1 |
1
네트워크 단말장치로부터 일정한 주기로 간이 망관리 프로토콜(simple network management protocol : SNMP)의 관리 정보 베이스(management information base : MIB) 데이터 중 트래픽 폭주 공격에 의해 데이터 값이 변화되는 MIB 데이터를 수집하는 MIB 데이터 수집부;상기 MIB 데이터가 수집된 시점까지 사전에 설정된 기준시간 동안의 수신 데이터그램 총 수(ipInReceives)의 변화량에 대한 정상적으로 수신된 데이터그램 수(ipInDelivers)의 변화량의 비로 표현되는 데이터그램의 상위 계층 전달률이 사전에 설정된 기준 전달률보다 작으면 상기 네트워크 단말장치의 네트워크 트래픽을 공격성 트래픽으로 결정하는 공격 징후 탐지부; 및공격성 트래픽으로 결정된 상기 네트워크 트래픽에 대하여 상기 MIB 데이터 값에 의해 파악된 프로토콜별 객체 값(object identifier : OID)의 변화에 따라 상기 트래픽 폭주 공격의 종류를 결정하는 공격 유형 결정부;를 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치
|
2 |
2
제 1항에 있어서,상기 MIB 데이터 수집부는 상기 수집된 MIB 데이터 값에 의해 파악되는 옥텟의 총 수신 개수(ifInOctets)가 변화되는 시간 간격을 기초로 예측한 상기 MIB 데이터의 갱신 주기에 따라 상기 MIB 데이터를 수집하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치
|
3 |
3
제 2항에 있어서,상기 MIB 데이터의 갱신 주기는 다음의 수학식에 의해 예측되는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치:여기서, Un+1은 n+1번째 갱신 주기, Un은 n번째 갱신 시점에서 예측한 n+1번째 갱신 시점까지의 갱신 주기, 그리고 An-1은 최초 갱신 시점부터 n번째 갱신 시점까지의 갱신 주기에 대한 지수 평균이다
|
4 |
4
제 1항에 있어서,상기 공격 징후 탐지부는 상기 MIB 데이터 값에 의해 파악된 수신된 데이터그램에 대한 응답률이 사전에 설정된 기준 응답률보다 작은 경우 또는 파기된 송신 데이터그램 수(ipOutDiscards)가 증가한 경우에 상기 네트워크 트래픽을 공격성 트래픽으로 결정하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치
|
5 |
5
제 1항 또는 제 4항에 있어서,단위 시간당 수신 데이터의 양이 사전에 설정된 기준값보다 크면 상기 네트워크 트래픽을 공격성 트래픽으로 결정하는 공격 징후 사전 탐지부를 더 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치
|
6 |
6
제 1항에 있어서,상기 공격 유형 결정부는,상기 MIB 데이터 값에 의해 파악된 접속 실패 횟수(tcpAttamptFail) 또는 RST 플래그를 포함한 송신 세그먼트 수(tcpOutRsts)가 변경된 경우에는 상기 트래픽 폭주 공격을 TCP-SYN Flooding 공격으로 결정하는 TCP 공격 결정부를 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치
|
7 |
7
제 6항에 있어서,상기 공격 유형 결정부는,상기 MIB 데이터 값에 의해 파악된 에러가 된 수신 데이터그램 수(udpInErrs)가 증가한 경우, 또는 도달 불능의 송신 수(icmpOutdestUnreachs) 및 ICMP 메세지의 전체 송신 수(icmpOutMsgs)의 증가량이 일치하고 도달 불능의 수신 수(icmpIndestUnreachs)가 0인 경우에는 상기 트래픽 폭주 공격을 UDP Flooding 공격으로 결정하는 UDP 공격 결정부를 더 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치
|
8 |
8
제 6항 또는 제 7항에 있어서,상기 공격 유형 결정부는,상기 MIB 데이터 값에 의해 파악된 ICMP 메세지의 전체 수신 수(icmpInMsgs) 또는 ICMP 반향 요청 수(icmpInEchos)가 증가한 경우, 또는 도달 불능의 수신 수(icmpInDestUnreachs), 도달 불능의 송신 수(icmpOutDestUnreachs), ICMP 반향 응답 메세지 수(icmpInEchoReps) 및 파기된 송신 데이터그램 수가 증가한 경우에는 상기 트래픽 폭주 공격을 ICMP Flooding 공격으로 결정하는 ICMP 공격 결정부를 더 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 장치
|
9 |
9
네트워크 단말장치로부터 일정한 주기로 간이 망관리 프로토콜(simple network management protocol : SNMP)의 관리 정보 베이스(management information base : MIB) 데이터 중 트래픽 폭주 공격에 의해 데이터 값이 변화되는 MIB 데이터를 수집하는 MIB 데이터 수집 단계;상기 MIB 데이터가 수집된 시점까지 사전에 설정된 기준시간 동안의 수신 데이터그램 총 수(ipInReceives)의 변화량에 대한 정상적으로 수신된 데이터그램 수(ipInDelivers)의 변화량의 비로 표현되는 데이터그램의 상위 계층 전달률이 사전에 설정된 기준 전달률보다 작으면 상기 네트워크 단말장치의 네트워크 트래픽을 공격성 트래픽으로 결정하는 공격 징후 탐지 단계; 및공격성 트래픽으로 결정된 상기 네트워크 트래픽에 대하여 상기 MIB 데이터 값에 의해 파악된 프로토콜별 객체 값(object identifier : OID)의 변화에 따라 상기 트래픽 폭주 공격의 종류를 결정하는 공격 유형 결정 단계;를 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법
|
10 |
10
제 9항에 있어서,상기 MIB 데이터 수집 단계에서, 상기 수집된 MIB 데이터 값에 의해 파악되는 옥텟의 총 수신 개수(ifInOctets)가 변화되는 시간 간격을 기초로 예측한 상기 MIB 데이터의 갱신 주기에 따라 상기 MIB 데이터를 수집하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법
|
11 |
11
제 10항에 있어서,상기 MIB 데이터의 갱신 주기는 다음의 수학식에 의해 예측되는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법:여기서, Un+1은 n+1번째 갱신 주기, Un은 n번째 갱신 시점에서 예측한 n+1번째 갱신 시점까지의 갱신 주기, 그리고 An-1은 최초 갱신 시점부터 n번째 갱신 시점까지의 갱신 주기에 대한 지수 평균이다
|
12 |
12
제 9항에 있어서,상기 공격 징후 탐지 단계에서, 상기 MIB 데이터 값에 의해 파악된 수신된 데이터그램에 대한 응답률이 사전에 설정된 기준 응답률보다 작은 경우, 또는 파기된 송신 데이터그램 수(ipOutDiscards)가 증가한 경우에 상기 네트워크 트래픽을 공격성 트래픽으로 결정하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법
|
13 |
13
제 9항 또는 제 12항에 있어서,단위 시간당 수신 데이터의 양이 사전에 설정된 기준값보다 크면 상기 네트워크 트래픽을 공격성 트래픽으로 결정하는 공격 징후 사전 탐지 단계를 더 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법
|
14 |
14
제 9항에 있어서,상기 공격 유형 결정 단계는,상기 MIB 데이터 값에 의해 파악된 접속 실패 횟수(tcpAttamptFail) 또는 RST 플래그를 포함한 송신 세그먼트 수(tcpOutRsts)가 변경된 경우에는 상기 트래픽 폭주 공격을 TCP-SYN Flooding 공격으로 결정하는 TCP 공격 결정 단계를 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법
|
15 |
15
제 14항에 있어서,상기 공격 유형 결정 단계는,상기 MIB 데이터 값에 의해 파악된 에러가 된 수신 데이터그램 수(udpInErrs)가 증가한 경우, 또는 도달 불능의 송신 수(icmpOutdestUnreachs) 및 ICMP 메세지의 전체 송신 수(icmpOutMsgs)의 증가량이 일치하고 도달 불능의 수신 수(icmpIndestUnreachs)가 0인 경우에는 상기 트래픽 폭주 공격을 UDP Flooding 공격으로 결정하는 UDP 공격 결정 단계를 더 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법
|
16 |
16
제 14항 또는 제 15항에 있어서,상기 공격 유형 결정 단계는,상기 MIB 데이터 값에 의해 파악된 ICMP 메세지의 전체 수신 수(icmpInMsgs) 또는 ICMP 반향 요청 수(icmpInEchos)가 증가한 경우, 또는 도달 불능의 수신 수(icmpInDestUnreachs), 도달 불능의 송신 수(icmpOutDestUnreachs), ICMP 반향 응답 메세지 수(icmpInEchoReps) 및 파기된 송신 데이터그램 수가 증가한 경우에는 상기 트래픽 폭주 공격을 ICMP Flooding 공격으로 결정하는 ICMP 공격 결정 단계를 더 포함하는 것을 특징으로 하는 SNMP 기반의 트래픽 공격 탐지 방법
|
17 |
17
제 9항 내지 제 12항 중 어느 한 항에 기재된 SNMP 기반의 트래픽 공격 탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
|