본 논문에서는 IP 히스토리 정보를 이용하여 기존의 연결된 flow와 새로 도착한 flow를 다른 우선순위로 서비스하여 특정 서브넷을 DDoS(Distributed Denial of Service) 공격으로부터 보호하는 방어 시스템을 제안한다. DDoS 공격은 일반적으로 네트워크 노드 혹은 링크의 리소스가 제한되어 있으며 네트워크 리소스에 대한 사용자의 수요가 실제 네트워크 노드 혹은 링크의 용량을 초과하는 경우에 발생하게 된다. 제안된 방어 시스템은 두 단계로 나뉘어서 작동하게 되는데, 첫 번째 단계에서는 접속을 시도하는 외부 IP에 대해 샘플링기법을 사용하여 모니터링 하는 IP주소의 개수를 줄이고, 두 번째 단계에서는 정상적인 IP의 목록을 관리하고 DDoS 공격이 발생하였을 때 IP 목록에 기반해 기존의 연결된 flow와 새로 도착한 flow를 구별함으로써 기존의 연결된 flow에 대해서 지속적이고 정상적인 서비스를 제공한다. 제안된 DDoS 방어 시스템의 성능은 시뮬레이션을 통해 평가한다
We propose a two-stage Distributed Denial of Service (DDoS) defense system, which can protect a given subnet by serving existing flows and new flows with a different priority based on IP history information. Denial of Service(DoS) usually occurs when the resource of a network node or link is limited and the demand of the users for that resource exceeds the capacity. The objective of the proposed defense system is to provide continued service to existing flows even in the presence of DDoS attacks. The proposed scheme can protect existing connections effectively with a smaller memory size by reducing the monitored IP address set through sampling and per-prefix history management. We evaluate the performance of the proposed scheme through simulation.
1. 서론
2. 관련 연구
3. IP 필터링 기반 DD 방어 메커니즘
4. 성능 분석
5. 결 론
참고문헌