-
公开(公告)号:KR1020110022141A
公开(公告)日:2011-03-07
申请号:KR1020090079569
申请日:2009-08-27
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1458 , H04L63/1416 , H04L63/168
Abstract: PURPOSE: A device and a method for detecting and blocking service attack of applied layer distribution are provided to enable a general user to continuously use a service by removing only attacker traffic by exactly extracting an internet address of an attacker. CONSTITUTION: An information collecting unit(104) monitors a service request packet which a plurality of server and a client request during a preset monitoring time. The information collecting unit collects data information transmitted by applied layer. A monitoring unit(106) set the monitoring time. The monitoring unit extracts traffic information in data information collected during a set monitoring time. An analyzing unit(108) determines whether an attack traffic exists or not by comparing the extracted traffic information with a previously learned traffic model.
Abstract translation: 目的:提供一种用于检测和阻止应用层分布的服务攻击的设备和方法,以使普通用户能够通过精确提取攻击者的互联网地址来仅消除攻击者流量来持续使用服务。 构成:信息收集单元(104)在预设的监视时间内监视多个服务器和客户端请求的服务请求分组。 信息收集单元收集应用层发送的数据信息。 监视单元(106)设置监视时间。 监视单元提取在设定的监视时间内收集的数据信息中的交通信息。 分析单元(108)通过将所提取的交通信息与先前学习的交通模型进行比较来确定是否存在攻击流量。
-
公开(公告)号:KR101269552B1
公开(公告)日:2013-06-04
申请号:KR1020090105112
申请日:2009-11-02
Applicant: 한국전자통신연구원
Abstract: HTTP를 이용한 서버와 클라이언트 간의 통신에서, 클라이언트로부터 서버로 전송되는 불완전한 GET 요청 메시지에 의한 서비스 거부(DoS) 공격을 탐지하는 방법이 제공된다. 상기 클라이언트가 전송하는 하나의 GET 요청 메시지의 GET 요청 패킷 개수를 카운팅하는 과정을 포함한다. 만약 클라이언트가 전송하는 하나의 GET 요청 메시지가 TCP(Transmission Control Protocol)에서 설정된 MSS값(Maximum Segment Size)보다 클 경우 GET 요청 메시지를 MSS값에 따라 분할하여, 상기 서버로 전송하는 분할된 GET 요청 패킷 개수를 카운팅하는 과정 또한 포함하고, 상기 MSS값을 이용하여 상기 클라이언트가 상기 서버로 하나의 GET 요청 메시지를 분할하여 전송 할 수 있는 패킷의 최대 개수(이하 분할된 GET 요청 최대 패킷 개수)를 계산하는 과정 및 상기 분할된 GET 요청 패킷의 카운팅 된 개수와 상기 분할된 GET 요청 최대 패킷 개수를 비교하여 상기 GET 요청 메시지의 정상 여부를 판단하는 과정을 포함한다.
-
公开(公告)号:KR101231801B1
公开(公告)日:2013-02-08
申请号:KR1020090086063
申请日:2009-09-11
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: 응용 계층(application layer)에 대한 외부 해커(hacker)들의 공격, 예컨대 분산 서비스 거부(Distribute Denial of Service, DDoS) 공격을 탐지하고 대응하기 위해서, 종래에는 전송률 제한(rate limit) 등의 기술을 이용하고 있다. 이러한 기술들은, 완화된 공격 패킷(packet)이 그대로 서버에 전달되어 서버의 부하가 발생하는 부정 오류(false negative) 현상과, 정상적으로 서비스 요청한 사용자의 패킷이 차단되는 긍정 오류(false positive) 발생 위험을 동시에 지닌다는 문제가 있다. 이에 본 발명에서는, 웹 등의 응용 계층의 서비스를 방해하는 분산 서비스 거부 공격 및 패킷을 정확히 탐지하고 방어할 수 있는 응용 계층 보호 기술을 제안하고자 한다.
DDoS, 해킹, 패킷-
Patent Agency Ranking
公开(公告)号:KR101196325B1
公开(公告)日:2012-11-01
申请号:KR1020090081900
申请日:2009-09-01
Applicant: 한국전자통신연구원
Abstract: 본 발명은 분산서비스거부 공격 탐지장치 및 방법에 관한 것이다. 즉, 본 발명에서는 HTTP 1.1 프로토콜 기반의 서버와 클라이언트로 이루어지는 네트워크상에서 분산서비스거부 공격을 탐지하는 방법에 있어서, HTTP 1.1 프로토콜을 적용하여 연결 유지 기능을 바탕으로 다수의 GET 요청을 허용하는 서버와 클라이언트로 구성되는 네트워크상 서버의 응용 계층에서 하나의 세션을 통해 반복적으로 GET 요청을 하는 분산서비스거부 공격에 대해 클라이언트의 다수의 GET 요청과 서버의 응답 패킷의 순서를 모니터링하여 서버의 응답완료 전에 또 다른 GET 요청을 전송하는 트래픽을 분산서비스거부 공격의 트래픽으로 판단하는 방식으로 보다 용이하게 분산서비스거부 공격을 탐지할 수 있도록 한다.
HTTP, DDoS, 분산서비스거부, 트래픽, GET-
公开(公告)号:KR101250899B1
公开(公告)日:2013-04-04
申请号:KR1020090079569
申请日:2009-08-27
Applicant: 한국전자통신연구원
Abstract: 본 발명은 응용계층 분산 서비스 거부 공격 탐지 및 차단 기술에 관한 것으로, 모든 프로그램의 응용계층을 대상으로 시도되는 다양한 DDoS 공격을 트래픽의 양을 기반으로 탐지하는 것이 아니라, 사전에 정의한 정상 트래픽 모델과 비교하여 공격 여부를 판단함으로써, 비록 공격 트래픽의 양이 정상 상황하의 트래픽 양과 비교해 많지 않더라도, 발생되는 공격을 탐지하고, 공격의 탐지 결과 특정 공격자의 IP주소를 도출하여, 해당 공격자로부터 전달되는 공격 트래픽만을 원하는 기간 동안 차단할 수 있도록 구현하는 것을 특징으로 한다. 본 발명에 의하면, 정상 사용자의 트래픽을 보호하고 서비스의 지속성을 확보할 수 있다.
응용계층, 분산서비스거부(DDoS) 공격, 공격 트래픽 모델링-
公开(公告)号:KR1020110006566A
公开(公告)日:2011-01-20
申请号:KR1020090086063
申请日:2009-09-11
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1441 , H04L63/1416 , H04L63/168
Abstract: PURPOSE: A method and an apparatus for protecting an application layer in a network are provided to detect a DDoS(Distributed Denial of Service) attacker without a false alarm by detecting and taking a measure for an IP or packet which generates a FIN packet just after the occurrence of a GET packet. CONSTITUTION: If a data providing server transfers a SYN+ACK packet, an application layer protection server changes a first state(S1) into a second state(S2). If a client generates a GET packet, the server changes a third state(S3) into an attack detection state(S4). If the response of the data providing server is monitored in priority, the server changes a fourth state(S4) into a sixth state(S6). When the client generates a RESET packet or FIN packet, the server judges the current client as an application layer attack client.
Abstract translation: 目的:提供一种用于保护网络中的应用层的方法和装置,通过检测并采取紧随其后生成FIN数据包的IP或数据包来检测DDoS(分布式拒绝服务)攻击者,而不会发生虚假警报 发生一个GET数据包。 规定:如果数据提供服务器传送SYN + ACK数据包,则应用层保护服务器将第一状态(S1)改变为第二状态(S2)。 如果客户端生成GET数据包,则服务器将第三状态(S3)改变为攻击检测状态(S4)。 如果优先监视数据提供服务器的响应,则服务器将第四状态(S4)改变为第六状态(S6)。 当客户端生成RESET数据包或FIN数据包时,服务器将当前客户端判断为应用层攻击客户端。
-
公开(公告)号:KR1020110048349A
公开(公告)日:2011-05-11
申请号:KR1020090105112
申请日:2009-11-02
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L63/1458 , H04L67/02
Abstract: PURPOSE: A method for detecting a service denial attack by low traffic and apparatus thereof are provided to accurately determine a service denial attack by using incomplete GET method request packet. CONSTITUTION: If one GET require-message is longer than an MSS(Maximum Segment Size) value in a TCP(Transmission Control Protocol), a client partitions one GET require-message according to MSS. The client counts the number of packets that are transmitted to a server(S522). The client calculates the maximum number of the GET request packets that are transmitted to the server. The client determines service denial attack of the GET require-message.
Abstract translation: 目的:提供一种用于检测低业务的服务拒绝攻击的方法及其装置,以通过使用不完整的GET方法请求分组来准确地确定服务拒绝攻击。 规定:如果一个GET要求消息比TCP(传输控制协议)中的MSS(最大段大小)值更长,则客户端根据MSS分配一个GET要求消息。 客户端计算发送到服务器的数据包数(S522)。 客户端计算发送到服务器的GET请求数据包的最大数量。 客户端确定GET require-message的服务拒绝攻击。
-
公开(公告)号:KR1020110006565A
公开(公告)日:2011-01-20
申请号:KR1020090081900
申请日:2009-09-01
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1458 , H04L63/1416 , H04L63/168
Abstract: PURPOSE: A distributed denial of a service attack search apparatus and a method thereof are provided to monitor the plural GET requests of a client for the DDoS(Distributed Denial of Service) and the order of response packets of a server sequentially to judge the traffic, which transfers another GET request, as the traffic of the DDoS before the response completion of the server. CONSTITUTION: A DDos(Distributed Denial of Service) detection apparatus(200) includes a monitoring unit(202) and an attack detection unit(204). The monitoring unit monitors plural GET requests and responses. According to the session setting between a client(100) and a server(110), the plural GET requests and responses are transmitted and received. The DDoS detection unit analyzes the monitored GET requests and responses, and detects the traffic of DDoS for the server.
Abstract translation: 目的:提供一种分布式拒绝服务攻击搜索装置及其方法,用于依次监视客户端针对DDoS(分布式拒绝服务)的多个GET请求和服务器的响应分组顺序,以判断流量, 它将另一个GET请求作为DDoS的流量在服务器的响应完成之前传输。 构成:DDos(分布式拒绝服务)检测装置(200)包括监视单元(202)和攻击检测单元(204)。 监视单元监视多个GET请求和响应。 根据客户机(100)和服务器(110)之间的会话设置,发送和接收多个GET请求和响应。 DDoS检测单元分析监控的GET请求和响应,并检测服务器的DDoS流量。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.022 seconds)
