정보과학회 논문지 (Journal of KIISE)

  • 제43권5호
  • /
  • Pages.596-605
  • /
  • 2016
  • /
  • 2383-630X(pISSN)
  • /
  • 2383-6296(eISSN)
한국정보과학회 (Korean Institute of Information Scientists and Engineers)
권호 표지
DOI QR코드

DOI QR Code

정책기반의 분산서비스거부공격 대응방안 연구

Policy Based DDoS Attack Mitigation Methodology

  • 김혁준 ((주)나루씨큐리티 기술연구소) ;
  • 이동환 (국방과학연구소 기술연구소) ;
  • 김동화 (국방과학연구소 기술연구소) ;
  • 안명길 (국방과학연구소 기술연구소) ;
  • 김용현 (국방과학연구소 기술연구소)
  • 투고 : 2015.11.02
  • 심사 : 2016.02.23
  • 발행 : 2016.05.15
⟨ 이전 논문 다음 논문 ⟩

초록

2009년 이후 정부 및 민간부문에서는 DDoS 방어체계 구축을 위해 수백억 원의 예산을 투입해 왔으며, 그 결과 많은 정부 및 민간분야에 DDoS 대응을 위한 전용장비가 설치되었다. 그러나 이러한 기관 역시 DDoS 공격 발생 시 성공적인 방어가 이루어지지 않는 경우가 많은데, 이는 DDoS 대응 장비가 특정 공격 행위에만 대응할 수 있는 시그니처 중심의 방어 구조를 따르고 있기 때문이다. 이에 비해 방어자원 관점의 정책적 대응방법을 통할 경우, 공격 기법과 상관없이 서비스 자원의 가용성 확인을 통하여 시스템 이상여부 및 공격 유형의 종류를 확인할 수 있으며, 공격에 대한 대응 정책 또한 손쉽게 도출할 수 있다. 본 고에서는 기존의 공격 행위 중심의 방어체계에서 벗어나 방어자 관점의 DDoS 탐지 기법을 소개하고, 이를 통해 정책기반 서비스거부공격 대응방안을 제시한다.

Since the Denial of Service Attack against multiple targets in the Korean network in private and public sectors in 2009, Korea has spent a great amount of its budget to build strong Internet infrastructure against DDoS attacks. As a result of the investments, many major governments and corporations installed dedicated DDoS defense systems. However, even organizations equipped with the product based defense system often showed incompetency in dealing with DDoS attacks with little variations from known attack types. In contrast, by following a capacity centric DDoS detection method, defense personnel can identify various types of DDoS attacks and abnormality of the system through checking availability of service resources, regardless of the types of specific attack techniques. Thus, the defense personnel can easily derive proper response methods according to the attacks. Deviating from the existing DDoS defense framework, this research study introduces a capacity centric DDoS detection methodology and provides methods to mitigate DDoS attacks by applying the methodology.

키워드

참고문헌

  1. J. Mirkovic and P. Reiher, "A taxonomy of DDoS attack and DDoS defense mechanisms," ACM SIGCOMM Computer Communication Review, Vol. 34, Issue 2, pp. 39-53, Apr. 2004. https://doi.org/10.1145/997150.997156
  2. S.M. Specht and R.B. Lee, "Distributed Denial of Service: Taxonomies of Attacks, Tools and Countermeasures," Proc. of the 17th Int'l Conf. Parallel and Distributed Computing Systems (PDCS 2004), Sep. 2004.
  3. M Ahn, D. Lee, H. Oh, W. Cho, and Y. Kim, "Research on M&S System Architecture and Technology for Effect Analysis and Training/Test based Cyber warfare," Journal of KIMST : Information and Communication Technology, pp. 1230-1231, Jun. 2015. (in Korean)
  4. W. Eddy, "TCP SYN Flooding Attacks and Common Mitigations," RFC 4987, Aug. 2007.
  5. J. Touch, "TCP Control Block Interdependence," RFC 2140, Apr. 1997.
  6. W. Richard, Stevens, "TCP/IP Illustrated: The protocols," Addison-Wesley professional computing series, pp. 229-260, 2004.
  7. E. Zuckerman, , H. Roberts, R. McGrady, J. York and J. Palfrey, John G(2010, Dec 20). 2010 Report on Distributed Denial of Service (DDos) Attacks. [Online]. Available: http://papers.ssrn.com/sol3/papers. cfm?abstract_id=1872065 (downloaded 2016, Feb. 29)
  8. H. Kim and S. Lee, "Categorising Denial of Service Attack Through Network Forensics," Journal of KIISC : Network Secycurity, Vol. 21, No. 4, pp. 7-74, Jun. 2011. (in Korean)
  9. W. O Chee and T. Brennan, "H...t....t...p...p...o...s...t," presentation at OWASP AppSec Conference, Washington, D.C., 2010.
  10. L. Liu, X. Zhang, and S. Chen, "Botnet with Browser Extensions", Privacy, Security, Risk and Trust (PASSAT) and 2011 IEEE Third Inernational Conference on Social Computing (SocialCom), 2011 IEEE Third International Conference on. IEEE, pp. 1089-1094, 2011.