1 |
1
특정 네트워크 세션에 대하여 서비스 거부 공격 여부를 판단하는 방법에 있어서,상기 세션을 통해서 전송된 패킷을 탐지하는 단계;상기 탐지된 패킷이 상기 세션의 첫번째 패킷에 해당하는 경우 공격의심 연속패킷 수를 초기화하는 단계;상기 탐지된 패킷의 바디 크기를 추출하여 상기 탐지된 패킷의 바디 크기와 상기 세션에 대하여 미리 결정된 최대 세그먼트 크기를 비교하거나 또는 상기 탐지된 패킷과 상기 탐지된 패킷이 전송되기 직전에 상기 세션을 통해 전송된 직전 패킷 간의 도착시간 간격을 계산하여 미리 결정된 허용 도착시간 간격과 비교하여, 미리 정의된 소정의 조건을 만족하는 경우 공격의심 연속패킷 수를 미리 결정된 일정한 수만큼 증가시키고, 그렇지 않으면 공격의심 연속패킷 수를 초기화하는 단계; 및상기 공격의심 연속패킷 수가 미리 결정된 최소 연속패킷 수보다 크면 상기 세션에 대해서 서비스 거부 공격으로 판단하는 단계를 포함하는 것을 특징으로 하는 서비스 거부 공격 판단 방법
|
2 |
2
제 1항에 있어서,상기 탐지된 패킷의 바디 크기와 상기 세션에 대하여 상기 미리 결정된 최대 세그먼트 크기를 비교하는 경우에는, 상기 소정의 조건은 상기 탐지된 패킷의 바디 크기가 상기 미리 결정된 최대 세그먼트 크기보다 작으면 만족되는 것을 특징으로 하는 서비스 거부 공격 판단 방법
|
3 |
3
제 1항에 있어서,상기 탐지된 패킷과 상기 탐지된 패킷이 전송되기 직전에 상기 세션을 통해 전송된 직전 패킷 간의 도착시간 간격과 상기 미리 결정된 허용 도착시간 간격을 비교하는 경우에는, 상기 소정의 조건은 상기 탐지된 패킷과 직전 패킷 간의 도착시간 간격이 상기 허용 도착시간 간격보다 크면 만족되는 것을 특징으로 하는 서비스 거부 공격 판단 방법
|
4 |
4
제 1항에 있어서,상기 세션에 대해서 서비스 거부 공격으로 판단한 경우 상기 세션을 차단하는 단계를 더 포함하는 것을 특징으로 하는 서비스 거부 공격 판단 방법
|
5 |
5
제 1항에 있어서,상기 탐지된 패킷이 상기 세션의 최초 패킷인 경우 상기 패킷의 헤더 정보를 이용하여 총 전송예정 데이터 크기를 추출하는 단계; 및상기 탐지된 패킷을 통해 전송된 데이터 크기와 상기 세션에서 상기 탐지된 패킷 이전의 패킷들을 통해 전송된 데이터 크기의 누적값을 합산하여, 상기 합산된 데이터 크기가 상기 총 전송예정 데이터 크기보다 크거나 같으면 상기 세션에 대한 서비스 거부 공격 여부 판단을 종료하는 단계를 더 포함하는 것을 특징으로 하는 서비스 거부 공격 판단 방법
|
6 |
6
제 1항에 있어서,상기 서비스 거부 공격은 적은 양의 트래픽을 이용하여 지속적으로 세션을 유지시키는 형태의 공격을 포함하고, 상기 패킷은 HTTP POST 패킷을 포함하는 것을 특징으로 하는 서비스 거부 공격 판단 방법
|
7 |
7
제 1항에 있어서,상기 허용 도착시간 간격은 상기 세션에서의 미리 계산된 패킷의 왕복시간에 임의의 알파 값을 합산한 시간이며, 상기 알파 값은 서버의 처리성능, 상기 패킷의 왕복시간의 변화가능 시간 중 최소한 하나를 고려하여 산출되는 것을 특징으로 하는 서비스 거부 공격 판단 방법
|
8 |
8
특정 네트워크 세션에 대하여 서비스 거부 공격 여부를 판단하는 장치에 있어서,상기 세션을 통해서 전송된 패킷을 탐지하는 패킷 탐지부;상기 탐지된 패킷이 상기 세션의 첫번째 패킷에 해당하는 경우 상기 패킷의 헤더 정보를 이용하여 총 전송예정 데이터 크기를 추출하고, 공격의심 연속패킷 수를 초기화하는 공격 판단 초기화 부;상기 탐지된 패킷을 통해 전송된 데이터 크기와 상기 세션에서 상기 탐지된 패킷 이전의 패킷들을 통해 전송된 데이터 크기의 누적값을 합산하여, 상기 합산된 데이터 크기가 상기 총 전송예정 데이터 크기보다 크거나 같으면 상기 세션에 대한 서비스 거부 공격 여부 판단을 종료하는 판단 종료 결정부;상기 탐지된 패킷의 바디 크기를 추출하여 상기 탐지된 패킷의 바디 크기와 상기 세션에 대하여 미리 결정된 최대 세그먼트 크기를 비교하거나 또는 상기 탐지된 패킷과 상기 탐지된 패킷이 전송되기 직전에 상기 세션을 통해 전송된 직전 패킷 간의 도착시간 간격을 계산하여 미리 결정된 허용 도착시간 간격과 비교하여, 미리 정의된 소정의 조건을 만족하는 경우 공격의심 연속패킷 수를 미리 결정된 일정한 수만큼 증가시키고, 그렇지 않으면 공격의심 연속패킷 수를 초기화하는 패킷 분석부; 및상기 공격의심 연속패킷 수가 미리 결정된 최소 연속패킷 수보다 크면 상기 세션에 대해서 서비스 거부 공격으로 판단하는 서비스 거부 공격 판단부를 포함하는 것을 특징으로 하는 서비스 거부 공격 판단장치
|
9 |
9
제8항에 있어서,상기 탐지된 패킷의 바디 크기와 상기 세션에 대하여 상기 미리 결정된 최대 세그먼트 크기를 비교하는 경우에는, 상기 소정의 조건은 상기 탐지된 패킷의 바디 크기가 상기 미리 결정된 최대 세그먼트 크기보다 작으면 만족되는 것을 특징으로 하는 서비스 거부 공격 판단장치
|
10 |
10
제 8항에 있어서,상기 탐지된 패킷과 상기 탐지된 패킷이 전송되기 직전에 상기 세션을 통해 전송된 직전 패킷 간의 도착시간 간격과 상기 미리 결정된 허용 도착시간 간격을 비교하는 경우에는, 상기 소정의 조건은 상기 탐지된 패킷과 직전 패킷 간의 도착시간 간격이 상기 허용 도착시간 간격보다 크면 만족되는 것을 특징으로 하는 서비스 거부 공격 판단장치
|
11 |
11
제 8항에 있어서,상기 세션에 대해서 서비스 거부 공격으로 판단한 경우 상기 세션을 차단하는 세션 차단부를 더 포함하는 것을 특징으로 하는 서비스 거부 공격 판단장치
|
12 |
12
제 8항에 있어서,상기 서비스 거부 공격은 적은 양의 트래픽을 이용하여 지속적으로 세션을 유지시키는 형태의 공격을 포함하고, 상기 패킷은 HTTP POST 패킷을 포함하는 것을 특징으로 하는 서비스 거부 공격 판단장치
|