KR101292887B1 - 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법 - Google Patents

패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법 Download PDF

Info

Publication number
KR101292887B1
KR101292887B1 KR1020090128018A KR20090128018A KR101292887B1 KR 101292887 B1 KR101292887 B1 KR 101292887B1 KR 1020090128018 A KR1020090128018 A KR 1020090128018A KR 20090128018 A KR20090128018 A KR 20090128018A KR 101292887 B1 KR101292887 B1 KR 101292887B1
Authority
KR
South Korea
Prior art keywords
packet
packet stream
router
abnormal
history information
Prior art date
Application number
KR1020090128018A
Other languages
English (en)
Other versions
KR20110071443A (ko
Inventor
강동원
이준경
김상완
박상길
윤상식
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020090128018A priority Critical patent/KR101292887B1/ko
Priority to US12/973,801 priority patent/US20110149746A1/en
Publication of KR20110071443A publication Critical patent/KR20110071443A/ko
Application granted granted Critical
Publication of KR101292887B1 publication Critical patent/KR101292887B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors

Abstract

IP 패킷 동일성 검사 등으로써, 라우터 패킷 스트림을 모니터링하여 특정 트래픽 패킷들을 추출 및 탐지하는 기술에 관한 것으로서, 구체적으로는 라우터에 입력되는 패킷 스트림을 리딩하는 패킷 스트림 리딩부와 상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 비정상 트래픽 검출부를 포함하는 라우터의 패킷 스트림 모니터링 장치와 방법을 개시한다.
라우터, 비정상 패킷, 모니터링, IP 패킷, 동일성

Description

패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법{APPARATUS AND METHOD OF MONITORING PACKET STREAM IN ROUTER USING CHECKING PACKET IDENTITY}
본 발명은 라우터 패킷 스트림을 모니터링하여 특정 트래픽 패킷, 예를 들면 라우터 비정상 트래픽들을 추출 및 탐지하는 기술에 관한 것이다.
현재 입력 패킷 스트림 중 원하는 특정 패킷들을 추출하는 기술에는 다양한 방법들이 존재한다.
특히 비정상 트래픽 필터링 기술에 있어 단순한 것은 특정 임계값 이상일 경우, 해당 트래픽이 비정상임을 감지하는 기술에서부터 복잡한 여러 정책들을 기준으로 비정상 트래픽을 감지하는 기술 등 다양한 방법이 존재하고 있다.
그러나 이러한 다양한 방법들은 대상이 되는 네트워크 망의 환경과 상관없이 일반화 되어 쓰일 수 있는 임계값 및 정책이 제한적 이라는 측면에서 문제점을 안고 있다.
예를 들어, 임계값에 의한 방법은 오보를 방지하기 위해 대상이 되는 네트워크의 환경과 시간대에 따라 임계값의 경험적 수정이 끊임없이 필요하다.
비교적 최근 기술에 해당하는 복잡한 여러 정책들의 조합에 의해 비정상 트랙픽을 감지하는 기술 또한 네트워크 환경, 시간, 트래픽의 종류 등등에 따라 복잡한 정책들만큼, 대상에 맞는 정책 생성이 필요하다.
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 장치 및 방법은 기존 라우터 트래픽 중에서 비정상이라고 생각되는 트래픽의 범위를 좁힌 데이터를 라우터가 위치한 네트워크의 환경과 상관 없이 일관되게 제공함으로써 이에 따른 유지 비용을 경감하고, 좀더 빠르고 정확한 비정상 트래픽 감지를 통한 신속한 대응을 위한 기본 자료를 제공하는 것을 목적으로 한다.
본 발명의 목적은 기술에 있어 핵심이 되는 동일성 판단을 최대한 패킷 내부에 이미 존재하는 특정 정보만을 이용 함으로서 고속(Gbps급) 트래픽 환경에서도 사용하는 것이다.
본 발명의 다른 목적은 라우터의 비정상 트래픽 뿐만 아니라, 라우터 행위 특성 및 라우터의 잘못된 설정에 따른 트래픽 유발에 대한 분석을 수행하는 것이다.
본 발명의 또 다른 목적은 IP 네트워크 망 관리에 있어 별도의 시스템 투자 비용없이 옥텟 값과 패킷 수 측정만으로 비정상 트래픽 유입을 감지하는 것이다.
본 발명의 또 다른 목적은 범위를 세분화 시켜서 비정상이라고 판단되는 트래픽을 패킷 단위로 검출하여 좀더 신빙성 있는 검출을 수행하는 것이다.
상기의 목적을 달성하고 종래기술의 문제점을 해결하기 위하여, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 장치는 라우터에 입력되는 패킷 스트림을 리딩하는 패킷 스트림 리딩부 및 상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 비정상 패킷 검출부를 포함한다.
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 라우터에 입력되는 패킷 스트림을 리딩하는 단계 및 상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 단계를 포함한다.
본 발명의 일실시예에 따르면, 기존 라우터 트래픽 중에서 비정상이라고 생각되는 트래픽의 범위를 좁힌 데이터를 라우터가 위치한 네트워크의 환경과 상관 없이 일관되게 제공함으로써 이에 따른 유지 비용을 경감하고, 좀더 빠르고 정확한 비정상 트래픽 감지를 통한 신속한 대응을 위한 기본 자료를 제공할 수 있다.
본 발명의 일실시예에 따르면, 기술에 있어 핵심이 되는 동일성 판단을 최대한 패킷 내부에 이미 존재하는 특정 정보만을 이용 함으로서 고속(Gbps급) 트래픽 환경에서도 사용할 수 있다.
본 발명의 일실시예에 따르면, 라우터의 비정상 트래픽 뿐만 아니라, 라우터 행위 특성 및 라우터의 잘못된 설정에 따른 트래픽 유발에 대한 분석을 수행할 수 있다.
본 발명의 일실시예에 따르면, IP 네트워크 망 관리에 있어 별도의 시스템 투자 비용없이 옥텟 값과 패킷 수 측정만으로 비정상 트래픽 유입을 감지할 수 있다.
본 발명의 일실시예에 따르면, 범위를 세분화 시켜서 비정상이라고 판단되는 트래픽을 패킷 단위로 검출하여 좀더 신빙성 있는 검출을 할 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명을 설명함에 있어서, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 본 명세서에서 사용되는 용어(terminology)들은 본 발명의 바람직한 실시예를 적절히 표현하기 위해 사용된 용어들로서, 이는 사용자, 운용자의 의도 또는 본 발명이 속하는 분야의 관례 등에 따라 달라질 수 있다. 따라서, 본 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 장치(100)를 설명하는 블록도이다.
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 장치(100)는 라우터에 입력되는 패킷 스트림을 리딩하는 패킷 스트림 리딩부(110)와 상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 비정상 패킷 검출부(120)를 포함할 수 있다.
본 발명의 다른 일실시예에 따른 비정상 패킷 검출부(120)는 이전에 입출력된 패킷 스트림의 이력 정보를 확인하여 상기 리딩된 패킷 스트림의 비정상 여부를 판단할 수 있다. 다시 말해, 비정상 패킷 검출부(120)는 입출력 패킷 중 비정상 트래픽이라 의심할 만한 것을 패킷 이력에서 추출하여 비정상 여부를 결정할 수 있다.
이를 위해, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 장치(100)는 이전에 입출력된 패킷 스트림에 대한 이력 정보를 저장하는 이력 정보 저장부(130)를 더 포함할 수 있다. 또한 패킷 스트림 리딩부(110)는 상기 저장된 이력 정보를 기초로 새로 리딩된 패킷 스트림의 대하여 (소스와 목적지의 IP 주소 정보, 포트 정보, 체크섬 정보) and (식별정보 or 식별정보에 TCP Ack 정보를 더한 값) 중에서 하나의 정보를 이용하여 이력 정보 중 동일한 것이 있는지 여부를 판단하여 동일한 것이면 해당 이력 정보를 삭제하고, 동일한 이력 정보가 없으면 새로운 이력 정보를 추가 할 수 있다.
구체적으로, 비정상 패킷 검출부(120)는 상기 저장된 이력 정보에 기초하여, 정해진 시간 이상 동안 패킷 스트림 리딩부(110)에 의해 삭제 되지 않고 남아 있는 이력 정보를 비정상이라고 판단할 수 있다.
다른 일례로, 이력 정보 저장부(130)는 이전에 입출력된 패킷 스트림 중에서 IPv4 패킷의 TCP 패킷 또는 UDP 패킷 중에서 비정상 패킷을 저장할 수 있다.
본 발명의 다른 일실시예에 따른 이력 정보 저장부(130)는 상기 리딩된 패킷 스트림에 대하여 해싱 테이블을 생성할 수 있다.
본 발명의 다른 일실시예에 따른 비정상 패킷 검출부(120)는 상기 생성된 해싱 테이블을 참고하여, 상기 라우터에 입력된 후, 출력되지 아니한 패킷을 검출할 수 있다.
라우터에 입력되었으나, 라우터의 외부로 출력되지 아니한 패킷은 정상적이지 아니한 패킷이므로, 본 발명의 일실시예에 따른 비정상 패킷 검출부(120)는 상기 리딩되는 패킷 스트림 중에서 상기 외부로 출력되지 아니하는 패킷을 비정상 패킷으로 결정할 수 있다.
본 발명의 다른 일실시예에 따른 비정상 패킷 검출부(120)는 상기 생성된 해싱 테이블을 참고하여, 상기 라우터로부터 출력되었으나, 입력되지 아니한 패킷을 검출할 수 있다.
라우터에 입력된 적이 없으나, 라우터의 외부로 출력된 패킷은 정상적이지 아니한 패킷이므로, 본 발명의 일실시예에 따른 비정상 패킷 검출부(120)는 상기 리딩되는 패킷 스트림 중에서 상기 입력된 적이 없는 패킷을 비정상 패킷으로 결정할 수 있다.
다시 말해, 본 발명의 다른 일실시예에 따른 비정상 패킷 검출부(120)는 패킷 스트림 리딩부(110)가 리딩하는 패킷 스트림을 모니터링하여 입력 되었으나 라우터에서 출력되지 않거나, 출력은 되었으나, 상기 라우터에 입력된 적이 없었던 패킷을 구별하여 해당 패킷을 비정상 패킷으로 결정할 수 있다.
결정된 비정상 패킷은 다양한 관점에서 분석 및 관리될 수 있다. 구체적인 예로써, 옥테온 코어에서 올라온 패킷 데이터(packet data)에 시스템 시작 시간을 추가하는 과정과, 받은 패킷 데이터에 대한 간단한 통계와 옥테온 코어에서 전달한 통계 데이터를 콘솔에 표시하고 패킷 데이터를 PCAP(packet capture) 형태로 저장되는 등으로 관리될 수 있다.
따라서, 본 발명의 일실시예에 따르면, 기존 라우터 트래픽 중에서 비정상이라고 생각되는 트래픽의 범위를 좁힌 데이터를 라우터가 위치한 네트워크의 환경과 상관 없이 일관되게 제공함으로써 이에 따른 유지 비용을 경감하고, 좀더 빠르고 정확한 비정상 트래픽 감지를 통한 신속한 대응을 위한 기본 자료를 제공할 수 있다.
뿐만 아니라, 본 발명의 일실시예에 따르면, 기술에 있어 핵심이 되는 동일성 판단을 최대한 패킷 내부에 이미 존재하는 특정 정보만을 이용 함으로서 고속(Gbps급) 트래픽 환경에서도 사용할 수 있고, 라우터의 비정상 트래픽 뿐만 아니라, 라우터 행위 특성 및 라우터의 잘못된 설정에 따른 트래픽 유발에 대한 분석을 수행할 수 있다.
도 2는 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법을 설명하는 흐름도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 라우터에 입력되는 패킷 스트림을 리딩한다(단계 201).
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 상기 리딩된 패킷 스트림에 대하여 비정상 여부를 판단하고(단계 202), 비정상이라고 판단된 패킷을 선정된 기준으로 관리할 수 있다(단계 203).
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 상기 리딩되는 패킷 스트림을 구성하는 패킷들 각각을 분석하여 상기 비정상 여부를 판단할 수 있다. 또한, 정상이라고 판단된 패킷은 상기 라우터를 이용하여, 선정된 경로로 포워딩할 수 있고, 비정상이라고 판단된 패킷은 선정된 기준에 의한 관리를 수행할 수 있다.
이하 도 3 내지 도 5을 이용하여, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법을 이용하여, 비정상 패킷을 검출(결정)하는 다양한 실시예를 설명한다.
도 3 내지 5는 본 발명의 일실시예에 따른 리딩된 패킷 스트림의 비정상 여부를 판단하는 흐름도이다.
도 3를 참조하면, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 이전에 입출력된 패킷 스트림에 대한 이력 정보를 저장하고 이를 유지할 수 있다(단계 301).
패킷 스트림의 비정상 여부를 판단하기 위해서, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 상기 리딩된 패킷 스트림이 이전에 입력된 패킷 스트림과 동일한지 여부, 즉 리딩된 패킷 스트림을 구성하는 각각의 패킷이 이력 정보로서 저장된 패킷들과 동일한지 여부를 확인할 수 있다(단계 302).
만약, 이력 정보로서 저장된 패킷들과 동일한 경우 해당 패킷을 정상으로 판단하여 이력 정보에서 삭제할 수 있다(단계 303). 이력 정보로서 저장된 패킷들과 동일한 것이 없을 경우 해당 패킷을 새로운 이력 정보로 추가할 수 있다.
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 남은 이력 정보를 비정상으로 판단할 수 있다(단계 304).
도 4를 참조하면, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 이전에 입출력된 패킷 스트림에 대한 해싱 테이블을 생성하고, 이를 유지할 수 있다(단계 401).
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 패킷 스트림의 비정상 여부를 판단하기 위해서, 상기 해싱 테이블을 참고하여 상기 리딩되는 패킷 스트림 중에서 입출력이 비정상인 패킷을 검출할 수 있다(단계 402).
예를 들어, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 상기 해싱 테이블을 참고하여 상기 라우터에 입력된 후, 출력되지 아니한 패킷을 검출할 수 있고, 상기 라우터로부터 출력되었지만, 이전에 입력된 적이 없는 패킷을 검출할 수 있다. 즉, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 특정 시간이 지나도록 동일한 패킷의 입/출력이 존재하지 않을 경우 이를 비정상 트래픽으로 간주한다.
이렇게 검출된 패킷은 비정상 패킷으로 판단될 수 있다(단계 403).
예를 들어, hash table을 검색하여 일정 시간이 지났음에도 hash table에 존재하는 패킷이 있다면, 해당 패킷은 비정상 패킷으로 간주될 수 있다.
이렇게 비정상으로 판단된 패킷은 주기적으로 특정 호스트로 전송될 수 있다.
도 5를 참조하면, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터 링 방법은 라우터로부터 패킷 스트림을 리딩한다(단계 501).
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 IPv4 패킷 중에서 TCP 또는 UDP 패킷 만을 대상으로 비정상 여부를 검출하기 때문에, 패킷 스트림이 TCP 또는 UDP 패킷인지 여부를 판단한다(단계 502).
만약, TCP 또는 UDP 패킷이라면 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 IPv4 패킷 중, TCP와 UDP 패킷을 대상으로 ATR(Anomaly Traffic Record)를 생성할 수 있다(단계 503).
ATR이 존재하는지를 판단하고(단계 504), 상기 ATR이 존재한다면 리딩되는 패킷 스트림에 포함된 패킷의 중복여부를 판단할 수 있다(단계 505).
이때, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 기본 5-tuple(src/dst ip address, src/dst port, protocol)에 TCP, UDP checksum, identification 또는 identification + ack로 패킷의 동일성 검사를 수행하고, 동일한 경우에 중복되었다고 판단할 수 있다.
상기 단계 505의 판단 결과, 중복인 경우라면 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 중복 카운트를 갱신하고(단계 506), 선정된 주기 이후에 새로운 패킷을 리딩할 수 있다.
만약, 단계 502에서, 패킷 스트림이 TCP 또는 UDP 패킷이 아니라면 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 에러 카운트를 갱신하고 선정된 주기 이후에 새로운 패킷을 리딩할 수 있다.
만약, 단계 504에서, ATR이 존재하지 않는다면 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 ATR을 더하고 선정된 주기 이후에 새로운 패킷을 리딩할 수 있다.
만약, 단계 505에서 중복여부를 판단하고, 동일한 경우라면 상기 생성된 ATR을 삭제하고, 선정된 주기 이후에 새로운 패킷을 리딩할 수 있다.
다시 말해, 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 같은 패킷이 없다면 현재 패킷으로 ATR 데이터를 만들고, 있다면 이전 패킷과 중복된 패킷인지를 검사하여 중복된 패킷이라면 중복 카운트를 갱신하고, 중복된 패킷이 아니면 ATR을 제거할 수 있다.
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법을 이용하면, 기존 라우터 트래픽 중에서 비정상이라고 생각되는 트래픽의 범위를 좁힌 데이터를 라우터가 위치한 네트워크의 환경과 상관 없이 일관되게 제공함으로써 유지 비용을 경감하고, 신속하고 정확하게 비정상의 패킷을 감지할 수 있다.
본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플 롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 장치를 설명하는 블록도이다.
도 2는 본 발명의 일실시예에 따른 라우터의 패킷 스트림 모니터링 방법을 설명하는 흐름도이다.
도 3 내지 5는 본 발명의 일실시예에 따른 리딩된 패킷 스트림의 비정상 여부를 판단하는 흐름도이다.

Claims (10)

  1. 라우터에 입력되는 패킷 스트림을 리딩하는 패킷 스트림 리딩부; 및
    상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 비정상 패킷 검출부
    를 포함하고,
    상기 비정상 패킷 검출부는,
    이전에 입출력된 패킷 스트림의 이력 정보를 확인하여 상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 것을 특징으로 하는 라우터의 패킷 스트림 모니터링 장치.
  2. 삭제
  3. 라우터에 입력되는 패킷 스트림을 리딩하는 패킷 스트림 리딩부;
    상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 비정상 패킷 검출부; 및
    이전에 입출력된 패킷 스트림에 대한 이력 정보를 저장하는 이력 정보 저장부
    를 포함하고,
    상기 패킷 스트림 리딩부는,
    상기 저장된 이력 정보를 기초로 상기 리딩된 패킷 스트림의 대하여 상기 이력 정보와 동일한 패킷이 있는지 여부를 판단하고, 상기 동일한 패킷이 있는 경우, 동일한 것이면 해당 이력 정보를 삭제하고, 동일한 이력 정보가 없으면 새로운 이력 정보를 추가하며,
    상기 비정상 패킷 검출부는,
    상기 저장된 이력 정보에 기초하여, 정해진 시간 이상 동안 삭제 되지 않고 남아 있는 이력 정보를 비정상이라고 판단하는 것을 특징으로 하는 라우터의 패킷 스트림 모니터링 장치.
  4. 제3항에 있어서,
    상기 패킷 스트림 리딩부는,
    소스 IP 주소 정보, 목적지 IP 주소 정보, 포트 정보, 체크섬 정보, 식별정보, 식별정보와 TCP Ack 정보를 더한 정보 중에서 하나의 정보를 이용하여, 상기 이력 정보 중 동일한 패킷이 있는지 여부를 판단하는 것을 특징으로 하는 라우터의 패킷 스트림 모니터링 장치.
  5. 제4항에 있어서,
    상기 이력 정보 저장부는,
    이전에 입출력된 패킷 스트림 중에서 IPv4 패킷의 TCP 패킷 또는 UDP 패킷 중에서 비정상 패킷을 저장하고,
    상기 패킷 스트림 리딩부는,
    상기 저장된 비정상 패킷과, 상기 리딩된 패킷 스트림에 대하여 소스와 목적지의 IP 주소 정보, 포트 정보, 체크섬 정보, 식별정보, 및 어크 정보 중에서 적 어도 하나의 정보를 이용하여 동일한지 여부를 판단하는 것을 특징으로 하는 라우터의 패킷 스트림 모니터링 장치.
  6. 제4항에 있어서,
    상기 이력 정보 저장부는,
    상기 리딩된 패킷 스트림에 대하여 해싱 테이블을 생성하고,
    상기 비정상 패킷 검출부는,
    상기 생성된 해싱 테이블을 참고하여, 상기 라우터에 입력된 후, 출력되지 아니한 패킷을 검출하고, 상기 검출된 패킷을 비정상 패킷으로 판단하는 라우터의 패킷 스트림 모니터링 장치.
  7. 제4항에 있어서,
    상기 이력 정보 저장부는,
    상기 리딩된 패킷 스트림에 대하여 해싱 테이블을 생성하고,
    상기 비정상 패킷 검출부는,
    상기 생성된 해싱 테이블을 참고하여, 상기 라우터로부터 출력되었지만, 이전에 입력된 적이 없는 패킷을 검출하고, 상기 검출된 패킷을 비정상 패킷으로 판단하는 라우터의 패킷 스트림 모니터링 장치.
  8. 라우터에 입력되는 패킷 스트림을 리딩하는 단계;
    상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 단계; 및
    이전에 입출력된 패킷 스트림에 대한 이력 정보를 저장하는 단계
    를 포함하고,
    상기 비정상 여부를 판단하는 단계는,
    상기 저장된 이력 정보에 기초하여, 상기 리딩된 패킷 스트림이 이전에 입력된 패킷 스트림과 동일한지 여부를 확인하는 단계; 및
    상기 동일한지 여부를 확인 결과, 동일한 경우 상기 리딩된 패킷 스트림이 비정상이라고 판단하는 단계
    를 포함하는 것을 특징으로 하는 라우터의 패킷 스트림 모니터링 방법.
  9. 삭제
  10. 라우터에 입력되는 패킷 스트림을 리딩하는 단계;
    상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 단계; 및
    상기 리딩된 패킷 스트림에 대하여 해싱 테이블을 생성하는 단계
    를 더 포함하고,
    상기 비정상 여부를 판단하는 단계는,
    상기 생성된 해싱 테이블을 참고하여, 상기 라우터에 입력된 후, 출력되지 아니한 패킷을 검출하거나, 상기 라우터로부터 출력되었지만, 이전에 입력된 적이 없는 패킷을 검출하는 단계; 및
    상기 검출된 패킷을 비정상 패킷으로 판단하는 단계
    를 포함하는 라우터의 패킷 스트림 모니터링 방법.
KR1020090128018A 2009-12-21 2009-12-21 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법 KR101292887B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090128018A KR101292887B1 (ko) 2009-12-21 2009-12-21 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법
US12/973,801 US20110149746A1 (en) 2009-12-21 2010-12-20 Apparatus and method of monitoring packet stream in router using packet identity checking

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090128018A KR101292887B1 (ko) 2009-12-21 2009-12-21 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20110071443A KR20110071443A (ko) 2011-06-29
KR101292887B1 true KR101292887B1 (ko) 2013-08-02

Family

ID=44150889

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090128018A KR101292887B1 (ko) 2009-12-21 2009-12-21 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법

Country Status (2)

Country Link
US (1) US20110149746A1 (ko)
KR (1) KR101292887B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6594732B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP6497142B2 (ja) 2015-03-13 2019-04-10 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
KR102512622B1 (ko) * 2020-01-08 2023-03-23 건국대학교 산학협력단 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060056195A (ko) * 2004-11-20 2006-05-24 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100333250B1 (ko) * 1998-10-05 2002-05-17 가나이 쓰토무 패킷 중계 장치
CN1312892C (zh) * 1999-06-30 2007-04-25 倾向探测公司 用于监控网络流量的方法和设备
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US7181765B2 (en) * 2001-10-12 2007-02-20 Motorola, Inc. Method and apparatus for providing node security in a router of a packet network
KR100876765B1 (ko) * 2002-05-10 2009-01-07 삼성전자주식회사 이동 통신 시스템에서 데이터 재전송 장치 및 방법
EP1548980A1 (en) * 2003-12-26 2005-06-29 Alcatel A method of monitoring a network
US7784094B2 (en) * 2005-06-30 2010-08-24 Intel Corporation Stateful packet content matching mechanisms
US7633944B1 (en) * 2006-05-12 2009-12-15 Juniper Networks, Inc. Managing timeouts for dynamic flow capture and monitoring of packet flows
US9125130B2 (en) * 2006-09-25 2015-09-01 Hewlett-Packard Development Company, L.P. Blacklisting based on a traffic rule violation
JP5377337B2 (ja) * 2007-03-09 2013-12-25 セキュア64・ソフトウェア・コーポレイション サーバー・コンピュータ
US9264441B2 (en) * 2008-03-24 2016-02-16 Hewlett Packard Enterprise Development Lp System and method for securing a network from zero-day vulnerability exploits

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060056195A (ko) * 2004-11-20 2006-05-24 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법

Also Published As

Publication number Publication date
KR20110071443A (ko) 2011-06-29
US20110149746A1 (en) 2011-06-23

Similar Documents

Publication Publication Date Title
WO2022017249A1 (zh) 可编程交换机、流量统计方法、防御方法和报文处理方法
CN112702383A (zh) 收集误差分组信息以进行网络策略实施
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
TW201703465A (zh) 網路異常偵測技術
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US8677485B2 (en) Detecting network anomaly
WO2015074451A1 (zh) 恶意攻击的检测方法和装置
CN107566320B (zh) 一种网络劫持检测方法、装置与网络系统
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
KR100617310B1 (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
CN110166480B (zh) 一种数据包的分析方法及装置
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
CN106549820A (zh) 识别网络环路的方法、装置、流量清洗设备及系统
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
KR101292887B1 (ko) 패킷 동일성 검사를 이용한 라우터의 패킷 스트림 모니터링 장치 및 방법
CN114785567A (zh) 一种流量识别方法、装置、设备及介质
CN111131180B (zh) 一种大规模云环境中分布式部署的http协议post拦截方法
KR20190027122A (ko) 네트워크 공격 패턴 분석 및 방법
RU2019142997A (ru) Способ и устройство для обнаружения аномалий инфраструктуры
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
CN111917660B (zh) 网关设备策略的优化方法及装置
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160628

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee