1 |
1
네트워크 장비로부터 네트워크 플로우 데이터를 수신하는 네트워크 플로우 데이터 수신부, 수신된 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 세션 유형 판단부, 상기 세션 유형을 기반으로, 상기 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단하는 호스트 유형 판단부, 상기 네트워크 플로우 데이터의 공격 종류를 판단하는 공격 종류 판단부, 상기 네트워크 플로우 데이터의 프로토콜을 식별하는 프로토콜 식별부, 상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 공격 탐지부, 그리고상기 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로, 탐지 모델을 생성하는 모델링부를 포함하고,상기 네트워크 플로우 데이터 수신부는, 스위치, 라우터 혹은 허브로부터 제공되는 트래픽 과부하를 분산하기 위한 로드 밸런싱이 적용된 네트워크 상에서 상기 네트워크 플로우 데이터를 수집하고,상기 세션 유형 판단부는, 상기 네트워크 플로우 데이터에 상응하는 세션의 수를 기반으로, 상기 세션 유형을 일대일 세션, 일대다 세션 및 다대일 세션 중 어느 하나의 세션 유형으로 구분하고,상기 호스트 유형 판단부는, 상기 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 상기 세션의 방향성을 판단하고, 상기 세션의 방향성을 이용하여 상기 호스트의 유형을 공격 대상 및 공격자 중 어느 하나로 판단하고,상기 공격 종류 판단부는, 상기 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 상기 네트워크 플로우 데이터에 상응하는 공격이 반사 공격 및 증폭 공격 중 어느 하나의 공격인지 여부를 판단하고,상기 탐지 모델은상기 분산 반사 서비스 거부(DRDoS) 공격이 상기 반사 공격 및 상기 증폭 공격으로 분류되고,상기 반사 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,상기 증폭 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,상기 공격 대상의 세션 유형이 상기 일대일 세션 및 상기 다대일 세션으로 분류되고,상기 공격자의 세션 유형이 상기 일대일 세션, 상기 다대일 세션 및 상기 일대다 세션으로 분류되고,상기 공격 탐지부는상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 판단한 결과와 상기 탐지 모델을 이용하여 상기 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 것을 특징으로 하는 분산 반사 서비스 거부 공격 탐지 장치
|
2 |
2
삭제
|
3 |
3
삭제
|
4 |
4
삭제
|
5 |
5
제1항에 있어서, 상기 네트워크 플로우 데이터의 프로토콜은, 도메인 네임 시스템(DNS) 및 네트워크 타임프로토콜(NTP) 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 분산 반사 서비스 거부 공격 탐지 장치
|
6 |
6
삭제
|
7 |
7
삭제
|
8 |
8
분산 반사 서비스 거부 공격 탐지 장치에 의해 수행되는 분산 반사 서비스 거부 공격 탐지 방법에 있어서, 네트워크 장비로부터 네트워크 플로우 데이터를 수신하는 단계, 수신된 상기 네트워크 플로우 데이터의 세션 유형을 판단하는 단계, 상기 세션 유형을 기반으로, 상기 네트워크 플로우 데이터에 상응하는 호스트의 유형을 판단하는 단계, 상기 네트워크 플로우 데이터의 공격 종류를 판단하는 단계, 상기 네트워크 플로우 데이터의 프로토콜을 식별하는 단계,상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 기반으로, 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 단계, 그리고상기 분산 반사 서비스 거부(DRDoS) 공격의 탐지 결과를 기반으로, 탐지 모델을 생성하는 단계를 포함하고,상기 네트워크 플로우 데이터 수신하는 단계는, 스위치, 라우터 혹은 허브로부터 제공되는 트래픽 과부하를 분산하기 위한 로드 밸런싱이 적용된 네트워크상에서 상기 네트워크 플로우 데이터를 수집하는 단계를 포함하고,상기 세션 유형을 판단하는 단계는, 상기 네트워크 플로우 데이터에 상응하는 세션의 수를 기반으로, 상기 세션 유형을 일대일 세션, 일대다 세션 및 다대일 세션 중 어느 하나의 세션 유형으로 구분하고,상기 호스트의 유형을 판단하는 단계는,상기 네트워크 플로우 데이터의 소스 포트 번호 및 목적지 포트 번호를 기반으로, 상기 세션의 방향성을 판단하고, 상기 세션의 방향성을 이용하여 상기 호스트의 유형을 공격 대상 및 공격자 중 어느 하나로 판단하고,상기 공격 종류를 판단하는 단계는,상기 네트워크 플로우 데이터의 패킷 수 및 패킷 사이즈 중 적어도 어느 하나를 기반으로, 상기 네트워크 플로우 데이터에 상응하는 공격이 반사 공격 및 증폭 공격 중 어느 하나의 공격인지 여부를 판단하고,상기 탐지 모델은상기 분산 반사 서비스 거부(DRDoS) 공격이 상기 반사 공격 및 상기 증폭 공격으로 분류되고,상기 반사 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,상기 증폭 공격의 호스트 유형이 상기 공격 대상 및 상기 공격자로 분류되고,상기 공격 대상의 세션 유형이 상기 일대일 세션 및 상기 다대일 세션으로 분류되고,상기 공격자의 세션 유형이 상기 일대일 세션, 상기 다대일 세션 및 상기 일대다 세션으로 분류되고,상기 공격을 탐지하는 단계는상기 세션 유형, 상기 호스트 유형, 상기 공격 종류 및 상기 프로토콜을 판단한 결과와 상기 탐지 모델을 이용하여 상기 분산 반사 서비스 거부(DRDoS) 공격을 탐지하는 것을 특징으로 하는 분산 반사 서비스 거부 공격 탐지 방법
|
9 |
9
삭제
|
10 |
10
삭제
|
11 |
11
삭제
|
12 |
12
삭제
|
13 |
13
삭제
|
14 |
14
삭제
|