KR100617310B1 - 네트워크 트래픽 이상 징후 감지 장치 및 그 방법 - Google Patents

네트워크 트래픽 이상 징후 감지 장치 및 그 방법 Download PDF

Info

Publication number
KR100617310B1
KR100617310B1 KR1020040077621A KR20040077621A KR100617310B1 KR 100617310 B1 KR100617310 B1 KR 100617310B1 KR 1020040077621 A KR1020040077621 A KR 1020040077621A KR 20040077621 A KR20040077621 A KR 20040077621A KR 100617310 B1 KR100617310 B1 KR 100617310B1
Authority
KR
South Korea
Prior art keywords
traffic
network
collected
threshold value
threshold
Prior art date
Application number
KR1020040077621A
Other languages
English (en)
Other versions
KR20060028601A (ko
Inventor
김현주
이수형
김진오
장범환
나중찬
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040077621A priority Critical patent/KR100617310B1/ko
Priority to US11/082,031 priority patent/US20060067240A1/en
Publication of KR20060028601A publication Critical patent/KR20060028601A/ko
Application granted granted Critical
Publication of KR100617310B1 publication Critical patent/KR100617310B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/20Arrangements for detecting or preventing errors in the information received using signal quality detector
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5032Generating service level reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Abstract

본 발명에 의한 네트워크 이상 징후 감지 장치는 네트워크 이상 징후 감지 장치는 네트워크상의 적어도 하나 이상의 트래픽 수집 지점에서 수집된 트래픽을 가공하는 전처리부; 상기 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하는 프로파일러; 상기 트래픽을 기초로 적어도 하나 이상의 임계치를 생성하여 출력하는 분석모델부; 및 상기 네트워크상의 전체 트래픽중에서 상기 트래픽의 상대적 비율과 상기 임계치를 비교하여 상기 네트워크의 이상여부를 판단하는 분석부;를 포함하는 것을 특징으로 하며 전체 트래픽에 대한 상대적인 비율을 이용한 분석 방법과 볼륨에 기반한 분석 방법을 혼합하여 사용함으로써 비율이 제공하는 트래픽 양의 상대성과 볼륨이 제공하는 절대성의 특성을 모두 고려하여 이상 상태를 판단함으로써 보다 신뢰성 있는 판단을 제공할 수 있다.
네트워크 트래픽 분석, 이상 징후 감지, 상대적 비율, 모비율

Description

네트워크 트래픽 이상 징후 감지 장치 및 그 방법{Apparatus for detecting abnormality of traffic in network and method thereof}
도 1은 본 발명이 적용되는 전체 네트워크 구성도를 보여준다.
도 2는 본 발명에 의한 네트워크 트래픽 이상 징후 감지 장치의 블럭도를 보여준다.
도 3은 본 발명에 의한 네트워크 트래픽 이상 징후 감지 방법의 흐름을 보여주는 흐름도이다.
본 발명은 네트워크 보안 분야에 관한 것으로서, 특히 전체 트래픽에 대한 상대적 비율을 이용하여 네트워크 트래픽을 분석함으로써 네트워크의 이상 징후를 감지하여 네트워크의 성능 저하와 마비 및 폭주 등의 이상 상태에 대한 보다 빠른 대응을 하기 위한 네트워크 이상 징후 감지 장치 및 그 방법에 관한 것이다.
기존의 네트워크 트래픽 분석은 가입자 망의 링크 상에서 발생하는 트래픽을 수집하고 처리하여, 트래픽의 볼륨에 대한 통계 자료를 생성하여 관리자에게 보고하거나 이에 대해 대응을 하는 형태가 대부분이다. 즉 네트워크 가입자 접속단에서 트래픽을 분류 및 분석하고 네트워크의 이상 상태를 판단하기 위해 해당 트래픽의 볼륨을 측정하여 관리자가 설정한 트래픽 볼륨 기반의 임계치를 초과하는 경우 이를 이상 상태로 판단하는 방법이다.
그러나 이러한 트래픽 분석 방법은 네트워크 전체의 성능에 영향을 미칠 수 있는 이상 상태를 판단하기가 쉽지 않고, 트래픽 볼륨 기반의 임계치는 해당 트래픽 볼륨에 대한 절대적인 값이므로 적용되는 네트워크의 크기에 따라서 다르게 적용되어야 하고 그 값을 적절히 설정하는데 어려움이 있다는 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위한 것으로, 전체 트래픽에 대한 상대적인 비율을 이용함으로써 분석하고자 하는 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하여 트래픽의 비율 기반의 임계치를 각각 생성하여 트래픽 분석을 수행하고, 또한 볼륨 기반의 임계치를 사용하여 앞서 판단된 이상 상태에 대한 검증 작업을 거치는 혼합 형태를 취함으로써 네트워크의 규모와 특성에 상관없이 적용할 수 있는 유연성과 신뢰성을 가진 네트워크 이상 징후 감지 장치 및 그 방법을 제공하는데 있다.
상기의 기술적 과제를 해결하기 위하여 본 발명에 의한 네트워크 이상 징후 감지 장치는 네트워크상의 적어도 하나 이상의 트래픽 수집 지점에서 수집된 트래픽을 가공하는 전처리부; 상기 수집된 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하는 프로파일러; 상기 수집된 트래픽을 기초로 적어도 하나 이상의 임계치를 생성하여 출력하는 분석모델부; 및 상기 네트워크상의 전체 트래픽중에서 상기 수집된 트래픽의 상대적 비율과 상기 임계치를 비교하여 상기 네트워크의 이상여부를 판단하는 분석부;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 해결하기 위하여 본 발명에 의한 네트워크 이상 징후 감지 방법은 네트워크의 각 지점에서 수집되는 트래픽을 수신하여 상기 트래픽의 특성에 따른 정상상태 트래픽을 모델링하는 단계; 상기 수집된 트래픽에 대하여 상기 네트워크상의 전체 트래픽에 대한 상대적 비율로 제1임계치를 설정하고, 상기 수집된 트래픽의 절대적 볼륨을 기준으로 제2임계치를 설정하는 단계; 상기 모델링 결과 출력되는 데이터와 상기 제1내지 제2임계치를 비교하는 단계; 및 상기 임계치들과의 비교결과가 상기 임계치를 초과하면 네트워크 이상으로 판단하는 단계;를 포함하는 것을 특징으로 한다.
이하 첨부된 도면을 참조하면서 본 발명의 바람직한 일 실시예를 상세히 설명하도록 한다. 도 1은 본 발명이 적용되는 전체 네트워크 구성도를 보여준다. 본 발명에 의한 네트워크 이상 징후 감시 장치 및 그 방법이 적용되는 네트워크는 도 1에 도시된 바와 같이 네트워크 상의 각 지점(110, 120)으로부터 트래픽을 수집하여 통합할 수 있는 트래픽 수집기(111)와 이를 분석하고 대응할 수 있는 네트워크를 관리하는 보안 관리 시스템(112)으로 이루어진다.
본 발명에 의한 트래픽 수집기는 네트워크 상의 각 지점 - 네트워크 노드에 설치되어 운용 가능한 망관리 에이전트나 업계 표준의 트래픽 수집 기능의 장비(110) - 으로부터 트래픽 데이터를 주기적으로 수집하고(120) 이를 통합하여 관리 시스템에게 전달한다(121). 본 발명에서 사용되는 트래픽 정보는 시스코 라우터에 탑재된 넷플로우(NetFlow) 데이터를 사용한다. 시스코 라우터의 넷플로우 기능은 네트워크에 흐르는 IP(Internet Protocol)패킷에 대한 정보를 플로우 단위로 합산하여 정해진 형태의 포맷으로 변환하여 전송하는 작업을 수행한다. 플로우는 소스, 목적지인 IP 주소 및 포트 번호, 그리고 프로토콜 번호와 같은 패킷의 정보를 묶어서 시작 시간을 비롯한 각종 정보를 포함하여 수집장치로 전송된다.
도 2 내지 도 3을 참조하면서 설명의 편의를 위하여 본 발명에 의한 네트워크 이상 징후 장치의 구성 및 그 과정을 함께 살펴보도록 한다. 본 발명에 의한 네트워크 이상 징후 장치는 도 1의 보안관리시스템(112)에 구비된다. 먼저 전처리부(210)는 트래픽 수집기(111)가 수신하는 트래픽(310단계)을 아래에서 설명할 분석부(220)에서 필요로 하는 정보로 가공하여 출력한다(320단계).
프로파일러(230)는 정상 상태의 트래픽을 모비율 검정 기법에서 제공되는 평균과 표준 편차로 표현함으로써 정상 상태의 트래픽을 모델링하며, 트래픽 분석 주기에 따라 상기 정상 상태의 트래픽을 새롭게 모델링하는데, 이 때 분석부(220)에서 정상으로 판명하는 트래픽의 정보를 반영하여 모델링 정보를 갱신하게 된다(350단계).
분석모델부(240)는 모비율검정부(241)와 볼륨기반검증부(243)로 구성되는데, 모비율검정부(241)는 전처리부(210)에서 전처리된 트래픽에 비율 기반의 분석 모델을 적용하여 평균, 표준편차등의 정보와 비율기반의 임계치를 생성한다.
한편 볼륨기반검증부(243)는 트래픽의 절대적인 양에 기반하여 지수평활모 델과 같은 통계적 검증 기법에 의한 볼륨 기반의 임계치를 생성하여 적용하게 된다.
분석부(220)는 전처리부(210)에서 출력하는 전처리된 트래픽을 수신하여 상기 프로파일러(230)로부터 생성된 데이터를 이용하여 신뢰구간의 상한값 즉 비율기반의 임계치(특허청구범위에서는 제1임계치로 표현)를 측정하고자 하는 트래픽의 현재의 상대적 비율을 비교하여 이상상태 여부를 판단한다.
또한 분석부(220)는 비율기반의 임계치를 기초로 한 이상상태 여부 판단 후에 볼륨기반검증부(243)에서 생성한 볼륨기반의 임계치(특허청구범위에서는 제2임계치로 표현)를 다시 한번 적용하여 이상상태 여부를 검증할 수 있다.
이 때, 비율기반의 임계치에 의한 이상여부 판단과 볼륨기반의 임계치에 의한 검증과정을 연속적으로 적용할 수도 있고 선택적으로 적용할 수도 있다(이상 330단계).
먼저 선택적으로 상대적 비율에 의한 이상여부판단을 설명하면, 트래픽 비율이 상기 비율기반의 임계치를 초과하게 되면 이를 이상 상태로 판단하고 그 분석 결과를 관리자에게 보고한다(340단계). 만약 정상 상태로 판단이 되면 그 정보를 기존의 정상 상태 모델링 정보에 반영하여 그 값을 갱신한다.
절대적 볼륨 기반에 의한 이상여부판단도 상기 상대적 비율에 의한 이상여부 판단과 동일한 절차를 갖는다. 트래픽 볼륨이 상기 볼륨 기반의 임계치를 초과하게 되면 이를 이상 상태로 판단하고 그 분석 결과를 관리자에게 보고한다. 만약 정상 상태로 판단이 되면 그 정보를 기존의 정상 상태 모델링 정보-트래픽 볼륨의 평균-에 반영하여 그 값을 갱신한다.
만약 두 검증 기법을 혼합하여 사용하는 경우 두 결과에 대한 판단이 다를 경우 신뢰성 레벨(reliability level)을 포함하여 관리자에게 보고한다(이상 360단계).
마지막으로 저장부(250)는 해당 분석 주기에 생성된 정상 상태와 이상 상태 정보와 같은 분석 결과 및 각종 파라미터에 따른 트래픽 볼륨, 비율등의 트래픽 정보를 저장하게 된다.
추후 이상 상태 분석 결과 데이터는 네트워크를 관리하는데 있어 보안 대응 기능과 결합하여 사용됨으로써 자동화된 탐지와 대응을 제공할 수 있다.
본 발명에 의한 네트워크 이상 징후 감지 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드 로서 구현되는 것이 가능하다.
이상과 같이 본 발명은 양호한 실시예에 근거하여 설명하였지만, 이러한 실시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것으로, 본 발명이 속하는 기술분야의 숙련자라면 이 발명의 기술사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호범위는 첨부된 청구범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.
이상에서 설명한 바와 같이 본 발명에 의한 네트워크 이상 징후 감지 장치 및 그 방법은 다음과 같은 효과를 가진다.
첫째 가입자 망을 단위로 한 트래픽을 대상으로 한 것이 아니라 네트워크 수준에 대한 트래픽을 통합하여 분석함으로써, 공격의 초기 시점부터 감지해 낼 수 있고 네트워크의 트래픽 폭주나 성능 저하와 같은 이상 상태에 대한 징후를 보다 빠르게 감지할 수 있다.
둘째 전체 트래픽에 대한 상대적인 비율을 이용한 분석 방법과 볼륨에 기반한 분석 방법을 혼합하여 사용함으로써 비율이 제공하는 트래픽 양의 상대성과 볼륨이 제공하는 절대성의 특성을 모두 고려하여 이상 상태를 판단함으로써 보다 신뢰성 있는 판단을 제공할 수 있다.
셋째 상대적 비율을 기반으로 하는 모비율 검정을 사용함으로써 본 발명은 적용되는 네트워크에 독립적인 특성을 가질 수 있다. 전체 트래픽에 대해 특정 트 래픽이 차지하는 비율을 이용함으로써 네트워크의 규모와는 상관없이 적용될 수 있는 유연성을 제공한다.
넷째 본 발명을 통한 신뢰성 있는 빠른 분석 결과는 이상 상태에 대한 자동 대응 기능과 결합하여 사용될 수 있다.

Claims (7)

  1. 네트워크상의 적어도 하나 이상의 트래픽 수집 지점에서 수집된 트래픽을 가공하는 전처리부;
    상기 수집된 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하는 프로파일러;
    상기 수집된 트래픽을 기초로 적어도 하나 이상의 임계치를 생성하여 출력하는 분석모델부; 및
    상기 네트워크상의 전체 트래픽중에서 상기 수집된 트래픽의 상대적 비율과 상기 임계치를 비교하여 상기 네트워크의 이상여부를 판단하는 분석부;를 포함하며,
    상기 분석모델부는
    상기 수집된 트래픽이 전체 트래픽에서 차지하는 상대적 비율을 기초로 한 모비율 검정법을 기반으로 하여 제1임계치를 생성하는 모비율검정부; 및
    상기 수집된 트래픽의 절대적 볼륨을 기초로 한 통계적 모델에 의한 제2임계치를 생성하는 볼륨기반검증부;를 포함하는 것을 특징으로 하는 네트워크 이상 징후 감지 장치.
  2. 제1항에 있어서, 상기 프로파일러는
    상기 정상 상태의 트래픽을 평균과 표준편차로 모델링하는 것을 특징으로 하는 네트워크 이상 징후 감지 장치.
  3. 삭제
  4. 제1항에 있어서, 상기 분석부는
    상기 제1임계치와 제2임계치를 동시에 혹은 선택적으로 적용할 수 있는 것을 특징으로 하는 네트워크 이상 징후 감지 장치.
  5. (a) 네트워크의 각 지점에서 수집되는 트래픽을 수신하여 상기 트래픽의 특성에 따른 정상상태 트래픽을 모델링하는 단계;
    (b) 상기 수집된 트래픽에 대하여 상기 네트워크상의 전체 트래픽에 대한 상대적 비율로 제1임계치를 설정하고, 상기 수집된 트래픽의 절대적 볼륨을 기준으로 제2임계치를 설정하는 단계;
    (c) 상기 모델링 결과 출력되는 데이터와 상기 제1내지 제2임계치를 비교하는 단계; 및
    (d) 상기 (c)단계의 비교결과가 상기 임계치를 초과하면 네트워크 이상으로 판단하는 단계;를 포함하는 것을 특징으로 하는 네트워크 이상 여부 감지 방법.
  6. 제5항에 있어서, 상기 (c)단계는
    상기 수집된 트래픽과 상기 제1내지 제2임계치를 선택적으로 비교할 수 있는 것을 특징으로 하는 네트워크 이상 징후 감지 방법.
  7. (a) 네트워크의 각 지점에서 수집되는 트래픽을 수신하여 상기 트래픽의 특성에 따른 정상상태 트래픽을 모델링하는 단계;
    (b) 상기 수집된 트래픽에 대하여 상기 네트워크상의 전체 트래픽에 대한 상대적 비율로 제1임계치를 설정하고, 상기 수집된 트래픽의 절대적 볼륨을 기준으로 제2임계치를 설정하는 단계;
    (c) 상기 모델링 결과 출력되는 데이터와 상기 제1내지 제2임계치를 선택적으로 혹은 직렬적으로 비교하는 단계; 및
    (d) 상기 (c)단계의 비교결과가 상기 임계치를 초과하면 네트워크 이상으로 판단하는 단계;를 컴퓨터에서 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020040077621A 2004-09-25 2004-09-25 네트워크 트래픽 이상 징후 감지 장치 및 그 방법 KR100617310B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040077621A KR100617310B1 (ko) 2004-09-25 2004-09-25 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
US11/082,031 US20060067240A1 (en) 2004-09-25 2005-03-15 Apparatus and method for detecting network traffic abnormality

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040077621A KR100617310B1 (ko) 2004-09-25 2004-09-25 네트워크 트래픽 이상 징후 감지 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060028601A KR20060028601A (ko) 2006-03-30
KR100617310B1 true KR100617310B1 (ko) 2006-08-30

Family

ID=36098933

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040077621A KR100617310B1 (ko) 2004-09-25 2004-09-25 네트워크 트래픽 이상 징후 감지 장치 및 그 방법

Country Status (2)

Country Link
US (1) US20060067240A1 (ko)
KR (1) KR100617310B1 (ko)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1293063A2 (en) * 2000-06-14 2003-03-19 Coreexpress, Inc. Route selection within a network with peering connections
US7908357B2 (en) * 2005-09-21 2011-03-15 Battelle Memorial Institute Methods and systems for detecting abnormal digital traffic
WO2007050244A2 (en) 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
KR100748699B1 (ko) * 2006-04-13 2007-08-13 삼성전자주식회사 센서 네트워크의 이상 데이터 검출 방법 및 그 장치
KR101257057B1 (ko) * 2006-12-18 2013-04-22 주식회사 엘지씨엔에스 네트워크 트래픽 데이터의 프로파일링을 통한 잠재적 위험포트 제한 장치 및 방법
US9014047B2 (en) * 2007-07-10 2015-04-21 Level 3 Communications, Llc System and method for aggregating and reporting network traffic data
KR100957212B1 (ko) * 2007-10-02 2010-05-11 주식회사 케이티 트래픽 관리 시스템, 방법 및 방법 프로그램을 기록한저장매체
US20100031156A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. User Interface For Network Events and Tuning
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
EP2164276A1 (en) * 2008-09-16 2010-03-17 Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO Method and device for operating a system with distributed sensors
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
WO2013027970A1 (ko) * 2011-08-19 2013-02-28 고려대학교 산학협력단 네트워크의 이상증후를 탐지하는 장치 및 방법
US9922190B2 (en) 2012-01-25 2018-03-20 Damballa, Inc. Method and system for detecting DGA-based malware
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
KR101383069B1 (ko) * 2013-05-27 2014-04-08 한국전자통신연구원 네트워크 이상상태 탐지 장치 및 방법
US9571511B2 (en) * 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
KR101500448B1 (ko) * 2013-12-24 2015-03-09 한국인터넷진흥원 정상 행위 프로파일을 이용한 비정상 접속 탐지 방법
CN104753733B (zh) * 2013-12-31 2019-08-13 南京中兴软件有限责任公司 网络流量异常数据的检测方法及装置
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US10021130B2 (en) * 2015-09-28 2018-07-10 Verizon Patent And Licensing Inc. Network state information correlation to detect anomalous conditions
CN110784458B (zh) * 2019-10-21 2023-04-18 新华三信息安全技术有限公司 流量异常检测方法、装置及网络设备
JP7311402B2 (ja) 2019-11-19 2023-07-19 エヌ・ティ・ティ・コミュニケーションズ株式会社 閾値出力装置、閾値出力方法および閾値出力プログラム
CN111611517B (zh) * 2020-05-13 2023-07-21 咪咕文化科技有限公司 指标监控方法、装置、电子设备及存储介质
CN111669383B (zh) * 2020-05-28 2022-04-12 中国联合网络通信集团有限公司 安全基线的确定方法及装置
US11936668B2 (en) 2021-08-17 2024-03-19 International Business Machines Corporation Identifying credential attacks on encrypted network traffic

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020058760A (ko) * 2000-12-30 2002-07-12 이계철 인터넷 트래픽 엔지니어링을 위한 트래픽 관리 장치 및 방법
KR20030009887A (ko) * 2001-07-24 2003-02-05 주식회사 케이티 서비스거부 공격 차단시스템 및 방법
US20040032826A1 (en) 2002-08-02 2004-02-19 Kamakshi Sridhar System and method for increasing fairness in packet ring networks
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20060018951A (ko) * 2004-08-26 2006-03-03 주식회사 케이티 적응력있는 임계치를 이용한 이상 트래픽 검출 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100247022B1 (ko) * 1997-06-11 2000-04-01 윤종용 Atm 스위칭 시스템의 단일 스위치 소자 및 버퍼 문턱값 결정 방법
US7099320B1 (en) * 2002-04-19 2006-08-29 Conxion Corporation Method and apparatus for detection of and response to abnormal data streams in high bandwidth data pipes

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020058760A (ko) * 2000-12-30 2002-07-12 이계철 인터넷 트래픽 엔지니어링을 위한 트래픽 관리 장치 및 방법
KR20030009887A (ko) * 2001-07-24 2003-02-05 주식회사 케이티 서비스거부 공격 차단시스템 및 방법
US20040032826A1 (en) 2002-08-02 2004-02-19 Kamakshi Sridhar System and method for increasing fairness in packet ring networks
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20060018951A (ko) * 2004-08-26 2006-03-03 주식회사 케이티 적응력있는 임계치를 이용한 이상 트래픽 검출 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
1020040057257

Also Published As

Publication number Publication date
KR20060028601A (ko) 2006-03-30
US20060067240A1 (en) 2006-03-30

Similar Documents

Publication Publication Date Title
KR100617310B1 (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
KR100609710B1 (ko) 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법
US9794272B2 (en) Method and apparatus for monitoring malicious traffic in communication networks
US9680693B2 (en) Method and apparatus for network anomaly detection
KR100748246B1 (ko) 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
KR100466214B1 (ko) 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
US7594014B2 (en) Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program
EP2807563B1 (en) Network debugging
US20070150955A1 (en) Event detection system, management terminal and program, and event detection method
CN106452941A (zh) 网络异常的检测方法及装置
CN110191004B (zh) 一种端口检测方法及系统
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
CN115038088B (zh) 一种智能网络安全检测预警系统和方法
CN102104606B (zh) 一种内网蠕虫主机检测方法
CN101106487A (zh) 一种检测网络流量异常的方法及装置
WO2018035765A1 (zh) 网络异常的检测方法及装置
CN117319047A (zh) 一种基于网络安全异常检测的网络路径分析方法及系统
CN109495424A (zh) 一种检测入侵流量的方法和装置
CN102111302B (zh) 一种蠕虫检测方法
KR100628312B1 (ko) 인터넷 서버 보안 장치 및 그 방법
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
US8976783B2 (en) Method and apparatus for assuring voice over internet protocol service
CN110099004A (zh) 一种网络安全路由方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee