KR101701310B1 - DDoS 공격 탐지 장치 및 방법 - Google Patents

DDoS 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101701310B1
KR101701310B1 KR1020150137706A KR20150137706A KR101701310B1 KR 101701310 B1 KR101701310 B1 KR 101701310B1 KR 1020150137706 A KR1020150137706 A KR 1020150137706A KR 20150137706 A KR20150137706 A KR 20150137706A KR 101701310 B1 KR101701310 B1 KR 101701310B1
Authority
KR
South Korea
Prior art keywords
ddos attack
bloom filter
counting
packet
packets
Prior art date
Application number
KR1020150137706A
Other languages
English (en)
Inventor
유혁
오석영
김영필
이경운
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020150137706A priority Critical patent/KR101701310B1/ko
Application granted granted Critical
Publication of KR101701310B1 publication Critical patent/KR101701310B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DDoS 공격 탐지 장치가 개시된다. 상기 DDoS 공격 탐지 장치는 유입되는 패킷의 개수를 소스 IP(Internet Protocol) 주소 별로 카운팅하고, DDoS(Distributed Denial of Service) 공격 발생 여부를 판단하는 탐지부 및 DDoS 공격이 발생되었다고 판단되는 경우, 유입되는 패킷의 차단 여부를 결정하는 차단부를 포함한다.

Description

DDoS 공격 탐지 장치 및 방법{DEVICE AND METHOD FOR DETECTING DDoS ATTACK}
본 발명의 개념에 따른 실시 예는 DDoS(Distributed Denial of Service; 분산 서비스 거부) 공격 탐지 장치 및 방법에 관한 것으로, 특히 카운팅 블룸 필터(counting bloom filter)를 이용하여 DDoS 공격을 수행하는 단말기를 탐지하고 유입되는 공격 패킷을 차단할 수 있는 DDoS 공격 탐지 장치 및 DDoS 공격 탐지 방법에 관한 것이다.
디도스 공격은 공격자에 의해 감염된 다수의 PC들이 공격 트래픽을 생성하여 특정 서버나 네트워크를 마비시키는 공격으로서 공격 대상이 되는 서버 또는 전산망의 네트워크 자원을 고갈시키는 것을 목표로 한다. 예컨대, 특정 서버를 타겟으로 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스를 이용하지 못하게 하거나, 서버의 TCP 연결을 소진시키는 등의 공격이 이 범위에 포함된다. DDoS 공격의 수단, 동기, 표적 등은 다양할 수 있지만, 일반적으로 인터넷 사이트 또는 서비스의 기능을 일시적으로 또는 무기한으로 방해하거나 중단시킬 수 있다. 통상적으로 DDoS 공격은 유명 사이트, 예컨대 은행, 신용카드 지불 게이트웨이 또는 루트 네임 서버를 타겟으로 이루어진다.
대부분의 DDoS 공격 방어 기법들은 공격자와 피해자 사이의 네트워크 상에 위치하는 라우터나 별도의 기기에서 공격 트래픽이 타겟 서버에 도달할 수 없도록 차단하는 것을 목표로 한다. 패킷 단위 또는 플로우 단위로 유입되는 트래픽을 분석하여 DDoS 공격 트래픽과 정상 트래픽을 구별하기 위한 다양한 연구가 있다. 패킷 헤더의 몇 가지 요소들을 행렬로 만들어 공분산(covariance)을 계산하거나 패킷들의 몇 가지 특성(헤더, 유입 시간, pps, 패킷의 크기 등)을 이용하여 엔트로피를 계산하고 이를 분석하는 것과 같이 새로운 수학적 모델과 공식을 사용하여 패킷들의 흐름이 갖는 독특한 변수들의 변화를 찾아내어 분류를 시도한다. 정상 트래픽만이 유입되고 있을 때 neural system(machine learning)을 통한 화이트 리스트를 작성하여 트래픽의 변화를 탐지하기도 한다.
그러나, 이와 같이 기존의 기법에서 제시하고 있는 방법들은 그 과정을 완전히 이해하기에 많은 노력을 기울여야 할뿐만 아니라 복잡성 또한 매우 높다. 즉, 하나의 패킷에 대한 분석이 이루어질 때 많은 계산적인 오버헤드가 필연적으로 발생하게 되고 이는 전체적인 네트워크 성능에 악영향을 끼친다. 게다가 NFV(Network Function Virtualization) 플랫폼에 소프트웨어 기반으로 기존의 전통적인 DDoS 보안 기법들을 구현한다면 해당 NFV 플랫폼을 지나는 전체 네트워크의 성능 저하는 불가피하다. DDoS 보안의 특성상 DDoS 공격의 발생을 탐지하기 위해 유입되는 모든 트래픽을 항상 분석하고 있어야 하며, 이는 네트워크상에 지속적이고 영구적인 부담으로 남는다.
따라서, 본 발명은 DDoS 공격 방어를 위한 패킷 분석에 필요한 연산을 최소화함과 동시에 정확한 공격 탐지와 공격 트패픽의 차단을 수행하는 새로운 DDoS 보안 기법을 소개한다.
대한민국 등록특허 제10-1250899호
본 발명이 이루고자 하는 기술적인 과제는 카운팅 블룸 필터를 이용하여 정확하고 신속하게 DDoS 공격을 탐지하고 차단할 수 있는 DDoS 공격 탐지 장치 및 방법을 제공하는 것이다.
본 발명의 실시 예에 따른 DDoS 공격 탐지 장치는 유입되는 패킷의 개수를 소스 IP(Internet Protocol) 주소 별로 카운팅하고, DDoS(Distributed Denial of Service) 공격 발생 여부를 판단하는 탐지부 및 DDoS 공격이 발생되었다고 판단되는 경우, 유입되는 패킷의 차단 여부를 결정하는 차단부를 포함한다.
또한, 본 발명의 실시 예에 따른 DDoS 공격 탐지 방법은, 상기 DDoS 공격 탐지 장치를 이용한 구현되고, 미리 정해진 시간 주기를 주기로 반복적으로 수행되는 탐지 단계와 DDoS 공격 발생이 탐지된 경우에 수행되는 차단 단계를 포함하고, 상기 탐지 단계는, 제1 카운팅 블룸 필터를 이용하여 유입되는 패킷의 개수를 소스 IP 별로 카운팅하는 단계, 상기 제1 카운팅 블룸 필터의 카운트 값을 미리 정해진 값만큼 감소시키는 단계, 및 상기 제1 카운팅 블룸 필터를 이용하여 상기 시간 주기 동안 유입되는 패킷들 중 제1 임계값을 초과하는 패킷의 비율인 한계 초과 발생 비율(OverflowRate)을 계산하고, 상기 한계 초과 발생 비율(OverflowRate)에 기초하여 DDoS 공격 발생 여부를 판단하는 단계를 포함하고, 상기 차단 단계는 블랙 리스트에 기초하여 유입되는 패킷의 차단 여부를 결정하는 단계, 유입되는 패킷의 소스 IP 주소가 상기 블랙 리스트에 포함되지 않는 경우 상기 소스 IP 주소를 제2 카운팅 블룸 필터에 삽입하는 단계, 및 상기 제2 카운팅 블룸 필터를 이용하여 제2 임계값을 초과하는 패킷을 송신하는 소스 IP 주소를 상기 블랙 리스트에 포함시켜 상기 블랙 리스트를 업데이트하는 단계를 포함한다.
본 발명의 실시 예에 따른 DDoS 공격 탐지 장치 및 방법에 의할 경우, DDoS 공격의 발생을 정확하고 신속하게 탐지할 수 있으며, DDoS 공격을 수행하는 단말기(봇)를 정확하게 식별할 수 있는 효과가 있다.
또한, 본 발명의 실시 예에 따른 DDoS 공격 탐지 장치 및 방법에 의할 경우, DDoS 공격 탐지와 차단 과정에서 발생하는 오버헤드를 획기적으로 감소시킬 수 있는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 상세한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 DDoS 공격 탐지 시스템을 도시한다.
도 2는 도 1에 도시된 DDoS 공격 탐지 장치의 기능 블럭도이다.
도 3a 내지 도 3c는 도 2에 도시된 탐지부의 동작을 설명하기 위한 도면이다.
도 4는 도 1에 도시된 DDoS 공격 탐지 장치에 의한 DDoS 공격 탐지 및 차단 방법을 설명하기 위한 흐름도이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고 유사하게 제2 구성 요소는 제1 구성 요소로도 명명될 수 있다.
어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 명세서에 첨부된 도면들을 참조하여 본 발명의 실시 예들을 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 DDoS 공격 탐지 시스템을 도시한다.
도 1을 참조하면, DDoS 공격 탐지 시스템(10)은 복수의 단말기들(100)과 서버(300)를 포함한다.
복수의 단말기들(100) 중 적어도 일부는 에지 라우터(30)를 경유하여 타겟이 되는 서버(300)로 DDoS 공격을 수행할 수 있다. 이때, DDoS 공격에 참여하는 단말기들은 IP 주소를 스푸핑(spoofing)하여 공격을 수행할 수 있다. 이러한 경우, 에지 라우터(30)는 단말기가 포함되어 있는 서브 네트워크(subnetwork)의 대역의 IP 주소가 아닌 경우 아웃바운드(outbound)되는 IP 주소를 검사하여 차단하게 된다. 동일한 방법으로 공격을 받는 서버(300)가 포함되어 있는 서브 네트워크의 에지 라우터(50)는 인바운드(inbound)되는 IP 대역을 검사하여 사설 네트워크(private network)의 주소를 가지는 패킷을 차단할 수 있다. 이러한 이그레스/인그레스 필터링(Egress/Ingress filtering) 기법은 IP 주소를 이용한 ACL(Access Control List)를 라우터에 적용하여 스푸핑된 패킷이 인터넷에서 영향을 미치기 전에 차단, 완화하는 기술이다. 따라서, 본 발명은 IP 스푸핑은 없다고 가정하며, 결국 동일한 단말기로부터 전송된 패킷은 동일한 소스 IP 주소를 가질 수 있다.
또한, DHCP(dynamic Host Configuration Protocol)에 의해 각 봇들의 IP 주소는 고정되어 있지 않을 수 있다. 그러나, 일반적인 컴퓨터 환경에서 주로 PC의 재부팅이나 네트워크 연결 과정의 초기에서 각자의 IP 주소를 부여 받기 때문에 공격이 시작된 직후부터 공격이 끝날 때까지 봇의 소스 IP 주소의 변화가 있을 수 없다. 게다가 본 발명의 본 발명의 경우, 어떠한 소스 IP 주소별 통계, 히스토리, 및 화이트 리스트를 작성하지 않기 때문에 시간적으로 나누어진 두 번의 DDoS 공격 사이에서 감염된 봇의 IP 주소가 변한다 하더라도 성능에 영향을 받지 않느다.
도 1에서 복수의 단말기들(100) 각각이 에지 라우터(30)를 경유하여 서버(300)와 통신하는 예를 도시하였으나, 실시 예에 따라 복수의 단말기들(100) 각각은 서로 다른 에지 라우터를 경유하여 서버(300)와 통신할 수도 있다.
본 발명에 따른 DDoS 공격 탐지 장치는 DDoS 공격의 타겟인 서버(300)가 포함되는 서브 네트워크의 에지 라우터(50)로 구현될 수 있다. 실시 예에 따라, 상기 DDoS 공격 탐지 장치는 서버(300)를 의미할 수도 있다.
에지 라우터(50) 또는 서버(300)로 구현될 수 있는 DDoS 공격 탐지 장치는 서버(300)를 타겟으로 하는 DDoS 공격을 탐지하고 탐지 결과에 따라 공격 패킷을 차단할 수 있다. DDoS 공격 탐지 장치의 구체적인 구성 및 동작은 이하에서 살펴보기로 한다.
도 2는 도 1에 도시된 DDoS 공격 탐지 장치의 기능 블럭도이다.
도 1과 도 2를 참조하면, DDoS 공격 탐지 장치(300)는 탐지부(310)와 차단부(330)를 포함한다.
탐지부(310)는 복수의 단말기들(100) 각각으로부터 수신되는 패킷을 IP 주소별로 카운팅하고, DDoS 공격 발생 여부를 판단할 수 있다. 탐지부(310)는 패킷 카운팅부(311)와 DDoS 공격 발생 판단부(313)를 포함한다.
패킷 카운팅부(311)는 제1 카운팅 블룸 필터를 이용하여 소스 IP 별로 전송되는 패킷의 개수를 카운팅할 수 있다. 또한, 패킷 카운팅부(311)는 미리 정해진 시간 주기별로 상기 제1 카운팅 블룸 필터의 카운트 값을 미리 정해진 값(예컨대, 1)만큼 감소시킬 수 있다. 카운트 값을 감소시키는 동작은 아래의 dec-all 연산을 통하여 상기 제1 카운팅 블룸 필터의 모든 배열에서 상기 미리 정해진 값만큼 감소(차감)시킴으로써 수행될 수 있다.
상기 미리 정해진 시간 주기를 결정하기 위해서는 봇으로 간주할 수 있는 최소 pps(Min-pps)가 설정될 있다. 즉, Min-pps를 넘지 않는 플로우는 봇으로 간주되지 않을 수 있다. 50pps를 갖는 봇의 패킷은 평균 20ms 마다 유입된다. 만약 20ms마다 한 줄 제거(dec-all 연산)가 이루어진다면 이 패킷의 정보는 카운팅 블룸 필터에 쌓이지 못한다. 따라서, Min-pps를 갖는 봇 패킷이 최소 2번 이상 유입될 때 1번의 한 줄 제거가 동작하게 하기 위해 설정된 Min-pps를 바탕으로 (1/Min-pps)×c(c는 1이상의 실수, 예컨대 2)를 주기로 한 줄 제거 동작이 수행될 수 있다. 예컨대, Min-pps를 50pps로 설정한다면 50pps보다 높은 pps를 갖는 트래픽은 한 주기 동안 2회 이상 유입됨으로써 쌓일 수 있는 조건이 되며, 50pps 이하의 트래픽은 2회 미만이 유입됨으로써 쌓이지 못하게 된다.
상기 제1 카운팅 블룸 필터와 같은 카운팅 블룸 필터에 관한 상세한 설명은 다음과 같다.
카운팅 블룸 필터(Counting Bloom Filter; CBF)는 일종의 자료 구조로서, 1998년 Fan에 의해 제안되었다(Fan, Li, et al. "Summary cache: A scalable wide-area web cache sharing protocol." ACM SIGCOMM Computer Communication Review. Vol. 28. No. 4. ACM, 1998). 카운팅 블룸 필터는 블룸 필터(Bloom Filter; BF)와 마찬가지로 k 개의 해시 함수와 길이 m을 갖는 배열로 이루어져 있으며, 삽입 연산과 체크 연산을 갖는다. 다만, 배열이 1 비트가 아닌 n-bit로 구성된다는 점에서 블룸 필터와 차이가 있다. BF에서는 같은 인텍스에 삽입이 두번 발생하더라도 해당 배열의 값은 1 이지만, CBF에서 배열의 한 칸의 값은 2n-1까지 증가할 수 있게 된다. 또한, 1 bit에서 n-bit로의 변화는 체크 연산이 갖는 의미의 확장을 가져다 주는데, 기존의 BF의 체크 연산이 "해당 원소가 이 집합에 포함되어 있는가"만을 판단할 수 있었다면, CBF의 체크 연산은 "해당 원소가 이 집합에 몇 번 삽입되었는가"도 판단할 수 있게 된다. 체크 연산의 결로 나온 배열의 값 중 최소값이 삽입된 횟수를 나타낸다.
본 발명에서는 삽입, 체크 연산을 사용하며, 추가적으로 dec-all(decrement-all) 연산이 사용된다. 상기 dec-all 연산은 삭제 연산, 감소 연산, 한 줄 제거 동작(연산) 등으로도 불릴 수 있으며, CBF의 전체 배열의 값을 모두 1씩 감소시키는 연산으로 정의될 수 있다.
DDoS 공격 발생 판단부(313)는 수신되는 전체 패킷의 양과 한계 초과 발생 비율을 고려하여 DDoS 공격 발생 여부를 결정할 수 있다.
DDoS 공격이 위력적이기 위해서는 많은 양의 패킷을 타겟 서버로 전송해야 하고 필연적으로 유입되는 전체 패킷의 양이 증가한다. 그러나, 특정 웹 서버 상에서 주최하는 일시적인 이벤트나 사회적 이슈의 발생에 따라 특정 시점에 각각의 pps(packets per second)는 낮지만 다수의 정상 사용자들이 보내는 트래픽이 일시적으로 몰리게 되면서 유입되는 전체 패킷의 양이 폭증하기도 한다. 이러한 현상을 플래시 크라우드(flash crowd) 현상이라고 하며, 이는 DDoS 공격이 시작되면 많은 패킷들이 유입되지만 많은 패킷들이 유입된다고 하여 DDoS 공격인 것은 아님을 의미한다. 따라서 전체 패킷의 양을 체크한 후 플래시 크라우드와 구별하기 위해 추가적인 조건이 검사될 수 있다. 즉, DDoS 공격 발생 판단부(313)는 한계 초과 발생 비율(OverflowRate)를 계산하고, 상기 한계 초과 발생 비율에 기초하여 DDoS 공격 발생 여부를 결정할 수 있다.
한계 초과 발생 비율(OverflowRate)은 미리 정해진 시간 주기 동안에 유입(또는 삽입)된 패킷들 중 한계 초과를 발생시키는 패킷의 비율을 의미할 수 있으며, 아래 수학식 1과 같이 정의될 수 있다.
[수학식 1]
OverflowRate = (noverflow - roverflow)/(npacket - roverflow)
상기 수학식 1에서, npacket은 1회의 주기(한 줄 제거 주기라고도 함) 내에서 유입된 전체 패킷의 개수를 의미하고, noverflow는 한계 초과를 발생시키는 패킷의 개수를 의미하고, roverflow는 한계 초과를 발생시킨 패킷이 해당 주기 동안 1개 이상 유입됨으로써 중복 한계 초과를 발생 시키는 패킷 수를 의미할 수 있다.
상기 수학식 1을 살펴보면, 한 주기 내에서 CBF에 삽입된 패킷들 중 한계 초과를 발생시키는 패킷의 수적 비율이 한계 초과 발생 비율(OverflowRate)이며, 똑같이 패킷이 한 주기에 여러 번 삽입되어 한계 초과를 여러 번 발생시키는 경우는 제외할 수 있다.
상기 한계 초과 발생 비율이 기준 수치를 넘어가게 되면 DDoS 공격이 시작되었다고 판단될 수 있다. 그러나, 정상 트래픽만 있는 상황에서 갑자기 한계 초과 발생 횟수가 빈번해질 가능성이 있다. 따라서, DDoS 공격 발생 판단부(313)는 연속되는 a(a는 1 이상의 자연수) 번의 주기 동안 한계 초과 발생 비율이 기준 수치를 초과하는 경우에 DDoS 공격이 발생한 것으로 판단할 수도 있다.
탐지부(310)에 의한 DDoS 공격 탐지 동작은 도 3을 통하여 보다 구체적으로 설명하기로 한다.
차단부(330)는 수신되는 패킷을 카운팅하고, 블랙 리스트에 기초하여 수신되는 패킷의 적어도 일부를 차단할 수 있다. 차단부(330)는 패킷 카운팅부(331)와 블랙 리스트 관리부(333)를 포함한다. 또한, 차단부(330)는 DDoS 공격이 탐지된 경우, 즉 탐지부(310)에 의해 DDoS 공격이 발생하였다고 판단되었을 때에만 동작할 수 있다.
패킷 카운팅부(331)는 제2 카운팅 블룸 필터를 이용하여 블랙 리스트에 포함되지 않은 소스 IP로부터 수신되는 패킷들을 소스 IP별로 카운팅할 수 있다. 또한, 상기 제2 카운팅 블룸 필터의 초기값은 미리 정해진 시점에서의 제1 카운팅 블룸 필터의 값과 같을 수 있다. 즉, 패킷 카운팅부(331)는 상기 제1 카운팅 블룸 필터의 값을 상기 제2 카운팅 필터로 복사한 후에 카운팅 동작을 수행할 수 있다.
실시 예에 따라, 상기 제2 카운팅 블룸 필터는 상기 제1 블룸 필터를 의미할 수도 있다. 즉, 탐지부(310)와 차단부(330)는 하나의 카운팅 블룸 필터를 공유하여 사용할 수도 있다.
블랙 리스트 관리부(333)는 블룸 필터(BF)로 구현되는 블랙 리스트를 갱신하고, 유입되는 패킷의 소스 IP가 상기 블랙 리스트에 포함되는 경우에 상기 유입되는 패킷, 즉 공격 패킷이라고 판단되는 패킷을 차단할 수 있다.
블랙 리스트 관리부(333)는 제2 카운팅 블룸 필터를 이용하여 상기 블랙 리스트를 주기적으로 또는 비주기적으로 업데이트할 수 있다. 즉, 블랙 리스트 관리부(333)는 상기 제2 카운팅 블룸 필터를 이용하여 제2 임계값을 초과하는 패킷을 송신하는 소스 IP를 블룸 필터에 삽입함으로써 상기 블랙 리스트를 업데이트할 수 있다.
도 3a 내지 도 3c는 도 2에 도시된 탐지부의 동작을 설명하기 위한 도면이다.
도 1 내지 도 3을 참조하면, DDoS 공격 탐지 장치(300)의 탐지부(310)에 포함되는 카운팅부(311)는 유입되는 패킷을 소스 IP 별로 카운팅 블룸 필터에 삽입하는 패킷 쌓기 동작과 소스 IP 별로 카운트 값을 "1" 만큼 감소시키는 제거 동작(또는 한 줄 제거 동작)을 주기적으로 수행할 수 있다.
도 3a와 같이 패킷들이 유입된다고 할 때, 카운팅부(311)는 도 3b와 같이 패킷 쌓기 동작과 한 줄 제거 동작을 주기적으로 반복 수행한다. 따라서, DDoS 공격 트래픽과 정상 사용자의 트래픽이 갖는 pps와 지속성의 차이로 인하여 DDoS 공격 패킷은 쌓이게 되고 정상 패킷은 쌓이지 않게 된다. 도 3c는 줄 제거 동작이 완료된 특정 시점에서 상태를 도시한다. 이 때, 한계값을 넘는 패킷, 즉 한계 초과를 발생시키는 패킷의 개수는 3이므로 noverflow는 3이 된다. 또한, 한계 초과를 발생시킨 패킷이 중복 한계 초과를 발생시키는 패킷의 개수는 1이므로 roverflow는 1이 된다.
이상에서는 noverflow와 roverflow를 구하는 시점을 한 줄 제거 동작 후로 가정하였으나, 실시 예에 따라서는 한 줄 제거 동작 전에 noverflow와 roverflow를 구할 수도 있다.
도 4는 도 1에 도시된 DDoS 공격 탐지 장치에 의한 DDoS 공격 탐지 및 차단 방법을 설명하기 위한 흐름도이다.
도 1 내지 도 4를 참조하면, 임의의 패킷이 DDoS 공격 탐지 장치(300)에 유입되면, 탐지부(310)의 패킷 카운팅부(311)는 미리 정해진 시간 주기 마다 소스 IP 별로 패킷을 카운팅하며 한 줄 제거 동작(관찰 단계 또는 탐지 단계)을 수행한다.
DDoS 공격 발생 여부를 판단하기 위하여, 탐지부(310)의 DDoS 공격 발생 판단부(313)는 상기 미리 정해진 시간 주기마다 한계 초과 발생 비율을 계산하고, 계산된 한계 초과 발생 비율에 기초하여 DDoS 공격 발생 여부를 판단할 수 있다. DDoS 공격이 발생되지 않은 것으로 판단된 경우, 즉 DDoS 공격 발생이 탐지되지 않은 경우 유입되는 패킷은 차단되지 않는다. DDoS 공격 발생이 탐지된 경우, 즉 DDoS 공격 발생 판단부(313)가 DDoS 공격이 발생한 것으로 판단된 경우, 차단 단계 또는 차단 동작이 수행된다.
차단 단계에서, 블랙 리스트 관리부(333)는 유입되는 패킷의 소스 IP가 블랙 리스트에 포함되어 있는지 여부를 결정하고, 상기 블랙 리스트에 포함된 소스 IP로부터 수신된 패킷을 차단할 수 있다. 또한, 블랙 리스트 관리부(333)는 주기적으로 또는 비주기적으로 상기 블랙 리스트를 업데이트할 수 있다.
차단부(330)의 패킷 카운팅부(331)는 제2 카운팅 블룸 필터를 이용하여 상기 블랙 리스트에 포함되지 않는 소스 IP로부터 수신되는 패킷의 개수를 소스 IP 별로 카운팅할 수 있다. 이때, 상기 제2 카운팅 블룸 필터의 초기 값은 상기 제1 카운팅 블룸 필터의 값과 같을 수 있다. 즉, 패킷 카운팅부(331)는 미리 정해진 시점의 제1 카운팅 블룸 필터의 값을 상기 제2 카운팅 블룸 필터로 복사하여 사용할 수 있다. 상기 미리 정해진 시점이란 DDoS 공격이 발생하였다고 판단된 시점을 의미할 수 있다. 이른 통하여, 비어 있는 제2 카운팅 블룸 필터를 사용함으로써 상기 제2 카운팅 블룸 필터에 패킷들이 쌓일 시간 동안에 공격 패킷을 차단하지 못하는 문제점을 해결할 수 있다. 즉, 공격 패킷에 대한 즉각적인 차단을 위하여 상기 제1 카운팅 블룸 필터의 값을 상기 제2 카운팅 블룸 필터의 초기값으로 복사함과 동시에 차단 단계가 수행될 수 있다.
DDoS 공격이 종료되었다고 판단될 때, 상술된 차단 단계의 동작은 더 이상 수행되지 않을 수 있다.
본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : DDoS 공격 탐지 시스템
30, 50 : 에지 라우터
100 : 복수의 단말기들
300 : 서버
310 : 탐지부
311 : 패킷 카운팅부
313 : DDoS 공격 발생 판단부
330 : 차단부
331 : 패킷 카운팅부
333 : 블랙 리스트 관리부

Claims (10)

  1. 유입되는 패킷의 개수를 소스 IP(Internet Protocol) 주소 별로 카운팅하고, DDoS(Distributed Denial of Service) 공격 발생 여부를 판단하는 탐지부; 및
    DDoS 공격이 발생되었다고 판단되는 경우, 유입되는 패킷의 소스 IP 주소가 블룸 필터로 구현되는 블랙 리스트에 포함되는 경우 유입되는 패킷을 차단하는 차단부를 포함하고,
    상기 탐지부는,
    제1 카운팅 블룸 필터를 이용하여 유입되는 패킷의 개수를 카운팅하는 제1 패킷 카운팅부; 및
    DDoS 공격 발생 여부를 결정하는 DDoS 공격 발생 판단부를 포함하고,
    상기 차단부는,
    상기 블랙 리스트에 포함되지 않은 소스 IP 주소를 제2 카운팅 블룸 필터에 삽입하여 소스 IP 주소 별로 유입되는 패킷의 개수를 카운팅하는 제2 패킷 카운팅부; 및
    상기 제2 카운팅 블룸 필터를 이용하여 제2 임계값을 초과하는 패킷을 송신한 소스 IP 주소를 상기 블룸 필터에 삽입하여 상기 블랙 리스트를 업데이트하는 블랙 리스트 관리부를 포함하고,
    상기 제2 카운팅 블룸 필터의 초기값은 미리 정해진 시점의 상기 제1 카운팅 블룸 필터의 값과 같은,
    DDoS 공격 탐지 장치.
  2. 제1항에 있어서,
    상기 DDoS 공격 탐지 장치는 DDoS 공격의 타겟 서버이거나 상기 타겟 서버가 포함되는 서브 네트워크의 에지 라우터인,
    DDoS 공격 탐지 장치.
  3. 제1항에 있어서,
    상기 DDoS 공격 발생 판단부는 미리 정해진 시간 주기 동안에 유입되는 패킷들 중 제1 임계값을 초과하는 패킷의 비율인 한계 초과 발생 비율(OverflowRate)을 계산하고 상기 초과 발생 비율에 기초하여 DDoS 공격 발생 여부를 결정하는,
    DDoS 공격 탐지 장치.
  4. 제3항에 있어서,
    상기 시간 주기 동안에, 상기 제1 패킷 카운팅부는 유입되는 패킷의 소스 IP 주소를 상기 제1 카운팅 블룸 필터에 삽입하고, 상기 제1 카운팅 블룸 필터의 카운트 값을 미리 정해진 값만큼 감소시키는,
    DDoS 공격 탐지 장치.
  5. 제3항에 있어서,
    상기 한계 초과 발생 비율(OverflowRate)은 수학식을 이용하여 계산되고,
    상기 수학식은,
    OverflowRate = (noverflow - roverflow)/(npacket - roverflow)이고,
    상기 npacket은 상기 시간 주기 동안 유입되는 패킷의 개수이고,
    상기 noverflow는 상기 제1 임계값을 초과하는 패킷의 개수이고,
    상기 roverflow는 상기 제1 임계값을 중복 초과하는 패킷의 개수인,
    DDoS 공격 탐지 장치.
  6. 삭제
  7. 삭제
  8. DDoS 공격 탐지 장치를 이용한 DDoS 공격 탐지 방법에 있어서,
    상기 DDoS 공격 탐지 방법은 미리 정해진 시간 주기를 주기로 반복적으로 수행되는 탐지 단계와 DDoS 공격 발생이 탐지된 경우에 수행되는 차단 단계를 포함하고,
    상기 탐지 단계는,
    제1 카운팅 블룸 필터를 이용하여 유입되는 패킷의 개수를 소스 IP 별로 카운팅하는 단계;
    상기 제1 카운팅 블룸 필터의 카운트 값을 미리 정해진 값만큼 감소시키는 단계; 및
    상기 제1 카운팅 블룸 필터를 이용하여 상기 시간 주기 동안 유입되는 패킷들 중 제1 임계값을 초과하는 패킷의 비율인 한계 초과 발생 비율(OverflowRate)을 계산하고, 상기 한계 초과 발생 비율(OverflowRate)에 기초하여 DDoS 공격 발생 여부를 판단하는 단계를 포함하고,
    상기 차단 단계는,
    유입되는 패킷의 소스 IP 주소가 블룸 필터로 구현되는 블랙 리스트에 포함되는 경우 유입되는 패킷을 차단하는 단계;
    유입되는 패킷의 소스 IP 주소가 상기 블랙 리스트에 포함되지 않는 경우 상기 소스 IP 주소를 제2 카운팅 블룸 필터에 삽입하는 단계; 및
    상기 제2 카운팅 블룸 필터를 이용하여 제2 임계값을 초과하는 패킷을 송신하는 소스 IP 주소를 상기 블랙 리스트에 포함시켜 상기 블랙 리스트를 업데이트하는 단계를 포함하고,
    상기 한계 초과 발생 비율(OverflowRate)은 수학식을 이용하여 계산되고,
    상기 수학식은, OverflowRate = (noverflow - roverflow)/(npacket - roverflow)이고,
    상기 npacket은 상기 시간 주기 동안 유입되는 패킷의 개수이고,
    상기 noverflow는 상기 제1 임계값을 초과하는 패킷의 개수이고,
    상기 roverflow는 상기 제1 임계값을 중복 초과하는 패킷의 개수이고,
    상기 제2 카운팅 블룸 필터의 초기값은 미리 정해진 시점의 상기 제1 카운팅 블룸 필터의 값과 같은,
    DDoS 공격 탐지 방법.
  9. 삭제
  10. 삭제
KR1020150137706A 2015-09-30 2015-09-30 DDoS 공격 탐지 장치 및 방법 KR101701310B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150137706A KR101701310B1 (ko) 2015-09-30 2015-09-30 DDoS 공격 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150137706A KR101701310B1 (ko) 2015-09-30 2015-09-30 DDoS 공격 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101701310B1 true KR101701310B1 (ko) 2017-02-02

Family

ID=58151620

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150137706A KR101701310B1 (ko) 2015-09-30 2015-09-30 DDoS 공격 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101701310B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220038426A1 (en) * 2018-09-28 2022-02-03 New H3C Security Technologies Co., Ltd. Message Processing

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110034530A (ko) * 2009-09-28 2011-04-05 한국인터넷진흥원 히스토리 기반 DDoS 대응 방법
KR101250899B1 (ko) 2009-08-27 2013-04-04 한국전자통신연구원 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101250899B1 (ko) 2009-08-27 2013-04-04 한국전자통신연구원 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
KR20110034530A (ko) * 2009-09-28 2011-04-05 한국인터넷진흥원 히스토리 기반 DDoS 대응 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
하지훈 외 1명, 한국통신학회 2012년도 추계종합학술발표회 "Counting Bloom Filter를 이용한 봇넷 기반 DDoS 공격 탐지 및 방어 기법" (2012.11. 공개) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220038426A1 (en) * 2018-09-28 2022-02-03 New H3C Security Technologies Co., Ltd. Message Processing

Similar Documents

Publication Publication Date Title
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
US8302180B1 (en) System and method for detection of network attacks
US7478429B2 (en) Network overload detection and mitigation system and method
CN105577608B (zh) 网络攻击行为检测方法和装置
CN107819727A (zh) 一种基于ip地址安全信誉度的网络安全防护方法及***
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
US10193900B2 (en) Methods and apparatus to identify an internet protocol address blacklist boundary
EP3952240A1 (en) Blockchain-based network security system and processing method
US8201250B2 (en) System and method for controlling abnormal traffic based on fuzzy logic
CN112055956B (zh) 用于网络安全性的装置和方法
US20160366171A1 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
CN110166408B (zh) 防御泛洪攻击的方法、装置和***
US20140380457A1 (en) Adjusting ddos protection
EP3932033A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
Irum et al. DDoS detection and prevention in internet of things
KR101701310B1 (ko) DDoS 공격 탐지 장치 및 방법
US11895146B2 (en) Infection-spreading attack detection system and method, and program
CN110162969B (zh) 一种流量的分析方法和装置
JP2019140573A (ja) 監視システム、監視方法及び監視プログラム
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
Khirwadkar Defense against network attacks using game theory
US11997133B2 (en) Algorithmically detecting malicious packets in DDoS attacks
US20240098111A1 (en) CHARACTERIZATION AND MITIGATION OF RANDOMIZED DDoS ATTACKS

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200120

Year of fee payment: 4