KR100732854B1 - 기업용 이상 트래픽 감지 시스템 및 그 방법 - Google Patents

Abstract

본 발명은 기업용 이상 트래픽 감지 시스템이다. 본 발명에 따른 이상 트래픽 감지 시스템은, 기업고객 네트워크의 트래픽으로부터 수집된 통신관리용 데이터인 SNMP 데이터 및 플로우데이터를 정상상태에서의 트래픽 통계 및 기 정의한 공격성 트래픽 항목에 비추어 이상 트래픽 여부를 판단하는 트래픽 수집/분석장치; 및 이상트래픽 발생에 대응하는 웹페이지를 생성하여 기업고객에게 제공하는 웹서버를 구비한다. 이에 의해 네트워크 레벨에서 이상 트래픽을 감지할 수 있는 장점이 있다.

Description

기업용 이상 트래픽 감지 시스템 및 그 방법{ANOMALY TRAFFIC DETECTION SYSTEM FOR ENTERPRISE NETWORK AND METHOD THEREOF}

도 1은 본 발명에 따른 기업용 이상 트래픽 감지 시스템의 블럭 구성도.

도 2는 본 발명에 따른 NTS 관리 항목 및 추출 통계내역을 나타내는 표.

도 3은 본 발명에 따른 NTS 통계내역 추출로직을 나타내는 표.

도 4는 본 발명에 따른 NTS 관리 방법을 설명하는 흐름도.

도 5는 본 발명에 따른 UDD 관리 항목 및 이에 따른 이상 트래픽 감지 방법을 나타내는 표.

도 6은 본 발명에 따른 UDD 관리 방법을 설명하는 흐름도.

본 발명은 기업용 이상 트래픽 감지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 높은 회선속도로서 인터넷 서비스를 이용하는 기업고객의 네트워크에서 발생하는 이상 트래픽을 SNMP(simple network management protocol) 정보 및 플로우데이터에 기초하여, 네트워크 레벨에서 이상 트래픽을 감지함으로써, 기업고객은 저렴한 비용으로 안정적인 인터넷 서비스를 제공받을 수 있고, 통신사업자는 부가 수익을 창출할 수 있는 이상 트래픽 감지 시스템 및 그 방법에 관한 것이다.

최근, 특정 네트워크로의 공격성 트래픽 및 비정상트래픽과 같은 이상트래픽 감지/차단을 위한 노력이 다각적으로 이루어지고 있다. 특히 학교, 관공서 및 기업과 같은 기업고객에게 있어서, 공격성 트래픽의 감지 및 차단은 기업의 정보와 네트워크 장비와 같은 자산 보호 측면에서 매우 중요하며, 이에 따라 많은 보안업체들은 기업용 네트워크 보안에 대한 대책을 앞다투어 제안하고 있다.

그러나 이러한 대책들은 주로 방화벽장치 또는 IDS(instruction detection system)/IPS(instruction protection system) 등의 장비를 구매하여 기업고객의 네트워크상에 설치하는 방식으로, 이러한 방법은 장비 구매 및 설치에 따른 고비용이 소요된다. 또한 설치 후 이를 운용 관리할 전문 인력이 필요하게 된다. 그러나 중소규모의 업체에서는 구매 및 관리를 위한 투자비 지출 및 전문인력 확보가 쉽지 않다는 문제점이 있다.

본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로, 본 발명의 목적은 통신사업자가 네트워크 레벨에서 통신관리용 데이터인 SNMP 데이터 및 플로우데이터를 통해 이상 트래픽을 감지해냄으로써, 기업가입자는 별도의 장비 구입이나, 이에 대한 운용인력을 확보할 필요 없이, 안정적인 네트워크 서비스를 제공받을 수 있는 기술을 제공함에 있다.

상술한 바와 같은 문제점을 해결하기 위한 본 발명에 따른 기업용 이상 트래픽 감지 시스템은, 기업고객 네트워크의 트래픽으로부터 수집된 통신관리용 데이터인 SNMP 데이터 및 플로우데이터를 정상상태에서의 트래픽 통계 및 기 정의한 공격성 트래픽 항목에 비추어 이상 트래픽 여부를 판단하는 트래픽 수집/분석장치; 및 상기 이상트래픽 발생에 대응하는 웹페이지를 생성하여 상기 기업고객에게 제공하는 웹서버를 구비하고, 상기 SNMP 데이터는 상기 기업고객 네트워크의 접속스위치로부터 수집하며, 상기 플로우 데이터는 상기 기업고객 네트워크를 관리하는 통신사업자망상의 라우터로부터 수집하는 것을 특징으로 한다.

삭제

그리고 바람직하게는, 상기 정상상태에서의 트래픽 통계는, SNMP 데이터에 기초하여 산출되는 초당전송트래픽(bps), 초당패킷전송수(pps), 및 플로우데이터에의해 산출되는 초당유입플로우수, 초당 유출플로우수, 발신프로토콜발생건수, 발신포트발생건수, 발신포트별전송트래픽, 및 발신포트별전송패킷수 중 어느 하나 이상을 포함하며, 기업고객에 대한 이상 트래픽 감지를 시작하기 이전, 단위 기간동안 상기 가입자 네트워크의 상기 SNMP 데이터 및 플로우 데이터를 수집하여 산출한다.

그리고 바람직하게는, 상기 정상상태에서의 트래픽 통계치는, 요일별, 시간대별, 단위시간별로 산출되며, 최대값, 최소값, 및 95%tile 평균값 중 어느 하나 이상을 포함한다.

그리고 바람직하게는, 상기 공격성 트래픽은, 상기 플로우데이터를 통해 판단되며, IP 헤더 변형을 유형에 해당하는 Smurf, faggle, Xmas, Land, TCP NULL, IP NULL, TCP 포트 이상, UDP 포트 이상, 및 플루딩 유형에 해당하는 TCP SNY flood, TCP RST flood, TCP ACK flood, ICMP flood, UDP flood, 및 Mstream 중 어느 하나 이상을 포함한다.

이때 바람직하게는, 상기 공격성 트래픽에 대한 상기 소정 허용범위는, 기업고객이 직접 설정하는 것이 가능하며, 위험 정도에 따라 다단계로 설정하는 것이 가능하다. 그리고 이에 대응하여, 상기 웹서버는, 상기 다단계로 설정된 상기 허용범위 각각에 대응하는 이상 트래픽 발생 웹페이지를 생성한다.

그리고 바람직하게는, 상기 웹서버는, 요일별, 시간대별, 단위시간별로 상기 이상트래픽 발생에 대응하는 웹페이지를 생성한다.

한편, 기업용 이상 트래픽 감지 방법은, 기업고객 네트워크의 접속스위치로부터 통신관리용 데이터인 SNMP 데이터를 수집하고 상기 기업고객 네트워크를 관리하는 통신사업자망상의 라우터로부터 플로우데이터를 수집하는 제 1 단계; 상기 SNMP 데이터 및 상기 플로우데이터를 정상상태에서의 트래픽 통계 및 기 정의한 공격성 트래픽 항목에 비추어 이상트래픽 여부를 판단하는 제 2 단계; 및 상기 이상트래픽 발생에 대응하는 웹페이지를 생성하여 상기 기업고객에게 제공하는 제 3 단계를 구비한다.

이하, 첨부한 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하고자 한다.

도 1은 본 발명에 따른 기업용 이상 트래픽 감시 시스템의 블럭 구성도이다. 도 1을 참조하면, 본 발명에 따른 이상 트래픽 감시 시스템은, 통신사업자의 라우터(20) 및 가입자 억세스망(미도시)의 접속스위치(40)와 통신하는 트래픽 수집/분석장치(10), 및 기업고객에서 웹서비스를 제공하는 웹서버(50)로 구성된다.

트래픽 수집/분석장치(10)는 통신사업자의 라우터에서 생성되는 플로우데이터와 기업고객에게 접속을 제공하기 위한 가입자 억세스망상의 접속스위치(40)가 수집하는 SNMP 데이터를 수집하여 NTS 및 UDD에 따른 이상 트래픽 감지를 수행한다.

이때, SNMP(simple network management protocol) 정보는 TCP/IP의 망 관리 프로토콜로서, 네트워크 장비의 망 관리 정보를 망 관리 시스템에 보내는 데 사용되는 표준 통신 규약으로, 망 관리 정보를 수집, 관리한다.

그리고, 플로우데이터는 라우터에서 발생시키는 것으로서, 라우터(20)로 유/출입되는 패킷의 헤더를 분석하여 "발신 IP, 착신 IP, 발신 포트, 착신 포트, 및 사용 프로토콜"의 5-터플(tuple)이 일치하는 패킷별 트래픽 양, 패킷 수에 대한 누적 정보로 구성되며, 일정시간 또는 세션 종료가 발생되는 경우, 특정 서버로 전송되는 데이터를 의미한다. 잘 알려진 플로우데이터로 시스코(cisco)사의 넷플로우(Netflow) 데이터가 있다.

한편, 기업고객은 네트워크 접속 스위치(40)를 집선시키는 집선스위치(30)에 직접 연결되는 것이 가능하며, 이러한 경우 플로우 수집/분석장치(10)는 집선스위치(30)로부터 SNMP 데이터를 수집하게 된다.

우선 플로우 수집/분석장치(10)가 수행하는 정상 상태에서의 트래픽 통계(이하 NTS, normal traffic statistics)를 이용한 이상 트래픽 감지 방법에 대해 설명한다.

NTS이상 트래픽 감지 방법은, 기업고객의 네트워크가 정상상태일 때 트래픽 을 모니터링하여, 이상 트래픽 감지 여부 판단을 위한 통계치를 산출하고, 이후 수집한 트래픽을 모니터링하여 트래픽이 정상상테에서의 통계치가 허용하는 범위 이상이 되는 경우 이를 이상트래픽으로 판단하게 된다.

도 2는 NTS 관리 항목 및 각각의 관리 항목에 대한 통계치를 나타내는 표이다. 도 2를 참조하면 NTS 관리 항목은 SNMP 데이터의 폴링에 따라 확보되는 전송트래픽(bps) 및 전송패킷수(pps), 그리고 라우터에서 생성시키는 플로우데이터에 의해 관리되는 초당 유입 플로우수(착신IP:해당 기업고객), 초당유출플로우수(발신IP:해당 기업고객), 발착신 프로토콜 발생건수(TOP N 기준), 발착신 포트 발생 건수(TOP N 기준), 발착신포트별 전송트래픽(bps), 및 발착신 포트별 전송패킷수(pps)가 있다.

트래픽 수집/분석장치(10)는 기업고객이 본 발명에 의해 제공되는 기업용 이상 트래픽 감지 서비스에 가입하는 경우, 최초 일개월 동안은 상술한 각 관리 항목별 통계치를 산출하기 위한 동작을 수행하며, 이후 통계치가 모두 산출되면 산출된 통계치에 준하여, 유입되는 트래픽에 대하여 이상 트래픽 여부를 판단하게 된다.

도 3은 도 2에서 제시한 NTS 관리항목별 통계치를 산출하기 위한 로직을 설명하는 표이다. 도 3을 참조하면, 통계치는 요일별, 시간별, 단위시간별로 산출된다.

이하 트래픽 수집/분석장치(10)의 NTS를 이용한 이상 트래픽 감지 방법의 자세한 동작은 도 4를 참조하여 설명한다.

도 4는 본 발명에 따른 NTS를 이용한 이상 트래픽 감지 방법을 설명하는 흐름도이다. 도 1 내지 도 4를 참조하면, 우선 최초 1개월 동안 각 단위 시간대별 NTS 관리항목에 따른 통계치를 산출한다. 이는 정상상태 및 이에 따른 이상 트래픽을 규정하기 위한 정상 상태에서의 통계치를 산출하기 위한 것으로, 서비스 시작 최초 한 달 동안 이를 수행한다.

이를 위해 우선 SNMP 데이터 및 플로우 데이터를 수집한다(S100). 이때, 데이터 수집은 요일별, 시간대별, 단위 시간별로 세분화되며, 기업고객 트래픽은 월별 특성을 보이지 않기 때문에 월 단위 데이터는 산출하지 않는 것이 바람직하다. 이후, 수집된 데이터로부터 각 단위시간별 관리 항목에 따른 통계치를 산출한다(S110).

우선 SNMP 데이터에 기초한 관리항목에 대한 통계치를 산출하는 방식에 대해 단위시간별 전송 트래픽(bps)를 기준으로 설명한다. 단 이때 단위시간은 30분으로 한다.

전송 트래픽 통계치를 산출하기 위해, 서비스 시작 첫째주 월요일 00시 부터 30분간 SNMP 데이터를 수집한다. 그리고 수집한 SNMP 데이터 중 기업고객의 인터페이스에 전송되는 초당전송트래픽(bps)을 추출한다. 이러한 과정을 월요일 24시 00분까지 단위시간별로 반복하며, 화요일, 수요일, 목요일, 금요일, 토요일, 공유일까지 상기 월요일의 과정을 반복하며, 이와 같은 동작은 서비스 시작 최초 4주 동안 반복수행한다.

이와 같은 동작의 수행을 통해 수집된 데이터로부터 각 시간대별 통계치를 산출한다. 초당전송트래픽(bps)에 대한 통계치는 최소값, 최대값, 및 95% 테일 평균값(상위 5%를 제외한 나머지 데이터의 평균값)이므로 이를 아래와 같이 계산한다.

최소값=minimum of{xⁱ1, xⁱ2, xⁱ3, . . . xⁱN}, (i=자연수)

최대값=maximum of{xⁱ1, xⁱ2, xⁱ3, . . . xⁱN}, (i= 자연수),

95%tile 평균값=average of{xⁱ1, xⁱ2, xⁱ3, . . . xⁱM}, (i= 자연수, M= 상위 5%의 {X}를 제외한 나머지)

한편, 플로우 데이터에 기초한 관리항목에 대한 통계치는 SNMP 데이터로 부터 각 관리항목에 대응하는 데이터를 추출한 후, SNMP 데이터에 기초한 관리항목별 통계치를 산출하는 방식과 같이 단위시간별 기준치를 산출한다.

이와 같은 동작을 통해 각각의 NTS 관리항목에 대한 기준치가 산출되었으면, 이후 가입자가 접속한 접속 스위치(40) 및 라우터(20)로부터 각각 SNMP 데이터 및 플로우데이터를 수집하여(S120), NTS 관리 항목별 데이터를 추출 또는 산출하고(S130), 이후 추출된 데이터가 해당 관리항목에 대한 통계치가 허용하는 범위에 위배되는지 판단한다(S140). 그리고 만약 허용범위에 위배되는 것으로 판단되는 경우, NTS 위배 이벤트를 웹서버(50)로 전송한다(S150).

이때 S140 단계는 허용범위를 다단계로 설정하는 것이 가능하며, S140 단계에서는 NTS 위배 정도에 따라 단순 정보제공, 경고, 경계, 및 위급과 같은 단계별 NST 위배 이벤트를 제공하는 것이 가능하다.

이하, 트래픽 수집/분석장치(10)가 수행하는 사용자 정의에 의한 이상 트래픽 감지(이하 UDD, user define detection) 방법에 대해 살펴본다.

UDD 관리는 플로우 데이터를 수집한 후, 특정 패킷이 단위 시간 동안 대단히 많이 입력되는 것을 감지하는 플루딩(flooding) 기법을 통해 이상 트래픽을 감지하는 방법으로, 공격성 트래픽의 대부분의 차지하는 L4 레벨의 DoS(Denial of Service) 유형의 공격성 트래픽을 감지한다.

도 5는 UDD 관리 항목 및 각각의 관리 항목에 대한 탐지 방법을 나타내는 표이다. 도 5를 참조하면, UDD 관리항목은, IP 헤더 변형에 따른 Smurf, faggle, Xmas, Land, TCP NULL, IP NULL, TCP port anomaly, UDP port anomaly가 있으며, 플루딩 유형에 따른 TCP SNY flood, TCP RST flood, TCP ACK flood, ICMP flood, UDP flood, 및 Mstream이 있다.

트래픽 수집/분석장치(10)는 사용자가 각 UDD 관리항목별 보안강도를 설정할 수 있는 메뉴를 제공한다. 단, 포트 "0"을 사용하는 패킷을 의미하는 TCP port anomaly, UDP port anomaly와 같이 무조건 이상 트래픽으로 판단되어야 하는 트래픽의 경우 사용자가 별도의 보안강도 설정을 할 필요가 없다.

이하 도 6을 참조하여 트래픽 수집/분석장치(10)의 UDD를 이용한 이상 트래픽 감지 방법을 설명한다.

도 6을 참조하면, 우선 트래픽 수집/분석장치(10)는 UDD 관리항목별 보안강도에 따른 허용범위를 설정할 수 있는 메뉴를 기업고객에게 제공한다(S400). 이때, 이러한 메뉴는 웹서버(50)를 통해 원격지의 기업고객에게 제공되며, 이러한 메뉴에 대응하여 입력된 정보를 웹서버(50)로부터 수신하는 것이 가능하다.

이후 플로우 데이터를 수신하여(S410), UDD 관리항목별 데이터를 추출한 후(S420), 각 추출된 데이터가 UDD 관리항목 별로 정의된 허용범위에 위배되는지 여부를 판단한다(S430).

만약 이상 트래픽으로 판단되는 경우,이상 트래픽에 대응하는 UDD 위배 이벤트를 생성하여 웹서버(50)로 전송한다(S440).

한편, 트래픽 수집/분석장치(10)는 S430 단계에서 이상트래픽이 감지되지 않는 경우에도 상술한 소정 단위시간마다 이상 트래픽 감지 상태를 웹서버로 전송하는 것이 바람직하다.

상술한 바와 같은 방법을 통해, 통신사업자는 기업고객의 네트워크에 발생하는 이상트래픽을 실시간으로 감시할 수 있다.

따라서, 본 발명에 의하면, 통신사업자가 네트워크 레벨에서 이상트래픽을 감지하고, 이를 웹서버를 통해 보고하기 때문에, 기업고객은 별도의 보안솔루션없이도 이상 트래픽 발생 여부를 판단할 수 있는 장점이 있다.

또한 보안 솔루션을 기 보유하고 있는 기업가입자의 경우에는 본 발명에 의해 일차적으로 네트워크 레벨에서의 이상트래픽을 감지받은 후, 보유한 보안 솔루션을 통해 다시 이상트래픽을 차단하는 방식으로 상호 보완적으로 동작할 수 있기 때문에, 보안성을 더욱 증진할 수 있다.

아울러 본 발명의 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라 면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.

Claims (10)

1. 삭제
2. 기업고객 네트워크의 트래픽으로부터 수집된 통신관리용 데이터인 SNMP 데이터 및 플로우데이터를 정상상태에서의 트래픽 통계 및 기 정의한 공격성 트래픽 항목에 비추어 이상 트래픽 여부를 판단하는 트래픽 수집/분석장치; 및

   상기 이상트래픽 발생에 대응하는 웹페이지를 생성하여 상기 기업고객에게 제공하는 웹서버를 포함하되,

   상기 SNMP 데이터는 상기 기업고객 네트워크의 접속스위치로부터 수집하며,

   상기 플로우 데이터는 상기 기업고객 네트워크를 관리하는 통신사업자망상의 라우터로부터 수집하는 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
3. 제 2항에 있어서,

   상기 정상상태에서의 트래픽 통계는,

   SNMP 데이터에 기초하여 산출되는 초당전송트래픽(bps), 초당패킷전송수(pps)와, 플로우데이터에 의해 산출되는 초당유입플로우수, 초당 유출플로우수, 발신프로토콜발생건수, 발신포트발생건수, 발신포트별전송트래픽, 및 발신포트별전송패킷수 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
4. 제 3항에 있어서,

   상기 정상상태에서의 트래픽 통계치는, 단위 기간동안 상기 가입자 네트워크의 상기 SNMP 데이터 및 플로우 데이터를 수집하여 산출하는 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
5. 제 4항에 있어서,

   상기 정상상태에서의 트래픽 통계치는, 요일별, 시간대별, 단위시간별로 산출되며, 최대값, 최소값, 및 95%테일평균값 중 어느 하나 이상을 포함하는 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
6. 제 2항에 있어서,

   상기 공격성 트래픽은, 상기 플로우데이터를 통해 판단되며, IP 헤더 변형을 유형에 해당하는 Smurf, faggle, Xmas, Land, TCP NULL, IP NULL, TCP 포트 이상, UDP 포트 이상, 및 플루딩 유형에 해당하는 TCP SNY flood, TCP RST flood, TCP ACK flood, ICMP flood, UDP flood, 및 Mstream 중 어느 하나 이상을 포함하는 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
7. 제 2항에 있어서,

   상기 공격성 트래픽에 대한 상기 소정 허용범위는, 기업고객이 직접 설정하는 것이 가능하며, 위험 정도에 따라 다단계로 설정하는 것이 가능한 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
8. 제 7항에 있어서,

   상기 웹서버는, 상기 다단계로 설정된 상기 허용범위 각각에 대응하는 이상 트래픽 발생 웹페이지를 생성하는 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
9. 제 2항에 있어서,

   상기 웹서버는, 요일별, 시간대별, 단위시간별로 상기 이상트래픽 발생에 대응하는 웹페이지를 생성하는 것을 특징으로 하는 기업용 이상 트래픽 감지 시스템.
10. 기업고객 네트워크의 접속스위치로부터 통신관리용 데이터인 SNMP 데이터를 수집하고 상기 기업고객 네트워크를 관리하는 통신사업자망상의 라우터로부터 플로우데이터를 수집하는 제 1 단계;

    상기 SNMP 데이터 및 상기 플로우데이터를 정상상태에서의 트래픽 통계 및 기 정의한 공격성 트래픽 항목에 비추어 이상트래픽 여부를 판단하는 제 2 단계; 및

    상기 이상트래픽 발생에 대응하는 웹페이지를 생성하여 상기 기업고객에게 제공하는 제 3 단계를 포함하는 것을 특징으로 하는 기업용 이상 트래픽 감지 방법.

Images