KR100656340B1 - 비정상 트래픽 정보 분석 장치 및 그 방법 - Google Patents

비정상 트래픽 정보 분석 장치 및 그 방법 Download PDF

Info

Publication number
KR100656340B1
KR100656340B1 KR1020040095531A KR20040095531A KR100656340B1 KR 100656340 B1 KR100656340 B1 KR 100656340B1 KR 1020040095531 A KR1020040095531 A KR 1020040095531A KR 20040095531 A KR20040095531 A KR 20040095531A KR 100656340 B1 KR100656340 B1 KR 100656340B1
Authority
KR
South Korea
Prior art keywords
traffic
traffic information
information
signature
incoming
Prior art date
Application number
KR1020040095531A
Other languages
English (en)
Other versions
KR20060056195A (ko
Inventor
두소영
김정녀
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040095531A priority Critical patent/KR100656340B1/ko
Publication of KR20060056195A publication Critical patent/KR20060056195A/ko
Application granted granted Critical
Publication of KR100656340B1 publication Critical patent/KR100656340B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 장치(라우터 등)에 유입된 트래픽의 정보를 분석하여, 유입 트래픽이 네트워크의 성능을 저하시킬 우려가 있는 경우 유입 트래픽이 외부로부터의 공격 트래픽인 지 혹은 과다 유입 트래픽인 지 등 비정상 트래픽에 해당하는 지에 관하여 분석하는 장치 및 그 방법에 관한 것이다.
본 명세서에서 개시하는 비정상 트래픽 정보 분석 장치는 트래픽 처리 시스템으로 유입되는 트래픽을 캡쳐하여 상기 유입 트래픽의 정보를 검출하는 트래픽 정보 검출부; 및 상기 트래픽 정보 검출부로부터 상기 유입 트래픽의 정보를 받아 상기 이전 트래픽 정보와의 비교 결과인 시그너쳐를 생성하는 시그너쳐 생성부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.

Description

비정상 트래픽 정보 분석 장치 및 그 방법{Apparatus for analyzing the information of abnormal traffic and Method thereof}
도 1a는 본 장치 발명의 바람직한 일실시예의 구성을 나타낸 도면이다.
도 1b는 도 1a에 제시된 트래픽 정보 검출부의 상세 구성을 제시한 도면이다.
도 1c는 트래픽 정보 저장 DB에 저장되는 유입 트래픽 정보의 일례를 제시한 도면이다.
도 1d는 도 1a에 제시된 트래픽 분석부의 상세한 구성을 그 실시예와 결부시켜 제시한 도면이다.
도 1e는 일정 시간마다 트래픽 정보 DB에서 삭제/갱신되는 이전 트래픽 정보의 일례를 나타낸 도면이다.
도 2a는 본 방법 발명의 바람직한 일실시예의 흐름도이다.
도 2b는 도 2a에 제시된 S22 단계의 상세한 흐름을 제시한 도면이다.
본 발명은 비정상 트래픽 정보 분석 장치 및 그 방법에 관한 것으로 보다 상 세하게는, 네트워크 장치(라우터 등)에 유입된 트래픽의 정보를 분석하여, 유입 트래픽이 네트워크의 성능을 저하시킬 우려가 있는 경우 유입 트래픽이 외부로부터의 공격 트래픽인 지 혹은 과다 유입 트래픽인 지 등 비정상 트래픽에 해당하는 지에 관하여 분석하는 장치 및 그 방법에 관한 것이다.
기존의 트래픽 분석을 위한 비정상 트래픽(패킷) 분류 방식은 주로 특정 플로우 패턴(flow pattern)을 정의하여 이를 기준(reference)으로 삼아, 유입 트래픽의 플로우가 특정 플로우 패턴과 동일한 지의 여부를 판별하여 유입 트래픽의 비정상 여부를 판별한다. 이 경우 제한된 패턴의 유입 플로우에 대해서만 트래픽의 비정상 여부를 판단하게 되므로 예측하지 못한 패턴에 대해서는 정확한 분류가 가능하지 않다는 문제점을 가지게 된다.
비정상 트래픽을 구별해 내고자 하는 근본적인 이유는 해커들의 공격을 방지 혹은 차단하기 위한 것인데 네트워크 공격 방식이 나날이 다양화 변형되고 있는 현 시점에서 플로우 패턴을 정형화시켜 유입 트래픽의 비정상 여부를 판별하는 것은 적합하지 않다.
본 발명은 상기와 같은 문제점을 해결하기 위해 창안된 것으로서, 본 발명의 목적 및 이루고자 하는 기술적 과제는 비정상 트래픽을 분류하기 위한 기준 패턴을 정형화시키지 않은 상태에서 유입 트래픽의 비정상 여부를 판별하고, 그 비정상 트래픽의 정보를 분석하여 네트워크 보안 관리에 활용할 수 있도록 하는 비정상 트래픽 정보 분석 장치 및 그 방법을 제공함에 있다.
상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 비정상 트래픽 정보 분석 장치는 트래픽 처리 시스템으로 유입되는 트래픽을 캡쳐하여 상기 유입 트래픽의 정보를 검출하는 트래픽 정보 검출부; 및
상기 트래픽 정보 검출부로부터 상기 유입 트래픽의 정보를 받아 상기 이전 트래픽 정보와의 비교 결과인 시그너쳐를 생성하는 시그너쳐 생성부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
본 장치 발명은 상기 유입 트래픽이, 상기 시스템에서 처리할 수 있는 최대 대역폭과 비교했을 때, 어느 정도의 대역폭을 차지하고 있는지 그 비율을 산출하는 대역폭 차지 비율 산출부를 더 포함하는 것이 본 발명의 목적 및 기술적 과제의 해결을 위해 바람직하다.
아울러 상기와 같은 목적 및 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 비정상 트래픽 정보 분석 방법은 (a)트래픽 처리 시스템으로 유입되는 트래픽을 캡쳐하여 상기 유입 트래픽의 정보를 검출하는 단계; 및
(b)상기 유입 트래픽 정보와 상기 이전 트래픽 정보와의 비교 결과인 시그너쳐를 생성하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
본 방법 발명은 (c)상기 유입 트래픽이, 상기 시스템에서 처리할 수 있는 최대 대역폭과 비교했을 때, 어느 정도의 대역폭을 차지하고 있는지 그 비율을 산출하는 단계를 더 포함하는 것이 본 발명의 목적 및 기술적 과제의 해결을 위해 바람직하다.
상기 유입 또는 이전 트래픽 정보는 상기 유입 또는 이전 트래픽의 송신지 주소, 수신지 주소, 수신 포트를 포함하는 것이 본 발명의 목적 및 기술적 과제의 해결을 위해 바람직하다.
상기 이전 트래픽의 정보는 소정 시간 단위로 지속적으로 갱신(삭제)되도록 하는 것이 본 발명의 목적 및 기술적 과제의 해결을 위해 바람직하다.
이하, 본 발명의 기술적 사상을 명확화하기 위해, 본 발명의 실시예에 근거하여 그 구성 및 동작을 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.
도 1a은 본 장치 발명의 바람직한 일실시예의 구성도이며, 도 1b는 도 1a에 제시된 트래픽 정보 검출부의 상세 구성도이고, 도 1c은 트래픽 정보 저장 DB에 저장되는 유입 트래픽 정보의 일례를 제시한 도면이다. 도 2a는 본 방법 발명의 바람직한 일실시예의 흐름도이다.
트래픽 정보 검출부(101)는 유입 트래픽의 정보를 검출하는데(S21), 도 1b에서 보는 바와 같이 우선 방화벽(firewall, 11)을 통과한 유입 트래픽을 캡쳐하여 트래픽 저장 버퍼(1012)에 임시적으로 보관한다. 유입 트래픽의 정보는 트래픽 분석 데몬(daemon, 1011)에 의해 주기적으로 검출되어 시그너쳐 생성부(102)로 전송된다. 이 때 검출의 고속 실현을 위해서 소정의 해쉬 함수(hash function)를 이용하여 유입 트래픽의 정보를 검출할 수 있다.
이 때, 유입 트래픽의 정보는 도 1c에 제시된 바에 의하면 송신주소(source address), 수신주소(destination address), 수신포트(destination port) 정보의 조합으로 이루어져 있으나 송신포트(source port), 프로토콜(protocol), 플래그(flag) 등의 조합으로 다양하게 변형할 수 있다. 데몬(102)을 통하여 검출된 유입 트래픽 정보는 도 1c에 제시된 바와 같이 송신주소, 수신주소, 수신포트의 세 가지로 분류된 후, 트래픽 정보 DB(104)에 리스트 형태로 저장되어 이후 유입되는 트래픽의 분석에 활용된다.
시그너쳐 생성부(102)는 트래픽 정보 검출부(101)로부터 유입 트래픽 정보를 받아 트래픽 정보 DB(103)에 저장되어 있는 이전 유입 트래픽 정보와 비교하여 트래픽 리스트와 유입 트래픽 정보의 비교 결과인 시그너쳐를 생성한다(S22).
시그너쳐(signature)는 트래픽 정보 DB(104)에 있는 이전 트래픽 정보와 새로이 유입된 트래픽 정보간의 상관 관계를 의미하는 것으로, 두 정보의 논리적 'AND' 연산으로 생성된다. 도 1c에 제시된 바를 예를 들어 시그너쳐 생성 태양을 설명하면,
트래픽 정보 DB(104)에는 첫 번째 유입된 트래픽 정보로 111.111.111.111.222.222.222.222.10 이 저장되어 있으며, 두 번째 유입 트래픽 정보로 111.111.111.111.333.333.333.333.10 이 저장되어 있다. 두 번째 트래픽 정보를 첫 번째 트래픽 정보와 비교하여 보면, 송신 주소와 수신 포트가 동일하므로 시그너쳐 1-0-1 이 생성된다.
새로운 트래픽이 유입되면 새로 유입된 트래픽 정보 111.111.111.111.222.222.222.222.50 을 첫 번째 트래픽 정보와 비교한다. 송신 주소와 수신 주소가 동일하므로 시그너쳐 1-1-0 이 생성되며, 두 번째 트래픽 정보와 비교하여 보면 송신 주소만 동일하므로 시그너쳐 1-0-0 이 생성되어 트래픽 정보 DB(104)내에 있는 시그너쳐 DB가 갱신된다. 다시 말해, 두 정보가 동일한 경우에는 시그너쳐 1, 차이가 있는 경우에는 시그너쳐 0이 생성된다. 시그너쳐가 0인 경우는 유입 트래픽이 외부로부터의 공격 트래픽일 가능성이 있는 트래픽이다.
생성된 시그너쳐가 하나라도 1 인 경우 즉, 유입 트래픽 정보 DB(104)에 저장된 트래픽 정보가 유입 트래픽 정보와 동일한 경우에는 시그너쳐 DB의 카운트를 증가시키게 된다. 시그너쳐 DB의 카운트는 동일 패턴 발생 횟수 즉, 유입 트래픽이 이전 트래픽과 동일한 횟수를 의미한다.
만일, 생성된 시그너쳐가 모두 0 인 경우 즉, 유입 트래픽 정보가 트래픽 정보 DB(104)에 있는 트래픽 정보와 동일하지 아니한 경우에는 유입 트래픽 정보는 트래픽 정보 저장 DB(104)에 추가되며, 시그너쳐 DB의 카운트는 그대로 유지된다.
본 장치 발명은 대역폭 차지 비율 산출부(103)를 더 포함하여서도 구성될 수 있는데, 도 1d에 그 일실시예가 제시되어 있으며, 도 2b는 본 방법 발명의 또 다른 구현예를 제시한 도면이다.
시그너쳐가 생성된 뒤 대역폭 차지 비율 산출부(1033)는 유입 트래픽이, 본 발명이 구비될 수 있는 네트워크 장치(예를 들어 라우터)에서 처리할 수 있는 최대 대역폭과 비교했을 때, 어느 정도의 대역폭을 차지하고 있는지 그 비율을 산출한다(S23).
대역폭 차지 비율의 산출은 특히, 생성된 시그너쳐가 모두 1인 경우 즉, 유입 트래픽의 정보가 이전 트래픽의 정보와 동일한 경우 그 의의가 있다. 두 정보가 일치하는 경우에는 네트워크 외부로부터의 공격 트래픽(예를 들어 해킹)일 가능성이 적다고 할 것이나, 다만 너무 과다하게 유입되는 경우에는 네트워크가 처리할 수 있는 용량을 초과하여 결국 네트워크 전체에 해악을 미칠 우려가 있는 것이다.
따라서, 이러한 트래픽도 '비정상' 트래픽으로 분류하여야 하는데, 결국 시그너쳐 DB의 카운트가 높은 트래픽이 이에 해당하는 트래픽일 것이며, 상기 비율이 기준치(네트워크 장치 자체적으로 처리 가능한 단위 유입 트래픽의 대역폭) 즉, 처리 한계로 정해둔 임계치를 넘어서는 경우에는 비정상 트래픽이 발생했다고 판단하게 된다. 이러한 트래픽 분석으로 유입 트래픽이 정상 트래픽, 외부로부터의 공격 트래픽, 과다 유입 트래픽으로 분류되는 것이다.
트래픽 분석이 끝나면 트래픽은 침입 탐지/차단부(12)로 전송되며, 트래픽 분석부(102)에 의한 위와 같은 처리 결과 이상 징후가 발견된 경우는 침입 탐지/차단부(12)에서 활용할 수 있는 트래픽 정보를 정의된 형태로 전달한다. 이 정의된 형태는 각 침입 탐지/차단부(12)의 구성에 따라 달라질 수 있으며 침입 탐지/차단부의 구체적인 구성은 본 발명의 목적과는 관련이 없으므로 그 설명을 약한다.
도 1e는 일정 시간마다 트래픽 정보 DB에서 삭제/갱신되는 이전 트래픽 정보의 일례를 나타낸 도면이다.
1은 호스트 이름이고, 2는 디바이스 이름, 3은 송신 주소, 4는 수신주소, 5는 송신 포트, 6은 수신 포트, 7은 프로토콜, 8은 동일 내용의 첫 번째 패킷 도착 시간, 9는 동일한 패킷이 도착한 수를 나타낸다. 도 1c에 제시된 트래픽 정보를 좀 더 세분화한 내용이다.
이전 트래픽 정보는 일정 시간이 경과하면 삭제/갱신되는데, 이는 유입 트래픽의 비정상 여부를 판별하기 위한 기준(reference) 트래픽 정보를 지속적으로 갱신, 기준 트래픽의 정형화(플로우 패턴의 정형화)를 탈피하여 다양한 형태의 비정상 트래픽에 대처하기 위함이다. 상기 일정 시간의 단위는 고정된 것이 아니라 네트워크 환경 등 다른 여러 변수에 의해 변경될 수 있다. 한편 삭제되는 이전 트래픽 정보는 관리자 혹은 침입 탐지/방지부(12)가 보다 자세한 분석을 하는 경우를 위해서 트래픽 정보 DB내에 있는 삭제 정보 DB에 저장된다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
본 발명은 현재 유입되는 트래픽의 이상 여부를 동적으로 갱신되는 이전 트래픽 정보에 근거하여 판단하므로 다양한 형태의 비정상 트래픽에의 대응성이 뛰어나며, 아울러 과다 유입되는 트래픽의 검출로 결국 네트워크에 끼치는 각종 해악을 극복할 수 있는 장점이 있다.

Claims (7)

  1. 시스템으로 유입되는 트래픽의 정보를 검출하는 트래픽 정보 검출부;
    상기 검출된 트래픽 정보를 이전 유입된 트래픽 정보와 비교하여 상관관계를 나타내는 시그너쳐를 생성하고, 상기 검출된 트래픽 정보가 상기 이전 유입된 특정 트래픽 정보와 공통되는 경우를 카운트하여 저장하는 시스너쳐 생성부;
    상기 검출된 트래픽 정보와 상기 생성된 시그너쳐를 저장하고, 소정 시간 단위로 삭제/갱신하여 다양한 형태의 비정상 트래픽에 대처 가능한 DB(DataBase);
    상기 시스템으로 유입된 트래픽을 상기 시스템의 최대 대역폭과 비교하여 차지하는 비율을 산출하는 대역폭 차지 비율 산출부; 및
    상기 유입된 트래픽이 상기 시그너쳐 생성부 상의 상기 카운트가 높은 트래픽이거나 상기 대역폭 차지 비율 산출부 상의 상기 최대 대역폭 차지 비율이 높은 트래픽인 경우, 상기 트래픽을 탐지하여 차단하는 침입탐지/차단부;를 포함하는 것을 특징으로 하는 비정상 트래픽 정보 분석 장치.
  2. 삭제
  3. 제 1 항에 있어서, 상기 시그너쳐는
    상기 두 정보의 논리적 'AND' 연산으로 생성됨을 특징으로 하는 비정상 트래픽 정보 분석 장치.
  4. 제 1 항에 있어서, 상기 유입 또는 이전 트래픽 정보는
    상기 유입 또는 이전 트래픽의 송신지 주소, 수신지 주소, 수신 포트를 포함함을 특징으로 하는 비정상 트래픽 정보 분석 장치.
  5. 제 1항에 있어서, 상기 시그너쳐 생성부에서
    상기 검출된 트래픽 정보가 상기 이전 유입된 특정 트래픽 정보와 완전히 일치하는 경우에는 상기 카운트 과정을 수행하지 않는 것을 특징으로 하는 비정상 트래픽 정보 분석 장치.
  6. (a) 시스템으로 유입되는 트래픽의 정보를 검출하는 단계;
    (b) 상기 검출된 트래픽 정보를 DB에 존재하는 이전 유입된 트래픽 정보와 비교하여 상관관계를 나타내는 시그너쳐를 생성하는 단계;
    (c) 상기 생성된 시그너쳐에 따라 상기 검출된 트래픽 정보가 상기 이전 유입된 특정 트래픽 정보와 공통되는 경우 이를 카운트 하여 상기 검출된 트래픽 정보와 함께 상기 DB에 저장하는 단계;
    (d) 다양한 형태의 비정상 트래픽에 대처하기 위해 소정 시간 단위로 상기 DB에 저장된 트래픽 정보를 삭제/갱신하는 단계;
    (e) 상기 유입된 트래픽의 카운트가 높은 경우 상기 유입된 트래픽을 통제하는 단계; 및
    (f) 상기 유입된 트래픽을 상기 시스템의 최대 대역폭과 비교시 상기 최대 대역폭 상 차지하는 비율이 높은 경우, 상기 유입된 트래픽을 통제하는 단계;를 포함하는 것을 특징으로 하는 비정상 트래픽 정보 분석 방법.
  7. 삭제
KR1020040095531A 2004-11-20 2004-11-20 비정상 트래픽 정보 분석 장치 및 그 방법 KR100656340B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040095531A KR100656340B1 (ko) 2004-11-20 2004-11-20 비정상 트래픽 정보 분석 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040095531A KR100656340B1 (ko) 2004-11-20 2004-11-20 비정상 트래픽 정보 분석 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20060056195A KR20060056195A (ko) 2006-05-24
KR100656340B1 true KR100656340B1 (ko) 2006-12-11

Family

ID=37152092

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040095531A KR100656340B1 (ko) 2004-11-20 2004-11-20 비정상 트래픽 정보 분석 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100656340B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법
KR100825257B1 (ko) * 2007-09-05 2008-04-25 주식회사 나우콤 비정상트래픽의 로그데이타 상세 처리 방법
US8149699B2 (en) 2008-12-02 2012-04-03 Electronics And Telecommunications Research Institute Method and apparatus for controlling traffic according to user
KR101292887B1 (ko) * 2009-12-21 2013-08-02 한국전자통신연구원 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법
KR101107739B1 (ko) * 2010-08-03 2012-01-20 한국인터넷진흥원 VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법
CN106789831B (zh) 2015-11-19 2020-10-23 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020072618A (ko) * 2001-03-12 2002-09-18 (주)세보아 네트워크 기반 침입탐지 시스템
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040083746A (ko) * 2003-03-24 2004-10-06 구본곤 보안 침해 사고 대응을 위한 보안 콜센터 운영 방법 및 그시스템
KR20050066048A (ko) * 2003-12-26 2005-06-30 한국전자통신연구원 다단계 트래픽 흐름 관리 장치 및 방법
KR20050090640A (ko) * 2004-03-09 2005-09-14 유넷시스템주식회사 유해 트래픽 분석 시스템 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020072618A (ko) * 2001-03-12 2002-09-18 (주)세보아 네트워크 기반 침입탐지 시스템
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040083746A (ko) * 2003-03-24 2004-10-06 구본곤 보안 침해 사고 대응을 위한 보안 콜센터 운영 방법 및 그시스템
KR20050066048A (ko) * 2003-12-26 2005-06-30 한국전자통신연구원 다단계 트래픽 흐름 관리 장치 및 방법
KR20050090640A (ko) * 2004-03-09 2005-09-14 유넷시스템주식회사 유해 트래픽 분석 시스템 및 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
1020020072618 *
1020040083746 *

Also Published As

Publication number Publication date
KR20060056195A (ko) 2006-05-24

Similar Documents

Publication Publication Date Title
US11102223B2 (en) Multi-host threat tracking
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
US9094288B1 (en) Automated discovery, attribution, analysis, and risk assessment of security threats
US8006306B2 (en) Exploit-based worm propagation mitigation
US7234166B2 (en) Event sequence detection
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
JP4808703B2 (ja) 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム
US8380979B2 (en) Methods, systems, and computer program products for invoking trust-controlled services via application programming interfaces (APIs) respectively associated therewith
CN104115463A (zh) 用于处理网络元数据的流式传输方法和系统
KR101360591B1 (ko) 화이트리스트를 이용한 네트워크 감시 장치 및 방법
US8336098B2 (en) Method and apparatus for classifying harmful packet
KR20090087437A (ko) 트래픽 검출 방법 및 장치
KR20060063342A (ko) 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴검출 시스템 및 그 방법
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
US20100014432A1 (en) Method for identifying undesirable features among computing nodes
Bouyeddou et al. Detection of smurf flooding attacks using Kullback-Leibler-based scheme
CN112154635B (zh) Sfc覆盖网络中的攻击源追踪
KR20040057257A (ko) 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR102414334B1 (ko) 자율협력주행 도로인프라 위협탐지 방법 및 장치
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
KR20110028106A (ko) 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
CN115017502A (zh) 一种流量处理方法、及防护系统
KR100554172B1 (ko) 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee