KR100651746B1 - 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법 - Google Patents

트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법 Download PDF

Info

Publication number
KR100651746B1
KR100651746B1 KR1020050110358A KR20050110358A KR100651746B1 KR 100651746 B1 KR100651746 B1 KR 100651746B1 KR 1020050110358 A KR1020050110358 A KR 1020050110358A KR 20050110358 A KR20050110358 A KR 20050110358A KR 100651746 B1 KR100651746 B1 KR 100651746B1
Authority
KR
South Korea
Prior art keywords
flow
traffic
radar
network
occupancy
Prior art date
Application number
KR1020050110358A
Other languages
English (en)
Inventor
장범환
나중찬
김건량
김동영
김진오
김현주
방효찬
이수형
손선경
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050110358A priority Critical patent/KR100651746B1/ko
Priority to US11/599,909 priority patent/US7787394B2/en
Application granted granted Critical
Publication of KR100651746B1 publication Critical patent/KR100651746B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치 및 그 방법이 개시된다. 본 발명에 따른 네트워크 상태 표시 장치는 외부의 트래픽 정보 수집기에 의해 수집되는 네트워크 주소, 포트, 송/수신 호스트 주소 및 프로토콜의 트래픽 특성별 트래픽 정보를 참조하여 전체 플로우, 마이크로-플로우 및 매크로-플로우를 대상으로 각 트래픽 특성별로 플로우 점유 비율을 계산하고, 계산된 값을 저장하는 트래픽 특성 추출부, 트래픽 특성 추출부에 계산되어 저장된 트래픽 특성별 플로우의 점유 비율을 트래픽 특성별로 레이더 상에 점으로 표시하는 트래픽 상태 표시부 및 상기 트래픽 특성별 레이더를 참조하여 네트워크의 이상 상태 여부를 판별하고, 이상상태 발생시 그 유형 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 트래픽 이상 판단부를 포함한다.

Description

트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치 및 그 방법{Apparatus for visualizing network state by using traffic flow-radar and method thereof}
도 1은 본 발명에 따른 네트워크 상태 표시 장치의 일실시예를 나타내는 블록도이다.
도 2는 마이크로-플로우에 대한 네트워크 주소 구간별 플로우 점유 비율을 나타내는 네트워크-레이더의 일예를 나타내는 그래프이다.
도 3은 마이크로-플로우에 대한 네트워크 주소 구간별 플로우 점유 비율을 나타내는 네트워크-레이더의 다른 예를 나타내는 그래프이다.
도 4a~c는 마이크로-플로우에 대한 포트-레이더 및 호스트-레이더의 일 예를 나타내는 도면이다.
도 5a~c는 마이크로-플로우에 대한 포트-레이더 및 호스트-레이더의 다른 예를 나타내는 도면이다.
도 6a~c는 마이크로-플로우에 대한 포트-레이더 및 호스트-레이더의 또 다른 예를 나타내는 도면이다.
도 7은 마이크로-플로우에 대한 프로토콜 특성에 따른 프로토콜-레이더의 일 예를 나타내는 도면이다.
본 발명은 네트워크 보안 시스템에 관한 것으로, 특히, 소정의 트래픽 특성들을 추출 및 분석하여 네트워크의 성능을 저하시키는 이상 및 유해 트래픽을 직관적으로 표시함으로써, 현재 네트워크 상태 인식을 용이하게 하는 네트워크 상태 표시 장치 및 그 방법에 관한 것이다.
종래에는 네트워크 주소, 프로토콜, 포트, 패킷등 네트워크의 트래픽 항목 중 어느 하나의 항목의 비율을 이용하여 비정상적인 네트워크 상황을 표시하는 경우가 대부분이다. 따라서, 특정 서비스에 대한 트래픽 이상 여부를 판단하기가 어려우며, 실시간으로 대용량 데이터를 표시하기가 매우 힘들다. 또한, 표현된 트래픽 상태 이미지 또는 그래프가 매우 복잡하기 때문에 해당 트래픽의 이상 유무를 소프트웨어적으로 판단하기 위해서는 부가적인 분석 기법이 필요하게 된다. 따라서, 대부분의 유해 트래픽 표시 방법에 있어서 특정 트래픽의 정상 또는 이상 상태 여부의 판단은 기본적으로 관리자가 수행할 수 밖에 없다.
본 발명이 이루고자 하는 기술적 과제는 네트워크 주소, 호스트 주소, 프로토콜, 포트 등 각 트래픽 특성별로 플로우의 점유비율을 구하여 네트워크의 성능을 저하시키는 이상 및 유해 트래픽을 소프트웨어적으로 분석하고 그 결과를 표시함으로써, 현재 네트워크 상태의 인식이 용이로워지는 트레픽 플로우-레이더를 이용한 네트워크 상태 표시 장치 및 그 방법을 제공하는 데 있다.
본 발명이 이루고자 하는 다른 과제는 상기 네트워크 상태 표시 방법을 컴퓨터에서 실행 가능한 프로그램 코드로 기록한 기록 매체를 제공하는 데 있다.
상기 과제를 이루기 위해, 본 발명에 따른 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치는 외부의 트래픽 정보 수집기에 의해 수집되는 네트워크 주소, 포트, 송/수신 호스트 주소 및 프로토콜의 트래픽 특성별 트래픽 정보를 참조하여 전체 플로우, 마이크로-플로우 및 매크로-플로우를 대상으로 상기 각 트래픽 특성별로 플로우 점유 비율을 계산하고, 계산된 값을 저장하는 트래픽 특성 추출부, 상기 트래픽 특성 추출부에 계산되어 저장된 상기 트래픽 특성별 플로우의 점유 비율을 트래픽 특성별로 레이더 상에 점으로 표시하는 트래픽 상태 표시부 및 상기 트래픽 특성별 레이더를 참조하여 네트워크의 이상 상태 여부를 판별하고, 이상상태 발생시 그 유형 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 트래픽 이상 판단부를 포함하는 것이 바람직하다.
상기 과제를 이루기 위해, 본 발명에 따른 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 방법은 외부의 트래픽 정보 수집기에 의해 수집되는 네트워크 주소, 포트, 송/수신 호스트 주소 및 프로토콜의 트래픽 특성별 트래픽 정보를 참조하여 전체 플로우, 마이크로-플로우 및 매크로-플로우를 대상으로 상기 각 트래픽 특성별로 플로우 점유 비율을 계산 및 저장하는 (a)단계, 상기 (a)단계에서 저장된 상기 트래픽 특성별 플로우의 점유 비율을 상기 트래픽 특성별로 레이더 상에 점으로 표시하는 (b)단계 및 상기 트래픽 특성별 레이더를 참조하여 네트워크의 이상 상태 여부를 판별하고, 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출 및 보고하는 (c)단계를 포함하는 것이 바람직하다.
이하, 본 발명에 따른 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치 및 방법을 첨부한 도면들을 참조하여 다음과 같이 상세히 설명한다.
도 1은 본 발명에 따른 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치의 일실시예를 나타내는 블록도이다. 도 1을 참조하여, 본 발명에 따른 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치는 트래픽 특성 추출부(110), 트래픽 상태 표시부(120)와 트래픽 이상 판단부(130)로 구성된다.
도 1을 참조하여, 트래픽 특성 추출부(110)는 외부의 트래픽 정보 수집기(미도시됨)에 의해 수집되어 트래픽 정보 저장소(101)에 저장되어 있는 트래픽 특성(네트워크 주소, 포트, 송/수신 호스트 주소 및 프로토콜)별 트래픽 정보를 참조하여, 전체 플로우, 마이크로-플로우(Micro-Flow) 및 매크로-플로우(Macro-Flow)를 대상으로 하여 각 트래픽 특성별로 점유 비율을 계산하고, 계산된 값을 저장한다. 여기서, 마이크로-플로우는 전체 플로우 중에서 소정의 기준 연결지속시간(예컨대, 1초) 미만의 플로우인 것으로 하며, 매크로-플로우는 전체 플로우에서 마이크로-플로우를 제외한 즉, 소정의 기준 연결지속시간을 초과하는 플로우인 것으로 한다. 구체적으로, 트래픽 특성 추출부(110)는 먼저, 전체 플로우 및 마이크로-플로우를 대상으로 하여, 전체 네트워크 주소를 소정의 구간으로 나눈 주소구간(이하, 전체 네트워크 주소구간이라 함), 전체 포트, 전체 송/수신 호스트 주소 및 전체 프로토 콜 별로 플로우 점유 비율을 각각 계산하여 저장한다. 매크로-플로우를 대상으로 한 각 트래픽 특성별 플로우 점유 비율은 전체 플로우를 대상으로 한 각 트래픽 특성별 플로우 점유 비율에서 마이크로-플로우를 대상으로 한 각 트래픽 특성별 플로우 점유 비율을 감산하여 구할 수 있다. 한편, 전체 포트, 송/수신 호스트 주소 및 프로토콜 별로 점유 비율이 높은 일부의 플로우 점유 비율 값만으로도 이상 또는 유해 트래픽 판단이 가능하다. 따라서, 트래픽 특성 추출부(110)는 전체 포트, 송/수신 호스트 주소 및 프로토콜의 경우, 점유 비율이 높은 상위 N(>0)개, 상위 P(>0)개 및 상위 M(>0)개에 대한 플로우 점유 비율 값만을 각각 저장할 수도 있다. 이하, 설명의 편의를 위해, 트래픽 특성 추출부(110)는 전체 포트, 송/수신 호스트 주소 및 프로토콜의 경우, 점유 비율이 높은 상위 N(>0)개, 상위 P(>0)개 및 상위 M(>0)개에 대한 플로우 점유 비율 값만을 각각 저장하는 것으로 한다.
트래픽 상태 표시부(120)는 트래픽 특성 추출부(110)에 계산되어 저장된 트래픽 특성별 플로우의 점유 비율을 방사형(레이더) 좌표축 상에 점으로 표시하며, 표시된 각 점을 연결한다. 구체적으로, 트래픽 상태 표시부(120)는 네트워크-레이더 표시모듈(122), 포트-레이더 표시모듈(124), 호스트-레이더 표시모듈(126) 및 프로토콜-레이더 표시모듈(128)을 포함하여 구성된다. 먼저, 네트워크-레이더 표시모듈(122)은 트래픽 특성 추출부(110)에 저장된 플로우 점유 비율을 참조하여, 전체 플로우, 마이크로-플로우 및 매크로-플로우 각각에 대해, 전체 네트워크 주소구간별 플로우 점유 비율을 네트워크-레이더 좌표 상에 점으로 각각 표시하여 연결한다. 포트-레이더 표시모듈(124)는 트래픽 특성 추출부(110)에 저장된 플로우 점유 비율을 참조하여, 전체 플로우, 마이크로-플로우 및 매크로-플로우 각각에 대해, 점유 비율이 높은 상위 N(>0) 포트에 대한 플로우 점유 비율을 포트-레이더 좌표 상에 점으로 각각 표시하여 연결한다. 호스트-레이더 표시모듈(126)은 트래픽 특성 추출부(110)에 저장된 플로우 점유 비율을 참조하여, 전체 플로우, 마이크로-플로우 및 매크로-플로우 각각에 대해, 점유 비율이 높은 상위 P(>0)개의 송신 호스트 주소 및 수신 호스트 주소의 플로우 점유 비율을 호스트-레이더 좌표 상에 점으로 표시하여 연결한다. 프로토콜-레이더 표시모듈(128)은 트래픽 특성 추출부(110)에 저장된 플로우 점유 비율을 참조하여, 전체 플로우, 마이크로-플로우 및 매크로-플로우를 대상으로 점유 비율이 높은 상위 M(>0)개의 프로토콜의 플로우 점유 비율을 프로토콜-레이더 좌표 상에 점으로 표시하여 연결한다. 트래픽 상태 표시부(120)에서 만들어지는 네트워크-레이더, 포트-레이더, 호스트-레이더 및 프로토콜-레이더에 대한 구체적인 설명은 도 2 내지 도 7을 참조하여 상세히 설명될 것이다.
트래픽 이상 판단부(130)는 트래픽 상태 표시부(120)에서 만들어지는 네트워크-레이더, 포트-레이더, 호스트-레이더 및 프로토콜-레이더를 참조하여 웜(WARM), 서비스 폭주 사용자 그룹(FLASH CROWD), 단대단(P2P:PEER TO PEER) 서비스 폭주 현상 및 서비스 거부 공격 등의 여부를 판별하고, 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 이를 보고한다. 여기서, 비정상적 상태인 웜 공격 또는 서비스 거부 공격 여부 및 이를 유발하는 트래픽은 마이크로-플로우에 대한 레이더를 이용하여 판별할 수 있으며, 도 2 내지 도 7을 참조하여 상세히 설명될 것이다. 또한, 비정상적 상태는 아니나 네트워크 마비를 유발할 수 있는 서비스 폭주 사용 자 그룹(FLASH CROWD) 또는 단대단(P2P:PEER TO PEER) 서비스 폭주 현상 및 이를 유발하는 트래픽은 매크로-플로우에 대한 레이더를 이용하여 판별할 수 있다. 예컨대, 서비스 폭주 사용자 그룹 현상은 매크로-플로우에 대한 레이더가 특정 포트 및 특정 송신지 호스트 주소에 플로우가 집중되는 형태로 표현되며, 단대단 서비스 폭주 현상은 특정 송/수신지 호스트 주소에 매크로-플로우가 집중되는 형태로 표현된다.
이상에서와 같이, 본 발명에 따른 네트워크 상태 표시 장치는 전체 플로우, 마이크로-플로우 및 매크로-플로우에 대해, 각 트래픽 특성별로 점유 비율을 계산하는 과정, 트래픽 특성별 플로우의 점유 비율을 방사형(레이더) 좌표축 상에 표시하는 과정 및 이상 상태 여부를 판단하고 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 과정을 프로그램에 의해 관리자의 개입없이 자동적으로 수행할 수 있다. 따라서, 보다 빠르고 정확하게 현재의 네트워크 상태를 감시할 수 있으며 또한, 이상/유해 트래픽에 대한 대응을 프로그램에 의해 자동적으로 수행하도록 시스템화할 수 있다.
도 2는 마이크로-플로우에 대한 네트워크 주소 구간별 플로우 점유 비율을 나타내는 네트워크-레이더의 일예를 나타내는 그래프이다.
도 2를 참조하여, 네트워크-레이더는 전체 네트워크 주소 구간을 26개(00x.x.x.x ~ 25x.x.x.x)의 구간으로 구분하여 방사 좌표축을 설정하고, 원형 좌표축은 플로우 점유 비율로 좌표축을 설정한다. 그리고, 각 네트워크 주소 구간에서의 플로우 점유 비율을 네트워크-레이더 좌표 상에 점(210)으로 표시한다. 한편, 도 2에서는 모든 네트워크 주소 구간에서의 플로우 점유 비율이 이상 상태 발생 여부의 판단 기준이 되는 제1네트워크 임계값(200)인 0.4(40%)를 넘는 트래픽이 존재하지 않음을 보인다.
한편, 전체 플로우 및 매크로-플로우에 대한 네트워크-레이더는 도시되지는 않았으나 도 2에서 설명된 바와 동일한 방식으로 표현될 수 있다.
도 3은 마이크로-플로우에 대한 네트워크 주소 구간별 플로우 점유 비율을 나타내는 네트워크-레이더의 다른 예를 나타내는 그래프이다.
도 1 및 도 3을 참조하면, 트래픽 플로우(300)가 네트워크 주소 구간 14x.x.x.x에서 많이 발생하여 플로우 점유 비율이 제1네트워크 임계값(200)을 초과함을 보인다. 또한, 네트워크 주소 구간 14x.x.x.x 및 13x.x.x.x에서 발생되는 트래픽 플로우의 점유 비율이 90% 이상을 차지하므로 이 두 네트워크 주소 구간에서 네트워크 이상상태가 발생됨을 알 수 있다. 트래픽 이상 판단부(130)는 이러한 네트워크-레이더를 이용하여 네트워크 이상 상태 예컨대, 자동화된 네트워크 공격 도구에 의한 공격 트래픽 발생 또는 웜 등에 의한 과다 이상 트래픽 발생 등의 보고를 할 수 있다. 물론, 트래픽 이상 판단부(130)는 포트-레이더, 호스트-레이더 및 프로토콜-레이더를 함께 적용하여 보다 구체적인 이상 상태 보고를 하게 된다. 또한, 트래픽 이상 판단부(130)는 네트워크-레이더에서 제1네트워크 임계값보다 높은 값을 가지며 이상 상태의 심각성 판단의 기준이 되는 다수의 임계값을 추가로 설정할 수 있다. 예컨대, 플로우 점유율 0.6을 제2네트워크 임계값, 0.8을 제3네트워크 임계값으로 각각 설정하여, 특정 네트워크 주소구간의 플로우 점유율 값이 제1, 제 2 또는 제3네트워크 임계값을 넘는가에 따라 경고의 수준을 달리할 수 있다. 즉, 특정 네트워크 주소구간의 플로우 점유율 값이 높을 수록 강한 경고 메시지를 발생하도록 할 수 있다. 또한, 네트워크-레이더 모듈(122)은 제1 내지 제3네트워크 임계값을 네트워크-레이더 상에 표시하여 이상 상태 발생 여부 및 그 심각성을 관리자가 직관적으로 판단할 수 있도록 할 수 있다.
도 4a~c는 마이크로-플로우에 대한 포트-레이더 및 호스트-레이더의 일 예를 나타내는 도면이다. 구체적으로, 도 4a는 점유 비율이 높은 상위 19개의 포트들에 대한 트래픽 플로우의 점유 비율을 나타내며, 이는 포트-레이더 표시 모듈(124, 도 1 참조)에서 제공된다. 도 4b는 점유 비율이 높은 상위 20개의 송신지 호스트 주소들에 대한 트래픽 플로우의 점유 비율을 나타내고, 도 4c는 점유 비율이 높은 상위 20개의 수신지 호스트 주소들에 대한 트래픽 플로우의 점유 비율을 나타내며, 이들은 호스트-레이더 표시 모듈(126, 도 1 참조)에서 제공된다.
먼저, 도 4a를 참조하면, 포트-레이더는 점유 비율이 높은 상위 19개의 포트들로 방사 좌표축을 설정하고, 원형 좌표축은 네트워크-레이더와 같이 플로우 점유 비율로 설정한다. 그리고, 각 포트에서의 플로우 점유 비율을 포트-레이더 좌표 상에 점(410)으로 표시한다. 한편, 도 4a에서는 상위 19개 포트의 플로우 점유 비율이 이상상태 판단의 기준이 되는 제1포트 임계값(400)인 0.2(20%)를 넘는 트래픽이 존재하지 않음을 보인다.
도 4b를 참조하면, 송신지 주소에 대한 호스트-레이더는 점유 비율이 높은 상위 20개의 송신지 주소들로 방사 좌표축을 설정하고, 원형 좌표축은 플로우 점유 비율로 설정한다. 그리고, 각 송신지 주소에서의 플로우 점유 비율을 송신지 주소에 대한 호스트-레이더 좌표 상에 점(430)으로 표시한다. 한편, 도 4b에서는 상위 20개 송신지 주소의 플로우 점유 비율이 이상상태 판단의 기준이 되는 제1호스트 임계값(420)인 0.1(10%)를 넘는 트래픽이 존재하지 않음을 보인다.
도 4c를 참조하면, 수신지 주소에 대한 호스트-레이더는 점유 비율이 높은 상위 20개의 수신지 주소들로 방사 좌표축을 설정하고, 원형 좌표축은 플로우 점유 비율로 설정한다. 그리고, 각 수신지 주소에서의 플로우 점유 비율을 수신지 주소에 대한 호스트-레이더 좌표 상에 점(440)으로 표시한다. 한편, 도 4c에서는 상위 20개 수신지 주소의 플로우 점유 비율이 제1호스트 임계값(420)인 0.1(10%)를 넘는 이상 트래픽이 존재하지 않음을 보인다.
한편, 전체 플로우 및 매크로-플로우에 대한 포트-레이더 및 호스트-레이더는 도시되지는 않았으나 도 4a~4c에서 설명된 바와 동일한 방식으로 표현될 수 있다.
도 5a~c는 마이크로-플로우에 대한 포트-레이더 및 호스트-레이더의 다른 예를 나타내는 도면이다. 도 4a~c가 정상적인 트래픽 상태에 대한 포트-레이더 및 호스트-레이더를 나타낸 반면, 도 5a~c는 특정 호스트에서 특정 포트를 이용하여 웜 공격을 발생시키는 경우 표시될 수 있는 포트-레이더 및 호스트-레이더를 나타낸다. 도 4a~c에서 설명된 것과 마찬가지로, 도 5a는 점유 비율이 높은 상위 19개의 포트들에 대한 트래픽 플로우의 점유 비율을 나타내고, 도 5b는 점유 비율이 높은 상위 20개의 송신지 호스트 주소들에 대한 트래픽 플로우의 점유 비율을 나타내고, 도 4c는 점유 비율이 높은 상위 20개의 수신지 호스트 주소들에 대한 트래픽 플로우의 점유 비율을 각각 나타낸다.
먼저, 도 5a는 점유 비율이 높은 상위 19개의 포트들 중, 포트 1434가 제1포트 임계값 0.2(20%)을 넘어 0.9(90%) 이상의 플로우 점유 비율을 갖는 점(500)으로 표시됨을 보인다.
도 5b는 점유 비율이 높은 상위 20개의 송신지 호스트 주소들 중, 공격을 발생시키는 특정 호스트 즉, 10.10.10.12와 10.10.10.16의 플로우 점유 비율이 다른 송신지 주소들과는 다르게 제1호스트 임계값 0.1(10%)을 넘는 점(510,520)으로 표시되며, 두 송신지 호스트 주소의 플로우 점유 비율이 90% 이상임을 보인다.
도 5c는 점유 비율이 높은 상위 20개의 수신지 주소들 모두 웜 공격 특성상 정상 상태의 그래프와 동일하게 점유 비율 임계값 0.1(10%)을 넘지 않는 점들(530)로 표시됨을 보인다.
이상에서와 같이 표시되는 도 5a, 도 5b 및 도 5c를 이용하여 트래픽 이상 판단부(130, 도 1참조)는 송신지 호스트 주소가 10.10.10.12 및 10.10.10.16인 특정 호스트가 포트 1434를 이용하여 웜 공격을 발생시키고 있다는 이상 상태 보고를 할 수 있다. 물론, 트래픽 이상 판단부(130)는 네트워크-레이더 및 프로토콜-레이더를 함께 적용하여 보다 구체적인 이상 상태 보고를 하게 된다.
도 6a~c는 마이크로-플로우에 대한 포트-레이더 및 호스트-레이더의 또 다른 예를 나타내는 도면이다. 도 6a~c는 특정 호스트에서 특정 포트를 이용하여 서비스 거부 공격을 특정 목적지로 발생시키는 경우를 각 레이더에 표시한 것이다. 도 4a~c에서 설명된 것과 마찬가지로, 도 6a는 점유 비율이 높은 상위 19개의 포트들에 대한 트래픽 플로우의 점유 비율을 나타내고, 도 6b는 점유 비율이 높은 상위 20개의 송신지 주소들에 대한 트래픽 플로우의 점유 비율을 나타내고, 도 6c는 점유 비율이 높은 상위 20개의 수신지 주소들에 대한 트래픽 플로우의 점유 비율을 각각 나타낸다.
먼저, 도 6a는 점유 비율이 높은 상위 19개의 포트들 중, 포트 27665가 제1포트 임계값 0.2(20%)을 넘어 0.6(60%) 이상의 플로우 점유 비율을 갖는 점(600)으로 표시됨을 보인다.
도 6b는 점유 비율이 높은 상위 20개의 송신지 호스트 주소들 중, 공격을 발생시키는 특정 호스트 즉, 10.10.10.15, 10.10.10.16, 10.10.10.17 및 10.10.10.25의 플로우 점유 비율이 제1호스트 임계값 0.1(10%)을 넘는 점들로 표시됨을 보인다.
도 6c를 참조하면, 점유 비율이 높은 상위 20개의 수신지 호스트 주소들 중, 공격의 대상이 되는 특정 호스트 즉, 10.10.10.24의 플로우 점유 비율이 제1호스트 임계값 0.1(10%)을 넘는 점(610)으로 표시됨을 보인다.
이상에서와 같이 표시되는 도 6a, 도 6b 및 도 6c를 이용하여 트래픽 이상 판단부(130, 도 1참조)는 송신지 호스트 주소가 10.10.10.15, 10.10.10.16, 10.10.10.17 및 10.10.10.25인 특정 호스트가 특정 포트 27665를 이용하여 수신지 호스트 주소가 10.10.10.24인 특정 호스트로 서비스 거부 공격을 하고 있다는 이상 상태 보고를 할 수 있다. 물론, 트래픽 이상 판단부(130)는 네트워크-레이더 및 프 로토콜-레이더를 함께 적용하여 보다 구체적인 이상 상태 보고를 하게 된다.
또한, 트래픽 이상 판단부(130)는 제1포트 임계값 및 제1호스트 임계값보다 높은 값을 가지며 이상상태의 심각성을 나타내는 다수의 포트 임계값 및 호스트 임계값을 추가로 설정할 수 있으며, 특정 포트 및 특정 호스트의 점유율이 어느 임계값을 넘는가에 따라 이상상태 보고시 경고의 수준을 달리할 수 있다. 즉, 특정 포트 및 특정 호스트의 점유율이 높은 점유율에 해당하는 임계값을 넘을 수록 웜 공격 또는 서비스 거부 공격의 정도가 심각함을 나타내는 강한 경고 메시지를 보고를 할 수 있다. 그리고, 포트-레이더 표시모듈(124) 및 호스트-레이더 표시모듈(126)은 레이더 상에 추가 설정된 임계값들을 표시하여 이상 상태 발생 여부 및 그 심각성을 관리자가 직관적으로 판단할 수 있도록 할 수 있다.
도 7은 마이크로-플로우에 대한 프로토콜 특성에 따른 프로토콜-레이더의 일 예를 나타내는 도면이다. 도 7에서는 정상 상태에서의 각 프로토콜 점유 비율을 점(-■-)으로, 이상 상태에서의 각 프로토콜 점유 비율을 점(-■-)으로 함께 표시한다. 도 7에 도시된 바와 같이, 정상적인 상태에서의 프로토콜-레이더는 두 개의 대표 프로토콜인 TCP와 UDP의 점유비율이 균형을 이루며, 각각은 이상상태 발생 여부를 판단하는 기준이 되는 제1프로토콜 임계값 0.6(60%)을 넘지 않는다. 그러나 특정 프로토콜 예컨대, UDP에 트래픽이 집중되어 UDP의 점유비율이 다른 프로토콜의 점유 비율에 비해 비정상적으로 높으면 트래픽 이상 판단부(130)는 그에 따른 이상 상태 보고를 한다. 물론, 트래픽 이상 판단부(130)는 네트워크-레이더 및 프로토콜-레이더를 함께 적용하여 보다 구체적인 이상 상태 보고를 하게 된다. 또한, 트래 픽 이상 판단부(130)는 프로토콜-레이더에서 제1프로토콜 임계값 0.6(60%)보다 높은 값을 가지며 이상상태의 심각성 판단의 기준이 되는 다수의 임계값을 추가로 설정하여 특정 프로토콜이 어느 임계값을 넘는가에 따라 경고의 수준을 달리할 수 있다. 즉, 특정 프로토콜의 플로우 점유율이 높은 점유율에 해당하는 임계값을 넘을 수록 이상 상태가 심각함을 나타내는 강한 경고 메시지를 보고할 수 있다. 그리고, 프로토콜-레이더 표시모듈(128)은 레이더 상에 추가 설정된 임계값들을 표시하여 이상 상태 발생 여부 및 그 심각성을 관리자가 직관적으로 판단할 수 있도록 할 수 있다.
이상에서 설명된 바와 같이, 본 발명에 따른 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치 및 방법은 네트워크 주소, 호스트 주소, 프로토콜, 포트 등 각 트래픽 특성별 플로우 점유비율이라는 간단한 정보를 이용하여 네트워크의 성능을 저하시키는 이상 상태를 판별하고 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하며, 이러한 과정을 프로그램에 의해 자동화함으로써 관리자의 개입 없이 빠르게 이상 상태에 대한 대응을 할 수 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있 는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
이상에서 본 발명의 바람직한 실시 예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.
상술한 바와 같이, 본 발명에 따른 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치 및 그 방법은 네트워크 주소, 호스트 주소, 프로토콜, 포트 등 각 트래픽 특성별 플로우 점유비율이라는 간단한 정보를 이용하여 네트워크의 성능을 저하시키는 이상 상태를 판별하고 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하며, 이러한 과정을 프로그램에 의해 자동화함으로써 관리자의 개입 없이 빠르게 이상 상태에 대한 대응을 할 수 있다.

Claims (10)

  1. 외부의 트래픽 정보 수집기에 의해 수집되는 네트워크 주소, 포트, 송/수신 호스트 주소 및 프로토콜의 트래픽 특성별 트래픽 정보를 참조하여 전체 플로우, 마이크로-플로우 및 매크로-플로우를 대상으로 상기 각 트래픽 특성별로 플로우 점유 비율을 계산하고, 계산된 값을 저장하는 트래픽 특성 추출부;
    상기 트래픽 특성 추출부에 계산되어 저장된 상기 트래픽 특성별 플로우의 점유 비율을 트래픽 특성별로 레이더 상에 점으로 표시하는 트래픽 상태 표시부; 및
    상기 트래픽 특성별 레이더를 참조하여 네트워크의 이상 상태 여부를 판별하고, 이상상태 발생시 그 유형 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 트래픽 이상 판단부를 포함하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치.
  2. 제1항에 있어서, 상기 트래픽 특성 추출부는
    상기 전체 플로우에 대한 상기 각 트래픽 특성별 플로우 점유 비율에서 상기 마이크로-플로우에 대한 상기 각 트래픽 특성별 플로우 점유 비율을 감산하여 상기 매크로-플로우에 대한 상기 각 트래픽 특성별 플로우 점유 비율을 구하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치.
  3. 제1항에 있어서, 상기 트래픽 특성 추출부는
    상기 포트, 상기 송/수신 호스트 주소 및 상기 프로토콜의 경우, 점유 비율이 높은 상위 N(>0)개, 상위 P(>0)개 및 상위 M(>0)개에 대한 플로우 점유 비율 값만을 각각 저장하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치.
  4. 제1항에 있어서, 상기 트래픽 상태 표시부는
    상기 트래픽 특성 추출부에 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우 각각에 대해, 전체 네트워크 주소를 n개의 구간으로 구분하여 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 네트워크-레이더 상에 해당 네트워크 주소 구간의 플로우 점유 비율값을 점으로 표시하는 네트워크-레이더 표시모듈;
    상기 트래픽 특성 추출부에 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우 각각에 대해, 점유 비율이 높은 상위 N(>0) 포트로 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 포트-레이더 상에 해당 포트의 플로우 점유 비율값을 점으로 각각 표시하는 포트-레이더 표시모듈;
    상기 트래픽 특성 추출부에 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우 각각에 대해, 점유 비율이 높은 상위 P(>0)개의 송/수신 호스트 주소로 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 송/수신 호스트-레이더상에 해당 송/수신 호스트 주소의 플로우 점유 비율값을 점으로 표시하는 호스트-레이더 표시모듈; 및
    상기 트래픽 특성 추출부에 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우를 대상으로 점유 비율이 높은 상위 M(>0)개의 프로토콜로 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 프로토콜-레이더 상에 해당 프로토콜의 플로우 점유 비율값을 점으로 표시하는 프로토콜-레이더 표시모듈을 포함하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치.
  5. 제4항에 있어서, 상기 네트워크-레이더 표시모듈, 상기 포트-레이더 표시모듈, 상기 호스트-레이더 표시모듈 및 상기 프로토콜-레이더 표시모듈 각각은,
    이상 상태 발생 판단의 기준이 되는 플로우 점유율로 설정되는 제1임계값을 상기 레이더 상에 각각 표시하여 이상 상태 발생 여부를 직관적으로 표시하며,
    이상 상태의 심각성 판단의 기준이 되며 상기 제1임계값보다 큰 값을 갖는 플로우 점유율로 설정되는 다수의 임계값들을 상기 레이더 상에 각각 표시하여 이상 상태 발생의 심각성을 직관적으로 표시하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치.
  6. 제5항에 있어서, 상기 트래픽 이상 판단부는
    상기 각 레이더에 표시되는 트래픽 특성별 플로우 점유 비율값과 상기 제1임 계값 및 상기 다수의 임계값을 비교하여 이상상태 보고시 그 심각성을 함께 보고하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치.
  7. (a)외부의 트래픽 정보 수집기에 의해 수집되는 네트워크 주소, 포트, 송/수신 호스트 주소 및 프로토콜의 트래픽 특성별 트래픽 정보를 참조하여 전체 플로우, 마이크로-플로우 및 매크로-플로우를 대상으로 상기 각 트래픽 특성별로 플로우 점유 비율을 계산 및 저장하는 단계;
    (b)상기 (a)단계에서 저장된 상기 트래픽 특성별 플로우의 점유 비율을 상기 트래픽 특성별로 레이더 상에 점으로 표시하는 단계; 및
    (c)상기 트래픽 특성별 레이더를 참조하여 네트워크의 이상 상태 여부를 판별하고, 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출 및 보고하는 단계를 포함하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 방법.
  8. 제7항에 있어서, 상기 (a)단계는
    상기 포트, 상기 송/수신 호스트 주소 및 상기 프로토콜의 경우, 점유 비율이 높은 상위 N(>0)개, 상위 P(>0)개 및 상위 M(>0)개에 대한 플로우 점유 비율 값만을 각각 저장하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 방법.
  9. 제7항에 있어서, 상기 (b)단계는
    (b_1)상기 (a)단계에서 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우 각각에 대해, 전체 네트워크 주소를 n개의 구간으로 구분하여 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 네트워크-레이더 상에 해당 네트워크 주소 구간의 플로우 점유 비율값을 점으로 표시하는 단계;
    (b_2)상기 (a)단계 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우 각각에 대해, 점유 비율이 높은 상위 N(>0) 포트로 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 포트-레이더 상에 해당 포트의 플로우 점유 비율값을 점으로 각각 표시하는 단계;
    (b_3)상기 (a)단계 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우 각각에 대해, 점유 비율이 높은 상위 P(>0)개의 송/수신 호스트 주소로 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 송/수신 호스트-레이더상에 해당 송/수신 호스트 주소의 플로우 점유 비율값을 점으로 표시하는 단계; 및
    (b_4)상기 (a)단계 저장된 플로우 점유 비율을 참조하여, 상기 전체 플로우, 상기 마이크로-플로우 및 상기 매크로-플로우를 대상으로 점유 비율이 높은 상위 M(>0)개의 프로토콜로 방사 좌표축을 설정하고, 플로우 점유 비율로 원형 좌표축을 설정한 프로토콜-레이더 상에 해당 프로토콜의 플로우 점유 비율값을 점으로 표시하는 단계를 포함하는 것을 특징으로 하는 트래픽 플로우-레이더를 이용한 네트워 크 상태 표시 방법.
  10. 제9항에 있어서,
    이상 상태 발생 판단의 기준이 되는 플로우 점유율로 설정되는 제1임계값을 상기 레이더 상에 각각 표시하고, 이상 상태의 심각성 판단의 기준이 되며 상기 제1임계값보다 큰 값을 갖는 플로우 점유율로 설정되는 다수의 임계값들을 상기 레이더 상에 각각 표시하는 단계를 더 포함하며,
    상기 (c)단계에서 이상상태 보고시 이상상태의 심각성을 함께 보고하는 것을 특징으로 하는 네트워크 트래픽 플로우-레이더를 이용한 상태 표시 방법.
KR1020050110358A 2005-11-17 2005-11-17 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법 KR100651746B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050110358A KR100651746B1 (ko) 2005-11-17 2005-11-17 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법
US11/599,909 US7787394B2 (en) 2005-11-17 2006-11-15 Network status display device and method using traffic flow-radar

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050110358A KR100651746B1 (ko) 2005-11-17 2005-11-17 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법

Publications (1)

Publication Number Publication Date
KR100651746B1 true KR100651746B1 (ko) 2006-12-01

Family

ID=37731476

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050110358A KR100651746B1 (ko) 2005-11-17 2005-11-17 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법

Country Status (2)

Country Link
US (1) US7787394B2 (ko)
KR (1) KR100651746B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447178B1 (ko) 2014-06-25 2014-10-10 숭실대학교산학협력단 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
KR100949803B1 (ko) * 2007-12-18 2010-03-30 한국전자통신연구원 아이피 주소 분할 표시 장치 및 방법
US20100256823A1 (en) * 2009-04-04 2010-10-07 Cisco Technology, Inc. Mechanism for On-Demand Environmental Services Based on Network Activity
US20120246724A1 (en) * 2009-12-04 2012-09-27 Invicta Networks, Inc. System and method for detecting and displaying cyber attacks
US20150304346A1 (en) * 2011-08-19 2015-10-22 Korea University Research And Business Foundation Apparatus and method for detecting anomaly of network
US10021130B2 (en) * 2015-09-28 2018-07-10 Verizon Patent And Licensing Inc. Network state information correlation to detect anomalous conditions
CN113904804B (zh) * 2021-09-06 2023-07-21 河南信大网御科技有限公司 基于行为策略的内网安全防护方法、系统及介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9222282D0 (en) * 1992-10-22 1992-12-09 Hewlett Packard Co Monitoring network status
EP1182822B1 (en) * 2000-02-21 2013-02-13 Kabushiki Kaisha Toshiba Network Management Equipment
US7356689B2 (en) * 2001-07-09 2008-04-08 Lucent Technologies Inc. Method and apparatus for tracing packets in a communications network
US7363656B2 (en) * 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
KR100520687B1 (ko) 2003-02-12 2005-10-11 박세웅 네트워크 상태 표시 장치 및 방법
CA2445220C (en) * 2003-10-10 2009-03-17 Nav Canada Air traffic information display system
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US7849187B2 (en) * 2005-09-28 2010-12-07 Electronics And Telecommunications Research Institute Network status display device and method using traffic pattern map

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447178B1 (ko) 2014-06-25 2014-10-10 숭실대학교산학협력단 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법

Also Published As

Publication number Publication date
US20070206498A1 (en) 2007-09-06
US7787394B2 (en) 2010-08-31

Similar Documents

Publication Publication Date Title
KR100651746B1 (ko) 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법
CN105049291B (zh) 一种检测网络流量异常的方法
CN110784458A (zh) 流量异常检测方法、装置及网络设备
US9130982B2 (en) System and method for real-time reporting of anomalous internet protocol attacks
US7636942B2 (en) Method and system for detecting denial-of-service attack
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
US10637885B2 (en) DoS detection configuration
US8677488B2 (en) Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
US7849187B2 (en) Network status display device and method using traffic pattern map
US8726382B2 (en) Methods and systems for automated detection and tracking of network attacks
US8375445B2 (en) Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
JP2007013590A (ja) ネットワーク監視システム、ネットワーク監視装置及びプログラム
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
US20070150955A1 (en) Event detection system, management terminal and program, and event detection method
KR20060046812A (ko) 네트워크 트래픽 이상 상태 검출/표시 장치 및 그 방법
JPWO2007081023A1 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
US7996544B2 (en) Technique of detecting denial of service attacks
JP2008085819A (ja) ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム
CN112422554A (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
JP2007180891A (ja) 通信装置及びそれに用いるパケット送信制御方法並びにそのプログラム
EP2760181A1 (en) Methods and systems for providing redundancy in data network communications
CN114301700A (zh) 调整网络安全防御方案的方法、装置、系统及存储介质
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121031

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131024

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141027

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151028

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20171027

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20191028

Year of fee payment: 14