맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치

  • 기술번호 : KST2016002889
  • 담당센터 : 대전기술혁신센터
  • 전화번호 : 042-610-2279
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 DDoS 공격 트래픽으로 오인하는 오탐률을 줄이기 위한 DDoS 공격 탐지 장치 및 방법이 제공된다. DDoS 공격 탐지 장치는, 단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부와, 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부를 포함한다.
Int. CL H04L 12/22 (2006.01)
CPC
출원번호/일자 1020100127006 (2010.12.13)
출원인 한국전자통신연구원
등록번호/일자 10-1519623-0000 (2015.05.06)
공개번호/일자 10-2012-0065729 (2012.06.21) 문서열기
공고번호/일자 (20150512) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 소멸
심사진행상태 수리
심판사항
구분 신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2012.03.21)
심사청구항수 19

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 한국전자통신연구원 대한민국 대전광역시 유성구

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 강경순 대한민국 대전광역시 유성구
2 김학서 대한민국 대전광역시 중구
3 정부금 대한민국 대전광역시 유성구
4 전기철 대한민국 대전광역시 유성구
5 안병준 대한민국 대전광역시 유성구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 특허법인 신지 대한민국 서울특별시 강남구 테헤란로*길 **, *층 ***호실(역삼동, 청원빌딩)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 한국전자통신연구원 대한민국 대전광역시 유성구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2010.12.13 수리 (Accepted) 1-1-2010-0819559-13
2 [심사청구]심사청구(우선심사신청)서
[Request for Examination] Request for Examination (Request for Preferential Examination)		 2012.03.21 수리 (Accepted) 1-1-2012-0229858-12
3 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2015.02.02 수리 (Accepted) 4-1-2015-0006137-44
4 등록결정서
Decision to grant		 2015.04.21 발송처리완료 (Completion of Transmission) 9-5-2015-0263749-81
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부; 및 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부를 포함하는 DDoS 공격 탐지 장치
2 2
제1항에 있어서, 상기 검사부는, 상기 트래픽 변화 비율 정보가 높을수록 상기 제1 확률을 높게 결정하고, 상기 제1 타입 플로우의 변화량이 클수록 상기 제2 확률을 높게 결정하고, 상기 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 상기 제3 확률을 높게 결정하는 DDoS 공격 탐지 장치
3 3
제1항에 있어서, 상기 정보 수집부는, 단위 시간 동안 입력된 패킷 개수에 대한 최대값(PM) 및 상기 단위 시간 동안 입력된 패킷 개수에 대한 평균값(PA)의 비율인 패킷 비율(PR), 상기 단위 시간 동안 입력된 플로우 개수에 대한 최대값(FM) 및 상기 단위 시간 동안 입력된 플로우 개수에 대한 평균값(FA)의 비율인 플로우 비율(FR), 상기 단위 시간 동안 입력된 바이트 개수 값의 최대값(BM) 및 상기 단위 시간 동안 입력된 바이트 개수 값의 평균값(BA)의 비율인 바이트 비율(BR)을 계산하고, 상기 플로우 비율(FR)에 대한 상기 패킷 비율(PR)과 상기 플로우 비율(FR)에 대한 상기 바이트 비율(BR)을 이용하여 트래픽 변화 비율 정보를 결정하는 DDoS 공격 탐지 장치
4 4
제3항에 있어서, 상기 정보 수집부는, 상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 큰 경우에, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제1 값을, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제2 값으로 나누어 생성된 제3 값((PR/FR)/(BR/FR))을 상기 트래픽 변화 비율 정보로서 이용하고, 상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 작은 경우에, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제4 값을, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제5 값으로 나누어 생성된 제6 값((BR/FR)/(PR/FR))을 상기 트래픽 변화 비율 정보로서 이용하는 DDoS 공격 탐지 장치
5 5
제1항에 있어서, 상기 정보 수집부는, 상기 제1 타입 플로우에 대한 PPS(Packet per Second), BPS(Byte per Second) 및 플로우 개수 각각에 대하여, 실측치 및 상기 실측치에서 예측치를 뺀 값의 비율을 계산하고, 상기 PPS, 상기 BPS 및 상기 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 상기 제1 타입 플로우의 변화량으로 결정하는 DDoS 공격 탐지 장치
6 6
제5항에 있어서, 상기 정보 수집부는 지수 평활법(exponetial smoothing)을 이용하여 상기 PPS(Packet per Second), BPS(Byte per Second) 및 플로우 개수 각각에 대한 예측치를 계산하는 DDoS 공격 탐지 장치
7 7
제1항에 있어서, 상기 정보 수집부는, 입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 상기 각 소스 IP 주소에 대한 프로토콜 타입별로 상기 제2 타입 플로우를 분류하고, 상기 제2 타입 플로우에 속하는 패킷의 개수를 카운트하고, 상기 패킷 개수를 이용하여, 제2 타입 플로우에 대한 PPS를 계산하는 DDoS 공격 탐지 장치
8 8
제7항에 있어서, 상기 정보 수집부는 상기 제2 타입 플로우 중 TCP 타입의 플로우로 분류된 패킷들의 평균 크기 정보를 더 수집하는 DDoS 공격 탐지 장치
9 9
제7항에 있어서, 상기 검사부는, 상기 제2 타입 플로우에 대하여 ICMP 타입의 플로우, UDP 타입의 플로우, TCP 타입의 플로우 순으로 동일한 PPS에 대하여 제3 확률을 더 높게 결정하는 DDoS 공격 탐지 장치
10 10
제1항에 있어서, 상기 검사부는, 상기 제1 확률, 상기 제2 확률 및 상기 제3 확률에 각각 가중치를 할당하고, 가중치가 할당된 제1 확률, 제2 확률 및 제3 확률을 합산하여 최종적인 DDoS 발생 확률을 계산하는 DDoS 공격 탐지 장치
11 11
단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 정보 수집부; 및 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하고, 상기 DDoS 발생 확률에 따라 DDoS의 발생 여부를 탐지하는 검사부; 및 상기 DDoS 발생 확률에 따라서, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 대응부를 포함하는 DDoS 공격 탐지 및 방어 장치
12 12
제11항에 있어서, 상기 대응부는, 상기 DDoS 발생 확률이 제1 범위에 속하는 경우, 상기 제1 동작을 수행하고, 상기 DDoS 발생 확률이 상기 제1 범위의 값보다 큰 제2 범위에 속하는 경우 상기 제2 동작 및 제3 동작을 수행하는 DDoS 공격 탐지 및 방어 장치
13 13
단위 시간 동안 입력된 패킷 개수, 플로우 개수 및 바이트 개수 값을 이용한 트래픽 변화 비율 정보, 목적지 IP 주소를 이용하여 정의된 제1 타입 플로우의 변화량 및 목적지 IP 주소, 소스 IP 주소 및 프로토콜 타입에 따라 정의된 제2 타입 플로우에 대한 PPS(Packet per second)를 포함하는 DDoS 탐지 정보를 수집하는 단계; 및 상기 트래픽 변화 비율 정보에 따라 결정되는 제1 확률, 상기 제1 타입 플로우의 변화량에 따라 결정되는 제2 확률 및 상기 제2 타입 플로우의 PPS에 따라 결정되는 제3 확률을 이용하여 DDoS 발생 확률을 계산하는 단계를 포함하는 DDoS 공격 탐지 방법
14 14
제13항에 있어서, 상기 트래픽 변화 비율 정보가 높을수록 상기 제1 확률을 높게 결정하고, 상기 제1 타입 플로우의 변화량이 클수록 상기 제2 확률을 높게 결정하고, 상기 제2 타입 플로우에 대한 PPS(Packet per second)가 클수록 상기 제3 확률을 높게 결정하는 단계를 더 포함하는 DDoS 공격 탐지 방법
15 15
제13항에 있어서, 상기 정보를 수집하는 단계는, 상기 트래픽 변화 비율 정보를 계산하는 단계를 더 포함하고, 상기 트래픽 변화 비율 정보를 계산하는 단계는, 단위 시간 동안 입력된 패킷 개수에 대한 최대값(PM) 및 상기 단위 시간 동안 입력된 패킷 개수에 대한 평균값(PA)의 비율인 패킷 비율(PR), 상기 단위 시간 동안 입력된 플로우 개수에 대한 최대값(FM) 및 상기 단위 시간 동안 입력된 플로우 개수에 대한 평균값(FA)의 비율인 플로우 비율(FR), 상기 단위 시간 동안 입력된 바이트 개수 값의 최대값(BM) 및 상기 단위 시간 동안 입력된 바이트 개수 값의 평균값(BA)의 비율인 바이트 비율(BR)을 계산하는 단계; 및 상기 플로우 비율(FR)에 대한 상기 패킷 비율(PR)과 상기 플로우 비율(FR)에 대한 상기 바이트 비율(BR)을 이용하여 트래픽 변화 비율 정보를 결정하는 단계를 포함하는 DDoS 공격 탐지 방법
16 16
제15항에 있어서, 상기 트래픽 변화 비율 정보를 계산하는 단계는,상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 큰 경우에, 상기 트래픽 변화 비율 정보로서, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제1 값을, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제2 값으로 나누어 생성된 제3 값을 이용하고, 상기 패킷 비율(PR)이 상기 바이트 비율(BR)보다 작은 경우에, 상기 트래픽 변화 비율 정보로서, 상기 바이트 비율(BR)을 상기 플로우 비율(FR)로 나눈 제4 값을, 상기 패킷 비율(PR)을 상기 플로우 비율(FR)로 나눈 제5 값으로 나누어 생성된 제6 값을 이용하는 단계를 더 포함하는 DDoS 공격 탐지 방법
17 17
제13항에 있어서, 상기 제1 타입 플로우 변화량을 계산하는 단계를 더 포함하고, 상기 제1 타입 플로우 변화량을 계산하는 단계는, 상기 제1 타입 플로우에 대한 PPS, BPS 및 플로우 개수 각각에 대하여, 실측치 및 상기 실측치에서 예측치를 뺀 값의 비율을 계산하는 단계; 및상기 PPS, 상기 BPS 및 상기 플로우 개수에 대하여 계산된 3개의 비율 중, 가장 큰 비율을 상기 제1 타입 플로우 변화량으로 결정하는 단계를 포함하는 DDoS 공격 탐지 방법
18 18
제13항에 있어서, 상기 제2 타입 플로우에 대한 PPS를 계산하는 단계를 더 포함하고, 상기 제2 타입 플로우에 대한 PPS를 계산하는 단계는, 입력되는 패킷의 헤더를 분석하여, 각 목적지 IP 주소에 대한 소스 IP 주소별로, 각 소스 IP 주소에 대한 프로토콜 타입별로 상기 제2 타입 플로우를 분류하고, 상기 제2 타입 플로우에 속하는 패킷의 개수를 카운트하고, 상기 패킷 개수를 이용하여, 제2 타입 플로우에 대한 PPS를 계산하는 단계를 포함하는 DDoS 공격 탐지 방법
19 19
제13항에 있어서, 상기 DDoS 발생 확률에 따라서, 입력되는 패킷에 대한 로그 정보를 수집하는 제1 동작, 현재 입력되고 있는 플로우를 확률적으로 드랍하는 제2 동작 및 이전에 입력된 적이 있는 플로우를 확률적으로 드랍하는 제3 동작 중 적어도 하나를 수행하는 단계를 더 포함하는 DDoS 공격 탐지 방법
지정국 정보가 없습니다
순번, 패밀리번호, 국가코드, 국가명, 종류의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 패밀리정보 - 패밀리정보 표입니다.
순번 패밀리번호 국가코드 국가명 종류
1 US08677488 US 미국 FAMILY
2 US20120151593 US 미국 FAMILY

DOCDB 패밀리 정보

순번, 패밀리번호, 국가코드, 국가명, 종류의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 패밀리정보 - DOCDB 패밀리 정보 표입니다.
순번 패밀리번호 국가코드 국가명 종류
1 US2012151593 US 미국 DOCDBFAMILY
2 US8677488 US 미국 DOCDBFAMILY
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 지식경제부/방송통신위원회 한국전자통신연구원 정보통신산업원천기술개발사업 엔터프라이즈용 Smart Border 라우터 개발