WO2016108415A1

WO2016108415A1 - 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법

Info

Publication number: WO2016108415A1
Application number: PCT/KR2015/011783
Authority: WO
Inventors: 문종욱
Original assignee: 주식회사 시큐아이
Priority date: 2014-12-31
Filing date: 2015-11-04
Publication date: 2016-07-07

Abstract

본 발명은 네트워크 보안 장비에 관한 것이다. 본 발명의 네트워크 보안 장비는 프로세서들 각각에 대한 소스 아이피의 변동량을 수집하는 수집기, 소스 아이피의 변동량의 합산을 통해 디도스 인덱스를 계산하는 분석기, 및 디도스 인덱스가 디도스 공격의 판단을 위한 임계값을 초과하는지의 판단을 통해 디도스 공격 발생 유무를 판단하는 판단기를 포함한다.

Description

네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법

본 발명은 네트워크 시스템에 관한 것으로서, 특히 최소한의 자원(프로세서(CPU), 메모리 등) 소모만으로 디도스(DDoS) 공격을 탐지하기 위한 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법에 관한 것이다.

디도스(DDoS: Distributed Denial of Service) 공격은 에스와이엔 플로딩(SYN Flooding), 티시피 세션 플로딩(TCP Session Flooding), 에이치티티피 겟 플로딩(HTTP Get Flooding) 등의 과도한 트래픽 볼륨 또는 세션량으로 인터넷 구간의 네트워크 인프라의 자원 부족을 통해 정상적인 네트워크 서비스(일 예로, 인터넷 서비스)를 정상적으로 이루어지지 못하도록 하는 공격이다.

이때, 네트워크 인프라의 자원 부족은 회선 대역폭 자체의 고갈, 라우터 및 부하 분산 스위치와 같은 네트워크 장비의 처리 능력 초과, 방화벽 및 IPS와 같은 보안 장비의 과부하 등을 포함한다. 이로 인해, 다양한 디도스 공격을 탐지 및 차단하는 다양한 기술이 존재하지만 이를 탐지하기 위해서 대량의 세션 정보를 일일이 모두 감시 관찰하는 형태로 판단 동작하기 때문에 메모리, 프로세서, 전력과 같은 자원 소모가 증가하게 되는 문제점이 있었다.

본 발명의 목적은 디도스(DDoS) 공격 탐지를 위한 메모리, 프로세서와 같은 자원 소모를 감소시킨 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법을 제공함에 있다.

본 발명에 따른 네트워크 보안 장비는 프로세서들 각각에 대한 소스 아이피의 변동량을 수집하는 수집기, 상기 소스 아이피의 변동량의 합산을 통해 디도스 인덱스를 계산하는 분석기, 및 상기 디도스 인덱스가 디도스 공격의 판단을 위한 임계값을 초과하는지의 판단을 통해 상기 디도스 공격 발생 유무를 판단하는 판단기를 포함한다.

이 실시 예에 있어서, 상기 수집기는 상기 프로세서들 각각에 대해 처리되는 패킷의 소스 아이피의 변동량을 수집하는 수집부들을 포함하고, 상기 수집부들 각각은 소스 아이피의 변동량 측정을 위한 프로세서 내에 위치하는 것을 특징으로 한다.

이 실시 예에 있어서, 상기 수집기는 수신된 패킷의 소스 아이피를 샘플링하고, 샘플링된 소스 아이피와 현재 유입된 패킷의 소스 아이피의 비트 변화에 따른 상기 변동량을 배타적 논리합(XOR) 연산을 통해 획득하는 것을 특징으로 한다.

이 실시 예에 있어서, 상기 디도스 인덱스는 아이피브이 4(IPv4)의 주소체계에서 32비트 크기의 소스 아이피의 비트 변화량을 나타내고, 아이피브이 6(IPv6)의 주소체계에서 128비트 크기의 소스 아이피의 비트 변화량을 나타내는 것을 특징으로 한다.

이 실시 예에 있어서, 상기 분석기는 미리 결정된 주기마다 상기 소스 아이피 변동량을 누적시켜 비트 와이즈 오아 연산을 통해 전체적인 소스 아이피 비트 변화의 합을 획득하고, 상기 소스 아이피 비트 변화의 합에 근거하여 1로 설정된 비트의 개수를 상기 디도스 인덱스로 설정하는 것을 특징으로 한다.

본 발명에 따른 네트워크 보안 장비의 디도스 공격 탐지 방법은 프로세서들 각각에 대해 처리되는 패킷의 소스 아이피의 변동량을 수집하는 단계, 상기 소스 아이피의 변동량의 합산을 통해 디도스 인덱스를 계산하는 단계, 및 상기 디도스 인덱스가 디도스 공격의 판단을 위한 임계값을 초과하는지의 판단을 통해 상기 디도스 공격 발생 유무를 판단하는 단계를 포함한다.

이 실시 예에 있어서, 상기 수집하는 단계는 프로세서 각각에 수신된 패킷의 소스 아이피를 샘플링하는 단계, 및 상기 샘플링된 소스 아이피와 현재 유입된 패킷의 소스 아이피의 비트 변화에 따른 상기 변동량을 배타적 논리합(XOR) 연산을 통해 획득하는 단계를 포함한다.

이 실시 예에 있어서, 상기 계산하는 단계는 미리 결정된 주기마다 상기 수집된 소스 아이피의 변동량을 누적시켜 비트 와이즈 오아 연산을 통해 전체적인 소스 아이피 비트 변화의 합을 획득하는 단계, 및 상기 소스 아이피 비트 변화의 합에 근거하여 1로 설정된 비트의 개수를 상기 디도스 인덱스로 설정하는 단계를 포함한다.

본 발명에 따른 네트워크 장비는 프로세서들 각각에 대한 목적지 아이피(Destination IP)의 변동량을 수집하는 수집기, 상기 목적지 아이피의 변동량의 합산을 통해 웜 전파 인덱스(Worm propagation Index)를 계산하는 분석기, 및 상기 웜 전파 인덱스가 웜 전파 탐지를 위한 임계값을 초과하는지의 판단을 통해 상기 웜 전파 발생 유무를 판단하는 판단기를 포함한다.

이 실시 예에 있어서, 상기 프로세서들 각각에 대해 처리되는 패킷의 목적지 아이피의 변동량을 수집하는 수집부들을 포함하고, 상기 수집부들 각각은 목적지 아이피의 변동량 측정을 위한 프로세서 내에 위치하는 것을 특징으로 한다.

이 실시 예에 있어서, 상기 수집기는 수신된 패킷의 목적지 아이피를 샘플링하고, 샘플링된 목적지 아이피와 현재 유입된 패킷의 목적지 아이피의 비트 변화에 따른 상기 변동량을 배타적 논리합(XOR) 연산을 통해 획득하는 것을 특징으로 한다.

이 실시 예에 있어서, 상기 분석기는 미리 결정된 주기마다 상기 목적지 아이피 변동량을 누적시켜 비트 와이즈 오아 연산을 통해 전체적인 목적지 아이피 비트 변화의 합을 획득하고, 상기 목적지 아이피 비트 변화의 합에 근거하여 1로 설정된 비트의 개수를 상기 웜 전파 인덱스로 설정하는 것을 특징으로 한다.

본 발명의 네트워크 보안 장비는 소스 아이피(SIP: Source IP)의 비트 변화에 근거하여 디도스(DDoS) 공격을 탐지함에 따라 메모리, 프로세서와 같은 자원 소모를 감소시킬 수 있다.

도 1은 본 발명의 실시 예에 따른 네트워크 보안 장비를 도시한 도면,

도 2는 본 발명의 실시 예에 따른 네트워크 보안 모듈을 도시한 도면,

도 3은 본 발명의 실시 예에 따른 네트워크 보안 장비의 구현을 도시한 도면,

도 4는 본 발명의 실시 예에 따른 수집기의 동작을 도시한 순서도,

도 5는 본 발명의 실시 예에 따른 분석기의 동작을 도시한 순서도, 및

도 6은 본 발명의 실시 예에 따른 판단기의 동작을 도시한 순서도이다.

이하, 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기의 설명에서는 본 발명에 따른 동작을 이해하는데 필요한 부분만이 설명되며 그 이외 부분의 설명은 본 발명의 요지를 모호하지 않도록 하기 위해 생략될 것이라는 것을 유의하여야 한다.

본 발명은 디도스(DDoS) 공격을 탐지하기 위한 자원 소모를 감소시킨 네트워크 보안 장비를 제공한다.

도 1은 본 발명의 실시 예에 따른 네트워크 보안 장비를 도시한 도면이다.

도 1을 참조하면, 네트워크 보안 장비(100)는 수집기(110), 분석기(120), 및 판단기(130)를 포함한다.

수집기(110)는 복수의 수집부를 포함할 수 있으며, 복수의 프로세서들로부터 소스 아이피(SIP: Source IP)의 변동량을 수집한다. 여기서, 프로세서는 일 예로 중앙 처리 장치(Central Processing Unit, 이하 'CPU'라 칭하기로 함)를 포함하며, 설명의 편의를 위하여 하기에서는 CPU라 칭하기로 한다. 수집기(110)는 수집된 소스 아이피의 변동량을 분석기로 출력한다.

수집기(110)는 복수의 CPU들 각각에 대해 소스 아이피 변동량 수집을 위해 N개의 CPU들에 대응되는 N개의 수집부들(111, 112, 113, 114)로 구성될 수 있다.

분석기(120)는 CPU별로 수집된 소스 아이피의 변동량을 합산하여 디도스 인덱스(DDoS Index)를 계산한다. 이러한 디도스 인덱스(DDoS Index) 는 아이피브이4(IPv4)의 주소체계에서 32비트 크기의 소스 아이피의 비트 변화량을 나타내고, 아이피브이 6(IPv6)의 주소체계에서 128비트 크기의 소스 아이피의 비트 변화량을 나타낸다. 분석기(120)는 디도스 인덱스를 판단기(130)로 출력한다.

판단기(130)는 미리 설정된 임계값(threshold)에 근거하여 디도스 인덱스(DDoS Index)가 임계값을 초과하는지를 판단한다. 판단기(130)는 디도스 인덱스가 임계값을 초과하면 디도스 공격이 존재하는 것으로 판단하고, 디도스 인덱스가 임계값을 초과하지 않으면, 디도스 공격이 존재하지 않는 것으로 판단한다. 판단기(130)는 디도스 공격 여부에 따른 보안 정책 결정 신호를 출력한다. 이때, 보안 정책 결정 신호는 보안 레벨을 결정하기 위한 신호로 사용될 수 있다.

이를 통해, 본 발명에서 제안된 네트워크 보안 장비(100)는 소스 아이피(SIP: Source IP)의 비트 변화에 근거하여 디도스(DDoS) 공격을 감지함에 따라 메모리 소모가 적고, 디도스 공격 감지를 위한 처리 동작이 감소한다. 또한, 네트워크 보안 장비(100)는 소스 아이피의 비트 변화를 이용함에 따른 메모리 및 처리 동작 감소로 인해 디도스 공격 감지를 위한 전력 소모가 감소한다.

도 2는 본 발명의 실시 예에 따른 네트워크 보안 모듈을 도시한 도면이다.

도 2를 참조하면, 네트워크 보안 모듈(200)은 보안 정책 결정부(210), 제1 보안 정책 모듈(221), 및 제2 보안 정책 모듈(222)을 포함한다.

보안 정책 결정부(210)는 판단기(130)를 통해 출력된 보안 정책 결정 신호를 수신한다. 보안 정책 결정 신호의 제어에 따라 보안 정책 결정부(210)는 제1 보안 정책 모듈(221) 또는 제2 보안 정책 모듈(222) 중 하나로 보안 정책이 구현될 수 있도록 패킷의 흐름 제어 등을 할 수 있다.

제1 보안 정책 모듈(221)은 제2 보안 정책 모듈(222)에 비하여 상대적으로 낮은 보안 레벨에 대응되는 보안 정책이 설정된다. 판단기(130)가 디도스 공격을 감지하지 못한 경우, 낮은 보안 레벨(디도스 공격 감지한 경우에 비해 상대적으로) 설정을 위한 보안 정책 결정 신호를 보안 정책 결정부(210)로 출력할 수 있다. 이때, 제1 보안 정책 모듈(221)이 동작한다.

제2 보안 정책 모듈(222)은 제1 보안 정책 모듈(221)에 비하여 상대적으로 높은 보안 레벨에 대응되는 보안 정책이 설정된다. 판단기(130)가 디도스 공격을 감지한 경우, 높은 보안 레벨(디도스 공격을 감지하지 못한 경우에 비해 상대적으로) 설정을 위한 보안 정책 결정 신호를 보안 정책 결정부로 출력할 수 있다. 이때, 제2 보안 정책 모듈이 동작한다.

네트워크 보안 모듈(200)은 설명의 편의를 위하여 네트워크 보안 장비(100)와 구분된 것으로 설명되지만, 네트워크 보안 모듈(200)은 네트워크 보안 장비(100)에 포함될 수도 있다.

도 3은 본 발명의 실시 예에 따른 네트워크 보안 장비의 구현을 도시한 도면이다.

도 3을 참조하면, 네트워크 보안 장비(100)가 CPU들(310, 321, 322, 323)을 통해 구현된 경우를 예시적으로 나타낸 것이다. 이때, 제어 CPU(CPU0)(310)는 CPU분석기(120)와 판단기(130) 상에 구현될 수 있다. 제어 CPU(CPU0)(310)는 제어 경로 상의 CPU 그룹에 대응된다.

N개의 CPU들(321, 322, 323)은 내부에 수집기(110), 즉 N개의 수집부들(111, 112, 114)을 각각 포함할 수 있다. 또한, N개의 CPU들(321, 322, 323)은 내부에 디도스 공격 여부에 따른 보안 정책 설정을 위해 각각 네트워크 보안 모듈(200)을 포함할 수 있다. N개의 CPU들(321, 322, 323)은 데이터 경로 상의 CPU 그룹에 대응된다.

한편, 메모리(330)는 수집기(110)를 통해 수집된 정보, 분석기(120)와 판단기(130)의 동작 중에 발생되는 정보를 저장할 수 있다. 여기서, 메모리(330)는 설명의 편의를 위하여 제어 CPU(CPU0)(310)에 연결된 것을 기준으로 설명하지만, CPU들(321, 322, 323) 각각에 연결된 메모리(미도시)를 통해 구현될 수도 있다.

하기에서 도 4 내지 도 6을 참조하여, 네트워크 보안 장비(100)의 수집기(110), 분석기(120), 및 판단기(130)의 동작을 상세히 설명하기로 한다.

도 4는 본 발명의 실시 예에 따른 수집기(110)의 동작을 도시한 순서도이다.

도 4를 참조하면, 수집기(110)는 패킷을 수신하고, 420단계로 진행한다(410단계).

수집기(110)는 수신된 패킷의 소스 아이피를 샘플링하고, 430단계로 진행한다(420단계). 이때, 수집기(110)는 소스 아이피를 샘플링한 CPU의 번호(Cn)를 함께 획득하고, SAMPLE(Cn)의 필드를 통해 메모리(330)에 저장할 수 있다.

수집기(110)는 샘플링 구간이 새로 시작되었는지 판단한다(430단계).

430단계의 판단결과, 샘플링 구간이 새로 시작된 경우, 수집기(110)는 440단계로 진행한다.

수집기(110)는 샘플링한 소스 아이피를 교체하고, 410단계로 진행한다(440단계). 이때, 수집기(110)는 SAMPLE(Cn)을 교체된 소스 아이피로 설정한다.

430단계의 판단결과, 샘플링 구간이 새로 시작되지 않은 경우, 수집기(110)는 450단계로 진행한다.

수집기(110)는 샘플링된 소스 아이피와 현재 유입된 소스 IP의 비트 변화를 배타적 논리합(XOR) 연산으로 계산하고 460단계로 진행한다(450단계).

수집기(110)는 계산된 비트 변화 정보를 마커(MARKER(Cn))로 저장하고, 410단계로 진행한다(460단계). 여기서, 마커는 하기의 수학식 1과 같이 나타낼 수 있다.

여기서, '│'는 합산(OR)(일 예로, 비트 와이즈 오아(bit-wise OR)) 연산을 나타내고, '^'는 배타적 논리합(XOR) 연산을 나타낸다.

예를 들어, 일정 주기를 간격으로 첫 번째 세션 정보를 샘플링 세션 샘플로 결정한 경우, 이후 패킷이 유입될 때마다 샘플링 세션 샘플의 소스 아이피를 기준으로, 현재 세션(현재 유입된 패킷)의 소스 아이피를 배타적 논리합(XOR) 연산한다.

예를 들면, 샘플링 세션 샘플의 소스 아이피가 'aaa.aaa.aaa.aaa'이고, 현재 세션의 소스 아이피가 'bbb.bbb.bbb.bbb'이면, 두 소스 아이피들 간에 배타적 논리합(XOR) 연산을 통해 'ccc.ccc.ccc.ccc'로 변화된 비트를 감지할 수 있다.

이후에 섹션 정보들에 대한 소스 아이피들에 대해서도 동일한 배타적 논리합(XOR) 연산을 수행함에 따라 이전값과 합산된다.

따라서, 본 발명에서 제안된 DDoS 탐지는 몇몇 소스 아이피로부터 다량의 트래픽 볼륨을 전송하는 방식과 과도한 세션으로부터 트래픽을 전송하는 방식 중에서 과도한 세션으로부터 트래픽을 전송하는 방식 감지에 적용될 수 있다.

여기서는 수집기(110)를 기준으로 설명하였으나, 하나의 CPU에 대해 소스 아이피의 변동량을 수집하는 수집부들(111, 112, 113, 114) 각각의 동작에 대응될 수 있다. 따라서, 상술한 동작 절차는 CPU별(321, 322, 323)로 각각 수행됨에 따라 멀티 코어의 공유 자원 경쟁이 필요 없으므로 우수한 확장성을 제공할 수 있다. 또한, 디도스 공격 탐지를 위한 정보 수집에 필요한 연산량은 매우 적고, 유입된 트래픽량과 세션량에 무관하게 CPU 개수만큼의 소량의 메모리만을 필요로 한다.

도 5는 본 발명의 실시 예에 따른 분석기의 동작을 도시한 순서도이다.

도 5를 참조하면, 분석기(120)는 미리 설정된 체크 주기인지 확인한다(510단계). 이를 통해, 분석기(120)는 미리 설정된 주기마다 수집기(110)의 정보를 누적시켜 최종 디도스 인덱스(DDoS Index)를 획득할 수 있다.

510단계에서, 미리 설정된 체크 주기이면, 분석기(120)는 520단계로 진행한다.

520단계에서, 분석기(120)는 각 CPU별로 비트 차이를 누적하고, 530단계로 진행한다(520단계). 이를 통해, 분석기(120)는 수집기(110)에서 현재까지 획득한 MARKER(Cn) 값을 모두 비트 와이즈 오아(bit-wise OR) 연산을 통해서 전체적인 소스 아이피의 비트 변화의 합을 누적한다. 이는 하기의 수학식 2와 같이 나타낼 수 있다.

510단계에서 미리 설정된 체크 주기가 아니면, 분석기(120)는 510단계로 진행하여 일정 시간 간격으로 체크 주기인지 확인한다.

분석기(120)는 누적된 값(소스 아이피 비트 변화의 합)에 근거한 비트 개수를 디도스 인덱스(DDoS Index)로 저장하고 540단계로 진행한다(530단계). 이때, 분석기(120)는 AGGREGATOR에서 1로 설정된 비트의 개수를 합산하여 디도스 인덱스(DDoS Index)로 저장한다.

분석기(120)는 다음주기의 처리를 위해서 기존의 수집한 정보인 마커(MARKER(Cn))를 초기화하고 510단계로 진행한다(540단계).

한편, 분석기(120)는 체크 주기별(일 예로, 1초, 1분, 1시간 등)로 디도스 인덱스(DDoS Index)를 획득하고, 이를 모두 사용하면 디도스 탐지 성능을 더욱 향상시킬 수 있다. 이때, 각 주기에 대응되는 MARKER(Cn)과 AGGERATOR 변수로 인해 추가적인 메모리를 점유하게 된다. 하지만, 이와 같은 변수를 위해 사용되는 메모리량도 소량이다.

도 6을 참조하면, 판단기(130)는 미리 설정된 임계값을 가지고 있으며, 분석기(120)를 통해 출력된 디도스 인덱스(DDoS Index)가 임계값을 초과하였는지 판단한다(710단계). 이때, 디도스 인덱스(DDoS Index)는 분석기(120)에서 통해 미리 설정된 주기를 간격으로 수집기(110)의 출력 정보를 누적하여 획득한 값이다. 또한, 임계값은 사용자 제어에 따라 입력된 값으로 설정되거나 특정한 구간의 시간 평균값, 일 평균값, 요일별 평균값, 월별 평균값 중 적어도 하나를 활용하여 설정될 수 있다.

710단계의 디도스 인덱스가 임계값을 초과하면, 판단기(130)는 720단계로 진행한다.

판단기(130)는 공격 감지하고, 740단계로 진행한다(720단계).

710단계의 판단결과 디도스 인덱스가 임계값을 초과하지 않으면, 판단기(130)는 730단계로 진행한다.

판단기(130)는 공격을 미감지하고 710단계로 진행한다(730단계). 이때, 판단기(130)는 디도스 공격이 감지되지 않음으로 보안 정책의 레벨을 유지하도록 동작한다.

판단기(130)는 디도스 공격 감지에 따른 보안 정책의 레벨을 높이기 위하여 보안 정책 결정 신호를 출력하고, 710단계로 진행한다(740단계). 이때, 출력되는 보안 정책 결정 신호에 의해 보안 레벨이 상승된 보안 정책이 설정될 수 있다.

이와 같이, 본 발명에서 제안된 네트워크 보안 장비는 디도스 공격의 탐지를 위해 모든 트래픽 정보를 기록 관리할 필요가 없으며, 소스 아이피만을 활용함에 따라 세션 공격 상황에서 매우 적은 메모리 사용 및 프로세서 사용으로도 디도스 공격을 탐지할 수 있다. 이로 인해, 프리 알람(pre-alarm) 기능을 갖는 응용으로 다양한 디도스 공격 탐지에 활용될 수 있다.

한편, 본 발명에서는 디도스 공격 탐지를 위해 소스 아이피를 이용하는 것을 일 예로 설명하고 있으나, 웜 전파(Worm propagation) 탐지를 위해 소스 아이피를 대신하여 목적지 아이피(DIP: Destination IP)를 이용할 수 있다.

여기서, 수집기는 프로세서들 각각에 대한 목적지 아이피의 변동량을 수집한다. 이를 위해, 수집기는 프로세서들 각각에 대해 처리되는 패킷의 목적지 아이피의 변동량을 수집하며, 수집기는 프로세서들 각각 내부에서 목적지 아이피의 변동량을 측정하는 수집부를 복수개 포함할 수 있다. 수집기는 일정 시간 간격을 기준으로 수신된 패킷의 목적지 아이피를 샘플링하고 샘플링된 목적지 아이피와 현재 유입된 패킷의 목적지 아이피의 비트 변화에 따른 변동량을 배타적 논리합(XOR) 연산을 통해 획득할 수 있다. 수집기는 목적지 아이피의 변동량을 분석기로 출력할 수 있다.

분석기는 목적지 아이피의 변동량의 합산을 통해 웜 전파 인덱스(Worm propagation Index)를 계산한다. 분석기는 미리 결정된 주기마다 목적지 아이피의 변동량을 누적시켜 비트 와이즈 오아 연산을 통해 전체적인 목적지 아이피 비트 변화의 합을 획득하고, 목적지 아이피 비트 변화의 합에 근거하여 1로 설정된 비트의 개수를 웜 전파 인덱스로 설정한다.

이후, 판단기는 웜 전파 인덱스가 웜 전파 탐지를 위해 설정된 임계값을 초과하는지의 판단을 통해 웜 전파 탐지를 검출할 수 있다.

이와 같이, 웜 전파 탐지는 디도스 공격 탐지 방식에서 목적지 아이피를 이용하는 차이점을 제외하면 전반적으로 유사한 구조 및 동작의 수행을 통해 구현될 수도 있으므로 상세한 동작은 도 1 내지 도 6의 설명을 참조하기로 한다.

한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims

프로세서들 각각에 대한 소스 아이피(Source IP)의 변동량을 수집하는 수집기;

상기 소스 아이피의 변동량의 합산을 통해 디도스 인덱스(DDoS Index)를 계산하는 분석기; 및

상기 디도스 인덱스가 디도스(DDoS) 공격의 판단을 위한 임계값을 초과하는지의 판단을 통해 상기 디도스 공격 발생 유무를 판단하는 판단기를 포함하는 네트워크 보안 장비.
제 1 항에 있어서,

상기 수집기는 상기 프로세서들 각각에 대해 처리되는 패킷의 소스 아이피의 변동량을 수집하는 수집부들을 포함하고,

상기 수집부들 각각은 소스 아이피의 변동량 측정을 위한 프로세서 내에 위치하는 것을 특징으로 하는 네트워크 보안 장비.
제 1 항에 있어서,

상기 수집기는 수신된 패킷의 소스 아이피를 샘플링하고, 샘플링된 소스 아이피와 현재 유입된 패킷의 소스 아이피의 비트 변화에 따른 상기 변동량을 배타적 논리합(XOR) 연산을 통해 획득하는 것을 특징으로 하는 네트워크 보안 장비.
제 1 항에 있어서,

상기 디도스 인덱스는 아이피브이4(IPv4)의 주소체계에서 32비트 크기의 소스 아이피의 비트 변화량을 나타내고, 아이피브이6(IPv6)의 주소체계에서 128비트 크기의 소스 아이피의 비트 변화량을 나타내는 것을 특징으로 하는 네트워크 보안 장비.
제 1 항에 있어서,

상기 분석기는 미리 결정된 주기마다 상기 소스 아이피 변동량을 누적시켜 비트 와이즈 오아 연산을 통해 전체적인 소스 아이피 비트 변화의 합을 획득하고, 상기 소스 아이피 비트 변화의 합에 근거하여 1로 설정된 비트의 개수를 상기 디도스 인덱스로 설정하는 것을 특징으로 하는 네트워크 보안 장비.
네트워크 보안 장비의 디도스(DDoS) 공격 탐지 방법에 있어서,

프로세서들 각각에 대해 처리되는 패킷의 소스 아이피(Source IP)의 변동량을 수집하는 단계;

상기 소스 아이피의 변동량의 합산을 통해 디도스 인덱스(DDoS Index)를 계산하는 단계; 및

상기 디도스 인덱스가 디도스 공격의 판단을 위한 임계값을 초과하는지의 판단을 통해 상기 디도스 공격 발생 유무를 판단하는 단계를 포함하는 디도스 공격 탐지 방법.
제 6 항에 있어서,

상기 수집하는 단계는

프로세서 각각에 수신된 패킷의 소스 아이피를 샘플링하는 단계; 및

상기 샘플링된 소스 아이피와 현재 유입된 패킷의 소스 아이피의 비트 변화에 따른 상기 변동량을 배타적 논리합(XOR) 연산을 통해 획득하는 단계를 포함하는 디도스 공격 탐지 방법.
제 6 항에 있어서,

상기 디도스 인덱스는 아이피브이4(IPv4)의 주소체계에서 32비트 크기의 소스 아이피의 비트 변화량을 나타내고, 아이피브이6(IPv6)의 주소체계에서 128비트 크기의 소스 아이피의 비트 변화량을 나타내는 것을 특징으로 하는 디도스 공격 탐지 방법.
제 6 항에 있어서,

상기 계산하는 단계는

미리 결정된 주기마다 상기 수집된 소스 아이피의 변동량을 누적시켜 비트 와이즈 오아 연산을 통해 전체적인 소스 아이피 비트 변화의 합을 획득하는 단계; 및

상기 소스 아이피 비트 변화의 합에 근거하여 1로 설정된 비트의 개수를 상기 디도스 인덱스로 설정하는 단계를 포함하는 디도스 공격 탐지 방법.
프로세서들 각각에 대한 목적지 아이피(Destination IP)의 변동량을 수집하는 수집기;

상기 목적지 아이피의 변동량의 합산을 통해 웜 전파 인덱스(Worm propagation Index)를 계산하는 분석기; 및

상기 웜 전파 인덱스가 웜 전파 탐지를 위한 임계값을 초과하는지의 판단을 통해 상기 웜 전파 발생 유무를 판단하는 판단기를 포함하는 네트워크 보안 장비.
제 10 항에 있어서,

상기 프로세서들 각각에 대해 처리되는 패킷의 목적지 아이피의 변동량을 수집하는 수집부들을 포함하고,

상기 수집부들 각각은 목적지 아이피의 변동량 측정을 위한 프로세서 내에 위치하는 것을 특징으로 하는 네트워크 보안 장비.
제 10 항에 있어서,

상기 수집기는 수신된 패킷의 목적지 아이피를 샘플링하고, 샘플링된 목적지 아이피와 현재 유입된 패킷의 목적지 아이피의 비트 변화에 따른 상기 변동량을 배타적 논리합(XOR) 연산을 통해 획득하는 것을 특징으로 하는 네트워크 보안 장비.
제 10 항에 있어서,

상기 분석기는 미리 결정된 주기마다 상기 목적지 아이피 변동량을 누적시켜 비트 와이즈 오아 연산을 통해 전체적인 목적지 아이피 비트 변화의 합을 획득하고, 상기 목적지 아이피 비트 변화의 합에 근거하여 1로 설정된 비트의 개수를 상기 웜 전파 인덱스로 설정하는 것을 특징으로 하는 네트워크 보안 장비.