[go: up one dir, main page]

KR101377462B1 - CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 - Google Patents

CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 Download PDF

Info

Publication number
KR101377462B1
KR101377462B1 KR1020100082074A KR20100082074A KR101377462B1 KR 101377462 B1 KR101377462 B1 KR 101377462B1 KR 1020100082074 A KR1020100082074 A KR 1020100082074A KR 20100082074 A KR20100082074 A KR 20100082074A KR 101377462 B1 KR101377462 B1 KR 101377462B1
Authority
KR
South Korea
Prior art keywords
server
usage rate
state
ddos attack
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020100082074A
Other languages
English (en)
Other versions
KR20120019010A (ko
Inventor
김대원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100082074A priority Critical patent/KR101377462B1/ko
Priority to US13/216,486 priority patent/US20120054823A1/en
Publication of KR20120019010A publication Critical patent/KR20120019010A/ko
Application granted granted Critical
Publication of KR101377462B1 publication Critical patent/KR101377462B1/ko
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • G06F11/3419Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment by assessing time
    • G06F11/3423Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment by assessing time where the assessed time is active or idle time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 호스트 레벨에서 DDoS 공격 차단 정책의 제어 기술에 관한 것으로서, 보다 구체적으로는 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치에 관한 것이다. 이를 위해 본 발명은 서버의 CPU 및 메모리 사용률을 모니터링하고 서비스 장애의 위험이 감지될 경우, 위험의 정도에 따라 DDoS 공격차단 정책을 조정하여 서비스가 원활해지도록 CPU 및 메모리 사용률을 안정화시키는 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치를 제공한다. 본 발명에 따르면, 서버의 실질적인 부하(CPU 및 메모리 사용률)를 분석함으로써 기존 탐지 방법들을 회피하기 위한 새로운 위협도 감지할 수 있고, 특히 서버의 실질적인 부하에 따라 DDoS 차단 정책을 변경함으로써, 서버의 부하와 직접 관련되어 있는 서비스의 장애 정도를 정밀하게 자동조정할 수 있다.

Description

CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 {Automated Control Method And Apparatus of DDos Attack Prevention Policy Using the status of CPU and Memory}
본 발명은 호스트 레벨에서 DDoS 공격 차단 정책의 제어 기술에 관한 것으로서, 보다 구체적으로는 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치에 관한 것이다.
본 발명은 지식경제부의 정보통신산업원천기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다. [과제관리번호:KI002151, 과제명:분산서비스거부(DDoS) 공격 대응 기술개발]
지금까지 호스트 레벨에서 DDoS(Distributed Denial of Service, 분산 서비스 거부) 공격을 방어하기 위해 많은 시스템들이 개발되었으며, 이 시스템들은 일반적으로 공격탐지 기능과 공격차단기능으로 구성된다.
DDoS 공격은 공격차단기능에서 최종적으로 걸러지며, 해당 차단정책은 고정된 설정값(threshold)을 가지거나 공격탐지기능의 결과를 반영하는 설정값이 적용된다.
그러나 기존의 시스템들은 서비스를 제공하는 호스트(이하, 서버)의 상태(CPU, 메모리 사용률 등)와는 무관하게 유입되는 트래픽을 기준으로 공격차단정책을 적용하기 때문에, 느슨한 정책이 적용되면 공격에 의해 서비스 장애가 발생할 확률이 높고, 강한 정책을 적용하면 서비스는 정상상태이더라도 정상적인 사용자들의 서비스 요청이 차단될 확률이 높다는 문제점이 있다.
또한 기존 공격차단정책들은 DDoS 공격 프로그램을 제작하는 공격자에 의해 이미 차단정책의 패턴이 분석되기 때문에, 단순히 유입되는 트래픽을 기반으로 차단정책을 결정하는 것은 알려지지 않은 새로운 DDoS 공격 패턴에 취약할 수밖에 없다.
본 발명은 상기와 같은 문제점을 감안하여 창출한 것으로서, 서버의 CPU 및 메모리 사용률을 모니터링하고 서비스 장애의 위험이 감지될 경우, 위험의 정도에 따라 DDoS 공격차단 정책을 조정하여 서비스가 원활해지도록 CPU 및 메모리 사용률을 안정화시키는 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치를 제공하는 데 그 목적이 있다.
전술한 목적을 달성하기 위하여, 본 발명의 일면에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법은 DDoS(Distributed Denial of Service, 분산 서비스 거부)공격 방어 시스템의 DDoS공격 차단정책에 대한 자동화된 제어 방법으로 서비스를 제공하는 서버의 CPU 및 메모리 사용률을 모니터링하여 상기 서버의 상태를 판단하는 단계; 및 판단된 상기 서버의 상태에 따라 상기 DDoS공격 차단정책을 조정하는 단계를 포함한다.
본 발명의 다른 면에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법은 서비스 서버의 CPU 및 메모리 사용률에 대한 정보를 수집하는 단계; 수집된 상기 정보를 분석하여 상기 서버가 비정상 상태인지 여부를 판단하는 단계; 및 판단결과, 상기 서버가 비정상 상태이면, DDoS(Distributed Denial of Service) 공격을 차단하는 정책을 생성하여 적용하는 단계를 포함한다.
본 발명의 또 다른 면에 따른 DoS 공격 차단 정책의 자동화된 제어 장치는 DDoS(Distributed Denial of Service, 분산 서비스 거부)공격 방어 시스템에 포함된 DDoS공격 차단정책의 자동화된 제어 장치로 서비스를 제공하는 서버의 CPU 및 메모리 사용률을 모니터링하여 상기 서버의 상태를 판단하는 판단부; 및 판단된 상기 서버의 상태에 따라 상기 DDoS공격 차단정책을 조정하여 적용하는 적용부를 포함한다.
본 발명의 또 다른 면에 따른 DoS 공격 차단 정책의 자동화된 제어 장치는 서비스 서버의 CPU 및 메모리 사용률에 대한 정보를 수집하는 수집부; 수집된 상기 정보를 분석하여 상기 서버가 비정상 상태인지 여부를 판단부; 및 판단결과, 상기 서버가 비정상 상태이면, DDoS(Distributed Denial of Service) 공격을 차단하는 정책을 생성하여 적용하는 적용부를 포함한다.
본 발명에 따르면, 서버의 실질적인 부하(CPU 및 메모리 사용률)를 분석함으로써 기존 탐지 방법들을 회피하기 위한 새로운 위협도 감지할 수 있는 효과가 있다.
특히 서버의 실질적인 부하에 따라 DDoS 차단 정책을 변경함으로써, 서버의 부하와 직접 관련되어 있는 서비스의 장애 정도를 정밀하게 자동조정할 수 있는 이점이 있다.
도 1은 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법을 설명하기 위한 개념도.
도 2는 DDoS 방어 시스템에서 본 발명의 개념적 위치를 설명하기 위한 블럭도.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법을 설명하기 위한 흐름도.
도 4는 단계(S100)를 보다 구체적으로 설명하기 위한 흐름도.
도 5는 단계(S200)를 보다 구체적으로 설명하기 위한 흐름도.
도 6은 단계(S210)를 설명하기 위한 도면.
도 7은 단계(S220)를 설명하기 위한 도면.
도 8은 단계(S300)를 보다 구체적으로 설명하기 위한 흐름도.
도 9는 단계(S320)를 설명하기 위한 도면.
도 10은 단계(S320)에서 위험수준일 때의 동작을 설명하기 위한 도면.
도 11은 단계(S320)에서 경고수준일 때의 동작을 설명하기 위한 도면.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 용이하게 이해할 수 있도록 제공되는 것이며, 본 발명은 청구항의 기재에 의해 정의된다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자 이외의 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이하, 도 1 및 도 2를 참조하여 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법에 대한 개념을 간략하게 설명한다. 도 1은 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법을 설명하기 위한 개념도이고, 도 2는 DDoS 방어 시스템에서 본 발명의 개념적 위치를 설명하기 위한 블럭도이다.
도 1에 도시된 바와 같이, 서버 부하(CPU 및 메모리 사용률)에 따라 본 발명의 목적을 설명하면, 종래 기술에서는 DDoS 방어 시스템이 가동 중인 경우라도 CPU 및 메모리 사용률 등의 서버 부하가 증가했다. 본 발명에서는 서버 부하를 직접 모니터링하여 서버가 비정상 상태에 빠질 경우, 이를 탐지하여 정상 상태가 될 수 있도록 차단정책을 생성하고 적용한다.
본 발명에서 탐지의 기본 원리는 현재 서버 사용률과 과거 사용률의 평균 차를 근거로 현재 서버 사용률의 변동량과 과거 변동량의 평균 차를 분석한다. 예컨대, 현재 사용률이 기준이 되는 사용률을 초과할 경우, 과거 사용률보다 일정 수준 이상 크고, 그 변동량도 일정 수준 이상 크면, 서버가 비정상 상태에 빠진 것으로 판단한다.
차단정책 생성의 기본원리는 현재의 차단정책의 설정값을 탐지부분에서 분석된 현재 사용률에 대한 과거 평균 사용률 및 평균 변동량과의 차이를 기준으로 조정하는 것이다. 예컨대, 현재 사용률이 평균과의 차이가 클수록, 평균 변동량과의 차이가 클수록 차단정책 설정값을 더 강화한다.
또한, 본 발명은 도 2에 도시된 바와 같이, DDoS 방어 시스템에서 공격탐지기능에 포함되고, 공격탐지기능의 기존방법들처럼 공격차단기능의 정책들을 변경하여 DDoS 공격을 차단/완화하도록 한다.
이상, 도 1 및 도 2를 참조하여 본 발명의 일실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법에 대한 개념을 간략하게 설명하였고, 이하에서는 도 3 내지 도 11을 참조하여 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법을 구체적으로 설명한다. 도 3은 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법을 설명하기 위한 흐름도이고, 도 4는 도 3의 단계(S100)를 보다 구체적으로 설명하기 위한 흐름도이며, 도 5는 도 3의 단계(S200)를 보다 구체적으로 설명하기 위한 흐름도이고, 도 6은 단계(S210)를 설명하기 위한 도면이며, 도 7은 단계(S220)를 설명하기 위한 도면이다. 도 8은 단계(S300)를 보다 구체적으로 설명하기 위한 흐름도이고, 도 9는 단계(S320)를 설명하기 위한 도면이며, 도 10은 단계(S320)에서 위험수준일 때의 동작을 설명하기 위한 도면이고, 도 11은 단계(S320)에서 경고수준일 때의 동작을 설명하기 위한 도면이다.
도 3에 도시된 바와 같이, 서버의 현재 CPU 및 메모리 사용률(%)을 주기적으로(예컨대, 1초) 수집하고, 관리한다(S100).
수집된 사용률을 분석하여 현재 서버가 비정상 상태인지의 여부를 판단한다(S200).
현재 서버가 비정상인 것으로 판단되면, 공격을 차단하는 정책을 생성하여 적용한다(S300). 예컨대, 단계(S100 내지 S200)의 정보를 이용하여 서버의 현재 상태를 정상 상태로 만들기 위해 공격을 차단하여 CPU 및 메모리 사용률을 완화하는 정책을 생성하여 적용한다.
현재 서버가 비정상이 아닌 것으로 판단되면, 단계(S100)를 계속 수행한다.
이하, 도 4를 참조하여 단계(S100)를 보다 구체적으로 설명하면, 주기 시간(Pt) 간격으로 서버의 현재 CPU 및 메모리 사용률을 수집한다(S110).
각각의 CPU 및 메모리 사용률별 수집된 정보의 개수(An)를 근거로 서버 상태를 분석한다(S120). 예컨대, 1초(Pt) 간격으로 CPU 및 메모리 사용률별 60개(An)의 정보를 수집하고, 수집된 60개의 정보를 근거로 서버 상태를 분석한다.
한편, 단계(S110)에서 CPU 및 메모리별 수집된 정보(An) 개수만큼 선입선출형으로 관리한다. 예컨대, 61번째의 정보부터는 먼저 들어온 서버 상태 값들을 차례대로 삭제하면서 현재 정보를 저장한다.
이하, 도 5를 참조하여 단계(S200)를 보다 구체적으로 설명하면, 단계(S120)에서 선입선출로 관리되는 CPU 및 메모리 사용률에 대한 정보를 이용하여 이들의 평균값 및 평균 변동량을 계산한다(S210). 예컨대, 도 6에 도시된 바와 같이, 평균값(Uavg)은 현재시간 T0를 기준으로 주기시간(Pt)마다 수집된, 이전 사용률 정보 An개의 평균이고, 평균 변동량(Vavg)은 현재시간 T0를 기준으로 주기시간(Pt)마다의 평균값과 그때의 사용률 간의 차이값(An-1)개의 평균이다.
현재 사용률을 단계(S210)에서 계산된 평균값 및 평균 변동량과 비교하여, 서버가 비정상 상태에 빠져있는지를 판단한다(S220). 예컨대, 비정상은 Emergency(위험)와 Warning(경고)으로 구분되고, 정상은 Normal로 구분되며, 도 7에 도시된 바와 같이, 탐지조건 1에서 현재 사용률(U0)이 위험수준 사용률(Ue)보다 크면, 현재 서버 상태를 비정상으로 판단하고, Emergency로 설정한다.
또한, 탐지조건 2에서 사용률(U0)이 경고수준 사용률(Uw) 및 평균 사용률(Uavg)보다 크고, 현재 사용률의 변동량(V0)이 평균 변동량(Vavg)보다 크면, 현재 서버 상태를 비정상으로 판단하고 Warning으로 설정한다.
직전 상태가 Emergency나 Warning이었으나, 현재상태가 Normal이면, 후술하는 단계(S320)에서 변경되는 차단 설정값을 변경전 값으로 돌려놓고, 단계(S110)를 다시 수행한다.
이하, 도 8을 참조하여 단계(S300)를 보다 구체적으로 설명하면, 단계(S220)에서 현재 서버가 비정상으로 판단될 경우, 정상 상태로 만들기 위해 정책을 변경할 차단 방법을 선정한다(S310). 예컨대, 차단 방법마다 공격 차단기능을 수행하기 위해 측정하는 현재 수치가 설정된 수치와 얼마나 근접한가 비교하여 가장 근접한 방법을 선정한다.
결정된(선정된) 차단 방법의 현재 차단 정책값을 서버 비정상 상태의 위험수준에 따라 조정하고 적용한다(S320). 예컨대, 도 9에 도시된 바와 같이, 현재시간 T0에서 각각의 위험이 탐지될 때마다, U0값이 내려갈 수 있도록 현재 차단 정책을 생성하고, 위험수준(Emergency Level)일 경우, 도 10에 도시된 바와 같이, 현재 사용률이 (1)번이면, (2)번으로 내려갈 수 있도록 차단 정책의 설정값을 조정하고, 사용률이 (3)번이 되도록 만든다.
현재 설정값이 R0, 새로운 설정값이 Rn, (1)의 사용률이 U1, (0)의 사용률이 U0, 사용률 Ratio가 Ur일 때, 수식은 다음과 같다.
Figure 112010054635053-pat00001
또한 경고수준(Warning Level)일 경우, 도 11에 도시된 바와 같이, 현재 사용률이 (1)번이면, (2)번으로 내려갈 수 있도록 차단 정책의 설정값을 조정하고, 사용률이 (3)번이 되도록 만든다.
현재 설정값이 R0, 새로운 설정값이 Rn, (1)의 사용률이 U1, 평균 변동률이 Vavg, 평균 사용률이 Uavg, 사용률 Ratio가 Ur일 때, 수식은 다음과 같다.
Figure 112010054635053-pat00002
전술한 바와 같이, 본 발명은 서버의 실질적인 부하(CPU 및 메모리 사용률)를 분석함으로써 기존 탐지 방법들을 회피하기 위한 새로운 위협도 감지할 수 있고, 특히 서버의 실질적인 부하에 따라 DDoS 차단 정책을 변경함으로써, 서버의 부하와 직접 관련되어 있는 서비스의 장애 정도를 정밀하게 자동조정할 수 있다.
이상, 도 3 내지 도 11을 참조하여 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 방법을 구체적으로 설명하였고, 이하에서는 도 12를 참조하여 본 발명의 일 실시예에 따른 DDoS 공격 차단 정책의 자동화된 제어 장치를 설명한다. 도 12는 본 발명의 DDoS 공격 차단 정책의 자동화된 제어 장치를 설명하기 위한 블럭도이다.
도 12에 도시된 바와 같이, 본 발명의 DDoS 공격 차단 정책의 자동화된 제어 장치는 수집부(111), 판단부(112) 및 적용부(113)를 포함한다.
수집부(111)는 서비스 서버의 CPU 및 메모리 사용률에 대한 정보를 수집한다. 또한, 수집부(111)는 수집된 정보를 선입선출형으로 관리한다.
판단부(112)는 수집된 정보를 분석하여 서비스 서버가 비정상 상태인지 여부를 판단한다. 예컨대, 서비스 서버는 정상 상태 또는 비정상 상태에 있을 수 있고, 비정상 상태는 다시 위험(Emergency) 상태와 경고(Warning) 상태로 구분될 수 있다. 판단부(112)는 CPU 및 메모리의 현재 사용률이 위험 상태의 사용률보다 크면, 서비스 서버의 상태를 비정상 상태로 판단하여 서비스 서버의 상태를 위험(Emergency) 상태로 설정하고, 현재 사용률이 경고 상태의 사용률 및 평균 사용률보다 크며, 현재 사용률의 변동량이 평균 변동량보다 크면, 서비스 서버의 상태를 비정상으로 판단하여 서비스 서버의 상태를 경고(Warning) 상태로 설정한다.
적용부(113)는 판단부(112)의 판단결과, 서비스 서버가 비정상 상태이면, DDoS(Distributed Denial of Service) 공격을 차단하는 정책을 생성하여 적용한다. 예컨대, 적용부(113)는 DDoS 공격의 차단방법마다 공격 차단기능을 수행하기 위해 측정하는 현재 수치와 설정된 수치 간의 근접 여부를 비교하여 가장 근접한 차단방법을 선정하고, 선정된 차단방법의 DDoS 공격 차단 정책값을 서비스 서버의 상태에 따라 조정하여 적용한다.
여기서는 본 발명을 CPU 및 메모리 사용률에 대한 정보를 수집하는 수집부와 수집된 정보를 근거로 서비스 서버의 상태를 판단하는 판단부 분리시켜 구성하였으나 이에 국한되지 않고 수집부를 판단부에 포함시켜 구성할 수 있음은 물론이다.
이상 바람직한 실시예와 첨부도면을 참조하여 본 발명의 구성에 관해 구체적으로 설명하였으나, 이는 예시에 불과한 것으로 본 발명의 기술적 사상을 벗어나지 않는 범주내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
100 : DDoS 공격 방어 시스템 110 : 공격 탐지부
111 : 수집부 112 : 판단부
113 : 적용부 120 : 공격 차단부

Claims (20)

  1. DDoS(Distributed Denial of Service, 분산 서비스 거부)공격 방어 시스템의 DDoS공격 차단정책에 대한 자동화된 제어 방법에 있어서,
    서비스를 제공하는 서버의 CPU 및 메모리 사용률을 모니터링하여 상기 서버의 상태를 판단하는 단계; 및
    판단된 상기 서버의 상태에 따라 상기 DDoS공격 차단정책을 조정하는 단계를 포함하고,
    상기 DDoS공격 차단정책을 조정하는 단계는,
    상기 DDoS공격 방어 시스템의 차단정책 설정값을 상기 CPU 및 메모리의 현재 사용률에 대한 과거 평균 사용률 및 상기 현재 사용률의 변동량에 대한 상기 과거 평균 사용률의 평균 변동량과의 차이를 기준으로 조정하는 단계를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  2. 제1항에 있어서, 상기 판단하는 단계는,
    모니터링한 상기 서버의 CPU 및 메모리에 대한 현재 사용율과 과거 사용율의 평균 차를 근거로 상기 현재 사용율의 변동량과 과거 변동량의 평균 차를 분석하는 단계; 및
    분석된 결과를 근거로 상기 서버를 정상 또는 비정상 상태로 판단하는 단계
    를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  3. 제2항에 있어서, 상기 분석하는 단계는,
    상기 서버의 현재 사용률이 기설정된 기준 사용률을 초과할 경우, 상기 현재 사용률이 과거 사용률보다 기설정된 사용률 이상 큰지 여부와, 상기 현재 사용률의 변동량이 과거 변동량보다 기설정된 변동량 이상 큰지 여부를 분석하는 단계를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  4. 제2항에 있어서, 상기 정상 또는 비정상 상태로 판단하는 단계는,
    분석된 결과 상기 현재 사용률이 상기 과거 사용률보다 기설정된 사용률 이상 크고, 상기 현재 사용률의 변동량이 상기 과거 변동량보다 기설정된 변동량 이상 크면, 상기 서버를 비정상 상태로 판단하는 단계를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  5. 삭제
  6. 제1항에 있어서, 상기 차이를 기준으로 조정하는 단계는,
    상기 현재 사용률이 상기 과거 평균 사용률과의 차이가 클수록 및 상기 현재 사용률의 변동량이 상기 과거 평균 사용률의 평균 변동량과의 차이가 클수록 중 적어도 하나에 의해 상기 차단정책 설정값을 강화하는 단계를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  7. 서비스 서버의 CPU 및 메모리 사용률에 대한 정보를 수집하는 단계;
    수집된 상기 정보를 분석하여 상기 서버가 비정상 상태인지 여부를 판단하는 단계; 및
    판단결과, 상기 서버가 비정상 상태이면, DDoS(Distributed Denial of Service) 공격을 차단하는 정책을 생성하여 적용하는 단계를 포함하고,
    상기 정책을 생성하여 적용하는 단계는,
    상기 DDoS 공격의 차단방법마다 공격 차단기능을 수행하기 위해 측정하는 현재 수치와 설정된 수치 간의 근접 여부를 비교하여 가장 근접한 차단방법을 선정하는 단계; 및
    선정된 상기 차단방법의 상기 DDoS 공격 차단 정책값을 상기 서버의 상태에 따라 조정하여 적용하는 단계를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  8. 제7항에 있어서, 상기 정보를 수집하는 단계는,
    수집된 상기 정보를 선입선출형으로 관리하는 단계를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  9. 제7항에 있어서, 상기 판단하는 단계는,
    수집된 상기 정보를 이용하여 상기 CPU 및 메모리 사용률에 대한 평균값 및 평균 변동량을 계산하는 단계; 및
    계산된 상기 평균값 및 평균 변동량을 기설정된 기준값과 비교하고, 비교결과에 따라 상기 서버가 상기 비정상 상태인지 여부를 판단하는 단계
    를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  10. 제9항에 있어서,
    상기 비정상 상태는 위험(Emergency) 상태와 경고(Warning) 상태로 구분되되,
    상기 판단하는 단계는,
    상기 CPU 및 메모리의 현재 사용률이 위험 상태의 사용률보다 크면, 상기 서버의 상태를 비정상 상태로 판단하고, 상기 서버의 상태를 위험(Emergency) 상태로 설정하는 단계; 및
    상기 현재 사용률이 경고 상태의 사용률 및 평균 사용률보다 크고, 상기 현재 사용률의 변동량이 평균 변동량보다 크면, 상기 서버의 상태를 비정상으로 판단하고 , 상기 서버의 상태를 경고(Warning) 상태로 설정하는 단계
    를 포함하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 방법.
  11. 삭제
  12. DDoS(Distributed Denial of Service, 분산 서비스 거부)공격 방어 시스템에 포함된 DDoS공격 차단정책의 자동화된 제어 장치에 있어서,
    서비스를 제공하는 서버의 CPU 및 메모리 사용률을 모니터링하여 상기 서버의 상태를 판단하는 판단부; 및
    판단된 상기 서버의 상태에 따라 상기 DDoS공격 차단정책을 조정하여 적용시키는 적용부를 포함하고,
    상기 적용부는,
    상기 DDoS공격 방어 시스템의 차단정책 설정값을 상기 CPU 및 메모리의 현재 사용률에 대한 과거 평균 사용률 및 상기 현재 사용률의 변동량에 대한 상기 과거 평균 사용률의 평균 변동량과의 차이를 기준으로 조정하여 상기 DDoS공격 차단정책을 적용하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 장치.
  13. 제12항에 있어서, 상기 판단부는,
    모니터링한 상기 서버의 CPU 및 메모리에 대한 현재 사용율과 과거 사용율의 평균 차를 근거로 상기 현재 사용율의 변동량과 과거 변동량의 평균 차를 분석하고, 분석된 결과를 근거로 상기 서버를 정상 또는 비정상 상태로 판단하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 장치.
  14. 제13항에 있어서, 상기 판단부는,
    상기 서버의 현재 사용률이 기설정된 기준 사용률을 초과할 경우, 상기 현재 사용률이 상기 과거 사용률보다 기설정된 사용률 이상 크고, 상기 현재 사용률의 변동량이 상기 과거 변동량보다 기설정된 변동량 이상 크면, 상기 서버를 비정상 상태로 판단하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 장치.
  15. 삭제
  16. 제12항에 있어서, 상기 적용부는,
    상기 현재 사용률이 상기 과거 평균 사용률과의 차이가 클수록 및 상기 현재 사용률의 변동량이 상기 과거 평균 사용률의 평균 변동량과의 차이가 클수록 중 적어도 하나에 의해 상기 차단정책 설정값을 강화하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 장치.
  17. 서비스 서버의 CPU 및 메모리 사용률에 대한 정보를 수집하는 수집부;
    수집된 상기 정보를 분석하여 상기 서버가 비정상 상태인지 여부를 판단부; 및
    판단결과, 상기 서버가 비정상 상태이면, DDoS(Distributed Denial of Service) 공격을 차단하는 정책을 생성하여 적용하는 적용부를 포함하고,
    상기 적용부는,
    상기 DDoS 공격의 차단방법마다 공격 차단기능을 수행하기 위해 측정하는 현재 수치와 설정된 수치 간의 근접 여부를 비교하여 가장 근접한 차단방법을 선정하고, 선정된 상기 차단방법의 상기 DDoS 공격 차단 정책값을 상기 서버의 상태에 따라 조정하여 적용하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 장치.
  18. 제17항에 있어서, 상기 수집부는,
    수집된 상기 정보를 선입선출형으로 관리하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 장치.
  19. 제17항에 있어서,
    상기 비정상 상태는 위험(Emergency) 상태와 경고(Warning) 상태로 구분되되,
    상기 판단부는,
    상기 CPU 및 메모리의 현재 사용률이 위험 상태의 사용률보다 크면, 상기 서버의 상태를 비정상 상태로 판단하여 상기 서버의 상태를 위험(Emergency) 상태로 설정하고, 상기 현재 사용률이 경고 상태의 사용률 및 평균 사용률보다 크며, 상기 현재 사용률의 변동량이 평균 변동량보다 크면, 상기 서버의 상태를 비정상으로 판단하여 상기 서버의 상태를 경고(Warning) 상태로 설정하는 것
    인 DDoS 공격 차단 정책의 자동화된 제어 장치.


  20. 삭제
KR1020100082074A 2010-08-24 2010-08-24 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 Expired - Fee Related KR101377462B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100082074A KR101377462B1 (ko) 2010-08-24 2010-08-24 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치
US13/216,486 US20120054823A1 (en) 2010-08-24 2011-08-24 Automated control method and apparatus of ddos attack prevention policy using the status of cpu and memory

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100082074A KR101377462B1 (ko) 2010-08-24 2010-08-24 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20120019010A KR20120019010A (ko) 2012-03-06
KR101377462B1 true KR101377462B1 (ko) 2014-03-25

Family

ID=45698945

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100082074A Expired - Fee Related KR101377462B1 (ko) 2010-08-24 2010-08-24 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치

Country Status (2)

Country Link
US (1) US20120054823A1 (ko)
KR (1) KR101377462B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101710928B1 (ko) 2015-09-04 2017-03-13 숭실대학교산학협력단 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013112606A1 (en) 2012-01-24 2013-08-01 Strebe Matthew Methods and apparatus for managing network traffic
US9172721B2 (en) 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
CN104348811B (zh) * 2013-08-05 2018-01-26 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置
US9560075B2 (en) * 2014-10-22 2017-01-31 International Business Machines Corporation Cognitive honeypot
RU2676021C1 (ru) * 2017-07-17 2018-12-25 Акционерное общество "Лаборатория Касперского" Система и способ определения DDoS-атак
CN114629694B (zh) * 2022-02-28 2024-01-19 天翼安全科技有限公司 一种分布式拒绝服务DDoS的检测方法及相关装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004246692A (ja) 2003-02-14 2004-09-02 Canon Inc サーバ監視システム

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7603709B2 (en) * 2001-05-03 2009-10-13 Computer Associates Think, Inc. Method and apparatus for predicting and preventing attacks in communications networks
US7028179B2 (en) * 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
JP2003309645A (ja) * 2002-04-17 2003-10-31 Ntt Docomo Inc 輻輳状況判定システム、交換装置、通信制御装置、基地局装置、輻輳状況判定方法
US7426634B2 (en) * 2003-04-22 2008-09-16 Intruguard Devices, Inc. Method and apparatus for rate based denial of service attack detection and prevention
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
US7533173B2 (en) * 2003-09-30 2009-05-12 International Business Machines Corporation Policy driven automation - specifying equivalent resources
KR100558727B1 (ko) * 2003-10-08 2006-03-10 기아자동차주식회사 조립장치
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
JP2005301436A (ja) * 2004-04-07 2005-10-27 Hitachi Ltd クラスタシステムおよびクラスタシステムにおける障害回復方法
US20050257014A1 (en) * 2004-05-11 2005-11-17 Nobuhiro Maki Computer system and a management method of a computer system
WO2005114488A2 (en) * 2004-05-21 2005-12-01 Computer Associates Think, Inc. System and method for actively managing service-oriented architecture
US7698403B2 (en) * 2004-06-30 2010-04-13 Intel Corporation Automated management system generating network policies based on correlated knowledge to modify operation of a computer network
US7979368B2 (en) * 2005-07-01 2011-07-12 Crossbeam Systems, Inc. Systems and methods for processing data flows
US7647405B2 (en) * 2006-02-06 2010-01-12 International Business Machines Corporation Method for reducing variability and oscillations in load balancing recommendations using historical values and workload metrics
US20070261124A1 (en) * 2006-05-03 2007-11-08 International Business Machines Corporation Method and system for run-time dynamic and interactive identification of software authorization requirements and privileged code locations, and for validation of other software program analysis results
US8001601B2 (en) * 2006-06-02 2011-08-16 At&T Intellectual Property Ii, L.P. Method and apparatus for large-scale automated distributed denial of service attack detection
US8510834B2 (en) * 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
US8141127B1 (en) * 2006-10-24 2012-03-20 Nextier Networks, Inc. High granularity reactive measures for selective pruning of information
GB0623101D0 (en) * 2006-11-20 2006-12-27 British Telecomm Secure network architecture
KR100922579B1 (ko) * 2006-11-30 2009-10-21 한국전자통신연구원 네트워크 공격 탐지 장치 및 방법
US7818621B2 (en) * 2007-01-11 2010-10-19 International Business Machines Corporation Data center boot order control
US9270594B2 (en) * 2007-06-01 2016-02-23 Cisco Technology, Inc. Apparatus and method for applying network policy at virtual interfaces
US20080319925A1 (en) * 2007-06-21 2008-12-25 Microsoft Corporation Computer Hardware Metering
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
US8290841B2 (en) * 2008-08-21 2012-10-16 International Business Machines Corporation System and method for automatically generating suggested entries for policy sets with incomplete coverage
US9166990B2 (en) * 2009-02-09 2015-10-20 Hewlett-Packard Development Company, L.P. Distributed denial-of-service signature transmission
US9656092B2 (en) * 2009-05-12 2017-05-23 Chronicmobile, Inc. Methods and systems for managing, controlling and monitoring medical devices via one or more software applications functioning in a secure environment
US8365007B2 (en) * 2009-09-10 2013-01-29 Time Warner Cable, Inc. System for controlling the state of a switched digital video system and method therefor
US20110197253A1 (en) * 2010-02-08 2011-08-11 Comodo Security Solutions, Inc. Method and System of Responding to Buffer Overflow Vulnerabilities

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004246692A (ja) 2003-02-14 2004-09-02 Canon Inc サーバ監視システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101710928B1 (ko) 2015-09-04 2017-03-13 숭실대학교산학협력단 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템

Also Published As

Publication number Publication date
US20120054823A1 (en) 2012-03-01
KR20120019010A (ko) 2012-03-06

Similar Documents

Publication Publication Date Title
KR101377462B1 (ko) CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치
US7114183B1 (en) Network adaptive baseline monitoring system and method
US8949668B2 (en) Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model
US20160103724A1 (en) System and method for detecting and predicting anomalies based on analysis of time-series data
US6742128B1 (en) Threat assessment orchestrator system and method
JP5960978B2 (ja) 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
JP2010531553A (ja) ネットワーク異常検出のための統計的方法およびシステム
KR100466214B1 (ko) 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
CN118337512B (zh) 一种基于深度学习的网络信息入侵检测预警系统及方法
US11647029B2 (en) Probing and responding to computer network security breaches
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
Huang et al. Communication-efficient tracking of distributed cumulative triggers
KR101769442B1 (ko) 사물 인터넷 게이트웨이를 활용한 보안 관제 방법 및 시스템
WO2016038662A1 (ja) 情報処理装置及び情報処理方法及びプログラム
JP4952437B2 (ja) ネットワーク監視装置、ネットワーク監視システム
CN118828514B (zh) 一种智能终端安全风险评估系统及方法
JP2008022498A (ja) ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム
KR101326804B1 (ko) 분산서비스거부 공격 탐지 방법 및 시스템
KR20140052343A (ko) 영상 분석 필터의 우선 순위를 이용하는 영상 분석 시스템 및 영상 분석 방법
CN107634944B (zh) 一种信息异常的判断方法、判断系统及计算机装置
KR20080040257A (ko) 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
CN114500063B (zh) 网络资产的分区感知威胁的方法、装置、系统及存储介质
CN116560764B (zh) 应用程序接口控制方法和装置
CN119052119B (zh) 一种网络数据的分析方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20100824

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20130912

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140228

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140318

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140318

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20170224

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20170224

Start annual number: 4

End annual number: 4

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

Termination category: Default of registration fee

Termination date: 20181229