KR100621996B1 - 인터넷 서비스 트래픽의 분석방법 및 시스템 - Google Patents

인터넷 서비스 트래픽의 분석방법 및 시스템 Download PDF

Info

Publication number
KR100621996B1
KR100621996B1 KR1020040035106A KR20040035106A KR100621996B1 KR 100621996 B1 KR100621996 B1 KR 100621996B1 KR 1020040035106 A KR1020040035106 A KR 1020040035106A KR 20040035106 A KR20040035106 A KR 20040035106A KR 100621996 B1 KR100621996 B1 KR 100621996B1
Authority
KR
South Korea
Prior art keywords
tcid
list
information
port
traffic
Prior art date
Application number
KR1020040035106A
Other languages
English (en)
Other versions
KR20050110177A (ko
Inventor
김윤관
김영호
이대진
배재성
Original Assignee
하나로텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 하나로텔레콤 주식회사 filed Critical 하나로텔레콤 주식회사
Priority to KR1020040035106A priority Critical patent/KR100621996B1/ko
Publication of KR20050110177A publication Critical patent/KR20050110177A/ko
Application granted granted Critical
Publication of KR100621996B1 publication Critical patent/KR100621996B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/024Standardisation; Integration using relational databases for representation of network management data, e.g. managing via structured query language [SQL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 인터넷 서비스 트래픽의 분석방법에 관한 것으로, 발생되는 인터넷 서비스 트래픽에 대한 패킷을 수집하여, 상기 패킷구조에서 In(다운로드)/Out(업로드), 송신측과 수신측의 IP 주소, Protocol, 송신측과 수신측의 TCP/UDP 포트번호, Bytes를 포함하는 패킷정보를 검출하는 단계; 상기 검출된 패킷정보로 TCID(Traffic Classification IDentifier) 리스트를 생성하는 단계; 상기 생성된 TCID 리스트에서 In(다운로드)이나 Out(업로드)의 발생빈도가 높은 TCID를 추출하여, TCID 간결리스트로 재구성하는 단계; 사용자 단말의 운영체제의 시스템 정보에 존재하는 네트워크 커넥션 리스트 및 프로세스 리스트를 검색하여 각각 상기 TCID의 IP 주소와 포트정보에 대응하는 PID(Process IDentifier) 및 상기 PID에 해당하는 프로세스 정보를 검출하고, 상기 TCID 구조에 검출된 PID 및 프로세스 정보를 결합하여 TCID 완결리스트를 생성하는 단계; 상기 TCID 완결리스트를 포트DB서버로 전송하여 서비스 포트 맵테이블에 삽입하는 단계를 포함하여 이루어지고, Unknown 포트를 사용하는 인터넷 서비스 트래픽의 관리를 할 수 있어 초고속 인터넷 서비스의 효율적인 네트워크 운용이 가능하도록 하는 인터넷 서비스 트래픽의 분석방법에 관한 것이다.

Description

인터넷 서비스 트래픽의 분석방법 및 시스템{METHOD AND SYSTEM OF ANALYZING INTERNET SERVICE TRAFFIC}
도 1은 본 발명에 따른 트래픽 분석시스템의 개략적인 구성도,
도 2는 본 발명에 따른 트래픽 분석방법을 개략적으로 나타내는 흐름도,
도 3은 본 발명에 따른 TCID(Traffic Classification IDentifier)의 구조를 나타내는 도면,
도 4는 본 발명에 따른 TCID 간결리스트의 생성방법을 나타내는 도면,
도 5a는 본 발명에 따른 TCID 완결리스트의 생성방법을 나타내는 도면,
도 5b는 본 발명에 따른 TCID 완결리스트 내의 TCID 구조를 나타내는 도면,
도 6은 본 발명에 따른 서비스 포트 맵테이블의 레코드 구조를 도시한 도면,
도 7a는 OSI 참조모델에서 3계층의 패킷구조를 나타내는 도면,
도 7b는 OSI 참조모델에서 4계층의 패킷구조를 나타내는 도면이다.
* 도면의 주요부분에 대한 부호의 설명 *
1:사용자 단말 2:포트DB서버
10:패킷몬
본 발명은 인터넷 서비스 트래픽의 분석방법에 관한 것으로, 보다 상세하게는 인터넷 서비스 트래픽의 패킷정보 중에서 유효정보만을 간추리는 동시에 상기 패킷을 유발하는 어플리케이션의 프로세스명을 검출하여 상기 인터넷 서비스 트래픽을 분석하고, 상기 분석정보를 주기적으로 포트DB서버에 전송하여 자동으로 인터넷 서비스 포트에 대한 DB를 구축함으로써 Unknown 포트를 사용하는 인터넷 서비스 트래픽의 관리를 할 수 있어 초고속 인터넷 서비스의 효율적인 네트워크 운용이 가능하도록 하는 인터넷 서비스 트래픽의 분석방법에 관한 것이다.
일반적으로, 컴퓨터가 네트워크를 통해 통신가능하도록 하기 위해서 국제표준기구인 ISO(International Organization for Standardization)에 의해 표준으로 채택된 OSI(Open Systems Interconnection) 참조모델을 이용하는데, 상기 OSI 참조모델은 통신 네트워크로 구성된 컴퓨터가 어떻게 데이터를 전송할 것인가에 대한 표준규약으로, 특별한 고유기능을 가지는 7개 계층으로 나뉘어져 정의되어 있어 통신의 종단에서 이루어지는 기능을 각 계층이 나누어 처리한다.
보다 상세하게는, 상기 OSI 참조모델은 응용계층(Application Layer)인 7계층, 표현계층(Presentation Layer)인 6계층, 세션계층(Session Layer)인 5계층, 트랜스포트 계층(Transport Layer)인 4계층, 네트워크 계층(Network Layer)인 3계층, 데이터링크 계층(Data Link Layer)인 2계층, 물리계층(Physical Layer)인 1계층으로 이루어지고, 상기 7개 계층의 기능을 갖는 컴퓨터들 사이에서 인터넷을 통하여 데이터가 전송되기 위해 송신측 컴퓨터에서는 한 계층씩 아래로 각 계층을 통과하 면서 헤더가 붙어 데이터 패킷이 생성되고, 수신측 컴퓨터에서는 송신측의 생성과정을 역으로 수행, 즉 한 계층씩 위로 통과하면서 데이터가 추출되어 수신측 사용자에게 전달된다.
도 7a는 OSI 참조모델에서 3계층의 패킷구조를 나타내는 도면으로, IP 헤더에 대한 정보를 도시하고 있는데, 특히 Protocol ID는 TCP/UDP의 식별번호를 나타내고, IP Address의 주소필드인 SAIP, DAIP는 각각 송신측과 수신측 컴퓨터의 IP 주소를 나타낸다.
도 7b는 OSI 참조모델에서 4계층의 패킷구조를 나타내는 도면으로, 여기서는 송신측과 수신측 컴퓨터의 TCP/UDP 포트번호 필드인 SPUDP, DPUDP 또는 SPTCP , DPTCP가 포함되어 있는데, 포트번호 1 ~ 1024는 미리 인터넷 서비스에 대해 지정된 포트를 사용하도록 정의된 Well-known 포트(예를 들어, TCP 21은 FTP 서비스, TCP 80은 HTTP 웹서비스, UDP 161은 SNMP 서비스 등을 의미함)로 상기 포트번호 필드에 포함된 포트번호를 통해 인터넷 서비스를 구별할 수 있다.
이와 같이, 종래에는 전송되는 데이터 패킷에서 OSI 참조모델의 3계층 및 4계층의 헤더정보에 포함된 송신측과 수신측 컴퓨터의 IP 주소, TCP/UDP 포트번호 등을 추출하여 인터넷 서비스 트래픽을 분석하였는데, 이 경우 단지 Well-known 포트를 사용하는 인터넷 서비스만을 인지할 수 있었고, 1025 이후의 사용자 정의 포트인 Unknown 포트에 대해서는 규정된 것이 없으므로 서비스 사업자가 상기 1025 이후의 포트번호를 사용하는 인터넷 서비스를 밝히기 전까지는 알 수가 없었다.
또한, 네트워크 자원은 한정되어 있는데 반해 최근들어 인터넷 서비스 이용자는 급속하게 증가하고 있고, 단순한 텍스트 데이터 이외에 실시간으로 처리되어야 하는 VoIP(Voice over Internet Protocol), 동영상이나 네트워크 게임과 같은 다양한 응용 서비스의 이용이 보편화되고 있는데, 상기 대부분의 응용 서비스가 Unknown 포트를 사용하고 있어 이러한 경우 인터넷 서비스 트래픽을 분석하는 것이 불가능하였다.
따라서, Unknown 포트를 사용하는 인터넷 서비스 트래픽을 분석하여 네트워크를 효율적으로 관리하는 것이 필요한데, 이를 반영하기 위해 다음과 같은 방법이 제안되었다.
첫번째는 국내특허 공개공보 제2002-0049462호에 게재되어 있는 인터넷상 트래픽의 상위계층 프로토콜들을 구분하는 방법 및 장치에 관한 것으로, 상기 상위계층 프로토콜 분류방법은 도착패킷의 상위계층-여기서, 상위계층은 트랜스포트 계층의 상위 계층임-의 프로토콜을 분류하는 방법에 있어서, 상기 도착패킷에서 기본정보를 추출하는 단계; 상기 추출된 기본정보가 관리 테이블에 등록되었는지를 판단하는 단계; 상기 추출된 기본정보가 상기 관리 테이블에 등록되지 않은 경우, 미리 설정된 복수의 대상 프로토콜 중 상기 도착패킷의 상위계층 프로토콜에 상응하는 대상 프로토콜을 추출하는 단계; 상기 기본정보 및 추출한 대상 프로토콜을 상기 관리 테이블에 등록하는 단계; 상기 추출된 기본정보가 상기 관리 테이블에 미리 등록되어 있는 경우, 상기 기본정보에 상응하는 상기 관리 테이블을 갱신하는 단계;를 포함하고, 인터넷 응용들과 직접 관련이 있는 상위계층의 프로토콜들을 구분 해내어 전통적인 텍스트 데이터 교환용 응용 이외에 최근 보편화되고 있는 인터넷 전화나 네트워크 게임과 같은 다양한 상위계층 응용들에 대한 트래픽의 특성을 분석할 수 있다.
또한, 프로토콜이 분류된 멀티미디어 응용 등이 인터넷망 자원을 어느 정도 사용하는지와 어떤 통계적인 특징을 갖고 있는지에 대한 기본자료를 제공하여 효율적인 인터넷망 관리나 트래픽 관리가 가능하다.
두번째는 국내특허 공개공보 제2003-0042704호에 게재되어 있는 인터넷에서의 실시간 멀티미디어 패킷분석방법에 관한 것으로, 인터넷에서 RTP(Real-Time Transport Protocol) 패킷을 수집하여 분석하는 방법에 있어서, 인터넷망으로부터 패킷을 수집하고 상기 수집된 패킷중 UDP(User Datagram Protocol)를 사용하는 패킷만을 필터링하는 단계와, 상기 필터링된 패킷이 유명포트(well_known port)를 사용하는지를 검사하여 유명포트를 사용하지 않는 패킷을 선별하는 단계와, 상기 선별된 패킷으로부터 기본정보를 추출하는 단계와, 상기 추출된 기본정보와 상기 RTP 패킷의 특성과 일치하는지를 일정회수 이상 점검하여 상기 선별된 패킷중 RTP 패킷을 분류해내는 단계와, 상기 분류된 RTP 패킷의 기본정보를 인덱스로 하여 테이블에 저장하는 단계를 포함하고, 멀티미디어 트래픽에 보편적으로 활용되는 RTP 패킷을 실시간으로 분류해냄으로써 이들 어플리케이션 서비스들의 인터넷망 자원 사용도와 트래픽 특성에 대한 통계 자료들을 산출하여 인터넷망 관리나 트래픽 관리 시스템들에서의 인터넷 품질관리에 활용할 수 있다.
그러나, 상기 상위계층 프로토콜 분류방법을 살펴보면, IP 주소, TCP/UDP 포 트번호 뿐만 아니라 패킷내의 상태정보, 카운터, 프로토콜 등의 항목을 추가적으로 분류기준으로 정하여 미리 학습된 것은 간단비교하고, 학습되지 않은 것은 상세비교를 함으로써 트래픽 분류를 하는데, 분류되지 않는 패킷은 Unknown 포트를 사용하는 트래픽으로만 분류하므로 결국 Unknown 포트를 사용하는 인터넷 서비스 트래픽을 분석할 수 없는 문제점이 있었다.
상기 패킷분석방법에서는, 인터넷상의 패킷중에서 Unknown 포트를 사용하는 UDP 패킷을 선별하고, 상기 선별된 UDP 패킷중 영상 및 음성 서비스에서 사용되는 RTP 패킷만을 분류하여 저장하는 것으로, 상기 RTP 패킷의 특성정보와 부합되지 않는 여타의 패킷에 대해서는 어떠한 인터넷 서비스 트래픽인지를 전혀 구분해 낼 수 없었다.
본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 안출된 것으로, 특정한 패킷에 제한되지 않고 Unknown 포트를 사용하는 모든 인터넷 서비스 트래픽을 분석하는 인터넷 서비스 트래픽 분석방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은, Unknown 포트를 사용하는 모든 인터넷 서비스 트래픽의 분석을 통해 실시간 처리를 요하는 트래픽은 우선적으로 전송하고, 유해한 트래픽은 차단함으로써 네트워크 부하를 줄이고, 서비스 품질을 향상시키는 인터넷 서비스 트래픽 분석방법을 제공하는 것이다.
이와 같은 본 발명의 목적은, 인터넷 서비스 트래픽의 분석방법에 있어서, 발생되는 인터넷 서비스 트래픽에 대한 패킷을 수집하여, 상기 패킷구조에서 In(다운로드)/Out(업로드), 송신측과 수신측의 IP 주소, Protocol, 송신측과 수신측의 TCP/UDP 포트번호, Bytes를 포함하는 패킷정보를 검출하는 단계; 상기 검출된 패킷정보로 TCID(Traffic Classification IDentifier) 리스트를 생성하는 단계; 상기 생성된 TCID 리스트에서 In(다운로드)이나 Out(업로드)의 발생빈도가 높은 TCID를 추출하여, TCID 간결리스트로 재구성하는 단계; 사용자 단말의 운영체제의 시스템 정보에 존재하는 네트워크 커넥션 리스트 및 프로세스 리스트를 검색하여 각각 상기 TCID의 IP 주소와 포트정보에 대응하는 PID(Process IDentifier) 및 상기 PID에 해당하는 프로세스 정보를 검출하고, 상기 TCID 구조에 검출된 PID 및 프로세스 정보를 결합하여 TCID 완결리스트를 생성하는 단계; 상기 TCID 완결리스트를 포트DB서버로 전송하여 서비스 포트 맵테이블에 삽입하는 단계를 포함하여 이루어지는 것을 특징으로 하는 트래픽 분석방법에 의하여 달성된다.
바람직하게는, 상기 TCID 완결리스트는 포트DB서버로 주기적으로 전송되어 상기 포트DB서버에서 저장 및 관리되는 서비스 포트 맵테이블의 포트정보가 업그레이드되는 것을 특징으로 하는 트래픽 분석방법에 의하여 달성된다.
보다 바람직하게는, 상기 TCID 간결리스트로 재구성하는 단계는, 상기 TCID 리스트에 포함된 In(다운로드)/Out(업로드) 필드정보를 확인하는 단계를 포함하여, 상기 필드정보가 In(다운로드)으로 확인된 경우에는 송신측의 IP 주소, TCP/UDP 포트번호 및 프로토콜이 모두 동일한 TCID를 검색하고, 상기 필드정보가 Out(업로드)으로 확인된 경우에는 수신측의 IP 주소, TCP/UDP 포트번호 및 프로토콜이 모두 동 일한 TCID를 검색하며, 상기 검색된 TCID 리스트를 Bytes 필드정보를 기준으로 오름차순 정렬한 다음 미리 정해진 비율의 상위 TCID를 추출하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석방법에 의하여 달성된다.
또한, 상기 TCID 완결리스트의 프로세스 정보는 트래픽을 유발한 어플리케이션을 나타내는 프로세스명과 상기 프로세스의 실행 Path 정보를 포함하는 것을 특징으로 트래픽 분석방법에 의하여 달성된다.
본 발명의 다른 목적은, 인터넷 서비스 트래픽의 분석시스템에 있어서, 발생되는 인터넷 서비스 트래픽에 대한 패킷을 분석하여 상기 트래픽의 포트정보를 검출하는 패킷몬이 설치되어 있는 사용자 단말; 및 상기 사용자 단말의 패킷몬으로부터 주기적으로 상기 포트정보를 전송받아 상기 인터넷 서비스 트래픽의 포트정보에 대한 맵테이블을 관리하는 포트DB서버를 포함하여 이루어지는 것을 특징으로 하는 트래픽 분석시스템에 의하여 달성된다.
이하, 본 발명의 바람직한 실시예들을 첨부한 도면을 참조하여 상세하게 설명하면 다음과 같다. 참고로 각 도면에 표시된 동일한 도면부호들은 동일한 구성요소를 나타낸다.
도 1은 본 발명에 따른 트래픽 분석시스템의 개략적인 구성도로, 상기 트래픽 분석시스템은 사용자 단말(1) 및 포트DB서버(2)를 포함하여 이루어지고, 상기 사용자 단말(1) 및 상기 포트DB서버(2)는 인터넷을 통하여 서로 연결되어 있다.
여기서, 상기 사용자 단말(1)은 ISP(Internet Service Provider)(도시되지 않음)를 통해 인터넷에 연결되는데, 이에 따라 CP(Contents Provider)로부터 VoIP, 동영상, 게임, 메신저 등의 다양한 응용 서비스를 제공받게 된다.
상기 사용자 단말(1)은 전송되는 VoIP, 동영상, 메신저 등의 다양한 응용 서비스 패킷을 수집하고, 상기 수집된 패킷을 분석하여 인터넷 서비스 트래픽의 포트정보를 검출하는 구성요소로, 상기 트래픽 분석동작은 모두 상기 사용자 단말(1)에 설치되어 있는 클라이언트 소프트웨어인 패킷몬(10)에서 처리된다.
상기 포트DB서버(2)는 주기적으로 상기 사용자 단말(1)의 패킷몬(10)으로부터 포트정보를 전송받아 상기 포트를 사용하는 인터넷 서비스에 대한 맵테이블을 저장 또는 관리하는 구성요소이다.
도 2는 본 발명에 따른 트래픽 분석방법을 개략적으로 나타내는 흐름도, 도 4는 본 발명에 따른 TCID 간결리스트의 생성방법을 나타내는 도면, 도 5a는 본 발명에 따른 TCID 완결리스트의 생성방법을 나타내는 도면으로, 사용자 단말(1)의 패킷몬(10)에서 전송되는 패킷을 수집하는 단계 ~ 상기 분석정보를 포트DB서버(2)로 전송하여 트래픽이 사용하는 포트정보에 대한 맵테이블에 삽입·저장하는 단계까지를 도시하고 있다.
먼저, 상기 사용자 단말(1)에 설치되어 있는 패킷몬(10)은 사용자가 인터넷을 이용함에 따라 발생되는 모든 트래픽에 대한 패킷을 수집하고(S30), 도 7a 및 도 7b에 도시된 바와 같은 일반적인 패킷구조에서 I/O, SAIP, DAIP, Protocol, Bytes, SPPort, DPPort 항목을 포함하는 패킷정보를 검출하여(S31) 하나의 패킷당 하나의 TCID(Traffic Classification IDentifier)를 생성한다(S32).
상기 TCID 구조는 도 3에 도시된 바와 같은데, 상기 패킷정보 중에서 I/O 항목은 NIC(Network Interface Card)를 기준으로 하여 들어오는 것("In 또는 다운로드")인지 또는 나가는 것("Out 또는 업로드")인지를 나타내고, Protocol 항목은 상기 패킷이 TCP 프로토콜을 이용하여 전송되는 패킷인지 또는 UDP 프로토콜을 이용하여 전송되는 패킷인지를 나타내며, SAIP, DAIP 또는 SPPort, DPPort 항목은 각각 도 7a에 도시된 3계층의 패킷구조 및 도 7b에 도시된 4계층의 패킷구조에서 검출되는 송신측과 수신측 단말의 IP 주소 및 TCP/UDP 포트번호이다.
여기서, 상기 TCID는 사용자의 인터넷 사용성향과 사용시간에 따라 수십만개 정도가 생성될 수 있으므로, 실시간으로 많은 양의 데이터를 처리하기 위해서 도 4에 도시되어 있는 TCID 간결리스트의 생성방법을 이용하여 단계 S32에서 생성된 TCID 리스트를 보다 간결한 TCID 간결리스트로 압축·재구성해야 한다(S33).
도 4를 참조하면, 단계 S32에서 생성된 TCID의 I/O 필드가 In(또는 다운로드)이면(S320), TCID 리스트에서 SAIP, SPPort 및 Protocol이 모두 동일한 TCID를 검색한 다음(S321a) 상기 검색된 TCID에서 DAIP, DPPort 항목은 삭제하고 Bytes 항목은 합산하여 하나의 새로운 TCID를 생성하고(S322a), 상기 생성된 TCID로 TCID 리스트를 재구성한다(S323).
만약 S32 단계에서 생성된 TCID의 I/O 필드가 Out(또는 업로드)이면(S320), TCID 리스트에서 DAIP, DPPort 및 Protocol이 모두 동일한 TCID를 검색한 다음(S321b) 상기 검색된 TCID에서 SAIP, SPPort 항목은 삭제, Bytes 항목은 합산하여 하나의 새로운 TCID를 생성하고(S322b) 상기 생성된 TCID로 TCID 리스트를 재구성한다(S323).
단계 S321a 또는 단계 S321b에서 SAIP, SPPort 및 Protocol 또는 DAIP, DPPort 및 Protocol 필드값이 동일한 TCID가 검색되지 않는 경우에는 상기 TCID를 바로 TCID 재구성 리스트에 삽입하고, 이와 같이 TCID 리스트가 재구성되면 Bytes 항목을 기준으로 오름차순 정렬하고 그 중에서 일정비율의 상위 TCID를 추출하여(S324) TCID 간결리스트를 완성하게 되는데(S33), 여기서 상기 비율은 사용자 단말(1)에서 전송되는 트래픽량을 참조해서 다양하게 설정가능하고, 트래픽량이 많을수록 상기 비율을 작게 설정하는 것이 바람직하다.
그런 다음, 상기 생성된 TCID 간결리스트에서 의미있는 TCID만을 추출하여 각각의 TCID가 어떠한 인터넷 서비스를 사용하고 있는지를 매핑하는 최종적인 TCID 완결리스트를 생성한다(S34).
도 5a를 참조하면, TCID의 IP 주소와 Port 항목을 기준으로 사용자 단말(1)의 운영체제의 시스템 정보에 존재하는 네트워크 커넥션 리스트를 검색하여(S340) 해당 PID(Process IDentifier)를 검출하는데(S341), 일반적으로 시스템 정보에 존재하는 네트워크 커넥션 리스트를 검색하는 방법은 응용프로그램이 특정한 작업을 운영체제에 요구할 수 있도록 사용자 단말(1)의 운영체제에서 제공하는 미리 정해진 메소드인 API(Application Program Interface)를 이용한다.
여기서, 상기 네트워크 커넥션 리스트에는 TCP 프로토콜인지 또는 UDP 프로 토콜인지를 나타내는 Protocol 항목, 사용자 단말(1)이 사용하는 IP 주소 및 포트번호인 Local IP 및 Local Port 항목, 접속을 맺고 있는 IP 주소 및 포트번호인 Remote IP 및 Remote Port 항목, PID 항목, TCP 연결상태를 나타내는 State 항목 등이 포함되어 해당 PID를 검출할 수 있고, 상기 항목들은 사용자 단말(1)의 운영체제가 Windows XP인 경우에 포함되는 항목으로 사용자 단말(1)의 운영체제에 따라 포함되는 항목의 종류 및 그 형태는 상이하다.
해당 PID를 검출한 다음, 상기 검출된 PID를 색인어로 사용하여 상기 사용자 단말(1)의 운영체제의 시스템 정보에 존재하는 프로세스 리스트에서 상기 PID에 해당하는 프로세스 정보(예를 들어, 프로세스명과 상기 프로세스의 실행 Path)를 검출하는데(S342), 일반적으로 프로세스 리스트 및 프로세스 정보는 상기 네트워크 커넥션 리스트의 검색방법과 마찬가지로 사용자 단말(1)의 운영체제에서 제공하는 API(Application Program Interface)를 이용하여 검출된다.
또한, 상기 프로세스 리스트에는 PID 항목, 프로세스의 사용자 이름인 User Name 항목, 프로세스의 우선순위 등급을 나타내는 Priority 항목, 프로세스의 작동시간을 나타내는 TIME 항목, 프로세스의 CPU 및 메모리의 점유율을 나타내는 CPU 및 Memory 항목, 프로세스 실행 명령어 이름인 Command 항목, 프로세스 상태를 나타내는 State 항목 등이 포함되어 상기 PID에 해당하는 프로세스 정보를 검출할 수 있고, 상기 항목들도 또한 네트워크 커넥션 리스트의 경우와 마찬가지로 사용자 단말(1)의 운영체제가 Windows XP인 경우에 포함되는 항목으로 사용자 단말(1)의 운영체제에 따라 포함되는 항목의 종류 및 그 형태는 상이하다.
그런 다음, 상기 검출된 프로세스명과 실행 Path를 기존의 TCID 구조와 결합하여(S343) 최종적인 TCID 완결리스트를 생성하는데(S34), 생성된 TCID 완결리스트의 구조는 도 5b에 도시된 바와 같고, 상기 프로세스명과 실행 Path가 트래픽을 유발한 어플리케이션을 나타내기 때문에 결과적으로 Unknown 포트를 사용하는 인터넷 서비스 트래픽이 무엇인지를 알 수 있게 된다.
이와 같이 TCID 완결리스트의 생성이 완료되면(S34), 상기 사용자 단말(1)의 패킷몬(10)은 주기적으로 단위시간 동안 수집·분석된 상기 TCID 완결리스트를 포트DB서버(2)로 전송한다(S35).
상기 포트DB서버(2)는 상기 패킷몬(10)으로부터 각 사용자 단말(1)에서 생성한 TCID 완결리스트를 전송받고, 상기 TCID 완결리스트를 서비스 포트 맵테이블(또는 Unknown 포트번호와 상기 포트를 사용하는 인터넷 서비스를 매핑하는 테이블)에 삽입하여 Unknown 포트를 사용하는 인터넷 서비스에 대한 정보를 저장 또는 관리하게 되는데(S36), 단계 S30 ~ S36의 동작은 주기적으로 반복수행되어 상기 포트DB서버(2)에서 저장되는 Unknown 포트를 사용하는 인터넷 서비스에 대한 정보가 업그레이되어 최신의 정보로 통합관리될 수 있다.
상기 서비스 포트 맵테이블의 레코드 구조는 도 6에 도시된 바와 같고, 상기 맵테이블 항목중 User ID는 상기 패킷몬(10)으로부터 TCID 완결리스트와 함께 전송된 패킷몬(10)의 식별자를, Time Stamp는 상기 패킷몬(10)으로부터 전송된 TCID 완결리스트가 서비스 포트 맵테이블에 삽입된 시간을, Service Name은 상기 TCID에 해당하는 트래픽을 유발한 인터넷 서비스 및 어플리케이션 명칭을, Group Code는 트래픽 통계 및 DB 관리를 위한 인터넷 서비스 분류유형을 나타낸다.
본 발명의 실시예에서, 상기 포트DB서버(2)는 서비스 포트 맵테이블을 저장 또는 관리하여 포트번호와 상기 포트를 사용하는 인터넷 서비스를 매핑해주는 기능뿐만 아니라 상기 맵테이블의 분석을 통해 기간별, 사용자별, 지역별 인터넷 서비스 이용현황 통계처리를 수행, 상기 통계정보를 저장 또는 관리하여 누구나 쉽게 상기 포트DB서버(2)로 접속하여 상기 통계정보를 조회할 수 있도록 하는 것이 바람직하다.
다시 말하면, 인터넷 서비스 트래픽 포트정보를 포트DB서버에서 통합관리함에 따라 상기 맵테이블의 항목을 기준으로 다양한 관점에서의 인터넷 서비스 트래픽의 분류가 가능하게 되는데, 예를 들어 ISP에서는 상기 맵테이블의 TCID에 포함된 포트번호로 Unknown 포트를 사용하는 트래픽에 대해서도 인터넷 서비스명을 조회가능하게 되어 VoIP와 같이 실시간 처리를 요하는 트래픽은 우선전송하고 유해 트래픽은 차단하여 네트워크 운용을 효율적으로 할 수 있게 된다.
또한, 상기 패킷몬 식별자를 기준으로 트래픽 분류를 하면 실시간으로 사용자 단말(1)별 인터넷 서비스 이용패턴, 발생빈도가 높은 인터넷 서비스명 등의 조회가 가능하므로, 과도한 트래픽을 발생시키는 사용자를 선별할 수 있어 사전조치를 통해 인터넷 서비스 품질저하를 방지할 수 있고, 상기 이용현황 정보를 인터넷 서비스 이용에 따른 과금수단으로도 이용할 수 있다.
여기서, 상기 패킷몬(10)으로부터 전송되는 TCID 완결리스트를 상기 포트DB서버(2)의 서비스 포트 맵테이블에 삽입하기 위해서 사용자 단말(1)의 패킷몬(10) 과 포트DB서버(2) 사이에 통신연결이 되어야 하고, 이를 위해 일반적으로 클라이언트/서버환경에서 온라인으로 DB를 전송하기 위한 ODBC와 같은 표준, 오라클 등의 소프트웨어 업체에서 제공하는 여러가지 프로토콜을 탑재한 솔루션들 또는 마이크로소프트사에서 제공하는 ADO(ActiveX Data Objects)와 같은 통신방법을 이용하고 있는데, 상기 패킷몬(10)과 포트DB서버(2) 사이의 통신방법 및 관련 프로토콜은 본 발명의 특징이 아니므로 여기서는 상세하게 설명하지 않을 것이다.
이상에서 살펴본 바와 같이, 인터넷 서비스 트래픽의 패킷정보 중에서 유효정보만을 간추리는 동시에 상기 패킷을 유발하는 어플리케이션의 프로세스명을 검출하여 상기 인터넷 서비스 트래픽을 분석하고, 상기 분석정보를 주기적으로 포트DB서버에 전송하여 자동으로 인터넷 서비스 포트에 대한 DB를 구축함으로써 Unknown 포트를 사용하는 인터넷 서비스 트래픽에 대한 관리가 가능하게 되어 초고속 인터넷 서비스의 효율적인 네트워크 운용을 할 수 있게 되었다.
또한, 특정한 패킷에 제한되지 않고 모든 인터넷 서비스 트래픽의 분석을 통해 Unknown 포트를 사용하는 인터넷 서비스 트래픽의 분류가 가능하여, VoIP, 동영상이나 네트워크 게임과 같이 실시간 처리를 요하는 트래픽은 우선적으로 전송처리하고, 바이러스와 같이 유해한 트래픽은 차단함으로써 네트워크 부하를 줄이고, 서비스 품질을 향상시킬 수 있었다.
또한, 인터넷 서비스 트래픽 포트정보를 포트DB서버에서 통합관리함으로써 누구나 쉽게 상기 포트DB서버로 액세스하여 인터넷 서비스 포트에 대한 조회 또는 신규로 서비스되고 있는 트래픽 포트번호에 대한 등록이 가능하여 인터넷 서비스 트래픽 관리에 소요되는 인력, 시간이나 비용을 절감할 수 있었다.

Claims (5)

  1. 인터넷 서비스 트래픽의 분석방법에 있어서,
    발생되는 인터넷 서비스 트래픽에 대한 패킷을 수집하여, 상기 패킷구조에서 In(다운로드)/Out(업로드), 송신측과 수신측의 IP 주소, Protocol, 송신측과 수신측의 TCP/UDP 포트번호, Bytes를 포함하는 패킷정보를 검출하는 단계;
    상기 검출된 패킷정보로 TCID(Traffic Classification IDentifier) 리스트를 생성하는 단계;
    상기 생성된 TCID 리스트에서 In(다운로드)이나 Out(업로드)의 발생빈도가 높은 TCID를 추출하여, TCID 간결리스트로 재구성하는 단계;
    사용자 단말(1)의 운영체제의 시스템 정보에 존재하는 네트워크 커넥션 리스트 및 프로세스 리스트를 검색하여 각각 상기 TCID의 IP 주소와 포트정보에 대응하는 PID(Process IDentifier) 및 상기 PID에 해당하는 프로세스 정보를 검출하고, 상기 TCID 구조에 검출된 PID 및 프로세스 정보를 결합하여 TCID 완결리스트를 생성하는 단계;
    상기 TCID 완결리스트를 포트DB서버(2)로 전송하여 서비스 포트 맵테이블에 삽입하는 단계를 포함하되,
    상기 TCID 완결리스트의 상기 프로세스 정보는 트래픽을 유발한 어플리케이션을 나타내는 프로세스명과 상기 프로세스의 실행 Path 정보를 포함하는 것을 특징으로 트래픽 분석방법.
  2. 제1항에 있어서,
    상기 TCID 완결리스트는 포트DB서버(2)로 주기적으로 전송되어 상기 포트DB 서버(2)에서 저장 및 관리되는 서비스 포트 맵테이블의 포트정보가 업그레이드되는 것을 특징으로 하는 트래픽 분석방법.
  3. 제1항에 있어서,
    상기 TCID 간결리스트로 재구성하는 단계는,
    상기 TCID 리스트에 포함된 In(다운로드)/Out(업로드) 필드정보를 확인하는 단계를 포함하여,
    상기 필드정보가 In(다운로드)으로 확인된 경우에는 송신측의 IP 주소, TCP/UDP 포트번호 및 프로토콜이 모두 동일한 TCID를 검색하고, 상기 필드정보가 Out(업로드)으로 확인된 경우에는 수신측의 IP 주소, TCP/UDP 포트번호 및 프로토콜이 모두 동일한 TCID를 검색하며,
    상기 검색된 TCID 리스트를 Bytes 필드정보를 기준으로 오름차순 정렬한 다음 미리 정해진 비율의 상위 TCID를 추출하는 단계를 포함하는 것을 특징으로 하는 트래픽 분석방법.
  4. 삭제
  5. 인터넷 서비스 트래픽의 분석시스템에 있어서,
    발생되는 인터넷 서비스 트래픽에 대한 패킷을 분석하여 상기 트래픽의 포트정보를 검출하는 패킷몬(10)이 설치되어 있는 사용자 단말(1); 및
    상기 사용자 단말(1)의 패킷몬(10)으로부터 주기적으로 상기 포트정보를 전송받아 상기 인터넷 서비스 트래픽의 포트정보에 대한 맵테이블을 관리하는 포트DB서버(2)를 포함하되,
    상기 패킷몬은, 발생되는 인터넷 서비스 트래픽에 대한 패킷을 수집하여, 상기 패킷구조에서 In(다운로드)/Out(업로드), 송신측과 수신측의 IP 주소, Protocol, 송신측과 수신측의 TCP/UDP 포트번호, Bytes를 포함하는 패킷정보를 검출하고; 상기 검출된 패킷정보로 TCID(Traffic Classification IDentifier) 리스트를 생성하고; 상기 생성된 TCID 리스트에서 In(다운로드)이나 Out(업로드)의 발생빈도가 높은 TCID를 추출하여, TCID 간결리스트로 재구성하고; 사용자 단말(1)의 운영체제의 시스템 정보에 존재하는 네트워크 커넥션 리스트 및 프로세스 리스트를 검색하여 각각 상기 TCID의 IP 주소와 포트정보에 대응하는 PID(Process IDentifier) 및 상기 PID에 해당하는 프로세스 정보를 검출하고, 상기 TCID 구조에 검출된 PID 및 프로세스 정보를 결합하여 TCID 완결리스트를 생성하고; 상기 TCID 완결리스트를 포트DB서버(2)로 전송하여 서비스 포트 맵테이블에 삽입하되,
    상기 TCID 완결리스트의 상기 프로세스 정보는 트래픽을 유발한 어플리케이션을 나타내는 프로세스명과 상기 프로세스의 실행 Path 정보를 포함하는 것을 특징으로 하는 트래픽 분석시스템.
KR1020040035106A 2004-05-18 2004-05-18 인터넷 서비스 트래픽의 분석방법 및 시스템 KR100621996B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040035106A KR100621996B1 (ko) 2004-05-18 2004-05-18 인터넷 서비스 트래픽의 분석방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040035106A KR100621996B1 (ko) 2004-05-18 2004-05-18 인터넷 서비스 트래픽의 분석방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20050110177A KR20050110177A (ko) 2005-11-23
KR100621996B1 true KR100621996B1 (ko) 2006-09-14

Family

ID=37285737

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040035106A KR100621996B1 (ko) 2004-05-18 2004-05-18 인터넷 서비스 트래픽의 분석방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100621996B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100668661B1 (ko) * 2005-10-19 2007-01-16 한국전자통신연구원 휴대 인터넷 시스템에서 트랜스포트 연결 식별자의생성/변경 방법 및 그를 위한 단말기
KR101005856B1 (ko) * 2008-11-17 2011-01-05 한국과학기술원 전송 계층에서 트래픽을 분류하는 방법 및 장치
KR20210037416A (ko) 2019-09-27 2021-04-06 삼성전자주식회사 이동 통신 시스템에서 nwdaf를 활용한 서비스의 탐지 및 서비스의 특성 분석을 위한 방법 및 장치
CN117499312B (zh) * 2023-12-26 2024-03-26 戎行技术有限公司 一种基于端口映射的网络流量管理优化方法

Also Published As

Publication number Publication date
KR20050110177A (ko) 2005-11-23

Similar Documents

Publication Publication Date Title
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
US7483972B2 (en) Network security monitoring system
CN105591973B (zh) 应用识别方法及装置
US8661133B2 (en) Method for allowing and blocking a user PC which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether NAT(network address translation) can be used or not using a traffic data, and the number of terminals sharing NAT
CN102307123B (zh) 基于传输层流量特征的nat流量识别方法
US20120182891A1 (en) Packet analysis system and method using hadoop based parallel computation
US20080144655A1 (en) Systems, methods, and computer program products for passively transforming internet protocol (IP) network traffic
CN102724317A (zh) 一种网络数据流量分类方法和装置
EP1722509A1 (en) Traffic analysis on high-speed networks
CN111953552B (zh) 数据流的分类方法和报文转发设备
CN110768875A (zh) 一种基于dns学习的应用识别方法及系统
CN110943884B (zh) 一种数据处理方法及装置
CN106330584A (zh) 一种业务流的识别方法及识别装置
CN106789242A (zh) 一种基于手机客户端软件动态特征库的识别应用智能分析引擎
US20100290353A1 (en) Apparatus and method for classifying network packet data
US6954785B1 (en) System for identifying servers on network by determining devices that have the highest total volume data transfer and communication with at least a threshold number of client devices
KR100501080B1 (ko) 인터넷상 트래픽의 상위 계층 프로토콜들을 구분하는 방법및 장치
KR100621996B1 (ko) 인터넷 서비스 트래픽의 분석방법 및 시스템
JP4429173B2 (ja) デジタル通信データに基づいてアクションをトリガーする方法及びコンピュータ・システム
CN114553546B (zh) 基于网络应用的报文抓取的方法和装置
KR100710047B1 (ko) Ip 네트워크 환경에서의 트래픽 분석장치
US20050249221A1 (en) Method for the recursive and statistical analysis of communications networks
CN118524163B (zh) 基于网络协议分析获取工业网络中设备信息的方法及系统
CN109905325A (zh) 一种流量引导方法及流量识别设备
CN116319468B (zh) 网络遥测方法、装置、交换机、网络、电子设备和介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120731

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130822

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140806

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150901

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160901

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170809

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190521

Year of fee payment: 14