KR20220109125A - Ip 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법 - Google Patents

Ip 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법 Download PDF

Info

Publication number
KR20220109125A
KR20220109125A KR1020210012411A KR20210012411A KR20220109125A KR 20220109125 A KR20220109125 A KR 20220109125A KR 1020210012411 A KR1020210012411 A KR 1020210012411A KR 20210012411 A KR20210012411 A KR 20210012411A KR 20220109125 A KR20220109125 A KR 20220109125A
Authority
KR
South Korea
Prior art keywords
packet
client
server
router
incoming
Prior art date
Application number
KR1020210012411A
Other languages
English (en)
Other versions
KR102536957B1 (ko
Inventor
전광길
Original Assignee
인천대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인천대학교 산학협력단 filed Critical 인천대학교 산학협력단
Priority to KR1020210012411A priority Critical patent/KR102536957B1/ko
Publication of KR20220109125A publication Critical patent/KR20220109125A/ko
Application granted granted Critical
Publication of KR102536957B1 publication Critical patent/KR102536957B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법은 클라이언트 퍼즐을 입력 라우터에 적용하고, 출력 라우터에 경로 지문 체계를 사용하고, 서버 측에 양자 어닐링 기술을 도입하여 하이브리드 방식으로 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하는 효과가 있다.

Description

IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법{System and Method for Detecting Attacker Packet for IP Traceback Analysing}
본 발명은 공격 패킷 감지 시스템에 관한 것으로서, 더욱 상세하게는 클라이언트 퍼즐을 입력 라우터에 적용하고, 출력 라우터에 경로 지문 체계를 사용하고, 서버 측에 양자 어닐링 기술을 도입하여 하이브리드 방식으로 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법에 관한 것이다.
분산 서비스 거부 공격은 오늘날 인터넷에서 가장 어려운 보안 문제 중 하나이다. 현재 DDos 공격에 대한 보호 메카니즘인 공격 트래픽은 피해자 측에서 필터링된다.
공격자는 공격 트래픽이 피해자에 의해 필터링되는지 여부에 관계없이 피해자의 대역폭에 대한 액세스를 차단하는 목표를 달성할 수 있다.
피해자가 공격을 인식하면, 피해자는 라우터를 시작하여 공격자가 보낸 적절한 수의 공격 패킷을 수집하고, 이들을 검사 데이터로 수집하여 공격 차단 방법을 강구하게 된다.
그러나 DDos 공격은 너무 많은 트래픽으로 피해자를 압도하고, 소스 IP 주소가 부정확하고 지속적으로 무작위 가능성이 있는 경우, 악성 요청을 차단하는 것이 번거롭거나 어려운 문제점이 있다.
한국 등록특허번호 제10-0858271호
이와 같은 문제점을 해결하기 위하여, 본 발명은 클라이언트 퍼즐을 입력 라우터에 적용하고, 출력 라우터에 경로 지문 체계를 사용하고, 서버 측에 양자 어닐링 기술을 도입하여 하이브리드 방식으로 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법을 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 특징에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템은,
인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 입력 라우터; 및
상기 클라이언트의 IP 주소와 해당 경로 지문을 매핑 테이블에 저장하고, 유입되는 패킷과 동일한 데이터가 상기 매핑 테이블에 포함되는 경우, 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 서버를 포함하고, 상기 클라이언트는 상기 입력 라우터와 연동하여 상기 클라이언트 퍼즐이 해결되면 송신하고자 하는 패킷이 상기 서버로 전달된다.
클라이언트는 상기 클라이언트 퍼즐을 해결한 후, 상기 클라이언트 퍼즐에 대한 해답을 생성하여 상기 입력 라우터를 통해 상기 서버로 전송하고,
상기 입력 라우터는 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 상기 패킷을 상기 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하며,
상기 서버는 타임스탬프를 사용하여 임시 테이블에 상기 해답을 관련 임시값으로 기록하고, 상기 관련 임시값과 상기 클라이언트의 배열에 대한 해시를 표시한다.
본 발명은 입력 라우터로부터 패킷을 수신하고, 상기 패킷의 헤더에 고유한 경로 지문을 포함시키고, 상기 패킷을 상기 서버로 전송하는 출력 라우터를 더 포함한다.
출력 라우터는 상기 클라이언트에 의해 송신되는 유입 IP 패킷 R에서 거리 표시 필드(R.dist)와 경로 표시 필드(R.pid)로 이루어진 상기 경로 지문을 생성하고, 최초 R.dist의 값을 0으로 초기화하고, R.dist + 1을 상기 R.dist의 값으로 계산하고, 해시 작업을 수행하는 H(R,pid, Ni)가 상기 R.pid의 값으로 계산하여 상기 유입 IP 패킷 R을 각 홉(hop)마다 업데이트하고, 상기 Ni는 유입 인터페이스인 상기 R과 관련된 랜덤 번호일 수 있다.
본 발명의 특징에 따른 IP 역추적 분석을 통한 공격 패킷 감지 방법은,
입력 라우터에서 인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 단계;
상기 입력 라우터는 상기 클라이언트로부터 상기 클라이언트 퍼즐을 해결한 해답을 수신하고, 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 상기 패킷을 상기 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하는 단계;
상기 입력 라우터에 연결된 출력 라우터는 상기 입력 라우터로부터 패킷을 수신하고, 상기 수신한 패킷의 헤더에 고유한 경로 지문을 포함시키는 단계;
서버에서 유입되는 패킷의 경로 지문과 동일한 데이터가 매핑 테이블에 존재하는지 비교하여 상기 경로 지문이 상기 매핑 테이블에 존재하는 경우 합법적인 패킷으로 판단하는 단계; 및
상기 서버는 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 단계를 포함한다.
전술한 구성에 의하여, 본 발명은 하이브리드 방식을 적용하여 네트워크로 유입되는 악성 패킷의 양을 줄여 DDos 공격을 최소화하고, 네트워크 성능을 높이며, 네트워크 대역폭을 증가시키는 효과가 있다.
본 발명은 DDos 공격을 인식하고 완화할 수 있는 최적의 효율성을 제공할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 IP 역추적의 수학적 모델을 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 경로 지문의 일례를 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 방법을 설명하기 위한 도면이다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템의 구성을 나타낸 도면이고, 도 2는 본 발명의 실시예에 따른 IP 역추적의 수학적 모델을 나타낸 도면이고, 도 3은 본 발명의 실시예에 따른 경로 지문의 일례를 나타낸 도면이다.
본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 시스템(100)은 클라이언트(110), 입력 라우터(120), 출력 라우터(130) 및 서버(140)를 포함한다.
입력 라우터(120)는 인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트(110)에 설정한다.
클라이언트(110)는 입력 라우터(120)와 연동하여 클라이언트 퍼즐이 해결되면 송신하고자 하는 패킷이 서버(140)로 전송할 수 있다,
서버(140)는 클라이언트(110)의 IP 주소와 해당 경로 지문이 포함된 매핑 테이블을 저장하고, 유입되는 패킷과 동일한 데이터가 매핑 테이블에 포함되는 경우, 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 양자 어닐링된 패킷을 악성 패킷으로 판단하여 매핑 테이블에서 삭제한다.
출력 라우터(130)는 입력 라우터(120)로부터 패킷을 수신하고, 패킷의 헤더에 고유한 경로 지문을 포함시키고, 패킷을 서버(140)로 전송한다.
본 발명은 ICMP 기반 패킹 로깅(Packet Logging)이 경로 지문(Path Finger Print)과 통합하여 적은 오버헤드로 최상의 패킷 로깅을 달성하는 트레이스 백 접근 방식을 제공한다. 즉, 적은 수의 공격 패킷은 클라이언트 퍼즐이 입력측에 통합되어 있기 때문에 트레이스 백 프로세스에서 약간의 노력과 패킷 로깅 목적으로 중간 라우터에 할당되는 소량의 리소스만 필요하다.
본 발명은 최적화 기법을 기초로 한 양자 어닐링(Quantum Annealing) 방식을 사용한다. 그 이유는 다변수 개선 문제가 설계를 특징짓는 자율적 요소의 전체 배열과 많은 자유 요소의 용량(비용 작업이라함)에 대한 가장 극단적이고 최소 추정을 찾는 것으로 구성되어 있기 때문이다.
비용 작업은 설정에 의존하고, 비용 작업을 제한하거나 확장하는 이상적인 설정을 찾아야 한다.
본 발명의 역추적은 최적화를 위한 더 좋은 방법이 되기 위해 자체 양자 어닐링의 다중 경로 구성을 정의하는 복수의 라우터 요소가 있다.
본 발명은 경로 지문을 기반으로 한 추적 모델을 제공한다.
본 발명은 완전한 공격 방식을 개발하는데 필요한 패킷의 양과 저장 필요성까지 평가되고, 제안된 계획을 평가하기 위한 새로운 실행 측정이 특징이다.
(1) 역추적 모델(Traceback Model)
역추적은 클라이언트 혼동과 고유한 핑거 흔적으로 두 가지 기본 부분으로 구성된다.
d개의 개별 라우터 간에는 침입자와 피해자 사이에 직접적인 경로가 있다고 가정한다.
Ri 라우터는 패킷을 표시하고, 다른 라우터가 라벨이 지정된 패킷을 다시 사용하지 않을 가능성을 계산한다.
도 2에 도시된 바와 같이, R1 라우터는 하나의 패킷에 표시하면, 다른 라우터에 의해 표시되지 않을 확률은
Figure pat00001
이다.
해시값은 8개의 개별 조각으로 나누고, 그 중 하나를 무작위로 전송한다.
따라서, 마킹된 패킷의 생성 확률은 P/8이다. 하나의 표시가 생성되고, 다른 라우터가 표시를 사용하지 않을 확률(
Figure pat00002
)은 다음의 수학식 1과 같다.
Figure pat00003
2개 이상의 표시된 패킷이 8개의 개별 조각의 세트로 에지(ei)에 도착할 확률(Pr(ei))은 다음의 수학식 2와 같다.
Figure pat00004
여기서, N은 패킷의 개수,
Figure pat00005
은 하나의 표시된 패킷의 도착 확률,
Figure pat00006
은 표시된 패킷이 수집기에 도달하지 않을 확률이다.
1에서 두 값을 빼면, 두 개 이상의 표시된 패킷이 수집기에 도착할 확률을 계산할 수 있다.
역추적(Traceback)을 위해 필요한 8개의 세그먼트가 필요하기 때문에 8번의 전력을 상승시킨다. 예를 들어, 각 공격자가 초당 25개의 패킷을 전송한다고 가정한다. 그런 다음, 역추적 시간은 A1, A2, A3, A4에 대해 발견 확률이 95%에 도달하는데 65초가 걸린다.
(2) 입력 필터링을 위한 클라이언트 퍼즐(Client Puzzle)
라우터가 입력을 통해 전달되는 잘못된 IP 소스 주소 또는 위조된 IP 소스 주소로 인해 발생하는 문제를 줄이기 위해 유니캐스트 역방향 경로 전달(Unicast Reverse Path Forwarding, RPF) 기능을 제공한다.
입력 필터링의 개념은 클라이언트 인터페이스에서 유니캐스트 RPF가 활성화되면, 입력 라우터(120)가 입력으로 수신된 모든 패킷을 확인하여 클라이언트(110) 및 클라이언트 인터페이스가 라우팅 테이블에 표시하고, 수신된 인터페이스와 일치하는지 확인한다.
유니캐스트 RPF는 라우터 인터페이스에서 수신된 패킷이 최상의 반환 경로 중 하나에 있는 패킷의 소스에 도달하는지 확인한다.
패킷이 최상의 역방향 경로 중 하나에서 수신되면, 평소와 같이 패킷을 서버(140)로 전송한다. 동일한 인터페이스 상에서 패킷이 수신되면, 역방향 경로에 라우터가 없는 경우, 클라이언트 주소를 변경하거나 위조할 수 있다.
유니캐스트 RPF가 역방향 경로를 찾지 못하면 패킷이 삭제된다.
본 발명은 입력 필터링 옵션을 개선하기 위하여 입력 라우터(120)에 클라이언트 퍼즐 개념을 도입하였다.
클라이언트 퍼즐은 전략에 따라 입력 라우터(120) 또는 입력 스위치로 전송될 수 있다.
클라이언트(110)가 패킷을 전송할 때, 쿠키가 연결되고, 타임스탬프(Timestamp)가 표시된다.
서버(140)는 퍼즐, 서버 임시값, 생존하는 퍼즐 시간 및 스트림 식별자에 가까운 퍼즐과 해답을 제공한다.
그런 다음, 서버(140)는 퍼즐과 해당 매개변수, 플로우 식별자, 서버 시간, 퍼즐의 성숙도 및 경과 시간을 클라이언트(110), 서버(140) 및 클라이언트 쿠키로 다시 보낸다.
클라이언트(110)는 퍼즐 후에 계약을 찾고 서버(140)의 진단에 응답한다. 이러한 메시지를 받은 서버(140)는 서버 타임스탬프를 사용하여 서버(140)의 임시 테이블에 기록하고, 임시 테이블에 기록이 완료되지 않았는지 판단하고, 해시를 검색하여 클라이언트(110)가 보낸 것과 구분하여 응답을 확인한다.
올바른 해답이 주어지면, 서버(140)는 패킷을 수락한다. 해시 반전 퍼즐은 고객에게 해답이 어디에 있는지에 대한 아이디어를 제공하는 표시를 포함하여 고객이 단독 해시 반전과 혼동되는 세분화된 퍼즐을 전달하는데 사용된다.
퍼즐의 난이도를 변경하기 위해서는 단서(힌트)의 정확도를 높이거나 낮출 수 있다.
퍼즐은 요새(Bastion)라는 인증 섹션으로 구성된다.
임의로 생성된 숫자 "x"가 해시 h(x) 입력으로 사용된다고 가정한다.
O(D)로 퍼즐을 만들기 위해서는 보증인이 해시와 h(x) 및 you(0,D)를 고객으로 전달한다.
you(0,D)은 항상 임의로 선택된 숫자를 0와 D의 주위에 순환시킨다. 입력 라우터(120)에서 클라이언트 퍼즐 개념이 배포되어 네트워크 트래픽이 감소한다.
클라이언트(110)는 클라이언트 퍼즐을 해결한 후, 클라이언트 퍼즐에 대한 해답을 생성하여 입력 라우터(120)를 통해 서버(140)로 전송한다.
x값은 퍼즐이 풀렸는지 안풀렸는지 여부에 따라 구해진다. 입력 라우터(120)는 클라이언트 퍼즐이 해결되면, 패킷 전송 요청이 서버(140)로 전달되고, 그렇지 않으면, 악의적인 것으로 간주되어 패킷이 삭제된다.
클라이언트(110)는 퍼즐과 관련된 서버 쿠키에 해답을 제출해야 한다. 정확히 말하면, 서버(140)는 타임스탬프를 사용하여 임시 테이블에 해답을 관련 임시값으로 기록하고, 관련 임시값(Nonce)과 클라이언트(110)의 배열에 대한 해시를 표시하고, 서버 쿠키가 더 쉽게 만들어졌는지 확인한다.
퍼즐을 이해하는 클라이언트(110)는 서버(140)에 대한 최상의 접근을 허용하고, 퍼즐을 이해하지 못하는 클라이언트(110)는 악성으로 간주하여 패킷을 폐기한다.
(3) 출력 필터링을 위한 경로 지문(Path Fingerprint)
클라이언트 시스템에서는 인터넷에서 허용되는 활동을 제어하기 위해 인바운드 액세스 원칙을 만드는 것이 표준이다.
클라이언트 시스템에서는 할당된 IP 주소 공간만으로 패킷이 나가도록 하는 방법 중에 클라이언트 출발 스위치에 아웃 바운드 채널을 설정하는 방법이 있다.
본 발명은 출력 라우터(130)를 위한 아웃바운드 필터링 옵션을 제공한다.
경로 지문은 서버(140)에 도달해야 하는 출력 라우터(130) 상에 위치한다.
각 IP 패킷은 비정상적으로 고유한 경로 지문을 IP 패킷에 포함시키고, 가짜 지문 IP 패킷은 악성 패킷으로 간주된다.
IP 패킷의 탐색에서 고유한 지문을 생성하기 위해서는 각 참여 스위치가 각 프레임 인터페이스에 n 비트 자체 보증 번호를 할당하고, 이러한 번호를 안전하게 유지한다.
IP 패킷을 표시하는 고유한 방법은 d 비트 제거 필드(교차 전환 스위치 수량)와 n 비트 구별 증명 필드(탐색된 시스템 데이터와 불규칙한 숫자에서 얻은 식별자)의 2개의 필드로 구성된다.
IP 패킷의 고유한 표시는 IP 패킷의 헤더에 배치되어 패킷 옆의 대상으로 전달된다. IP 패킷의 고유한 지문은 IP 패킷이 헤더에 배치되고, 패킷과 함께 대상으로 전달된다.
출력 라우터(130)가 IP 패킷을 수신하면, 먼저 파티션 필드를 검사한다. respect가 0이면, Tolerant 라우터는 대기하고, 패킷 수신 경험이 있는 Intrigue 라우터로 대체된다.
Tolerant 라우터는 분리 필드를 1로 설정하고, ID 필드를 패킷 인터페이스 이동에 연결된 자체 보증 번호로 지운다.
분리 필드가 0이 아닌 고려 사항(Consideration)으로 시작하는 경우, 1만큼 확장되고, 인식 가능한 증거 필드를 H(PID, Ni)로 재설계한다. 여기서, PID는 패킷의 경로 표시 필드에 대한 현재 추정치를 나타내고, Ni는 반대로 접근하는 약한 충격의 임의의 개수를 의미한다.
본 발명에서 사용한 이상적인 지문 크기는 no of hop이 3비트와, pid가 6비트이다.
각 IP 헤더는 경로 지문을 제거할 수 있는 공간이 있는 16비트 증명 필드가 있다. 이러한 16비트는 2개의 필드로 나누어진다.
하나는 5비트로 별도의 추정치를 저장하는데 사용되고, 나머지 비트는 PID 고려 사항(Consideration)을 저장하는데 사용된다.
주 라우터 R1은 분리 필드를 1로 설정하고, 기본 PID를 이동 인터페이스의 임의의 숫자, 즉, N1으로 설정한다.
각 라우터는 분리 필드를 증가시키고, PID 필드를 업데이트한다. 이와 같이, 과거 PID 고려 사항(Consideration)과 현재 접근하는 인터페이스의 불규칙 숫자에서 알 수 있다. H는 해시 작업을 수행함을 나타낸다.
R은 클라이언트(110)에 의해 송신되는 유입 IP 패킷이다.
도 3에 도시된 바와 같이, R.dist와 R.pid는 각각 패킷 R에서 거리 표시 필드와 경로 표시 필드를 나타낸다. Ni는 유입 인터페이스인 R과 관련된 랜덤 번호이다.
출력 라우터(130)에서 유입 패킷 R을 업데이트하는 방법은 다음과 같다.
출력 라우터(130)는 최초 R.dist의 값을 0으로 초기화하고, R.dist + 1을 R.dist의 값으로 계산하고, H(R,pid, Ni)이 R.pid의 값으로 계산된다.
경로 지문을 생성하는 과정은 다음의 알고리즘 1과 같다.
Figure pat00007
(4) 경로 전달 테이블 업데이트
본 발명은 SIPF(Source Initiated Path Forwarding) 방법을 구현한다. IP 패킷 소스는 먼저 SIPF 테이블을 업데이트하고, 이는 경로의 다음 라우터로 전달된다.
SIPF 테이블은 악성 패킷을 식별하고 처리하는데 사용된다. SIPF 테이블은 특히, IP, Pid, Counter의 3개 필드가 포함되어 있다.
여기서, IP는 서로 다른 클라이언트(소스)(110)의 IP 주소이고, Pid는 지문의 고유한 표시이고, 카운터는 서버(140)에서 사라지는 특정한 클라이언트(110)의 번호를 나타낸다.
동적 제어(라우팅)로 인해 웹의 토폴로지 또는 웹 방식이 변경되면, SIPF 테이블이 생성되고, 해당 항목이 업그레이드된다.
카운터 값은 SIPF를 저장하는데 사용할 수 있는 데이터베이스를 기반으로 확장(또는 축소)할 수 있다.
목적지가 또 다른 IP 주소에서 IP 패킷을 수신하면, 테이블을 다른 세그먼트에 추가할 수 있다.
따라서, SIPF는 적당한 비율의 제한만 필요하고, 이상적인 개방 진입을 감소시킨다고 할 수 있다.
ICMP ECHO 요청 메시지는 명시적 IP 소스 주소의 트랙 지문을 명확하게 검사한다. 목적지는 SIPF 테이블에 다른 IP 주소를 입력하기 전에 ICMP ECHO 요청을 클라이언트(110)의 IP 주소로 보내야 한다. 한편, 반환된 ICMP ECHO 응답 메시지에서 사용할 수 있는 예외적인 검사는 해당 IP 주소에 대한 미래 지향적인 인상으로 모니터링한다.
특정 IP 주소의 경로 지문을 검사하는 주된 이유는 2가지이다. 먼저, 첫 번째는 IP 패킷에 새로운 IP 주소를 추가해야 하고, 두 번째는 SIPF 테이블의 세그먼트를 업그레드 하라는 지시들이다.
다른 클라이언트가 도착할 때, 필수적인 상황을 고려하면, SIPF 테이블은 가능한 모든 IP의 매핑을 의무화 할 수 없다. 기존 SIPF 테이블을 다른 것으로 대체하는 경향이 있는 것은 기본적인 문제와 유사하다.
따라서, 테이블이 꽉 찬 경우, 테이블의 통로를 대체하기 위한 대체 계산이 필요하다. 대체 계산은 가장 자주 사용하는 계산이다.
테이블이 가득차면, IP 패킷 세그먼트를 향해 새로운 푸쉬에 의해 클라이언트(Source)(110)의 IP 주소가 제거된다.
SIPF 테이블에 허용되는 항목의 수는 관리자 또는 웹 서버의 임원이 결정한다.
SIPF 테이블이 꽉 찼을 때, SIPF 테이블의 현재 항목은 다음과 같은 MFU 알고리즘 2에 의해 새로운 출시(Debuts)로 대체된다.
SIPF 테이블의 업데이트하는 과정은 다음의 알고리즘 2와 같다.
Figure pat00008
R은 유입 패킷, T는 스케줄링 큐(Scheduling Queue)를 나타낸다.
패킷의 헤더에 저장된 정보는 R.ip와 R.pf를 포함한다.
R.ip는 클라이언트(110)의 IP 주소이고, R.pf는 경로 지문을 나타낸다.
ICMP.addr은 새로운 유입 패킷의 ICMP(Internet Control Message Protocol) Echo 요청의 값을 나타낸다.
ICMP는 인터넷 프로토콜 모음 중 하나로 IP 동작에서 네트워크 진단이나 제어 목적으로 사용되고, 네트워크 상에서 오류가 발생했을 때 이에 대한 응답으로 만들어져 오류가 발생한 패킷을 보낸 IP 주소로 전송한다.
서버(140)는 R.pf = SIPF.pf가 되는지 판단하고, SIPF.counter > 35인 경우, SIPF 테이블로부터 엔트리를 삭제하고, 스케줄링 큐 T의 끝단으로 패킷을 이동한다.
R.pf = SIPF.pf는 유입되는 패킷과 동일한 데이터가 SIPF 테이블에 포함되는 경우이다.
서버(140)는 SIPF.counter > 35인 아니라고 판단하는 경우, SIPF.counter = SIPF.counter + 1을 수행한다.
서버(140)는 R.pf = SIPF.pf가 아니라고 판단하는 경우, ICMP echo 요청 메시지를 생성하여 클라이언트(110)로 전송한다.
서버(140)는 R.pf = SIPF.pf가 아닌 경우 ICMP echo 요청 메시지를 생성하여 클라이언트(110)로 전송하고, ICMP.pf! = IP.pf인 경우, SIPF 테이블에 새로운 R.ip와 R.pf를 업데이트하며, SIPF.counter를 1로 설정한다.
서버(140)는 R.pf = SIPF.pf가 아닌 경우 ICMP echo 요청 메시지를 생성하여 클라이언트(110)로 전송하고, ICMP.pf! = IP.pf가 아닌 경우, SIPF 테이블에서 가짜 패킷으로 표시한 후 가짜 패킷을 폐기한다.
(5) 양자 어닐링(Quantum Annealing) 방법
서버(140)에서는 양자 어닐링 방법을 최적화 프로세스의 일부로 사용된다.
양자 어닐링(Quantum Annealing) 방법은 경로 지문 필터링을 수행한 후, 서버(140)로 유입되는 패킷에서 최소 솔루션 세트를 찾는데 사용된다. 양자 어닐링 방법은 패킷의 최소 솔루션 세트를 찾는 공지된 기술일 수 있다.
양자 어닐링 방법은 양자 변동을 사용하는 프로세스에 의해 주어진 후보 솔루션 세트에 대해 주어진 가설 함수의 전역 최소값을 찾기위한 메타 휴리스틱이다.
양자 어닐링은 동일한 무게로 모든 후보 상태의 양자 기계적 중첩을 시작한다. 모든 상태의 크기는 일정 시간이 지난 후에도 계속적으로 변경되어 서로 다른 상태 간에 양자 터널링이 발생한다.
샘플 공간은 다음은 수학식 3과 같이 표현된다.
Figure pat00009
여기서, "a"는 원자이고, 테스트 공간에서 원자들의 개수는 솔루션(Solution)을 형성한다.
솔루션의 개수는 다음의 수학식 4와 같다.
Figure pat00010
여기서, n은 노드의 수이고, r은 악성 반응의 수이다. 원자는 네트워크의 패킷을 나타내고, 공간은 네트워크 영역을 나타낸다.
접근 가능한 전략은 작은 솔루션 세트에만 활용된다. 즉, 방대한 솔루션 세트를 준비할 수 없기 때문에 양자 어닐링 기술에 대해 발전할 수 있다.
가설 함수(Hypothesis Function)는 다음의 수학식 5와 같다.
Figure pat00011
주어진 가설 함수에서 허브가 악성으로 작동할 확률을 평가한다. 허브가 악성으로 진행될 확률값(p)은 다음의 수학식 6에 의해 계산된다.
Figure pat00012
여기서, Ni는 노드로 들어오는 패킷의 수이고, If는 유입되는 플로우의 합계이다. 이러한 매개 변수는 패킷이 악성인지 여부를 테스트하는데 사용되고, 악성 노드가 네트워크에서 삭제되었는지 테스트하는데 사용된다.
허브가 악성으로 진행될 확률값(p)은 양자 어닐링의 입력으로 주어지고, 이는 차례로 샘플 공간을 생성한다.
원자들은 솔루션을 위해 만들어진다.
모든 반복에 대해서 가설 함수의 목적값은 다음과 같이 확인한다.
생성된 양자가 최상의 솔루션을 제공할 가능성이 없는 경우, 다음의 반복이 이미 생성된 솔루션으로 선행된다.
현재의 원자가 이상적일 가능성이 있는 경우, 솔루션의 개별 원자가 최상의 솔루션으로 승인된다.
더 나은 기회가 생기면, 다음 반복이 현재 솔루션으로 다시 만들어진다.
가장 극적인 반복에 도달하거나 가설 함수의 목적값이 0이 되는 최종 측정값이 충족될 때가지 유사한 절차가 반복된다.
반복이 종료되면, 최종 솔루션이 악성 패킷을 구별하기 위한 최상의 답변으로 선택된다. 원자에 기록된 패킷은 악성 패킷으로 대표되고, 이러한 패킷은 시스템으로부터 제거된다. 양자 어닐링 기반 최적화 프로세스는 하기의 알고리즘 3에서 설명된다.
Figure pat00013
n은 노드들의 수이고, r은 악성 노드들의 수, i=0으로 가정한다(step 1).
서버(140)는 공격 패킷을 감지하기 위한 양자 원자를 계산할 수 있다.
서버(140)는 수학식 5를 이용하여 가설함수를 계산하고(step 2), 수학식 6을 이용하여 확률값을 계산할 수 있다(step 3).
서버(140)는 수학식 1과 수학식 2를 이용하여 샘플 공간에서 원자들의 개수와 목적값(Objective Value, ov)을 계산할 수 있다(step 4).
서버(140)는 i<=N 또는 ovi가 ovi-1가 될때 까지 반복한다(step 5).
서버(140)는 각 양자 원자를 발생하고, 원자들의 최상의 조합을 선택한다(step 6).
서버(140)는 목적값을 전류 양자와 생성된 양자를 위해서 계산한다(step 7).
서버(140)는 양자가 최상의 솔루션으로 발생되는 경우, i = i+1과 발생된 솔루션을 가지고 step 5로 진행한다(step 8).
서버(140)는 양자가 최상의 솔루션이 아니고, 전류 원자가 최상인 경우, i = i+1과 솔루션에서 개인 원자들을 가지고 step 5로 진행한다(step 9).
서버(140)는 양자가 최상의 솔루션이 아니고, 전류 솔루션이 최상인 경우, i = i+1과 전류 솔루션을 가지고 step 5로 진행한다(step 10).
서버(140)는 솔루션(ovi)이 DDos 공격을 감지하는 최상의 솔루션을 찾아낸다.
도 4는 본 발명의 실시예에 따른 IP 역추적 분석을 통한 공격 패킷 감지 방법을 설명하기 위한 도면이다.
전술한 (2) 입력 필터링을 위한 클라이언트 퍼즐(Client Puzzle), (3) 출력 필터링을 위한 경로 지문(Path Fingerprint), (4) 경로 전달 테이블 업데이트, (5) 양자 어닐링(Quantum Annealing) 방법을 사용하여 공격 패킷을 감지하는 방법을 설명한다.
클라이언트(110)는 패킷을 전송하기 위한 패킷 요청 메시지를 생성한다(S100).
입력 라우터(120)는 패킷을 요청한 클라이언트(110)에 클라이언트 퍼즐을 수행한 후(S101), 클라이언트 퍼즐에 대한 해답이 일치하는지 판단하고(S102), 일치하는 경우, 서버(140)로 패킷을 전송하고(S103), 해답이 일치하지 않는 경우, 유입되는 패킷을 제거한다(S104).
출력 라우터(130)는 유입되는 패킷의 헤더에 경로 지문을 포함시키고, 각 홉(hop)마다 경로 지문을 업데이트시킨다(S105).
서버(140)는 유입되는 패킷과 동일한 데이터가 SIPF 테이블에 존재하는지 비교하고, 경로 지문이 SIPF 테이블에 존재 여부에 따라 합법적인 패킷인지 판단한다(S106, S107). 경로 지문이 SIPF 테이블에 존재하면, 합법적인 패킷이다.
서버(140)에서 합법적인 패킷인지 판단하는 과정은 전술한 SIPF 테이블의 업데이트하는 과정을 나타낸다.
서버(140)는 유입되는 패킷이 합법적인 패킷이 아닌 악성 패킷인 경우, 폐기하고(S108), 유입되는 패킷이 합법적인 패킷인 경우, 패킷을 양자 어닐링 프로세스로 전송한다(S109).
서버(140)는 양자 어닐링 프로세스를 수행하여 유입되는 패킷이 DDos 공격 패킷인지 판단하고(S110), DDos 공격 패킷인 경우, 패킷을 폐기하고(S111), DDos 공격 패킷이 아닌 경우, 서비스 요청을 수행한다(S112).
이상에서 본 발명의 실시예는 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100: 공격 패킷 감지 시스템
110: 클라이언트
120: 입력 라우터
130: 출력 라우터
140: 서버

Claims (9)

  1. 인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 입력 라우터; 및
    상기 클라이언트의 IP 주소와 해당 경로 지문을 매핑 테이블에 저장하고, 유입되는 패킷과 동일한 데이터가 상기 매핑 테이블에 포함되는 경우, 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 서버를 포함하고, 상기 클라이언트는 상기 입력 라우터와 연동하여 상기 클라이언트 퍼즐이 해결되면 송신하고자 하는 패킷이 상기 서버로 전달되는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
  2. 청구항 1에 있어서,
    상기 클라이언트는 상기 클라이언트 퍼즐을 해결한 후, 상기 클라이언트 퍼즐에 대한 해답을 생성하여 상기 입력 라우터를 통해 상기 서버로 전송하고,
    상기 입력 라우터는 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 상기 패킷을 상기 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하며,
    상기 서버는 타임스탬프를 사용하여 임시 테이블에 상기 해답을 관련 임시값으로 기록하고, 상기 관련 임시값과 상기 클라이언트의 배열에 대한 해시를 표시하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
  3. 청구항 1에 있어서,
    상기 입력 라우터로부터 패킷을 수신하고, 상기 패킷의 헤더에 고유한 경로 지문을 포함시키고, 상기 패킷을 상기 서버로 전송하는 출력 라우터를 더 포함하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
  4. 청구항 3에 있어서,
    상기 출력 라우터는 상기 클라이언트에 의해 송신되는 유입 IP 패킷 R에서 거리 표시 필드(R.dist)와 경로 표시 필드(R.pid)로 이루어진 상기 경로 지문을 생성하고, 최초 R.dist의 값을 0으로 초기화하고, R.dist + 1을 상기 R.dist의 값으로 계산하고, 해시 작업을 수행하는 H(R,pid, Ni)가 상기 R.pid의 값으로 계산하여 상기 유입 IP 패킷 R을 각 홉(hop)마다 업데이트하고, 상기 Ni는 유입 인터페이스인 상기 R과 관련된 랜덤 번호인 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
  5. 청구항 1에 있어서,
    상기 매핑 테이블은 악성 패킷을 식별하고 처리에 사용되는 SIPF(Source Initiated Path Forwarding) 테이블로 서로 다른 클라이언트의 주소인 IP, 지문의 고유한 표시인 Pid, 서버에서 사라지는 특정한 클라이언트의 번호인 Counter의 3개 필드가 포함되고,
    상기 유입되는 패킷의 헤더에는 클라이언트의 IP 주소(R.ip)와 경로 지문(R.pf)을 포함하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
  6. 청구항 5에 있어서,
    상기 서버는 상기 유입되는 패킷의 헤더에서 상기 경로 지문을 추출하고, 상기 추출한 경로 지문이 상기 SIPF 테이블에 동일한 데이터가 있는지 판단하고, 외부 네트워크로 상기 유입되는 패킷을 전송하고, 상기 추출한 경로 지문이 상기 SIPF 테이블에 동일한 데이터가 아니라고 판단하면, ICMP(Internet Control Message Protocol) echo 요청 메시지를 생성하여 상기 클라이언트로 전송하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
  7. 청구항 1에 있어서,
    상기 서버는 상기 유입되는 패킷이 악성 패킷으로 진행될 확률값을 하기의 수학식 1에 의해 계산되고, 상기 확률값을 하기의 가설 함수(Hypothesis Function, hp)의 입력으로 제공하여 상기 가설 함수의 목적값이 0이 되는 최종 측정값이 충족될 때까지 반복하여 해당 패킷이 악성으로 작동할 확률을 평가하는 IP 역추적 분석을 통한 공격 패킷 감지 시스템.
    [수학식 1]
    Figure pat00014

    여기서, Ni는 노드로 들어오는 패킷의 수이고, If는 유입되는 플로우의 합계임.
    [수학식 2]
    Figure pat00015
  8. 입력 라우터에서 인증 섹션으로 구성된 클라이언트 퍼즐(Client Puzzle)을 클라이언트에 설정하는 단계;
    상기 입력 라우터는 상기 클라이언트로부터 상기 클라이언트 퍼즐을 해결한 해답을 수신하고, 상기 해답에 따라 상기 클라이언트 퍼즐이 풀렸다면, 상기 패킷을 상기 서버로 전송하고, 상기 클라이언트 퍼즐이 풀리지 않은 경우, 상기 패킷을 삭제하는 단계;
    상기 입력 라우터에 연결된 출력 라우터는 상기 입력 라우터로부터 패킷을 수신하고, 상기 수신한 패킷의 헤더에 고유한 경로 지문을 포함시키는 단계;
    서버에서 유입되는 패킷의 경로 지문과 동일한 데이터가 매핑 테이블에 존재하는지 비교하여 상기 경로 지문이 상기 매핑 테이블에 존재하는 경우 합법적인 패킷으로 판단하는 단계; 및
    상기 서버는 상기 유입되는 패킷에 양자 어닐링 프로세스를 수행하고, 상기 양자 어닐링된 패킷을 악성 패킷으로 판단하여 상기 매핑 테이블에서 삭제하는 단계를 포함하는 IP 역추적 분석을 통한 공격 패킷 감지 방법.
  9. 청구항 8에 있어서,
    상기 서버는 상기 유입되는 패킷이 악성 패킷으로 진행될 확률값을 하기의 수학식 1에 의해 계산되고, 상기 확률값을 하기의 가설 함수(Hypothesis Function, hp)의 입력으로 제공하여 상기 가설 함수의 목적값이 0이 되는 최종 측정값이 충족될 때까지 반복하여 해당 패킷이 악성으로 작동할 확률을 평가하는 IP 역추적 분석을 통한 공격 패킷 감지 방법.
    [수학식 1]
    Figure pat00016

    여기서, Ni는 노드로 들어오는 패킷의 수이고, If는 유입되는 플로우의 합계임.
    [수학식 2]
    Figure pat00017
KR1020210012411A 2021-01-28 2021-01-28 Ip 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법 KR102536957B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210012411A KR102536957B1 (ko) 2021-01-28 2021-01-28 Ip 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210012411A KR102536957B1 (ko) 2021-01-28 2021-01-28 Ip 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20220109125A true KR20220109125A (ko) 2022-08-04
KR102536957B1 KR102536957B1 (ko) 2023-05-26

Family

ID=82837179

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210012411A KR102536957B1 (ko) 2021-01-28 2021-01-28 Ip 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102536957B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100858271B1 (ko) 2007-11-27 2008-09-11 주식회사 나우콤 분산서비스거부공격 차단장치 및 그 방법
KR20110040152A (ko) * 2009-10-13 2011-04-20 한국전자통신연구원 공격자 패킷 역추적 방법 및 이를 위한 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100858271B1 (ko) 2007-11-27 2008-09-11 주식회사 나우콤 분산서비스거부공격 차단장치 및 그 방법
KR20110040152A (ko) * 2009-10-13 2011-04-20 한국전자통신연구원 공격자 패킷 역추적 방법 및 이를 위한 시스템

Also Published As

Publication number Publication date
KR102536957B1 (ko) 2023-05-26

Similar Documents

Publication Publication Date Title
US8397284B2 (en) Detection of distributed denial of service attacks in autonomous system domains
Zheng et al. A light-weight distributed scheme for detecting IP prefix hijacks in real-time
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US7565426B2 (en) Mechanism for tracing back anonymous network flows in autonomous systems
CN106961387B (zh) 一种基于转发路径自迁移的链路型DDoS防御方法及系统
US7898966B1 (en) Discard interface for diffusing network attacks
JP2008523769A (ja) アドホックネットワークのための軽いパケット廃棄検出
Sung et al. Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation
WO2016191486A1 (en) Detection of malware and malicious applications
Law et al. You can run, but you can't hide: an effective statistical methodology to trace back DDoS attackers
CN111953552B (zh) 数据流的分类方法和报文转发设备
Karlin et al. Nation-state routing: Censorship, wiretapping, and BGP
Marder APPLE: Alias pruning by path length estimation
Zhang et al. Onis: Inferring tcp/ip-based trust relationships completely off-path
US7854003B1 (en) Method and system for aggregating algorithms for detecting linked interactive network connections
Vermeulen et al. Alias resolution based on ICMP rate limiting
Wong et al. Truth in advertising: Lightweight verification of route integrity
KR102149531B1 (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
US7035934B1 (en) System and method for improving traffic analysis and network modeling
JP2022515990A (ja) 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法
Nur et al. Single packet AS traceback against DoS attacks
Praveena et al. Hybrid approach for IP traceback analysis in wireless networks
KR102536957B1 (ko) Ip 역추적 분석을 통한 공격 패킷 감지 시스템 및 방법
Chonka et al. Detecting and tracing DDoS attacks by intelligent decision prototype
Su et al. Privacy preserving IP traceback

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant