KR20080010095A - 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘. - Google Patents

개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘. Download PDF

Info

Publication number
KR20080010095A
KR20080010095A KR1020060070127A KR20060070127A KR20080010095A KR 20080010095 A KR20080010095 A KR 20080010095A KR 1020060070127 A KR1020060070127 A KR 1020060070127A KR 20060070127 A KR20060070127 A KR 20060070127A KR 20080010095 A KR20080010095 A KR 20080010095A
Authority
KR
South Korea
Prior art keywords
value
address
destination
algorithm
packet
Prior art date
Application number
KR1020060070127A
Other languages
English (en)
Inventor
심상헌
한경은
유경민
김영천
Original Assignee
전북대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전북대학교산학협력단 filed Critical 전북대학교산학협력단
Priority to KR1020060070127A priority Critical patent/KR20080010095A/ko
Publication of KR20080010095A publication Critical patent/KR20080010095A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 분산 서비스 거부 공격 탐지를 목적으로 기존 블룸필터(Bloom filter)기반의 탐지 기법을 개선하여 탐지 결과의 정확도를 높이는 자료 구조 및 탐지 알고리즘에 관한 것이다. 기존 블룸필터 기반의 탐지 기법은 근원지 라우터에서 전송되는 패킷(packet)의 수를 동일한 목적지 IP(Internet Protocol) 주소별로 측정하여 분산 서비스 거부 공격(DDoS:distributed denial of service)을 실시간으로 탐지하는 기법이다. 그러나 목적지 IP 주소의 세부주소들이 서로 독립적인 테이블로 운영되는 기법이기 때문에 오탐지율이 높은 문제점을 가진다. 따라서 본 발명은 기존 기법의 높은 오탐지율을 줄이기 위해 목적지 IP 주소를 이루는 세부주소들 간의 연관성을 유지하는 테이블 구조를 고안함으로써 정확도가 높은 DDoS 탐지 기법을 제공한다.
보안, 서비스 거부 공격, 분산 서비스 거부 공격, 트래픽 모니터링, 비정상 트래픽 탐지

Description

개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지 구조와 이를 이용한 탐지 알고리즘.{Data structure and algorithm of destination IP address monitoring for detecting DDoS attack}
도 1 은 종래 기술에 따른 블룸필터 기반의 트래픽 측정을 위한 자료 구조이다.
도 2는 본 발명에 의해 고안된 구조로서 목적지 IP 주소의 각 세부주소들 간의 연관성을 갖는 테이블을 도 1에 추가한 자료 구조이다.
도 3은 본 발명에 의해 고안된 도 2의 자료 구조를 기반으로 비정상(공격) 트래픽의 정확한 탐지를 위한 알고리즘의 순서도이다.
분산 서비스 거부 공격의 주요 특성은 취약성이 노출된 여러 호스트(host)에 에이전트 프로그램(agent program)을 설치한 후 원격으로 조정하여 특정 시스템으로 동시에 많은 패킷을 전송하여 해당 시스템의 자원을 소모시켜 정상적인 서비스를 제공할 수 없도록 방해한다.
본 발명은 이러한 분산 서비스 거부 공격의 탐지를 목적으로 하는 기술로 패킷의 목적지 IP 주소를 기준으로 특정 목적지로 전송되는 패킷들의 양을 일정 시간동안 모니터링하여 공격을 탐지하는 기법이다.
분산 서비스 거부 공격의 탐지를 위한 종래의 기술로서 패킷들의 목적지 IP 주소를 모니터링하는 블룸필터 기반의 기술이 있다. 블룸필터 기반의 탐지 기술의 자료구조는 도 1과 같이 2차원의 테이블 구조[X][Y]로 되어 있다. X는 점으로 구분되는 IP 세부주소의 개수를 표현하고 Y는 각 세부주소가 표현할 수 있는 해당 공간(Space)의 수를 나타낸다. IPv4 표준에서는 X는 4이며 Y는 0~255사이의 값이 된다. 도 1의 구조에서 각 세부주소를 테이블의 인덱스(index)로 변환하기 해쉬함수를 적용한다. 예를 들어 IP 주소 ‘210.117.162.55' 에서 세부주소를 표현하는 X는 4가 되며, 해쉬함수에 의해 각각의 세부주소는 인덱스 값(Y:'210‘,’117‘,’162‘,’55')으로 변환된다. 또한 인덱스의 해당 공간 값은 카운터로서 동일 세부주소를 갖는 패킷이 전송될 때마다 1씩 증가된다. 결과적으로 각 테이블의 공간에 저장되는 값은 해당 세부 주소를 가진 패킷이 전송된 횟수를 나타낸다. 이러한 과정을 통해 4개의 세부주소에 대한 공간들의 값은 계속 증가하게 되고 전송되는 패킷의 목적지 IP 주소의 인덱스에 해당되는 4개의 공간 값 모두가 미리 정해진 임의의 임계값을 초과했을 경우 그 목적지 IP 주소로 향하는 패킷은 비정상 트래픽으로 간주한다.
그러나 종래의 기술은 도 1과 같이 세부주소를 독립적으로 관리함으로서 하나의 공간이 유일한 IP 주소에 의해서 증가되는 것이 아니라 서로 다른 목적지 IP 주소이지만 부분적으로 동일한 세부주소를 가지는 IP 주소들이 많이 발생할 경우, 해당 공간 값을 빠르게 증가시키는 문제점이 있다. 예를 들어 '201.x.x.x', 'x.117.x.x', 'x.x.162.x' 그리고 'x.x.x.55' 에 해당하는 목적지 IP 주소들이 많이 발생하였다고 하자. 이 때 '210.117.162.55'을 가지는 IP 주소는 적게 발생하더라도 이미 각 세부 주소를 가리키는 공간의 값들이 증가되어 임의 임계값을 쉽게 초과하게 되므로 공격 트래픽으로 오인하게 되는 것이다. 따라서 오탐지율이 증가하게 되는 문제점을 가진다.
종래의 기술은 4개의 테이블로 이루어진 간단한 자료 구조로서 메모리 공간을 적게 점유하면서도 많은 양의 패킷들을 실시간으로 모니터링할 수 있는 장점이 있다. 하지만 앞에서 언급한 것과 같이 오탐지율이 높은 문제점을 가지고 있다. 그러므로 본 발명은 종래 기술이 갖고 있는 장점을 그대로 유지하면서 공격 탐지의 정확성을 높이는 탐지 구조 및 알고리즘을 구현하는데 목적이 있다.
상기 기술적 과제를 해결하기 위해 본 발명에서 고안한 탐지 구조는 도2와 같다.
도 2는 종래 기술의 오탐지율을 줄이기 위해 새로 고안한 자료 구조로서, 크게 4개의 기본 테이블(Base table)과 1개의 추가 테이블(Extra table)로 구성되며, 각 기본 테이블은 기본 해쉬 함수를 적용하고 추가 테이블은 추가 해쉬 함수를 적용한다. 기본 테이블은 앞에서 언급한 종래 기술의 테이블 방식과 동일하게 인덱스를 생성하며, 추가 테이블은 세부 주소간의 연관성을 갖기 위해 추가 해쉬 함수를 사용하여 인덱스 값을 생성한다. 실제적인 예로 전송되는 패킷의 목적지 IP 주소가 '210.117.162.55'일 경우, 점으로 구분되는 4개의 세부 주소는 기본 해쉬 함 수에 의해 각각 4개의 인덱스 ‘210’, ‘117’, ‘162’, ‘55’로 변환될 수 있으며 해쉬 함수를 다르게 적용함에 따라 인덱스는 달라질 수 있다. 추가 해쉬 함수 또한 세부 주소들의 비트(Bit)연산을 수행하여 인덱스 값을 생성하며 선택하는 연산에 따라 다른 인덱스 값은 달라질 수 있다. 따라서 패킷 하나가 발생되면 5개의 인덱스가 생성되고 인덱스 값에 따라 5개 테이블의 해당 공간 값이 1씩 증가된다. 도 2에서 추가 테이블을 한 개 사용한 것은 제한이 아닌 예시로 네트워크 환경에 따라 추가 테이블을 확장하여 여러 개를 사용할 수 있다. 만약 추가 테이블을 확장하여 여러 개를 사용할 경우 추가 해쉬 함수 또한 동수만큼 존재하며, 해쉬 함수에적용되는 세부주소들 개수는 다양하게 조합할 수 있다.
도 3은 도 2의 탐지 구조를 이용한 DDoS 공격 탐지 알고리즘의 순서도이다.
1. 패킷이 발생되면 패킷의 IP 헤더(Header)값을 분리하여 목적지 IP 주소를 읽어온다(301).
2. 목적지 IP 주소에서 점으로 구분된 각 세부 주소들은 기본 해쉬 함수에 의해 인덱스로 변환된다(302).
2-1. 변환된 인덱스 값은 4개의 기본 테이블 인덱스가 되어 해당 공간 값을 1씩 증가시킨다 (303).
3. 알고리즘 2번과 동시에 추가 해쉬 함수를 사용하여 각 세부주소들 간의 공통 인덱스 값을 생성한다(304).
3-1. 추가 해쉬 함수에 의해 생성된 공통의 인덱스 값에 해당하는 추가 테이블의 공간 값을 1만큼 증가시킨다(305).
4. 기본 테이블과 추가 테이블의 5개 인덱스에 해당하는 공간 값들 모두를 임의의 임계값과 비교하여 5개의 모든 공간 값이 임계값을 초과(306)했을 경우 그 목적지 IP 주소로 향하는 패킷은 비정상 트래픽으로 판별한다(307).
본 발명은 기존 블룸 필터 기반의 탐지 기법의 문제점인 오탐지율을 줄이기 위해 IP 세부 주소들 간의 연관성을 갖는 테이블을 추가하여 성능을 개선한 방법으로 종래 기술의 실시간 트래픽 탐지 기능을 그대로 유지하면서 트래픽 양을 더 정확히 측정함으로서 효과적으로 DDoS 공격을 탐지한다.

Claims (2)

  1. 종래 기술인 블룸 필터 기반의 탐지 구조를 기반으로 IP 세부 주소들 간의 연관성을 갖는 테이블을 추가로 설계한 자료 구조
  2. 제 1 항에 있어서,
    추가로 설계한 테이블 구조를 이용하여 탐지 결과의 정확도를 높인 탐지 알고리즘.
KR1020060070127A 2006-07-26 2006-07-26 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘. KR20080010095A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060070127A KR20080010095A (ko) 2006-07-26 2006-07-26 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060070127A KR20080010095A (ko) 2006-07-26 2006-07-26 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘.

Publications (1)

Publication Number Publication Date
KR20080010095A true KR20080010095A (ko) 2008-01-30

Family

ID=39222284

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060070127A KR20080010095A (ko) 2006-07-26 2006-07-26 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘.

Country Status (1)

Country Link
KR (1) KR20080010095A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090271865A1 (en) * 2008-04-23 2009-10-29 Huawei Technologies Co., Ltd. Method and device for detecting flood attacks
KR100951034B1 (ko) * 2008-06-30 2010-04-05 주식회사 케이티 암호문 크기를 줄이기 위한 공개키 기반의 검색가능암호문생성 방법과, 그에 따른 공개키 기반의 데이터 검색 방법
ITMI20091547A1 (it) * 2009-09-08 2011-03-09 Giuliani Spa Ceppo batterico probiotico e suoi usi per via orale e topica
ITMI20092327A1 (it) * 2009-12-29 2011-06-30 Giuliani Spa Composizione farmaceutica o dietetica per il trattamento dell'atopia
CN106411892A (zh) * 2016-09-28 2017-02-15 广州华多网络科技有限公司 Ddos***地址信息传输、访问请求过滤方法、装置及服务器
CN107786545A (zh) * 2017-09-29 2018-03-09 中国平安人寿保险股份有限公司 一种网络攻击行为检测方法及终端设备
KR20210091953A (ko) * 2020-01-15 2021-07-23 망고클라우드 주식회사 사스 기반 사물인터넷 단말기 취약점 점검 시스템 및 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090271865A1 (en) * 2008-04-23 2009-10-29 Huawei Technologies Co., Ltd. Method and device for detecting flood attacks
WO2009129706A1 (zh) * 2008-04-23 2009-10-29 成都市华为赛门铁克科技有限公司 泛洪攻击检测方法及检测装置
US8429747B2 (en) 2008-04-23 2013-04-23 Huawei Technologies Co., Ltd. Method and device for detecting flood attacks
KR100951034B1 (ko) * 2008-06-30 2010-04-05 주식회사 케이티 암호문 크기를 줄이기 위한 공개키 기반의 검색가능암호문생성 방법과, 그에 따른 공개키 기반의 데이터 검색 방법
ITMI20091547A1 (it) * 2009-09-08 2011-03-09 Giuliani Spa Ceppo batterico probiotico e suoi usi per via orale e topica
WO2011029784A1 (en) * 2009-09-08 2011-03-17 Giuliani Spa Probiotic lactobacillus rhamnosus strain and oral and topical uses thereof
ITMI20092327A1 (it) * 2009-12-29 2011-06-30 Giuliani Spa Composizione farmaceutica o dietetica per il trattamento dell'atopia
CN106411892A (zh) * 2016-09-28 2017-02-15 广州华多网络科技有限公司 Ddos***地址信息传输、访问请求过滤方法、装置及服务器
CN106411892B (zh) * 2016-09-28 2019-08-30 广州华多网络科技有限公司 Ddos***地址信息传输、访问请求过滤方法、装置及服务器
CN107786545A (zh) * 2017-09-29 2018-03-09 中国平安人寿保险股份有限公司 一种网络攻击行为检测方法及终端设备
KR20210091953A (ko) * 2020-01-15 2021-07-23 망고클라우드 주식회사 사스 기반 사물인터넷 단말기 취약점 점검 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11057404B2 (en) Method and apparatus for defending against DNS attack, and storage medium
US9838421B2 (en) Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks
US10666672B2 (en) Collecting domain name system traffic
Binkley et al. An algorithm for anomaly-based botnet detection.
CN103152357B (zh) 一种针对dns服务的防御方法、装置和***
KR101544322B1 (ko) 시각화를 이용한 악성 코드 탐지 시스템과 방법
KR20080010095A (ko) 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘.
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
CN104601557A (zh) 一种基于软件定义网络的恶意网站防护方法及***
CN112769771A (zh) 基于虚假拓扑生成的网络防护方法及***和***架构
CN112055956B (zh) 用于网络安全性的装置和方法
CN113114694B (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
Tripathi et al. Analysis of various ARP poisoning mitigation techniques: A comparison
CN109756480B (zh) 一种DDoS攻击防御方法、装置、电子设备及介质
CN112073376A (zh) 一种基于数据面的攻击检测方法及设备
CN110061998B (zh) 一种攻击防御方法及装置
TW202008749A (zh) 網名過濾方法
Cai et al. A behavior-based method for detecting DNS amplification attacks
Chen et al. Doctrina: annotated bipartite graph mining for malware-control domain detection
US10389631B2 (en) Internet protocol address filtering methods and apparatus
JP4980396B2 (ja) トラヒック特性計測方法および装置
JP4209897B2 (ja) 大量フロー生成ホスト特定方法およびシステム
Isozaki et al. Performance improvement on probabilistic packet marking by using history caching
Li et al. A bitmap-based algorithm for detecting stealthy superpoints
TW201441861A (zh) 防禦網路攻擊之抽樣偵測系統及方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E601 Decision to refuse application