1 |
1
n개의 타임 슬롯으로 이루어진 감시 기간 동안 내 상기 타임 슬롯별로 DNS 쿼리 트래픽을 모니터링하는 단계와,상기 타임 슬롯별로 모니터링되는 DNS 쿼리 트래픽을 이용하여 상기 감시 기간 동안의 트래픽 정보를 추출하는 단계와,상기 추출한 트래픽 정보를 분석하여 DNS 트래픽 플루딩 공격 여부를 감지하는 단계를 포함하는DNS 쿼리 트래픽 감시 및 처리 방법
|
2 |
2
제 1 항에 있어서,상기 모니터링하는 단계는,타임 슬롯 당 발생된 DNS 쿼리 개수, 개수의 변화량, 상기 DNS 쿼리 트래픽 내 URL의 바이트 분포 또는 상기 바이트 분포에 대한 엔트로피값을 모니터링하여 상기 타임 슬롯별 정보를 수집하는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 방법
|
3 |
3
제 2 항에 있어서,상기 모니터링하는 단계는,상기 DNS 쿼리 트래픽이 기 설정된 세션 리스트에 존재하는지를 판단하는 단계와,상기 세션 리스트에 존재할 경우 상기 세션 리스트의 트래픽과 상기 DNS 쿼리 트래픽이 동일 타임 슬롯에서 발생된 것인지를 판단하는 단계와,상기 동일 타임 슬롯 시간에 발생된 경우 현재 타임 슬롯에 대한 수집 정보를 업데이트하는 단계와,상기 동일 타임 슬롯에서 발생된 경우가 아닌 경우 다음 타임 슬롯에 대한 정보를 생성하는 단계를 포함하는 DNS 쿼리 트래픽 감시 및 처리 방법
|
4 |
4
제 3 항에 있어서,상기 현재 타임 슬롯에 대한 수집 정보를 업데이트하는 단계는,상기 현재 타임 슬롯의 상기 DNS 쿼리 개수 또는 상기 DNS 쿼리의 URL에 대한 바이트 분포인 것을 특징으로 하는 DNS 쿼리 트래픽 감시 및 처리 방법
|
5 |
5
제 3 항에 있어서,상기 다음 타임 슬롯에 대한 정보를 생성하는 단계는,상기 현재 타임 슬롯 동안 요청된 DNS 쿼리 개수, DNS 쿼리 개수 변화량, DNS 쿼리의 URL에 대한 바이트 분포 또는 DNS 쿼리에 대한 바이트 분포의 엔트로피값을 업데이트하는 단계와,상기 다음 타임 슬롯에 대한 상기 DNS 쿼리의 개수 또는 상기 DNS 쿼리의 URL에 대한 바이트 분포에 대한 정보를 생성하는 단계를 포함하는 DNS 쿼리 트래픽 감시 및 처리 방법
|
6 |
6
제 2 항에 있어서,상기 감시 기간 내 트래픽 정보를 추출하는 단계는,상기 감시 기간 동안 DNS 쿼리 트래픽이 존재한 타임 슬롯 수, 상기 감시 기간 동안 DNS 쿼리 트래픽이 존재하지 않았던 타임 슬롯 수, 상기 감시 기간 동안 DNS 쿼리 트래픽이 연속적으로 존재했던 타임 슬롯의 최대 개수, 상기 감시 기간 동안 DNS 쿼리 트래픽이 연속적으로 존재하지 않았던 타임 슬롯의 최대 개수, 상기 감시 기간 동안 타임 슬롯 단위로 추출된 DNS 쿼리 트래픽 개수의 총합, 상기 감시 기간 동안 타임 슬롯 단위로 추출된 DNS 쿼리 트래픽의 개수 변화량의 분산값 또는 상기 감시 기간 동안 타임 슬롯 단위로 추출된 엔트로피값의 분산 값을 이용하여 상기 감시 기간 동안의 트래픽 정보를 추출하는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 방법
|
7 |
7
제 1 항에 있어서,상기 감지하는 단계는,상기 DNS 쿼리 플루딩 공격자의 IP 주소를 감지하는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 방법
|
8 |
8
다수의 타임 슬롯으로 구성된 감시 기간 동안 DNS 쿼리를 모니터링하여 정보를 수집하는 정보 처리 쓰레드와,상기 감시 기간의 종료를 알리는 타임 쓰레드와,상기 타임 쓰레드의 감시 기간 종료에 따라 상기 수집한 정보를 기반으로 상기 DNS 쿼리에 대한 트래픽이 공격인지를 구분하는 트래픽 구분 쓰레드와,상기 트래픽 구분 쓰레드에 의해 구분된 공격 트래픽을 차단하는 공격 보호 쓰레드를 포함하는DNS 쿼리 트래픽 감시 및 처리 장치
|
9 |
9
제 8 항에 있어서,상기 정보 처리 쓰레드는,,타임 슬롯 당 발생된 DNS 쿼리 개수, 개수의 변화량, 상기 DNS 쿼리 트래픽 내 URL의 바이트 분포 또는 상기 바이트 분포에 대한 엔트로피값을 모니터링하여 상기 타임 슬롯별 정보를 수집하는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 장치
|
10 |
10
제 9 항에 있어서,상기 정보 처리 쓰레드는, 상기 감시 기간 동안 DNS 쿼리 트래픽이 존재한 타임 슬롯 수, 상기 감시 기간 동안 DNS 쿼리 트래픽이 존재하지 않았던 타임 슬롯 수, 상기 감시 기간 동안 DNS 쿼리 트래픽이 연속적으로 존재했던 타임 슬롯의 최대 개수, 상기 감시 기간 동안 DNS 쿼리 트래픽이 연속적으로 존재하지 않았던 타임 슬롯의 최대 개수, 상기 감시 기간 동안 타임 슬롯 단위로 추출된 DNS 쿼리 트래픽 개수의 총합, 상기 감시 기간 동안 타임 슬롯 단위로 추출된 DNS 쿼리 트래픽의 개수 변화량의 분산값 또는 상기 감시 기간 동안 타임 슬롯 단위로 추출된 엔트로피값의 분산 값을 이용하여 상기 감시 기간 동안의 트래픽 정보를 추출하는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 장치
|
11 |
11
제 8 항에 있어서,상기 타임 쓰레드는,상기 감시 기간이 종료됨에 따라 상기 DNS 쿼리에 대한 정보를 기 설정된 큐에 삽입하는 것을 특징으로 하는 DNS 쿼리 트래픽 감시 및 처리 장치
|
12 |
12
제 8 항에 있어서,상기 트래픽 구분 쓰레드는, 상기 감시 기간 동안 수집된 정보를 기반으로 상기 공격 트래픽의 주소 정보를 추출하여 상기 공격 보호 쓰레드에 제공하는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 장치
|
13 |
13
제 8 항에 있어서,상기 트래픽 구분 쓰레드는, Support Vector Machine, K-Means 알고리즘, KNN 알고리즘, Euclidean Distance알고리즘 또는 Bayes''Theorem의 패턴 분류 알고리즘을 이용하여 상기 DNS 쿼리가 공격 트래픽인지를 판단하는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 장치
|
14 |
14
제 8 항에 있어서,상기 공격 보호 쓰레드는, 네트워크 보안 디바이스에 적용되는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 장치
|
15 |
15
제 8 항에 있어서,상기 장치는, 로컬 DNS와 상기 DNS 쿼리를 발생시키는 단말 사이에 설치되는 것을 특징으로 하는DNS 쿼리 트래픽 감시 및 처리 장치
|