KR100522464B1 - 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체 - Google Patents

네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체 Download PDF

Info

Publication number
KR100522464B1
KR100522464B1 KR10-2002-0084233A KR20020084233A KR100522464B1 KR 100522464 B1 KR100522464 B1 KR 100522464B1 KR 20020084233 A KR20020084233 A KR 20020084233A KR 100522464 B1 KR100522464 B1 KR 100522464B1
Authority
KR
South Korea
Prior art keywords
traffic information
user
unit
classification
traffic
Prior art date
Application number
KR10-2002-0084233A
Other languages
English (en)
Other versions
KR20040058415A (ko
Inventor
이만희
김국한
변옥환
서정원
박재민
Original Assignee
한국과학기술정보연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술정보연구원 filed Critical 한국과학기술정보연구원
Priority to KR10-2002-0084233A priority Critical patent/KR100522464B1/ko
Publication of KR20040058415A publication Critical patent/KR20040058415A/ko
Application granted granted Critical
Publication of KR100522464B1 publication Critical patent/KR100522464B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사용자의 질의에 해당하는 네트워크 트래픽 정보 뿐만 아니라, 네트워크 트래픽 정보를 그래픽으로도 제공할 수 있는 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을 저장한 기록매체에 관한 것이다.
이를 위하여 본 발명은, 네트워크 연결장치로부터 트래픽 정보를 입력받아서 미리 지정된 분류기준에 따라 각각 분류하여 저장하고, 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 제공하며, 사용자의 요청에 따라 상기 검색된 분류정보를 그래픽 처리하여 제공하는 분석서버; 및 분석서버에서 분류한 트래픽 정보를 저장한 자료DB를 포함하는 네트워크 트래픽 측정 시스템을 제공한다.
따라서, 본 발명은 사용자의 질의에 해당하는 네트워크 트래픽 정보 뿐만 아니라 네트워크 트래픽 정보를 그래픽으로도 제공하여 네트워크 트래픽을 효과적으로 분석할 수 있게 해 준다.

Description

네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을 기록한 기록매체{SYSTEM AND METHOD FOR MEASURING NETWORK TRAFFIC, AND STORAGE MEDIA HAVING PROGRAM THEREOF}
본 발명은 사용자의 질의에 해당하는 네트워크 트래픽 정보 뿐만 아니라, 네트워크 트래픽 정보를 그래픽으로도 제공할 수 있는 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을 저장한 기록매체에 관한 것이다.
트래픽 측정은 새로 생겨나는 거의 모든 네트워크에서 필수요소로 등장하고 있다. 이와 같은 이유는, 트래픽 측정이 네크워크의 유지, 보수 및 관리를 도와주고, 네트워크의 사용성격, 네트워크 기기의 정상작동 확인 등에 유용하게 쓰일 수 있기 때문이다.
트래픽 측정분야는 크게 두 갈래로 나뉘어지는데, 측정을 위한 시험패킷을 네트워크에 투입하는지에 따라 능동측정과 수동측정으로 분류된다. 수동측정은 트래픽을 분석하여 네트워크의 특성을 알아보는데 적당하고, 능동측정은 네트워크의 상태를 알아보는데 적당하다.
종래의 수동측정 방법은 네트워크의 트래픽을 실시간으로 측정하여 사용자에게 제공하는 것이 가능했다. 그러나, 서비스거부(DoS) 공격이 이루어지고 있거나 트래픽 사용량이 많아지게 되면, 네트워크 트래픽을 실시간으로 측정하여 제공하기가 어려웠었다. 따라서, 네트워크의 정확한 특성을 알아내는데 한계가 있었다.
그리고, 라우터의 트래픽 측정 후 문제점을 파악한다고 해도, 실제 문제가 발생한 곳을 확인하기 위해서 따라가다 보면 전혀 다른 문제점이 나타날 수도 있다.
그래서, 전체 트래픽이나 의심이 가는 트래픽을 감시하고 있다가 정확한 통계치로 해당 트래픽의 문제점을 파악해야 하는데, 종래의 기술로는 이와 같은 것을 만족시키지 못하는 문제점 등이 있었다.
본 발명은 이러한 문제점을 해결하기 위해 안출한 것으로, 사용자의 질의에 해당하는 네트워크 트래픽 정보 뿐만 아니라, 네트워크 트래픽 정보를 그래픽으로도 제공할 수 있는 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을 저장한 기록매체를 제공하기 위한 것이다.
본 발명의 다른 목적은 외부로부터의 공격이나 트래픽의 사용량에 상관없이 네트워크의 특성을 실시간으로 측정하여 제공할 수 있는 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을 저장한 기록매체를 제공하기 위한 것이다.
상기 목적을 달성하기 위하여 본 발명의 일 실시예에서는 네트워크 연결장치로부터 트래픽 정보를 입력받아서 미리 지정된 분류기준에 따라 각각 분류하여 저장하고, 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 제공하며, 상기 사용자의 요청에 따라 상기 검색된 분류정보를 그래픽 처리하여 제공하는 분석서버; 및 상기 분석서버에서 분류한 트래픽 정보를 저장한 자료DB를 포함하는 네트워크 트래픽 측정 시스템을 제공한다.
또, 본 발명에서, 상기 분류기준은 사용자, 자율시스템, 포트, 프로토콜 중에서 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 트래픽 측정 시스템으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 분석서버는 상기 네트워크 연결장치로부터 트래픽 정보를 입력받아서 상기 자료DB에 저장하는 수집부; 상기 자료DB에 저장한 트래픽 정보를 미리 지정된 시간단위로 덤프하는 덤프부; 상기 덤프부에서 덤프된 트래픽 정보를 상기 분류기준에 따라 각각 분류하여 상기 자료DB에 저장하는 분석부; 상기 사용자로부터 입력받은 질의에 해당하는 분류정보를 상기 자료DB에서 검색하여 출력하는 검색부; 및 상기 사용자의 요청에 따라 상기 검색부에서 검색된 분류정보를 그래픽 처리하여 출력하는 그래픽부를 포함하는 것을 특징으로 하는 네트워크 트래픽 측정 시스템으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 분석부는 상기 덤프부에서 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 상기 분류기준에 따라 분류하여 상기 자료DB에 저장하는 것을 특징으로 하는 네트워크 트래픽 측정 시스템으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 그래픽부는 상기 분석부에서 분류된 정보를 실시간으로 그래픽 처리하여 출력하는 것을 특징으로 하는 네트워크 트래픽 측정 시스템으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 분석서버는 상기 자료DB에 저장된 트래픽 정보를 사용자에게 출력하기 위한 뷰어부를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 측정 시스템으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 분석서버는 상기 수집부에 의해서 상기 자료DB에 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 압축관리부를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 측정 시스템으로서 상술한 과제를 해결한다.
상기의 목적을 달성하기 위하여 본 발명의 다른 실시예에서는 (a) 상기 네트워크 연결장치로부터 트래픽 정보를 입력받아서 저장하는 단계; (b) 상기 저장된 트래픽 정보를 미리 지정된 시간단위로 덤프하는 단계; (c) 상기 덤프된 트래픽 정보를 미리 지정된 분류기준에 따라 각각 분류하여 저장하는 단계; (d) 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 출력하는 단계; 및 (e) 상기 사용자의 요청에 따라 검색된 분류정보를 그래픽 처리하여 출력하는 단계를 포함하는 네트워크 트래픽 측정방법을 제공한다.
또, 본 발명에서, 상기 분류기준은 사용자, 자율시스템, 포트, 프로토콜 중에서 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 트래픽 측정방법으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (c)단계는 상기 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 상기 분류기준에 따라 분류하여 저장하는 것을 특징으로 하는 네트워크 트래픽 측정방법으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (e)단계는 상기 (c)단계에서 분류된 정보를 실시간으로 그래픽 처리하여 출력하는 것을 특징으로 하는 네트워크 트래픽 측정방법으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (a)단계에서 저장된 트래픽 정보를 사용자에게 출력하는 (f)단계를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 측정방법으로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (a)단계에서 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 (g)단계를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 측정방법으로서 상술한 과제를 해결한다.
상기의 목적을 달성하기 위하여 본 발명의 또 다른 실시예에서는 (a) 상기 네트워크 연결장치로부터 트래픽 정보를 입력받아서 저장하는 프로세스; (b) 상기 저장된 트래픽 정보를 미리 지정된 시간단위로 덤프하는 프로세스; (c) 상기 덤프된 트래픽 정보를 미리 지정된 분류기준에 따라 각각 분류하여 저장하는 프로세스; (d) 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 출력하는 프로세스; 및 (e) 상기 사용자의 요청에 따라 검색된 분류정보를 그래픽 처리하여 출력하는 프로세스를 포함하는 네트워크 트래픽 측정 프로그램을 기록한 기록매체를 제공한다.
또, 본 발명에서, 상기 분류기준은 사용자, 자율시스템, 포트, 프로토콜 중에서 적어도 하나 이상을 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (c)프로세스는 상기 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 상기 분류기준에 따라 분류하여 저장하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (e)프로세스는 상기 (c)프로세스에서 분류된 정보를 실시간으로 그래픽 처리하여 출력하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (a)프로세스에서 저장된 트래픽 정보를 사용자에게 출력하는 (f)프로세스를 더 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.
또, 본 발명에서, 상기 (a)프로세스에서 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 (g)프로세스를 더 포함하는 것을 특징으로 하는 기록매체로서 상술한 과제를 해결한다.
본 발명의 목적과 특징 및 장점은 첨부 도면 및 다음의 상세한 설명을 참조함으로서 더욱 쉽게 이해될 수 있을 것이다.
본 발명은 사용자의 질의에 해당하는 네트워크 트래픽 정보를 제공하며, 네트워크 트래픽 정보를 그래픽으로도 제공하는 방법 및 그를 지원하도록 구현되는 시스템을 바람직한 실시예로 제안한다.
본 발명의 바람직한 실시예는 본 발명방법을 실행하도록 프로그램된 컴퓨터 시스템 및 컴퓨터 프로그램 제품과 같은 실시예를 포함한다. 컴퓨터 시스템의 실시예에 따르면, 방법을 실행하기 위한 명령어 세트는 하나 또는 그 이상의 메모리에 상주하며, 이들 명령어 세트는 CD-ROM 등과 같은 기록매체에 컴퓨터 프로그램 제품으로서 저장될 수 있다.
도 1은 본 발명에 따른 네트워크 트래픽 측정 시스템의 일실시예를 도시한 블록 구성도이다. 도 1을 참조하면, 네트워크 트래픽 측정 시스템은 분석서버(100)와 분석서버(100)에서 분류한 트래픽 정보를 저장한 자료DB(200)를 포함한다.
네트워크 연결장치(10)는 하나의 네트워크에 유입되거나 유출되는 트래픽 정보를 분석서버(100)에 제공하며, 이 때 제공되는 트래픽 정보를 넷플로우(Netflow)라고 한다.
본 실시예에서 네트워크 연결장치(10)는 표 1과 같은 트래픽 정보를 제공하는 CISCO 라우터인 것이 바람직하다.
source IP address
destination IP address
next hop IP address
input interface index output interface index
packets
bytes
start time of flow
end time of flow
source port destination port
pad TCP flags IP protocol TOS
source AS destination AS
src netmask length dst netmask length
분석서버(100)는 네트워크 연결장치(10)로부터 트래픽 정보를 입력받아서 미리 지정된 분류기준에 따라 각각 분류한다.
분석서버(100)는 분류기준에 따라 각각 분류한 정보를 자료DB(200)에 저장하며, 사용자가 입력한 질의에 해당하는 분류정보를 자료DB(200)에서 검색하여 사용자 단말기(20)에 제공한다.
본 실시예에서는 SQL(Structured Query Language)을 이용하여 질의에 대한 검색이 가능하도록 구현하였으며, 사용자의 요청에 따라서는 검색된 분류정보를 그래픽 처리하여 제공한다.
분석서버(100)를 자세히 설명하면 다음과 같다.
분석서버(100)는 수집부(110), 덤프부(120), 분석부(130), 검색부(140), 및 그래픽부(150)를 포함한다.
수집부(110)는 네트워크 연결장치(10)로부터 트래픽 정보를 입력받아서 자료DB(200)에 저장한다. 즉, 수집부(110)는 자료DB(200)를 하나의 큰 버퍼로 생각하고, 가공되지 않은 트래픽 정보를 일단 자료DB(200)에 버퍼링한다.
이와 같은 버퍼링은 프로그램의 안정성을 위해서 매우 중요하다. DoS 공격이 이루어지거나 트래픽의 사용량이 많으면 빠른 처리가 어렵기 때문에, 일단 파일의 형태로 빠르게 저장하는 것이다.
덤프부(120)는 자료DB(200)에 저장된 트래픽 정보를 미리 지정된 시간단위로 덤프한다. 예를 들어, 자료DB(200)에 저장된 트래픽 정보는 덤프부(120)에 의해서 5분 단위로 덤프되어 다음 처리를 기다리게 된다.
이와 같이 트래픽 정보를 덤프시키면 네트워크의 특징을 뚜렷하게 알아낼 수 있다.
분석부(130)는 덤프부(120)에서 덤프된 트래픽 정보를 분류기준에 따라 각각 분류하여 자료DB(200)에 저장하며, 분류기준에는 사용자, 자율시스템, 포트, 프로토콜 등이 포함된다.
예를 들어, 근원지 주소(source IP)를 이용하여 사용자별로 분류하고, 근원지 자율시스템(source AS)와 목적지 자율시스템(destination AS)을 이용하여 자율시스템별로 분류한다. 그리고, 근원지 포트(source port)와 목적지 포트(destination port)를 이용하여 포트별로 분류하며, IP 프로토콜(IP protocol)과 서비스 타입(TOS ; Type of Service)을 이용하여 프로토콜별로 분류한다.
이 때, 분석부(130)는 덤프부(120)에서 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 분류기준에 따라 분류하여 자료DB(200)에 저장한다.
예를 들면, 덤프부(120)에서 덤프된 모든 트래픽 정보를 프론트(front)라는 테이블에 저장해 두고, 15분 단위로 분류기준에 따라 분류한다. 이와 같은 분류과정에 의해 모아진 데이터는 자료DB(200)에 각각 다른 테이블로 저장된다.
본 실시예에서 분류과정에 의해 모아진 데이터는 자료DB(200)에 라운드 로빈(Round-Robin) 데이터베이스 파일로 저장되는 것이 바람직하다.
이와 같이 분류하는 이유는 가공되지 않은 데이터를 그대로 모두 가지고 있게 되면, 용량이 커지게 되어 관리상의 문제가 생기기 때문이다.
예를 들면, A와 B라는 사용자가 있고, 2002년 12월 12일 00:10 ~ 2002년 12월 12일 00:20 사이에 A가 100개, B가 200개의 패킷을 보냈다고 가정하자. 그 다음 10분간 넷플로우를 받아보니 A와 B가 각각 50개와 100개였다.
그러면, 20분 동안 누가 많이 사용했는가를 알기 위해서는 그 시간동안 들어온 넷플로우 데이터를 다시 전부 확인해서 A와 B의 수치를 계산해야 한다. 특히, 트래픽 사용량이 많아지면 이와 같은 계산하는데 한계가 있다.
하지만, 위와 같이 미리 정한 분류기준에 따라 분류해 두면, A=150, B=300과 같이 통계값을 빠르고 정확하게 얻을 수 있고, 통계값을 이용하여 네트워크를 분석하는 데도 유용하게 활용될 수 있다.
분석부(10)는 자료DB(200)에 저장하기 전에 다음과 같이 2가지 정보를 얻어내는 것이 바람직하다. 첫 번째는 트래픽이 인바운드인지 또는 아웃바운드인지를 구별하는 것이고, 두 번째는 그래프로 나타고자 하는 플로우가 분석이 가능한 플로우인지를 구별하는 것이다.
트래픽 정보를 인바운드와 아웃바운드로 구별하는 과정은 다음과 같다.
입력 인터페이스 인덱스(input interface index) 값의 집합을 A로 가정하고, 출력 인터페이스 인덱스(output interface index) 값의 집합을 B라고 가정하자. 그리고, 분석부(130)는 미리 정의해 놓은 인바운드 플로우 조합{A,B}과, 아웃바운드 플로우 {B,A}조합을 가지고 있다.
따라서, 트래픽 정보의 입력 인터페이스 인덱스 값과 출력 인터페이스 인덱스 값이 어느 조합에 해당하는지 판단하면, 트래픽 정보를 인바운드와 아웃바운드 플로우로 분류할 수 있다.
분석이 가능한 플로우를 구별해 내는 과정은 다음과 같다.
플로우 정보를 미리 정의해서 저장시켜 두고, 여기에 해당하는 플로우는 분석이 가능한 것으로 분류한다. 그리고, 나머지는 알 수 없는 트래픽 정보로 분류시켜서 그래프로 나타낼 수 있도록 한다.
예를 들면, 새로운 응용 프로그램이 새로운 포트를 사용한 내역이 그래프로 나타날 때, 이것이 무엇을 나타내는지 확인할 수 없는 경우가 있다. 이와 같은 경우, 사용자가 직접 해당 응용 프로그램이 사용하는 포트를 매칭시켜 주면, 해당 포트에 대한 사용내역을 그래프로 확인할 수 있게 된다.
검색부(140)는 사용자로부터 입력받은 질의에 해당하는 분류정보를 자료DB(200)에서 검색하여 출력하며, 도 2는 사용자가 입력한 질의에 해당하는 분류정보를 제공한 일실시예이다.
따라서, 사용자는 질의를 통해 사용자에 대한 통계, AS 정보와 매트릭스, 포트통계, 프로토콜 통계 등의 정보를 얻을 수 있다. 만약, 분류기준에 패킷, 바이트, 플로우 등이 포함되어 있다면, 패킷 사이즈와 플로우 분포, Nexthop 통계, 특정기간 동안의 플로우 정보, 특정 사용자가 사용한 트레이스 트래픽(Trace traffic), 트래픽에 대한 통계 등의 정보를 얻을 수 있다.
그래픽부(150)는 사용자의 요청에 따라 검색부(140)에서 검색한 분류정보를 그래픽 처리하여 출력하며, 도 3은 사용자가 입력한 질의에 해당하는 분류정보를 그래픽으로 제공한 일실시예이다. 도 3에서 가로축은 시간이고, 세로축은 인바운드와 아웃바운드로 구분한 트래픽양이다.
그래픽부(150)는 분석부(130)에서 분류된 정보를 실시간으로 그래픽 처리하여 출력할 수도 있다.
한편, 본 발명의 분석서버(100)는 자료DB(200)에 저장된 트래픽 정보를 사용자에게 출력하기 위한 뷰어부(미도시)를 더 포함할 수 있다.
또, 수집부(110)에 의해서 자료DB(200)에 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 압축관리부(미도시)를 더 포함할 수도 있다.
도 4는 본 발명에 따른 네트워크 트래픽 측정방법의 일실시예를 나타낸 흐름도이다. 도 4를 참조하면, 본 발명은 네트워크 연결장치로부터 트래픽 정보를 입력받아서 저장하는 단계(S300), 저장된 트래픽 정보를 미리 지정된 시간단위로 덤프하는 단계(S310), 덤프된 트래픽 정보를 미리 지정된 분류기준에 따라 각각 분류하여 저장하는 단계(S320), 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 출력하는 단계(S330), 및 사용자의 요청에 따라 검색된 분류정보를 그래픽 처리하여 출력하는 단계(S340)를 포함한다.
분류기준에는 사용자, 자율시스템, 포트, 프로토콜 중에서 적어도 하나 이상을 포함한다.
S320단계는 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 상기 분류기준에 따라 분류하여 저장한다.
S340단계는 S320단계에서 분류된 정보를 실시간으로 그래픽 처리하여 출력할 수 있다.
도면에 도시하지는 않았지만, 본 발명은 S300단계에서 저장된 트래픽 정보를 사용자에게 출력하는 단계를 더 포함할 수 있다. 또, S300단계에서 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 단계를 더 포함할 수 있다.
이상과 같이 구성된 본 발명에서 사용자의 질의에 해당하는 네트워크 트래픽 정보를 제공하고, 네트워크 트래픽 정보를 그래픽으로도 제공하는 과정을 도 1과 도 4를 참조하여 자세히 설명하면 다음과 같다.
네트워크 연결장치(10)로부터 분석서버(100)로 트래픽 정보가 입력되면, 수집부(110)는 입력받은 트래픽 정보를 자료DB(200)에 저장한다(S300).
덤프부(120)는 자료DB(200)에 저장된 트래픽 정보를 미리 지정된 시간단위로 덤프시킨다(S310). 예를 들어, 자료DB(200)에 저장된 트래픽 정보는 덤프부(120)에 의해서 5분 단위로 덤프되어 다음 처리를 기다리게 된다.
그러면, 분석부(130)는 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 분류기준에 따라 분류하여 저장한다(S320). 예를 들면, 덤프부(120)에서 덤프된 모든 트래픽 정보를 프론트(front)라는 테이블에 저장해 두고, 15분 단위로 분류기준에 따라 분류한다. 이와 같은 분류과정에 의해 모아진 데이터는 자료DB(200)에 각각 다른 테이블로 저장된다.
한편, 검색부(140)는 사용자로부터 입력받은 질의에 해당하는 분류정보를 자료DB(200)에서 검색하여 출력한다(S330). 사용자의 요청에 따라서는 검색부(140)에서 검색한 분류정보를 그래픽부(150)가 그래픽 처리하여 출력한다(S340).
뷰어부(미도시)는 사용자의 요청에 따라서 자료DB(200)에 저장된 트래픽 정보를 사용자에게 출력하여 보여준다. 압축관리부(미도시)는 수집부(110)에 의해서 자료DB(200)에 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제한다.
이상의 본 발명은 상기에 기술된 실시예들에 의해 한정되지 않고, 당업자들에 의해 다양한 변형 및 변경을 가져올 수 있으며, 이는 첨부된 청구항에서 정의되는 본 발명의 취지와 범위에 포함된다.
이상에서 살펴본 바와 같이 본 발명은, 사용자의 질의에 해당하는 네트워크 트래픽 정보 뿐만 아니라 네트워크 트래픽 정보를 그래픽으로도 제공하여 네트워크 트래픽을 효과적으로 분석할 수 있게 해 준다.
그리고, 외부로부터의 공격이나 트래픽의 사용량에 상관없이 네트워크의 특성을 실시간으로 측정하여 제공할 수 있다.
또, 네트워크 연결장치로부터 입력받은 트래픽 정보를 일단 저장해 두고 덤프시켜서 분류하면, 네트워크 특성을 뚜렷하게 알 수 있다.
또, 그래프의 추이를 관찰하다 보면 DoS 공격패턴을 인식할 수 있고, 사용자와 공격받는 목표에 대한 추적도 가능하며, 코드레드(Code Red) 바이러스와 님다(NIMDA) 바이러스도 감지할 수 있는 이점 등이 있다.
도 1은 본 발명에 따른 네트워크 트래픽 측정 시스템의 일실시예를 도시한 블록 구성도.
도 2는 사용자가 입력한 질의에 해당하는 분류정보를 제공한 일실시예.
도 3은 사용자가 입력한 질의에 해당하는 분류정보를 그래픽으로 제공한 일실시예.
도 4는 본 발명에 따른 네트워크 트래픽 측정방법의 일실시예를 나타낸 흐름도.
<도면의 주요부분에 대한 부호의 설명>
10 : 네트워크 연결장치 20 : 사용자 단말기
100 : 분석서버 110 : 수집부
120 : 덤프부 130 : 분석부
140 : 검색부 150 : 그래픽부
200 : 자료DB

Claims (19)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 네트워크 연결장치로부터 트래픽 정보를 입력받아서 사용자, 자율시스템, 포트, 프로토콜 중에서 적어도 하나 이상을 포함하는 분류기준에 따라 각각 분류하여 저장하고, 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 제공하며, 상기 사용자의 요청에 따라 상기 검색된 분류정보를 그래픽 처리하여 제공하는 분석서버; 및
    상기 분석서버에서 분류한 트래픽 정보를 저장한 자료DB를 포함하며,
    상기 분석서버는
    상기 네트워크 연결장치로부터 트래픽 정보를 입력받아서 상기 자료DB에 저장하는 수집부;
    상기 자료DB에 저장한 트래픽 정보를 미리 지정된 시간단위로 덤프하는 덤프부;
    상기 덤프부에서 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 상기 분류기준에 따라 분류하여 상기 자료DB에 저장하는 분석부;
    상기 사용자로부터 입력받은 질의에 해당하는 분류정보를 상기 자료DB에서 검색하여 출력하는 검색부;
    상기 사용자의 요청에 따라 상기 검색부에서 검색된 분류정보를 실시간으로 그래픽 처리하여 출력하는 그래픽부;
    상기 자료DB에 저장된 트래픽 정보를 사용자에게 출력하기 위한 뷰어부; 및
    상기 수집부에 의해서 상기 자료DB에 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 압축관리부;
    를 포함하는 네트워크 트래픽 측정 시스템.
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. (a) 상기 네트워크 연결장치로부터 트래픽 정보를 입력받아서 저장하는 단계;
    (b) 상기 저장된 트래픽 정보를 미리 지정된 시간단위로 덤프하는 단계;
    (c) 상기 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 사용자, 자율시스템, 포트, 프로토콜 중에서 적어도 하나 이상을 포함하는 분류기준에 따라 각각 분류하여 저장하는 단계;
    (d) 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 출력하는 단계;
    (e) 상기 사용자의 요청에 따라 검색된 분류정보를 실시간으로 그래픽 처리하여 출력하는 단계;
    (f) 상기 (a)단계에서 저장된 트래픽 정보를 사용자에게 출력하는 단계; 및
    (g) 상기 (a)단계에서 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 단계;
    를 포함하는 네트워크 트래픽 측정방법.
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. (a) 상기 네트워크 연결장치로부터 트래픽 정보를 입력받아서 저장하는 프로세스;
    (b) 상기 저장된 트래픽 정보를 미리 지정된 시간단위로 덤프하는 프로세스;
    (c) 상기 덤프된 트래픽 정보를 임시 테이블 형태로 저장해 두고, 미리 지정된 시간단위로 사용자, 자율시스템, 포트, 프로토콜 중에서 적어도 하나 이상을 포함하는 분류기준에 따라 각각 분류하여 저장하는 프로세스;
    (d) 사용자로부터 입력받은 질의에 해당하는 분류정보를 검색하여 출력하는 프로세스;
    (e) 상기 사용자의 요청에 따라 검색된 분류정보를 실시간으로 그래픽 처리하여 출력하는 프로세스;
    (f) 상기 (a)프로세스에서 저장된 트래픽 정보를 사용자에게 출력하는 프로세스; 및
    (g) 상기 (a)프로세스에서 저장된 트래픽 정보를 압축하고, 미리 지정된 기간이 지난 트래픽 정보를 삭제하는 프로세스;
    를 포함하는 프로그램을 기록한 기록매체.
KR10-2002-0084233A 2002-12-26 2002-12-26 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체 KR100522464B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0084233A KR100522464B1 (ko) 2002-12-26 2002-12-26 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0084233A KR100522464B1 (ko) 2002-12-26 2002-12-26 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체

Publications (2)

Publication Number Publication Date
KR20040058415A KR20040058415A (ko) 2004-07-05
KR100522464B1 true KR100522464B1 (ko) 2005-10-18

Family

ID=37350520

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0084233A KR100522464B1 (ko) 2002-12-26 2002-12-26 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체

Country Status (1)

Country Link
KR (1) KR100522464B1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8320242B2 (en) 2004-12-24 2012-11-27 Net Optics, Inc. Active response communications network tap
US7760859B2 (en) 2005-03-07 2010-07-20 Net Optics, Inc. Intelligent communications network tap port aggregator
KR100715721B1 (ko) * 2005-08-01 2007-05-08 서울통신기술 주식회사 네트워크의 트래픽 제어방법
CN1901466A (zh) * 2006-01-10 2007-01-24 杭州每日科技有限公司 一种p2p网络的数据流向和流量计量方法
US7898984B2 (en) 2007-08-07 2011-03-01 Net Optics, Inc. Enhanced communication network tap port aggregator arrangement and methods thereof
US7903576B2 (en) * 2007-08-07 2011-03-08 Net Optics, Inc. Methods and arrangement for utilization rate display
US8094576B2 (en) 2007-08-07 2012-01-10 Net Optic, Inc. Integrated switch tap arrangement with visual display arrangement and methods thereof
US7773529B2 (en) 2007-12-27 2010-08-10 Net Optic, Inc. Director device and methods thereof
US9813448B2 (en) 2010-02-26 2017-11-07 Ixia Secured network arrangement and methods thereof
US8737197B2 (en) 2010-02-26 2014-05-27 Net Optic, Inc. Sequential heartbeat packet arrangement and methods thereof
US8320399B2 (en) 2010-02-26 2012-11-27 Net Optics, Inc. Add-on module and methods thereof
US9019863B2 (en) 2010-02-26 2015-04-28 Net Optics, Inc. Ibypass high density device and methods thereof
EP2540048B1 (en) 2010-02-28 2019-07-17 Keysight Technologies Singapore (Sales) Pte. Ltd. Gigabits zero-delay tap and methods thereof
US9749261B2 (en) 2010-02-28 2017-08-29 Ixia Arrangements and methods for minimizing delay in high-speed taps
US9998213B2 (en) 2016-07-29 2018-06-12 Keysight Technologies Singapore (Holdings) Pte. Ltd. Network tap with battery-assisted and programmable failover

Also Published As

Publication number Publication date
KR20040058415A (ko) 2004-07-05

Similar Documents

Publication Publication Date Title
KR100522464B1 (ko) 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체
CN109861881B (zh) 一种基于三层Sketch架构的大象流检测方法
US8358592B2 (en) Network controller and control method with flow analysis and control function
CN111770023B (zh) 基于fpga的报文去重方法、装置及fpga芯片
CN112995196B (zh) 网络安全等级保护中态势感知信息的处理方法及系统
CN110677324B (zh) 基于sFlow采样与控制器主动更新列表的大象流两级检测方法
US7752307B2 (en) Technique of analyzing an information system state
US8510830B2 (en) Method and apparatus for efficient netflow data analysis
CN108259426A (zh) 一种DDoS攻击检测方法及设备
KR100901696B1 (ko) 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
KR100481130B1 (ko) 데이터베이스 시스템에 접속하지 않고 데이터베이스시스템을 모니터링하는 방법
KR100745678B1 (ko) 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법
JPWO2015182629A1 (ja) 監視システム、監視装置及び監視プログラム
KR100681000B1 (ko) 플로우별 트래픽 측정 장치 및 방법
CN116719750B (zh) 软件测试方法及装置、服务器设备和存储介质
CN112822077A (zh) 数据中心网络中全网流量测量方法、系统及丢包检测方法
CN115580543B (zh) 一种基于哈希计数的网络系统活跃度评估方法
CN108063764B (zh) 一种网络流量处理方法和装置
CN114244781B (zh) 一种基于dpdk的报文去重处理方法和装置
KR100596389B1 (ko) 다단계 트래픽 흐름 관리 장치 및 방법
KR20050059649A (ko) 트래픽 측정 시스템 및 방법과 그 프로그램 소스를 저장한기록매체
CN115102907B (zh) 一种基于小流过滤的活跃大流精确识别方法和系统
KR100688078B1 (ko) 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법
KR20080040921A (ko) 대규모 네트워크에서의 보안 관리 방법 및 장치
CN116962249A (zh) 丢包统计方法、装置、网络设备和计算机可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20101011

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee