1 |
1
단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부; 및 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부를 포함하는 DDoS 공격 탐지 장치
|
2 |
2
제1항에 있어서, 상기 검사부는, 상기 트래픽 변화 비율 정보가 높을수록 상기 제1 확률을 높게 결정하고, 상기 제1 타입 플로우의 변화량이 클수록 상기 제2 확률을 높게 결정하고, 상기 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 상기 제3 확률을 높게 결정하는 DDoS 공격 탐지 장치
|
3 |
3
제1항에 있어서, 상기 정보 수집부는, 단위 시간 동안 입력된 패킷 개수에 대한 최대값(PM) 및 상기 단위 시간 동안 입력된 패킷 개수에 대한 평균값(PA)의 비율인 패킷 비율(PR), 상기 단위 시간 동안 입력된 플로우 개수에 대한 최대값(FM) 및 상기 단위 시간 동안 입력된 플로우 개수에 대한 평균값(FA)의 비율인 플로우 비율(FR), 상기 단위 시간 동안 입력된 바이트 개수 값의 최대값(BM) 및 상기 단위 시간 동안 입력된 바이트 개수 값의 평균값(BA)의 비율인 바이트 비율(BR)을 계산하고, 상기 플로우 비율(FR)에 대한 상기 패킷 비율(PR)과 상기 플로우 비율(FR)에 대한 상기 바이트 비율(BR)을 이용하여 트래픽 변화 비율 정보를 결정하는 DDoS 공격 탐지 장치
|
4 |
4
제3항에 있어서, 상기 정보 수집부는, 상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 큰 경우에, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제1 값을, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제2 값으로 나누어 생성된 제3 값((PR/FR)/(BR/FR))을 상기 트래픽 변화 비율 정보로서 이용하고, 상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 작은 경우에, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제4 값을, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제5 값으로 나누어 생성된 제6 값((BR/FR)/(PR/FR))을 상기 트래픽 변화 비율 정보로서 이용하는 DDoS 공격 탐지 장치
|
5 |
5
제1항에 있어서, 상기 정보 수집부는, 상기 제1 타입 플로우에 대한 PPS(Packet per Second), BPS(Byte per Second) 및 플로우 개수 각각에 대하여, 실측치 및 상기 실측치에서 예측치를 뺀 값의 비율을 계산하고, 상기 PPS, 상기 BPS 및 상기 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 상기 제1 타입 플로우의 변화량으로 결정하는 DDoS 공격 탐지 장치
|
6 |
6
제5항에 있어서, 상기 정보 수집부는 지수 평활법(exponetial smoothing)을 이용하여 상기 PPS(Packet per Second), BPS(Byte per Second) 및 플로우 개수 각각에 대한 예측치를 계산하는 DDoS 공격 탐지 장치
|
7 |
7
제1항에 있어서, 상기 정보 수집부는, 입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 상기 각 소스 IP 주소에 대한 프로토콜 타입별로 상기 제2 타입 플로우를 분류하고, 상기 제2 타입 플로우에 속하는 패킷의 개수를 카운트하고, 상기 패킷 개수를 이용하여, 제2 타입 플로우에 대한 PPS를 계산하는 DDoS 공격 탐지 장치
|
8 |
8
제7항에 있어서, 상기 정보 수집부는 상기 제2 타입 플로우 중 TCP 타입의 플로우로 분류된 패킷들의 평균 크기 정보를 더 수집하는 DDoS 공격 탐지 장치
|
9 |
9
제7항에 있어서, 상기 검사부는, 상기 제2 타입 플로우에 대하여 ICMP 타입의 플로우, UDP 타입의 플로우, TCP 타입의 플로우 순으로 동일한 PPS에 대하여 제3 확률을 더 높게 결정하는 DDoS 공격 탐지 장치
|
10 |
10
제1항에 있어서, 상기 검사부는, 상기 제1 확률, 상기 제2 확률 및 상기 제3 확률에 각각 가중치를 할당하고, 가중치가 할당된 제1 확률, 제2 확률 및 제3 확률을 합산하여 최종적인 DDoS 발생 확률을 계산하는 DDoS 공격 탐지 장치
|
11 |
11
단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부; 및 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부; 및 상기 DDoS 발생 확률에 따라서, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 대응부를 포함하는 DDoS 공격 탐지 및 방어 장치
|
12 |
12
제11항에 있어서, 상기 대응부는, 상기 DDoS 발생 확률이 제1 범위에 속하는 경우, 상기 제1 동작을 수행하고, 상기 DDoS 발생 확률이 상기 제1 범위의 값보다 큰 제2 범위에 속하는 경우 상기 제2 동작 및 제3 동작을 수행하는 DDoS 공격 탐지 및 방어 장치
|
13 |
13
단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 단계; 및 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하는 단계를 포함하는 DDoS 공격 탐지 방법
|
14 |
14
제13항에 있어서, 상기 트래픽 변화 비율 정보가 높을수록 상기 제1 확률을 높게 결정하고, 상기 제1 타입 플로우의 변화량이 클수록 상기 제2 확률을 높게 결정하고, 상기 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 상기 제3 확률을 높게 결정하는 단계를 더 포함하는 DDoS 공격 탐지 방법
|
15 |
15
제13항에 있어서, 상기 정보를 수집하는 단계는, 상기 트래픽 변화 비율 정보를 계산하는 단계를 더 포함하고, 상기 트래픽 변화 비율 정보를 계산하는 단계는, 단위 시간 동안 입력된 패킷 개수에 대한 최대값(PM) 및 상기 단위 시간 동안 입력된 패킷 개수에 대한 평균값(PA)의 비율인 패킷 비율(PR), 상기 단위 시간 동안 입력된 플로우 개수에 대한 최대값(FM) 및 상기 단위 시간 동안 입력된 플로우 개수에 대한 평균값(FA)의 비율인 플로우 비율(FR), 상기 단위 시간 동안 입력된 바이트 개수 값의 최대값(BM) 및 상기 단위 시간 동안 입력된 바이트 개수 값의 평균값(BA)의 비율인 바이트 비율(BR)을 계산하는 단계; 및 상기 플로우 비율(FR)에 대한 상기 패킷 비율(PR)과 상기 플로우 비율(FR)에 대한 상기 바이트 비율(BR)을 이용하여 트래픽 변화 비율 정보를 결정하는 단계를 포함하는 DDoS 공격 탐지 방법
|
16 |
16
제15항에 있어서, 상기 트래픽 변화 비율 정보를 계산하는 단계는,상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 큰 경우에, 상기 트래픽 변화 비율 정보로서, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제1 값을, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제2 값으로 나누어 생성된 제3 값을 이용하고, 상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 작은 경우에, 상기 트래픽 변화 비율 정보로서, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제4 값을, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제5 값으로 나누어 생성된 제6 값을 이용하는 단계를 더 포함하는 DDoS 공격 탐지 방법
|
17 |
17
제13항에 있어서, 상기 제1 타입 플로우 변화량을 계산하는 단계를 더 포함하고, 상기 제1 타입 플로우 변화량을 계산하는 단계는, 상기 제1 타입 플로우에 대한 PPS, BPS 및 플로우 개수 각각에 대하여, 실측치 및 상기 실측치에서 예측치를 뺀 값의 비율을 계산하는 단계; 및상기 PPS, 상기 BPS 및 상기 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 상기 제1 타입 플로우 변화량으로 결정하는 단계를 포함하는 DDoS 공격 탐지 방법
|
18 |
18
제13항에 있어서, 상기 제2 타입 플로우에 대한 PPS를 계산하는 단계를 더 포함하고, 상기 제2 타입 플로우에 대한 PPS를 계산하는 단계는, 입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 각 소스 IP 주소에 대한 프로토콜 타입별로 상기 제2 타입 플로우를 분류하고, 상기 제2 타입 플로우에 속하는 패킷의 개수를 카운트하고, 상기 패킷 개수를 이용하여, 제2 타입 플로우에 대한 PPS를 계산하는 단계를 포함하는 DDoS 공격 탐지 방법
|
19 |
19
제13항에 있어서, 상기 DDoS 발생 확률에 따라서, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 단계를 더 포함하는 DDoS 공격 탐지 방법
|