1 |
1
SDN에서의 DoS공격 방어시스템에 있어서, 유무선 데이터 교환이 이루어지는 통신망(100); 상기 통신망(100) 상에서 수집된 데이터 정보에 대한 전체 트래픽을 실시간으로 모니터링하여 서비스 거부 공격 발생을 감지하는 서비스거부공격 대응부(200); 상기 서비스거부공격 대응부(200)에 접속하여 통신 가능한 기능과 메모리 및 마이크로 프로세서를 탑재하여 연산 가능한 기능이 구비된 클라이언트부(300); 상기 서비스거부공격 대응부(200)와 상기 클라이언트부(300)와 통신을 수행하고 통신 프로토콜 및 암호화 정보를 제공하는 메인서버부(400);로 구성되고, 상기 서비스거부공격 대응부(200)에서는 서비스 거부 공격의 규모 내지는 범위에 따라 상기 통신망(100)의 상태를 여러 단계로 구분하여 각 단계별로 정상 트래픽과 의심 트래픽을 처리하는 방법에 변화를 줌으로써, 정상 트래픽에 대한 영향을 최소화하는 서비스 거부 공격 대응이 수행되도록 하는 것을 특징으로 하는 방어시스템
|
2 |
2
제 1 항에 있어서, 상기 서비스거부공격 대응부(200)는 상기 통신망(100) 상에서 수집되는 정보를 캐시로서 저장하는 데이터베이스부(210); 상기 통신망(100) 상에서 의심 트래픽을 발생시키는 의심 클라이언트정보를 실기간으로 모니터링하는 공격탐지부(220); 글로벌 로드 밸런싱 기능과 트래픽 부하를 분산시키는 기능이 구비된 부하분산부(230); 상기 통신망(100) 상에서 수집된 데이터 정보를 수집하여 분류하고 캐시로 저장하며 정상 트래픽을 처리하는 제1캐싱엔진부(241);와 의심 트래픽을 처리하는 제2캐싱엔진부(242);로 구성되는 캐시서버부(240); 상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230) 및 상기 캐시서버부(240)와 데이터 송수신이 가능하도록 하는 통신부(250); 상기 데이터베이스부(210), 상기 공격탐지부(220), 상기 부하분산부(230), 상기 캐시서버부(240) 및 상기 통신부(250) 간의 데이터 흐름을 제어하는 제어부(260);로 구성되는 것을 특징으로 하는 방어시스템
|
3 |
3
제1항의 SDN에서의 DoS공격 방어시스템으로 SDN에서의 DoS공격 방어를 수행하는 SDN에서의 DoS공격 방어방법에 있어서, 백로그큐를 검사하고 70%이상 점유되면 이를 위험단계로 판단하고 모니터링을 위해 sFlow를 동작시키는 모니터링 시작단계(S100); sFlow 에이전트가 샘플링 된 패켓을 sFlow 콜렉터로 전송하는 샘플링 패켓 전송단계(S200); 상기 sFlow 콜렉터가 다량의 SYN 패켓을 송신하는 것을 탐지하여 공격자를 판단하고 어플리케이션에 알리는 공격자 판별단계(S300); 상기 공격자로 판별된 주소에서 오는 패켓을 차단하기 위한 플로우 테이블을 설정하는 네트워크 디바이스의 플로우 테이블 변경단계(S400); 상기 공격자 주소에서 송신되는 패켓을 차단하는 상기 플로우 테이블을 설정하여 공격 패켓을 차단하는 공격패켓 차단단계(S500); 트래픽 구별을 위하여 내부주소는 트래픽이 목적지로 가지는 서버주소로 설정하고 외부주소는 내부주소를 제외한 외부에서 공격이 가능한 주소로 정의하는 주소 그룹 정의 단계(S600); 샘플링 된 패켓의 출발지 주소를 이용하여 공격을 판별하도록 출발지 주소로 적용하고, 밸류는 패켓의 수를 이용하기 위해 프레임으로 설정하며 필터는 SYN 패켓을 적용하는 플로우 정의단계(S700); 공격을 판별하기 위해 초당 패켓 수의 임계치를 정의하는 임계치 정의단계(S800); 상기 sFlow 콜렉터에 의해 임계치를 초과하는 이벤트를 수신하는 임계치 이벤트 수신단계(S900); 오픈플로우 컨트롤러에게 외부 공격자로부터 온 트래픽을 차단하도록 지시하는 패켓 차단단계(S1000); 상기 플로우 테이블의 엔트리가 낭비되는 것을 막기 위해 상기 플로우 테이블의 엔트리를 제거하고 상기 공격자가 공격을 재개하면 새로운 이벤트가 생성되어 다시 차단 명령을 수행하는 차단 해제단계(S1100);를 포함하는 것을 특징으로 하는 방어방법
|
4 |
4
제 3 항에 있어서, 상기 공격자를 탐지하기 위한 정량적인 기준은,
|
5 |
5
제 3 항에 있어서, 상기 백로그큐가 70%이상 점유되었을 때 수행되므로 남아있는 30%공간 중 차단 시 소요되는 x%공간을 제외한 (30-x)% 만큼의 백로그큐를 TCP 연결에 사용할 수 있고 상기 백로그큐가 허용할 수 있는 SYN 패켓의 수와 곱하면 남아있는 공간에서 허용할 수 있는 초당 SYN 패켓의 값을 구할 수 있으며 상기 TCP 연결을 수행하는 클라이언트의 수인 n으로 나누면 상기 클라이언트 하나당 할당할 수 있는 SYN 패켓 수를 구할 수 있는 것을 특징으로 하는 방어방법
|