公开(公告)号：KR101812403B1

公开(公告)日：2018-01-30

申请号：KR1020160010691

申请日：2016-01-28

Applicant: 동서대학교산학협력단

Inventor： 이상곤 ,  이훈재 ,  옥티엔유스투스에코 ,  임준휘

IPC: H04L29/06 ,  H04L29/08

Abstract: 본발명은 SDN에서의 DoS공격방어시스템및 이의구현방법에관한것으로서, 더욱상세하게는 SDN 아키텍쳐장치들간의메시지프로토콜에대한보안위협요소를분석하고이에따른보안요구조건을도출하며이에대한효율적인보안방법을구현하는기술에관한것이다. 본발명에따른 SDN에서의 DoS공격방어시스템은근거리, 도시권, 광역네트워크와같이유무선데이터교환이이루어지는통신망; 상기통신망상에서수집된데이터정보에대한전체트래픽을실시간으로모니터링하여서비스거부공격발생을감지하는서비스거부공격대응부; 상기서비스거부공격대응부에접속하여통신가능한기능과메모리및 마이크로프로세서를탑재하여연산기능이구비된클라이언트부; 상기서비스거부공격대응부와상기클라이언트부와통신을수행하고통신프로토콜및 암호화정보를제공하는메인서버부;로구성되는것을특징으로한다. 본발명에따른방어방법은백로그큐를검사하고 70%이상점유되면이를위험단계로판단하고모니터링을위해 sFlow를동작시키는모니터링시작단계; sFlow 에이전트가샘플링된 패켓을 sFlow 콜렉터로전송하는샘플링패켓전송단계; 상기 sFlow 콜렉터가다량의 SYN 패켓을송신하는것을탐지하여공격자를판단하고어플리케이션에알리는공격자판별단계; 상기공격자로판별된주소에서오는패켓을차단하기위한플로우테이블을설정하는네트워크디바이스의플로우테이블변경단계; 상기공격자주소에서송신되는패켓을차단하는플로우테이블을설정하여공격패켓을차단하는공격패켓차단단계; 트래픽구별을위하여내부주소는트래픽이목적지로가지는서버주소로설정하고외부주소는내부주소를제외한외부에서공격이가능한주소로정의하는주소그룹정의단계; 샘플링된 패켓의출발지주소를이용하여공격을판별하도록출발지주소로적용하고, 밸류는패켓의수를이용하기위해프레임으로설정하며필터는 SYN 패켓을적용하는플로우정의단계; 공격을판별하기위해초당패켓수의임계치를정의하는임계치정의단계; 상기 sFlow 콜렉터에의해임계치를초과하는이벤트를수신하는임계치이벤트수신단계; 오픈플로우컨트롤러에게외부공격자로부터온 트래픽을차단하도록지시하는패켓차단단계; 플로우테이블의엔트리가낭비되는것을막기위해상기플로우테이블의엔트리를제거하고공격자가공격을재개하면새로운이벤트가생성되어다시차단명령을수행하는차단해제단계;를포함하는것을특징으로한다.

公开(公告)号：KR1020170090161A

公开(公告)日：2017-08-07

申请号：KR1020160010691

申请日：2016-01-28

Applicant: 동서대학교산학협력단

Inventor： 이상곤 ,  이훈재 ,  옥티엔유스투스에코 ,  임준휘

IPC: H04L29/06 ,  H04L29/08

Abstract: 본발명은 SDN에서의 DoS공격방어시스템및 이의구현방법에관한것으로서, 더욱상세하게는 SDN 아키텍쳐장치들간의메시지프로토콜에대한보안위협요소를분석하고이에따른보안요구조건을도출하며이에대한효율적인보안방법을구현하는기술에관한것이다. 본발명에따른 SDN에서의 DoS공격방어시스템은근거리, 도시권, 광역네트워크와같이유무선데이터교환이이루어지는통신망; 상기통신망상에서수집된데이터정보에대한전체트래픽을실시간으로모니터링하여서비스거부공격발생을감지하는서비스거부공격대응부; 상기서비스거부공격대응부에접속하여통신가능한기능과메모리및 마이크로프로세서를탑재하여연산기능이구비된클라이언트부; 상기서비스거부공격대응부와상기클라이언트부와통신을수행하고통신프로토콜및 암호화정보를제공하는메인서버부;로구성되는것을특징으로한다. 본발명에따른방어방법은백로그큐를검사하고 70%이상점유되면이를위험단계로판단하고모니터링을위해 sFlow를동작시키는모니터링시작단계; sFlow 에이전트가샘플링된 패켓을 sFlow 콜렉터로전송하는샘플링패켓전송단계; 상기 sFlow 콜렉터가다량의 SYN 패켓을송신하는것을탐지하여공격자를판단하고어플리케이션에알리는공격자판별단계; 상기공격자로판별된주소에서오는패켓을차단하기위한플로우테이블을설정하는네트워크디바이스의플로우테이블변경단계; 상기공격자주소에서송신되는패켓을차단하는플로우테이블을설정하여공격패켓을차단하는공격패켓차단단계; 트래픽구별을위하여내부주소는트래픽이목적지로가지는서버주소로설정하고외부주소는내부주소를제외한외부에서공격이가능한주소로정의하는주소그룹정의단계; 샘플링된 패켓의출발지주소를이용하여공격을판별하도록출발지주소로적용하고, 밸류는패켓의수를이용하기위해프레임으로설정하며필터는 SYN 패켓을적용하는플로우정의단계; 공격을판별하기위해초당패켓수의임계치를정의하는임계치정의단계; 상기 sFlow 콜렉터에의해임계치를초과하는이벤트를수신하는임계치이벤트수신단계; 오픈플로우컨트롤러에게외부공격자로부터온 트래픽을차단하도록지시하는패켓차단단계; 플로우테이블의엔트리가낭비되는것을막기위해상기플로우테이블의엔트리를제거하고공격자가공격을재개하면새로운이벤트가생성되어다시차단명령을수행하는차단해제단계;를포함하는것을특징으로한다.

Abstract translation: 本发明涉及一种SDN中DoS攻击防御系统及其实现方法，尤其涉及一种SDN体系结构设备间消息协议安全威胁分析的系统和方法， 并且涉及实现该技术的技术。 根据本发明的SDN中的DoS攻击防御系统包括其中执行有线/无线数据交换的通信网络，诸如局域网，城域网和广域网; 拒绝服务攻击计数器，用于实时监控通信网络上收集的数据信息的总流量，以检测拒绝服务攻击的发生情况; 具有与拒绝服务攻击对象通信的功能的客户端单元，安装存储器和微处理器的功能以及计算功能; 以及用于与拒绝服务攻击对手和客户端单元进行通信并提供通信协议和加密信息的主服务器单元。 根据本发明的防御方法包括：监视开始步骤，检查积压队列并确定积压队列被占用积压队列的70％或更多和用于监视的操作sFlow; 采样分组传送步骤，其中sFlow代理将采样的分组传送到sFlow收集器; 攻击者识别步骤，检测所述sFlow收集器发送大量SYN分组并确定攻击者并通知所述应用程序; 用于设置用于阻止来自由攻击者确定的地址的分组的流表的网络设备的流表修改步骤; 通过设置用于阻止从攻击者地址发送的分组的流表来阻塞攻击分组的攻击分组阻塞步骤; 地址组定义步骤，将内部地址定义为除了内部地址之外具有作为目的地的通信量和作为可从外部攻击的地址的外部地址的服务器地址; 源地址用于使用采样的数据包的源地址来确定攻击，该值被设置为使用数据包数量的帧，过滤器被定义为应用SYN数据包的流量; 阈值定义步骤，用于定义每秒的分组数量的阈值以区分攻击; 阈值事件接收步骤，通过所述sFlow收集器接收超过阈值的事件; 分组阻止步骤，用于指示所述开放流控制器阻止来自外部攻击者的流量; 还有一个解除阻止步骤，即删除流表的条目以防止流表的条目被浪费，并在攻击者再次执行阻止命令并再次执行阻塞命令时生成新事件。