KR101187023B1 - 네트워크 비정상 트래픽 분석시스템 - Google Patents

네트워크 비정상 트래픽 분석시스템 Download PDF

Info

Publication number
KR101187023B1
KR101187023B1 KR1020120050204A KR20120050204A KR101187023B1 KR 101187023 B1 KR101187023 B1 KR 101187023B1 KR 1020120050204 A KR1020120050204 A KR 1020120050204A KR 20120050204 A KR20120050204 A KR 20120050204A KR 101187023 B1 KR101187023 B1 KR 101187023B1
Authority
KR
South Korea
Prior art keywords
traffic
risk
unit
network
abnormal
Prior art date
Application number
KR1020120050204A
Other languages
English (en)
Inventor
임형준
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020120050204A priority Critical patent/KR101187023B1/ko
Application granted granted Critical
Publication of KR101187023B1 publication Critical patent/KR101187023B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크에서 발생하는 비정상 트래픽을 분석하고 판단하는 시스템에 관한 것으로, 보다 상세하게는 네트워크에서 발생하는 트래픽의 판단 팩터로 트래픽의 BPS, 트래픽의 PPS, 세션 연결수, 세션 지속시간, 3-way OK, 서비스 응답시간, 웹로그 수 등의 페이로드를 포함하여 판단의 정확성과 신뢰성을 높일 수 있고, 네트워크에서 발생하는 트래픽 변동 유형의 반복 주기별 비정상 트래픽을 판단하는 기준이 되는 기준데이터를 능동적,지속적으로 신속하게 갱신하여 해당 네트워크에 최적화된 판단기준을 제공하여 네트워크 공격에 대한 판단의 정확성과 신뢰성을 높일 수 있으며, 각 네트워크 환경에서의 트래픽 판단 팩터별 가중치를 적용하여 산출한 네트워크를 구성하는 각 정보자산별 개별위험도 및 각 네트워크 환경에서의 정보자산별 가중치를 적용하여 산출한 네트워크 전체에 대한 종합위험도를 통해 현재 전체 네트워크 환경 상태를 보다 신속하고 정확하게 확인할 수 있게 함으로써 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 신속하고 정확하게 이루어질 수 있게 하는 네트워크 비정상 트래픽 분석시스템에 관한 것이다.

Description

네트워크 비정상 트래픽 분석시스템{A Network Abnormal traffic Analysis System}
본 발명은 네트워크에서 발생하는 비정상 트래픽을 분석하고 판단하는 시스템에 관한 것으로, 보다 상세하게는 네트워크에서 발생하는 트래픽의 판단 팩터로 트래픽의 BPS, 트래픽의 PPS, 세션 연결수, 세션 지속시간, 3-way OK, 서비스 응답시간, 웹로그 수 등의 페이로드를 포함하여 판단의 정확성과 신뢰성을 높일 수 있고, 네트워크에서 발생하는 트래픽 변동 유형의 반복 주기별 비정상 트래픽을 판단하는 기준이 되는 기준데이터를 능동적,지속적으로 신속하게 갱신하여 해당 네트워크에 최적화된 판단기준을 제공하여 네트워크 공격에 대한 판단의 정확성과 신뢰성을 높일 수 있으며, 각 네트워크 환경에서의 트래픽 판단 팩터별 가중치를 적용하여 산출한 네트워크를 구성하는 각 정보자산별 개별위험도 및 각 네트워크 환경에서의 정보자산별 가중치를 적용하여 산출한 네트워크 전체에 대한 종합위험도를 통해 현재 전체 네트워크 환경 상태를 보다 신속하고 정확하게 확인할 수 있게 함으로써 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 신속하고 정확하게 이루어질 수 있게 하는 네트워크 비정상 트래픽 분석시스템에 관한 것이다.
전통적으로 네트워크 운용관리는 트래픽의 변동을 모니터링하고 혼잡이 발생하지 않도록 엔지니어링 하는 방식으로 수행되어 왔다. 그러나 네트워크에 웜이나 바이러스 또는 DDoS 공격에 의해 대량의 비정상 트래픽이 발생하고 망 운용에 영향을 주기 시작하면서 네트워크의 보안 문제도 중요한 분야로 등장하였다. 기본적으로 네트워크의 운용관리는 장비나 링크 이용률의 변화를 기록하고 관리하는 기능을 기반으로 구현되었다. 따라서 기존의 네트워크 운용관리 시스템의 경우 IP 트래픽의 변화나 웜이나 바이러스와 같은 비정상 트래픽의 존재 여부를 파악하기 어려운 경우가 많았다.
일반적으로 망 관리 시스템은 라우터(router) 등과 같은 네트워크 장치에서 데이터의 트래픽 양을 주기적으로 감지하여, 바이러스 감염이나 해커 등의 공격으로부터 네트워크 장치를 보호하고, 감지된 트래픽 양에 따라 적정한 조치를 실시하여 사용자의 편리성을 향상시키는데 주안을 두고 있다.
이와 같이 트래픽 양을 감지하기 위해 통상적으로 망 관리 시스템은 해당 네트워크 장치에서 측정된 트래픽 양을 해당 네트워크 장비에 대한 평균 트래픽 양과 대비하여 측정된 양이 정상 상태인지를 평균 트래픽 양과 단순 대비하여 판별하는 방식으로 적용되고 있다.
그러나, 이와 같은 종래의 방식으로는 정상/비정상 트래픽인지에 대한 판단 팩터가 제한적이기 때문에 최근 급증하고 있는 다양한 변종의 공격유형(웜, DDoS 등)에 따라 다양하게 발생하는 트래픽 발생유형에 대한 적절하고 신속한 판단에 어려움이 있다.
또한, 판단의 기준이 되는 데이터를 능동적, 지속적으로 갱신할 수 없어 현재 네트워크에 최적화된 판단기준을 제공하는데 어려움이 있다.
특히, 단순히 평균적인 통계량 보다 많은 양이 발생하는 경우를 비정상인 상황이라고 분류하는 방식 또는 IP 주소 또는 포트 번호의 변화와 같은 단순한 방식을 사용하는 경우의 경우 탐지율이 떨어짐은 물론 추가적인 시간과 비용이 과도하게 발생하게 되는 문제도 안게 된다.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로,
본 발명의 목적은 네트워크에서 발생하는 비정상 트래픽에 대한 판단의 정확성과 신뢰성을 극대화한 네트워크 비정상 트래픽 분석시스템을 제공한다.
본 발명의 다른 목적은 네트워크에서 발생하는 트래픽의 판단 팩터로 트래픽의 BPS, 트래픽의 PPS, 세션 연결수, 세션 지속시간, 3-way OK, 서비스 응답시간, 웹로그 수 등의 페이로드를 포함하여, 판단의 정확성과 신뢰성을 높일 수 있게 한다.
본 발명의 또 다른 목적은 네트워크에서 발생하는 트래픽 변동 유형의 반복 주기별 비정상 트래픽을 판단하는 기준이 되는 기준데이터를 능동적,지속적으로 신속하게 갱신하여, 해당 네트워크에 최적화된 판단기준을 제공하여 네트워크 공격에 대한 판단의 정확성과 신뢰성을 높일 수 있게 한다.
본 발명의 또 다른 목적은 각 네트워크 환경에서의 트래픽 판단 팩터별 가중치를 적용하여 산출한 네트워크를 구성하는 각 정보자산별 개별위험도를 통해 네트워크를 구성하고 있는 각 정보자산들 중 현재 어느 정보자산에 대해 위험요인이 존재하는지를 구체적으로 확인할 수 있도록 하여 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 보다 구체적으로 이루어질 수 있게 한다.
본 발명의 또 다른 목적은 각 네트워크 환경에서의 정보자산별 가중치를 적용하여 산출한 네트워크 전체에 대한 종합위험도를 통해 현재 전체 네트워크 환경 상태를 보다 신속하고 정확하게 확인할 수 있게 함으로써 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 신속하고 정확하게 이루어질 수 있게 한다.
상술한 본 발명의 목적을 달성하기 위한 네트워크 비정상 트래픽 분석시스템은 다음과 같은 구성을 포함한다.
본 발명의 일 실시예에 따른 네트워크 비정상 트래픽 분석시스템은 네트워크를 구성하는 각 정보자산에 대해 트래픽 판단 팩터별로 트래픽 유형이 반복되는 주기별 네트워크상에서 발생된 트래픽 데이터를 일정 시간 단위로 수집하는 트래픽 수집부; 트래픽 유형이 반복되는 주기별 각 판단 팩터의 트래픽 변동 유형을 토대로 다음 반복 주기의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하는 트래픽 분석부; 상기 트래픽 수집부에서 일정 시간 단위로 수집한 트래픽 데이터를 토대로 네트워크에서 발생한 비정상 트래픽 의심구간을 탐지하는 이상징후 탐지부; 상기 이상징후 탐지부에서 탐지한 비정상 트래픽 의심구간에 대해 동일 시점에서의 상기 기준데이터와 수집된 트래픽 데이터를 비교하여 비정상 트래픽 여부를 판단하는 비정상트래픽 판단부;를 포함하는 것을 특징으로 한다.
본 발명의 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 트래픽 판단 팩터는 트래픽의 BPS, 트래픽의 PPS, 세션 연결수, 세션 지속시간, 3-way OK, 서비스 응답시간, 웹로그 수로 이루어진 군 중에서 하나 이상을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 트래픽 분석부는 상기 트래픽 수집부에서 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터에서 잡음성분을 제거하여 트래픽 변동 유형을 추출하는 트래픽변동유형 추출부와, 상기 트래픽변동유형 추출부에서 추출한 트래픽 변동 유형을 토대로 다음 반복 주기의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하는 기준데이터 산출부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 트래픽변동유형 추출부는 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터를 파형을 가지는 웨이블렛 형태로 변화시키는 데이터변환부와, 상기 데이터변환부를 통해 웨이블렛 형태로 변환된 데이터에서 짧은 시간에 급등한 잡음성분을 제거하는 잡음성분제거부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 기준데이터 산출부는 상기 트래픽변동유형 추출부에서 추출한 트래픽 변동유형에서의 기준데이터를 산출하는 시점의 트래픽 데이터와 3주전부터의 트래픽 변동유형에서 각각 동일 시점에서 추출한 트래픽 데이터들 중에서 최고값과 최저값을 제외한 후 나머지 두 값에 하기의 수학식 1에 따라 가중치를 적용한 평균값으로 기준데이터를 산출하는 것을 특징으로 한다.
(수학식 1)
Yt = a * Xt + (1-a) * Xt'
이때, Yt는 기준데이터, Xt는 기준데이터 산출시점에 가까운 시점의 트래픽 값(이때 트래픽 값은 실제 트래픽 측정값이 아닌 트래픽변동유형 추출부에서 추출된 값을 의미함), Xt'는 기준데이터 산출시점에 먼 시점의 트래픽 값(이때 트래픽 값은 실제 트래픽 측정값이 아닌 트래픽변동유형 추출부에서 추출된 값을 의미함), a는 가중치 값(1≥a>(1-a))임
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 이상징후 탐지부는 상기 트래픽 수집부에서 일정 시간 단위로 수집한 트래픽 데이터의 차를 하기의 수학식 2에 따라 누적하여 누적값을 산출하는 누적값산출부와, 상기 누적값산출부에서 산출된 누적값이 양수인 경우 그 값을 기 설정된 정상트래픽 허용임계치와 비교하여 누적값이 정상트래픽 허용임계치를 초과하는 비정상 트래픽 의심구간을 탐지하는 비교분석부를 포함하는 것을 특징으로 한다.
(수학식 2)
Zt = ∑(Xt - X(t-1))
이때, Zt는 시간에 따른 누적값, Xt는 t시점의 실제 트래픽 측정값, X(t-1)은 t바로 이전의 실제 트래픽 측정값임
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 비정상트래픽 판단부는 네트워크를 구성하는 각각의 정보자산에 대해 트래픽 판단 팩터별로 위험도를 산출하는 판단팩터별위험도산출부와, 상기 판단 팩터별 위험도에 가중치를 적용한 평균값을 산출하여 네트워크를 구성하는 각 정보자산별 개별위험도를 산출하는 개별위험도산출부와, 상기 개별위험도에 가중치를 적용한 평균값을 산출하여 네트워크 전체에 대한 종합위험도를 산출하는 종합위험도산출부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 판단팩터별위험도산출부는 비정상 트래픽 의심구간 내 측정된 실제 트래픽 데이터와 그와 동일 시점의 기준데이터를 대비하여 아래 수학식 3에 따라 측정된 트래픽이 기준데이터 대비 증가한 증가율을 산출하는 증가율산출부와, 비정상 트래픽 의심구간의 지속시간을 계산하는 지속시간산출부와, 상기 증가율산출부에서의 증가율과 상기 지속시간산출부에서의 지속시간을 기 설정된 판단팩터별 위험도산출 테이블에 적용하여 판단 팩터별 위험도를 산출하는 위험도테이블산출부를 포함하는 것을 특징으로 한다.
(수학식 3)
Bt = (Xt - Yt)/Yt * 100
이때, Bt는 기준데이터 대비 증가율, Xt는 t시점의 실제 트래픽 측정값, Yt는 t시점의 기준데이터임
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 개별위험도산출부는 네트워크를 구성하는 각 정보자산에 대한 판단 팩터별 산출된 위험도에 아래 수학식 4에 따라 가중치를 적용한 평균값을 산출하여 네트워크를 구성하는 각 정보자산별 개별위험도를 산출하는 것을 특징으로 한다.
(수학식 4)
B = {(A1 * b1) + (A2 * b2) + ... + (An * bn)}/n * 100
이때, B는 정보자산별 개별위험도, A1 ~ An은 판단 팩터별 위험도, b1 ~ bn 은 각 판단 팩터가 차지하는 중요도에 따른 가중치임
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 네트워크 비정상 트래픽 분석시스템에 있어서 상기 종합위험도산출부는 각 정보자산별 개별위험도 중 위험도임계치를 초과하는 개별위험도를 갖는 정보자산의 수를 계산하는 수량산출부와, 개별위험도가 위험도임계치를 초과하는 각 정보자산에 가중치를 적용하고 아울러 상기 수량산출부에서 계산된 위험도임계치를 초과하는 개별위험도를 갖는 정보자산의 수에 따른 가중치를 적용하여 아래 수학식 5에 따라 네트워크 전체에 대한 종합위험도를 산출하는 최종산출부를 포함하는 것을 특징으로 한다.
(수학식 5)
T = {(B1 * c1) + (B2 * c2) + ... + (Bn * cn)}/n * d * 100 (단, Bn > L)
이때, T는 네트워크 전체에 대한 종합위험도, B1 ~ Bn은 위험도임계치를 초과한 각 정보자산의 개별위험도, c1 ~ cn 은 각 정보자산이 차지하는 중요도에 따른 가중치, d는 위험도임계치를 초과한 정보자산의 수에 따른 가중치, L은 위험도임계치임
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은 네트워크에서 발생하는 비정상 트래픽에 대한 판단의 정확성과 신뢰성을 극대화하는 효과를 갖는다.
본 발명은 네트워크에서 발생하는 트래픽의 판단 팩터로 트래픽의 BPS, 트래픽의 PPS, 세션 연결수, 세션 지속시간, 3-way OK, 서비스 응답시간, 웹로그 수 등의 페이로드를 포함하여, 판단의 정확성과 신뢰성을 높일 수 있는 효과를 갖는다.
본 발명은 네트워크에서 발생하는 트래픽 변동 유형의 반복 주기별 비정상 트래픽을 판단하는 기준이 되는 기준데이터를 능동적,지속적으로 신속하게 갱신하여, 해당 네트워크에 최적화된 판단기준을 제공하여 네트워크 공격에 대한 판단의 정확성과 신뢰성을 높일 수 있는 효과를 갖는다.
본 발명은 각 네트워크 환경에서의 트래픽 판단 팩터별 가중치를 적용하여 산출한 네트워크를 구성하는 각 정보자산별 개별위험도를 통해 네트워크를 구성하고 있는 각 정보자산들 중 현재 어느 정보자산에 대해 위험요인이 존재하는지를 구체적으로 확인할 수 있도록 하여 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 보다 구체적으로 이루어질 수 있게 하는 효과를 갖는다.
본 발명은 각 네트워크 환경에서의 정보자산별 가중치를 적용하여 산출한 네트워크 전체에 대한 종합위험도를 통해 현재 전체 네트워크 환경 상태를 보다 신속하고 정확하게 확인할 수 있게 함으로써 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 신속하고 정확하게 이루어질 수 있게 하는 효과를 갖는다.
도 1은 본 발명의 일 실시예에 따른 네트워크 비정상 트래픽 분석시스템의 구성을 도시한 블럭도
도 2는 본 발명의 일 실시예에 따른 네트워크 비정상 트래픽 분석시스템의 분석과정을 도시한 흐름도
도 3은 데이터변환부를 통해 트래픽 데이터가 파형을 가지는 웨이블렛 형태로 변형된 예를 도시한 참고도
도 4는 기준데이터 산출부를 통해 기준데이터가 산출된 예를 도시한 그래프
도 5는 이상징후 탐지부를 통해 비정상 트래픽 의심구간이 탐지되는 예를 도시한 그래프
이하에서는 본 발명에 따른 네트워크 비정상 트래픽 분석시스템의 바람직한 실시예들을 첨부된 도면을 참조하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 또한 명세서에 기재된 "...부" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1 내지 5를 참조하면, 본 발명의 일 실시예에 따른 네트워크 비정상 트래픽 분석시스템은 네트워크를 구성하는 각 정보자산(이는 네트워크를 이루는 요소들을 의미하며 각 IP별로 분류될 수 있다)에 대해 트래픽 판단 팩터(factor)별로 트래픽 유형이 반복되는 주기별 네트워크상에서 발생된 트래픽 데이터를 일정 시간 단위로 수집하는 트래픽 수집부(10); 트래픽 유형이 반복되는 주기별 각 판단 팩터의 트래픽 변동 유형을 토대로 다음 반복 주기의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하는 트래픽 분석부(20); 상기 트래픽 수집부(10)에서 일정 시간 단위로 수집한 트래픽 데이터를 토대로 네트워크에서 발생한 비정상 트래픽 의심구간을 탐지하는 이상징후 탐지부(30); 상기 이상징후 탐지부(30)에서 탐지한 비정상 트래픽 의심구간에 대해 동일 시점에서의 상기 기준데이터와 수집된 트래픽 데이터를 비교하여 비정상 트래픽 여부를 판단하는 비정상트래픽 판단부(40);를 포함할 수 있다.
상기 트래픽 수집부(10)는 네트워크를 구성하는 각 정보자산(각 IP별)에 대해 트래픽 판단 팩터별로 트래픽 유형이 반복되는 주기별 네트워크상에서 발생된 트래픽 데이터를 일정 시간 단위로 수집하는 구성으로, 이때 상기 트래픽 수집부(10)가 분류하는 트래픽 판단 팩터로는 L7수준의 로데이터(Raw Data, 통상 페이로드(Payload)라고 하는 실질적인 내용을 포함하는 데이터)에서 트래픽의 BPS(Bit Per Second: 초당 전송하는 비트수), 트래픽의 PPS(Packet Per Second; 초당 전송하는 패킷수), 세션 연결수, 세션 지속시간, 3-way OK, 서비스 응답시간, 웹로그 수로 이루어진 군 중에서 하나 이상을 포함하는데, 바람직하게는 7가지의 판단 팩터 전체를 대상으로 트래픽 데이터를 수집하는 것이 분석의 정확성을 높일 수 있게 된다. 상기 트래픽 수집부(10)는 각 정보자산에 대해 트래픽 판단 팩터별로 트래픽 유형이 반복되는 주기별로 수집하게 되는데, 특히 본 발명에서는 네트워크에서 발생하는 트래픽이 월요일부터 일요일까지의 1주 내에서 각 요일별로 특정한 패턴을 반복하는 경향에 주목하여 트래픽 유형이 반복되는 주기를 '1주 기간 내에서의 각 요일별(월,화,수,목,금,토,일)'로 설정하여 해당 반복 주기별로 네트워크상에서 발생하는 트래픽 데이터를 일정 시간 단위(1분 단위)로 수집하여 위 데이터를 후술할 트래픽 분석부(20), 이상징후 탐지부(30), 비정상트래픽 판단부(40) 등에 전송하게 된다.
상기 트래픽 분석부(20)는 트래픽 유형이 반복되는 주기별 각 판단 팩터의 트래픽 변동 유형(이하에서, 트래픽 변동 유형이란 트래픽 수집부(10)를 통해 수집한 네트워크 트래픽 데이터에서 잡음성분이 제거된 의미 있는 신호성분을 말함)에서 다음 반복 기간의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하는 구성으로, 이를 위해 보다 구체적으로 상기 트래픽 분석부(20)는 상기 트래픽 수집부(10)에서 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터에서 잡음성분을 제거하여 트래픽 변동 유형을 추출하는 트래픽변동유형 추출부(210)와, 상기 트래픽변동유형 추출부(210)에서 추출한 트래픽 변동 유형을 토대로 다음 반복 주기의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하는 기준데이터 산출부(220)를 포함할 수 있다.
상기 트래픽변동유형 추출부(210)는 상기 트래픽 수집부(10)에서 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터에서 잡음성분을 제거하여 트래픽 변동 유형을 추출하게 되는데, 이를 위해 구체적으로 상기 트래픽변동유형 추출부(210)는 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터를 파형을 가지는 웨이블렛 형태로 변화시키는 데이터변환부(211)와, 상기 데이터변환부(211)를 통해 웨이블렛 형태로 변환된 데이터에서 짧은 시간에 급등한 잡음성분을 제거하는 잡음성분제거부(212)를 포함할 수 있다.
상기 데이터변환부(211)는 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터(Raw Data)를 파형을 가지는 웨이블렛 형태로 변화시키는 부분으로, 도 3에 도시된 바와 같이 상기 데이터변환부(211)는 상기 트래픽 수집부(10)를 통해 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집되어 전송된 각 정보자산의 트래픽 데이터에서 잡음성분을 용이하게 파악하여 제거할 수 있도록 하기 위해, 위 수집되어 전송된 각 정보자산의 트래픽 데이터를 파형을 가지는 그래프와 같은 웨이블렛(wavelet) 형태의 신호성분으로 변환(도 3 참조)하게 된다.
상기 잡음성분제거부(212)는 상기 데이터변환부(211)를 통해 웨이블렛(wavelet) 형태로 변환된 데이터에서 짧은 시간에 급등한 잡음성분을 제거하는 부분으로, 도 3에 도시된 바와 같이 상기 데이터변환부(211)를 통해 각 정보자산의 트래픽 데이터가 파형을 가지는 그래프와 같은 웨이블렛(wavelet) 형태의 신호성분으로 변환되게 되면, 상기 잡음성분제거부(212)는 웨이블렛(wavelet) 형태의 신호성분으로 변환된 그래프에서 짧은 시간에 급등한 성분 즉, 그래프의 기울기가 급격하게 변하는 부분을 분석에 불필요한 잡음성분으로 파악하여 이를 노이즈로 제거한다. 이와 같이 상기 잡음성분제거부(212)를 통해 잡음성분을 제거하면, 수집된 각 정보자산의 트래픽 데이터(Raw Data)로부터 분석에 불필요한 잡음성분이 제거되어 의미 있는 신호성분만을 포함하는 트래픽 변동 유형이 추출되게 된다.
상기 기준데이터 산출부(220)는 상기 트래픽변동유형 추출부(210)에서 추출한 트래픽 변동 유형을 토대로 다음 반복 주기의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하게 되는데, 도 4를 참조하여 보다 구체적으로 설명하면, 상기 기준데이터 산출부(220)는 상기 트래픽변동유형 추출부(210)에서 추출한 트래픽 변동 유형에서의 기준데이터(Yt)를 산출하는 시점(도 4에서는 이를 '현재'시점으로 표현하고 있음)의 트래픽 데이터와 3주전 부터의 트래픽 변동유형에서 각각 동일 시점에서 추출한 트래픽 데이터들(즉, 현재시점이 월요일 오전 0시 1분이라면, 1주 전 월요일 오전 0시 1분과, 2주 전 월요일 오전 0시 1분과, 3주 전 월요일 오전 0시 1분에 발생한 트래픽 데이터들) 중에서 최고값과 최저값을 제외(즉, 통계의 정확성을 위해 가장 최고값과 가장 최저값을 제외함)한 후, 나머지 두 값(일 예로, 도 4에서는 2주 전 데이터가 최고값으로, 1주 전 데이터가 최저값으로 각각 제외되고 남은 현재 시점의 데이터와 3주 전 데이터가 대상이 되었음)에 하기의 [수학식 1]에 따라 가중치를 적용한 평균값으로 기준데이터(Yt)를 산출하게 된다(이때, [수학식 1]에 적용되는 가중치는 기준데이터를 산출하는데 있어 예측하는 현재 시점에 가까운 데이터일수록 중요도가 높아진다는 가정을 바탕으로 설정한다). [수학식 1]
Yt = a * Xt + (1-a) * Xt'
위 [수학식 1]에서 Xt는 기준데이터 산출시점에 가까운 시점의 트래픽 값(이때 트래픽 값은 실제 트래픽 측정값이 아닌 트래픽변동유형 추출부에서 추출된 값을 의미함)(즉, 도 4에서는 현재 시점의 트래픽 값이 됨)이고, Xt'는 기준데이터 산출시점에 먼 시점의 트래픽 값(이때 트래픽 값은 실제 트래픽 측정값이 아닌 트래픽변동유형 추출부에서 추출된 값을 의미함)(즉, 도 4에서는 3주 전 트래픽 값이 됨)이 된다. 이때, 상기 가중치 값(a, 단 1≥a>(1-a))은 네트워크 운영자 등에 의해 기 설정된 상수값으로, 기준데이터(Yt)를 산출하는 시점에 가까울수록 높고 기준데이터를 산출하는 시점에서 과거로 갈수록 낮아지도록 설정하여 최근의 측정값에 대한 비중이 높아지도록 설정하는 것이 바람직하며, 가중치(a)의 최대값은 1 이하로 설정하게 된다. 이와 같이 본 발명에서는 상기 기준데이터 산출부(220)를 통해 네트워크에서 발생하는 트래픽 변동 유형의 반복 주기별 비정상 트래픽을 판단하는 기준이 되는 기준데이터를 능동적,지속적으로 신속하게 갱신하여 해당 네트워크에 최적화된 판단기준을 제공할 수 있게 되어 네트워크 공격에 대한 판단의 정확성과 신뢰성을 높일 수 있게 된다.
상기 이상징후 탐지부(30)는 상기 트래픽 수집부(10)에서 일정 시간 단위로 수집한 트래픽 데이터를 토대로 네트워크에서 발생한 비정상 트래픽 의심구간을 탐지하는 구성으로, 이를 위해 보다 구체적으로 상기 이상징후 탐지부(30)는 상기 트래픽 수집부(10)에서 일정 시간 단위로 수집한 트래픽 데이터의 차를 하기의 [수학식 2]에 따라 누적하여 누적값을 산출하는 누적값산출부(310)와, 상기 누적값산출부(310)에서 산출된 누적값이 양수(+)인 경우 그 값을 기 설정된 정상트래픽 허용임계치와 비교하여 누적값이 정상트래픽 허용임계치를 초과하는 비정상 트래픽 의심구간을 탐지하는 비교분석부(320)를 포함할 수 있다.
상기 누적값산출부(310)는 상기 트래픽 수집부(10)에서 일정 시간 단위로 수집한 트래픽 데이터의 차를 하기의 [수학식 2]에 따라 누적하여 누적값을 산출하는 부분으로, 도 5를 참조하여 구체적으로 설명하면 상기 누적값산출부(310)는 상기 트래픽 수집부(10)에서 일정 시간 단위로 수집되어 전송된 트래픽 데이터(이때 트래픽 데이터는 잡음성분이 제거되기 전의 Raw Data 를 의미함)에서 하기의 [수학식 2]에 따라 각 데이터의 차를 누적하여 누적값(Zt)을 산출하게 된다.
[수학식 2]
Zt = ∑(Xt - X(t-1))
위 [수학식 2]에서 Xt는 t시점의 실제 트래픽 측정값, X(t-1)은 t바로 이전 시점의 트래픽값을 나타낸다. 도 5의 그래프를 보면, Xt는 0시 1분의 트래픽값이고 X(t-1)은 그 바로 이전 시점인 0시 0분의 트래픽값이 되므로 0시 1분의 누적값(Zt)은 0시 1분의 Xt에서 0시 0분의 X(t-1)을 뺀 차가 되어 도 5의 그래프에 표시되게 된다. 이와 같은 산출과정을 계속하게 되면 도 5의 그래프와 같이 시간별로 수집되는 트래픽 데이터에 따라 위 [수학식 2]에 의해 누적값(Zt)이 산출되어 그래프에 표시되게 된다.
상기 비교분석부(320)는 상기 누적값산출부(310)에서 산출된 누적값(Zt)이 양수(+, 즉 발생하는 트래픽 데이터가 증가하는 구간)인 경우 그 값을 기 설정된 정상트래픽 허용임계치(p)와 비교하여 누적값(Zt)이 정상트래픽 허용임계치(p)를 초과하는 비정상 트래픽 의심구간을 탐지하는 부분으로, 도 5를 참조하여 구체적으로 설명하면 상기 비교분석부(320)는 도 5의 그래프에 표시된 누적값(Zt)이 양수인 상승구간 중에서 누적값(Zt)을 기 설정된 정상트래픽 허용임계치(p)와 비교하여 정상트래픽 허용임계치(p)를 초과하는 구간을 비정상 트래픽 의심구간으로 탐지하게 된다. 여기서 기 설정된 정상트래픽 허용임계치(p)는 네트워크 운영자 등에 의해 기 설정된 상수값으로, 정상범주의 트래픽 상승으로 인정될 수 있을 정도의 상승정도를 의미하며 과거의 통계 등을 토대로 설정될 수 있다.
상기 비정상트래픽 판단부(40)는 상기 이상징후 탐지부(30)에서 탐지한 비정상 트래픽 의심구간에 대해 동일 시점에서의 상기 기준데이터와 수집된 실제 트래픽 데이터를 비교하여 비정상 트래픽 여부를 판단하는 구성으로, 이를 위해 보다 구체적으로 상기 비정상트래픽 판단부(40)는 트래픽 판단 팩터별로 위험도를 산출하는 판단팩터별위험도산출부(410)와, 상기 판단 팩터별 위험도에 가중치를 적용한 평균값을 산출하여 네트워크를 구성하는 각 정보자산별 개별위험도를 산출하는 개별위험도산출부(420)와, 상기 개별위험도에 가중치를 적용한 평균값을 산출하여 네트워크 전체에 대한 종합위험도를 산출하는 종합위험도산출부(430)를 포함할 수 있다. 이때, 각 위험도를 산출하는 시간단위는 트래픽 데이터를 수집하는 일정 시간단위(즉, 1분 단위)로 하여, 비정상 트래픽 판단의 실시간성을 보장하고 추적이 가능하도록 함이 바람직하다.
상기 판단팩터별위험도산출부(410)는 네트워크를 구성하는 각 정보자산에 대해 트래픽 판단 팩터별로 각 판단 팩터별 위험도를 산출하는 구성으로, 이를 위해 보다 구체적으로 상기 판단팩터별위험도산출부(410)는 비정상 트래픽 의심구간 내 측정된 실제 트래픽 데이터와 그와 동일 시점의 기준데이터를 대비하여 아래 [수학식 3]에 따라 발생된 트래픽이 기준데이터 대비 증가한 증가율을 산출하는 증가율산출부(411)와, 비정상 트래픽 의심구간의 지속시간을 계산하는 지속시간산출부(412)와, 상기 증가율산출부(411)에서의 증가율과 상기 지속시간산출부(412)에서의 지속시간을 기 설정된 판단팩터별 위험도산출 테이블에 적용하여 판단 팩터별 위험도를 산출하는 위험도테이블산출부(413)를 포함할 수 있다.
상기 증가율산출부(411)는 비정상 트래픽 의심구간 내 측정된 실제 트래픽 데이터(Xt)와 그와 동일 시점의 기준데이터(Yt)를 대비하여 아래 [수학식 3]에 따라 발생된 트래픽(Xt)이 기준데이터(Yt) 대비 증가한 증가율(Bt)을 산출하는 부분으로, 일정 기준이 되는 시점(t)에서 발생된 트래픽 데이터(Xt)가 그와 동일한 시점(t)의 기준데이터(Yt, 이는 상기 트래픽 분석부(20)에 의해 산출된 값)보다 증가한 경우 아래 [수학식 3]에 따라 그 증가율(Bt)을 산출하게 된다.
[수학식 3]
Bt = (Xt - Yt)/Yt * 100
(이때, Bt는 기준데이터 대비 증가율, Xt는 t시점의 실제 트래픽 측정값, Yt는 t시점의 기준데이터임)
상기 지속시간산출부(412)는 비정상 트래픽 의심구간의 지속시간(T)을 계산하는 부분으로, 여기서 지속시간(T)이란 비정상 트래픽이 발생했다고 의심되는 의심구간의 시작점으로부터의 경과한 시간을 말하며, 도 5를 참조하면 비정상 트래픽 의심구간의 시작점인 0시 3분부터 비정상 트래픽 의심구간의 종료시점인 0시 6분까지의 경과한 시간(3분)을 비정상 트래픽 의심구간의 지속시간(T)으로 계산하게 된다.
상기 위험도테이블산출부(413)는 상기 증가율산출부(411)에서의 증가율(Bt)과 상기 지속시간산출부(412)에서의 지속시간(T)을 기 설정된 판단팩터별 위험도산출 테이블(아래 [표 1] 참조)에 적용하여 각 판단 팩터별 위험도를 산출하는 부분으로, 아래 [표 1]에 도시된 판단팩터별 위험도산출 테이블은 네트워크 운영자 등에 의해 각 네트워크의 환경에 알맞게 각 판단 팩터별로 기준데이터 대비 증가율(Bt) 및 지속시간(T)에 따른 위험도 값을 과거 통계자료 등을 근거로 미리 설정해 놓은 위험도 산출 필터이다. 아래 [표 1]과 도 5를 참조하여 상기 위험도테이블산출부(413)에서의 각 판단 팩터별 위험도를 산출하는 과정을 설명하면, 먼저, 상기 증가율산출부(411)를 통해 산출된 기준데이터(Yt) 대비 발생된 트래픽 데이터(Xt)의 증가율(Bt)이 30%이고, 상기 지속시간산출부(412)를 통해 계산된 비정상 트래픽 의심구간의 지속시간(T)이 3분이었다면, 상기 증가율산출부(411)는 아래 [표 1]의 판단팩터별 위험도산출 테이블에서 세로방향의 증가율(Bt) 30%의 줄과 가로방향의 지속시간(T) 3분의 칸이 만나는 부분의 위험도(A)를 찾아 이를 해당 판단 팩터의 위험도로 산출하게 된다.
[표 1]
Figure 112012037793994-pat00001
상기 개별위험도산출부(420)는 각 네트워크를 구성하는 정보자산에 대해 상기 판단팩터별위험도산출부(410)를 통해 산출된 트래픽 판단 팩터별 위험도에 가중치를 적용한 평균값을 산출하여 네트워크를 구성하는 각 정보자산별 개별위험도를 산출하는 부분으로, 구체적으로 상기 판단팩터별위험도산출부(410)를 통해 네트워크를 구성하는 각 정보자산에 대한 판단 팩터별 산출된 위험도에 아래 [수학식 4]에 따라 가중치(b1 ~ bn)를 적용한 평균값을 산출하여 네트워크를 구성하는 각 정보자산별 개별위험도(B)를 산출하게 된다. 이때, 상기 가중치(b1 ~ bn)는 네트워크 운영자 등에 의해 기 설정된 상수값으로, 각 네트워크 환경에서 각 판단 팩터가 차지하는 중요도 등을 감안하여 설정되며 과거의 통계데이터 등을 참고하여 설정될 수 있다. 이와 같이 상기 개별위험도산출부(420)를 통해 산출된 네트워크를 구성하는 각 정보자산별 개별위험도는 네트워크를 구성하고 있는 각 정보자산들 중 현재 어느 정보자산에 대해 위험요인이 존재하는지를 구체적으로 확인할 수 있게 하여 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 보다 구체적으로 이루어질 수 있게 한다.
[수학식 4]
B = {(A1 * b1) + (A2 * b2) + ... + (An * bn)}/n * 100
(이때, B는 정보자산별 개별위험도, A1 ~ An은 판단 팩터별 위험도, b1 ~ bn 은 각 판단 팩터가 차지하는 중요도에 따른 가중치임)
상기 종합위험도산출부(430)는 상기 개별위험도산출부(420)를 통해 산출된 각 정보자산별 개별위험도에 가중치를 적용한 평균값을 산출하여 네트워크 전체에 대한 종합위험도를 산출하는 구성으로, 이를 위해 보다 구체적으로 상기 종합위험도산출부(430)는 각 정보자산별 개별위험도 중 위험도임계치(L)를 초과하는 개별위험도(B1 ~ Bn)를 갖는 정보자산의 수를 계산하는 수량산출부(431)와, 개별위험도가 위험도임계치(L)를 초과하는 각 정보자산에 가중치(c1 ~ cn)를 적용하고 아울러 상기 수량산출부(431)에서 계산된 위험도임계치(L)를 초과하는 개별위험도(B1 ~ Bn)를 갖는 정보자산의 수에 따른 가중치(d)를 적용하여 아래 [수학식 5]에 따라 네트워크 전체에 대한 종합위험도(T)를 산출하는 최종산출부(432)를 포함할 수 있다.
상기 수량산출부(431)는 각 정보자산별 개별위험도 중 위험도임계치(L)를 초과하는 개별위험도(B1 ~ Bn)를 갖는 정보자산의 수를 계산하는 부분으로, 이때 상기 위험도임계치(L)는 네트워크 운영자 등에 의해 기 설정된 상수값으로, 산출된 각 정보자산별 개별위험도들 중에서 정상범주에 포함되는 것으로 판단할 수 있는 기준이 되는 허용값(최대값)을 의미하며 과거의 통계데이터 등을 참고하여 설정될 수 있다.
상기 최종산출부(432)는 개별위험도가 위험도임계치(L)를 초과하는 각 정보자산에 가중치(c1 ~ cn)를 적용하고, 아울러 상기 수량산출부(431)에서 계산된 위험도임계치(L)를 초과하는 개별위험도(B1 ~ Bn)를 갖는 정보자산의 수에 따른 가중치(d)를 적용하여, 아래 [수학식 5]에 따라 네트워크 전체에 대한 종합위험도(T)를 산출하는 부분으로, 구체적으로 설명하면 먼저, 상기 최종산출부(432)는 각 정보자산별 개별위험도 중 위험도임계치(L)를 초과하는 개별위험도(B1 ~ Bn)를 갖는 것으로 판단된 정보자산에 가중치(c1 ~ cn)를 적용하게 되는데, 상기 가중치(c1 ~ cn)는 네트워크 운영자 등에 의해 각 네트워크 환경에 알맞게 기 설정된 상수값으로 각각의 정보자산들이 네트워크 환경에서 차지하는 중요도를 반영하여 설정되며 과거의 통계데이터 등을 참고하여 설정될 수 있다. 또한, 상기 최종산출부(432)는 상기 수량산출부(431)에서 계산된 위험도임계치(L)를 초과하는 개별위험도(B1 ~ Bn)를 갖는 정보자산의 수에 따른 가중치(d) 역시 적용하게 되는데, 상기 가중치(d)는 네트워크 운영자 등에 의해 각 네트워크 환경에 알맞게 기 설정된 상수값으로 위험도임계치(L)를 초과하는 정보자산의 수에 따라 증가되는 위험도를 반영하며 과거의 통계데이터 등을 참고하여 설정될 수 있다.
[수학식 5]
T = {(B1 * c1) + (B2 * c2) + ... + (Bn * cn)}/n * d * 100 (단, Bn > L)
(이때, T는 네트워크 전체에 대한 종합위험도, B1 ~ Bn은 위험도임계치를 초과한 각 정보자산의 개별위험도, c1 ~ cn 은 각 정보자산이 차지하는 중요도에 따른 가중치, d는 위험도임계치를 초과한 정보자산의 수에 따른 가중치, L은 위험도임계치임)
이와 같이 상기 종합위험도산출부(430)를 통해 산출된 네트워크 전체에 대한 종합위험도는 네트워크를 구성하고 있는 각 정보자산들이 네트워크 환경에서 차지하는 중요도를 반영함은 물론 위험도임계치를 초과하는 정보자산들의 수에 따라 증가되는 위험도까지 반영함으로써, 현재 전체 네트워크 환경 상태를 보다 신속하고 정확하게 확인할 수 있게 함으로써 네트워크의 비정상 트래픽에 대한 판단 및 그에 대한 조치가 신속하고 정확하게 이루어질 수 있게 한다.
이상에서, 출원인은 본 발명의 바람직한 실시예들을 설명하였지만, 이와 같은 실시예들은 본 발명의 기술적 사상을 구현하는 일 실시예일 뿐이며 본 발명의 기술적 사상을 구현하는 한 어떠한 변경예 또는 수정예도 본 발명의 범위에 속하는 것으로 해석되어야 한다.
10: 트래픽 수집부
20: 트래픽 분석부 210: 트래픽변동유형 추출부
211: 데이터변환부 212: 잡음성분제거부
220: 기준데이터 산출부
30: 이상징후 탐지부 310: 누적값산출부
320: 비교분석부
40: 비정상트래픽 판단부 410: 판단팩터별위험도산출부
411: 증가율산출부 412: 지속시간산출부
413: 위험도테이블산출부 420: 개별위험도산출부
430: 종합위험도산출부 431: 수량산출부
432: 최종산출부

Claims (10)

  1. 네트워크를 구성하는 각 정보자산에 대해 트래픽 판단 팩터별로 트래픽 유형이 반복되는 주기별 네트워크상에서 발생된 트래픽 데이터를 일정 시간 단위로 수집하는 트래픽 수집부;
    트래픽 유형이 반복되는 주기별 각 판단 팩터의 트래픽 변동 유형을 토대로 다음 반복 기간의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하는 트래픽 분석부;
    상기 트래픽 수집부에서 일정 시간 단위로 수집한 트래픽 데이터를 토대로 네트워크에서 발생한 비정상 트래픽 의심구간을 탐지하는 이상징후 탐지부;
    상기 이상징후 탐지부에서 탐지한 비정상 트래픽 의심구간에 대해 동일 시점에서의 상기 기준데이터와 수집된 실제 트래픽 데이터를 비교하여 비정상 트래픽 여부를 판단하는 비정상트래픽 판단부;를 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
  2. 제 1 항에 있어서,
    상기 트래픽 판단 팩터는 트래픽의 BPS, 트래픽의 PPS, 세션 연결수, 세션 지속시간, 3-way OK, 서비스 응답시간, 웹로그 수로 이루어진 군 중에서 하나 이상을 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
  3. 제 1 항에 있어서,
    상기 트래픽 분석부는 상기 트래픽 수집부에서 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터에서 잡음성분을 제거하여 트래픽 변동 유형을 추출하는 트래픽변동유형 추출부와, 상기 트래픽변동유형 추출부에서 추출한 트래픽 변동 유형을 토대로 다음 반복 기간의 동일 시점에 발생할 수 있는 정상 트래픽의 기준데이터를 산출하는 기준데이터 산출부를 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
  4. 제 3 항에 있어서,
    상기 트래픽변동유형 추출부는 트래픽 유형이 반복되는 주기별 각 판단 팩터에 대해 수집한 트래픽 데이터를 웨이블렛 변환시키는 데이터변환부와, 상기 데이터변환부를 통해 웨이블렛 변환된 데이터의 그래프 파형에서 기울기가 급등한 잡음성분을 제거하는 잡음성분제거부를 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
  5. 제 3 항에 있어서,
    상기 기준데이터 산출부는 상기 트래픽변동유형 추출부에서 추출한 트래픽 변동 유형에서의 기준데이터를 산출하는 시점의 트래픽 데이터와 3주전부터의 트래픽 변동 유형에서 각각 동일 시점에서 추출한 트래픽 데이터들 중에서 최고값과 최저값을 제외한 후 나머지 두 값에 하기의 수학식 1에 따라 가중치를 적용한 평균값으로 기준데이터를 산출하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
    (수학식 1)
    Yt = a * Xt + (1-a) * Xt'
    이때, Yt는 기준데이터, Xt는 기준데이터 산출시점에 가까운 시점의 트래픽 값(이때 트래픽 값은 실제 트래픽 측정값이 아닌 트래픽변동유형 추출부에서 추출된 값을 의미함), Xt'는 기준데이터 산출시점에 먼 시점의 트래픽 값(이때 트래픽 값은 실제 트래픽 측정값이 아닌 트래픽변동유형 추출부에서 추출된 값을 의미함), a는 가중치 값(1≥a>(1-a))임
  6. 제 1 항에 있어서,
    상기 이상징후 탐지부는 상기 트래픽 수집부에서 일정 시간 단위로 수집한 트래픽 데이터의 차를 하기의 수학식 2에 따라 누적하여 누적값을 산출하는 누적값산출부와, 상기 누적값산출부에서 산출된 누적값이 양수인 경우 그 값을 기 설정된 정상트래픽 허용임계치와 비교하여 누적값이 정상트래픽 허용임계치를 초과하는 비정상 트래픽 의심구간을 탐지하는 비교분석부를 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
    (수학식 2)
    Zt = ∑(Xt - X(t-1))
    이때, Zt는 시간에 따른 누적값, Xt는 t시점의 실제 트래픽 측정값, X(t-1)은 t바로 이전의 실제 트래픽 측정값임
  7. 제 1 항에 있어서,
    상기 비정상트래픽 판단부는 트래픽 판단 팩터별로 위험도를 산출하는 판단팩터별위험도산출부와, 상기 판단 팩터별 위험도에 가중치를 적용한 평균값을 산출하여 네트워크를 구성하는 각 정보자산별 개별위험도를 산출하는 개별위험도산출부와, 상기 개별위험도에 가중치를 적용한 평균값을 산출하여 네트워크 전체에 대한 종합위험도를 산출하는 종합위험도산출부를 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
  8. 제 7 항에 있어서,
    상기 판단팩터별위험도산출부는 비정상 트래픽 의심구간 내 측정된 실제 트래픽 데이터와 그와 동일 시점의 기준데이터를 대비하여 아래 수학식 3에 따라 발생된 트래픽이 기준데이터 대비 증가한 증가율을 산출하는 증가율산출부와, 비정상 트래픽 의심구간의 지속시간을 계산하는 지속시간산출부와, 상기 증가율산출부에서의 증가율과 상기 지속시간산출부에서의 지속시간을 기 설정된 판단팩터별 위험도산출 테이블에 적용하여 판단 팩터별 위험도를 산출하는 위험도테이블산출부를 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
    (수학식 3)
    Bt = (Xt - Yt)/Yt * 100
    이때, Bt는 기준데이터 대비 증가율, Xt는 t시점의 실제 트래픽 측정값, Yt는 t시점의 기준데이터임
  9. 제 8 항에 있어서,
    상기 개별위험도산출부는 네트워크를 구성하는 각 정보자산에 대한 판단 팩터별 산출된 위험도에 아래 수학식 4에 따라 가중치를 적용한 평균값을 산출하여 네트워크를 구성하는 각 정보자산별 개별위험도를 산출하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
    (수학식 4)
    B = {(A1 * b1) + (A2 * b2) + ... + (An * bn)}/n * 100
    이때, B는 정보자산별 개별위험도, A1 ~ An은 판단 팩터별 위험도, b1 ~ bn 은 각 판단 팩터가 차지하는 중요도에 따른 가중치임
  10. 제 9 항에 있어서,
    상기 종합위험도산출부는 각 정보자산별 개별위험도 중 위험도임계치를 초과하는 개별위험도를 갖는 정보자산의 수를 계산하는 수량산출부와, 개별위험도가 위험도임계치를 초과하는 각 정보자산에 가중치를 적용하고 아울러 상기 수량산출부에서 계산된 위험도임계치를 초과하는 개별위험도를 갖는 정보자산의 수에 따른 가중치를 적용하여 아래 수학식 5에 따라 네트워크 전체에 대한 종합위험도를 산출하는 최종산출부를 포함하는 것을 특징으로 하는 네트워크 비정상 트래픽 분석시스템.
    (수학식 5)
    T = {(B1 * c1) + (B2 * c2) + ... + (Bn * cn)}/n * d * 100 (단, Bn > L)
    이때, T는 네트워크 전체에 대한 종합위험도, B1 ~ Bn은 위험도임계치를 초과한 각 정보자산의 개별위험도, c1 ~ cn 은 각 정보자산이 차지하는 중요도에 따른 가중치, d는 위험도임계치를 초과한 정보자산의 수에 따른 가중치, L은 위험도임계치임
KR1020120050204A 2012-05-11 2012-05-11 네트워크 비정상 트래픽 분석시스템 KR101187023B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120050204A KR101187023B1 (ko) 2012-05-11 2012-05-11 네트워크 비정상 트래픽 분석시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120050204A KR101187023B1 (ko) 2012-05-11 2012-05-11 네트워크 비정상 트래픽 분석시스템

Publications (1)

Publication Number Publication Date
KR101187023B1 true KR101187023B1 (ko) 2012-09-28

Family

ID=47114274

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120050204A KR101187023B1 (ko) 2012-05-11 2012-05-11 네트워크 비정상 트래픽 분석시스템

Country Status (1)

Country Link
KR (1) KR101187023B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017039593A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Identification of a dns packet as malicious based on a value
US10764307B2 (en) 2015-08-28 2020-09-01 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a DNS packet is malicious
CN111626322A (zh) * 2020-04-08 2020-09-04 中南大学 一种基于小波变换的加密流量的应用活动识别方法
JP2020150531A (ja) * 2019-03-15 2020-09-17 ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド トラフィックを検出するための方法及び装置
CN113392893A (zh) * 2021-06-08 2021-09-14 北京达佳互联信息技术有限公司 业务故障的定位方法、装置、存储介质及计算机程序产品
US11614989B2 (en) 2020-07-28 2023-03-28 Electronics And Telecommunications Research Institute Method and apparatus for intelligent operation management of infrastructure

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017039593A1 (en) * 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Identification of a dns packet as malicious based on a value
US10764307B2 (en) 2015-08-28 2020-09-01 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a DNS packet is malicious
US10805318B2 (en) 2015-08-28 2020-10-13 Hewlett Packard Enterprise Development Lp Identification of a DNS packet as malicious based on a value
JP2020150531A (ja) * 2019-03-15 2020-09-17 ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド トラフィックを検出するための方法及び装置
KR20200110132A (ko) * 2019-03-15 2020-09-23 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. 트래픽 탐지 방법 및 장치
KR102260417B1 (ko) * 2019-03-15 2021-06-02 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. 트래픽 탐지 방법 및 장치
JP7048555B2 (ja) 2019-03-15 2022-04-05 ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド トラフィックを検出するための方法及び装置
US11444861B2 (en) 2019-03-15 2022-09-13 Beijing Baidu Netcom Science And Technology Co., Ltd. Method and apparatus for detecting traffic
CN111626322A (zh) * 2020-04-08 2020-09-04 中南大学 一种基于小波变换的加密流量的应用活动识别方法
CN111626322B (zh) * 2020-04-08 2024-01-05 中南大学 一种基于小波变换的加密流量的应用活动识别方法
US11614989B2 (en) 2020-07-28 2023-03-28 Electronics And Telecommunications Research Institute Method and apparatus for intelligent operation management of infrastructure
CN113392893A (zh) * 2021-06-08 2021-09-14 北京达佳互联信息技术有限公司 业务故障的定位方法、装置、存储介质及计算机程序产品

Similar Documents

Publication Publication Date Title
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
KR101187023B1 (ko) 네트워크 비정상 트래픽 분석시스템
CN110149343B (zh) 一种基于流的异常通联行为检测方法和系统
JP6703613B2 (ja) データストリームにおける異常検出
CN108123849B (zh) 检测网络流量的阈值的确定方法、装置、设备及存储介质
KR101077135B1 (ko) 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
CN101355463B (zh) 网络攻击的判断方法、系统和设备
CN105847283A (zh) 一种基于信息熵方差分析的异常流量检测方法
KR100748246B1 (ko) 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
JP2018533897A5 (ko)
JP2014060722A (ja) 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法
Celenk et al. Predictive network anomaly detection and visualization
KR20140037052A (ko) 하이 레이트 분산 서비스 거부(DDoS) 공격을 검출하고 완화하는 방법 및 시스템
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
JP2006238043A (ja) ネットワーク異常検出装置
KR20090041198A (ko) 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
CN110191004B (zh) 一种端口检测方法及系统
JP4324189B2 (ja) 異常トラヒック検出方法およびその装置およびプログラム
US9948532B2 (en) Information processing apparatus, information processing method, and computer readable medium
CN113518057A (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
EP2230797A1 (en) Detecting network traffic anomalies in a communication network
KR101061377B1 (ko) 분포 기반 디도스 공격 탐지 및 대응 장치
Celenk et al. Anomaly prediction in network traffic using adaptive Wiener filtering and ARMA modeling
Kaur et al. A novel multi scale approach for detecting high bandwidth aggregates in network traffic
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150914

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170912

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 9