KR20080010095A - 개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지구조와 이를 이용한 탐지 알고리즘. - Google Patents

Abstract

본 발명은 분산 서비스 거부 공격 탐지를 목적으로 기존 블룸필터(Bloom filter)기반의 탐지 기법을 개선하여 탐지 결과의 정확도를 높이는 자료 구조 및 탐지 알고리즘에 관한 것이다. 기존 블룸필터 기반의 탐지 기법은 근원지 라우터에서 전송되는 패킷(packet)의 수를 동일한 목적지 IP(Internet Protocol) 주소별로 측정하여 분산 서비스 거부 공격(DDoS:distributed denial of service)을 실시간으로 탐지하는 기법이다. 그러나 목적지 IP 주소의 세부주소들이 서로 독립적인 테이블로 운영되는 기법이기 때문에 오탐지율이 높은 문제점을 가진다. 따라서 본 발명은 기존 기법의 높은 오탐지율을 줄이기 위해 목적지 IP 주소를 이루는 세부주소들 간의 연관성을 유지하는 테이블 구조를 고안함으로써 정확도가 높은 DDoS 탐지 기법을 제공한다.

보안, 서비스 거부 공격, 분산 서비스 거부 공격, 트래픽 모니터링, 비정상 트래픽 탐지

Description

개선된 블룸필터 기반의 분산 서비스 거부 공격 탐지 구조와 이를 이용한 탐지 알고리즘.{Data structure and algorithm of destination IP address monitoring for detecting DDoS attack}

도 1 은 종래 기술에 따른 블룸필터 기반의 트래픽 측정을 위한 자료 구조이다.

도 2는 본 발명에 의해 고안된 구조로서 목적지 IP 주소의 각 세부주소들 간의 연관성을 갖는 테이블을 도 1에 추가한 자료 구조이다.

도 3은 본 발명에 의해 고안된 도 2의 자료 구조를 기반으로 비정상(공격) 트래픽의 정확한 탐지를 위한 알고리즘의 순서도이다.

분산 서비스 거부 공격의 주요 특성은 취약성이 노출된 여러 호스트(host)에 에이전트 프로그램(agent program)을 설치한 후 원격으로 조정하여 특정 시스템으로 동시에 많은 패킷을 전송하여 해당 시스템의 자원을 소모시켜 정상적인 서비스를 제공할 수 없도록 방해한다.

본 발명은 이러한 분산 서비스 거부 공격의 탐지를 목적으로 하는 기술로 패킷의 목적지 IP 주소를 기준으로 특정 목적지로 전송되는 패킷들의 양을 일정 시간동안 모니터링하여 공격을 탐지하는 기법이다.

분산 서비스 거부 공격의 탐지를 위한 종래의 기술로서 패킷들의 목적지 IP 주소를 모니터링하는 블룸필터 기반의 기술이 있다. 블룸필터 기반의 탐지 기술의 자료구조는 도 1과 같이 2차원의 테이블 구조[X][Y]로 되어 있다. X는 점으로 구분되는 IP 세부주소의 개수를 표현하고 Y는 각 세부주소가 표현할 수 있는 해당 공간(Space)의 수를 나타낸다. IPv4 표준에서는 X는 4이며 Y는 0～255사이의 값이 된다. 도 1의 구조에서 각 세부주소를 테이블의 인덱스(index)로 변환하기 해쉬함수를 적용한다. 예를 들어 IP 주소 ‘210.117.162.55' 에서 세부주소를 표현하는 X는 4가 되며, 해쉬함수에 의해 각각의 세부주소는 인덱스 값(Y:'210‘,’117‘,’162‘,’55')으로 변환된다. 또한 인덱스의 해당 공간 값은 카운터로서 동일 세부주소를 갖는 패킷이 전송될 때마다 1씩 증가된다. 결과적으로 각 테이블의 공간에 저장되는 값은 해당 세부 주소를 가진 패킷이 전송된 횟수를 나타낸다. 이러한 과정을 통해 4개의 세부주소에 대한 공간들의 값은 계속 증가하게 되고 전송되는 패킷의 목적지 IP 주소의 인덱스에 해당되는 4개의 공간 값 모두가 미리 정해진 임의의 임계값을 초과했을 경우 그 목적지 IP 주소로 향하는 패킷은 비정상 트래픽으로 간주한다.

그러나 종래의 기술은 도 1과 같이 세부주소를 독립적으로 관리함으로서 하나의 공간이 유일한 IP 주소에 의해서 증가되는 것이 아니라 서로 다른 목적지 IP 주소이지만 부분적으로 동일한 세부주소를 가지는 IP 주소들이 많이 발생할 경우, 해당 공간 값을 빠르게 증가시키는 문제점이 있다. 예를 들어 '201.x.x.x', 'x.117.x.x', 'x.x.162.x' 그리고 'x.x.x.55' 에 해당하는 목적지 IP 주소들이 많이 발생하였다고 하자. 이 때 '210.117.162.55'을 가지는 IP 주소는 적게 발생하더라도 이미 각 세부 주소를 가리키는 공간의 값들이 증가되어 임의 임계값을 쉽게 초과하게 되므로 공격 트래픽으로 오인하게 되는 것이다. 따라서 오탐지율이 증가하게 되는 문제점을 가진다.

종래의 기술은 4개의 테이블로 이루어진 간단한 자료 구조로서 메모리 공간을 적게 점유하면서도 많은 양의 패킷들을 실시간으로 모니터링할 수 있는 장점이 있다. 하지만 앞에서 언급한 것과 같이 오탐지율이 높은 문제점을 가지고 있다. 그러므로 본 발명은 종래 기술이 갖고 있는 장점을 그대로 유지하면서 공격 탐지의 정확성을 높이는 탐지 구조 및 알고리즘을 구현하는데 목적이 있다.

상기 기술적 과제를 해결하기 위해 본 발명에서 고안한 탐지 구조는 도2와 같다.

도 2는 종래 기술의 오탐지율을 줄이기 위해 새로 고안한 자료 구조로서, 크게 4개의 기본 테이블(Base table)과 1개의 추가 테이블(Extra table)로 구성되며, 각 기본 테이블은 기본 해쉬 함수를 적용하고 추가 테이블은 추가 해쉬 함수를 적용한다. 기본 테이블은 앞에서 언급한 종래 기술의 테이블 방식과 동일하게 인덱스를 생성하며, 추가 테이블은 세부 주소간의 연관성을 갖기 위해 추가 해쉬 함수를 사용하여 인덱스 값을 생성한다. 실제적인 예로 전송되는 패킷의 목적지 IP 주소가 '210.117.162.55'일 경우, 점으로 구분되는 4개의 세부 주소는 기본 해쉬 함 수에 의해 각각 4개의 인덱스 ‘210’, ‘117’, ‘162’, ‘55’로 변환될 수 있으며 해쉬 함수를 다르게 적용함에 따라 인덱스는 달라질 수 있다. 추가 해쉬 함수 또한 세부 주소들의 비트(Bit)연산을 수행하여 인덱스 값을 생성하며 선택하는 연산에 따라 다른 인덱스 값은 달라질 수 있다. 따라서 패킷 하나가 발생되면 5개의 인덱스가 생성되고 인덱스 값에 따라 5개 테이블의 해당 공간 값이 1씩 증가된다. 도 2에서 추가 테이블을 한 개 사용한 것은 제한이 아닌 예시로 네트워크 환경에 따라 추가 테이블을 확장하여 여러 개를 사용할 수 있다. 만약 추가 테이블을 확장하여 여러 개를 사용할 경우 추가 해쉬 함수 또한 동수만큼 존재하며, 해쉬 함수에적용되는 세부주소들 개수는 다양하게 조합할 수 있다.

도 3은 도 2의 탐지 구조를 이용한 DDoS 공격 탐지 알고리즘의 순서도이다.

1. 패킷이 발생되면 패킷의 IP 헤더(Header)값을 분리하여 목적지 IP 주소를 읽어온다(301).

2. 목적지 IP 주소에서 점으로 구분된 각 세부 주소들은 기본 해쉬 함수에 의해 인덱스로 변환된다(302).

2-1. 변환된 인덱스 값은 4개의 기본 테이블 인덱스가 되어 해당 공간 값을 1씩 증가시킨다 (303).

3. 알고리즘 2번과 동시에 추가 해쉬 함수를 사용하여 각 세부주소들 간의 공통 인덱스 값을 생성한다(304).

3-1. 추가 해쉬 함수에 의해 생성된 공통의 인덱스 값에 해당하는 추가 테이블의 공간 값을 1만큼 증가시킨다(305).

4. 기본 테이블과 추가 테이블의 5개 인덱스에 해당하는 공간 값들 모두를 임의의 임계값과 비교하여 5개의 모든 공간 값이 임계값을 초과(306)했을 경우 그 목적지 IP 주소로 향하는 패킷은 비정상 트래픽으로 판별한다(307).

본 발명은 기존 블룸 필터 기반의 탐지 기법의 문제점인 오탐지율을 줄이기 위해 IP 세부 주소들 간의 연관성을 갖는 테이블을 추가하여 성능을 개선한 방법으로 종래 기술의 실시간 트래픽 탐지 기능을 그대로 유지하면서 트래픽 양을 더 정확히 측정함으로서 효과적으로 DDoS 공격을 탐지한다.

Claims (2)

1. 종래 기술인 블룸 필터 기반의 탐지 구조를 기반으로 IP 세부 주소들 간의 연관성을 갖는 테이블을 추가로 설계한 자료 구조
2. 제 1 항에 있어서,

   추가로 설계한 테이블 구조를 이용하여 탐지 결과의 정확도를 높인 탐지 알고리즘.

Images