1 |
1
수집한 패킷을 파싱하여 헤더 정보를 추출하고, 추출된 헤더 정보에 기초하여 미리 정의된 유형의 비정상 세션 연결 종료를 추적한 후, 상기 비정상 세션 연결 종료 개수를 측정하는 세션 추적부; 및상기 측정된 비정상 세션 연결 종료 개수를 미리 설정된 임계값과 비교하여 분산 서비스 거부(DDoS) 공격 여부를 판단하는 공격 탐지부를 포함하는 분산 서비스 거부 공격 방어 장치
|
2 |
2
제1항에 있어서, 상기 세션 추적부는상기 수집한 패킷으로부터 프로토콜, Source IP, Source Port, Destination IP 및 Destination Port 정보 중 적어도 하나의 헤더 정보와, TCP 플래그(flags) 정보를 추출하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 장치
|
3 |
3
제1항에 있어서, 상기 세션 추적부는상기 추출된 헤더 정보를 이용하여 세션의 상태를 추적하기 위한 세션 테이블 및 세션의 상태를 추적한 결과에 따라 상기 미리 정의된 유형의 비정상 세션 연결 종료 개수를 저장하는 플로우 테이블을 관리하고, 상기 분산 서비스 거부 공격 방어 장치는, 상기 세션 테이블 및 상기 플로우 테이블이 저장되는 저장부를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 장치
|
4 |
4
제1항에 있어서, 상기 미리 정의된 유형의 비정상 세션 연결 종료는클라이언트가 서버로부터 SYN/ACK 패킷을 수신하자마자 Reset 패킷을 전송하여 세션을 종료하는 유형, 클라이언트와 서버간에 TCP 세션 연결이 설정된 후 데이터 전송 없이 클라이언트가 서버로 FIN 패킷을 전송하여 세션을 종료하는 유형, 클라이언트와 서버간에 TCP 세션 연결이 설정된 후 데이터 전송 없이 클라이언트가 서버로 Reset 패킷을 전송하여 세션을 종료하는 유형 및 클라이언트와 서버간에 TCP 세션 연결 설정 후 데이터 전송을 마치고 클라이언트가 FIN 패킷을 서버로 전송한 후 다시 Reset 패킷을 전송하여 세션을 종료하는 유형 중 적어도 하나의 유형을 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 장치
|
5 |
5
제4항에 있어서, 상기 공격 탐지부는상기 미리 정의된 유형의 비정상 세션 연결 종료 각각의 유형에 대해 측정된 비정상 세션 연결 종료 개수를 상기 임계값과 비교하고, 상기 미리 정의된 유형의 비정상 세션 연결 종료 각각의 유형 중 상기 임계값을 초과하는 비정상 세션 연결 종료 유형이 존재하는 경우 분산 서비스 거부 공격이 발생하는 것으로 판단하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 장치
|
6 |
6
제1항에 있어서, 상기 공격 탐지부는분산 서비스 거부 공격을 탐지하는 경우, 공격 탐지 정보 또는 경보 메시지를 생성하여 미리 정해진 방법에 따라 해당 장치에 전송하되, 상기 공격 탐지 정보는 해당 클라이언트의 프로토콜, Source IP, Destination Port 및 Destination IP 정보 중 적어도 하나의 정보를 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 장치
|
7 |
7
제6항에 있어서, 상기 분산 서비스 거부 공격 방어 장치는상기 공격 탐지부로부터 제공된 공격 탐지 정보에 기초하여 상기 해당 클라이언트의 프로토콜, Source IP, Destination Port 및 Destination IP 정보 중 적어도 하나의 정보를 접근 제어 목록에 등록하여 상기 해당 클라이언트로부터 전송되는 패킷을 차단하는 공격 대응부를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 장치
|
8 |
8
수집된 패킷을 파싱하여 헤더 정보를 추출하는 단계;상기 추출된 헤더 정보에 기초하여 미리 정의된 유형의 비정상 세션 연결 종료를 추적하여 비정상 세션 연결 종료 개수를 측정하는 단계; 및상기 측정된 비정상 세션 연결 종료 개수를 미리 설정된 임계값과 비교하여 분산 서비스 거부 공격 발생 여부를 판단하는 단계를 포함하는 분산 서비스 거부 공격 방어 방법
|
9 |
9
제8항에 있어서, 상기 수집된 패킷을 파싱하여 헤더 정보를 추출하는 단계는,상기 수집한 패킷으로부터 프로토콜, Source IP, Source Port, Destination IP 및 Destination Port 정보 중 적어도 하나의 헤더 정보와, TCP 플래그(flags) 정보를 추출하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 방법
|
10 |
10
제8항에 있어서, 상기 비정상 세션 연결 종료 개수를 측정하는 단계는,상기 추출된 헤더 정보를 이용하여 세션의 상태를 추적하기 위한 세션 테이블 및 세션의 상태를 추적한 결과에 따라 상기 미리 정의된 유형의 비정상 세션 연결 종료 개수를 저장하는 플로우 테이블을 통해 상기 비정상 세션 연결 종료 개수를 측정하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 방법
|
11 |
11
제8항에 있어서, 상기 미리 정의된 유형의 비정상 세션 연결 종료는클라이언트가 서버로부터 SYN/ACK 패킷을 수신하자마자 Reset 패킷을 전송하여 세션을 종료하는 유형, 클라이언트와 서버간에 TCP 세션 연결이 설정된 후 데이터 전송 없이 클라이언트가 서버로 FIN 패킷을 전송하여 세션을 종료하는 유형, 클라이언트와 서버간에 TCP 세션 연결이 설정된 후 데이터 전송 없이 클라이언트가 서버로 Reset 패킷을 전송하여 세션을 종료하는 유형 및 클라이언트와 서버간에 TCP 세션 연결 설정 후 데이터 전송을 마치고 클라이언트가 FIN 패킷을 서버로 전송한 후 다시 Reset 패킷을 전송하여 세션을 종료하는 유형 중 적어도 하나의 유형을 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 방법
|
12 |
12
제8항에 있어서, 상기 분산 서비스 거부 공격 방어 방법은,상기 분산 서비스 거부 공격 발생 여부를 판단하는 단계의 실행을 통해 분산 서비스 거부 공격을 탐지하는 경우,분산 서비스 거부 공격을 발생시킨 해당 클라이언트의 프로토콜, Source IP, Destination Port 및 Destination IP 정보 중 적어도 하나의 정보를 접근 제어 목록에 등록하여 상기 해당 클라이언트로부터 전송되는 패킷을 차단하는 단계를 더 포함하는 것을 특징으로 하는 분산 서비스 거부 공격 방어 방법
|