KR100561628B1 - 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 - Google Patents

통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 Download PDF

Info

Publication number
KR100561628B1
KR100561628B1 KR1020030081833A KR20030081833A KR100561628B1 KR 100561628 B1 KR100561628 B1 KR 100561628B1 KR 1020030081833 A KR1020030081833 A KR 1020030081833A KR 20030081833 A KR20030081833 A KR 20030081833A KR 100561628 B1 KR100561628 B1 KR 100561628B1
Authority
KR
South Korea
Prior art keywords
traffic
network
characteristic
traffic data
abnormal
Prior art date
Application number
KR1020030081833A
Other languages
English (en)
Other versions
KR20050048019A (ko
Inventor
이수형
장범환
김진오
나중찬
손승원
박치항
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030081833A priority Critical patent/KR100561628B1/ko
Priority to US10/749,502 priority patent/US20050108377A1/en
Publication of KR20050048019A publication Critical patent/KR20050048019A/ko
Application granted granted Critical
Publication of KR100561628B1 publication Critical patent/KR100561628B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판 단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 보안 시스템 등에 이용됨.
이상 트래픽 감지, 특성 트래픽 데이터, 특성 트래픽 데이터 프로파일, 네트워크 수준, 통계적 분석

Description

통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법{Method for detecting abnormal traffic in network level using statistical analysis}
도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도,
도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도,
도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명
210 : 네트워크 장비 211 : 네트워크 보안 시스템(NSS)
212 : 로컬 도메인
본 발명은 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 네트워크의 성능을 저하시키는 사이버 공격 또는 네트워크 구성 및 운용상의 결함 등으로 인하여 발생하는 이상 트래픽을 단시간내에 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
일반적으로, 네트워크상에서 발생한 이상 트래픽을 감지하는 방법은 현재 수집한 트래픽량과 통계적으로 생성된 정상 상태를 나타내는 트래픽량의 비교값 또는 비교 그래프 등을 모니터링하여 관리자가 상기 모니터링된 비교값과 비교 그래프를 경험적으로 분석함으로써, 현재 네트워크상에 발생한 트래픽이 이상 트래픽인지의 여부를 판단하게 된다.
여기서, 이상 트래픽이란 네트워크의 성능을 저하시킬 수 있는 데이터들이 비정상적으로 증가하여 네트워크의 흐름을 방해하는 상태를 의미하며, 그 원인으로는 사이버 공격에 의한 직간접적인 영향 또는 네크워크 구성 및 운용상의 결함 또는 클라이언트들의 과다 접속 등으로 발생한다.
도 1 은 종래의 네트워크상에서 이상 트래픽 감지 방법에 대한 일실시예 설명도이다.
도 1 에 도시된 바와 같이, 하나의 네트워크(ISP 1: Internet Service Provider 1)는 다수의 로컬 도메인(112), 타 네트워크(ISP 2), 상기 네트워크(ISP 1)와 로컬 도메인 또는 상기 네트워크(ISP 1)와 타 네트워크(ISP 2)를 연결하는 다수의 네트워크 장비(일예로 라우터)(110) 및 상기 네트워크(ISP 1)를 관리하기 위한 네트워크 관리 서버(NMS: Network Management Server)(111)를 포함한다.
여기서, 도 1 을 참조하여 종래의 네트워크상에서 이상 트래픽 감지 방법에 대해 살펴보면, 먼저 상기 네트워크 장비(110)에는 관리 에이전트가 설치되어 있어 노드 또는 특정 도메인 또는 링크상에서 처리되는 트래픽 데이터(정보)를 수집하는 기능을 한다.
이후, 네트워크 관리 서버(111)는 네트워크상의 각 네트워크 장비(110)로부터 트래픽 데이터를 수집하여, 관리 콘솔을 통하여 해당 트래픽 정보를 관리자에게 보고하게 된다.
이후, 과다 트래픽 발생 여부는 관리자가 네트워크 관리 서버가 보고하는 트래픽 데이터를 바탕으로 하여 과거 경험에 의해 직관적으로 판단하게 된다.
이러한 종래의 네트워크상에서 이상 트래픽 감지 방법은, 수집하는 트래픽량이 대부분 특정 로컬 도메인(특정 링크 또는 특정 노드)에서 발생하는 단순 트래픽량만을 대상으로 하는 경우가 대부분이고, 관리자가 현재 발생한 트래픽이 해당 네트워크의 성능을 저하시킬 수 있는 트래픽(이상 트래픽)인지, 아닌지의 여부를 판단하기 때문에 단시간내에 정확한 판단을 할 수 없다는 문제점이 있다.
본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하는, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기 목적을 달성하기 위한 본 발명의 방법은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함하는 것을 특징으로 한다.
한편, 본 발명은, 프로세서를 구비한 이상 트래픽 감지 시스템에, 소정의 시 간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 기능; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 기능; 상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 기능; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.
도 2 는 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 설명도이다.
도 2 에 도시된 바와 같이, 이상 트래픽 감지 모듈을 장착한 네트워크 보안 시스템(NSS: Network Security System)(211)은 네트워크 장비(일예로 라우터)(210)를 통해 다수의 로컬 도메인(212) 또는 타 네크워크(ISP 2)와 연결되어 있다. 이 때, 상기 네트워크 장비(210)는 네트워크상의 로컬 도메인(링크) 또는 타 네트워크(ISP2)로부터 트래픽 데이터(정보)를 수집하는 기능을 수행한다.
여기서, 도 2 를 참조하여 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대해 살펴보면, 본 발명은 네트워크 보안 시스템(211) 등에 적용되어 네트워크상의 각 네트워크 장비(210)로부터 주기적으로 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하고 상기 통합된 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출한 후, 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽을 감지한다.
이 때, 상기 네트워크 수준의 전체 트래픽 데이터에서 특성 트래픽 데이터를 추출하는 기준은, 일예로 응용 서비스의 종류에 따라 각기 다르게 할당되는 응용포트에 따라 추출하거나, 동일한 크기를 가진 패킷분포에 따라 추출하거나, 특정 목적지(destination)로 가는 트래픽의 원천지(source) 주소가 급격히 증가하는 패턴을 바탕으로 한 원천지-목적지 페어(source-destination pair)수 등에 따라 추출할 수 있다.
또한, 트래픽 데이터 수집은 기존의 네트워크 관리 시스템에서와 같이 일반적으로 네트워크 노드상에 설치되는, 네트워크 관리 에이전트를 장착한 네트워크 장비(일예로 라우터)의 트래픽 수집 기능을 이용하여 기존 네트워크상에서 이용되는 네트워크 장비의 교체없이 트래픽 데이터를 수집한다.
또한, 네트워크 보안 시스템은 타 네트워크 보안 기능을 수행할 수 있으며, 이상 트래픽 감지 측면에서 수행할 기능은 통계 분석 모듈을 탑재함으로써, 일정 주기로 트래픽 데이터를 수집하고 정상 상태의 통계적 트래픽 특성과 비교 분석하여 이상 트래픽을 감지하는 기능을 수행한다. 이 때, 현재 수집된 트래픽이 이상 트래픽으로 판단되면 현재 발생한 트래픽이 얼마나 심각한지를 분석하고, 그 결과를 데이터로 생성한다.
이후, 상기 데이터는 추후 네트워크 보안 시스템의 타 보안 기능과 결합하여 관리자에게 보고용으로 사용될 수도 있고, 네트워크 보안 시스템의 보안 대응 기능과 결합하여 네트워크상에서 자동적인 대응이 이루어지도록 할 수도 있다.
도 3 은 본 발명에 따른 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 대한 일실시예 흐름도이다.
먼저, 사용자로부터 이상 트래픽이 발생했을 경우의 심각도 유의 수준, 트래픽 분석 주기, 분석 결과의 처리 방식 등의 실행 환경을 설정받는다. 물론, 데이터 베이스에는 최근까지 통계적으로 생성한 특성 트래픽 데이터 프로파일이 저장되어 있다.
이후, 소정의 시간 간격으로 각 네트워크의 장비(210)로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합한다(301, 302).
이후, 상기 네트워크 수준의 전체 트래픽 데이터로부터 상기 언급한 소정의 추출 기준에 따라 특성 트래픽 데이터를 추출한다(303).
이후, 상기 추출한 트래픽 특성 데이터를 정상 상태의 트래픽을 모델링하여 파라미터화한 특성 트래픽 데이터 프로파일과 비교하여 현재 트래픽이 이상 트래픽인지 정상 트래픽인지를 판단한다(304, 305).
상기 판단결과(305), 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터을 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고 일정시간 대 기한 후 상기 "301" 과정으로 진행하여 이후의 과정을 수행한다(306). 이러한 과정은 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정으로 보다 정확한 이상 트래픽 감지를 위해 꼭 필요한 과정이라 할 수 있다.
상기 판단결과(305), 이상 트래픽이면 상기 기 설정된 심각도 유의 수준에 따라 현재 발생한 트래픽의 심각도를 분석하고(307), 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링한다(308). 이 때, 상기 분석결과와 이상 트래픽에 대한 정보를 이상 트래픽 처리 시스템 등으로 전달하여 효율적인 이상 트래픽 처리에 이용되도록 할 수도 있다.
이처럼 본 발명은 주기적으로 네트워크상에 발생하는 트래픽을 검사하여 이상 트래픽을 감지한다.
또한, 본 발명은, 네트워크 장비(210)로부터 직접 특성 트래픽 데이터를 수집하여 이상 트래픽을 감지할 수도 있다. 하지만, 이러한 방법은 네트워크 장비(210)의 부하를 가중시키는 역효과가 있을 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
상기와 같은 본 발명은, 네트워크상에서 발생하는 트래픽 전체에 대해 특성 트래픽 데이터를 추출하여 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교함으로써, 효율적 빠른 시간내에 이상 트래픽을 감지할 수 있도록 하는 효과가 있다.
또한, 본 발명은, 다양한 정상 상태 트래픽을 통계적으로 데이터베이스화하는 과정을 통해 관리자의 개입없이 자동으로 보다 다양한 형태의 이상 트래픽을 감지할 수 있도록 하는 효과가 있다.
또한, 본 발명은, 이상 트래픽 처리 시스템에 적용되어 네트워크의 기능이 마비되기 전에 이상 트래픽을 처리할 수 있도록 하는 효과가 있다.

Claims (4)

  1. 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서,
    소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계;
    상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계;
    상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및
    상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계
    를 포함하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법.
  2. 제 1 항에 있어서,
    상기 특성 트래픽 데이터는,
    서비스의 종류에 따라 각기 다르게 할당되는 응용포트에 따라 추출한 특성 트래픽 데이터 또는 동일한 크기를 가진 패킷분포에 따라 추출한 특성 트래픽 데이터 또는 특정 목적지(destination)로 가는 트래픽의 원천지(source) 주소가 급격히 증가하는 패턴을 바탕으로 한 원천지-목적지 페어(source-destination pair)수에 따라 추출한 특성 트래픽 데이터인 것을 특징으로 하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 심각도 분석결과와 이상 트래픽에 대한 정보를 이상 트래픽 처리 시스템으로 전달하여 효율적인 이상 트래픽 처리에 이용되도록 하는 제 5 단계
    를 더 포함하는 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법.
  4. 프로세서를 구비한 이상 트래픽 감지 시스템에,
    소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 기능;
    상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 기능;
    상기 추출한 트래픽 특성 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 기능; 및
    상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020030081833A 2003-11-18 2003-11-18 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 KR100561628B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020030081833A KR100561628B1 (ko) 2003-11-18 2003-11-18 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
US10/749,502 US20050108377A1 (en) 2003-11-18 2003-12-31 Method for detecting abnormal traffic at network level using statistical analysis

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030081833A KR100561628B1 (ko) 2003-11-18 2003-11-18 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법

Publications (2)

Publication Number Publication Date
KR20050048019A KR20050048019A (ko) 2005-05-24
KR100561628B1 true KR100561628B1 (ko) 2006-03-20

Family

ID=34567806

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030081833A KR100561628B1 (ko) 2003-11-18 2003-11-18 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법

Country Status (2)

Country Link
US (1) US20050108377A1 (ko)
KR (1) KR100561628B1 (ko)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4479459B2 (ja) * 2004-10-19 2010-06-09 横河電機株式会社 パケット解析システム
KR100639969B1 (ko) * 2004-12-02 2006-11-01 한국전자통신연구원 이상 트래픽 제어 장치 및 그 제어 방법
KR100628328B1 (ko) * 2005-03-10 2006-09-27 한국전자통신연구원 적응적 침해 방지 장치 및 방법
US7730531B2 (en) * 2005-04-15 2010-06-01 Microsoft Corporation System and method for detection of artificially generated system load
US7908357B2 (en) * 2005-09-21 2011-03-15 Battelle Memorial Institute Methods and systems for detecting abnormal digital traffic
KR100726352B1 (ko) * 2006-03-28 2007-06-08 중앙대학교 산학협력단 통신량 증감에 따른 네트워크 트래픽의 분석시스템과 이를이용한 분석방법
KR100798755B1 (ko) * 2006-05-17 2008-01-29 주식회사 제이컴정보 위협 관리 시스템 및 그 방법
KR100793633B1 (ko) * 2006-08-16 2008-01-10 전자부품연구원 트래픽 컨디셔닝 장치 및 트래픽 컨디셔닝 제공 방법
US20080080365A1 (en) * 2006-09-28 2008-04-03 Weeresinghe Ranjith Thomas Mah Wireless Access Point Failover System and Method
FR2932043B1 (fr) * 2008-06-03 2010-07-30 Groupe Ecoles Telecomm Procede de tracabilite et de resurgence de flux pseudonymises sur des reseaux de communication, et procede d'emission de flux informatif apte a securiser le trafic de donnees et ses destinataires
CN102204168B (zh) * 2011-04-26 2013-12-04 华为技术有限公司 网络流量模拟方法及装置
CN103164318B (zh) * 2011-12-13 2016-07-20 中国银联股份有限公司 联机系统的自动化健康检查方法和装置
MY172616A (en) * 2013-03-13 2019-12-06 Telekom Malaysia Berhad A system for analysing network traffic and a method thereof
KR101383069B1 (ko) * 2013-05-27 2014-04-08 한국전자통신연구원 네트워크 이상상태 탐지 장치 및 방법
US10560842B2 (en) 2015-01-28 2020-02-11 Verint Systems Ltd. System and method for combined network-side and off-air monitoring of wireless networks
IL238001B (en) * 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication conversation participants based on communication traffic patterns
EP3131252B1 (en) * 2015-08-12 2018-09-26 NATEK Technologies GmbH Method and system for network intrusion detection
IL245299B (en) 2016-04-25 2021-05-31 Verint Systems Ltd A system and method for decoding communication transmitted in a wireless local communication network
US10812348B2 (en) * 2016-07-15 2020-10-20 A10 Networks, Inc. Automatic capture of network data for a detected anomaly
CN106452868B (zh) * 2016-10-12 2019-04-05 中国电子科技集团公司第三十研究所 一种支持多维度聚合分类的网络流量统计实现方法
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between computer application users
IL252041B (en) 2017-04-30 2020-09-30 Verint Systems Ltd System and method for tracking computer application users
CN107547533B (zh) * 2017-08-24 2020-10-13 新华三信息安全技术有限公司 一种特征规则开启方法及装置
JP6792532B2 (ja) * 2017-09-01 2020-11-25 日本電信電話株式会社 異常検知装置および異常検知方法
IL254438B (en) 2017-09-07 2021-12-01 Verint Systems Ltd A system and method for decoding communication on the umts network
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
KR102150622B1 (ko) * 2018-03-02 2020-10-26 주식회사 케이티 지능형 장비 이상 증상 사전 탐지 시스템 및 방법
NL2020632B1 (en) * 2018-03-20 2019-09-30 Forescout Tech B V Attribute-based policies for integrity monitoring and network intrusion detection
CN108833310B (zh) * 2018-06-12 2020-11-13 国网江苏省电力有限公司无锡供电分公司 具备人工智能分析的交换机
CN110380914A (zh) * 2019-08-22 2019-10-25 北京世纪互联宽带数据中心有限公司 一种流量监控方法及系统
EP4046337A1 (en) 2019-11-03 2022-08-24 Cognyte Technologies Israel Ltd System and method for identifying exchanges of encrypted communication traffic
CN115023926A (zh) * 2020-04-15 2022-09-06 深圳市欢太科技有限公司 流量检测方法、装置、服务器以及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010053769A (ko) * 1999-12-01 2001-07-02 이계철 데이터웨어하우징 기법을 이용한 패킷망 트래픽 특성 및트래픽 산출 장치 및 그 방법
KR20040063494A (ko) * 2003-01-08 2004-07-14 주식회사 케이티 인터넷 트래픽 특성을 이용한 회선의 안정성 진단 장치 및그 방법
KR20040083682A (ko) * 2003-03-24 2004-10-06 학교법인 포항공과대학교 멀티미디어 서비스 트래픽 모니터링 시스템 및 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2337903B (en) * 1998-05-28 2000-06-07 3Com Corp Methods and apparatus for collecting storing processing and using network traffic data
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US7120934B2 (en) * 2000-03-30 2006-10-10 Ishikawa Mark M System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
US6738811B1 (en) * 2000-03-31 2004-05-18 Supermicro Computer, Inc. Method and architecture for monitoring the health of servers across data networks
JP2002281086A (ja) * 2001-03-19 2002-09-27 Kddi Corp トラヒック監視方法およびシステム
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
US7062553B2 (en) * 2001-12-04 2006-06-13 Trend Micro, Inc. Virus epidemic damage control system and method for network environment
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
US20040205419A1 (en) * 2003-04-10 2004-10-14 Trend Micro Incorporated Multilevel virus outbreak alert based on collaborative behavior
US20040225877A1 (en) * 2003-05-09 2004-11-11 Zezhen Huang Method and system for protecting computer system from malicious software operation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010053769A (ko) * 1999-12-01 2001-07-02 이계철 데이터웨어하우징 기법을 이용한 패킷망 트래픽 특성 및트래픽 산출 장치 및 그 방법
KR20040063494A (ko) * 2003-01-08 2004-07-14 주식회사 케이티 인터넷 트래픽 특성을 이용한 회선의 안정성 진단 장치 및그 방법
KR20040083682A (ko) * 2003-03-24 2004-10-06 학교법인 포항공과대학교 멀티미디어 서비스 트래픽 모니터링 시스템 및 방법

Also Published As

Publication number Publication date
KR20050048019A (ko) 2005-05-24
US20050108377A1 (en) 2005-05-19

Similar Documents

Publication Publication Date Title
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
US11805143B2 (en) Method and system for confident anomaly detection in computer network traffic
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
KR100617310B1 (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
KR100748246B1 (ko) 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
JP2010511359A (ja) ネットワーク異常検出のための方法と装置
KR20080066653A (ko) 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법
EP3138008B1 (en) Method and system for confident anomaly detection in computer network traffic
CN110191004B (zh) 一种端口检测方法及系统
KR101336458B1 (ko) 인터넷에서 dns 서버의 실시간 이상 탐지 시스템 및방법
CN115001877A (zh) 一种基于大数据的信息安全运维管理系统及方法
CN102104606B (zh) 一种内网蠕虫主机检测方法
KR20190047809A (ko) Ict 장비 관리 시스템 및 방법
Proença et al. Anomaly detection for network servers using digital signature of network segment
KR101469283B1 (ko) 기업 네트워크 분석 시스템 및 그 방법
KR101351660B1 (ko) 적분을 이용한 이상 트래픽 탐지 시스템 및 이의 이상트래픽 탐지방법
CN110572381A (zh) 一种应用在电力安全保护装置中的智能学习系统及方法
JP3782319B2 (ja) ネットワーク分析装置
Kim et al. Network traffic anomaly detection based on ratio and volume analysis
KR20110001674A (ko) 트래픽 이상 상태 판별 방법
KR20090072436A (ko) 패킷 망에서의 트래픽 관리 방법 및 시스템
CN107968721B (zh) 针对服务器主动放行的方法、网络管控系统及被管控终端
KR20090038123A (ko) 네트워크 관리 시스템, 방법 및 방법 프로그램을 기록한저장매체

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100226

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee