KR100596389B1 - Apparatus and method for managing multi-level traffic flow - Google Patents
Apparatus and method for managing multi-level traffic flow Download PDFInfo
- Publication number
- KR100596389B1 KR100596389B1 KR1020030097247A KR20030097247A KR100596389B1 KR 100596389 B1 KR100596389 B1 KR 100596389B1 KR 1020030097247 A KR1020030097247 A KR 1020030097247A KR 20030097247 A KR20030097247 A KR 20030097247A KR 100596389 B1 KR100596389 B1 KR 100596389B1
- Authority
- KR
- South Korea
- Prior art keywords
- flow
- aggregate
- basic
- basic flow
- predetermined
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000002159 abnormal effect Effects 0.000 claims abstract description 40
- 238000004458 analytical method Methods 0.000 claims abstract description 5
- 238000007726 management method Methods 0.000 claims description 61
- 238000005206 flow analysis Methods 0.000 claims description 13
- 230000008707 rearrangement Effects 0.000 claims description 6
- 230000007704 transition Effects 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 abstract description 8
- 230000002776 aggregation Effects 0.000 description 17
- 238000004220 aggregation Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 4
- 230000002547 anomalous effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크의 트래픽 흐름을 선로 속도(wire speed)로 모니터링하여 비정상적 트래픽 흐름을 감지하기 위한 장치 및 방법에 관한 것으로, 다단계 트래픽 흐름 관리 장치는 소정의 집합 흐름의 대역폭의 변화로 인하여 집합 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 소정의 집합 흐름의 집합 흐름 정보를 전달하고, 소정의 집합 흐름에 대한 기본 흐름 정보를 수집할 것을 명령하는 집합 흐름 관리부; 및 집합 흐름 관리부로부터 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 소정의 기본 흐름의 대역폭의 변화로 인하여 소정의 기본 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 소정의 기본 흐름의 기본 흐름 정보를 전달하는 기본 흐름 관리부를 포함하며, 의심이 가는 트래픽 흐름에 대해서만 세부적으로 분석할 수 있게 함으로서 시스템에 부담을 주지 않으면서도 고속 네트워크의 모든 트래픽 흐름을 선로 속도로 모니터링하여 DoS, DDoS, 웜 등의 비정상적 트래픽 흐름을 정확하고 신속하게 감지할 수 있다. The present invention relates to an apparatus and a method for detecting abnormal traffic flow by monitoring the traffic flow of a network at wire speed, and a multi-stage traffic flow management apparatus includes a method of collecting flow due to a change in bandwidth of a predetermined flow. An aggregate flow management unit instructing to transfer the aggregate flow information of the predetermined aggregate flow and to collect basic flow information for the predetermined aggregate flow when the step is changed to a level indicating an abnormal variation; And when a collection instruction for the basic flow information is received from the aggregate flow management unit, when the step of the predetermined basic flow is changed to a level indicating an abnormal variation due to the change of the bandwidth of the predetermined basic flow, the basic flow of the predetermined basic flow. It includes a basic flow management unit that delivers information, and enables detailed analysis of suspicious traffic flows, monitoring all traffic flows of high-speed networks at line speeds without burdening the system, thereby monitoring DoS, DDoS, and worms. Can detect the abnormal traffic flow accurately and quickly.
Description
도 1은 본 발명에 사용되는 집합 흐름 및 기본 흐름의 일 예를 도시한 도면이다.1 is a view showing an example of the aggregate flow and the basic flow used in the present invention.
도 2는 본 발명의 바람직한 일 실시예에 따른 다단계 트래픽 흐름 관리 장치의 구성도이다.2 is a block diagram of a multi-level traffic flow management apparatus according to an embodiment of the present invention.
도 3은 도 2에 도시된 집합 흐름 테이블 및 기본 흐름 테이블의 일 예를 도시한 도면이다.FIG. 3 is a diagram illustrating an example of the aggregate flow table and the basic flow table shown in FIG. 2.
도 4는 본 발명의 바람직한 일 실시예에 따른 다단계 집합 흐름 관리 방법의 흐름도이다.4 is a flowchart of a multi-stage aggregate flow management method according to an exemplary embodiment of the present invention.
도 5는 본 발명의 바람직한 일 실시예에 따른 다단계 기본 흐름 관리 방법의 흐름도이다.5 is a flowchart of a multi-step basic flow management method according to an embodiment of the present invention.
도 6은 본 발명의 바람직한 일 실시예에 따른 트래픽 흐름 정보 관리 방법의 흐름도이다. 6 is a flowchart illustrating a method for managing traffic flow information according to an embodiment of the present invention.
도 7은 본 발명의 바람직한 일 실시예에 따른 집합 흐름 분석 방법의 흐름도이다. 7 is a flowchart of an aggregate flow analysis method according to an exemplary embodiment of the present invention.
도 8은 본 발명의 바람직한 일 실시예에 따른 기본 흐름 분석 방법의 흐름도 이다. 8 is a flowchart of a basic flow analysis method according to an exemplary embodiment of the present invention.
본 발명은 네트워크의 트래픽 흐름을 선로 속도(wire speed)로 모니터링하여 DoS(Denial of Service), DDoS(Distributed Denial of Service), 웜(worm) 등의 비정상적 트래픽 흐름을 감지하기 위한 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for monitoring abnormal traffic flow such as Denial of Service (DOS), Distributed Denial of Service (DDoS), worm, etc. by monitoring traffic flow of a network at wire speed. will be.
종래의 Meter MIB(Management Information Base), RMON(Remote Monitoring)은 SNMP(Simple Network Management Protocol) 프로토콜을 사용하여 트래픽 흐름 정보를 수집하고 분석하였다. 종래의 NetFlow는 시스코(Cisco)에서 개발한 것으로 IP(Internet Protocol) 트래픽 전용이고, 시스코 장비들에 사용된다는 것을 제외하고는 상기된 방식들과 유사하다. 이러한 방식들은 네트워크 대역폭이 증가함에 따라서 선로 속도로 모니터링하며 분석하는 성능에 한계가 있어 제 기능을 발휘하지 못 한다는 문제점이 있었다. 이러한 문제점을 해결하기 위하여, 샘플링 알고리즘을 이용하여 전체 트래픽 흐름 정보를 수집하는 대신에 일부 트래픽 흐름 정보만을 수집하고 분석하는 방식을 채용하게 되었다. 그러한, 이러한 방식도 일부 트래픽 흐름만에 분석하게 됨으로서 DoS, DDoS, 웜 등의 비정상적 트래픽 흐름을 정확하게 감지하지 못 한다는 문제점이 가지고 있었다. Conventional meters MIB (Management Information Base), RMON (Remote Monitoring) has collected and analyzed traffic flow information using the Simple Network Management Protocol (SNMP) protocol. The conventional NetFlow is developed by Cisco and is similar to the above described except that it is dedicated to Internet Protocol (IP) traffic and is used for Cisco equipment. As the network bandwidth increases, these methods have limitations in the performance of monitoring and analyzing at the line speed. In order to solve this problem, instead of collecting the entire traffic flow information using a sampling algorithm, a method of collecting and analyzing only some traffic flow information has been adopted. Such a method also has a problem in that it does not accurately detect abnormal traffic flows such as DoS, DDoS, and worms by analyzing only some traffic flows.
본 발명이 이루고자 하는 기술적 과제는 네트워크의 모든 트래픽 흐름을 다 단계 집합 흐름(aggregation flow) 및 다단계 기본 흐름(primitive flow)으로 분류하고 관리하여, 의심이 가는 트래픽 흐름에 대해서만 세부적으로 분석할 수 있게 하는 장치 및 방법을 제공하는데 있다.The technical problem to be achieved by the present invention is to classify and manage all traffic flows of the network into a multi-stage aggregation flow and a multi-stage primitive flow, so that detailed analysis can only be performed on suspicious traffic flows. An apparatus and method are provided.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 다단계 트래픽 흐름 관리 장치는 소정의 집합 흐름을 상기 소정의 집합 흐름의 대역폭을 기준으로 다단계 중, 소정의 단계로 분류한 상태에서 상기 소정의 집합 흐름의 대역폭의 변화로 인하여 상기 집합 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 집합 흐름의 집합 흐름 정보를 전달하고, 상기 소정의 집합 흐름에 대한 기본 흐름 정보를 수집할 것을 명령하는 집합 흐름 관리부; 및 상기 집합 흐름 관리부로부터 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 상기 수신된 수집 명령이 지시하는 소정의 기본 흐름을 상기 소정의 기본 흐름의 대역폭을 기준으로 다단계 중, 소정의 단계로 분류한 상태에서 상기 소정의 기본 흐름의 대역폭의 변화로 인하여 상기 소정의 기본 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 기본 흐름의 기본 흐름 정보를 전달하는 기본 흐름 관리부를 포함한다. The multi-stage traffic flow management apparatus according to the present invention for solving the technical problem is a bandwidth of the predetermined aggregate flow in a state in which a predetermined aggregate flow is classified into a predetermined stage among multiple stages based on the bandwidth of the predetermined aggregate flow. When the step of the aggregate flow is changed to a level indicating an abnormal variation due to the change of, the aggregate flow instructing to transfer the aggregate flow information of the predetermined aggregate flow and to collect basic flow information for the predetermined aggregate flow. Management; And when receiving a collection command for basic flow information from the aggregate flow manager, classifying a predetermined basic flow indicated by the received collection command into a predetermined step based on a bandwidth of the predetermined basic flow. And a basic flow management unit for transmitting basic flow information of the predetermined basic flow when the step of the predetermined basic flow is changed to a level indicating an abnormal variation due to a change in bandwidth of the predetermined basic flow in a state.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 따른 다단계 집합 흐름 관리 방법은 (a) 서로 다른 집합 흐름 속성을 갖는 다수의 집합 흐름 엔트리들이 상기 집합 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 집합 흐름 엔트리들을 포함하는 집합 흐름 테이블에 현재 집합 흐름의 집합 흐름 속성과 동일한 집합 흐름 속성을 갖는 소정의 집합 흐름 엔트리가 존재하는 지를 알아보기 위하여 상기 집합 흐름 테이블을 검색하는 단계; (b) 상기 (a) 단계에서 검색된 결과, 상기 소정의 집합 흐름 엔트리가 존재하면, 상기 현재 집합 흐름의 대역폭을 계산하고, 상기 계산된 대역폭을 기준으로 상기 집합 흐름 테이블을 재정렬하는 단계; 및 (c) 상기 (b) 단계에서 재정렬된 결과, 상기 소정의 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 집합 흐름 엔트리의 집합 흐름 정보를 전달하고, 상기 소정의 집합 흐름 엔트리에 대한 기본 흐름 정보를 수집할 것을 명령하는 단계를 포함한다. The multi-stage aggregate flow management method according to the present invention for solving the other technical problem is (a) a plurality of aggregate flow entries having different aggregate flow attributes are arranged in multiple stages based on the bandwidth of each of the aggregate flow entries Searching the aggregate flow table to see if there is a given aggregate flow entry in the aggregate flow table including the flow entries that has the same aggregate flow attribute as the aggregate flow attribute of the current aggregate flow; (b) calculating the bandwidth of the current aggregate flow and reordering the aggregate flow table based on the calculated bandwidth if the predetermined aggregate flow entry exists as a result of the search in step (a); And (c) when the step of the predetermined aggregate flow entry is changed to a level indicating an abnormal variation, as a result of the rearrangement in (b), delivering the aggregate flow information of the predetermined aggregate flow entry, and transmitting the predetermined aggregate. Instructing to collect basic flow information for the flow entry.
상기 또 다른 기술적 과제를 해결하기 위한 본 발명에 따른 다단계 기본 흐름 관리 방법은 (a) 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 서로 다른 기본 흐름 속성을 갖는 다수의 기본 흐름 엔트리들이 상기 기본 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 기본 흐름 엔트리들을 포함하는 기본 흐름 테이블에 현재 기본 흐름의 기본 흐름 속성과 동일한 기본 흐름 속성을 갖는 소정의 기본 흐름 엔트리가 존재하는 지를 알아보기 위하여 상기 기본 흐름 테이블을 검색하는 단계; (b) 상기 (a) 단계에서 검색된 결과, 상기 소정의 기본 흐름 엔트리가 존재하면, 상기 현재 기본 흐름의 대역폭을 계산하고, 상기 계산된 대역폭을 기준으로 상기 기본 흐름 테이블을 재정렬하는 단계; 및 (c) 상기 (b) 단계에서 재정렬된 결과, 상기 소정의 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 기본 흐름 엔트리의 기본 흐름 정보를 전달하는 단계를 포함한다. According to an aspect of the present invention, there is provided a multi-step basic flow management method according to the present invention. (A) When a collection command for basic flow information is received, a plurality of basic flow entries having different basic flow attributes are included in the basic flow. The basic flow table includes basic flow entries arranged in multiple levels based on the bandwidth of each of the entries to determine whether there is a predetermined basic flow entry having the same basic flow attribute as the basic flow attribute of the current basic flow. Retrieving a flow table; (b) if the predetermined basic flow entry exists as a result of the search in step (a), calculating a bandwidth of the current basic flow and reordering the basic flow table based on the calculated bandwidth; And (c) transferring the basic flow information of the predetermined basic flow entry when the step of the predetermined basic flow entry is changed to a level indicating an abnormal variation as a result of the rearrangement in the step (b).
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 사용되는 집합 흐름 및 기본 흐름의 일 예를 도시한 도면이다.1 is a view showing an example of the aggregate flow and the basic flow used in the present invention.
본 발명에서는 네트워크의 모든 트래픽 흐름을 집합 흐름 및 기본 흐름으로 분류한다. 본 발명에 따르면, 일단, 집합 흐름에 대해서 정보를 수집하고 분석하고, 의심이 가는 집합 흐름이 발견된 경우, 이 집합 흐름에 관련된 기본 흐름에 대해서 세부적으로 분석한다. In the present invention, all traffic flows of the network are classified into aggregation flows and basic flows. According to the present invention, once the information is collected and analyzed for the aggregate flow, and when a suspicious aggregate flow is found, the basic flow related to the aggregate flow is analyzed in detail.
도 1을 참조하면, 기본 흐름(11)은 네트워크를 통과하는 트래픽 흐름의 헤더에 포함된 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜의 5 가지 속성(이하, "기본 흐름 속성"이라 한다)이 동일한 흐름을 말한다. 예를 들어, 근원지 주소가 129.254.10.10이고, 목적지 주소가 129.254.10.10이고, 프로토콜이 6이고, 근원지 포트 번호가 11이고, 목적지 포트 번호가 22인 기본 흐름의 bps(bits per second)는 100이다. Referring to FIG. 1, the
집합 흐름(12, 13)은 상기된 5 가지 속성 중에서 어느 일부(이하, "집합 흐름 속성"이라 한다)만이 동일한 흐름을 말한다. 예를 들어, 근원지 주소가 129.254.10.10인 집합 흐름의 bps는 600이다. 이하, 상기된 기본 흐름 속성, bps 등을 포함하는 기본 흐름에 관한 모든 정보를 기본 흐름 정보라고 하고, 상기된 집합 흐름 속성, bps 등을 포함하는 집합 흐름에 관한 모든 정보를 집합 흐름 정보라고 한다. The aggregate flows 12 and 13 refer to the same flow only in any part of the five attributes described above (hereinafter referred to as the "aggregate flow attribute"). For example, the bps of an aggregate flow with a source address of 129.254.10.10 is 600. Hereinafter, all the information about the basic flow including the basic flow attribute, bps, and the like described above is referred to as basic flow information, and all the information about the aggregate flow including the aforementioned aggregate flow attribute, bps and the like is referred to as aggregate flow information.
도 2는 본 발명의 바람직한 일 실시예에 따른 다단계 트래픽 흐름 관리 장치의 구성도이다.2 is a block diagram of a multi-level traffic flow management apparatus according to an embodiment of the present invention.
도 2를 참조하면, 다단계 트래픽 흐름 관리 장치는 집합 흐름 관리부(21), 기본 흐름 관리부(22), 집합 흐름 정보 관리부(23), 기본 흐름 정보 관리부(24), 및 흐름 분석부(25)로 구성된다.Referring to FIG. 2, the multi-level traffic flow management apparatus includes an aggregate flow management unit 21, a basic
집합 흐름 관리부(21)는 집합 흐름들을 대역폭을 기준으로 다단계로 분류하고, 집합 흐름들 각각의 집합 흐름 정보들을 수집하여 관리한다. 즉, 집합 흐름 관리부(21)는 집합 흐름의 대역폭의 변화로 인하여 이 집합 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 집합 흐름 정보 관리부(23)에 이 집합 흐름의 집합 흐름 정보를 전달하고, 기본 흐름 관리부(22)에 이 집합 흐름에 대한 기본 흐름 정보를 수집할 것을 명령한다. The aggregate flow management unit 21 classifies the aggregate flows in multiple stages based on bandwidth, and collects and manages aggregate flow information of each aggregate flow. That is, when the flow of the aggregate flow changes to a level indicating an abnormal variation due to the change of the bandwidth of the aggregate flow, the aggregate flow management unit 21 transmits the aggregate flow information of the aggregate flow to the aggregate flow information management unit 23. Instructs the basic
도 2를 참조하면, 집합 흐름 관리부(21)는 집합 흐름 테이블 검색부(211), 집합 흐름 테이블 관리부(212), 및 집합 흐름 테이블(213)로 구성된다. 집합 흐름 속성이 근원지 주소라고 하고, 집합 흐름 관리부(21)를 보다 상세하게 설명하면 다음과 같다.Referring to FIG. 2, the aggregation flow management unit 21 includes an aggregation flow
집합 흐름 테이블 검색부(211)는 집합 흐름 테이블(213)에 현재 집합 흐름의 근원지 주소와 동일한 근원지 주소를 갖는 집합 흐름 엔트리가 존재하는 지를 알아보기 위하여 집합 흐름 테이블을 검색한다. 집합 흐름 테이블(213)은 집합 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 다수의 집합 흐름 엔트리들을 포함하고, 이 다수의 집합 흐름 엔트리들은 서로 다른 근원지 주소를 갖는다. The aggregate flow
집합 흐름 테이블 관리부(212)는 집합 흐름 테이블 검색부(211)에서 검색된 결과, 현재 집합 흐름의 근원지 주소와 동일한 근원지 주소를 갖는 집합 흐름 엔트리가 존재하면, 현재 집합 흐름의 대역폭을 계산하고, 대역폭을 기준으로 집합 흐름 테이블을 재정렬하고, 재정렬된 결과, 이 근원지 주소를 갖는 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우에는 이 근원지 주소를 갖는 집합 흐름 엔트리의 집합 흐름 정보를 집합 흐름 정보 관리자(23)에게 전달하고, 동일한 근원지 주소를 갖는 집합 흐름 엔트리에 대한 기본 흐름 정보를 수집할 것을 명령한다. 이때, 동일한 단계의 집합 흐름 엔트리들은 동일한 단계 내에서 도착 시간을 기준으로 정렬되어 있다. 집합 흐름 테이블 관리부(212)는 현재 집합 흐름의 도착 시간을 기준으로 집합 흐름 테이블(213)을 재정렬한다. 여기에서, 이상 변이를 나타내는 수준으로 변화된 경우란 각 집합 흐름의 대역폭을 로그 함수에 기반하여 여러 단계들로 분류한 상태에서, 현재 집합 흐름의 대역폭의 단계가 일정 수준 이상으로 변화된 경우를 말한다. 이 대역폭은 bps를 측정하여 계산한다. 집합 흐름 테이블 관리부(212)는 집합 흐름을 보다 정밀하게 분석하기 위하여 bps 이외에 pps(packet per second)를 측정하기도 한다. The aggregation flow
집합 흐름 테이블 관리부(212)는 집합 흐름 테이블 검색부(211)에서 검색된 결과, 현재 집합 흐름의 근원지 주소와 동일한 근원지 주소를 갖는 집합 흐름 엔트리가 존재하지 않으면, 집합 흐름 테이블(213)에 새로운 집합 흐름 엔트리를 추가할 공간이 존재하는 지를 검색하고, 검색된 결과, 추가할 공간이 존재한다면 현재 집합 흐름을 집합 흐름 테이블(213)의 새로운 집합 흐름 엔트리로 추가하고, 추가 할 공간이 존재하지 않는다면 대역폭 및 도착 시간을 기준으로 이상 변이의 가능성이 가장 낮은 집합 흐름 엔트리를 삭제하고, 현재 집합 흐름을 집합 흐름 테이블(213)의 새로운 집합 흐름 엔트리로 추가한다. If the aggregate flow
기본 흐름 관리부(22)는 기본 흐름들을 대역폭을 기준으로 다단계로 분류하고, 기본 흐름들 각각의 기본 흐름 정보들을 수집하여 관리한다. 즉, 기본 흐름 관리부(21)는 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 수신된 수집 명령이 지시하는 기본 흐름의 대역폭의 변화로 인하여 이 기본 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 기본 흐름 정보 관리부(23)에 이 기본 흐름의 집합 흐름 정보를 전달한다. The
도 2를 참조하면, 기본 흐름 관리부(22)는 기본 흐름 수집 명령 수신부(221), 기본 흐름 테이블 검색부(222), 기본 흐름 테이블 관리부(223), 및 기본 흐름 테이블(224)로 구성된다. 기본 흐름 속성이 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜이라고 하고, 기본 흐름 관리부(22)를 보다 상세하게 설명하면 다음과 같다.Referring to FIG. 2, the
기본 흐름 수집 명령 수신부(221)는 집합 흐름 관리자(21)로부터 기본 흐름 정보에 대한 수집 명령을 수신하고, 만약 수집 명령을 수신하면 기본 흐름 테이블 검색부(222)에 그 사실을 알려 기본 흐름 정보 수집을 시작하도록 한다. The basic flow collection
기본 흐름 테이블 검색부(222)는 기본 흐름 테이블(224)에 현재 기본 흐름의 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜과 동일한 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로 토콜을 갖는 기본 흐름 엔트리가 존재하는 지를 알아보기 위하여 기본 흐름 테이블(224)을 검색한다. 기본 흐름 테이블(224)은 기본 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 다수의 기본 흐름 엔트리들을 포함하고, 이 다수의 기본 흐름 엔트리들은 서로 다른 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는다.The base flow
기본 흐름 테이블 관리부(223)는 기본 흐름 테이블 검색부(222)에서 검색된 결과, 현재 기본 흐름의 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜과 동일한 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리가 존재하면, 현재 기본 흐름의 대역폭을 계산하고, 대역폭을 기준으로 기본 흐름 테이블을 재정렬하고, 재정렬된 결과, 이 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우에는 이 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리의 기본 흐름 정보를 기본 흐름 정보 관리자(24)에게 전달한다. 이때, 동일한 단계의 기본 흐름 엔트리들은 동일한 단계 내에서 도착 시간을 기준으로 정렬되어 있다. 기본 흐름 테이블 관리부(223)는 현재 기본 흐름의 도착 시간을 기준으로 기본 흐름 테이블(224)을 재정렬한다. 여기에서, 이상 변이를 나타내는 수준으로 변화된 경우란 각 기본 흐름의 대역폭을 로그 함수에 기반하여 여러 단계들로 분류한 상태에서, 현재 기본 흐름의 대역폭의 단계가 일정 수준 이상으로 변화된 경우를 말한다. The base flow
기본 흐름 테이블 관리부(223)는 기본 흐름 테이블 검색부(222)에서 검색된 결과, 현재 기본 흐름의 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜과 동일한 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리가 존재하지 않으면, 기본 흐름 테이블(224)에 새로운 기본 흐름 엔트리를 추가할 공간이 존재하는 지를 검색하고, 검색된 결과, 추가할 공간이 존재한다면 현재 기본 흐름을 기본 흐름 테이블(224)의 새로운 기본 흐름 엔트리로 추가하고, 추가할 공간이 존재하지 않는다면 대역폭 및 도착 시간을 기준으로 이상 변이의 가능성이 가장 낮은 기본 흐름 엔트리를 삭제하고, 현재 기본 흐름을 기본 흐름 테이블(224)의 새로운 기본 흐름 엔트리로 추가한다. The base flow
집합 흐름 정보 관리부(23)는 집합 흐름 관리부(21)로부터 집합 흐름 정보를 수신한 경우, 수신된 집합 흐름 정보를 저장한다. 도 2를 참조하면, 집합 흐름 정보 관리부(23)는 집합 흐름 정보 저장부(231) 및 집합 흐름 데이터베이스(232)로 구성된다. 집합 흐름 정보 저장부(231)는 집합 흐름 관리부(21)로부터 집합 흐름 정보를 수신한 경우, 수신된 집합 흐름 정보를 집합 흐름 데이터베이스(232)에 저장한다When the aggregate flow information management unit 23 receives the aggregate flow information from the aggregate flow management unit 21, the aggregate flow information management unit 23 stores the received aggregate flow information. Referring to FIG. 2, the aggregation flow information management unit 23 includes an aggregation flow
기본 흐름 정보 관리부(24)는 기본 흐름 관리부(22)로부터 기본 흐름 정보를 수신한 경우, 수신된 기본 흐름 정보를 저장한다. 도 2를 참조하면, 기본 흐름 정보 관리부(24)는 기본 흐름 정보 저장부(241), 기본 흐름 데이터베이스(242), 집합 흐름 정보 생성부(243), 및 집합 흐름 데이터베이스(244)로 구성된다. 기본 흐름 정보 저장부(241)는 기본 흐름 관리부(22)로부터 기본 흐름 정보를 수신한 경우, 수신된 기본 흐름 정보를 기본 흐름 데이터베이스(242)에 저장한다. 집합 흐름 정보 생성부(243)는 기본 흐름 데이터베이스(242)에 저장된 기본 흐름 정보에 대해 집합 흐름 속성, 즉 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜 중 일부를 기준으로 집합 흐름 정보를 생성한다. 예를 들어, 도 1에 도시된 집합 흐름 정보(12)는 기본 흐름 정보(11)에 대해 근원지 주소를 기준으로 집합 흐름 정보를 생성한 것이고, 집합 흐름 정보(13)는 기본 흐름 정보(11)에 대해 목적지 주소 및 목적지 포트 번호를 기준으로 집합 흐름 정보를 생성한 것이다. When the basic flow information manager 24 receives the basic flow information from the
흐름 분석부(25)는 집합 흐름 정보 관리부(23)에서 저장된 집합 흐름 정보를 분석하고, 기본 흐름 정보 관리부(24)에서 저장된 기본 흐름 정보를 분석하고, 분석된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고한다.The flow analysis unit 25 analyzes the aggregate flow information stored in the aggregate flow information management unit 23, analyzes the basic flow information stored in the basic flow information management unit 24, and if the analysis results indicate abnormal traffic flow, abnormal traffic Report as flow.
도 2를 참조하면, 흐름 분석부(25)는 흐름 정보 추출부(251), bps/pps 분석부(252), 토폴로지(topology) 분석부(253), 트래픽 량(traffic volume) 분석부(254), 및 트래픽 분포(traffic distribution) 분석부(255)로 구성된다. Referring to FIG. 2, the flow analyzer 25 may include a
흐름 정보 추출부(251)는 기본 흐름 데이터베이스(242)로부터 기본 흐름 정보를 추출하고, 집합 흐름 데이터베이스(232, 244)로부터 집합 흐름 정보를 추출한다. bps/pps 분석부(252)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 bps, pps와 프로파일에 포함된 bps, pps를 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다. 이때, 보다 정밀하게 분석하기 위하여 bps, pps의 변화량뿐만 아니라 변화 속도를 측정하기도 한다. 여기에서, 프로파일은 시스템이 평상시에 사용하는 정상적인 트래픽 흐름에 대한 정보이고, 이하 동일하다. The
토폴로지 분석부(253)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 토폴로지와 프로파일에 포함된 토폴로지를 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다. 트래픽 량 분석부(254)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 트래픽 량과 프로파일에 포함된 트래픽 량을 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다. 트래픽 분포 분석부(255)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 분포와 프로파일에 포함된 분포를 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다. The
도 3은 도 2에 도시된 집합 흐름 테이블 및 기본 흐름 테이블의 일 예를 도시한 도면이다.FIG. 3 is a diagram illustrating an example of the aggregate flow table and the basic flow table shown in FIG. 2.
도 3을 참조하면, 집합 흐름 테이블 및 기본 흐름 테이블은 대역폭을 기준으 로 집합 흐름 또는 기본 흐름을 다단계로 분류하고, 대역폭이 좁은 순서대로 아래로부터 위로 정렬하였다. 또한, 동일한 단계에서는, 즉 동일한 행에서는 도착 시간이 늦은 순서대로 왼쪽에서 오른쪽으로 정렬하였다. 일정 시간 이상 동안 대역폭이 좁은 동일한 집합 흐름 또는 기본 흐름이 발생하지 않는다면, 이 흐름은 이상 변이일 가능성이 낮기 때문에 집합 흐름 테이블 또는 기본 흐름 테이블에서 가장 먼저 삭제되어야 한다. 도 3에서는 흐름 8이 이상 변이의 가능성이 가장 낮다.Referring to FIG. 3, the aggregate flow table and the basic flow table classify the aggregate flow or the basic flow in multiple stages based on the bandwidth, and arrange the bandwidth from the bottom up in order of narrow bandwidth. In addition, in the same step, that is, in the same row, the arrival times are arranged from left to right in the order of late arrival. If the same aggregate flow or elementary flow with narrow bandwidths does not occur for more than a certain period of time, this flow should be deleted first in the aggregate flow table or elementary flow table because it is unlikely to be anomalous. In FIG. 3, flow 8 has the lowest probability of anomalous variation.
도 4는 본 발명의 바람직한 일 실시예에 따른 다단계 집합 흐름 관리 방법의 흐름도이다.4 is a flowchart of a multi-stage aggregate flow management method according to an exemplary embodiment of the present invention.
도 4를 참조하면, 다단계 집합 흐름 관리 방법은 다음과 같은 단계들로 구성된다. 다단계 집합 흐름 관리 방법은 도 2에 도시된 집합 흐름 관리부(21)에서 수행된다. Referring to Figure 4, the multi-stage aggregate flow management method is composed of the following steps. The multi-stage aggregate flow management method is performed by the aggregate flow management unit 21 shown in FIG. 2.
서로 다른 집합 흐름 속성을 갖는 다수의 집합 흐름 엔트리들이 집합 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 집합 흐름 엔트리들을 포함하는 집합 흐름 테이블에 현재 집합 흐름의 집합 흐름 속성과 동일한 집합 흐름 속성을 갖는 집합 흐름 엔트리가 존재하는 지를 알아보기 위하여 집합 흐름 테이블을 검색한다. 검색된 결과, 이 집합 흐름 엔트리가 존재하면(41), 이어서 현재 집합 흐름의 대역폭을 계산하고(42), 계산된 대역폭을 기준으로 집합 흐름 테이블을 재정렬한다(43). 재정렬된 결과, 이 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우(44), 이어서 이 집합 흐름 엔트리의 집합 흐름 정보를 전달하고, 이 집합 흐름 엔트리에 대한 기본 흐름 정보를 수집할 것을 명령한다(48). 만약, 이 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화되지 않은 경우에는 처음 단계로 귀환한다. A plurality of aggregate flow entries with different aggregate flow attributes may have the same aggregate flow attribute in the aggregate flow table as the aggregate flow attribute of the current aggregate flow in the aggregate flow table that includes aggregate flow entries arranged in multiple stages based on the bandwidth of each aggregate flow entry. The aggregate flow table is searched to see if any aggregate flow entries are present. As a result of the search, if this aggregate flow entry exists (41), then the bandwidth of the current aggregate flow is calculated (42), and the aggregate flow table is rearranged (43) based on the calculated bandwidth. As a result of the rearrangement, if the stage of this aggregate flow entry has changed to a level indicating anomalous variation (44), then the aggregate flow information of this aggregate flow entry is passed, and the command is to collect basic flow information for this aggregate flow entry. (48). If the stage of the aggregate flow entry has not been changed to the level indicating the abnormal variation, it returns to the first stage.
검색된 결과, 만약 이 집합 흐름 엔트리가 존재하지 않으면, 이어서 집합 흐름 테이블에 새로운 집합 흐름 엔트리를 추가할 공간이 존재하는 지를 검색한다. 검색된 결과, 추가할 공간이 존재한다면(45), 이어서 현재 집합 흐름을 집합 흐름 테이블의 새로운 집합 흐름 엔트리로 추가하고(47), 추가할 공간이 존재하지 않는다면(45), 대역폭 및 도착 시간을 기준으로 이상 변이의 가능성이 가장 낮은 집합 흐름 엔트리를 삭제하고(46), 현재 집합 흐름을 집합 흐름 테이블의 새로운 집합 흐름 엔트리로 추가한다(47).As a result of the search, if this aggregate flow entry does not exist, then it is searched whether there is space to add a new aggregate flow entry to the aggregate flow table. As a result of the search, if there is space to add (45), then the current aggregate flow is added as a new aggregate flow entry in the aggregate flow table (47), and if there is no space to add (45), based on bandwidth and arrival time In
도 5는 본 발명의 바람직한 일 실시예에 따른 다단계 기본 흐름 관리 방법의 흐름도이다.5 is a flowchart of a multi-step basic flow management method according to an embodiment of the present invention.
도 5를 참조하면, 다단계 기본 흐름 관리 방법은 다음과 같은 단계들로 구성된다. 다단계 기본 흐름 관리 방법은 기본 흐름 관리부(22)에서 수행된다.Referring to Figure 5, the multi-step basic flow management method is composed of the following steps. The multi-step basic flow management method is performed by the basic
기본 흐름 정보에 대한 수집 명령을 수신한 경우, 서로 다른 기본 흐름 속성을 갖는 다수의 기본 흐름 엔트리들이 기본 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 기본 흐름 엔트리들을 포함하는 기본 흐름 테이블에 현재 기본 흐름의 기본 흐름 속성과 동일한 기본 흐름 속성을 갖는 기본 흐름 엔트리가 존재하는 지를 알아보기 위하여 기본 흐름 테이블을 검색한다. 검색된 결과, 이 기본 흐름 엔트리가 존재하면(51), 이어서 현재 기본 흐름의 대역폭을 계산하고(52), 계산된 대역폭을 기준으로 기본 흐름 테이블을 재정렬한다(53). 재정렬된 결과, 이 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우(54), 이어서 이 기본 흐름 엔트리의 기본 흐름 정보를 전달한다(58). 만약, 이 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화되지 않은 경우에는 처음 단계로 귀환한다. Upon receiving a collection command for basic flow information, a plurality of basic flow entries with different basic flow attributes are present in the basic flow table, which includes basic flow entries arranged in multiple stages based on the bandwidth of each of the basic flow entries. The base flow table is searched to see if there is a base flow entry with the same base flow attributes as the base flow attributes of the base flow. If it is found that this elementary flow entry is present (51), then the bandwidth of the current elementary flow is calculated (52), and the elementary flow table is rearranged (53) based on the calculated bandwidth. As a result of the rearrangement, if the step of this basic flow entry has changed to a level representing anomalies (54), then the basic flow information of this basic flow entry is conveyed (58). If the step of this basic flow entry has not changed to the level indicating an abnormal variation, it returns to the first step.
검색된 결과, 만약 이 기본 흐름 엔트리가 존재하지 않으면(51), 기본 흐름 테이블에 현재 기본 흐름을 추가할 공간이 존재하는 지를 검색한다. 검색된 결과, 추가할 공간이 존재한다면(55), 이어서 현재 기본 흐름을 새로운 기본 흐름 엔트리로 추가하고(57), 추가할 공간이 존재하지 않는다면(55), 이어서 대역폭 및 도착 시간을 기준으로 이상 변이가 발생할 가능성이 가장 낮은 기본 흐름 엔트리를 삭제하고(56), 현재 기본 흐름을 기본 흐름 테이블의 새로운 기본 흐름 엔트리로 추가한다(57).As a result of the search, if this basic flow entry does not exist (51), it is searched whether there is space in the basic flow table to add the current basic flow. As a result of the search, if there is space to add (55), then add the current basic flow as a new basic flow entry (57), if there is no space to add (55), then anomaly based on bandwidth and arrival time Deletes the default flow entry that is least likely to occur (56) and adds the current default flow as a new default flow entry in the basic flow table (57).
도 6은 본 발명의 바람직한 일 실시예에 따른 트래픽 흐름 정보 관리 방법의 흐름도이다. 6 is a flowchart illustrating a method for managing traffic flow information according to an embodiment of the present invention.
도 6을 참조하면, 트래픽 흐름 정보 관리 방법은 다음과 같은 단계들로 구성된다. 트래픽 흐름 정보 관리 방법은 도 2에 도시된 집합 흐름 정보 관리부(23) 및 기본 흐름 정보 관리부(24)에서 수행된다.Referring to Figure 6, the traffic flow information management method is composed of the following steps. The traffic flow information management method is performed by the aggregate flow information management unit 23 and the basic flow information management unit 24 shown in FIG.
집합 흐름 정보를 수신한 경우(61), 수신된 집합 흐름 정보를 집합 흐름 정보 관리부(23)에 포함된 집합 흐름 데이터베이스에 저장한다. 기본 흐름 정보를 수신한 경우(61), 수신된 기본 흐름 정보를 기본 흐름 데이터베이스에 저장한다(62). 이어서, 기본 흐름 데이터베이스에 저장된 기본 흐름 정보에 대해 여러 가지 집합 흐름 속성들을 기준으로 집합 흐름 정보를 생성하고, 생성된 집합 흐름 정보를 기본 흐름 정보 관리부(24)에 포함된 집합 흐름 데이터베이스에 저장한다(65).When the aggregate flow information is received (61), the received aggregate flow information is stored in the aggregate flow database included in the aggregate flow information management unit 23. When the basic flow information is received (61), the received basic flow information is stored in the basic flow database (62). Subsequently, the aggregate flow information is generated based on various aggregate flow attributes with respect to the basic flow information stored in the basic flow database, and the generated aggregate flow information is stored in the aggregate flow database included in the basic flow information manager 24 ( 65).
도 7은 본 발명의 바람직한 일 실시예에 따른 집합 흐름 분석 방법의 흐름도이다. 7 is a flowchart of an aggregate flow analysis method according to an exemplary embodiment of the present invention.
도 7을 참조하면, 집합 흐름 분석 방법은 다음과 같은 단계들로 구성된다. 집합 흐름 분석 방법은 도 2에 도시된 흐름 분석부(25)에서 수행된다.Referring to Figure 7, the aggregate flow analysis method is composed of the following steps. The aggregate flow analysis method is performed by the flow analyzer 25 shown in FIG. 2.
집합 흐름 정보 관리부(23)에 포함된 집합 흐름 데이터베이스로부터 집합 흐름 정보를 추출한다(71). 이어서, 집합 흐름 데이터베이스로부터 추출된 집합 흐름 정보에 포함된 bps, pps와 프로파일에 포함된 bps, pps를 비교한다(72). 비교된 결과, 비정상적 트래픽 흐름을 나타내면(73), 이어서 비정상적 트래픽 흐름으로 보고하고(74), 비정상적 트래픽 흐름을 나타내지 않으면(73), 이어서 추출된 집합 흐름 정보를 기반으로 프로파일을 갱신한다(75).The set flow information is extracted from the set flow database included in the set flow information management unit 23 (71). Subsequently, the bps and pps included in the aggregate flow information extracted from the aggregate flow database are compared with the bps and pps included in the profile (72). As a result of the comparison, if an abnormal traffic flow is indicated (73), then it is reported as an abnormal traffic flow (74), and if the abnormal traffic flow is not represented (73), then the profile is updated based on the extracted aggregate flow information (75). .
도 8은 본 발명의 바람직한 일 실시예에 따른 기본 흐름 분석 방법의 흐름도이다. 8 is a flowchart of a basic flow analysis method according to an exemplary embodiment of the present invention.
도 8을 참조하면, 기본 흐름 분석 방법은 다음과 같은 단계들로 구성된다. 기본 흐름 분석 방법은 도 2에 도시된 흐름 분석부(25)에서 수행된다.Referring to Figure 8, the basic flow analysis method is composed of the following steps. The basic flow analysis method is performed by the flow analysis unit 25 shown in FIG.
기본 흐름 데이터베이스로부터 기본 흐름 정보를 추출하고, 집합 흐름 데이터베이스로부터 집합 흐름 정보를 추출한다(81). 이어서, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 bps, pps의 변화 속도를 계산하고, 프로파일에 포함된 bps, pps의 변화 속도와 비교한다(82). 상기된 집합 흐름 분석 과정에서 bps, pps의 변화량을 비교하였기 때문에, 여기에서는 보충적으로 bps, pps의 변화 속도를 비교한다. 또한, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 토폴로지와 프로파일에 포함된 토폴로지를 비교한다(83). 또한, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 트래픽 량과 프로파일에 포함된 트래픽 량을 비교한다(84). 또한, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 트래픽 분포와 프로파일에 포함된 트래픽 분포를 비교한다(85). Basic flow information is extracted from the basic flow database, and aggregate flow information is extracted from the aggregate flow database (81). Next, the rate of change of the bps and pps included in the extracted basic flow information or the aggregate flow information is calculated and compared with the rate of change of the bps and pps included in the profile (82). Since the variation of bps and pps was compared in the aggregate flow analysis process described above, the variation rate of bps and pps is complementarily compared here. In addition, the topology included in the extracted basic flow information or aggregate flow information is compared with the topology included in the profile (83). In addition, the amount of traffic included in the extracted basic flow information or aggregate flow information is compared with the amount of traffic included in the profile (84). In addition, the traffic distribution included in the extracted basic flow information or aggregate flow information is compared with the traffic distribution included in the profile (85).
비교된 결과, 비정상적 트래픽 흐름을 나타내면(86), 이어서 비정상적 트래픽 흐름으로 보고하고(87), 비정상적 트래픽 흐름을 나타내지 않으면(86), 이어서 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다(88).If the comparison shows an abnormal traffic flow (86), then reports it as an abnormal traffic flow (87), and if it does not indicate an abnormal traffic flow (86), then the profile is updated based on the extracted basic flow information or aggregate flow information. (88).
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. Meanwhile, the above-described embodiments of the present invention can be written as a program that can be executed in a computer, and can be implemented in a general-purpose digital computer that operates the program using a computer-readable recording medium.
상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함한다.The computer-readable recording medium may be a magnetic storage medium (for example, a ROM, a floppy disk, a hard disk, etc.), an optical reading medium (for example, a CD-ROM, a DVD, etc.) and a carrier wave (for example, the Internet). Storage medium).
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
본 발명에 따르면, 네트워크의 모든 트래픽 흐름을 다단계 집합 흐름 및 다단계 기본 흐름으로 분류하고 관리하여, 의심이 가는 트래픽 흐름에 대해서만 세부적으로 분석할 수 있게 함으로서 시스템에 부담을 주지 않으면서도 고속 네트워크의 모든 트래픽 흐름을 선로 속도로 모니터링하여 DoS, DDoS, 웜 등의 비정상적 트래픽 흐름을 정확하고 신속하게 감지할 수 있다는 효과가 있다. According to the present invention, by classifying and managing all traffic flows of the network into multi-stage aggregate flows and multi-stage basic flows, it is possible to analyze in detail only the suspicious traffic flows so that all traffic of the high-speed network without burdening the system By monitoring the flow at the line speed, it is effective to detect abnormal traffic flow such as DoS, DDoS, and worm accurately and quickly.
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030097247A KR100596389B1 (en) | 2003-12-26 | 2003-12-26 | Apparatus and method for managing multi-level traffic flow |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020030097247A KR100596389B1 (en) | 2003-12-26 | 2003-12-26 | Apparatus and method for managing multi-level traffic flow |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050066048A KR20050066048A (en) | 2005-06-30 |
KR100596389B1 true KR100596389B1 (en) | 2006-07-03 |
Family
ID=37257173
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020030097247A KR100596389B1 (en) | 2003-12-26 | 2003-12-26 | Apparatus and method for managing multi-level traffic flow |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100596389B1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100656340B1 (en) * | 2004-11-20 | 2006-12-11 | 한국전자통신연구원 | Apparatus for analyzing the information of abnormal traffic and Method thereof |
KR100938647B1 (en) * | 2007-12-13 | 2010-01-25 | 한국전자통신연구원 | Apparatus and method for storing flow data according to results of analysis of flow data |
KR100926115B1 (en) * | 2007-12-17 | 2009-11-11 | 한국전자통신연구원 | Apparatus and method for automatically analyzing a program for detecting malicious codes triggered under an certain event/context |
KR20120136507A (en) | 2011-06-09 | 2012-12-20 | 삼성전자주식회사 | Node apparatus and method that prevent overflow of pending interest table in network system of name base |
-
2003
- 2003-12-26 KR KR1020030097247A patent/KR100596389B1/en not_active IP Right Cessation
Non-Patent Citations (1)
Title |
---|
2002.11. |
Also Published As
Publication number | Publication date |
---|---|
KR20050066048A (en) | 2005-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220200876A1 (en) | Hierarchical aggregation of select network traffic statistics | |
Yuan et al. | ProgME: towards programmable network measurement | |
US9565076B2 (en) | Distributed network traffic data collection and storage | |
US8654655B2 (en) | Detecting and classifying anomalies in communication networks | |
US8549139B2 (en) | Method and system for monitoring control signal traffic over a computer network | |
EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
JP2010041471A (en) | Communication data statistical apparatus, communication data statistical method and program | |
JP4860745B2 (en) | BGP traffic fluctuation monitoring apparatus, method, and system | |
CN115102907B (en) | Active large flow accurate identification method and system based on small flow filtering | |
Mahmood et al. | An efficient clustering scheme to exploit hierarchical data in network traffic analysis | |
CN114401516B (en) | 5G slice network anomaly detection method based on virtual network traffic analysis | |
CN109952743B (en) | System and method for low memory and low flow overhead high flow object detection | |
CN112822077B (en) | Method and system for measuring total network flow in data center network and packet loss detection method | |
KR100596389B1 (en) | Apparatus and method for managing multi-level traffic flow | |
Luckie | Spurious routes in public bgp data | |
KR101469283B1 (en) | The enterprise network analysis system and its method | |
JP4871775B2 (en) | Statistical information collection device | |
KR100688078B1 (en) | Internet traffic analysis system and method, and DBMS Schema evolution method in the system | |
KR100723884B1 (en) | Measurement system and method for estimating goodput of internet tcp flow | |
CN117527367A (en) | Tracing method, tracing device, tracing processor and storage medium based on multi-granularity ciphertext traffic flow correlation characteristic characterization model | |
Bartoš et al. | Network anomaly detection: comparison and real-time issues | |
JP4955083B2 (en) | Traffic fluctuation monitoring device, traffic fluctuation monitoring method, and traffic fluctuation monitoring system | |
Kobayashi et al. | Traffic monitoring system based on correlation between BGP messages and traffic data | |
Oliveira et al. | The elusive Effect of Routing Dynamics on Traffic Anomalies | |
KR20050059649A (en) | System and method for measuring traffice, and the storage media having program thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20110609 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |