KR101437008B1 - 트래픽 분석 장치 및 방법 - Google Patents
트래픽 분석 장치 및 방법 Download PDFInfo
- Publication number
- KR101437008B1 KR101437008B1 KR1020120131148A KR20120131148A KR101437008B1 KR 101437008 B1 KR101437008 B1 KR 101437008B1 KR 1020120131148 A KR1020120131148 A KR 1020120131148A KR 20120131148 A KR20120131148 A KR 20120131148A KR 101437008 B1 KR101437008 B1 KR 101437008B1
- Authority
- KR
- South Korea
- Prior art keywords
- initial
- bytes
- flow
- traffic
- flows
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 트래픽 분석 장치 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 트래픽 분석 장치는, 복수의 플로우(Flow) 패킷의 페이로드(Payload)에서 초기 N 바이트를 각기 선별하는 선별부; 상기 복수의 플로우 각각의 특징(Feature)을 이용하여 상기 각 플로우에 대한 플로우 수치적 정보(Flow statistics)를 생성하는 생성부; 및 각기 선별된 상기 초기 N 바이트와 생성된 상기 플로우 수치적 정보를 기계 학습(Machine Learning)하고, 그 결과 트래픽의 분류 기준을 결정하는 학습부를 포함하는 것을 특징으로 한다.
Description
본 발명은 트래픽 분석 기술에 관한 것으로서, 더 구체적으로는 인터넷 트래픽의 응용프로그램을 분류할 수 있는 트래픽 분석 장치 및 방법에 관한 것이다.
최근, 인터넷이 대중화되면서 인터넷 사용자는 이메일이나, 웹서비스 같은 전통적 인터넷 서비스뿐만 아니라, P2P 파일 공유 및 멀티미디어 스트리밍 서비스 등을 사용하고 있다. 그에 따라, 인터넷 트래픽도 급증하고 있어, 다량 트래픽을 정확히 파악하고, 네트워크를 효율적으로 관리할 수 있는 트래픽 모니터링 및 분석 기술이 중요해지고 있다.
인터넷 트래픽 분석이란 분석 대상 네트워크의 트래픽을 수집하여, 응용 프로그램별로 분류하고 수량적으로 측정하는 것을 의미한다. 따라서, 인터넷 트래픽을 분석하기 위해서는 트래픽을 각 응용 프로그램별로 분류하는 기술이 필수적이다.
인터넷 트래픽 분석 기술은 가장 단순한 포트 기반 방법부터 플로우 정보를 이용한 방법, 호스트의 행동을 분석한 방법 또는 이들을 결합하여 이용하는 방법 등 다양한 방법들이 있다.
본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 두 가지 정보를 이용하여 트래픽의 응용프로그램의 시그니처를 분류할 수 있는 트래픽 분석 장치 및 방법을 제공하는 것을 그 목적으로 한다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일면에 따른 트래픽 분석 장치는, 복수의 플로우(Flow) 패킷의 페이로드(Payload)에서 초기 N 바이트를 각기 선별하는 선별부; 상기 복수의 플로우 각각의 특징(Feature)을 이용하여 상기 각 플로우에 대한 플로우 수치적 정보(Flow statistics)를 생성하는 생성부; 및 각기 선별된 상기 초기 N 바이트와 생성된 상기 플로우 수치적 정보를 기계 학습(Machine Learning)하고, 그 결과 트래픽의 분류 기준을 결정하는 학습부를 포함하는 것을 특징으로 한다.
본 발명의 다른 면에 따른 트래픽 분석 장치에 의한 트래픽 분석 방법은, 복수의 플로우(Flow) 패킷의 페이로드에서 초기 N 바이트를 각기 선별하는 단계; 상기 복수의 플로우 각각의 특징(Feature)을 이용하여 상기 각 플로우에 대한 플로우 수치적 정보(Flow statistics)를 생성하는 단계; 및 각기 선별된 상기 초기 N 바이트와 생성된 상기 플로우 수치적 정보를 기계 학습(Machine Learning)하고, 그 결과 트래픽의 분류 기준을 결정하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 대량의 인터넷 트래픽을 비교적 정확히 응용프로그램별로 분류할 수 있다.
도 1은 본 발명의 실시예에 따른 트래픽 분석 장치를 도시한 구성도.
도 2 및 도 3은 본 발명의 실시예에 따른 트래픽 분류 실험 결과 그래프.
도 4는 본 발명의 실시예에 따른 트래픽 분석 방법을 도시한 흐름도.
도 2 및 도 3은 본 발명의 실시예에 따른 트래픽 분류 실험 결과 그래프.
도 4는 본 발명의 실시예에 따른 트래픽 분석 방법을 도시한 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이제 본 발명의 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 트래픽 분석 장치를 도시한 구성도이다.
도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 트래픽 분석 장치(10)는 선별부(110), 생성부(120), 학습부(130) 및 분류부(140)를 포함한다.
선별부(110)는 인터넷 트래픽의 플로우(Flow) 패킷들을 입력받아, 복수의 플로우의 패킷 중 어느 하나의 패킷의 페이로드(Payload)에서 초기 N 바이트(예컨대, 32 byte)를 각기 선별한다.
선별부(110)는 각 플로우의 패킷들 중에서 세션(Session) 생성의 초기에 출발지와 도착지 간에 송/수신되는 플로우 시그널 패킷의 페이로드에서 초기 N 바이트를 선별할 수 있다. 즉, 플로우 시그널 패킷은 플로우의 여러 패킷 중에서 맨 처음으로 나타나는 일 패킷일 수 있다.
이때, 인터넷 트래픽은 다수의 플로우로 구성되는데, 각 플로우는 <출발지(Source) IP, 출발지 포트(Port), 도착지(Destination) IP, 도착지 포트(Port), 프로토콜>와 같이 다섯 개의 튜플 값이 같은 패킷들을 묶은 것이다.
생성부(120)는 복수의 플로우 각각의 특징(Feature)을 이용하여 각 플로우에 대한 플로우 수치적 정보(Flow statistics)를 생성한다. 여기서, 각 플로우 특징(Key flow feature)은 패킷 간 도착시간, 프로토콜, 포트, 패킷 개수, 평균 패킷 크기 및 각 패킷의 플래그(Flag) 중 적어도 하나를 포함한다.
학습부(130)는 각기 선별된 초기 N 바이트와 생성된 플로우 수치적 정보를 트레이닝(Training) 정보로 이용하여 기계 학습(Machine Learning)한다. 여기서, 기계 학습(Machine Learning)은 데이터의 집합을 기계에 학습시킴에 따라, 얻은 규칙이나 패턴을 이용하여 추후 입력되는 데이터로부터 유용한 정보를 추출하기 위한 기술이다. 본 발명에서는 기계 학습을 통해서 트래픽의 응용프로그램의 시그니처를 분류하기 위한 분류기(또는, 분류 기준)를 결정한다.
이때, 학습부(130)는 서포트 벡터 머신(Support Vector Machine) 및 C.45 결정 트리(Decision Tree) 중 적어도 하나의 알고리즘을 이용하여 초기 N 바이트와 플로우 수치적 정보를 학습할 수 있다.
한편, 기계 학습은 특징(Feature)을 이용하는데, 플로우의 시그널 패킷의 페이로드는 특징이 아닌, 16진수(Hexa)로 표현되어 기계 학습될 수 없으므로, 학습부(130)는 초기 N 바이트를 입력받으면, 16진수인 초기 N 바이트를 숫자로 바꿔주는 과정을 수행한 후 기계 학습한다.
이를 위하여, 학습부(130)는 기계 학습 전에 페이로드에 문자가 존재하는지 여부를 확인하고, 문자가 존재하면, 초기 N 바이트를 8 바이트 단위로 그 내용에 대응되는 0~255 중 어느 하나의 숫자로 매칭(Maching)한다.
예를 들어, N이 16이고 페이로드의 내용이 4EF0면, 학습부(130)는 총 16 바이트 중 초기 8 바이트인 4E를 그 내용에 대응하는 78로 변경하고, 다음 8 바이트인 F0을 그 내용에 대응하는 240으로 변경하여 매칭한다.
여기서, 페이로드에 문자 존재 여부는 선별부(110)나, 다른 구성요소에 의해 확인되어 학습부(130)로 알려질 수 있으며, 학습부(130)에 의해 직접 확인될 수도 있다.
한편, 학습부(130)는 페이로드에 문자가 존재하지 않으면, 초기 N 바이트를 8 바이트단위로 256으로 매칭한 후 기계 학습에 이용한다. 따라서, 본 발명에서는 플로우 시그널 패킷의 페이로드가 실제로 존재하지 않을 경우에도 해당 플로우를 효과적으로 트레이닝할 수 있다.
일반적으로, 페이로드 기법은 패킷을 열어 가장 상위층의 응용프로그램 프로토콜을 직접 확인(Deep Packet Inspection)하므로, 각 응용프로그램의 유일한(Unique) 페이로드 시그니쳐(특징)를 알고 있다면, 매우 정확히 데이터를 분류할 수 있는 특징이 있다. 그러나, 종래의 페이로드 기법은 패킷이 암호화 전송될 경우 응용프로그램의 시그니처를 정확히 파악하기 어려운 문제가 있었다.
이러한 문제를 개선하고자, 본 발명의 실시예는 페이로드를 기계 학습하여 트래픽 분류기(또는, 분류 기준)를 얻으므로, 응용프로그램의 패킷이 암호화 전송되거나, 페이로드가 실제로 비어있는 경우에도 해당 플로우를 효과적으로 트레이닝할 수 있어, 트래픽 분류의 정확도를 높일 수 있다.
뿐만 아니라, 본 발명의 실시예는 외부적으로 관찰 가능한 통계적 정보인 플로우 수치적 정보를 기계 학습하여 응용프로그램 시그니쳐를 분류하므로, 페이로드 정보를 정상적으로 사용하기 어려울 경우에도 효과적으로 트래픽을 분류할 수 있다.
이하, 도 2 및 도 3을 참조하여 본 발명의 실시예에 따른 패킷 분석 기법의 성능에 대해서 살펴본다. 도 2 및 도 3은 BitTorrent, CHAT, MAIL, NTP, SSH/SSL, SpamAssasin 및 Web 응용프로그램의 패킷 및 플로우 특징을 기계 학습함에 따른 분류기를 이용하여 트래픽을 분류한 실험결과이다. 또한, 서포트 벡터 머신(SVM) 및 C4.5 결정 트리(C4.5)를 각기 사용하여 실험한 결과이다.
도 2는 본 발명의 실시예에 따른 하이브리드 패킷 분석 기법에서 페이로드 반영 범위를 증가시키며 실험한 결과, 결정된 트래픽 분류기의 전체 정확도(Overall Accuracy)를 도시한 그래프이다.
도 2에서, 본 발명의 트래픽 분석 장치(10)는 페이로드의 초기 8 바이트와 초기 16 바이트를 이용한 경우보다, 초기 32 바이트를 이용한 경우에, 보다 향상된 전체 정확도를 얻을 수 있고, 이러한 특징은 서포트 벡터 머신을 사용할 경우에 두드러짐을 알 수 있다. 그 이유는 기계 학습 시에 플로우 페이로드를 34 바이트 이상을 이용하면, 각 응용프로그램의 시그니처(특징)를 충분히 반영할 수 있기 때문이다. 또한, 도 2의 실험에서는 페이로드를 64 바이트 이상 반영하였을 때에는 전체 정확도가 개선되지 않음을 확인할 수 있다. 따라서, 본 발명의 실시예에서는 플로우 시그널 페이로드의 초기 32 바이트를 학습에 이용하는 경우를 예로 들어 설명한다.
도 3은 본 발명의 실시예에 따른 트래픽 분석 장치가 페이로드만을 이용한 경우(Payload), 플로우 정보만을 이용한 경우(Flow statistics) 및 페이로드/플로우 정보를 함께 이용한 경우(Hybrid)의 전체 정확도를 비교하여 도시한 그래프이다. 도 3은 페이로드의 초기 32 바이트를 이용한 경우의 예이다.
도 3에서, 본 발명의 실시예에 따른 트래픽 분석 장치가 두 가지 정보(페이로드 및 플로우 정보)를 모두 활용했을 때에 두 가지 정보 중 하나만을 이용한 경우에 비해서 향상된 결과를 얻을 수 있음을 알 수 있다. 이는 C4.5 결정 트리와 서포트 벡터 머신 알고리즘을 이용한 실험 결과 그래프에서 각기 확인할 수 있다.
이와 같이, 본 발명의 실시예는 페이로드 정보와 플로우 수치적 정보를 함께 활용하는 하이브리드 기법을 이용하므로, 대량 인터넷 트래픽의 분류 정확도를 높일 수 있다.
이하, 도 4를 참조하여 본 발명의 실시예에 따른 트래픽 분석 방법에 대해서 설명한다. 도 4는 본 발명의 실시예에 따른 트래픽 분석 방법을 도시한 흐름도이다.
도 4를 참조하면, 트래픽 분석 장치(10)는 복수의 플로우(Flow) 시그널 패킷의 페이로드에서 초기 N 바이트를 각기 선별한다(S410). 여기서, 플로우 시그널 패킷은 플로우의 여러 패킷 중에서 맨 처음으로 나타나는 일 패킷일 수 있으며, N은 32일 수 있다.
이어서, 트래픽 분석 장치(10)는 복수의 플로우 각각의 특징(Feature)을 이용하여 각 플로우에 대한 플로우 수치적 정보(Flow statistics)를 생성한다(S420). 여기서, 각 플로우 특징(Key flow feature)은 패킷 간 도착시간, 프로토콜, 포트, 패킷 개수, 평균 패킷 크기 및 각 패킷의 플래그(Flag) 중 적어도 하나를 포함한다.
트래픽 분석 장치(10)는 각기 선별된 초기 N 바이트와 생성된 플로우 수치적 정보를 기계 학습(Machine Learning)하고, 트래픽의 분류 기준을 결정한다(S430). 이때, 트래픽 분석 장치(10)는 기계 학습 전에 페이로드에 문자가 존재하는지 여부를 확인하고, 존재하면, 초기 N 바이트를 8 바이트 단위로 그 내용에 대응되는 0~255 중 어느 하나의 숫자로 매칭한다. 반면, 트래픽 분석 장치(10)는 페이로드에 문자가 존재하지 않으면, 초기 N 바이트를 8 바이트 단위로 256으로 매칭한다.
이후, 트래픽 분석 장치(10)는 결정된 분류 기준에 따라 입력받은 인터넷 트래픽의 응용프로그램의 시그니처를 분류한다(S440).
이와 같이, 본 발명의 실시예는 두 정보(페이로드의 초기 N 바이트 및 플로우 수치 정보)를 함께 활용하여 두 가지 정보 중 하나만 이용할 때보다 분류의 정확도를 향상시킬 수 있다.
또한, 본 발명의 실시예는 페이로드를 기계 학습하여 트래픽 분류기(또는, 분류 기준)를 얻으므로, 응용프로그램의 패킷이 암호화 전송되는 경우나, 페이로드가 실제로 비어있는 경우에도 해당 플로우를 효과적으로 학습할 수 있어, 트래픽 분류의 정확도를 높일 수 있다.
뿐만 아니라, 본 발명의 실시예는 외부적으로 관찰 가능한 통계적 정보인 플로우 수치적 정보를 기계 학습하여 응용프로그램 시그니쳐를 분류하므로, 페이로드 정보를 정상적으로 사용하기 어려울 경우에도 효과적으로 트래픽을 분류할 수 있다.
이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.
Claims (9)
- 복수의 플로우(Flow) 각각을 구성하는 복수의 플로우 패킷 중에서 세션(session) 생성의 초기에 출발지와 목적지 간에 주고 받는 시그널 패킷의 페이로드(Payload)에서 기 설정된 용량의 초기 N 바이트 페이로드 정보를 선별하는 선별부;
상기 복수의 플로우 각각의 특징(Feature)을 이용하여 상기 각 플로우에 대한 플로우 수치적 정보(Flow statistics)를 생성하는 생성부; 및
플로우 단위로 각기 선별된 상기 초기 N 바이트 페이로드 정보와, 생성된 상기 플로우 수치적 정보를 기계 학습(Machine Learning)하고, 그 결과 트래픽(Traffic)의 분류 기준을 결정하는 학습부를 포함하되,
상기 학습부는,
상기 기계 학습 전에 상기 초기 N 바이트 페이로드 정보에 문자가 있는 경우, 이를 8 바이트 단위로 그 내용에 대응되는 0~255 중 어느 하나의 숫자로 매칭하고, 상기 초기 N 바이트 페이로드 정보에 문자가 존재하지 않으면, 상기 초기 N 바이트 페이로드 정보를 8 바이트 단위로 256으로 표현하는 것
인 트래픽 분석 장치.
- 제1항에 있어서,
상기 분류 기준에 따라 이후 입력되는 트래픽을 응용프로그램 별로 분류하는 분류부
를 더 포함하는 트래픽 분석 장치.
- 삭제
- 제1항에 있어서, 상기 학습부는,
서포트 벡터 머신(Support Vector Machine) 및 C4.5 결정 트리(Decision Tree) 중 적어도 하나를 이용하여 상기 초기 N바이트와 상기 플로우 수치적 정보를 학습하는 것인 트래픽 분석 장치. - 삭제
- 삭제
- 트래픽 분석 장치에 의한 트래픽 분석 방법으로서,
복수의 플로우(Flow) 각각을 구성하는 복수의 플로우 패킷 중에서 세션(session) 생성의 초기에 출발지와 목적지 간에 주고 받는 시그널 패킷의 페이로드(Payload)에서 기 설정된 용량의 초기 N 바이트 페이로드 정보를 선별하는 단계;
상기 복수의 플로우 각각의 특징(Feature)을 이용하여 상기 각 플로우에 대한 플로우 수치적 정보(Flow statistics)를 생성하는 단계; 및
플로우 단위로 각기 선별된 상기 초기 N 바이트 페이로드 정보와, 생성된 상기 플로우 수치적 정보를 기계 학습(Machine Learning)하고, 그 결과 트래픽(Traffic)의 분류 기준을 결정하는 단계를 포함하되,
상기 트래픽의 분류 기준을 결정하는 단계는,
상기 기계 학습 전에 상기 초기 N 바이트 페이로드 정보에 문자가 있는 경우, 이를 8 바이트 단위로 그 내용에 대응되는 0~255 중 어느 하나의 숫자로 매칭하고, 상기 초기 N 바이트 페이로드 정보에 문자가 존재하지 않으면, 상기 초기 N 바이트 페이로드 정보를 8 바이트 단위로 256으로 표현하는 것
인 트래픽 분석 방법.
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120131148A KR101437008B1 (ko) | 2012-11-19 | 2012-11-19 | 트래픽 분석 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120131148A KR101437008B1 (ko) | 2012-11-19 | 2012-11-19 | 트래픽 분석 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140064149A KR20140064149A (ko) | 2014-05-28 |
| KR101437008B1 true KR101437008B1 (ko) | 2014-09-05 |
Family
ID=50891641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120131148A KR101437008B1 (ko) | 2012-11-19 | 2012-11-19 | 트래픽 분석 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101437008B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10841194B2 (en) | 2018-04-18 | 2020-11-17 | Electronics And Telecommunications Research Institute | Method and apparatus for analyzing traffic based on flow in cloud system |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110233769B (zh) * | 2018-03-06 | 2021-09-14 | 华为技术有限公司 | 流量检测方法和设备、样本训练方法和设备、以及介质 |
| KR102023777B1 (ko) * | 2018-05-15 | 2019-09-20 | 엑사비스 주식회사 | 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템 |
| KR102403376B1 (ko) * | 2022-02-23 | 2022-05-30 | 경희대학교 산학협력단 | 결정 트리에 기반하는 트래픽 분류 장치 및 그 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110070464A (ko) * | 2009-12-18 | 2011-06-24 | 한국전자통신연구원 | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 |
| KR20120068612A (ko) * | 2010-12-17 | 2012-06-27 | 한국전자통신연구원 | Dns 쿼리 트래픽 감시 및 처리 방법과 그 장치 |
-
2012
- 2012-11-19 KR KR1020120131148A patent/KR101437008B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110070464A (ko) * | 2009-12-18 | 2011-06-24 | 한국전자통신연구원 | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 |
| KR20120068612A (ko) * | 2010-12-17 | 2012-06-27 | 한국전자통신연구원 | Dns 쿼리 트래픽 감시 및 처리 방법과 그 장치 |
Non-Patent Citations (2)
| Title |
|---|
| 논문1 * |
| 논문1* |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10841194B2 (en) | 2018-04-18 | 2020-11-17 | Electronics And Telecommunications Research Institute | Method and apparatus for analyzing traffic based on flow in cloud system |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140064149A (ko) | 2014-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alshammari et al. | A flow based approach for SSH traffic detection | |
| Pei et al. | A DDoS attack detection method based on machine learning | |
| KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
| CN1881950B (zh) | 使用频谱分析的分组分类加速 | |
| KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| Alshammari et al. | Investigating two different approaches for encrypted traffic classification | |
| CN105871619B (zh) | 一种基于n-gram多特征的流量载荷类型检测方法 | |
| CN102571946B (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
| Korczyński et al. | Classifying service flows in the encrypted skype traffic | |
| KR101437008B1 (ko) | 트래픽 분석 장치 및 방법 | |
| US10715378B2 (en) | Hash-based selection of network packets for packet flow sampling in network communication systems | |
| Huang et al. | Early identifying application traffic with application characteristics | |
| Islam et al. | Network anomaly detection using lightgbm: A gradient boosting classifier | |
| Muliukha et al. | Analysis and classification of encrypted network traffic using machine learning | |
| Seddigh et al. | A framework & system for classification of encrypted network traffic using Machine Learning | |
| Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
| Li et al. | High performance flow feature extraction with multi-core processors | |
| JP2007228217A (ja) | トラフィック判定装置、トラフィック判定方法、及びそのプログラム | |
| CN108141377B (zh) | 网络流早期分类 | |
| Singhal et al. | State of the art review of network traffic classification based on machine learning approach | |
| TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
| Aung et al. | Anomaly detection in sdn’s control plane using combining entropy with svm | |
| CN115065592A (zh) | 信息处理方法、装置及存储介质 | |
| CN104753726A (zh) | 一种串行数据流的审计控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20160224 Year of fee payment: 6 |