ゾンビ識別のための仮想サーバー及びその方法、並びに仮想サーバーに基づいてゾンビ情報を統合管理するためのシンクホールサーバー及び方法
【課題】DDoS攻撃のようなボットによる悪性行為を遮断する。
【解決手段】ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュール220と、前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュール240と、前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュール250と、前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュール260と、を含む。
【解決手段】ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュール220と、前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュール240と、前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュール250と、前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュール260と、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、悪性ボット(bot)によって感染されて悪性行為を行うゾンビ(zombie)ホストを識別及び遮断するための方法及びこれを行う仮想サーバー、並びにこのような仮想サーバーに基盤して獲得されたゾンビ情報を分析することによって、ゾンビの規模及び分布を把握するための方法及びこれを行うシンクホールサーバーに関する。
【背景技術】
【0002】
最近、インターネットサービスが多様化されるにつれて、インターネット使用率が増加しており、これによって、コンピュータウイルスやインターネットワームなどのような悪性コードがインターネットを介して広く拡散され、ユーザに多くの被害をもたらしている。特に、悪性コードであるボットに感染された多数のコンピュータ(これをボットネットという)が特定のウェブサーバーへのトラフィックを急増させて、ウェブサーバーが正常機能を行うことができないように妨害するDDoS(Distributed Denial of Service:分散サービス拒否)攻撃は、深刻な問題となっている。
【0003】
ボットに感染されたコンピュータは、コンピュータユーザの意志に関係なく、ハッカーによって操縦されて悪性行為を行うので、ゾンビホストと呼ばれる。このようなボットの感染を防止し悪性行為を遮断するために、シンクホールサーバーを用いてボットによる悪性行為を遮断する方法が活用されている。
【0004】
既存のシンクホールサーバーを利用した悪性行為遮断方式は、ゾンビホストがボットネット制御サーバーのドメインに対するIPを得るために、DNS(Domain Name Service)サーバーに問い合わせするとき、シンクホールサーバーのIPを応答するようにして、以後ゾンビホストのトラフィックがシンクホールサーバーに向かうようにすることによって、悪性行為を遮断する方式である。しかし、このような方式は、知られたボットネット制御サーバーのドメインを問い合わせするゾンビホストにのみ限って対応することができるという問題がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】韓国特許登録第10−0900491号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、前述のような問題点を解決するためになされたもので、DDoS攻撃の主な対象となるウェブサーバーの前段にゾンビ識別のための仮想サーバーを提供することによって、認証を受けていないホストをゾンビとして識別し、ウェブサーバー接続を源泉遮断することを目的とする。
【0007】
また、本発明は、仮想サーバーによって識別されたゾンビホスト情報を分析し、ゾンビの規模及び分布を把握することによって、以後の2次攻撃に備えるようにすることを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明の一実施例によるゾンビ識別仮想サーバーは、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュールと、前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュールと、前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュールと、前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュールと、を含む。
【0009】
本発明の他の実施例によるシンクホールサーバーは、ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されたゾンビのIPアドレスを収集し、前記IPアドレスのうち重複されるIPアドレスを除去する重複IP除去モジュールと、前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定するゾンビ規模算定モジュールと、前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する地理分布把握モジュールと、前記算定されたゾンビの規模及び前記地理的分布を格納するゾンビ情報DBと、を含む。
【0010】
本発明のさらに他の実施例によるゾンビ識別方法は、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含むか否かを判断する段階と、前記接続要請メッセージがクッキーを含まない場合、前記ホストに自動接続防止ページを伝送する段階と、前記ホストから前記自動接続防止ページに対する正解が受信されれば、前記ホストのIPアドレスに対応するクッキーを伝送する段階と、前記接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記ホストのIPアドレスに対応するクッキー値であるか否かを検証する段階と、前記クッキー値の検証に失敗した場合、前記ウェブサーバーへの接続を遮断し、遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階と、を含む。
【0011】
本発明のさらに他の実施例によるゾンビ情報統合管理方法は、ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されるゾンビのIPアドレスを収集する段階と、前記収集されたIPアドレスのうち重複されるIPアドレスを除去する段階と、前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する段階と、前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する段階と、を含む。
【発明の効果】
【0012】
本発明による仮想サーバーを活用してウェブサーバーに非正常的に接続するゾンビホストを識別し、DDoS攻撃を誘発するボットネットの規模をリアルタイムに分析することができる。各仮想サーバーでゾンビとして識別されたトラフィックは、DDoSシンクホールサーバーに流入され、総合的な管理が可能である。また、DDoSゾンビとして識別されたホストIPは、再度ウェブサーバーの防火壁設定に登録され、攻撃を迅速に遮断することができる。結果的に、統合的なゾンビ規模算定と分布把握を通じてボットネットの規模と分布に対する情報を習得することができ、以後当該ボットネットのトラフィック流れをモニタリングすることができる官制技術側面でのネットワーク情報を提供する。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施例による仮想サーバーを介してウェブサーバー及びシンクホールシステムに伝達されるトラフィックの流れを概念的に示す。
【図2】本発明の一実施例によってゾンビ識別を行う仮想サーバー200の構成を示すブロック図である。
【図3】本発明の一実施例によるシンクホールサーバーの構成を示すブロック図である。
【図4】本発明の一実施例によって仮想サーバーで行われるDDosゾンビ識別過程を示す流れ図である。
【図5】本発明の一実施例によって正常ユーザの接続トラフィック制御流れ図を示す。
【図6】本発明の一実施例によってゾンビとして識別されるホストの接続トラフィック制御流れ図を示す。
【発明を実施するための形態】
【0014】
以下、添付図面を参照して本発明の実施例について本発明の属する技術分野における通常の知識を有する者が容易に実施することができるように詳細に説明する。しかし、本発明は、様々な他の形態で変形することができ、本発明の範囲が下記実施例に限定されるものではない。なお、図面において、本発明を正確に説明するために、説明と関係ない部分を省略し、明細書全般において、同一の参照符号は同一の構成要素を示す。
【0015】
また、明細書全般において、或る部分が任意の構成要素を「含む」とするとき、これは、特に反対される記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含むことができることを意味する。また、明細書に記載された「…部」、「モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これは、ハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組合せによって具現することができる。
【0016】
図1は、本発明の一実施例による仮想サーバー、ウェブサーバー及びシンクホールサーバー間のトラフィック流れを概念的に示す。図示のように、仮想サーバー130は、ウェブサーバー140の前段に配置され、ウェブサーバー140に接続を要請するホストの認証を行い、認証を受けていないホストをゾンビとして識別し、ウェブサーバー140への接続を源泉的に遮断させる機能を果たす。
【0017】
正常ユーザホスト110は、仮想サーバー130の認証をパスした場合、ウェブサーバー140を接続することができる。仮想サーバー130の認証は、自動接続防止(CAPTCHA:Completely Automated Public Turing test to tell Computers and Human Apart)ページに基づく問い合せを利用して行われ、認証にパスしたユーザホストは、仮想サーバー130から提供されるクッキーを利用してウェブサーバーに接続することができる。仮想サーバー130の認証過程は、残りの図面を参照して詳しく後述する。ユーザホストは、汎用PC、ラップトップ、携帯用コンピュータまたはタブレットなどネットワーク機能を具備した多様な類型のコンピュータのうち1つを使用することができるが、これらに限定されるものではない。
【0018】
一方、DDoS攻撃を行うゾンビホスト120は、仮想サーバー130の認証過程をパスすることができない。その後、ゾンビホスト120から発生するトラフィックは、仮想サーバー130によってシンクホールサーバー150に再伝達される。図面には、DDoS攻撃を行うゾンビの識別を例示しつつ説明しているが、本発明がDDoS攻撃を行うゾンビの識別にのみ限定されるものではなく、任意の悪性行為を行う悪性ボットに感染されたすべてのゾンビに適用されるということは、当該技術分野の当業者であれば充分に理解することができる。
【0019】
一方、図面には、正常ユーザ110及びゾンビ120のクッキー検証と自動接続防止のためのページを利用した認証手続がすべて仮想サーバー130で行われるものと図示されているが、認証手続機能は、別途の認証サーバーで行われるように具現することができる。この場合、仮想サーバー130で受信された接続要請メッセージ内にクッキーが存在するか否かを確認する。クッキーが存在しない場合は、前記接続要請メッセージが認証サーバーに再伝達され、認証サーバーによる認証過程が行われる。認証が完了した正常ユーザにクッキーを伝達した後、仮想サーバーに再接続するように誘導し、仮想サーバー130でクッキー値の検証が成功すれば、ウェブサーバー140への接続が可能である。
【0020】
図2は、本発明の一実施例によってゾンビ識別を行う仮想サーバー200の構成を示すブロック図である。図示のように、仮想サーバー200は、クッキー確認モジュール210、認証処理モジュール220、クッキーDB230、クッキー値検証モジュール240、ウェブページ接続誘導モジュール250及びゾンビ識別モジュール260を含む。
【0021】
クッキー確認モジュール210は、ホストから受信されたウェブサーバー接続要請メッセージにクッキーが存在するか否かを確認する。ウェブサーバー接続要請メッセージ内にクッキーが存在しない場合は、ホストがウェブサーバー接続要請を最初に試みた場合なので、仮想サーバーからまだクッキーを提供されていない場合であるか、それとも、ホストがゾンビである場合に該当する。
【0022】
認証処理モジュール220は、クッキーを含まないウェブサーバー接続要請メッセージを伝送したホストに自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを伝送する。このような認証過程は、ネットワーク階層L3で行われる。
【0023】
自動接続防止(CAPTCHA)テストは、ユーザが実際人間なのかコンピュータプログラムなのかを区別するために使用される方式であって、人間は、区別することができるが、コンピュータは、区別しにくく意図的に拗れたコードまたは絵を見せてからその内容を尋ねる方式である。ウェブサイトにDDoSトラフィックを発生させるゾンビは、ユーザの介入なしに自動化されたプログラムによって作動するので、このような自動接続防止(CAPTCHA)テストをパスすることができない。
【0024】
一実施例において、認証処理モジュール220は、臨界回数分だけ自動接続防止(CAPTCHA)テストページを再伝送することによって、ホストに正解を提出することができる機会を提供し、ホストが臨界回数分だけの正解提出機会の間に正解を提出しない場合、前記ホストをゾンビとして識別する。認証処理モジュール220は、ゾンビとして識別されたホストの接続を強制終了させ、前記ホストから受信された接続要請メッセージまたは前記ホストのIPアドレスをシンクホールサーバーに伝達する。
【0025】
一方、認証処理モジュール220は、自動接続防止(CAPTCHA)テストをパスしたホストに対しては、正常ユーザとして識別し、以後ウェブサーバー接続時に認証キーとして利用されるクッキーをホストに提供する。この際、ホストのIPアドレスにマッチングされるクッキーが提供される。クッキーDB230は、各IPアドレス別にあらかじめ計算されたクッキーリストを格納している。一例として、クッキー値は、前記ホストのIPアドレスのハッシュ値に対応して生成される。
【0026】
クッキー値検証モジュール240は、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記認証処理モジュール220によって前記ホストに正当に提供されたクッキー値であるか否かを検証する。クッキー値の抽出は、HTTPヘッダー開始点の探索過程を経て抽出される。クッキー値検証モジュール240は、抽出されたクッキー値とクッキーDB230に格納されたIP別にクッキー値とを比較することによって、クッキー値が正しい値であるか否かを検証する。
【0027】
ウェブページ接続誘導モジュール250は、クッキー値の検証に成功する場合、ホストが要請したウェブサーバー140のウェブページを提供することによって、前記ホストが前記ウェブサーバーに接続することができるように誘導し、ウェブサーバーと連結を中継する。
【0028】
ゾンビ識別モジュール260は、クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断された回数が臨界値を超過する場合、前記ホストをゾンビとして識別する。また、前記ゾンビとして識別されたホストから受信されたメッセージをシンクホールサーバー150に再伝達するか、または前記ゾンビとして識別されたホストのIPアドレスをシンクホールサーバー150に伝達する。一実施例において、ネットワーク負荷を減少させるために、一定の期間の間にゾンビとして識別されたホストのIPアドレスを取り合わせた後、取り合わされた情報をシンクホールサーバー150に伝達することができる。
【0029】
一方、前述の実施例では、認証処理モジュール220が仮想サーバー200内に含まれるものと説明されているが、他の実施例では、認証処理モジュール220によって行われる認証機能が仮想サーバー200とは別途の認証サーバーで行われてもよい。この場合、仮想サーバー200のクッキー確認モジュール210がホストからの接続要請メッセージ内にクッキーが存在するか否かを確認し、クッキーが存在しない場合は、前記接続要請メッセージを認証サーバーに再伝達し、認証サーバーによって認証処理が行われるようにする。認証サーバーは、認証が完了した正常ユーザにクッキーを伝達した後、仮想サーバーに再接続するように誘導する。
【0030】
図3は、本発明の一実施例によるシンクホールサーバーの構成を示すブロック図である。図示のように、シンクホールサーバー300は、重複IP除去モジュール310、ゾンビ規模算定モジュール320、ゾンビ分布把握モジュール330及びゾンビ情報DB340を含む。
【0031】
前述した図2は、説明の便宜上、1つの仮想サーバーと1つのウェブサーバーを例としてあげて説明したが、本発明による仮想サーバーは、DDoS攻撃の主な対象になる多数のウェブサーバーの前段に設置され、認証に失敗するホストをゾンビとして識別し、ゾンビから流入されたトラフィックまたはゾンビのIPアドレスをシンクホールサーバー300に伝達する。シンクホールサーバー300は、多数の仮想サーバー200に流入されるゾンビに対する情報を統合管理し、ゾンビの全体的な規模及び地理的分布を把握することによって、官制技術側面で以後当該ボットネットのトラフィック流れをモニタリングし、以後の2次攻撃に備えることができるようにする。
【0032】
具体的に、重複IP除去モジュール310は、多数の仮想サーバーから伝達されるゾンビのIPアドレスを収集し、収集されたIPアドレスのうち重複されるIPアドレスを除去する。代案的に、仮想サーバーからゾンビのIPアドレスでないゾンビから発生したトラフィックがそのまま再伝達される場合は、トラフィックからIPアドレスを抽出するIPアドレス抽出モジュール(図示せず)が追加的に必要とされうる。
【0033】
ゾンビ規模算定モジュール320は、重複IP除去モジュール310により重複されたIPアドレスが除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する。
【0034】
ゾンビ分布把握モジュール330は、IPアドレスに内在する地理的情報(例えば、国家、都市及び地域情報)を利用してゾンビの世界的な地理分布を把握する。
【0035】
ゾンビ情報DB340は、ゾンビ規模算定モジュール320によって算定されたゾンビの総個数及びゾンビ分布把握モジュール330によって把握された地理的分布情報が格納される場所である。ゾンビ情報DB340は、ゾンビ規模算定モジュール320及びゾンビ分布把握モジュール330の実行結果によって周期的に更新される。
【0036】
図4は、本発明の一実施例によって仮想サーバーで行われるDDoSゾンビ識別過程を示す流れ図である。
【0037】
まず、ユーザ(ホスト)から最初にウェブページ接続要請メッセージが受信されれば(段階410)、前記接続要請メッセージ内にクッキーの存在有無を確認する(段階420)。
【0038】
段階420で、クッキーが存在しないものと確認されれば、ユーザに自動接続防止(CAPTCHA)ページを伝送し、問題に対する正解を提出することによって、ユーザ認証を行い(430)、認証されたユーザにクッキーを伝送する(段階440)。
【0039】
当該クッキー値は、IP別にクッキー値が格納されたクッキーDBから持って来る。ユーザは、以後にウェブサーバーに接続するとき、前記クッキーを接続要請メッセージに含ませることによって、認証キーとして利用する。
【0040】
一方、正解を提出せず、認証に失敗したユーザには、CAPTCHAページを再伝送することによって、臨界値分だけの正解提出機会を提供し、失敗回数が臨界値を超過したものと判断された場合(段階470)、DDoSゾンビとして識別し、当該ゾンビから受信された接続要請メッセージをDDoSシンクホールに再伝達する(段階480)。
【0041】
段階420で、ウェブクッキーが存在するものと確認された場合、クッキー値を抽出し、当該ウェブクッキーの正当性可否をクッキーDBと比較して検証する(段階450)。
【0042】
段階450で、ウェブクッキーの検証が成功すれば、正常ユーザとして識別し、ウェブサーバーに連結を誘導し、ユーザとウェブサーバーとの通信を中継する(段階460)。
【0043】
一方、段階450で、ウェブクッキーの検証に失敗した場合、当該ユーザに対するクッキー検証失敗回数が臨界値を超過するか否かを判断し(段階470)、臨界値を超過した場合、当該ユーザホストをDDoSゾンビとして識別し、ウェブサーバーへの接続を遮断し、ホストから受信された接続要請メッセージをDDoSシンクホールに再伝達する(段階480)。
【0044】
図5は、本発明の一実施例によって正常ユーザの接続トラフィック制御流れ図を示す。図示のように、ウェブサーバーに接続を最初に試みる正常ユーザホストからクッキーを伴わない接続要請メッセージが受信される(500)。
【0045】
ホストから接続要請メッセージが受信されれば、仮想サーバーは、ホストに自動接続防止(CAPTCHA)ページを伝送する(501)。この際、ユーザの接続は終了する(502)。
【0046】
ホストから自動接続防止ページに対する正解が提出されれば(510)、前記ホストのIPに対応するクッキーを生成してホストに伝送すると同時に、ウェブサーバーの当該ウェブページ切換を誘導する(511)。
【0047】
その後、ユーザは、ウェブサーバー接続のためにクッキーを伴った接続要請メッセージを伝送し(520)、クッキーを伴った接続要請を受信した仮想サーバーは、クッキー値を検証し、クッキー値が正当なものと検証された場合、ウェブサーバーと連結を中継する(521)。仮想サーバーは、ウェブサーバーの応答を受信し(522)、ユーザに伝達する(523)。
【0048】
代案的に、クッキーを伴った接続要請メッセージがウェブサーバーによって直接受信されることができ、この場合、ウェブサーバーでクッキー値を検証し、直接ホストに応答することができる。
【0049】
図6は、本発明の一実施例によってゾンビとして識別されるホストの接続トラフィック制御流れ図を示す。ホストからクッキーを伴わない接続要請を受信する(600)。
【0050】
ホストから接続要請メッセージが受信されれば、仮想サーバーは、ユーザに自動接続防止(CAPTCHA)ページを伝送する(601)。この際、ユーザの接続は終了する(602)。
【0051】
ホストからCAPTCHA誤答が受信されれば(610)、接続を強制終了する(611)。ホストからアブノーマルクッキーを伴った接続要請が受信されれば(620)、クッキー検証を行い、クッキーが非正常であることを確認し、接続を強制終了する(621)。
【0052】
各接続が強制終了する場合が臨界値を超過すれば、当該ホストをDDoSゾンビとして識別し、前記ホストから受信された接続要請メッセージをDDoSシンクホールに再伝達する(630)。
【0053】
以上、本発明について好ましい実施例を中心に説明した。本発明の属する技術分野における通常の知識を有する者は、本発明が本発明の本質的な特性から逸脱しない範囲内で変形された形態で具現されることができることを理解することができるだろう。したがって、開示された実施例は、限定的な観点でなく、説明的な観点で考慮されなければならない。本発明の範囲は、前述の説明ではなく、特許請求の範囲に示されており、それと同等な範囲内にあるすべての差異点は、本発明に含まれたものと解すべきである。
【符号の説明】
【0054】
110 正常ユーザホスト
120 ゾンビホスト
130 仮想サーバー
140 ウェブサーバー
150 シンクホールサーバー
210 クッキー確認モジュール
220 認証処理モジュール
230 クッキーDB
240 クッキー値検証モジュール
250 ウェブページ接続誘導モジュール
260 ゾンビ識別モジュール
【技術分野】
【0001】
本発明は、悪性ボット(bot)によって感染されて悪性行為を行うゾンビ(zombie)ホストを識別及び遮断するための方法及びこれを行う仮想サーバー、並びにこのような仮想サーバーに基盤して獲得されたゾンビ情報を分析することによって、ゾンビの規模及び分布を把握するための方法及びこれを行うシンクホールサーバーに関する。
【背景技術】
【0002】
最近、インターネットサービスが多様化されるにつれて、インターネット使用率が増加しており、これによって、コンピュータウイルスやインターネットワームなどのような悪性コードがインターネットを介して広く拡散され、ユーザに多くの被害をもたらしている。特に、悪性コードであるボットに感染された多数のコンピュータ(これをボットネットという)が特定のウェブサーバーへのトラフィックを急増させて、ウェブサーバーが正常機能を行うことができないように妨害するDDoS(Distributed Denial of Service:分散サービス拒否)攻撃は、深刻な問題となっている。
【0003】
ボットに感染されたコンピュータは、コンピュータユーザの意志に関係なく、ハッカーによって操縦されて悪性行為を行うので、ゾンビホストと呼ばれる。このようなボットの感染を防止し悪性行為を遮断するために、シンクホールサーバーを用いてボットによる悪性行為を遮断する方法が活用されている。
【0004】
既存のシンクホールサーバーを利用した悪性行為遮断方式は、ゾンビホストがボットネット制御サーバーのドメインに対するIPを得るために、DNS(Domain Name Service)サーバーに問い合わせするとき、シンクホールサーバーのIPを応答するようにして、以後ゾンビホストのトラフィックがシンクホールサーバーに向かうようにすることによって、悪性行為を遮断する方式である。しかし、このような方式は、知られたボットネット制御サーバーのドメインを問い合わせするゾンビホストにのみ限って対応することができるという問題がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】韓国特許登録第10−0900491号
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、前述のような問題点を解決するためになされたもので、DDoS攻撃の主な対象となるウェブサーバーの前段にゾンビ識別のための仮想サーバーを提供することによって、認証を受けていないホストをゾンビとして識別し、ウェブサーバー接続を源泉遮断することを目的とする。
【0007】
また、本発明は、仮想サーバーによって識別されたゾンビホスト情報を分析し、ゾンビの規模及び分布を把握することによって、以後の2次攻撃に備えるようにすることを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために、本発明の一実施例によるゾンビ識別仮想サーバーは、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュールと、前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュールと、前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュールと、前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュールと、を含む。
【0009】
本発明の他の実施例によるシンクホールサーバーは、ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されたゾンビのIPアドレスを収集し、前記IPアドレスのうち重複されるIPアドレスを除去する重複IP除去モジュールと、前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定するゾンビ規模算定モジュールと、前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する地理分布把握モジュールと、前記算定されたゾンビの規模及び前記地理的分布を格納するゾンビ情報DBと、を含む。
【0010】
本発明のさらに他の実施例によるゾンビ識別方法は、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含むか否かを判断する段階と、前記接続要請メッセージがクッキーを含まない場合、前記ホストに自動接続防止ページを伝送する段階と、前記ホストから前記自動接続防止ページに対する正解が受信されれば、前記ホストのIPアドレスに対応するクッキーを伝送する段階と、前記接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記ホストのIPアドレスに対応するクッキー値であるか否かを検証する段階と、前記クッキー値の検証に失敗した場合、前記ウェブサーバーへの接続を遮断し、遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階と、を含む。
【0011】
本発明のさらに他の実施例によるゾンビ情報統合管理方法は、ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されるゾンビのIPアドレスを収集する段階と、前記収集されたIPアドレスのうち重複されるIPアドレスを除去する段階と、前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する段階と、前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する段階と、を含む。
【発明の効果】
【0012】
本発明による仮想サーバーを活用してウェブサーバーに非正常的に接続するゾンビホストを識別し、DDoS攻撃を誘発するボットネットの規模をリアルタイムに分析することができる。各仮想サーバーでゾンビとして識別されたトラフィックは、DDoSシンクホールサーバーに流入され、総合的な管理が可能である。また、DDoSゾンビとして識別されたホストIPは、再度ウェブサーバーの防火壁設定に登録され、攻撃を迅速に遮断することができる。結果的に、統合的なゾンビ規模算定と分布把握を通じてボットネットの規模と分布に対する情報を習得することができ、以後当該ボットネットのトラフィック流れをモニタリングすることができる官制技術側面でのネットワーク情報を提供する。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施例による仮想サーバーを介してウェブサーバー及びシンクホールシステムに伝達されるトラフィックの流れを概念的に示す。
【図2】本発明の一実施例によってゾンビ識別を行う仮想サーバー200の構成を示すブロック図である。
【図3】本発明の一実施例によるシンクホールサーバーの構成を示すブロック図である。
【図4】本発明の一実施例によって仮想サーバーで行われるDDosゾンビ識別過程を示す流れ図である。
【図5】本発明の一実施例によって正常ユーザの接続トラフィック制御流れ図を示す。
【図6】本発明の一実施例によってゾンビとして識別されるホストの接続トラフィック制御流れ図を示す。
【発明を実施するための形態】
【0014】
以下、添付図面を参照して本発明の実施例について本発明の属する技術分野における通常の知識を有する者が容易に実施することができるように詳細に説明する。しかし、本発明は、様々な他の形態で変形することができ、本発明の範囲が下記実施例に限定されるものではない。なお、図面において、本発明を正確に説明するために、説明と関係ない部分を省略し、明細書全般において、同一の参照符号は同一の構成要素を示す。
【0015】
また、明細書全般において、或る部分が任意の構成要素を「含む」とするとき、これは、特に反対される記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含むことができることを意味する。また、明細書に記載された「…部」、「モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これは、ハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組合せによって具現することができる。
【0016】
図1は、本発明の一実施例による仮想サーバー、ウェブサーバー及びシンクホールサーバー間のトラフィック流れを概念的に示す。図示のように、仮想サーバー130は、ウェブサーバー140の前段に配置され、ウェブサーバー140に接続を要請するホストの認証を行い、認証を受けていないホストをゾンビとして識別し、ウェブサーバー140への接続を源泉的に遮断させる機能を果たす。
【0017】
正常ユーザホスト110は、仮想サーバー130の認証をパスした場合、ウェブサーバー140を接続することができる。仮想サーバー130の認証は、自動接続防止(CAPTCHA:Completely Automated Public Turing test to tell Computers and Human Apart)ページに基づく問い合せを利用して行われ、認証にパスしたユーザホストは、仮想サーバー130から提供されるクッキーを利用してウェブサーバーに接続することができる。仮想サーバー130の認証過程は、残りの図面を参照して詳しく後述する。ユーザホストは、汎用PC、ラップトップ、携帯用コンピュータまたはタブレットなどネットワーク機能を具備した多様な類型のコンピュータのうち1つを使用することができるが、これらに限定されるものではない。
【0018】
一方、DDoS攻撃を行うゾンビホスト120は、仮想サーバー130の認証過程をパスすることができない。その後、ゾンビホスト120から発生するトラフィックは、仮想サーバー130によってシンクホールサーバー150に再伝達される。図面には、DDoS攻撃を行うゾンビの識別を例示しつつ説明しているが、本発明がDDoS攻撃を行うゾンビの識別にのみ限定されるものではなく、任意の悪性行為を行う悪性ボットに感染されたすべてのゾンビに適用されるということは、当該技術分野の当業者であれば充分に理解することができる。
【0019】
一方、図面には、正常ユーザ110及びゾンビ120のクッキー検証と自動接続防止のためのページを利用した認証手続がすべて仮想サーバー130で行われるものと図示されているが、認証手続機能は、別途の認証サーバーで行われるように具現することができる。この場合、仮想サーバー130で受信された接続要請メッセージ内にクッキーが存在するか否かを確認する。クッキーが存在しない場合は、前記接続要請メッセージが認証サーバーに再伝達され、認証サーバーによる認証過程が行われる。認証が完了した正常ユーザにクッキーを伝達した後、仮想サーバーに再接続するように誘導し、仮想サーバー130でクッキー値の検証が成功すれば、ウェブサーバー140への接続が可能である。
【0020】
図2は、本発明の一実施例によってゾンビ識別を行う仮想サーバー200の構成を示すブロック図である。図示のように、仮想サーバー200は、クッキー確認モジュール210、認証処理モジュール220、クッキーDB230、クッキー値検証モジュール240、ウェブページ接続誘導モジュール250及びゾンビ識別モジュール260を含む。
【0021】
クッキー確認モジュール210は、ホストから受信されたウェブサーバー接続要請メッセージにクッキーが存在するか否かを確認する。ウェブサーバー接続要請メッセージ内にクッキーが存在しない場合は、ホストがウェブサーバー接続要請を最初に試みた場合なので、仮想サーバーからまだクッキーを提供されていない場合であるか、それとも、ホストがゾンビである場合に該当する。
【0022】
認証処理モジュール220は、クッキーを含まないウェブサーバー接続要請メッセージを伝送したホストに自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを伝送する。このような認証過程は、ネットワーク階層L3で行われる。
【0023】
自動接続防止(CAPTCHA)テストは、ユーザが実際人間なのかコンピュータプログラムなのかを区別するために使用される方式であって、人間は、区別することができるが、コンピュータは、区別しにくく意図的に拗れたコードまたは絵を見せてからその内容を尋ねる方式である。ウェブサイトにDDoSトラフィックを発生させるゾンビは、ユーザの介入なしに自動化されたプログラムによって作動するので、このような自動接続防止(CAPTCHA)テストをパスすることができない。
【0024】
一実施例において、認証処理モジュール220は、臨界回数分だけ自動接続防止(CAPTCHA)テストページを再伝送することによって、ホストに正解を提出することができる機会を提供し、ホストが臨界回数分だけの正解提出機会の間に正解を提出しない場合、前記ホストをゾンビとして識別する。認証処理モジュール220は、ゾンビとして識別されたホストの接続を強制終了させ、前記ホストから受信された接続要請メッセージまたは前記ホストのIPアドレスをシンクホールサーバーに伝達する。
【0025】
一方、認証処理モジュール220は、自動接続防止(CAPTCHA)テストをパスしたホストに対しては、正常ユーザとして識別し、以後ウェブサーバー接続時に認証キーとして利用されるクッキーをホストに提供する。この際、ホストのIPアドレスにマッチングされるクッキーが提供される。クッキーDB230は、各IPアドレス別にあらかじめ計算されたクッキーリストを格納している。一例として、クッキー値は、前記ホストのIPアドレスのハッシュ値に対応して生成される。
【0026】
クッキー値検証モジュール240は、ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記認証処理モジュール220によって前記ホストに正当に提供されたクッキー値であるか否かを検証する。クッキー値の抽出は、HTTPヘッダー開始点の探索過程を経て抽出される。クッキー値検証モジュール240は、抽出されたクッキー値とクッキーDB230に格納されたIP別にクッキー値とを比較することによって、クッキー値が正しい値であるか否かを検証する。
【0027】
ウェブページ接続誘導モジュール250は、クッキー値の検証に成功する場合、ホストが要請したウェブサーバー140のウェブページを提供することによって、前記ホストが前記ウェブサーバーに接続することができるように誘導し、ウェブサーバーと連結を中継する。
【0028】
ゾンビ識別モジュール260は、クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断された回数が臨界値を超過する場合、前記ホストをゾンビとして識別する。また、前記ゾンビとして識別されたホストから受信されたメッセージをシンクホールサーバー150に再伝達するか、または前記ゾンビとして識別されたホストのIPアドレスをシンクホールサーバー150に伝達する。一実施例において、ネットワーク負荷を減少させるために、一定の期間の間にゾンビとして識別されたホストのIPアドレスを取り合わせた後、取り合わされた情報をシンクホールサーバー150に伝達することができる。
【0029】
一方、前述の実施例では、認証処理モジュール220が仮想サーバー200内に含まれるものと説明されているが、他の実施例では、認証処理モジュール220によって行われる認証機能が仮想サーバー200とは別途の認証サーバーで行われてもよい。この場合、仮想サーバー200のクッキー確認モジュール210がホストからの接続要請メッセージ内にクッキーが存在するか否かを確認し、クッキーが存在しない場合は、前記接続要請メッセージを認証サーバーに再伝達し、認証サーバーによって認証処理が行われるようにする。認証サーバーは、認証が完了した正常ユーザにクッキーを伝達した後、仮想サーバーに再接続するように誘導する。
【0030】
図3は、本発明の一実施例によるシンクホールサーバーの構成を示すブロック図である。図示のように、シンクホールサーバー300は、重複IP除去モジュール310、ゾンビ規模算定モジュール320、ゾンビ分布把握モジュール330及びゾンビ情報DB340を含む。
【0031】
前述した図2は、説明の便宜上、1つの仮想サーバーと1つのウェブサーバーを例としてあげて説明したが、本発明による仮想サーバーは、DDoS攻撃の主な対象になる多数のウェブサーバーの前段に設置され、認証に失敗するホストをゾンビとして識別し、ゾンビから流入されたトラフィックまたはゾンビのIPアドレスをシンクホールサーバー300に伝達する。シンクホールサーバー300は、多数の仮想サーバー200に流入されるゾンビに対する情報を統合管理し、ゾンビの全体的な規模及び地理的分布を把握することによって、官制技術側面で以後当該ボットネットのトラフィック流れをモニタリングし、以後の2次攻撃に備えることができるようにする。
【0032】
具体的に、重複IP除去モジュール310は、多数の仮想サーバーから伝達されるゾンビのIPアドレスを収集し、収集されたIPアドレスのうち重複されるIPアドレスを除去する。代案的に、仮想サーバーからゾンビのIPアドレスでないゾンビから発生したトラフィックがそのまま再伝達される場合は、トラフィックからIPアドレスを抽出するIPアドレス抽出モジュール(図示せず)が追加的に必要とされうる。
【0033】
ゾンビ規模算定モジュール320は、重複IP除去モジュール310により重複されたIPアドレスが除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する。
【0034】
ゾンビ分布把握モジュール330は、IPアドレスに内在する地理的情報(例えば、国家、都市及び地域情報)を利用してゾンビの世界的な地理分布を把握する。
【0035】
ゾンビ情報DB340は、ゾンビ規模算定モジュール320によって算定されたゾンビの総個数及びゾンビ分布把握モジュール330によって把握された地理的分布情報が格納される場所である。ゾンビ情報DB340は、ゾンビ規模算定モジュール320及びゾンビ分布把握モジュール330の実行結果によって周期的に更新される。
【0036】
図4は、本発明の一実施例によって仮想サーバーで行われるDDoSゾンビ識別過程を示す流れ図である。
【0037】
まず、ユーザ(ホスト)から最初にウェブページ接続要請メッセージが受信されれば(段階410)、前記接続要請メッセージ内にクッキーの存在有無を確認する(段階420)。
【0038】
段階420で、クッキーが存在しないものと確認されれば、ユーザに自動接続防止(CAPTCHA)ページを伝送し、問題に対する正解を提出することによって、ユーザ認証を行い(430)、認証されたユーザにクッキーを伝送する(段階440)。
【0039】
当該クッキー値は、IP別にクッキー値が格納されたクッキーDBから持って来る。ユーザは、以後にウェブサーバーに接続するとき、前記クッキーを接続要請メッセージに含ませることによって、認証キーとして利用する。
【0040】
一方、正解を提出せず、認証に失敗したユーザには、CAPTCHAページを再伝送することによって、臨界値分だけの正解提出機会を提供し、失敗回数が臨界値を超過したものと判断された場合(段階470)、DDoSゾンビとして識別し、当該ゾンビから受信された接続要請メッセージをDDoSシンクホールに再伝達する(段階480)。
【0041】
段階420で、ウェブクッキーが存在するものと確認された場合、クッキー値を抽出し、当該ウェブクッキーの正当性可否をクッキーDBと比較して検証する(段階450)。
【0042】
段階450で、ウェブクッキーの検証が成功すれば、正常ユーザとして識別し、ウェブサーバーに連結を誘導し、ユーザとウェブサーバーとの通信を中継する(段階460)。
【0043】
一方、段階450で、ウェブクッキーの検証に失敗した場合、当該ユーザに対するクッキー検証失敗回数が臨界値を超過するか否かを判断し(段階470)、臨界値を超過した場合、当該ユーザホストをDDoSゾンビとして識別し、ウェブサーバーへの接続を遮断し、ホストから受信された接続要請メッセージをDDoSシンクホールに再伝達する(段階480)。
【0044】
図5は、本発明の一実施例によって正常ユーザの接続トラフィック制御流れ図を示す。図示のように、ウェブサーバーに接続を最初に試みる正常ユーザホストからクッキーを伴わない接続要請メッセージが受信される(500)。
【0045】
ホストから接続要請メッセージが受信されれば、仮想サーバーは、ホストに自動接続防止(CAPTCHA)ページを伝送する(501)。この際、ユーザの接続は終了する(502)。
【0046】
ホストから自動接続防止ページに対する正解が提出されれば(510)、前記ホストのIPに対応するクッキーを生成してホストに伝送すると同時に、ウェブサーバーの当該ウェブページ切換を誘導する(511)。
【0047】
その後、ユーザは、ウェブサーバー接続のためにクッキーを伴った接続要請メッセージを伝送し(520)、クッキーを伴った接続要請を受信した仮想サーバーは、クッキー値を検証し、クッキー値が正当なものと検証された場合、ウェブサーバーと連結を中継する(521)。仮想サーバーは、ウェブサーバーの応答を受信し(522)、ユーザに伝達する(523)。
【0048】
代案的に、クッキーを伴った接続要請メッセージがウェブサーバーによって直接受信されることができ、この場合、ウェブサーバーでクッキー値を検証し、直接ホストに応答することができる。
【0049】
図6は、本発明の一実施例によってゾンビとして識別されるホストの接続トラフィック制御流れ図を示す。ホストからクッキーを伴わない接続要請を受信する(600)。
【0050】
ホストから接続要請メッセージが受信されれば、仮想サーバーは、ユーザに自動接続防止(CAPTCHA)ページを伝送する(601)。この際、ユーザの接続は終了する(602)。
【0051】
ホストからCAPTCHA誤答が受信されれば(610)、接続を強制終了する(611)。ホストからアブノーマルクッキーを伴った接続要請が受信されれば(620)、クッキー検証を行い、クッキーが非正常であることを確認し、接続を強制終了する(621)。
【0052】
各接続が強制終了する場合が臨界値を超過すれば、当該ホストをDDoSゾンビとして識別し、前記ホストから受信された接続要請メッセージをDDoSシンクホールに再伝達する(630)。
【0053】
以上、本発明について好ましい実施例を中心に説明した。本発明の属する技術分野における通常の知識を有する者は、本発明が本発明の本質的な特性から逸脱しない範囲内で変形された形態で具現されることができることを理解することができるだろう。したがって、開示された実施例は、限定的な観点でなく、説明的な観点で考慮されなければならない。本発明の範囲は、前述の説明ではなく、特許請求の範囲に示されており、それと同等な範囲内にあるすべての差異点は、本発明に含まれたものと解すべきである。
【符号の説明】
【0054】
110 正常ユーザホスト
120 ゾンビホスト
130 仮想サーバー
140 ウェブサーバー
150 シンクホールサーバー
210 クッキー確認モジュール
220 認証処理モジュール
230 クッキーDB
240 クッキー値検証モジュール
250 ウェブページ接続誘導モジュール
260 ゾンビ識別モジュール
【特許請求の範囲】
【請求項1】
ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュールと、
前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュールと、
前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュールと、
前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュールと、を含むことを特徴とするゾンビ識別仮想サーバー。
【請求項2】
前記ホストのIPアドレスに対応するクッキー値を格納するクッキー値DBをさらに含むことを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
【請求項3】
前記認証処理モジュールは、前記ホストが前記自動接続防止テストに対する正解を提出しない場合、臨界値分だけ正解提出機会を提供することを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
【請求項4】
前記認証処理モジュールは、前記ホストが前記臨界値分だけの正解提出機会の間に正解を提出しない場合、前記ホストをゾンビとして識別し、前記ホストの接続を遮断し、前記ホストの接続要請メッセージまたはIPアドレスをシンクホールサーバーに伝達することを特徴とする請求項3に記載のゾンビ識別仮想サーバー。
【請求項5】
前記クッキー値検証モジュールは、前記抽出されたクッキー値と前記クッキーDBに格納された前記ホストのIPアドレスに対応するクッキー値とを比較することによって、前記クッキー値を検証することを特徴とする請求項2に記載のゾンビ識別仮想サーバー。
【請求項6】
前記ゾンビ識別モジュールは、前記ゾンビとして識別されたホストから受信されたメッセージまたは前記ゾンビとして識別されたホストのIPアドレスをシンクホールサーバーに伝達することを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
【請求項7】
ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されたゾンビのIPアドレスを収集し、前記IPアドレスのうち重複されるIPアドレスを除去する重複IP除去モジュールと、
前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定するゾンビ規模算定モジュールと、
前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する地理分布把握モジュールと、
前記算定されたゾンビの規模及び前記地理的分布を格納するゾンビ情報DBと、を含むことを特徴とするシンクホールサーバー。
【請求項8】
前記仮想サーバーからゾンビトラフィックが再伝達された場合、前記ゾンビトラフィックから前記ゾンビのIPアドレスを抽出するIPアドレス抽出モジュールをさらに含むことを特徴とする請求項7に記載のシンクホールサーバー。
【請求項9】
ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含むか否かを判断する段階と、
前記接続要請メッセージがクッキーを含まない場合、前記ホストに自動接続防止ページを伝送する段階と、
前記ホストから前記自動接続防止ページに対する正解が受信されれば、前記ホストのIPアドレスに対応するクッキーを伝送する段階と、
前記接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記ホストのIPアドレスに対応するクッキー値であるか否かを検証する段階と、
前記クッキー値の検証に失敗した場合、前記ウェブサーバーへの接続を遮断し、遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階と、を含むことを特徴とするゾンビ識別方法。
【請求項10】
前記ホストから前記自動接続防止ページに対する正解が受信されない場合、前記ホストに前記自動接続防止ページを再伝送することによって、臨界値分だけ正解提出機会を提供し、前記ホストの正解失敗回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階をさらに含むことを特徴とする請求項9に記載のゾンビ識別方法。
【請求項11】
前記ゾンビとして識別されたホストから受信された接続要請メッセージ、または前記ホストのIPアドレスをシンクホールサーバーに再伝達する段階をさらに含むことを特徴とする請求項9または10に記載のゾンビ識別方法。
【請求項12】
前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように前記ウェブサーバーのウェブページを提供する段階をさらに含むことを特徴とする請求項9に記載のゾンビ識別方法。
【請求項13】
ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されるゾンビのIPアドレスを収集する段階と、
前記収集されたIPアドレスのうち重複されるIPアドレスを除去する段階と、
前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する段階と、
前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する段階と、を含むことを特徴とするゾンビ情報統合管理方法。
【請求項1】
ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含まない場合、自動接続防止(CAPTCHA)テストを利用して前記ホストを認証し、前記認証されたホストにクッキーを提供する認証処理モジュールと、
前記ウェブサーバー接続要請メッセージがクッキーを含む場合、前記ウェブサーバー接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値を検証するクッキー値検証モジュールと、
前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように誘導するウェブページ接続誘導モジュールと、
前記クッキー値の検証に失敗した場合、前記ホストの接続を遮断し、前記遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別するゾンビ識別モジュールと、を含むことを特徴とするゾンビ識別仮想サーバー。
【請求項2】
前記ホストのIPアドレスに対応するクッキー値を格納するクッキー値DBをさらに含むことを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
【請求項3】
前記認証処理モジュールは、前記ホストが前記自動接続防止テストに対する正解を提出しない場合、臨界値分だけ正解提出機会を提供することを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
【請求項4】
前記認証処理モジュールは、前記ホストが前記臨界値分だけの正解提出機会の間に正解を提出しない場合、前記ホストをゾンビとして識別し、前記ホストの接続を遮断し、前記ホストの接続要請メッセージまたはIPアドレスをシンクホールサーバーに伝達することを特徴とする請求項3に記載のゾンビ識別仮想サーバー。
【請求項5】
前記クッキー値検証モジュールは、前記抽出されたクッキー値と前記クッキーDBに格納された前記ホストのIPアドレスに対応するクッキー値とを比較することによって、前記クッキー値を検証することを特徴とする請求項2に記載のゾンビ識別仮想サーバー。
【請求項6】
前記ゾンビ識別モジュールは、前記ゾンビとして識別されたホストから受信されたメッセージまたは前記ゾンビとして識別されたホストのIPアドレスをシンクホールサーバーに伝達することを特徴とする請求項1に記載のゾンビ識別仮想サーバー。
【請求項7】
ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されたゾンビのIPアドレスを収集し、前記IPアドレスのうち重複されるIPアドレスを除去する重複IP除去モジュールと、
前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定するゾンビ規模算定モジュールと、
前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する地理分布把握モジュールと、
前記算定されたゾンビの規模及び前記地理的分布を格納するゾンビ情報DBと、を含むことを特徴とするシンクホールサーバー。
【請求項8】
前記仮想サーバーからゾンビトラフィックが再伝達された場合、前記ゾンビトラフィックから前記ゾンビのIPアドレスを抽出するIPアドレス抽出モジュールをさらに含むことを特徴とする請求項7に記載のシンクホールサーバー。
【請求項9】
ホストから受信されたウェブサーバー接続要請メッセージがクッキーを含むか否かを判断する段階と、
前記接続要請メッセージがクッキーを含まない場合、前記ホストに自動接続防止ページを伝送する段階と、
前記ホストから前記自動接続防止ページに対する正解が受信されれば、前記ホストのIPアドレスに対応するクッキーを伝送する段階と、
前記接続要請メッセージがクッキーを含む場合、前記接続要請メッセージからクッキー値を抽出し、前記抽出されたクッキー値が前記ホストのIPアドレスに対応するクッキー値であるか否かを検証する段階と、
前記クッキー値の検証に失敗した場合、前記ウェブサーバーへの接続を遮断し、遮断回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階と、を含むことを特徴とするゾンビ識別方法。
【請求項10】
前記ホストから前記自動接続防止ページに対する正解が受信されない場合、前記ホストに前記自動接続防止ページを再伝送することによって、臨界値分だけ正解提出機会を提供し、前記ホストの正解失敗回数が臨界値を超過する場合、前記ホストをゾンビとして識別する段階をさらに含むことを特徴とする請求項9に記載のゾンビ識別方法。
【請求項11】
前記ゾンビとして識別されたホストから受信された接続要請メッセージ、または前記ホストのIPアドレスをシンクホールサーバーに再伝達する段階をさらに含むことを特徴とする請求項9または10に記載のゾンビ識別方法。
【請求項12】
前記クッキー値の検証に成功する場合、前記ホストが前記ウェブサーバーに接続することができるように前記ウェブサーバーのウェブページを提供する段階をさらに含むことを特徴とする請求項9に記載のゾンビ識別方法。
【請求項13】
ウェブサーバーの前段に配置され、前記ウェブサーバーへの接続を試みるゾンビを識別する仮想サーバーから提供されるゾンビのIPアドレスを収集する段階と、
前記収集されたIPアドレスのうち重複されるIPアドレスを除去する段階と、
前記重複除去されたIPアドレスの総個数を算出することによって、ゾンビの規模を算定する段階と、
前記IPアドレスに内在する地理的情報を利用してゾンビの地理的分布を把握する段階と、を含むことを特徴とするゾンビ情報統合管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−233128(P2011−233128A)
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願番号】特願2010−198017(P2010−198017)
【出願日】平成22年9月3日(2010.9.3)
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願日】平成22年9月3日(2010.9.3)
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
[ Back to top ]