[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR101109669B1 - 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 - Google Patents

좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 Download PDF

Info

Publication number
KR101109669B1
KR101109669B1 KR1020100039332A KR20100039332A KR101109669B1 KR 101109669 B1 KR101109669 B1 KR 101109669B1 KR 1020100039332 A KR1020100039332 A KR 1020100039332A KR 20100039332 A KR20100039332 A KR 20100039332A KR 101109669 B1 KR101109669 B1 KR 101109669B1
Authority
KR
South Korea
Prior art keywords
host
zombie
cookie
server
module
Prior art date
Application number
KR1020100039332A
Other languages
English (en)
Other versions
KR20110119915A (ko
Inventor
노상균
윤영태
김동수
김요식
정윤정
김원호
한유정
이철원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100039332A priority Critical patent/KR101109669B1/ko
Priority to JP2010198017A priority patent/JP5250594B2/ja
Priority to US12/985,728 priority patent/US8706866B2/en
Priority to EP11151747.0A priority patent/EP2383954A3/en
Publication of KR20110119915A publication Critical patent/KR20110119915A/ko
Application granted granted Critical
Publication of KR101109669B1 publication Critical patent/KR101109669B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기 위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.
본 발명에 따른 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.

Description

좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법{Virtual server and method for identifying zombies and Sinkhole server and method for managing zombie information integrately based on the virtual server}
본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기 위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.
최근에 인터넷서비스가 다양화됨에 따라 인터넷 사용률이 증가하고 있으며, 이에 따라 컴퓨터 바이러스나 인터넷 웜과 등과 같은 악성코드들이 인터넷을 통해 널리 확산되어 사용자들에 많은 피해를 야기시키고 있다. 특히, 악성코드인 봇(bot)에 감염된 다수의 컴퓨터들이(이를 “봇넷”이라 함) 특정 웹서버로의 트래픽을 폭증시켜 웹서버가 정상 기능을 수행하지 못하도록 방해하는 DDoS(Distributed Denial of Service:분산서비스거부) 공격은 심각한 문제로 대두되고 있다.
봇에 감염된 컴퓨터는 컴퓨터 사용자의 의지에 상관없이 해커에 의해 조종당하여 악성행위를 수행하기 때문에 좀비 호스트라 불리운다. 이러한 봇의 감염을 막고 악성행위를 차단하기 위하여, 싱크홀 서버를 통하여 봇에 의한 악성행위를 차단하는 방법이 활용되고 있다.
기존의 싱크홀 서버를 이용한 악성행위 차단 방식은 좀비 호스트가 봇넷 제어 서버의 도메인에 대한 IP를 얻기 위하여 DNS(Domain Name Service)서버에 질의할 때 싱크홀 서버의 IP를 응답해주도록 하여 향후 좀비 호스트의 트래픽이 싱크홀 서버로 향하도록 함으로써 악성 해위를 차단하는 방식이다. 그러나, 이와 같은 방식은 알려진 봇넷 제어 서버의 도메인을 질의하는 좀비 호스트에만 국한되어 대응할 수 있다는 문제점이 있다.
본 발명은 전술한 문제점을 해결하기 위한 것으로, DDoS 공격의 주된 대상이 되는 웹서버들의 전단에 좀비식별을 위한 가상서버를 제공함으로써 인증받지 못한 호스트를 좀비로 식별하여 웹서버 접속을 원천 차단하는 것을 목적으로 한다.
또한, 본 발명은 가상서버에 의해 식별된 좀비 호스트 정보를 분석하여 좀비의 규모 및 분포를 파악함으로써 향후 2차 공격에 대비하도록 하는 것을 목적으로 한다.
전술한 목적을 달성하기 위해, 본 발명의 일실시예에 따른 좀비 식별 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.
본 발명의 다른 실시예에 따른 싱크홀 서버는, 웹서버의 전단에 배치되어 상기 웹서버에 접속을 시도하는 좀비를 식별하는 가상 서버로부터 제공된 좀비의 IP 주소들을 수집하고 상기 IP 주소들중에서 중복되는 IP 주소를 제거하는 중복 IP 제거 모듈과, 상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 좀비규모산정모듈과, 상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 지리분포파악모듈과,상기 산정된 좀비의 규모 및 상기 지리적 분포를 저장하는 좀비정보 DB를 포함한다.
본 발명의 또다른 실시예에 따른 좀비식별방법은, 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하는지 판단하는 단계; 상기 접속요청 메시지가 쿠키를 포함하지 않은 경우에 상기 호스트에 자동접속방지 페이지를 전송하는 단계;상기 호스트로부터 상기 자동접속방지 페이지에 대한 정답이 수신되면 상기 호스트의 IP 주소에 대응하는 쿠키를 전송하는 단계; 상기 접속요청 메시지가 쿠키를 포함한 경우에 상기 접속 요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값이 상기 호스트의 IP 주소에 대응하는 쿠키값인지 검증하는 단계; 및 상기 쿠키값의 검증에 실패한 경우 상기 웹서버로의 접속을 차단하고 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 단계를 포함한다.
본 발명의 또다른 실시예에 따른 좀비 정보 통합 관리 방법은, 웹서버의 전단에 배치되어 상기 웹서버에 접속을 시도하는 좀비를 식별하는 가상 서버로부터 제공되는 좀비의 IP 주소들을 수집하는 단계; 상기 수집된 IP 주소들중에서 중복되는 IP 주소를 제거하는 단계; 상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 단계; 및 상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 단계를 포함한다.
본 발명에 따른 가상서버를 활용하여 웹 서버에 비정상으로 접속하는 좀비 호스트들을 식별하여 DDoS 공격을 유발하는 봇넷의 규모를 실시간으로 분석할 수 있다. 각 가상서버에서 좀비로 식별된 트래픽은 DDoS 싱크홀 서버로 유입되어 종합적인 관리가 가능하다. 또한, DDoS 좀비로 식별된 호스트 IP들은 다시 웹 서버의 방화벽 설정으로 등록되어 공격을 신속하게 차단할 수 있다. 결과적으로, 통합적인 좀비 규모 산정과 분포 파악을 통하여 봇넷의 규모와 분포에 대한 정보를 습득할 수 있어 향후 해당 봇넷의 트래픽 흐름을 모니터링할 수 있는 관제기술 측면에서의 네트워크 정보를 제공한다.
도 1은 본 발명의 일실시예에 따른 가상 서버를 통해 웹 서버 및 싱크홀 시스템으로 전달되는 트래픽 흐름을 개념적으로 도시한다.
도 2는 본 발명의 일실시예에 따라 좀비 식별을 수행하는 가상 서버(200)의 구성을 도시한 블록도이다.
도 3은 본 발명의 일실시예에 따른 싱크홀 서버의 구성을 도시한 블록도이다.
도 4는 본 발명의 일실시예에 따라 가상서버에서 수행되는 DDos 좀비 식별 과정을 도시한 흐름도이다.
도 5 는 본 발명의 일실시예에 따 정상 사용자의 접속 트래픽 제어 흐름도를 도시한다.
도 6 은 본 발명의 일실시예에 따라 좀비로 식별되는 호스트의 접속 트래픽 제어 흐름도를 도시한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명하겠다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.
도 1은 본 발명의 일실시예에 따른 가상 서버, 웹 서버 및 싱크홀 서버간의 트래픽 흐름을 개념적으로 도시한다. 도시된 바와 같이, 가상 서버(130)는 웹서버(140) 전단에 배치되어 웹서버(140)에 접속을 요청하는 호스트의 인증을 수행하고 인증되지 못한 호스트를 좀비로 식별하여 웹서버(140)로의 접속을 원천 차단시키는 기능을 수행한다.
정상 사용자 호스트(110)는 가상서버(130)의 인증을 통과한 경우에 웹 서버(140)를 접속할 수 있다. 가상서버(130)의 인증은 자동접속방지(CAPTCHA: Completely Automated Public Turing test to tell Computers and Human Apart) 페이지에 근거한 질의를 이용하여 수행되고 인증에 통과한 사용자 호스트는 가상서버(130)로부터 제공되는 쿠키를 이용하여 웹서버에 접속할 수 있다. 가상서버(130)의 인증과정은 나머지 도면들을 참조하여 상세히 후술하겠다. 사용자 호스트는 범용 PC, 랩탑, 휴대용 컴퓨터 또는 타블렛 등 네트워크 기능을 구비한 다양한 유형의 컴퓨터중 하나가 될 수 있으며, 이에 국한되지 않는다.
반면, DDoS 공격을 수행하는 좀비 호스트(120)는 가상서버(130)의 인증 과정을 통과하지 못한다. 이후 좀비 호스트(120)로부터 발생하는 트래픽은 가상서버(130)에 의해 싱크홀 서버(150)로 재전달된다. 본 도면에서는 DDoS 공격을 수행하는 좀비의 식별을 예로 들어 설명하고 있으나, 본 발명이 DDoS 공격을 수행하는 좀비의 식별에만 제한되는 것은 아니며 임의의 악성행위를 수행하는 악성봇에 감염된 모든 좀비에 적용됨은 본 기술분야의 당업자들에게 충분히 이해될 수 있을 것이다.
한편, 상기 도면에서는 정상사용자(110) 및 좀비(120)의 쿠키검증과 자동접속방지를 위한 페이지를 이용한 인증 절차가 모두 가상서버(130)에서 이루어지는 것으로 도시되어 있으나, 대안적으로는 인증절차 기능은 별도의 인증서버에서 이루어지도록 구현할 수 있다. 이러한 경우에, 가상서버(130)에서 수신된 접속 요청 메시지 내에 쿠키가 존재하는지 확인한다. 쿠키가 존재하지 않을 경우에는 상기 접속 요청 메시지가 인증서버로 재전달되어, 인증서버에 의한 인증 과정이 수행될 것이다. 인증이 완료된 정상사용자에게는 쿠키를 전달한 후 가상서버에 재접속하도록 유도할 것이며, 가상서버(130)에서 쿠키값 검증이 성공하면 웹서버(140)에 접속이 가능할 것이다.
도 2는 본 발명의 일실시예에 따라 좀비 식별을 수행하는 가상 서버(200)의 구성을 도시한 블록도이다. 도시된 바와 같이, 가상서버(200)는, 쿠키확인모듈(210), 인증처리모듈(220), 쿠키 DB(230), 쿠키값검증모듈(240), 웹페이지접속유도모듈(250) 및 좀비식별모듈(260)을 포함한다.
쿠키확인모듈(210)은 호스트로부터 수신된 웹서버 접속요청 메시지에 쿠키가 존재하는지 확인한다. 웹서버 접속요청 메시지내에 쿠키가 존재하지 않는 경우는 호스트가 웹서버 접속요청을 처음으로 시도한 경우이어서 가상서버로부터 아직까지 쿠키를 제공받지 못한 경우이거나 호스트가 좀비인 경우에 해당할 것이다.
인증처리모듈(220)은 쿠키를 포함하지 않은 웹서버 접속요청 메시지를 전송한 호스트에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 전송한다. 이러한 인증 과정은 네트워크 계층 L3에서 수행된다.
자동접속방지(CAPTCHA) 테스트는 사용자가 실제 인간인지 컴퓨터 프로그램인지 구별하기 위해 사용되는 방식으로서 인간은 구별할 수 있지만 컴퓨터는 구별하기 힘들게 의도적으로 비틀어놓은 코드 또는 그림을 주고 그 내용을 물어보는 방식이다. 웹사이트에 DDoS 트래픽을 발생시키는 좀비는 사용자의 개입없이 자동화된 프로그램에 의해 작동하므로 이러한 자동접속방지(CAPTCHA) 테스트를 통과할 수 없다.
일실시예에서, 인증처리모듈(220)은 임계 횟수만큼 자동접속방지(CAPTCHA) 테스트 페이지를 재전송함으로써 호스트에 정답을 제출할 수 있는 기회를 제공하고 호스트가 임계 횟수만큼의 정답 제출 기회동안 정답을 제출하지 못할 경우에 상기 호스트를 좀비로 식별한다. 인증처리모듈(220)은 좀비로 식별된 호스트의 접속을 강제 종료시키고 상기 호스트로부터 수신된 접속요청 메시지 또는 상기 호스트의 IP 주소를 싱크홀 서버로 전달한다.
한편, 인증처리모듈(220)은 자동접속방지(CAPTCHA) 테스트를 통과한 호스트에 대해서는 정상 사용자로 식별하고 향후 웹서버 접속시에 인증키로 이용될 쿠키를 호스트에 제공한다. 이 때, 호스트의 IP 주소에 매칭되는 쿠키가 제공된다. 쿠키 DB(230)는 각 IP 주소별로 미리 계산된 쿠키 목록을 저장하고 있다. 일 예에서, 쿠키값은 상기 호스트의 IP 주소의 해쉬값에 대응하여 생성된다.
쿠키값검증모듈(240)은 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 접속 요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값이 상기 인증처리모듈(220)에 의해 상기 호스트에 정당하게 제공된 쿠키값인지 검증한다. 쿠키값 추출은 HTTP 헤더 시작점 탐색과정을 거쳐 추출된다. 쿠키값검증모듈(240)은 추출된 쿠키값과 쿠키 DB(230)에 저장된 IP별 쿠키값을 비교함으로써 쿠키값이 올바른 값인지 검증한다.
웹페이지접속유도모듈(250)은 쿠키값의 검증에 성공할 경우 호스트가 요청한 웹서버(140)의 웹페이지를 제공함으로써 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하고, 웹서버와 연결을 중계한다.
좀비식별모듈(260)은 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단된 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별한다. 또한, 상기 좀비로 식별된 호스트로부터 수신된 메시지를 싱크홀 서버(150)로 재전달하거나 또는 상기 좀비로 식별된 호스트의 IP 주소를 싱크홀 서버(150)로 전달한다. 일 실시예에서, 네트워크 부하를 감소키기 위해 일정기간동안 좀비로 식별된 호스트들의 IP 주소들을 취합한 후에 취합된 정보를 싱크홀 서버(150)로 전달할 수 있다.
한편, 전술한 실시예에서는 인증처리모듈(220)이 가상 서버(200)내에 포함되는 것으로 설명되어 있으나, 다른 실시예에서는 인증처리모듈(220)에 의해 수행되는 인증 기능이 가상 서버(200)와는 별도의 인증서버에서 수행될 수 있다. 이러한 경우에, 가상서버(200)의 쿠키확인모듈(210)이 호스트로부터의 접속 요청 메시지 내에 쿠키가 존재하는지 확인하고, 쿠키가 존재하지 않을 경우에는 상기 접속 요청 메시지를 인증서버로 재전달하여, 인증서버에 의해 인증처리가 수행되도록 할 것이다. 인증서버는 인증이 완료된 정상사용자에게 쿠키를 전달한 후 가상서버에 재접속하도록 유도할 것이다.
도 3은 본 발명의 일실시예에 따른 싱크홀 서버의 구성을 도시한 블록도이다. 도시된 바와 같이, 싱크홀 서버(300)는 중복 IP 제거모듈(310), 좀비규모산정모듈(320), 좀비분포파악모듈(330) 및 좀비 정보 DB(340)를 포함한다.
앞서 설명한 도 2는 설명의 편의상 1개의 가상서버와 1개의 웹서버를 예로 들어 설명하였으나, 본 발명에 따른 가상서버는 DDoS 공격의 주된 대상이 되는 다수의 웹서버들의 전단에 설치되어 인증에 실패하는 호스트를 좀비로 식별하고 좀비로부터 유입된 트래픽 또는 좀비의 IP 주소를 싱크홀 서버(300)로 전달한다. 싱크홀 서버(300)는 다수의 가상서버(200)들로 유입되는 좀비들에 대한 정보를 통합 관리하여 좀비의 전체적인 규모 및 지리적 분포를 파악함으로써 관제기술측면에서 향후 해당 봇넷의 트래픽 흐름을 모니터링하고 향후 2차 공격에 대비할 수 있도록 한다.
구체적으로, 중복 IP 제거모듈(310)은 다수의 가상서버들로부터 전달되는 좀비의 IP 주소들을 수집하고 수집된 IP 주소들중에서 중복되는 IP 주소를 제거한다. 대안적으로, 가상서버들로부터 좀비의 IP 주소가 아닌 좀비로부터 발생된 트래픽이 그대로 재전달되어 오는 경우에는 트래픽으로부터 IP 주소를 추출하는 IP 주소 추출 모듈(미도시됨)이 추가적으로 필요할 수 있다.
좀비규모산정모듈(320)은 중복 IP 제거모듈(310)의해 중복된 IP 주소가 제거된 IP 주소들의 총개수를 산출함으로써 좀비의 규모를 산정한다.
좀비분포파악모듈(330)은 IP 주소에 내재된 지리적 정보(예,국가, 도시 및 지역 정보)를 이용하여 좀비들의 세계적인 지리 분포를 파악한다.
좀비정보DB(340)은 좀비규모산정모듈(320)에 의해 산정된 좀비의 총개수 및 좀비분포파악모듈(330)에 의해 파악된 지리적 분포 정보가 저장되는 장소이다. 좀비정보 DB(340)은 좀비규모산정모듈(320) 및 좀비분포파악모듈(330)의 수행 결과에 따라 주기적으로 갱신된다.
도 4는 본 발명의 일실시예에 따라 가상서버에서 수행되는 DDos 좀비 식별 과정을 도시한 흐름도이다.
우선, 사용자(호스트)로부터 최초 웹 페이지 접속 요청 메시지가 수신되면(단계 410), 상기 접속 요청 메시지내에 쿠키의 존재 유무를 확인한다(단계 420).
단계(420)에서 쿠키가 존재하지 않는 것으로 확인되면, 사용자에게 자동접속방지(CAPTCHA) 페이지를 전송하여 문제에 대한 정답을 제출하도록 함으로써 사용자 인증을 수행하고(430), 인증된 사용자에 쿠키를 전송한다(단계 440).
해당 쿠키값은 IP별 쿠키값이 저장된 쿠키 DB에서 가져온다. 사용자는 차후에 웹서버에 접속할 때 상기 쿠키를 접속요청 메시지에 포함시킴으로써 인증키로 이용할 것이다.
반면에, 정답을 제출하지 못하여 인증에 실패한 사용자에게는 CAPTCHA 페이지를 재전송함으로써 임계값만큼의 정답 제출 기회를 제공하고 실패 회수가 임계값을 초과한 것으로 판단된 경우에(단계 470), DDoS 좀비로 식별하고 해당 좀비로부터 수신된 접속요청 메시지를 DDoS 싱크홀로 재전달한다(단계 480).
단계(420)에서 웹쿠키가 존재하는 것으로 확인된 경우에, 쿠키값을 추출하여 해당 웹 쿠키의 정당성 여부를 쿠키DB와 비교하여 검증한다(단계 450).
단계(450)에서 웹쿠키의 검증이 성공하면, 정상 사용자로 식별하고 웹 서버로 연결을 유도하여 사용자와 웹 서버의 통신을 중계한다(단계 460).
한편 단계(450)에서 웹쿠키의 검증에 실패한 경우에, 해당 사용자에 대한 쿠키 검증 실패횟수가 임계값을 초과하는지 판단하고(단계 470), 임계값을 초과한 경우에 해당 사용자 호스트를 DDoS 좀비로 식별하여 웹서버로의 접속을 차단하고 호스트로부터 수신된 접속 요청 메시지를 DDoS 싱크홀로 재전달한다(단계 480).
도 5 는 본 발명의 일실시예에 따 정상 사용자의 접속 트래픽 제어 흐름도를 도시한다. 도시된 바와 같이, 웹서버에 접속을 처음 시도하는 정상 사용자 호스트로부터 쿠키를 수반하지 않은 접속 요청 메시지가 수신된다(500).
호스트로부터 접속 요청 메시지가 수신되면, 가상서버는 호스트에게 자동접속방지(CAPTCHA) 페이지를 전송한다(601). 이때, 사용자의 접속은 종료된다(602).
호스트로부터 자동접속방지 페이지에 대한 정답에 제출되면(510), 상기 호스트의 IP에 대응하는 쿠키를 생성하여 호스트에 전송함과 동시에 웹서버의 해당 웹페이지 전환을 유도한다(511).
이후, 사용자는 웹서버 접속을 위해 쿠키를 수반한 접속 요청 메시지를 전송하고(520), 쿠키를 수반한 접속 요청을 수신한 가상 서버는 쿠키값를 검증하여 쿠키값이 정당한 것으로 검증된 경우에 웹서버와 연결을 중계한다(521). 가상서버는 웹 서버의 응답을 수신하여(522), 사용자에게 전달한다(523).
대안적으로, 쿠키를 수반한 접속 요청 메시지가 웹서버에 의해 직접 수신될 수 있으며, 이 경우에 웹서버에서 쿠키값을 검증하고 직접 호스트에 응답할 수 있다.
도 6 은 본 발명의 일실시예에 따라 좀비로 식별되는 호스트의 접속 트래픽 제어 흐름도를 도시한다. 호스트로부터 쿠키를 수반하지 않은 접속 요청을 수신한다(600).
호스트로부터 접속 요청 메시지가 수신되면, 가상서버는 사용자에게 자동접속방지(CAPTCHA) 페이지를 전송한다(601). 이때, 사용자의 접속은 종료된다(602). 호스트로부터 CAPTCHA 오답이 수신되면(610), 접속을 강제 종료한다 (611). 호스트로부터 비정상 쿠키를 수반한 접속 요청을 수신되면(620),쿠키 검증을 수행하여 쿠키가 비정상임을 확인하고, 접속을 강제 종료한다 (621).
각 접속이 강제 종료되는 경우가 임계값을 초과하면, 해당 호스트를 DDoS 좀비로 식별하고 상기 호스트로부터 수신된 접속 요청 메시지를 DDoS 싱크홀로 재전달한다 (630).
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
110: 정상사용자 호스트
120: 좀비 호스트
130:가상서버
140: 웹서버
150: 싱크홀 서버
210: 쿠키확인모듈
220: 인증처리모듈
230: 쿠키 DB
240: 쿠키값검증모듈
250:웹페이지접속유도모듈
260:좀비식별모듈

Claims (13)

  1. 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈;
    상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈;
    상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및
    상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈
    을 포함하는 좀비식별 가상서버.
  2. 제1항에 있어서, 상기 호스트의 IP 주소에 대응하는 쿠키값을 저장하는 쿠키값 DB를 더 포함하는 좀비식별 가상서버.
  3. 제1항에 있어서, 상기 인증처리모듈은 상기 호스트가 상기 자동접속방지테스트에 대한 정답을 제출하지 못할 경우에 임계값만큼 정답 제출 기회를 제공하는 좀비식별 가상서버.
  4. 제3항에 있어서, 상기 인증처리모듈은 상기 호스트가 상기 임계값만큼의 정답 제출 기회동안 정답을 제출하지 못할 경우에 상기 호스트를 좀비로 식별하고 상기 호스트의 접속을 차단하고 상기 호스트의 접속요청 메시지 또는 IP 주소를 싱크홀 서버로 전달하는 좀비식별 가상서버.
  5. 제2항에 있어서, 상기 쿠키값검증모듈은 상기 추출된 쿠키값과 상기 쿠키 DB에 저장된 상기 호스트의 IP 주소에 대응하는 쿠키값을 비교함으로써 상기 쿠키값을 검증하는 좀비식별 가상서버.
  6. 제1항에 있어서, 상기 좀비식별모듈은 상기 좀비로 식별된 호스트로부터 수신된 메시지 또는 상기 좀비로 식별된 호스트의 IP 주소를 싱크홀 서버로 전달하는 좀비식별 가상서버.
  7. 제1항에 따른 좀비식별 가상서버에 의해 좀비로 식별된 호스트들의 IP 주소들을 수집하고 상기 IP 주소들중에서 중복되는 IP 주소를 제거하는 중복 IP 제거 모듈과,
    상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 좀비규모산정모듈과,
    상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 지리분포파악모듈과,
    상기 산정된 좀비의 규모 및 상기 지리적 분포를 저장하는 좀비정보 DB
    를 포함하는 싱크홀 서버.
  8. 제7항에 있어서, 상기 좀비식별 가상서버로부터 좀비 트래픽이 재전달된 경우에 상기 좀비 트래픽으로부터 상기 좀비의 IP 주소를 추출하는 IP 주소 추출 모듈을 더 포함하는 싱크홀 서버.
  9. 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하는지 판단하는 단계;
    상기 접속요청 메시지가 쿠키를 포함하지 않은 경우에 상기 호스트에 자동접속방지 페이지를 전송하는 단계;
    상기 호스트로부터 상기 자동접속방지 페이지에 대한 정답이 수신되면 상기 호스트의 IP 주소에 대응하는 쿠키를 전송하는 단계;
    상기 접속요청 메시지가 쿠키를 포함한 경우에 상기 접속 요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값이 상기 호스트의 IP 주소에 대응하는 쿠키값인지 검증하는 단계; 및
    상기 쿠키값의 검증에 실패한 경우 상기 웹서버로의 접속을 차단하고 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 단계
    를 포함하는 좀비 식별 방법.
  10. 제9항에 있어서, 상기 호스트로부터 상기 자동접속방지 페이지에 대한 정답이 수신되지 않는 경우 상기 호스트에 상기 자동접속방지 페이지를 재전송함으로써 임계값만큼 정답 제출 기회를 제공하고 상기 호스트의 정답 실패 횟수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 단계를 더 포함하는 좀비 식별 방법.
  11. 제9항 또는 제10항에 있어서, 상기 좀비로 식별된 호스트로부터 수신된 접속요청메시지를 또는 상기 호스트의 IP 주소를 싱크홀 서버로 재전달하는 단계를 더 포함하는 좀비 식별 방법.
  12. 제9항에 있어서, 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버에 접속할 수 있도록 상기 웹서버의 웹페이지를 제공하는 단계를 더 포함하는 좀비 식별 방법.
  13. 제1항에 따른 좀비식별 가상서버에 의해 좀비로 식별된 호스트들의 IP 주소들을 수집하는 단계;
    상기 수집된 IP 주소들중에서 중복되는 IP 주소를 제거하는 단계;
    상기 중복제거된 IP 주소들의 총개수를 산출함으로써 좀비들의 규모를 산정하는 단계;
    상기 IP 주소들에 내재된 지리적 정보를 이용하여 좀비들의 지리적 분포를 파악하는 단계
    를 포함하는 좀비 정보 통합 관리 방법.
KR1020100039332A 2010-04-28 2010-04-28 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 KR101109669B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020100039332A KR101109669B1 (ko) 2010-04-28 2010-04-28 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법
JP2010198017A JP5250594B2 (ja) 2010-04-28 2010-09-03 ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法
US12/985,728 US8706866B2 (en) 2010-04-28 2011-01-06 Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information
EP11151747.0A EP2383954A3 (en) 2010-04-28 2011-01-21 Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100039332A KR101109669B1 (ko) 2010-04-28 2010-04-28 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법

Publications (2)

Publication Number Publication Date
KR20110119915A KR20110119915A (ko) 2011-11-03
KR101109669B1 true KR101109669B1 (ko) 2012-02-08

Family

ID=44359430

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100039332A KR101109669B1 (ko) 2010-04-28 2010-04-28 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법

Country Status (4)

Country Link
US (1) US8706866B2 (ko)
EP (1) EP2383954A3 (ko)
JP (1) JP5250594B2 (ko)
KR (1) KR101109669B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101468114B1 (ko) * 2013-04-25 2014-12-05 한국인터넷진흥원 싱크홀 서버에 기반한 악용 경유지 추적 시스템 및 방법

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101109669B1 (ko) * 2010-04-28 2012-02-08 한국전자통신연구원 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법
IL210169A0 (en) 2010-12-22 2011-03-31 Yehuda Binder System and method for routing-based internet security
US20120180115A1 (en) * 2011-01-07 2012-07-12 John Maitland Method and system for verifying a user for an online service
ES2679286T3 (es) * 2011-02-10 2018-08-23 Fireblade Holdings, Llc Distinguir usuarios válidos de robots, OCR y solucionadores de terceras partes cuando se presenta CAPTCHA
CN103546330A (zh) * 2012-07-11 2014-01-29 阿里巴巴集团控股有限公司 一种浏览器兼容性检测方法、装置及系统
KR101369727B1 (ko) * 2012-07-11 2014-03-06 한국전자통신연구원 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US8613089B1 (en) 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
CN103001942B (zh) * 2012-09-14 2016-03-30 北京奇虎科技有限公司 一种虚拟服务器和一种防御网络攻击的方法
DE102012108866A1 (de) 2012-09-20 2014-03-20 Endress + Hauser Flowtec Ag Verfahren zum sicheren Bedienen eines Feldgerätes
KR101963174B1 (ko) * 2012-10-08 2019-03-28 에스케이플래닛 주식회사 보안기능을 갖는 오류 관리 시스템 및 그 제어방법
US10348760B2 (en) 2012-10-22 2019-07-09 Verisign, Inc. Integrated user challenge presentation for DDoS mitigation service
US9100432B2 (en) * 2012-12-21 2015-08-04 Verizon Patent And Licensing Inc. Cloud-based distributed denial of service mitigation
US9197711B1 (en) * 2013-02-22 2015-11-24 Symantec Corporation Systems and methods for detecting the presence of web tracking
US9497213B2 (en) * 2013-03-15 2016-11-15 Fireeye, Inc. System and method to manage sinkholes
EP2854411A1 (en) 2013-09-25 2015-04-01 Samsung Electronics Co., Ltd Display apparatus and control method thereof
US10692102B2 (en) 2013-12-31 2020-06-23 Viesoft, Inc. Price mining and product re-pricing data processing systems and methods
US10389752B2 (en) 2015-01-14 2019-08-20 Viesoft, Inc. Price mining prevention systems and related methods
US9552487B2 (en) * 2015-01-14 2017-01-24 Viesoft, Inc. Price mining prevention systems and related methods
EP2916512B1 (en) * 2014-03-07 2016-08-24 Mitsubishi Electric R&D Centre Europe B.V. Method for classifying a TCP connection carrying HTTP traffic as a trusted or an untrusted TCP connection
US10097583B1 (en) 2014-03-28 2018-10-09 Amazon Technologies, Inc. Non-blocking automated agent detection
US9361446B1 (en) * 2014-03-28 2016-06-07 Amazon Technologies, Inc. Token based automated agent detection
US9424414B1 (en) 2014-03-28 2016-08-23 Amazon Technologies, Inc. Inactive non-blocking automated agent detection
US20160352731A1 (en) * 2014-05-13 2016-12-01 Hewlett Packard Enterprise Development Lp Network access control at controller
US10748175B2 (en) 2015-01-14 2020-08-18 Viesoft, Inc. Price mining prevention and dynamic online marketing campaign adjustment data processing systems and methods
CN105306436B (zh) * 2015-09-16 2016-08-24 广东睿江云计算股份有限公司 一种异常流量检测方法
US10911472B2 (en) * 2016-02-25 2021-02-02 Imperva, Inc. Techniques for targeted botnet protection
US10536480B2 (en) * 2017-05-02 2020-01-14 Shenzhen University Method and device for simulating and detecting DDoS attacks in software defined networking
CN108810872A (zh) 2017-05-03 2018-11-13 阿里巴巴集团控股有限公司 控制数据传输的方法、装置和系统
CN109246160B (zh) * 2017-06-15 2022-01-21 阿里巴巴集团控股有限公司 访问互联网应用的方法、装置、系统及设备
CN109977221B (zh) * 2018-09-04 2023-09-19 中国平安人寿保险股份有限公司 基于大数据的用户验证方法及装置、存储介质、电子设备
KR102351122B1 (ko) 2020-04-27 2022-01-13 주식회사 웰컨 매크로 이상 접속 탐지 장치 및 방법
US20220239673A1 (en) * 2021-01-27 2022-07-28 Zscaler, Inc. System and method for differentiating between human and non-human access to computing resources

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100602920B1 (ko) * 2005-12-15 2006-07-24 주식회사 정보보호기술 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법
KR20100074480A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 네트워크 기반의 http 봇넷 탐지 방법
KR20100075043A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR20100098241A (ko) * 2009-02-27 2010-09-06 (주)다우기술 봇넷 행동 패턴 분석 시스템 및 방법

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020120853A1 (en) * 2001-02-27 2002-08-29 Networks Associates Technology, Inc. Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests
US7339908B2 (en) * 2001-07-31 2008-03-04 Arraycomm, Llc. System and related methods to facilitate delivery of enhanced data services in a mobile wireless communications environment
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
WO2005045632A2 (en) * 2003-10-31 2005-05-19 Dipsie, Inc. Utilizing cookies by a search engine robot for document retrieval
JP2005149239A (ja) * 2003-11-17 2005-06-09 Nec Corp ユーザ認証システム
JP4371905B2 (ja) * 2004-05-27 2009-11-25 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
CA2606326A1 (en) * 2005-04-29 2006-11-09 Bharosa Inc. System and method for fraud monitoring, detection, and tiered user authentication
KR100663546B1 (ko) * 2005-07-08 2007-01-02 주식회사 케이티 악성 봇 대응 방법 및 그 시스템
JP2006107524A (ja) * 2005-11-11 2006-04-20 Yafoo Japan Corp Wwwサーバー、及び、該wwwサーバーと通信回線を介して接続された利用者端末、を有するシステム
US20070156592A1 (en) * 2005-12-22 2007-07-05 Reality Enhancement Pty Ltd Secure authentication method and system
JP4664257B2 (ja) * 2006-09-06 2011-04-06 富士通株式会社 攻撃検出システム及び攻撃検出方法
US8849921B2 (en) * 2007-06-28 2014-09-30 Symantec Corporation Method and apparatus for creating predictive filters for messages
US8132255B2 (en) 2008-06-16 2012-03-06 Intel Corporation Generating a challenge response image including a recognizable image
US8914510B2 (en) * 2008-11-17 2014-12-16 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for enhancing internet security for network subscribers
KR100900491B1 (ko) 2008-12-02 2009-06-03 (주)씨디네트웍스 분산 서비스 거부 공격의 차단 방법 및 장치
US20100192201A1 (en) * 2009-01-29 2010-07-29 Breach Security, Inc. Method and Apparatus for Excessive Access Rate Detection
CA2764815A1 (en) * 2009-06-10 2010-12-16 Site Black Box Ltd Identifying bots
US9225531B2 (en) * 2009-06-18 2015-12-29 Visa International Service Association Automated test to tell computers and humans apart
US9215212B2 (en) * 2009-06-22 2015-12-15 Citrix Systems, Inc. Systems and methods for providing a visualizer for rules of an application firewall
US8312073B2 (en) * 2009-08-04 2012-11-13 Palo Alto Research Center Incorporated CAPTCHA-free throttling
US20110208714A1 (en) * 2010-02-19 2011-08-25 c/o Microsoft Corporation Large scale search bot detection
US8751633B2 (en) * 2010-04-01 2014-06-10 Cloudflare, Inc. Recording internet visitor threat information through an internet-based proxy service
KR101109669B1 (ko) * 2010-04-28 2012-02-08 한국전자통신연구원 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100602920B1 (ko) * 2005-12-15 2006-07-24 주식회사 정보보호기술 컴퓨터 네트워크상에서 악성 봇과 웜의 탐지에 이용되는탐지척도의 자동 선정 방법
KR20100074480A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 네트워크 기반의 http 봇넷 탐지 방법
KR20100075043A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR20100098241A (ko) * 2009-02-27 2010-09-06 (주)다우기술 봇넷 행동 패턴 분석 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101468114B1 (ko) * 2013-04-25 2014-12-05 한국인터넷진흥원 싱크홀 서버에 기반한 악용 경유지 추적 시스템 및 방법

Also Published As

Publication number Publication date
EP2383954A3 (en) 2015-08-12
US8706866B2 (en) 2014-04-22
JP5250594B2 (ja) 2013-07-31
EP2383954A2 (en) 2011-11-02
US20110270969A1 (en) 2011-11-03
JP2011233128A (ja) 2011-11-17
KR20110119915A (ko) 2011-11-03

Similar Documents

Publication Publication Date Title
KR101109669B1 (ko) 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법
CN107888546B (zh) 网络攻击防御方法、装置以及系统
US8819803B1 (en) Validating association of client devices with authenticated clients
US8392963B2 (en) Techniques for tracking actual users in web application security systems
US8881234B2 (en) Host state monitoring
US8959650B1 (en) Validating association of client devices with sessions
CN103067385B (zh) 防御会话劫持攻击的方法和防火墙
JP5987627B2 (ja) 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP2015039214A (ja) Id盗難又は複製を用いた不正使用に対する保護の方法とシステム
CN113672897B (zh) 数据通信方法、装置、电子设备及存储介质
JP2010529571A (ja) 構造化ピアツーピア・ネットワークにおいて悪意のあるピアを検出するためのプロクタ・ピア
US8726384B2 (en) Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such
Al‐Hammouri et al. ReCAP: a distributed CAPTCHA service at the edge of the network to handle server overload
CN106789858B (zh) 一种访问控制方法和装置以及服务器
CN106209907A (zh) 一种检测恶意攻击的方法及装置
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR101231966B1 (ko) 장애 방지 서버 및 방법
JP6842951B2 (ja) 不正アクセス検出装置、プログラム及び方法
KR101851680B1 (ko) 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
CN111526126B (zh) 数据安全传输方法,数据安全设备及系统
US20110314527A1 (en) Internet protocol-based filtering device and method, and legitimate user identifying device and method
JP2021082342A (ja) 不正アクセス検出装置、プログラム及び方法
KR101223932B1 (ko) 실사용자 인증방식을 이용한 디도스 공격 대응 시스템 및 이를 이용한 디도스 공격 대응 방법
CN117955675A (zh) 一种网络攻击的防御方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151224

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200106

Year of fee payment: 9