| 1 |
1
네트워크 상에서 패킷을 수집하는 패킷 수집부;수집된 패킷으로부터 적어도 하나 이상의 헤더 필드를 추출하는 패킷 파싱부; 및세션 테이블 및 플로우 테이블을 이용하여, 상기 패킷에 대해 DDoS 공격을 판단하는 DDoS 공격 판단부를 포함하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 2 |
2
제1항에 있어서,상기 적어도 하나 이상의 헤더 필드는,Protocol 정보, Source IP 정보, Source Port 정보, Destination IP 정보, Destination Port 정보, TCP Flags 정보, Sequence Number, 및 Window Size 정보 중에서 적어도 하나를 포함하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 3 |
3
제2항에 있어서,상기 DDoS 공격 판단부는,상기 세션 테이블을 이용하여, 상기 Protocol 정보, 상기 Source IP 정보, 상기 Source Port 정보, 상기 Destination IP 정보, 및 상기 Destination Port 정보에 따라, 세션 엔트리들의 상태를 추적 및 관리하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 4 |
4
제2항에 있어서,상기 DDoS 공격 판단부는,상기 플로우 테이블을 이용하여, 상기 Protocol 정보, 상기 Source IP 정보, 상기 Destination IP 정보, 및 상기 Destination Port 정보에 따라 세션 상태 정보를 측정하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 5 |
5
제4항에 있어서,상기 DDoS 공격 판단부는,상기 세션 상태 정보로서 클라이언트에서 서버로 SYN 패킷을 보내 세션 연결을 시도한 회수 정보를 측정하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 6 |
6
제4항에 있어서,상기 DDoS 공격 판단부는,상기 세션 상태 정보로서 TCP 3-Way 핸드셰이킹 과정을 통해 합법적인 세션 연결이 이루어진 세션의 개수를 측정하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 7 |
7
제4항에 있어서,상기 DDoS 공격 판단부는,상기 세션 상태 정보로서 연결 설정된 세션이 Reset 이나 FIN 패킷에 의해 합법적으로 종료된 세션의 개수를 측정하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 8 |
8
제4항에 있어서,상기 DDoS 공격 판단부는,상기 세션 상태 정보로서 현재 연결 설정되어 데이터 전송이 진행되는 세션의 개수를 측정하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템
|
| 9 |
9
패킷 수집부에서, 네트워크 상에서 패킷을 수집하는 단계;패킷 파싱부에서, 수집된 패킷으로부터 적어도 하나 이상의 헤더 필드를 추출하는 단계; 및DDoS 공격 판단부에서, 세션 테이블 및 플로우 테이블을 이용하여, 상기 패킷에 대해 DDoS 공격을 판단하는 단계를 포함하고,상기 적어도 하나 이상의 헤더 필드는,Protocol 정보, Source IP 정보, Source Port 정보, Destination IP 정보, Destination Port 정보, TCP Flags 정보, Sequence Number, 및 Window Size 정보 중에서 적어도 하나를 포함하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템의 동작 방법
|
| 10 |
10
제9항에 있어서,상기 DDoS 공격 판단부에서, 상기 세션 테이블 및 상기 플로우 테이블을 이용하여, 상기 패킷에 대해 DDoS 공격을 판단하는 상기 단계는,상기 세션 테이블을 이용하여, 상기 Protocol 정보, 상기 Source IP 정보, 상기 Source Port 정보, 상기 Destination IP 정보, 및 상기 Destination Port 정보에 따라, 세션 엔트리들의 상태를 추적 및 관리하는 단계; 및상기 플로우 테이블을 이용하여, 상기 Protocol 정보, 상기 Source IP 정보, 상기 Destination IP 정보, 및 상기 Destination Port 정보에 따라 세션 상태 정보를 측정하는 단계를 포함하는 응용 계층 기반 슬로우 DDoS 공격판단 시스템의 동작 방법
|
