KR20230034514A - 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법 - Google Patents

학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법 Download PDF

Info

Publication number
KR20230034514A
KR20230034514A KR1020210117343A KR20210117343A KR20230034514A KR 20230034514 A KR20230034514 A KR 20230034514A KR 1020210117343 A KR1020210117343 A KR 1020210117343A KR 20210117343 A KR20210117343 A KR 20210117343A KR 20230034514 A KR20230034514 A KR 20230034514A
Authority
KR
South Korea
Prior art keywords
traffic
past data
average value
attack
value
Prior art date
Application number
KR1020210117343A
Other languages
English (en)
Other versions
KR102575526B1 (ko
Inventor
서종원
정희석
Original Assignee
(주)엔토빌소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔토빌소프트 filed Critical (주)엔토빌소프트
Priority to KR1020210117343A priority Critical patent/KR102575526B1/ko
Publication of KR20230034514A publication Critical patent/KR20230034514A/ko
Application granted granted Critical
Publication of KR102575526B1 publication Critical patent/KR102575526B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

본 발명은 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법에 관한 것으로, 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN:Fully Qualified Domain Name)을 대상으로 트래픽 측정 항목 별로 트래픽 통계를 추출하는 트래픽 분석부, 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 일 기준 최대 트래픽에 대한 평균값을 산출하고, 산출한 일 기준 최대 트래픽에 대한 평균값을 이용하여 과거 데이터를 학습하는 과거 데이터 학습부 및 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출하고, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격(DDoS:Distributed Denial Of Sevice)을 탐지하는 DDoS 탐지부를 포함한다.

Description

학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법{APPARATUS AND METHOD FOR DETECTING DISTRIBUTED DENIAL OF SERVICE ATTACK USING LEARNED HISTORICAL DATA}
본 발명은 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법에 관한 것으로, 보다 자세하게는 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN:Fully Qualified Domain Name)을 대상으로 트래픽 측정 항목 별로 추출된 트래픽 통계를 토대로 산출되는 일 기준 최대 트래픽에 대한 평균값 이용하여 과거 데이터를 학습하여 분산 서비스 거부 공격을 탐지하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법에 관한 것이다.
일반적으로 분산 서비스 거부 공격(Distributed Denial Of Sevice, DDoS)은 악의적인 공격자가 인터넷 상의 웹 서비스 제공 서버와 같은 목표 시스템과 그 시스템이 속한 네트워크로 순간적으로 다량의 데이터를 보냄으로써 해당 시스템 및 네트워크가 정상적으로 동작하지 못하게 하는 것을 의미한다.
이러한 공격을 위한 트래픽 종류는 TCP SYN Flooding, ICMP Flooding, UDP Flooding 등이 있다.
TCP SYN Flooding 공격은 서버에게 계속해서 SYN 패킷만을 보냄으로서 서버가 많은 TCP 연결을 맺게 하여 서버의 자원을 고갈시키게 하는 공격이다. 이러한 공격 형태는 외관상 정상적인 트래픽의 흐름으로 보이기 때문에 이런 공격을 탐지하는 것은 상당히 어려운 문제이다. 현존하는 탐지 방법으로는 DDoS 공격을 완벽히 탐지하지 못하고 공격이 발생한 후 많은 시간이 경과한 후에야 공격 여부를 인식하고 대응하기 때문에 상당한 시간 동안 정상적인 서비스를 제공하지 못한다.
한편, 종래의 공격 탐지 방법은 송신지(source/attacker)측면에서 탐지하는 방법, 목적지(destination/victim)측면에서 탐지하는 방법, 코어 네트워크에서 감지하는 방법이 있다. 대표적인 기술로는 푸시백(pushback)기법과 IP 역추적(traceback) 기법을 들 수 있다.
그 중에서 푸시백(pushback) 기법은 네트워크상의 개별 라우터의 패킷 버림(packet drop)통계를 관찰하여 공격을 탐지한다. 좀비 PC와 같은 공격자에 의해 발생된 DDoS 공격은 여러 경로를 거쳐 목적지에 도착하게 되므로, 공격 패킷이 증가하는 목적지 근처의 라우터에서는 많은 량의 패킷 버림 현상이 발생한다. 즉, 이런 경우 목적지 근처의 라우터는 패킷을 보낸 경로로 푸시백 메시지를 전달하고, 이 메시지를 수신한 다른 라우터는 해당 트래픽의 전달을 차단하고, 계속해서 패킷이 온 경로를 향해 푸시백 메시지를 전달함으로써 전체적으로 공격 패킷을 차단할 수 있는 것이다.
그러나, 기존의 푸시백 기법은 많은 좀비 PC에서 이루어지는 현재의 DDoS 공격 추세에 적절히 대응하기 어려운 문제가 있다. 왜냐하면 네트워크상에는 공격 PC들이 분산되어 있으므로 모든 개별 라우터에 푸시백 메시지를 전달하는 것은 많은 시간과 자원이 소모된다. 따라서, 푸시백 메시지를 전달하는 것이 오히려 네트워크에 부하를 가중시키는 결과를 초래하는 문제가 발생한다.
IP 역추적(traceback) 기법은 공격 대상 시스템 관리자에게 DDoS 공격의 실제적인 공격 근원지 IP 주소를 알려주는 기능을 제공한다. IP 역추적 기법은 크게 패킷을 중심으로 마킹 방법론을 사용한 기법, ICMP(Internet Control Message Protocol) 프로토콜과 같은 프로토콜 등에 대한 변형을 통해 근원지 패킷의 전달 경로 정보를 관리하는 기법 및 네트워크 망 구조 측면에서의 관리 프로토콜을 응용한 기법 등으로 구분된다. 그리고, 공격에 대한 대응 방식에 따라 전향적 역추적 기술과 대응적 역추적 기술로 구분된다.
그러나, IP 역추적 기법은 현재의 다단계 공격 형태를 가지는 상황에서 근원지 IP 주소를 알아내는데 많은 문제점을 가진다. 또한, 역추적을 위해서는 라우터내에 많은 메모리를 가져야 하며, 라우터가 많은 량의 정보를 처리해야 하므로 라우터의 성능에 많은 부정적 영향을 초래한다. 그리고, 실제 트래픽을 차단하기 위해서 많은 시간이 경과하게 되는 단점이 있다.
이처럼 기존의 DDoS 탐지 방식들은 DDoS 공격 여부를 확인하기 위해 많은 시간과 자원이 소요되며, 막대한 량의 공격 트래픽으로부터 공격대상서버를 보호하지 못하는 문제점이 있다. 따라서, DDoS 공격 혹은 비정상적인 트래픽 발생을 신속히 판단하고 그에 대처할 수 있는 방안이 절실히 요구된다.
이와 관련하여, 한국공개특허 제2011-0061217호는 "플로우 패턴 정보를 이용한 분산 서비스 거부 공격 검출 시스템 및 그 방법"에 관하여 개시하고 있다.
본 발명은 상기와 같은 문제점을 해결하기 위해 발명된 것으로서, 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임을 대상으로 트래픽 측정 항목 별로 추출된 트래픽 통계를 토대로 산출되는 일 기준 최대 트래픽에 대한 평균값 이용하여 과거 데이터를 학습하여 이를 통해 획득된 임계 트래픽양을 이용하여 분산 서비스 거부 공격을 탐지하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법을 제공하는데 그 목적이 있다.
상기의 목적을 달성하기 위한 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치는 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN:Fully Qualified Domain Name)을 대상으로 트래픽 측정 항목 별로 트래픽 통계를 추출하는 트래픽 분석부; 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 일 기준 최대 트래픽에 대한 평균값을 산출하고, 산출한 일 기준 최대 트래픽에 대한 평균값을 이용하여 과거 데이터를 학습하는 과거 데이터 학습부; 및 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출하고, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격(DDoS:Distributed Denial Of Sevice)을 탐지하는 DDoS 탐지부;를 포함한다.
또한, 상기 트래픽 분석부는, 목적지 IP 주소의 트래픽 측정 항목은 TCP 패킷 중 SYN flag 가 있는 초당 패킷 수, TCP 초당 패킷 수, UDP 초당 패킷 수, ICMP 초당 패킷 수, DNS 초당 요청 수, TCP 연결 중인 초당 세션 수, TCP 연결 후 fin-wait 상태인 초당 세션 수, 유입되는 초당 패킷 수, 유입되는 초당 bit 수, UDP 연결 중인 초당 세션 수, ICMP 연결 중인 초당 세션 수, HTTP 초당 요청 수, HTTP 요청 헤더 버퍼링 수, HTTP 요청 바디 버퍼링 수, HTTP 응답 버퍼링 수 중 적어도 어느 하나인 것으로 하고, 전체 주소 도메인 네임의 트래픽 측정 항목은 HTTP 요청 중 캐싱이 가능한 URL 객체에 대한 초당 요청 수, HTTP 요청 중 캐싱이 가능하지 않은 URL 객체에 대한 초당 요청 수, HTTP 요청 중 Cache-control 헤더 요청 수, POST 요청 수 중 적어도 어느 하나인 것을 특징으로 한다.
또한, 상기 트래픽 분석부는 1분 마다 1분에 대한 평균값인 제1 트래픽 평균값, 1분의 평균값을 모은 제1 시간에 대한 평균값인 제2 트래픽 평균값, 1분의 평균값을 모은 제2 시간에 대한 평균값인 제3 트래픽 평균값, 기 설정된 최소 탐지 시간 마다의 평균값에 따른 현재 트래픽 공격량을 산출하는 것을 특징으로 한다.
또한, 상기 과거 데이터 학습부는 산출된 일 기준 최대 트래픽을 갖는 1분에 대한 평균값에 대하여 통계적 알고리즘을 이용하여 과거 데이터를 학습하는 것을 특징으로 한다.
또한, 상기 DDoS 탐지부는, 산출된 현재 트래픽 공격량을 기 정의된 트래픽 측정 항목별 레벨표와 대조하여 레벨값을 산정하는 레벨 산정부; 산정된 레벨을 기 정의된 임계 변화율표와 대조하여 임계 변화율값을 도출하는 임계 변화율값 도출부; 및 도출된 임계 변화율값과 기 학습된 과거 데이터을 이용하여 임계 트래픽양을 획득하고, 획득된 임계 트래픽양과 현재 트래픽 공격량을 비교한 결과를 토대로 분산 서비스 거부 공격을 탐지하는 탐지 결과 출력부;를 포함하는 것을 특징으로 한다.
또한, 상기 레벨 선정부는 트래픽 측정 항목별, 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 트래픽 측정 항목별 레벨표를 토대로 레벨값을 산정하는 것을 특징으로 한다.
또한, 상기 임계 변화율값 도출부는 추출된 제1 트래픽 평균값, 제2 트래픽 평균값, 제3 트래픽 평균값과 기 학습된 과거 데이터 중 큰 값과 대비한 현재 트래픽 공격량, 현재 일 기준 최대 트래픽에 대한 평균값을 비교한 결과에 따라 구분되는 트래픽 증가 유형에 따른 다수개의 탐지 룰(Rule)과 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 임계 변화율표를 토대로 임계 변화율값을 도출하는 것을 특징으로 한다.
상기의 목적을 달성하기 위한 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 방법은 트래픽 분석부에 의해, 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN:Fully Qualified Domain Name)을 대상으로 트래픽 측정 항목 별로 트래픽 통계를 추출하는 단계; 과거 데이터 학습부에 의해, 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 일 기준 최대 트래픽에 대한 평균값을 산출하고, 산출한 일 기준 최대 트래픽에 대한 평균값을 이용하여 과거 데이터를 학습하는 단계; 및 DDoS 탐지부에 의해, 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출하고, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격(DDoS:Distributed Denial Of Sevice)을 탐지하는 단계:를 포함한다.
본 발명은 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법에 관한 것으로, 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임을 대상으로 트래픽 측정 항목 별로 추출된 트래픽 통계를 토대로 산출되는 일 기준 최대 트래픽에 대한 평균값 이용하여 과거 데이터를 학습하여 이를 통해 획득된 임계 트래픽양을 이용하여 분산 서비스 거부 공격을 탐지함으로써, 피해 서버별 다양성을 반영하여 분산 서비스 거부 공격에 대한 빠르고 정확한 대응을 가능하게 하는 효과가 있다.
도 1은 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치의 구성을 설명하기 위한 도면이다.
도 2는 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치에 채용되는 DDoS 탐지부의 세부 구성을 설명하기 위한 도면이다.
도 3 및 도 4는 DDoS 탐지부에 반영되는 트래픽 증가 유형에 따른 다수개의 탐지 룰을 설명하기 위한 도면이다.
도 5는 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 방법의 순서를 설명하기 위한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능선을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 이하, 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치의 구성을 설명하기 위한 도면이다.
도 1을 참조하여 설명하면, 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치(100)는 크게 트래픽 분석부(110), 과거 데이터 학습부(120) 및 DDoS 탐지부(130)를 포함한다.
트래픽 분석부(110)는 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN)을 대상으로 트래픽 측정 항목 별로 트래픽 통계를 추출한다.
트래픽 분석부(110)는 목적지 IP 주소의 트래픽 측정 항목은 TCP 패킷 중 SYN flag 가 있는 초당 패킷 수(SYN pps), TCP 초당 패킷 수(TCP pps) , UDP 초당 패킷 수(UDP pps), ICMP 초당 패킷 수(ICMP pps), DNS 초당 요청 수(DNS qps), TCP 연결 중인 초당 세션 수(TCP 세션 수), TCP 연결 후 fin-wait 상태인 초당 세션 수(TCP fin-wait 수), 유입되는 초당 패킷 수(Inbound pps), 유입되는 초당 bit 수(Inbound bps), UDP 연결 중인 초당 세션 수(UDP 세션 수), ICMP 연결 중인 초당 세션 수(ICMP 세션 수), HTTP 초당 요청 수(HTTP rps), HTTP 요청 헤더 버퍼링 수(HTTP 요청의 헤더는 시작했으나 완료되지 않은 세션 수), HTTP 요청 바디 버퍼링 수(HTTP 요청의 바디는 시작했으나 완료되지 않은 세션 수), HTTP 응답 버퍼링 수(HTTP 응답은 시작했으나 수신자의 Zero Window 설정에 의해 완료되지 않은 세션 수) 중 적어도 어느 하나일 수 있다.
그리고 트래픽 분석부(110)는 전체 주소 도메인 네임의 트래픽 측정 항목은 HTTP 요청 중 캐싱이 가능한 URL 객체에 대한 초당 요청 수(Cacheable URL 요청 수), HTTP 요청 중 캐싱이 가능하지 않은 URL 객체에 대한 초당 요청 수(Non-Cacheable URL 요청 수), HTTP 요청 중 Cache-control 헤더 요청 수(Cache-Control 헤더 요청 수), POST 요청 수(HTTP 요청 중 Method 방식이 POST 인 초당 요청 수) 중 적어도 어느 하나일 수 있다.
이러한 트래픽 분석부(110)는 1분 마다 1분에 대한 평균값인 제1 트래픽 평균값, 1분의 평균값을 모은 제1 시간에 대한 평균값인 제2 트래픽 평균값, 1분의 평균값을 모은 제2 시간에 대한 평균값인 제3 트래픽 평균값, 기 설정된 최소 탐지 시간 마다의 평균값에 따른 현재 트래픽 공격량을 산출한다.
여기서, 제2 트래픽 평균값은 1분의 평균값을 5개 모아서 5분에 대한 평균값이고, 제3 트래픽 평균값은 1분의 평균값을 15개 모아서 15분에 대한 평균값이고, 현재 트래픽 공격량은 기 설정된 최소 탐지 시간인 5초의 평균값일 수 있다. 이러한, 5초 단위는 시스템 부하를 고려한 최소 탐지 시간을 기준으로 한 것일 뿐 이에 한정되지는 않는다.
과거 데이터 학습부(120)는 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 일 기준 최대 트래픽에 대한 평균값을 산출하고, 산출한 일 기준 최대 트래픽에 대한 평균값을 이용하여 과거 데이터를 학습한다. 이러한 과거 데이터는 별도의 DB를 통해 저장 및 관리된다.
과거 데이터 학습부(120)는 산출된 하루 즉, 일 기준 최대 트래픽을 갖는 1분에 대한 평균값에 대하여 통계적 알고리즘을 이용하여 과거 데이터를 학습한다. 즉, 과거 데이터 학습부(120)는 하루 24시간, 이는 1440분, 1440개의 1분 평균값 중 최대값인 1분에 대한 평균값을 과거 데이터 학습에 적용한다. 이는 일 기준 최대 트래픽을 갖는 1분에 대한 평균값을 통계적 알고리즘을 이용하여 가중치를 반영하여 적용될 수 있다. 이때, 가중치는 기 학습된 과거 데이터에 80%, 최근 일일 평균 최대값에 20%를 적용하여 평균 값을 계산한다고 가정할 때의 비중(비율) 계수값을 의미한다. 보다 자세하게, 평일에는 서버에 유입되는 트래픽양이 많다가 주말에는 트래픽양이 현저하게 줄어드는 경우와 같이 트래픽양의 변화가 크면 가중치 계수 값을 달리하여 획득하는 과거 데이터의 평균값을 평활하게 조정할 수 있게 된다.
DDoS 탐지부(130)는 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출하고, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격(DDoS)을 탐지한다. 이러한 DDoS 탐지부(130)의 구성 및 기능에 대해서는 이후 설명되는 도 2 내지 도 4에서 자세하게 설명하기로 한다.
도 2는 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치에 채용되는 DDoS 탐지부의 세부 구성을 설명하기 위한 도면이고, 도 3 및 도 4는 DDoS 탐지부에 반영되는 트래픽 증가 유형에 따른 다수개의 탐지 룰을 설명하기 위한 도면이다.
도 2를 참조하여 설명하면, 본 발명에 따른 DDoS 탐지부(130)는 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출하고, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격을 탐지한다.
이를 위해, DDoS 탐지부(130)는 레벨 산정부(131), 임계 변화율값 도출부(132) 및 탐지 결과 출력부(133)를 포함할 수 있다.
레벨 산정부(131)는 산출된 현재 트래픽 공격량을 기 정의된 트래픽 측정 항목별 레벨표와 대조하여 레벨값을 산정한다.
레벨 선정부(131)는 하기의 표 1 및 표 2와 같은 트래픽 측정 항목별, 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 트래픽 측정 항목별 레벨표를 토대로 레벨값을 산정할 수 있다.
Figure pat00001
Figure pat00002
이처럼, 본 발명은 대상의 트래픽 처리 용량이 가장 작은 것을 레벨 1로 정의하고, 가장 큰 대상을 레벨 5로 정의하였으나 이에 한정되지는 않는다.
레벨은 학습된 과거 데이터를 참고하여 산정되는데, 과거 데이터라는 공격 트래픽이 아닌 정상적인 범주의 트래픽을 학습하는 것이기 때문에 공격량은 이보다 몇 배수 큰 값이 일반이기때문이다.
따라서, 레벨 1 값은 최소 DDoS 공격으로 의심할만한 수치의 값으로 정의해야 하고, 레벨 값을 정의하는 과정에서 산술적인 일반식이 존재하는 것이 아닌 경험칙에 의해 레벨 1은 과거 데이터의 약 15배수, 레벨 5는 약 1.5배정도로 설정할 수 있으며 이는 DDoS 탐지 빈도 및 정탐, 오탐 등의 분석을 하는 모니터링 기간을 거쳐 수치 등이 조정될 수 있다.
임계 변화율값 도출부(132)는 산정된 레벨을 기 정의된 임계 변화율표와 대조하여 임계 변화율값을 도출한다. 여기서, 도출된 임계 변화율값은 이후 해당 서버의 과거 데이터 등과 조합하여 임계 트래픽량을 산정하는데 사용한다.
임계 변화율값 도출부(132)는 하기의 표 3과 같은 추출된 제1 트래픽 평균값, 제2 트래픽 평균값, 제3 트래픽 평균값과 기 학습된 과거 데이터 중 큰 값과 대비한 현재 트래픽 공격량, 현재 일 기준 최대 트래픽에 대한 평균값을 비교한 결과에 따라 구분되는 트래픽 증가 유형에 따른 다수개의 탐지 룰(Rule)과 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 임계 변화율표를 토대로 임계 변화율값을 도출한다.
Figure pat00003
여기서, 다수개의 탐지 룰은 A룰, B룰 및 C룰로 구분된다. A룰은 트래픽이 급격하게 증가한 경우이고 B 및 C룰은 트래픽인 점진적으로 증가한 경우이다. 도 3 및 도 4를 참조하면 A룰의 경우는 제1 트래픽 평균값(이전 1분 평균값)과 과거 데이터 중 큰 값을 현재의 공격량과 비교하고, B룰의 경우는 제2 트래픽 평균값(이전 5분 평균값)과 과거 데이터 중 큰 값을 현재의 1분 평균값을 비교하고, C룰의 경우는 제3 트래픽 평균값(이전 15분 평균값)과 과거 데이터 중 큰 값을 현재의 1분 평균값을 비교하여 체크한다.
보다 자세하게, 현재 운용 중인 장비의 시스템 자원을 고려하여 탐지할 수 있는 최소 시간(5초)를 기준하여, 현재 트래픽 공격량을 가지고 제1 트래픽 평균값과 비교 탐지하는 A룰은 예를 들어 1Mbps 의 트래픽이 1Gbps 로 증가하는데 걸리는 시간이 5초 이내일 수도 있고 수분에 걸쳐 점진적으로 증가할 수도 있기 때문에 점진적 증가 유형의 공격을 판단하기에는 부족함이 있어 보다 긴 시간 차이를 두고 트래픽의 변화율을 판단하여 탐지할 수 있는 B룰, C룰을 만든 것이다.
그리고 임계 변화율은 트래픽 처리량이 적은 레벨 1에 해당 될 것으로 판단되는 대상은 평소 유휴 리소스(남는 자원; CPU, MEM 등)가 90%가 넘을 것이라 판단하여 높은 배수(변화율)를, 레벨 5일 경우는 유휴 리소스가 10 ~ 20% 정도로 여유가 없을 것으로 판단하여 낮은 배수를 적용한다.
예를 들어, 현재 공격량이 SYN pps 트래픽량이 12K 발생하였다면 트래픽 측정 항목별 레벨 표를 통해 2 레벨과 3 레벨 사이의 값이 되고, 이에 따라 임계 변화율값은 2레벨과 3레벨 사이의 값 중 linear 한 7.3 값으로 도출될 수 있다.
탐지 결과 출력부(133)는 트래픽 증가 유형에 따라 도출된 임계 변화율값과 기 학습된 과거 데이터을 이용하여 임계 트래픽양을 획득하고, 획득된 임계 트래픽양과 현재 트래픽 공격량을 비교한 결과를 토대로, 현재 트래픽 공격량이 임계 트래픽양을 상회하면 분산 서비스 거부 공격인 것으로 탐지한다.
여기서, 임계 트래픽양을 구하는 수식은 다음과 같다.
임계 트래픽양 = MAX(탐지룰 별 트래픽 평균값, 과거 데이터)*탐지 계수
도 5는 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 방법의 순서를 설명하기 위한 순서도이다.
도 5를 참조하여 설명하면, 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 방법은 앞서 설명한 본 발명에 따른 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치를 이용하는 것으로, 이하 중복되는 설명은 생략하기로 한다.
먼저, 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN)을 대상으로 트래픽 측정 항목 별로 트래픽 통계를 추출한다(S100).
S100 단계는 1분 마다 1분에 대한 평균값인 제1 트래픽 평균값, 1분의 평균값을 모은 제1 시간에 대한 평균값인 제2 트래픽 평균값, 1분의 평균값을 모은 제2 시간에 대한 평균값인 제3 트래픽 평균값, 기 설정된 최소 탐지 시간 마다의 평균값에 따른 현재 트래픽 공격량을 산출한다.
다음, 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 일 기준 최대 트래픽에 대한 평균값을 산출하고, 산출한 일 기준 최대 트래픽에 대한 평균값을 이용하여 과거 데이터를 학습한다(S200).
S200 단계는 산출된 하루 즉, 일 기준 최대 트래픽을 갖는 1분에 대한 평균값에 대하여 통계적 알고리즘을 이용하여 과거 데이터를 학습한다.
다음, 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출한다(S300).
S300 단계는, 산출된 현재 트래픽 공격량과 트래픽 측정 항목별, 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 트래픽 측정 항목별 레벨표를 대조하여 레벨값을 산정하고, 산정된 레벨과 제1 트래픽 평균값, 제2 트래픽 평균값, 제3 트래픽 평균값과 기 학습된 과거 데이터 중 큰 값과 대비한 현재 트래픽 공격량, 현재 일 기준 최대 트래픽에 대한 평균값을 비교한 결과에 따라 구분되는 트래픽 증가 유형에 따른 다수개의 탐지 룰(Rule)과 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 임계 변화율표를 대조하여 토대로 임계 변화율값을 도출한다.
다음, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격(DDoS)을 탐지한다(S400).
S400 단계는, 도출된 임계 변화율값과 기 학습된 과거 데이터을 이용하여 임계 트래픽양을 획득하고, 획득된 임계 트래픽양과 현재 트래픽 공격량을 비교한 결과를 토대로, 현재 트래픽 공격량이 임계 트래픽양을 상회하면 분산 서비스 거부 공격인 것으로 탐지한다.
이상 본 명세서에서 설명한 기능적 동작과 본 주제에 관한 실시형태들은 본 명세서에서 개시한 구조들 및 그들의 구조적인 등가물을 포함하여 디지털 전자 회로나 컴퓨터 소프트웨어, 펌웨어 또는 하드웨어에서 또는 이들 중 하나 이상이 조합되어 구현 가능하다.
본 명세서에서 기술하는 주제의 실시형태는 하나 이상이 컴퓨터 프로그램 제품, 다시 말해 데이터 처리 기기에 의한 실행을 위하여 또는 그 동작을 제어하기 위하여 유형의 프로그램 매체 상에 인코딩되는 컴퓨터 프로그램 명령에 관한 하나 이상이 모듈로서 구현될 수 있다. 유형의 프로그램 매체는 전파형 신호이거나 컴퓨터로 판독 가능한 매체일 수 있다. 전파형 신호는 컴퓨터에 의한 실행을 위하여 적절한 수신기 기기로 전송하기 위한 정보를 인코딩하기 위하여 생성되는 예컨대 기계가 생성한 전기적, 광학적 또는 전자기 신호와 같은 인공적으로 생성된 신호이다. 컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장기기, 기계로 판독 가능한 저장 기판, 메모리 기기, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조합 또는 이들 중 하나 이상이 조합일 수 있다.
컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 또는 코드로도 알려져 있음)은 컴파일되거나 해석된 언어나 선험적 또는 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 또는 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다.
컴퓨터 프로그램은 파일 기기의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 또는 다중의 상호 작용하는 파일(예컨대, 하나 이상이 모듈, 하위 프로그램 또는 코드의 일부를 저장하는 파일) 내에, 또는 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상이 스크립트) 내에 저장될 수 있다.
컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 통신 네트워크에 의해 상호 접속된 다중 컴퓨터나 하나의 컴퓨터 상에서 실행되도록 전개될 수 있다.
부가적으로, 본 특허문헌에서 기술하는 논리 흐름과 구조적인 블록도는 개시된 구조적인 수단의 지원을 받는 대응하는 기능과 단계의 지원을 받는 대응하는 행위 및/또는 특정한 방법을 기술하는 것으로, 대응하는 소프트웨어 구조와 알고리즘과 그 등가물을 구축하는 데에도 사용 가능하다.
본 명세서에서 기술하는 프로세스와 논리 흐름은 수신 데이터 상에서 동작하고 출력을 생성함으로써 기능을 수행하기 위하여 하나 이상이 컴퓨터 프로그램을 실행하는 하나 이상이 프로그래머블 프로세서에 의하여 수행 가능하다.
컴퓨터 프로그램의 실행에 적합한 프로세서는, 예컨대 범용 및 특수 목적의 마이크로프로세서 양자 및 어떤 형태의 디지털 컴퓨터의 어떠한 하나 이상이 프로세서라도 포함한다. 일반적으로, 프로세서는 읽기 전용 메모리나 랜덤 액세스 메모리 또는 양자로부터 명령어와 데이터를 수신할 것이다.
컴퓨터의 핵심적인 요소는 명령어와 데이터를 저장하기 위한 하나 이상이 메모리 기기 및 명령을 수행하기 위한 프로세서이다. 또한, 컴퓨터는 일반적으로 예컨대 자기, 자기 광학 디스크나 광학 디스크와 같은 데이터를 저장하기 위한 하나 이상이 대량 저장 기기로부터 데이터를 수신하거나 그것으로 데이터를 전송하거나 또는 그러한 동작 둘 다를 수행하기 위하여 동작가능 하도록 결합되거나 이를 포함할 것이다. 그러나, 컴퓨터는 그러한 기기를 가질 필요가 없다.
본 기술한 설명은 본 발명의 최상의 모드를 제시하고 있으며, 본 발명을 설명하기 위하여, 그리고 당업자가 본 발명을 제작 및 이용할 수 있도록 하기 위한 예를 제공하고 있다. 이렇게 작성된 명세서는 그 제시된 구체적인 용어에 본 발명을 제한하는 것이 아니다.
따라서, 상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다. 요컨대 본 발명이 의도하는 효과를 달성하기 위해 도면에 도시된 모든 기능 블록을 별도로 포함하거나 도면에 도시된 모든 순서를 도시된 순서 그대로 따라야만 하는 것은 아니며, 그렇지 않더라도 얼마든지 청구항에 기재된 본 발명의 기술적 범위에 속할 수 있음에 주의한다.
100 : 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치
110 : 트래픽 분석부
120 : 과거 데이터 학습부
130 : DDoS 탐지부

Claims (8)

  1. 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN:Fully Qualified Domain Name)을 대상으로 트래픽 측정 항목 별로 트래픽 통계를 추출하는 트래픽 분석부;
    추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 일 기준 최대 트래픽에 대한 평균값을 산출하고, 산출한 일 기준 최대 트래픽에 대한 평균값을 이용하여 과거 데이터를 학습하는 과거 데이터 학습부; 및
    추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출하고, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격(DDoS:Distributed Denial Of Sevice)을 탐지하는 DDoS 탐지부;
    를 포함하는 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치.
  2. 제1항에 있어서,
    상기 트래픽 분석부는,
    목적지 IP 주소의 트래픽 측정 항목은 TCP 패킷 중 SYN flag 가 있는 초당 패킷 수, TCP 초당 패킷 수, UDP 초당 패킷 수, ICMP 초당 패킷 수, DNS 초당 요청 수, TCP 연결 중인 초당 세션 수, TCP 연결 후 fin-wait 상태인 초당 세션 수, 유입되는 초당 패킷 수, 유입되는 초당 bit 수, UDP 연결 중인 초당 세션 수, ICMP 연결 중인 초당 세션 수, HTTP 초당 요청 수, HTTP 요청 헤더 버퍼링 수, HTTP 요청 바디 버퍼링 수, HTTP 응답 버퍼링 수 중 적어도 어느 하나인 것으로 하고,
    전체 주소 도메인 네임의 트래픽 측정 항목은 HTTP 요청 중 캐싱이 가능한 URL 객체에 대한 초당 요청 수, HTTP 요청 중 캐싱이 가능하지 않은 URL 객체에 대한 초당 요청 수, HTTP 요청 중 Cache-control 헤더 요청 수, POST 요청 수 중 적어도 어느 하나인 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치.
  3. 제1항에 있어서,
    상기 트래픽 분석부는 1분 마다 1분에 대한 평균값인 제1 트래픽 평균값, 1분의 평균값을 모은 제1 시간에 대한 평균값인 제2 트래픽 평균값, 1분의 평균값을 모은 제2 시간에 대한 평균값인 제3 트래픽 평균값, 기 설정된 최소 탐지 시간 마다의 평균값에 따른 현재 트래픽 공격량을 산출하는 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치.
  4. 제1항에 있어서,
    상기 과거 데이터 학습부는 산출된 일 기준 최대 트래픽을 갖는 1분에 대한 평균값에 대하여 통계적 알고리즘을 이용하여 과거 데이터를 학습하는 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치.
  5. 제1항에 있어서,
    상기 DDoS 탐지부는,
    산출된 현재 트래픽 공격량을 기 정의된 트래픽 측정 항목별 레벨표와 대조하여 레벨값을 산정하는 레벨 산정부;
    산정된 레벨을 기 정의된 임계 변화율표와 대조하여 임계 변화율값을 도출하는 임계 변화율값 도출부; 및
    도출된 임계 변화율값과 기 학습된 과거 데이터을 이용하여 임계 트래픽양을 획득하고, 획득된 임계 트래픽양과 현재 트래픽 공격량을 비교한 결과를 토대로 분산 서비스 거부 공격을 탐지하는 탐지 결과 출력부;
    를 포함하는 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치.
  6. 제5항에 있어서,
    상기 레벨 선정부는 트래픽 측정 항목별, 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 트래픽 측정 항목별 레벨표를 토대로 레벨값을 산정하는 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치.
  7. 제5항에 있어서,
    상기 임계 변화율값 도출부는 추출된 제1 트래픽 평균값, 제2 트래픽 평균값, 제3 트래픽 평균값과 기 학습된 과거 데이터 중 큰 값과 대비한 현재 트래픽 공격량, 현재 일 기준 최대 트래픽에 대한 평균값을 비교한 결과에 따라 구분되는 트래픽 증가 유형에 따른 다수개의 탐지 룰(Rule)과 트래픽 처리 용량의 크기에 따라 구분되는 다수개의 등급 레벨에 대한 기 정의된 임계 변화율표를 토대로 임계 변화율값을 도출하는 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치.
  8. 트래픽 분석부에 의해, 유입되는 트래픽을 분석하여, 목적지 IP 주소 또는 전체 주소 도메인 네임(FQDN:Fully Qualified Domain Name)을 대상으로 트래픽 측정 항목 별로 트래픽 통계를 추출하는 단계;
    과거 데이터 학습부에 의해, 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 일 기준 최대 트래픽에 대한 평균값을 산출하고, 산출한 일 기준 최대 트래픽에 대한 평균값을 이용하여 과거 데이터를 학습하는 단계; 및
    DDoS 탐지부에 의해, 추출된 트래픽 측정 항목 별 트래픽 통계를 토대로 산출되는 현재 트래픽 공격량에 따라 임계 변화율값을 도출하고, 도출된 임계 변화율값과 기 학습된 과거 데이터를 통해 획득되는 임계 트래픽양을 이용하여 분산 서비스 거부 공격(DDoS:Distributed Denial Of Sevice)을 탐지하는 단계:
    를 포함하는 것을 특징으로 하는 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 방법.
KR1020210117343A 2021-09-03 2021-09-03 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법 KR102575526B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210117343A KR102575526B1 (ko) 2021-09-03 2021-09-03 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210117343A KR102575526B1 (ko) 2021-09-03 2021-09-03 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20230034514A true KR20230034514A (ko) 2023-03-10
KR102575526B1 KR102575526B1 (ko) 2023-09-06

Family

ID=85511822

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210117343A KR102575526B1 (ko) 2021-09-03 2021-09-03 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR102575526B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101587845B1 (ko) * 2014-09-26 2016-01-22 주식회사 엘지유플러스 디도스 공격을 탐지하는 방법 및 장치
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법
KR20200014968A (ko) * 2018-08-02 2020-02-12 주식회사 케이티 비정상 트래픽 탐지 방법 및 그 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101587845B1 (ko) * 2014-09-26 2016-01-22 주식회사 엘지유플러스 디도스 공격을 탐지하는 방법 및 장치
KR101814368B1 (ko) * 2017-07-27 2018-01-04 김재춘 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법
KR20200014968A (ko) * 2018-08-02 2020-02-12 주식회사 케이티 비정상 트래픽 탐지 방법 및 그 장치

Also Published As

Publication number Publication date
KR102575526B1 (ko) 2023-09-06

Similar Documents

Publication Publication Date Title
Wang et al. An entropy-based distributed DDoS detection mechanism in software-defined networking
US9043912B2 (en) Method for thwarting application layer hypertext transport protocol flood attacks focused on consecutively similar application-specific data packets
US8819821B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
Mousavi Early detection of DDoS attacks in software defined networks controller
US20200137112A1 (en) Detection and mitigation solution using honeypots
KR20110089179A (ko) 네트워크 침입 방지
Akilandeswari et al. Probabilistic neural network based attack traffic classification
KR20180052324A (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
Dridi et al. A holistic approach to mitigating DoS attacks in SDN networks
CN106534068A (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Sen A robust mechanism for defending distributed denial of service attacks on web servers
Jeyanthi et al. RQA based approach to detect and prevent DDoS attacks in VoIP networks
Goksel et al. DoS attack detection using packet statistics in SDN
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Tahmasebi et al. A novel feature-based DDoS detection and mitigation scheme in SDN controller using queueing theory
Wang et al. An approach for protecting the openflow switch from the saturation attack
You et al. Detecting flooding-based DDoS attacks
KR102575526B1 (ko) 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법
Hyder et al. Closed-loop DDoS mitigation system in software defined networks
Bellaiche et al. SYN flooding attack detection based on entropy computing

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right