$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] 다단계 방어기법을 활용한 DDoS 방어시스템 설계
The Design of Anti-DDoS System using Defense on Depth 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.22 no.3, 2012년, pp.679 - 689  

서진원 (이베이) ,  곽진 (순천향대학교 정보보호학과)

초록
AI-Helper 아이콘AI-Helper

2009년 7.7 DDoS 공격은 기존 DDoS공격과는 달리 감염 PC별로 적은 용량의 패킷 전송으로 웹페이지를 마비시켰으며, 또한 HTTP Flooding이라는 공격기법을 활용하여 공격을 성공한 사례였다. DDoS 공격은 시스템을 손상시키는 것이 아니라 일시적으로 서비스의 가용성해치는 것이므로, 효과적인 방어를 위해서는 공격자의 공격보다 높은 가용성을 확보하거나, 정확한 방어전략을 실행하여 서비스 시스템의 가용성을 확보하는 방법 등이 있다. 본 논문에서는 기존의 가용량 증설을 통한 방어기법과 달리, DDoS 공격의 특성에 기반하여 공격을 차단하여 서비스 시스템의 가용성을 확보하는 다단계 방어기법을 활용한 웹사이트 전용 DDoS 방어시스템 구축 방안을 제안한다.

Abstract AI-Helper 아이콘AI-Helper

There were clear differences between the DDoS attack on 7th July 2009 and the rest of them prior to the attack. Despite It had emitted relatively small sized packets per infected PC, the attack was very successful making use of HTTP Flooding attack by aggregating small sized packets from the well si...

Keyword

#DDoS   #Defense-in-Depth   #L3/L7 Layer defense  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 그러므로, 본 논문에서는 DDoS공격을 방어하기 위해서 현재 발생하는 DDoS 공격유형을 상세하게 분석하고 분석된 결과에 따라 방어전략을 수립하는 다단계 방어기법을 활용한 새로운 DDoS 방어시스템에 대하여 제안한다.
  • 이렇듯, 동시에 다양한 공격이 발생하는 경우에 대해서 기존의 방어장비가 효과적인 방어를 수행하지 못하면서 새로운 방어기법의 필요성이 제기되고 있다. 그러므로, 본 논문에서는 다양한 유형의 DDoS 공격을 방어하기 위해 방어계층을 다층적으로 구성하는 다단계 방어기법에 대하여 제안한다. 이를 위해 공격자의 DDoS 공격기법과 직접 피해를 입는 네트워크 계층을 응용하여 다단계 방어기법에 활용하도록 한다.
  • 그러므로, 본 논문에서는 기존의 DDoS 공격 패킷 형태별 분류방식이 아닌 DDoS 공격이 어떤 네트워크 계층에 영향을 미치는지에 대한 분석을 통해 다단계 방어기법을 활용한 DDoS 방어시스템에 대하여 제안한다.
  • ■ GET Flooding의 임계치 활용 : 다단계 방어 기법에서는 웹서비스로 유입되는 GET Flooding을 정상 사용자와 감염PC의 공격으로 구분하기 위해서 CPS(Connection Per Second)라는 개념을 도입하여 방어에 활용한다. 즉, 동일 발신지 주소에서 동일한 서비스 페이지를 초당 몇 번이나 GET 요청을 하는 것인가를 산술적으로 계산하는 것이다. 이는 정상사용자라면 동일한 페이지를 동일한 시간대에 지속적으로 요청하지 않는다는 사용자 패턴에 기반한 개념이다.
  • 본 논문에서는, 현재 발생하는 DDoS 공격에 대해서 효과적으로 방어하기 위해 공격을 계층별로 방어하는 다단계 방어기법을 활용한 DDoS 방어시스템을 제안하였다. 제안하는 시스템에서는 공격자가 대용량 패킷을 전송하는 SYN, UDP, ICMP Flooding 유형에 대해서는 L3계층에서, 또한 HTTP GET Flooding과 같은 어플리케이션 공격은 L7계층에서 방어하는 기법으로써 공격자의 다양한 공격을 동시에 방어할 수 있는 기존 방어와는 차별화된 방어기법을 제안하였다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
DDoS 공격 방어를 위해 해야하는 것은 무엇이 있는가? DDoS 공격은 시스템을 변조하거나 저장데이터를 손상시키는 것이 아니라 단지 일시적으로 서비스의 가용성을 해치는 것이다. 그러므로 DDoS 공격을 방어 하기 위해서는 첫 번째로 공격자의 공격량보다 높은 가용성을 확보하는 것이 중요하다 할 수 있다. 그리고두 번째로 공격자의 공격을 지속적으로 차단하면서 서비스 가용성을 확보하는 방법이 있다.
다단계 방어기법의 원리는 무엇인가? 앞서 말했듯이 다단계 방어기법은 계층별로 DDoS 공격에 대한 방어를 수행하는 개념이다. 공격 패킷이상위 계층(L7)으로 가기 위해서는 반드시 하위 계층 (L3)을 먼저 통과해야 하기 때문에, L3계층 방어에서 1단계 방어를 수행하고 2단계, 3단계에서 각각 방어를 수행하여 공격자의 공격트래픽을 감소시키는 원리로 방어를 수행하며 DDoS 공격과 방어를 수행하는 네트워크 계층을 연계시키면 아래의 [그림 3]과 같다.
한국인터넷진흥원에서 발간한 분산서비스거부공격 차단 및 분석기술에서는 ISP차원에서 DDoS 공격 방어를 제안하고 있는데 어떤 방법들이 있는가? 한국인터넷진흥원(이하 KISA)에서 2004년에 발간한 “분산서비스거부공격 차단 및 분석기술”[4]에서는 국내 대형 통신사인 ISP 차원에서 DDoS 공격 방어를 제안하고 있으며 여기에서는 블랙홀라우팅, uRPF, 싱크홀(Sinkhole) 등의 방법을 제안하고 있다. 그러나 이러한 방법은 주로 L3 Layer인 IP 레벨에서 제어가 가능한 방법으로 SYN/UDP/ICMP Flooding 방법에는 효과적이나 L7 Layer인 HTTP GET Flooding 등은 방어가 불가능하다는 단점을 내포하고 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (13)

  1. Jelena Mirkovic and Peter Reiher, "A Taxonomy of DDoS Attack and DDoS Defense Mechanisms," ACM SIGCOMM Computer Communication Review, pp. 39-32, Apr. 2004. 

  2. 구자현, "서비스 거부 공격(Denial of Service)의 유형 및 대응," 주간기술동향, 1377호, pp. 6, 2008. 

  3. 김정윤, 최형기, "분산 서비스 거부 공격과 그 특징에 관한 연구," 제27회 한국정보처리학회 춘계학술 발표대회, 14권, 1호, pp.1060-1062, 2007. 

  4. 인터넷침해사고대응지원센터, "분산서비스 거부 공격 차단 및 분석기술," KRCERT-TR-2004, 한국정보보호진흥원, pp. 17, 2004. 

  5. George Oikonomou, Jelena Mirkovic, Peter Reiher, and Max Robinson, "A Framework for A Collaborative DDoS Defense," Proceedings of the 22nd Annual Computer Security Applications Conference, pp. 33-42, Dec. 2006. 

  6. Eric Y. Chen, "AEGIS: An Active-Network-Powered Defense Mechanism against DDoS Attacks," IWAN2001, 92001. 

  7. Wei Zhang, Shize Guo, Kangfeng Zheng, and Yixian Yang, "A Defending Mechanism against DDoS Based on Registration and Authentication," The 9th International Conference for Young Computer Scientists, pp. 2192-2197, Nov. 2008, 

  8. Cheol-Joo Chae, Seoung-Hyeon Lee, Jae-Seung Lee, and Jae-Kwang Lee, "A Study of Defense DDoS Attacks using IP Traceback," 2007 International Conference on Intelligent Pervasive Computing, pp. 402-408, Oct. 2007. 

  9. "전문공격단체를 이용한 청부형 DDoS 공격과 대응," 인터넷침해사고 동향 및 분석월보 한국인터넷 진흥원, pp. 30-38, 2011년 3월. 

  10. "DDoS 대응장비 보안기능 요구사항", IT보안 인증사무국, pp. 3 2010. 1. 

  11. 오진태, 박동규, 장종수, 류재철, "사용자 의도 기반 응용계층 DDoS공격 탐지 알고리즘," 정보보호학회논문지, 21(1), pp. 39-52, 2011. 

    원문보기 상세보기

  12. 이재광, "DDoS 사이버대피소 & 대용량 패킷분석," 코드케이드2011 트레이닝코스 발표, pp. 22-68. 2011. 

  13. CAPTCHA, http://ko.wikipedia.org/wiki/CAPTCHA, 2012. 4. 

저자의 다른 논문 :

활용도 분석정보

상세보기
다운로드
내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로