WO2014193158A1 - 콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법 - Google Patents

Abstract

콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법이 개시된다. 본 발명의 실시예에 따른 서비스 거부공격 탐지장치는 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하는 저장부; n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포와, n-1번째 단위시간까지의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포 각각의 집합인 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스를 이용하여, 상기 n번째 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리(Hellinger Distance)의 제곱 값을 계산하고 상기 헬링거 거리의 제곱 값을 지수가중이동평균하는 유입 비율 변화 계산부; 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 산술평균, n-1번째 단위시간에서의 Interest 및 Data의 유입비율 변화인 헬링거 거리의 제곱 값을 지수가중이동평균한 값 및 n-1번째 단위시간에서 Interest 수신 개수 및 Data 발신 개수의 비율을 이용하여, 상기 n번째 단위시간에서의 서비스 거부 공격 여부 판단 기준인 동적 임계치를 계산하는 임계치 계산부; 및 상기 동적 임계치와 상기 지수가중이동평균 된 헬링거 거리의 제곱 값을 비교하여 서비스 거부 공격의 발생 여부를 탐지하는 탐지부를 포함한다.

Description

콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법

본 발명은 콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법에 관한 것으로, 더욱 자세하게는 짧은 시간 동안 대량의 Interest 패킷이 유입되는 Interest flooding으로 인해서 정상적인 Interest가 처리되지 못하고 폐기되는 상황인 서비스 거부 공격을 탐지하는 기술에 관한 것이다.

콘텐츠 중심 네트워킹은 사용자가 콘텐츠를 호스트 주소를 기반으로 요청하는 기존 인터넷과는 달리 콘텐츠 그 자체의 이름을 기반으로 요청하는 새로운 통신 아키텍처 기술로써 각광받고 있다.

이러한 콘텐츠 중심 패러다임으로의 변화는 기존 인터넷의 종단 간 연결성이 사라지게 되고 콘텐츠는 위치 독립적 특성을 갖게 되었다. 콘텐츠 중심 네트워킹은 이를 적극 활용하여 네트워크 캐시 접목을 통한 신속한 콘텐츠 분배 및 분산과 종단 간 연결 채널 보호가 아닌 콘텐츠 자체의 보안에 중점을 두고 있다.

콘텐츠 중심 네트워킹은 콘텐츠 요청을 위한 Interest 패킷(이하 Interest라 함)과 요청된 콘텐츠를 포함하는 Data 패킷(이하에서 Data라 함)으로 통신한다.

도 1A는 Interest에 대한 형식을 나타내고, 도 1B는 Data에 대한 형식을 나타낸다. 도 1A에 도시된 Interest는 사용자가 요청하는 도메인 주소와 콘텐츠 이름이 결합된 Content name, 요청속성으로 포함한 Selector, 무작위 값인 Nonce로 구성되어 있다. 도 1B에 도시된 Data는 요청으로 수신한 Interest의 Content Name과 똑같은 영역과 콘텐츠 자체의 보안을 위한 Signature 및 Signed Info, 콘텐츠 파일을 실어 보내기 위한 Data 영역으로 나누어져 있다.

이와 같이 콘텐츠 중심 네트워킹 아키텍처는 기존 인터넷과는 상이한 패킷 형태를 처리하기 위해 세 가지 요소로 이루어진 포워딩 엔진을 포함하고 있다.

첫째, CS(Content Store)는 네트워크 단에 있는 캐시로써 Data의 콘텐츠 저장을 담당한다. 이렇게 저장된 콘텐츠는 추후 이와 같은 이름의 콘텐츠 요청에 해당하는 Interest가 도착할 경우 저장된 콘텐츠를 바로 Data에 담아 전송하게 된다. 따라서, 굳이 Interest가 콘텐츠 배포자에게 다다르지 않더라도 만약 중간 라우터의 CS에 해당 콘텐츠가 저장되어 있다면 콘텐츠의 신속한 전달이 가능하다. 하지만 CS의 캐시 크기는 유한하기 때문에 새 Data가 도착 시 저장할 공간이 부족하다면 LRU 또는 LFU와 같은 캐시 교체 정책에 따라 처리된다.

둘째, PIT(Pending Interest Table)는 Interest가 전파되며 자신의 전파된 경로 상에 흔적을 남기는 breadcrumb 방식의 역경로(Reverse Path)를 위한 일종의 유한한 저장소이다. 이를 위해 Interest와 그 Interest가 도착한 페이스(Face) 즉 페이스(interface) 정보를 잠시 동안 저장하게 하고, 이에 해당하는 Data가 도착 시 저장된 Interest의 유입 페이스(incoming face)를 확인하여 해당 페이스(face)로 Data를 전송한 뒤 저장되어 있던 Interest를 지우게 된다. 만약 같은 콘텐츠 요청에 해당하는 Interest가 이미 저장되어 있다면 도착한 페이스 번호만 저장된 Interest에 추가하는 Interest 집적(Aggregation) 기능을 수행한다. 또한 PIT는 Nonce를 활용하여 Interest가 전파되면서 생성되는 역경로(Reverse Path)의 루핑 방지 기능도 제공한다.

마지막으로, FIB(Forwarding Information Base)는 페이스를 등록시켜주는 작업을 담당한다. Interest가 도착 시 등록된 페이스 리스트를 참조하여 어느 페이스로 전달되어야 하는지 알 수 있게 해준다. 만약 여러 페이스가 Interest에 해당된다면, Interest는 복사되어 해당된 모든 페이스에 전달된다.

도 2는 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Interest가 처리되는 과정을 나타낸다. ① 우선 Interest가 페이스(Face)를 통해 도착하면 CS에 Interest의 콘텐츠 이름과 같은 것이 있는지 검색하게 된다. ② 만약 일치하는 콘텐츠가 있다면 해당 콘텐츠를 Data에 실어 Interest가 왔던 경로로 전송하게 된다. ②’그렇지 않다면, Interest를 PIT에 저장한 후 ③콘텐츠 이름과 FIB의 리스트가 롱기스트 프리픽스(Longest-prefix) 매칭이 되는 페이스로 Interest를 전송하게 된다.

도 3은 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Data가 처리되는 과정을 나타낸다.

①Data가 페이스(Face)를 통해 도착하면 Data의 중복저장을 피하기 위해 CS에 같은 콘텐츠가 있는지 검색하여 없을 경우만 저장한다. ②그 후, 이 Data의 콘텐츠 이름과 일치하는 저장된 Interest가 PIT에 있는지 확인하여 존재하면 해당되는 페이스(Face)로 전달된 후 그 Interest는 삭제된다. ②’만약 존재하지 않는다면, 요청되지 않은 Data가 도착한 것이므로 이는 비정상으로 간주하여 폐기하게 된다.

그러나, 콘텐츠 중심 네트워킹에서 콘텐츠 요청인 Interest가 처리되는 과정의 구조적인 취약점으로 인해서 Interest Flooding 공격이 발생할 수 있다.

즉 PIT 저장소의 크기가 유한하다는 점과 저장된 Interest의 경우 해당 Data가 도착하기 전까지 잔존하며 CCNx 프로젝트(www.ccnx.org에 개시되어 있음)에서 제공되는 오픈 소스를 분석하여 보면 Interest 저장을 위한 메모리 할당 실패 시 이러한 대책이 강구되어 있지 않는다.

공격자는 이러한 취약점을 악용하여 서로 다른 콘텐츠 이름을 포함하는 대량의 Interest를 짧은 시간 동안 전송함으로써 Interest flooding 공격을 할 수 있다.

이렇게 Interest flooding 공격이 진행되는 동안 Interest에 대한 검증 절차의 부재로 인해 Interest를 콘텐츠가 저장된 콘텐츠 서버까지 전달해주는 중간 라우터들의 PIT는 공격자의 Interest로 급격히 채워져 공간 부족 현상을 겪게 된다. 결국 이미 캐시된 콘텐츠에 대한 요청을 제외하고 정상적인 Interest가 도착하여도 이를 저장할 공간이 없이 폐기된다. 즉 서비스를 정상적으로 제공할 수 없는 서비스 거부 공격(Denial of Service) 상황이 벌어지게 된다.

Interest flooding으로 인해서 정상적인 Interest가 처리되지 못하고 폐기되는 상황인 서비스 거부 공격을 탐지하는 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치 및 방법이 제안된다.

본 발명의 일 양상에 따른 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치는, 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하는 저장부; n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포와, n-1번째 단위시간까지의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포 각각의 집합인 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스를 이용하여, 상기 n번째 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리(Hellinger Distance)의 제곱 값을 계산하고 상기 헬링거 거리의 제곱 값을 지수가중이동평균하는 유입 비율 변화 계산부; 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 평균, n-1번째 단위시간에서의 Interest 및 Data의 유입비율 변화인 헬링거 거리의 제곱 값을 지수가중이동평균한 값 및 n-1번째 단위시간에서 Interest 수신 개수 및 Data 발신 개수의 비율을 이용하여, 상기 n번째 단위시간에서의 서비스 거부 공격 여부 판단 기준인 동적 임계치를 계산하는 임계치 계산부; 및 상기 동적 임계치와 상기 지수가중이동평균 된 헬링거 거리의 제곱 값을 비교하여 서비스 거부 공격의 발생 여부를 탐지하는 탐지부를 포함한다.

상기 서비스 거부 공격 탐지장치는, 상기 콘텐츠 중심 네트워크와의 통신을 통해 Interest 및 Data를 송수신하는 다수의 페이스(Interface)들을 구비하며, 상기 저장부는 상기 다수의 페이스들 별로 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하며, 상기 유입비율 변화 계산부는 상기 다수의 페이스들 별로 n번째 단위시간에서 해당 헬링거 거리의 제곱값을 계산하여 가중 평균하며, 상기 임계치 계산부는 상기 다수의 페이스들 별로 동적 임계치를 계산하며, 상기 탐지부는 상기 다수의 페이스들 별로 서비스 거부 공격의 발생 여부를 탐지할 수 있다.

상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값은, 식

(

는 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값,

는 가중치,

은 상기 n번째 단위시간에서 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값을 구하기 위해 n번째 단위시간 이전에 구해진 설정된 수의 헬링거 거리의 제곱값들의 평균을 나타내는 합리적인 서브그룹 평균(rational subgroup average),

은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값)을 이용하여 구할 수 있다.

상기 헬링거 거리의 제곱 값은 식

(

은 상기 헬링거 거리의 제곱 값,

및

는 각각 n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포,

및

는 각각 n-1번째 단위시간까지의 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스)을 이용하여 구할 수 있다.

상기 동적 임계치는 식

(

은 상기 동적 임계치,

은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값,

는 n-1번째 단위시간에서 Data 발신 개수,

는 n-1번째 단위시간에서 Interest 수신 개수,

는 n번째 단위시간에서 Data 발신 개수,

는 n번째 단위시간에서 Interest 수신 개수,

는 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 평균)을 이용하여 구할 수 있다.

상기 탐지부는 상기 지수가중이동평균 된 헬링거 거리의 제곱 값이 상기 동적 임계치보다 크면 서비스 거부 공격이 발생한 것으로 탐지할 수 있다.

상기 서비스 거부 공격 탐지장치는 상기 서비스 거부 공격의 대상이 되는 단말기들이 속한 내부 네트워크와 속하지 않은 외부 네트워크의 경계에 위치한 경계 라우터에 포함될 수 있다.

본 발명의 다른 양상에 따르면, 콘텐츠 중심 네트워크(Content Centric Network)에서 서비스 거부 공격 탐지장치의 서비스 거부 공격 탐지 방법은, 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하는 단계; n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포와, n-1번째 단위시간까지의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포 각각의 집합인 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스를 이용하여, 상기 n번째 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리(Hellinger Distance)의 제곱 값을 계산하고 상기 헬링거 거리의 제곱 값을 지수가중이동평균하는 단계; 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 평균, n-1번째 단위시간에서의 Interest 및 Data의 유입비율 변화인 헬링거 거리의 제곱 값을 지수가중이동평균한 값 및 n-1번째 단위시간에서 Interest 수신 개수 및 Data 발신 개수의 비율을 이용하여, 상기 n번째 단위시간에서의 서비스 거부 공격 여부 판단 기준인 동적 임계치를 계산하는 단계; 및 상기 동적 임계치와 상기 지수가중이동평균 된 헬링거 거리의 제곱 값을 비교하여 서비스 거부 공격의 발생 여부를 탐지하는 단계를 포함한다.

본 발명의 실시예에 따른 콘텐츠 중심 네트워크에서의 서비스 거부 공격 탐지 장치 및 방법에 따르면, Interest와 Data의 확률분포를 이용한 헬링거 거리를 통해 신속한 탐지와 탐지하기 어려운 Stealthy 공격까지 정확하게 탐지함으로써 모든 flooding 종류의 공격에 대한 강건성을 확보할 수 있다.

도 1A는 Interest에 대한 형식을 나타낸 도면이다.

도 1B는 Data에 대한 형식을 나타낸 도면이다.

도 2는 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Interest가 처리되는 과정을 나타낸다.

도 3은 콘텐츠 중심 네트워킹(CCN) 포워딩 엔진에서 Data가 처리되는 과정을 나타낸다.

도 4는 본 발명의 실시예에 따른 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치가 설치되는 CCN 방어 라우터의 위치를 나타낸 도면이다.

도 5는 본 발명의 실시예에 따른 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치의 구성을 나타낸 도면이다.

도 6은 Interest flooding 공격이 이뤄지는 상황을 PIT 저장 공간 사용량과 비교하여 예시한 도면이다.

도 7은 Interest flooding 공격을 전후하여 컨텐츠 중심 네트워킹의 일반적인 상황과 공격 후의 정상 서비스가 거부되는 시나리오를 나타낸 도면이다.

도 8은 Interest flooding 공격의 효과를 보이기 위한 네트워크 토폴로지 구성을 예시한 도면이다.

도 9, 도 10, 도 11, 도 12는 각각 시간에 따른 전체 일반 사용자들의 total throughput과 average latency, 전체 CCN 라우터들의 average discard ratio, average timeout ratio를 나타낸 도면이다.

도 13은 i=0,1,....,900로 변화에 따른 Interest의 이산 확률분포(p_i), Data의 이산 확률분포(q_i)를 나타낸 도면이다.

도 14는 Interest와 Data확률분포 사이의 상관(correlation)을 확인하기 위해 도 13의 데이터를 각 번째 시간에 해당하는 Interest의 이산 확률분포(p_i)와 Data의 이산 확률분포(q_i)의 상관(correlation)을 나타낸 그래프이다.

도 15는 시간에 따른 헬링거 거리의 값을 나타낸 그래프이다.

도 16은 본 발명에 따른 방어기술이 동작하는 경계라우터가 방어 방화벽으로써 각 사용자와 공격자 앞에 위치한 경우를 예시한 도면이다.

도 17 및 도 18은 각각 0.1초마다 수신 Interest 개수와 발신 Data 개수를 나타낸 도면이다.

도 19는 Interest와 Data 분포를 이용하여 시간에 따라 계산된 헬링거 거리의 EWMA 값과 동적 임계치를 각각 실선과 점선으로 표현한 도면이다.

도 20은 도 19에서 표현된 헬링거 거리의 지수가중이동평균(EWMA) 값과 동적 임계치의 크기를 서로 비교하여 나타낸 도면이다.

도 21 내지 도 24는 Interest flooding 공격 효과를 보이기 위한 실험들에 본 발명에 따른 방어기술을 적용하여 얻어진 결과를 나타낸 도면이다.

도 25는 본 발명에 따른 방어기술을 적용하여 얻어진 Interest 공격 수가 차단된 것을 나타낸 도면이다.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.　

본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.　

본 명세서에서 사용된 용어는 특정 실시예를 설명하기 위하여 사용되며, 본 발명을 제한하기 위한 것이 아니다. 본 명세서에서 사용된 바와 같이 단수 형태는 문맥상 다른 경우를 분명히 지적하는 것이 아니라면, 복수의 형태를 포함할 수 있다. 또한, 본 명세서에서 사용되는 경우 "포함한다(comprise)" 및/또는"포함하는(comprising)"은 언급한 형상들, 숫자, 단계, 동작, 부재, 요소 및/또는 이들 그룹의 존재를 특정하는 것이며, 하나 이상의 다른 형상, 숫자, 동작, 부재, 요소 및/또는 그룹들의 존재 또는 부가를 배제하는 것이 아니다. 본 명세서에서 사용된 바와 같이, 용어 "및/또는"은 해당 열거된 항목 중 어느 하나 및 하나 이상의 모든 조합을 포함한다.　

본 명세서에서 제1, 제2 등의 용어가 다양한 부재, 영역 및/또는 부위들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들 및/또는 부위들은 이들 용어에 의해 한정되어서는 안됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역 또는 부위를 다른 부재, 영역 또는 부위와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역 또는 부위는 본 발명의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역 또는 부위를 지칭할 수 있다.

이하, 본 발명의 실시예들은 본 발명의 실시예들을 개략적으로 도시하는 도면들을 참조하여 설명한다. 도면들에 있어서, 예를 들면, 제조 기술 및/또는 공차에 따라, 도시된 형상의 변형들이 예상될 수 있다. 따라서, 본 발명의 실시예는 본 명세서에 도시된 영역의 특정 형상에 제한된 것으로 해석되어서는 아니 되며, 예를 들면 제조상 초래되는 형상의 변화를 포함하여야 한다.

도 4는 본 발명의 실시예에 따른 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치가 설치되는 CCN 방어 라우터의 위치를 나타낸 도면이고, 도 5는 본 발명의 실시예에 따른 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치의 구성을 나타낸 도면이다.

도 4를 참조하면 본 발명의 실시예에 따른 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치는 Interest flooding의 공격 대상인 단말기(2)들이 속한 내부 네트워크와 속하지 않은 외부 네트워크의 경계 라우터인 CCN 방어 라우터(1)에 설치될 수 있다. 이는 일 실시예에 불과하며 경계라우터가 아닌 모든 라우터들에도 설치될 수 있음은 당연하다. 하지만 이렇게 경계 라우터인 CCN 방어 라우터(1)에 상기 서비스 거부공격 탐지장치를 설치하면 콘텐츠 중심 네트워크 구성 비용, 서비스거부공격의 사전 차단 측면 등에서 효율적일 수 있다.

이러한 본 발명의 실시예에 따른 콘텐츠 중심 네트워크에서의 서비스 거부공격 탐지장치(1)는, 도 5에 도시된 바와 같이, 저장부(10), 유입 비율 변화 계산부(13), 임계치 계산부(14), 탐지부(15) 및 다수의 페이스들(16, 17, 18, 19)을 포함한다.

저장부(10)는 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장한다. 즉 저장부(10)는 Interest 개수 저장부(11) 및 Data 개수 저장부(12)를 포함하는데, Interest 개수 저장부(11)는 단위시간마다 Interest 수신 개수를 저장하며, Data 개수 저장부(12)는 단위시간마다 Data 발신 개수를 저장한다. 이때 본 발명의 실시예에 따른 서비스 거부공격 탐지장치는 콘텐츠 중심 네트워크와의 통신을 통해 Interest 및 Data를 송수신하는 다수의 페이스들을 구비하고 있으므로, Interest 개수 저장부(11) 및 Data 개수 저장부(12)는 각각 다수의 페이스들 별로 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장할 수 있다. 이 경우 유입 비율 변화 계산부(13), 임계치 계산부(14) 및 탐지부(15)는 각각의 동작을 다수의 페이스별로 수행할 수 있다. 즉 유입비율 변화 계산부(13)는 다수의 페이스들 별로 n번째 단위시간에서 후술할 헬링거 거리의 제곱값을 계산하여 가중 평균하며, 임계치 계산부(14)는 다수의 페이스들 별로 후술할 동적 임계치를 계산하며, 탐지부(15)는 다수의 페이스들 별로 후술할 서비스 거부 공격의 발생 여부를 탐지한다.

유입 비율 변화 계산부(13)는 n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포와, n-1번째 단위시간까지의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포 각각의 집합인 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스를 이용하여, 상기 n번째 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리(Hellinger Distance)의 제곱 값을 계산하고 상기 헬링거 거리의 제곱 값을 지수가중이동평균한다.

이때 수신 Interest 확률분포는 아래의 수학식 1을 이용하여 구해질 수 있으며 이하에서도 동일하게 적용된다. 발신 Data 확률분포는 아래의 수학식 2를 이용하여 구해질 수 있으며 이하에서도 동일하게 적용된다.

수학식 1

수학식 2

그리고, 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값은 아래의 수학식 3을 이용하여 구해질 수 있다.

수학식 3

이때

는 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값,

는 가중치,

은 상기 n번째 단위시간에서 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값을 구하기 위해 n번째 단위시간 이전에 구해진 설정된 수의 헬링거 거리의 제곱값들의 평균을 나타내는 합리적인 서브그룹 평균(rational subgroup average),

은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값이다. 상기 합리적인 서브그룹 평균은 n번째 단위시간 이전에 구해진 헬링거 거리의 제곱값들, 예를 들어

,

,.......,

,

,

,

중 설정된 수가 3인 경우

,

,

을 서브그룹으로 하여 이를 산술평균한 것을 나타낸다. 상기 설정된 수는 예시에 불과하며 이에 한정되지는 않는다. 그리고

은 상기 수학식 3을 n-1번째 단위시간에 맞게 변경하여 구해질 수 있다.

상기

을 구하기 위한 헬링거 거리의 제곱 값은 아래의 수학식 4를 이용하여 구해질 수 있다.

수학식 4

이때

은

을 구하기 위한 헬링거 거리의 제곱 값,

및

는 각각 n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포,

및

는 각각 n-1번째 단위시간까지의 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스일 수 있다.

는 상기 수학식 1을 적용하여 구할 수 있으며

는 상기 수학식 2를 적용하여 구할 수 있다.

임계치 계산부(14)는 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 산술평균, n-1번째 단위시간에서의 Interest 및 Data의 유입비율 변화인 헬링거 거리의 제곱 값을 지수가중이동평균한 값 및 n-1번째 단위시간에서 Interest 수신 개수 및 Data 발신 개수의 비율을 이용하여, n번째 단위시간에서의 서비스 거부 공격 여부 판단 기준인 동적 임계치를 계산한다.

이때 상기 동적 임계치는 아래의 수학식 5를 이용하여 구해질 수 있다.

수학식 5

이때

은 상기 동적 임계치,

은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값,

는 n-1번째 단위시간에서 Data 발신 개수,

는 n-1번째 단위시간에서 Interest 수신 개수,

는 n번째 단위시간에서 Data 발신 개수,

는 n번째 단위시간에서 Interest 수신 개수,

는 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 산술평균일 수 있다. 즉

는 각 단위시간에서의 헬링거 거리의 제곱 값들,

,

,.......,

,

,

,

를 모두 평균한 것을 나타내며, 상기 수학식 3에서 합리적인 서브그룹 평균을 구하는 경우와 상이함에 유의하여야 한다.

그리고 ,

,.......,

,

,

,

는 각각 i(=1, 2,......,n-1)번째 단위시간에서의 헬링거 거리를 나타낸다. 각 단위시간에서의 헬링거 거리는

를 이용하여 구해질 수 있으며,

및

는 각각 i번째 단위시간에서 수신 Interest 확률분포 및 발신 Data 확률분포를 나타내며 상기 수학식 1 및 수학식 2에 의해서 구해질 수 있다.

탐지부(15)는 상기 동적 임계치와 상기 지수가중이동평균 된 헬링거 거리의 제곱 값을 비교하여 서비스 거부 공격의 발생 여부를 탐지한다. 즉 탐지부(15)는 상기 지수가중이동평균 된 헬링거 거리의 제곱 값이 상기 동적 임계치보다 크면 서비스 거부 공격이 발생한 것으로 판단하며, 상기 지수가중이동평균 된 헬링거 거리의 제곱 값이 상기 동적 임계치보다 작으면 서비스가 정상적으로 이루어지고 있는 것으로 판단한다.

상기 본 발명의 실시예에 따른 서비스 거부 공격 탐지 장치(1)는 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하며, 각 단위 시간마다 상기 수학식 3을 이용하여 해당 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리의 제곱 값을 지수가중이동평균한다. 예를 들어 단위시간이 n번째인 경우 n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포와, n-1번째 단위시간까지의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포 각각의 집합인 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스를 이용하여, 상기 n번째 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리(Hellinger Distance)의 제곱 값을 계산하고 상기 헬링거 거리의 제곱 값을 지수가중이동평균한다.

그리고, 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 산술평균, n-1번째 단위시간에서의 Interest 및 Data의 유입비율 변화인 헬링거 거리의 제곱 값을 지수가중이동평균한 값 및 n-1번째 단위시간에서 Interest 수신 개수 및 Data 발신 개수의 비율을 이용하여, 상기 n번째 단위시간에서의 서비스 거부 공격 여부 판단 기준인 동적 임계치를 계산한다.

이후, 상기 동적 임계치와 상기 지수가중이동평균 된 헬링거 거리의 제곱 값을 비교하여 서비스 거부 공격의 발생 여부를 탐지한다.

이제 본 발명의 실시예가 Interest flooding을 탐지하는 실험에 대해서 살펴보기로 한다.

먼저 Interest flooding 공격방법에 대한 알고리즘은 다음과 같다. 즉 우선 공격자가 설정한 공격 시작시간 (T_S)이 현재시간 (T_C)보다 작거나 같을 경우 공격이 본격적으로 시작된다. 공격이 시작되면 공격자가 직접 입력한 공격 종료시간(T_F), 공격 대상 도메인(tDomain)을 저장한다. 그 후 콘텐츠 이름(cName)에 무작위로 생성된 값이 저장된다. 공격종료시간(T_F)이 될 때까지 Interest aggregation 기능을 무력화하기 위해 세그먼트 번호 (segNumber)를 증가시키면서 공격대상 도메인 (tDomain)과 콘텐츠 이름 (cName)과 함께 Interest를 전송하게 된다. 또한, 만약 전송된 Interest에 해당하는 Data를 수신 시 다시 콘텐츠 이름 (cName)을 무작위로 생성하고 이를 사용하여 존재하지 않는 콘텐츠를 요청하도록 유지한다.

이러한 Interest flooding 공격방법에 대한 알고리즘을 적용한 Interest flooding 공격이 이뤄지는 상황을 PIT 저장 공간 사용량과 비교하여 나타낸 것이 도 6에 도시되어 있다.

도 6을 참조하면, 공격이 시작하기 전인 T_S 까지는 Interest 요청과 해당 Data 도착이 쌍을 이루고 있어 PIT 사용량이 정상적으로 유지되고 있다. 그러나 공격이 시작한 T_S 이후부터는 빈번한 Interest 도착과 더불어 해당 Data는 도착하지 않기 때문에 PIT 사용량이 계속 증가하여 포화상태에 이르게 된다. 공격종료 후인 T_F 부터 공격자의 Interest가 타임아웃 되기 전까지는 정상적인 Interest 조차 PIT에 저장될 공간이 없어 폐기되는 상황이 벌어진다.

도 7은 Interest flooding 공격을 전후하여 컨텐츠 중심 네트워킹의 일반적인 상황과 공격 후의 정상 서비스가 거부되는 시나리오를 나타낸다.

우선 일반적인 경우, 일반 사용자는 콘텐츠를 얻기 위해 Interest를 전송하고, 이 Interest는 R₁부터 R_K의 각 라우터 PIT에 저장되면서 서버에 도달하게 된다. 서버는 해당하는 콘텐츠를 Data로 넘겨주고 Interest가 전송되던 역방향으로 전달되며 PIT에 저장되었던 Interest를 지우게 된다. 일단 Interest flooding 공격이 시작되면 공격자는 대량의 Interest를 생성하여 전송하기 시작한다. 이 Interest 역시 PIT에 일시적으로 저장되어 Data가 오길 기다리지만 서버는 해당 콘텐츠가 없기 때문에 어떠한 Data도 전달하지 않는다. 따라서 공격자와 서버 경로 사이에 있는 라우터들은 Interest를 보관하고 있기 때문에 PIT는 일시적인 포화 상태로 유지되어 일반사용자가 Interest를 전송한다 할지라도 공격자가 연결되어있는 R₂라우터에서 폐기되어 콘텐츠를 얻을 수 없게 된다. 공격자의 Interest가 타임아웃에 의해 휘발되어야 만 비로소 R₂부터 R_K라우터는 정상적은 Interest처리가 가능하다.

Interest flooding 공격의 원리와 시나리오에 입각하여 Interest flooding이 두 가지 심각한 문제를 일으킴을 알 수 있다.

첫째, 일반 사용자의 Interest가 PIT 공간 부족으로 인해 폐기되어 서비스 요청 자체가 거부되는 상황이 벌어질 수 있다.

둘째, 공격자의 Interest가 흘러가는 경로상의 모든 라우터들은 공격자의 다량의 Interest를 처리하기 위해 시간을 소모하여 정상적인 서비스의 방해도 줄 수 있다.

Interest flooding 공격의 효과를 보이기 위해 OPNET 모델러 16.1A 환경에서 구현된 CCN 시뮬레이터를 사용하였다. 실험을 위한 네트워크 토폴로지로써 Fishbone 형태로 CCN 노드들을 배치하였으며, 총 14개의 non-cacheable 사용자 클라이언트, 29개의 cacheable CCN 라우터, 1개의 non-cacheable 콘텐츠 제공자, 그리고 1개의 공격자 클라이언트로 도 8과 같이 구성하였다. 단, 공격자 클라이언트의 경우 공격 Interest를 전송 시 해당 Interest를 PIT에 저장하지 않는다고 가정하였다.

아래 표 1은 Interest flooding 공격의 효과를 보이기 위해 OPNET 모델러 16.1A 환경에서 사용되는 파라미터들을 나타낸다.

표 1

Parameter	Value
Ethernet link data rate (Mbps)	24
Number of Normal User	14
Number of Attacker	1
Interest Interval of Attacker (sec)	0.0001
Interest packet size (bytes)	Name (15) + Others (200)
Data size (bytes)	1,400
Zipf-like: α	0.9
Zipf-like: total items	1,000
Zipf-like: amount of traffic per sec	12,000 (overall network)
Timeout for Interest (sec)	4 (default in CCNx)
Timeout for Data (sec)	10
Max. PIT Size (KB)	40
Simulation Time (sec)	100

우선 Background traffic을 위해 전체 일반 사용자 집단은 Zipf-like 분포(rank)를 적용하여 초당 12,000개의 Interest를 발생시킨다. 이때, Zipf-like 분포의 파라미터로써 α는 0.9, 총 아이템의 개수로 1,000을 선택하였다. 또한 매 Interest 마다 일반 사용자는 랜덤하게 선택되어 Interest를 발생시키기 때문에 각 일반 사용자는 대략 12,000개를 전체 일반 사용자 수로 나눈 만큼 Interest를 발생시키게 된다. 한편, 공격자는 초당 10,000개의 Interest를 균일 분포로 발생시키게 된다.

Interest와 Data의 크기는 각각 215바이트, 1400바이트이며 Timeout 시간은 각각 4초(CCNx에서의 기본값), 10초로 잡았다. 작은 실험 토폴로지의 크기와 유통되는 콘텐츠의 수가 적기 때문에 PIT의 크기 역시 줄인다 하더라도 DoS(Denial of Service)의 효과를 보임에 충분하므로 PIT 크기를 40킬로바이트로 제한을 두었다. 시뮬레이션 시간 또한 이와 같은 맥락에서 100초로 하였다. Background 트래픽은 시뮬레이션 시작 10초 후 발생되며 Interest flooding 공격은 시뮬레이션 시작 20초 후 시작된다.

Interest Flooding 공격이 DoS 측면에서 네트워크 노드들에게 끼치는 영향을 확인하기 위해 다각적으로 실험을 진행하였다. 도 9, 도 10, 도 11, 도 12는 각각 시간에 따른 전체 일반 사용자들의 total throughput과 average latency, 전체 CCN 라우터들의 average discard ratio, average timeout ratio를 나타내며 공격이 시작되는 20초를 전후하여 변화의 양상을 살펴보았다.

도 9에서 볼 수 있듯이 공격 전 Throughput은 약 11MB를 유지한 반면, 공격 후에는 급격히 감소하여 정상대비 18%인 약 2MB를 유지하고 있다. 이는 Interest flooding 공격으로 인해 공격 경로상의 있는 대부분의 라우터에서 PIT에 저장된 다량의 유해 Interest로 인해 정상 Interest 중 일부만 정상적으로 처리되고 이미 캐시되어 있는 콘텐츠에 한해 서비스가 가능하기 때문이다.

일반 사용자들의 평균 Latency도 측정해 도 10과 같은 결과를 얻었다. 여기서 우리는 PIT 공간 부족으로 Interest의 폐기가 발생한 경우, 일반 사용자의 PIT에서 저장되어 Data를 기다리다 타임아웃이 되기 때문에 이러한 상황은 타임아웃의 기본값인 4초를 적용하여 Latency로 간주하였다. 도면에서 볼 수 있듯이 공격 전 일반 사용자들의 평균 Latency의 경우 0에 가깝지만, 공격 후 급격히 증가하여 타임아웃의 기본 값인 4초에 근접하고 있다. 즉, 하나의 콘텐츠 청크(chunk)를 받기 위해 최대 4초를 기다려야 하고, 이 콘텐츠의 완전체를 받으려면 시간이 누적되어 서비스가 제대로 이루어질 수가 없다.

도 11은 전체 라우터들의 Interest discard ratio를 나타내며 공격 이후 약 0.9까지 급격히 증가하여 높은 비율로 정상 Interest가 폐기됨을 알 수 있다. 콘텐츠 중심 네트워킹(CCN)에서 Interest의 역할이 서비스 요청의 수단인데 이 Interest의 폐기는 곧 서비스 불가, 즉 DoS를 의미한다.

타임 아웃은 Interest가 제때 서비스를 받지 못해 타임아웃시간을 초과하여 폐기되는 것을 뜻한다. 타임 아웃 비율을 보면 대부분의 구간에서 0.4를 유지하여 이미 서비스에 지장이 있는 상황이다. 그러나 이 비율이 급격히 증가하는 구간과 도 11에서 폐기율이 급격히 감소하는 구간이 정확히 일치하기 때문에, 비록 주기적으로 폐기율은 급격히 감소하더라도 그 구간에서도 역시 정상적으로 서비스를 제공할 수 없음을 알 수 있다. 따라서 전구간에 걸쳐 높은 폐기율을 유지하게 되므로 원활한 서비스 제공에 매우 치명적일 수 있다.

또한, Interest flooding의 DoS(Denial of Service) 효과뿐만 아니라 PIT의 특성도 파악할 수 있었다. 이 실험결과들의 비교를 통해 우리는 일반 사용자들의 평균 Latency 그래프는 전체 라우터들의 Interest discard ratio의 그래프 모양과 유사함을 알 수 있다. 그 이유는 앞서 언급하였듯이 Interest의 폐기가 발생한 경우, 타임아웃의 기본값인 4초를 적용하여 Latency를 계산하기 때문에 Discard ratio와 Latency는 밀접한 관련이 있다. 또한 도 10 및 도 11이 주기적으로 모양이 변하는데 이는 타임아웃과 연관 지어 생각할 수 있다. 매 4초마다 공격자로부터 유입된 유해 Interest가 휘발되기 때문에 그 주기마다 급격히 감소하게 되고, 빠른 속도로 유해 Interest가 다시 채워지면서 일어나는 현상이다. 타임아웃 그래프가 4초 주기로 급격히 증가 후 감소하는 이유 역시 이와 같은 맥락에서 이해할 수 있다.

이제 본 발명의 실시예에 따른 서비스 거부 공격 탐지의 배경이 되는 콘텐츠 중심 네트워킹(CCN) 트래픽 특성을 분석해보기로 한다.

CCN 트래픽 특성을 확인하기 위하여 OPNET 모델러 16.1A 환경에서 구현된 CCN 시뮬레이터를 사용하였다. 실험을 위한 네트워크 토폴로지로써 Fishbone 형태로 CCN 라우터 29개와 non-cacheable 사용자 클라이언트 14개를 배치하였다.

표 2는 CCN 트래픽 특성을 확인하기 위해 구성한 실험환경에서 사용되는 파라미터들을 나타낸 것이다.

표 2

Parameter	Value
Ethernet link data rate (Mbps)	24
Zipf-like: α	0.9
Zipf-like: total items	1,000
Zipf-like: amount of traffic per sec	12,000 (overall network)
Timeout for Interest (sec)	4 (default in CCNx)
Timeout for Data (sec)	10
Max. PIT Size (KB)	40
Simulation Time (sec)	90

우선 Background traffic을 위해 전체 일반 사용자 집단은 Zipf-like 분포(rank)를 적용하여 초당 12,000개의 Interest를 발생시킨다. 이때, Zipf-like 분포의 파라미터로써 α는 0.9, 총 아이템의 개수로 1,000을 선택하였다. 또한 매 Interest 마다 일반 사용자는 랜덤하게 선택되어 Interest를 발생시키기 때문에 각 일반 사용자는 대략 12,000개를 전체 일반 사용자 수로 나눈 만큼 Interest를 발생시키게 된다.

사용자 클라이언트와 인접한 라우터를 하나 택하여 Face에 수신된 Interest와 발신된 Data 확률분포를 살펴보았다. 우선 시간간격을 t(0.1초)로 나누어 i번째 t시간에서 측정한 수신 Interest 확률분포를 p_i(i=0,1,2...), i번째 t시간에서 측정한 응답 Data 확률분포를 q_i(i=0,1,2...)라 하였다. 이렇게 i번째 t시간에서 구해진 값들을 모아 수신 Interest 확률분포를

, 발신 Data 확률분포를

로 나타내었다.

도 13은 i=0,1,....,900로 변화에 따른 p_i, q_i를 보여준다. 도시된 바와 같이 p_i와 q_i의 비율이 거의 1대 1로 수렴한다. 이것은 하나의 Interest를 전송하게 되면 이에 상응하는 오직 하나의 Data를 받을 수 있는 CCN의 lock-step 구조 때문이다.

이러한 특성을 보다 쉽게 확인하기 위해 Interest와 Data확률분포의 상관(correlation) 분석이 매우 효과적이다. 도 14는 Interest와 Data확률분포 사이의 상관(correlation)을 확인하기 위해 도 13의 데이터를 각 번째 시간에 해당하는 Interest의 이산 확률분포 (p_i)와 Data의 이산 확률분포 (q_i)의 상관(correlation)을 나타낸 그래프이다. 두 변수간의 관련성을 구하기 위해 보편적으로 이용되는 피어슨 상관계수(Pearson's correlation coefficient)를 계산하면 -1의 값을 얻게 된다. 즉, Interest 트래픽과 Data 트래픽은 반비례관계에 있다고 말할 수 있다.

하지만, 경계라우터에서 이 1대 1 비율이 깨질 수 있는 두 가지 비대칭 상황이 있다. 첫째, Face로부터 받은 Interest 개수가 보낸 Data 개수보다 많은 경우이다. 네트워크가 혼잡한 동안 콘텐츠 제공자로부터 콘텐츠 요청자까지 혹은 그 반대의 경우에서 Interest와 Data 전송의 지연이 발생하므로 이러한 비대칭이 발생한다. 게다가, 일단 PIT에 저장된 Interest가 Timeout 시간을 초과하여 삭제가 되면 요청한 Interest에 해당하는 Data가 도착 시 바로 버려지기 때문에 Interest와 Data개수의 차이는 벌어지게 된다.

둘째, Face로부터 받은 Interest 개수가 보낸 Data 개수보다 적은 경우이다. 이는 위에서 언급한 이유와 같은 맥락으로 해석이 가능하다. 예를 들어, 네트워크 혼잡으로 인해 전송되지 못하고 있던 다량의 Data가 특정시간에 한꺼번에 라우터로 전달될 수 있다. 위에서 설명한 사실들을 바탕으로 Interest flooding 공격을 탐지하기 위해 이를 활용하려 한다.

CCN의 대칭형 트래픽 특성에 근거하여 헬링거 거리는 Interest와 Data 사이의 확률분포 변화를 탐지하기 위해 적용될 수 있다. 헬링거 거리는 서로 다른 확률 분포간 유사성을 수량화하기 위해 그 확률 분포 사이를 거리로 표현하며 Hellinger integral로부터 정의된다. Interest와 Data의 확률분포 시퀀스를 각각

와

라 하고 이 둘 사이의 헬링거 거리를

로 정의한다. 여기서 n은 헬링거 거리가 계산되는 Interest와 Data의 확률분포 시퀀스 범위로써, 그 범위는

에 해당하는 시간이 된다.

상기 헬링거 거리를 제곱하면

으로 되고 여기에 코시-슈바르츠 부등식을 이용하여

과 같은 부등식을 구할 수 있다.

이 부등식에서 헬링거 거리의 제곱은 0보다 크거나 같고 1보다 작거나 같다. 헬링거 거리의 제곱이 0일 경우, Interest와 Data 확률분포의 시퀀스

와

는 정확하게 서로 일치함을 뜻한다. 이와는 반대로, 이 헬링거 거리의 제곱이 1일 경우, Interest와 Data 확률분포의 시퀀스

와

는 서로 완전히 다름을 뜻한다.

본 발명에서는 효과적인 Interest flooding 공격을 탐지하기 위해 기존 헬링거 거리에서 요구되는

와

를 달리 적용하였다. 일반적으로

와

는 비교하고자 하는 대상의 확률 분포가 된다. 예를 들어, 시간의 변화에 따라 Interest의 확률분포 변화를 알고 싶을 경우,

와

는 모두 Interest 확률분포여야 한다. 하지만 본 발명에서는 Interest와 Data 확률분포의 비대칭을 유발하는 Interest flooding 공격의 특성을 반영하여 Interest와 Data 확률분포를 각각

와

로 선택하였다.

매 t시간마다 공격 탐지를 위해 n번째 t시간부터 n+9번째 t시간까지의 탐색기간과 n+10번째 t시간에 해당하는 Interest와 Data의 확률분포로 계산된 헬링거 거리를

이라 하며 식

으로 구해질 수 있다.

도 15는 시간에 따른 헬링거 거리의 값을 나타낸다. 여기서 나타난 파선은 식

를 통해 표 1의 Zipf-like distribution 파라미터를 반영하여 계산된 헬링거 거리의 값을 나타낸다. 비록 도 15에서 알 수 있듯이 값이 튀는 것처럼 보이지만 식

를 통해 구해진 헬링거 거리 제곱

의 평균값

는 0.000154로 Interest와 Data 분포가 거의 같음을 보여준다.

이러한 헬링거 거리의 튀는 양상을 줄이고 최근 샘플에 좀 더 가중치를 갖게 하기 위해 상기 수학식 3과 같이 지수가중이동평균(Exponentially-Weighted Moving Average)를 적용하였다. 여기서 지수가중이동평균은

의 rational subgroup average와 최근 rational subgroup average에 가중치를 주는

로 계산된다. 도 15의 실선은 기존 헬링거 거리에 지수가중이동평균(

=0.25)을 적용한 것이다.

동적 임계치(

)를 결정하기 위해 상기 수학식 5와 같이 일반적인 상황의 트래픽을 바탕으로 계산된 헬링거 거리의 산술평균(

)뿐만 아니라 이 평균의 가중치를 위해 검사기간 동안 CCN 경계 라우터에서 n번째 t시간에 수신한 Interest와 Data의 비율(

)을 적용하였으며, 여기에 여유를 두기 위해 바로 직전 구간의 헬링거 거리(

)와 Interest와 Data 비율(

)을 사용하였다.

위에서 분석했던 CCN의 트래픽의 대칭형 특성에 근거하여 이 비율은 매우 중요한 기능을 수행한다. 헬링거 거리는 언제든 1:1 비율이 깨지는 순간 여유는 점점 좁아져 동적 임계치를 초과할 수 있다. 반면, 이 비율이 1에 가깝다면 여유는 점점 넓어져 동적 임계치 경계 이내에 들 수 있다. 이는 요청할 콘텐츠의 크기가 매우 커 다량의 Chunk를 요청해야 하는 상황에서 이 비율이 충분한 여유를 확보해주기 때문에 FPA(false positive alarm)을 회피할 수 있다.

이 동적 임계치는 경계라우터들이 각자 갖고 있는

,

,

값과 공통적으로 사용되는 헬링거 거리의 평균값

를 이용하여 계산되어 각 Face 마다 적용된다. 따라서 모든 각 Face는 모두 다른 동적 임계치를 갖게 된다.

일단 CCN 경계 라우터가 Interest flooding 공격을 탐지하면, 차단 프로세스가 동작된다. 차단 프로세스는 유입되는 공격 Interest의 차단뿐만 아니라 공격으로부터 받은 영향을 완전히 복구하기 위해 블랙리스트로 등록된 Face로부터 유입되어 저장된 모든 Interest를 삭제하는 두 단계로 이루어져 있다.

첫째, CCN 경계 라우터가 i번째 Face의 헬링거 거리가 해당 Face의 동적 임계치를 초과함을 탐지할 경우 해당 Face 번호를 블랙리스트에 추가한다. 블랙 리스트는 이미 CCN 포워딩 엔진 중 패킷이 나가는 face에 해당하는 prefix 정보를 포함하고 있는 FIB에 Blocking marker필드 하나만 추가함으로써 손쉽게 Face의 공격상태 여부를 표시할 수 있다.

둘째, 유해한 Face로부터 유입되어 PIT에 저장된 Interest는 삭제되어야만 한다. 이를 위해 PIT에 저장된 Interest들의 유입된 Face 번호와 블랙리스트에 표시된 Face 번호가 일치하는 모든 Interest를 탐색한 뒤 삭제한다. 본 발명은 PIT의 가용성 확보를 위한 유해 Interest들의 삭제과정과 유해 Face의 블랙 리스트 추가 이후 유입되는 유해 Interest들을 차단한다. 따라서, 라우터들은 블랙 리스트로 등록된 Face로부터 수신되는 모든 Interest를 별도의 처리 없이 바로 폐기시켜버린다.

Interest flooding 공격 방어기술의 검증을 위해 CCN 시뮬레이터를 사용하여 실험하였다. 대부분의 실험환경은 상술한 Interest flooding 공격의 효과를 위한 실험에서 기술했던 것과 유사하다. 단, 표 3과 같이 제안한 방어기술에서 추가적으로 사용되는 파라미터들과 도 16과 같이 본 발명에 따른 방어기술이 동작하는 경계라우터가 방어 방화벽으로써 각 사용자와 공격자 앞에 위치하고 있다.

표 3

Parameter	Value
HD: Trainging period (sec)	1
HD: Testing period (sec)	0.1
EWMA:	0.25
EWMA: , n=1	0.000154

본 발명에서는 탐지 프로세스 결정적 역할을 하는 수신된 Interest와 전송된 Data의 분포를 확인 후 이를 바탕으로 계산된 헬링거 거리와 공격결정 결과를 보인다. 또한 공격이라고 판단되는 시점에서의 모든 CCN라우터들의 총 Throughput과 latency, Discard ratio, timeout ratio의 평균값을 살펴보았다. 마지막으로, 본 발명이 얼마나 DoS의 영향을 경감시킬 수 있는지 차단 프로세스의 동작을 확인하기 위해 경계 라우터 상에서 블랙리스트로 등록된 Face로부터 시간에 따른 차단되는 Interest 패킷의 수를 기록하였다.

도 17 및 도 18은 각각 0.1초마다 수신 Interest 개수와 발신 Data 개수를 나타낸다. 도 17 및 도 18을 비교해보면 20초를 전후하여 Interest flooding으로 인해 Interest와 Data 개수의 불균형이 급격히 커짐을 알 수 있다.

도 19는 Interest와 Data 분포를 이용하여 시간에 따라 계산된 헬링거 거리의 EWMA 값과 동적 임계치가 각각 실선과 점선으로 표현되어 있다.

Interest flooding 공격이전 상황에서는 Interest와 Data 비율이 거의 1에 가깝기 때문에, 헬링거 거리의 EWMA 값과 동적 임계치 이내에 들지만 Interest flooding 공격이 시작되는 20초 이후부터 비율 불균형으로 인해 동적 임계치가 감소하는 반면 헬링거 거리의 EWMA 값은 매우 급격하게 증가하여 동적 임계치를 초과한다.

도 20은 도 19에서 표현된 헬링거 거리의 지수가중이동평균(EWMA) 값과 동적 임계치의 크기를 서로 비교하여 동적 임계치보다 헬링거 거리의 EWMA 값이 작은 정상적인 상황임을 0, 헬링거 거리의 EWMA값이 동적 임계치를 넘어서 Interest flooding 공격 상황임을 1로 나타낸 것이다.

도 20을 참조하면 20초부터 약 1초간 공격임을 판정한 뒤 차단 프로세스 동작으로 값이 0으로 복귀하여 공격으로부터 벗어났다고 판정함을 알 수 있다.

본 발명은 매 0.1초 간격으로 검사하여 위와 같은 방법으로 Interest flooding 공격하에 있는 Face를 신속히 탐지해낸다. 이 후 해당 Face를 블랙리스트에 추가하여 추후 유입되는 공격 Interest를 차단하고 폐기하게 된다. 이로써 Face로부터 유입되는 유해한 Interest는 더 이상 PIT에 영향을 끼치지 못하게 되고, 마비된 서비스는 정상적으로 회복할 수 있다.

상술한 Interest flooding 공격 효과를 보이기 위한 실험들에 제안한 방어기술을 적용하여 도 21, 22, 23, 24와 같은 결과를 얻을 수 있었다.

우선, 도 21 및 도 22에서 시간에 따른 총 Throughput과 평균 Latency의 경우 공격이 시작되는 20초를 기점으로 경계라우터에서 Interest flooding공격을 탐지하고 차단하여 공격 전후 양상에 큰 변화가 없음을 알 수 있다. 특히, 도 23과 같이 평균 Discard ratio는 탐지 즉시 해당 Face를 차단하여 공격 Interest의 유입을 막고, PIT를 점유하고 있는 공격 Interest를 삭제함으로써 어떠한 Interest도 폐기되지 않음을 알 수 있다. 도 24에서처럼 평균 타임아웃 역시 방어기술 동작으로 공격 전후 양상의 큰 변화가 없다.

다만, 몇몇의 라우터가 공격시점에서 전달한 일부 정상적인 Interest를 공격으로 인한 PIT 포화상태에 빠져있는 라우터에서 폐기되어 Data 발신을 기다리다가 4초 후 타임아웃되는 경우로 인해 약 24초에서 살짝 값이 증가하는 것을 확인할 수 있다. 하지만, 도 21 및 도 22에서 확인할 수 있듯이, 성능에는 전혀 영향을 주지 않음을 알 수 있다.

이처럼 Interest flooding 공격으로부터 영향을 받지 않거나 신속히 회복되는 이유는 도 25에서처럼 공격이 탐지된 Face로부터 유입되는 Interest를 즉시 폐기시키는 동시에 이미 저장된 유해 Interest를 삭제하여 PIT 공간을 정상적으로 확보하기 때문이다.

이제까지 본 발명에 대하여 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 따라서 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허청구범위에 기재된 내용 및 그와 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.

본 발명은 콘텐츠 중심네트워크에서 서비스 거부 공격 방지 분야에 적용될 수 있다.

Claims (13)

1. 콘텐츠 중심 네트워크(Content Centric Network)에서 서비스 거부 공격 탐지장치에 있어서,

   단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하는 저장부;

   n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포와, n-1번째 단위시간까지의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포 각각의 집합인 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스를 이용하여, 상기 n번째 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리(Hellinger Distance)의 제곱 값을 계산하고 상기 헬링거 거리의 제곱 값을 지수가중이동평균하는 유입 비율 변화 계산부;

   상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 평균, n-1번째 단위시간에서의 Interest 및 Data의 유입비율 변화인 헬링거 거리의 제곱 값을 지수가중이동평균한 값 및 n-1번째 단위시간에서 Interest 수신 개수 및 Data 발신 개수의 비율을 이용하여, 상기 n번째 단위시간에서의 서비스 거부 공격 여부 판단 기준인 동적 임계치를 계산하는 임계치 계산부; 및

   상기 동적 임계치와 상기 지수가중이동평균 된 헬링거 거리의 제곱 값을 비교하여 서비스 거부 공격의 발생 여부를 탐지하는 탐지부를 포함하는 것을 특징으로 하는 서비스 거부 공격 탐지장치.
2. 청구항 1에 있어서,

   상기 서비스 거부 공격 탐지장치는,

   상기 콘텐츠 중심 네트워크와의 통신을 통해 Interest 및 Data를 송수신하는 다수의 페이스(Interface)들을 구비하며,

   상기 저장부는 상기 다수의 페이스들 별로 단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하며,

   상기 유입비율 변화 계산부는 상기 다수의 페이스들 별로 n번째 단위시간에서 해당 헬링거 거리의 제곱값을 계산하여 가중 평균하며,

   상기 임계치 계산부는 상기 다수의 페이스들 별로 동적 임계치를 계산하며,

   상기 탐지부는 상기 다수의 페이스들 별로 서비스 거부 공격의 발생 여부를 탐지하는 것을 특징으로 하는 서비스 거부 공격 탐지장치.
3. 청구항 1에 있어서,

   상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값은,

   식

   

   (

   

   는 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값,

   

   는 가중치,

   

   은 상기 n번째 단위시간에서 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값을 구하기 위해 n번째 단위시간 이전에 구해진 설정된 수의 헬링거 거리의 제곱값들의 평균을 나타내는 합리적인 서브그룹 평균(rational subgroup average),

   

   은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값)을 이용하여 구하는 것을 특징으로 하는 서비스 거부 공격 탐지장치.
4. 청구항 3에 있어서,

   상기 헬링거 거리의 제곱 값은

   식

   

   (

   

   은 상기 헬링거 거리의 제곱 값,

   

   및

   

   는 각각 n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포,

   

   및

   

   는 각각 n-1번째 단위시간까지의 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스)을 이용하여 구하는 것을 특징으로 하는 서비스 거부 공격 탐지장치.
5. 청구항 1에 있어서,

   상기 동적 임계치는

   식

   

   (

   

   은 상기 동적 임계치,

   

   은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값,

   

   는 n-1번째 단위시간에서 Data 발신 개수,

   

   는 n-1번째 단위시간에서 Interest 수신 개수,

   

   는 n번째 단위시간에서 Data 발신 개수,

   

   는 n번째 단위시간에서 Interest 수신 개수,

   

   는 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 평균)을 이용하여 구하는 것을 특징으로 하는 서비스 거부 공격 탐지장치.
6. 청구항 1에 있어서,

   상기 탐지부는 상기 지수가중이동평균 된 헬링거 거리의 제곱 값이 상기 동적 임계치보다 크면 서비스 거부 공격이 발생한 것으로 탐지하는 것을 특징으로 서비스 거부 공격 탐지장치.
7. 청구항 1에 있어서,

   상기 서비스 거부 공격 탐지장치는

   상기 서비스 거부 공격의 대상이 되는 단말기들이 속한 내부 네트워크와 속하지 않은 외부 네트워크의 경계에 위치한 경계 라우터에 포함되는 것을 특징으로 하는 서비스 거부 공격 탐지장치.
8. 콘텐츠 중심 네트워크(Content Centric Network)에서 서비스 거부 공격 탐지장치의 서비스 거부 공격 탐지 방법에 있어서,

   단위시간마다 Interest 수신 개수 및 Data 발신 개수를 저장하는 단계;

   n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포와, n-1번째 단위시간까지의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포 각각의 집합인 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스를 이용하여, 상기 n번째 단위시간에서의 Interest 및 Data의 유입비율 변화를 나타내는 헬링거 거리(Hellinger Distance)의 제곱 값을 계산하고 상기 헬링거 거리의 제곱 값을 지수가중이동평균하는 단계;

   상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 평균, n-1번째 단위시간에서의 Interest 및 Data의 유입비율 변화인 헬링거 거리의 제곱 값을 지수가중이동평균한 값 및 n-1번째 단위시간에서 Interest 수신 개수 및 Data 발신 개수의 비율을 이용하여, 상기 n번째 단위시간에서의 서비스 거부 공격 여부 판단 기준인 동적 임계치를 계산하는 단계; 및

   상기 동적 임계치와 상기 지수가중이동평균 된 헬링거 거리의 제곱 값을 비교하여 서비스 거부 공격의 발생 여부를 탐지하는 단계를 포함하는 것을 특징으로 하는 서비스 거부 공격 탐지방법.
9. 청구항 8에 있어서,

   상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값은,

   식

   

   (

   

   는 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값,

   

   는 가중치,

   

   은 상기 n번째 단위시간에서 상기 헬링거 거리의 제곱 값을 지수가중이동평균한 값을 구하기 위해 n번째 단위시간 이전에 구해진 설정된 수의 헬링거 거리의 제곱값들의 평균을 나타내는 합리적인 서브그룹 평균(rational subgroup average),

   

   은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값)을 이용하여 구하는 것을 특징으로 하는 서비스 거부 공격 탐지방법.
10. 청구항 9에 있어서,

    상기 헬링거 거리의 제곱 값은

    식

    

    (

    

    은 상기 헬링거 거리의 제곱 값,

    

    및

    

    는 각각 n번째 단위시간에서의 Interest 수신 개수 및 Data 발신 개수에 따른 수신 Interest 확률분포 및 발신 Data 확률분포,

    

    및

    

    는 각각 n-1번째 단위시간까지의 수신 Interest 확률분포 시퀀스 및 발신 Data 확률분포 시퀀스)을 이용하여 구하는 것을 특징으로 하는 서비스 거부 공격 탐지방법.
11. 청구항 8에 있어서,

    상기 동적 임계치는

    식

    

    (

    

    은 상기 동적 임계치,

    

    은 n-1번째 단위시간에서 구해진 헬링거 거리의 제곱값을 지수가중이동평균한 값,

    

    는 n-1번째 단위시간에서 Data 발신 개수,

    

    는 n-1번째 단위시간에서 Interest 수신 개수,

    

    는 n번째 단위시간에서 Data 발신 개수,

    

    는 n번째 단위시간에서 Interest 수신 개수,

    

    는 상기 n-1번째 단위시간까지의 Interest 및 Data의 유입변화를 나타내는 헬링거 거리의 제곱 값들의 평균)을 이용하여 구하는 것을 특징으로 하는 서비스 거부 공격 탐지방법.
12. 청구항 8에 있어서,

    상기 탐지하는 단계는 상기 지수가중이동평균 된 헬링거 거리의 제곱 값이 상기 동적 임계치보다 크면 서비스 거부 공격이 발생한 것으로 탐지하는 것을 특징으로 서비스 거부 공격 탐지방법.
13. 청구항 8에 있어서,

    상기 서비스 거부 공격 탐지장치는

    상기 서비스 거부 공격의 대상이 되는 단말기들이 속한 내부 네트워크와 속하지 않은 외부 네트워크의 경계에 위치한 경계 라우터에 포함되는 것을 특징으로 하는 서비스 거부 공격 탐지방법.

Images