• 한국콘텐츠학회논문지
• /
• 제5권5호
• /
• pp.172-181
• /
• 2005

유해 트래픽의 최근 유형은 트래픽 폭주 공격에서 더 발전되어 웜, 봇과 같이 다양화, 지능화, 은닉화, 자동화되어 기존의 방법으로는 탐지하기 어렵다. SNMP 기반의 추이 분석 방법은 인터넷 사용의 큰 비중을 차지하고 있는 정상적인 P2P(메신저, 파일 공유) 및 기타 응용 프로그램 사용 시 유해 트래픽으로 분류하는 문제점과, 웜 및 봇과 같은 발전된 유해 트래픽을 분석해내지 못하는 큰 취약점을 가지고 있다. 제안한 방법은 프로토콜 추이 및 포트 트래픽 분석 방법을 적용하였다. 발생된 트래픽을 프로토콜, well-known포트, P2P포트, 기존 공격 포트, 특정 포트로 분류하고 이상 가중치를 적용하며, 실험 결과 P2P 트래픽 분석, 웜 및 봇 탐지, 트래픽 폭주 공격 등을 효과적으로 검출 할 수 있었다.

• 한국콘텐츠학회논문지
• /
• 제21권2호
• /
• pp.587-593
• /
• 2021

본 논문에서는 나날이 발전하는 대규모 서비스거부공격에 대해 고전적인 방식의 DDoS 대응시스템에서 벗어나, 4차 혁명 시대의 핵심기술 중의 하나인 인공지능 기반의 기술을 활용해 지능화된 서비스거부공격을 효율적으로 감내 할 수 있는 서비스모델 개발방안을 제안하였다. 즉, 다수의 보안장비, 웹서버로부터 수집된 다량의 데이터를 대상으로 머신러닝 인공지능 학습을 통해 서비스거부공격을 탐지하고 피해를 최소화할 수 있는 방안을 제안하였다. 특히, 인공지능기술을 활용하기 위한 모델을 개발은 일정한 트래픽 변화를 반복하며 안정적 흐름의 데이터를 전송이 이루어지다가 서비스거부공격이 발생하면 다른 양상의 데이터 흐름을 보인다는 점에 착안하여 서비스서부공격 탐지에 인공지능기술을 활용하였다. 서비스거부공격이 발생하면 확률기반의 실제 트래픽과 예측값과의 편차가 발생하기 때문에 공격성 데이터로 판단하여 대응이 가능하다. 이 논문에서는 보안장비나 서버에서 발생하는 로그를 기반으로 데이터를 분석하여 서비스거부공격 탐지모델을 설명하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권8호
• /
• pp.3946-3965
• /
• 2018

Network anomaly detection in Software Defined Networking, especially the detection of DDoS attack, has been given great attention in recent years. It is convenient to build the Traffic Matrix from a global view in SDN. However, the monitoring and management of high-volume feature-rich traffic in large networks brings significant challenges. In this paper, we propose a moving window Principal Components Analysis based anomaly detection and mitigation approach to map data onto a low-dimensional subspace and keep monitoring the network state in real-time. Once the anomaly is detected, the controller will install the defense flow table rules onto the corresponding data plane switches to mitigate the attack. Furthermore, we evaluate our approach with experiments. The Receiver Operating Characteristic curves show that our approach performs well in both detection probability and false alarm probability compared with the entropy-based approach. In addition, the mitigation effect is impressive that our approach can prevent most of the attacking traffic. At last, we evaluate the overhead of the system, including the detection delay and utilization of CPU, which is not excessive. Our anomaly detection approach is lightweight and effective.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2008년도 제38차 하계학술발표논문집 16권1호
• /
• pp.175-182
• /
• 2008

2008년에 있었던 우리나라 금융기관과 정부기관에 대한 DoS 공격에 대한 연구이다. 실험실 환경에서 실제 DoS 공격 툴을 이용하여 공격을 실시한다. DoS 공격을 탐지하기 위하여 네트워크 상에서 Snort를 이용한 N-IDS를 설치하고, 패킷을 탐지하기 위한 Winpcap과 패킷의 저장 및 분석하기 위한 MySQL, HSC, .NET Framework 등을 설치한다. e-Watch 등의 패킷 분석 도구를 통해 해커의 DoS 공격에 대한 패킷량과 TCP, UDP 등의 정보, Port, MAC과 IP 정보 등을 분석한다. 본 논문 연구를 통하여 유비쿼터스 정보화 사회의 역기능인 사이버 DoS, DDoS 공격에 대한 자료를 분석하여 공격자에 대한 포렌식자료 및 역추적 분석 자료를 생성하여 안전한 인터넷 정보 시스템을 확보하는데 의의가 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.315-318
• /
• 2017

Nowadays, Distributed Denial of Service (DDoS) attacks have gained increasing popularity and have been a major factor in a number of massive cyber-attacks. It could easily exhaust the computing and communicating resources of a victim within a short period of time. Therefore, we have to find the method to detect and prevent the DDoS attack. Recently, there have been some researches that provide the methods to resolve above problem, but it still gets some limitations such as low performance of detecting and preventing, scope of method, most of them just use on cloud server instead of network, and the reliability in the network. In this paper, we propose solutions for (1) handling multiple DDoS attacks from multiple IP address and (2) handling the suspicious attacks in the network. For the first solution, we assume that there are multiple attacks from many sources at a times, it should be handled to avoid the conflict when we setup the preventing rule to switches. In the other, there are many attacks traffic with the low volume and same destination address. Although the traffic at each node is not much, the traffic at the destination is much more. So it is hard to detect that suspicious traffic with the sampling based method at each node, our method reroute the traffic to another server and make the analysis to check it deeply.

• 전자공학회논문지
• /
• 제51권5호
• /
• pp.127-134
• /
• 2014

DRDoS(Distributed Reflective Denial of Service)공격은 정상적인 동작을 하는 반사서버를 통해 이루어지며 공격을 위해 숙주를 필요로 하는 DDoS(Distributed Denial of Service) 에 비하여 훨씬 치명적이다. 유입되는 공격 패킷이 정상적 활동을 하는 반사서버로부터 오기 때문에 전통적인 방식인 소스패킷 분석법으로 DRDoS를 탐지하거나 막는 것은 매우 어렵다. 더욱이 최근에 관심이 대두되는 SCTP(Stream Control Transmission Protocol)의 멀티호밍(multihoming)같은 개선된 기능을 가진 전송프로토콜을 사용하여 공격하면 이에 대한 대처는 더욱 힘들게 되고 공격의 효과는 극대화 할 수 있다. 본 논문에서는 DRDoS가 상태기반 프로토콜의 특징을 활용하는데 착안하여 이에 대응하는 상태기반 탐지방법을 제안하였다. 제안된 방식은 상태기반 파이어 월과 연동하고 전송프로토콜에 따라 구성된 규칙테이블을 통하여 DRDoS공격을 탐지하고 공격에 대한 방어를 수행한다. 규칙테이블은 단순한 구조로 쉽게 갱신이 가능하며 특정한 프로토콜에 대한 제한을 받지 않고 모든 종류의 상태 기반프로토콜의 DRDoS공격에도 대응할 수 있다. 실험을 통하여 공격대상이 알지 못하는 SCTP 같은 차세대 전송프로토콜을 활용한 공격에 대해서도 SCTP의 DRDoS 공격패킷을 잘 탐지하였으며 제안한 방어방식을 통하여 공격패킷의 수를 급격히 감소시키는 것을 확인하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2004년도 춘계종합학술대회
• /
• pp.412-415
• /
• 2004

컴퓨터와 네트워크의 보급이 일반화되면서, 현재 인터넷으로부터 기업이나 국가 조직 내부의 정보나 자원을 보호하기 위해 여러 가지 정보보호시스템을 비롯한 보안 네트워크를 구성하여 네트워크 및 시스템을 운영하고 있다. 그러나 기존의 침입 차단 시스템과 침입 탐지 시스템과 같은 시스템 외부방어 개념의 보안 대책은 전산망 내의 중요한 정보 및 자원을 보호함에 있어서 그 한계를 갖는다. 본 논문에서는 해킹으로 판단되는 침입에 대하여 라우터의 구조적 변경 없이 효율적으로 역추적 하기 위해서 ICMP 역추적 메시지(ICMP Traceback Message)를 이용한 ICMP 기반의 역추적 시스템을 설계한다. ICMP 역추적 메시지의 생성은 라우터를 포트 미러링하는 “역추적 Agent”가 담당하며, 이 메시지를 수신하는 피해 시스템은 해당 메시지를 저장하고, “역추적 Manager”가 DDoS류 공격을 탐지하게 되면 해당 메시지 정보를 이용하여 역추적을 시작하여 공격자의 근원지를 찾아내고, 이를 통하여 침입대한 대응을 시도할 수 있게된다.

• 한국정보통신학회논문지
• /
• 제24권12호
• /
• pp.1670-1675
• /
• 2020

본 연구에서는 DRDoS 공격에 대한 효과적인 네트워크 기반 대응책을 수립하는데 필요한 기초 자료를 제공하고자, DRDoS의 네트워크 기반 특징을 식별하고 이에 대한 확률 및 통계 기법을 적용한 새로운 'DRDoS 공격 다단계 탐지기법'을 제안하고자 한다. 제안된 기법은 DRDoS의 특징인 반사 서버의 증폭에 의한 네트워크 대역폭에서 무제한 경쟁으로 정상적인 트래픽이 무분별하게 차단될 수 있는 한계를 제거하고자 'Server to Server' 및 이에 대한 'Outbound 세션 증적' 여부를 비교하여 정확한 DRDoS 식별 및 탐지가 가능하고 이에 대한 트래픽에 대해서만 통계 및 확률적 임계값을 적용하기에, 네트워크 기반 정보보호 제품은 이를 활용하여 완벽하게 DRDoS 공격 프레임을 제거가 가능하다. 시험을 통해 제안한 기법이 DRDoS 공격에 대한 식별 및 탐지 정확성을 높이고 희생자 서버의 서비스 가용성을 확보함을 확인하였다. 따라서 본 연구결과는 DRDoS 공격 식별 및 대응에 크게 기여할 수 있을 것으로 기대한다.

• 정보과학회 논문지
• /
• 제41권9호
• /
• pp.617-624
• /
• 2014

악성 트래픽은 디도스 공격, 봇넷 통신 등의 인터넷 망을 교란시키거나 특정 네트워크, 서버, 혹은 호스트에 피해를 끼칠 의도를 가지고 발생시키는 트래픽을 지칭한다. 이와 같은 악성 트래픽은 인터넷이 발생한 이래 꾸준히 양과 질에서 진화하고 있고 이에 대한 대응 연구도 계속되고 있다. 이 논문에서는 악성 트래픽을 기존 X-means 클러스터링 알고리즘을 적용하여 효과적으로 탐지하는 방법을 제시하였다. 특히 악성 트래픽의 통계적 특징을 분석하고 클러스터링을 위한 메트릭을 정의하는 방법을 체계적으로 제시하였다. 또한 두 개의 공개된 트래픽 데이터에 대한 실험을 통해 실효성을 검증하였다.

• 한국멀티미디어학회논문지
• /
• 제16권8호
• /
• pp.954-961
• /
• 2013

미래 인터넷 기술 중 하나인 콘텐츠 중심 네트워킹(CCN)은 네트워크 성능 향상을 위하여 네트워크 노드들이 수신된 콘텐츠를 임시 저장하고, 해당 콘텐츠에 대한 요청을 수신하면 임시 저장된 콘텐츠를 이용하여 네트워크 노드가 이를 직접 처리한다. 또한, CCN은 IP 주소와 같은 호스트 Identity 대신 계층화된 콘텐츠 이름을 이용하여 패킷을 전송하고, 요청자 프라이버시 보호를 위하여 요청 메시지는 요청자 정보를 포함하지 않기 때문에 콘텐츠 제공자와 네트워크 노드들은 실제 요청자를 식별할 수 없다. 수신된 콘텐츠를 요청자에게 전송하기 위하여 네트워크 노드는 PIT(Pending Interest Table)에 요청 메시지와 해당 요청 메시지의 유입경로 정보를 기록하고, 콘텐츠를 수신하면 기록된 PIT 정보를 이용하여 해당 콘텐츠를 요청자에게 전송한다. 만약 PIT 저장 공간이 고갈되면, 콘텐츠 요청 메시지와 수신된 콘텐츠를 정상적으로 처리할 수 없다. 그러므로 안전한 CCN 구현을 위해서는 PIT 저장 공간 고갈을 목적으로 하는 공격의 탐지와 대응이 필요하다. 본 논문에서는 PIT 저장 공간에 대한 공격 탐지 및 대응을 위하여 공격 메시지 유입 경로에 따른 공격탐지/제어 방안을 제안하고, 공격 제어를 위한 메시지 구조를 함께 제안한다. 또한, 제안된 방식을 시뮬레이션을 통하여 그 성능을 평가 한다.