KR101501698B1 - 이동통신망 내 비정상 데이터 플러딩 탐지방법 - Google Patents

Abstract

본 발명은 이동통신망 내 비정상 데이터 플러딩 탐지방법에 관한 것으로, 본 발명에 따르면 현시점의 세션별 트래픽 통계 정보를 추출하고, 상기 트래픽 통계정보를 이용하여 상기 현시점의 분산값을 산출하며, 기설정된 참조기간 중 상기 현시점의 비정상 데이터 플러딩 발생여부를 판별하기 위한 기설정된 개수의 참조시점을 추출하여 참조그룹으로 설정하고, 상기 현시점과 상기 참조그룹 내 참조시점 간의 내분산과 외분산을 연산하며, 상기 외분산이 내분산보다 크면, 비정상 데이터 플러딩 발생으로 결정한다.

Description

이동통신망 내 비정상 데이터 플러딩 탐지방법{METHOD FOR DETECTING ANOMALY DATA FLOODING IN MOBILE COMMUNICATION NETWORK}

본 발명은 이동통신망에 비정상적으로 대량의 트래픽이 유입되어 장애를 유발하는 이상상황을 탐지하는 이동통신망 내 비정상 데이터 플러딩 탐지방법에 관한 것이다.

TCP(Transmission Control Protocol)는 신뢰성 있는 연결을 체결하기 전에 일반적으로 3-웨이 핸드쉐이킹(3-way handshaking)을 수행한다.

3-웨이 핸드쉐이킹 과정은 클라이언트가 서버로 접속을 요청하는 SYN 패킷을 전송하면, 서버가 클라이언트에게 요청을 수락한다는 SYN+ACK 패킷을 전송하고, 클라이언트가 서버로 ACK 패킷을 전송하는 3단계를 거쳐 클라이언트와 서버 사이의 연결을 설정한다.

그러나, 3-웨이 핸드쉐이킹 과정에서 악의적인 공격자가 연결 요청하고 서버로부터 응답을 받은 후 서버에게 ACK 패킷을 보내지 않으면, 서버는 공격자로부터 응답이 올 것을 기대하고 반쯤 열린 하프 오픈(Half Open) 상태가 되어 대기 상태에 머무르게 된다.

일정 시간 동안 클라이언트로부터 ACK 패킷이 오지 않으면, 해당 연결은 초기화되기 전까지 메모리 공간인 백로그 큐(Backlog Queue)에 계속 존재하게 된다.

이동통신망 내 트래픽은 시간 및 요일에 따라 천차만별로 변화하기 때문에 단순히 트래픽 증감으로 현재 트래픽 상황의 정상 여부를 파악할 수 없다. 따라서, 트래픽 변화가 정상적인 상황인지 비정상 상황으로 인한 트래픽 급증인지를 파악할 필요가 있다. 예컨대, 특정 서버에 장애가 발생한 경우, 클라이언트 단말들은 장애가 발생한 서버에 지속적으로 재전송 패킷(TCP SYN)을 전송하여 망에 부하를 주게 된다. 이런 경우, 신속하게 현재 트래픽 상황이 정상인지 비정상인지를 파악할 필요가 있다.

그러나, 앞서 설명한 바와 같이 종래에는 이동통신망 내 트래픽이 천차만별로 변화하기 때문에 트래픽 상황의 정상 여부를 파악하기 어렵다.

본 발명은 상기한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 망에 비정상적으로 대량의 트래픽이 유입되어 장애를 유발하는 이상상황을 탐지하는 이동통신망 내 비정상 데이터 플러딩 탐지방법을 제공하는데 그 목적이 있다.

상기한 과제를 해결하기 위하여, 본 발명에 따른 이동통신망 내 비정상 데이터 플러딩 탐지방법은 현시점의 세션별 트래픽 통계 정보를 추출하는 단계와,상기 트래픽 통계정보를 이용하여 상기 현시점의 분산값을 산출하는 단계와, 기설정된 참조기간 중 상기 현시점의 비정상 데이터 플러딩 발생여부를 판별하기 위한 기설정된 개수의 참조시점을 추출하여 참조그룹으로 설정하는 단계와, 상기 현시점과 상기 참조그룹 내 참조시점 간의 내분산과 외분산을 연산하는 단계와, 상기 외분산이 내분산보다 크면, 비정상 데이터 플러딩 발생으로 결정하는 단계를 포함하는 것을 특징으로 한다.

또한, 상기 세션별 트래픽 통계 정보 추출 단계는, 상기 현시점에서 아웃바운드 방향의 GTP-U 패킷들 중 사용자 수와 사용자별 TCP SYN 패킷 수를 카운팅하여 해시 테이블로 생성하는 것을 특징으로 한다.

또한, 상기 현시점의 분산값 산출 단계는, 사용자 수와 사용자별 TCP SYN 패킷 수에 따른 현시점의 분산값을 산출하는 것을 특징으로 한다.

또한, 상기 참조그룹 설정 단계는, 상기 기설정된 참조기간 중 상기 현시점의 사용자 수를 기준으로 임계값 이하의 오차를 갖는 시점을 정해진 제1개수만큼 추출하는 단계와, 상기 정해진 제1개수의 추출된 시점들에서 상기 현시점의 데이 타입 및 시간 타입이 일치하는 시점들을 정해진 제2개수만큼 추출하는 단계와, 상기 정해진 제2개수의 추출된 시점들 간의 연관분석을 통해 두 그룹으로 분리하는 단계와, 상기 분리된 두 그룹 중 구성수가 더 많은 그룹을 참조그룹으로 설정하는 단계를 포함하는 것을 특징으로 한다.

또한, 상기 기설정된 참조기간은, 상기 현시점을 기준으로 특정 과거 시점까지의 기간인 것을 특징으로 한다.

또한, 상기 두 그룹으로 분리하는 단계는, 상기 참조그룹의 참조시점들간의 분산을 연산하는 단계와, 상기 연산된 참조시점들간의 분산을 기준으로 에지 해시 테이블을 내림차순으로 정렬하는 단계와, 상기 참조시점들을 기설정된 추론 규칙에 따라 두 그룹으로 분리하는 단계를 포함하는 것을 특징으로 한다.

본 발명은 이동통신망에 비정상적으로 대량의 트래픽이 유입되어 장애를 유발하는 이상상황을 신속하게 탐지할 수 있게 한다.

도1은 본 발명의 실시예에 따른 비정상 데이터 플러딩 탐지시스템의 구조도.
도2는 본 발명에 따른 비정상 데이터 플러딩 탐지방법을 도시한 흐름도.
도3은 도 2에 도시된 참조시점을 추출하여 참조그룹을 설정하는 과정을 도시한 흐름도.

이하, 첨부된 도면들을 참조하여 본 발명의 실시예들을 상세하게 설명한다.

도 1은 본 발명의 실시예에 따른 비정상 데이터 플러딩 탐지시스템의 구조도를 도시한다.

도 1을 참조하면, 본 발명에 따른 시스템은 사용자 단말(User Equipment, 이하 'UE'라 함)(10), 기지국(evolved Node B, 이하 'eNB'라 함)(20), 이동성 관리 엔티티(Mobility Management Entity, 이하 'MME'라 함)(30), 서빙 게이트웨이(Serving Gateway, 이하 'S-GW'라 함)(40), 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway 이하 'P-GW'라 함)(50), IP 네트워크(60), 탐지 시스템(70)을 포함한다.

MME(30)는 eNB(20)과 연결되고 S-GW(40), P-GW(50), HSS(Home Subscriber Server)(미도시) 등과도 연결된다. MME(30)는 유휴 모드(idle)의 UE(10)를 관리하고, UE(10)을 페이징(paging)하는 역할도 한다. 이러한 MME(30)는 UE(10)가 EPC(Evolved Packet Core) 망에 연동하는데 필요한 시그널(signal)을 처리한다.

S-GW(40)는 eNB(20)과 연결되며 MME(30) 및 P-GW(50)과도 연동한다. S-GW(40)는 UE(10)가 eNB(20)에 연결된 상태에서 데이터 서비스를 시작하면 사용자 트래픽을 eNB(20)와 EPC 망간에 전달하고 라우팅(routing)하는 역할을 한다. 또한, S-GW(40)는 UE(10)가 핸드오버(handover)하거나 로밍할 때도 데이터 서비스가 끊기지 않도록 관리한다.

P-GW(50)는 UE(10)의 IP(Internet Protocol) 주소를 할당하고, EPC 망 내 패킷 데이터를 주고받고 처리하는 기능을 수행한다. 또한, P-GW(50)는 베어러(bearer) 대역을 결정하고, 패킷 데이터에 대한 포워딩(Forwarding) 및 라우팅(Routing) 기능을 담당한다.

이 때, 통상적으로 eNB(20)와 S-GW(40) 사이는 S1 인터페이스, MME(30)과 S-GW(40) 사이는 S11 인터페이스, S-GW(106)과 P-GW (108) 사이는 S5 인터페이스라고 명명한다.

이외에도 HSS(Home Subscriber Server)(미도시)는 UE(10)별 가입 정보를 저장하고 있으며, UE(10)가 네트워크에 접속 시 MME(30)에게 UE(10) 관련 정보를 전달하여 MME(30)가 UE(10)를 제어하는 데 사용하도록 한다.

UE(10)는 eNB(20)에 접속한 경우, eNB(20), S-GW(40), P-GW(50)를 경유하는 데이터 전송 경로를 이용하여 IP 네트워크(60)에 접속한다.

탐지 시스템(70)은 eNB(20)와 S-GW(40) 사이에 송수신되는 GTP 사용자 데이터 메시지(GTP user data message, GTP-U)를 수집 분석하여 비정상 데이터 플러딩(flooding)을 탐지한다.

탐지 시스템(70)은 세션별 트래픽 통계 정보를 추출한다. 여기서, 탐지 시스템(70)은 GTP-U 패킷을 수집하고, GTP-U 패킷이 아웃바운드(outbound) 방향의 패킷인지를 확인한다. GTP-U 패킷이 아웃바운드 패킷이면 탐지 시스템(70)은 GTP-U 패킷 송신단말(사용자 단말)의 IP 주소가 세션별 트래픽 통계 해시 테이블에 존재하는지를 확인한다. 송신 단말의 IP 주소가 세션별 트래픽 통계 해시 테이블에 존재하지 않으면 탐지 시스템(70)은 세션별 트래픽 통계 해시 테이블에 새로운 레코드를 추가하고 그 레코드의 키(key) 필드에 송신 단말의 IP 주소를 기록한다. 그리고, 탐지 시스템(70)은 GTP-U 패킷이 연결요청(TCP SYN) 패킷인지를 확인하여 GTP-U 패킷이 TCP SYN 패킷이면 해당 TCP SYN 패킷 수를 증가시켜 레코드의 값(value) 필드에 저장한다. 다시 말해서, 탐지 시스템(70)은 세션별(사용자별) TCP SYN 패킷 수를 카운팅한다.

한편, 송신 단말의 IP 주소가 세션별 트래픽 통계 해시 테이블에 존재하면, 탐지 시스템(70)은 해당 레코드의 값 필드에 저장된 TCP SYN 패킷 수를 증가시켜 갱신한다.

탐지 시스템(70)은 현시점(특정 시점)의 세션별 트래픽 통계 정보를 추출하고, 그 추출된 세션별 트래픽 통계 정보에 근거하여 현시점의 분산값을 계산한다. 그리고, 탐지 시스템(70)은 현시점과 비교할 참조 시점을 추출하여 현시점과 추출한 참조시점을 비교하여 현시점의 트래픽 상황의 정상/비정상을 판단한다. 즉, 탐지 시스템(70)은 현시점의 세션별 트래픽 통계 정보를 분석하여 현시점의 비정상 데이터 플러딩 발생 여부를 결정한다.

도 2는 본 발명에 따른 비정상 데이터 플러딩 탐지방법을 도시한 흐름도이고, 도 3은 도 2에 도시된 참조시점을 추출하여 참조그룹을 설정하는 과정을 도시한 흐름도이다.

도 2를 참조하면, 탐지 시스템(70)는 현시점(현재 시점)의 세션별 트래픽 통계 정보를 추출한다(S1). 탐지 시스템(70)는 현시점에서 아웃바운드 방향의 GTP-U 패킷들을 수집하여 사용자 수와 사용자별 TCP SYN 패킷 수를 카운팅하여 해시 테이블로 생성한다. 그리고, 탐지 시스템(70)은 일정 시간(예: 10분)마다 각 슬레이브(slave)의 세션별 트래픽 통계정보를 취합하여 현시점의 세션별 트래픽 통계 정보를 추출한다.

탐지 시스템(70)은 현시점에서의 사용자 수와 사용자별(세션별) TCP SYN 패킷 수를 기준으로 하는 현시점의 분산값을 연산한다(S2). 여기서, 현시점의 분산값은 [수학식 1] 및 [수학식 2]을 이용하여 산출된다.

여기서, n은 사용자 수이다.

탐지 시스템(70)은 취합된 현시점의 통계 정보를 다음 [표 1]과 같이 해시 테이블에 저장한다.

[표 1]에서 각 레코드를 구성하는 키 필드에는 타임스탬프(TimeStamp)가 저장되고, 값 필드에는 사용자 수(user count), 분산(variance), 데이 타입(day type), 시간 타입(time type), 정상(N)/비정상(A) 정보가 저장된다. 여기서, 데이 타입은 평일(W) 및 공휴일(F)로 구분되고, 시간 타입은 오전(M, 4~12시), 오후(A, 12~20시), 심야(N, 20~4시)로 구분된다. 정상/비정상 필드는 탐지 시스템(70)에 의해 비정상 데이터 플러딩 탐지 여부(트래픽 상황의 정상/비정상)에 따라 기록된다.

탐지 시스템(70)은 기설정된 참조기간 중 현시점의 비정상 데이터 플러딩 발생여부를 판별하기 위한 기설정된 개수만큼의 참조시점을 추출하여 참조그룹으로 설정한다(S3). 여기서, 기설정된 참조기간은 현시점을 기준으로 특정 과거 시점까지의 기간으로, 1개월, 3개월, 6개월 등으로 설정될 수 있다.

탐지 시스템(70)은 참조기간 중 현시점의 사용자 수를 기준으로 임계값 이하의 오차가 나는 시점을 정해진 개수(예: 200개)만큼 추출한다(S31).

탐지 시스템(70)은 추출된 시점들에서 현 시점과 데이 타입 및 시간 타입이 일치하는 시점들을 정해진 개수(예: 50개)만큼 추출한다(S32).

탐지 시스템(70)은 최종적으로 추출된 시점들 간의 연관분석을 통해 두 그룹으로 분리한다(S33). 여기서, 탐지 시스템(70)은 쿨백-라이블러 분산(Kullback-Leibler divergence)를 통해 추출한 시점들간의 분산을 연산한다. 그리고, 탐지 시스템(70)은 추출한 시점들간의 분산(가중치)을 기준으로 에지 해시 테이블(edge hash table)을 내림차순으로 정렬하고, 기설정된 추론 규칙에 따라 두 그룹으로 분리한다. 에지 해시 테이블은 [표 2]와 같이 두 시점을 키로 하고, 두 시점 간의 분산을 값으로 기록한다.

그리고, 탐지 시스템(70)은 분리된 두 그룹 중 그룹의 구성 수가 더 큰 그룹을 참조그룹으로 설정한다(S34). 즉, 탐지 시스템(70)은 두 그룹 중 참조시점의 분산의 유사도가 비슷한 그룹을 식별한다.

탐지 시스템(70)은 현 시점과 참조그룹 내 시점 간 내분산과 외분산을 계산하여 외분산이 큰 경우를 트래픽 이상상황(비정상 데이터 플러딩 발생)으로 판별한다. 따라서, 탐지 시스템(70)은 비정상 데이터 플러딩을 탐지하면, 통계 정보 해시 테이블에 저장된 현시점의 트래픽 통계 정보 레코드의 정상/비정상 필드에 비정상을 기록한다. 여기서, 탐지 시스템(70)은 탐지 결과에 따라서 참조 기간을 수정할 수 있다.

Claims (6)

1. 현시점에서 아웃바운드 방향의 GTP-U 패킷들 중 사용자 수와 사용자별 TCP SYN 패킷 수를 카운팅하여 해시 테이블로 생성하는 단계와,
   상기 생성된 정보를 이용하여 상기 현시점의 분산값을 산출하는 단계와,
   기설정된 참조기간 중 상기 현시점의 비정상 데이터 플러딩 발생여부를 판별하기 위한 기설정된 개수의 참조시점을 추출하여 참조그룹으로 설정하는 단계와,
   상기 현시점과 상기 참조그룹 내 참조시점 간의 내분산과 외분산을 연산하는 단계와,
   상기 외분산이 내분산보다 크면, 비정상 데이터 플러딩 발생으로 결정하는 단계를 포함하는 것을 특징으로 하는 이동통신망 내 비정상 데이터 플러딩 탐지방법.
2. 삭제
3. 제1항에 있어서,
   상기 현시점의 분산값 산출 단계는,
   사용자 수와 사용자별 TCP SYN 패킷 수에 따른 현시점의 분산값을 산출하는 것을 특징으로 하는 이동통신망 내 비정상 데이터 플러딩 탐지방법.
4. 제1항에 있어서,
   상기 참조그룹 설정 단계는,
   상기 기설정된 참조기간 중 상기 현시점의 사용자 수를 기준으로 임계값 이하의 오차를 갖는 시점을 정해진 제1개수만큼 추출하는 단계와,
   상기 정해진 제1개수의 추출된 시점들에서 상기 현시점의 데이 타입 및 시간 타입이 일치하는 시점들을 정해진 제2개수만큼 추출하는 단계와,
   상기 정해진 제2개수의 추출된 시점들 간의 연관분석을 통해 두 그룹으로 분리하는 단계와,
   상기 분리된 두 그룹 중 구성수가 더 많은 그룹을 참조그룹으로 설정하는 단계를 포함하는 것을 특징으로 하는 이동통신망 내 비정상 데이터 플러딩 탐지방법.
5. 제1항 또는 제4항에 있어서,
   상기 기설정된 참조기간은,
   상기 현시점을 기준으로 특정 과거 시점까지의 기간인 것을 특징으로 하는 이동통신망 내 비정상 데이터 플러딩 탐지방법.
6. 제4항에 있어서,
   상기 두 그룹으로 분리하는 단계는,
   상기 참조그룹의 참조시점들간의 분산을 연산하는 단계와,
   상기 연산된 참조시점들간의 분산을 기준으로 에지 해시 테이블을 내림차순으로 정렬하는 단계와,
   상기 참조시점들을 기설정된 추론 규칙에 따라 두 그룹으로 분리하는 단계를 포함하는 것을 특징으로 하는 이동통신망 내 비정상 데이터 플러딩 탐지방법.

Images