KR101292445B1 - 피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및차단 방법 - Google Patents

피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및차단 방법 Download PDF

Info

Publication number
KR101292445B1
KR101292445B1 KR1020070012284A KR20070012284A KR101292445B1 KR 101292445 B1 KR101292445 B1 KR 101292445B1 KR 1020070012284 A KR1020070012284 A KR 1020070012284A KR 20070012284 A KR20070012284 A KR 20070012284A KR 101292445 B1 KR101292445 B1 KR 101292445B1
Authority
KR
South Korea
Prior art keywords
traffic
blocking
exception
source
tcp
Prior art date
Application number
KR1020070012284A
Other languages
English (en)
Other versions
KR20080073551A (ko
Inventor
이근수
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020070012284A priority Critical patent/KR101292445B1/ko
Publication of KR20080073551A publication Critical patent/KR20080073551A/ko
Application granted granted Critical
Publication of KR101292445B1 publication Critical patent/KR101292445B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

본 발명은 네트워크 프로파일링을 통해 피투피 트래픽을 탐지 및 차단하는 장치 및 방법에 관한 것이다. 본 발명은 네트워크 패킷의 헤더 정보에 포함된 아이피페어 정보를 추출하여 플로우 테이블을 생성하는 IP 감지부(10), 상기 IP 감지부에 의해 생성된 상기 플로우 테이블이 저장되는 저장부(20), 상기 플로우 테이블에 포함된 소스IP 및 대상IP를 피투피아이피 또는 넌-피투피아이피로 분류하는 제어부(30)를 포함하여 구성된다. 이와 같은 본 발명에 의하면 피투피 트래픽을 효율적으로 탐지 및 차단할 수 있는 이점이 있다.
피투피, 피투피 트래픽, 네트워크 프로파일링, 트래픽 탐지 및 차단

Description

피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및 차단 방법 {Apparatus and method for searching and cutting off P2P traffic}
도 1은 본 발명의 구체적인 실시예를 구성하는 피투피 트래픽의 탐지 및 차단 장치를 나타내는 블럭도.
도 2는 본 발명의 구체적인 실시예에 의한 피투피 트래픽을 탐지 및 차단하는 과정을 상세히 도시한 상세 흐름도.
도 3은 본 발명의 구체적인 실시예를 구성하는 데이터 정보 추가 과정을 상세히 도시한 상세 흐름도.
도 4는 본 발명의 구체적인 실시예를 구성하는 아이피페어 분류 과정을 상세히 도시한 상세 흐름도.
도 5는 본 발명의 구체적인 실시예를 구성하는 예외IP 검출 방법의 일예를 도시한 흐름도.
도 6은 본 발명의 구체적인 실시예를 구성하는 예외IP 검출 방법의 다른 예를 도시한 다른 흐름도.
도 7은 본 발명의 구체적인 실시예를 구성하는 예외IP 검출 방법의 또 다른 예를 도시한 또 다른 흐름도.
* 도면의 주요부분에 대한 부호의 설명 *
10 : IP 감지부 20 : 저장부
30 : 제어부
본 발명은 피투피 트래픽을 탐지 및 차단하는 장치 및 방법에 관한 것으로서, 더욱 상세하게는 네트워크 트래픽에 대하여 프로파일을 작성하고 그 프로파일을 이용하여 피투피 트래픽을 탐지 및 차단하는 방법에 관한 것이다.
종래의 트래픽 선별 차단 기술은 유해사이트 차단 제품으로 상용화가 많이 이루어지고 있는 기술이다. 유해 사이트 차단 제품은 크게 선 차단 방식과 후 차단 방식 두 가지로 나뉘고 있다.
선 차단 방식은 미리 유해 유알엘(Uniform Resource Locator: 이하 "URL" 이라 함) 데이터베이스를 구축하고 사용자가 웹 브라우져에 URL을 입력했을 때 데이터베이스를 검색해서 유해 URL인 경우는 접속을 차단하는 방식이다. 그리고 후 차단 방식은 들어오는 트래픽을 대상으로 텍스트나 이미지에 대해서 유해성을 실시간으로 검사해서 유해 사이트를 차단하는 방식이다.
그러나 선 차단 방식은 데이터베이스가 모든 URL을 포함하고 있을 수 없고, 내용이 수시로 바뀌는 URL인 경우, 데이터베이스에 잘못된 평가 내용이 저장되어 있을 수 있는 단점이 있다. 그리고 후 차단 방식은 실시간으로 URL의 유해성을 판단해야 하므로 정확성이 떨어질 수 있고, 전송 중인 트래픽을 가로채서 판단하므로 사용자가 느끼기에 더 느리다는 단점이 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 네트워크 트래픽에 대하여 프로파일을 작성하고, 이를 이용하여 정확하고 신속하게 피투피 트래픽을 탐지하고 차단하는 장치 및 방법을 제공하는 것이다.
본 발명의 다른 목적은, 다양해지는 피투피 프로그램 각각에 대하여 관리자가 별도로 분석할 필요없이 적용 가능한 피투피 트래픽을 탐지하고 차단하는 장치 및 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명의 특징에 따르면, 본 발명은 네트워크 패킷(network packet)의 헤더(header) 정보에 포함된 아이피페어(IP pair) 정보를 추출하여 플로우 테이블(flow table)을 생성하는 IP 감지부, 상기 IP 감지부에 의해 생성된 상기 플로우 테이블이 저장되는 저장부, 상기 플로우 테이블에 포함된 소스IP 및 대상IP를 피투피아이피(P2P IP) 또는 넌-피투피아이피(non-P2P IP)로 분류하는 제어부를 포함한다.
이때, 상기 플로우 테이블은 네트워크 패킷의 헤더 정보로부터 추출된 소스IP와 대상IP의 쌍으로 구성되는 아이피페어 정보를 포함함을 특징으로 한다.
또한, 상기 제어부는 상기 아이피페어 정보에 TCP 및 UDP 트래픽이 동시에 존재하고, 예외IP에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 분류하고; 상기 TCP 및 UDP 트래픽이 동시에 존재하지 않거나 예외IP에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 분류함을 특징으로 한다.
그리고, 상기 예외IP는 DNS프로토콜, 메일서버(mail server), 온라인게임을 포함하는 특정 애플리케이션의 아이피 중 어느 하나 이상을 포함할 수도 있다.
또한, 상기 온라인게임을 포함하는 특정 애플리케이션의 판단은 평균 패킷 사이즈의 임계치를 미리 설정하여 상기 임계치를 넘지 않는 경우 온라인게임을 포함하는 특정 애플리케이션으로 판단할 수도 있다.
한편, 본 발명은 (a)네트워크상에 설정된 소스IP와 대상IP의 쌍으로 구성되는 아이피페어 정보를 추출하여 플로우 테이블을 생성하는 단계와 (b)상기 (a)단계에서 생성된 상기 플로우 테이블에 포함된 상기 아이피페어 정보를 TCP 및 UDP 트래픽이 동시에 존재하는지 여부에 따라 피투피아이피 또는 넌-피투피아이피로 분류하는 단계, 그리고 (c)상기 분류단계에서 아이피가 피투피아이피로 판단되는 경우 상기 아이피를 표시하는 단계를 포함한다.
이때, 상기 상기 (a)단계는, (a1)네트워크 패킷의 헤더 정보를 추출하는 단계와 (a2)상기 추출된 헤더 정보로부터 투플 테이블(tuple table)을 생성하는 단계, 그리고 (a3)상기 투플 테이블로부터 아이피페어 정보를 추출하여 플로우 테이블을 생성하는 단계를 포함할 수도 있다.
또한, 상기 (b)단계는, (b1)상기 아이피페어 정보에 TCP 및 UDP 트래픽이 동시에 존재하는지 여부를 판단하는 단계와 (b2)상기 TCP 및 UDP 트래픽이 동시에 존재하는 경우, 예외IP에 해당하는지 여부를 판단하는 단계와 (b3)상기 TCP 및 UDP 트래픽이 동시에 존재하고, 예외IP에 해당하지 않는 경우, 상기 소스IP 및 대상IP 를 피투피아이피로 분류하고; 상기 TCP 및 UDP 트래픽이 동시에 존재하지 않거나 예외IP에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 분류하는 단계를 포함할 수도 있다.
이와 같은 본 발명에 의하면, 네트워크 프로파일링을 통하여 피투피 트래픽을 정확하게 탐지 및 차단할 수 있고, 관리자가 특정 피투피 프로그램을 분석할 필요가 없으며 변종된 피투피 프로그램에도 적용할 수 있는 장점이 있다.
이하 상술한 바와 같은 본 발명에 의한 피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및 차단 방법의 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명의 구체적인 실시예를 구성하는 피투피 트래픽의 탐지 및 차단 장치를 나타내는 블럭도이다.
도 1에 도시된 바와 같이, 본 발명에 의한 피투피 트래픽 탐지 및 차단 장치는 IP 감지부(10), 저장부(20),및 제어부(30)로 구성된다.
상기 IP 감지부(10)는 네트워크 패킷의 헤더 정보에 포함된 아이피페어 정보를 추출하여 플로우 테이블을 생성한다.
상기 헤더는 데이터의 선두에 놓인 문자군으로서, 상기 헤더에 이어지는 데이터의 내용 및 성격을 식별 또는 제어하기 위해 사용된다.
그리고 상기 플로우 테이블은 상기 네트워크 패킷의 상기 헤더 정보로부터 추출된 소스IP와 대상IP의 쌍으로 구성되는 상기 아이피페어 정보를 포함한다.
이때 상기 아이피페어 정보는 상기 소스IP 및 대상IP의 정보를 포함한다.
또한, 상기 저장부(20)에는 상기 IP 감지부(10)에 의해 생성된 상기 플로우 테이블이 저장된다.
그리고, 상기 제어부(30)는 상기 플로우 테이블에 포함된 상기 소스IP 및 대상IP를 피투피아이피 또는 넌-피투피아이피로 분류한다. 상기 제어부는 상기 아이피페어 정보에 TCP 및 UDP 트래픽이 동시에 존재하고, 예외IP에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 분류하고; 상기 TCP 및 UDP 트래픽이 동시에 존재하지 않거나 예외IP에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 분류한다.
이때 상기 피투피아이피는 피투피 트래픽인 것으로 판단되는 소스IP 및 대상IP의 집합을 지칭한다. 그리고 상기 넌-피투피아이피는 피투피 트래픽이 아닌 것으로 판단되는 소스IP 및 대상IP의 집합을 지칭한다.
그리고, 상기 예외IP는 DNS프로토콜, 메일서버(mail server), 온라인게임을 포함하는 특정 애플리케이션의 아이피 중 어느 하나 이상을 포함할 수도 있다.
도 2는 본 발명의 구체적인 실시예에 의한 피투피 트래픽을 탐지 및 차단하는 과정을 상세히 도시한 흐름도이다.
도 2에 도시된 바와 같이, 네트워크상에 설정된 상기 소스IP와 대상IP의 쌍으로 구성되는 상기 아이피페어 정보를 추출하여 상기 플로우 테이블을 생성한다(S100). 여기에서, 상기 아이피페어 정보를 추출하여 상기 플로우 테이블을 생성하는 단계(S100)는 도 3을 통해 보다 자세히 살펴보기로 한다.
도 3은 본 발명의 구체적인 실시예를 구성하는 데이터 정보 추가 과정을 상세히 도시한 상세 흐름도이다.
도 3에 도시된 바와 같이, 상기 아이피페어 정보를 추출하여 상기 플로우 테이블을 생성하는 단계(S100)는 상기 네트워크 패킷의 상기 헤더 정보를 추출하는 단계(S110)와 추출된 상기 헤더 정보로부터 투플 테이블을 생성하는 단계(S120), 그리고 생성된 상기 투플 테이블로부터 상기 아이피페어 정보를 추출하여 상기 플로우 테이블을 생성하는 단계(S130)를 포함할 수 있다.
상기 헤더 정보로부터 생성된 상기 투플 테이블은 상기 소스IP 및 대상IP의 주소, 소스 포트, 대상 포트, 프로토콜로 구성된다.
상기 생성된 상기 투플 테이블로부터 상기 아이피페어 정보를 추출하여 상기 플로우 테이블을 생성하는 단계(S130)는 상기 IP 감지부(10)에 의하여 수행된다.
상기 플로우 테이블은 상기 네트워크 패킷의 상기 헤더 정보로부터 추출된 상기 소스IP와 대상IP의 쌍으로 구성되는 상기 아이피페어 정보를 포함한다.
다음으로, 상기 플로우 테이블에 포함된 상기 아이피페어 정보를 TCP 및 UDP 트래픽이 동시에 존재하는지 여부에 따라 상기 피투피아이피 또는 상기 넌-피투피아이피로 분류한다(S200). 여기에서, 상기 아이피페어 정보를 상기 피투피아이피(P2P IP) 또는 상기 넌-피투피아이피로 분류하는 단계(S200)는 도 4를 통해 보다 자세히 살펴보기로 한다.
도 4는 본 발명의 구체적인 실시예를 구성하는 데이터 정보 추가 과정을 상세히 도시한 상세 흐름도이다.
도 4를 참조하면, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는지 여부를 판단한다(S210). 상기 아이피페어 정보에 상기 TCP 및 UDP 트래 픽이 동시에 존재하지 않는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한다(S240).
한편, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는 경우, 상기 예외IP에 해당하는지 여부를 판단한다(S220). 상기 예외 IP에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 설정한다(S230). 한편, 상기 예외IP에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한다(S240).
이때 상기 예외IP는 상기 TCP 및 UDP 트래픽이 동시에 존재하지만 피투피 트래픽에 해당하지 않는 것으로 판단되는 네트워크 상의 소스IP 및 대상IP를 지칭한다. 한편 상기 예외IP는 관리자에 의하여 미리 설정될 수 있다.
도 5는 본 발명의 구체적인 실시예를 구성하는 상기 예외IP 검출 방법의 일예를 도시한 상세 흐름도이다.
도 5를 참조하면, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는지 여부를 판단한다(S221). 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하지 않는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한다(S227).
한편, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는 경우, DNS프로트콜에 해당하는지 여부를 판단한다(S223). DNS프로트콜에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 설정한다(S225). 한편, DNS프로트콜에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한 다(S227).
상기 DNS프로토콜은 TCP, UDP에서 port 53번을 사용한 플로우(flow)들이 많이 생기게 되나, 이러한 플로우들은 현 알고리즘에 탐지가 되기 때문에 예외 IP로 설정하여 탐지되지 않도록 설정하는 것이다.
도 6은 본 발명의 구체적인 실시예를 구성하는 상기 예외IP 검출 방법의 다른 예를 도시한 다른 흐름도이다.
도 6을 참조하면, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는지 여부를 판단한다(S221-2). 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하지 않는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한다(S227-2).
한편, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는 경우, 메일서버에 해당하는지 여부를 판단한다(S223-2). 상기 메일서버에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 설정한다(S225-2). 한편, 상기 메일서버에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한다(S227-2).
상기 메일서버의 경우 25번 port(SMTP), 110번 port(POP), 113번 port(Authentication service)등의 서비스를 하고, 외부 메일 서버나 내부 클라이언트와의 연결이 빈번하게 발생하게 되는데, 이때 메일 서버 리스트를 작성하여 유지함으로써 상기 메일서버가 피투피아이피로 지정되는 것을 방지할 수 있다.
도 7은 본 발명의 구체적인 실시예를 구성하는 상기 예외IP 검출 방법의 또 다른 예를 도시한 또 다른 흐름도이다.
도 7을 참조하면, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는지 여부를 판단한다(S221-3). 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하지 않는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한다(S227-3).
한편, 상기 아이피페어 정보에 상기 TCP 및 UDP 트래픽이 동시에 존재하는 경우, 온라인게임을 포함하는 특정 애플리케이션의 아이피에 해당하는지 여부를 판단한다(S223-3). 상기 온라인게임을 포함하는 특정 애플리케이션의 아이피에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 설정한다(S225-3). 한편, 상기 온라인게임을 포함하는 특정 애플리케이션의 아이피에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 설정한다(S227-3).
상기 온라인게임을 포함하는 특정 애플리케이션을 사용하는 네트워크에서는 네트워크 패킷 사이즈의 평균을 구하여 상기 예외IP에 해당 여부를 판단할 수 있다. 상기 온라인게임을 포함하는 특정 애플리케이션은 컨트롤 패킷이나 소량의 정보 패킷들이 주를 이루기 때문에 평균 패킷 사이즈의 임계치를 미리 설정하여 상기 임계치를 초과하는 경우에만 피투피 트래픽으로 감지하도록 하는 것이다.
다음으로, 아이피가 상기 피투피아이피로 판단되는 경우 상기 아이피를 표시한다(S300). 이를 통해 관리자는 효율적으로 피투피 트래픽을 프로파일링을 통하여 탐지 및 차단할 수 있다.
이와 같은 본 발명의 기본적인 기술적 사상의 범주 내에서, 당업계의 통상의 지식을 가진 자에게 있어서는 다른 많은 변형이 가능함은 물론이고, 본 발명의 권리범위는 첨부한 특허청구범위에 기초하여 해석되어야 할 것이다.
이상에서 상세히 설명한 바와 같이 본 발명에 의한 네트워크 프로파일링을 통한 피투피 트래픽 탐지 및 차단 방법에 의하면 다음과 같은 효과를 기대할 수 있다.
먼저 본 발명에 의하면, 네트워크 프로파일링을 통하여 피투피 트래픽을 정확하게 탐지 및 차단할 수 있는 이점이 있다.
또한 본 발명에 의하면, 관리자가 특정 피투피 프로그램을 분석할 필요가 없으며, 변종된 피투피 프로그램에도 적용할 수 있는 이점이 있다.

Claims (14)

  1. 네트워크 패킷(network packet)의 헤더(header) 정보에 포함된 아이피페어(IP pair) 정보를 추출하여 플로우 테이블(flow table)을 생성하는 IP 감지부;
    상기 IP 감지부에 의해 생성된 상기 플로우 테이블이 저장되는 저장부;
    상기 플로우 테이블에 포함된 소스IP 및 대상IP를 피투피아이피(P2P IP) 또는 넌-피투피아이피(non-P2P IP)로 분류하는 제어부를 포함하여 구성됨을 특징으로 하는 피투피 트래픽의 탐지 및 차단 장치.
  2. 제 1 항에 있어서,
    상기 플로우 테이블은 네트워크 패킷의 헤더 정보로부터 추출된 소스IP와 대상IP의 쌍으로 구성되는 아이피페어 정보를 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 장치.
  3. 제 1 항에 있어서,
    상기 제어부는,
    상기 아이피페어 정보에 TCP 및 UDP 트래픽이 동시에 존재하고 예외IP에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 분류하고;
    상기 TCP 및 UDP 트래픽이 동시에 존재하지 않거나 예외IP에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 분류함을 특징으로 하는 피투피 트래 픽의 탐지 및 차단 장치.
  4. 제 3 항에 있어서,
    상기 예외IP는 DNS프로토콜을 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 장치.
  5. 제 3 항에 있어서,
    상기 예외IP는 메일서버(mail server)를 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 장치.
  6. 제 3 항에 있어서,
    상기 예외IP에는 온라인게임을 포함하는 특정 애플리케이션의 아이피가 포함됨을 특징으로 하는 피투피 트래픽의 탐지 및 차단 장치.
  7. 제 6 항에 있어서,
    상기 온라인게임을 포함하는 특정 애플리케이션의 판단은 평균 패킷 사이즈의 임계치를 미리 설정하여 상기 임계치를 넘지 않는 경우 온라인게임을 포함하는 특정 애플리케이션으로 판단함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 장치.
  8. (a) IP 감지부가 네트워크상에 설정된 소스IP와 대상IP의 쌍으로 구성되는 아이피페어 정보를 추출하여 플로우 테이블을 생성하는 단계와;
    (b) 제어부가 상기 (a)단계에서 생성된 상기 플로우 테이블에 포함된 상기 아이피페어 정보를 TCP 및 UDP 트래픽이 동시에 존재하는지 여부에 따라 피투피아이피 또는 넌-피투피아이피로 분류하는 단계; 그리고
    (c) 상기 제어부가 상기 분류단계에서 아이피가 피투피아이피로 판단되는 경우, 상기 아이피를 관리자가 볼 수 있도록 표시하는 단계를 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 방법.
  9. 제 8 항에 있어서,
    상기 (a)단계는,
    (a1)네트워크 패킷의 헤더 정보를 추출하는 단계와;
    (a2)상기 추출된 헤더 정보로부터 투플 테이블을 생성하는 단계; 그리고
    (a3)상기 투플 테이블로부터 아이피페어 정보를 추출하여 플로우 테이블을 생성하는 단계를 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 방법.
  10. 제 8 항에 있어서,
    상기 (b)단계는,
    (b1)상기 아이피페어 정보에 TCP 및 UDP 트래픽이 동시에 존재하는지 여부를 판단하는 단계와;
    (b2)상기 TCP 및 UDP 트래픽이 동시에 존재하는 경우, 예외IP에 해당하는지 여부를 판단하는 단계와;
    (b3)상기 TCP 및 UDP 트래픽이 동시에 존재하고 상기 예외IP에 해당하지 않는 경우, 상기 소스IP 및 대상IP를 피투피아이피로 분류하고: 상기 TCP 및 UDP 트래픽이 동시에 존재하지 않거나 예외IP에 해당하는 경우, 상기 소스IP 및 대상IP를 넌-피투피아이피로 분류하는 단계를 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 방법.
  11. 제 10 항에 있어서,
    상기 예외IP는 DNS프로토콜을 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 방법.
  12. 제 10 항에 있어서,
    상기 예외IP는 메일서버를 포함함을 특징으로 하는 피투피 트래픽의 탐지 및 차단 방법.
  13. 제 10 항에 있어서,
    상기 예외IP에는 온라인게임을 포함하는 특정 애플리케이션의 아이피가 포함됨을 특징으로 하는 피투피 트래픽의 탐지 및 차단 방법.
  14. 제 13 항에 있어서,
    상기 온라인게임을 포함하는 특정 애플리케이션의 판단은 평균 패킷 사이즈의 임계치를 미리 설정하여 상기 임계치를 넘지 않는 경우 온라인게임을 포함하는 특정 애플리케이션으로 판단하는 것을 특징으로 하는 피투피 트래픽의 탐지 및 차단 방법.
KR1020070012284A 2007-02-06 2007-02-06 피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및차단 방법 KR101292445B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070012284A KR101292445B1 (ko) 2007-02-06 2007-02-06 피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및차단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070012284A KR101292445B1 (ko) 2007-02-06 2007-02-06 피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및차단 방법

Publications (2)

Publication Number Publication Date
KR20080073551A KR20080073551A (ko) 2008-08-11
KR101292445B1 true KR101292445B1 (ko) 2013-07-31

Family

ID=39883286

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070012284A KR101292445B1 (ko) 2007-02-06 2007-02-06 피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및차단 방법

Country Status (1)

Country Link
KR (1) KR101292445B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101364927B1 (ko) * 2012-02-27 2014-02-25 플러스기술주식회사 네트워크의 토렌트 트래픽 선별 차단 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030089747A (ko) * 2002-05-18 2003-11-28 한국전자통신연구원 차등화된 QoS 서비스를 제공하는 라우터 및 그것의고속 IP 패킷 분류 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030089747A (ko) * 2002-05-18 2003-11-28 한국전자통신연구원 차등화된 QoS 서비스를 제공하는 라우터 및 그것의고속 IP 패킷 분류 방법

Also Published As

Publication number Publication date
KR20080073551A (ko) 2008-08-11

Similar Documents

Publication Publication Date Title
Yatagai et al. Detection of HTTP-GET flood attack based on analysis of page access behavior
CN102307123B (zh) 基于传输层流量特征的nat流量识别方法
US9979741B2 (en) Malware beaconing detection methods
CN107968791B (zh) 一种攻击报文的检测方法及装置
US9258289B2 (en) Authentication of IP source addresses
US20170295196A1 (en) Network anomaly detection
CN107124434B (zh) 一种dns恶意攻击流量的发现方法及系统
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
CN104135474B (zh) 基于主机出入度的网络异常行为检测方法
Ramamoorthi et al. Real time detection and classification of DDoS attacks using enhanced SVM with string kernels
CN112929390B (zh) 一种基于多策略融合的网络智能监控方法
JP2019523584A (ja) ネットワーク攻撃防御システムおよび方法
KR20140122044A (ko) 슬로우 리드 도스 공격 탐지 장치 및 방법
CN111600865A (zh) 一种异常通信检测方法、装置及电子设备和存储介质
CN103634284B (zh) 一种网络flood攻击的侦测方法及装置
CN107864110B (zh) 僵尸网络主控端检测方法和装置
US10681075B2 (en) Detection of SSL / TLS malware beacons
TWI677209B (zh) 網名過濾方法
CN112995235B (zh) 一种对DDoS攻击进行检测的方法、装置及电子设备
CN107800674A (zh) 一种用于检测分布式拒绝服务的攻击流量的方法和装置
KR101292445B1 (ko) 피투피 트래픽의 탐지 및 차단 장치 그리고 이의 탐지 및차단 방법
Čermák et al. Detection of DNS traffic anomalies in large networks
CN115664833B (zh) 基于局域网安全设备的网络劫持检测方法
KR20130105769A (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
CN107204971B (zh) Web站电商劫持检测方法

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 7