS 프로토콜은 512byte로 사이즈 제한이 있었으나 기존 프로토콜의 확장 버전인 EDNS의 경우는 4096byte까지 전송할 수 있어 더 큰 증폭 효과를 낼 수 있다.
■ SSDP
SSDP (Simple Service Dicovery Protocol)는 근거리 네트워크 서비스나 정보를 찾기 위해서 사용하는 네트워크 프로토콜이다. 소규모 사무 환경에서 UPnP를 위한 기본적인 프로토콜로 사용하고 있는데 SSDP 프로토콜을 이용해 DHCP, DNS 없이 디바이스 탐지가 가능하여 IoT 장비들에 널리 사용되고 있다. 수백만 대 이상의 SSDP 서버들이 존재하며 M-Search 메서드를 이용하면 멀티캐스트 방식으로 주위 디바이스를 탐색하는데 이때 응답 패킷에 디바이스의 다양한 정보가 포함되어 최대 30배 이상의 응답 트래픽이 발생한다. 공격자는 SSDP 프로토콜로 UPnP 장치들을 찾아 리스트화 하고 대상자의 IP로 스푸핑된 UDP 패킷을 만들어 가능한 많은 데이터를 요청하는 내용을 통해 증폭 공격을 수행할 수 있다.
■ Memcached
Memcache는 메모리를 사용해 캐시 서비스를 제공해주는 데몬으로 기업에서 대역폭을 효과적으로 사용하기 위하여 구축한다. Memcached 반사 공격은 공용 네트워크 상에 존재하는 대규모의 Memcached 서버(예: 분산식 캐시 시스템)에 존재하는 쿼리를 인증하지 않는 설계상 취약점을 이용하는 공격이다. 공격자는 Memcached 서버에 기본 포트 11211번 포트로 피해자 IP 주소로 위장된 요청 UDP 패킷을 전송하면 Memcached 서버가 최소 1만 배 이상의 응답 패킷을 반사하여 공격이 이루어진다.
DRDoS 공격에 대응하는 완화 기법은 다음과 같이 정리될 수 있다.
■ 안티 스푸핑(Anti-Spoofing)
IP 스푸핑을 막는다면 원천적으로 DRDoS 공격을 불가능하게 할 수 있다. 이들 기법은 인증 기법과 네트워크 토폴로지를 이용한 방법으로 분류할 수 있다.
인증을 이용한 안티 스푸핑은 여러 암호화 기법을 이용한 인증들, 제삼자(Third-party)를 이용한 인증 등이 있다. 암호화와 제삼자 인증 방식은 안티 스푸핑을 확실히 보장하지만 모두 암호화로 인한 추가 성능 오버헤드가 발생하며 특히 제삼자 인증이 가장 큰 오버헤드와 추가 트래픽이 발생한다.
네트워크 토폴로지를 이용한 안티 스푸핑은 Ingress/Egress 필터링, BGP(Border Gateway Protocol)와 라우팅 테이블을 이용하는 기법 등이 있다. Ingress/Egress 필터링은 출발지 주소가 정당한 IP 주소 범위 내에 있는 경우를 검사하는 방법이며 BGP 라우팅 방법은 BGP 라우터에서 출발지와 목적지 IP 주소가 일치하지 않는 경우 지나가는 패킷(예: DRDoS 요청 패킷 같은)을 스푸핑으로 판단하는 것이다.
■ 프로토콜 패치
증폭 공격에 악용되는 취약한 프로토콜들은 대부분 특정 서비스에 인증 절차가 존재하지 않아서 공격에 이용되고 있으므로 이를 패치하는 방법이다. NTP 증폭 공격처럼 악용되는 monlist 기능을 제거하는 패치가 대표적이다. 하지만 이러한 방법은 패치 권한이 있는 내부 서버만 적용 가능하고 공격에 악용되는 서버들은 예전 버전으로 방치되고 관리가 되지 않기 때문에 적용이 어렵다.
■ 공격 트래픽 차단/감내
방화벽은 가장 기본적으로 공격 패킷을 차단할 수 있는 방법으로 단순하게 사용하지 않는 모든 포트를 닫아 둘 수도 특정 IP를 차단할 수 있다. 하지만 방화벽은 패킷 분석이 없으므로 소프트웨어로 패킷을 분석하여 공격 패킷인지 정상 패킷인지 분류하고 차단하는 침입 탐지 시스템(예: IDS), 침입 차단 시스템(예: IPS) 등을 방화벽 뒤에 설치하는 것이 일반적이다.
이에는 이상 탐지(Anomaly Detection) 방법이 있다. 이상 행위 탐지는 정상적인 시스템 사용을 기준으로 이에 어긋나는 비정상 행위를 탐지하는 방식이다. 정상 사용자의 로그인 횟수, 로그인 시간대, CPU 사용량, 디스크 I/O 등의 통계적 기준을 통해 기준을 초과하는 행위를 탐지한다. 이러한 방식은 새로운 유형의 공격도 감지할 수 있다는 장점이 있으나 통계 기준 설정이 어렵고 오류 탐지율이 높다는 단점이 있다.
도 3은 Cloudflare의 DDoS 완화 솔루션을 나타낸다. 도 2에서 설명된 공격 트래픽 차단기법은 단일 IPS/IDS에서 대부분의 소규모 공격은 효과적으로 완화하지만, 대역폭 이상의 공격에는 대규모 병목 현상으로 필터링조차 마비된다는 한계점이 있다. 현재 DDoS 방어 솔루션 중 대표적인 Cloudflare의 DDoS 완화 솔루션은 트래픽을 고객 네트워크 이전에 세계에 퍼져있는 자사 데이터센터로 연결하여 15,000개가 넘는 서버에서 트래픽을 분산 필터링하고 정상 트래픽만 통과시키는 방식으로 최대 51 Tbps의 공격까지 완화할 수 있다고 한다.
클라우드를 기반으로 DRDoS 공격을 방어하는 방법도 제안되고 있다. 이 방법은 클라우드 내부에 여러 미러 서버와 관리 서버를 두고 트래픽을 모니터링하다가 임계치를 초과할 경우 관리 서버가 트래픽을 내부 미러 서버로 분산시키며 이를 반복하고 임계치 이하의 트래픽으로 분리되었을 때 관리 서버가 정상 트래픽과 공격 트래픽을 분류한다. 이와 비슷하게 클라우드 구조를 이용하며 공격에 따라 동적으로 만들어지는 복제 서버를 메인 서버 앞에 두어 DDoS를 분산 방어하는 메커니즘도 제안된 바 있다.
하지만 중앙 클라우드 환경과 다르게 포그 컴퓨팅은 비교적 저 사양 서버로 구성되며 필수적으로 아래에 다수의 IoT를 포함한다. 또한, 포그 컴퓨팅은 물리적으로 네트워크 가장자리에 퍼져있는 만큼 일일이 DRDoS 방어 솔루션을 제공하기엔 경제적 비용 부담이 높을 수밖에 없다. 표 2는 DDos 보안 솔루션 비용 예들을 정리한 것이다.
기업 서비스 가격/월 방식
KT IDC DDoS 클린존 ₩3,000,000 방화벽 + 침입탐지시스템
임대 운영
Cloudflare Magic Transit $200 ~ 규모에
따라 별도 협의		 자사 데이터센터에서
필터링
Microsoft Azure $25~2500 + @ Azure 클라우드 방화벽 +
부하 분산
각 기업에서 제공하는 DDoS 보안 관제 서비스는 방식과 가격 책정 방식에 차이가 있으나 기본적으로 IPS, 고객 맞춤 보안 정책 설정, 365*24시간 보안 관제, 정기 보안 리포트 제공, 사고 발생 시 분석 및 대책 수립, 백업 등을 제공한다. 가격은 서버 1대당 기준이며 클라우드 기반 Azure는 사용량에 따라 요금이 책정된다. 이처럼 기존 중앙형 서버 구조와 비교하면 포그 컴퓨팅은 기존의 보안 솔루션을 적용 시 경제적 비용 부담이 매우 높다. 또한, 기존의 널리 사용되는 시그니처 기반 침입 탐지/차단 시스템을 저 사양 포그 서버에서 구현하면 리소스 사용량도 상대적으로 높을 것이라 예상된다. 포그 환경에 맞는 DDoS 공격 대응책(예: DRDoS 공격 대응책)이 필요하다.
도 4는 일 실시예에 따른 포그 컴퓨팅 환경에서의 DRDoS 공격의 완화 프로세스를 나타낸다.
포그 컴퓨팅 환경은 분산된 포그 서버가 클라우드의 기능을 분산하는 만큼 네트워크에 대한 의존도가 높으며 DDoS 같은 서비스 거부 공격은 포그 컴퓨팅의 가용성에 큰 위협이 될 수 있다. 포그 서버(예: 저 사양 포그 서버)에서 DRDoS 공격의 완화를 위한 요구 조건은 다음과 같이 정리할 수 있다.
(1) 필터링하는 데 소모되는 리소스가 적을 것
(2) 최대한 DRDoS 패킷을 처리할 수 있을 것
(3) 최소한의 포그 서비스를 위해 가용성을 유지할 것
상술한 조건을 고려하여, 일 실시예에 따른 공격 탐지기(예: DRDoS 공격 탐지기)는 DRDoS 공격을 완화하기 위해 침입 탐지 모듈(예: Snort 침입 탐지 모듈)을 기반으로 간편 패킷 필터링을 수행하여 DRDoS 공격을 탐지할 수 있다.
필터링에 대한 부하 분산을 위해 UDP 패킷은 애니캐스트(Anycast) 방식으로 같은 주소의 공격 탐지기로 분산될 수 있다. 이때, DRDoS 공격 탐지기는 복수의 포그 서버들 각각에 규모에 맞게 배치될 수 있다. 또한, DRDoS 공격 탐지기는 하나의 포그 서버에 복수 개로 구현될 수도 있다.
일 실시예에 따르면, DRDoS 공격의 완화 프로세스(400)는 동작들(410~470)을 포함할 수 있다. DRDoS 공격의 완화 프로세스(400)는 다음과 같을 수 있다.
동작(410)에서, UDP 패킷들은 라우터 또는 포그 서버에 의해서 애니캐스트(Anycast) 방식으로 같은 주소의 공격 탐지기로 분산될 수 있다.
동작(430)에서, 각 공격 탐지기는 UDP 패킷을 로그에 저장하고, 데이터데이스(DB)에 저장된 공격 패턴에 기초하여 로그에 저장된 UDP 패킷(예: 로그 패킷)에 패턴 검사를 수행하여 공격 패킷인지 정상 패킷인지 구별할 수 있다. 예를 들어, 공격 패턴은 CVE(Common Vulnerabilities and Exposures: 정보 보안 취약점 표준 코드) 리스트와 Snort의 Community Rule을 참조하여 데이터데이스(DB)에 마련되어 저장될 수 있다.
동작(450)에서, UDP 패킷이 공격 패킷인 경우, 공격 탐지기는 해당 UDP 패킷을 전송한 해당 IP를 차단함과 동시에 IP 차단 리스트(예: 블랙 리스트)에 등록할 수 있다.
동작(470)에서, UDP 패킷이 정상 패킷인 경우, 공격 탐지기는 해당 UDP 패킷을 전송한 해당 IP를 IP 허용 리스트(예: 화이트 리스트)에 등록할 수 있다.
도 5는 일 실시예에 따라 DRDoS 공격을 탐지하는 동작의 일 예를 설명하기 위한 흐름도이고, 도 6은 패턴 검사를 간편화하기 위한 공격 패턴과 매칭하는 의사 코드의 일 예를 나타낸다.
도 5는 도 4에 도시된 DRDoS 공격의 완화 프로세스(400)에서의 동작(430)을 더 상세하게 설명하기 위한 것일 수 있다. 일 실시예에 따르면, DRDoS 공격을 탐지하는 동작(500)은 동작들(510~570)을 포함할 수 있다.
동작(510)에서, 공격 탐지기는 UDP 패킷들을 수신할 수 있다.
동작(520)에서, 공격 탐지기는 UDP 패킷들 각각에 대해서 IP 검사를 수행할 수 있다. IP 검사는 공격 IP 검사 및/또는 중복 IP 검사를 포함할 수 있다. 예를 들어, 공격 탐지기는 UDP 패킷 중에서 공격 IP에 해당하는 패킷은 제거하거나 중복 IP에 해당하는 패킷은 하나를 제외하고 제거할 수 있다.
동작(530~550)에서 공격 패턴과의 매칭을 위해, 공격 탐지기는 검사된 하나 이상의 UDP 패킷에 패킷 필터링(예: 간편 패킷 필터링)을 수행하여 패킷의 포트 번호(예: 소스 포트 번호), 페이로드(예: 데이터 내용), UDP 길이를 추출할 수 있다. 추출된 패킷의 포트 번호, 페이로드, UDP 길이는 표 3과 같을 수 있다. 동작(530~550)에서 공격 패턴과의 매칭은 추출된 포트 번호, 페이로드, 및 UDP 길이의 트라이(Trie) 구조를 이용하여 수행될 수 있다. 동작(530~550)에서 검사된 하나 이상의 UDP 패킷에 대한 공격 패턴과의 패턴 검사가 간편해질 수 있다.
이름 항목 예시 설명
Packet.Port 소스 포트
번호		 CLDAP: 389,
636		 공격에 주로 사용되는 서비스의 포트
Packet.Payloa
d		 데이터 내용 ::getextendeds
tats		 공격 패턴에 주로
나타나는 데이터 내용 및 16진수
Packet.Udplen UDP 길이 1000byte 이상 라우터에 따라 최대 길이가 결정
동작(530)에서, 공격 탐지기는 추출된 패킷의 포트 번호를 공격 패턴과 매칭할 수 있다. 포트 번호가 공격 패턴에 매칭되는 경우에는 공격 탐지기는 동작(540)을 수행하고, 포트 번호가 공격 패턴에 매칭되지 않는 경우에는 공격 탐지기는 동작(570)을 수행할 수 있다.
동작(540)에서, 공격 탐지기는 추출된 패킷의 페이로드(예: 데이터 내용)를 공격 패턴과 매칭할 수 있다. 페이로드가 공격 패턴에 매칭되는 경우에는 공격 탐지기는 동작(550)을 수행하고, 페이로드가 공격 패턴에 매칭되지 않는 경우에는 공격 탐지기는 동작(570)을 수행할 수 있다.
동작(550)에서, 공격 탐지기는 추출된 UDP 길이를 공격 패턴과 매칭할 수 있다. UDP 길이가 공격 패턴에 매칭되는 경우에는 공격 탐지기는 동작(560)을 수행하고, UDP 길이가 공격 패턴에 매칭되지 않는 경우에는 공격 탐지기는 동작(570)을 수행할 수 있다.
동작(560)에서, 추출된 포트 번호, 페이로드, 및 UDP 길이가 공격 패턴과 매칭된 경우에만 공격 탐지기는 검사된 하나 이상의 UDP 패킷을 공격 패킷으로 판단하고, 해당 UDP 패킷을 전송한 해당 IP를 IP 차단 리스트(예: 블랙 리스트)에 등록할 수 있다. 또한, 공격 탐지기는 해당 IP를 차단할 수 있다.
동작(570)에서, 추출된 포트 번호 또는 페이로드 또는 UDP 길이가 공격 패턴과 매칭되지 않는 경우에는 공격 탐지기는 검사된 하나 이상의 UDP 패킷을 정상 패킷으로 판단하고, 해당 UDP 패킷을 전송한 해당 IP를 IP 허용 리스트(예: 화이트 리스트)에 등록할 수 있다.
동작(570)에서, 추출된 포트 번호 및 페이로드가 공격 패턴과 매칭되지만 UDP 길이가 공격 패턴과 매칭되지 않는 경우에 공격 탐지기는 검사된 하나 이상의 UDP 패킷을 정상 패킷으로 판단하고 추후 분석을 위해 검사된 하나 이상의 UDP 패킷의 고유 ID를 저장할 수 있다. 이는 공격에 해당하는 패턴이나 침입 탐지에 걸리지 않기 위해 패킷을 잘게 파편화시켜 보내는 APT 공격일 가능성에 대해서 대비하기 위함일 수 있다.
도 7은 일 실시예에 따른 공격 탐지 장치의 블록도를 나타낸다.
공격 탐지 장치(700)는 도 1 내지 도 6을 참조하여 설명한 포그 컴퓨팅 환경에서의 포그 서버(예: 포그 서버 장치)일 수 있다. 포그 탐지 장치(700)는 메모리(710) 및 하나 이상의 프로세서(730)를 포함할 수 있다.
메모리(710)는 프로세서(730)에 의해 실행가능한 인스트럭션들(또는 프로그램)을 저장할 수 있다. 예를 들어, 인스트럭션들은 프로세서(730)의 동작 및/또는 프로세서(730)의 각 구성의 동작을 실행하기 위한 인스트럭션들을 포함할 수 있다.
프로세서(730)는 메모리(710)에 저장된 데이터를 처리할 수 있다. 프로세서(730)는 메모리(710)에 저장된 컴퓨터로 읽을 수 있는 코드(예를 들어, 소프트웨어) 및 프로세서(730)에 의해 유발된 인스트럭션(instruction)들을 실행할 수 있다.
프로세서(730)는 목적하는 동작들(desired operations)을 실행시키기 위한 물리적인 구조를 갖는 회로를 가지는 하드웨어로 구현된 데이터 처리 장치일 수 있다. 예를 들어, 목적하는 동작들은 프로그램에 포함된 코드(code) 또는 인스트럭션들(instructions)을 포함할 수 있다.
예를 들어, 하드웨어로 구현된 데이터 처리 장치는 마이크로프로세서(microprocessor), 중앙 처리 장치(central processing unit), 프로세서 코어(processor core), 멀티-코어 프로세서(multi-core processor), 멀티프로세서(multiprocessor), ASIC(Application-Specific Integrated Circuit), FPGA(Field Programmable Gate Array)를 포함할 수 있다.
프로세서(730)는 도 4 내지 도 7을 참조하여 설명한 DRDoS 공격의 완화 프로세스(400) 및/또는 DRDoS 공격을 탐지하는 동작(500)을 실질적으로 동일하게 수행할 수 있다. 프로세서(730)는 하나 이상의 공격 탐지기를 실행할 수 있다. 이에 대한 상세한 설명은 생략하도록 한다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 컨트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 저장할 수 있으며 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
위에서 설명한 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 또는 복수의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 이를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (13)

  1. UDP 패킷들을 수신하는 동작;
    상기 UDP 패킷들에 패킷 필터링을 수행하여 패킷의 포트 번호, 페이로드 및 UDP 길이를 추출하는 동작; 및
    상기 포트 번호, 페이로드 및 UDP 길이에 기초하여 상기 UDP 패킷들에 대한 공격 패턴과의 패턴 검사를 수행하는 동작
    을 포함하는, DRDoS 공격 탐지 방법.
  2. 제1항에 있어서,
    상기 UDP 패킷들에 대해서 IP 검사를 수행하는 동작
    을 더 포함하는, DRDoS 공격 탐지 방법.
  3. 제2항에 있어서,
    상기 IP 검사는,
    상기 UDP 패킷들에 대한 공격 IP 검사 또는 중복 IP 검사 중에서 하나 이상을 포함하는, DRDoS 공격 탐지 방법.
  4. 제1항에 있어서,
    상기 패턴 검사를 수행하는 동작은,
    상기 포트 번호를 상기 공격 패턴과 매칭하는 동작;
    상기 포트 번호가 상기 공격 패턴과 매칭하는 경우, 상기 페이로드를 상기 공격 패턴과 매칭하는 동작; 및
    상기 페이로드가 상기 공격 패턴과 매칭하는 경우, 상기 UDP 길이를 상기 공격 패턴과 매칭하는 동작
    을 포함하는, DRDoS 공격 탐지 방법.
  5. 제4항에 있어서,
    상기 포트 번호, 상기 페이로드, 및 상기 UDP 길이가 상기 공격 패턴과 매칭하는 경우, 해당 UDP 패킷을 공격 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 차단 리스트에 등록하는 동작; 및
    상기 포트 번호 또는 상기 페이로드 또는 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷을 정상 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 허용 리스트에 등록하는 동작
    을 더 포함하는, DRDoS 공격 탐지 방법.
  6. 제5항에 있어서,
    상기 IP 허용 리스트에 등록하는 동작은,
    상기 포트 번호 및 상기 페이로드가 상기 공격 패턴과 매칭하지만 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷의 고유 ID를 저장하는 동작
    을 포함하는, DRDoS 공격 탐지 방법.
  7. 하드웨어와 결합되어 제1항 내지 제6항 중 어느 하나의 항의 방법을 실행시키기 위하여 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.
  8. 포그 컴퓨팅 환경에서 DRDoS 공격을 탐지하는 장치에 있어서,
    하나 이상의 인스트럭션을 저장하는 메모리; 및
    상기 인스트럭션을 실행시키기 위한 프로세서
    를 포함하고,
    상기 인스트럭션이 실행될 때, 상기 프로세서는,
    UDP 패킷들을 수신하고, 상기 UDP 패킷들에 패킷 필터링을 수행하여 패킷의 포트 번호, 페이로드 및 UDP 길이를 추출하고, 상기 포트 번호, 페이로드 및 UDP 길이에 기초하여 상기 UDP 패킷들에 대한 공격 패턴과의 패턴 검사를 수행하는, 장치.
  9. 제8항에 있어서,
    상기 프로세서는,
    상기 UDP 패킷들에 대해서 IP 검사를 수행하는, 장치.
  10. 제9항에 있어서,
    상기 IP 검사는,
    상기 UDP 패킷들에 대한 공격 IP 검사 또는 중복 IP 검사 중에서 하나 이상을 포함하는, 장치.
  11. 제8항에 있어서,
    상기 프로세서는,
    상기 포트 번호를 상기 공격 패턴과 매칭하고, 상기 포트 번호가 상기 공격 패턴과 매칭하는 경우 상기 페이로드를 상기 공격 패턴과 매칭하고, 상기 페이로드가 상기 공격 패턴과 매칭하는 경우 상기 UDP 길이를 상기 공격 패턴과 매칭하는, 장치.
  12. 제11항에 있어서,
    상기 프로세서는,
    상기 포트 번호, 상기 페이로드, 및 상기 UDP 길이가 상기 공격 패턴과 매칭하는 경우, 해당 UDP 패킷을 공격 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 차단 리스트에 등록하고,
    상기 포트 번호 또는 상기 페이로드 또는 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷을 정상 패킷으로 판단하고 해당 UDP 패킷을 전송한 해당 IP를 IP 허용 리스트에 등록하는, 장치.
  13. 제12항에 있어서,
    상기 프로세서는,
    상기 포트 번호 및 상기 페이로드가 상기 공격 패턴과 매칭하지만 상기 UDP 길이가 상기 공격 패턴과 매칭하지 않는 경우, 해당 UDP 패킷의 고유 ID를 저장하는, 장치.
KR1020210001955A 2020-01-08 2021-01-07 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들 KR102512622B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200002607 2020-01-08
KR1020200002607 2020-01-08

Publications (2)

Publication Number Publication Date
KR20210089592A true KR20210089592A (ko) 2021-07-16
KR102512622B1 KR102512622B1 (ko) 2023-03-23

Family

ID=77151044

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210001955A KR102512622B1 (ko) 2020-01-08 2021-01-07 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들

Country Status (1)

Country Link
KR (1) KR102512622B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230050869A (ko) * 2021-10-08 2023-04-17 엘에스일렉트릭(주) 직렬 통신 장치에 대한 취약성 테스트 방법 및 장치
KR20230097724A (ko) * 2021-12-24 2023-07-03 동명대학교산학협력단 DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110071443A (ko) * 2009-12-21 2011-06-29 한국전자통신연구원 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법
KR101228089B1 (ko) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip 스푸핑 탐지 장치
KR101356013B1 (ko) * 2013-07-31 2014-02-11 (주)유엠로직스 Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110071443A (ko) * 2009-12-21 2011-06-29 한국전자통신연구원 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법
KR101228089B1 (ko) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip 스푸핑 탐지 장치
KR101356013B1 (ko) * 2013-07-31 2014-02-11 (주)유엠로직스 Apt 공격에 의한 백도어 통신 차단 시스템 및 그 차단 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230050869A (ko) * 2021-10-08 2023-04-17 엘에스일렉트릭(주) 직렬 통신 장치에 대한 취약성 테스트 방법 및 장치
KR20230097724A (ko) * 2021-12-24 2023-07-03 동명대학교산학협력단 DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터

Also Published As

Publication number Publication date
KR102512622B1 (ko) 2023-03-23

Similar Documents

Publication Publication Date Title
US11032297B2 (en) DGA behavior detection
US11616761B2 (en) Outbound/inbound lateral traffic punting based on process risk
US10298610B2 (en) Efficient and secure user credential store for credentials enforcement using a firewall
US10425387B2 (en) Credentials enforcement using a firewall
US10542006B2 (en) Network security based on redirection of questionable network access
US10382436B2 (en) Network security based on device identifiers and network addresses
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
US9491142B2 (en) Malware analysis system
Yu et al. PSI: Precise Security Instrumentation for Enterprise Networks.
Pradhan et al. Solutions to vulnerabilities and threats in software defined networking (SDN)
US8800024B2 (en) System and method for host-initiated firewall discovery in a network environment
AU2012259113A1 (en) Malware analysis system
KR102512622B1 (ko) DRDoS 공격 탐지 방법 및 이를 수행하는 장치들
EP3682325A1 (en) Fine-grained firewall policy enforcement using session app id and endpoint process id correlation
Venkatramulu et al. Various solutions for address resolution protocol spoofing attacks
Nagesh et al. A survey on denial of service attacks and preclusions
JP7386909B2 (ja) マルウェア検出のためのコンテキストプロファイリング
Jadhav et al. Detection and mitigation of ARP spoofing attack
US11570149B2 (en) Feedback mechanism to enforce a security policy
Jain et al. Defending distributed denial of service (Ddos) attacks: Classification and art
You et al. HELIOS: Hardware-assisted High-performance Security Extension for Cloud Networking
Ramcharn et al. Smurf security defense mechanism with split-protocol

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right