• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.39-42
• /
• 2001

인터넷 기술자 시장의 급성장으로 인터넷통신은 우리 생활속에 크게 자리잡고 있다. 그런 만큼 인터넷으로부터 얻는 정보는 가히 무시할 수 없을 정도이다. 이런 환경에서 최근 웹사이트의 정상적인 서비스를 방해하는 DDoS 공격은 공격방법과 은닉기법이 날로 첨단화·다양화되고 있어, 이에 대한 탐지와 근원지 추적이 어려운 상태이다. 따라서 본 논문에서는 DDoS 공격의 중간 계층인 핸들러와 에이전트를 추적하기 위해, 핸들러·에이전트간의 통신 취약점을 이용, 이를 탐지하고 역추적할 수 있는 시스템을 제안하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.05a
• /
• pp.1225-1228
• /
• 2005

본 논문에서는 DDoS 공격 패킷을 사전에 탐지하고 트래픽 제어를 하기위한 방안을 제안한다. 제안된 모델은 공격대상에서 멀리 떨어 진 라우터에서 낮은 임계치를 적용하여 탐지 하게 되며 지역 연합 모델을 통한 지역적인 방어 행동을 취하게 된다. 사전에 취해지는 방어 행동으로 인해 본 시스템은 좋은 성능을 발휘 할 것이다. 시스템의 각 지역연합들은 DDoS 공격의 악의 적인 트래픽의 양을 줄이는 것에 기여 할 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.362-365
• /
• 2015

DDoS 공격의 빈도와 규모가 계속 증가하고 있으며 그에 따른 피해와 파급도 커지고 있다. 최근 동향에서 봇넷을 이용한 패킷 플루딩 공격이 여전히 상위 공격순위를 차지하고 있다. 공격유형으로는 TCP SYN, UDP fragment 및 SSDP 플루딩 공격 등이 여전히 강세를 보이고 있다. 이러한 공격들은 source IP가 변조된 악의적인 패킷을 대량으로 발생시켜서 공격대상 네트워크 인프라를 마비시킨다. DDoS 공격 탐지를 위해서는 내부로 유입되는 초당 패킷수와 사용자와 서버간의 연결이 네트워크 플로우수의 변화를 관측하는 것이 필요하며 방어를 위해 트래픽 제어 기술이 필요하다. 이에 본 논문에서는 네트워크 서비스 분석 및 제어 기술인 DPI/QoS 솔루션을 이용한 플로우 기반의 DDoS 탐지 및 방어 시스템을 제안한다. 네트워크 모니터링과 제어를 위하여 사용하던 DPI/QoS 솔루션에 DDoS 탐지 및 방어기능을 추가함으로써 효율성 및 경제성에서 강점을 가질 것으로 기대한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1985-1988
• /
• 2003

As the Distributed Denial of Service attack technique is getting smarter, defense method have been developed by various means. Existing defense method baseds on detection technique is not effective to DDoS attack. Because it depend on rule set that is used to detect attack and DDoS attack pattern has become very similar to real traffic pattern. So the rule set is not efficient method to find DDoS attack. To solve this problem, DDoS defense mechanism based on QoS technique has been suggested. In this paper, we summarize existing DDoS defense mechanism and focus on method based on QoS, and introduce a new DDoS defense framework.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.1109-1112
• /
• 2006

DDoS(Distributed Denial-of-Service) 공격은 인터넷 침해가운데 가장 위협적인 공격들 중 하나이며 이러한 공격을 실시간으로 탐지하기 위한 연구는 활발히 이루어져 왔다. 하지만 기존의 탐지 메커니즘이 가지고 있는 높은 오탐지율은 여전히 보완해야할 과제로 남아 있다. 따라서 본 논문에서는 DDoS공격 탐지의 근거로 사용된 기존의 트래픽 볼륨(traffic volume), 엔트로피(entropy), 그리고 카이제곱(chi-square)을 이용한 비정상 행위탐지(Anomaly detection)방식의 침임탐지시스템이 가지는 오탐지율(false alarm rate)을 개선할 수 있는 방안을 제안한다. 또한 공격 탐지 시 프로토콜, TCP 플래그(flag), 그리고 포트 번호를 이용하여 네트워크 관리자에게 보다 자세한 공격 정보를 제공함으로써 효율적으로 공격에 대처할 수 있는 시스템을 설계한다.

• Proceedings of the KAIS Fall Conference
• /
• 2011.05a
• /
• pp.53-56
• /
• 2011

지난 7.7 DDoS(Distributed Denial of Service), 3.3 DDoS 대란을 통해서 보여주듯 DDoS 공격이 네트워크 주요 위협요소로 매우 부각되고 있으나, 공격에 대해서 실시간으로 감지하고 대응하기에 어렵다. 그리고 현재 여러 분야에서 매우 많은 용도로 사용되는 SMS(Short Message Service)도 DDoS 공격 수단으로 사용되어 이동전화 시스템에 큰 혼란을 야기할 수 있다. 기존의 Bloom Filter 탐지 기법은 구조가 간단하고 실시간 탐지가 가능한 장점을 갖지만 오탐지율에 대한 문제점을 가진다. 본 논문에서는 목적지 기반의 다중의 해시함수를 사용한 Counting Bloom Filter 기법을 이용하여 임계치 이상 카운트된 동일한 목적지로 발송되는 SMS에 대하여 공격으로 탐지하고 SMSC에 통보하여 차단시키는 시스템을 제안한다.

• The KIPS Transactions:PartC
• /
• v.11C no.7 s.96
• /
• pp.993-998
• /
• 2004

As Worm Virus & DDoS attack appeares, the targets and damage of infringement accidents are extending from specific system or services to paralysis of the network itself. These attacks are expending very frequently and strongly, and ISP who will be used as the path of these attacks will face serious damages. But compare to Worm Virus & DDoS attack that generally occures in many Systems at one time with it's fast propagation velocity, network dimensional opposition is slow and disable to deal with the whole appearance for it is operated manually by the network manager. Therefore, this treatise present devices how to detect Worm Virus & DDoS attack's outbreak and the attacker(attacker IP adderss) automatically.

• The Korean Journal of Applied Statistics
• /
• v.26 no.2
• /
• pp.291-305
• /
• 2013

Collective traffic data (BPS, PPS etc.) for detection against the distributed denial of service attack on network is the time sequencing big data. The algorithm to detect the change point in the big data should be accurate and exceed in detection time and detection capability. In this work, the sliding window and discretization method is used to detect the change point in the big data, and propose five nonparametric test statistics using empirical distribution functions and ranks. With various distribution functions and their parameters, the detection time and capability including the detection delay time and the detection ratio for five test methods are explored and discussed via monte carlo simulation and illustrative examples.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• v.11 no.4
• /
• pp.2149-2170
• /
• 2017

Application-layer Distributed Denial-of-Service (DDoS) attack is one of the leading security problems in the Internet. In recent years, the attack strategies of application-layer DDoS have rapidly developed. This paper introduces a new attack strategy named Path Vulnerabilities-Based (PVB) attack. In this attack strategy, an attacker first analyzes the contents of web pages and subsequently measures the actual response time of each webpage to build a web-resource-weighted-directed graph. The attacker uses a Top M Longest Path algorithm to find M DDoS vulnerable paths that consume considerable resources when sequentially accessing the pages following any of those paths. A detection mechanism for such attack is also proposed and discussed. A finite-state machine is used to model the dynamical processes for the state of the user's session and monitor the PVB attacks. Numerical results based on real-traffic simulations reveal the efficiency of the attack strategy and the detection mechanism.

• The Journal of the Korea institute of electronic communication sciences
• /
• v.8 no.12
• /
• pp.1849-1856
• /
• 2013

DOS attack, the short of Denial of Service attack is an internet intrusion technique which harasses service availability of legitimate users. To respond the DDoS attack, a lot of methods focusing attack source, target and intermediate network, have been proposed, but there have not been a clear solution. In this paper, we purpose the prevention of malicious activity and early detection of DDoS attack by detecting and removing the activity of botnets, or other malicious codes. For the purpose, the proposed method monitors the network traffic, especially DSN traffic, which is originated from botnets or malicious codes.