KR101131072B1 - A method for classifying plural terminals by using a network time synchronization information - Google Patents

A method for classifying plural terminals by using a network time synchronization information Download PDF

Info

Publication number
KR101131072B1
KR101131072B1 KR1020100088815A KR20100088815A KR101131072B1 KR 101131072 B1 KR101131072 B1 KR 101131072B1 KR 1020100088815 A KR1020100088815 A KR 1020100088815A KR 20100088815 A KR20100088815 A KR 20100088815A KR 101131072 B1 KR101131072 B1 KR 101131072B1
Authority
KR
South Korea
Prior art keywords
time synchronization
time
ntp
synchronization information
traffic
Prior art date
Application number
KR1020100088815A
Other languages
Korean (ko)
Other versions
KR20120026738A (en
Inventor
최규민
전선민
Original Assignee
플러스기술주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 플러스기술주식회사 filed Critical 플러스기술주식회사
Priority to KR1020100088815A priority Critical patent/KR101131072B1/en
Publication of KR20120026738A publication Critical patent/KR20120026738A/en
Application granted granted Critical
Publication of KR101131072B1 publication Critical patent/KR101131072B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 NTP(Network Time Protocol)를 이용하여, 사용자 단말 컴퓨터가 시간 동기화를 위해 발생하는 NTP 발생 주기 및 빈도 등의 선형성을 분석하여 IP 공유기 사용 여부와 회선당 복수 단말수를 검출하는 방법에 관한 것으로서, 한 IP 회선에서 발생하는 NTP 커넥션 마다 선형적으로 발생하는 일정주기를 모니터링하고 이를 통해 네트워크 내의 NAT(Network Address Translation) 사용 여부 판단과 복수 단말수를 분석 및 검출하여 데이터를 DB화하는, IP 공유기 사용 여부와 복수 단말의 분류 방법에 관한 것이다.The present invention relates to a method of detecting the use of an IP router and the number of multiple terminals per line by analyzing linearity such as the frequency and frequency of NTP occurrences generated by a user terminal computer for time synchronization using NTP (Network Time Protocol). IP, which monitors a certain period that occurs linearly for each NTP connection occurring in one IP line, analyzes and detects the use of NAT (Network Address Translation) in the network, and analyzes and detects the number of terminals to make the data DB. It relates to whether to use a router and a classification method of a plurality of terminals.

Description

네트워크 시간 동기화 정보를 이용한 복수 단말 분류 방법{A method for classifying plural terminals by using a network time synchronization information}A method for classifying plural terminals by using a network time synchronization information}

본 발명은 복수 단말의 분류 방법에 관한 것으로, 더욱 상세하게는 사용자 단말 OS에서 발생하는 NTP(Network Time Protocol)를 이용하는 검출 방법을 이용하여, 한 IP 회선에서 발생하는 NTP 커넥션 마다 선형적으로 발생하는 일정주기를 모니터링하고 이를 통해 네트워크 내의 NAT(Network Address Translation) 사용 여부 판단과 복수 단말수를 분석 및 검출하여 데이터를 DB화하는, IP 공유기 사용 여부와 복수 단말의 분류 방법에 관한 것이다.The present invention relates to a classification method of a plurality of terminals, and more particularly, linearly generated for each NTP connection generated in one IP line by using a detection method using NTP (Network Time Protocol) generated in a user terminal OS. The present invention relates to a method of classifying a plurality of terminals and whether or not to use an IP router by monitoring a predetermined period and determining whether to use network address translation (NAT) in a network and analyzing and detecting the number of terminals.

최근에는 인터넷 가입자가 하나의 공인 IP 회선에 여러 사용자가 네트워크를 동시에 사용할 수 있도록 IP 공유기를 사용하는 경우가 매우 빈번하게 발생하고 있으며, 회사나 기업 내에서는 이러한 공유 방법을 이용하여 NAT(Network Address Translation)를 구성하여 사용하는 곳도 많이 증가하는 추세이다.In recent years, Internet subscribers frequently use IP routers to allow multiple users to simultaneously use a network on one public IP line. ) Is increasingly used.

이러한 불법적인 IP 공유의 증가는 회선당 사용자가 증가함에 따라 밴드 대역폭에 심각한 부하를 주게 되고, 해당 지역의 비정상적인 트래픽 증가로 인해 합법적인 여러 사용자에게 피해를 주게 되며, IP 공유를 통한 악의적인 의도를 가진 해킹, 바이러스, 웜 등의 심각한 문제점을 야기시킬 수 있을 뿐만 아니라, 인터넷 사업자 측면에서는 트래픽 증가를 해결하기 위해 설비 투자 및 관리 비용이 높아지게 되는 경제적 손실을 초래하고 있다.This increase in illegal IP sharing puts a significant load on the bandwidth of the band as the number of users per line increases, damaging many legitimate users due to abnormal traffic growth in the area, and inducing malicious intentions through IP sharing. Not only can it cause serious problems such as hacking, viruses, worms, etc., but also causes economic losses in terms of Internet operators, which increase facility investment and management costs to solve the traffic increase.

이러한 문제를 발생시키는 사용자를 색출하기 위해서는 실제 사용자의 IP 주소를 추적해 사용자 단말을 파악해야 하나 NAT나 IP 공유기 내부 사용자의 실제 IP 주소는 NAT나 IP 공유기를 통과할 때 공인 IP 주소로 변환이 되기 때문에 사용자의 실제 IP 주소를 외부에서는 알기 어렵고, 추적 또한 쉽지 않은 문제를 가지고 있다.In order to find out the user who is causing this problem, we need to track the actual user's IP address to identify the user's device.However, the actual IP address of the user inside the NAT or IP router is converted to a public IP address when passing through the NAT or IP router Because of this, it is difficult to know the user's actual IP address from outside and tracking is not easy.

이를 해결하기 위해서 내부 네트워크 내의 사용자 단말에서 사용자의 IP 주소를 알려주는 별도의 애플리케이션을 설치하거나 애플릿을 실행하는 고안들이 제안되고 있지만, 이러한 방법들은 사용자가 애플리케이션/애플릿의 설치 및 실행 여부를 인지하고 거부할 수 있는 단점이 있다.In order to solve this problem, there are proposals for installing a separate application or running an applet on the user terminal in the internal network, which informs the user's IP address, but these methods recognize and deny whether the user installs and runs the application / applet. There are drawbacks to this.

또한, HTTP 연결시 전송되는 유저 에이전트(User-Agent) 값을 이용하여 복수 사용자를 분류하는 방식이 제안되고 있으나, 회선에서 실제 사용하는 사용자 단말들의 유저 에이전트가 이미 중복 검출된 경우에는 새로운 단말로 인식하지 못하는 문제가 있기 때문에 높은 정확도를 보일 수 없었다.In addition, a method of classifying a plurality of users using a user agent value transmitted during an HTTP connection has been proposed. However, if a user agent of user terminals actually used in a line is already detected, it is recognized as a new terminal. There was a problem that could not be high accuracy.

따라서 본 발명은, 상기한 바와 같이 종래의 기술적인 문제점을 해결하기 위해 안출된 것으로서, 본 발명이 이루고자 하는 기술적 과제는 NTP(Network Time Protocol)를 이용한 복수 단말 분류 방법을 제안하여, 실제 1회선에서 얼마나 많은 복수 단말이 존재하는지 판단할 수 있게 함으로써, 기존 방식들보다 높은 정확도의 복수 단말 분석을 가능하게 하는 것에 그 목적이 있다.Accordingly, the present invention has been made to solve the above-mentioned technical problems, and the technical problem to be achieved by the present invention proposes a multiple terminal classification method using NTP (Network Time Protocol), The purpose is to enable a multi-terminal analysis with higher accuracy than existing schemes by allowing us to determine how many multi-terminals are present.

상기 기술적 과제를 달성하기 위한 본 발명은 NTP(Network Time Protocol)를 이용하여 IP 공유기 사용 여부 및 복수 단말의 분류를 목적으로 하기 위해, NTP 트래픽을 분석하여 패킷 헤더 메시지의 시간 동기화 정보를 추출하는 단계와, 키(Key)가 되는 식별값 또는 IP 기준으로 시간 동기화 정보를 저장하는 단계와, 상기 저장된 시간 동기화 정보를 키가 되는 식별값 또는 IP 기준으로 일정시간 또는 일정기간 동안 모아서 시간 동기화 중복 발생수를 구하는 단계와, 시간 동기화 중복 발생수를 키가 되는 식별값 또는 IP 기준으로 데이터베이스에 저장하고 이를 복수 단말수로 판단하는 단계를 포함하여 구성된 것을 특징으로 한다.The present invention for achieving the above technical problem is to extract the time synchronization information of the packet header message by analyzing the NTP traffic for the purpose of using the IP router and the classification of multiple terminals using the Network Time Protocol (NTP) And storing time synchronization information based on an identification value or an IP as a key, and collecting the stored time synchronization information based on an identification value or an IP as a key for a predetermined time or a predetermined time period. And storing the time synchronization duplicate number in a database based on an identification value or IP as a key, and determining the number of time synchronization duplicates as a plurality of terminals.

또한, 상기 시간 동기화 정보를 추출하는 단계는 NTP 패킷 헤더 메시지에서 시간 동기화 서버에 시간 동기화 요청을 하는 패킷 헤더 정보 중 Mode(401) 값이 3으로 설정된 패킷을 분류하는 단계와, 분류된 NTP 패킷에서 지난 업데이트 시간(402) 및 현재 업데이트 시간(403) 정보를 추출하는 단계를 포함하는 것을 특징으로 한다.The extracting of the time synchronization information may include classifying a packet in which a Mode 401 value is set to 3 among packet header information that requests a time synchronization server from a NTP packet header message, and in the classified NTP packet. And extracting the information of the last update time 402 and the current update time 403.

아울러, 상기 시간 동기화 정보를 저장하는 단계에 있어서, 하나의 단말 장치 또는 PC에서 시간 동기화 요청 정보가 연속적으로 발생하는 경우를 판별하는 방법은, 이전에 기록된 시간 동기화 정보의 지난 업데이트 시간(402)과 신규로 수집된 시간 동기화 정보의 지난 업데이트 시간(402)의 차이가 10분 이하인 경우, 하나의 단말 장치 또는 PC에서 시간 동기화 정보가 연속적으로 발생한 것으로 판단하고, 신규로 수집된 시간 동기화 정보를 삭제하는 단계를 더 포함하는 것을 특징으로 한다.In addition, in the step of storing the time synchronization information, a method of determining when the time synchronization request information occurs continuously in one terminal device or PC, the last update time 402 of the previously recorded time synchronization information And when the difference between the last update time 402 of the newly collected time synchronization information is 10 minutes or less, it is determined that time synchronization information has occurred continuously in one terminal device or a PC, and the newly collected time synchronization information is deleted. Characterized in that it further comprises the step.

덧붙여, 상기 목적을 달성하기 위해 본 발명은 NTP가 발생할 경우 해당 트래픽을 모니터링할 수 있는 환경에서 NTP를 분석하여 지난 업데이트 시간 및 현재 업데이트 시간을 추출하는 NTP 추출 수단과, 상기 NTP 추출 수단에 의해 추출된 지난 업데이트 시간 및 현재 업데이트 시간의 발현 시간 간의 선형성을 비교 분석하여 1회선당 복수 단말수를 추출하는 NTP-Liner 분석 수단을 포함하는 것을 특징으로 한다.In addition, in order to achieve the above object, the present invention is NTP extraction means for extracting the last update time and the current update time by analyzing the NTP in the environment that can monitor the traffic when NTP occurs, and extracted by the NTP extraction means And an NTP-Liner analysis means for extracting the number of terminals per line by comparing and analyzing the linearity between the previous update time and the expression time of the current update time.

본 발명에 의하면, 공인 IP를 동시에 사용하는 사용자 단말수를 검출할 수 있으며, 기존의 IP 복수 단말 분류 방법으로 구별할 수 없었던 단말을 검출함으로써, 높은 정확도로 IP 복수 단말수를 정밀하게 분류 및 추정할 수 있는 효과가 있으며, 사설 네트워크 내의 IP 공유에 대해 허가되지 않은 사용자들의 단말수를 정밀하게 계측함으로써, 불법적으로 운영되고 있는 공인 IP 주소를 파악할 수 있다.According to the present invention, the number of user terminals simultaneously using public IP can be detected, and by detecting terminals that cannot be distinguished by the existing IP multiple terminal classification method, the IP multiple terminals can be accurately classified and estimated with high accuracy. It is possible to do this, and by accurately measuring the number of terminals of unauthorized users for IP sharing in a private network, it is possible to identify an illegally operated public IP address.

또한, 사설 네트워크 내부에 진입하지 않더라도 IP 복수 단말수를 모니터링 할 수 있으며, 사용자 단말에서 추가적인 애플리케이션이나 애플릿의 실행을 모두 배제하고 있으므로 복수 사용자 검출의 긴밀성을 높일 수 있다.In addition, the number of IP terminals can be monitored even without entering the private network, and since the execution of additional applications or applets are excluded from the user terminals, the tightness of the multi-user detection can be enhanced.

도 1은 NTP(Network Time Protocol)를 이용한 복수 단말 분류 방법의 전체 구성도이다.
도 2는 NTP를 이용한 복수 단말 분류 방법의 흐름도이다.
도 3은 NTP 트래픽 분석 장치에서 수집된 시간 동기화 프로토콜을 분석하는 방법의 흐름도이다.
도 4는 NTP 패킷의 구조를 나타내는 구조도이다.
도 5는 시간 흐름에 따라 NTP의 타임 차트와 선형성의 예를 나타내는 도면이다.1 is an overall configuration diagram of a multiple terminal classification method using NTP (Network Time Protocol).
2 is a flowchart of a multiple terminal classification method using NTP.
3 is a flowchart of a method of analyzing a time synchronization protocol collected by an NTP traffic analysis apparatus.
4 is a structural diagram showing the structure of an NTP packet.
5 is a diagram showing an example of a time chart and linearity of NTP over time.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention;

그러나, 본 발명에 따른 실시 예들은 본 발명의 이해를 돕기 위한 목적으로 사용된 것일 뿐, 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래에서 상술하는 실시 예들에 한정되는 것으로 해석되어서는 안 된다.However, the embodiments according to the present invention are used only for the purpose of helping the understanding of the present invention, and may be modified in various forms, and the scope of the present invention is interpreted as being limited to the embodiments described below. Should not be.

도 1은 본 발명에 따르는 NTP(Network Time Protocol)를 이용한 복수 단말 분류 방법의 전체 구성도를 나타낸 것이다.Figure 1 shows the overall configuration of a multiple terminal classification method using the Network Time Protocol (NTP) according to the present invention.

NTP를 통한 IP 공유기 사용 여부 및 복수 단말 분류 과정은 도 1에 나타낸 바와 같이, 인터넷 사용자가 복수 단말(101)로부터 IP 공유기(102)를 통해 인터넷에 접근하려 할 때, 인터넷과 IP 공유기(102) 사이에 인입된 트래픽 집선/분류 장치(104)를 통해 트래픽을 모니터링 하게 되고, 여기서 NTP 트래픽만 추출하여, NTP 트래픽 분석 장치(105)로 전송한 다음 분석 모듈에 의해 NTP 트래픽을 분석한다.Whether or not to use the IP router through the NTP and the multiple terminal classification process, as shown in Figure 1, when the Internet user attempts to access the Internet through the IP sharer 102 from the multiple terminals 101, the Internet and the IP sharer 102 The traffic is monitored through the traffic concentrator / sorting device 104 introduced therebetween, and only the NTP traffic is extracted, transmitted to the NTP traffic analysis device 105, and the NTP traffic is analyzed by the analysis module.

도 2은 본 발명에 따른 NTP를 이용한 복수 단말 분류 방법의 흐름을 나타낸 도면으로, 도 1의 트래픽 집선/분류 장치(104)와 NTP 트래픽 분석 장치(105)에 해당하는 트래픽 분류 과정과 NTP 트래픽 분석 과정을 설명하기 위한 것이다.FIG. 2 is a flowchart illustrating a multiple terminal classification method using NTP according to the present invention. The traffic classification process and the NTP traffic analysis corresponding to the traffic aggregation / classifying apparatus 104 and the NTP traffic analyzing apparatus 105 of FIG. 1 are illustrated. To explain the process.

도 2에 나타낸 바와 같이, 트래픽 집선/분류 장치(104)를 통해 수집된 트래픽은(단계 S202), 먼저 NTP 트래픽인지 아닌지를 판단하고(단계 S203), 판단 결과 해당 트래픽이 NTP 트래픽인 경우에 NTP 클라이언트 요청 패킷을 추출하고, NTP 클라이언트 요청 패킷인지 아닌지를 판단하는 과정을 거쳐서(단계 S204), NTP 클라이언트 요청 패킷일 경우 NTP 패킷 내 시간 동기화 정보 축출 과정을 통해, 지난 업데이트 시간(402) 및 현재 업데이트 시간(403) 정보를 추출한다(단계 S205).As shown in FIG. 2, the traffic collected through the traffic concentrating / classifying device 104 (step S202) first determines whether it is NTP traffic or not (step S203), and as a result of the determination, the NTP traffic is NTP traffic. After extracting the client request packet and determining whether or not it is an NTP client request packet (step S204), in the case of the NTP client request packet, through the process of extracting time synchronization information in the NTP packet, the last update time 402 and the current update Time 403 information is extracted (step S205).

그 다음, 추출한 지난 업데이트 시간(402)의 시간 정보가 0이 아닌지 비교 분석하고(단계 S206), 현재 업데이트 시간(403)의 시간 정보가 0이 아닌지를 비교 분석하여(단계 S207), 지난 업데이트 시간(402) 및 현재 업데이트 시간(403) 둘 다 0이 아닌 경우 저장 매체에 시간 동기화 정보를 저장하고(단계 S208), 수집한 시간 동기화 정보를 통해 시간 동기화 정보 중복 발생수 분석을 진행한다(단계 S209).Next, the time information of the extracted last update time 402 is not 0 (step S206), and the time information of the current update time 403 is not 0 (step S207), and the last update time is compared. If both the 402 and the current update time 403 are not zero, the time synchronization information is stored in the storage medium (step S208), and the time synchronization information duplicate occurrence number analysis is performed through the collected time synchronization information (step S209). ).

도 3은 NTP 트래픽 분석 장치(105)에서 수집된 시간 동기화 프로토콜을 분석하는 방법을 나타낸 것으로서, 도 2의 시간 동기화 정보 중복 발생수(단계 S209)에 해당하는 시간 동기화 정보 중복 발생수 분석 과정을 설명하기 위한 흐름도이다.3 is a diagram illustrating a method of analyzing a time synchronization protocol collected by the NTP traffic analysis apparatus 105, and illustrates a process of analyzing time synchronization information duplication occurrences corresponding to the time synchronization duplication occurrences (step S209) of FIG. 2. It is a flowchart for doing so.

먼저, NTP 패킷에서 추출한 시간 동기화 정보를 NTP 발생 IP 별로 시간 동기화 정보를 구분하고(단계 S302), 해당 IP 별로 매시간 단위로 측정하는 시간 동기화 횟수 쿼리를 실행시켜서(단계 S303), 해당 IP 및 측정 시간을 시간 동기화 산출 모듈로 전송하여, 시간 동기화 측정 시간이 시간 동기화 정보 기록 자료에 저장되어 있는 지난 업데이트 시간(402), 현재 업데이트 시간(403) 간의 상관 관계를 분석하여(단계 S304) 해당 IP와 시간 동기화수를 반환하고, IP 별로 시간 동기화수를 수신에 이어서(단계 S305), 시간 동기화수 산출 모듈에서 수신된 IP 별로 기존 시간 동기화수와 비교 분석하여 IP 별 시간 동기화수 중 수가 큰 시간 동기화수를 기록한다(단계 S306).First, time synchronization information extracted from an NTP packet is divided into time synchronization information for each NTP originating IP (step S302), and a time synchronization count query for measuring every hour for each corresponding IP is executed (step S303), corresponding IP and measurement time. Is transmitted to the time synchronization calculation module, and the correlation between the time of the last update time 402 and the current update time 403 in which the time synchronization measurement time is stored in the time synchronization information recording material is analyzed (step S304). After returning the number of synchronizations, and receiving the number of time synchronizations for each IP (step S305), the time synchronization number calculation module compares and analyzes the number of time synchronizations with the largest number of time synchronizations for each IP by IP. Record (step S306).

상기 단계(S304)에 있어서, 일정시간 단위로 측정하는 시간을 Tcheck, 지난 업데이트 시간을 Tlast, 현재 업데이트 시간을 Tnow 라고 지정한 경우에는,In the step (S304), if the time measured in units of a fixed time T check , the last update time T last and the current update time T now specified,

Tlast < Tcheck < Tnow T last <T check <T now

상기 수식을 만족하는 시간 동기화 정보들의 수를 세어 시간 동기화 중복 발생수를 산출하는 것이 가능하다.It is possible to calculate the number of time synchronization duplication occurrences by counting the number of time synchronization information satisfying the above formula.

도 4는 NTP(Network Time Protocol) 패킷의 구조를 설명하기 위한 구조도로, 도 4에 나타낸 바와 같이, NTP 패킷 구조 중 필요한 정보의 추출은 도 2의 NTP 패킷 내 시간 동기화 정보 추출 과정에서 실행되고(단계 S205), 추출된 시간 동기화 정보 중 0번지의 1옥텟에 Mode(401)는 도 2의 단계(S204)에서 비교되고 지난 업데이트 시간(402), 현재 업데이트 시간(403)은 도 2의 단계(S206, S207 및 S208)에서 각각 비교 분석된다.FIG. 4 is a structural diagram for explaining the structure of a network time protocol (NTP) packet. As shown in FIG. 4, extraction of necessary information among NTP packet structures is performed in the process of extracting time synchronization information in the NTP packet of FIG. 2 (FIG. Step S205), Mode 401 is compared to one octet of address 0 of the extracted time synchronization information in step S204 of FIG. 2, and the last update time 402 and the current update time 403 are shown in FIG. S206, S207 and S208, respectively.

도 5는 시간 흐름에 따라 NTP의 타임 차트와 선형성의 한 예를 나타내는 도면으로, 도 5에 나타낸 타임 차트는 NTP(Network Time Protocol) 패킷의 발현 시간을 선형성으로 비교 분석하여 1회선당 복수 단말 수를 추출하는 NTP-Liner 분석 수단을 나타낸다.FIG. 5 is a diagram illustrating an example of NTP time chart and linearity over time. The time chart shown in FIG. 5 compares the expression time of an NTP (Network Time Protocol) packet with linearity to determine the number of multiple terminals per line. NTP-Liner analysis means to extract the.

도 5에 나타낸 바와 같이, 단말 1, 단말 2, 단말 3은 각각 지난 업데이트 시간을 시작점으로 하고, 현재 업데이트 시간을 끝점으로 하는 타임 라인을 가진다.As shown in FIG. 5, the terminal 1, the terminal 2, and the terminal 3 each have a timeline having a last update time as a start point and a current update time as an end point.

이때, 단말 1과 같이 각 단말은 1개 이상의 타임 라인을 가질 수는 있으나, 동일 단말에서 시간이 중첩되는 타임 라인은 존재할 수 없다.In this case, as in the terminal 1, each terminal may have more than one timeline, but the timeline overlapping time in the same terminal may not exist.

이에, 단말들의 모든 타임 라인을 타임 차트상에 표시했을 때, 타임 라인의 중첩도가 가장 높은 특정 시간대를 찾아서 중첩된 타임 라인의 수를 파악하고 저장 기록한다.Therefore, when all the timelines of the terminals are displayed on the time chart, the specific time zone with the highest overlap of the timelines is found to identify and store and record the number of overlapped timelines.

도 5에 나타낸 바에 의하면, 타임 차트에 0시의 분석 결과 복수 단말수는 1대이고, 1시의 분석 결과 복수 단말수는 2대이고, 3시의 분석 결과 복수 단말 수는 3대이고, 6시의 분석 결과 복수 단말수는 2대이다.As shown in Fig. 5, in the time chart, the analysis result at 0 o'clock is one unit, the analysis result at 1 o'clock is 2 unit, and the analysis result at 3 o'clock is 3 unit 6, As a result of analysis of the city, the number of multiple terminals is two.

그러나, 3시의 최대 단말수가 추정되었으므로, 6시의 분석 결과는 전체 분석 결과에 영향을 주지 않는다.However, since the maximum number of terminals at 3 o'clock is estimated, the analysis result at 6 o'clock does not affect the overall analysis result.

즉, 타임 라인의 최대 중첩수가 해당 IP의 최대 복수 단말수로 판단한다.That is, the maximum overlapping number of timelines is determined as the maximum number of terminals of the corresponding IP.

따라서, 상기와 같은 방식으로 계속 진행을 하면서, 인터넷 사용자의 NTP(Network Time Protocol) 패킷의 선형성을 비교 분석하여 정확도가 높은 IP 복수 단말 분류 방법을 제공하며, 종래의 기존 IP 복수 단말 분류 방법의 취약점을 보완하는 것이 가능하다.Therefore, while continuing in the above manner, by comparing the linearity of the NTP (Network Time Protocol) packet of the Internet user to provide a high accuracy IP multiple terminal classification method, the weakness of the conventional IP multiple terminal classification method It is possible to supplement.

이상, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였다.Or more, with reference to the accompanying drawings has been described in detail a preferred embodiment of the present invention.

그러나, 상술한 실시 예는 본 발명을 설명하기 위한 것으로, 본 발명의 의미의 한정이나 범위를 제한하기 위해 사용된 것이 아니며, 특허청구범위의 청구하는 범위 내에서 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형실시가 가능할 수 있음은 물론이다.However, the above-described embodiments are intended to illustrate the present invention, and are not used to limit the scope or meaning of the present invention, and are commonly used in the art to which the present invention pertains within the scope of the claims. Of course, any person with knowledge may be able to make various modifications.

101. 복수 단말
102. IP 공유기
103. 집선 스위치
104. 트래픽 집선/분류 장치
105. NTP(Network Time Protocol) 트래픽 분석 장치
401. NTP 패킷 헤더의 Mode 값
402. NTP 패킷 헤더의 지난 업데이트 시간
403. NTP 패킷 헤더의 현재 업데이트 시간101. Multiple terminals
102. IP Router
103. aggregation switch
104. Traffic concentrator / sorting device
105. Network Time Protocol (NTP) traffic analysis device
401.Mode value of NTP packet header
402. Time of last update of NTP packet header
403. Current update time of NTP packet header

Claims (4)

트래픽 집선/분류 장치(104) 및 NTP 트래픽 분석 장치(105)에서 이루어지는 네트워크 시간 동기화 정보를 이용한 복수 단말 분류 방법에 있어서,
트래픽 집선/분류 장치(104)는 인터넷 회선으로부터 트래픽을 모니터링하고, 상기 트래픽 중 NTP(Network Time Protocol) 트래픽만 추출하여 NTP 트래픽 분석 장치(105)로 전송하고,
NTP 트래픽 분석 장치(105)는,
NTP(Network Time Protocol)의 트래픽을 분석하여 패킷 헤더 메시지의 시간 동기화 정보를 추출하는 단계와,
키(Key)가 되는 식별값 또는 IP 기준으로 시간 동기화 정보를 저장하는 단계와,
저장된 시간 동기화 정보를 키가 되는 식별값 또는 IP 기준으로 일정시간 또는 일정기간 동안 모아서 시간 동기화 중복 발생수를 구하는 단계와,
시간 동기화 중복 발생수를 키가 되는 식별값 또는 IP 기준으로 데이터베이스에 저장하고 복수 단말수를 판단하는 단계를 수행하는 것을 특징으로 하는 복수 단말 분류 방법.In the multiple terminal classification method using the network time synchronization information made in the traffic aggregation / classification apparatus 104 and the NTP traffic analysis apparatus 105,
The traffic aggregation / classifying device 104 monitors the traffic from the Internet line, extracts only NTP (Network Time Protocol) traffic from the traffic, and transmits it to the NTP traffic analysis device 105,
NTP traffic analysis device 105,
Extracting time synchronization information of a packet header message by analyzing traffic of a network time protocol (NTP);
Storing time synchronization information based on an identification value or an IP as a key;
Collecting the stored time synchronization information based on an identification value or an IP as a key to obtain a time synchronization duplication number;
And storing the number of occurrences of time synchronization duplication in a database based on an identification value or IP as a key and determining the number of terminals. 제 1항에 있어서,
상기 시간 동기화 정보를 추출하는 단계는,
NTP(Network Time Protocol) 패킷 헤더 메시지에서 시간 동기화 서버에 시간 동기화 요청을 하는 패킷 헤더 정보 중 Mode(401)의 값이 3으로 설정된 패킷을 분류하는 단계와,
분류된 NTP 패킷에서 지난 업데이트 시간(402) 및 현재 업데이트 시간(403) 정보를 추출하는 단계를 포함하는 것을 특징으로 하는 복수 단말 분류 방법.The method of claim 1,
Extracting the time synchronization information,
Classifying a packet in which a value of Mode 401 is set to 3 in packet header information that requests a time synchronization server to a time synchronization server in an NTP packet header message;
And extracting information of a previous update time (402) and a current update time (403) from the classified NTP packets. 제 1항에 있어서,
상기 시간 동기화 중복 발생수를 구하는 단계는,
일정시간 단위로 측정하는 시간을 Tcheck, 지난 업데이트 시간(402)을 Tlast, 현재 업데이트 시간(403)을 Tnow 라고 지정한 경우,
Tlast < Tcheck < Tnow
추출된 시간 동기화 정보 및 키가 되는 식별값 또는 IP 기준으로 저장된 시간 동기화 정보들 중 상기 수식을 참으로 판단되는 시간 동기화 정보들의 수를 세어 시간 동기화 중복 발생수로 판단하는 단계를 포함하는 것을 특징으로 하는 복수 단말 분류 방법.The method of claim 1,
Obtaining the number of time synchronization duplication occurrences,
If the time measuring unit by a predetermined time T check, the last update time 402 is designated as T last, the current update time (403) T now,
T last <T check <T now
And counting the number of time synchronization information that is determined to be true among the extracted time synchronization information and the identification value as a key or the time synchronization information stored on the basis of IP, and determining the number of time synchronization duplications. A multiple terminal classification method. 제 1항에 있어서,
상기 시간 동기화 정보를 저장하는 단계에 있어서,
이전에 기록된 시간 동기화 정보의 지난 업데이트 시간(402)과 신규로 수집된 시간 동기화 정보의 지난 업데이트 시간(402)의 차이가 10분 이하인 경우, 하나의 단말 장치 또는 PC에서 시간 동기화 정보가 연속적으로 발생한 것으로 판단하고, 신규로 수집된 시간 동기화 정보를 삭제하는 단계를 더 포함하는 것을 특징으로 하는 복수 단말 분류 방법.The method of claim 1,
In the storing of the time synchronization information,
If the difference between the last update time 402 of the previously recorded time synchronization information and the last update time 402 of the newly collected time synchronization information is 10 minutes or less, the time synchronization information is continuously stored in one terminal device or PC. And determining that the information has occurred, and deleting the newly collected time synchronization information.
KR1020100088815A 2010-09-10 2010-09-10 A method for classifying plural terminals by using a network time synchronization information KR101131072B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100088815A KR101131072B1 (en) 2010-09-10 2010-09-10 A method for classifying plural terminals by using a network time synchronization information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100088815A KR101131072B1 (en) 2010-09-10 2010-09-10 A method for classifying plural terminals by using a network time synchronization information

Publications (2)

Publication Number Publication Date
KR20120026738A KR20120026738A (en) 2012-03-20
KR101131072B1 true KR101131072B1 (en) 2012-03-30

Family

ID=46132445

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100088815A KR101131072B1 (en) 2010-09-10 2010-09-10 A method for classifying plural terminals by using a network time synchronization information

Country Status (1)

Country Link
KR (1) KR101131072B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101661857B1 (en) * 2015-07-13 2016-09-30 주식회사 수산아이앤티 Method for counting the client using a shared IP
US9614861B2 (en) 2015-08-26 2017-04-04 Microsoft Technology Licensing, Llc Monitoring the life cycle of a computer network connection

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100588352B1 (en) 2004-12-28 2006-06-09 주식회사 케이티 System for monitoring ip sharer and method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100588352B1 (en) 2004-12-28 2006-06-09 주식회사 케이티 System for monitoring ip sharer and method thereof

Also Published As

Publication number Publication date
KR20120026738A (en) 2012-03-20

Similar Documents

Publication Publication Date Title
US10867034B2 (en) Method for detecting a cyber attack
US9860278B2 (en) Log analyzing device, information processing method, and program
Desmond et al. Identifying unique devices through wireless fingerprinting
US9836600B2 (en) Method and apparatus for detecting a multi-stage event
US8205259B2 (en) Adaptive behavioral intrusion detection systems and methods
KR102045468B1 (en) Apparatus for detection of anomalous connection behavior based on network data analytics and method using the same
CN106411934A (en) DoS(denial of service)/DDoS(distributed denial of service) attack detection method and device
US20140047543A1 (en) Apparatus and method for detecting http botnet based on densities of web transactions
CN105577679A (en) Method for detecting anomaly traffic based on feature selection and density peak clustering
KR101375813B1 (en) Active security sensing device and method for intrusion detection and audit of digital substation
CN103795709A (en) Network security detection method and system
Huang et al. Clock skew based client device identification in cloud environments
US20140250221A1 (en) Methods, Systems, and Computer Program Products for Detecting Communication Anomalies in a Network Based on Overlap Between Sets of Users Communicating with Entities in the Network
EP3584990A1 (en) Data processing method, device, and system
KR20160087187A (en) Cyber blackbox system and method thereof
CN114363062A (en) Domain name detection method, system, equipment and computer readable storage medium
CN112291213A (en) Abnormal flow analysis method and device based on intelligent terminal
CN111478925A (en) Port scanning detection method and system applied to industrial control environment
KR101131072B1 (en) A method for classifying plural terminals by using a network time synchronization information
CN118301617A (en) Pseudo AP attack detection and defense method based on fusion fingerprint characteristics
KR20170054215A (en) Method for connection fingerprint generation and traceback based on netflow
Cukier et al. A statistical analysis of attack data to separate attacks
Zhang et al. Mbst: detecting packet-level traffic anomalies by feature stability
CN113709097B (en) Network risk sensing method and defense method
CN110677472B (en) IOC intelligent extraction and sharing-based cooperative defense method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160119

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170309

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200311

Year of fee payment: 9