1 |
1
서버(200)에 클라이언트(300)로부터 전송되는 HTTP/2 패킷 데이터를 수집하는 데이터 수집부(110);상기 데이터 수집부(110)로부터 수집된 HTTP/2 패킷 데이터의 정규화를 수행하여 스트림 개수를 산출하는 데이터 정규화부(120); 및상기 데이터 수집부(110)가 수집한 HTTP/2 패킷 데이터 및 데이터 정규화부(120)가 HTTP/2 패킷 데이터의 정규화를 수행하여 산출한 스트림 개수를 통해 Slow HTTP/2 DoS 공격 여부를 판단하는 DoS 공격 판단부(130);를 포함하되,상기 데이터 정규화부(120)는,미리 설정된 구조에 따라 데이터의 정규화를 수행하여, Dst ip와 연결된 스트림 개수, Src ip에서 출발한 스트림 개수, Dst의 port와 연결된 스트림 개수, Src port에서 연결된 스트림 개수 등을 합하여 스트림 개수를 산출하며,상기 Dos 공격 판단부(130)는,상기 데이터 수집부(110)로부터 수집된 HTTP/2 패킷 데이터의 프레임 타입을 확인하여 프레임이 windows_update인지 확인하는 프레임 타임 확인부(131);상기 프레임 타임 확인부(131)가 수집된 HTTP/2 패킷 데이터의 프레임 타입을 windows_update 프레임으로 판별할 경우, 상기 프레임 내부의 Initial_windows_size의 크기가 미리 설정한 설정값보다 작은지를 확인하는 윈도우 사이즈 확인부(132); 및상기 윈도우 사이즈 확인부(132)가 상기 프레임 내부의 Initial_windows_size의 크기가 미리 설정한 설정값보다 작다고 판별할 경우, 데이터 정규화부(120)가 산출한 스트림 개수와 미리 설정한 최대 스트림 개수 설정값을 비교하여 Slow HTTP/2 DoS 공격 여부를 판단하는 위험도 판단부(133);를 포함하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 장치
|
2 |
2
제1항에 있어서,상기 데이터 수집부(110)는,Src ip(Source ip), Dst ip(Destination ip), Src port(Source port) 및 Dst port(Destination port)를 수집하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 장치
|
3 |
3
삭제
|
4 |
4
삭제
|
5 |
5
제1항에 있어서,상기 프레임 타임 확인부(131)는,상기 데이터 수집부(110)로부터 수집된 HTTP/2 패킷 데이터의 프레임 타입의 숫자가 8일 경우 windows_update 프레임이라고 판단하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 장치
|
6 |
6
제1항에 있어서,상기 위험도 판단부(133)는,데이터 정규화부(120)가 산출한 스트림 개수와 미리 설정한 최대 스트림 개수 설정값을 비교하여,상기 데이터 정규화부(120)가 산출한 스트림 개수가 미리 설정한 최대 스트림 개수 설정값 보다 크거나 같을 경우 Slow HTTP/2 DoS 공격이라고 판단하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 장치
|
7 |
7
데이터 수집부(110)가 서버(200)에 클라이언트(300)로부터 전송되는 HTTP/2 패킷 데이터를 수집하는 단계;데이터 정규화부(120)가 상기 데이터 수집부(110)로부터 수집된 HTTP/2 패킷 데이터의 정규화를 수행하여 스트림 개수를 산출하는 단계; 및DoS 공격 판단부(130)가 상기 데이터 수집부(110)가 수집한 HTTP/2 패킷 데이터 및 데이터 정규화부(120)가 HTTP/2 패킷 데이터의 정규화를 통해 산출한 스트림 개수를 통해 Slow HTTP/2 DoS 공격 여부를 판단하는 단계;를 포함하되,상기 데이터 정규화부(120)는,미리 설정된 구조에 따라 데이터의 정규화를 수행하여, Dst ip와 연결된 스트림 개수, Src ip에서 출발한 스트림 개수, Dst의 port와 연결된 스트림 개수, Src port에서 연결된 스트림 개수 등을 합하여 스트림 개수를 산출하며,상기 DoS 공격 판단부(130)가 Slow HTTP/2 DoS 공격 여부를 판단하는 단계는,프레임 타임 확인부(131)가 상기 데이터 수집부(110)로부터 수집된 HTTP/2 패킷 데이터의 프레임 타입을 확인하여 프레임이 windows_update인지 확인하는 단계;윈도우 사이즈 확인부(132)가 상기 프레임 타임 확인부(131)가 수집된 HTTP/2 패킷 데이터의 프레임 타입을 windows_update 프레임으로 판별할 경우, 상기 프레임 내부의 Initial_windows_size의 크기가 미리 설정한 설정값보다 작은지를 확인하는 단계; 및위험도 판단부(133)가 상기 윈도우 사이즈 확인부(132)가 상기 프레임 내부의 Initial_windows_size의 크기가 미리 설정한 설정값보다 작다고 판별할 경우, 데이터 정규화부(120)가 산출한 스트림 개수와 미리 설정한 최대 스트림 개수 설정값을 비교하여 Slow HTTP/2 DoS 공격 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 방법
|
8 |
8
제7항에 있어서,상기 데이터 수집부(110)는,Src ip(Source ip), Dst ip(Destination ip), Src port(Source port) 및 Dst port(Destination port)를 수집하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 방법
|
9 |
9
삭제
|
10 |
10
삭제
|
11 |
11
제7항에 있어서,상기 프레임 타임 확인부(131)는,상기 데이터 수집부(110)로부터 수집된 HTTP/2 패킷 데이터의 프레임 타입의 숫자가 8일 경우 windows_update 프레임이라고 판단하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 방법
|
12 |
12
제7항에 있어서,상기 위험도 판단부(133)는,데이터 정규화부(120)가 산출한 스트림 개수와 미리 설정한 최대 스트림 개수 설정값을 비교하여,상기 데이터 정규화부(120)가 산출한 스트림 개수가 미리 설정한 최대 스트림 개수 설정값 보다 크거나 같을 경우 Slow HTTP/2 DoS 공격이라고 판단하는 것을 특징으로 하는 슬로우 HTTP/2 도스 공격 탐지 방법
|