KR101519623B1 - 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치 - Google Patents

오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치 Download PDF

Info

Publication number
KR101519623B1
KR101519623B1 KR1020100127006A KR20100127006A KR101519623B1 KR 101519623 B1 KR101519623 B1 KR 101519623B1 KR 1020100127006 A KR1020100127006 A KR 1020100127006A KR 20100127006 A KR20100127006 A KR 20100127006A KR 101519623 B1 KR101519623 B1 KR 101519623B1
Authority
KR
South Korea
Prior art keywords
probability
ddos
flow
type flow
information
Prior art date
Application number
KR1020100127006A
Other languages
English (en)
Other versions
KR20120065729A (ko
Inventor
강경순
김학서
정부금
전기철
안병준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100127006A priority Critical patent/KR101519623B1/ko
Priority to US13/323,050 priority patent/US8677488B2/en
Publication of KR20120065729A publication Critical patent/KR20120065729A/ko
Application granted granted Critical
Publication of KR101519623B1 publication Critical patent/KR101519623B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DDoS 공격 트래픽으로 오인하는 오탐률을 줄이기 위한 DDoS 공격 탐지 장치 및 방법이 제공된다. DDoS 공격 탐지 장치는, 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부와, 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부를 포함한다.

Description

오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치{DDoS detection apparatus and method, DDoS detection and prevention apparatus for reducing positive false}
본 발명은 DDoS(distributed denial of service) 탐지 기술에 관한 것으로, 특히 IP 네트워크상의 라우터에서 DDoS 공격을 탐지할 때 오탐률을 줄이기 위한 장치 및 방법에 관한 것이다.
분산 서비스 거부(DDoS) 공격은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정한 서버를 공격하는 방식이다. 특정 서버를 공격하기 위하여 해커는 분산 서비스 공격을 위한 툴을 여러 대의 컴퓨터에 심어 놓고 목표 서버가 처리할 수 없을 정도의 트래픽을 가함으로써 목표 서버가 서비스를 할 수 없는 상태로 만든다.
DDoS 공격은 한정된 회선 대역을 모두 사용함으로써 서비스가 정상적으로 이루어 지지 못하게 하는 네트워크 대역폭 공격형과 서버나 네트워크 장비의 CPU 및 메모리를 고갈 시켜 서비스를 하지 못하게 하는 시스템 자원 고갈형 공격으로 구분된다.
현재의 DDoS 공격은 온라인 게임 회사나 금융 기관, 정부 기관 등에 대하여 여러 가지의 공격법으로 다양하게 동시에 이루어지고 있다. 이러한 상황에서 DDoS 공격은 DDoS 방어 장비에 의하여 방어가 이루어진다. DDoS 방어는 실제적으로 라우터에서의 ACL(Access Control list)를 이용하거나, DDoS 공격으로 판정된 패킷들을 드랍(Drop) 처리하거나, 전용 보안 장비를 이용하여 방어를 하게 된다. 가장 좋은 방법은 인라인 전용 보안장비를 이용하여 방어를 하게 되는 것이나 이는 보안 장비가 네트워크 라인 속도 이상의 속도를 가져야 하며 보안 장비 자체의 리소스도 DDoS 공격을 견뎌야 하므로 그 구축 비용이 상당히 커지게 된다.
그러므로 라우터에서 어느 정도의 네트워크 트래픽을 경감시켜 주어야 하는데, 기존의 드랍 방식은 공격 목표로 향하는 모든 트래픽을 드랍시키므로 공격 목표 서버의 외부의 네트워크를 통한 서비스는 불가능하게 된다. 또한, ACL을 이용하더라도 분산 거부 공격에 대응하기 위해서는 적은 수의 ACL을 가지고 DDoS 공격을 방어하기 어렵고, 수 만개 이상의 공격자로부터 목표 서버를 방어하기 위한 ACL을 운용하기 위해서는 관리자의 관리 부담이 가중되는 문제점이 있다.
본 발명은 IP 네트워크상의 라우터에서 외부 보안 장비의 도움 없이 공격 목표 시스템에 대하여 DDoS 공격을 탐지할 때 일반 트래픽에 대하여 DDoS 공격 트래픽으로 오인하는 오탐률을 줄이는데 목적이 있다.
일 측면에 따른 DDoS 공격 탐지 장치는, 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부와, 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부를 포함한다.
다른 측면에 따른 DDoS 공격 탐지 및 방어 장치는, 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부와, 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부와, DDoS 발생 확률에 따라서, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 대응부를 포함한다.
또 다른 측면에 따른 DDoS 공격 탐지 방법은, 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 단계와, 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하는 단계를 포함한다.
본 발명에 따르면, 트래픽 변화정보, 계층 2와 계층 3에서의 정보를 종합적으로 이용하여, DDoS 공격을 감지해 냄으로써 향후 보안장비와 연동하여 좀 더 정밀한 DDoS 공격에 대한 탐지를 수행할 수 있으므로, DDoS 공격 탐지에 대한 오탐률을 낮출 수 있다. 또한, DDoS 공격에 대한 확률로 표현이 되므로 향후 이러한 공격에 대한 방어 작업도 확률적으로 이루어질 수 있으므로 좀 더 유용하게 DDoS 공격을 방어할 수 있다. 또한, 그 결과 좀 더 낮은 성능의 보안 장비로도 DDoS 공격을 방어할 수 있다.
도 1은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 장치의 구성을 나타내는 도면이다.
도 2는 도 1의 정보 수집부의 구성의 일 예를 나타내는 도면이다.
도 3은 도 2의 제2 타입 플로우 PPS 수집부에서 제2 타입 플로우에 대해 수집하는 정보의 구성을 나타내는 도면이다.
도 4는 도 1의 검사부의 구성의 일 예를 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 DDoS 공격 탐지 및 방어 장치의 구성을 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 방법을 나타내는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 일 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 장치의 구성을 나타내는 도면이다.
DDoS 공격 탐지 장치(100)는 정보 수집부(110) 및 검사부(120)를 포함할 수 있다. DDoS 공격 탐지 장치(100)는 라우터, 네트워크 스위치와 같은 네트워크 장비로 구현될 수 있다.
DDoS 공격 탐지 장치(100)는 복수의 탐지 방법을 이용하여, 각 탐지 방법에 따른 따라 결정되는 확률을 종합하여 전체 DDoS 발생 확률을 계산하여, DDoS 공격을 탐지하도록 구성된다. 복수의 탐지 방법은, DDoS 공격 탐지 장치(100)의 인터페이스, 목적지 및 소스 측면에서 수행될 수 있다.
데이터 트래픽 플로우(이하, 플로우라 함)는 데이터 패킷 헤더로부터 추출할 수 있는 필드의 동일한 조합으로 정의될 수 있는 일련의 패킷의 모음으로 정의될 수 있다. 통상적으로, 플로우는 인터넷 프로토콜의 헤더에서 소스 IP 주소, 목적지 IP 주소, 프로토콜 타입(또는 프로토콜 값), 소스 포트 번호, 목적지 포트 번호가 동일한 일련의 패킷을 가리킨다. 일 실시예에서, 제1 타입 플로우는 목적지 IP 주소가 동일한 일련의 패킷을 나타내고, 제2 타입 플로우는 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입이 동일한 일련의 패킷을 나타낸다.
정부 수집부(110)는 복수의 탐지 방법을 위하여 DDoS 공격 탐지 장치(100)를 통해 송수신되는 패킷에 대한 DDoS 탐지 정보를 수집한다. 정보 수집부(110)는 인터페이스 측면에서의 DDoS 발생 확률을 결정하기 위한 DDoS 탐지 정보로서, 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보를 수집할 수 있다. 또한, 정보 수집부(110)는 목적지 측면에서 DDoS 발생 확률을 결정하기 위한 DDoS 탐지 정보로서, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량을 수집할 수 있다. 또한, 정보 수집부(110)는 소스 측면에서 DDoS 발생 확률을 결정하기 위한 DDoS 탐지 정보로서, 각 목적지 IP 주소에 대한 소스 IP 주소 및 프로토콜 타입별로 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 수집할 수 있다.
검사부(120)는 트래픽 변화 비율 정보에 따라 제1 확률을 결정하고, 제1 타입 플로우의 변화량에 따라 제2 확률을 결정하고, 제2 타입 플로우의 PPS에 따라 제3 확률을 결정한다. 검사부(120)는, 트래픽 변화 비율 정보가 높을수록 제1 확률을 높게 결정하고, 제1 타입 플로우의 변화량이 클수록 제2 확률을 높게 결정하고, 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 제3 확률을 높게 결정할 수 있다. 검사부(120)는 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지할 수 있다.
도 2는 도 1의 정보 수집부(110)의 구성의 일 예를 나타내는 도면이다.
정보 수집부(110)는 트래픽 변화 비율 정보 수집부(210), 제1 타입 플로우 변화량 수집부(220) 및 제2 타입 플로우 PPS 수집부(230)를 포함할 수 있다.
트래픽 변화 비율 정보 수집부(210)는 인터페이스 측면에서의 DDoS 발생 확률을 결정하기 위한 DDoS 탐지 정보로서, 제1 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보를 수집한다. 이를 위해, 트래픽 변환 비율 정보 수집부(210)는, 제1 단위 시간, 예를 들어, 10초 혹은 20초 단위로 패킷 개수(packet count), 플로우 개수(flow count) 및 바이트 개수 값(byte count)에 대한 정보를 수집할 수 있다.
트래픽 변화 비율 정보 수집부(210)는 제1 단위 시간마다 수집된 패킷 개수(packet count), 플로우 개수(flow count) 및 바이트 개수 값(byte count)에 대한 정보를 이용하여, 제1 단위 시간보다 긴 제2 단위 시간에서, 입력된 패킷 개수에 대한 최대값(PM) 및 제2 단위 시간 동안 입력된 패킷 개수에 대한 평균값(PA)의 비율인 패킷 비율(PR), 제2 단위 시간 동안 입력된 플로우 개수에 대한 최대값(FM) 및 제2 단위 시간 동안 입력된 플로우 개수에 대한 평균값(FA)의 비율인 플로우 비율(FR), 제2 단위 시간 동안 입력된 바이트 개수 값의 최대값(BM) 및 제2 단위 시간 동안 입력된 바이트 개수 값의 평균값(BA)의 비율인 바이트 비율(BR)을 계산할 수 있다. 패킷 비율(PR)은 패킷 개수의 최대값(PM)을 패킷 개수의 평균값(PA)으로 나눈 값을 나타내고, 플로우 비율(FR)은 플로우 개수의 최대값(FM)을 플로우 개수의 평균값(FA)으로 나눈 값을 나타내고, 바이트 비율(BR)은 바이트 개수 값의 최대값(BM)을 바이트 개수 값의 평균값(BA)으로 나눈 값을 나타낸다. 제2 단위 시간은 예를 들어, 30분 혹은 1시간 등일 수 있다.
트래픽 변화 비율 정보 수집부(210)는, 제2 단위 시간 동안 플로우 비율(FR)에 대한 패킷 비율(PR)과 플로우 비율(FR)에 대한 바이트 비율(BR)을 이용하여 트래픽 변화 비율 정보를 결정할 수 있다. DDoS 공격 상황이 아닐 때에는, 패킷 비율(PR)과, 플로우 비율(FR), 그리고 바이트 비율(BR)은 일정한 비율을 갖는다.
트래픽 변화 비율 정보 수집부(210)는, 패킷 비율(PR)이 바이트 비율(BR)보다 큰 경우에, 트래픽 변화 비율 정보로서, 패킷 비율(PR)을 플로우 비율(FR)로 나눈 제1 값(PR/FR)을, 바이트 비율(BR)을 플로우 비율(FR)로 나눈 제2 값(BR/FR)으로 나누어 생성된 제3 값((PR/FR)/(BR/FR))을 이용할 수 있다. 트래픽 변화 비율 정보 수집부(210)는, 패킷 비율(PR)이 바이트 비율(BR)보다 작은 경우에, 트래픽 변화 비율 정보로서, 바이트 비율(BR)을 플로우 비율(FR)로 나눈 제4 값(BR/FR)을, 패킷 비율(PR)을 플로우 비율(FR)로 나눈 제5 값(PR/FR)으로 나누어 생성된 제6 값((BR/FR)/(PR/FR))을 이용할 수 있다.
제1 타입 플로우 변화량 수집부(220)는, 목적지 측면에서 DDoS 발생 확률을 결정하기 위한 DDoS 탐지 정보로서, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 정보를 수집할 수 있다. 제1 타입 플로우 변화량 수집부(220)는 제1 타입 플로우에 대한 PPS(Packer per Second), BPS(Byte per second) 및 플로우 개수 각각에 대하여, 예측치를 예측하고, 실측치를 측정할 수 있다. 제1 타입 플로우 변화량 수집부(220)는, 제1 타입 플로우에 대한 PPS, BPS 및 플로우 개수 각각에 대하여, 실측치 및 실측치에서 예측치를 뺀 값의 비율을 계산하고, PPS, BPS 및 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 제1 타입 플로우 변화량으로 결정할 수 있다. 이때, 제1 타입 플로우 변화량 수집부(220)는 지수 평활법(exponetial smoothing) 등을 이용하여 제1 타입 플로우에 대한 PPS, BPS 및 플로우 개수 각각에 대하여 예측치를 계산할 수 있다.
예를 들어, 제1 타입 플로우 변화량 수집부(220)는 플로우에 대해 단위 시간별(예 10초 혹은 20초)로 예측 기법을 적용할 수 있다.
지수 평활법을 적용할 경우 St는 예측치, Xt는 현재 실측치이며, Alpha는 0보다 크고 1보다 작은 평활 계수이다. Alpha의 초기값은 0.3으로 설정될 수 있다.
지수 평활법에서, 예측치의 초기값(S0)은 실측치의 초기값(X0)과 동일하게 설정된다(SO=XO). 또한, St = Alpha * Xt -1 + (1 - Alpha) * St -1의 식이 이용된다. 즉, 새로운 예측치(St)는 이전 예측치(St -1) 및 이전 관측치(Xt -1)에 가중치를 할당하여 합산한 값이 된다.
만약 St가 (0.3 * Xt) 보다 작거나 같으면 Alpha 값은 0.3으로 설정될 수 있다. 만약 St가 (0.3 * Xt) 보다 크며, 동시에 St가 (0.5 * Xt) 보다 작거나 같으면 Alpha 값은 0.1로 설정될 수 있다. 만약 Xt가 (0.5 * St)보다 크다면 DDoS 상황으로 판단될 수 있다. DDoS 상황으로 판단되면, 현재 실측치(Xt)는 그 이전 단계의 값의 실측치(Xt -1)로 설정될 수 있다.
제1 타입 플로우 변화량 수집부(220)는 트래픽이 증가하는 경우인 Xt가 St보다 큰 경우에 대하여 Xt / (Xt - St)의 비율을 제1 타입 플로우 변화량 정보로서 계산할 수 있다. 즉, 제1 타입 플로우 변화량 수집부(220)는 제1 타입 플로우에 대한 PPS, BPS 및 플로우 개수 각각에 대하여, 실측치 및 실측치에서 예측치를 뺀 값의 비율을 각각 계산하고, PPS, BPS 및 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 제1 타입 플로우 변화량으로 결정할 수 있다.
제2 타입 플로우 PPS 수집부(230)는, 목적지 IP 주소별로 소스 IP 주소의 프로토콜 별로 PPS를 유지하여 이 정보를 토대로 DDoS를 판단하기 위하여, 소스 측면에서 DDoS 발생 확률을 결정하기 위한 DDoS 탐지 정보로서, 각 목적지 IP 주소에 대한 소스 IP 주소 및 프로토콜 타입별로 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집할 수 있다. 여기에서, 목적지 IP 주소는 공격 목표가 되는 시스템의 IP 주소를 나타낸다.
제2 타입 플로우 PPS 수집부(230)는, 입력되는 패킷의 헤더 정보를 분석하여, 각 목적지 IP 주소로 향하는 소스 IP 주소별로, 각 소스 IP 주소에 대한 프로토콜 타입별로 플로우를 분류하고, 분류된 플로우의 각각의 개수를 카운트하고, 분류된 플로우의 각각의 개수를 이용하여 제2 타입 플로우에 대한 PPS를 계산할 수 있다. 제2 타입 플로우가 복수 개로 분류되어, 제2 타입 플로우에 대한 PPS가 복수 개 계산되는 경우, 계산된 PPS 값들을 평균하여 제2 타임 플로우 PPS로 이용할 수 있다.
도 3은 도 2의 제2 타입 플로우 PPS 수집부에서 제2 타입 플로우에 대해 수집하는 정보의 구성을 나타내는 도면이다.
제2 타입 플로우 정보는 도 3에 도시된 바와 같이, 목적지 IP 주소, 해당 목적지 IP 주소로 향하는 패킷들의 소스 IP 주소 및 프로토콜 타입별 패킷 개수(packet count) 정보를 포함한다. 즉, DDoS 탐지 정보로서, 하나의 목적지 IP 주소에 대하여, 소스 IP 주소 및, 각 소스 IP 주소별 프로토콜 타입별로 플로우 정보가 수집될 수 있다. 기본적으로 사용되는 프로토콜은 ICMP(Internet Control and Message Protocol), UDP(User Datagram Protocol), TCP이다. 예를 들어, 목적지 IP 주소, 소스 IP 주소 #1 및 프로토콜 타입이 ICMP인 플로우에 대한 패킷 개수, 목적지 IP 주소, 소스 IP 주소 #1 및 프로토콜 타입이 UDP인 플로우에 대한 패킷 개수, 목적지 IP 주소, 소스 IP 주소 #1 및 프로토콜 타입이 TCP인 플로우에 대한 패킷 개수 등이 수집될 수 있다.
또한, 각 플로우에 대한 평균 패킷 크기 정보가 수집될 수 있다. 특히, 제2 타입 플로우 PPS 수집부(230)에서는 TCP 타입의 플로우에 대한 평균 패킷 크기 정보가 수집할 수 있다. TCP 타입의 플로우에 대한 평균 패킷 크기 정보는 DDoS 공격에 대한 판단에 이용될 수 있다.
도 4는 도 1의 검사부(120)의 구성의 일 예를 나타내는 도면이다.
검사부(120)는 확률 결정부(410), 확률 결정 정보 저장부(420) 및 DDoS 발생 확률 계산부(430)를 포함할 수 있다.
확률 결정부(410)는, 제1 확률 결정부(412), 제2 확률 결정부(414) 및 제3 확률 결정부(416)를 포함할 수 있다.
제1 확률 결정부(412)는 트래픽 변화 비율 정보에 따라 제1 확률을 결정한다. 제1 확률 결정부(412)는, 트래픽 변화 비율 정보가 높을수록 제1 확률을 높게 결정할 수 있다. 예를 들어, 제1 확률 결정부는, 트래픽 변화 비율 정보(PFBR)가 2 이상이면, 트래픽 변화 비율 정보(PFBR)에 따라 결정되는 제1 확률을 50%로 결정하고, 트래픽 변화 비율 정보(PFBR)가 5 이상이면 제1 확률을 70%로 결정하고, 트래픽 변화 비율 정보(PFBR)가 8 이상이면 90%로 결정할 수 있다.
제2 확률 결정부(414)는 제1 타입 플로우의 변화량에 따라 제2 확률을 결정한다. 제2 확률 결정부(414)는 제1 타입 플로우의 변화량이 클수록 제2 확률을 높게 결정할 수 있다. 일례로 제2 확률 결정부(414)는 제1 타입 플로우 변화량이 2 이상인 경우 제2 확률을 50%로 결정하고, 제1 타입 플로우 변화량이 4 이상인 경우 제2 확률을 70%로 결정하고, 제1 타입 플로우 변화량이 8 이상인 경우 제2 확률을 90%로 결정할 수 있다.
제3 확률 결정부(416)는 제2 타입 플로우의 PPS에 따라 제3 확률을 결정한다. 제3 확률 결정부(416)는 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 제3 확률을 높게 결정할 수 있다.
제3 확률 결정부(416)는 예를 들어 ICMP 프로토콜의 경우 PPS가 10 이상인 경우 제3 확률을 10%로 결정하고, PPS 가 20 이상이며 30 미만인 경우 제3 확률을 20%로 결정하고, PPS가 30 이상이며 40 미만인 경우 제3 확률을 40%로 결정하고, PPS가 40 이상 50미만인 경우 제3 확률을 60%로 결정하고, PPS가 50 이상인 경우 제3 확률을 90%로 결정할 수 있다.
제3 확률 결정부(416)는 이와 같은 방법으로 UDP 프로토콜 타입의 플로우에 대해서도 유사하게 제3 확률을 결정할 수 있다. 제3 확률 결정부(413)는 ICMP에 비하여 동일한 PPS에 제3 확률을 높게 결정할 수 있다.
제3 확률 결정부(416)는 특히 TCP 프로토콜 타입의 플로우의 PPS에 대한 제3 확률을 결정할 때, TCP 프로토콜 타입의 플로우에 해당하는 패킷들의 평균 패킷 크기를 산출하여 이용함으로써 ICMP 타입의 플로우의 PPS 및 UDP 프로토콜 타입의 플로우의 PPS에 비하여 제3 확률을 높게 결정할 수 있다.
제3 확률 결정부(416)는 TCP 프로토콜 타입의 플로우에 대한 PPS에 따른 제3 확률을 정할 때 부가적으로 평균 패킷 크기를 같이 고려할 수 있다. 일례로 제3 확률 결정부(416)는 PPS가 10 이상 20 미만이며 평균 패킷 크기가 200Byte 이하인 경우 제3 확률을 30%로 결정하고, PPS가 20 이상 30 미만이며 평균 패킷 크기가 200Byte 이하인 경우 제3 확률을 50%로 결정하고, PPS가 30 이상이며 평균 패킷 크기가 200Byte 이하인 경우 제3 확률을 70%로 결정할 수 있다.
또한, 제3 확률 결정부(416)는 TCP 프로토콜 타입의 플로우의 PPS가 동일하더라도 평균 패킷 크기가 200Byte보다 작을 경우, 예를 들어, 평균 패킷 크기가 100Byte 이하인 경우에는, 제3 확률을 더 높게 결정할 수 있다. 예를 들어, 평균 패킷 크기가 100Byte이하인 경우, 제3 확률 결정부(416)는 TCP 프로토콜 타입 플로우의 PPS가 10 이상 20 미만인 경우 제3 확률을 40%로 결정하고, PPS가 20이상이며 제3 확률을 60%로 결정할 수 있다. 이와 같이, 제3 확률 결정부(416)는 제2 타입 플로우가 TCP 프로토콜 타입의 플로우인 경우에는 패킷의 Byte크기에 반비례하여 제3 확률을 결정할 수 있다.
이외에도 다양한 방법으로 검출이 가능하므로 해당 방법에 대한 확률을 얻어서 최종 DDoS로 판단하는데 사용이 가능하다. 제1 확률을 결정하기 위한 트래픽 변화 비율 정보의 기준 값(예를 들어, 트래픽 변화 비율 정보가 10이상 20미만인 경우 제1 확률이 50%로 결정될 때, 10 및 20에 해당하는 값), 제2 확률을 결정하기 위한 제1 타입 플로우의 변화량의 기준값 및 제3 확률을 결정하기 위한 제2 타입 플로우의 PPS의 기준값들은 DDoS 탐지 장치(100)의 관리자에 의하여 조정될 수 있다.
확률 결정 정보 저장부(420)는 확률 결정부(430)가 트래픽 변화 비율 정보에 따라 제1 확률을 결정하고, 제1 타입 플로우 변화량에 따라 제2 확률을 결정하고, 제2 타입 플로우 PPS에 따라 제3 확률을 결정하는데 이용되는 확률 결정 방법 또는 정책 정보를 저장할 수 있다.
DDoS 발생 확률 계산부(430)는 각각의 DDoS 검출 방법에 대한 제1 확률, 제2 확률 및 제3 확률에 대하여 가중치(Weight)값을 이용하여 가중치를 둘 수 있다. 여기에서, 가중치의 총 합은 1이 된다.
예를 들어, 제1 확률에 0.3, 제2 확률에 0.4, 제3 확률에 0.3이 할당될 수 있다. 이 경우, DDoS 발생 확률(P)은 P = (제1 확률 * 0.3) + (제2 확률 * 0.4) + (제3 확률 * 0.3)와 같이 계산될 수 있다.
도 5는 본 발명의 일 실시예에 따른 DDoS 공격 탐지 및 방어 장치의 구성을 나타내는 도면이다.
도 5의 DDoS 공격 탐지 및 방어 장치(500)는 정보 수집부(510) 및 검사부(520) 및 대응부(530)를 포함할 수 있다. 정보 수집부(510) 및 검사부(520)는 도 1의 정보 수집부(110) 및 검사부(120)와 동일한 구성을 가질 수 있으므로, 상세한 설명은 생략한다. 대응부(530)는 도 3의 DDoS 발생 확률 계산부(530)에서 계산된 DDoS 발생 확률을 이용하여 대응 방법을 결정하고, 결정된 대응 방법에 따라 패킷 처리를 수행할 수 있다. 예를 들어, 대응부(530)는 DDoS 발생확률(P)가 50%를 넘어설 경우 DDoS 공격으로 결정할 수 있다. 대응부(530)는 DDoS 발생확률(P)에 따라서 다양한 정책으로 대응을 할 수 있다. 또한, 대응부(530)는 DDoS 발생확률(P)에 따라 단계적 대응 방법을 이용할 수 있다.
대응부(530)는 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행할 수 있다. 제2 동작 및 제3 동작은 확률적으로 패킷들을 드랍하는 것으로, 제2 동작은 DDoS 탐지 및 방어 장치(500)로 현재 입력되고 있는 플로우에 대하여 수행되고, 제3 동작은 DDoS 탐지 및 방어 장치(500)에 이전에 입력된 적이 있으나 해당 플로우가 종료된 후 일정 시간 예를 들어, N초 후에 입력될 플로우에 대하여 적용되는 방법을 나타낸다. 대응부(530)는, 각 플로우의 PPS 값이 제1 범위에 속하는 경우, 제1 동작을 수행하고, PPS 값이 제1 범위의 값보다 큰 제2 범위에 속하는 경우 제2 동작 및 제3 동작을 수행할 수 있다.
대응부(530)는 제1 확률, 제2 확률 및 제3 확률을 이용하여 계산된 DDoS 발생 확률에 따라 대응 방법을 결정할 수 있으며, 각각의 제1 확률, 제2 확률, 및 제3 확률과, 제1 확률, 제2 확률, 제3 확률을 결정하는데 이용된 트래픽 변화 비율 정보, 제1 타입 플로우 변화량 및 제2 타입 플로우의 PPS를 이용하여 개별 플로우에 대하여 제어를 수행하여 DDoS 공격에 대응할 수 있다. 예를 들어, 대응부(530)는 제1 확률을 라우터의 라인카드 내에서 플로우 별로 계산하여 사용하거나, 인터페이스별 통계 정보로 사용할 수 있다. 대응부(530)는 DDoS로 판단된 해당 인터페이스에 대하여 역경로 체크(Reverse Path Check) 방법을 통하여 변조된 소스 IP 주소들에 대해 드랍하도록 설정함으로써 대규모 IP 변조를 이용한 공격을 방어할 수 있다.
또한, 대응부(530)는 DDoS 상황이라고 판단이 된 경우에는, DDoS 상황이 유지되는 동안에는, 정보 수집부(510)가 DDoS 상황에 따른 정보를 수집하도록 제어할 수 있다. 예를 들어, 정보 수집부(510)는 DDoS 상황에서는 트래픽 변화 비율 정보를 계산하는데 이용되는 패킷 개수의 최대값, 플로우 개수의 최대값, 바이트 개수 값의 최대값의 정보는 일반적인 값으로 볼 수 없으므로 수집하지 않을 수 있다.
도 6은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 방법을 나타내는 순서도이다.
단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet Per Second)를 포함하는 DDoS 탐지 정보가 수집된다(610).
트래픽 변화 비율 정보에 따라 제1 확률을 결정하고, 제1 타입 플로우의 변화량에 따라 제2 확률을 결정하고, 제2 타입 플로우의 PPS에 따라 제3 확률이 결정된다(620).
트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률이 계산된다(630).
DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하여, DDoS 발생 확률 따라 DDoS 공격 완화 방법 등의 동작이 수행된다(640).
본 발명에 따르면, 라우터가 갖는 특징을 이용하여 트래픽 변화정보, 계층 2와 계층 3에서의 정보를 종합적으로 이용하여, DDoS 공격을 감지해 냄으로써 향후 보안장비와 연동하여 좀 더 정밀한 DDoS 공격에 대한 탐지를 수행할 수 있으므로, DDoS 공격 탐지에 대한 오탐률을 낮출 수 있다. 또한, DDoS 공격에 대한 확률로 표현이 되므로 향후 이러한 공격에 대한 방어 작업도 확률적으로 이루어질 수 있으므로 좀 더 유용하게 DDoS 공격을 방어할 수 있다. 또한, 그 결과 좀 더 낮은 성능의 보안 장비로도 DDoS 공격을 방어할 수 있다.
본 발명의 일 양상은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있다. 상기의 프로그램을 구현하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 디스크 등을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상의 설명은 본 발명의 일 실시예에 불과할 뿐, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.
100: DDoS 탐지 장치 110: 정보 수집부
120: 검사부 210: 트래픽 변화 비율 정보 수집부
220: 제1 타입 플로우 변화량 수집부 230: 제2 타입 플로우 PPS 수집부
410: 확률 결정부 420: 확률 결정 정보 저장부
430: DDoS 발생 확률 계산부

Claims (19)

  1. 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부; 및
    상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부를 포함하는 DDoS 공격 탐지 장치.
  2. 제1항에 있어서,
    상기 검사부는, 상기 트래픽 변화 비율 정보가 높을수록 상기 제1 확률을 높게 결정하고, 상기 제1 타입 플로우의 변화량이 클수록 상기 제2 확률을 높게 결정하고, 상기 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 상기 제3 확률을 높게 결정하는 DDoS 공격 탐지 장치.
  3. 제1항에 있어서,
    상기 정보 수집부는, 단위 시간 동안 입력된 패킷 개수에 대한 최대값(PM) 및 상기 단위 시간 동안 입력된 패킷 개수에 대한 평균값(PA)의 비율인 패킷 비율(PR), 상기 단위 시간 동안 입력된 플로우 개수에 대한 최대값(FM) 및 상기 단위 시간 동안 입력된 플로우 개수에 대한 평균값(FA)의 비율인 플로우 비율(FR), 상기 단위 시간 동안 입력된 바이트 개수 값의 최대값(BM) 및 상기 단위 시간 동안 입력된 바이트 개수 값의 평균값(BA)의 비율인 바이트 비율(BR)을 계산하고, 상기 플로우 비율(FR)에 대한 상기 패킷 비율(PR)과 상기 플로우 비율(FR)에 대한 상기 바이트 비율(BR)을 이용하여 트래픽 변화 비율 정보를 결정하는 DDoS 공격 탐지 장치.
  4. 제3항에 있어서,
    상기 정보 수집부는,
    상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 큰 경우에, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제1 값을, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제2 값으로 나누어 생성된 제3 값((PR/FR)/(BR/FR))을 상기 트래픽 변화 비율 정보로서 이용하고,
    상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 작은 경우에, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제4 값을, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제5 값으로 나누어 생성된 제6 값((BR/FR)/(PR/FR))을 상기 트래픽 변화 비율 정보로서 이용하는 DDoS 공격 탐지 장치.
  5. 제1항에 있어서,
    상기 정보 수집부는,
    상기 제1 타입 플로우에 대한 PPS(Packet per Second), BPS(Byte per Second) 및 플로우 개수 각각에 대하여, 실측치 및 상기 실측치에서 예측치를 뺀 값의 비율을 계산하고, 상기 PPS, 상기 BPS 및 상기 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 상기 제1 타입 플로우의 변화량으로 결정하는 DDoS 공격 탐지 장치.
  6. 제5항에 있어서,
    상기 정보 수집부는 지수 평활법(exponetial smoothing)을 이용하여 상기 PPS(Packet per Second), BPS(Byte per Second) 및 플로우 개수 각각에 대한 예측치를 계산하는 DDoS 공격 탐지 장치.
  7. 제1항에 있어서,
    상기 정보 수집부는, 입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 상기 각 소스 IP 주소에 대한 프로토콜 타입별로 상기 제2 타입 플로우를 분류하고, 상기 제2 타입 플로우에 속하는 패킷의 개수를 카운트하고, 상기 패킷 개수를 이용하여, 제2 타입 플로우에 대한 PPS를 계산하는 DDoS 공격 탐지 장치.
  8. 제7항에 있어서,
    상기 정보 수집부는 상기 제2 타입 플로우 중 TCP 타입의 플로우로 분류된 패킷들의 평균 크기 정보를 더 수집하는 DDoS 공격 탐지 장치.
  9. 제7항에 있어서,
    상기 검사부는, 상기 제2 타입 플로우에 대하여 ICMP 타입의 플로우, UDP 타입의 플로우, TCP 타입의 플로우 순으로 동일한 PPS에 대하여 제3 확률을 더 높게 결정하는 DDoS 공격 탐지 장치.
  10. 제1항에 있어서,
    상기 검사부는, 상기 제1 확률, 상기 제2 확률 및 상기 제3 확률에 각각 가중치를 할당하고, 가중치가 할당된 제1 확률, 제2 확률 및 제3 확률을 합산하여 최종적인 DDoS 발생 확률을 계산하는 DDoS 공격 탐지 장치.
  11. 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부; 및
    상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부; 및
    상기 DDoS 발생 확률에 따라서, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 대응부를 포함하는 DDoS 공격 탐지 및 방어 장치.
  12. 제11항에 있어서,
    상기 대응부는, 상기 DDoS 발생 확률이 제1 범위에 속하는 경우, 상기 제1 동작을 수행하고, 상기 DDoS 발생 확률이 상기 제1 범위의 값보다 큰 제2 범위에 속하는 경우 상기 제2 동작 및 제3 동작을 수행하는 DDoS 공격 탐지 및 방어 장치.
  13. 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 단계; 및
    상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하는 단계를 포함하는 DDoS 공격 탐지 방법.
  14. 제13항에 있어서,
    상기 트래픽 변화 비율 정보가 높을수록 상기 제1 확률을 높게 결정하고, 상기 제1 타입 플로우의 변화량이 클수록 상기 제2 확률을 높게 결정하고, 상기 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 상기 제3 확률을 높게 결정하는 단계를 더 포함하는 DDoS 공격 탐지 방법.
  15. 제13항에 있어서,
    상기 정보를 수집하는 단계는,
    상기 트래픽 변화 비율 정보를 계산하는 단계를 더 포함하고,
    상기 트래픽 변화 비율 정보를 계산하는 단계는,
    단위 시간 동안 입력된 패킷 개수에 대한 최대값(PM) 및 상기 단위 시간 동안 입력된 패킷 개수에 대한 평균값(PA)의 비율인 패킷 비율(PR), 상기 단위 시간 동안 입력된 플로우 개수에 대한 최대값(FM) 및 상기 단위 시간 동안 입력된 플로우 개수에 대한 평균값(FA)의 비율인 플로우 비율(FR), 상기 단위 시간 동안 입력된 바이트 개수 값의 최대값(BM) 및 상기 단위 시간 동안 입력된 바이트 개수 값의 평균값(BA)의 비율인 바이트 비율(BR)을 계산하는 단계; 및
    상기 플로우 비율(FR)에 대한 상기 패킷 비율(PR)과 상기 플로우 비율(FR)에 대한 상기 바이트 비율(BR)을 이용하여 트래픽 변화 비율 정보를 결정하는 단계를 포함하는 DDoS 공격 탐지 방법.
  16. 제15항에 있어서,
    상기 트래픽 변화 비율 정보를 계산하는 단계는,
    상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 큰 경우에, 상기 트래픽 변화 비율 정보로서, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제1 값을, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제2 값으로 나누어 생성된 제3 값을 이용하고,
    상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 작은 경우에, 상기 트래픽 변화 비율 정보로서, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제4 값을, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제5 값으로 나누어 생성된 제6 값을 이용하는 단계를 더 포함하는 DDoS 공격 탐지 방법.
  17. 제13항에 있어서,
    상기 제1 타입 플로우 변화량을 계산하는 단계를 더 포함하고,
    상기 제1 타입 플로우 변화량을 계산하는 단계는,
    상기 제1 타입 플로우에 대한 PPS, BPS 및 플로우 개수 각각에 대하여, 실측치 및 상기 실측치에서 예측치를 뺀 값의 비율을 계산하는 단계; 및
    상기 PPS, 상기 BPS 및 상기 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 상기 제1 타입 플로우 변화량으로 결정하는 단계를 포함하는 DDoS 공격 탐지 방법.
  18. 제13항에 있어서,
    상기 제2 타입 플로우에 대한 PPS를 계산하는 단계를 더 포함하고,
    상기 제2 타입 플로우에 대한 PPS를 계산하는 단계는,
    입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 각 소스 IP 주소에 대한 프로토콜 타입별로 상기 제2 타입 플로우를 분류하고, 상기 제2 타입 플로우에 속하는 패킷의 개수를 카운트하고, 상기 패킷 개수를 이용하여, 제2 타입 플로우에 대한 PPS를 계산하는 단계를 포함하는 DDoS 공격 탐지 방법.
  19. 제13항에 있어서,
    상기 DDoS 발생 확률에 따라서, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 단계를 더 포함하는 DDoS 공격 탐지 방법.
KR1020100127006A 2010-12-13 2010-12-13 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치 KR101519623B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100127006A KR101519623B1 (ko) 2010-12-13 2010-12-13 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
US13/323,050 US8677488B2 (en) 2010-12-13 2011-12-12 Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100127006A KR101519623B1 (ko) 2010-12-13 2010-12-13 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치

Publications (2)

Publication Number Publication Date
KR20120065729A KR20120065729A (ko) 2012-06-21
KR101519623B1 true KR101519623B1 (ko) 2015-05-12

Family

ID=46200880

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100127006A KR101519623B1 (ko) 2010-12-13 2010-12-13 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치

Country Status (2)

Country Link
US (1) US8677488B2 (ko)
KR (1) KR101519623B1 (ko)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102308554B (zh) * 2009-02-06 2014-03-12 香港中文大学 捕获具有最大数量小流的主机的***和方法
US8695095B2 (en) * 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
CN102646592B (zh) * 2011-05-03 2014-12-03 京东方科技集团股份有限公司 薄膜场效应晶体管器件及其制备方法
KR20130084442A (ko) * 2012-01-17 2013-07-25 삼성전자주식회사 통신 시스템에서 서비스 거부 공격을 감지하기 위한 기지국 및 그 방법
CN102932330A (zh) * 2012-09-28 2013-02-13 北京百度网讯科技有限公司 一种检测分布式拒绝服务攻击的方法和装置
CN104348811B (zh) * 2013-08-05 2018-01-26 深圳市腾讯计算机***有限公司 分布式拒绝服务攻击检测方法及装置
JP6037987B2 (ja) * 2013-09-26 2016-12-07 株式会社日立製作所 モバイルネットワークシステム
US10129288B1 (en) * 2014-02-11 2018-11-13 DataVisor Inc. Using IP address data to detect malicious activities
WO2016035083A2 (en) * 2014-09-06 2016-03-10 Andriani Matthew Non-disruptive ddos testing
US9294490B1 (en) * 2014-10-07 2016-03-22 Cloudmark, Inc. Apparatus and method for identifying a domain name system resource exhaustion attack
KR101621019B1 (ko) 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
KR101844136B1 (ko) * 2016-04-27 2018-05-14 한국과학기술원 분산 소프트웨어 정의 네트워킹 환경에서 네트워크 이상을 감지하는 방법, 장치 및 컴퓨터 프로그램
WO2018187361A1 (en) 2017-04-03 2018-10-11 DataVisor Inc. Automated rule recommendation engine
CN107689967B (zh) * 2017-10-23 2020-03-03 中国联合网络通信集团有限公司 一种DDoS攻击检测方法和装置
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
CN108924127B (zh) * 2018-06-29 2020-12-04 新华三信息安全技术有限公司 一种流量基线的生成方法和装置
CN110784429A (zh) * 2018-07-11 2020-02-11 北京京东尚科信息技术有限公司 恶意流量的检测方法、装置和计算机可读存储介质
CN109194684B (zh) * 2018-10-12 2020-11-20 腾讯科技(深圳)有限公司 一种模拟拒绝服务攻击的方法、装置及计算设备
US11698962B2 (en) * 2018-11-29 2023-07-11 Bull Sas Method for detecting intrusions in an audit log
CN110225037B (zh) * 2019-06-12 2021-11-30 广东工业大学 一种DDoS攻击检测方法和装置
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11755751B2 (en) * 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11520907B1 (en) * 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US20220083657A1 (en) * 2019-11-22 2022-03-17 Pure Storage, Inc. Independent Security Threat Detection and Remediation by Storage Systems in a Synchronous Replication Arrangement
US20210382992A1 (en) * 2019-11-22 2021-12-09 Pure Storage, Inc. Remote Analysis of Potentially Corrupt Data Written to a Storage System
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US11651075B2 (en) * 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11625481B2 (en) * 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
CN112688970B (zh) * 2021-03-18 2021-07-02 广东省新一代通信与网络创新研究院 一种基于可编程芯片的大流量DDoS攻击检测方法及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050111367A1 (en) 2003-11-26 2005-05-26 Hung-Hsiang Jonathan Chao Distributed architecture for statistical overload control against distributed denial of service attacks
US20110099622A1 (en) 2009-10-22 2011-04-28 Tai Jin Lee Apparatus for detecting and filtering application layer ddos attack of web service

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101209214B1 (ko) 2008-12-09 2012-12-06 한국전자통신연구원 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050111367A1 (en) 2003-11-26 2005-05-26 Hung-Hsiang Jonathan Chao Distributed architecture for statistical overload control against distributed denial of service attacks
US20110099622A1 (en) 2009-10-22 2011-04-28 Tai Jin Lee Apparatus for detecting and filtering application layer ddos attack of web service

Also Published As

Publication number Publication date
US20120151593A1 (en) 2012-06-14
US8677488B2 (en) 2014-03-18
KR20120065729A (ko) 2012-06-21

Similar Documents

Publication Publication Date Title
KR101519623B1 (ko) 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
US20180337836A1 (en) Method and system for confident anomaly detection in computer network traffic
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
CN114830112A (zh) 通过QUIC通信协议执行的检测和缓解DDoS攻击
KR20140037052A (ko) 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템
EP3138008B1 (en) Method and system for confident anomaly detection in computer network traffic
Aizuddin et al. DNS amplification attack detection and mitigation via sFlow with security-centric SDN
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
Gharvirian et al. Neural network based protection of software defined network controller against distributed denial of service attacks
Chen A New Detection Method for Distributed Denial-of-Service Attack Traffic based on Statistical Test.
Noh et al. Protection against flow table overflow attack in software defined networks
Sree et al. Detection of http flooding attacks in cloud using dynamic entropy method
Tang et al. FTODefender: An efficient flow table overflow attacks defending system in SDN
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
US11895146B2 (en) Infection-spreading attack detection system and method, and program
EP2112800B1 (en) Method and system for enhanced recognition of attacks to computer systems
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
Cheng et al. DDoS attack detection method based on linear prediction model
Singh et al. Denial of service attack: analysis of network traffic anormaly using queuing theory
Preetha et al. Combat model-based DDoS detection and defence using experimental testbed: a quantitative approach
Usuzaki et al. A proposal of highly responsive distributed Denial-of-Service attacks detection using Real-Time burst detection method
Bou-Harb et al. On detecting and clustering distributed cyber scanning

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180426

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190425

Year of fee payment: 5