KR101278669B1 - 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및방법과 패킷 수집 장치 - Google Patents

고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및방법과 패킷 수집 장치 Download PDF

Info

Publication number
KR101278669B1
KR101278669B1 KR1020060126284A KR20060126284A KR101278669B1 KR 101278669 B1 KR101278669 B1 KR 101278669B1 KR 1020060126284 A KR1020060126284 A KR 1020060126284A KR 20060126284 A KR20060126284 A KR 20060126284A KR 101278669 B1 KR101278669 B1 KR 101278669B1
Authority
KR
South Korea
Prior art keywords
flow
packet
sampling
traffic
pool
Prior art date
Application number
KR1020060126284A
Other languages
English (en)
Other versions
KR20080054113A (ko
Inventor
이민형
성종규
황찬규
유재형
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020060126284A priority Critical patent/KR101278669B1/ko
Publication of KR20080054113A publication Critical patent/KR20080054113A/ko
Application granted granted Critical
Publication of KR101278669B1 publication Critical patent/KR101278669B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • H04L43/024Capturing of monitoring data by sampling by adaptive sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및 방법과 패킷 수집 장치에 관한 것이다.
본 발명은 고속 회선의 트래픽을 분석하기 위해 트래픽 특성의 대부분을 차지하는 TOP N개 패킷 리스트인 경우 플로우를 생성하고, 나머지 패킷들에 샘플링 기법을 적용한다. 또한, 본 발명은 고속 회선의 트래픽을 분석하기 위하여 샘플링 방식을 적용하고, 분석된 결과를 실시간으로 피드백 정보를 활용하는 샘플링 방식을 제안한다.
본 발명은 고속 회선에 대한 새로운 샘플링 방식을 제안함으로써 수집/분석 시스템의 내부 처리 속도보다 빠른 고속의 회선에 대한 트래픽 상세 분석을 할 수 있는 효과를 기대할 수 있다.
패킷 수집 장치, 샘플링, 트래픽 분석 장치, 트래픽 통계

Description

고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및 방법과 패킷 수집 장치{Traffic Management System and Method Packet Collection Apparatus for Traffic Analysis High Speed IP Network}
도 1은 본 발명의 실시예에 따른 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템을 설명하기 위한 구성도이다.
도 2는 본 발명의 실시예에 따른 패킷 수집 장치의 내부 구성을 간략하게 나타낸 블록 구성도이다.
도 3은 본 발명의 실시예에 따른 플로우 분석 장치의 내부 구성을 간략하게 나타낸 블록 구성도이다.
도 4는 본 발명의 실시예에 따른 트래픽 관리 시스템을 이용한 트래픽 관리 방법을 설명하기 위한 순서도이다.
본 발명은 트래픽 분석 장치 및 방법에 관한 것으로서, 특히 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및 방법과 패킷 수집 장치에 관한 것이다.
일반적으로 트래픽(Traffic)은 그 자체가 망(Network) 사업자의 주요한 자산 임과 동시에 망 상태의 모니터링 수단이며 망 설계 자료를 생성하는 데 있어 중요한 요소이다.
IP망에서 트래픽을 분석하기 위해서는 통상적으로 간이 망 관리 프로토콜(Simple Network Management Protocol: SNMP)를 이용하여 망의 주요 장비인 라우터나 스위치의 각 포트 단위로 송수신 되는 총량적인 바이트량 등을 모아서 각각의 네트워크 관리 시스템(Network Management System: NMS)을 통하여 분석하였다.
이러한 망 관리 프로토콜을 이용하여 각 회선의 트래픽량을 모니터링 하는 방법은 포트 단위의 국부적인 성능을 나타내므로 포트별 정의된 응용 프로그램 및 서비스가 얼마만큼 사용되는지 등 종단 간의 성능을 알 수 없는 단점이 있다.
이러한 단점을 해결하기 위해 일련의 IP 패킷의 모음인 플로우(Flow)에 기반한 트래픽 분석에 관심이 집중되고 있다.
플로우는 같은 특성을 가진 일련의 패킷 모음으로 단방향성을 갖는다.
현재 주로 이용되고 있으며, 인터넷 엔지니어링 태스크 포스(Internet Engineering Tack Force: IETF)와 같은 표준화 기구에서도 참고되고 있는 것은 시스코사에서 개발하여 사용 중인 넷플로우(Netflow)이다.
이러한 넷플로우는 IP 패킷의 헤더 정보인 소스 IP(Source IP), 목적지 IP(Destination IP), 소스 포트(Source Port), 목적지 포트(Destination Port) 및 프로토콜과 같은 5가지 튜플(Five Tuple)에 근거하여 같은 정보를 갖는 패킷을 모아 플로우를 구성하여 트래픽을 분석하는 데 이용된다.
넷플로우를 라우터에 적용하는 경우, 라우터에 부하가 많이 걸려서 정상 동 작을 하지 못한다. 이로 인하여 라우터는 넷플로우의 일부분을 샘플링하여 분포도 차원에서 트래픽을 분석하므로 전체적인 트래픽 총량, 각각의 패킷 특성이 왜곡되는 문제점이 있다. 이러한 문제점을 극복하는 방법으로 트래픽을 분석하고자 하는 장치에 스플리터(Splitter)를 부착하여 물리적 회선을 미러링하고, 이를 별도의 패킷 수집 장치에서 전체 패킷을 수집하여 넷플로우를 구성함으로써 트래픽을 분석하는 방법이 있다.
최근 통신망에서 회선의 속도에 대한 발전 속도는 유닉스, NT 서버 등의 서버류에서 사용되는 내부 버스 장치의 속도보다 빨라지고 있다(예: 10Gbps 회선 -> 내부 버스의 처리 용량 6Gbps). 따라서, 고속의 회선에 대한 트래픽 분석에서는 내부 버스 장치의 속도보다 큰 고속의 회선을 분석한다거나 회선의 이용률이 높아서 트래픽 양이 많아지는 경우 이를 처리하는 데 필요한 메모리 및 중앙 처리 장치에 부하가 발생하는 문제점이 있다.
이와 같은 문제점을 해결하기 위하여, 본 발명은 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및 방법과 패킷 수집 장치를 제공하기 위한 것이다.
이러한 기술적 과제를 달성하기 위한 본 발명의 특징에 따른 트래픽 관리 시스템은 네트워크 카드로부터 유입되는 패킷에 기설정된 샘플링 정보―상기 샘플링 정보는 상위 N개 패킷 리스트의 헤더 정보인 소스 아이피, 목적지 아이피, 소스 포트, 목적지 포트 및 프로토콜 아이디를 포함함―중 어느 하나의 항목과 일치하는 패킷은 해당하는 모든 패킷을 플로우로 생성하고, 일치하지 않는 패킷은 기설정된 샘플링 비율에 따라 순차/랜덤 샘플링을 수행하고 샘플링된 패킷에 대하여 플로우를 생성하여 저장하는 패킷 수집 장치; 및 상기 샘플링 정보를 설정하여 상기 패킷 수집 장치로 전송하고, 상기 패킷 수집 장치에서 종료된 플로우를 수신하여 트래픽 분석을 통해 통계 결과값을 생성하여 출력하는 플로우 분석 장치를 포함한다.
본 발명의 특징에 따른 트래픽 관리 방법은 (a) 네트워크 카드로부터 유입되는 패킷에 기설정된 샘플링 정보―상기 샘플링 정보는 상위 N개 패킷 리스트의 헤더 정보인 소스 아이피, 목적지 아이피, 소스 포트, 목적지 포트 및 프로토콜 아이디를 포함함―중 어느 하나의 항목과 일치하는 패킷이 존재하는지 판단하는 단계; (b) 상기 일치하는 패킷이 존재하는 경우, 해당하는 모든 패킷에 대하여 플로우를 플로우 풀에서 검색하여 기존 플로우를 갱신하거나 새로운 플로우로 등록하여 저장하는 단계; (c) 상기 일치하는 패킷이 존재하지 않는 경우, 해당 패킷들에 기설정된 샘플링 비율에 따라 순차/랜덤 샘플링을 수행하여 플로우를 생성하고, 플로우 풀에 저장하는 단계; 및 (d) 상기 (a)단계 및 상기 (b)단계에서 플로우를 종료하는 기준에 맞는 종료 플로우를 수신하여 트래픽 분석을 통해 통계 결과값을 생성하여 출력하는 단계를 포함한다.
본 발명의 특징에 따른 패킷 수집 장치는 네트워크 카드로부터 유입되는 패킷에 기설정된 샘플링 정보―상기 샘플링 정보는 상위 N개 패킷 리스트의 헤더 정보인 소스 아이피, 목적지 아이피, 소스 포트, 목적지 포트 및 프로토콜 아이디를 포함함―중 어느 하나의 항목과 일치하는 패킷에 대하여 해당 패킷들을 플로우로 생성하고, 일치하지 않는 패킷은 메모리에 저장하는 패킷 처리부; 및 상기 메모리에 저장된 패킷들에 기설정된 샘플링 비율에 따라 순차/랜덤 샘플링을 수행하여 플로우로 생성하여 저장하는 샘플러를 포함한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
또한, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이제 본 발명의 실시예에 따른 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및 방법과 패킷 수집 장치에 대하여 도면을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템을 설명하기 위한 구성도이다.
본 발명의 실시예에 따른 트래픽 관리 시스템은 패킷 수집 장치(100) 및 플로우 분석 장치(200)를 포함한다. 이외에 IP망(500)에 포함되는 라우터(400)와 스위치(300)의 사이에 배치되어 IP망(500)을 수용하는 광전송 라인인 물리적 회선을 접속하는 스플리터(Splitter)(600)와 플로우 분석 장치(200)를 통해 분석되는 결과를 화면을 통해 관리자에게 표시하여 관리자 컴퓨터 시스템(700)을 포함한다.
패킷 수집 장치(100)는 스플리터(600)의 물리적 회선과 탭 방식으로 접속되며, 스플리터(600)의 물리적 회선을 미러링하여 실시간으로 패킷을 수집하고, 수집된 패킷의 트래픽을 분석하여 플로우를 생성하며, 플로우별 애플리케이션을 분석하여 그 결과를 플로우 분석 장치(200)에 전송한다. 패킷 수집 장치(100)는 네트워크 카드로부터 유입되는 패킷에 기설정된 샘플링 정보를 수신하고, 샘플링 정보 중 소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 ID 중 어느 하나의 항목과 일치하는 패킷이 존재하는 경우, 해당 패킷을 플로우로 생성하여 저장한다. 패킷 수집 장치(100)는 전술한 일치하는 패킷이 존재하지 않은 경우, 해당 패킷에 기설정된 샘플링 비율에 따라 순차/랜덤 샘플링을 수행하여 플로우을 생성하여 저장한다. 여기서, 소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 ID는 후술할 플로우 분석 장치(200)에서 생성한 TOP N개 패킷 리스트의 헤더 정보를 의미한다. 여기서, TOP N개 패킷 리스트는 소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 ID 별로 각각 바이트량, 패킷량이 많은 상위 N개 순위의 패킷을 의미한다.
플로우 분석 장치(200)는 패킷 수집 장치(100)와 접속되며, 패킷 수집 장치(100)로부터 제공되는 플로우별 애플리케이션의 분석 결과를 데이터베이스에 저장하며, 데이터베이스에 저장된 플로우별 애플리케이션을 분석하여 트래픽을 분석 관리한다. 또한, 플로우 분석 장치(200)는 패킷 수집 장치(100)로 피드백하는 샘플 링 정보를 설정하여 패킷 수집 장치(100)로 전송하고, 패킷 수집 장치(100)에서 종료된 플로우를 수신하여 트래픽 분석을 통해 통계 결과값을 생성하여 출력한다.
다음, 도 2를 참조하여 패킷 수집 장치(100)의 구성을 상세하게 설명한다.
도 2는 본 발명의 실시예에 따른 패킷 수집 장치(100)의 내부 구성을 간략하게 나타낸 블록 구성도이다.
본 발명의 실시예에 따른 패킷 수집 장치(100)는 제1 메모리(102), 패킷 처리부(103), TOP N 저장부(104), 제2 메모리(105), 샘플러(106), 플로우 풀(107) 및 플로우 관리부(108)를 포함한다.
제1 메모리(102)는 네트워크 카드로부터 유입된 패킷을 임시 저장한다.
패킷 처리부(103)는 제1 메모리(102)로부터 패킷을 추출하여 헤더 정보를 제외한 내용을 삭제한다. 패킷 처리부(103)는 플로우 분석 장치(200)로부터 수신한 TOP N개 패킷 리스트의 헤더 정보와 제1 메모리(102)에서 추출한 패킷의 헤더 정보를 비교하여 검색한다.
패킷 처리부(103)는 제1 메모리(102)에서 추출한 패킷의 헤더 정보에 TOP N개 패킷 리스트의 헤더 정보 중 어느 하나의 항목과 일치하는 패킷이 존재하는 경우, 검색을 중지하고, 플로우 풀(107)을 조회한다. 패킷 처리부(103)는 플로우 풀(107)에 패킷에 해당하는 플로우가 존재하는 경우, 해당 플로우에 대한 바이트량, 패킷량 등의 정보를 더하여 갱신한다. 패킷 처리부(103)는 플로우 풀(107)에 패킷에 해당하는 플로우가 존재하지 않는 경우, 바이트량, 패킷량 등의 정보를 포함한 새로운 플로우를 생성하여 플로우 풀에 저장한다.
패킷 처리부(103)는 제1 메모리(102)에서 추출한 패킷의 헤더 정보에 TOP N개 패킷 리스트의 헤더 정보 중 어느 하나의 항목과 일치하는 패킷이 존재하지 않는 경우, 패킷의 헤더 정보를 제2 메모리(105)에 저장한다.
TOP N 저장부(104)는 TOP N개 패킷 리스트의 헤더 정보를 플로우 분석 장치(200)로부터 수신하여 저장한다.
제2 메모리(105)는 TOP N개 패킷 리스트에 해당하지 않는 패킷을 저장한다.
샘플러(106)는 제2 메모리(105)에 저장된 패킷의 헤더 정보에서 샘플링 옵션에 의하여 랜덤/순차적 샘플링을 실행하여 새로운 플로우를 생성하거나 플로우 풀(107)에 해당하는 패킷의 헤더 정보가 있는 경우, 해당 플로우 정보를 플로우 풀(107)에서 갱신하고 제2 메모리(105)의 내용을 비운다.
플로우 풀(107)은 TOP N개 패킷 리스트보다 수십 ~ 수백 배 많은 플로우 레코드를 저장한다. 플로우 관리부(108)는 플로우 풀(107)에서 기설정된 플로우를 끝내는 기준(예: 마지막 레코드에 핀(Pin)을 만나면 종료)에 해당하는 종료된 플로우를 추출하여 통신 인터페이스를 통해 플로우 분석 서버로 전송한다.
다음, 도 3을 참조하여 플로우 분석 장치(200)의 구성을 상세하게 설명한다.
도 3은 본 발명의 실시예에 따른 플로우 분석 장치(200)의 내부 구성을 간략하게 나타낸 블록 구성도이다.
본 발명의 실시예에 따른 플로우 분석 장치(200)는 플로우 수집부(202), 트래픽 통계 처리부(206), 샘플링 관리부(208) 및 리포트 처리부(209)를 포함한다.
플로우 수집부(202)는 패킷 수집 장치(100)로부터 수신한 종료된 플로우를 제3 메모리(204)에 임시 저장한 후, 트래픽 통계 처리부(206)로 전송한다.
트래픽 통계 처리부(206)는 플로우 수집부(202)로부터 수신한 종료된 플로우를 기초로 분단위(1분, 5분 등), 시간별, 일자별로 논리 포트별 통계를 생성한다. 트래픽 통계 처리부(206)는 플로우 수집부(202)로부터 수신한 종료된 플로우를 기초로 분단위, 시간별, 일자별로 프로토콜별 통계를 생성한다. 트래픽 통계 처리부(206)는 플로우 수집부(202)로부터 수신한 플로우를 기초로 분단위, 시간별, 일자별로 발신/착신 IP별 통계를 생성한다.
트래픽 통계 처리부(206)는 시분 단위로 통계 데이터를 생성하여 TOP N개의 패킷 리스트로 분류(Sorting) 및 TOP N개의 경계 지점에 해당되는 패킷 리스트의 정확한 TOP N개의 패킷 리스트를 관리하기 위하여 필요한 TOP N의 수십 ~ 수백 배 정도의 플로우 레코드를 관리한다.
샘플링 관리부(208)는 트래픽 통계 처리부(206)에서 사용되는 TOP N 배율의 크기를 조절하고, TOP N 배율의 크기 정보를 플로우 풀 사이즈와 동일하게 사용하도록 TOP N 배율을 샘플링 정보에 포함하여 패킷 수집 장치(100)로 전송한다.
샘플링 관리부(208)는 리포트 처리부(209)에서 표시되는 TOP N의 크기를 결정하고, 패킷 수집 장치(100)에서 수행되는 샘플링 방법(순차/랜덤)을 선택하여 패킷 수집 장치(100)로 전송한다. 샘플링 관리부(208)는 TOP N 리스트의 헤더 정보(소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 ID)를 샘플링 정보로 생성하여 패킷 수집 장치(100)로 전송하고, TOP N 리스트 갱신 주기, 샘플링 비율(예: 1/10. 1/100, 1/1000)를 설정하여 패킷 수집 장치(100)로 전송한다.
샘플링 관리부(208)에서 설정되는 샘플링 정보는 프로브 ID(분석하고자 하는 회선용 프로브 ID), 프로토콜 수, 소스 IP 수(발신측의 분석하고자 하는 IP 수), 소스 포트 수(발신측의 분석하고자 하는 L4의 논리 포트수), 목적지 IP 수(수신측의 분석하고자 하는 IP 수), 목적지 포트 수(수신측의 분석하고자 하는 L4의 논리 포트수), 플로우 풀 사이즈(프로브에서 사용하는 프로우 풀의 크기) 및 TOP N 배율(각 분석 항목별 TOP N의 리스트를 유지 관리하기 위하여 추가적으로 관리해야 하는 리스트의 크기), TOP N의 크기, 샘플링 방법, 샘플링 비율, TOP N 리스트 갱신 주기 등을 포함한다.
리포트 처리부(209)는 트래픽 통계 처리부(206)에서 생성된 TOP N개의 크기만큼 논리 포트별, 프로토콜별, 발신/착신 IP별 엔트리에 대한 상세 리포트를 그래프나 표의 형태로 표시한다.
다음, 도 4를 참조하여 트래픽 관리 시스템을 이용한 트래픽 관리 방법을 상세하게 설명한다.
도 4는 본 발명의 실시예에 따른 트래픽 관리 시스템을 이용한 트래픽 관리 방법을 설명하기 위한 순서도이다.
제1 메모리(102)는 네트워크 카드로부터 유입되는 패킷을 수신하여 저장한다(S100). 패킷 처리부(103)는 수신된 패킷에 기설정된 샘플링 정보 중 상위 N개 패킷 리스트의 헤더 정보(소스 아이피, 목적지 아이피, 소스 포트, 목적지 포트 및 프로토콜 아이디) 중 어느 하나의 항목과 일치하는 패킷이 존재하는지 판단한다(S102).
패킷 처리부(103)는 일치하는 패킷이 존재하는 경우, 해당 패킷에 해당하는 플로우를 플로우 풀(107)에서 검색하여 기존 플로우가 있는 경우, 바이트량, 패킷량을 더하여 기존 플로우를 갱신하고, 기존 플로우가 없는 경우, 새로운 플로우를 생성하여 플로우 풀(107)에 저장한다(S104).
패킷 처리부(103)는 일치하는 패킷이 존재하지 않는 경우 제2 메모리(105)에 저장한다.
샘플러(106)는 제2 메모리(105)에 저장되어 있는 패킷들에 기설정된 샘플링 비율에 따라 순차/랜덤 샘플링을 수행하여 플로우를 생성하고, 플로우 풀(107)를 검색하여 기존 플로우가 있는 경우 기존 플로우를 갱신하며, 기존 플로우가 없는 경우, 새로운 플로우로 플로우 풀(107)에 저장한다(S106). 플로우 관리부(108)는 플로우 풀(107)에서 종료된 플로우를 수신하여 플로우 분석 장치(200)로 전송한다.
플로우 분석 장치(200)의 플로우 수집부(202)는 종료된 플로우를 수신하여 제3 메모리(204)에 저장한다. 트래픽 통계 처리부(206)는 수신된 플로우를 트래픽 분석을 통해 통계 결과값을 생성하여 그래프나 표의 형태로 출력한다(S108).
샘플링 관리부(208)는 샘플링 정보를 생성하여 피드백 정보로 패킷 수집 장치(100)로 전송한다(S110).
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
전술한 구성에 의하여, 본 발명은 고속 회선에 대한 새로운 샘플링 방식을 제안함으로써 수집/분석 시스템의 내부 처리 속도보다 빠른 고속의 회선에 대한 트래픽 상세 분석을 할 수 있는 효과를 기대할 수 있다.
본 발명은 상위 TOP N개의 패킷 리스트를 활용하여 피드백 방식의 샘플링을 구현함으로써 중요한 트래픽에 대하여 최대한 손실없이 분석할 수 있는 효과를 기대할 수 있다.
본 발명은 트래픽의 특성을 최대한 유지하면서 샘플링에 기반한 트래픽 분석을 할 수 있는 효과를 기대할 수 있다.
본 발명은 시스템의 중앙 제어 장치 및 메모리 이용률을 최적으로 이용하며, 다수의 회선에서 패킷을 수집하며 보다 많은 회선을 동시에 분석하여 보고서를 생성할 수 있는 효과를 기대할 수 있다.

Claims (12)

  1. 플로우 레코드를 관리하는 플로우 풀을 포함하고, 네트워크 카드로부터 유입되는 패킷에 기설정된 샘플링 정보―상기 샘플링 정보는 상위 N개 패킷 리스트의 헤더 정보인 소스 아이피, 목적지 아이피, 소스 포트, 목적지 포트 및 프로토콜 아이디를 포함함―중 어느 하나의 항목과 일치하는 패킷은 해당하는 모든 패킷을 플로우로 생성하여 상기 플로우 풀에 저장하고, 일치하지 않는 패킷은 순차 또는 랜덤 샘플링을 수행하고 샘플링된 패킷에 대하여 플로우를 생성하여 상기 플로우 풀에 저장하는 패킷 수집 장치; 및
    상기 샘플링 정보를 설정하여 상기 패킷 수집 장치로 전송하고, 상기 패킷 수집 장치에서 종료된 플로우를 수신하여 트래픽 분석을 통해 통계 결과값을 생성하여 출력하는 플로우 분석 장치를 포함하며,
    상기 플로우 분석 장치는 상기 상위 N개 패킷 리스트의 배율 크기를 조절하고, 조절된 상기 상위 N개 패킷 리스트의 배율 크기를 상기 플로우 풀의 사이즈와 동일하게 사용하도록 상기 상위 N개 패킷 리스트의 배율을 상기 샘플링 정보에 포함시켜서 상기 패킷 수집 장치로 전달하고,
    상기 플로우 분석 장치는 상기 패킷 수집 장치가 패킷을 샘플링하는 샘플링 비율을 설정하여 상기 샘플링 정보에 포함시켜서 상기 패킷 수집 장치로 전달하는
    것을 특징으로 하는 트래픽 관리 시스템.
  2. 제1 항에 있어서,
    상기 패킷 수집 장치는,
    상기 소스 아이피, 상기 목적지 아이피, 상기 소스 포트, 상기 목적지 포트 및 상기 프로토콜 아이디 중 어느 하나의 항목과 일치하는 패킷이 존재하는 경우 상기 플로우 풀에서 패킷에 해당하는 플로우를 검색하여 기존 플로우를 갱신하거나 새로운 플로우를 생성하여 상기 플로우 풀에 저장하는 패킷 처리부;
    상기 일치하는 패킷이 존재하지 않는 경우 해당 패킷들을 상기 샘플링 비율에 따라 순차/랜덤 샘플링을 수행하여 상기 플로우 풀에 저장하는 샘플러; 및
    상기 플로우 풀에서 상기 종료된 플로우를 추출하여 전송하는 플로우 관리부
    를 포함하는 트래픽 관리 시스템.
  3. 제1 항에 있어서,
    상기 플로우 분석 장치는,
    상기 패킷 수집 장치로부터 상기 종료된 플로우를 수신하여 임시 저장하는 플로우 수집부;
    상기 수신한 플로우를 기초로 시분 단위, 일자별로 구분하여 프로토콜별, 논리 포트별, 발신/착신 아이피별 중 어느 하나 이상의 항목별 통계를 생성하는 트래픽 통계 처리부;
    상기 상위 N개 패킷 리스트만큼 상기 항목별 통계에 대한 상세 리포트를 출력하는 리포트 처리부; 및
    상기 샘플링 정보를 설정하여 상기 패킷 수집 장치로 전송하는 샘플링 관리부
    를 포함하는 트래픽 관리 시스템.
  4. 제1 항 내지 제3 항 중 어느 한 항에 있어서,
    상기 상위 N개 패킷 리스트는 상기 소스 아이피, 상기 목적지 아이피, 상기 소스 포트, 상기 목적지 포트 및 상기 프로토콜 아이디 별로 각각 바이트량, 패킷량이 많은 상위 N개 순위의 패킷들을 의미하는 것을 특징으로 하는 트래픽 관리 시스템.
  5. 제3 항에 있어서,
    상기 샘플링 관리부는 샘플링 방법을 선택하는 것을 특징으로 하는 트래픽 관리 시스템.
  6. 제2 항에 있어서,
    상기 플로우 풀은 마지막 레코드에 "ETC" 란으로 비워두어 상기 플로우 풀의 최대 크기를 넘어서는 경우 해당 내용을 상기 "ETC"로 처리하여 플로우를 종료하는 것을 특징으로 하는 트래픽 관리 시스템.
  7. (a) 패킷 수집 장치가 네트워크 카드로부터 유입되는 패킷을 기설정된 샘플링 비율에 따라 샘플링하고, 샘플링된 패킷에 기설정된 샘플링 정보―상기 샘플링 정보는 상위 N개 패킷 리스트의 헤더 정보인 소스 아이피, 목적지 아이피, 소스 포트, 목적지 포트 및 프로토콜 아이디를 포함함―중 어느 하나의 항목과 일치하는 패킷이 존재하는지 판단하는 단계;
    (b) 상기 일치하는 패킷이 존재하는 경우, 상기 패킷 수집 장치가 해당하는 모든 패킷에 대하여 플로우를 플로우 풀에서 검색하여 기존 플로우를 갱신하거나 새로운 플로우로 등록하여 저장하는 단계;
    (c) 상기 일치하는 패킷이 존재하지 않는 경우, 상기 패킷 수집 장치가 해당 패킷들에 대해 순차 또는 랜덤 샘플링을 수행하여 플로우를 생성하고, 플로우 풀에 저장하는 단계; 및
    (d) 플로우 분석 장치가 상기 (a)단계 및 상기 (b)단계에서 플로우를 종료하는 기준에 맞는 종료 플로우를 상기 패킷 수집 장치로부터 수신하여 트래픽 분석을 통해 통계 결과값을 생성하여 출력하는 단계를 포함하며,
    상기 플로우 분석 장치는 상기 상위 N개 패킷 리스트의 배율 크기를 조절하고, 조절된 상기 상위 N개 패킷 리스트의 배율 크기를 상기 플로우 풀의 사이즈와 동일하게 사용하도록 상기 상위 N개 패킷 리스트의 배율을 상기 샘플링 정보에 포함시켜서 상기 패킷 수집 장치로 전달하고,
    상기 플로우 분석 장치는 상기 패킷 수집 장치가 패킷을 샘플링하는 샘플링 비율을 설정하여 상기 샘플링 정보에 포함시켜서 상기 패킷 수집 장치로 전달하는
    것을 특징으로 하는 트래픽 관리 방법.
  8. 제7 항에 있어서,
    상기 (b)단계에서 상기 샘플링 정보를 설정하여 상기 (a)단계로 피드백하는 것을 특징으로 하는 트래픽 관리 방법.
  9. 플로우 레코드를 관리하는 플로우 풀;
    네트워크 카드로부터 유입되는 패킷에 기설정된 샘플링 정보―상기 샘플링 정보는 상위 N개 패킷 리스트의 헤더 정보인 소스 아이피, 목적지 아이피, 소스 포트, 목적지 포트 및 프로토콜 아이디를 포함함―중 어느 하나의 항목과 일치하는 패킷에 대하여 해당 패킷들을 플로우로 생성하여 상기 플로우 풀에 저장하고, 일치하지 않는 패킷은 메모리에 저장하는 패킷 처리부;
    상기 메모리에 저장된 패킷들에 대해 순차 또는 랜덤 샘플링을 수행하여 플로우로 생성하여 상기 플로우 풀에 저장하는 샘플러; 및
    상기 플로우 풀로부터 플로우를 종료하는 기준에 해당하는 종료 플로우를 추출하여 플로우 분석 장치로 전송하는 플로우 관리부를 포함하며,
    상기 패킷 처리부는 상기 플로우 분석 장치에 의해 조절되는 상기 상위 N개 패킷 리스트의 배율 정보-여기서 상위 N개 패킷 리스트의 배율 정보는 상기 플로우 풀의 사이즈를 상기 상위 N개 패킷 리스트의 배율과 동일하게 사용되도록 하는데 사용됨-와 샘플링 비율-여기서 샘플링 비율은 상기 패킷 처리부가 패킷을 샘플링하는 비율임-을 포함하는 샘플링 정보를 상기 플로우 분석 장치로부터 피드백받아서 사용하는
    것을 특징으로 하는 패킷 수집 장치.
  10. 삭제
  11. 제9 항에 있어서,
    상기 상위 N개 패킷 리스트는 상기 소스 아이피, 상기 목적지 아이피, 상기 소스 포트, 상기 목적지 포트 및 상기 프로토콜 아이디 별로 각각 바이트량, 패킷량이 많은 상위 N개 순위의 패킷들을 의미하는 것을 특징으로 하는 패킷 수집 장치.
  12. 제9 항에 있어서,
    상기 패킷 처리부는 상기 소스 아이피, 상기 목적지 아이피, 상기 소스 포트, 상기 목적지 포트 및 상기 프로토콜 아이디 중 어느 하나의 항목과 일치하는 패킷이 존재하는 경우, 상기 플로우 풀에서 패킷에 해당하는 플로우를 검색하여 기존 플로우를 갱신하거나 새로운 플로우를 생성하여 상기 플로우 풀에 저장하는 것을 특징으로 하는 패킷 수집 장치.
KR1020060126284A 2006-12-12 2006-12-12 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및방법과 패킷 수집 장치 KR101278669B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060126284A KR101278669B1 (ko) 2006-12-12 2006-12-12 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및방법과 패킷 수집 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060126284A KR101278669B1 (ko) 2006-12-12 2006-12-12 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및방법과 패킷 수집 장치

Publications (2)

Publication Number Publication Date
KR20080054113A KR20080054113A (ko) 2008-06-17
KR101278669B1 true KR101278669B1 (ko) 2013-06-25

Family

ID=39801184

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060126284A KR101278669B1 (ko) 2006-12-12 2006-12-12 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및방법과 패킷 수집 장치

Country Status (1)

Country Link
KR (1) KR101278669B1 (ko)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문1 *

Also Published As

Publication number Publication date
KR20080054113A (ko) 2008-06-17

Similar Documents

Publication Publication Date Title
JP4341413B2 (ja) 統計収集装置を備えたパケット転送装置および統計収集方法
US7844696B2 (en) Method and system for monitoring control signal traffic over a computer network
CN103891249B (zh) 用于确定事件实例的方法和设备
US9531620B2 (en) Control plane packet traffic statistics
US7120678B2 (en) Method and apparatus for configurable data collection on a computer network
US7010718B2 (en) Method and system for supporting network system troubleshooting
EP2742646B1 (en) A method, apparatus and communication network for root cause analysis
US8310942B2 (en) Flow statistics aggregation
MX2010006844A (es) Metodo de resolución de direcciones de red a nombres de host en flujos de red para dispositivos de red.
KR100816503B1 (ko) Ip망에서 플로우를 이용한 트래픽 분석장치 및 그 방법
US7562134B1 (en) Network traffic analyzer
CN107634848A (zh) 一种采集分析网络设备信息的系统和方法
WO2005109754A1 (en) System and method for real-time monitoring and analysis for network traffic and content
US7478156B1 (en) Network traffic monitoring and reporting using heap-ordered packet flow representation
KR20090079945A (ko) 플로우 정보 제한장치 및 방법
US20120026914A1 (en) Analyzing Network Activity by Presenting Topology Information with Application Traffic Quantity
US20130329572A1 (en) Misdirected packet statistics collection and analysis
US20100165859A1 (en) Sorting flow records into analysis buckets
Wu et al. On the growth of Internet application flows: A complex network perspective
CN101917288A (zh) 告警处理方法及网管系统
KR101912778B1 (ko) Ip 네트워크 주위로 흐르는 데이터스트림으로부터 데이터를 추출하기 위한 방법 및 장치
KR20140051776A (ko) 플로우 기반의 네트워크 모니터링을 위한 장치 및 네트워크 모니터링 시스템
KR101278669B1 (ko) 고속 회선 트래픽 분석을 위한 트래픽 관리 시스템 및방법과 패킷 수집 장치
US20100169719A1 (en) Network flow volume scaling
KR100428764B1 (ko) 비동기 전송 모드에서의 장비 모니터링 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160809

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170605

Year of fee payment: 5