KR100688078B1 - 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법 - Google Patents

인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법 Download PDF

Info

Publication number
KR100688078B1
KR100688078B1 KR1020040099626A KR20040099626A KR100688078B1 KR 100688078 B1 KR100688078 B1 KR 100688078B1 KR 1020040099626 A KR1020040099626 A KR 1020040099626A KR 20040099626 A KR20040099626 A KR 20040099626A KR 100688078 B1 KR100688078 B1 KR 100688078B1
Authority
KR
South Korea
Prior art keywords
traffic
schema
internet
dbms
stored
Prior art date
Application number
KR1020040099626A
Other languages
English (en)
Other versions
KR20060060845A (ko
Inventor
이병준
윤승현
정형석
최태상
박정숙
정태수
윤상식
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040099626A priority Critical patent/KR100688078B1/ko
Publication of KR20060060845A publication Critical patent/KR20060060845A/ko
Application granted granted Critical
Publication of KR100688078B1 publication Critical patent/KR100688078B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/024Standardisation; Integration using relational databases for representation of network management data, e.g. managing via structured query language [SQL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따르면 인터넷 트래픽의 분석 결과를 응용 프로그램 별로 분류하여 저장하기 위한 DBMS 스키마 및, 새로운 인터넷 응용 프로그램이 등장하거나 기존의 인터넷 응용 프로그램의 특성이 변화하였을 때 DBMS 스키마를 자동으로 변경하는 인터넷 트래픽 분석 시스템 및 방법 그리고 DBMS 스키마 변경 방법이 제시된다. 상기 DBMS 스키마 변경 방법에 따르면, 응용 프로그램의 종류 및 특성을 명시하는 인터넷 응용 설정 파일의 내용이 변경되었을 경우 그 내용을 분석하여 DBMS 스키마를 변경할 수 있다.
인터넷 트래픽, DBMS, DBMS 스키마

Description

인터넷 트래픽 분석 시스템과 방법, 그리고 그 시스템에서의 DBMS 스키마 변경 방법{Internet traffic analysis system and method, and DBMS Schema evolution method in the system}
도 1은 종래 기술의 인터넷 트래픽 분석 시스템의 개략적인 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 인터넷 트래픽 분석 시스템의 개략적인 구성을 나타내는 도면이다.
도 3은 도 2의 트래픽 검출부에서의 동작 과정을 설명하기 위한 흐름도이다.
도 4는 도 3에서 설명한 트래픽 검출부의 동작이 완료된 이후의 인터넷 트래픽 분석 시스템에서의 동작 과정을 설명하기 위한 흐름도이다.
도 5는 도 2의 트래픽 분석부의 분석 결과를 저장하는 파일 형태 및 스키마의 형태를 설명하기 위한 도면이다.
도 6은 본 발명의 실시예에 따른 DBMS 스키마 변경 방법을 설명하기 위한 흐름도이다.
본 발명은 인터넷 트래픽 분석 시스템과 방법, 그리고 상기 시스템에서의 DBMS 스키마 변경 방법에 관한 것이다.
인터넷 트래픽이라 함은 인터넷을 통해 전송되는 데이터를 일컫는 것이다.
그동안 인터넷 트래픽을 분석하는 종래의 시스템은, 어떤 물리적 회선을 통해 유통되는 트래픽을 구성하는 패킷들에 관한 정보를 요약하여 보여주는 용도로 사용되어 왔다. 하지만, 인터넷이 활성화되고 인터넷 사용료의 과금 주체를 밝히는 문제가 중요해 짐에 따라 국가 간이나 인터넷 서비스 제공자(Internet Service Provider:ISP)간에 유통되는 인터넷 트래픽을 분석하여 그 결과를 제시해 주는 시스템에 대한 요구가 증대되고 있다.
그런데, 어떤 트래픽에 대한 사용료 부담 주체가 어디인지를 식별해 내려면 어떤 인터넷 응용 프로그램이 어떤 트래픽을 얼마만큼 발생시켰는지를 알아야 하는 경우가 대부분이므로, 인터넷 트래픽의 분석 결과를 인터넷 응용 프로그램별로 분류하여 제시하여 주는 인터넷 트래픽 분석 시스템이 필수적으로 요구된다. 또한, 최근에는 새로운 인터넷 응용 프로그램이 수시로 출현하며, 기존의 인터넷 응용 프로그램들도 그 프로토콜(protocol)을 달리하여 새로운 프로그램을 출시하는 경향이 두드러지고 있으므로 새로운 인터넷 응용 프로그램이 출현하거나 기존의 인터넷 응용 프로그램의 특성이 변화하였을 경우 해당 정보를 적절히 반영하여, 분석 결과가 저장될 DBMS 스키마를 자동적으로 변경해 주는 알고리즘이 요구된다.
도 1은 종래 기술의 인터넷 트래픽 분석 시스템의 개략적인 구성을 나타낸 도면이다.
도 1을 참조하면, 종래의 인터넷 트래픽 분석 시스템은 트래픽 검출부(20), 트래픽 분석부(30), DBMS(database management system)(40)를 포함한다.
먼저, 트래픽 검출부(20)는 하드웨어 또는 소프트웨어를 사용하여 인터넷(10)으로부터 트래픽을 검출한다. 검출 결과, 검출된 트래픽은 FTP(file transfer protocol), NFS(network file server), 혹은 기타 임의의 전송 프로토콜에 따라 트래픽 분석부(30)로 전송된다. 그러면, 트래픽 분석부(30)는 트래픽 검출부(20)로부터 전송된 트래픽을 분석하여 DBMS(40) 상에 레코드(record) 형태로 저장한다. 이렇게 저장된 결과는 트래픽 분석 시스템 사용자가 참조하여 트래픽 분석 결과를 확인할 수 있다.
한편, 종래의 인터넷 트래픽 분석 시스템의 분석 결과에 따르면 저장되는 레코드들은 특정 시간대 내에 전송된 패킷의 총량이나 바이트의 총량 등을 나타내는 단순한 통계치 만을 갖는 경우가 일반적이다.
그러나, 종래의 트래픽 분석 시스템의 분석에 따른 이러한 형태의 레코드는 어떤 응용 프로그램이 해당 인터넷 트래픽을 유발하였는지의 정보를 포함하지 않으므로, 트래픽을 유발한 책임 소재를 밝혀내기 위한 근거로 사용되기에는 부적합하다. 따라서 인터넷 응용 프로그램 별로 분석 결과를 제시하여 줄 수 있는 인터넷 트래픽 분석 시스템의 필요성이 대두된다.
또한, 인터넷은 그 진화 속도가 빠른 매체로 새로운 응용 프로그램이 등장하는 속도나 기존 응용 프로그램의 프로토콜이 변경되는 일이 매우 빈번하게 발생하므로, 인터넷 트래픽을 응용 프로그램 별로 분류하고 분석하기 위해서는 새로운 인 터넷 응용 프로그램이 등장하거나, 기존의 인터넷 응용 프로그램의 특성이 변화하였을 경우, 분석 결과가 저장되는 DBMS 상의 레코드 스키마(Schema)를 자동적으로 변환하여 주는 알고리즘이 요구된다.
따라서, 이러한 문제점을 해결하기 위한 본 발명이 이루고자 하는 기술적 과제는, 인터넷 트래픽(traffic) 분석 시스템을 위한 DBMS 스키마 자동 변경 방법 및 이를 이용한 인터넷 트래픽 분석 시스템에 관한 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 하나의 특징에 따른 인터넷망으로부터 검출된 인터넷 트래픽을 분석하는 인터넷 트래픽 분석 시스템에 있어서,
상기 인터넷 트래픽의 분석 결과를 저장하는 데이터베이스 매니지먼트 시스템(DBMS)과 상기 인터넷 트래픽을 유발시키는 인터넷 응용 프로그램의 종류 및 그 특성을 저장하는 인터넷 응용 설정 파일과 상기 인터넷망에 접속하여 인터넷 트래픽을 검출하고 플로우 단위로 생성한 후 플로우 파일의 형태로 저장하는 트래픽 검출부와 상기 트래픽 검출부에서 검출된 상기 플로우 파일 형태의 인터넷 트래픽을 분석하여, 분석 결과를 상기 DBMS에 상기 트래픽을 유발한 응용 프로그램별로 분류하여 저장하는 트래픽 분석부, 그리고 상기 인터넷 응용 설정 파일을 이용하여 상기 트래픽 분석부의 분석 결과가 저장되는 상기 DBMS의 스키마를 변경하기 위한 스키마 관리부를 포함하며, 상기 스키마 관리부는 상기 인터넷 응용 설정 파일을 상기 DBMS의 스키마 형태로 변환하고, 상기 DBMS의 스키마는 응용 프로그램의 종류를 나타내기 위한 복수의 응용 프로그램 그룹 블록으로 구성되는 것을 특징으로 한다.
본 발명의 다른 특징에 따른 인터넷망으로부터 검출된 인터넷 트래픽을 분석하는 인터넷 트래픽 분석 시스템에서 DBMS 스키마를 변경하는 방법에 있어서, 상기 인터넷 트래픽에 대하여 분석한 결과를 응용 프로그램별로 분류하여 DBMS(Database Management System)에 저장하고, 상기 응용 프로그램의 특성을 저장하는 인터넷 응용 설정 파일을 이용하여 상기 DBMS 스키마를 변경하며, 상기 DBMS 스키마는,
현재 유효한 스키마 부분을 나타내는 레코드들이 저장될 제1 테이블과 현재의 스키마 버전 번호를 관리하는 레코드가 저장될 제2 테이블과 상기 트래픽 분석 작업 수행 이력을 관리하는 레코드들이 저장될 제3 테이블을 포함하며,
상기 제2 테이블의 레코드를 판독하여 현재 유효한 스키마의 버전 번호를 알아내어 제1 메모리에 저장하는 단계와 상기 제1 테이블의 레코드를 판독하여 그 중 유효한 스키마의 버전 번호에 관한 정보를 저장하는 제1 필드(Version필드)의 값이 상기 제1 메모리에 저장된 값과 일치하는 레코드만을 제2 메모리에 저장하는 단계와 상기 응용 프로그램의 특성을 나타내는 인터넷 응용 설정 파일의 스키마와 상기 제1 및 제2 메모리에 저장된 값을 비교하는 단계, 그리고 상기 비교 단계에서의 비교 결과에 따라 상기 DBMS 스키마의 내용을 추가하거나 변경하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 특징에 따른 인터넷망으로부터 검출된 인터넷 트래픽을 분석하는 방법에 있어서,
상기 인터넷망에 접속하여 인터넷 트래픽을 검출하여, 플로우 단위로 구성된 상기 트래픽을 플로우 파일로 저장하는 단계와 상기 플로우 파일로 저장된 트래픽 플로우를 분석하고, 분석된 결과를 상기 인터넷 트래픽을 유발한 응용 프로그램별로 분류하여 DBMS 스키마 형태로 저장하는 단계, 그리고 상기 DBMS 스키마 형태로 상기 응용 프로그램의 형태에 대해 미리 저장되어 있는 인터넷 응용 설정 파일을 분석하고, 상기 미리 저장되어 있는 인터넷 응용 설정 파일의 내용과 상기 인터넷 트래픽으로부터 검출되어 저장된 DBMS 스키마를 대조하여 차이가 있을 경우 상기 DBMS 스키마를 변경하는 단계를 포함하는 것을 특징으로 한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
이하, 본 발명의 실시예에 따른 인터넷 트래픽 분석 시스템에 대하여 도면을 참조하여 상세하게 설명한다.
도 2는 본 발명의 실시예에 따른 인터넷 트래픽 분석 시스템의 개략적인 구성을 나타내는 도면이다. 도 2를 참조하면, 상기 인터넷 트래픽 분석 장치(200)는 트래픽 검출부(210), 트래픽 분석부(220), 스키마 관리부(230) 및 데이터베이스 매니지먼트 시스템(Database Management System, 이하 "DBMS"라 명명함)(240)를 포함한다. 그리고, 인터넷 응용 프로그램의 특성은 인터넷 응용 설정 파일(250)에 저장된다.
먼저, 트래픽 검출부(210)는 트래픽 검출을 위한 하드웨어 또는 소프트웨어를 사용하여 인터넷(100)으로부터 트래픽을 검출한다. 이때, 트래픽 검출부(210)는 일정 시간동안 트래픽을 수집한 뒤, 플로우(flow) 형태로 만들고 플로우들을 묶어 파일로 만들어 저장한다. 상기 파일은 FTP(File Transfer Protocol) 또는 NFS(Network File Server) 등 임의의 프로토콜을 사용하여 트래픽 분석부(220)로 전송한다. 트래픽 분석부(220)는 트래픽 검출부(210)에서 검출한 트래픽을 분석하고, 분석 결과를 응용 프로그램 별로 분류하여 DBMS(240)에 저장한다. 이때, 분석 결과를 저장하기 위한 DBMS 스키마는 스키마 관리부(230)에 의해 생성되거나 변경된다. 스키마 관리부(230)는 검출된 트래픽을 유발한 응용 프로그램의 스키마를 DBMS(240)에 미리 저장되어 있는 응용 프로그램의 스키마와 비교하여 차이점이 있는지를 판단하고, 차이점이 있을 경우 그 차이점을 스키마에 새롭게 반영한다.
다음, 도 3 및 도 4는 각각 본 발명의 실시예에 따른 인터넷 트래픽 분석 시스템에서의 동작을 구체적으로 설명하기 위한 흐름도이다. 특히, 도 3은 도 2의 트래픽 검출부에서의 동작 과정을 설명하기 위한 흐름도이며, 도 4는 도 3에서의 동작이 완료된 이후의 동작 과정을 설명하기 위한 흐름도이다.
도 3을 참조하면, 먼저 도 2에서 설명한 바와 같이 트래픽 검출부(210)는 인터넷(100)으로부터 트래픽을 검출하여(S100) 이를 플로우(flow) 단위로 구성한다(S110). 이때, 트래픽 검출부(210)는 미리 지정된 시간만큼 동안 트래픽을 검출한다(S120). 트래픽 검출부(210)에서의 트래픽 검출 시간은 예를 들어, 한 시간에서 수 분 정도의 시간 간격을 정하여 사용할 수 있다. 다음, 미리 지정된 시간만큼 동안 트래픽 검출이 완료되면, 플로우 단위로 구성된 트래픽을 파일로 저장한다(S130).
이때, 상기 동작은 스키마 관리부(230)나 트래픽 분석부(220) 및 DBMS(240)와는 무관하게 독립적으로 수행된다.
다음, 도 4를 참조하여 본 발명의 실시예에 따른 인터넷 트래픽 분석 시스템에서의 트래픽 분석 방법을 보다 구체적으로 설명하기로 한다.
도 4를 참조하면, 먼저 상기 트래픽 검출부(220)에서 수집한 파일들을 분석하기 이전에 스키마 관리부(230)는 인터넷 응용 설정 파일(250)의 스키마를 DBMS(240)에 미리 저장되어 있는 응용 프로그램의 스키마와 비교하여 차이점이 있는지를 판단하고, 차이점이 있을 경우 그 차이점을 DBMS 스키마에 새롭게 반영한다(S200). 다음, 단계(S200)에서 스키마의 생성 또는 수정 작업의 완료 후 분석대상이 되는 플로우 파일이 존재하는 지를 확인한다(S300). 플로우 파일이 존재하는 경우 트래픽 분석부(220)는 상기 트래픽 검출부(210)에서 수집한 플로우 파일들을 시간 순서대로 열고(S400), 분석할 플로우가 남아 있는 경우(S500), 상기 트래픽 분석부(220)는 열린 플로우 파일 내의 플로우들을 순차적으로 분석한다(S600). 그리고, 분석 결과는 메모리 내에 임시로 저장된다(S700).
여기서, 플로우의 분석(S600)은 인터넷 응용 설정 파일(250)에 명시된 내용에 의거하며, 플로우 파일 내에 포함된 플로우 즉, 검출된 트래픽이 어떤 응용 프로그램에 속하는 것인지를 식별하는 과정이다. 따라서, 한 플로우 파일 내의 모든 플로우들에 대한 분석이 끝나면 그 결과는 합산되어 DBMS(240)에 저장되며(S800), 저장되는 형태는 도 5b에 명시된 스키마를 따른다. 또한, ANALYSIS_HISTORY 테이블(T400)에 해당 플로우 파일이 수집된 시간대, 해당 플로우 파일이 수집된 링크 번호, 및 CURRENT_VERSION 테이블(T300) 내의 레코드에 기록되어 있는 현재 스키마 버전 정보 값을 담고 있는 레코드가 추가된다(S900).
이제, 도 5를 참조하여 상기 트래픽 분석부(220)에서의 트래픽 플로우가 어떤 응용 프로그램에 의해 발생한 것인지를 판정하기 위한 과정 및 판정이 끝난 트래픽 플로우에 대한 정보를 저장하는 것에 대해 자세하게 설명한다.
이를 위해, 먼저 본 발명의 실시예에 따른 상기 인터넷 응용 설정 파일(250)의 구조 및 DBMS 스키마의 구조에 대해 설명한다.
도 5는 도 2의 트래픽 분석부의 분석 결과를 저장하는 파일 형태 및 스키마의 형태를 설명하기 위한 도면이다. 특히, 도 5a는 트래픽 분석부에서의 분석 결과를 저장할 DBMS 스키마를 생성하기 위해 사용하는 인터넷 응용 설정 파일의 구조를 나타내는 도면이고, 도 5b는 도 5a의 인터넷 응용 설정 파일을 근거로 하여 만들어진 DBMS 스키마의 구조를 설명하기 위한 도면이며, 도 5c는 도 5b의 DBMS 스키마 중 현재의 분석 과정에 있어서 유효한 부분이 어디까지인지를 기술하는 DBMS 스키마의 구조를 설명하기 위한 도면이다. 도 5d는 현재의 스키마 버전 번호를 관리하는 레코드가 저장될 테이블이고, 도 5e는 도 2의 트래픽 분석부에서 트래픽 분석 작업의 수행 이력을 관리하는 레코드들이 저장될 테이블을 나타낸 것이다.
도 5a를 참조하면 상기 인터넷 응용 설정 파일(250)의 구조는 다음과 같다.
먼저, 상기 인터넷 응용 설정 파일(250)은 어떠한 종류의 응용 프로그램인지를 설명하기 위한 응용 프로그램 그룹(251)들이 연속되어 나열된다. 도 5a에서는 특히 하나의 응용 프로그램 그룹을 예를 들어 설명한다. 그리고, 상기 각 응용 프로그램 그룹(251)은 다시 여러 개의 포트(port) 기준 블록(252)들을 포함한다. 여기서, 상기 각 응용 프로그램 그룹(251)이 여러 개의 포트 기준 블록(252)들을 포 함하는 것은 어떤 한 종류의 응용 프로그램이 다양한 포트를 사용하는 여러 개의 하위 응용 프로그램 모듈의 집합으로 구성될 수 있다는 사실을 설명하기 위한 것이다. 도 5a에서 포트 기준 블록(252)은 하나 이상의 포트 번호 정보(252a)와 프로토콜 번호 정보(252b) 그리고 0개 이상의 시그너춰(signature)(252c)를 갖는다. 상기 시그너춰(252c)는 해당 시그너춰(252c)가 하나의 플로우에 속한 패킷들 중 몇 번째 패킷에서부터 몇 번째 패킷 사이에서 나타날 수 있는지를 나타내는 값을 가진다. 또한, 상기 해당 시그너춰(252c)가 몇 번째 바이트에서부터 몇 번째 바이트 사이에서 나타낼 수 있는지를 나타내는 값을 부가적으로 가진다.
이때, 상기 시그너춰(252c)는 송신자 시그너춰(source signature)와 수신자 시그너춰(destination signature)의 두 가지 종류로 나뉘어진다.
따라서, 어떤 인터넷 트래픽 플로우가 사용한 프로토콜 번호가 상기 프로토콜 번호 정보(252b)와 일치하고, 해당 트래픽 플로우가 사용한 포트 번호가 상기 포트 기준 블록(252)이 사용하는 포트 번호들(252a) 중 하나이고, 그 포트 번호가 트래픽의 송신자 측 포트 번호이며, 상기 인터넷 트래픽 플로우에 포함된 패킷 중에 송신자 시그너춰와 일치하는 부분이 존재하는 경우, 상기 트래픽 분석부(220)는 상기 해당 트래픽 플로우가 상기 포트 기준 블록(252)에 속하는 트래픽인 것으로 판단한다.
또한, 상기 인터넷 트래픽 플로우가 사용한 프로토콜 번호가 상기 프로토콜 번호 정보(252b)와 일치하고, 해당 트래픽 플로우가 사용한 포트 번호가 상기 포트 기준 블록(252)이 사용하는 포트 번호들 중 하나이고, 그 포트 번호가 트래픽의 수 신자 측 포트 번호이며, 어떤 트래픽 플로우에 포함된 패킷 중에 수신자 시그너춰와 일치하는 부분이 존재하는 경우, 상기 트래픽 분석부(220)는 해당 트래픽이 상기 포트 기준 블록(252)에 속하는 트래픽인 것으로 판단한다.
이때, 시그너춰가 존재하지 않는 경우에는 포트 번호만을 비교하고 시그너춰에 대한 비교 동작은 생략한다.
또한, 상기 포트 기준 블록(252)은, 여러 개의 판정 블록(252d)들로 구성된다. 상기 판정 블록(252d)은, 특정 포트 기준 블록에 속하는 것으로 판정된 패킷들을 어떤 판정 기준에 의거하여 좀 더 세밀하게 나누기 위한 것이다. 상기 트래픽 분석부(220)는 상기 판정 블록(252d)에 의거하여, 특정 포트 기준 블록 예를 들어, 도 5a에서 포트번호 정보(port 8080, 8081, 9000)를 갖는 포트 기준 블록(252)에 속하는 것으로 판정된 트래픽을 보다 세밀하게 분석한다.
또한, 상기 판정 블록(252d)은 판정 기준(up, down)을 포함하며, 상기 판정 기준(up, down)은 해당 트래픽 플로우가 사용한 포트 번호 중 트래픽 판정에 사용된 포트 번호가 수신자 측(up)에 나타난 것인지, 아니면 송신자 측(down)에 나타난 것인지에 따라 트래픽을 적절히 분류하기 위한 것이다.
한편, 상기 스키마 관리부(230)는 DBMS 스키마를 생성하거나 갱신하기 위해 상기 인터넷 응용 설정 파일(250)을 입력으로 사용한다. 따라서, 상기 인터넷 응용 설정 파일(250)은 상기 스키마 관리부(230)에 의해 도 5b와 같은 형태의 스키마로 변환된다.
상기 포트 기준 블록(252)은 DBMS(240)상에 저장되는 레코드들이 저장될 테 이블의 이름이 된다. 따라서, 각각의 포트 기준 블록에 대해, 분석 결과를 저장할 테이블(T100)이 하나씩 생성된다. 한편, 상기 판정 블록(252d)의 이름은 레코드들이 갖는 필드의 이름이 된다. 예를 들어, 하나의 판정 블록에 대해 두 개의 필드(REQ_P, REQ_B)가 생성되며, 이들 필드들은 해당 판정 블록에 속하는 트래픽의 패킷 수와 바이트 수를 저장하기 위해 사용된다. 또한, 이외에도 분석된 트래픽이 어떤 링크에서 검출되었는지를 나타내는 LINK 필드와, 어떤 시간대에 검출되었는지를 나타내는 시간값(timestamp)을 저장할 TIMESTAMP 필드가 존재한다.
이와 같이, 도 5b를 참조하여 필드명과 그에 따른 필드 내용을 참조하면 다음과 같은 결과를 얻을 수 있다. 즉, 도 5b에서는 포트 기준 블록(HTTP_ALT)에 대해 트래픽은 링크1에서 검출되었고, 검출 시간대는 2023025234이며, 각 판정 블록(REQ, REP)에 속하는 트래픽의 패킷 수와 바이트 수는 각각 20, 1024와 4와 80임을 알 수 있다.
다음, 도 5c를 참조하면 DBMS(240)에는 현재 유효한 스키마 부분을 나타내는 레코드들이 저장될 테이블(VALID_SCHEMA)(T200)이 생성된다. 도 5c에서 나타낸 테이블(T200)의 레코드들에는 상기 응용 프로그램 그룹(251) 이름을 저장할 APPLICATION 필드, 상기 포트 기준 블록(252) 이름을 저장할 PORT_REP_NAME 필드, 판정 블록(252d) 이름을 저장할 DECISION_GROUP 필드 및 유효한 스키마의 버전 번호에 관한 정보를 저장할 VERSION 필드가 존재한다. 그리고, 이 테이블(T200)과는 별도로 도 5d에 나타낸 바와 같이 현재의 스키마 버전 번호를 관리하는 레코드가 저장될 테이블(CURRENT_VERSION)(T300)이 존재한다. 이 테이블(300)에는 오직 하 나의 레코드만이 존재하며, 해당 레코드는 VERSION 필드만을 갖는다. 그 필드의 값은 인터넷 응용 설정 파일(250)이 새롭게 생성되거나 변경될 때마다 0에서 시작하여 1씩 증가하게 된다.
또한, 이 테이블(T300)과는 별도의 테이블로서 트래픽 분석부(220)에서 트래픽 분석 작업의 수행 이력을 관리하는 레코드들이 저장될 테이블(ANALYSIS_HISTORY)(T400)(도 5e 참조)이 존재한다. 이 테이블(T400)에는 특정 시간대에 수집된 트래픽에 대한 분석 작업이 끝날 때마다 새로운 레코드가 추가된다. 즉, 각각의 레코드에는 분석 작업이 끝난 트래픽의 시간대 정보를 나타내는 시간값(timestamp) 정보를 저장할 TIMESTAMP 필드, 해당 트래픽이 수집된 링크의 정보를 나타내는 LINK 필드 및 해당 분석 작업이 수행될 때 사용된 스키마의 버전 정보가 저장될 VERSION 필드를 포함한다. 상기 테이블(T400)의 사용에 대해서는 도 4에서 트래픽 분석 과정을 설명하면서 언급한 바 있다.
그러면, 이제 도 6(6a, 6b, 6c 및 6d)를 참조하여 인터넷 응용 설정 파일(250)의 변경에 따른 DBMS 스키마 자동 변경 알고리즘에 대해 설명한다.
아래의 알고리즘을 설명하는 중 언급하는 CUR_VERSION, CUR_RECORDS, SAME_RECORDS, LIST_CONFFILE_RECORDS, LIST_NEW_TABLES, LIST_NEW_FIELDS, I, N 등은 상기 인터넷 응용 설정 파일의 변경에 따른 스키마 생성 및 변경하기 위한 알고리즘 수행을 하기 위해 필요한 값들을 임시로 저장하는 변수이다.
도 6은 본 발명의 실시예에 따른 DBMS 스키마를 자동 변경 방법을 설명하기 위한 흐름도이다.
먼저, 도 6a를 참조하면 상기 스키마 관리부(230)는 테이블 CURRENT_VERSION(T300)의 레코드를 읽어서 현재 유효한 스키마의 버전 번호를 알아내어 CUR_VERSION 필드에 저장한다(S201). 그 뒤, 테이블 VALID_SCHEMA(T200)를 읽어, 그 중 VERSION 필드의 값이 CUR_VERSION 필드와 일치하는 레코드들만을 CUR_RECORDS 필드에 저장한다(S202).
그 다음, 상기 인터넷 응용 설정 파일(250)을 읽어 그 결과를 <포트 기준 블록 이름, 판정 블록 이름>의 순서쌍으로 구성되는 레코드들로 변환하여, LIST_CONFFILE_RECORDS에 저장한다(S203). 각각의 레코드들은 포트 기준 블록 이름을 저장할 PORT_REP_NAME 필드와 판정 블록 이름을 저장할 DECISION_GROUP의 두 가지 필드를 갖는다. 이 레코드들의 개수가 N개라고 했을 때, 1보다 같거나 크고 N보다 같거나 작은 정수 I에 대해서(S204), LIST_CONFFILE_RECORDS[I] 레코드 각각에 대해 아래의 과정을 한 번씩 수행한다(S205).
우선, LIST_CONFFILE_RECORDS[I]에 대해서, 이 레코드가 갖는 포트 기준 블록의 이름(LIST_CONFFILE_RECORDS[I].PORT_REP_NAME)이 CUR_RECORDS 필드의 레코드들에는 없는 새로운 포트 기준 블록(252) 이름인지를 판단한다(S206). 새로운 이름인 경우에는 해당 포트 기준 블록(252) 이름을 사용하여 새로운 테이블을 생성하고, 그 테이블에 LINK 필드와 TIMESTAMP 필드를 추가한다(S207). 그리고, 상기 단계(S207)에서 새롭게 생성된 테이블의 이름은 별도의 리스트(LIST_NEW_TABLES)에 추가한다(S208).
또한, LIST_CONFFILE_RECORDS[I]에 대해서, 이 레코드가 갖는 판정 기준 블 록의 이름(LIST_CONFFILE_RECORDS[I].DECISION_GROUP)이 CUR_RECORDS 필드의 레코드들에는 없는 새로운 판정 기준 블록 이름(252d)인지를 판단한다(S209). 새로운 판정 블록 이름인 경우, LIST_CONFFILE_RECORDS[I]에 저장되어 있는 포트 기준 블록 이름에 대한 테이블에 새로운 필드들을 두 개(패킷 수와 바이트 수를 저장하기 위한 필드 각각 하나씩) 추가하고(S210), VALID_SCHEMA 테이블(T200)에 해당 포트 기준 블록 이름과 해당 판정 블록 이름에 대한 새로운 레코드를 추가한다(S211). 이때, VERSION 필드에는 CUR_VERSION+1의 값이 저장되어야 한다. 그리고, 해당 판정 블록(252d)의 이름은 리스트(LIST_NEW_FIELDS)에 추가한다(S212).
만일 LIST_CONFFILE_RECORDS[I]이 위의 두 경우에 해당되지 않는다면, 그것은 LIST_CONFFILE_RECORDS[I]에 해당하는 레코드가 CUR_RECORDS에 존재하는 경우이므로, 해당 레코드를 CUR_RECORDS 필드에서 삭제하고 SAME_RECORDS 필드로 옮긴다(S213).
그리고, LIST_CONFFILE_RECORDS내의 모든 레코드에 대한 상기의 처리 과정이 끝난 뒤, 즉 도 5a에서 인터넷 응용 설정 파일(250)에 포함된 모든 포트 기준 블록(252)에 대한 처리가 끝났다면, 리스트(LIST_NEW_TABLES)와 리스트(LIST_NEW_FIELDS)에 저장된 항목의 수, 및 CUR_RECORDS 필드에 남은 항목의 수를 확인한다(S214). 이 들 중 하나의 값이라도 0보다 클 경우, CURRENT_VERSION 테이블(T300)에 저장된 레코드의 VERSION 필드의 값을 1 만큼 증가시켜야 한다(S215). 그리고, SAME_RECORDS 필드에 저장된 모든 레코드에 대해서, 대응되는 VALID_SCHEMA(T200)내의 모든 레코드들의 VERSION 필드의 값을 CUR_VERSION+1로 변 경한다(S216).
그 다음, 상기 인터넷 응용 설정 파일(250)을 읽어 을 수 있으면 상기 인터넷 응용 설정 파일(250)과 CUR_RECORDS 필드에 저장된 레코드들과 대조한다(S203). 다음, 단계(S204)에서 상기 인터넷 응용 설정 파일(250)을 CUR_RECORDS 필드에 저장된 레코드들과 대조하여, 상기 인터넷 응용 설정 파일(250)과 CUR_RECORDS 필드에 저장된 레코드들을 비교하여 인터넷 응용 설정 파일(250)에는 존재하지만 CUR_RECORDS 필드의 레코드들에는 없는 새로운 포트 기준 블록(251) 이름이 있는지를 판단한다. 그리고, 상기 새로운 포트 기준 블록(251) 이름이 존재하는 경우에는 해당 포트 기준 블록(251) 이름을 사용하여 새로운 테이블을 생성하고, 그 테이블에 LINK 필드와 TIMESTAMP 필드를 추가한다(S205). 그리고, 상기 단계(S205)에서 새롭게 생성된 테이블의 이름은 별도의 리스트(LIST_NEW_TABLES)에 추가한다(S206).
만일, 상기 단계(S204)에서 인터넷 응용 설정 파일(250)에는 존재하지만 CUR_RECORDS 필드의 레코드들에는 없는 포트 기준 블록(251) 이름이 없는 경우, 다시 CUR_RECORDS 필드의 레코드들과 대조하여 새로운 판정 블록(252d) 이름이 있는지를 판단한다(S207). 이때, CUR_RECORDS 필드의 레코드들과 대조하여 새로운 판정 블록(252d) 이름이 존재하는 경우 해당 판정 블록(252d) 이름이 속한 포트 기준 블록(251) 이름에 대한 테이블에 새로운 필드들을 두 개(패킷 수와 바이트 수를 저장하기 위한 필드 각각 하나씩) 추가하고(S208), VALID_SCHEMA 테이블(T200)에 해당 판정 블록 이름에 대한 새로운 레코드를 추가한다(S209). 이때, VERSION 필드 에는 CUR_VERSION+1의 값이 저장되어야 한다. 그리고, 해당 판정 블록(252d)의 이름은 리스트(LIST_NEW_FIELDS)에 추가한다(S210).
만일, 인터넷 응용 설정 파일(250)에도 존재하고 CUR_RECORDS 필드에도 존재하는 판정 블록 이름이 있는 경우(S211)에 대해서는, 해당 레코드를 CUR_RECORDS 필드에서 삭제하고 SAME_RECORDS 필드로 옮긴다(S212).
상기의 모든 과정이 끝난 뒤, 즉 도 5a에서 인터넷 응용 설정 파일(250)에 포함된 더 이상의 포트 기준 블록(251)이 존재하지 않으면 리스트(LIST_NEW_TABLES)와 리스트(LIST_NEW_FIELDS)에 저장된 항목의 수, 및 CUR_RECORDS 필드에 남은 항목의 수를 확인한다(S213). 이 들 중 하나의 값이라도 0보다 클 경우, CURRENT_VERSION 테이블(T300)에 저장된 레코드의 VERSION 필드의 값을 1 만큼 증가시켜야 한다(S214). 그리고, SAME_RECORDS 필드에 저장된 모든 레코드에 대해서, 대응되는 VALID_SCHEMA(T200)내의 모든 레코드들의 VERSION 필드의 값을 CUR_VERSION+1로 변경한다(S215).
이상 설명한 바와 같이, 도 6에서 설명한 알고리즘을 사용하여 본 발명의 실시예에 따른 인터넷 트래픽 분석 시스템(200)은 인터넷 응용 설정 파일(250)이 변경되었을 경우 DBMS(240)의 스키마를 자동적으로 변경시킬 수 있다.
따라서, 본 발명의 실시예에 따른 인터넷 트래픽 분석 시스템(200)은 상기 설명한 바와 같이 스키마 관리부(230)가 인터넷 응용 설정 파일(250)을 분석하여 인터넷 트래픽에 대한 분석 결과를 저장할 테이블에 대한 DBMS 스키마를 생성하면, 트래픽 분석부(220)는 트래픽 검출부(210)에서 수집한 트래픽 플로우 파일을 순차 적으로 분석하여 그 결과를 DBMS(240)에 저장한다. DBMS(240)에 저장된 결과는 추후 다양한 방식으로 참조가 가능하며, 리포트 형태로 시각화 하는 것도 가능하다.
본 명세서에서 개시된 장치 및 방법에서 사용되는 기능은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리 범위에 속하는 것이다.
이상에서 설명한 바와 같이, 본 발명에 따르면 인터넷 트래픽 분석 결과를 응용 프로그램 별로 나누어 분류할 수 있을 뿐 아니라 새로운 인터넷 응용 프로그램이 출현하거나, 기존의 인터넷 응용 프로그램의 특성이 바뀔 경우 그 사항을 DBMS 스키마에 자동적으로 반영할 수 있다.
따라서, 중단 없는 지속적 트래픽 분석이 가능하므로 국가간이나 ISP 간 접속 지점에 설치하여 가동할 경우 장기간 측정을 통한 트래픽 책임 소재 규명 및 국가간, 혹은 ISP 간 트래픽 종량 기준 요금 부과 정책을 수립하는 데 유용하게 사용될 수 있다.

Claims (29)

  1. 인터넷망으로부터 검출된 인터넷 트래픽을 분석하는 인터넷 트래픽 분석 시스템에 있어서,
    상기 인터넷 트래픽의 분석 결과를 저장하는 데이터베이스 매니지먼트 시스템(DBMS);
    상기 인터넷 트래픽을 유발시키는 인터넷 응용 프로그램의 종류 및 그 특성을 저장하는 인터넷 응용 설정 파일;
    상기 인터넷망에 접속하여 인터넷 트래픽을 검출하고 플로우 단위로 생성한 후 플로우 파일의 형태로 저장하는 트래픽 검출부;
    상기 트래픽 검출부에서 검출된 상기 플로우 파일 형태의 인터넷 트래픽을 분석하여, 분석 결과를 상기 DBMS에 상기 트래픽을 유발한 응용 프로그램별로 분류하여 저장하는 트래픽 분석부;
    상기 인터넷 응용 설정 파일을 이용하여 상기 트래픽 분석부의 분석 결과가 저장되는 상기 DBMS의 스키마를 변경하기 위한 스키마 관리부
    를 포함하며,
    상기 스키마 관리부는 상기 인터넷 응용 설정 파일을 상기 DBMS의 스키마 형태로 변환하고, 상기 DBMS의 스키마는 응용 프로그램의 종류를 나타내기 위한 복수의 응용 프로그램 그룹 블록으로 구성되는 인터넷 트래픽 분석 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 스키마 관리부는
    상기 DBMS 스키마의 형태로 변환된 인터넷 응용 설정 파일의 스키마와 현재 DBMS 스키마와 대조하여 차이점이 있는 경우, 상기 차이점을 반영하여 상기 DBMS 스키마에 새로운 DBMS 스키마 테이블을 생성하거나 기존의 DBMS 스키마 테이블의 내용을 변경하는 인터넷 트래픽 분석 시스템.
  4. 삭제
  5. 제1항에 있어서,
    상기 복수의 응용 프로그램 그룹 블록 각각은 복수의 포트 기준 블록으로 구성되는 인터넷 트래픽 분석 시스템.
  6. 제5항에 있어서,
    상기 각각의 포트 기준 블록은 하나 이상의 포트 번호 정보, 프로토콜 번호 정보 및 0개 이상의 시그너춰를 포함하는 인터넷 트래픽 분석 시스템.
  7. 제6항에 있어서,
    상기 포트 기준 블록은 복수의 판정 블록을 더 포함하는 인터넷 트래픽 분석 시스템.
  8. 제6항에 있어서,
    상기 시그너춰는 해당 시그너춰가 하나의 플로우에 속한 패킷들 중 몇 번째 패킷에서부터 몇 번째 패킷 사이에서 나타낼 수 있는지를 나타내는 값을 갖는 인터넷 트래픽 분석 시스템.
  9. 제8항에 있어서,
    상기 시그너춰는 해당 시그너춰가 몇 번째 바이트에서부터 몇 번째 바이트 사이에서 나타날 수 있는 지를 나타내는 값을 더 갖는 인터넷 트래픽 분석 시스템.
  10. 제9항에 있어서,
    상기 시그너춰는 송신자 시그너춰와 수신자 시그너춰로 나뉘는 인터넷 트래픽 분석 시스템.
  11. 제10항에 있어서,
    상기 트래픽 분석부는 응용 프로그램별로 트래픽을 분류하기 위해 상기 트래픽 검출부에서 검출된 인터넷 트래픽에서 사용한 프로토콜 번호가 상기 프로토콜 번호 정보와 일치하고, 해당 트래픽 플로우가 사용한 포트 번호가 상기 복수의 포트 기준 블록 중 제1 포트 기준 블록이 사용하는 포트 번호들 중 하나이며, 상기 포트 번호가 트래픽의 송신자 측 포트번호이고 어떤 트래픽 플로우에 포함된 패킷 중에 송신자 시그너춰와 일치하는 부분이 존재하는 경우, 해당 트래픽 플로우가 상기 제1 포트 기준 블록에 속하는 트래픽인 것으로 판정하는 인터넷 트래픽 분석 시스템.
  12. 제10항에 있어서,
    상기 트래픽 분석부는 응용 프로그램별로 트래픽을 분류하기 위해 상기 트래픽 검출부에서 검출된 인터넷 트래픽이 사용한 프로토콜 번호가 상기 프로토콜 번호 정보와 일치하고, 해당 트래픽 플로우가 사용한 포트 번호가 상기 복수의 포트 기준 블록 중 제2 포트 기준 블록이 사용하는 포트 번호들 중 하나이며, 상기 포트 번호가 트래픽의 수신자 측 포트번호이고 어떤 트래픽 플로우에 포함된 패킷 중에 수신자 시그너춰와 일치하는 부분이 존재하는 경우, 해당 트래픽 플로우가 상기 제2 포트 기준 블록에 속하는 트래픽인 것으로 판정하는 인터넷 트래픽 분석 시스템.
  13. 제11항 또는 제12항에 있어서,
    상기 시그너춰가 존재하지 않는 경우에는 포트 번호만 대조하며, 상기 시그너춰에 대한 대조 과정은 생략하는 인터넷 트래픽 분석 시스템.
  14. 인터넷망으로부터 검출된 인터넷 트래픽을 분석하는 인터넷 트래픽 분석 시스템에서 DBMS(Database Management System) 스키마를 변경하는 방법에 있어서,
    상기 인터넷 트래픽에 대하여 분석한 결과를 응용 프로그램별로 분류하여 DBMS에 저장하고, 상기 응용 프로그램의 특성을 저장하는 인터넷 응용 설정 파일을 이용하여 상기 DBMS 스키마를 변경하며, 상기 DBMS 스키마는
    현재 유효한 스키마 부분을 나타내는 레코드들이 저장될 제1 테이블;
    현재의 스키마 버전 번호를 관리하는 레코드가 저장될 제2 테이블;
    상기 트래픽 분석 작업 수행 이력을 관리하는 레코드들이 저장될 제3 테이블을 포함하며,
    (a) 상기 제2 테이블의 레코드를 판독하여 현재 유효한 스키마의 버전 번호를 알아내어 제1 메모리에 저장하는 단계;
    (b) 상기 제1 테이블의 레코드를 판독하여 그 중 유효한 스키마의 버전 번호에 관한 정보를 저장하는 제1 필드(Version필드)의 값이 상기 제1 메모리에 저장된 값과 일치하는 레코드만을 제2 메모리에 저장하는 단계;
    (c) 상기 응용 프로그램의 특성을 나타내는 인터넷 응용 설정 파일의 스키마와 상기 제1 및 제2 메모리에 저장된 값을 비교하는 단계 및
    (d) 상기 단계(c)에서의 비교 결과에 따라 상기 DBMS 스키마의 내용을 추가하거나 변경하는 단계
    를 포함하는 DBMS 스키마 변경 방법.
  15. 제14항에 있어서,
    상기 제1 테이블은
    상기 응용 프로그램 그룹 이름을 저장하는 필드;
    상기 포트 기준 블록 이름을 저장하는 필드;
    판정 블록 이름을 저장할 필드; 및
    유효한 스키마의 버전 번호에 관한 정보를 저장할 필드
    를 포함하는 DBMS 스키마 변경 방법.
  16. 제14항에 있어서,
    상기 제2 테이블은 현재의 스키마 버전 번호를 저장하는 필드를 포함하는 DBMS 스키마 변경 방법.
  17. 제14항에 있어서,
    상기 제3 테이블은
    분석 작업이 끝난 트래픽의 시간대 정보를 나타내는 시간값 정보를 저장할 필드;
    해당 트래픽이 수집된 링크의 정보를 나타내는 필드; 및
    해당 분석 작업이 수행될 때 사용된 스키마의 버전 정보가 저장될 필드를 포함하는 DBMS 스키마 변경 방법.
  18. 제14항에 있어서,
    상기 단계(c)에서, 상기 인터넷 응용 설정 파일에는 존재하지만 상기 제2 메모리에 저장된 레코드들에는 없는 포트 기준 블록 이름이 있는 지를 판단하는 DBMS 스키마 변경 방법.
  19. 제18항에 있어서,
    상기 단계 (c)에서 포트 기준 블록 이름이 있는 것으로 판단된 경우
    상기 단계 (d)에서, 해당 포트 기준 블록 이름을 사용하여 제4 테이블을 생성하고, 해당 트래픽이 검출된 링크를 저장할 필드와 어떤 시간대에 검출되었는지를 나타내는 시간값(timestamp)을 저장할 필드를 추가하며, 상기 제4 테이블의 이름은 새롭게 생성된 테이블의 이름을 저장하는 제1 리스트에 추가하는 DBMS 스키마 변경 방법.
  20. 제14항에 있어서,
    상기 단계(c)에서, 상기 인터넷 응용 설정 파일에는 존재하지만 상기 제2 메모리에 저장된 레코드들에는 없는 판정 블록 이름이 있는지를 판단하는 DBMS 스키마 변경 방법.
  21. 제20항에 있어서,
    상기 단계 (c)에서 상기 판정 블록 이름이 있는 것으로 판단된 경우
    상기 단계 (d)에서, 해당 판정 블록 이름이 속한 포트 기준 블록 이름에 대한 제5 테이블에 패킷과 바이트 수를 저장하기 위한 필드를 각각 하나씩 추가하고, 상기 제1 테이블에서 해당 판정 블록 이름을 저장하는 필드에 새로운 레코드를 추가하는 DBMS 스키마 변경 방법.
  22. 제21항에 있어서,
    상기 제5 테이블은 상기 제4 테이블과 동일한 테이블인 DBMS 스키마 변경 방법.
  23. 제15항에 있어서,
    상기 제1 테이블의 유효한 스키마의 버전 번호에 관한 정보를 저장할 필드에는 상기 제1 메모리에 저장된 값에 1을 더한 값이 저장되는 DBMS 스키마 변경 방법.
  24. 제15항에 있어서,
    상기 제1 테이블의 판정 블록 이름을 저장할 필드에 새로운 레코드로 추가되는 해당 판정 블록의 이름은 새로운 레코드가 추가되는 필드의 이름을 저장하는 제2 리스트에 저장하는 DBMS 스키마 변경 방법.
  25. 제14항에 있어서,
    상기 제2 메모리에 이미 존재하는 판정 블록 이름인 경우, 상기 판정 블록 이름에 대해서는 해당 레코드를 상기 제2 메모리에서 삭제하고 제3 메모리에 저장하는 DBMS 스키마 변경 방법.
  26. 제14 내지 제25항 어느 한 항에 있어서,
    상기 제1 리스트 및 제2 리스트에 저장된 항목의 수와 상기 제2 메모리에 남은 항목의 수를 판단하여, 상기 값들 중 하나의 값이라도 0보다 클 경우 상기 제2 테이블에 저장된 현재의 스키마 버전 번호를 저장하는 필드의 값을 1만큼 증가시키는 DBMS 스키마 변경 방법.
  27. 제14항에 있어서,
    상기 제3 메모리에 저장된 모든 레코드들에 대해서, 대응되는 상기 제1 테이블내의 모든 레코드들의 유효한 스키마의 버전 번호에 관한 정보를 저장할 필드의 값을 상기 제1 메모리에 저장된 값에 1을 더한 값으로 변경하는 DBMS 스키마 변경 방법.
  28. 인터넷망으로부터 검출된 인터넷 트래픽을 분석하는 방법에 있어서,
    (a) 상기 인터넷망에 접속하여 인터넷 트래픽을 검출하여, 플로우 단위로 구성된 상기 트래픽을 플로우 파일로 저장하는 단계;
    (b) 상기 플로우 파일로 저장된 트래픽 플로우를 분석하고, 분석된 결과를 상기 인터넷 트래픽을 유발한 응용 프로그램별로 분류하여 DBMS 스키마 형태로 저장하는 단계; 및
    (c) 상기 DBMS 스키마 형태로 상기 응용 프로그램의 형태에 미리 저장되어 있는 인터넷 응용 설정 파일을 분석하고, 상기 미리 저장되어 있는 인터넷 응용 설정 파일의 내용과 상기 인터넷 트래픽으로부터 검출되어 저장된 DBMS 스키마를 대조하여 차이가 있을 경우 상기 DBMS 스키마를 변경하는 단계
    를 포함하는 인터넷 트래픽 분석 방법.
  29. 제28항에 있어서,
    상기 DBMS 스키마는
    현재 유효한 스키마 부분을 나타내는 레코드들이 저장될 제1 테이블;
    현재의 스키마 버전 번호를 관리하는 레코드가 저장될 제2 테이블;
    상기 트래픽 분석 작업 수행 이력을 관리하는 레코드들이 저장될 제3 테이블을 포함하며,
    상기 단계(c)에서의 DBMS 스키마 변경은
    (c-1) 상기 제2 테이블의 레코드를 판독하여 현재 유효한 스키마의 버전 번호를 알아내어 제1 메모리에 저장하는 단계;
    (c-2) 상기 제1 테이블의 레코드를 판독하여 그 중 유효한 스키마의 버전 번호에 관한 정보를 저장하는 제1 필드(Version필드)의 값이 상기 제1 메모리에 저장된 값과 일치하는 레코드만을 제2 메모리에 저장하는 단계;
    (c-3) 상기 응용 프로그램의 특성을 나타내는 인터넷 응용 설정 파일의 스키마와 상기 제1 및 제2 메모리에 저장된 값을 비교하는 단계 및
    (c-4) 상기 단계(c-3)에서의 비교 결과에 따라 상기 DBMS 스키마의 내용을 변경하는 단계
    에 의해 수행되는 것을 특징으로 하는 인터넷 트래픽 분석 방법.
KR1020040099626A 2004-12-01 2004-12-01 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법 KR100688078B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040099626A KR100688078B1 (ko) 2004-12-01 2004-12-01 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040099626A KR100688078B1 (ko) 2004-12-01 2004-12-01 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법

Publications (2)

Publication Number Publication Date
KR20060060845A KR20060060845A (ko) 2006-06-07
KR100688078B1 true KR100688078B1 (ko) 2007-03-02

Family

ID=37157477

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040099626A KR100688078B1 (ko) 2004-12-01 2004-12-01 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법

Country Status (1)

Country Link
KR (1) KR100688078B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190067352A (ko) * 2017-12-07 2019-06-17 넷마블 주식회사 로그 데이터 처리 장치 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100912806B1 (ko) * 2006-12-07 2009-08-18 한국전자통신연구원 인터넷 트래픽으로부터 특정 인터넷 응용 프로그램시그너춰를 추출하는 장치 및 방법.

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990066056A (ko) * 1998-01-21 1999-08-16 이계철 트래픽종합관리시스템및그방법
KR20010054833A (ko) * 1999-12-08 2001-07-02 이계철 전화망 트래픽정보 데이터웨어하우스의 트래픽 분석장치
KR20010053869A (ko) * 1999-12-02 2001-07-02 이계철 교환망에서의 트래픽 자료 관리 방법
KR20030028013A (ko) * 2001-09-27 2003-04-08 주식회사 케이티 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법
KR20040042188A (ko) * 2002-11-13 2004-05-20 주식회사 케이티프리텔 이동통신망에서의 패킷 데이터 트래픽 분석 장치 및 그방법과, 이 패킷 데이터 트래픽 분석에 기초한 서비스감시 장치 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990066056A (ko) * 1998-01-21 1999-08-16 이계철 트래픽종합관리시스템및그방법
KR20010053869A (ko) * 1999-12-02 2001-07-02 이계철 교환망에서의 트래픽 자료 관리 방법
KR20010054833A (ko) * 1999-12-08 2001-07-02 이계철 전화망 트래픽정보 데이터웨어하우스의 트래픽 분석장치
KR20030028013A (ko) * 2001-09-27 2003-04-08 주식회사 케이티 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법
KR20040042188A (ko) * 2002-11-13 2004-05-20 주식회사 케이티프리텔 이동통신망에서의 패킷 데이터 트래픽 분석 장치 및 그방법과, 이 패킷 데이터 트래픽 분석에 기초한 서비스감시 장치 및 그 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
1020010053869 *
1020010054833 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190067352A (ko) * 2017-12-07 2019-06-17 넷마블 주식회사 로그 데이터 처리 장치 및 방법
KR102054303B1 (ko) * 2017-12-07 2020-01-22 넷마블 주식회사 로그 데이터 처리 장치 및 방법

Also Published As

Publication number Publication date
KR20060060845A (ko) 2006-06-07

Similar Documents

Publication Publication Date Title
US20200169579A1 (en) Detection of potential security threats in machine data based on pattern detection
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US9049216B2 (en) Identifying related network traffic data for monitoring and analysis
US7904456B2 (en) Security monitoring tool for computer network
WO2017160409A1 (en) Real-time detection of abnormal network connections in streaming data
US8065729B2 (en) Method and apparatus for generating network attack signature
CN115102907B (zh) 一种基于小流过滤的活跃大流精确识别方法和系统
KR100901696B1 (ko) 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
JP2021530807A (ja) コンピュータセキュリティインシデントを報告するためのシステムおよび方法
CN107426132B (zh) 网络攻击的检测方法和装置
CN112528279A (zh) 一种入侵检测模型的建立方法和装置
KR100522464B1 (ko) 네트워크 트래픽 측정 시스템 및 방법과 그 프로그램을기록한 기록매체
KR100688078B1 (ko) 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법
KR20070077517A (ko) 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법
CN109257457B (zh) 一种基于数据分析进行idc信安系统状态监测的方法
Shin et al. Applying data mining techniques to analyze alert data
KR100638480B1 (ko) 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
EP1699173A1 (en) System and method for tracking individuals on a data network using communities of interest
KR101469283B1 (ko) 기업 네트워크 분석 시스템 및 그 방법
JP4871775B2 (ja) 統計情報収集装置
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
CN111368294B (zh) 病毒文件的识别方法和装置、存储介质、电子装置
KR20180044658A (ko) 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치
KR100596389B1 (ko) 다단계 트래픽 흐름 관리 장치 및 방법
JP3782319B2 (ja) ネットワーク分析装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee