Upload
uriah-wright
View
348
Download
2
Embed Size (px)
DESCRIPTION
DDoS 전용 대응장비. DDoS 공격 탐지 및 차단 , 실시간 모니터링. DDoS eXclusion. INDEX. DDoS 공격 정의 및 개념도. 1. 제안 배경 및 개요. DDoS (Distributed Denial of Service) Attack 분산 서비스 거부 공격으로 다수의 공격자(기형 패킷 )에 의해서 특정 서버가 피해를 받는 것으로 시스템이 느려지거나 다운되는 현상 정상적인 서비스 거부, 서비스 다운 및 시스템 병목현상 발생. DDoS 공격 현황. 1. 제안 배경 및 개요. - PowerPoint PPT Presentation
Citation preview
3/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 공격 정의 및 개념도 1. 제안 배경 및 개요
DDoS (Distributed Denial of Service) Attack
분산 서비스 거부 공격으로 다수의 공격자 ( 기형 패킷 ) 에 의해서 특정 서버가 피해를 받는 것으로 시스템이 느려지거나 다운되는 현상
정상적인 서비스 거부 , 서비스 다운 및 시스템 병목현상 발생
4/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 공격 현황 1. 제안 배경 및 개요
2000 2006 2007 2010
2009.8: 그루지아 블로거 대상 정치적 DDoS
( 트위터 , 페이스북 )
2009.7: 미국 및 한국의 주요 사이트에 대한 DDoS
2007.9: 게임아이템 거래사이트에 대한 금품요구 ( 트래픽규모 : 수 Gbps~15G)
2007.9: 바이럿 (Virut) 바이러스에 의한 DDoS
2007.6: 여행업 , 펜션예약 사이트 등 금품요구 2007.5: 에스토니아 정부 , 국회 등의 사이트 DDoS
( 약 3 주간 마비 )
2007.2: 루트 DNS 6 개가 바이럿으로 인한 DDoS
2007.1: 도메인 등록대행사 사이트에 대한 DDoS
2006.11: 미국 특정 IP 에 대한 DDoS
( 일부 IDC 부분장애 )
2006.10: 성인 화상채팅사이트 금품요구 등
DDoS공격
DDoS공격 DDoS 급증
공격규모 증가
출처 : 국가사이버안전센터
5/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 공격 형태 변화 1. 제안 배경 및 개요
1
공격이 점차 자동화되고 정교해짐 손쉬운 공격 툴의 증가 ( Netbot, Slowloris 등 )
BotNet(IRC, HTTP, P2P 등 ) 을 이용한 정교한 공격 제어
이메일 , 웹 서버를 통한 악성코드 전파 ( 좀비 PC 의 증가 )
악성코드 제작 , 유포 , 협박 및 공격 등의 조직적 역할 분담 .
HTTP GET 과 같은 응용계층을 대상으로 하는 공격이 증가 TCP/ICMP Flooding 등 대역폭 공격과 함께 소량의 응용계층 공격을 감행
시스템 레벨네트워크 레벨
33다량의 패킷
2소수 좀비
1소량의 패킷
다수 좀비 (봇넷 )
응용 레벨
6/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 공격 종류 1. 제안 배경 및 개요
사용 프로토콜 TCP 주로 UDP/ICMP HTTP 비고
공격 PC 위치 국내 / 국외 국내 국내 / 국외
IP 변조여부 변조 / 실제 IP 변조 / 실제 IP 실제 IP
공격 유형64byte 이하 100Mbyte
수십만 ~ 수백만 PPS
1000~1500byte1Gbyte
수십만 PPS동일 URL 접속 시도
공격 효과네트워크 장비 , 보안장비 ,
서버 등의 부하 발생회선 대역폭 초과 웹 서버 부하 발생
피해 시스템공격 대상 시스템 또는 동일
네트워크에서 사용 중인 모든 시스템
동일 네트워크에서 사용중인 모든 시스템
공격 대상 시스템
주요 공격 예 )TCP SYN Flooding/TCP
NULL Flooding/TCP ACK Flooding/
UDP Flooding/Ping Flooding/ICMP Flood-
ing
HTTP no-cache Re-quest Flooding,
Cache-Control Attack
구분 세션고갈 대역폭 고갈 공격 어플리케이션 공격
7/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
기 ) 보안장비의 한계점 -1 1. 제안 배경 및 개요
ACL(Packet Filtering) , Blackholing & Sinkholing
네트워크 장비에 부하 발생 , Application Attack 방어 불가 .
Source IP Spoofing 공격 대응 불가
IP, Port Level Filtering
Application Attack 방어 불가 .
Source IP Spoofing 공격 대응 불가
8/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
1. 제안 배경 및 개요기 ) 보안장비의 한계점 -2
SYN Proxy 를 이용한 방어 ( 보안장비의 Gateway )
WEB 서비스를 보호하는 목적으로만 적절
IP Spoofed TCP 방어전용
UDP, ICMP 방어 불가능
Packet Latency 문제 발생
대형 네트워크 망의 부적절
정상 1st TCP Handshake Drop
대용량 Syn DDoS 장비 로드↑
10/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 대응시스템 요구사항 -1 2. DDoS 방어장비의 방향성
오탐 Zero 원칙
안정성
DDoS 전용장비의 오탐으로 서비스의 장애 유발 가능성 사전 제거
DDoS Attack Packet 만 차단 Business 연속성 유지
보안장비 운영으로 망의 Packet Latency 를 고려 .
성능 지연 제거 보안장비의 장애로 인한 망 장애 요소 제거
11/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 대응시스템 요구사항 -2
다양성 ( 다양한 종류의 공격 방어 )
Source IP Spoofing 에 대한 대응
다양하고 복합적으로 발생되는 공격에 대한 대응
세션고갈공격 / 대역폭 공격 / 웹 어플리케이션 등 다양한 공격 방어
HTTP no-cache Request Flooding, Cache-Control Attack 방어
Zero-Day Attack 및 알려지지 않은 공격 탐지 및 자동화된 대응 ( 학습기법 )
취약점 발생시 패턴 자동패치 및 대응 (MAPP 체결 )
자동화
2. DDoS 방어장비의 방향성
13/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 시스템 구성도 3.1 제품의 기본 특징3. Sniper DDX
구조 분석구조 분석
라우터 와 L4 사이 전방위 위치하여 DDoS 방어
네트워크에 In-line 모드로 설치
Transparent 다른 장비 구성 변경 없음
제 1 차 방어선 : 접속고갈 공격 , 대역폭 확보 제 2 차 방어선 : 침입 및 해킹 등 위협 방어
14/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 방어전략 3.1 제품의 기본 특징
Attack 의 다양성 , 복합적으로 발생되는 지능화된 DDoS 의 방어 전략 Self-Learning 기술을 기반한 지능적 탐지 / 방어
행동기반 탐지 / 방어 + 시그네쳐 기반 탐지 / 방어 + 자동학습에 의한 탐지 / 방어
3. Sniper DDX
15/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 방어범위 3.1 제품의 기본 특징
알려지지 않은 공격
자가 학습 후 방어 시그네쳐 추출 엔진 자가 학습기능 & 자동시그네쳐 생성 Non Spoofed & Spoofed DDoS with DATA
행동 기반 StatisticAnalysis Engine
임계치 기반 탐지 / 방어 수행 Non Spoofed & Spoofed DDoS
행동 기반Triple ‘S’Engine
Spoofed TCP(Syn) Protection Hybrid DDoS Protection
알려진 공격
시그네쳐Multi-Filtered
Engine
화이트리스트 , 블랙리스트 Non-Spoofed TCP/UDP/ICMP Protection
시그네쳐 A.L.S.I Engine De-Fragmentation, De-Segmentation L7 기반 세션조합 공격 방어
구분 방어 방법 방어 엔진 방어 범위
3. Sniper DDX
16/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
DDoS 공격별 대응 방법 3.1 제품의 기본 특징
변조되지 않은 TCP SYN Flood-ing
○
변조되지 않은 TCP ACK/FIN/SYNACK/RST Flooding
○ ○
변조되지 않은 UDP Flooding ○ ○
변조되지 않은 ICMP Flooding ○ ○
변조된 TCP SYN Flooding ○
변조된 TCP ACK/FIN/SYNACK/RST Flooding
○
변조된 UDP Flooding ○ ○ ○
변조된 ICMP Flooding ○ ○ ○
변조되지 않은 Fragment 공격 ○
변조된 Fragment 공격 ○
변조된 / 변조되지 않은 Combine 공격
상위 항목 복합 적용 상위 항목 복합 적용 상위 항목 복합 적용 상위 항목 복합 적용
공격명 행위기반 정책 패턴기반 정책 Smart Session Shaping 시그네쳐 추출
3. Sniper DDX
17/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 특 장점∙ -1 3.2 특장점
각종 인증을 통해 증명된 안정성
수많은 네트워크보안 프로젝트 수행 경험과 다수의 개발방법론을 벤치마킹하여 국내환경에 적합하게 개발하여 활용
GS 인증 및 국정원 CC 인증 (EAL4) 을 획득한 신뢰성 / 안정성이 확보된 제품
CC 인증 (EAL4)CC 인증 (EAL4)
GS 인증GS 인증
3. Sniper DDX
18/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 특 장점∙ -2 3.2 특장점
“DDoS 탐지 및 차단 특허”
수많은 대형 SI 프로젝트 수행 경험과 다수의 개발방법론을 적용하여 개발한 특허
7/7 DDoS 대란 당시 방어 실적
공공 / 금융 / 민수 / 교육 분야 40 개 기관 긴급 대응
7/7 대란 DDoS 대응 관련 기사 14 개
신속한 패턴 제작 및 대응
CERT, 제작 , 기술지원의 유기적인 관계 뛰어난 조직력 2 시간 이내 조치 대응
7/7 DDoS 대란 방어를 통한 2009 하반기 히트상품 선정
2009 하반기 히트상품2009 하반기 히트상품
출처 : 아이티데일리 (2009.12)
3. Sniper DDX
19/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 특 장점∙ -3 3.2 특장점
고객사 맞춤 네트워크 구성 제공
In-Line 구성 또는 Out of Path 구성 제공 사용자 환경에 맞는 최적의 구성 네트워크 환경과 시스템 환경에 맞추어 Flexible 한 설치
Out of Path 구성Out of Path 구성In-Line 구성In-Line 구성
네트워크에 F/W, IPS 구성과 동일 라인 선상 즉각적 차단 가능
넷플로우 , 미러링 방식 통신사 , ISP 망 등 대형망에 적합
3. Sniper DDX
20/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 특 장점∙ -4 3.2 특장점
확장성
10G 솔루션 보유 10G 확장 가능 위협관리 솔루션 연동 가능 (SNIPER TMS 자사 솔루션 보유 )
관제솔루션 (TSMA) 연동 가능 (SNIPER TSMA 자사 솔루션 보유 )
3. Sniper DDX
21/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 특 장점∙ -5 3.2 특장점
이중화 구성
Fail Over
실시간 패킷 덤프
Active Standby Active Active
Symmetric Asymmetric
SNIPER DDX 는 안정적인 HA 기능 지원 네트워크 서비스의 연속성을 보장 Symmetric 구조와 Asymmetric 구조 , 동시 지원
Sniper DDX 정상 Sniper DDX 장애
DDX DDX
시스템 장애 시 서비스 단절을 최소화 신속한 자체 복구가 가능 안정적인 시스템 운영을 지원
이상 트래픽이 감지 될 경우 실시간으로 Packet 을 Dump 하여 , 트래픽 분석
3. Sniper DDX
22/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 특 장점∙ -6 3.2 특장점
다단계 방어 엔진
A.L.S.IEngine
SignatureExtraction
Engine
StaticAnomalyEngine
SignatureMatchingEngine
Triple SEngile
StaticDefenseEngine
DynamicFilteringEngine
Protocol Anomaly FilteringEngine
Protocol Anomaly Filtering En-gine
IP TCP UDP ICMP
Dynamic Filtering Engine
S-IP | D-IP | S-Port | D-Port
Static Defense Engine
S-IP | D-IP | S-Port | D-Port
Triple ‘S’ Engine
Ticket List
Signature Matching Engine
Signature
Statistics Analysis Engine
Traffic Anomaly
Signature Extraction Engine
Header | Widows | TTL | Payload
A.L.S.I Engine
SESSION Table
각종프로토콜 규약 위반 탐지 및 차단
특정 IP + Port 를 기반으로 탐지 및 차단 실시간 리스트
차단 Time Slot 동적 할당
특정 IP + Port 를 기반으로 사용자 정의 등록 차단 기능
인증 / 비인증 사용자의 세션 감사를 통한 탐지 차단기능
비정상 Flag 의 탐지 차단기능
비정상 Payload 기반의 탐지 시그네이처 기반의 방어
CERT 를 통한 주기적 업데이 트
특정 프로토콜의 비정상적인 폭증 탐지 및 차단
특정 서비스의 비정상적인 폭 증 탐지 및 차단
비정상적으로 폭증하는 트래 픽을 분석하여 자동으로 탐지 시그네이처 생성 탐지 차단 기능 제공
Layer 7 기반의 탐지 차단엔진
IDS 형태의 별도 탐지 장비로
사용가능
3. Sniper DDX
23/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 화면 -1 3.3 제품의 GUI
장비 모니터링장비 모니터링
장비정보 트래픽 세션정보 탐지 / 방어 /
경보 차단
실시간 모니터 메뉴실시간 모니터 메뉴
FAN 정보 POWER 정보 시스템 정보 LINK 정보 확인
3. Sniper DDX
24/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 화면 -2 3.3 제품의 GUI
세션 정보 모니터세션 정보 모니터
실시간 트래픽량 분석을 통해 , DDoS 트래픽이 튀는 현상 및 접속 세션을 실시간으로 분석 가능 . 보호 서비스망에 따라 각각의 CPS 을 확인 가능 , 비인증 된 DDoS 공격 량을 실시간으로 확인 .
3. Sniper DDX
25/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 화면 -3 3.3 제품의 GUI
세션 내역 및 추이세션 내역 및 추이
실시간 Session 정보 제공 , 실시간 트래픽 정보 제공 , 사용자 , 서비스별 상세내역 제공 과다 Session IP 및 Port 사용자 탐색 가능 네트워크 지장을 줄 수 있는 Traffic 사용자 확인
3. Sniper DDX
26/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 화면 -4 3.3 제품의 GUI
탐지 내역탐지 내역
탐지 / 방어 / 경보를 통해서 현재 들어오고 있는 공격의 형태들을 확인 실시간 정책적용 기능을 통하여 즉각적인 대응
3. Sniper DDX
27/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 화면 -5 3.3 제품의 GUI
종합보고서종합보고서
월 / 일 / 시간별 탐지로그 제공 / 월 / 일 / 시간별 트래픽 로그 제공 / 상세필터 제공 Main 화면의 CPS 의 정보를 분 단위 로그로 남겨 , 비정상 CPS 또는 정상 CPS 의 분석 용이 .
3. Sniper DDX
28/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
Sniper DDX 주요기능 -1 3.4 제품의 기능3. Sniper DDX
TCP/UDP/ICMP 등 공격 종류에 따른 탐지 정책 설정 후 탐지 / 방어
임계치 설정으로 보호대상 서버의 환경에 따라 정교한 정책 설정이 가능함
사용자별 맞춤 임계치 설정
공격 인정 횟수 설정공격 인정 횟수 설정
공격별 탐지 방어 설정공격별 탐지 방어 설정
29/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.4 제품의 기능3. Sniper DDX
비정상 트래픽 발생 시 자동패킷 캡쳐 기능 제공비정상 트래픽 발생 시 자동패킷 캡쳐 기능 제공
Sniper DDX 는 자동 / 수동 임계치 초과시 자동으로 Packet Dump 기능 제공 Capture 된 Packet 을 통해 Packet 분석 Tool 를 이용하여 관리자의 상세분석 지원
Sniper DDX 주요기능 -2
30/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.4 제품의 기능3. Sniper DDXSniper DDX 주요기능 -3
시그니쳐 기반 정책의 자동 임계치 설정
1 주일간 학습 및 탐지
학습된 이벤트 와 관련된 IP 에 대해 검증 작업 진행
해당 IP 중 주요 고객 IP 및 정상 접속 사용자에 대해 예외 처리 학습 진행
차단 가능성이 있는 정상 모든 접속 IP 사전 추출
정상 사용자에 대해 예외처리 또는 임계치를 정밀하게 적용 서비스 보장
Smart Session Shap-ing
세션 기반 임계치 설정
자동 임계치 설정에 의한 정책 적용
1 일 학습 후 정책 검증 및 적용 완료
급격한 트래픽 상황 변화 ( 월말 / 월초 , 연말정산 기간 ) 에도 적용 가능함
Auto Signature 기반 임계치 설정
자동 임계치 설정에 의한 정책 적용
1 주일간 탐지모드 설정 후 정상 트래픽 상황에서 탐지
설정 대상 임계치 설정 기준 및 방법
31/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.4 제품의 기능3. Sniper DDXSniper DDX 주요기능 -4
윈스테크넷 취약성 DB 활용윈스테크넷 취약성 DB 활용
윈스테크넷 내 CERT( 침해사고대응팀 ) 상시 취약성 분석 및 DB 구축 SNIPER DDX 사용자에게 SECURECAST 서비스 GENERAL 등급 무상 제공
WinsTechnet CERT 는 10 년이상 축적된 취약성 정보와 분석노하우를 바탕으로 신속하고 정밀한 시그니쳐를 제품에 적용하고 있습니다
32/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.5 도입 사례3. Sniper DDXSniper DDX 도입현황
공공기관공공기관 통신 / 금융 / 일반기업통신 / 금융 / 일반기업
33/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.5 도입 사례3. Sniper DDXSniper DDX 도입사례 -KISA
1) 사내 정보인프라 시스템에 접근하기 전에 사전에 자동으로 능동적으로 DDoS 공격을 차단
2) 축적된 DDoS 공격 탐지 Log 는 관제의 효율성 및 ROI 효과를 위해 DDX Manager
인 중앙관리시스템으로 연동되어 DDoS
공격에 대한 중앙관제가능
3) Manager 인 중앙관리시스템으로 연동되어 DDoS 공격에 대한 중앙관제
4) 관제의 생산성 및 ROI 효과 증진
구조분석구조분석
34/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.5 도입 사례3. Sniper DDXSniper DDX 도입사례 - 국내 H 사
구조분석구조분석
1) 예하지점별 안정성 확보 예하지점 내부망에 대한 안정성확보 예하지점별 구성으로 해킹사고시 대상범위 축소
2) 핵심업무서비스 ZONE 보안성 강화 업무서비스 ZONE 내부 / 외부에서 해킹사고 발생시 완전차단 예하지점에 대한 서비스 가용성 보장
3) 망통신망의 서비스 신뢰성 향상
4) ISAC 연계로 통합보안관리
35/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.6 기대효과 및 Line-UpSniper DDX 구축 후 기대효과
최고 수준의 보안체계 구축
금전을 목적으로 한 해커의 랜섬 (Ramsom) 형 공격에 대응 체계 프로세스 정립 가능 기 ) 운영중인 정보보호제품과의 다중 보호체계 구성으로 보안강화에 시너지 효과 창출
1
2
33
44
대 고객서비스 신뢰성 향상 안전한 고객 서비스 거래 유지 네트워크 가용성 확보 분산서비스거부 (DDoS) 로 인한 네트워크 망의 장애 사전 제거
최신 기술의 방어 능력 보유 인프라 보호 우의 선점 최신 보안기술의 적용을 통한 보안체계 강화
시스템의 안정성과 신뢰성 제고 네트워크 망 운영에 피해가 없는 시스템 구축 가용성 확보로 서비스의 연속성 확보
3. Sniper DDX
36/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
3.6 기대효과 및 Line-Up3. Sniper DDXLine-Up
In-Line DDX 1000 DDX 2000 DDX 4000 DDX 5000
Performance Throughput 400Mbps 2Gbps 4Gbps 12Gbps
System Rack Size 2U 2U 3U 4.5U
CPUIntel Xeon
Quad Core 2.0 x 1Intel Xeon
Quad Core 2.0 x 2Intel Xeon
Quad core 3.0 x 2Intel Xeon
Quad Core 2.66 * 2 HDD S-ATA2 500GB S-ATA2 500GB S-ATA2 1TB * 2 S-ATA2 1TB * 2
Memory 2GB 4GB 8GB 12GB DOM 1GB 1GB 1GB 1GB OS Embedded OS Embedded OS Embedded OS Embedded OS
Interface
Monitoring ( 패킷수집 )Copper 100/1000 * 2
orFiber * 2
Copper 100/1000 * 4or
Fiber * 4
Copper 100/1000 * 4or
Fiber * 4Max Fiber 10G * 4
Management Copper 100/1000 * 2 Copper 100/1000 * 2 Copper 100/1000 * 2 Copper 100/1000 * 2 Serial RJ45 * 1 RJ45 * 1 RJ45 * 1 RS232 * 1 USB * 2 * 2 * 2 * 4
Etc. Redundant Power/FAN ○ ○ ○ ○
Failure Detection (FAN/POWER) ○ ○ ○ ○ Dimensions (mmW x mmD x mmH) 430 x 427 x 88 430 x 427 x 88 432 x 431 x 134 430 x 512 x 200
무게 14.5Kg 14.5Kg 18.95Kg 26Kg
전압 100/240V 47/63Hz 100/240V 47/63Hz 100/240V 60/50Hz 100-240V 47/63Hz
최대소비전력 460W, 8A~4A 460W, 8A~4A 650W, 9-5A 1350W, 20~10A
동작환경 5℃ to 35℃ 5℃ to 35℃ 5℃ to 35℃ 5℃ to 35℃
38/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
4. 별첨DDoS 엔진 방식별 분류
1. NBA (Network Behavior
Algorithm)
Network 흐름을 학습하여 세부적인 Rate 값을 적용하여 서버 및 서비스를 보호하는 방식 관련제품 : 현 시판되는 대부분의 제품 (In-Line 제품 , Out-Of-Path) 주요 특징 : “NBA 방식의 DDoS 대응장비가 시장 평정”
2. MBA (Micro Behavior
Algorithm)
Packet 단위의 미세한 움직임을 모니터링 하여 공격 Packet 과 정상 Packet 구분하는 방식 관련제품 : Rio-Ray 제품 주요 특징 : DDoS Attack 탐지율이 떨어짐
3. Pattern Mapping
알려져 있는 공격 Code 값을 가지고 지나가는 Packet 의 Payload 부분과 대조하여 탐지하는 기법 관련제품 : IPS 제품 주요 특징 : Source IP Spoofing 공격 대응 불가
4. Syn Proxy 방식
Proxy 서버처럼 모든 Traffic 을 중간에서 확인하고 연결하는 방식 관련제품 : 라드웨어 , 인트루가드 , IntelliGuard 등 주요 특징 : 대용량 Traffic 처리에 부적합 , 200 ~ 300 Mbps 환경에 적합
39/41Copyright 1996-2011 WinsTechnet , .LTD. All r ight Reserved
4. 별첨주요 제품 비교
구 분 SNIPER DDX 국산 A 사 외산 B 사
구성방식 In-line 또는 Out-Of-Path In-line 또는 Out-Of-Path In-Line
인증 EAL 4 CC 인증 회득 ( 국내 최초 )
GS 인증 인증 없음 인증 없음
L4 공격 방어 시그네쳐 + 행위기반 (NBA) 시그네쳐 + 행위기반 (NBA) 패킷기반
L7 공격 방어 시그네쳐 + 행위기반 (NBA) 행위기반 △
위협관리시스템 ( TMS )
보유 여부 보유 미보유 미보유
10G 보유 보유 10G UTM 보유 미보유
침해사고대응팀 보유 보유 보유 미보유
IPS 시그네쳐 보유 여부 보유 미보유 보유
기반기술 NBA + IPS NBA MBA
지난 2009 7.7 사이버테러와 같이 변종 DDoS 공격 발생 시 제조사별 패킷 분석 후 시그네쳐를 제작하여 해당 장비에 신속히 적용하여야 방어가 가능합니다 .
윈스테크넷은 순수 국내 기술의 제조사로서 기술지원 + 연구소 + CERT + 마케팅의 신속한 협업력과 조직력으로 고객사의 정보보안을 위하여 최선을 다하겠습니다 .
?경기도 성남시 분당구 삼평동 633 판교세븐벤처밸리 1 동 4 층 , 7층URL. www.wins21.co.kr E-Mail. [email protected]