KR20230017590A - Method for blocking DDoS traffic for subscriber network - Google Patents

Method for blocking DDoS traffic for subscriber network Download PDF

Info

Publication number
KR20230017590A
KR20230017590A KR1020210099271A KR20210099271A KR20230017590A KR 20230017590 A KR20230017590 A KR 20230017590A KR 1020210099271 A KR1020210099271 A KR 1020210099271A KR 20210099271 A KR20210099271 A KR 20210099271A KR 20230017590 A KR20230017590 A KR 20230017590A
Authority
KR
South Korea
Prior art keywords
traffic
ddos
subscriber network
blocking
ddos attack
Prior art date
Application number
KR1020210099271A
Other languages
Korean (ko)
Inventor
이경주
강광훈
심동석
최재성
최정기
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020210099271A priority Critical patent/KR20230017590A/en
Publication of KR20230017590A publication Critical patent/KR20230017590A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a method for blocking distributed denial of service (DDoS) traffic in a subscriber network, which can automatically detect a DDoS attack in the subscriber network and transmit a notification to an operator. According to one embodiment of the present invention, the method for blocking DDoS traffic in a subscriber network comprises the steps of: analyzing traffic flowing into the subscriber network to determine whether there is a DDoS attack; if it is determined that there is a DDoS attack is, sending an alert message to an operator; and upon receiving instructions from the operator to apply a blocking policy for the DDoS attack, generating the blocking policy and applying the same to an R2 router in the subscriber network. In the method, the blocking policy may involve specifying a target IP addresses to be blocked which transmits the DDoS traffic, and notifying a backbone network connected to the subscriber network of the target IP address to be blocked by using a border gateway protocol (BGP).

Description

가입자 네트워크의 DDoS 트래픽 차단방법 {Method for blocking DDoS traffic for subscriber network}Method for blocking DDoS traffic for subscriber network}

본 발명은 좀비 PC 등에 의한 DDoS 트래픽을 효과적으로 우회 격리시킴으로써, 인터넷 서비스를 안정적으로 제공할 수 있는 가입자 네트워크의 DDoS 트래픽 차단방법에 관한 것이다. The present invention relates to a method for blocking DDoS traffic in a subscriber network capable of stably providing Internet services by effectively bypassing and isolating DDoS traffic caused by zombie PCs.

최근 인터넷을 통한 악성 소프트웨어의 전염 경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door)등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.Recently, transmission routes of malicious software through the Internet have been diversified, and the degree of damage caused by them is increasing every year. Malicious code refers to software intentionally designed to perform malicious activities, such as destroying a system or leaking information, against the user's will and interests. The types of malicious code include viruses, worms, trojans, backdoors, logic bombs, trap doors, hacking tools, and malicious spyware ( spyware, ad-ware, etc. They are equipped with self-replicating or automatic breeding functions, leaking personal information such as user ID and password, controlling the target system, deleting/changing files/destroying the system, denying application/system service, leaking core data, installing other hacking programs, etc. cause problems, and the damage is very diverse and serious.

이러한 악성 소프트웨어 또는 악성 코드로 인한 피해로 최근에는 DDoS (Distribute Denial of Service)에 의한 피해가 심각하게 대두되고 있다. 이는 해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 서비스 거부 공격(Denial of Service attack;DoS)을 함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 것을 말한다.Due to damage caused by such malicious software or malicious code, damage caused by DDoS (Distributed Denial of Service) has recently emerged as a serious problem. This is one of the hacking methods, and refers to making the system no longer able to provide normal services by distributing and arranging several attackers to simultaneously perform a denial of service attack (DoS).

기존에는 DDoS 공격 발생시 가입자 네트워크의 운용자가 직접 DDoS 트래픽 정보를 확인하여 차단정책을 생성하고, 라우터에 이를 직접 적용함으로써, 가입자 네트워크에 연결된 백본 네트워크에서 DDoS 트래픽을 필터링처리하도록 하였다. 그러나, 이 경우 가입자 네트워크의 운용자가 트래픽을 분석하여 공격성 트래픽 정보를 추출하기 번거롭고 어려운 문제점이 있으며, 운용자가 직접 라우터 등의 장비에 접속하여 설정정보를 입력해하는 점에서도 어려움이 존재한다. Conventionally, when a DDoS attack occurs, the operator of the subscriber network directly checks the DDoS traffic information, creates a blocking policy, and directly applies it to the router so that the DDoS traffic is filtered in the backbone network connected to the subscriber network. However, in this case, there is a problem in that it is cumbersome and difficult for the operator of the subscriber network to analyze the traffic and extract aggressive traffic information, and there is also difficulty in that the operator directly accesses equipment such as a router and inputs setting information.

등록특허공보 제10-0973076호Registered Patent Publication No. 10-0973076

본 발명은, 가입자 네트워크에 발생하는 DDoS 공격을 자동으로 감지하여, 운용자에게 알람메시지를 전송할 수 있는 가입자 네트워크의 DDoS 트래픽 차단방법을 제공하기 위한 것이다.The present invention is to provide a method for blocking DDoS traffic in a subscriber network, which can automatically detect a DDoS attack occurring in a subscriber network and send an alarm message to an operator.

본 발명은, 백본 네트워크에서 수집한 좀비 PC들의 정보를 이용하여, DDoS 트래픽을 자동으로 차단할 수 있는 가입자 네트워크의 DDoS 트래픽 차단방법을 제공하기 위한 것이다.The present invention is to provide a method for blocking DDoS traffic in a subscriber network capable of automatically blocking DDoS traffic using information of zombie PCs collected from a backbone network.

본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법은, 분석서버를 이용한 가입자 네트워크의 DDoS 트래픽 차단방법에 관한 것으로, 상기 가입자 네트워크로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별하는 단계; 상기 DDoS 공격으로 판별되면, 운용자에게 알람메시지를 전송하는 단계; 및 상기 운용자로부터 상기 DDoS 공격에 대한 차단정책의 적용을 지시받으면, 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함할 수 있다. 여기서, 상기 차단정책은 DDoS 트래픽을 전송하는 차단대상 IP를 특정하고, BGP 프로토콜을 이용하여 상기 가입자 네트워크에 연결된 백본 네트워크로 상기 차단대상 IP를 광고하는 것일 수 있다. A method for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention relates to a method for blocking DDoS traffic in a subscriber network using an analysis server, which analyzes traffic flowing into the subscriber network to determine whether a DDoS attack has occurred. step; If it is determined that the DDoS attack, sending an alarm message to the operator; and generating a blocking policy and applying the blocking policy to the R2 router of the subscriber network when receiving an instruction from the operator to apply the blocking policy to the DDoS attack. Here, the blocking policy may be to specify an IP to be blocked that transmits DDoS traffic, and to advertise the IP to be blocked to a backbone network connected to the subscriber network using a BGP protocol.

여기서 상기 DDoS 공격의 발생여부를 판별하는 단계는, 상기 R2 라우터의 업링크 인입 트래픽의 점유율이 임계치 이상이고, 트래픽들의 목적지별 점유율 중 특정 목적지의 점유율이 설정값 이상이면, 상기 DDoS 공격이 발생한 것으로 판별할 수 있다. Here, in the step of determining whether the DDoS attack has occurred, if the share of uplink incoming traffic of the R2 router is greater than a threshold value and the share of a specific destination among the share of traffic by destination is greater than or equal to a set value, it is determined that the DDoS attack has occurred. can be identified.

여기서 상기 알람메시지는, 상기 DDoS 공격에 의한 DDoS 트래픽이 유입되는 목적지 IP와, 상기 목적지 IP에 대한 각각의 메타정보를 포함하는 것일 수 있다. Here, the alarm message may include a destination IP to which the DDoS traffic due to the DDoS attack flows, and respective meta information about the destination IP.

여기서 상기 DDoS 공격의 발생여부를 판별하는 단계는, 상기 가입자 네트워크에 연결된 백본 네트워크의 트래픽 분석장치로부터, DDoS 공격에 활용된 좀비 PC의 IP 리스트를 실시간 또는 주기적으로 제공받는 단계; 상기 좀비 PC의 IP 리스트를 활용하여 생성한 학습데이터로 판별모델을 학습하는 단계; 및 상기 판별모델에 상기 가입자 네트워크로 유입되는 트래픽을 적용하여 DDoS 공격의 발생여부를 판별하는 단계를 포함할 수 있다. Here, the step of determining whether the DDoS attack has occurred includes: receiving an IP list of zombie PCs used in the DDoS attack in real time or periodically from a traffic analyzer of a backbone network connected to the subscriber network; Learning a discrimination model with learning data generated by using the IP list of the zombie PC; and determining whether a DDoS attack has occurred by applying traffic flowing into the subscriber network to the determination model.

여기서, 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법은, 설정시간 내에 상기 알람메시지에 대한 응답이 없거나, 상기 운용자로부터 자동설정을 회신받으면, 상기 DDoS 공격이 발생한 IP를 차단대상 IP로 설정하고, 상기 차단대상 IP들에 대한 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함할 수 있다.Here, in the DDoS traffic blocking method of the subscriber network according to an embodiment of the present invention, if there is no response to the alarm message within the set time or an automatic setting is received from the operator, the IP where the DDoS attack occurred is the IP to be blocked. , and generating a blocking policy for the IPs to be blocked and applying the blocking policy to the R2 router of the subscriber network.

덧붙여 상기한 과제의 해결수단은, 본 발명의 특징을 모두 열거한 것이 아니다. 본 발명의 다양한 특징과 그에 따른 장점과 효과는 아래의 구체적인 실시형태를 참조하여 보다 상세하게 이해될 수 있을 것이다.In addition, the solution to the above problem does not enumerate all the features of the present invention. Various features of the present invention and the advantages and effects thereof will be understood in more detail with reference to specific embodiments below.

본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법에 의하면, 가입자 네트워크에 발생하는 DDoS 공격을 자동으로 감지할 수 있으며, DDoS 공격 발생시 알람메시지를 운용자에게 전송할 수 있다. 즉, 운용자는 알람메시지를 통하여 편리하게 가입자 네트워크에 대한 관리 및 DDos 대응을 수행하는 것이 가능하다.According to the method for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention, a DDoS attack occurring in a subscriber network can be automatically detected, and an alarm message can be transmitted to an operator when a DDoS attack occurs. That is, the operator can conveniently manage the subscriber network and respond to DDos through the alarm message.

본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법에 의하면, 백본 네트워크에서 수집한 좀비 PC들의 정보를 이용하여, DDoS 트래픽을 자동으로 차단하는 것이 가능하다. 즉, 백본 네트워크는 연결된 다양한 네트워크를 통하여 좀비 PC들에 대한 정보를 수집할 수 있으며, 이를 각각의 가입자 네트워크와 공유함으로써, 가입자 네트워크는 DDoS 공격 발생시 용이하게 DDoS 트래픽에 대한 자동차단을 수행할 수 있다.According to the method for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention, it is possible to automatically block DDoS traffic using information on zombie PCs collected from a backbone network. That is, the backbone network can collect information about zombie PCs through various connected networks, and by sharing this information with each subscriber network, the subscriber network can easily block DDoS traffic automatically when a DDoS attack occurs. .

도1은 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다.
도2는 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 방법을 나타내는 순서도이다.
도3은 본 발명의 다른 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다.
도4는 본 발명의 다른 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 방법을 나타내는 순서도이다.
도5는 본 발명의 일 실시예에 의한 판별모듈을 학습시키기 위한 학습 데이터를 나타내는 예시도이다.1 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention.
2 is a flowchart illustrating a method of blocking DDoS traffic in a subscriber network according to an embodiment of the present invention.
3 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to another embodiment of the present invention.
4 is a flowchart illustrating a method of blocking DDoS traffic in a subscriber network according to another embodiment of the present invention.
5 is an exemplary view showing learning data for learning a discrimination module according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.Hereinafter, preferred embodiments will be described in detail so that those skilled in the art can easily practice the present invention with reference to the accompanying drawings. However, in describing a preferred embodiment of the present invention in detail, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. In addition, the same reference numerals are used throughout the drawings for parts having similar functions and actions.

덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다. 또한, 명세서에 기재된 "~부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. In addition, throughout the specification, when a part is said to be 'connected' to another part, this is not only the case where it is 'directly connected', but also the case where it is 'indirectly connected' with another element in between. include In addition, 'including' a certain component means that other components may be further included, rather than excluding other components unless otherwise stated. In addition, terms such as “~unit” and “module” described in the specification refer to a unit that processes at least one function or operation, and may be implemented as hardware or software or a combination of hardware and software.

도1은 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다.1 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention.

도1을 참조하면, 본 발명의 일 실시예에 의한 DDoS 트래픽 차단 시스템은, 백본 네트워크(N1), 가입자 네트워크(N2) 및 분석서버(100)를 포함할 수 있다. Referring to FIG. 1 , the system for blocking DDoS traffic according to an embodiment of the present invention may include a backbone network N1, a subscriber network N2, and an analysis server 100.

이하, 도1을 참조하여 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 설명한다. Hereinafter, a system for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention will be described with reference to FIG. 1 .

백본 네트워크(N1)는 복수의 가입자 네트워크(N2)들과 연결될 수 있으며, 각각의 가입자 네트워크(N2)에게 인터넷 서비스 등을 제공할 수 있다. 가입자 네트워크(N2)는 기업이나 공공기관, 학교 등에 구축되는 것일 수 있으며, 가입자 네트워크(N2)는 R2 라우터(R2)를 통하여 백본 네트워크(N1)와 연결될 수 있다.The backbone network N1 may be connected to a plurality of subscriber networks N2, and may provide Internet service and the like to each subscriber network N2. The subscriber network N2 may be built in a company, public institution, school, etc., and the subscriber network N2 may be connected to the backbone network N1 through the R2 router R2.

여기서, 백본 네트워크(N1)에서 가입자 네트워크(N2) 내부로 향하는 DDoS 트래픽(A)이 발생할 수 있으며, 이 경우 백본 네트워크(N1)의 R1 라우터(R1)에서는 대역폭 초과로 인하여 트래픽이 손실(drop)될 수 있다. 이때 일반 사용자들의 트래픽과 DDoS 트래픽이 비선별적으로 손실되므로, 가입자 네트워크(N2) 내부의 서버가 마비되는 등의 현상이 발생하게 된다. Here, DDoS traffic (A) heading from the backbone network (N1) to the inside of the subscriber network (N2) may occur. In this case, the R1 router (R1) of the backbone network (N1) traffic is dropped due to bandwidth exceeding It can be. At this time, since traffic of general users and DDoS traffic are non-selectively lost, a phenomenon such as paralysis of a server inside the subscriber network N2 occurs.

이를 해결하기 위하여, DDoS 발생시 CB(Customer Blackhole)을 이용할 수 있다. 즉, 가입자 네트워크(N2)의 운용자(1)는 DDoS 트래픽의 플로우 정보를 확인한 후, 해당 DDoS 트래픽에 대한 차단정책을 생성하여 R2 라우터(R2)에 직접 적용할 수 있다. 이 경우, 백본 네트워크(N1)의 R1 라우터(R1)는 DDoS 트래픽(A)에 대한 필터링 처리를 수행하여 DDoS 트래픽(A)을 미리 설정된 싱크홀 라우터(미도시)로 유입시킬 수 있다.To solve this problem, CB (Customer Blackhole) can be used when DDoS occurs. That is, the operator 1 of the subscriber network N2 checks the flow information of the DDoS traffic, then creates a blocking policy for the corresponding DDoS traffic and directly applies it to the R2 router R2. In this case, the R1 router R1 of the backbone network N1 may filter the DDoS traffic A to flow the DDoS traffic A into a preset sinkhole router (not shown).

예를들어, 불특정 다수의 호스트로부터 가입자 네트워크(N2) 내의 특정서버로 DDoS 공격이 시작되면, 운용자(1)는 자신의 가입자 네트워크(N2) 내에 공격대상이 되는 서버의 IP(예를들어, 1.1.1.1/32)를 찾아내어, 해당 IP에 특정 태그(예를들어, 12345)를 붙일 수 있다. 이후, 특정 태그를 포함하는 IP들을 특정 커뮤니티(예를들어, community 6789:12345)로 설정하여, 백본 네트워크(N1)로 BGP(Border Gateway Protocol)를 이용하여 광고하도록 정책을 설정할 수 있다. 이 경우, 백본 네트워크(N1)는 BGP로 받은 특정 커뮤니티에 대하여, next-hop을 싱크홀 라우터로 변경할 수 있다. 즉, 백본 네트워크(N1)는 가입자 네트워크(N2)의 ip 1.1.1.1/32에 대한 패킷이 모두 싱크홀로 유입되도록 할 수 있다. For example, if a DDoS attack is initiated from an unspecified number of hosts to a specific server within the subscriber network N2, the operator 1 sets the IP address of the attack target server within the subscriber network N2 (eg, 1.1 .1.1/32) and attach a specific tag (eg 12345) to the IP. Thereafter, a policy may be set so that IPs including a specific tag are set as a specific community (eg, community 6789:12345) and advertised to the backbone network N1 using BGP (Border Gateway Protocol). In this case, the backbone network N1 may change the next-hop to a sinkhole router for a specific community received through BGP. That is, the backbone network N1 can allow all packets for ip 1.1.1.1/32 of the subscriber network N2 to flow into the sinkhole.

다만, CB를 적용하기 위해서는, 가입자 네트워크(N2)의 운용자(1)가 직접 트래픽을 분석하여 DDoS 트래픽에 대한 정보를 추출하고, R2 라우터(R2)에 접속하여 설정정보를 입력해야하나, 이러한 과정이 번거롭고 어려움이 따른다.However, in order to apply CB, the operator (1) of the subscriber network (N2) must directly analyze the traffic, extract information about DDoS traffic, access the R2 router (R2) and enter the setting information, but this process This is cumbersome and difficult.

여기서, 본 발명의 일 실시예에 의한 DDoS 트래픽 차단 시스템은, 가입자 네트워크(N2) 내에 분석서버(100)를 구비하여, 분석서버(100)에서 CB를 적용하도록 구현할 수 있다. 즉, 분석서버(100)는 DDoS 공격의 발생여부를 인식하고, DDoS 공격이 발생한 경우에는 운용자(1)에게 알람메시지를 전송하여 알릴 수 있으며, 이후 운용자(1)의 지시에 따라 해당 DDoS 공격에 대한 차단정책을 설정할 수 있다.Here, the DDoS traffic blocking system according to an embodiment of the present invention may be implemented so that the analysis server 100 is provided in the subscriber network N2 and CB is applied in the analysis server 100. That is, the analysis server 100 recognizes whether a DDoS attack has occurred, and if a DDoS attack has occurred, it can notify the operator 1 by sending an alarm message, and then respond to the DDoS attack according to the instructions of the operator 1. Blocking policy can be set.

도2는 분석서버(100)를 이용한 가입자 네트워크의 DDoS 트래픽 차단 방법을 나타내는 순서도이다.2 is a flowchart illustrating a method of blocking DDoS traffic in a subscriber network using the analysis server 100.

분석서버(100)는 가입자 네트워크(N2)로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별할 수 있다(S110). 분석서버(100)는 sflow나 netflow를 이용하여, R2 라우터(R2)로부터 각각의 트래픽들에 대한 트래픽 헤더 정보를 수신할 수 있다. 이후, 트래픽 헤더 정보를 일정한 시간 단위로 구분하여 분석하여, 각각의 시간 단위별로 DDoS 공격의 발생여부를 판별할 수 있다. The analysis server 100 may determine whether a DDoS attack has occurred by analyzing traffic flowing into the subscriber network N2 (S110). The analysis server 100 may receive traffic header information for each traffic from the R2 router R2 using sflow or netflow. Then, it is possible to determine whether a DDoS attack has occurred by dividing and analyzing the traffic header information by a certain time unit.

여기서, 분석서버(100)는 단위시간 동안의 트래픽 헤더 정보를 목적지 IP를 기준으로 정렬할 수 있으며, 이를 통하여 각각의 목적지 IP들의 점유율을 계산할 수 있다. 또한, 분석서버(100)는 R2 라우터(R2)의 업링크 인입 트래픽의 점유율에 대한 정보를 R2 라우터(R2)로부터 제공받을 수 있다. 여기서, 분석서버(100)는 R2 라우터의 업링크 인입 트래픽의 점유율이 임계치 이상이고, 전체 트래픽들의 목적지 IP별 점유율 중 특정 목적지 IP의 점유율이 설정값 이상이면, DDoS 공격이 발생한 것으로 판별할 수 있다. 즉, R2 라우터(R2)로 평소보다 과도하게 많은 업링크 인입 트래픽이 유입되고, 전체 트래픽 중에서 특정 목적지 IP에 대한 트래픽의 점유율이 평소보다 지나치게 많은 경우에는, 해당 특정 목적지 IP에 대한 DDoS 공격이 발생한 것으로 볼 수 있다. Here, the analysis server 100 may sort the traffic header information for unit time based on the destination IP, and through this, the occupancy rate of each destination IP may be calculated. In addition, the analysis server 100 may receive information about the occupancy rate of uplink incoming traffic of the R2 router R2 from the R2 router R2. Here, the analysis server 100 may determine that a DDoS attack has occurred if the share of uplink incoming traffic of the R2 router is greater than or equal to the threshold and the share of a specific destination IP among the shares of all traffics by destination IP is greater than or equal to a set value. . In other words, if an excessively large amount of uplink inbound traffic flows into the R2 router (R2) and the share of traffic for a specific destination IP among the total traffic is excessively greater than usual, a DDoS attack on the specific destination IP occurs. can be seen as

실시예에 따라서는, R2 라우터(R2)에 인입되는 트래픽이 특정패턴을 보이는지 여부를 추가로 확인하여 DDoS 공격인지를 판별할 수 있다. 즉, DDoS 공격에 해당하는 트래픽의 경우, 특정 목적지 IP로 트래픽이 집중되고, 소스 IP는 분산되며, 각각의 트래픽들의 TCP/UDP 포트가 다양하지 않고 고정되는 경우가 많으며, 패킷 길이가 다양하지 않고 몇가지 특정 크기로 구분되게 된다. 따라서, 분석서버(100)는 인입되는 트래픽들의 패턴을 더 고려하여, DDoS 공격에 해당하는지를 판별할 수 있다. Depending on the embodiment, it is possible to determine whether it is a DDoS attack by additionally checking whether traffic entering the R2 router R2 shows a specific pattern. That is, in the case of traffic corresponding to a DDoS attack, the traffic is concentrated to a specific destination IP, the source IP is distributed, the TCP/UDP ports of each traffic are often fixed rather than varied, and the packet length is not varied and It is divided into several specific sizes. Accordingly, the analysis server 100 may further consider the pattern of incoming traffic to determine whether it corresponds to a DDoS attack.

DDoS 공격으로 판별되면, 분석서버(100)는 운용자(1)에게 알람메시지를 전송할 수 있다(S120). 즉, 분석서버(100)는 운용자(1)에게 가입자 네트워크(N2) 내에 DDoS 공격이 발생하였음을 알람메시지를 통하여 알릴 수 있다. 여기서, 분석서버(100)는 운용자(1)의 이동통신단말이나 노트북, 컴퓨터 등 미리 등록된 단말에 문자메시지 또는 인스턴트 메시지(instant message) 형태의 알람메시지를 전송할 수 있다. When determined as a DDoS attack, the analysis server 100 may transmit an alarm message to the operator 1 (S120). That is, the analysis server 100 may inform the operator 1 that a DDoS attack has occurred in the subscriber network N2 through an alarm message. Here, the analysis server 100 may transmit an alarm message in the form of a text message or instant message to a pre-registered terminal such as a mobile communication terminal, a laptop computer, or a computer of the operator 1.

실시예에 따라서는, 알람메시지에 DDoS 트래픽이 유입되는 목적지 IP와, 각각의 목적지 IP에 대한 메타정보가 매칭되어 포함될 수 있다. 즉, 운용자가 해당 목적지 IP에 대한 트래픽 차단여부를 결정하기 위한 정보를 제공하기 위하여, 해당 목적지 IP를 설명하는 메타정보들을 매칭하여 제공할 수 있다. 이 경우, 운용자(1)는 목적지 IP에 매칭된 메타정보를 이용하여, 공격대상의 서비스 중요도를 고려할 수 있으며, 이에 따라 운용자(1)는 해당 서비스에 대한 트래픽 차단 여부를 결정할 수 있다. Depending on the embodiment, the destination IP to which the DDoS traffic flows and meta information on each destination IP may be matched and included in the alarm message. That is, in order to provide information for the operator to determine whether to block traffic for the corresponding destination IP, meta information describing the corresponding destination IP may be matched and provided. In this case, the operator 1 may consider the importance of the service of the target of attack using meta information matched to the destination IP, and accordingly, the operator 1 may determine whether to block traffic for the corresponding service.

알람메시지에 대응하여, 운용자(1)로부터 DDoS 공격에 대한 차단정책의 적용을 지시받으면, 분석서버(100)는 차단정책을 생성하여 가입자 네트워크(N2)의 R2 라우터(R2)에 적용할 수 있다(S130). 여기서, 차단정책은 DDoS 트래픽(A)을 전송하는 차단대상 IP를 특정하고, R2 라우터(R2)가 BGP 프로토콜을 이용하여 가입자 네트워크(N2)에 연결된 백본 네트워크(N1)로 차단대상 IP를 광고하도록 하는 것일 수 있다. 이 경우, R1 라우터(R1)는 DDoS 트래픽(A)을 특정할 수 있으며 해당 DDoS 트래픽(A)을 필터링하여, DDoS 트래픽(A)이 가입자 네트워크(N2)로 유입되는 것을 차단할 수 있다. In response to the alarm message, when the application of the blocking policy for the DDoS attack is instructed by the operator 1, the analysis server 100 can create a blocking policy and apply it to the R2 router R2 of the subscriber network N2. (S130). Here, the blocking policy specifies the blocking target IP that transmits the DDoS traffic (A), and makes the R2 router (R2) advertise the blocking target IP to the backbone network (N1) connected to the subscriber network (N2) using the BGP protocol. it may be In this case, the R1 router (R1) can specify the DDoS traffic (A) and filter the corresponding DDoS traffic (A) to block the DDoS traffic (A) from flowing into the subscriber network (N2).

도3은 본 발명의 다른 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다. 3 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to another embodiment of the present invention.

도3을 참조하면, 백본 네트워크(N1) 내에는 트래픽 분석장치(200)가 포함될 수 있다. 트래픽 분석장치(200)는 백본 네트워크(N1)의 망 경계에 위치하는 라우터들로부터 netflow 정보를 실시간으로 수집할 수 있으며, 각각의 가입자 네트워크별로 트래픽량을 계산할 수 있다. 여기서, netflow를 이용하면 실시간으로 유통되는 패킷 헤더 정보를 조회할 수 있으므로, 이를 이용하여 DDoS 공격 여부를 탐지할 수 있다. Referring to FIG. 3 , a traffic analyzer 200 may be included in the backbone network N1. The traffic analyzer 200 may collect netflow information in real time from routers located at the network boundary of the backbone network N1, and may calculate traffic volume for each subscriber network. Here, since netflow can be used to search packet header information distributed in real time, it is possible to detect DDoS attacks using this.

DDoS 트래픽(A)은 좀비 PC들이 만들어내는 트래픽으로, DDoS 트래픽(A)은 각각의 좀비 PC들에 대응하는 수많은 소스 IP로부터 특정한 1-2개의 목적지 IP로 집중되는 특정한 패턴 형태를 가진다. 또한, 좀비 PC를 이용한 DDoS 공격은 공격시기와 대상을 바꿔가면서 이루어지는 경우가 많이 발생한다.DDoS traffic (A) is traffic generated by zombie PCs, and DDoS traffic (A) has a specific pattern form concentrated from numerous source IPs corresponding to each zombie PC to specific 1-2 destination IPs. In addition, DDoS attacks using zombie PCs often occur while changing the timing and target of the attack.

여기서, 트래픽 분석장치(200)는 공격에 이용된 좀비 PC의 IP 정보를 실시간 또는 주기적으로 수집할 수 있으며, 수집한 좀비 PC의 IP 정보를 각각의 가입자 네트워크(N2)에 설치된 분석서버(100a, 100b, 100c)로 제공할 수 있다. 이후, 분석서버(100a, 100b, 100c)는 DDoS 공격징후를 포착하면, 공유받은 좀비 PC의 IP 정보를 기반으로 CB차단 정책을 생성할 수 있으며, 이를 통해 DDoS 트래픽을 실시간으로 차단시킬 수 있다.Here, the traffic analyzer 200 may collect IP information of zombie PCs used in the attack in real time or periodically, and analyze the collected IP information of zombie PCs installed in each subscriber network (N2) (100a, 100b, 100c). Thereafter, when the analysis servers 100a, 100b, and 100c detect signs of a DDoS attack, they can create a CB blocking policy based on the IP information of the shared zombie PC, through which DDoS traffic can be blocked in real time.

구체적으로, 도4에 도시한 바와 같이, 분석서버(100)는 가입자 네트워크(N2)로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별할 수 있다(S110). 이때, 분석서버(100)는 DDoS 공격의 발생여부를 판별하기 위하여, 가입자 네트워크(N2)에 연결된 백본 네트워크(N1)의 트래픽 분석장치(200)로부터, DDoS 공격에 활용된 좀비 PC의 IP 리스트를 실시간 또는 주기적으로 제공받을 수 있다(S111).Specifically, as shown in FIG. 4, the analysis server 100 may analyze traffic flowing into the subscriber network N2 to determine whether a DDoS attack has occurred (S110). At this time, in order to determine whether a DDoS attack has occurred, the analysis server 100 retrieves the IP list of zombie PCs used in the DDoS attack from the traffic analyzer 200 of the backbone network N1 connected to the subscriber network N2. It can be provided in real time or periodically (S111).

이후, 분석서버(100)는 제공받은 좀비 PC의 IP 리스트를 활용하여 생성한 학습데이터로 판별모델을 학습할 수 있다(S112). 즉, 수만개의 소스 IP로부터 소량의 트래픽을 차단하는 경우에는, 라우터의 성능한계가 있으므로, 기계학습 등을 이용하여 목적지 IP와 포트를 기반으로 차단 정책을 운용하는 것이 효율적일 수 있다. 따라서, 여기서는 분석서버(100)가 좀비 PC의 IP 리스트를 활용한 학습데이터로 판별모델을 학습할 수 있다. Thereafter, the analysis server 100 may learn a discrimination model with learning data generated by utilizing the IP list of the provided zombie PC (S112). That is, when blocking a small amount of traffic from tens of thousands of source IPs, it may be efficient to operate a blocking policy based on destination IPs and ports using machine learning, etc., since there is a performance limit of a router. Therefore, here, the analysis server 100 can learn the discrimination model with learning data using the IP list of zombie PCs.

구체적으로, 도5에 도시한 바와 같이, 좀비 PC의 IP 리스트를 활용하여 학습데이터를 생성할 수 있다. 즉, 좀비 PC의 IP 리스트로부터 DDoS 공격의 발생요일, 발생시간, 좀비 IP 개수(목적지 IP를 기준으로 생성된 소스 IP 중에서 좀비 소스 IP에 해당하는 IP의 개수), 플로우 개수(목적지 IP를 기준으로 생성된 소스 IP 개수), 목적지 IP 기준 점유율, 목적지 IP, 목적지 포트, 패킷 길이, IP frag., R2 업링크 점유율(Xn Vector) 등을 추출할 수 있으며, 이후 각각의 경우에 대한 운용자(1)의 차단결정 여부(Y label)를 추가하여, 학습데이터를 생성할 수 있다. 즉, 각각의 경우에 대한 운용자(1)의 차단결정 여부에 대한 정보를 추가함으로써, 지도 학습(supervised learning)을 위한 학습데이터를 생성할 수 있다. 여기서, 판별모듈은 다층 퍼셉트론 신경망 모델을 이용하여 학습되는 것일 수 있다.Specifically, as shown in FIG. 5, learning data can be generated by utilizing the IP list of zombie PCs. That is, from the IP list of the zombie PC, the day of the DDoS attack, the time of occurrence, the number of zombie IPs (the number of IPs corresponding to the zombie source IP among the source IPs generated based on the destination IP), and the number of flows (based on the destination IP) Number of source IPs generated), occupancy based on destination IP, destination IP, destination port, packet length, IP fragment, R2 uplink occupancy (X n Vector), etc. can be extracted, and then the operator (1 ), learning data can be created by adding the blocking decision (Y label). That is, learning data for supervised learning can be generated by adding information on whether or not the operator 1 has decided to block in each case. Here, the discrimination module may be learned using a multi-layer perceptron neural network model.

판별모듈에 대한 학습이 완료되면, 분석서버(100)는 판별모델에 가입자 네트워크(N2)로 유입되는 트래픽을 적용하여, DDoS 공격의 발생여부를 판별할 수 있다(S113). 즉, 판별모듈은 각각의 Xn Vector에 대응하는 정보들을 입력받으면, 그에 따라 Y label의 차단결정 여부 또는 DDoS 공격발생여부를 출력할 수 있다. 실시예에 따라서는, 판별모델이 각각의 트래픽에 대한 DDoS 공격확률을 제공하는 것도 가능하며, 이 경우 분석서버(100)는 DDoS 공격확률이 한계값 이상인 트래픽이 존재하는 경우에 한하여, DDoS 공격이 발생한 것으로 판별할 수 있다. When the learning of the determination module is completed, the analysis server 100 may determine whether a DDoS attack has occurred by applying the traffic flowing into the subscriber network N2 to the determination model (S113). That is, upon receiving information corresponding to each X n Vector, the determination module may output whether Y label has been blocked or whether a DDoS attack has occurred. Depending on the embodiment, it is also possible for the discrimination model to provide a DDoS attack probability for each traffic. In this case, the analysis server 100 detects a DDoS attack only when there is traffic with a DDoS attack probability greater than a threshold value. can be identified as having occurred.

한편, 가입자 네트워크(N2)에 대한 DDoS 공격이 존재하는 것으로 판별되면, 분석서버(100)는 운용자(1)에게 알람메시지를 전송할 수 있다(S120). 즉, 분석서버(100)는 운용자(1)에게 가입자 네트워크(N2) 내에 DDoS 공격이 발생하였음을 알람메시지를 통하여 알릴 수 있다. 분석서버(100)는 운용자(1)의 이동통신단말이나 노트북, 컴퓨터 등 미리 등록된 단말에 문자메시지 또는 인스턴트 메시지(instant message) 형태의 알람메시지를 전송할 수 있다. On the other hand, if it is determined that there is a DDoS attack on the subscriber network N2, the analysis server 100 may transmit an alarm message to the operator 1 (S120). That is, the analysis server 100 may inform the operator 1 that a DDoS attack has occurred in the subscriber network N2 through an alarm message. The analysis server 100 may transmit an alarm message in the form of a text message or instant message to a pre-registered terminal such as a mobile communication terminal of the operator 1, a laptop computer, or a computer.

다만, 경우에 따라서는 설정시간 내에 알람메시지에 대한 응답이 없거나, 운용자(1)가 자동설정으로 진행하라는 회신을 하는 경우도 존재할 수 있다. 이 경우, 분석서버(100)는 자동으로 DDoS 공격이 발생한 IP를 차단대상 IP로 설정하고, 차단대상 IP들에 대한 차단정책을 생성하여 가입자 네트워크(N2)의 R2 라우터(R2)에 적용할 수 있다. However, in some cases, there may be a case where there is no response to the alarm message within the set time, or the operator 1 makes a reply to proceed with automatic setting. In this case, the analysis server 100 can automatically set the IP where the DDoS attack occurred as the IP to be blocked, create a blocking policy for the IPs to be blocked, and apply it to the R2 router (R2) of the subscriber network (N2). there is.

또한, 실시예에 따라서는, 분석장치(100)가 자동으로 차단정책을 설정하도록 하는 자동모드가 미리 설정되어 있을 수 있으며, 이 경우에는 분석서버(100)가 직접 차단정책을 생성하여 적용할 수 있다. 분석장치(100)에 자동모드가 설정된 경우에는, 분석서버(100)가 운용자(1)에게 알람메시지를 전송하는 단계(S120)는 생략될 수 있다.In addition, depending on the embodiment, an automatic mode in which the analysis device 100 automatically sets a blocking policy may be set in advance. In this case, the analysis server 100 may directly create and apply the blocking policy. there is. When the automatic mode is set in the analysis device 100, the step of transmitting an alarm message from the analysis server 100 to the operator 1 (S120) can be omitted.

한편, 알람메시지기 설정시간 내에 회신되는 경우에는, 분석서버(100)가 운용자(1)로부터 받은 지시에 따라 차단정책을 생성하여, 가입자 네트워크(N2)의 R2 라우터(R2)에 적용할 수 있다. 여기서, 차단정책은 DDoS 트래픽(A)을 전송하는 차단대상 IP를 특정하고, R2 라우터(R2)가 BGP 프로토콜을 이용하여 가입자 네트워크(N2)에 연결된 백본 네트워크(N1)로 차단대상 IP를 광고하도록 하는 것일 수 있다.On the other hand, if the alarm message is returned within the set time, the analysis server 100 may create a blocking policy according to the instruction received from the operator 1 and apply it to the R2 router R2 of the subscriber network N2. . Here, the blocking policy specifies the blocking target IP that transmits the DDoS traffic (A), and makes the R2 router (R2) advertise the blocking target IP to the backbone network (N1) connected to the subscriber network (N2) using the BGP protocol. it may be

전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수개 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 애플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above-described present invention can be implemented as computer readable code on a medium on which a program is recorded. The computer-readable medium may continuously store programs executable by the computer or temporarily store them for execution or download. In addition, the medium may be various recording means or storage means in the form of a single or combined hardware, but is not limited to a medium directly connected to a certain computer system, and may be distributed on a network. Examples of the medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROM and DVD, magneto-optical media such as floptical disks, and ROM, RAM, flash memory, etc. configured to store program instructions. In addition, examples of other media include recording media or storage media managed by an app store that distributes applications, a site that supplies or distributes various other software, and a server. Accordingly, the above detailed description should not be construed as limiting in all respects and should be considered illustrative. The scope of the present invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the present invention are included in the scope of the present invention.

본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 본 발명에 따른 구성요소를 치환, 변형 및 변경할 수 있다는 것이 명백할 것이다.The present invention is not limited by the foregoing embodiments and accompanying drawings. It will be clear to those skilled in the art that the components according to the present invention can be substituted, modified, and changed without departing from the technical spirit of the present invention.

N1: 백본 네트워크 N2: 가입자 네트워크
100: 분석서버 200: 트래픽 분석장치N1: backbone network N2: subscriber network
100: analysis server 200: traffic analysis device

Claims (5)

분석서버를 이용한 가입자 네트워크의 DDoS(Distributed Denial of Service) 트래픽 차단방법에 있어서,
상기 가입자 네트워크로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별하는 단계;
상기 DDoS 공격으로 판별되면, 운용자에게 알람메시지를 전송하는 단계; 및
상기 운용자로부터 상기 DDoS 공격에 대한 차단정책의 적용을 지시받으면, 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함하는 것으로,
상기 차단정책은
DDoS 트래픽을 전송하는 차단대상 IP를 특정하고, BGP 프로토콜을 이용하여 상기 가입자 네트워크에 연결된 백본 네트워크로 상기 차단대상 IP를 광고하는 것인 가입자 네트워크의 DDoS 트래픽 차단방법.
In the method of blocking DDoS (Distributed Denial of Service) traffic of a subscriber network using an analysis server,
analyzing traffic flowing into the subscriber network to determine whether a DDoS attack has occurred;
If it is determined that the DDoS attack, sending an alarm message to the operator; and
When receiving an instruction from the operator to apply the blocking policy to the DDoS attack, generating a blocking policy and applying it to the R2 router of the subscriber network,
The blocking policy
A method for blocking DDoS traffic in a subscriber network comprising: specifying an IP to be blocked that transmits DDoS traffic, and advertising the IP to be blocked to a backbone network connected to the subscriber network using a BGP protocol.
 제1항에 있어서, 상기 DDoS 공격의 발생여부를 판별하는 단계는
상기 R2 라우터의 업링크 인입 트래픽의 점유율이 임계치 이상이고, 트래픽들의 목적지별 점유율 중 특정 목적지의 점유율이 설정값 이상이면, 상기 DDoS 공격이 발생한 것으로 판별하는 가입자 네트워크의 DDoS 트래픽 차단방법.
The method of claim 1, wherein the step of determining whether the DDoS attack has occurred
The method of blocking DDoS traffic in a subscriber network for determining that the DDoS attack has occurred if the share of uplink incoming traffic of the R2 router is equal to or greater than a threshold value and the share of a specific destination among the share of traffic by destination is equal to or greater than a set value.
 제1항에 있어서, 상기 알람메시지는
상기 DDoS 공격에 의한 DDoS 트래픽이 유입되는 목적지 IP와, 상기 목적지 IP에 대한 각각의 메타정보를 포함하는 것인 가입자 네트워크의 DDoS 트래픽 차단방법.
The method of claim 1, wherein the alarm message
The DDoS traffic blocking method of the subscriber network comprising a destination IP to which the DDoS traffic due to the DDoS attack flows, and respective meta information about the destination IP.
 제1항에 있어서, 상기 DDoS 공격의 발생여부를 판별하는 단계는
상기 가입자 네트워크에 연결된 백본 네트워크의 트래픽 분석장치로부터, DDoS 공격에 활용된 좀비 PC의 IP 리스트를 실시간 또는 주기적으로 제공받는 단계;
상기 좀비 PC의 IP 리스트를 활용하여 생성한 학습데이터로 판별모델을 학습하는 단계; 및
상기 판별모델에 상기 가입자 네트워크로 유입되는 트래픽을 적용하여 DDoS 공격의 발생여부를 판별하는 단계를 포함하는 가입자 네트워크의 DDoS 트래픽 차단방법.
The method of claim 1, wherein the step of determining whether the DDoS attack has occurred
receiving an IP list of zombie PCs used for DDoS attacks in real time or periodically from a traffic analyzer of a backbone network connected to the subscriber network;
Learning a discrimination model with learning data generated by using the IP list of the zombie PC; and
and determining whether a DDoS attack has occurred by applying the traffic flowing into the subscriber network to the discrimination model.
 제4항에 있어서,
설정시간 내에 상기 알람메시지에 대한 응답이 없거나, 상기 운용자로부터 자동설정을 회신받으면, 상기 DDoS 공격이 발생한 IP를 차단대상 IP로 설정하고, 상기 차단대상 IP들에 대한 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함하는 가입자 네트워크의 DDoS 트래픽 차단방법.
According to claim 4,
If there is no response to the alarm message within the set time or if an automatic setting is received from the operator, the IP where the DDoS attack occurred is set as the IP to be blocked, and a blocking policy for the IPs to be blocked is created to ensure that the subscriber network DDoS traffic blocking method of a subscriber network comprising the step of applying to the R2 router of the.
KR1020210099271A 2021-07-28 2021-07-28 Method for blocking DDoS traffic for subscriber network KR20230017590A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210099271A KR20230017590A (en) 2021-07-28 2021-07-28 Method for blocking DDoS traffic for subscriber network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210099271A KR20230017590A (en) 2021-07-28 2021-07-28 Method for blocking DDoS traffic for subscriber network

Publications (1)

Publication Number Publication Date
KR20230017590A true KR20230017590A (en) 2023-02-06

Family

ID=85223961

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210099271A KR20230017590A (en) 2021-07-28 2021-07-28 Method for blocking DDoS traffic for subscriber network

Country Status (1)

Country Link
KR (1) KR20230017590A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100973076B1 (en) 2009-08-28 2010-07-29 (주)넷코아테크 System for depending against distributed denial of service attack and method therefor

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100973076B1 (en) 2009-08-28 2010-07-29 (주)넷코아테크 System for depending against distributed denial of service attack and method therefor

Similar Documents

Publication Publication Date Title
Rahman et al. DDoS attacks detection and mitigation in SDN using machine learning
Sahay et al. ArOMA: An SDN based autonomic DDoS mitigation framework
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
Kumar et al. Machine learning enabled techniques for protecting wireless sensor networks by estimating attack prevalence and device deployment strategy for 5G networks
US10601853B2 (en) Generation of cyber-attacks investigation policies
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
Meidan et al. A novel approach for detecting vulnerable IoT devices connected behind a home NAT
US7234168B2 (en) Hierarchy-based method and apparatus for detecting attacks on a computer system
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
US20050216956A1 (en) Method and system for authentication event security policy generation
US20150052606A1 (en) Method and a system to detect malicious software
US20120324572A1 (en) Systems and methods that perform application request throttling in a distributed computing environment
Alaidaros et al. An overview of flow-based and packet-based intrusion detection performance in high speed networks
Monshizadeh et al. Detection as a service: An SDN application
Nitin et al. Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas)
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
Sundareswaran et al. Packet filtering mechanism to defend against DDoS attack in blockchain network
KR20230017590A (en) Method for blocking DDoS traffic for subscriber network
Chaitanya et al. Security and Privacy in Wireless Sensor Networks Using Intrusion Detection Models to Detect DDOS and Drdos Attacks: A Survey
Hamsaveni AN IMPLEMENTAION OF SNORT BASED INTRUSION DETECTION SYSTEM USING WIRELESS SENSOR NETWORK
Siddiqui et al. Survey on Unified Threat Management (UTM) Systems for Home Networks
Yashwant et al. Buckler: Intrusion Detection and Prevention using Honeypot
Mekonnen IP-BASED DDOS ATTACK DETECTION AND MITIGATION FOR SDN CONTROLLER
Orosz et al. Detection strategies for post-pandemic DDoS profiles