1 |
1
사용자가 원하지 않는 비정상적인 플로우(flow)가 포함되는 트래픽을 수신하며, 상기 수신한 트래픽을 플로우별로 구분하는 플로우 구성부;상기 구분한 각 플로우의 엔트로피(entropy)를 계산하고, 상기 계산한 엔트로피들의 평균을 계산하는 엔트로피 계산부; 및상기 각 플로우의 엔트로피와 상기 평균을 비교하고, 상기 비교한 결과에 따라 상기 비정상적인 플로우를 구분하는 플로우 분류부;를포함하고,상기 플로우 분류부는,상기 비정상적인 플로우의 송신 포트 엔트로피를 기저장된 송신지 포트 임계치와 비교하여, 임계치보다 클 때 분산 서비스 거부(DDoS) 공격의 공격 플로우(DDoS flow)로 분류하고, 임계치보다 작을 때 데이터 용량이 큰 헤비 플로우(heavy flow)로 분류하는 것을 특징으로 하는 네트워크 장치
|
2 |
2
제1항에 있어서,상기 플로우 분류부는,상기 각 플로우의 엔트로피가 상기 평균보다 클 때, 상기 비정상적인 플로우로 분류하는 것을 특징으로 하는 네트워크 장치
|
3 |
3
제1항에 있어서,상기 플로우 분류부는,상기 구분된 비정상적인 플로우에 대하여 초당 패킷 생성량을 추가로 검사하여, 정상적인 플로우를 선별하는 것을 특징으로 하는 네트워크 장치
|
4 |
4
제3항에 있어서,상기 플로우 분류부는,상기 비정상적인 플로우에 대한 초당 패킷 생성량을 패킷 생성량 임계치와 비교하여, 임계치보다 클 때 상기 비정상적인 플로우로 최종 분류하고, 임계치보다 작을 때 정상 플로우로 분류하는 것을 특징으로 하는 네트워크 장치
|
5 |
5
제4항에 있어서,상기 플로우 분류부는,상기 패킷 생성량의 비교에 의해 분류된 상기 비정상적인 플로우에 대하여 송신지 포트 엔트로피를 추가로 검사하여, 서로 다른 종류의 상기 비정상적인 플로우를 구분하는 것을 특징으로 하는 네트워크 장치
|
6 |
6
삭제
|
7 |
7
제5항에 있어서,상기 패킷 생성량 임계치 및 상기 송신지 포트 임계치에 대한 정보를 저장하는 저장부;를 더 포함하는 것을 특징으로 하는 네트워크 장치
|
8 |
8
제5항에 있어서,상기 공격 플로우가 제거된 상기 헤비 플로우 및 상기 정상적인 플로우들을 결합하거나, 상기 비정상적인 플로우가 제거된 상기 정상적인 플로우들만을 결합하여 출력하는 플로우 결합부;를 더 포함하는 것을 특징으로 하는 네트워크 장치
|
9 |
9
네트워크 장치의 트래픽 처리 방법에 있어서,사용자가 원하지 않는 비정상적인 플로우(flow)가 포함되는 트래픽을 수신하며, 상기 수신한 트래픽을 플로우별로 구분하는 단계;상기 구분한 각 플로우의 엔트로피(entropy)를 계산하고, 상기 계산한 엔트로피들의 평균을 계산하는 단계; 및상기 각 플로우의 엔트로피와 상기 평균을 비교하고, 상기 비교한 결과에 따라 상기 비정상적인 플로우를 구분하는 단계;를 포함하고,상기 비정상적인 플로우를 구분하는 단계는,상기 비정상적인 플로우의 송신 포트 엔트로피를 송신지 포트 임계치와 비교하여, 임계치보다 클 때 분산 서비스 거부(DDoS) 공격의 공격 플로우(DDoS flow)로 분류하고, 임계치보다 작을 때 데이터 용량이 큰 헤비 플로우(heavy flow)로 분류하는 것을 특징으로 하는 트래픽 처리 방법
|
10 |
10
제9항에 있어서,상기 비정상적인 플로우를 구분하는 단계는,상기 각 플로우의 엔트로피가 상기 평균보다 클 때, 상기 비정상적인 플로우로 분류하는 것을 특징으로 하는 트래픽 처리 방법
|
11 |
11
제9항에 있어서,상기 비정상적인 플로우를 구분하는 단계는,상기 구분한 비정상적인 플로우에 대하여 초당 패킷 생성량을 추가로 검사하여, 정상적인 플로우를 선별하는 것을 특징으로 하는 트래픽 처리 방법
|
12 |
12
제11항에 있어서,상기 비정상적인 플로우를 구분하는 단계는,상기 비정상적인 플로우에 대한 초당 패킷 생성량을 패킷 생성량 임계치와 비교하여, 임계치보다 클 때 상기 비정상적인 플로우로 최종 분류하고, 임계치보다 작을 때 정상 플로우로 분류하는 것을 특징으로 하는 트래픽 처리 방법
|
13 |
13
제12항에 있어서,상기 비정상적인 플로우를 구분하는 단계는,상기 패킷 생성량의 비교에 의해 분류된 상기 비정상적인 플로우에 대하여 송신지 포트 엔트로피를 추가로 검사하여, 서로 다른 종류의 상기 비정상적인 플로우를 구분하는 것을 특징으로 하는 트래픽 처리 방법
|
14 |
14
삭제
|
15 |
15
제13항에 있어서,상기 패킷 생성량 임계치 및 상기 송신지 포트 임계치에 대한 정보를 저장하는 단계;를 더 포함하는 것을 특징으로 하는 트래픽 처리 방법
|
16 |
16
제13항에 있어서,상기 공격 플로우가 제거된 상기 헤비 플로우 및 상기 정상적인 플로우들을 결합하거나, 상기 비정상적인 플로우가 제거된 상기 정상적인 플로우들만을 결합하여 출력하는 단계;를 더 포함하는 것을 특징으로 하는 트래픽 처리 방법
|