1 |
1
공격 목표 시스템의 IP 주소를 가지는 패킷들에 대하여, 상기 패킷들의 소스 IP 주소 및 상기 패킷들의 소스 IP 주소에 대한 프로토콜 타입별로 분류된 적어도 하나의 플로우에 대한 패킷 개수를 포함하는 플로우 정보를 수집하는 플로우 정보 수집부; 상기 적어도 하나의 플로우에 대한 패킷 개수를 이용하여 각 플로우별 PPS(Packet per Second)를 계산하는 검사부; 및 상기 각 플로우에 대한 PPS 및 프로토콜 타입에 따라서, 상기 각 플로우별로 DDoS 대응 방법을 결정하고, 상기 결정된 대응 방법에 따라 상기 플로우를 처리하는 대응부를 포함하며,상기 플로우 정보 수집부는 상기 분류된 적어도 하나의 플로우 중 TCP 타입의 플로우에 속하는 패킷의 평균 크기 정보를 더 수집하고,상기 대응부는, 상기 TCP 타입의 플로우에 대한 PPS 및 상기 TCP 타입의 플로우로 분류된 패킷의 평균 크기 정보를 이용하여 대응 방법을 결정하고, 상기 TCP 타입의 플로우로 분류된 패킷의 평균 크기 정보가 더 작을수록, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작을 수행할 때, 현재 입력되고 있는 플로우 또는 이전에 입력된 적이 있는 플로우를 더 큰 확률로 드랍하는 DDoS 공격 탐지 및 방어 장치
|
2 |
2
제1항에 있어서, 상기 플로우 정보 수집부는, 입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 각 소스 IP 주소에 대한 프로토콜 타입별로 적어도 하나의 플로우를 분류하고, 상기 분류된 적어도 하나의 플로우에 속하는 패킷의 개수를 카운트하는 DDoS 공격 탐지 및 방어 장치
|
3 |
3
삭제
|
4 |
4
삭제
|
5 |
5
제1항에 있어서, 상기 대응부는, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 DDoS 공격 탐지 및 방어 장치
|
6 |
6
삭제
|
7 |
7
제1항에 있어서, 상기 대응부는, 상기 각 플로우에 대한 프로토콜 타입별로 PPS의 값에 대한 복수 개의 범위에 따라 대응 동작을 결정하고 수행하는 DDoS 공격 탐지 및 방어 장치
|
8 |
8
제7항에 있어서, 상기 대응부는, DDoS 판단을 위한 PPS 임계값을, ICMP 타입의 플로우, UDP 타입의 플로우, TCP 타입의 플로우 별로 설정하고, 상기 각 플로우의 PPS 값이 임계값보다 큰 경우, DDoS 공격으로 판단하는 DDoS 공격 탐지 및 방어 장치
|
9 |
9
공격 목표 시스템의 IP 주소를 가지는 패킷들에 대하여, 상기 패킷들의 소스 IP 주소 및 상기 패킷들의 소스 IP 주소에 대한 프로토콜 타입별로 분류된 적어도 하나의 플로우에 대한 패킷 개수를 포함하는 플로우 정보를 수집하는 단계; 상기 적어도 하나의 플로우에 대한 패킷 개수를 이용하여 각 플로우별 PPS(Packet per Second)를 계산하는 단계; 상기 각 플로우에 대한 PPS 및 프로토콜 타입에 따라서, 각 플로우별로 DDoS 대응 방법을 결정하는 단계; 및 상기 결정된 대응 방법에 따라 상기 플로우를 처리하는 단계를 포함하며, 상기 플로우 정보를 수집하는 단계는 상기 적어도 하나의 플로우 중 TCP 타입의 플로우로 분류된 패킷의 평균 크기 정보를 수집하는 단계를 더 포함하고, 상기 대응 방법을 결정하는 단계는 상기 TCP 타입의 플로우에 대해서, 상기 TCP 타입의 플로우의 PPS 및 패킷의 평균 크기 정보를 이용하여 대응 방법을 결정하는 단계; 및상기 TCP 타입의 플로우에 대해서, 상기 TCP 타입의 플로우에 속하는 패킷의 평균 크기 정보가 더 작을수록 DDoS 공격 판단을 위한 임계값을 더 낮게 설정하여, DDoS 공격으로 결정될 확률을 높이는 단계를 더 포함하는 DDoS 공격 탐지 및 방어 방법
|
10 |
10
제9항에 있어서, 상기 플로우 정보를 수집하는 단계는, 입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 각 소스 IP 주소에 대한 프로토콜 타입별로 적어도 하나의 플로우를 분류하는 단계; 및 상기 분류된 적어도 하나의 플로우에 속하는 패킷의 개수를 카운트하는 단계를 포함하는 DDoS 공격 탐지 및 방어 방법
|
11 |
11
제9항에 있어서, 상기 대응 방법을 결정하는 단계는, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하도록 대응 방법을 결정하는 DDoS 공격 탐지 및 방어 방법
|
12 |
12
제9항에 있어서, 상기 대응 방법을 결정하는 단계는, DDoS 판단을 위한 PPS 임계값을, ICMP 타입의 플로우, UDP 타입의 플로우, TCP 타입의 플로우 별로 설정하는 단계; 및각 플로우의 PPS 값 및 각각의 프로토콜 타입에 따른 임계값과 비교하여, 각 플로우별로 DDoS 공격 여부를 판단하는 DDoS 공격 탐지 및 방어 방법
|
13 |
13
삭제
|
14 |
14
삭제
|