7/25/2019 경계선 방어 기술 2008 . 04 공급원 May 10 2008

7/25/2019 순서 DDOS attack 전망 DDOS Attacks의 해결책 RioRey 소개

Where Are The Bots? …Everywhere! 7/25/2019 Where Are The Bots? 14 개의 sensors를 통한 8개월간의 DDOS attack packets Source IP addresses capture 화면 …Everywhere!

Tracking DDOS Attack Evolution 7/25/2019 Tracking DDOS Attack Evolution 5 days 4 days 3.5 days 20 hours 8개월에 걸친 공격 트랜드: Attack duration 이 5 일 4시간 31분으로 증가 Attack tool 이 TCP Syn Ack에서 TCP Ack로 변화 DDOS 는 실 유기체(living organism) 등을 전개!

The DDOS Challenge DDOS는 일반적으로 대규모 공격 대역폭으로부터 인식됩니다. 7/25/2019 The DDOS Challenge DDOS Traffic Intrusion Traffic Normal Traffic Normal Under Attack Normal Under Attack Incoming Bandwidth Incoming IP Address Space DDOS는 일반적으로 대규모 공격 대역폭으로부터 인식됩니다. 실시간 공격은 공격 동안 대규모 Botnet 근원지 IP 주소 공간 입니다.

7/25/2019 RIOREY 접근법 – 먼저 문제점 전환 RioRey는 DDoS의 주요 발생지에 집중하며 공격 모든 대역폭 및 IP 주소를 filter합니다. 빠르고 실용적이며 믿을 수 있는 접근 시스템 내에서 일반적인 방어로 처리 가능한 규모로 전환시킴으로써 공격을 대폭 줄여줌 정상 트레픽은 보존하면서 대규모 공격 traffic 집중 처리 RioRey의 접근은 대규모 문제로 부터 DDOS 문제를 일반적으로 관리 가능한 문제로 전환시켜 줍니다. RIOREY 솔루션은 기존의 네트워크 보안을 보완해 줍니다. RioRey Filter Incoming Bandwidth Incoming IP Address Space RioRey Filter

Real Life Results 7/25/2019 Red area = Identified Attack Traffic Blue area = Identified one client with excessive retransmission Yellow area = Security company port scans Green area = Misidentified traffic Suspected Traffic Types Each dot on the chart represents One block or a burst of continuous attack One victim IP address Start time of the burst of attack (a burst is defined as no inter packet gap > 1.5 minutes)

Analysis Summary 이 결과에 따르면: RIOREY 알고리즘은 모든 공격을 정확히 인증합니다. 7/25/2019 Analysis Summary 이 결과에 따르면: RIOREY 알고리즘은 모든 공격을 정확히 인증합니다. 알고리즘은 정상 traffic에 대해 매우 높은 수준의 정확성을 나타냅니다. RIOREY의 알고리즘은 고객의 네트워크 트레픽 성향에 전송이나 스캔과 같은 실질적인 통찰력을 제공합니다. 알고리즘은 추가적인 수작업 필요 없이 상기 모든 작업을 완료하였습니다. baseline training을 필요로 하지 않습니다. 모든 탐지는 약 90초 이내에서 매우 신속히 완료 되었습니다. 이 분석은 RIOREY의 경계선 보안 플랫폼의 성능을 입증해 줍니다.

The RioRey Components System deployment architecture 7/25/2019 The RioRey Components System deployment architecture High service availability design 특허 출원중인 알고리즘 Management 및 reporting

RioRey Security Architecture 7/25/2019 RioRey Security Architecture Internet OSI Layer 1 Perimeter Security (DDoS Protection) Routing OSI Layer 2 - 3 Firewall IDS/IPS/Content Filter Anti-Virus, etc. Load-Balancing VPN Gateway Distribution OSI Layer 4 - 6 Application Layer Cert Server User Desktops Application Servers

Example Network Implementation 7/25/2019 Example Network Implementation RioRey 솔루션은 대규모 DDOS traffic 공격이 내부 네트워크로 들어오기 전에 이를 filtering함. 항상 정상적인 traffic 유지함으로써 당신의 고객에게 지속적인 서비스를 확보해 줌

구성에 따른 High Availability 7/25/2019 구성에 따른 High Availability 앞에서 뒤까지, RIOREY는 높은 시스템 가용성을 위해 설계 (>> 99.995%) 어떤 filter나 copper 연결에서 우발적인 충돌(bumping)에 대비한 커버와 통합된 cable 관리 시스템 Hardware와 software 안전성을 점검하는 Multiple 정찰 시스템 시스템 장애 시 자동 재 부팅 Factory default로 전환하는 것을 포함한 소프트웨어 장애 극복 기능 Hardware bypass는 완벽한 시스템 장애 시 조차 장애에 안전한 지속적인 서비스를 제공 No internal moving parts 이중화, hot swappable fans 및 power supplies

RioRey의 Micro-Behavioral Analysis 7/25/2019 RioRey의 Micro-Behavioral Analysis RIOREY 의 특허 출원 중인 알고리즘은 DDOS 탐지 및 보안에 완벽히 다른 접근을 취합니다. Multi-Engine, Multi-Stage 탐지 및 Filtering Engine으로 구성 Protocol 검사 engine은 L3/L4 헤더 및 packet 흐름의 적합성 여부를 유효한 기호에 확인합니다. 응답 계수 확인 engine은 traffic의 흐름을 확인하여 공격 packet 흐름을 검사합니다. Traffic 흐름비율 및 packet은 고정되지 않은 protocol 및 application 공격을 탐지하는데 사용되는 스펙트럼의 밀도에 민감하게 반응 합니다. Scan identification Application 순응 주변 및 인간 행위에 의존적이지 않음 사전 training을 필요로 하지 않습니다. Network/application 변경은 RIOREY 의 대응에 어떠한 영향도 끼치지 않습니다.

Protocol Conformance Engine 7/25/2019 Protocol Conformance Engine TCP traffic을 위해, TCP 응답 확인방식을 monitor하는데 전용엔진이 사용됩니다. TCP spcification으로의 어떠한 비-준수 사항도 모두 나타납니다. Engine은 TCP stream의 가상 random sample을 실행합니다. 공격 중, sample engine은 victim IP에 모든 traffic의 집중된 검사를 제공하는데 다시 중점을 두며 정상 traffic은 통과시키고 비 순응 packet은 거부하도록 합니다. Engine은 24초간 sampling 기간을 걸쳐 가동합니다. 문제의 stream들은 6개의 sample 기간에 기초하여 분석됩니다. 개별 TCP stream은 나눠져 취급됩니다. 만일 하나의 컴퓨터가 일부는 정상이고 또 일부는 공격 stream인 Multiple stream을 sourcing한다면, RIOREY의 알고리즘은 같은 컴퓨터로부터 이 stream 들을 분할하여 정상 stream들을 통과시킬 수 있도록 할 것입니다.

Scan Identification RIOREY 전용 랜덤 IP와 port scanner를 통하여 Scan 인증이 완성됩니다. 7/25/2019 Scan Identification RIOREY 전용 랜덤 IP와 port scanner를 통하여 Scan 인증이 완성됩니다. 한 범위의 port 주소가 scan되거나 한 범위의 들어오는 IP 주소들이 사용될 때 RIOREY scanner는 빠르게 이를 확인합니다. 무슨 일이 발생하면 이 Scanner는 System에 알람을 울려, 잠재적인 victim 주소 및 port에 특별한 주의를 기울일 수 있도록 합니다.

Application Conformance Engine 7/25/2019 Application Conformance Engine RIOREY는 수 많은 애플리케이션 묘사 알고리즘을 유지합니다. 이런 알고리즘들은 의도된 애플리케이션에 따라 행동하지 않는 애플리케이션 행태 및 Track Stream을 분석할 수 있도록 합니다. RIOREY의 애플리케이션 연구소에서는 지속적으로 web상의 새로운 애플리케이션을 test하고 분석합니다. RIOREY는 발생 원인이 무엇이든 상관없이 유해 session으로부터 정상적으로 움직이는 session을 식별해낼 수 있도록 애플리케이션 수준에서 확보하기 위해 대규모의 정상 트레픽 test Library를 보유하고 있습니다.

The Best DDOS Protection 7/25/2019 The Best DDOS Protection Zero False Positives – 정상 Traffic은 Filter 하지 않는다. 같은 host로 예정된 유해 트레픽에서 정상 traffic 판별 빠른 공격 확인 및 filtering 시간 (90초 이내) 리소스 고갈 및 과잉 방지 완벽한 자동 시스템 – 관리자 수작업 불필요 측정 가능한 기술 및 실행 – 10G 및 40G 실행 기획

Reporting & Management Tools 7/25/2019 Reporting & Management Tools rView RX를 구성하고 관리하는 그래픽 사용자 인터페이스 공격에 대한 실시간 정보 제공 알람 및 이메일 공지 rCare 기록화된 공격 정보를 Report하는 Web 기반 분석 도구 공격 타입, 패턴, Botnet 로케이션 분석 전세계 다른 지역의 국제 공격 파악

7/25/2019 rView – 실시간 네트워크 상황 다음은 보다 즉각적으로 네트워크 상황을 확인하기 위해 코딩 된 컬러입니다. 다음과 같은 컬러 코드가 사용됩니다: Green 5% 이하의 탐지된 오염 트레픽이 있는 곳의 No 공격 Level Yellow 5%이상 -10% 이하 오염 트레픽의 최소 공격 level Orange 10% 이상 – 50% 이하 오염 트레픽의 주요 공격 level Red 50% 이상 오염 트레픽의 심각한 공격

7/25/2019 rView - Link 활용

7/25/2019 rView - 현재 Victims

rView - Mode of Operation 7/25/2019 rView - Mode of Operation

rCare - RioRey DDOS Analysis Tool 7/25/2019 rCare - RioRey DDOS Analysis Tool rCare : DDOS 공격에 대한 세부사항 공격자 확인 공격 트레픽의 지리적 분석 기록된 data와의 비교 툴 공격 트랜드에 대한 분석 Display rCare를 통해 DDOS 공격 분석 및 report 가능 DDOS 공격 트랜드 파악을 통해 미래 공격에 보다 강력한 대응

Customer Value 완벽한 보안 네트워크 상에 알맞은 구역에 위치 7/25/2019 Customer Value 완벽한 보안 네트워크 상에 알맞은 구역에 위치 Network 내에 모든 brand의 router, 방화벽 및 IDS/IPS와의 뛰어난 호환성 낮은 OpEx (가동상 소요) 비용 가동상의 중간 수작업 필요 없음 모든 정상 Traffic 통과 같은 컴퓨터 상의 유해 traffic으로부터 정상 traffic 식별 수입 손실 방지 하나의 공격은 손실을 처리하는데 수백만 달러를 소모합니다. 기밀 Data 보안 공격 받은 서버는 더 이상 그들의 data를 보호할 수 없습니다. New UDP service는 안전합니다. VoIP & IPTV

Summary DDOS 공격은 지속적으로 증가 추세에 있으며, 보다 세분화 되고 있습니다. 7/25/2019 Summary DDOS 공격은 지속적으로 증가 추세에 있으며, 보다 세분화 되고 있습니다. 기존 솔루션 및 기술은 충분하지 못합니다. RIOREY 솔루션은 기존 네트워크 보안 솔루션들을 보완해 줍니다. RX platform은 가장 효과적인 DDOS 솔루션입니다.