근거리 통신망에서의 DDoS 봇넷 탐지 시스템 구현

Abstract

단일 공격과 달리 DDoS 공격들은 네트워크에 분산된 봇넷이 동시에 타겟 서버에 공격을 개시한다. 이 경우 타겟 서버에서는 정상적인 사용자의 편의를 고려해야 하기 때문에 DDoS로 간주되는 패킷에 대하여 접속거부 조치를 취하기 어려운 점이 있다. 이를 고려하여 본 논문에서는 사용자 네트워크단위로 DDoS 공격을 탐지하고 네트워크 관리자가 조치를 취할 수 있도록 하여 전체적으로 봇넷의 규모를 줄여서 타겟 서버의 부담을 줄일 수 있는 DDoS 봇넷 탐지 시스템을 구현 하였다. 본 논문에서 제안한 DDoS 봇넷 탐지 시스템은 공격 트래픽의 시간 단위 흐름을 분석하고 수집한 이상상태에 대한 데이터베이스를 바탕으로 공격을 탐지 하도록 프로그램을 구현하였다. 그리고 패킷들의 평균개수와 표준편차를 이용하여 현재 트래픽의 임계치(Threshold)를 계산하고 이 임계치를 이용하여 DDoS 공격 여부를 판단하였다. 공격의 대상이 되는 서버를 중심으로 이루어졌던 봇넷 탐지 단위를 DDoS 봇에 감지된 공격 모듈이 속한 네트워크 단위 탐지로 전환함으로써 DDoS 공격에 대한 적극적인 방어의 개념을 고려해 볼 수 있었다. 따라서 DDoS와 DoS 공격의 차이점이라 할 수 있는 대규모 트래픽 흐름을 사전에 네트워크 관리자가 차단함으로써 봇넷의 규모를 축소시킬 수 있다. 또한, 라우터 장비 이하의 네트워크 통신에서 트래픽 공격을 사전에 차단할 수 있다면 타겟 서버의 부담뿐만 아니라 WAN 통신에서 라우터의 네트워크 부하를 상당부분 감소시킬 수 있는 효과를 얻을 수 있을 것으로 기대한다. Different Different from a single attack, in DDoS Attacks, the botnets that are distributed on network initiate attacks against the target server simultaneously. In such cases, it is difficult to take an action while denying the access of packets that are regarded as DDoS since normal user's convenience should also be considered at the target server. Taking these considerations into account, the DDoS botnet detection system that can reduce the strain on the target server by detecting DDoS attacks on each user network basis, and then lets the network administrator to take actions that reduce overall scale of botnets, has been implemented in this study. The DDoS botnet detection system proposed by this study implemented the program which detects attacks based on the database composed of faults and abnormalities collected through analyzation of hourly attack traffics. The presence of attack was then determined using the threshold of current traffic calculated with the standard deviation and the mean number of packets. By converting botnet-based detection method centering around the servers that become the targets of attacks to the network based detection, it was possible to contemplate aggressive defense concept against DDoS attacks. With such measure, the network administrator can cut large scale traffics of which could be referred as the differences between DDoS and DoS attacks, in advance mitigating the scale of botnets. Furthermore, we expect to have an effect that can considerably reduce the strain imposed on the target servers and the network loads of routers in WAN communications if the traffic attacks can be blocked beforehand in the network communications under the router equipment level.