[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR101115204B1 - Apparatus and method for controlling distributed denial of service - Google Patents

Apparatus and method for controlling distributed denial of service Download PDF

Info

Publication number
KR101115204B1
KR101115204B1 KR1020090097525A KR20090097525A KR101115204B1 KR 101115204 B1 KR101115204 B1 KR 101115204B1 KR 1020090097525 A KR1020090097525 A KR 1020090097525A KR 20090097525 A KR20090097525 A KR 20090097525A KR 101115204 B1 KR101115204 B1 KR 101115204B1
Authority
KR
South Korea
Prior art keywords
terminal
web page
request
database
webpage
Prior art date
Application number
KR1020090097525A
Other languages
Korean (ko)
Other versions
KR20110040310A (en
Inventor
주문돈
김성은
Original Assignee
주식회사 퓨쳐시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 퓨쳐시스템 filed Critical 주식회사 퓨쳐시스템
Priority to KR1020090097525A priority Critical patent/KR101115204B1/en
Publication of KR20110040310A publication Critical patent/KR20110040310A/en
Application granted granted Critical
Publication of KR101115204B1 publication Critical patent/KR101115204B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

분산서비스거부 제어 장치 및 방법이 개시된다. 분산서비스거부 제어 장치는 웹페이지 획득을 위한 단말요청이 단말로부터 입력됨에 따라, 웹페이지와 관련하여 단말에 유효성이 있는지를 제1 판단하는 인증 판단부와, ⅰ)유효성이 있는 것으로 제1 판단하는 경우, 단말과 웹서버 간에 세션을 설정하여 설정된 세션을 통해 웹서버에서 단말로 웹페이지가 제공되도록 하고, ⅱ)유효성이 없는 것으로 제1 판단하는 경우, 웹페이지 데이터베이스로부터 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 단말로 제공하는 웹페이지 제공부를 포함한다.Disclosed are an apparatus and method for controlling distributed service denial. The distributed service rejection control apparatus may further include: an authentication determination unit configured to first determine whether the terminal is valid with respect to the web page as the terminal request for obtaining the web page is input from the terminal, and i) determine that the terminal is valid. In this case, the webpage is provided from the web server to the terminal through the established session by establishing a session between the terminal and the web server. Ii) When the first determination is invalid, the webpage is cached in response to the terminal request from the web page database. It includes a web page providing unit for searching and providing a web page to the terminal.

분산서비스거부(Distributed Denial of Service: DDoS), 인증 Distributed Denial of Service (DDoS), Certification

Description

분산서비스거부 제어 장치 및 방법{Apparatus and Method for controlling Distributed Denial of Service}Apparatus and Method for controlling Distributed Denial of Service

본 발명의 실시예들은 분산서비스거부 제어 장치 및 방법에 관한 것으로서, 보다 상세하게는 단말의 유효성에 따라 웹서버에서 단말로 제공되는 웹페이지를 제어하여, 분산서비스거부 공격을 방지할 수 있는 분산서비스거부 제어 장치 및 방법에 관한 것이다.Embodiments of the present invention relate to a distributed service rejection control apparatus and method, and more particularly, a distributed service capable of preventing a distributed service rejection attack by controlling a web page provided from a web server to a terminal according to the validity of the terminal. Rejection control apparatus and method.

최근, 초고속 인터넷 환경이 구축되면서, 해킹이나 인터넷 침해 등과 같은 네트워크 공격에 의한 피해가 속출하고 있다.Recently, as the high-speed Internet environment has been established, damages caused by network attacks such as hacking and internet infringement have been continued.

네트워크 공격의 유형은 UDP Flooding, ICMP Flooding과 같이 과다한 트래픽을 발생시켜서 서비스 불능 상태에 이르는 대역폭 소진형 공격기법에서, HTTP Connection Request, HTTP CC Attack와 같이 일반사용자들이 인터넷 서비스를 사용할 때 발생되는 정상 트래픽과 유사한 형태로 공격기법이 진화하고 있다.The type of network attack is the normal traffic that occurs when general users use the Internet service such as HTTP Connection Request and HTTP CC Attack in the bandwidth exhaustion attack technique that causes excessive traffic such as UDP flooding and ICMP flooding to reach out of service state. Attack techniques are evolving in a similar fashion.

따라서, 공격 탐지 시스템은 정상적인 요청과 비정상적인 요청간 판별이 어려워 오탐율 또는 미탐율이 높아지게 되고, 서비스 불능상태에 이르게 되어 많은 금전적인 손실을 초래한다. 또한, 대형 포탈 사이트의 경우, 네트워크 공격으로 인해, 서버가 다운되거나 개인 정보 유출 등의 문제가 발생한다면, 상기 포탈 사이트를 운영하는 운영자에게 막대한 피해가 돌아갈 수 있다.Therefore, the attack detection system is difficult to discriminate between the normal request and the abnormal request, resulting in a high false positive rate or a low false negative rate, leading to a service outage, which causes a large amount of financial loss. In addition, in the case of a large portal site, if a server is down due to a network attack or a problem such as leakage of personal information, a huge damage can be returned to the operator who operates the portal site.

본 발명의 실시예들은, 단말의 유효성이 있는 경우, 웹서버에서 단말로 웹페이지가 제공되도록 하여, 분산서비스거부 공격을 방지할 수 있는 분산서비스거부 제어 장치 및 방법을 제공하고자 한다.Embodiments of the present invention, if there is a valid terminal, to provide a web page from the web server to the terminal, to provide a distributed service denial control device and method that can prevent a distributed service denial attack.

본 발명의 실시예들은, 단말요청과 연관된 웹페이지에 대한 속성이 '정적 속성'이거나, 단말에 유효성이 없는 경우, 웹페이지 데이터베이스에 캐싱된 웹페이지를 단말로 제공하여, 데이터 부하를 감소시킬 수 있는 분산서비스거부 제어 장치 및 방법을 제공하고자 한다.According to embodiments of the present invention, when the attribute of the web page associated with the terminal request is a 'static attribute' or the terminal is not valid, the web page cached in the webpage database may be provided to the terminal to reduce the data load. The present invention provides a distributed service rejection control apparatus and method.

본 발명의 실시예에 따른 분산서비스거부 제어 장치는 웹페이지 획득을 위한 단말요청이 단말로부터 입력됨에 따라, 상기 웹페이지와 관련하여 상기 단말에 유효성이 있는지를 제1 판단하는 인증 판단부와, ⅰ)유효성이 있는 것으로 제1 판단하는 경우, 상기 단말과 웹서버 간에 세션을 설정하여 상기 설정된 세션을 통해 상기 웹서버에서 상기 단말로 상기 웹페이지가 제공되도록 하고, ⅱ)유효성이 없는 것으로 제1 판단하는 경우, 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 상기 단말로 제공하는 웹페이지 제공부를 포함한다. 여기서, 상기 웹페이지 제공부는 상기 웹페이지를 '정적 속성'으로 제2 판단하는 경우, 상기 제1 판단 결과와 무관하게, 상기 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 상기 단말로 제공할 수 있다. 또한, 상기 웹페이지 제공부는 상기 웹페이지가 '동적 속성'으로 제2 판단되나, 상기 단말에 유효성이 없는 것으로 제1 판단되는 경우, 상기 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 '정적 속성'의 웹페이지를 검색하여 상기 단말로 제공할 수 있다.An apparatus for controlling distributed service rejection according to an embodiment of the present invention may further include: an authentication determination unit configured to first determine whether a terminal is valid in relation to the web page as a terminal request for obtaining a web page is input from the terminal; If the first determination is that the validity, the session is established between the terminal and the web server so that the web page is provided from the web server to the terminal through the set session, ii) the first determination is invalid In this case, a web page providing unit for retrieving the cached web page corresponding to the terminal request from the web page database and providing the terminal to the terminal. Here, when the web page providing unit determines the second web page as a 'static property' for the second time, the web page providing unit searches for the cached web page corresponding to the terminal request from the web page database regardless of the first determination result. It can be provided to the terminal. In addition, when the web page providing unit determines that the web page is the second as a 'dynamic property', but is determined to be invalid in the terminal, the web page providing unit caches the 'static property' in response to the terminal request from the web page database. Search for a web page and provide it to the terminal.

본 발명의 실시예에 따른 분산서비스거부 제어 방법은 단말로부터 웹페이지 획득을 위한 단말요청을 수신하면, 상기 웹페이지와 관련하여 상기 단말에 유효성이 있는지를 제1 판단하는 단계와, 유효성이 있는 것으로 제1 판단하는 경우, 상기 단말과 웹서버 간에 세션을 설정하여 상기 설정된 세션을 통해 상기 웹서버에서 상기 단말로 상기 웹페이지가 제공되도록 하는 단계와, 유효성이 없는 것으로 제1 판단하는 경우, 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 상기 단말로 제공하는 단계를 포함한다.In the distributed service rejection control method according to an embodiment of the present invention, upon receiving a terminal request for acquiring a web page from a terminal, determining whether the terminal is valid with respect to the web page, and having validity. In the case of the first determination, establishing a session between the terminal and the web server to provide the web page from the web server to the terminal through the set session; and if the first determination is invalid, the web page Retrieving the cached web page corresponding to the terminal request from a database and providing the cached web page to the terminal.

본 발명의 실시예들에 따르면, 단말의 유효성이 있는 경우, 웹서버에서 단말로 웹페이지가 제공되도록 하여, 분산서비스거부 공격을 방지할 수 있다.According to embodiments of the present invention, if the terminal is valid, the web server is provided to the terminal from the web server, thereby preventing the distributed service denial attack.

본 발명의 실시예들에 따르면, 단말요청과 연관된 웹페이지에 대한 속성이 '정적 속성'이거나, 단말에 유효성이 없는 경우, 웹페이지 데이터베이스에 캐싱된 웹페이지를 단말로 제공하여, 데이터 부하를 감소시킬 수 있다.According to embodiments of the present invention, if the attribute of the web page associated with the terminal request is a 'static attribute' or the terminal is invalid, the web page cached in the web page database is provided to the terminal to reduce the data load. You can.

이하, 첨부된 도면들을 참조하여 본 발명의 일실시예에 따른 분산서비스거부 제어 장치 및 방법에 대해 상세히 설명한다.Hereinafter, an apparatus and method for controlling distributed service denial according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 분산서비스거부 제어 장치의 구성을 나타내는 도면이다.1 is a view showing the configuration of a distributed service rejection control apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 분산서비스거부 제어 장치(101)는 인증 판단부(103), 웹페이지 제공부(105), 인증정보 데이터베이스(107) 및 웹페이지 데이터베이스(109)를 포함한다.Referring to FIG. 1, the distributed service rejection control apparatus 101 according to an embodiment of the present invention may include an authentication determination unit 103, a webpage providing unit 105, an authentication information database 107, and a webpage database 109. ).

인증 판단부(103)는 웹페이지 획득을 위한 단말요청이 단말(111)로부터 입력됨에 따라, 웹페이지와 관련하여 단말(111)에 유효성이 있는지를 제1 판단한다. 여기서, 인증 판단부(103)는 단말(111)로부터 아이디(id) 또는 패스워드(password) 중 적어도 하나를 포함하는 식별정보를 수신하고, 인증정보 데이터베이스(107)로부터 식별정보에 대응하는 인증정보가 검색되면, 단말(111)에 유효성이 있는 것으로 판단할 수 있다. 또한, 인증 판단부(103)는 인증정보 데이터베이스(107)로부터 단말(111)의 아이피 주소(IP address)에 대응하는 인증정보가 검색되면, 단말(111)에 유효성이 있는 것으로 판단할 수도 있다.As the terminal request for obtaining the web page is input from the terminal 111, the authentication determining unit 103 first determines whether the terminal 111 is valid with respect to the web page. Here, the authentication determination unit 103 receives the identification information including at least one of an ID (id) or a password (password) from the terminal 111, and the authentication information corresponding to the identification information from the authentication information database 107 is received. If found, it may be determined that the terminal 111 is valid. In addition, if the authentication information corresponding to the IP address (IP address) of the terminal 111 is retrieved from the authentication information database 107, the authentication determination unit 103 may determine that the terminal 111 is valid.

웹페이지 제공부(105)는 단말(111)에 유효성이 있는 것으로 제1 판단하는 경우, 단말(111)과 웹서버(113) 간에 세션을 설정하여 설정된 세션을 통해 웹서버(113)에서 단말(111)로 웹페이지가 제공되도록 한다. 여기서, 웹페이지 제공부(105)는 단말(111)에 유효성이 있는 경우, 웹서버(113)에서 단말(111)로 웹페이지가 제공되도록 함으로써, 유효성이 없는 단말로의 웹페이지 제공을 차단하여, 분산서비스거부 공격을 방지할 수 있다. When the webpage providing unit 105 determines that the terminal 111 is valid for the first time, the webpage providing unit 105 establishes a session between the terminal 111 and the web server 113 and establishes a session in the web server 113 through the set session. 111) provide a web page. Here, when the web page providing unit 105 is valid in the terminal 111, by providing a web page from the web server 113 to the terminal 111, by blocking the provision of the web page to the terminal that is not valid In addition, distributed service denial attacks can be prevented.

반면, 웹페이지 제공부(105)는 단말(111)에 유효성이 없는 것으로 제1 판단 하는 경우, 웹페이지 데이터베이스(109)로부터 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 단말(111)로 제공한다. 이때, 웹페이지 제공부(105)는 웹페이지가 설정된 시간 동안 캐싱되어 웹페이지 데이터베이스(109)에 유지되도록 할 수 있다.On the other hand, when the webpage providing unit 105 determines that the terminal 111 has no validity, the webpage providing unit 105 searches the cached webpage in response to the terminal request from the webpage database 109 and provides the terminal 111 to the terminal 111. do. At this time, the webpage providing unit 105 may be cached for a predetermined time to maintain the webpage in the webpage database 109.

또한, 인증 판단부(103)는 단말요청과 연관된 웹페이지에 대한 속성을 제2 판단할 수 있다. 즉, 인증 판단부(103)는 웹페이지에 대한 속성이 '정적 속성' 또는 '동적 속성' 인지를 판단할 수 있다.In addition, the authentication determination unit 103 may second determine the attributes of the web page associated with the terminal request. That is, the authentication determination unit 103 may determine whether an attribute of the web page is a 'static attribute' or a 'dynamic attribute'.

여기서, '정적 속성'의 웹페이지는 예를 들어, HTML 문서처럼 접속할 때마다 변하지 않고, 동일한 내용을 제공하는 웹페이지를 의미할 수 있다. 반면, '동적 속성'의 웹페이지는 예를 들어, ASP, PHP, JSP 문서처럼 접속할 때마다, 다른 내용을 제공하는 웹페이지를 의미할 수 있다. 이때, '동적 속성'의 웹페이지는 가령, 접속할 때마다 다른 내용을 제공하여, 다양하게 정보를 제공하므로 광고에 효과적으로 활용될 수 있다.Here, the web page of the 'static property' may mean a web page that provides the same content without changing every time, for example, as an HTML document. On the other hand, a web page of 'dynamic properties' may mean a web page that provides different contents each time, for example, ASP, PHP, JSP documents. At this time, the web page of the 'dynamic property', for example, provides a different content every time the connection, it can be effectively used in advertising because it provides a variety of information.

구체적으로, 웹페이지 제공부(105)는 단말요청과 연관된 웹페이지에 대한 속성이 '정적 속성'으로 제2 판단하는 경우, 제1 판단 결과와 무관하게, 웹페이지 데이터베이스(109)로부터 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 단말(111)로 제공할 수 있다. 여기서, 웹페이지 제공부(105)는 웹페이지 데이터베이스(109)로부터 단말요청에 대응하여 캐싱된 웹페이지를 단말(111)로 제공함으로써, 데이터 부하를 감소시킬 수 있다.Specifically, when the web page providing unit 105 determines the second attribute of the web page associated with the terminal request as a 'static attribute', the web page providing unit 105 transmits the request to the terminal request from the web page database 109 regardless of the first determination result. The cached web page may be searched and provided to the terminal 111. Here, the webpage providing unit 105 may reduce the data load by providing the cached webpage to the terminal 111 in response to the terminal request from the webpage database 109.

반면, 웹페이지 제공부(105)는 웹페이지가 '동적 속성'으로 제2 판단되나, 단말(111)에 유효성이 없는 것으로 제1 판단되는 경우, 웹페이지 데이터베이 스(109)로부터 단말요청에 대응하여 캐싱된 '정적 속성'의 웹페이지를 검색하여 단말(111)로 제공할 수 있다.On the other hand, when the webpage providing unit 105 determines that the webpage is second as 'dynamic attribute', but is determined to be invalid in the terminal 111, the webpage providing unit 105 sends a request from the webpage database 109 to the terminal request. Correspondingly, the web page of the cached 'static attribute' may be searched and provided to the terminal 111.

웹페이지 제공부(105)는 단말요청에 대응하여 캐싱된 웹페이지가 웹페이지 데이터베이스(109)로부터 검색되지 않는 경우, 서버요청을 생성하여 웹서버(113)로 전송하고, 서버요청에 응답한 웹서버(113)로부터 전송되는 웹페이지를 단말(111)로 전달할 수 있다.If the web page cached in response to the terminal request is not retrieved from the web page database 109, the web page providing unit 105 generates a server request and sends it to the web server 113, and the web in response to the server request The web page transmitted from the server 113 may be transmitted to the terminal 111.

인증정보 데이터베이스(107)는 웹서버(113)로부터의 웹페이지 제공이 허용된 단말(111)에 대한 식별정보를 저장할 수 있다. 여기서, 단말(111)에 대한 식별정보는 웹서버(113)로부터의 웹페이지 제공이 허용된 단말(111)의 아이디 및 패스워드를 포함할 수 있고, 외부 인증 서버(미도시)로부터 수신될 수 있다. 또한, 단말(111)에 대한 식별정보는 웹서버(113)로부터의 웹페이지 제공이 허용된 단말(111)의 아이피 주소(IP address)를 포함할 수도 있다.The authentication information database 107 may store identification information about the terminal 111 that is allowed to provide a web page from the web server 113. Here, the identification information for the terminal 111 may include an ID and password of the terminal 111 is allowed to provide a web page from the web server 113, it may be received from an external authentication server (not shown). . In addition, the identification information for the terminal 111 may include an IP address of the terminal 111 is allowed to provide a web page from the web server 113.

웹페이지 데이터베이스(109)는 웹서버(113)로부터 수신된 '정적 속성'의 웹페이지를 저장하여, 설정된 시간 동안 웹페이지를 캐싱할 수 있다.The webpage database 109 may store a webpage of 'static properties' received from the web server 113 and cache the webpage for a set time.

도 2는 본 발명의 일실시예에 따른 분산서비스거부 제어 방법을 나타내는 흐름도이다.2 is a flowchart illustrating a method for controlling distributed service denial according to an embodiment of the present invention.

도 2를 참조하면, 먼저, 분산서비스거부 제어 장치는 단말로부터 웹페이지 획득을 위한 단말요청을 입력받는다(201).Referring to FIG. 2, first, a distributed service rejection control apparatus receives a terminal request for obtaining a web page from a terminal (201).

이어서, 분산서비스거부 제어 장치는 단말요청과 연관된 웹페이지에 대한 속성을 판단할 수 있다(203).Subsequently, the distributed service rejection control apparatus may determine an attribute of a web page associated with the terminal request (203).

즉, 분산서비스거부 제어 장치는 웹페이지에 대한 속성이 '정적 속성' 또는 '동적 속성' 인지를 판단할 수 있다.That is, the distributed service denial control device may determine whether an attribute of the web page is a 'static attribute' or a 'dynamic attribute'.

여기서, '정적 속성'의 웹페이지는 예를 들어, HTML 문서처럼 접속할 때마다 변하지 않고, 동일한 내용을 제공하는 웹페이지를 의미할 수 있다. 반면, '동적 속성'의 웹페이지는 예를 들어, ASP, PHP, JSP 문서처럼 접속할 때마다, 다른 내용을 제공하는 웹페이지를 의미할 수 있다.Here, the web page of the 'static property' may mean a web page that provides the same content without changing every time, for example, as an HTML document. On the other hand, a web page of 'dynamic properties' may mean a web page that provides different contents each time, for example, ASP, PHP, JSP documents.

또한, '정적 속성'의 웹페이지에 대한 웹주소는 예를 들어, 도 3에 도시된 바와 같이 구성될 수 있고, '동적 속성'의 웹페이지에 대한 웹주소는 예를 들어, 도 4에 도시된 바와 같이, 구성될 수 있다. 여기서, '정적 속성'의 웹페이지에 대한 웹주소는 웹주소에 의해 지정된 문서 또는 게시판을 제공하는 반면, '동적 속성'의 웹페이지에 대한 웹주소는, 예컨대 '~/board/view.html?code='에서, 구분자 '?' 뒤에 나오는 코드 번호로 구분된 문서 또는 게시판을, 접속할 때마다 다르게 변경하여 다른 내용을 제공할 수 있다.Further, the web address for the web page of the 'static attribute' may be configured, for example, as shown in FIG. 3, and the web address for the web page of the 'dynamic attribute' is shown, for example, in FIG. As can be configured. Here, the web address for the web page of the 'static property' provides a document or bulletin board designated by the web address, whereas the web address for the web page of the 'dynamic property' is, for example, '~ / board / view.html?'. In code = ', the separator'? ' Documents or bulletin boards separated by code numbers can be changed differently each time they connect to provide different contents.

이어서, 분산서비스거부 제어 장치는 단말요청과 연관된 웹페이지에 대한 속성이 '동적 속성' 인 경우, 단말의 유효성을 판단한다(205).In operation 205, the distributed service rejection control apparatus determines the validity of the terminal when the attribute of the web page associated with the terminal request is a 'dynamic attribute'.

여기서, 분산서비스거부 제어 장치는 단말로부터 아이디 또는 패스워드 중 적어도 하나를 포함하는 식별정보를 수신하고, 인증정보 데이터베이스로부터 식별정보에 대응하는 인증정보가 검색되면, 단말에 유효성이 있는 것으로 판단할 수 있다.Here, the distributed service denial control apparatus may receive identification information including at least one of an ID and a password from the terminal, and if the authentication information corresponding to the identification information is retrieved from the authentication information database, the distributed service denial control device may determine that the terminal is valid. .

구체적으로, 분산서비스거부 제어 장치는 단말요청과 연관된 웹페이지에 대 한 속성이 '동적 속성' 인 경우, 예를 들어, 도 5에 도시된 웹페이지를 단말로 전송하고, 단말로부터 아이디 및 패스워드를 수신할 수 있다. 이후, 분산서비스거부 제어 장치는 인증정보 데이터베이스로부터 단말로부터 수신된 아이디 및 패스워드와 일치하는 인증정보가 검색되면, 단말에 유효성이 있는 것으로 판단할 수 있다.Specifically, the distributed service rejection control apparatus transmits the web page shown in FIG. 5 to the terminal, for example, when the attribute of the web page associated with the terminal request is 'dynamic attribute', and transmits an ID and password from the terminal. Can be received. Thereafter, the distributed service rejection control apparatus may determine that the terminal is valid when the authentication information corresponding to the ID and password received from the terminal is retrieved from the authentication information database.

또한, 분산서비스거부 제어 장치는 인증정보 데이터베이스로부터 단말의 아이피 주소(IP address)에 대응하는 인증정보가 검색되면, 단말에 유효성이 있는 것으로 판단할 수도 있다.In addition, the distributed service denial control device may determine that the terminal is valid when the authentication information corresponding to the IP address of the terminal is retrieved from the authentication information database.

이어서, 분산서비스거부 제어 장치는 단말에 유효성이 있는 것으로 판단하는 경우, 단말과 웹서버 간에 세션을 설정하여 설정된 세션을 통해 웹서버에서 단말로 웹페이지가 제공되도록 한다(207).In operation 207, the distributed service rejection control apparatus determines that the terminal is valid, and establishes a session between the terminal and the web server so that the web page is provided from the web server to the terminal through the established session.

분산서비스거부 제어 장치는 단말에 유효성이 있는 경우, 웹서버에서 단말로 웹페이지가 제공되도록 함으로써, 유효성이 없는 단말로의 웹페이지 제공을 차단하여, 분산서비스거부 공격을 방지할 수 있다.The distributed service denial control device may prevent a distributed service denial attack by blocking the provision of a web page to an invalid terminal by providing a web page from the web server to the terminal when the terminal is valid.

여기서, 분산서비스거부 제어 장치는 웹페이지에 대한 속성을 판단한 후에, 단말의 유효성을 판단하는 것으로 언급하였으나 이에 한정되지 않고, 단말로부터 웹페이지 획득을 위한 단말요청을 입력받으면, 단말의 유효성을 판단한 후에, 웹페이지에 대한 속성을 판단할 수도 있다.Here, the distributed service rejection control apparatus is referred to as determining the validity of the terminal after determining the property of the web page, but is not limited thereto. When receiving the terminal request for obtaining the web page from the terminal, the distributed service rejection control apparatus determines the validity of the terminal. You can also determine the attributes for a web page.

반면, 분산서비스거부 제어 장치는 웹페이지에 대한 속성이 '정적 속성'으로 판단하거나, 단말에 유효성이 없는 것으로 판단하는 경우, 웹페이지 데이터베이스로부터 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 단말로 제공할 수 있 다. 이때, 분산서비스거부 제어 장치는 웹페이지가 설정된 시간 동안 캐싱되어 웹페이지 데이터베이스에 유지되도록 할 수 있다.On the other hand, the distributed service rejection control device determines that the attribute of the web page is a 'static attribute' or that the terminal is invalid, and searches the cached web page in response to the terminal request from the web page database to the terminal. Can be provided. In this case, the distributed service rejection control device may allow the web page to be cached for a predetermined time and maintained in the web page database.

또한, 분산서비스거부 제어 장치는 단말요청에 대응하여 캐싱된 웹페이지가 웹페이지 데이터베이스로부터 검색되지 않는 경우, 서버요청을 생성하여 웹서버로 전송하고, 서버요청에 응답한 웹서버로부터 전송되는 웹페이지를 단말로 전달할 수 있다.In addition, the distributed service rejection control apparatus generates a server request and transmits the generated web request to the web server when the cached web page corresponding to the terminal request is not retrieved from the web page database. Can be delivered to the terminal.

여기서, 분산서비스거부 제어 장치는 웹페이지 데이터베이스로부터 단말요청에 대응하여 캐싱된 웹페이지를 단말로 제공함으로써, 데이터 부하를 감소시킬 수 있다.Here, the distributed service rejection control apparatus can reduce the data load by providing the cached web page to the terminal from the web page database in response to the terminal request.

따라서, 본 발명의 실시예들에 따르면, 단말의 유효성이 있는 경우, 웹서버에서 단말로 웹페이지가 제공되도록 하여, 분산서비스거부 공격을 방지할 수 있다.Therefore, according to embodiments of the present invention, when the terminal is valid, the web server is provided to the terminal from the web server, thereby preventing the distributed service denial attack.

또한, 본 발명의 실시예들에 따르면, 단말요청과 연관된 웹페이지에 대한 속성이 '정적 속성'이거나, 단말에 유효성이 없는 경우, 웹페이지 데이터베이스에 캐싱된 웹페이지를 단말로 제공하여, 데이터 부하를 감소시킬 수 있다.In addition, according to embodiments of the present invention, if the attribute for the web page associated with the terminal request is a 'static attribute' or the terminal is not valid, by providing a web page cached in the web page database to the terminal, the data load Can be reduced.

본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스 크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Embodiments according to the present invention can be implemented in the form of program instructions that can be executed by various computer means can be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs, DVDs, and floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. The medium may be a transmission medium such as an optical or metal line, a wave guide, or the like, including a carrier wave for transmitting a signal designating a program command, a data structure, or the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.

그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the claims below but also by the equivalents of the claims.

도 1은 본 발명의 일실시예에 따른 분산서비스거부 제어 장치의 구성을 나타내는 도면이다.1 is a view showing the configuration of a distributed service rejection control apparatus according to an embodiment of the present invention.

도 2는 본 발명의 일실시예에 따른 분산서비스거부 제어 방법을 나타내는 흐름도이다.2 is a flowchart illustrating a method for controlling distributed service denial according to an embodiment of the present invention.

도 3은 '정적 속성'의 웹페이지에 대한 웹주소의 예를 도시한 도면이다.3 is a diagram illustrating an example of a web address for a web page of 'static property'.

도 4는 '동적 속성'의 웹페이지에 대한 웹주소의 예를 도시한 도면이다.4 is a diagram illustrating an example of a web address for a web page of 'dynamic attribute'.

도 5는 단말의 유효성을 확인하기 위해, 단말로 제공하는 웹페이지의 예를 도시한 도면이다.5 is a diagram illustrating an example of a web page provided to the terminal to confirm the validity of the terminal.

<도면의 주요 부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

101: 분산서비스거부 제어 장치 103: 인증 판단부101: distributed service denial control device 103: authentication determination unit

105: 웹페이지 제공부 107: 인증정보 데이터베이스105: web page provider 107: authentication information database

109: 웹페이지 데이터베이스 111: 단말109: web page database 111: terminal

113: 웹서버113: web server

Claims (10)

웹페이지 획득을 위한 단말요청이 단말로부터 입력됨에 따라,As the terminal request for web page acquisition is input from the terminal, 상기 웹페이지와 관련하여 상기 단말에 유효성이 있는지를 제1 판단하고, 상기 단말요청과 연관된 상기 웹페이지에 대한 속성을 제2 판단하는 인증 판단부; 및An authentication determination unit configured to first determine whether the terminal is valid with respect to the web page, and to second determine an attribute of the web page associated with the terminal request; And 상기 웹페이지가 '동적 속성'으로 제2 판단되나, 상기 단말에 유효성이 없는 것으로 제1 판단되는 경우, 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 '정적 속성' 웹페이지를 검색하여 상기 단말로 제공하는 웹페이지 제공부If the webpage is determined to be a 'dynamic attribute' for the second time, but is determined to be ineffective for the terminal, the terminal may be searched for a cached 'static attribute' webpage in response to the terminal request from the webpage database. Web page provider provided by 를 포함하는 분산서비스거부 제어 장치.Distributed service rejection control device comprising a. 제1항에 있어서,The method of claim 1, 상기 웹페이지 제공부는,The web page providing unit, 상기 웹페이지를 '정적 속성'으로 제2 판단하는 경우, 상기 제1 판단 결과와 무관하게, 상기 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 상기 단말로 제공하는, 분산서비스거부 제어 장치.In the case of the second determination of the web page as a 'static property', regardless of the result of the first determination, a distributed service for retrieving the cached web page corresponding to the terminal request from the web page database and providing the terminal to the terminal. Rejection control device. 제1항에 있어서,The method of claim 1, 상기 웹페이지 제공부는,The web page providing unit, 상기 단말에 유효성이 있는 것으로 제1 판단하는 경우, 상기 단말과 웹서버 간에 세션을 설정하여 상기 설정된 세션을 통해 상기 웹서버에서 상기 단말로 상기 웹페이지가 제공되도록 하는, 분산서비스거부 제어 장치.And a first determining that the terminal is valid, establishes a session between the terminal and the web server so that the web page is provided from the web server to the terminal through the set session. 제1항에 있어서,The method of claim 1, 상기 캐싱된 '정적 속성' 웹페이지가 상기 웹페이지 데이터베이스로부터 검색되지 않는 경우,If the cached 'static attribute' webpage is not retrieved from the webpage database, 상기 웹페이지 제공부는,The web page providing unit, 서버요청을 생성하여 웹서버로 전송하고, 상기 서버요청에 응답한 웹서버로부터 전송되는 상기 웹페이지를 상기 단말로 전달하는, 분산서비스거부 제어 장치.And generating a server request and transmitting the request to a web server, and transmitting the web page transmitted from the web server in response to the server request to the terminal. 제1항에 있어서,The method of claim 1, 상기 인증 판단부는,The authentication determination unit, 상기 단말로부터 아이디 또는 패스워드 중 적어도 하나를 포함하는 식별정보를 수신하고, 인증정보 데이터베이스로부터 상기 식별정보에 대응하는 인증정보 가 검색되면, 상기 단말에 유효성이 있는 것으로 제1 판단하는, 분산서비스거부 제어 장치.Receiving identification information including at least one of an ID and a password from the terminal, and if the authentication information corresponding to the identification information is retrieved from the authentication information database, the first determination that the terminal is valid, distributed service rejection control Device. 제1항에 있어서,The method of claim 1, 상기 웹페이지 제공부는,The web page providing unit, 상기 웹페이지가 설정된 시간 동안 캐싱되어 상기 웹페이지 데이터베이스에 유지되도록 하는, 분산서비스거부 제어 장치.And a web page is cached for a predetermined time and maintained in the web page database. 단말로부터 웹페이지 획득을 위한 단말요청을 수신하면, 상기 웹페이지와 관련하여 상기 단말에 유효성이 있는지를 제1 판단하는 단계;When the terminal request for obtaining the web page is received from the terminal, determining whether the terminal is valid with respect to the web page; 상기 단말요청과 연관된 상기 웹페이지에 대한 속성을 제2 판단하는 단계;Determining a property of the web page associated with the terminal request; 상기 웹페이지가 '동적 속성'으로 제2 판단되나, 상기 단말에 유효성이 없는 것으로 제1 판단되는 경우, 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 '정적 속성' 웹페이지를 검색하여 상기 단말로 제공하는 단계If the webpage is determined to be a 'dynamic attribute' for the second time, but is determined to be ineffective for the terminal, the terminal may be searched for a cached 'static attribute' webpage in response to the terminal request from the webpage database. Step by step 를 포함하는 분산서비스거부 제어 방법.Distributed service rejection control method comprising a. 제7항에 있어서,The method of claim 7, wherein 상기 웹페이지를 검색하여 상기 단말로 제공하는 단계는,Searching the web page and providing the web page to the terminal, 상기 웹페이지가 '정적 속성'으로 제2 판단하는 경우, 상기 제1 판단 결과와 무관하게, 상기 웹페이지 데이터베이스로부터 상기 단말요청에 대응하여 캐싱된 웹페이지를 검색하여 상기 단말로 제공하는 단계If the second web page is determined to be a 'static attribute', retrieving a cached web page corresponding to the terminal request from the web page database and providing the terminal to the terminal regardless of the first determination result 를 포함하는, 분산서비스거부 제어 방법.Including, distributed service rejection control method. 제7항에 있어서,The method of claim 7, wherein 상기 단말에 유효성이 있는지를 제1 판단하는 단계는,The first step of determining whether the terminal is valid, 상기 단말로부터 아이디 또는 패스워드 중 적어도 하나를 포함하는 식별정보를 수신하는 단계; 및Receiving identification information including at least one of an ID and a password from the terminal; And 인증정보 데이터베이스로부터 상기 식별정보에 대응하는 인증정보가 검색되면, 상기 단말에 유효성이 있는 것으로 제1 판단하는 단계Determining that the terminal is valid when authentication information corresponding to the identification information is retrieved from an authentication information database. 를 포함하는, 분산서비스거부 제어 방법.Including, distributed service rejection control method. 제7항에 있어서,The method of claim 7, wherein 상기 웹페이지 데이터베이스에 상기 캐싱된 '정적 속성' 웹페이지를 기설정된 시간 동안 유지하는 단계Maintaining the cached 'static attribute' web page in the web page database for a predetermined time; 를 더 포함하는, 분산서비스거부 제어 방법.Further comprising, distributed service rejection control method.
KR1020090097525A 2009-10-14 2009-10-14 Apparatus and method for controlling distributed denial of service KR101115204B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090097525A KR101115204B1 (en) 2009-10-14 2009-10-14 Apparatus and method for controlling distributed denial of service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090097525A KR101115204B1 (en) 2009-10-14 2009-10-14 Apparatus and method for controlling distributed denial of service

Publications (2)

Publication Number Publication Date
KR20110040310A KR20110040310A (en) 2011-04-20
KR101115204B1 true KR101115204B1 (en) 2012-06-12

Family

ID=44046692

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090097525A KR101115204B1 (en) 2009-10-14 2009-10-14 Apparatus and method for controlling distributed denial of service

Country Status (1)

Country Link
KR (1) KR101115204B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030060923A (en) * 2000-10-26 2003-07-16 제너럴 인스트루먼트 코포레이션 Enforcement of content rights and conditions for multimedia content
JP2003242017A (en) 2002-02-15 2003-08-29 Hitachi Ltd Method and system for information disclosure
KR20040096788A (en) * 2003-05-09 2004-11-17 마이크로소프트 코포레이션 Web access to secure data
US20080010381A1 (en) * 2001-04-26 2008-01-10 Keith Barraclough Rule-based caching for packet-based data transfer

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030060923A (en) * 2000-10-26 2003-07-16 제너럴 인스트루먼트 코포레이션 Enforcement of content rights and conditions for multimedia content
US20080010381A1 (en) * 2001-04-26 2008-01-10 Keith Barraclough Rule-based caching for packet-based data transfer
JP2003242017A (en) 2002-02-15 2003-08-29 Hitachi Ltd Method and system for information disclosure
KR20040096788A (en) * 2003-05-09 2004-11-17 마이크로소프트 코포레이션 Web access to secure data

Also Published As

Publication number Publication date
KR20110040310A (en) 2011-04-20

Similar Documents

Publication Publication Date Title
US10491614B2 (en) Illegitimate typosquatting detection with internet protocol information
RU2744671C2 (en) System and methods for detecting network fraud
KR101270041B1 (en) System and method for detecting arp spoofing
RU2668710C1 (en) Computing device and method for detecting malicious domain names in network traffic
US10469531B2 (en) Fraud detection network system and fraud detection method
US7779470B2 (en) Server denial of service shield
US8893278B1 (en) Detecting malware communication on an infected computing device
US8850567B1 (en) Unauthorized URL requests detection
CN109413000B (en) Anti-stealing-link method and anti-stealing-link network relation system
CN108881101B (en) Cross-site script vulnerability defense method and device based on document object model and client
US20140310811A1 (en) Detecting and Marking Client Devices
JP2004318816A (en) Communication relay device, communication relay method, and program
US8161538B2 (en) Stateful application firewall
CN106357696A (en) Detection method and detection system for SQL injection attack
CN111786966A (en) Method and device for browsing webpage
CN105635064B (en) CSRF attack detection method and device
CN105635073A (en) Access control method and device and network access equipment
RU2601147C2 (en) System and method for detection of target attacks
JP4660056B2 (en) Data processing device
US20070143845A1 (en) Method of preventing leakage of personal information of user using server registration information and system using the method
KR20110059963A (en) Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same
JP2006106928A (en) Access prevention apparatus, method, and program of preventing access
CN112751900B (en) Network request processing method and device
KR101115204B1 (en) Apparatus and method for controlling distributed denial of service
JP5743822B2 (en) Information leakage prevention device and restriction information generation device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150204

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160203

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee