1 |
1
삭제
|
2 |
2
삭제
|
3 |
3
삭제
|
4 |
4
트래픽 통계값을 저장한 통계DB; 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하여 비정상 여부를 판단하고, 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하여, 분산서비스거부 공격을 받는 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하는 대응서버를 포함하고, 상기 대응서버는: 상기 네트워크 연결장치로부터 트래픽 정보를 수집하고, 상기 수집한 트래픽을 미리 설정한 기준비율 및 상기 통계값과 비교하여 비정상 여부를 판단하고, 상기 트래픽이 비정상으로 판단되면 분산서비스거부 공격을 받는지 판단하는 탐지수단; 및 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 대응수단;을 포함하고, 상기 탐지수단은: 상기 네트워크 연결장치로부터 트래픽 정보를 수집하는 수집부; 상기 수집부에서 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 분류부; 및 상기 분류부에서 분류된 프로토콜별 플로우 개수를 상기 기준비율 및 상기 통계값과 비교하여 트래픽의 비정상 여부를 판단하고, 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 검사부;를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
5 |
5
제 4항에 있어서, 상기 분류부는 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
6 |
6
제 5항에 있어서, 상기 분류부는 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
7 |
7
제 4항에 있어서, 상기 검사부는 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
8 |
8
제 4항에 있어서, 상기 검사부는 상기 분류부에서 프로토콜별로 분류된 플로우 개수를 상기 통계DB에 저장된 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
9 |
9
제 4항에 있어서, 상기 대응수단은 미리 지정된 시간 이후에 상기 검사부에서 상기 비정상 트래픽이 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키고, 미리 지정된 시간 이후에 상기 검사부에서 상기 과도상태 트래픽이 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
10 |
10
제 9항에 있어서, 상기 대응수단은 미리 지정된 시간 이후에 상기 검사부에서 상기 과도상태 트래픽이 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
11 |
11
제 4항에 있어서, 상기 탐지수단은 상기 분류부에서 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계DB에 저장된 통계값을 업데이트하는 분석부를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응 시스템
|
12 |
12
삭제
|
13 |
13
삭제
|
14 |
14
삭제
|
15 |
15
(a) 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하는 단계; (b) 상기 수집된 트래픽의 비정상 여부를 판단하는 단계; (c) 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하는 단계; 및 (d) 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 단계;를 포함하고, 상기 (b)단계는: (b1) 상기 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 단계; 및 (b2) 분류된 프로토콜별 플로우 개수를 미리 설정한 기준비율 및 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단하는 단계를 포함하고, 상기 (b1)단계는: (b11) 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 단계; 및 (b12) 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 단계를 포함하며, 상기 (b2)단계는: (b21) 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 단계; 및 (b22) 프로토콜별로 분류된 플로우 개수를 상기 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법
|
16 |
16
제 15항에 있어서, 상기 (c)단계는 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 것을 특징으로 하는 분산서비스거부 공격 대응방법
|
17 |
17
제 15항에 있어서, 상기 (d)단계는 (d1) 상기 (c)단계에서 상기 비정상 트래픽이 미리 지정된 시간 이후에 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키는 단계; 및 (d2) 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 단계를 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법
|
18 |
18
제 17항에 있어서, 상기 (d1)단계는 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 분산서비스거부 공격 대응방법
|
19 |
19
제 15항 내지 제 18항 중 어느 한 항에 있어서, 상기 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계값을 업데이트하는 (e)단계를 더 포함하는 것을 특징으로 하는 분산서비스거부 공격 대응방법
|
20 |
20
삭제
|
21 |
21
삭제
|
22 |
22
삭제
|
23 |
23
(a) 네트워크를 연결하는 하나 또는 그 이상의 네트워크 연결장치로부터 트래픽 정보를 수집하는 프로세스; (b) 상기 수집된 트래픽의 비정상 여부를 판단하는 프로세스; (c) 비정상으로 판단된 트래픽이 분산서비스거부 공격을 받는지 판단하는 프로세스; 및 (d) 분산서비스거부 공격을 받는 것으로 판단된 해당 네트워크 연결장치에 트래픽 이동량 제한을 적용하여 관리하는 프로세스를 포함하고, 상기 (b)프로세스는: (b1) 상기 수집된 트래픽 정보를 인바운드와 아웃바운드의 프로토콜별 플로우로 분류하는 프로세스; 및 (b2) 분류된 프로토콜별 플로우 개수를 미리 설정한 기준비율 및 미리 저장된 통계값과 비교하여 트래픽의 비정상 여부를 판단하는 프로세스를 포함하고, 상기 (b1)프로세스는: (b11) 상기 트래픽 정보에 포함된 입력 인터페이스 인덱스와 출력 인터페이스 인덱스가 미리 정한 인바운드 조합 및 아웃바운드 조합에 해당하는지 비교하여 인바운드 플로우와 아웃바운드 플로우로 각각 분류하는 프로세스; 및 (b12) 상기 트래픽 정보에 포함된 프로토콜 번호를 이용하여 상기 인바운드 플로우와 아웃바운드 플로우의 프로토콜별로 분류하는 프로세스를 포함하며, 상기 (b2)프로세스는: (b21) 각각의 프로토콜에 대하여 인바운드의 프로토콜 플로우 개수와 아웃바운드의 프로토콜 플로우 개수가 상기 기준비율 이상의 차이가 있으면 비정상으로 판단하는 프로세스; 및 (b22) 프로토콜별로 분류된 플로우 개수를 상기 통계값과 비교하여 기설정된 신뢰구간을 벗어나면 비정상으로 판단하는 프로세스를 포함하는 것을 특징으로 하는 기록매체
|
24 |
24
제 23항에 있어서, 상기 (c)프로세스는 전체 트래픽에서 비정상 프로토콜 플로우의 목적지 주소가 차지하는 비율로 상기 트래픽이 분산서비스거부 공격을 받는지 판단하는 것을 특징으로 하는 기록매체
|
25 |
25
제 23항에 있어서, 상기 (d)프로세스는 (d1) 상기 (c)프로세스에서 상기 비정상 트래픽이 미리 지정된 시간 이후에 정상으로 판단되면 상기 비정상 상태를 과도상태로 천이시키는 프로세스; 및 (d2) 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 정상으로 판단되면 상기 과도상태를 정상상태로 천이시키고, 해당 네트워크 연결장치에 적용된 트래픽 이동량 제한을 해제하는 프로세스를 포함하는 것을 특징으로 하는 기록매체
|
26 |
26
제 25항에 있어서, 상기 (d1)프로세스는 상기 과도상태 트래픽이 미리 지정된 시간 이후에 다시 비정상으로 판단되면, 상기 과도상태를 비정상 상태로 천이시키는 것을 특징으로 하는 기록매체
|
27 |
27
제 23항 내지 제 26항 중 어느 한 항에 있어서, 상기 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계값을 업데이트하는 (e)프로세스를 더 포함하는 것을 특징으로 하는 기록매체
|
28 |
27
제 23항 내지 제 26항 중 어느 한 항에 있어서, 상기 프로토콜별로 분류된 플로우 개수를 포함시켜 상기 통계값을 업데이트하는 (e)프로세스를 더 포함하는 것을 특징으로 하는 기록매체
|