KR101007262B1 - 네트워크의 활성호스트 탐지장치 및 방법 - Google Patents

네트워크의 활성호스트 탐지장치 및 방법 Download PDF

Info

Publication number
KR101007262B1
KR101007262B1 KR1020080136584A KR20080136584A KR101007262B1 KR 101007262 B1 KR101007262 B1 KR 101007262B1 KR 1020080136584 A KR1020080136584 A KR 1020080136584A KR 20080136584 A KR20080136584 A KR 20080136584A KR 101007262 B1 KR101007262 B1 KR 101007262B1
Authority
KR
South Korea
Prior art keywords
flow
host
network
packet
belonging
Prior art date
Application number
KR1020080136584A
Other languages
English (en)
Other versions
KR20100078350A (ko
Inventor
김명섭
박진완
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020080136584A priority Critical patent/KR101007262B1/ko
Publication of KR20100078350A publication Critical patent/KR20100078350A/ko
Application granted granted Critical
Publication of KR101007262B1 publication Critical patent/KR101007262B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크의 활성호스트 탐지장치 및 방법이 개시된다. 패킷수집부는 탐지대상 네트워크의 모니터링 지점을 지나는 패킷을 수집한다. 단방향플로우 생성부는 수집된 패킷으로부터 추출된 헤더정보를 기초로 탐지대상 네트워크에 속하는 호스트가 외부 네트워크에 속하는 호스트로 전송하거나 외부 네트워크에 속하는 호스트가 탐지대상 네트워크에 속하는 호스트로 전송한 패킷에 관한 정보를 나타내는 단방향플로우를 생성한다. 양방향플로우 생성부는 단방향플로우의 플로우정보를 기초로 탐지대상 네트워크에 속하는 호스트와 외부 네트워크에 속하는 호스트 사이에서 전송된 패킷에 관한 정보를 나타내는 양방향플로우를 생성한다. 유효플로우 판별부는 양방향플로우의 플로우정보에 포함되어 있는 패킷의 전송개수에 의하여 양방향플로우가 탐지대상 네트워크를 통해 전송된 패킷을 포함하는 유효플로우인지 여부를 판별한다. 활성호스트 결정부는 탐지대상 네트워크에 속하는 호스트 중에서 유효플로우에 포함되는 패킷을 송수신하는 호스트를 탐지대상 네트워크를 사용하는 활성호스트로 결정한다.본 발명에 따르면, 네트워크 트래픽에 의한 오버헤드를 감소시킬 수 있으며, 효율적으로 트래픽 분석을 수행할 수 있다.
양방향플로우, 활성호스트

Description

네트워크의 활성호스트 탐지장치 및 방법{Apparatus and method for detecting active host in network}
본 발명은 네트워크의 활성호스트 탐지장치 및 방법에 관한 것으로, 보다 상세하게는, 탐지대상 호스트가 실제로 네트워크를 사용하고 있는지 여부를 판단할 수 있는 장치 및 방법에 관한 것이다.
최근 네트워크 기술의 발전과 다양한 네트워크 어플리케이션의 등장으로 인해 네트워크 트래픽이 대용량화되고 및 다양해지고 있다. 특히 WWW, FTP, e-mail 등의 전통적인 어플리케이션에 의해 발생하는 트래픽 뿐만 아니라 P2P, 스트리밍, 게임 등에 의해서도 수많은 트래픽이 발생함에 따라 네트워크 관리의 중요성이 강조된다. 네트워크에서 발생하는 트래픽 중에서는 특정 호스트에서 어플리케이션이 동작하고 있지 않지만 그에 해당하는 트래픽이 측정되어 해당 호스트가 네트워크를 사용하고 있는 것처럼 보이는 경우에 해당하는 트래픽도 존재한다.
호스트가 네트워크를 사용하지 않는 경우에 트래픽이 발생하는 원인으로는 외부 네트워크로부터의 포트스캔, 내부 네트워크에서 행해지는 스푸핑 및 P2P와 같은어플리케이션이 종료된 후에도 외부로부터 계속해서 들어오는 트래픽으로 인한 경우가 있다. 포트스캔은 어떤 특정 범위에 있는 다수의 IP에 패킷을 전송하여 특정 포트가 열려있는지 여부를 파악하는 기술이다. 따라서 실제로 사용하지 않는 호스트에서도 패킷이 발생하게 된다. 또한 스푸핑은 특정 호스트의 IP로 패킷을 위장하여 외부 네트워크의 호스트에 전송하는 것이다. 패킷을 수신한 호스트는 위장된 IP에 해당하는 특정 호스트에게 응답하게 되는데, 그 결과 실제 존재하지 않는 특정 호스트가 네트워크를 사용하는 것으로 나타나게 된다. 마지막으로 P2P의 경우 호스트가 P2P 어플리케이션의 사용을 종료하더라도 외부의 호스트들은 해당 호스트에서 P2P 어플리케이션이 종료되었다는 것을 파악하지 못하고 지속적으로 패킷을 보내게 되어 해당 호스트가 계속하여 네트워크를 사용하는 것으로 나타나는 경우가 있다.
이와 같이 다양한 원인들로 인해 실제 네트워크를 사용하고 있지 않는 IP에 해당하는 호스트에도 트래픽이 발생되어 트래픽 측정시 네트워크를 사용하고 있는 것으로 나타나게 된다. 따라서 네트워크 내에서 발생한 트래픽을 실제 네트워크를 사용하고 있는 호스트에서 발생한 트래픽과 그렇지 않은 트래픽으로 분류하여 네트워크를 효율적으로 관리할 수 있는 시스템의 필요성이 존재한다.
본 발명이 이루고자 하는 기술적 과제는, 네트워크 트래픽에 의하여 발생하는 오버헤드를 줄이고, 효율적으로 네트워크 트래픽을 분석할 수 있는 네트워크의 활성호스트 탐지장치 및 방법을 제공하는 데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, 네트워크 트래픽에 의하여 발생하는 오버헤드를 줄이고, 효율적으로 네트워크 트래픽을 분석할 수 있는 네트워크의 활성호스트 탐지방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 네트워크의 활성호스트 탐지장치는, 탐지대상 네트워크의 모니터링 지점을 지나는 패킷을 수집하는 패킷수집부; 상기 수집된 패킷으로부터 추출된 헤더정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트가 외부 네트워크에 속하는 호스트로 전송하거나 상기 외부 네트워크에 속하는 호스트가 상기 탐지대상 네트워크에 속하는 호스트로 전송한 패킷에 관한 정보를 나타내는 단방향플로우를 생성하는 단방향플로우 생성부; 상기 단방향플로우의 플로우정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트와 상기 외부 네트워크에 속하는 호스트 사이에서 전송된 패킷에 관한 정보를 나타내는 양방향플로우를 생성하는 양방향플로우 생성부; 상기 양방향플로우의 플로우정보에 포함되어 있는 패킷의 전송개수에 의하여 상기 양방향플로우가 상기 탐지대상 네트워크를 통해 전송된 패킷을 포함하는 유효플로우인지 여부를 판별하는 유효플로우 판별부; 및 상기 탐지대상 네트워크에 속하는 호스트 중에서 상기 유효플로우에 포함되는 패킷을 송수신하는 호스트를 상기 탐지대상 네트워크를 사용하는 활성호스트로 결정하는 활성호스트 결정부;를 구비한다.
상기의 다른 기술적 과제를 달성하기 위한, 본 발명에 따른 네트워크의 활성호스트 탐지방법은, 탐지대상 네트워크의 모니터링 지점을 지나는 패킷을 수집하는 패킷수집단계; 상기 수집된 패킷으로부터 추출된 헤더정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트가 외부 네트워크에 속하는 호스트로 전송하거나 상기 외부 네트워크에 속하는 호스트가 상기 탐지대상 네트워크에 속하는 호스트로 전송한 패킷에 관한 정보를 나타내는 단방향플로우를 생성하는 단방향플로우 생성단계; 상기 단방향플로우의 플로우정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트와 상기 외부 네트워크에 속하는 호스트 사이에서 전송된 패킷에 관한 정보를 나타내는 양방향플로우를 생성하는 양방향플로우 생성단계; 상기 양방향플로우의 플로우정보에 포함되어 있는 패킷의 전송개수에 의하여 상기 양방향플로우가 상기 탐지대상 네트워크를 통해 전송된 패킷을 포함하는 유효플로우인지 여부를 판별하는 유효플로우 판별단계; 및 상기 탐지대상 네트워크에 속하는 호스트 중에서 상기 유효플로우에 포함되는 패킷을 송수신하는 호스트를 상기 탐지대상 네트워크를 사용하는 활성호스트로 결정하는 활성호스트 결정단계;를 갖는다.
본 발명에 따른 네트워크의 활성호스트 탐지장치 및 방법에 의하면, 네트워 크 트래픽 분석을 위해 양방향플로우를 생성함으로써, 탐지대상 네트워크에 속하는 호스트와 외부 네트워크에 속하는 호스트 사이에서 전송되는 패킷에 관한 정보를 함께 파악할 수 있어 네트워크 트래픽에 의한 오버헤드를 감소시킬 수 있다. 또한 탐지대상 네트워크에 속하는 호스트 중에서 활성호스트를 결정함으로써, 호스트 기반의 네트워크 트래픽 분석을 수행할 때 분석 대상이 되는 호스트의 수를 줄일 수 있어 효율적으로 트래픽 분석을 수행할 수 있다.
이하에서 첨부된 도면들을 참조하여 본 발명에 따른 네트워크의 활성호스트 탐지장치 및 방법의 바람직한 실시예에 대해 상세하게 설명한다.
도 1은 본 발명에 따른 네트워크의 활성호스트 탐지장치에 대한 바람직한 실시예의 구성을 도시한 블록도이다.
도 1을 참조하면, 본 발명에 따른 네트워크의 활성호스트 탐지장치(100)는, 패킷수집부(110), 단방향플로우 생성부(120), 양방향플로우 생성부(130), 유효플로우 결정부(140) 및 활성호스트 결정부(150)를 구비한다.
패킷수집부(110)는 탐지대상 네트워크의 모니터링 지점을 지나는 패킷을 수집한다. 탐지대상 네트워크의 모니터링 지점에서 수집되는 패킷들은 탐지대상 네트워크에 속하는 복수의 호스트 및 외부 네트워크에 속하는 복수의 호스트 사이에서 전송되는 패킷들이다. 또한 패킷의 헤더에는 패킷을 전송하는 호스트의 IP주소, 패킷을 전송받는 호스트의 IP주소 및 전송되는 패킷의 종류 등이 포함되어 있다.
또한 단방향플로우 생성부(120)는 수집된 패킷으로부터 추출된 헤더정보를 기초로 탐지대상 네트워크에 속하는 호스트가 외부 네트워크에 속하는 호스트로 전송하거나 외부 네트워크에 속하는 호스트가 탐지대상 네트워크에 속하는 호스트로 전송한 패킷에 관한 정보를 나타내는 단방향플로우를 생성한다.
네트워크 관리를 위해서 네트워크에서 발생한 트래픽을 분석할 때, 종래에는 네트워크의 모니터링 지점에서 수집된 패킷 단위로 트래픽을 분석하였다. 그러나 인터넷과 같은 네트워크 기반 서비스의 대중화로 인해 네트워크 트래픽이 급격히 증가함에 따라 트래픽 분석 시스템의 오버헤드가 증가하게 되었다. 이에 따라 패킷의 헤더정보에 따라 만들어지는 플로우(flow) 단위로 네트워크 트래픽을 분석하는 방법이 사용되고 있다. 플로우는 네트워크에서 발생하는 모든 패킷을 수집하는 대신 근원지 IP주소(source IP), 목적지 IP주소(destination IP), 근원지 포트번호(source port), 목적지 포트번호(destination port) 및 프로토콜 번호(protocol)가 동일한 패킷들이 모여서 만들어진 단위이다. 여기서 프로토콜 번호는 호스트가 패킷을 전송할 때 사용하는 프로토콜의 고유 식별번호를 나타내는 것으로, ICMP의 경우에는 1, TCP는 6, UDP는 17 등으로 설정되어 있다. 또한 본 발명에서는 후에 기술할 양방향플로우와의 구분을 위해 이러한 플로우를 단방향플로우로 정의하여 설명한다.
현재 플로우 기반의 네트워크 트래픽 분석에서 가장 널리사용되고 있는 방법은 Cisco의 NetFlow로서, 라우터나 스위치에서 NetFlow를 이용하여 별도의 장비나 상용 솔루션 없이 간단히 플로우 데이터를 얻을 수 있다. 도 2는 NetFlow를 이용한 트래픽 분석의 일 예로서, 트래픽 수집에 의해 측정된 IP 개수의 분 단위 변화량을 도시한 그래프이다. 교내 네트워크에서 6시간동안 트래픽을 수집하여 IP 개수를 측정한 결과, 수시로 IP의 개수가 급격히 증가하는 것을 확인할 수 있다. 이는 앞에서 언급한 바와 같이 포트스캔 및 스푸핑 등에 의하여 트래픽이 발생한 경우에 해당하는 것이다. 도 3은 NetFlow의 버전 5(v5)가 제공하는 플로우 데이터의 포맷을 나타낸다. 단방향플로우 생성부(120)는 패킷수집부(110)에 의해 탐지대상 네트워크로부터 수집된 패킷의 헤더정보를 추출하여 도 3에 도시된 NetFlow v5의 데이터포맷과 동일한 구조의 플로우정보를 가지는 단방향플로우를 생성한다. 그러나 반드시 NetFlow에서 제공하는 데이터포맷을 사용하여야 하는 것은 아니며, 기존의 플로우 기반 트래픽 분석방법에서 사용되는 플로우정보 생성방법을 사용할 수 있다.
이때 단방향플로우 생성부(120)에 의해 생성된 플로우정보를 가지는 단방향플로우는 근원지의 IP주소와 포트번호 및 목적지의 IP주소와 포트번호가 동일한 패킷들에 대한 것이므로 탐지대상 네트워크에 속하는 호스트로부터 외부 네트워크에 속하는 호스트로 전송되는 패킷 또는 외부 네트워크에 속하는 호스트로부터 탐지대상 네트워크에 속하는 호스트로 전송되는 패킷만을 나타내는 단방향플로우(one-way flow)이다. 그러나 대부분의 비정상적인 트래픽이 단방향 트래픽인 점을 감안한다면 패킷의 전송방향을 구별하여 트래픽을 분석할 필요성이 없게 된다.
따라서 양방향플로우 생성부(130)는 단방향플로우의 플로우정보를 기초로 탐지대상 네트워크에 속하는 호스트와 탐지대상 네트워크에 속하는 호스트에 대해 패킷을 송수신하는 호스트 사이에서 전송된 패킷에 관한 정보를 나타내는 양방향플로우(two-way flow)를 생성한다.
이렇게 단방향플로우를 양방향플로우로 변환할 때, 단방향플로우의 플로우정보에 포함되었던 근원지 IP주소 및 목적지 IP주소, 그리고 근원지 포트번호와 목적지 포트번호는 방향성을 가지지 않는 다른 정보로 바뀌게 된다. 도 4에는 양방향플로우 생성부(130)에 의해 생성된 양방향플로우의 플로우정보에 대한 구조가 도시되어 있다. 도 4에 도시된 바와 같이 탐지대상 네트워크에 속하는 호스트의 IP주소를 로컬IP주소(localAddr), 외부 네트워크에 속하는 호스트의 IP주소를 원격IP주소(remoteAddr)로 하여 특정 호스트가 패킷을 전송한 근원지인지 패킷을 전송받은 목적지인지 여부에 무관하게 어떠한 네트워크에 속하는 호스트인지 여부만 나타내도록 할 수 있다. 마찬가지로 포트번호에 대하여도 탐지대상 네트워크에 속하는 호스트의 포트번호를 로컬포트번호(localPort), 외부 네트워크에 속하는 호스트의 포트번호를 원격포트번호(remotePort)로 할 수 있다. 따라서 동일한 양방향플로우에 속하는 패킷들은 로컬IP주소, 원격IP주소, 로컬포트번호, 원격포트번호 및 프로토콜 번호(prot)가 동일한 패킷들이 된다. 또한 도 4에 도시된 양방향플로우의 플로우정보에서 'in'으로 표시된 것은 외부 네트워크에 속하는 호스트로부터 탐지대상 네트워크에 속하는 호스트로 전송된 패킷을 나타내는 것이고, 'out'으로 표시된 것은 탐지대상 네트워크에 속하는 호스트로부터 외부 네트워크에 속하는 호스트로 전송된 패킷을 나타낸다.
도 5는 탐지대상 네트워크 및 외부 네트워크에 속하는 호스트 사이에서 전송되는 패킷을 도시한 도면이다. 도 5를 참조하면, 1번패킷 내지 5번패킷은 탐지대상 네트워크에 속하는 호스트A와 호스트B 및 외부 네트워크에 속하는 호스트C와 호스 트D 사이에서 전송되는 패킷을 나타낸다. 화살표의 방향은 패킷의 전송방향을 나타내며, 예를 들면, 1번패킷은 호스트A로부터 호스트C로 전송되는 패킷이고, 5번패킷은 호스트D로부터 호스트B로 전송되는 패킷이다. 단방향플로우 생성부(120)에 의해 단방향플로우가 생성될 때에는 패킷을 송수신하는 호스트 뿐만 아니라 전송방향까지 동일한 패킷들이 동일한 단방향플로우에 속하게 된다. 그에 따라 1번패킷 내지 5번패킷은 각각 서로 다른 단방향플로우에 포함된다.
그러나 양방향플로우 생성부(130)에 의해 양방향플로우가 생성될 때에는 패킷의 전송방향에 무관하게 패킷을 송수신하는 호스트가 동일하면 동일한 양방향플로우에 포함된다. 따라서 호스트A와 호스트C 사이에서 송수신되는 1번패킷과 2번패킷이 하나의 양방향플로우에 속하고, 호스트B와 호스트D 사이에서 송수신되는 4번패킷과 5번패킷은 다른 하나의 양방향플로우에 속하게 된다. 또한 호스트A와 호스트D 사이에서 송수신되는 3번패킷은 다시 별개의 양방향플로우에 속하게 된다. 이와같이 단방향플로우를 양방향플로우로 변환함으로써, 플로우의 개수가 감소하게 되어 트래픽 분석에 발생하는 오버헤드를 줄일 수 있다.
다음으로 유효플로우 판별부(140)는 양방향플로우의 플로우정보에 포함되어 있는 패킷의 전송개수에 의하여 양방향플로우가 유효플로우인지 여부를 판별한다.
앞에서 언급한 바와 같이 특정 호스트에서 어플리케이션이 동작하고 있지 않지만 그에 해당하는 트래픽이 측정되어 해당 호스트가 네트워크를 사용하고 있는 것처럼 보이는 경우가 있다. 이때 본 발명에서는 양방향플로우 생성부(130)에 의해 생성된 양방향플로우 중에서 실제로 네트워크를 사용하는 호스트에 의해 발생된 패 킷을 포함하는 플로우를 유효플로우(valid flow), 그렇지 않은 경우에 해당하는 플로우를 무효플로우(invalid flow)라 한다. 이하에서는 유효플로우인지 여부를 판별하는 과정에 관하여 상세하게 설명한다.
두 호스트 사이에서의 패킷 전송을 나타내는 양방향플로우에는 두 호스트 사이에서 양쪽 방향으로 전송된 패킷을 모두 포함하는 바이플로우(bi-flow)와 한쪽 방향으로만 전송된 패킷을 포함하는 유니플로우(uni-flow)가 있다. 도 5에서 1번패킷과 2번패킷을 포함하는 양방향플로우는 호스트A에서 호스트C로 전송되는 패킷 및 호스트C에서 호스트A로 전송되는 패킷을 모두 포함하므로 바이플로우에 해당한다. 마찬가지로 4번패킷과 5번패킷을 포함하는 양방향플로우도 역시 바이플로우이다. 그러나 3번패킷을 포함하는 양방향플로우는 호스트A로부터 호스트D로 전송되는 패킷만을 포함하고 있으므로 유니플로우에 해당한다. 또한 호스트의 응용 어플리케이션이 주로 사용하는 프로토콜은 TCP와 UDP이다. 따라서 양방향플로우 생성부(130)에 의해 생성된 양방향플로우는 TCP 바이플로우, TCP 유니플로우, UDP 바이플로우 및 UDP 유니플로우로 분류된다.
TCP 바이플로우에 해당하는 양방향플로우가 유효플로우인지 여부를 판별하기 위해서는 TCP에 의해 데이터를 전송할 때 연결설정, 데이터 전송 및 연결종료의 과정이 수행된다는 점을 이용한다. 아래와 같은 확인과정을 통하여 TCP에 의한 데이터 전송이 수행되었다는 점이 확인되면 해당 패킷을 포함하는 양방향플로우는 유효플로우로 결정된다.
전송 프로토콜로 TCP를 사용할 경우 데이터 전송이 이루어지기 위해 연결설 정 단계가 반드시 선행되어야 한다. 연결설정 과정은 한 호스트에서 다른 호스트로 syn 패킷을 전송하고, syn 패킷을 전송받은 호스트로부터 그에 대한 응답으로 syn 패킷 및 ack 패킷을 전송받으면 그에 대하여 다시 ack 패킷을 전송함으로써 수행된다. 또한 연결종료 과정에서는 fin 패킷을 전송하고 그에 대한 응답으로 ack 패킷을 전송받게 된다. TCP에서는 rst 패킷을 제외한 모든 패킷에 대해 확인응답 패킷으로 ack 패킷을 전송하므로, 전송된 ack 패킷의 총 개수에서 연결설정 및 연결종료, 즉 syn 패킷과 fin 패킷에 대한 응답으로 전송된 ack 패킷의 개수를 제외하면 데이터 전송에 사용된 ack 패킷의 개수가 된다. syn 패킷과 fin 패킷에 대하여는 각각 하나의 ack 패킷이 전송되므로, 양방향플로우가 유효플로우인지 여부는 다음의 수학식 1에 의해 판별된다.
Figure 112008090357635-pat00001
여기서, ack는 탐지대상 네트워크에 속하는 호스트와 외부 네트워크에 속하는 호스트 사이에서 전송된 ack 패킷의 총 개수, syn은 syn 패킷의 총 개수, 그리고 fin은 fin 패킷의 총 개수이다.
전송된 패킷의 개수는 도 4에 도시된 양방향 플로우의 플로우정보로부터 확인할 수 있다. 'in'과 'out'은 패킷의 전송 방향을 구분하기 위해 부가된 것이다. 도 4의 플로우정보를 참조하면, 전송된 ack 패킷의 총 개수는 inAck에 표시된 패킷의 전송개수와 outAck에 표시된 패킷의 전송개수를 더하여 산출된다. 마찬가지로 전송된 syn 패킷의 총 개수는 inSyn과 outSyn에 표시된 패킷의 전송개수를 더하여 산출되고, fin 패킷의 총 개수는 inFin과 outFin에 표시된 전송개수를 더하여 산출된다.
양방향플로우의 플로우정보에 ack 패킷과 rst 패킷에 관한 정보만 나타나 있는 경우에는 데이터 전송이 이루어지는 도중에 비정상적으로 연결이 종료되는 경우에 해당한다. 이렇게 비정상적인 연결 종료가 일어나는 경우에 rst 패킷은 한 개만 존재할 수 있다. 또한 일단 연결이 설정된 후 연결종료가 일어나는 것이므로 전송되는 총 패킷의 개수는 최소 3개가 되어야 한다. 따라서 TCP 바이플로우에서 rst 패킷이 존재할 때 양방향플로우가 유효플로우인지 여부는 다음의 수학식 2에 의해 판별된다.
Figure 112008090357635-pat00002
여기서, rst는 탐지대상 네트워크에 속하는 호스트와 외부 네트워크에 속하는 호스트 사이에서 전송된 rst 패킷의 총 개수, 그리고 pkt는 패킷의 종류와 무관하게 탐지대상 네트워크에 속하는 호스트와 외부 네트워크에 속하는 호스트 사이에서 전송된 패킷의 총 개수이다. 전송된 rst 패킷의 총 개수는 도 4에 도시된 양방향플로우의 플로우정보에서 inRst와 outRst에 나타난 패킷의 전송개수를 더하여 얻어지며, 전송패킷의 총 개수는 inPkts와 outPkts에 나타난 패킷의 전송개수를 더하여 얻어진다.
TCP 유니플로우에 해당하는 양방향플로우의 경우, TCP에서는 모든 전송패킷에 대해 확인응답 메시지, 즉 ack 패킷을 전송하기 때문에 정상적으로 연결된 경우라면 유니플로의 경우가 발생하지 않는다. 따라서 TCP 프로토콜을 사용하는 양방향플로우가 유니플로우로 나타난 경우에는 정상적으로 두 호스트 사이에서 패킷 전송이 이루어지지 않은 것이므로 유효플로우가 아닌 것으로 판별된다.
다음으로 전송 프로토콜로서 UDP를 사용하는 양방향플로우의 경우, UDP는 TCP의 경우와 같이 데이터 전송을 위해 연결설정 및 연결종료를 수행하지 않으므로 패킷을 전송하는 것 자체가 데이터 전송을 의미한다. 따라서 양방향플로우에 포함되는 패킷 중에서 탐지대상 네트워크에 속하는 호스트로부터 외부 네트워크에 속하는 호스트로 전송된 패킷이 존재하면 이는 호스트가 네트워크를 사용하여 자발적으로 전송한 패킷으로 볼 수 있으므로 해당 양방향플로우는 유효플로우로 판별된다. 즉, UDP 바이플로우의 경우에는 탐지대상 네트워크에 속하는 호스트로부터 전송된 패킷을 당연히 포함하고 있으므로 모든 UDP 바이플로우는 유효플로우로 판별되고, UDP 유니플로우 중에서는 탐지대상 네트워크에 속하는 호스트로부터 외부 네트워크에 속하는 호스트로 전송된 패킷을 포함하는 양방향플로우만 유효플로우로 판별된다. UDP를 사용하는 양방향플로우가 유효플로우인지 여부를 판단하는 과정은 도 4에 도시된 양방향플로우의 플로우정보에서 outPkts에 표시된 패킷의 전송개수를 파악함으로써 수행된다.
도 6에는 전송 프로토콜로서 TCP와 UDP를 사용하는 경우에 대하여 앞에서 설명한 방법에 의해 유효플로우로 판별되는 경우와 무효플로우로 판별되는 경우의 예 가 도시되어 있다. 도 6에서 화살표는 패킷의 전송방향을 나타내며, 화살표의 왼쪽은 외부 네트워크에 속하는 호스트, 화살표의 오른쪽은 탐지대상 네트워크에 속하는 호스트를 나타낸다.
이러한 과정에 의해 양방향플로우가 유효플로우인지 무효플로우인지 여부가 판별되면 유효플로우 판별부(140)는 그 판별결과를 양방향플로우 생성부(130)에 의해 생성된 양방향플로우의 플로우정보에 등록한다. 도 4에 도시된 양방향플로우의 플로우정보를 참조하면, pad(valid) 부분이 해당 양방향플로우가 유효플로우인지 여부를 나타내며, 유효플로우인 경우에는 pad(valid)의 값이 true로, 무효플로우인 경우에는 pad(valid) 값이 false로 등록된다.
활성호스트 결정부(150)는 탐지대상 네트워크에 속하는 호스트 중에서 유효플로우에 포함되는 패킷을 송수신하는 호스트를 탐지대상 네트워크를 사용하는 활성호스트로 결정한다.
탐지대상 네트워크를 구성하는 복수의 호스트 중에서 실제로 네트워크를 통해 데이터를 전송하는 활성호스트를 결정하기 위한 기준은 해당 호스트에 유효플로우가 존재하는지 여부이다. 외부 네트워크에 속하는 복수의 호스트와의 사이에서 패킷이 전송되어 복수의 양방향플로우가 생성된 경우에도 그중 하나의 양방향플로우가 유효플로우로 판별된다면 해당 호스트는 활성호스트로 결정된다.
활성호스트 결정부(150)는 탐지대상 네트워크에 속하는 복수의 호스트에 대하여 생성된 양방향플로우의 플로우정보에서 로컬IP주소 및 pad(valid) 값을 참고하여 해당 로컬IP주소를 가지는 호스트가 활성호스트인지 여부를 결정한다. 활성호 스트 여부는 활성호스트 결정부(150) 또는 별도의 저장장치(미도시)에 해당 호스트의 IP주소에 대응하여 등록될 수 있다. 또한 하나의 호스트에 대해 복수의 양방향플로우가 존재할 수 있으므로, 양방향플로우의 플로우정보에 나타난 로컬IP주소가 활성호스트로 결정되어 등록된 호스트의 IP주소인 경우에는 해당 양방향플로우가 유효플로우인지 여부의 확인작업을 생략할 수 있다. 이렇게 탐지대상 네트워크에 속하는 호스트 중에서 활성호스트를 구분할 수 있게 됨으로써, 네트워크 관리자는 현재 실제로 네트워크를 사용중인 IP에 대한 정보를 얻을 수 있게 된다. 또한 호스트 기반의 트래픽 분석 시스템에서 분석 대상 호스트의 개수를 줄임으로써 시스템의 효율을 증가시키는 등 효율적인 네트워크 관리에 기여할 수 있게 된다.
도 7은 본 발명에 따른 네트워크의 활성호스트 탐지방법의 바람직한 실시예의 수행과정을 도시한 흐름도이다.
도 7을 참조하면, 패킷수집부(110)는 탐지대상 네트워크의 모니터링 지점을 지나는 패킷을 수집한다(S710). 수집된 패킷의 헤더에는 패킷을 전송하는 호스트의 IP주소, 패킷을 전송받는 호스트의 IP주소 및 전송되는 패킷의 종류 등이 포함되어 있다. 다음으로 단방향플로우 생성부(120)는 수집된 패킷으로부터 추출된 헤더정보를 기초로 탐지대상 네트워크에 속하는 호스트가 외부 네트워크에 속하는 호스트로 전송하거나 상기 외부 네트워크에 속하는 호스트가 상기 탐지대상 네트워크에 속하는 호스트로 전송한 패킷에 관한 정보를 나타내는 단방향플로우를 생성한다(S720). 단방향플로우의 플로우정보는 도 3에 도시된 것과 같은 구조를 가질 수 있다. 양방향플로우 생성부(130)는 단방향플로우의 플로우정보를 기초로 탐지대상 네트워크에 속하는 호스트와 외부 네트워크에 속하는 호스트 사이에서 전송된 패킷에 관한 정보를 나타내는 양방향플로우를 생성한다(S730). 생성된 양방향플로우의 플로우정보는 도 4에 도시된 것과 같은 구조를 가질 수 있으며, 패킷의 전송방향과 무관하게 패킷을 송수신하는 호스트가 동일한 패킷들은 동일한 양방향플로우에 포함된다.
다음으로 유효플로우 판별부(140)는 양방향플로우의 플로우정보에 포함되어 있는 패킷의 전송개수에 의하여 양방향플로우가 탐지대상 네트워크를 통하여 전송된 패킷을 포함하는 유효플로우인지 여부를 판별한다(S740). 유효플로우 여부의 판별방법은 앞에서 설명한 것과 동일하며, TCP 바이플로우의 경우에는 수학식 1 및 수학식 2에 의해 유효플로우 여부가 결정되고, TCP 유니플로우는 항상 무효플로우인 것으로 판별된다. UDP의 경우, 바이플로우는 항상 유효플로우이며, 유니플로우는 탐지대상 네트워크에 속하는 호스트로부터 전송된 패킷을 포함하는 양방향플로우의 경우에만 유효플로우로 판별된다. 마지막으로 활성호스트 결정부(150)는 탐지대상 네트워크에 속하는 호스트 중에서 유효플로우에 포함되는 패킷을 송수신하는 호스트를 탐지대상 네트워크를 사용하는 활성호스트로 결정한다(S750).
도 8은 본 발명에 따른 네트워크의 활성호스트 탐지장치(100)를 사용하여 네트워크 트래픽을 분석한 실험결과를 도시한 그래프이다. 도 8의 그래프는 교내 네트워크에서 6시간 동안 트래픽을 수집하여 분석한 결과를 나타낸다. 흐린 선으로 도시된 그래프는 네트워크 트래픽에 나타난 전체 호스트의 IP 개수를 나타내며, 1번으로 표시된 부분을 보면 도 2에 도시된 그래프와 같이 전체 호스트의 IP 개수가 순간적으로 급증하는 것을 확인할 수 있다. 이는 대부분 외부로부터의 포트스캔에 의해 나타나는 현상이다. 진한 선으로 도시된 그래프는 본 발명에 따른 네트워크의 활성호스트 탐지장치(100)에 의해 활성호스트로 결정된 호스트의 IP 개수를 나타내며, 대체로 연속적으로 나타나 그 수가 급변하지 않는 것을 확인할 수 있다. 2번에서와 같이 전체 호스트이 IP 개수가 급증하지 않을 때에도 활성호스트의 IP 개수와 차이가 나는 것은 대부분 TCP 유니플로우 및 UDP 유니플로우에서 외부 네트워크에 속하는 호스트로부터 전송된 패킷을 포함하는 양방향플로우에 의한 것이다. 이는 P2P와 같은 어플리케이션이 종료된 후에도 장시간동안 외부로부터 트래픽이 들어오기 때문이다. 이러한 실험결과를 통하여 네트워크를 구성하는 호스트 중에서 활성호스트만을 파악함으로써 네트워크 관리가 효율적으로 이루어질 수 있다는 점을 확인할 수 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경은 청구범위 기재의 범위 내에 있게 된다.
도 1은 본 발명에 따른 네트워크의 활성호스트 탐지장치에 대한 바람직한 실시예의 구성을 도시한 블록도,
도 2는 NetFlow를 이용한 트래픽 분석의 일 예로서, 트래픽 수집에 의해 측정된 IP 개수의 분 단위 변화량을 도시한 그래프,
도 3은 NetFlow의 버전 5(v5)가 제공하는 플로우 데이터의 포맷을 도시한 도면,
도 4는 양방향플로우 생성부에 의해 생성된 양방향플로우의 플로우정보에 대한 구조를 도시한 도면,
도 5는 탐지대상 네트워크 및 외부 네트워크에 속하는 호스트 사이에서 전송되는 패킷을 도시한 도면,
도 6은 전송 프로토콜로서 TCP와 UDP를 사용하는 경우에 대하여 유효플로우로 판별되는 경우와 무효플로우로 판별되는 경우의 예를 도시한 도면,
도 7은 본 발명에 따른 네트워크의 활성호스트 탐지방법의 바람직한 실시예의 수행과정을 도시한 흐름도, 그리고,
도 8은 본 발명에 따른 네트워크의 활성호스트 탐지장치를 사용하여 네트워크 트래픽을 분석한 실험결과를 도시한 그래프이다.

Claims (13)

  1. 탐지대상 네트워크의 모니터링 지점을 지나는 패킷을 수집하는 패킷수집부;
    상기 수집된 패킷으로부터 추출된 헤더정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트가 외부 네트워크에 속하는 호스트로 전송하거나 상기 외부 네트워크에 속하는 호스트가 상기 탐지대상 네트워크에 속하는 호스트로 전송한 패킷에 관한 정보를 나타내는 단방향플로우를 생성하는 단방향플로우 생성부;
    상기 단방향플로우의 플로우정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트와 상기 외부 네트워크에 속하는 호스트 사이에서 전송된 패킷에 관한 정보를 나타내는 양방향플로우를 생성하는 양방향플로우 생성부;
    상기 양방향플로우의 플로우정보에 포함되어 있는 패킷의 전송개수에 의하여 상기 양방향플로우가 상기 탐지대상 네트워크를 통해 전송된 패킷을 포함하는 유효플로우인지 여부를 판별하는 유효플로우 판별부; 및
    상기 탐지대상 네트워크에 속하는 호스트 중에서 상기 유효플로우에 포함되는 패킷을 송수신하는 호스트를 상기 탐지대상 네트워크를 사용하는 활성호스트로 결정하는 활성호스트 결정부;를 포함하는 것을 특징으로 하는 네트워크의 활성호스트 탐지장치.
  2. 제 1항에 있어서,
    상기 단방향플로우 생성부는 상기 수집된 패킷의 헤더정보 중에서 근원지 IP 주소, 목적지 IP주소, 근원지 포트번호, 목적지 포트번호 및 프로토콜 번호가 동일한 패킷의 헤더정보를 통합하여 상기 단방향플로우를 생성하는 것을 특징으로 하는 네트워크의 활성호스트 탐지장치.
  3. 제 1항 또는 제 2항에 있어서,
    상기 양방향플로우 생성부는 상기 단방향플로우의 플로우정보 중에서 상기 탐지대상 네트워크에 속하는 호스트의 IP주소(localAddr), 상기 탐지대상 네트워크에 속하는 호스트에 대해 패킷을 송수신하는 호스트의 IP주소(remoteAddr), 상기 탐지대상 네트워크에 속하는 호스트의 포트번호(localPort), 상기 탐지대상 네트워크에 속하는 호스트에 대해 패킷을 송수신하는 호스트의 포트번호(remotePort) 및 프로토콜 번호(prot)가 서로 동일한 플로우정보를 통합하여 상기 양방향플로우를 생성하는 것을 특징으로 하는 네트워크의 활성호스트 탐지장치.
  4. 제 1항 또는 제 2항에 있어서,
    상기 유효플로우 판별부는 상기 양방향플로우가 TCP 프로토콜을 사용하는 경우에는 상기 양방향플로우의 플로우정보에 나타난 ack 패킷의 개수가 syn 패킷과 fin 패킷의 개수를 더한 개수보다 크면 상기 양방향플로우를 유효플로우로 결정하는 것을 특징으로 하는 네트워크의 활성호스트 탐지장치.
  5. 제 4항에 있어서,
    상기 양방향플로우의 플로우정보에 ack 패킷과 rst 패킷만 존재하며, rst 패킷의 개수가 1이고 총 전송패킷의 개수가 3 이상이면 상기 양방향플로우를 유효플로우로 결정하는 것을 특징으로 하는 네트워크의 활성호스트 탐지장치.
  6. 제 1항 또는 제 2항에 있어서,
    상기 유효플로우 판별부는 상기 양방향플로우가 UDP 프로토콜을 사용하며, 상기 양방향플로우의 플로우정보에 나타난 패킷의 전송방향이 상기 탐지대상네트워크에 속하는 호스트로부터 외부 네트워크에 속하는 호스트를 향하는 것으로 나타나면 상기 양방향플로우를 유효플로우로 결정하는 것을 특징으로 하는 네트워크의 활성호스트 탐지장치.
  7. 탐지대상 네트워크의 모니터링 지점을 지나는 패킷을 수집하는 패킷수집단계;
    상기 수집된 패킷으로부터 추출된 헤더정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트가 외부 네트워크에 속하는 호스트로 전송하거나 상기 외부 네트워크에 속하는 호스트가 상기 탐지대상 네트워크에 속하는 호스트로 전송한 패킷에 관한 정보를 나타내는 단방향플로우를 생성하는 단방향플로우 생성단계;
    상기 단방향플로우의 플로우정보를 기초로 상기 탐지대상 네트워크에 속하는 호스트와 상기 외부 네트워크에 속하는 호스트 사이에서 전송된 패킷에 관한 정보를 나타내는 양방향플로우를 생성하는 양방향플로우 생성단계;
    상기 양방향플로우의 플로우정보에 포함되어 있는 패킷의 전송개수에 의하여 상기 양방향플로우가 상기 탐지대상 네트워크를 통해 전송된 패킷을 포함하는 유효플로우인지 여부를 판별하는 유효플로우 판별단계; 및
    상기 탐지대상 네트워크에 속하는 호스트 중에서 상기 유효플로우에 포함되는 패킷을 송수신하는 호스트를 상기 탐지대상 네트워크를 사용하는 활성호스트로 결정하는 활성호스트 결정단계;를 포함하는 것을 특징으로 하는 네트워크의 활성호스트 탐지방법.
  8. 제 7항에 있어서,
    상기 단방향플로우 생성단계에서, 상기 수집된 패킷의 헤더정보 중에서 근원지 IP주소, 목적지 IP주소, 근원지 포트번호, 목적지 포트번호 및 프로토콜 번호가 동일한 패킷의 헤더정보를 통합하여 상기 단방향플로우를 생성하는 것을 특징으로 하는 네트워크의 활성호스트 탐지방법.
  9. 제 7항 또는 제 8항에 있어서,
    상기 양방향플로우 생성단계에서, 상기 단방향플로우의 플로우정보 중에서 상기 탐지대상 네트워크에 속하는 호스트의 IP주소(localAddr), 상기 탐지대상 네트워크에 속하는 호스트에 대해 패킷을 송수신하는 호스트의 IP주소(remoteAddr), 상기 탐지대상 네트워크에 속하는 호스트의 포트번호(localPort), 상기 탐지대상 네트워크에 속하는 호스트에 대해 패킷을 송수신하는 호스트의 포트번 호(remotePort) 및 프로토콜 번호(prot)가 서로 동일한 플로우정보를 통합하여 상기 양방향플로우를 생성하는 것을 특징으로 하는 네트워크의 활성호스트 탐지방법.
  10. 제 7항 또는 제 8항에 있어서,
    상기 유효플로우 판별단계에서, 상기 양방향플로우가 TCP 프로토콜을 사용하는 경우에는 상기 양방향플로우의 플로우정보에 나타난 ack 패킷의 개수가 syn 패킷과 fin 패킷의 개수를 더한 개수보다 크면 상기 양방향플로우를 유효플로우로 결정하는 것을 특징으로 하는 네트워크의 활성호스트 탐지방법.
  11. 제 10항에 있어서,
    상기 양방향플로우의 플로우정보에 ack 패킷과 rst 패킷만 존재하며, rst 패킷의 개수가 1이고 총 전송패킷의 개수가 3 이상이면 상기 양방향플로우를 유효플로우로 결정하는 것을 특징으로 하는 네트워크의 활성호스트 탐지방법.
  12. 제 7항 또는 제 8항에 있어서,
    상기 유효플로우 판별단계에서, 상기 양방향플로우가 UDP 프로토콜을 사용하며, 상기 양방향플로우의 플로우정보에 나타난 패킷의 전송방향이 상기 탐지대상네트워크에 속하는 호스트로부터 외부 네트워크에 속하는 호스트를 향하는 것으로 나타나면 상기 양방향플로우를 유효플로우로 결정하는 것을 특징으로 하는 네트워크의 활성호스트 탐지방법.
  13. 제 7항 또는 제 8항에 기재된 네트워크의 활성호스트 탐지방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020080136584A 2008-12-30 2008-12-30 네트워크의 활성호스트 탐지장치 및 방법 KR101007262B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080136584A KR101007262B1 (ko) 2008-12-30 2008-12-30 네트워크의 활성호스트 탐지장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080136584A KR101007262B1 (ko) 2008-12-30 2008-12-30 네트워크의 활성호스트 탐지장치 및 방법

Publications (2)

Publication Number Publication Date
KR20100078350A KR20100078350A (ko) 2010-07-08
KR101007262B1 true KR101007262B1 (ko) 2011-01-13

Family

ID=42639580

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080136584A KR101007262B1 (ko) 2008-12-30 2008-12-30 네트워크의 활성호스트 탐지장치 및 방법

Country Status (1)

Country Link
KR (1) KR101007262B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101522927B1 (ko) * 2014-07-30 2015-05-27 주식회사 파이오링크 동적 필터링을 이용하여 단말의 통신을 제어하기 위한 방법, 장치 및 컴퓨터 판독 가능한 기록 매체

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040095886A1 (en) 2002-11-15 2004-05-20 Sanyo Electric Co., Ltd. Program placement method, packet transmission apparatus, and terminal

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040095886A1 (en) 2002-11-15 2004-05-20 Sanyo Electric Co., Ltd. Program placement method, packet transmission apparatus, and terminal

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Active Host Information-Based Abnormal IP Address Detection http://www.springerlink.com/content/xvbac13mubqb598x/*
Detecting NAT Devices using sFlow www.sflow.org/detectNAT/

Also Published As

Publication number Publication date
KR20100078350A (ko) 2010-07-08

Similar Documents

Publication Publication Date Title
US11700275B2 (en) Detection of malware and malicious applications
KR101280910B1 (ko) 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
Wang et al. An entropy-based distributed DDoS detection mechanism in software-defined networking
KR101519623B1 (ko) 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
KR101295708B1 (ko) 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
JP4512196B2 (ja) 異常トラヒックの検出方法およびパケット中継装置
US9413616B2 (en) Detection of network address spoofing and false positive avoidance
Dainotti et al. Estimating internet address space usage through passive measurements
US7010592B2 (en) Method for collecting statistical traffic data
KR102088299B1 (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US9634851B2 (en) System, method, and computer readable medium for measuring network latency from flow records
US20140119387A1 (en) Method and apparatus for sending and receiving ipv6 data packets
CN108900486A (zh) 一种扫描器指纹识别方法及其系统
CN111756713A (zh) 网络攻击识别方法、装置、计算机设备及介质
JP5199224B2 (ja) フロー通信品質推定方法と装置およびプログラム
KR101007262B1 (ko) 네트워크의 활성호스트 탐지장치 및 방법
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
Nakamura et al. Malicious host detection by imaging SYN packets and a neural network
TW201029412A (en) Network attack detection systems and methods, and computer program products thereof
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
KR100604638B1 (ko) 계층 분석 기반의 침입 탐지 시스템 및 그 방법
KR20040085266A (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
WO2024013886A1 (ja) トラフィック統計情報取得システムおよび方法
KR101380292B1 (ko) 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140120

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee