KR20140088340A - 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 - Google Patents

오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 Download PDF

Info

Publication number
KR20140088340A
KR20140088340A KR1020130000122A KR20130000122A KR20140088340A KR 20140088340 A KR20140088340 A KR 20140088340A KR 1020130000122 A KR1020130000122 A KR 1020130000122A KR 20130000122 A KR20130000122 A KR 20130000122A KR 20140088340 A KR20140088340 A KR 20140088340A
Authority
KR
South Korea
Prior art keywords
attack
open flow
flow switch
processing
packet
Prior art date
Application number
KR1020130000122A
Other languages
English (en)
Inventor
정부금
김영민
강경순
이경호
박혜숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130000122A priority Critical patent/KR20140088340A/ko
Priority to US14/080,439 priority patent/US20140189867A1/en
Publication of KR20140088340A publication Critical patent/KR20140088340A/ko

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63CSKATES; SKIS; ROLLER SKATES; DESIGN OR LAYOUT OF COURTS, RINKS OR THE LIKE
    • A63C3/00Accessories for skates
    • A63C3/12Guards for skate blades
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 오픈플로우 스위치에서 디도스 공격을 탐지 및 대응할 수 있는 모듈을 탑재하여 공격 발생 시 오픈플로우 스위치 스스로 공격을 탐지하고 대응할 수 있는 장치 및 방법에 관한 것이다. 이를 위하여 본 발명의 실시 예에 따른 오픈플로우 스위치에서의 디도스 공격 처리 장치는 오픈플로우 스위치에서 처리되는 패킷에 대한 패킷 처리 통계 정보를 기 설정된 주기 간격으로 수집하여 디도스 공격 여부를 감지하는 공격 감지부와, 디도스 공격이 감지된 후 오픈플로우 스위치에 인입되는 패킷을 이용하여 디도스 공격 특징을 파악하며, 파악된 디도스 공격 특징에 따라 인입되는 패킷을 처리하는 공격 대응부를 포함할 수 있다.

Description

오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법{APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH}
본 발명은 오픈플로우 환경에서의 디도스(DDoS) 공격을 처리하기 위한 것으로, 더욱 상세하게는 패킷이 인입되는 오픈플로우 스위치에서 디도스 공격을 탐지하고, 대응할 수 있도록 하는 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법에 관한 것이다.
오픈플로우 기술은 하나의 물리적 네트워크 위에 서비스 별로 최적화된 가상의 네트워크를 구성하여 운영할 수 있는 기술로, 네트워크 전체를 중앙 집중형으로 제어하는 오픈플로우 컨트롤러와 컨트롤러에 의해 설정된 제어 방식으로 인입된 데이터 패킷을 처리하는 스위치, 그리고 컨트롤러와 스위치간 통신을 담당하는 오픈플로우 프로토콜로 구성된다.
한편, 디도스(DDoS : Distributed Denial of Service) 공격은 서비스 불능 상태로 만들고자 하는 서버에 수십만 대에 달하는 좀비 PC를 이용하여 공격 트래픽을 보내 정상적인 서비스 제공을 거부하게 하는 것이다.
이러한 디도스 공격은 오픈플로우 환경에서도 발생할 수 있다. 즉, 인식되지 않은 패킷 인입 시 스위치는 컨트롤러로 시그널링 메시지를 보내고, 컨트롤러는 패킷 처리에 관여해야 하는 모든 스위치에 패킷에 관련된 처리 정보를 전달하게 된다. 예를 들어, 컨트롤러가 관리하고 있는 스위치 개수가 n개고, 이 모든 스위치가 패킷 처리에 참여한다면, 최대 n개의 시그널링 메시지를 생성해서 모든 스위치에 보내게 된다. 즉, 하나의 신규 플로우를 처리하기 위해, 컨트롤러는 최대 n+1개의 시그널링 메시지를 처리 해야한다.
이때, 디도스 공격자는 수십만 개의 좀비 PC를 이용하여 스위치가 인식하지 못하는 수십만개의 플로우(m개로 가정)를 생성하여 스위치를 공격하게 된다. 스위치는 인식되지 않은 m개의 플로우 각각에 대해 상기 언급한 방법으로 컨트롤러에게 플로우 처리 방법을 물어보게 되며, 따라서 컨트롤러는 최대 m*(n+1) 개의 시그널링 메시지를 처리해야한다.
즉, 오픈플로우 환경에서의 디도스 공격이 기존의 디도스 공격보다 훨씬 더 큰 장애를 일으킬 수 있는 이유는, 공격자가 m개의 플로우를 이용하여 하나의 스위치만 공격하는 것이 아니라, 컨트롤러가 관리하고 있는 모든 스위치, 즉 n개의 스위치를 모두 공격할 수 있기 때문이다. 이런 경우 컨트롤러는 총 n*m*(n+1)개에 달하는 시그널링 메시지를 처리해야한다. 이러한 메시지 처리로 인해 컨트롤러는 서비스 불능 상태에 빠질 수 밖에 없게 된다. 예를 들어, 컨트롤러가 관리하는 스위치 수가 10개, 공격자가 생성하는 플로우 수가 10만개이며, 매 분마다 소스 IP 및 포트를 바꾸어 공격한다고 가정하였을 경우, 컨트롤러는 매 분마다 1000만개 이상의 시그널링 패킷을 처리해야 하기 때문에 서비스 불능 상태에 빠질 수 밖에 없다.
오픈플로우 환경에서의 또 다른 심각한 보안 취약점은 기술 특성상 이러한 디도스 공격을 감지하기 매우 어렵다는 것이다. 일반적으로 디도스 공격을 감지하기 위해서는 인입되는 패킷의 헤더 정보 등을 실시간으로 파악하여 공격 트래픽의 비정상적인 특징, 예컨대 전체 트래픽 대비 ICMP 패킷 비율이 급속도로 올라가는 경우를 신속하게 파악해내야 한다. 즉, 디도스 공격 감지는 인입되는 모든 패킷들의 헤더 정보를 실시간으로 검사할 수 있는 장치 및 모듈에서 가능하다는 것이다.
오픈플로우 환경에서는 네트워크 및 플로우 제어 기능은 컨트롤러에게 전담시키고, 스위치는 컨트롤러에 의해 정해진 방식대로 패킷 포워딩만을 전담하게 하는 기술이다. 따라서 디도스 등의 공격 감지는 제어 기능을 담당하는 컨트롤러에 의해서 이루어지게 된다. 여기서 오픈플로우 기술에서의 보안 취약점이 발생한다. 왜냐하면, 상기 언급한 바와 같이 디도스 공격 감지 여부는 인입되는 패킷들의 헤더 정보 검사를 통해 이루어져야 하는데, 이러한 패킷 처리 작업은 컨트롤러가 아닌 포워딩 역할을 전담하는 스위치에서 이루어지기 때문이다. 즉, 디도스 공격을 감지해야 할 컨트롤러는 스위치가 특정 주기별로 전송해주는 스위치가 처리한 패킷 수, 바이트 수 등의 개략적인 정보만 받을뿐 패킷을 처리하지 않기 때문이다.
이런 개략적인 정보만으로 디도스 공격 여부를 결정하기에는 시간 측면에서, 오버헤드 측면에서, 그리고 정확성 측면에서 한계점이 있다. 먼저 시간측면에서 살펴보면, 컨트롤러는 스위치에 의해 특정 주기 간격으로 전송되는 정보를 최소 두 세 번 이상 수신해서, 수신된 정보들의 차이 값을 비교하여 공격 여부를 대략적으로 예상하게 된다. 그 후, 정확한 판단을 위해 스위치 상에 시그널링 메시지를 보내, 공격 감지를 위해 필요한 세부 정보를 요청하게 되고, 관련 정보 수신 후 최종 공격 여부를 결정하게 된다. 만일 공격으로 결정됐다면, 그에 대응하는 정책을 결정한 후 다시 스위치에 시그널링 메시지로 관련 정책을 전달하여 스위치를 설정하도록 해야 한다. 이 시간 동안 오픈플로우 네트워크는 공격자에 의해 이미 급속도로 손상을 입게 된다.
두 번째로 오버헤드 측면에서 살펴보면, 컨트롤러는 정확한 공격여부 결정을 위해 스위치에 공격 감지에 필요한 세부 정보를 요청하게 된다. 이 때 컨트롤러는 스위치의 각 인터페이스별로 처리된 패킷 수 및 바이트 수만을 요구할 수도 있지만, 정확성을 높이기 위해서 인터페이스는 물론, 그룹 별, 테이블 별, 그리고 그 안의 테이블 엔트리 별로 처리된 패킷 수 및 바이트 수 등의 세부 정보를 요구할 수도 있다. 테이블 엔트리 수가 수 K에서 수십 K에 달하며, 컨트롤러가 관리하는 모든 스위치에게 위의 세부 정보를 요청해야 한다는 점에서 이는 컨트롤러에게 상당한 오버헤드로 작용함을 알 수 있다. 또한 컨트롤러는, 상기 언급한 바와 같이, 매 분마다 총 n*m*(n+1)개에 달하는 시그널링 메시지를 추가적으로 처리해야 한다는 점에서 급속도로 서비스 불능 상태로 가게 된다.
마지막으로 정확성 측면에서 살펴보면, 일반적으로 DDoS 공격은 크게 시그니처 기반 그리고 행위 기반으로 감지될 수 있다. 컨트롤러가 스위치를 통해 얻을 수 있는 패킷 및 바이트 수 정보만으로는 시그니처 및 행위 기반의 공격을 정확히 감지하기 어렵다는 한계점이 존재한다.
이와 같이 스위치에 의해 전송된 개략적인 정보만으로 DDoS 공격 여부를 결정하기에는 무리가 있으며, 결정한다 할지라도 오랜 시간이 소요될 뿐만 아니라 그 정확성 또한 현저히 떨어질 수 밖에 없게 된다.
가장 큰 문제점은 스위치에서 전송된 통계 정보를 기반으로 DDoS 공격을 성공적으로 감지했다 할지라도, 컨트롤러는 어떤 플로우가 공격자에 의해 전송된 패킷인지 어느 소스가 좀비 PC인지 판단하기 어렵다는 점이다.
이러한 근본적인 이유는 패킷에 대한 직접적인 처리가 디도스 공격 대응 기능이 전혀 없는 스위치에서 이루어지는 반면에, 디도스 공격 대응은 스위치에선 전송된 통계 정보 기반의 간접적인 정보를 활용하는 컨트롤러에서 이루어지기 때문에 발생한다.
앞서 언급한 바와 같이, 디도스 공격 대응은 인입되는 모든 패킷들의 헤더 정보를 실시간으로 검사할 수 있는 장치, 즉 오픈플로우 기술의 경우에는 스위치에서 이루어져야 한다.
대한민국 공개특허 10-2012-0111973호에는 가상화 시스템 환경에서 분산 서비스 공격 등의 침입을 감지하기 위한 기술이 기재되어 있다.
본 발명은 오픈플로우 스위치에서 디도스 공격을 탐지 및 대응할 수 있는 모듈을 탑재하여 공격 발생 시 오픈플로우 스위치 스스로 공격을 탐지하고 대응할 수 있는 장치 및 방법을 제공한다.
본 발명의 일 관점에 따르면, 본 발명의 실시 예에 따른 오픈플로우 스위치에서의 디도스 공격 처리 장치는 상기 오픈플로우 스위치에서 처리되는 패킷에 대한 패킷 처리 통계 정보를 기 설정된 주기 간격으로 수집하여 디도스 공격 여부를 감지하는 공격 감지부와, 상기 디도스 공격이 감지된 후 상기 오픈플로우 스위치에 인입되는 패킷을 이용하여 디도스 공격 특징을 파악하며, 상기 파악된 디도스 공격 특징에 따라 상기 인입되는 패킷을 처리하는 공격 대응부를 포함할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치에서 상기 공격 감지부는, 상기 디도스 공격이 감지될 때 상기 오픈플로우 스위치에 인입되는 패킷을 캡쳐하며, 상기 캡쳐된 패킷을 상기 공격 대응부에 제공하는 패킷 캡쳐 모듈을 포함할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치에서 상기 공격 감지부는, 상기 기 설정된 주기별로 처리되는 패킷 또는 바이트 수와 기 설정된 임계치를 기반으로 상기 디도스 공격을 감지할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치에서 상기 공격 대응부는, 상기 오픈플로우 스위치에 발생되는 전체 트래픽과 ICMP, TCP, UDP 또는 HTTP에서 발생되는 트래픽의 분석을 통해 시그니처 기반의 공격을 감지하여 상기 인입되는 패킷을 폐기 처리하는 시그니쳐 기반 대응 모듈과, 상기 시그니처 기반의 공격이 감지되지 않을 경우 상기 인입되는 패킷의 분석을 통해 행위 기반의 공격을 감지하여 폐기를 처리하는 행위 기반 대응 모듈을 포함할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치에서 상기 시그니처 기반 대응 모듈은, 상기 전체 트래픽 중 ICMP 트래픽의 비율이 임계치보다 높을 경우 상기 ICMP 공격으로 판단하거나, 상기 TCP 트래픽 비율이 임계치보다 높을 경우 상기 TCP 공격으로 판단하거나, 상기 UDP 트래픽 비율이 임계치보다 높은 경우 상기 UDP 공격으로 판단하거나 상기 HTTP 트래픽 비율이 임계치보다 높은 경우 상기 HTTP 공격으로 판단할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치에서 상기 시그니처 기반 대응 모듈은, 공격으로 판단된 프로로콜과 관련된 패킷을 폐기 처리할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치는 상기 파악된 디도스 공격 특징을 수집한 후 이를 정보 데이터베이스에 저장하는 정보 수집부를 더 포함할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치에서 상기 공격 감지부는, 상기 정보 데이터베이스에 저장된 디도스 공격 특징을 기반으로 디도스 공격을 감지할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 장치에서 상기 공격 대응부는, 상기 정보 데이터베이스에 저장된 디도스 공격 특징을 기반으로 디도스 공격의 특징을 파악할 수 있다.
본 발명의 다른 측면에 따르면, 본 발명의 실시 예에 따른 오픈플로우 스위치에서의 디도스 공격 처리 방법은 기 설정된 주기 간격으로 상기 오픈플로우 스위치에서 처리되는 패킷에 대한 패킷 처리 통계 정보를 수집하는 단계와, 상기 수집된 패킷 처리 통계 정보를 기반으로 디도스 공격 여부를 감지하는 단계와, 상기 디도스 공격이 감지되면, 상기 오픈플로우 스위치에 인입되는 패킷을 이용하여 디도스 공격 특징을 파악하며, 상기 파악된 디도스 공격 특징에 따라 상기 인입되는 패킷을 처리하는 단계를 포함할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 방법에서 상기 감지하는 단계는, 상기 기 설정된 주기별로 처리되는 패킷 또는 바이트 수와 기 설정된 임계치를 기반으로 상기 디도스 공격 감지할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 방법에서 상기 인입되는 패킷을 처리하는 단계는, 상기 오픈플로우 스위치에 발생되는 전체 트래픽과 ICMP, TCP, UDP 또는 HTTP에서 발생되는 트래픽의 분석을 통해 시그니처 기반의 공격을 감지하는 단계와, 상기 시그니처 기반의 공격이 감지되지 않을 경우 상기 인입되는 패킷의 분석을 통해 행위 기반의 공격을 감지하는 단계와, 상기 감지된 공격에 해당되는 패킷을 폐기 처리하는 단계를 포함할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 방법에서 상기 시그니처 기반의 공격을 감지하는 단계는, 상기 전체 트래픽 중 ICMP 트래픽의 비율이 제 1 임계치보다 높을 경우 상기 ICMP 공격으로 감지하는 단계와, 상기 ICMP 트래픽의 비율이 제 1 임계치보다 작거나 같을 경우 상기 TCP 트래픽 비율이 제 2 임계치간의 비교를 통해 상기 TCP 트래픽 비율이 제 2 임계치보다 높으면 상기 TCP 공격으로 감지하는 단계와, 상기 TCP 트래픽 비율이 제 2 임계치보다 작거나 같을 경우 , 상기 UDP 트래픽 비율과 제 3 임계치간의 비교를 통해 상기 UDP 트래픽 비율이 상기 제 3 임계치보다 높으면, 상기 UDP 공격으로 감지하는 단계와, 상기 UDP 트래픽이 제 3 임계치보다 작거나 같을 경우 상기 HTTP 트래픽 비율과 제 4 임계치간의 비교를 통해 상기 HTTP 트래픽 비율이 상기 제 4 임계치보다 높으면 상기 HTTP 공격으로 감지하는 단계를 포함할 수 있다.
본 발명의 실시 예에 따른 디도스 공격 처리 방법은 상기 파악된 디도스 공격 특징을 수집한 후 이를 정보 데이터베이스에 저장하는 단계를 더 포함할 수 있다.
본 발명은 오픈플로우 스위치에 디도스 공격 탐지 및 대응 수단을 설치함으로써, 디도스 공격 시 컨트롤러에 전송되는 엄청난 메시지 부하를 최소화 시키는 한편 신속히 오픈플로우 망을 안정 상태로 되돌릴 수 있다는 장점이 있다.
또한, 제한된 상태 정보를 가지고 디도스 공격을 방어해야 하는 컨트롤러 기반의 디도스 방어 장비보다 시간 및 오버헤드 측면에서, 그리고 정확성 측면에서 월등한 디도스 방어 성능을 보이기에, 오픈플로우 기술을 통해 신규 서비스를 창출하고자 하는 서비스 제공자에게 더욱 더 안정적으로 맞춤형 네트워크를 제공할 수 있다.
도 1은 본 발명의 실시 예에 적용되는 오픈플로우 기술을 설명하기 위한 네트워크 구성도,
도 2는 본 발명의 실시 예에 따른 오픈플로우 스위치의 내부 구성을 도시한 블록도,
도 3은 본 발명의 실시 예에 따른 디도스 공격 처리기의 내부 구성을 도시한 블록도,
도 4는 본 발명의 실시 예에 따른 디도스 공격 처리기가 디도스 공격을 탐지하여 대응하는 과정을 도시한 흐름도,
도 5는 본 발명의 실시 예에 따른 디도스 공격 대응 과정을 상세히 도시한 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 대해 설명한다.
설명에 앞서, 본 발명의 실시 예에 적용되는 오픈플로우 기술에 대해 도 1을 참조하여 설명한다.
도 1은 본 발명의 실시 예에 적용되는 오픈플로우 기술을 설명하기 위한 네트워크 구성도이다.
도 1을 참조하면, 본 발명의 실시 예에 적용되는 네트워크는 네트워크 전체를 중압 집중형으로 제어하는 오픈플로우 컨트롤러(110), 오픈플로우 컨트롤러(110)에 의해 설정된 제어 방식에 따라 인입되는 데이터 패킷을 처리하는 오픈플로우 스위치(120), 오픈플로우 컨트롤러(110)와 오픈플로우 스위치(120)간 통신을 담당하는 오픈플로우 프로토콜(130), 오픈플로우 스위치(120)에 패킷을 전송하거나, 오픈플로우 스위치(120)를 통해 패킷을 수신하는 단말(140) 등을 포함할 수 있다. 또한, 오픈플로우 스위치(120)는 패킷을 처리하기 위한 플로우 테이블을 구비하는 하드웨어와 보안 채널을 제공하는 소프트웨어로 구성될 수 있다.
이러한 네트워크가 특정 서비스에 최적화된 가상 네트워크에 신규 플로우가 인입되었을 때의 동작 과정에 대해 설명하면 아래와 같다.
먼저, 신규 플로우에 해당하는 패킷이 오픈플로우 스위치(120)에 인입되면, 오픈플로우 스위치(120)는 패킷이 속하는 플로우 처리 정보가 없기 때문에 오픈플로우 컨트롤러(110)로 시그널링 패킷을 전송하여 플로우를 어떻게 처리할지를 요청한다.
이에 따라, 오픈플로우 컨트롤러(110)는 네트워크 상에 다수의 오픈플로우 스위치(120)의 상태 정보를 기반으로 플로우의 처리 방법을 결정한 후 이를 플로우에 해당되는 패킷이 전송되게 될 모든 오픈플로우 스위치(120)에 전송한다.
처리 방법을 전송받은 모든 오픈플로우 스위치(120)는 처리 방법에 따라 인입되는 패킷을 처리한다.
본 발명의 실시 예에서는 오픈플로우 스위치(120)에서 외부의 침입, 예컨대 디도스 공격을 탐지하고, 침입에 따른 대응을 수행할 수 있도록 한다.
이러한 오픈플로우 스위치(120)의 내부 구성 및 동작에 대해 도 2 내지 도 5를 참조하여 설명한다.
도 2는 본 발명의 실시 예에 따른 오픈플로우 스위치의 내부 구성을 도시한 블록도로서, 보안 채널(210), 플로우 테이블(215) 및 디도스 공격 처리기(220) 등을 포함할 수 있다.
디도스 공격 처리기(220)는 하드웨어로부터 패킷 처리 통계 정보를 수집하고, 수집된 패킷 처리 통계 정보를 기반으로 디도스 공격 여부를 결정할 수 있다.
디도스 공격으로 판단되는 경우, 디도스 공격 처리기(220)는 하드웨어 상으로 인입되는 모든 패킷 또는 샘플링된 부분의 패킷들의 헤더를 검사하여 디도스 공격에 대응할 수 있다. 즉, 디도스 공격 처리기(220)는 헤더의 검사를 통해 시그니쳐 기반 또는 행위 기반의 디도스 공격인지의 여부를 판단한 후 이를 기반으로 해당되는 패킷을 처리, 예컨대 폐기하여 디도스 공격에 대응할 수 있다.
이러한 디도스 공격 처리기(220)의 각 구성과 기능에 대해 도 3을 참조하여 설명한다.
도 3은 본 발명의 실시 예에 따른 디도스 공격 처리기(220)의 내부 구성을 도시한 블록도이다.
도 3을 참조하면, 디도스 공격 처리기(220)는 디도스 공격 감지부(310), 디도스 공격 대응부(320) 및 디도스 공격 정보 수집부(330) 등을 구비할 수 있다.
디도스 공격 감지부(310)은 오픈플로우 스위치(120)의 하드웨어 상에 위치하면서 기 설정된 시간 간격(기 설정된 주기 간격)으로 하드웨어로부터 올라오는 패킷 처리 통계 정보를 수신하고, 수신된 패킷 처리 통계 정보와 기 저장된 디도스 공격 특징 정보를 기반으로 디도스 공격 여부를 판단할 수 있다. 여기에서, 디도스 공격 특징 정보로는 디도스 공격 정보 수집부(330)에서 수집된 정보를 이용할 수 있다.
이러한 디도스 공격 감지부(310)은 임계치를 기반으로 디도스 공격을 감지하는 임계치 디도스 감지 모듈(312) 및 디도스 공격이 감지됨에 따라 패킷 캡쳐를 수행하는 패킷 캡쳐 모듈(314)로 구성될 수 있다.
임계치 디도스 감지 모듈(312)은 주기마다 처리하는 패킷 처리 통계 정보를 이용하여 특정 주기에서 바이트 및 패킷의 수가 급격히 증가할 경우 디도스 공격이 시작되었음을 감지한다. 즉, 이전에 처리된 패킷 및 바이트 수에 비해 현재 주기에 처리하는 패킷 및 바이트 수가 기 설정된 임계치보다 큰 경우, 임계치 디도스 감지 모듈(312)은 디도스 공격이 일어났다고 판단하여 패킷 캡쳐 모듈(314)을 통해 오픈플로우 스위치(120)로 인입되는 패킷을 캡쳐한 후 이를 디도스 공격 대응부(320)에 제공한다. 여기에서, 임계치는 네트워크 상황에 맞게 동적으로 설정될 수 있다.
디도스 공격 대응부(320)은 오픈플로우 스위치(120)에서 캡쳐된 패킷을 이용하여 트래픽 비율 증가를 분석하고, 분석된 트래픽 비율에 따라 시그니처 기반의 디도스 공격을 파악하여 대응할 수 있다.
또한, 디도스 공격 대응부(320)는 시그니처 기반의 디도스 공격이 아닐 경우 캡쳐된 패킷의 특징을 분석하고, 분석된 특징에 따라 행위 기반의 디도스 공격을 파악하여 대응할 수 있다.
이러한 디도스 공격 대응부(320)은 시그니쳐 기반 디도스 대응 모듈(322) 및 행위 기반 디도스 대응 모듈(324)을 구비할 수 있다.
시그니처 기반 디도스 대응 모듈(322)은 정형화된 형태의 디도스 공격에 대응할 수 있다. 즉, 시그니처 기반 디도스 대응 모듈(322)은 캡쳐된 패킷을 기반으로 트래픽 비율 증가를 분석하여 시그니처 기반의 디도스 공격 특징을 파악할 수 있다. 여기에서, 트래픽은 ICMP 트래픽, TCP 트래픽, UDP 트래픽, HTTP 트래픽 등을 들 수 있으며, 트래픽 비율 증가 분석은 오픈플로우 스위치(120) 전체 트래픽 중 해당 트래픽 비율과 기 설정된 임계치간의 비교를 통해 이루어질 수 있다.
이러한 시그니처 기반 디도스 대응 모듈(322)은 시그니처 기반의 디도스 공격 특징이 파악되면 인입되는 패킷을 폐기 처리하여 디도스 공격에 대응할 수 있다.
행위 기반 디도스 대응 모듈(324)은 비정형화된 형태의 디도스 공격에 대응할 수 있다. 즉, 행위 기반 디도스 대응 모듈(324)은 시그니처 기반의 디도스 공격이 아닐 경우 비정형화된 형태의 디도스 공격, 즉 행위 기반의 디도스 공격으로 파악하여 대응할 수 있다.
이러한 행위 기반 디도스 대응 모듈(324)은 행위 기반의 디도스 공격 특징이 파악되면 인입되는 패킷을 폐기 처리하여 디도스 공격에 대응할 수 있다.
한편, 시그니쳐 기반의 디도스 공격 특징 또는 행위 기반의 디도스 공격 특징은 디도스 공격 정보 수집부(330)에 제공될 수 있다.
디도스 공격 정보 수집부(330)은 디도스 공격에 대응하는 과정에서 생성된 공격 특징을 수집하는 정보 수집 모듈(332) 및 수집된 정보가 저장되는 정보 데이터베이스(334)로 구성될 수 있다.
한편, 정보 데이터베이스(334)에 저장된 정보는 디도스 공격 감지부(310) 및 디도스 공격 대응부(320)에 제공될 수 있다. 이에 따라, 디도스 공격 감지부(310)는 디도스 공격 감지에 필요한 정보를 업데이트할 수 있으며, 디도스 공격 대응부(320)은 디도스 공격 대응에 필요한 정보를 업데이트할 수 있다.
상기와 같은 구성을 갖는 디도스 공격 처리기(120)가 디도스 공격을 탐지 및 대응하는 과정에 대해 도 4를 참조하여 설명한다.
도 4는 본 발명의 실시 예에 따른 디도스 공격 처리기(120)가 디도스 공격을 탐지하여 대응하는 과정을 도시한 흐름도이다.
도 4를 참조하면, 오픈플로우 스위치(120)는 하드웨어 상에서 패킷을 처리(단계 402)하고, 패킷 처리에 따른 통계 정보, 예컨대 처리한 패킷 및 바이트 수) 등을 기 설정된 주기 마다 소프트웨어 상으로 전달한다(단계 404).
이에 따라, 소프트웨어 상에 상주하는 디도스 공격 감지부(310)는 전달받은 통계 정보를 기반으로 디도스 공격 여부를 판단한다(단계 406). 예를 들어, 디도스 공격 감지부(312)는 현재 주기에 전달받은 패킷 및 바이트의 수에 비해 현재 수신된 패킷 및 바이트 수와 기 설정된 임계치간의 비교를 통해 디도스 공격 여부를 판단할 수 있다. 즉, 현재 주기에 전달받은 패킷 및 바이트의 수가 기 설정된 임계치보다는 큰 경우 디도스 공격이 시작된 것으로 판단할 수 있다.
단계 406의 판단 결과, 디도스 공격으로 판단되면, 디도스 공격 감지부(310)는 디도스 공격 대응부(320)를 활성화시키며(단계 408), 이에 따라 디도스 공격 대응부(320)는 하드웨어 상에서 상주하면서 오픈플로우 스위치(120)로 인입되는 모든 패킷 또는 샘플링을 통한 부분 패킷들에 대한 디도스 공격 대응을 수행한다(단계 410).
한편, 단계 406의 판단 결과, 디도스 공격이 아닐 경우에는 단계 402로 돌아가 이후 단계를 수행한다. 즉, 오픈플로우 스위치(120)는 인입되는 패킷을 플로우 테이블(215) 내 정보를 기반으로 처리함과 더불어 기 설정된 주기마다 처리한 패킷에 대한 통계 정보를 소프트웨어 상으로 전달한다.
단계 410의 디도스 공격 대응 과정에 대해 도 5을 참조하여 설명한다.
도 5는 본 발명의 실시 예에 따른 디도스 공격 대응 과정을 상세히 도시한 흐름도이다.
도 5을 참조하면, 디도스 공격 대응부(320)는 시그니처 기반 디도스 대응 모듈(322)을 이용하여 시그니처 기반 공격인지의 여부를 판단한다. 즉, 시그니처 기반 디도스 대응 모듈(322)은 오픈플로우 스위치(120)의 전체 트래픽 대비 ICMP 트래픽의 비율을 계산(단계 502)하고, 계산된 ICMP 트래픽의 비율이 기 설정된 임계값 보다 큰지를 검사한다(단계 504).
단계 504의 검사 결과, ICMP 트래픽의 비율이 기 설정된 임계값보다 큰 경우 시그니처 기반 디도스 대응 모듈(322)은 해당 디도스 공격이 ICMP 공격으로 판단하여 인입되는 패킷들 중 ICMP 관련 패킷을 폐기처리(단계 506)한 후 ICMP 디도스 공격 특징 정보를 디도스 공격 정보 수집부(330)에 제공한다. 이에 따라, 디도스 공격 정보 수집부(330)는 ICMP 디도스 공격 특징 정보를 정보 데이터베이스(334)에 저장한다(단계 508).
한편, 단계 504의 검사 결과, ICMP 트래픽의 비율이 기 설정된 임계값보다 작거나 같은 경우 시그니처 기반 디도스 대응 모듈(322)은 전체 트래픽 대비 TCP 트래픽의 비율을 계산(단계 510)하고, 계산된 TCP 트래픽의 비율이 기 설정된 임계값 보다 큰지를 검사한다(단계 512).
단계 512의 검사 결과, TCP 트래픽의 비율이 기 설정된 임계값보다 큰 경우 시그니처 기반 디도스 대응 모듈(322)은 해당 디도스 공격이 TCP 공격, 예컨대 TCP 플러딩(flooding)으로 판단하여 인입되는 패킷들 중 TCP 관련 패킷을 폐기처리(단계 514)한 후 TCP 디도스 공격 특징 정보를 디도스 공격 정보 수집부(330)에 제공한다. 이에 따라, 디도스 공격 정보 수집부(330)는 TCP 디도스 공격 특징 정보를 정보 데이터베이스(334)에 저장한다(단계 508).
한편, 단계 512의 검사 결과, TCP 트래픽의 비율이 기 설정된 임계값보다 작거나 같은 경우 시그니처 기반 디도스 대응 모듈(322)은 전체 트래픽 대비 UDP 트래픽의 비율을 계산(단계 516)하고, 계산된 UDP 트래픽의 비율이 기 설정된 임계값 보다 큰지를 검사한다(단계 518).
단계 518의 검사 결과, UDP 트래픽의 비율이 기 설정된 임계값보다 큰 경우 시그니처 기반 디도스 대응 모듈(322)은 해당 디도스 공격이 UDP 공격, 예컨대 UDP 플러딩(flooding)으로 판단하여 인입되는 패킷들 중 UDP 관련 패킷을 폐기처리(단계 520)한 후 UDP 디도스 공격 특징 정보를 디도스 공격 정보 수집부(330)에 제공한다. 이에 따라, 디도스 공격 정보 수집부(330)는 UDP 디도스 공격 특징 정보를 정보 데이터베이스(334)에 저장한다(단계 508).
한편, 단계 518의 검사 결과, UDP 트래픽의 비율이 기 설정된 임계값보다 작거나 같은 경우 시그니처 기반 디도스 대응 모듈(322)은 전체 트래픽 대비 HTTP 트래픽의 비율을 계산(단계 522)하고, 계산된 HTTP 트래픽의 비율이 기 설정된 임계값 보다 큰지를 검사한다(단계 524).
단계 524의 검사 결과, HTTP 트래픽의 비율이 기 설정된 임계값보다 큰 경우 시그니처 기반 디도스 대응 모듈(322)은 해당 디도스 공격이 TCP 공격, 예컨대 HTTP 플러딩(flooding)으로 판단하여 인입되는 패킷들 중 HTTP 관련 패킷을 폐기처리(단계 526)한 후 TCP 디도스 공격 특징 정보를 디도스 공격 정보 수집부(330)에 제공한다. 이에 따라, 디도스 공격 정보 수집부(330)는 HTTP 디도스 공격 특징 정보를 정보 데이터베이스(334)에 저장한다(단계 508).
한편, 단계 524의 검사 결과, HTTP 트래픽의 비율이 기 설정된 임계값보다 작거나 같은 경우 시그니처 기반 디도스 대응 모듈(322)은 시그니처 기반의 디도스 공격이 아닌 것으로 판단하여 행위 기반 디도스 대응 모듈(324)을 구동시킨다(단계 528).
이에 따라, 행위 기반 디도스 대응 모듈(324)은 오픈플로우 스위치(120)에 인입되는 모든 패킷 또는 샘플링된 패킷 일부의 분석을 통해 행위 기반의 디도스 공격인지를 판단한다(단계 530).
단계 530에서 행위 기반의 디도스 공격으로 판단되면, 행위 기반 디도스 대응 모듈(324)은 행위 기반의 디도스 공격에 대응되는 패킷들을 폐기 처리(단계 532)한 후 행위 기반의 디도스 공격 특징 정보를 디도스 공격 정보 수집부(330)에 제공한다. 이에 따라, 디도스 공격 정보 수집부(330)는 행위 기반의 디도스 공격 특징 정보를 정보 데이터베이스(334)에 저장한다(단계 508).
한편, 정보 데이터베이스(334)에 저장된 디도스 공격 특징 정보는 디도스 공격 감지부(310) 및 디도스 공격 대응부(320)로 제공되어 디도스 공격 감지 및 대응에 참조 데이터로 이용될 수 있다.
상술한 바와 같이, 본 발명의 실시 예에 따르면, 오픈플로우 스위치(120)에 디도스 공격을 탐지하고 대응하기 위한 모듈을 탑재하여, 공격 발생 시 오픈플로우 스위치(120) 스스로 탐지 및 대응하게 함으로써, 오픈플로우 컨트롤러(110)에게 전송되는 메시지 부하를 최소화할 수 있을 뿐만 아니라 디도스 공격에 빠른 대응을 수행할 수 있다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
300 : 디도스 공격 감지부 312 : 임계치 디도스 감지 모듈
314 : 패킷 캡쳐 모듈 320 : 디도스 공격 대응부
322 : 행위 기반 디도스 대응 모듈 324 : 시그니처 기반 디도스 대응 모듈
330 : 디도스 공격 정보 수집부 332 : 정보 수집 모듈
334 : 정보 데이터베이스

Claims (14)

  1. 오픈플로우 환경의 오픈플로우 스위치로서,
    상기 오픈플로우 스위치에서 처리되는 패킷에 대한 패킷 처리 통계 정보를 기 설정된 주기 간격으로 수집하여 디도스 공격 여부를 감지하는 공격 감지부와,
    상기 디도스 공격이 감지된 후 상기 오픈플로우 스위치에 인입되는 패킷을 이용하여 디도스 공격 특징을 파악하며, 상기 파악된 디도스 공격 특징에 따라 상기 인입되는 패킷을 처리하는 공격 대응부를 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  2. 제 1 항에 있어서,
    상기 공격 감지부는,
    상기 디도스 공격이 감지될 때 상기 오픈플로우 스위치에 인입되는 패킷을 캡쳐하며, 상기 캡쳐된 패킷을 상기 공격 대응부에 제공하는 패킷 캡쳐 모듈을 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  3. 제 1 항에 있어서,
    상기 공격 감지부는,
    상기 기 설정된 주기별로 처리되는 패킷 또는 바이트 수와 기 설정된 임계치를 기반으로 상기 디도스 공격을 감지하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  4. 제 1 항에 있어서,
    상기 공격 대응부는,
    상기 오픈플로우 스위치에 발생되는 전체 트래픽과 ICMP, TCP, UDP 또는 HTTP에서 발생되는 트래픽의 분석을 통해 시그니처 기반의 공격을 감지하여 상기 인입되는 패킷을 폐기 처리하는 시그니쳐 기반 대응 모듈과,
    상기 시그니처 기반의 공격이 감지되지 않을 경우 상기 인입되는 패킷의 분석을 통해 행위 기반의 공격을 감지하여 폐기를 처리하는 행위 기반 대응 모듈을 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  5. 제 4 항에 있어서,
    상기 시그니처 기반 대응 모듈은,
    상기 전체 트래픽 중 ICMP 트래픽의 비율이 임계치보다 높을 경우 상기 ICMP 공격으로 판단하거나, 상기 TCP 트래픽 비율이 임계치보다 높을 경우 상기 TCP 공격으로 판단하거나, 상기 UDP 트래픽 비율이 임계치보다 높은 경우 상기 UDP 공격으로 판단하거나 상기 HTTP 트래픽 비율이 임계치보다 높은 경우 상기 HTTP 공격으로 판단하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  6. 제 5 항에 있어서,
    상기 시그니처 기반 대응 모듈은,
    공격으로 판단된 프로로콜과 관련된 패킷을 폐기 처리하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  7. 제 1 항에 있어서,
    상기 파악된 디도스 공격 특징을 수집한 후 이를 정보 데이터베이스에 저장하는 정보 수집부를 더 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  8. 제 7 항에 있어서,
    상기 공격 감지부는, 상기 정보 데이터베이스에 저장된 디도스 공격 특징을 기반으로 디도스 공격을 감지하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  9. 제 7 항에 있어서,
    상기 공격 대응부는, 상기 정보 데이터베이스에 저장된 디도스 공격 특징을 기반으로 디도스 공격의 특징을 파악하는
    오픈플로우 스위치에서의 디도스 공격 처리 장치.
  10. 오픈플로우 환경의 오픈플로우 스위치를 이용한 디도스 공격 처리 방법으로서,
    기 설정된 주기 간격으로 상기 오픈플로우 스위치에서 처리되는 패킷에 대한 패킷 처리 통계 정보를 수집하는 단계와,
    상기 수집된 패킷 처리 통계 정보를 기반으로 디도스 공격 여부를 감지하는 단계와,
    상기 디도스 공격이 감지되면, 상기 오픈플로우 스위치에 인입되는 패킷을 이용하여 디도스 공격 특징을 파악하며, 상기 파악된 디도스 공격 특징에 따라 상기 인입되는 패킷을 처리하는 단계를 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 방법.
  11. 제 10 항에 있어서,
    상기 감지하는 단계는,
    상기 기 설정된 주기별로 처리되는 패킷 또는 바이트 수와 기 설정된 임계치를 기반으로 상기 디도스 공격을 감지하는
    오픈플로우 스위치에서의 디도스 공격 처리 방법.
  12. 제 10 항에 있어서,
    상기 인입되는 패킷을 처리하는 단계는,
    상기 오픈플로우 스위치에 발생되는 전체 트래픽과 ICMP, TCP, UDP 또는 HTTP에서 발생되는 트래픽의 분석을 통해 시그니처 기반의 공격을 감지하는 단계와,
    상기 시그니처 기반의 공격이 감지되지 않을 경우 상기 인입되는 패킷의 분석을 통해 행위 기반의 공격을 감지하는 단계와,
    상기 감지된 공격에 해당되는 패킷을 폐기 처리하는 단계를 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 방법.
  13. 제 12 항에 있어서,
    상기 시그니처 기반의 공격을 감지하는 단계는,
    상기 전체 트래픽 중 ICMP 트래픽의 비율이 제 1 임계치보다 높을 경우 상기 ICMP 공격으로 감지하는 단계와,
    상기 ICMP 트래픽의 비율이 제 1 임계치보다 작거나 같을 경우 상기 TCP 트래픽 비율이 제 2 임계치간의 비교를 통해 상기 TCP 트래픽 비율이 제 2 임계치보다 높으면 상기 TCP 공격으로 감지하는 단계와,
    상기 TCP 트래픽 비율이 제 2 임계치보다 작거나 같을 경우 , 상기 UDP 트래픽 비율과 제 3 임계치간의 비교를 통해 상기 UDP 트래픽 비율이 상기 제 3 임계치보다 높으면, 상기 UDP 공격으로 감지하는 단계와,
    상기 UDP 트래픽이 제 3 임계치보다 작거나 같을 경우 상기 HTTP 트래픽 비율과 제 4 임계치간의 비교를 통해 상기 HTTP 트래픽 비율이 상기 제 4 임계치보다 높으면 상기 HTTP 공격으로 감지하는 단계를 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 방법.
  14. 제 10 항에 있어서,
    상기 파악된 디도스 공격 특징을 수집한 후 이를 정보 데이터베이스에 저장하는 단계를 더 포함하는
    오픈플로우 스위치에서의 디도스 공격 처리 방법.
KR1020130000122A 2013-01-02 2013-01-02 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 KR20140088340A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130000122A KR20140088340A (ko) 2013-01-02 2013-01-02 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
US14/080,439 US20140189867A1 (en) 2013-01-02 2013-11-14 DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130000122A KR20140088340A (ko) 2013-01-02 2013-01-02 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20140088340A true KR20140088340A (ko) 2014-07-10

Family

ID=51018990

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130000122A KR20140088340A (ko) 2013-01-02 2013-01-02 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법

Country Status (2)

Country Link
US (1) US20140189867A1 (ko)
KR (1) KR20140088340A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180041952A (ko) * 2016-10-17 2018-04-25 숭실대학교산학협력단 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
KR20200009366A (ko) 2018-07-18 2020-01-30 한국중부발전(주) 슬로우 에이치티티피 포스트 도스 공격 탐지장치

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9888033B1 (en) * 2014-06-19 2018-02-06 Sonus Networks, Inc. Methods and apparatus for detecting and/or dealing with denial of service attacks
CN104378380A (zh) * 2014-11-26 2015-02-25 南京晓庄学院 一种基于SDN架构的识别与防护DDoS攻击的***及方法
CN104580222B (zh) * 2015-01-12 2018-01-05 山东大学 基于信息熵的DDoS攻击分布式检测与响应方法
CN106034105A (zh) * 2015-03-09 2016-10-19 国家计算机网络与信息安全管理中心 OpenFlow交换机及处理DDoS攻击的方法
US20160294871A1 (en) * 2015-03-31 2016-10-06 Arbor Networks, Inc. System and method for mitigating against denial of service attacks
US9971624B2 (en) 2015-05-17 2018-05-15 Nicira, Inc. Logical processing for containers
US10078527B2 (en) 2015-11-01 2018-09-18 Nicira, Inc. Securing a managed forwarding element that operates within a data compute node
US10063469B2 (en) 2015-12-16 2018-08-28 Nicira, Inc. Forwarding element implementation for containers
CN105516184B (zh) * 2015-12-31 2018-07-27 清华大学深圳研究生院 一种基于增量部署sdn网络的链路洪泛攻击的防御方法
CN106953833A (zh) * 2016-01-07 2017-07-14 无锡聚云科技有限公司 一种DDoS攻击检测***
CN107800711B (zh) * 2017-06-16 2020-08-11 南京航空航天大学 一种OpenFlow控制器抵御DDoS攻击的方法
US10116671B1 (en) * 2017-09-28 2018-10-30 International Business Machines Corporation Distributed denial-of-service attack detection based on shared network flow information
CN107592323A (zh) * 2017-11-02 2018-01-16 江苏物联网研究发展中心 一种DDoS检测方法及检测装置
CN108289104B (zh) * 2018-02-05 2020-07-17 重庆邮电大学 一种工业SDN网络DDoS攻击检测与缓解方法
CN108833410B (zh) * 2018-06-19 2020-11-06 网宿科技股份有限公司 一种针对HTTP Flood攻击的防护方法及***
FR3087603A1 (fr) 2018-10-23 2020-04-24 Orange Technique de collecte d'informations relatives a un flux achemine dans un reseau
CN109088896B (zh) * 2018-10-25 2021-04-09 深圳供电局有限公司 一种基于物联网的互联网DDoS防御***的工作方法
DK3654606T3 (da) 2018-11-15 2022-02-14 Ovh Fremgangsmåde og datapakkerensningssystem til screening af datapakker modtaget ved en serviceinfrastruktur
CN111624869B (zh) * 2020-04-25 2023-03-28 中国人民解放军战略支援部队信息工程大学 自动感知攻击行为方法、***及以太网交换机

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8582567B2 (en) * 2005-08-09 2013-11-12 Avaya Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks
WO2012130264A1 (en) * 2011-03-29 2012-10-04 Nec Europe Ltd. User traffic accountability under congestion in flow-based multi-layer switches

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180041952A (ko) * 2016-10-17 2018-04-25 숭실대학교산학협력단 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
US10637886B2 (en) 2016-10-17 2020-04-28 Foundation Of Soongsil University Industry Cooperation Software defined network capable of detecting DDoS attacks and switch included in the same
KR20200009366A (ko) 2018-07-18 2020-01-30 한국중부발전(주) 슬로우 에이치티티피 포스트 도스 공격 탐지장치

Also Published As

Publication number Publication date
US20140189867A1 (en) 2014-07-03

Similar Documents

Publication Publication Date Title
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn***的工作方法
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US9860278B2 (en) Log analyzing device, information processing method, and program
KR101574193B1 (ko) 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
US7768921B2 (en) Identification of potential network threats using a distributed threshold random walk
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US7624447B1 (en) Using threshold lists for worm detection
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
Hussein et al. SDN security plane: An architecture for resilient security services
US20060137009A1 (en) Stateful attack protection
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
CN106534068A (zh) 一种ddos防御***中清洗伪造源ip的方法和装置
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Toprak et al. Detection of DHCP starvation attacks in software defined networks: A case study
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
US11895146B2 (en) Infection-spreading attack detection system and method, and program
CN106603335B (zh) 私有软件流量监控方法和设备
KR100756462B1 (ko) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
KR20100048105A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치
KR101358794B1 (ko) 이상 패킷 차단 시스템 및 방법

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination