KR20230017590A - Method for blocking DDoS traffic for subscriber network - Google Patents
Method for blocking DDoS traffic for subscriber network Download PDFInfo
- Publication number
- KR20230017590A KR20230017590A KR1020210099271A KR20210099271A KR20230017590A KR 20230017590 A KR20230017590 A KR 20230017590A KR 1020210099271 A KR1020210099271 A KR 1020210099271A KR 20210099271 A KR20210099271 A KR 20210099271A KR 20230017590 A KR20230017590 A KR 20230017590A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- ddos
- subscriber network
- blocking
- ddos attack
- Prior art date
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000004044 response Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000009395 breeding Methods 0.000 description 1
- 230000001488 breeding effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 좀비 PC 등에 의한 DDoS 트래픽을 효과적으로 우회 격리시킴으로써, 인터넷 서비스를 안정적으로 제공할 수 있는 가입자 네트워크의 DDoS 트래픽 차단방법에 관한 것이다. The present invention relates to a method for blocking DDoS traffic in a subscriber network capable of stably providing Internet services by effectively bypassing and isolating DDoS traffic caused by zombie PCs.
최근 인터넷을 통한 악성 소프트웨어의 전염 경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door)등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.Recently, transmission routes of malicious software through the Internet have been diversified, and the degree of damage caused by them is increasing every year. Malicious code refers to software intentionally designed to perform malicious activities, such as destroying a system or leaking information, against the user's will and interests. The types of malicious code include viruses, worms, trojans, backdoors, logic bombs, trap doors, hacking tools, and malicious spyware ( spyware, ad-ware, etc. They are equipped with self-replicating or automatic breeding functions, leaking personal information such as user ID and password, controlling the target system, deleting/changing files/destroying the system, denying application/system service, leaking core data, installing other hacking programs, etc. cause problems, and the damage is very diverse and serious.
이러한 악성 소프트웨어 또는 악성 코드로 인한 피해로 최근에는 DDoS (Distribute Denial of Service)에 의한 피해가 심각하게 대두되고 있다. 이는 해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 서비스 거부 공격(Denial of Service attack;DoS)을 함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 것을 말한다.Due to damage caused by such malicious software or malicious code, damage caused by DDoS (Distributed Denial of Service) has recently emerged as a serious problem. This is one of the hacking methods, and refers to making the system no longer able to provide normal services by distributing and arranging several attackers to simultaneously perform a denial of service attack (DoS).
기존에는 DDoS 공격 발생시 가입자 네트워크의 운용자가 직접 DDoS 트래픽 정보를 확인하여 차단정책을 생성하고, 라우터에 이를 직접 적용함으로써, 가입자 네트워크에 연결된 백본 네트워크에서 DDoS 트래픽을 필터링처리하도록 하였다. 그러나, 이 경우 가입자 네트워크의 운용자가 트래픽을 분석하여 공격성 트래픽 정보를 추출하기 번거롭고 어려운 문제점이 있으며, 운용자가 직접 라우터 등의 장비에 접속하여 설정정보를 입력해하는 점에서도 어려움이 존재한다. Conventionally, when a DDoS attack occurs, the operator of the subscriber network directly checks the DDoS traffic information, creates a blocking policy, and directly applies it to the router so that the DDoS traffic is filtered in the backbone network connected to the subscriber network. However, in this case, there is a problem in that it is cumbersome and difficult for the operator of the subscriber network to analyze the traffic and extract aggressive traffic information, and there is also difficulty in that the operator directly accesses equipment such as a router and inputs setting information.
본 발명은, 가입자 네트워크에 발생하는 DDoS 공격을 자동으로 감지하여, 운용자에게 알람메시지를 전송할 수 있는 가입자 네트워크의 DDoS 트래픽 차단방법을 제공하기 위한 것이다.The present invention is to provide a method for blocking DDoS traffic in a subscriber network, which can automatically detect a DDoS attack occurring in a subscriber network and send an alarm message to an operator.
본 발명은, 백본 네트워크에서 수집한 좀비 PC들의 정보를 이용하여, DDoS 트래픽을 자동으로 차단할 수 있는 가입자 네트워크의 DDoS 트래픽 차단방법을 제공하기 위한 것이다.The present invention is to provide a method for blocking DDoS traffic in a subscriber network capable of automatically blocking DDoS traffic using information of zombie PCs collected from a backbone network.
본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법은, 분석서버를 이용한 가입자 네트워크의 DDoS 트래픽 차단방법에 관한 것으로, 상기 가입자 네트워크로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별하는 단계; 상기 DDoS 공격으로 판별되면, 운용자에게 알람메시지를 전송하는 단계; 및 상기 운용자로부터 상기 DDoS 공격에 대한 차단정책의 적용을 지시받으면, 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함할 수 있다. 여기서, 상기 차단정책은 DDoS 트래픽을 전송하는 차단대상 IP를 특정하고, BGP 프로토콜을 이용하여 상기 가입자 네트워크에 연결된 백본 네트워크로 상기 차단대상 IP를 광고하는 것일 수 있다. A method for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention relates to a method for blocking DDoS traffic in a subscriber network using an analysis server, which analyzes traffic flowing into the subscriber network to determine whether a DDoS attack has occurred. step; If it is determined that the DDoS attack, sending an alarm message to the operator; and generating a blocking policy and applying the blocking policy to the R2 router of the subscriber network when receiving an instruction from the operator to apply the blocking policy to the DDoS attack. Here, the blocking policy may be to specify an IP to be blocked that transmits DDoS traffic, and to advertise the IP to be blocked to a backbone network connected to the subscriber network using a BGP protocol.
여기서 상기 DDoS 공격의 발생여부를 판별하는 단계는, 상기 R2 라우터의 업링크 인입 트래픽의 점유율이 임계치 이상이고, 트래픽들의 목적지별 점유율 중 특정 목적지의 점유율이 설정값 이상이면, 상기 DDoS 공격이 발생한 것으로 판별할 수 있다. Here, in the step of determining whether the DDoS attack has occurred, if the share of uplink incoming traffic of the R2 router is greater than a threshold value and the share of a specific destination among the share of traffic by destination is greater than or equal to a set value, it is determined that the DDoS attack has occurred. can be identified.
여기서 상기 알람메시지는, 상기 DDoS 공격에 의한 DDoS 트래픽이 유입되는 목적지 IP와, 상기 목적지 IP에 대한 각각의 메타정보를 포함하는 것일 수 있다. Here, the alarm message may include a destination IP to which the DDoS traffic due to the DDoS attack flows, and respective meta information about the destination IP.
여기서 상기 DDoS 공격의 발생여부를 판별하는 단계는, 상기 가입자 네트워크에 연결된 백본 네트워크의 트래픽 분석장치로부터, DDoS 공격에 활용된 좀비 PC의 IP 리스트를 실시간 또는 주기적으로 제공받는 단계; 상기 좀비 PC의 IP 리스트를 활용하여 생성한 학습데이터로 판별모델을 학습하는 단계; 및 상기 판별모델에 상기 가입자 네트워크로 유입되는 트래픽을 적용하여 DDoS 공격의 발생여부를 판별하는 단계를 포함할 수 있다. Here, the step of determining whether the DDoS attack has occurred includes: receiving an IP list of zombie PCs used in the DDoS attack in real time or periodically from a traffic analyzer of a backbone network connected to the subscriber network; Learning a discrimination model with learning data generated by using the IP list of the zombie PC; and determining whether a DDoS attack has occurred by applying traffic flowing into the subscriber network to the determination model.
여기서, 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법은, 설정시간 내에 상기 알람메시지에 대한 응답이 없거나, 상기 운용자로부터 자동설정을 회신받으면, 상기 DDoS 공격이 발생한 IP를 차단대상 IP로 설정하고, 상기 차단대상 IP들에 대한 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함할 수 있다.Here, in the DDoS traffic blocking method of the subscriber network according to an embodiment of the present invention, if there is no response to the alarm message within the set time or an automatic setting is received from the operator, the IP where the DDoS attack occurred is the IP to be blocked. , and generating a blocking policy for the IPs to be blocked and applying the blocking policy to the R2 router of the subscriber network.
덧붙여 상기한 과제의 해결수단은, 본 발명의 특징을 모두 열거한 것이 아니다. 본 발명의 다양한 특징과 그에 따른 장점과 효과는 아래의 구체적인 실시형태를 참조하여 보다 상세하게 이해될 수 있을 것이다.In addition, the solution to the above problem does not enumerate all the features of the present invention. Various features of the present invention and the advantages and effects thereof will be understood in more detail with reference to specific embodiments below.
본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법에 의하면, 가입자 네트워크에 발생하는 DDoS 공격을 자동으로 감지할 수 있으며, DDoS 공격 발생시 알람메시지를 운용자에게 전송할 수 있다. 즉, 운용자는 알람메시지를 통하여 편리하게 가입자 네트워크에 대한 관리 및 DDos 대응을 수행하는 것이 가능하다.According to the method for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention, a DDoS attack occurring in a subscriber network can be automatically detected, and an alarm message can be transmitted to an operator when a DDoS attack occurs. That is, the operator can conveniently manage the subscriber network and respond to DDos through the alarm message.
본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단방법에 의하면, 백본 네트워크에서 수집한 좀비 PC들의 정보를 이용하여, DDoS 트래픽을 자동으로 차단하는 것이 가능하다. 즉, 백본 네트워크는 연결된 다양한 네트워크를 통하여 좀비 PC들에 대한 정보를 수집할 수 있으며, 이를 각각의 가입자 네트워크와 공유함으로써, 가입자 네트워크는 DDoS 공격 발생시 용이하게 DDoS 트래픽에 대한 자동차단을 수행할 수 있다.According to the method for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention, it is possible to automatically block DDoS traffic using information on zombie PCs collected from a backbone network. That is, the backbone network can collect information about zombie PCs through various connected networks, and by sharing this information with each subscriber network, the subscriber network can easily block DDoS traffic automatically when a DDoS attack occurs. .
도1은 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다.
도2는 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 방법을 나타내는 순서도이다.
도3은 본 발명의 다른 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다.
도4는 본 발명의 다른 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 방법을 나타내는 순서도이다.
도5는 본 발명의 일 실시예에 의한 판별모듈을 학습시키기 위한 학습 데이터를 나타내는 예시도이다.1 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention.
2 is a flowchart illustrating a method of blocking DDoS traffic in a subscriber network according to an embodiment of the present invention.
3 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to another embodiment of the present invention.
4 is a flowchart illustrating a method of blocking DDoS traffic in a subscriber network according to another embodiment of the present invention.
5 is an exemplary view showing learning data for learning a discrimination module according to an embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.Hereinafter, preferred embodiments will be described in detail so that those skilled in the art can easily practice the present invention with reference to the accompanying drawings. However, in describing a preferred embodiment of the present invention in detail, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. In addition, the same reference numerals are used throughout the drawings for parts having similar functions and actions.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다. 또한, 명세서에 기재된 "~부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. In addition, throughout the specification, when a part is said to be 'connected' to another part, this is not only the case where it is 'directly connected', but also the case where it is 'indirectly connected' with another element in between. include In addition, 'including' a certain component means that other components may be further included, rather than excluding other components unless otherwise stated. In addition, terms such as “~unit” and “module” described in the specification refer to a unit that processes at least one function or operation, and may be implemented as hardware or software or a combination of hardware and software.
도1은 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다.1 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention.
도1을 참조하면, 본 발명의 일 실시예에 의한 DDoS 트래픽 차단 시스템은, 백본 네트워크(N1), 가입자 네트워크(N2) 및 분석서버(100)를 포함할 수 있다. Referring to FIG. 1 , the system for blocking DDoS traffic according to an embodiment of the present invention may include a backbone network N1, a subscriber network N2, and an
이하, 도1을 참조하여 본 발명의 일 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 설명한다. Hereinafter, a system for blocking DDoS traffic in a subscriber network according to an embodiment of the present invention will be described with reference to FIG. 1 .
백본 네트워크(N1)는 복수의 가입자 네트워크(N2)들과 연결될 수 있으며, 각각의 가입자 네트워크(N2)에게 인터넷 서비스 등을 제공할 수 있다. 가입자 네트워크(N2)는 기업이나 공공기관, 학교 등에 구축되는 것일 수 있으며, 가입자 네트워크(N2)는 R2 라우터(R2)를 통하여 백본 네트워크(N1)와 연결될 수 있다.The backbone network N1 may be connected to a plurality of subscriber networks N2, and may provide Internet service and the like to each subscriber network N2. The subscriber network N2 may be built in a company, public institution, school, etc., and the subscriber network N2 may be connected to the backbone network N1 through the R2 router R2.
여기서, 백본 네트워크(N1)에서 가입자 네트워크(N2) 내부로 향하는 DDoS 트래픽(A)이 발생할 수 있으며, 이 경우 백본 네트워크(N1)의 R1 라우터(R1)에서는 대역폭 초과로 인하여 트래픽이 손실(drop)될 수 있다. 이때 일반 사용자들의 트래픽과 DDoS 트래픽이 비선별적으로 손실되므로, 가입자 네트워크(N2) 내부의 서버가 마비되는 등의 현상이 발생하게 된다. Here, DDoS traffic (A) heading from the backbone network (N1) to the inside of the subscriber network (N2) may occur. In this case, the R1 router (R1) of the backbone network (N1) traffic is dropped due to bandwidth exceeding It can be. At this time, since traffic of general users and DDoS traffic are non-selectively lost, a phenomenon such as paralysis of a server inside the subscriber network N2 occurs.
이를 해결하기 위하여, DDoS 발생시 CB(Customer Blackhole)을 이용할 수 있다. 즉, 가입자 네트워크(N2)의 운용자(1)는 DDoS 트래픽의 플로우 정보를 확인한 후, 해당 DDoS 트래픽에 대한 차단정책을 생성하여 R2 라우터(R2)에 직접 적용할 수 있다. 이 경우, 백본 네트워크(N1)의 R1 라우터(R1)는 DDoS 트래픽(A)에 대한 필터링 처리를 수행하여 DDoS 트래픽(A)을 미리 설정된 싱크홀 라우터(미도시)로 유입시킬 수 있다.To solve this problem, CB (Customer Blackhole) can be used when DDoS occurs. That is, the
예를들어, 불특정 다수의 호스트로부터 가입자 네트워크(N2) 내의 특정서버로 DDoS 공격이 시작되면, 운용자(1)는 자신의 가입자 네트워크(N2) 내에 공격대상이 되는 서버의 IP(예를들어, 1.1.1.1/32)를 찾아내어, 해당 IP에 특정 태그(예를들어, 12345)를 붙일 수 있다. 이후, 특정 태그를 포함하는 IP들을 특정 커뮤니티(예를들어, community 6789:12345)로 설정하여, 백본 네트워크(N1)로 BGP(Border Gateway Protocol)를 이용하여 광고하도록 정책을 설정할 수 있다. 이 경우, 백본 네트워크(N1)는 BGP로 받은 특정 커뮤니티에 대하여, next-hop을 싱크홀 라우터로 변경할 수 있다. 즉, 백본 네트워크(N1)는 가입자 네트워크(N2)의 ip 1.1.1.1/32에 대한 패킷이 모두 싱크홀로 유입되도록 할 수 있다. For example, if a DDoS attack is initiated from an unspecified number of hosts to a specific server within the subscriber network N2, the
다만, CB를 적용하기 위해서는, 가입자 네트워크(N2)의 운용자(1)가 직접 트래픽을 분석하여 DDoS 트래픽에 대한 정보를 추출하고, R2 라우터(R2)에 접속하여 설정정보를 입력해야하나, 이러한 과정이 번거롭고 어려움이 따른다.However, in order to apply CB, the operator (1) of the subscriber network (N2) must directly analyze the traffic, extract information about DDoS traffic, access the R2 router (R2) and enter the setting information, but this process This is cumbersome and difficult.
여기서, 본 발명의 일 실시예에 의한 DDoS 트래픽 차단 시스템은, 가입자 네트워크(N2) 내에 분석서버(100)를 구비하여, 분석서버(100)에서 CB를 적용하도록 구현할 수 있다. 즉, 분석서버(100)는 DDoS 공격의 발생여부를 인식하고, DDoS 공격이 발생한 경우에는 운용자(1)에게 알람메시지를 전송하여 알릴 수 있으며, 이후 운용자(1)의 지시에 따라 해당 DDoS 공격에 대한 차단정책을 설정할 수 있다.Here, the DDoS traffic blocking system according to an embodiment of the present invention may be implemented so that the
도2는 분석서버(100)를 이용한 가입자 네트워크의 DDoS 트래픽 차단 방법을 나타내는 순서도이다.2 is a flowchart illustrating a method of blocking DDoS traffic in a subscriber network using the
분석서버(100)는 가입자 네트워크(N2)로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별할 수 있다(S110). 분석서버(100)는 sflow나 netflow를 이용하여, R2 라우터(R2)로부터 각각의 트래픽들에 대한 트래픽 헤더 정보를 수신할 수 있다. 이후, 트래픽 헤더 정보를 일정한 시간 단위로 구분하여 분석하여, 각각의 시간 단위별로 DDoS 공격의 발생여부를 판별할 수 있다. The
여기서, 분석서버(100)는 단위시간 동안의 트래픽 헤더 정보를 목적지 IP를 기준으로 정렬할 수 있으며, 이를 통하여 각각의 목적지 IP들의 점유율을 계산할 수 있다. 또한, 분석서버(100)는 R2 라우터(R2)의 업링크 인입 트래픽의 점유율에 대한 정보를 R2 라우터(R2)로부터 제공받을 수 있다. 여기서, 분석서버(100)는 R2 라우터의 업링크 인입 트래픽의 점유율이 임계치 이상이고, 전체 트래픽들의 목적지 IP별 점유율 중 특정 목적지 IP의 점유율이 설정값 이상이면, DDoS 공격이 발생한 것으로 판별할 수 있다. 즉, R2 라우터(R2)로 평소보다 과도하게 많은 업링크 인입 트래픽이 유입되고, 전체 트래픽 중에서 특정 목적지 IP에 대한 트래픽의 점유율이 평소보다 지나치게 많은 경우에는, 해당 특정 목적지 IP에 대한 DDoS 공격이 발생한 것으로 볼 수 있다. Here, the
실시예에 따라서는, R2 라우터(R2)에 인입되는 트래픽이 특정패턴을 보이는지 여부를 추가로 확인하여 DDoS 공격인지를 판별할 수 있다. 즉, DDoS 공격에 해당하는 트래픽의 경우, 특정 목적지 IP로 트래픽이 집중되고, 소스 IP는 분산되며, 각각의 트래픽들의 TCP/UDP 포트가 다양하지 않고 고정되는 경우가 많으며, 패킷 길이가 다양하지 않고 몇가지 특정 크기로 구분되게 된다. 따라서, 분석서버(100)는 인입되는 트래픽들의 패턴을 더 고려하여, DDoS 공격에 해당하는지를 판별할 수 있다. Depending on the embodiment, it is possible to determine whether it is a DDoS attack by additionally checking whether traffic entering the R2 router R2 shows a specific pattern. That is, in the case of traffic corresponding to a DDoS attack, the traffic is concentrated to a specific destination IP, the source IP is distributed, the TCP/UDP ports of each traffic are often fixed rather than varied, and the packet length is not varied and It is divided into several specific sizes. Accordingly, the
DDoS 공격으로 판별되면, 분석서버(100)는 운용자(1)에게 알람메시지를 전송할 수 있다(S120). 즉, 분석서버(100)는 운용자(1)에게 가입자 네트워크(N2) 내에 DDoS 공격이 발생하였음을 알람메시지를 통하여 알릴 수 있다. 여기서, 분석서버(100)는 운용자(1)의 이동통신단말이나 노트북, 컴퓨터 등 미리 등록된 단말에 문자메시지 또는 인스턴트 메시지(instant message) 형태의 알람메시지를 전송할 수 있다. When determined as a DDoS attack, the
실시예에 따라서는, 알람메시지에 DDoS 트래픽이 유입되는 목적지 IP와, 각각의 목적지 IP에 대한 메타정보가 매칭되어 포함될 수 있다. 즉, 운용자가 해당 목적지 IP에 대한 트래픽 차단여부를 결정하기 위한 정보를 제공하기 위하여, 해당 목적지 IP를 설명하는 메타정보들을 매칭하여 제공할 수 있다. 이 경우, 운용자(1)는 목적지 IP에 매칭된 메타정보를 이용하여, 공격대상의 서비스 중요도를 고려할 수 있으며, 이에 따라 운용자(1)는 해당 서비스에 대한 트래픽 차단 여부를 결정할 수 있다. Depending on the embodiment, the destination IP to which the DDoS traffic flows and meta information on each destination IP may be matched and included in the alarm message. That is, in order to provide information for the operator to determine whether to block traffic for the corresponding destination IP, meta information describing the corresponding destination IP may be matched and provided. In this case, the
알람메시지에 대응하여, 운용자(1)로부터 DDoS 공격에 대한 차단정책의 적용을 지시받으면, 분석서버(100)는 차단정책을 생성하여 가입자 네트워크(N2)의 R2 라우터(R2)에 적용할 수 있다(S130). 여기서, 차단정책은 DDoS 트래픽(A)을 전송하는 차단대상 IP를 특정하고, R2 라우터(R2)가 BGP 프로토콜을 이용하여 가입자 네트워크(N2)에 연결된 백본 네트워크(N1)로 차단대상 IP를 광고하도록 하는 것일 수 있다. 이 경우, R1 라우터(R1)는 DDoS 트래픽(A)을 특정할 수 있으며 해당 DDoS 트래픽(A)을 필터링하여, DDoS 트래픽(A)이 가입자 네트워크(N2)로 유입되는 것을 차단할 수 있다. In response to the alarm message, when the application of the blocking policy for the DDoS attack is instructed by the
도3은 본 발명의 다른 실시예에 의한 가입자 네트워크의 DDoS 트래픽 차단 시스템을 나타내는 개략도이다. 3 is a schematic diagram showing a system for blocking DDoS traffic in a subscriber network according to another embodiment of the present invention.
도3을 참조하면, 백본 네트워크(N1) 내에는 트래픽 분석장치(200)가 포함될 수 있다. 트래픽 분석장치(200)는 백본 네트워크(N1)의 망 경계에 위치하는 라우터들로부터 netflow 정보를 실시간으로 수집할 수 있으며, 각각의 가입자 네트워크별로 트래픽량을 계산할 수 있다. 여기서, netflow를 이용하면 실시간으로 유통되는 패킷 헤더 정보를 조회할 수 있으므로, 이를 이용하여 DDoS 공격 여부를 탐지할 수 있다. Referring to FIG. 3 , a
DDoS 트래픽(A)은 좀비 PC들이 만들어내는 트래픽으로, DDoS 트래픽(A)은 각각의 좀비 PC들에 대응하는 수많은 소스 IP로부터 특정한 1-2개의 목적지 IP로 집중되는 특정한 패턴 형태를 가진다. 또한, 좀비 PC를 이용한 DDoS 공격은 공격시기와 대상을 바꿔가면서 이루어지는 경우가 많이 발생한다.DDoS traffic (A) is traffic generated by zombie PCs, and DDoS traffic (A) has a specific pattern form concentrated from numerous source IPs corresponding to each zombie PC to specific 1-2 destination IPs. In addition, DDoS attacks using zombie PCs often occur while changing the timing and target of the attack.
여기서, 트래픽 분석장치(200)는 공격에 이용된 좀비 PC의 IP 정보를 실시간 또는 주기적으로 수집할 수 있으며, 수집한 좀비 PC의 IP 정보를 각각의 가입자 네트워크(N2)에 설치된 분석서버(100a, 100b, 100c)로 제공할 수 있다. 이후, 분석서버(100a, 100b, 100c)는 DDoS 공격징후를 포착하면, 공유받은 좀비 PC의 IP 정보를 기반으로 CB차단 정책을 생성할 수 있으며, 이를 통해 DDoS 트래픽을 실시간으로 차단시킬 수 있다.Here, the
구체적으로, 도4에 도시한 바와 같이, 분석서버(100)는 가입자 네트워크(N2)로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별할 수 있다(S110). 이때, 분석서버(100)는 DDoS 공격의 발생여부를 판별하기 위하여, 가입자 네트워크(N2)에 연결된 백본 네트워크(N1)의 트래픽 분석장치(200)로부터, DDoS 공격에 활용된 좀비 PC의 IP 리스트를 실시간 또는 주기적으로 제공받을 수 있다(S111).Specifically, as shown in FIG. 4, the
이후, 분석서버(100)는 제공받은 좀비 PC의 IP 리스트를 활용하여 생성한 학습데이터로 판별모델을 학습할 수 있다(S112). 즉, 수만개의 소스 IP로부터 소량의 트래픽을 차단하는 경우에는, 라우터의 성능한계가 있으므로, 기계학습 등을 이용하여 목적지 IP와 포트를 기반으로 차단 정책을 운용하는 것이 효율적일 수 있다. 따라서, 여기서는 분석서버(100)가 좀비 PC의 IP 리스트를 활용한 학습데이터로 판별모델을 학습할 수 있다. Thereafter, the
구체적으로, 도5에 도시한 바와 같이, 좀비 PC의 IP 리스트를 활용하여 학습데이터를 생성할 수 있다. 즉, 좀비 PC의 IP 리스트로부터 DDoS 공격의 발생요일, 발생시간, 좀비 IP 개수(목적지 IP를 기준으로 생성된 소스 IP 중에서 좀비 소스 IP에 해당하는 IP의 개수), 플로우 개수(목적지 IP를 기준으로 생성된 소스 IP 개수), 목적지 IP 기준 점유율, 목적지 IP, 목적지 포트, 패킷 길이, IP frag., R2 업링크 점유율(Xn Vector) 등을 추출할 수 있으며, 이후 각각의 경우에 대한 운용자(1)의 차단결정 여부(Y label)를 추가하여, 학습데이터를 생성할 수 있다. 즉, 각각의 경우에 대한 운용자(1)의 차단결정 여부에 대한 정보를 추가함으로써, 지도 학습(supervised learning)을 위한 학습데이터를 생성할 수 있다. 여기서, 판별모듈은 다층 퍼셉트론 신경망 모델을 이용하여 학습되는 것일 수 있다.Specifically, as shown in FIG. 5, learning data can be generated by utilizing the IP list of zombie PCs. That is, from the IP list of the zombie PC, the day of the DDoS attack, the time of occurrence, the number of zombie IPs (the number of IPs corresponding to the zombie source IP among the source IPs generated based on the destination IP), and the number of flows (based on the destination IP) Number of source IPs generated), occupancy based on destination IP, destination IP, destination port, packet length, IP fragment, R2 uplink occupancy (X n Vector), etc. can be extracted, and then the operator (1 ), learning data can be created by adding the blocking decision (Y label). That is, learning data for supervised learning can be generated by adding information on whether or not the
판별모듈에 대한 학습이 완료되면, 분석서버(100)는 판별모델에 가입자 네트워크(N2)로 유입되는 트래픽을 적용하여, DDoS 공격의 발생여부를 판별할 수 있다(S113). 즉, 판별모듈은 각각의 Xn Vector에 대응하는 정보들을 입력받으면, 그에 따라 Y label의 차단결정 여부 또는 DDoS 공격발생여부를 출력할 수 있다. 실시예에 따라서는, 판별모델이 각각의 트래픽에 대한 DDoS 공격확률을 제공하는 것도 가능하며, 이 경우 분석서버(100)는 DDoS 공격확률이 한계값 이상인 트래픽이 존재하는 경우에 한하여, DDoS 공격이 발생한 것으로 판별할 수 있다. When the learning of the determination module is completed, the
한편, 가입자 네트워크(N2)에 대한 DDoS 공격이 존재하는 것으로 판별되면, 분석서버(100)는 운용자(1)에게 알람메시지를 전송할 수 있다(S120). 즉, 분석서버(100)는 운용자(1)에게 가입자 네트워크(N2) 내에 DDoS 공격이 발생하였음을 알람메시지를 통하여 알릴 수 있다. 분석서버(100)는 운용자(1)의 이동통신단말이나 노트북, 컴퓨터 등 미리 등록된 단말에 문자메시지 또는 인스턴트 메시지(instant message) 형태의 알람메시지를 전송할 수 있다. On the other hand, if it is determined that there is a DDoS attack on the subscriber network N2, the
다만, 경우에 따라서는 설정시간 내에 알람메시지에 대한 응답이 없거나, 운용자(1)가 자동설정으로 진행하라는 회신을 하는 경우도 존재할 수 있다. 이 경우, 분석서버(100)는 자동으로 DDoS 공격이 발생한 IP를 차단대상 IP로 설정하고, 차단대상 IP들에 대한 차단정책을 생성하여 가입자 네트워크(N2)의 R2 라우터(R2)에 적용할 수 있다. However, in some cases, there may be a case where there is no response to the alarm message within the set time, or the
또한, 실시예에 따라서는, 분석장치(100)가 자동으로 차단정책을 설정하도록 하는 자동모드가 미리 설정되어 있을 수 있으며, 이 경우에는 분석서버(100)가 직접 차단정책을 생성하여 적용할 수 있다. 분석장치(100)에 자동모드가 설정된 경우에는, 분석서버(100)가 운용자(1)에게 알람메시지를 전송하는 단계(S120)는 생략될 수 있다.In addition, depending on the embodiment, an automatic mode in which the
한편, 알람메시지기 설정시간 내에 회신되는 경우에는, 분석서버(100)가 운용자(1)로부터 받은 지시에 따라 차단정책을 생성하여, 가입자 네트워크(N2)의 R2 라우터(R2)에 적용할 수 있다. 여기서, 차단정책은 DDoS 트래픽(A)을 전송하는 차단대상 IP를 특정하고, R2 라우터(R2)가 BGP 프로토콜을 이용하여 가입자 네트워크(N2)에 연결된 백본 네트워크(N1)로 차단대상 IP를 광고하도록 하는 것일 수 있다.On the other hand, if the alarm message is returned within the set time, the
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수개 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 애플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above-described present invention can be implemented as computer readable code on a medium on which a program is recorded. The computer-readable medium may continuously store programs executable by the computer or temporarily store them for execution or download. In addition, the medium may be various recording means or storage means in the form of a single or combined hardware, but is not limited to a medium directly connected to a certain computer system, and may be distributed on a network. Examples of the medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROM and DVD, magneto-optical media such as floptical disks, and ROM, RAM, flash memory, etc. configured to store program instructions. In addition, examples of other media include recording media or storage media managed by an app store that distributes applications, a site that supplies or distributes various other software, and a server. Accordingly, the above detailed description should not be construed as limiting in all respects and should be considered illustrative. The scope of the present invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the present invention are included in the scope of the present invention.
본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 본 발명에 따른 구성요소를 치환, 변형 및 변경할 수 있다는 것이 명백할 것이다.The present invention is not limited by the foregoing embodiments and accompanying drawings. It will be clear to those skilled in the art that the components according to the present invention can be substituted, modified, and changed without departing from the technical spirit of the present invention.
N1: 백본 네트워크
N2: 가입자 네트워크
100: 분석서버
200: 트래픽 분석장치N1: backbone network N2: subscriber network
100: analysis server 200: traffic analysis device
Claims (5)
상기 가입자 네트워크로 유입되는 트래픽을 분석하여 DDoS 공격의 발생여부를 판별하는 단계;
상기 DDoS 공격으로 판별되면, 운용자에게 알람메시지를 전송하는 단계; 및
상기 운용자로부터 상기 DDoS 공격에 대한 차단정책의 적용을 지시받으면, 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함하는 것으로,
상기 차단정책은
DDoS 트래픽을 전송하는 차단대상 IP를 특정하고, BGP 프로토콜을 이용하여 상기 가입자 네트워크에 연결된 백본 네트워크로 상기 차단대상 IP를 광고하는 것인 가입자 네트워크의 DDoS 트래픽 차단방법.
In the method of blocking DDoS (Distributed Denial of Service) traffic of a subscriber network using an analysis server,
analyzing traffic flowing into the subscriber network to determine whether a DDoS attack has occurred;
If it is determined that the DDoS attack, sending an alarm message to the operator; and
When receiving an instruction from the operator to apply the blocking policy to the DDoS attack, generating a blocking policy and applying it to the R2 router of the subscriber network,
The blocking policy
A method for blocking DDoS traffic in a subscriber network comprising: specifying an IP to be blocked that transmits DDoS traffic, and advertising the IP to be blocked to a backbone network connected to the subscriber network using a BGP protocol.
상기 R2 라우터의 업링크 인입 트래픽의 점유율이 임계치 이상이고, 트래픽들의 목적지별 점유율 중 특정 목적지의 점유율이 설정값 이상이면, 상기 DDoS 공격이 발생한 것으로 판별하는 가입자 네트워크의 DDoS 트래픽 차단방법.
The method of claim 1, wherein the step of determining whether the DDoS attack has occurred
The method of blocking DDoS traffic in a subscriber network for determining that the DDoS attack has occurred if the share of uplink incoming traffic of the R2 router is equal to or greater than a threshold value and the share of a specific destination among the share of traffic by destination is equal to or greater than a set value.
상기 DDoS 공격에 의한 DDoS 트래픽이 유입되는 목적지 IP와, 상기 목적지 IP에 대한 각각의 메타정보를 포함하는 것인 가입자 네트워크의 DDoS 트래픽 차단방법.
The method of claim 1, wherein the alarm message
The DDoS traffic blocking method of the subscriber network comprising a destination IP to which the DDoS traffic due to the DDoS attack flows, and respective meta information about the destination IP.
상기 가입자 네트워크에 연결된 백본 네트워크의 트래픽 분석장치로부터, DDoS 공격에 활용된 좀비 PC의 IP 리스트를 실시간 또는 주기적으로 제공받는 단계;
상기 좀비 PC의 IP 리스트를 활용하여 생성한 학습데이터로 판별모델을 학습하는 단계; 및
상기 판별모델에 상기 가입자 네트워크로 유입되는 트래픽을 적용하여 DDoS 공격의 발생여부를 판별하는 단계를 포함하는 가입자 네트워크의 DDoS 트래픽 차단방법.
The method of claim 1, wherein the step of determining whether the DDoS attack has occurred
receiving an IP list of zombie PCs used for DDoS attacks in real time or periodically from a traffic analyzer of a backbone network connected to the subscriber network;
Learning a discrimination model with learning data generated by using the IP list of the zombie PC; and
and determining whether a DDoS attack has occurred by applying the traffic flowing into the subscriber network to the discrimination model.
설정시간 내에 상기 알람메시지에 대한 응답이 없거나, 상기 운용자로부터 자동설정을 회신받으면, 상기 DDoS 공격이 발생한 IP를 차단대상 IP로 설정하고, 상기 차단대상 IP들에 대한 차단정책을 생성하여 상기 가입자 네트워크의 R2 라우터에 적용하는 단계를 포함하는 가입자 네트워크의 DDoS 트래픽 차단방법.
According to claim 4,
If there is no response to the alarm message within the set time or if an automatic setting is received from the operator, the IP where the DDoS attack occurred is set as the IP to be blocked, and a blocking policy for the IPs to be blocked is created to ensure that the subscriber network DDoS traffic blocking method of a subscriber network comprising the step of applying to the R2 router of the.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210099271A KR20230017590A (en) | 2021-07-28 | 2021-07-28 | Method for blocking DDoS traffic for subscriber network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210099271A KR20230017590A (en) | 2021-07-28 | 2021-07-28 | Method for blocking DDoS traffic for subscriber network |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230017590A true KR20230017590A (en) | 2023-02-06 |
Family
ID=85223961
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210099271A KR20230017590A (en) | 2021-07-28 | 2021-07-28 | Method for blocking DDoS traffic for subscriber network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230017590A (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100973076B1 (en) | 2009-08-28 | 2010-07-29 | (주)넷코아테크 | System for depending against distributed denial of service attack and method therefor |
-
2021
- 2021-07-28 KR KR1020210099271A patent/KR20230017590A/en unknown
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100973076B1 (en) | 2009-08-28 | 2010-07-29 | (주)넷코아테크 | System for depending against distributed denial of service attack and method therefor |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rahman et al. | DDoS attacks detection and mitigation in SDN using machine learning | |
Sahay et al. | ArOMA: An SDN based autonomic DDoS mitigation framework | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
Kumar et al. | Machine learning enabled techniques for protecting wireless sensor networks by estimating attack prevalence and device deployment strategy for 5G networks | |
US10601853B2 (en) | Generation of cyber-attacks investigation policies | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
Meidan et al. | A novel approach for detecting vulnerable IoT devices connected behind a home NAT | |
US7234168B2 (en) | Hierarchy-based method and apparatus for detecting attacks on a computer system | |
US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
US20050216956A1 (en) | Method and system for authentication event security policy generation | |
US20150052606A1 (en) | Method and a system to detect malicious software | |
US20120324572A1 (en) | Systems and methods that perform application request throttling in a distributed computing environment | |
Alaidaros et al. | An overview of flow-based and packet-based intrusion detection performance in high speed networks | |
Monshizadeh et al. | Detection as a service: An SDN application | |
Nitin et al. | Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas) | |
Seo et al. | A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems | |
Sundareswaran et al. | Packet filtering mechanism to defend against DDoS attack in blockchain network | |
KR20230017590A (en) | Method for blocking DDoS traffic for subscriber network | |
Chaitanya et al. | Security and Privacy in Wireless Sensor Networks Using Intrusion Detection Models to Detect DDOS and Drdos Attacks: A Survey | |
Hamsaveni | AN IMPLEMENTAION OF SNORT BASED INTRUSION DETECTION SYSTEM USING WIRELESS SENSOR NETWORK | |
Siddiqui et al. | Survey on Unified Threat Management (UTM) Systems for Home Networks | |
Yashwant et al. | Buckler: Intrusion Detection and Prevention using Honeypot | |
Mekonnen | IP-BASED DDOS ATTACK DETECTION AND MITIGATION FOR SDN CONTROLLER | |
Orosz et al. | Detection strategies for post-pandemic DDoS profiles |