1 |
1
디도스 공격 탐지 및 대응 장치가 수행하는 디도스 공격 탐지 및 대응 방법에 있어서,클라이언트 단말기의 요청(request) 정보에 상응하여 서버가 응답(response) 정보를 전송하는데 소요되는 워킹 시간을 산출하는 단계;상기 산출된 워킹 시간을 소정의 임계치와 비교하고, 상기 워킹 시간이 상기 임계치보다 큰 경우 상기 클라이언트 단말기의 접속을 디도스 공격으로 탐지하는 단계; 및상기 디도스 공격으로 탐지하는 경우 상기 클라이언트 단말기의 접속을 차단하는 단계를 포함하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
2 |
2
제1항에 있어서,상기 워킹 시간 산출 단계는,세션이 연결되지 않은 경우 세션 연결 후부터 응답(response) 정보 발생시까지의 시간을 워킹 시간으로 산출하는 단계; 및세션이 연결된 경우 요청(request) 정보 발생시부터 응답 정보 발생시까지의 시간을 워킹 시간으로 산출하는 단계를 포함하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
3 |
3
제1항에 있어서,상기 워킹 시간 산출 단계에서,소정의 관측 시간 동안 복수의 상기 워킹 시간의 합을 산출하며,상기 디도스 공격 탐지 단계에서,상기 산출된 워킹 시간의 합을 상기 임계치와 비교하고, 상기 워킹 시간의 합이 상기 임계치보다 큰 경우 상기 클라이언트 단말기의 접속을 디도스 공격으로 탐지하는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
4 |
4
제1항에 있어서,상기 워킹 시간 산출 단계에서,상기 요청 정보의 개수와 상기 응답 정보의 개수가 동일한 시간에서 워킹 시간 산출의 시작 시간을 뺀 차이 시간을 워킹 시간으로 산출하는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
5 |
5
제4항에 있어서, 상기 워킹 시간 산출 단계는,상기 요청 정보에 대한 식별 정보를 추출하여 저장하고, 상기 요청 정보의 개수를 1만큼 증가시키는 단계-여기서, 상기 식별 정보는 상기 응답 정보가 상기 요청 정보에 대응되는지 판단하는데 이용됨-; 및상기 식별 정보를 가지는 요청 정보가 재전송되는 경우 상기 재전송된 요청 정보의 식별 정보는 재저장하지 않고, 상기 요청 정보의 개수도 수정하지 않는 단계를 더 포함하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
6 |
6
제4항에 있어서,상기 워킹 시간 산출 단계는,상기 응답정보에 대한 분할 단위를 추출하여 저장하는 단계;상기 요청 정보에 대한 식별 정보를 추출하여 저장하는 단계;상기 요청 정보의 식별 정보에 상응하여 전송되는 최초 분할된 응답 정보의 컨텐츠 길이 정보를 추출하여 상기 식별 정보에 상응하여 저장하는 단계; 및상기 컨텐츠 길이 정보에서 상기 요청 정보의 식별 정보에 상응하여 차후에 전송되는 응답 정보의 세션 정보를 차감한 값이 상기 세션의 분할 단위 보다 작은 경우, 상기 차후 전송된 응답 정보의 수신 시점에 상기 응답 정보의 개수를 1만큼 증가시키는 단계를 포함하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
7 |
7
제5항 또는 제6항에 있어서, 상기 식별 정보는 상기 요청 정보의 식별 정보에 상응하는 최초 응답 정보의 시퀀스 정보와 HTTP 길이 정보의 합인 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
8 |
8
제1항에 있어서, 상기 요청 정보는 순차적으로 수신되는 제1 요청 정보와 제2 요청 정보를 포함하고, 상기 응답 정보는 상기 제1 요청 정보에 상응하는 제1 응답 정보와, 상기 제2 요청 정보에 상응하는 제2 응답 정보를 포함하며, 상기 제2 요청 정보가 상기 제1 응답 정보의 전송전에 수신되는 경우,상기 워킹 시간 산출 단계에서, 상기 제1 응답 정보와 상기 제2 응답 정보의 전송 시간 중 늦은 시간에서 워킹 시간 산출의 시작 시간을 뺀 차이 시간을 워킹 시간으로 산출하는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
9 |
9
제1항에 있어서, 상기 임계치는 관측 시간 대비 상기 워킹 시간의 합이 10% 내지 20%가 되는 수치인 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 방법
|
10 |
10
클라이언트 단말기로부터 세션 연결 정보, 요청(request) 정보 및 상기 요청 정보에 상응하는 응답(response) 정보를 수신하는 수신부;상기 클라이언트 단말기의 상기 요청 정보에 상응하여 서버가 상기 응답 정보를 전송하는데 소요되는 워킹 시간을 산출하는 시간 측정부;상기 측정된 워킹 시간을 소정의 임계치와 비교하고, 상기 워킹 시간이 상기 임계치보다 큰 경우 상기 클라이언트 단말기의 접속을 디도스 공격으로 탐지하는 디도스 판별부; 및상기 디도스 판별부가 디도스 공격으로 탐지하는 경우 상기 클라이언트 단말기의 접속을 차단하는 차단부를 포함하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
11 |
11
제10항에 있어서, 상기 시간 측정부는, 세션이 연결되지 않은 경우 세션 연결 후부터 응답(response) 정보 발생시까지의 시간을 워킹 시간으로 산출하고, 세션이 연결된 경우 요청(request) 정보 발생시부터 응답 정보 발생시까지의 시간을 워킹 시간으로 산출하는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
12 |
12
제10항에 있어서, 상기 시간 측정부는,소정의 관측 시간 동안 복수의 상기 워킹 시간의 합을 산출하며,상기 디도스 판별부는,상기 산출된 워킹 시간의 합을 상기 임계치와 비교하고, 상기 워킹 시간의 합이 상기 임계치보다 큰 경우 상기 클라이언트 단말기의 접속을 디도스 공격으로 탐지하는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
13 |
13
제10항에 있어서, 상기 시간 측정부는, 상기 요청 정보의 개수와 상기 응답 정보의 개수가 동일한 시간에서 워킹 시간 산출의 시작 시간을 뺀 차이 시간을 워킹 시간으로 산출하는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
14 |
14
제13항에 있어서, 상기 시간 측정부는,상기 요청 정보에 대한 식별 정보를 추출하여 저장하고, 상기 요청 정보의 개수를 1만큼 증가시키며, 상기 식별 정보를 가지는 요청 정보가 재전송되는 경우 상기 재전송된 요청 정보의 식별 정보를 재저장하지 않고, 상기 요청 정보의 개수도 수정하지 않는 것-여기서, 상기 식별 정보는 상기 응답 정보가 상기 요청 정보에 대응되는지 판단하는데 이용됨-을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
15 |
15
제10항에 있어서, 상기 시간 측정부는, 상기 세션에 대한 분할 단위를 추출하여 저장하고, 상기 요청 정보에 대한 식별 정보를 추출하여 저장하며, 상기 요청 정보의 식별 정보에 상응하여 전송되는 최초 분할된 응답 정보의 컨텐츠 길이 정보를 추출하여 상기 식별 정보에 상응하여 저장한 후, 상기 컨텐츠 길이 정보에서 상기 요청 정보의 식별 정보에 상응하여 차후에 전송되는 응답 정보의 세션 정보를 차감한 값이 상기 세션의 분할 단위 보다 작은 경우, 상기 차후 전송된 응답 정보의 수신 시점에 상기 응답 정보의 개수를 1만큼 증가시키는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
16 |
16
제14항 또는 제15항에 있어서, 상기 식별 정보는 상기 요청 정보의 식별 정보에 상응하는 최초 응답 정보의 시퀀스 정보와 HTTP 길이 정보의 합인 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
17 |
17
제10항에 있어서, 상기 요청 정보는 순차적으로 수신되는 제1 요청 정보와 제2 요청 정보를 포함하고, 상기 응답 정보는 상기 제1 요청 정보에 상응하는 제1 응답 정보와, 상기 제2 요청 정보에 상응하는 제2 응답 정보를 포함하며, 상기 제2 요청 정보가 상기 제1 응답 정보의 전송전에 수신되는 경우,상기 시간 측정부는, 상기 제1 응답 정보와 상기 제2 응답 정보의 전송 시간 중 늦은 시간에서 워킹 시간 산출의 시작 시간을 뺀 차이 시간을 워킹 시간으로 산출하는 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|
18 |
18
제10항에 있어서, 상기 임계치는 관측 시간 대비 워킹 시간이 10% 내지 20%가 되는 수치인 것을 특징으로 하는 워킹 시간 기반 디도스 공격 탐지 및 대응 장치
|