WO2015046697A1 - Apparatus for detecting abnormal increase of control packets, method therefor, and recording medium - Google Patents

Apparatus for detecting abnormal increase of control packets, method therefor, and recording medium Download PDF

Info

Publication number
WO2015046697A1
WO2015046697A1 PCT/KR2014/003397 KR2014003397W WO2015046697A1 WO 2015046697 A1 WO2015046697 A1 WO 2015046697A1 KR 2014003397 W KR2014003397 W KR 2014003397W WO 2015046697 A1 WO2015046697 A1 WO 2015046697A1
Authority
WO
WIPO (PCT)
Prior art keywords
abnormal increase
control packet
time
value
unit
Prior art date
Application number
PCT/KR2014/003397
Other languages
French (fr)
Korean (ko)
Inventor
차양명
Original Assignee
주식회사 아이디어웨어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR20130113408A external-priority patent/KR20150033816A/en
Priority claimed from KR20130113418A external-priority patent/KR20150033820A/en
Priority claimed from KR1020130158936A external-priority patent/KR20150072472A/en
Application filed by 주식회사 아이디어웨어 filed Critical 주식회사 아이디어웨어
Publication of WO2015046697A1 publication Critical patent/WO2015046697A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate

Definitions

  • the present invention is to detect an abnormal increase phenomenon of the control packet which is the main cause of the wireless network load.
  • mobile traffic is expected to increase by about 26 times over the next 10 to 15 years, and the amount of mobile data used by individuals in 2010 was 15MB, but in 2020 It can reach 1GB.
  • the main factor of mobile network congestion is the generation of traffic channels with the server on the communication network through various applications installed in the wireless terminal device.
  • control packets may increase exponentially in this situation.
  • the wireless network may be overloaded to deliver these control packets to the wireless terminal device. Can occur.
  • An object of the present invention for solving the above problems is, after classifying a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network by server identification information (IP, etc.), the control generated for each identification information
  • IP server identification information
  • the present invention provides an apparatus, a method, and a recording medium for monitoring an abnormal increase in a control packet, which is one of the causes of overload of a mobile network, by detecting an abnormal increase in packets.
  • An apparatus for detecting an abnormal increase in a control packet includes: a collecting unit configured to collect or capture a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network; A measuring unit for classifying packets collected or captured by the collection unit by server identification information, and measuring a generation amount of a control packet generated for each identification information during a recent n unit time for each flag; A recording unit for recording the number of control packet flags that occurred during the last predetermined time based on the current time according to the unit time, and calculating an average or maximum generation amount using information on the number of flags recorded during the predetermined time; And a determination unit that detects an abnormal increase in the control packet by using the average value or the maximum value of the generation amount per unit time of the control flags measured by the measurement unit and the unit flow amount per unit time calculated by the recording unit.
  • control packet traffic increase detection method comprises the steps of: collecting or capturing a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network; Classifying packets collected or captured by the collector by server identification information; Measuring a generation amount of a control packet generated for each identification information for a recent n unit time for each flag; Recording the number of control packet flags that occurred during the last predetermined time based on the current time according to the unit time, and calculating an average or maximum generation amount using information on the number of flags recorded during the predetermined time; And detecting an abnormal increase in the control packet by using the average value or the maximum value of the generation amount per unit time of the control flags measured by the measurement unit and the unit flow amount per unit time calculated by the recording unit.
  • control packet abnormal increase detection device may further include a communication unit for notifying an increase in control packet abnormality to one or more terminals or servers when an abnormal increase in the control packet is detected as a result of detection of the determination unit.
  • control packet abnormality increase detection apparatus a collection unit for collecting or capturing a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network, and the server to identify the packets collected or captured by the collection unit After classifying by information, the control unit measures the amount of control packets generated for each identification information for the last n seconds for each flag, and the number of control packet flags that occurred during the last predetermined time based on the current time.
  • a recording unit which records for a predetermined time in units of time and calculates an average or maximum generation amount using information on the number of flags recorded in units of seconds for a predetermined time, and the generation amount per second of the control flags measured by the measuring unit and the calculation unit Error of control packet by using average value or maximum value of inflow per second for each flag
  • the alarm recorder when detecting the abnormal increase in the determination unit, based on the current time to record the past n seconds and the time up to the next m seconds, and outputs the alarm information or Alternatively, the alarm information may be transmitted to one or more terminals or servers.
  • the recording unit measures the number of flags flowing in every second, compares this value with an existing peak value, and sets the current peak value to the number of new flags, It is possible to decide whether to set the peak value to the number of flags or to set the number of flags to a value that has decreased the previous peak value, and to calculate the average of each calculated peak flag number, and if the new flag number is greater than the previous peak value. If the number of new flags is set to the peak value and the number of new flags is less than the previous peak value, and the number of new flags subtracted from the previous peak value exceeds a certain value for a certain time, the new peak value is replaced with the previous peak value.
  • the determination unit may determine that an abnormal increase in the control packet when the amount of generation per second of the specific flag exceeds a predetermined upper limit, or the generation amount per second is earlier than the average value of inflows per second per flag. If it becomes larger than one or more times and exceeds a predetermined lower limit, it can be determined that the control packet is abnormally increased.
  • the determination unit, the identification information information of the server in which the abnormal increase occurs, the abnormal increase occurrence time information, and the information about the control packets from the predetermined schedule time until the later time of the abnormal increase occurrence time An abnormality can be detected, and the recording unit can control how much time is recorded when the number of control packet flags that have occurred in the last predetermined time on the basis of the current time for a predetermined time in seconds.
  • Another effect according to an aspect of the present invention it is possible to control the connection with a specific server that leads to excessive control packet increase phenomenon, it can bring the optimization of network use, through which the network for the expansion of mobile operators Can be minimized.
  • Another effect according to an aspect of the present invention by minimizing the dissatisfaction of the user of the wireless terminal device due to data communication delay, etc. through the optimization of the network use can significantly reduce the battery consumption of the wireless terminal device.
  • FIG. 1 is a diagram illustrating a mobile (wireless) data traffic indicator.
  • FIG. 2 is a diagram illustrating one of the main factors of the conventional mobile network congestion.
  • FIG. 3 is a view showing the main components of the control packet abnormality increase detection apparatus according to the embodiment of the present invention.
  • FIG. 4 is a diagram illustrating an example of a packet including a general control packet.
  • 5 is a diagram illustrating an example of a measured control packet.
  • 6 is another exemplary diagram illustrating the measured control packet.
  • FIG. 7 is a diagram illustrating an example of measuring an amount of generation of control flags per second according to an embodiment of the present invention.
  • 8 to 10 are exemplary embodiments illustrating a process for calculating an average value of a control flag according to an embodiment of the present invention.
  • 11 to 13 are exemplary embodiments illustrating a process for calculating a peak average value of a control flag according to an embodiment of the present invention.
  • FIG. 14 is a diagram illustrating a process of detecting an abnormal increase phenomenon of a control packet according to an exemplary embodiment of the present invention.
  • FIG. 3 is a view showing the main components of the control packet abnormal increase detection apparatus 100 according to the embodiment of the present invention.
  • control packet abnormality increase detection device 100 is connected to a communication network or a network in which a plurality of wireless terminal devices 200 and a plurality of servers 300 transmit and receive packets, and thus the packet (the packet is data).
  • the packet and data are interpreted in the same sense.) After collecting or capturing, an abnormal increase in the control packet is detected.
  • FIG. 3 is merely a configuration for describing an embodiment of the present invention, and the present invention is not limited to the technical features only by the implementation method shown in FIG. 3.
  • the control packet abnormality increase detection apparatus 100 collects or captures a plurality of packets transmitted and received between a plurality of wireless terminal device 200 and a plurality of servers 300 through a communication network, and the collection Alternatively, the packets to be captured are classified by server identification information, and a control packet generated for each identification information is measured for the latest n unit time (for example, n seconds) for each flag, and based on the current time.
  • n unit time for example, n seconds
  • the number of control packet flags that occurred in the last predetermined time is recorded for a predetermined time in seconds, and after calculating the average or maximum generation amount using the information on the number of flags recorded in the second for a predetermined time, the measured control An abnormal increase in the control packet is obtained by using the average value or the maximum value of the flags generated per second and the calculated inflows per second per flag. Shipping plays a role.
  • control packet abnormal increase detection apparatus 100 records alarm information required for informing the user of an abnormal increase alarm, notifies one or more terminals or servers, or outputs the alarm. It plays a role.
  • control packet the server 300 is connected to the wireless terminal device 200 because the server 300 is normally shut down or the server 300 is down due to one or more causes due to one or more causes.
  • the packet is set to restart the session (RST) or the end of the session (FIN) or the session connection (SYN) of the control plug-in of TCP transmitted to the wireless terminal device 200 connected to the server 300
  • the control packet flag may include one or more session restart (RST), session termination (FIN), and session connection (SYN).
  • the alarm information may include an abnormal increase detection time, identification information on the packet-switching server, DNS information, TCP flag, flow rate per second, the number of clients connected, and one or more detection logs of the corresponding time interval.
  • the abnormal increase means that the generation amount per second of the control packet exceeds a predetermined threshold, and n seconds may be 1 second.
  • the control packet abnormality increase detection apparatus 100 includes a collecting unit 10, a measuring unit 20, a recording unit 30, a determining unit 40, , An alarm recording unit 50, an output unit 55, and a communication unit 60 are configured.
  • control packet abnormal increase detection device 100 is shown as a single device in the drawings for the purpose of embodiment, each of the components may be configured to be separated into one or more devices or servers, respectively.
  • the collection unit 10 collects or captures a plurality of packets transmitted and received between the plurality of wireless terminal devices 200 and the plurality of servers 300 through a communication network.
  • the packet generated by the wireless terminal device 200 is basically GGSN. (Gateway GPRS Support Node) is converted to the TCP / IP protocol and transmitted to the corresponding server 300, the packets are transmitted without causing problems in the communication between the wireless terminal device 200 and the server 300.
  • GGSN Gateway GPRS Support Node
  • the collection unit 10 replicates the packet and then transfers the duplicated packet to the measurement unit 20 and the recording unit 30.
  • the server 300 and the wireless terminal device 200 use the TCP protocol to perform a session connection (SYN), data transmission, termination of a session (FIN), session restart (RST), and the like. While establishing a specific field value on the TCP header to send and receive packets, a connection is made through the control packet, data is transmitted or terminated, and the header information is shown in FIG.
  • Figure 4 shows an embodiment showing the information of the header of the packet transmitted and received between the wireless terminal device 200 and the server 300 in general.
  • the present invention detects an abnormal increase in the amount of such control flags, such as a case where a control packet with a large amount of FIN or RST is set in a short time from the server 300 to the wireless terminal device 200, thereby detecting a network. To monitor the cause of the overload.
  • the measurement unit 20 classifies the packets collected or captured by the collection unit 10 by the server 300 identification information, and then flags the control packets generated for each identification information. For the role of measuring the amount of occurrence in the last n seconds.
  • the y-axis is the number of control packets per second sent from the server 300 to the wireless terminal device 200
  • the -y axis is the number of control packets per second sent from the wireless terminal device 200 to the server 300.
  • FIG. 6 is a diagram illustrating a graph for detecting abnormal increase-related information on the basis of the time when an abnormal increase in the control packet identified through FIG. 5 occurs.
  • the control packet abnormal increase detection apparatus 100 checks an abnormal increase phenomenon of the control packet through FIGS. 5 and 6, and identifies identification information of the server 300 in which the abnormal increase has occurred, At least one abnormality increase occurrence time information and information on control packets from a predetermined time to a predetermined time after the occurrence time are detected.
  • FIG. 7 classifies packets currently flowing through the measurement unit 20 by identification information of the server 300, and then indicates a control packet generated for each identification information for each flag (SYN, FIN, RST, etc.). An example of measuring the amount of occurrence over a second is shown.
  • TX means a packet sent from the server 300 to the wireless terminal device 200
  • RX means a packet sent from the wireless terminal device 200 to the server 300.
  • the packet captured from the collecting unit 10 is recorded in milliseconds (1/1000 second) as the packet capture time, and continuously enters the packet. 20) calculates the inflows per second by summing flags for each of the packets in the last 1 second of these packets.
  • the recording unit 30 records the number of control packet flags that occurred during the last predetermined time based on the current time for a predetermined time in seconds, and the flag recorded in the second for a predetermined time. It calculates the average or maximum generation amount using the number information of these.
  • the calculation unit when calculating the average generation amount (average value), measures the number of flags flowing in every second, compare this value with the existing peak value, and then set this peak value to the number of new flags It is possible to determine whether to set the previous peak value to the number of flags, or to set the number of flags to a value obtained by decreasing the previous peak value, and calculate the average of each calculated peak flag number.
  • the output unit 55 performs a role of outputting an alarm when an abnormal increase in the control packet is detected as a result of the detection by the determination unit 40.
  • the output unit 55 may output an alarm on the monitoring screen or output an alarm through a speaker.
  • Communication unit 60 if the detection result of the determination unit 40, an abnormal increase in the control packet, the role of notifying the control packet abnormal increase to one or more terminals or server 300; Do this.
  • the communication unit 60 may notify an increase in a control packet error to a wired and / or wireless terminal of one or more preset managers.
  • FIGS. 8 to 10 are diagrams illustrating an example of a process for calculating an average value of a control flag in the recording unit according to an exemplary embodiment of the present invention.
  • the average value of the abnormal increase may be appropriately the average value of the red lines (peak average), and the average value of the red lines will be about 50.
  • Determination unit 40 by using the average value or the maximum value of the flow rate per second of the control flags measured by the measurement unit 20 and the calculated flow rate per flag calculated by the recording unit 30 It detects abnormal increase of control packet.
  • the denominator is divided by the number of times that the number of generations per second satisfies> 0 and> 30 (actually in a section where a value exists). Is greater than or equal to 17, and if it is> 0, it has a value of 17 for> 0 and 46 for> 30, and similar to the target value for> 30. It is sometimes not used because sometimes it shows proper value or not.
  • the peak average is a value obtained by calculating a virtual peak value (the horizontal red line) while maintaining, increasing, or decreasing the value using the previous peak value and the new peak value. It can be seen that it has a value and derives a value similar to the target value. Using this, the average value can be calculated and it can be determined as an abnormal increase when the value is * n times.
  • the figure shows whether the current peak value is set to new value, the previous peak value (preserves the existing value), or the previous peak value is reduced. It is determined by an algorithm and calculates an average of each calculated peak value.
  • a drop condition exceeds a certain value during a drop time, for example, when a difference between two values is greater than half of an existing value every second, it is found that a specific time ( Drop time) is 5, and a specific value (Drop condition) is (previous peak value / 2).
  • drop value peak value / 3 of drop value to a specific value may be included, and the previous value may be decreased by some amount. It can be arbitrarily specified as to whether or not to reduce the gap when the gap is over a certain value. The average value can be different depending on how to set this value.
  • 12 is a diagram illustrating an example of calculating a peak average value, assuming that the RST flag enters 10, 5, 3, 20, 5, 5, 5, 5, 5, 15 every second, and the drop time is 3 ( More than 3 times when the difference with the existing value is large), the drop condition is the existing value / 2 (if the difference with the existing value is larger than this value), and the drop value is the existing value / 3 (1/3 of the existing value) Assuming a new value) shows the change in peak mean value.
  • the recording unit according to the present invention is only one embodiment, and a method for calculating an average value (average generation amount) may be variously performed according to the intention of those skilled in the art.
  • the determination unit 40 determines that an abnormal increase in the control packet occurs when the generation amount of the specific flag exceeds a predetermined upper limit, or the average value of the inflow amount per flag per second is generated. If it is more than the preset multiple and more than the predetermined lower limit, it can be determined that the abnormal increase of the control packet.
  • the determination unit 40 may include identification information of the server 300 in which an abnormal increase occurs, abnormal increase occurrence time information, and information on control packets from a predetermined schedule time until a later constant time of the abnormal increase occurrence time. At least one can be detected, and the recording unit 30 controls the number of control packet flags that occurred during the last predetermined time on the basis of the current time for a predetermined time in seconds, and for how long to record. You can play more roles.
  • Alarm recording unit 50 when the detection result of the determination unit 40, the abnormal increase in the control packet is detected, the role of recording the alarm information required to inform the alarm to the user Do this.
  • the alarm recording unit 50 when the alarm recording unit 50 detects an abnormal increase, the alarm recording unit 50 records up to n seconds in the past and time up to m seconds thereafter, based on the current time, and outputs alarm information.
  • the alarm information may be transmitted to one or more terminals or servers.
  • the alarm information may include an abnormal increase detection time, a packet switching server, DNS information, a TCP flag, an amount of inflows per second, the number of connected clients, and one or more detection logs of a corresponding time interval.
  • each component of the control packet abnormal increase detection apparatus 100 may be implemented in the form of a program or a program set, and may be divided into two or more devices.
  • FIG. 14 is a diagram illustrating a process of detecting an abnormal increase phenomenon of a control packet according to an exemplary embodiment of the present invention.
  • control packet abnormal increase detection apparatus 100 collects or captures a plurality of packets transmitted and received between the plurality of wireless terminal devices 200 and the plurality of servers 300 through the collection unit 10 (S1410).
  • control packet abnormal increase detection apparatus 100 classifies the packets collected or captured by the collection unit 10 through the measurement unit 20 by the server 300 identification information (S1420).
  • the measuring unit 20 of the control packet abnormality increase detection apparatus 100 measures the generation amount of the control packet generated for each identification information for each flag for the last n seconds (S1430).
  • the packet abnormal increase detection apparatus 100 records the number of control packet flags that occurred during the last predetermined time on the basis of the current time through the recording unit 30 for a predetermined time (S1440).
  • the apparatus 100 for detecting an abnormality of the packet calculates an average or maximum generation amount using the information on the number of flags recorded in units of seconds for a predetermined time through the recording unit 30 (S1450).
  • steps S1420 and S1430 may be replaced with the steps S1440 and S1450, and the steps S1420 and S1430, S1440, and S1450 may be changed. May be performed simultaneously.
  • the packet abnormality increase detection apparatus 100 checks through the determination unit 40 whether the amount of generation of the specific flag per second exceeds a predetermined upper limit (S1460).
  • the determination unit 40 of the packet abnormality increase detection apparatus 100 determines that the control packet is abnormal. It is determined that the increase (S1475).
  • the packet abnormality increase detection apparatus 100 is determined per flag per second through the determination unit 40. It is checked whether the amount of generation is larger than a predetermined multiple by a predetermined value more than the average value of inflows per second per flag and exceeds a predetermined lower limit (S1485).
  • the packet abnormality increase detection apparatus 100 determines that the abnormal increase in the control packet (S1475).
  • the control packet abnormality increase detecting apparatus 100 repeats the process (S1410) (S1495).
  • processes (S1460) and (S1485) are sequentially processed to explain one embodiment of the present invention. However, processes (S1460) and (S1485) may be reversed, and may be processed simultaneously. It's okay.
  • control packet abnormal increase detecting apparatus 100 if an abnormal increase in the control packet is detected through the process (S1475), the control packet abnormal increase detecting apparatus 100 then outputs an alarm on the monitoring screen or the speaker through the output unit 55. Or, and / or notify the control packet abnormal increase to one or more terminals or servers 300 through the communication unit 60.

Landscapes

  • Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an apparatus for detecting an abnormal increase in control packets. The apparatus according to the present invention comprises: a collecting unit for collecting or capturing a plurality of packets mutually transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network; a measuring unit for classifying the packets collected or captured by the collecting unit according to each server identification information, and measuring the amount of control packets generated for each identification information with respect to each flag during the latest n-unit time; a recording unit for recording the number of control packets for each flag, generated during the last predetermined time on the basis of a current time, according to the unit time and calculating an average or maximum amount of the generated control packets by using information on the number of flags recorded during the predetermined time; and a determination unit for detecting an abnormal increase in the control packets by using the amount of generated control flags per unit time measured by the measuring unit, and an average value or a maximum value of an input amount of the control packets per unit time for each flag calculated by the recording unit.

Description

제어패킷 이상 증가 검출 장치, 그 방법 및 기록매체Control packet abnormality increase detection device, method and recording medium
본 발명은 무선 네트워크 부하의 주요 원인인 제어패킷의 이상 증가 현상을 검출하기 위한 것이다.The present invention is to detect an abnormal increase phenomenon of the control packet which is the main cause of the wireless network load.
스마트폰의 보급 이후 개인의 단말 사용 패턴은 음성통화에서 데이터 통신위주로 급속히 전환되고 있다.Since the spread of smartphones, personal terminal usage patterns have been rapidly shifting from voice calls to data communication.
도면 1의 모바일(무선) 데이터 트래픽 지표에서 보는 바와 같이, 향후 10~15년간 약 26배의 모바일 트래픽 증가가 예상되며, 2010년 개인이 하루에 사용하는 모바일 데이터량은 15MB수준이었으나, 2020년에 1GB에 이르게 될 수 있다.As shown in the mobile (wireless) data traffic indicator of FIG. 1, mobile traffic is expected to increase by about 26 times over the next 10 to 15 years, and the amount of mobile data used by individuals in 2010 was 15MB, but in 2020 It can reach 1GB.
이러한, 모바일 트래픽 증가는 이동통신사의 수익성 및 서비스 품질에 직접적으로 영향을 미치는 요인으로 작용하며, 서비스 사업자인 이동통신사의 장비증설을 수반하며, 이에 따른 수익악화가 불가피한 실정이며, 모바일 네트워크를 이용하는 사용자 또한 데이터 통신 속도 지연에 따른 서비스 불만족이 증가하게 된다. This increase in mobile traffic directly affects the profitability and service quality of mobile carriers, and involves the expansion of equipment of mobile carriers as service providers. As a result, profit deterioration is inevitable. In addition, service dissatisfaction is increased due to data communication speed delay.
이에 따라, 이동통신사들은 투자부담 감소와 서비스 품질보장을 위해 네트워크 인프라를 효율적으로 활용해야 하는 과제에 봉착했으며 현재의 솔루션에는 한계가 존재하므로 예측가능성과 실시간 통제가 보장되는 대안이 필요한 실정이다.As a result, mobile operators face the challenge of efficiently utilizing network infrastructure to reduce investment and ensure quality of service, and current solutions have limitations, requiring alternatives that guarantee predictability and real-time control.
한편, 도면 2에서 보는 바와 같이, 모바일 네트워크 혼잡의 주요 요인은 무선단말장치에 설치된 각종 애플리케이션을 통한 통신망 상의 서버와의 트래픽 채널 생성이다.On the other hand, as shown in Figure 2, the main factor of mobile network congestion is the generation of traffic channels with the server on the communication network through various applications installed in the wireless terminal device.
즉, 무선단말장치에서 통신망 상의 서버와 하나의 트래픽 채널을 생성하기 위해서는 기지국의 위치확인 등 통신망 상의 장치들과 수십여번의 시그날 통신이 선행되어야 하며, 이러한 시그날 통신은 대용량의 패킷 전송보다 통신망 상에 더 커다란 부하를 유발한다.That is, in order to create a traffic channel with a server on a communication network in a wireless terminal device, dozens of signal communication must be preceded by devices on the communication network such as base station positioning, and such signal communication is performed on a communication network rather than a large packet transmission. Cause a greater load.
또한, 하나의 서버(IP로 구분)에 여러 무선단말장치들이 TCP 프로토콜을 이용하여 서버와 연결되어 있는 상황에서, 서버관리를 위해 서버를 정상 종료시키거나 다양한 원인으로 인해 서버가 다운되어 무선단말장치와의 연결이 끊어지게 될 경우, 짧은 시간 내에 서버에 접속 중인 무선단말장치들에게 TCP의 제어플래그인 RST 또는 FIN이 설정된 제어패킷이 전송된다. In addition, in a situation where several wireless terminal devices are connected to the server using a TCP protocol in one server (divided by IP), the server is shut down normally for server management or the server is down due to various reasons. If the connection is lost, a control packet in which RST or FIN, which is a control flag of TCP, is transmitted to wireless terminal devices connected to the server within a short time.
사용자가 많은 대형 서비스들의 서버가 여러 무선단말장치와 연결되어 있었을 경우 이러한 상황에서는 제어패킷이 순간적으로 폭발적인 증가상태를 보일 수 있으며, 특히 무선망은 이러한 제어패킷들은 해당 무선단말장치에 전달되기 위해서 과부하가 발생할 수 있게 된다.If a large number of servers are connected to multiple wireless terminal devices, the control packets may increase exponentially in this situation. In particular, the wireless network may be overloaded to deliver these control packets to the wireless terminal device. Can occur.
결론적으로, 네트워크 혼잡에 따른 이동통신 사업자의 막대한 비용소모와 무선단말정치 사용자들의 서비스 불만족을 해결하기 위해서는 과도한 트래픽 채널 생성을 유도하는 서버 정보와 트래픽 채널 생성 및 해제에 따른 제어패킷의 이상 증가 현상을 모니터링 할 수 있어야 하나, 통신망 시스템 상에서 이러한 모니터링을 보다 쉽고 편리하게 처리할 수 있는 방안이 전무한 실정이다. In conclusion, in order to solve the enormous cost consumption of mobile operators due to network congestion and service dissatisfaction of wireless terminal politics users, the increase of server information that leads to excessive traffic channel generation and the increase of control packets due to the creation and release of traffic channels are required. Although it should be possible to monitor, there is no way to handle such monitoring more easily and conveniently in the network system.
상기한 종래 기술의 문제점 및 과제에 대한 인식은 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이 아니므로 이러한 인식을 기반으로 선행기술들과 대비한 본 발명의 진보성을 판단하여서는 아니됨을 밝혀둔다.Recognition of the problems and problems of the prior art described above is not obvious to those of ordinary skill in the art of the present invention and should not judge the progress of the present invention compared to the prior art based on such recognition. Reveal.
상기와 같은 문제점을 해소하기 위한 본 발명의 목적은, 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷들을 서버 식별정보(IP 등)별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷들의 이상 증가를 검출함으로써, 모바일 네트워크의 과부하 원인 중 하나인 제어패킷의 이상 증가현상을 모니터링 할 수 있도록 하는 장치, 방법 및 기록매체를 제공함에 있다.An object of the present invention for solving the above problems is, after classifying a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network by server identification information (IP, etc.), the control generated for each identification information The present invention provides an apparatus, a method, and a recording medium for monitoring an abnormal increase in a control packet, which is one of the causes of overload of a mobile network, by detecting an abnormal increase in packets.
본 발명에서 이루고자 하는 기술적 과제는 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problem to be achieved in the present invention is not limited to the technical problem mentioned above, and other technical problems not mentioned above may be clearly understood by those skilled in the art from the following description. There will be.
본 발명에 따른 제어패킷 이상 증가 검출장치는, 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 수집부; 상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류하고, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근의 n 단위 시간 동안의 발생량을 측정하는 측정부; 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 상기 단위 시간에 따라 기록하며, 상기 일정 시간 동안 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 기록부; 및 상기 측정부에서 측정되는 제어 플래그들의 상기 단위 시간당 발생량과 상기 기록부에서 계산된 플래그별 상기 단위 시간당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 판단부를 포함한다.An apparatus for detecting an abnormal increase in a control packet according to the present invention includes: a collecting unit configured to collect or capture a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network; A measuring unit for classifying packets collected or captured by the collection unit by server identification information, and measuring a generation amount of a control packet generated for each identification information during a recent n unit time for each flag; A recording unit for recording the number of control packet flags that occurred during the last predetermined time based on the current time according to the unit time, and calculating an average or maximum generation amount using information on the number of flags recorded during the predetermined time; And a determination unit that detects an abnormal increase in the control packet by using the average value or the maximum value of the generation amount per unit time of the control flags measured by the measurement unit and the unit flow amount per unit time calculated by the recording unit.
또한, 본 발명에 따른 제어패킷 트래픽 증가 검출방법은, 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 단계; 상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류하는 단계; 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근의 n 단위 시간 동안의 발생량을 측정하는 단계; 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 상기 단위 시간에 따라 기록하며, 상기 일정 시간 동안 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 단계; 및 상기 측정부에서 측정되는 제어 플래그들의 상기 단위 시간당 발생량과 상기 기록부에서 계산된 플래그별 상기 단위 시간당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 단계를 포함한다.In addition, the control packet traffic increase detection method according to the present invention comprises the steps of: collecting or capturing a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network; Classifying packets collected or captured by the collector by server identification information; Measuring a generation amount of a control packet generated for each identification information for a recent n unit time for each flag; Recording the number of control packet flags that occurred during the last predetermined time based on the current time according to the unit time, and calculating an average or maximum generation amount using information on the number of flags recorded during the predetermined time; And detecting an abnormal increase in the control packet by using the average value or the maximum value of the generation amount per unit time of the control flags measured by the measurement unit and the unit flow amount per unit time calculated by the recording unit.
또 다른 측면에 따르면, 상기 제어패킷 이상 증가 검출장치는, 상기 판단부의 검출결과, 제어패킷의 이상 증가가 검출되면, 하나 이상의 단말 또는 서버로 제어패킷 이상 증가를 통지하는 통신부를 더 구비할 수 있다.According to another aspect, the control packet abnormal increase detection device may further include a communication unit for notifying an increase in control packet abnormality to one or more terminals or servers when an abnormal increase in the control packet is detected as a result of detection of the determination unit. .
또한, 본 발명에 따른 제어패킷 이상 증가 검출장치는, 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 수집부와, 상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정하는 측정부와, 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 기록부와, 상기 측정부에서 측정되는 제어 플래그들의 초당 발생량과 상기 기록부에서 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 판단부와 상기 판단부에서 이상 증가가 검출되었을 경우, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 알람기록부를 구비한다.In addition, the control packet abnormality increase detection apparatus according to the present invention, a collection unit for collecting or capturing a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network, and the server to identify the packets collected or captured by the collection unit After classifying by information, the control unit measures the amount of control packets generated for each identification information for the last n seconds for each flag, and the number of control packet flags that occurred during the last predetermined time based on the current time. A recording unit which records for a predetermined time in units of time and calculates an average or maximum generation amount using information on the number of flags recorded in units of seconds for a predetermined time, and the generation amount per second of the control flags measured by the measuring unit and the calculation unit Error of control packet by using average value or maximum value of inflow per second for each flag A determination unit for detecting an increase and an alarm recording unit for recording alarm information required for informing the user of an alarm when an abnormal increase is detected in the determination unit.
일 측에 따르면, 상기 알람 기록부는, 상기 판단부에서 이상 증가를 검출하였을 경우, 현재시각을 기준으로 과거의 n초까지의 기록과 이후의 m초까지의 시간을 기록하며, 알람정보를 출력하거나, 또는 알람정보를 하나 이상의 단말 또는 서버로 전송할 수 있다.According to one side, the alarm recorder, when detecting the abnormal increase in the determination unit, based on the current time to record the past n seconds and the time up to the next m seconds, and outputs the alarm information or Alternatively, the alarm information may be transmitted to one or more terminals or servers.
또 다른 측면에 따르면, 상기 기록부는, 평균 값을 산출시, 매초마다 유입되는 플래그들의 개수를 측정하고, 이 값을 기존 피크값과 비교한 후, 이번 피크값을 새로운 플래그 개수로 설정할 지, 이전 피크값을 플래그 개수로 설정할 지, 이전 피크값을 감소시킨 값으로 플래그 개수를 설정할 지를 결정하고, 계산된 각각의 피크 플래그 개수들의 평균을 산출할 수 있으며, 새로운 플래그 개수가 이전 피크 값보다 큰 경우, 새로운 플래그 개수를 피크 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하면, 새로운 피크 값을 이전 피크 값을 특정 값으로 감소시킨 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하지 않으면, 새로운 피크 값을 이전 피크 값으로 유지할 수 있다.According to another aspect of the present invention, when the average value is calculated, the recording unit measures the number of flags flowing in every second, compares this value with an existing peak value, and sets the current peak value to the number of new flags, It is possible to decide whether to set the peak value to the number of flags or to set the number of flags to a value that has decreased the previous peak value, and to calculate the average of each calculated peak flag number, and if the new flag number is greater than the previous peak value. If the number of new flags is set to the peak value and the number of new flags is less than the previous peak value, and the number of new flags subtracted from the previous peak value exceeds a certain value for a certain time, the new peak value is replaced with the previous peak value. Set to a value reduced to a certain value, and if the number of new flags is less than the previous peak value, The number obtained by subtracting the peaceful flag number does not exceed a certain value for a certain period of time, it is possible to maintain a new peak in the previous peak value.
또 다른 측면에 따르면, 상기 판단부는, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어설 경우 제어패킷의 이상 증가로 판단하거나, 또는 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지고, 기 설정한 임의의 하한치를 넘을 경우, 제어패킷의 이상 증가로 판단할 수 있다.According to another aspect, the determination unit may determine that an abnormal increase in the control packet when the amount of generation per second of the specific flag exceeds a predetermined upper limit, or the generation amount per second is earlier than the average value of inflows per second per flag. If it becomes larger than one or more times and exceeds a predetermined lower limit, it can be determined that the control packet is abnormally increased.
또 다른 측면에 따르면, 상기 판단부는, 이상증가가 발생한 서버의 식별정보정보와, 이상 증가 발생 시각 정보와, 이상 증가 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보를 하나 이상 검출할 수 있으며, 상기 기록부에서 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록시, 얼마 간의 시간 동안 기록을 할 지 조절할 수 있다.According to another aspect, the determination unit, the identification information information of the server in which the abnormal increase occurs, the abnormal increase occurrence time information, and the information about the control packets from the predetermined schedule time until the later time of the abnormal increase occurrence time An abnormality can be detected, and the recording unit can control how much time is recorded when the number of control packet flags that have occurred in the last predetermined time on the basis of the current time for a predetermined time in seconds.
본 발명의 일 양상에 따르면, 무선단말장치와 서버 간 통신망 상에서의 제어패킷 이상 증가현상을 검출함으로써, 특정 서버와의 제어패킷 이상 증가에 따른 네트워크 과부하를 제어할 수 있는 모니터링을 보다 쉽고 빠르게 처리할 수 있는 효과를 지니고 있다.According to an aspect of the present invention, by detecting an increase in control packet abnormality on the communication network between the wireless terminal device and the server, it is easier and faster to monitor the network overload control according to the increase in the control packet abnormality with a specific server. It can have the effect.
본 발명의 일 양상에 따른 또 다른 효과는, 과도한 제어패킷 증가현상을 유도하는 특정 서버와의 접속을 제어할 수 있도록 하여, 네트워크 이용의 최적화를 가져올 수 있으며, 이를 통해 이동통신사업자의 네트워크 증설비용을 최소화 할 수 있다.Another effect according to an aspect of the present invention, it is possible to control the connection with a specific server that leads to excessive control packet increase phenomenon, it can bring the optimization of network use, through which the network for the expansion of mobile operators Can be minimized.
본 발명의 일 양상에 따른 또 다른 효과는, 네트워크 이용의 최적화를 통해 데이터 통신지연 등에 따른 무선단말장치 사용자의 불만을 최소화 하는 동시에 무선단말장치의 배터리 소모를 크게 줄일 수 있도록 한다.Another effect according to an aspect of the present invention, by minimizing the dissatisfaction of the user of the wireless terminal device due to data communication delay, etc. through the optimization of the network use can significantly reduce the battery consumption of the wireless terminal device.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 전술한 발명의 상세한 설명과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되지 않아야 한다.The following drawings, which are attached to this specification, illustrate preferred embodiments of the present invention, and together with the detailed description of the present invention serve to further understand the technical spirit of the present invention. It should not be construed as limited to.
도 1은 모바일(무선) 데이터 트래픽 지표를 도시한 도면이다.1 is a diagram illustrating a mobile (wireless) data traffic indicator.
도 2는 종래 모바일 네트워크 혼잡의 주요 요인 중 하나를 도시한 도면이다.2 is a diagram illustrating one of the main factors of the conventional mobile network congestion.
도 3은 본 발명의 실시 방법에 따른 제어패킷 이상 증가 검출장치의 주요 구성부를 도시한 도면이다.3 is a view showing the main components of the control packet abnormality increase detection apparatus according to the embodiment of the present invention.
도 4는 일반적인 제어패킷이 포함된 패킷의 사례를 보여주는 도면이다.4 is a diagram illustrating an example of a packet including a general control packet.
도 5는 측정된 제어패킷을 도식화한 일실시예도이다.5 is a diagram illustrating an example of a measured control packet.
도 6은 측정된 제어패킷을 도식화한 또 다른 일실시예도이다.6 is another exemplary diagram illustrating the measured control packet.
도 7은 본 발명의 실시 방법에 따른 제어 플래그들의 초당 발생량을 측정하는 일실시예도이다.7 is a diagram illustrating an example of measuring an amount of generation of control flags per second according to an embodiment of the present invention.
도 8 내지 도 10은 본 발명의 실시 방법에 따른 제어 플래그의 평균값을 산출하기 위한 과정을 보여주는 일실시예도 이다.8 to 10 are exemplary embodiments illustrating a process for calculating an average value of a control flag according to an embodiment of the present invention.
도 11 내지 도 13은 본 발명의 실시 방법에 따른 제어 플래그의 피크 평균값을 산출하기 위한 과정을 보여주는 일실시예도 이다.11 to 13 are exemplary embodiments illustrating a process for calculating a peak average value of a control flag according to an embodiment of the present invention.
도 14는 본 발명의 실시 방법에 따른 제어패킷의 이상 증가 현상을 검출하는 프로세스를 도시한 도면이다.14 is a diagram illustrating a process of detecting an abnormal increase phenomenon of a control packet according to an exemplary embodiment of the present invention.
이하 첨부된 도면과 설명을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 다만, 하기에 도시되는 도면과 후술되는 설명은 본 발명의 특징을 효과적으로 설명하기 위한 여러 가지 방법 중에서 바람직한 실시 방법에 대한 것이며, 본 발명이 하기의 도면과 설명만으로 한정되는 것은 아니다. 또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 발명에서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Hereinafter, with reference to the accompanying drawings and description will be described in detail the operating principle of the preferred embodiment of the present invention. However, the drawings and the following description shown below are for the preferred method among various methods for effectively explaining the features of the present invention, the present invention is not limited only to the drawings and description below. In addition, in the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. Terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to intentions or customs of users or operators. Therefore, the definition should be made based on the contents throughout the present invention.
결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.As a result, the technical spirit of the present invention is determined by the claims, and the following examples are one means for efficiently explaining the technical spirit of the present invention to those skilled in the art to which the present invention pertains. It is only.
도 3은 본 발명의 실시 방법에 따른 제어패킷 이상 증가 검출장치(100)의 주요 구성부를 도시한 도면이다.3 is a view showing the main components of the control packet abnormal increase detection apparatus 100 according to the embodiment of the present invention.
보다 상세하게 본 도면3은 제어패킷 이상 증가 검출장치(100)가 복수개의 무선단말장치(200)와 복수개의 서버(300)가 패킷 송수신을 하는 통신망 또는 네트워크와 연결되어 상기 패킷(상기 패킷은 데이터로 표현이 가능하며, 이하 패킷과 데이터는 동일한 의미로 해석된다.)을 수집 또는 캡쳐한 후, 제어패킷의 이상 증가현상을 검출하는 구성을 도시한 것이다.In more detail, in FIG. 3, the control packet abnormality increase detection device 100 is connected to a communication network or a network in which a plurality of wireless terminal devices 200 and a plurality of servers 300 transmit and receive packets, and thus the packet (the packet is data). The packet and data are interpreted in the same sense.) After collecting or capturing, an abnormal increase in the control packet is detected.
본 도면 3에 도시된 각각의 구성은 본 발명의 실시예를 설명하기 위한 구성일 뿐, 본 발명은 도면 3에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.Each configuration shown in FIG. 3 is merely a configuration for describing an embodiment of the present invention, and the present invention is not limited to the technical features only by the implementation method shown in FIG. 3.
본 발명의 일 실시방법에 따르면, 상기 제어패킷 이상 증가 검출장치(100)는 통신망을 통해 복수개 무선단말장치(200) 및 복수개 서버(300) 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하고, 상기 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n 단위 시간(예를 들어, n초) 동안의 발생량을 측정하고, 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산한 후, 상기 측정되는 제어 플래그들의 초당 발생량과 상기 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 역할을 수행한다.According to one embodiment of the present invention, the control packet abnormality increase detection apparatus 100 collects or captures a plurality of packets transmitted and received between a plurality of wireless terminal device 200 and a plurality of servers 300 through a communication network, and the collection Alternatively, the packets to be captured are classified by server identification information, and a control packet generated for each identification information is measured for the latest n unit time (for example, n seconds) for each flag, and based on the current time. The number of control packet flags that occurred in the last predetermined time is recorded for a predetermined time in seconds, and after calculating the average or maximum generation amount using the information on the number of flags recorded in the second for a predetermined time, the measured control An abnormal increase in the control packet is obtained by using the average value or the maximum value of the flags generated per second and the calculated inflows per second per flag. Shipping plays a role.
또한, 제어패킷 이상 증가 검출장치(100)는 이상 증가가 검출된 경우, 사용자에게 이상증가 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하거나, 하나 이상의 단말 또는 서버로 통지하거나, 그 알람을 출력하는 역할을 수행한다.In addition, when an abnormal increase is detected, the control packet abnormal increase detection apparatus 100 records alarm information required for informing the user of an abnormal increase alarm, notifies one or more terminals or servers, or outputs the alarm. It plays a role.
여기서, 상기 제어패킷은, 하나 이상의 무선단말장치(200)와 연결된 서버(300)를 정상 종료시키거나 또는 하나 이상의 원인으로 인해 상기 서버(300)가 다운되어 상기 무선단말장치(200)와의 연결이 끊어지게 될 경우, 서버(300)에 접속 중인 무선단말장치(200)들에게 전송하는 TCP의 제어플래그인 세션의 재시작(RST) 또는 세션의 종료(FIN) 또는 세션의 연결(SYN)이 설정된 패킷을 의미하며, 상기 제어패킷 플래그는, 세션의 재시작(RST), 세션의 종료(FIN), 세션의 연결(SYN)을 하나 이상 포함할 수 있다.Here, the control packet, the server 300 is connected to the wireless terminal device 200 because the server 300 is normally shut down or the server 300 is down due to one or more causes due to one or more causes. When disconnected, the packet is set to restart the session (RST) or the end of the session (FIN) or the session connection (SYN) of the control plug-in of TCP transmitted to the wireless terminal device 200 connected to the server 300 The control packet flag may include one or more session restart (RST), session termination (FIN), and session connection (SYN).
또한, 상기 알람정보는, 이상 증가 검출 시각, 패킷 교환 서버에 대한 식별정보, DNS정보, TCP 플래그, 초당 유입량, 접속되어 있던 클라이언트의 수, 해당 시간 구간의 검출 로그를 하나 이상 포함할 수 있으며, 상기 이상 증가는, 제어패킷의 초당 발생량이 기 설정한 임의의 기준을 넘어설 경우인 것을 의미하며, 상기 n초는, 1초인 것이 바람직할 것이다.The alarm information may include an abnormal increase detection time, identification information on the packet-switching server, DNS information, TCP flag, flow rate per second, the number of clients connected, and one or more detection logs of the corresponding time interval. The abnormal increase means that the generation amount per second of the control packet exceeds a predetermined threshold, and n seconds may be 1 second.
도면 3을 참조하면, 본 발명의 실시 방법에 따른 제어패킷 이상 증가 검출장치(100)는, 수집부(10)와, 측정부(20)와, 기록부(30)와, 판단부(40)와, 알람 기록부(50), 출력부(55) 및 통신부(60)를 포함하여 구성된다.Referring to FIG. 3, the control packet abnormality increase detection apparatus 100 according to the embodiment of the present invention includes a collecting unit 10, a measuring unit 20, a recording unit 30, a determining unit 40, , An alarm recording unit 50, an output unit 55, and a communication unit 60 are configured.
여기서, 상기 제어패킷 이상 증가 검출장치(100)는 실시예 설명을 위해 도면 상에는 단일 장치로 도시되어 있으나, 상기 각각의 구성부가 각각 하나 이상의 장치 또는 서버로 분리되어 구성될 수 있다.Here, the control packet abnormal increase detection device 100 is shown as a single device in the drawings for the purpose of embodiment, each of the components may be configured to be separated into one or more devices or servers, respectively.
도면 3을 참조하면, 상기 수집부(10)는, 통신망을 통해 복수개 무선단말장치(200) 및 복수개 서버(300) 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 역할을 수행한다.Referring to FIG. 3, the collection unit 10 collects or captures a plurality of packets transmitted and received between the plurality of wireless terminal devices 200 and the plurality of servers 300 through a communication network.
본 발명의 일 실시방법에 따르면, 무선단말장치(200)가 서버(300)(게임, 웹, 채팅, 유튜브 등)와 통신을 할 때, 기본적으로 무선단말장치(200)에서 발생된 패킷은 GGSN(Gateway GPRS Support Node)을 거치면서 TCP/IP프로토콜로 변환되어 해당하는 서버(300)로 전달되는데, 무선단말장치(200)와 서버(300) 간에 주고 받던 통신에 문제를 발생시키지 않으면서 패킷들을 분석해야 하는 바, 상기 수집부(10)는 패킷을 복제한 후, 복제된 패킷을 측정부(20)와 기록부(30)로 전달하는 것이 바람직할 것이다.According to the exemplary embodiment of the present invention, when the wireless terminal device 200 communicates with the server 300 (game, web, chat, YouTube, etc.), the packet generated by the wireless terminal device 200 is basically GGSN. (Gateway GPRS Support Node) is converted to the TCP / IP protocol and transmitted to the corresponding server 300, the packets are transmitted without causing problems in the communication between the wireless terminal device 200 and the server 300 As it should be analyzed, it is preferable that the collection unit 10 replicates the packet and then transfers the duplicated packet to the measurement unit 20 and the recording unit 30.
일반적으로, 서버(300)와 무선단말장치(200) 간에 TCP프로토콜을 이용하여 세션의 연결(SYN), 데이터의 송수신, 세션의 종료(FIN), 세션의 재시작(RST)등을 수행하기 위해서는 서로 간에 TCP헤더 상의 특정한 필드값을 설정하여 패킷을 주고 받으면서, 제어패킷을 통해 연결을 맺거나 데이터를 전송하거나 끊게 되는데, 해당 헤더의 정보는 도면 4와 같다.In general, the server 300 and the wireless terminal device 200 use the TCP protocol to perform a session connection (SYN), data transmission, termination of a session (FIN), session restart (RST), and the like. While establishing a specific field value on the TCP header to send and receive packets, a connection is made through the control packet, data is transmitted or terminated, and the header information is shown in FIG.
도면 4는 일반적으로 무선단말장치(200)와 서버(300) 간 송수신하는 패킷의 헤더의 정보를 보여주는 일실시예를 보여준다.Figure 4 shows an embodiment showing the information of the header of the packet transmitted and received between the wireless terminal device 200 and the server 300 in general.
도 4에 따르면, 헤더 정보 중, “RST (1 bit) ? Reset the connection”, “SYN (1 bit) ? Synchronize sequence numbers. Only the first packet sent from each end should have this 플래그 set. Some other 플래그s change meaning based on this 플래그, and some -are only valid for when it is set, and others when it is clear”, “FIN (1 bit) ? No more data from sender” 등 제어패킷을 구분하는 구성을 볼 수 있다. According to FIG. 4, in the header information, “RST (1 bit)? Reset the connection ”,“ SYN (1 bit)? Synchronize sequence numbers. Only the first packet sent from each end should have this flag set. Some other flags change meaning based on this flag, and some -are only valid for when it is set, and others when it is clear ”,“ FIN (1 bit)? No more data from sender ”.
본 발명은 서버(300)에서 무선단말장치(200)로 짧은 시간에 많은 양의 FIN이나 RST가 설정이 된 제어패킷이 발생하는 경우 등 이러한 제어 플래그의 양이 이상 증가할 경우를 검출함으로서, 네트워크의 과부하 원인을 모니터링 할 수 있도록 하는 것이다. The present invention detects an abnormal increase in the amount of such control flags, such as a case where a control packet with a large amount of FIN or RST is set in a short time from the server 300 to the wireless terminal device 200, thereby detecting a network. To monitor the cause of the overload.
본 발명의 일 실시방법에 따른 측정부(20)는, 상기 수집부(10)가 수집 또는 캡쳐하는 패킷들을 서버(300) 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정하는 역할을 수행한다.The measurement unit 20 according to an exemplary embodiment of the present invention classifies the packets collected or captured by the collection unit 10 by the server 300 identification information, and then flags the control packets generated for each identification information. For the role of measuring the amount of occurrence in the last n seconds.
도면 5는 한 시간 동안 특정 서버(300)가 무선단말장치(200)와 주고 받은 제어플래그들의 개수를 종류에 따라서 초단위로 도식화한 예이다(그래프 설명 : 가로선인 TX, RX를 기준으로, +y축은 서버(300)가 무선단말장치(200)로 보낸 초당 제어패킷의 개수이며, -y축은 무선단말장치(200)에서 서버(300)로 보낸 초당 제어패킷의 개수).5 is an example in which the number of control flags that the specific server 300 exchanges with the wireless terminal device 200 for one hour is plotted in units of seconds according to the type (Graph description: based on the horizontal lines TX and RX, + The y-axis is the number of control packets per second sent from the server 300 to the wireless terminal device 200, and the -y axis is the number of control packets per second sent from the wireless terminal device 200 to the server 300).
도 5에 따르면, 약 50여분 정도는 일정한 양의 FIN, SYN, RST패킷들이 서버(300)로 부터 발생하다가 54분 정도에 RST 패킷이 급증한 것을 볼 수 있다. According to FIG. 5, about 50 minutes, a certain amount of FIN, SYN, and RST packets are generated from the server 300, and then RST packets increase rapidly in about 54 minutes.
도면 6은 도 5를 통해 확인된 제어패킷의 이상 증가가 발생한 시점을 기준으로 이상 증가 관련 정보들을 검출하기 위한 그래프를 도식화 한 것이다.FIG. 6 is a diagram illustrating a graph for detecting abnormal increase-related information on the basis of the time when an abnormal increase in the control packet identified through FIG. 5 occurs.
본 발명의 일 실시방법에 따르면, 상기 제어패킷 이상 증가 검출장치(100)는 도 5와 도 6을 통해 제어패킷의 이상 증가 현상을 확인한 후, 이상증가가 발생한 서버(300)의 식별정보와, 이상 증가 발생 시각정보, 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보 등을 하나 이상 검출한다.According to an exemplary embodiment of the present invention, the control packet abnormal increase detection apparatus 100 checks an abnormal increase phenomenon of the control packet through FIGS. 5 and 6, and identifies identification information of the server 300 in which the abnormal increase has occurred, At least one abnormality increase occurrence time information and information on control packets from a predetermined time to a predetermined time after the occurrence time are detected.
도면 7은 측정부(20)를 통해 현재 유입되고 있는 패킷들을 서버(300) 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그(SYN, FIN, RST등) 각각에 대해서 최근 1초 동안의 발생량을 측정하는 일실시사례를 보여준다.FIG. 7 classifies packets currently flowing through the measurement unit 20 by identification information of the server 300, and then indicates a control packet generated for each identification information for each flag (SYN, FIN, RST, etc.). An example of measuring the amount of occurrence over a second is shown.
여기서, TX는 서버(300)에서 무선단말장치(200)로 보내는 패킷을 의미하며, RX는 무선단말장치(200)에서 서버(300)로 보내는 패킷을 의미한다.Here, TX means a packet sent from the server 300 to the wireless terminal device 200, and RX means a packet sent from the wireless terminal device 200 to the server 300.
본 발명의 일 실시방법에 따르면, 상기 수집부(10)로부터 캡쳐되서 들어오는 패킷에는 패킷이 캡쳐된 시각이 밀리세컨드 (1/1000초)단위로 기록이 되어 지속적으로 들어오게 되며, 상기 측정부(20)는 이 패킷들 중 최근 1초 동안 패킷들에 대해서 플래그별로 합산을 하여 초당 유입량을 계산한다.According to the exemplary embodiment of the present invention, the packet captured from the collecting unit 10 is recorded in milliseconds (1/1000 second) as the packet capture time, and continuously enters the packet. 20) calculates the inflows per second by summing flags for each of the packets in the last 1 second of these packets.
본 발명의 일 실시방법에 따른 기록부(30)는, 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 역할을 수행한다.The recording unit 30 according to the exemplary embodiment of the present invention records the number of control packet flags that occurred during the last predetermined time based on the current time for a predetermined time in seconds, and the flag recorded in the second for a predetermined time. It calculates the average or maximum generation amount using the number information of these.
본 발명에 따르면, 상기 기록부는, 평균 발생량(평균 값)을 산출시, 매초마다 유입되는 플래그들의 개수를 측정하고, 이 값을 기존 피크값과 비교한 후, 이번 피크값을 새로운 플래그 개수로 설정할 지, 이전 피크값을 플래그 개수로 설정할 지, 이전 피크값을 감소시킨 값으로 플래그 개수를 설정할 지를 결정하고, 계산된 각각의 피크 플래그 개수들의 평균을 산출할 수 있다.According to the present invention, the calculation unit, when calculating the average generation amount (average value), measures the number of flags flowing in every second, compare this value with the existing peak value, and then set this peak value to the number of new flags It is possible to determine whether to set the previous peak value to the number of flags, or to set the number of flags to a value obtained by decreasing the previous peak value, and calculate the average of each calculated peak flag number.
그리고, 본 발명의 일 실시방법에 따른 출력부(55)는, 상기 판단부(40)의 검출결과, 제어패킷의 이상 증가가 검출되면, 알람을 출력하는 역할을 수행한다.In addition, the output unit 55 according to the exemplary embodiment of the present invention performs a role of outputting an alarm when an abnormal increase in the control packet is detected as a result of the detection by the determination unit 40.
본 발명에 따르면, 상기 출력부(55)는 모니터링 화면 상에 알람을 출력하거나, 또는 스피커를 통해 알람을 출력할 수 있다.According to the present invention, the output unit 55 may output an alarm on the monitoring screen or output an alarm through a speaker.
본 발명의 일 실시방법에 따른 통신부(60)는, 상기 판단부(40)의 검출결과, 제어패킷의 이상 증가가 검출되면, 하나 이상의 단말 또는 서버(300)로 제어패킷 이상 증가를 통지하는 역할을 수행한다.Communication unit 60 according to an embodiment of the present invention, if the detection result of the determination unit 40, an abnormal increase in the control packet, the role of notifying the control packet abnormal increase to one or more terminals or server 300; Do this.
본 발명에 따르면, 상기 통신부(60)는, 기 설정된 하나 이상의 관리자의 유선 및/또는 무선단말로 제어패킷 이상 증가를 통지할 수 있다.According to the present invention, the communication unit 60 may notify an increase in a control packet error to a wired and / or wireless terminal of one or more preset managers.
도 8 내지 도 10은 본 발명의 실시 방법에 따른 상기 기록부에서의 제어 플래그의 평균값을 산출하기 위한 과정을 보여주는 일실시예도 이다.8 to 10 are diagrams illustrating an example of a process for calculating an average value of a control flag in the recording unit according to an exemplary embodiment of the present invention.
상기 기록부에 기록되어있는 정보(즉, 플래그별 초당 발생 개수)를 바탕으로 평균을 산출하는 방법은 다양하다.There are various methods of calculating the average based on the information recorded in the recording unit (that is, the number of occurrences per second for each flag).
먼저, 도 8을 보면, 10분 동안 발생한 RST의 개수를 측정한 그래프로서, 평균의 기준을 정하는 방법에 따라서 어떠한 값들이 나오는 지를 확인하고, 가장 적절하다고 판단되는 평균산출방법을 최종적으로 적용할 수 있다. (가로축 : 10분 = 총 600초, 세로축 : 파란선이 100개임을 표시)First, as shown in FIG. 8, as a graph measuring the number of RSTs generated in 10 minutes, it is possible to confirm which values are produced according to a method of determining an average criterion, and finally apply an average calculation method that is determined to be the most appropriate. have. (Horizontal axis: 10 minutes = 600 seconds in total, Vertical axis: 100 blue lines)
이러한 상태에서 이상증가를 판단하기 위한 평균값은 도 9에서 보는 바와 같이 붉은라인들의 평균값이 적절할 것이며(피크 평균), 붉은 라인을 평균을 낸다면 대략 50전후의 값이 나올 것이다.In this state, as shown in FIG. 9, the average value of the abnormal increase may be appropriately the average value of the red lines (peak average), and the average value of the red lines will be about 50.
이렇게 평균을 계산한 후에 다음 유입량이 평균의 n배 이상일 경우 이상증가로 판단하는데 사용된다.After calculating the mean, it is used to determine abnormal increase if the next inflow is more than n times the mean.
본 발명의 일 실시방법에 따른 판단부(40)는, 상기 측정부(20)에서 측정되는 제어 플래그들의 초당 발생량과 상기 기록부(30)에서 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 역할을 수행한다.Determination unit 40 according to an embodiment of the present invention, by using the average value or the maximum value of the flow rate per second of the control flags measured by the measurement unit 20 and the calculated flow rate per flag calculated by the recording unit 30 It detects abnormal increase of control packet.
한편, 도 10에서 보는 바와 같이, 평균값을 산출하는 방식은 다양하다. On the other hand, as shown in Figure 10, there are a variety of ways to calculate the average value.
먼저, 단순 산술 평균값(normal count)의 경우, 발생한 모든 RST의 합을 600초로 나눈 값이며, 8536(총 발생횟수)/600(총시간, 초단위) = 14.2(초당 평균 발생량)를 보여주고 있으나, 이 값은 목표로 하는 값과 큰 차이를 보이며 이상증가를 판단하기 위한 평균값으로는 부적절하다.First, in the case of the simple arithmetic normal value, the sum of all generated RSTs is divided by 600 seconds, and shows 8536 (total occurrences) / 600 (total time, in seconds) = 14.2 (average occurrences per second). However, this value is very different from the target value and is not appropriate as an average value for determining abnormal increase.
또한, active(>0, >30)의 경우, RST의 합산은 동일하며, 분모를 초당 발생량의 개수가 >0, >30을 만족하는 시각의 횟수로 나눈 값이며(실제로 값이 존재하는 구간에 대해서 n개 이상의 개수가 발견된 경우), >0인 경우에는 평균이 17, >30인 경우에는 46의 값을 지니며, >30인 경우에는 목표로 하는 값과 유사하긴하나, 데이터의 유형에 따라 적절한 값이 나올 때도 있고 나오지 않을 때도 있어서 사용하진 않는다.In addition, in the case of active (> 0,> 30), the sum of the RSTs is the same, and the denominator is divided by the number of times that the number of generations per second satisfies> 0 and> 30 (actually in a section where a value exists). Is greater than or equal to 17, and if it is> 0, it has a value of 17 for> 0 and 46 for> 30, and similar to the target value for> 30. It is sometimes not used because sometimes it shows proper value or not.
한편, 피크 평균은 이전의 피크 값과 새로운 피크 값을 이용하여 값을 유지, 상승, 하락시키면서 가상의 피크값(붉은색 가로선)을 계산 후에 이들의 평균을 산출한 값인데, 이 경우에는 53의 값을 가지며, 목표로 한 값과 유사한 값을 도출하는 것을 볼 수 있으며, 이를 이용하여 평균값을 계산하고 이 값의 *n배인 경우에 이상증가로 판별할 수 있게 된다.On the other hand, the peak average is a value obtained by calculating a virtual peak value (the horizontal red line) while maintaining, increasing, or decreasing the value using the previous peak value and the new peak value. It can be seen that it has a value and derives a value similar to the target value. Using this, the average value can be calculated and it can be determined as an abnormal increase when the value is * n times.
즉, 피크 평균을 이용하는 방법의 경우, 이전에 결정된 피크 값(peak value)과 새로 측정된 플래그의 개수(new value)를 이용하는 것으로, 매초마다 유입되는 플래그들의 개수를 측정(new value)하고, 이 값을 기존 피크값(peak value)과 비교한 후, 이번 피크값을 new value로 설정할 지, 이전 피크값으로 설정할 지(기존 값 유지), 이전 피크값을 감소시킨 값으로 설정할 지를 도면 11에서 보여주는 알고리즘에 의해 결정하고, 계산된 각각의 peak value들의 평균을 산출하는 방법이다.That is, in the method of using the peak average, by using the previously determined peak value and the number of newly measured flags (new value), the number of incoming flags every second is measured (new value), and After comparing the value with the existing peak value, the figure shows whether the current peak value is set to new value, the previous peak value (preserves the existing value), or the previous peak value is reduced. It is determined by an algorithm and calculates an average of each calculated peak value.
도 11에서 특정시간(Drop time)동안 특정값(Drop condition)초과하는 것을 예를 들면, 매초마다 둘 값의 차이가 기존 값의 절반보다 큰 경우가 5초 이상 연속되게 발견 될 경우, 특정시간(Drop time)은 5가 되며, 특정값(Drop condition)은 (이전 peak value / 2)가 된다.In FIG. 11, for example, when a drop condition exceeds a certain value during a drop time, for example, when a difference between two values is greater than half of an existing value every second, it is found that a specific time ( Drop time) is 5, and a specific value (Drop condition) is (previous peak value / 2).
또한, 도 11에서 특정 값으로 감소(Drop value)하는 것에 대한 예를 들면, “기존값의 1/3로 감소(drop value = peak value / 3)”를 들 수 있으며, 이전값을 얼마만큼 감소시킬 것인가, 얼마동안 둘의 격차가 일정한 값 이상 벌어질 경우에 감소시킬지는 임의 지정이 가능하며, 이 값을 어떻게 정하느냐에 따라서 평균값은 다르게 나올 수 있으므로 데이터에 적절한 값으로 설정하는 것이 바람직할 것이다.In addition, in FIG. 11, for example, “drop value = peak value / 3” of drop value to a specific value may be included, and the previous value may be decreased by some amount. It can be arbitrarily specified as to whether or not to reduce the gap when the gap is over a certain value. The average value can be different depending on how to set this value.
도 12는 피크 평균값을 산출하는 사례를 도표화 한 사례로서, RST 플래그가 매초마다 10, 5, 3, 20, 5, 5, 5, 5, 5, 15가 들어온다고 가정하고, Drop time이 3(3회 이상 기존 값과의 차이가 크게 발생할 경우), Drop condition이 기존값/2(기존값과의 차이가 이 값보다 큰 경우), Drop value가 기존값/3(기존값의 1/3을 새로운 값으로 지정)이라고 가정할 경우, 피크 평균 값의 변화를 보여준다.12 is a diagram illustrating an example of calculating a peak average value, assuming that the RST flag enters 10, 5, 3, 20, 5, 5, 5, 5, 5, 15 every second, and the drop time is 3 ( More than 3 times when the difference with the existing value is large), the drop condition is the existing value / 2 (if the difference with the existing value is larger than this value), and the drop value is the existing value / 3 (1/3 of the existing value) Assuming a new value) shows the change in peak mean value.
즉, 도 12에서와 같은 방식으로 피크 평균을 산출하면, 도 13에서와 같이 실제 측정한 값(계열 1)과 가상으로 만들어진 값(계열 2)을 도출할 수 있으며, 이를 이용하여 평균값을 산출할 수 있게 된다. That is, when the peak average is calculated in the same manner as in FIG. 12, the actual measured value (series 1) and the virtually generated value (series 2) can be derived as shown in FIG. 13, and the average value can be calculated using the same. It becomes possible.
도 8 내지 도 13에서 보여준 바와 같은 본 발명에 따른 기록부의 실시방법은 일실시방법일 뿐 평균값(평균발생량)을 산출하기 위한 방법은 당업자의 의도에 따라 여러 가지 방식이 가능할 것이다.As shown in FIGS. 8 to 13, the recording unit according to the present invention is only one embodiment, and a method for calculating an average value (average generation amount) may be variously performed according to the intention of those skilled in the art.
본 발명에 따르면, 상기 판단부(40)는, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어설 경우 제어패킷의 이상 증가로 판단하거나, 또는 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상이고, 기 설정한 임의의 하한치를 넘을 경우 제어패킷의 이상 증가로 판단할 수 있다.According to the present invention, the determination unit 40 determines that an abnormal increase in the control packet occurs when the generation amount of the specific flag exceeds a predetermined upper limit, or the average value of the inflow amount per flag per second is generated. If it is more than the preset multiple and more than the predetermined lower limit, it can be determined that the abnormal increase of the control packet.
또한, 상기 판단부(40)는, 이상증가가 발생한 서버(300)의 식별정보와, 이상 증가 발생 시각 정보와, 이상 증가 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보를 하나 이상 검출할 수 있으며, 상기 기록부(30)에서 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록시, 얼마 간의 시간 동안 기록을 할 지 조절하는 역할을 더 수행할 수 있다.In addition, the determination unit 40 may include identification information of the server 300 in which an abnormal increase occurs, abnormal increase occurrence time information, and information on control packets from a predetermined schedule time until a later constant time of the abnormal increase occurrence time. At least one can be detected, and the recording unit 30 controls the number of control packet flags that occurred during the last predetermined time on the basis of the current time for a predetermined time in seconds, and for how long to record. You can play more roles.
본 발명의 일 실시방법에 따른 알람 기록부(50)는, 상기 판단부(40)의 검출결과, 제어패킷의 이상 증가가 검출되면, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 역할을 수행한다.Alarm recording unit 50 according to an embodiment of the present invention, when the detection result of the determination unit 40, the abnormal increase in the control packet is detected, the role of recording the alarm information required to inform the alarm to the user Do this.
본 발명에 따르면, 상기 알람 기록부(50)는 판단부에서 이상 증가를 검출하였을 경우, 현재시각을 기준으로 과거의 n초까지의 기록과 이후의 m초까지의 시간을 기록하며, 알람정보를 출력하거나, 또는 알람정보를 하나 이상의 단말 또는 서버로 전송할 수 있다.According to the present invention, when the alarm recording unit 50 detects an abnormal increase, the alarm recording unit 50 records up to n seconds in the past and time up to m seconds thereafter, based on the current time, and outputs alarm information. Alternatively, the alarm information may be transmitted to one or more terminals or servers.
여기서, 상기 알람정보는 이상 증가 검출 시각, 패킷 교환 서버, DNS정보, TCP 플래그, 초당 유입량, 접속되어 있던 클라이언트의 수, 해당 시간 구간의 검출 로그를 하나 이상 포함할 수 있다.The alarm information may include an abnormal increase detection time, a packet switching server, DNS information, a TCP flag, an amount of inflows per second, the number of connected clients, and one or more detection logs of a corresponding time interval.
상기 알람정보를 예를 들면, “발생시각 : 2013년 10월 21일 오후 1시 18분 53초”, “서버 : 127.0.0.1 (www.naver.com)”, “RST flag의 이상증가 탐지”, “초당 유입량 300”, “접속 클라이언트 수 : 234명” 등과 이상 증가 시간대의 그래프 등을 포함할 수 있다. Examples of the alarm information, "Occurrence time: October 21, 2013 1:18:53 PM", "Server: 127.0.0.1 (www.naver.com)", "Detection of abnormal increase of the RST flag" , “Inflow 300 per second”, “number of clients connected: 234”, and the like.
본 발명에 따르면, 상기 제어패킷 이상 증가 검출장치(100)의 각 구성부는 프로그램 내지 프로그램 셋의 형태로 구현 가능하며, 두 개 이상의 장치에 분할되어 구비될 수 있다.According to the present invention, each component of the control packet abnormal increase detection apparatus 100 may be implemented in the form of a program or a program set, and may be divided into two or more devices.
도 14는 본 발명의 실시 방법에 따른 제어패킷의 이상 증가 현상을 검출하는 프로세스를 도시한 도면이다.14 is a diagram illustrating a process of detecting an abnormal increase phenomenon of a control packet according to an exemplary embodiment of the present invention.
우선, 제어패킷 이상 증가 검출장치(100)는 수집부(10)를 통해 복수개 무선단말장치(200) 및 복수개 서버(300) 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐한다(S1410).First, the control packet abnormal increase detection apparatus 100 collects or captures a plurality of packets transmitted and received between the plurality of wireless terminal devices 200 and the plurality of servers 300 through the collection unit 10 (S1410).
이후, 제어패킷 이상 증가 검출장치(100)는 측정부(20)를 통해 상기 수집부(10)가 수집 또는 캡쳐하는 패킷들을 서버(300) 식별정보별로 분류(S1420).Thereafter, the control packet abnormal increase detection apparatus 100 classifies the packets collected or captured by the collection unit 10 through the measurement unit 20 by the server 300 identification information (S1420).
이후, 제어패킷 이상 증가 검출장치(100)의 측정부(20)는 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정한다(S1430).Thereafter, the measuring unit 20 of the control packet abnormality increase detection apparatus 100 measures the generation amount of the control packet generated for each identification information for each flag for the last n seconds (S1430).
한편, 패킷 이상 증가 검출장치(100)는 기록부(30)를 통해 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록한다(S1440).On the other hand, the packet abnormal increase detection apparatus 100 records the number of control packet flags that occurred during the last predetermined time on the basis of the current time through the recording unit 30 for a predetermined time (S1440).
이후, 패킷 이상 증가 검출장치(100)는 기록부(30)를 통해 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산한다(S1450).Subsequently, the apparatus 100 for detecting an abnormality of the packet calculates an average or maximum generation amount using the information on the number of flags recorded in units of seconds for a predetermined time through the recording unit 30 (S1450).
여기서, 상기 (S1420)과 (S1430)과정은 상기 (S1440)과정과 (S1450)과정과 그 순서를 바꾸어도 무방하며, 상기 (S1420) 및 (S1430)과정과 상기 (S1440)과정 및 (S1450)과정은 동시에 수행되어도 무방하다.Here, the steps S1420 and S1430 may be replaced with the steps S1440 and S1450, and the steps S1420 and S1430, S1440, and S1450 may be changed. May be performed simultaneously.
이후, 패킷 이상 증가 검출장치(100)는 판단부(40)를 통해 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘는지 확인한다(S1460).Thereafter, the packet abnormality increase detection apparatus 100 checks through the determination unit 40 whether the amount of generation of the specific flag per second exceeds a predetermined upper limit (S1460).
만약, (S1460)과정에서, 확인결과, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어설 경우(S1470), 패킷 이상 증가 검출장치(100)의 판단부(40)는 제어패킷의 이상 증가로 판단한다(S1475).If, in the step (S1460), as a result of the check, if the amount of occurrence of the specific flag per second exceeds a predetermined upper limit (S1470), the determination unit 40 of the packet abnormality increase detection apparatus 100 determines that the control packet is abnormal. It is determined that the increase (S1475).
만약, (S1460)과정에서, 확인결과, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어서지 않는 경우(S1480), 패킷 이상 증가 검출장치(100)는 판단부(40)를 통해 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지고, 기 설정한 임의의 하한치를 넘는지 확인한다(S1485).If, in the process (S1460), as a result of the check, the generation amount of the specific flag per second does not exceed a predetermined upper limit (S1480), the packet abnormality increase detection apparatus 100 is determined per flag per second through the determination unit 40. It is checked whether the amount of generation is larger than a predetermined multiple by a predetermined value more than the average value of inflows per second per flag and exceeds a predetermined lower limit (S1485).
만약, (S1485)과정에서, 확인결과, 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지고, 설정한 임의의 하한치를 넘는 경우(S1490), 패킷 이상 증가 검출장치(100)의 판단부(40)는 제어패킷의 이상 증가로 판단한다(S1475).If, in the step (S1485), as a result of the check, if the generation amount per second for the flag is larger than a preset multiple of the average value of inflows per second for the flag, and exceeds the predetermined lower limit (S1490), the packet abnormality increase detection apparatus 100 The determination unit 40 determines that the abnormal increase in the control packet (S1475).
만약, (S1485)과정에서, 확인결과, 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지지 않거나, 또는 기 설정한 임의의 하한치를 넘지 않거나, 기설정한 배수 이상 커지더라도 기설정한 임의의 하한치를 넘지 않는 경우(S1495), 상기 제어패킷 이상 증가 검출장치(100)는 (S1410)과정을 반복한다(S1495).If, in the process of (S1485), the result of the check indicates that the generation amount per second does not exceed the predetermined multiple by more than the average value of the inflows per second by the flag, or does not exceed the predetermined lower limit or exceeds the predetermined multiple. If the predetermined lower limit value is not exceeded (S1495), the control packet abnormality increase detecting apparatus 100 repeats the process (S1410) (S1495).
도 14에서는 본 발명의 일 실시사례 설명을 위하여 (S1460)과정과 (S1485)과정이 순차적으로 처리되는 것으로 도시되었으나, (S1460)과정과 (S1485)과정은 그 순서를 바꾸어도 무방하며, 동시에 처리되어도 무방하다.In FIG. 14, processes (S1460) and (S1485) are sequentially processed to explain one embodiment of the present invention. However, processes (S1460) and (S1485) may be reversed, and may be processed simultaneously. It's okay.
도면 상에는 별도로 도시하지는 않았으나, (S1475)과정을 통해 제어패킷의 이상 증가를 검출되면, 이후 상기 제어패킷 이상 증가 검출장치(100)는 출력부(55)를 통해 모니터링 화면 또는 스피커 상에 알람을 출력하거나, 및/또는 통신부(60)를 통해 하나 이상의 단말 또는 서버(300)로 제어패킷 이상 증가를 통지한다.Although not shown separately on the drawing, if an abnormal increase in the control packet is detected through the process (S1475), the control packet abnormal increase detecting apparatus 100 then outputs an alarm on the monitoring screen or the speaker through the output unit 55. Or, and / or notify the control packet abnormal increase to one or more terminals or servers 300 through the communication unit 60.
부호의 설명Explanation of the sign
100 : 제어패킷 이상 증가 검출장치100: control packet abnormal increase detection device
200 : 무선단말장치 300 : 서버200: wireless terminal device 300: server
10 : 수집부 20 : 측정부10: collecting unit 20: measuring unit
30 : 기록부 40 : 판단부30: recording unit 40: judgment unit
50 : 알람 기록부50: alarm log
55 : 출력부55: output unit
60 : 통신부60: communication unit

Claims (25)

  1. 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 수집부;A collecting unit for collecting or capturing a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network;
    상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류하고, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근의 n 단위 시간 동안의 발생량을 측정하는 측정부;A measuring unit for classifying packets collected or captured by the collection unit by server identification information, and measuring a generation amount of a control packet generated for each identification information during a recent n unit time for each flag;
    현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 상기 단위 시간에 따라 기록하며, 상기 일정 시간 동안 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 기록부; 및A recording unit for recording the number of control packet flags that occurred during the last predetermined time based on the current time according to the unit time, and calculating an average or maximum generation amount using information on the number of flags recorded during the predetermined time; And
    상기 측정부에서 측정되는 제어 플래그들의 상기 단위 시간당 발생량과 상기 기록부에서 계산된 플래그별 상기 단위 시간당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 판단부를 포함하는And a determination unit that detects an abnormal increase in the control packet by using the average value or the maximum value of the generation amount per unit time of the control flags measured by the measurement unit and the unit flow rate per flag calculated by the recording unit.
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  2. 제1항에 있어서,The method of claim 1,
    상기 판단부에서 이상 증가가 검출되었을 경우, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 알람기록부;를 더 포함하는If the abnormality is detected in the determination unit, the alarm recording unit for recording the alarm information required to inform the user of the alarm; further comprising a;
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  3. 제1항에 있어서,The method of claim 1,
    상기 판단부의 검출결과, 제어패킷의 이상 증가가 검출되면, 알람을 출력하는 출력부를 더 포함하는The detection unit may further include an output unit configured to output an alarm when an abnormal increase in the control packet is detected.
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  4. 제1항에 있어서,The method of claim 1,
    상기 판단부의 검출결과, 제어패킷의 이상 증가가 검출되면, 하나 이상의 단말 또는 서버로 제어패킷 이상 증가를 통지하는 통신부를 더 구비하는,If the detection unit detects an abnormal increase in the control packet, further comprising a communication unit for notifying the control packet abnormal increase to one or more terminals, servers,
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  5. 제 1항에 있어서, 상기 판단부는,The method of claim 1, wherein the determination unit,
    특정 플래그의 상기 단위 시간당 발생량이 기 설정한 임의의 상한치를 넘어설 경우, 또는 플래그별 상기 단위 시간당 발생량이 플래그별 상기 단위 시간당 유입량의 평균값보다 기 설정한 배수 이상 크고 기 설정한 임의의 하한치를 넘을 경우, 제어패킷의 이상 증가로 판단하는When the generation amount per unit time of a specific flag exceeds a predetermined upper limit value, or the generation amount per unit time for each flag is greater than or equal to a predetermined multiple more than an average value of the inflow rate per unit time for each flag and exceeds a predetermined predetermined lower limit value. If judged to be abnormal increase of control packet
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  6. 제1항에 있어서, 상기 판단부는,The method of claim 1, wherein the determination unit,
    이상증가가 발생한 서버의 IP정보와, 이상 증가 발생 시각 정보와, 이상 증가 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보를 하나 이상 검출하는Detects one or more IP information of the server in which an abnormal increase has occurred, information on the time of occurrence of an abnormal increase, and information on control packets from a predetermined time period to a later time of the abnormal increase occurrence time.
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  7. 제1항에 있어서, 상기 제어패킷은, The method of claim 1, wherein the control packet,
    하나 이상의 무선단말장치와 연결된 서버를 정상 종료시키거나 또는 하나 이상의 원인으로 인해 상기 서버가 다운되어 상기 무선단말장치와의 연결이 끊어지게 될 경우, 서버에 접속 중인 무선단말장치들에게 전송하는 TCP의 제어플래그인 세션의 재시작(RST) 또는 세션의 종료(FIN) 또는 세션의 연결(SYN)이 설정된 패킷인 것을 특징으로 하는, When the server connected to one or more wireless terminal devices is normally shut down or the server is down due to one or more causes and the connection with the wireless terminal device is lost, the TCP transmitted to the wireless terminal devices connected to the server is transmitted. It is characterized in that the control plug-in session (RST) or session termination (FIN) or session connection (SYN) of the packet is set,
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  8. 제2항에 있어서, 상기 알람 기록부는,The method of claim 2, wherein the alarm recording unit,
    판단부에서 이상 증가를 검출하였을 경우, 현재시각을 기준으로 과거의 n초까지의 기록과 이후의 m초까지의 시간을 기록하는When the determination unit detects an abnormal increase, the record up to the past n seconds and the time up to the next m seconds are recorded based on the current time.
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  9. 제2항에 있어서, 상기 알람정보는The method of claim 2, wherein the alarm information
    이상 증가 검출 시각, 패킷 교환 서버, DNS정보, TCP 플래그, 초당 유입량, 접속되어 있던 클라이언트의 수, 해당 시간 구간의 검출 로그 중 적어도 하나를 포함하는At least one of an abnormal increase detection time, a packet switching server, DNS information, a TCP flag, an inflow rate per second, the number of clients connected, and a detection log of a corresponding time interval.
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  10. 제1항에 있어서, 상기 기록부는,The method of claim 1, wherein the recording unit,
    평균 값을 산출시, 매초마다 유입되는 플래그들의 개수를 측정하고, 이 값을 기존 피크값과 비교한 후, 이번 피크값을 새로운 플래그 개수로 설정할 지, 이전 피크값을 플래그 개수로 설정할 지, 이전 피크값을 감소시킨 값으로 플래그 개수를 설정할 지를 결정하고, 계산된 각각의 피크 플래그 개수들의 평균을 산출하는,When calculating the average value, measure the number of flags flowing in every second, compare this value with the existing peak value, set this peak value as the new flag number, set the previous peak value as the flag number, Determining whether to set the flag number to a value having a reduced peak value, and calculating an average of each calculated peak flag number;
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  11. 제1항에 있어서, 상기 기록부는,The method of claim 1, wherein the recording unit,
    새로운 플래그 개수가 이전 피크 값보다 큰 경우, 새로운 플래그 개수를 피크 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하면, 새로운 피크 값을 이전 피크 값을 특정 값으로 감소시킨 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하지 않으면, 새로운 피크 값을 이전 피크 값으로 유지하는If the number of new flags is greater than the previous peak value, set the number of new flags as the peak value, and if the number of new flags is less than the previous peak value, the number of new flags subtracted from the previous peak value will be changed to the specified value for a certain time. When exceeded, the new peak value is set to the value obtained by reducing the previous peak value to a specific value. If the number of new flags is less than the previous peak value, the number of new flags subtracted from the previous peak value decrements the specific value for a specific time. If not exceeded, keep the new peak value at the previous peak value.
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  12. 제 1항에 있어서, 상기 판단부는,The method of claim 1, wherein the determination unit,
    상기 기록부에서 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록시, 얼마 간의 시간 동안 기록을 할 지 조절하는,The recording unit controls the number of control packet flags that occurred during the last predetermined time on the basis of the current time for a predetermined time in seconds, and for how long to record.
    제어패킷 이상 증가 검출장치.Control packet abnormal increase detection device.
  13. 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 단계;Collecting or capturing a plurality of packets transmitted and received between a plurality of wireless terminal devices and a plurality of servers through a communication network;
    상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류하는 단계;Classifying packets collected or captured by the collector by server identification information;
    각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근의 n 단위 시간 동안의 발생량을 측정하는 단계;Measuring a generation amount of a control packet generated for each identification information for a recent n unit time for each flag;
    현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 상기 단위 시간에 따라 기록하며, 상기 일정 시간 동안 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 단계; 및Recording the number of control packet flags that occurred during the last predetermined time based on the current time according to the unit time, and calculating an average or maximum generation amount using information on the number of flags recorded during the predetermined time; And
    상기 측정부에서 측정되는 제어 플래그들의 상기 단위 시간당 발생량과 상기 기록부에서 계산된 플래그별 상기 단위 시간당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 단계를 포함하는Detecting an abnormal increase in a control packet by using the average value or the maximum value of the generation amount of the control flags measured by the measuring unit and the unit hourly inflow amount for each flag calculated by the recording unit;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  14. 제13항에 있어서,The method of claim 13,
    상기 이상 증가가 검출되었을 경우, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 단계를 더 포함하는If the abnormal increase is detected, further comprising the step of recording the alarm information required to inform the user of the alarm;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  15. 제13항에 있어서,The method of claim 13,
    상기 제어패킷의 이상 증가가 검출되면, 알람을 출력하는 단계를 더 포함하는Outputting an alarm when an abnormal increase in the control packet is detected;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  16. 제13항에 있어서,The method of claim 13,
    상기 제어패킷의 이상 증가가 검출되면, 하나 이상의 단말 또는 서버로 제어패킷 이상 증가를 통지하는 단계를 더 포함하는If an abnormal increase in the control packet is detected, notifying the control packet abnormal increase to one or more terminals or servers;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  17. 제13항에 있어서, 상기 검출하는 단계는,The method of claim 13, wherein the detecting comprises:
    특정 플래그의 상기 단위 시간당 발생량이 기 설정한 임의의 상한치를 넘어설 경우, 또는 플래그별 상기 단위 시간당 발생량이 플래그별 상기 단위 시간당 유입량의 평균값보다 기 설정한 배수 이상 크고 기 설정한 임의의 하한치를 넘을 경우, 제어패킷의 이상 증가로 판단하는 단계를 포함하는When the generation amount per unit time of a specific flag exceeds a predetermined upper limit value, or the generation amount per unit time for each flag is greater than or equal to a predetermined multiple more than an average value of the inflow rate per unit time for each flag and exceeds a predetermined predetermined lower limit value. In the case, comprising the step of determining that the abnormal increase of the control packet
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  18. 제13항에 있어서, 상기 검출하는 단계는,The method of claim 13, wherein the detecting comprises:
    상기 이상 증가가 발생한 서버의 IP정보와, 이상 증가 발생 시각 정보와, 이상 증가 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보를 하나 이상 검출하는 단계를 포함하는Detecting one or more IP information of the server in which the abnormal increase has occurred, information on the abnormal increase occurrence time, and information on control packets from a predetermined time to a predetermined time after the abnormal increase occurrence time;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  19. 제13항에 있어서, 상기 제어패킷은, The method of claim 13, wherein the control packet,
    하나 이상의 무선단말장치와 연결된 서버를 정상 종료시키거나 또는 하나 이상의 원인으로 인해 상기 서버가 다운되어 상기 무선단말장치와의 연결이 끊어지게 될 경우, 서버에 접속 중인 무선단말장치들에게 전송하는 TCP의 제어플래그인 세션의 재시작(RST) 또는 세션의 종료(FIN) 또는 세션의 연결(SYN)이 설정된 패킷인 것을 특징으로 하는, When the server connected to one or more wireless terminal devices is normally shut down or the server is down due to one or more causes and the connection with the wireless terminal device is lost, the TCP transmitted to the wireless terminal devices connected to the server is transmitted. It is characterized in that the control plug-in session (RST) or session termination (FIN) or session connection (SYN) of the packet is set,
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  20. 제14항에 있어서, 상기 알람정보를 기록하는 단계는15. The method of claim 14, wherein recording the alarm information
    상기 이상 증가를 검출하였을 경우, 현재시각을 기준으로 과거의 n초까지의 기록과 이후의 m초까지의 시간을 기록하는 단계를 포함하는If the abnormal increase is detected, recording up to n seconds in the past and time up to m seconds thereafter based on the present time;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  21. 제14항에 있어서, 상기 알람정보는The method of claim 14, wherein the alarm information
    이상 증가 검출 시각, 패킷 교환 서버, DNS정보, TCP 플래그, 초당 유입량, 접속되어 있던 클라이언트의 수, 해당 시간 구간의 검출 로그 중 적어도 하나를 포함하는At least one of an abnormal increase detection time, a packet switching server, DNS information, a TCP flag, an inflow rate per second, the number of clients connected, and a detection log of a corresponding time interval.
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  22. 제1항에 있어서, 상기 평균 또는 최대 발생량을 계산하는 단계는The method of claim 1, wherein the calculating of the average or maximum occurrence amount
    평균 값을 산출시, 매초마다 유입되는 플래그들의 개수를 측정하고, 이 값을 기존 피크값과 비교한 후, 이번 피크값을 새로운 플래그 개수로 설정할 지, 이전 피크값을 플래그 개수로 설정할 지, 이전 피크값을 감소시킨 값으로 플래그 개수를 설정할 지를 결정하고, 계산된 각각의 피크 플래그 개수들의 평균을 산출하는 단계를 포함하는When calculating the average value, measure the number of flags flowing in every second, compare this value with the existing peak value, set this peak value as the new flag number, set the previous peak value as the flag number, Determining whether to set the flag number to a value having a reduced peak value, and calculating an average of each calculated peak flag number.
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  23. 제1항에 있어서, 상기 평균 또는 최대 발생량을 계산하는 단계는The method of claim 1, wherein the calculating of the average or maximum occurrence amount
    새로운 플래그 개수가 이전 피크 값보다 큰 경우, 새로운 플래그 개수를 피크 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하면, 새로운 피크 값을 이전 피크 값을 특정 값으로 감소시킨 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하지 않으면, 새로운 피크 값을 이전 피크 값으로 유지하는 단계를 포함하는If the number of new flags is greater than the previous peak value, set the number of new flags as the peak value, and if the number of new flags is less than the previous peak value, the number of new flags subtracted from the previous peak value will be changed to the specified value for a certain time. When exceeded, the new peak value is set to the value obtained by reducing the previous peak value to a specific value. If the number of new flags is less than the previous peak value, the number of new flags subtracted from the previous peak value decrements the specific value for a specific time. If not exceeding, maintaining the new peak value at the previous peak value;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  24. 제 1항에 있어서, 상기 검출하는 단계는The method of claim 1, wherein the detecting step
    현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록할 때, 얼마 간의 시간 동안 기록을 할 것인지 조절하는 단계를 포함하는Controlling how long to record when the number of control packet flags that occurred during the last predetermined time on the basis of the current time for a predetermined time, for a certain time;
    제어패킷 이상 증가 검출방법.Control packet abnormal increase detection method.
  25. 제13항 내지 제24항 중 어느 한 항에 기재된 방법을 컴퓨터에서 실행시키기 위한 프로그램이 기록된 기록 매체.A recording medium having recorded thereon a program for executing a method according to any one of claims 13 to 24 on a computer.
PCT/KR2014/003397 2013-09-24 2014-04-18 Apparatus for detecting abnormal increase of control packets, method therefor, and recording medium WO2015046697A1 (en)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
KR20130113408A KR20150033816A (en) 2013-09-24 2013-09-24 Device for Detecting Abnormal Surge in Control Packet
KR10-2013-0113418 2013-09-24
KR20130113418A KR20150033820A (en) 2013-09-24 2013-09-24 Recording Medium, Method for Detecting Surge in Control Packet Traffic
KR10-2013-0113408 2013-09-24
KR10-2013-0158936 2013-12-19
KR1020130158936A KR20150072472A (en) 2013-12-19 2013-12-19 Device for Detecting Abnormal Surge in Control Packet

Publications (1)

Publication Number Publication Date
WO2015046697A1 true WO2015046697A1 (en) 2015-04-02

Family

ID=52743792

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2014/003397 WO2015046697A1 (en) 2013-09-24 2014-04-18 Apparatus for detecting abnormal increase of control packets, method therefor, and recording medium

Country Status (1)

Country Link
WO (1) WO2015046697A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110108705A (en) * 2019-05-17 2019-08-09 深圳市东盈讯达电子有限公司 A kind of data measuring method and relevant apparatus
CN112788075A (en) * 2019-11-07 2021-05-11 北京京东尚科信息技术有限公司 Business service monitoring method and device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020105911A1 (en) * 1998-11-24 2002-08-08 Parag Pruthi Apparatus and method for collecting and analyzing communications data
KR20040099050A (en) * 2003-05-17 2004-11-26 에스케이 텔레콤주식회사 Method and System for Realtime Monitoring of Wireless Packet Data Call
JP2005026838A (en) * 2003-06-30 2005-01-27 Ntt Docomo Inc Packet switching server apparatus, additional service server apparatus, packet communication system, and packet communication method
US20080209273A1 (en) * 2007-02-28 2008-08-28 Microsoft Corporation Detect User-Perceived Faults Using Packet Traces in Enterprise Networks
US20120281590A1 (en) * 2011-05-02 2012-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020105911A1 (en) * 1998-11-24 2002-08-08 Parag Pruthi Apparatus and method for collecting and analyzing communications data
KR20040099050A (en) * 2003-05-17 2004-11-26 에스케이 텔레콤주식회사 Method and System for Realtime Monitoring of Wireless Packet Data Call
JP2005026838A (en) * 2003-06-30 2005-01-27 Ntt Docomo Inc Packet switching server apparatus, additional service server apparatus, packet communication system, and packet communication method
US20080209273A1 (en) * 2007-02-28 2008-08-28 Microsoft Corporation Detect User-Perceived Faults Using Packet Traces in Enterprise Networks
US20120281590A1 (en) * 2011-05-02 2012-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110108705A (en) * 2019-05-17 2019-08-09 深圳市东盈讯达电子有限公司 A kind of data measuring method and relevant apparatus
CN112788075A (en) * 2019-11-07 2021-05-11 北京京东尚科信息技术有限公司 Business service monitoring method and device
CN112788075B (en) * 2019-11-07 2024-04-09 北京京东尚科信息技术有限公司 Business service monitoring method and device

Similar Documents

Publication Publication Date Title
WO2020048047A1 (en) System fault warning method, apparatus, and device, and storage medium
WO2010074506A2 (en) Real-time service monitoring apparatus and method using time stamp
WO2012165893A2 (en) Method for simultaneous data transmission service and device used therefor
WO2014119912A1 (en) Method and device for grouping servers, and recording medium
WO2015174628A1 (en) Volte quality measuring system and volte quality measuring method utilizing terminal agent
WO2016023148A1 (en) Packet control method, switch and controller
WO2012046973A2 (en) Communication method of macro base station, macro terminal, micro base station, and micro terminal for interference control in hierarchical cellular network.
WO2014171728A1 (en) Method and apparatus for setting up/releasing radio resource control connection between evolved node b and user equipment in communication system
WO2017206883A1 (en) Application processing method and apparatus, storage medium, and electronic device
WO2013073784A1 (en) Apparatus and method for supporting a service for the simultaneous transmission of multiple network-based data
WO2020015060A1 (en) Power consumption anomaly estimation method and apparatus, device, and computer storage medium
WO2021085984A1 (en) Method by which upf node including plurality of upf instances performs qos monitoring, and upf node performing same method
WO2012023657A1 (en) Network-based harmful-program detection method using a virtual machine, and a system comprising the same
WO2021201369A1 (en) Fire outbreak prediction system and method therefor
EP2761921A1 (en) Apparatus and method for performing radio network deployment state test process in mobile communication system
WO2021141291A1 (en) Method and apparatus for collecting network traffic in wireless communication system
WO2015046697A1 (en) Apparatus for detecting abnormal increase of control packets, method therefor, and recording medium
WO2013129804A1 (en) Method, system, and recording medium for analyzing wireless network load reduction policy
WO2015041468A1 (en) Method and apparatus for controlling traffic quality
WO2015194885A1 (en) Method and system for detecting failure-inducing client by using client route control system
WO2013122362A1 (en) Method, system and recording medium for applying load reduction policy in wireless network
WO2012165805A2 (en) Device and method for simultaneous data transmission service using two or more networks
WO2021012490A1 (en) Service relay switching method and apparatus, terminal device, and storage medium
WO2015080525A1 (en) Method and apparatus for dynamic traffic control in sdn environment
WO2019139189A1 (en) Device and method for analyzing anomaly action of streaming data processing system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14848455

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC ( EPO FORM 1205A DATED 08/07/2016 )

122 Ep: pct application non-entry in european phase

Ref document number: 14848455

Country of ref document: EP

Kind code of ref document: A1