KR101626293B1 - 접근제어리스트 생성 및 검증 장치, 및 방법 - Google Patents

접근제어리스트 생성 및 검증 장치, 및 방법 Download PDF

Info

Publication number
KR101626293B1
KR101626293B1 KR1020150051891A KR20150051891A KR101626293B1 KR 101626293 B1 KR101626293 B1 KR 101626293B1 KR 1020150051891 A KR1020150051891 A KR 1020150051891A KR 20150051891 A KR20150051891 A KR 20150051891A KR 101626293 B1 KR101626293 B1 KR 101626293B1
Authority
KR
South Korea
Prior art keywords
list
access control
flow
lfp
port
Prior art date
Application number
KR1020150051891A
Other languages
English (en)
Inventor
최승오
윤정한
장엽
김우년
박상우
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150051891A priority Critical patent/KR101626293B1/ko
Application granted granted Critical
Publication of KR101626293B1 publication Critical patent/KR101626293B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 트래픽의 기본적인 Flow 정보만 분석하여 서버-클라이언트 관계를 파악하고 네트워크 트래픽으로부터 장치 및 시스템들 간의 접근제어리스트를 자동으로 생성하고 분석하여 실제로 적용할 접근제어리스트인지 판단하는 접근제어리스트 생성 및 검증 장치, 및 방법을 제시한다. 제시된 장치는 네트워크 트래픽에서 플로우의 기본 정보를 포함하는 플로우 리스트를 입력받아 지역적으로 빈번히 사용된 포트 번호(LFP)를 추출하고 추출된 포트 번호를 근거로 LFP 리스트를 만들어 출력하는 LFP 자동 추출부, 플로우 리스트 및 LFP 리스트를 이용하여 접근제어리스트를 생성하는 접근제어리스트 자동 생성부, 및 접근제어리스트 및 접근제어리스트의 생성에 사용되지 못하고 남은 잔여 플로우를 검증하는 접근제어리스트 및 잔여 플로우 검증부를 포함한다.

Description

접근제어리스트 생성 및 검증 장치, 및 방법{Access control list generation and inspection apparatus, and method}
본 발명은 접근제어리스트 생성 및 검증 장치 및 방법에 관한 것으로, 보다 상세하게는 네트워크 트래픽을 이용한 서버-클라이언트 관계 분석 기반의 접근제어리스트를 자동으로 생성하고 검증하는 장치 및 방법에 관한 것이다.
접근제어는 네트워크 보안 및 자산관리와 장애 관리를 위해 반드시 요구되는 기술이다.
대표적인 접근제어기술인 NAC(Network Access Control)는 네트워크에 접속하는 장치의 보안 상태를 점검하여 안전한 노드만 접근을 허용하는 기술이다. 하지만, 호스트 특성상 별도의 에이전트를 설치할 수 없는 경우에는 사용이 불가능하다. 또한, 네트워크 장비의 ACL(Access Control List)을 이용하면 수동으로 모든 리스트를 만들고 실시간으로 유지해야 하는 문제로 인하여 해당 네트워크에 모든 호스트에 대해 접근제어리스트를 추출하는 방법은 현실적으로 매우 어려움을 가지고 있다. 또한, 자동으로 모든 접근제어리스트(ACL)를 만든다 할지라도 자동 생성시 가장 중요한 장치간의 연결 상태 및 클라이언트와 서버와의 관계를 정확히 추출할 수 없는 어려움이 있다. 특히, 장치 및 시스템들을 운영/관리하는 기관에서 보안상의 이유로 운영 및 관리에 필요한 서비스를 제공하는 TCP 또는 UDP 포트 번호를 임의로 사용하는 경우가 빈번하여 클라이언트와 서버와의 관계를 파악하는 작업의 어려움을 가중시키고 있다.
이런 문제를 해결하기 위해서 장치 간의 연결 상태 및 클라이언트와 서버와의 관계를 정확하게 추출할 수 있는 방법을 포함하는 접근제어리스트 자동화 기술이 필요하다.
기존 클라이언트와 서버와의 관계를 파악하는 방법은 TCP 프로토콜의 경우 네트워크 트래픽 중 플래그(flag) 정보를 분석하여 서버-클라이언트 관계를 알아내어 서버 측의 포트가 고정으로 사용되고 있다고 가정하는 "서버IP - 서버 포트 - 프로토콜 - 클라이언트IP"와 같은 형태로 접근제어리스트를 생성한다.
또한, TCP 또는 UDP 프로토콜이 사용하는 포트 번호를 IANA(http://www.iana.org/assignments/service-names-port -numbers/service-names-port-numbers.xhtml)에서 서비스명 또는 포트 번호 등록정보를 이용하여 서버-클라이언트 관계를 알아내어 서버 측의 포트가 고정으로 사용되고 있다고 가정하는 "서버IP - 서버 포트 - 프로토콜 - 클라이언트IP"와 같은 형태로 접근제어리스트를 생성한다.
하지만, 기존 방식은 아래와 같은 여러 가지 문제점을 가지고 있다.
1. 트래픽 분석도구, 보안장비가 모든 트래픽에 대해 TCP 프로토콜의 플래그(flag) 정보까지 분석/로깅을 지원하지 않거나 해당 패킷이 드랍(drop)된 경우 서버-클라이언트 관계를 추출하는데 필요한 특정 flag(SYN, FIN, syn+ack 등)가 있는 패킷들이 누락되어 기존 방법을 적용할 수 없다.
2. 장치들간 TCP 프로토콜의 세션이 수립된 뒤 매우 길게 유지되어 서버-클라이언트 관계를 추출하는데 필요한 특정 flag(SYN, FIN, syn+ack 등)가 있는 패킷들을 근본적으로 발견할 수 없는 경우, 기존 방법을 적용할 수 없다.
3. UDP 프로토콜 등 서버-클라이언트 관계를 추출하는데 필요한 특정 flag 정보가 없는 프로토콜에 대해 기존 방법을 적용할 수 없다.
4. 보안상의 이유로 장치들에 설정된 TCP 또는 UDP 프로토콜의 서비스 포트 번호를 IANA에 등록된 것과 달리 사용할 경우, 기존 방법을 적용할 수 없다.
본 발명과 관련되는 선행기술로는, 대한민국 공개특허 제2014-0146342호(스카다 네트워크에서의 접근 제어 장치 및 그 방법), 대한민국 공개특허 제2013-0028323호(네트워크 접근 제어 시스템 및 방법)가 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 네트워크 트래픽의 기본적인 Flow 정보만 분석하여 서버-클라이언트 관계를 파악하고 네트워크 트래픽으로부터 장치 및 시스템들 간의 접근제어리스트를 자동으로 생성하고 분석하여 실제로 적용할 접근제어리스트인지 판단하는 접근제어리스트 생성 및 검증 장치, 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 접근제어리스트 생성 및 검증 장치는, 네트워크 트래픽에서 플로우의 기본 정보를 포함하는 플로우 리스트를 입력받아 지역적으로 빈번히 사용된 포트 번호(LFP)를 추출하고, 추출된 포트 번호를 근거로 LFP 리스트를 만들어 출력하는 LFP 자동 추출부; 상기 플로우 리스트 및 상기 LFP 리스트를 이용하여 접근제어리스트를 생성하는 접근제어리스트 자동 생성부; 및 상기 접근제어리스트 및 상기 접근제어리스트의 생성에 사용되지 못하고 남은 잔여 플로우를 검증하는 접근제어리스트 및 잔여 플로우 검증부;를 포함한다.
상기 플로우의 기본 정보는 Source IP, Source port, Destination IP, Destination port, Transport Protocol을 포함할 수 있다.
상기 LFP 자동 추출부는, 상기 플로우 리스트내의 각 포트 번호의 사용횟수를 계산하고, 상기 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하면 해당 포트 번호를 LFP 후보 리스트에 추가하고, 상기 플로우 리스트가 마지막 플로우 리스트이면 상기 LFP 후보 리스트내의 포트 번호의 사용횟수가 기설정된 제 2 임계치를 초과하는 포트 번호에 대해서만 최종 LFP 리스트에 포함되는 것으로 확정할 수 있다.
상기 LFP 자동 추출부는, 상기 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하지 않고 상기 플로우 리스트가 마지막 플로우 리스트가 아니면 상기 제 1 임계치를 초과하지 아니한 포트 번호에 대해 LFP에서 제외할 수 있다.
상기 접근제어리스트 자동 생성부는, 상기 플로우 리스트에서 이전에 생성한 접근제어리스트에 포함되는 플로우를 제거하고, 이전 플로우 리스트에서 남은 하나 이상의 플로우를 상기 제거하고 남은 플로우와 병합하여 리스트화하고, 상기 병합된 플로우 리스트에 대해 연결 정도 중심성(Degree Centrality)을 분석하고, 상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성하고, 상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성할 수 있다.
상기 접근제어리스트 자동 생성부는, 상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성함에 있어서, 상기 플로우 리스트의 플로우에서 소스 포트와 목적지 포트가 모두 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, Src Port, Dst IP, Dst Port) 형태로 생성할 수 있다.
상기 접근제어리스트 자동 생성부는, 상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성함에 있어서, 상기 플로우 리스트의 플로우에서 소스 포트만 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성할 수 있다.
상기 접근제어리스트 자동 생성부는, 상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성함에 있어서, 상기 플로우 리스트의 플로우 중 목적지 포트만 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성할 수 있다.
상기 접근제어리스트 자동 생성부는, 상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성함에 있어서, 상기 플로우 리스트의 플로우에서 목적지 노드의 In-degree Centrality가 기설정된 제 1 포트 임계치를 초과하면 접근제어리스트를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성할 수 있다.
상기 접근제어리스트 자동 생성부는, 상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성함에 있어서, 상기 플로우 리스트의 플로우에서 소스 노드의 Out-degree Centrality가 기설정된 제 2 포트 임계치를 초과하면 접근제어리스트를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성할 수 있다.
그리고, 본 발명의 바람직한 실시양태에 따른 접근제어리스트 생성 및 검증 방법은, LFP 자동 추출부가, 네트워크 트래픽에서 플로우의 기본 정보를 포함하는 플로우 리스트를 입력받는 단계; 상기 LFP 자동 추출부가, 상기 입력받은 플로우 리스트에서 지역적으로 빈번히 사용된 포트 번호(LFP)를 추출하여 LFP 리스트를 만들어 출력하는 단계; 접근제어리스트 자동 생성부가, 상기 플로우 리스트 및 상기 LFP 리스트를 이용하여 접근제어리스트를 생성하는 단계; 및 접근제어리스트 및 잔여 플로우 검증부가, 상기 접근제어리스트 및 상기 접근제어리스트의 생성에 사용되지 못하고 남은 잔여 플로우를 검증하는 단계;를 포함한다.
이러한 구성의 본 발명에 따르면, 네트워크 트래픽에서 서버-클라이언트 관계를 특정짓는 flag(SYN, FIN, SYN+ACK 등) 없이도 접근제어리스트(ACL)를 자동으로 생성할 수 있어서 TCP와 UDP 프로토콜에 모두 적용할 수 있다.
또한, 보안상의 이유로 서버 포트가 알려진 포트(well-known port)가 아닌 다른 포트 번호로 사용하였다 하더라도 서버-클라이언트 관계를 유추할 수 있다.
또한, 네트워크 트래픽 중 동적으로 서버 포트를 할당하는 서비스의 사용이 발견된다 하더라도, 이를 고려하여 동적 서버 포트 존재 유무 및 검증 정보를 관리자에 제공할 수 있다.
또한, 통신 프로그램에 따라 클라이언트 포트를 고정으로 사용하는 경우에도 접근제어리스트를 서버-클라이언트 오인없이 자동생성할 수 있다.
도 1은 본 발명의 실시예에 채용되는 플로우(Flow)를 예시한 도면이다.
도 2는 본 발명의 실시예에 따른 접근제어리스트 생성 및 검증 장치의 구성도이다.
도 3은 도 2에 도시된 LFP 자동 추출부의 동작을 설명하는 흐름도이다.
도 4는 도 2에 도시된 접근제어리스트 자동 생성부의 동작을 설명하는 흐름도이다.
도 5는 본 발명의 실시예에 따른 접근제어리스트 생성 및 검증 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 실시예가 구현된 컴퓨터 시스템을 나타낸 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 채용되는 플로우(Flow)를 예시한 도면이다.
본 발명에서는 네트워크 트래픽에서 사용되는 기본 정보를 플로우(Flow)라고 정의한다. 그리고, 플로우를 특정 기준(예컨대, 시간, Flow 개수 등)으로 묶어 놓은 것을 플로우(Flow) 리스트라고 정의한다.
플로우(Flow)의 기본정보(즉, 기본적인 플로우 정보)는 Source IP(소스 IP), Source port(소스 포트), Destination IP(목적지 IP), Destination port(목적지 포트), Transport Protocol(트랜스포트 프로토콜)을 포함한다.
도 1은 해당 정의를 바탕으로 생성한 플로우(Flow)의 예시로서, 서로 다른 세 개의 플로우(Flow)를 확인할 수 있다.
도 2는 본 발명의 실시예에 따른 접근제어리스트 생성 및 검증 장치의 구성도이다.
본 발명의 실시예에 따른 접근제어리스트 생성 및 검증 장치는, LFP 자동 추출부(10), 접근제어리스트 자동 생성부(20), 및 접근제어리스트 및 잔여 플로우 검증부(30)를 포함한다.
LFP 자동 추출부(10)는 네트워크 트래픽의 플로우(Flow)의 기본정보(즉, Source IP, Source port, Destination IP, Destination port, 및 Transport Protocol을 포함)를 포함하는 플로우(Flow) 리스트를 입력받는다. 그리고, LFP 자동 추출부(10)는 입력받은 플로우 리스트에서 지역적으로 빈번히 사용된 포트 번호(LFP ; Locally Frequent-used Port)를 자동으로 추출한다.
접근제어리스트 자동 생성부(20)는 플로우(Flow) 리스트 및 LFP 자동 추출부(10)에서 추출된 LFP 리스트를 입력받는다. 그리고, 접근제어리스트 자동 생성부(20)는 LFP 리스트 및 플로우(Flow) 리스트를 이용하여 접근제어리스트(ACL)를 자동 생성한다.
접근제어리스트 및 잔여 플로우 검증부(30)는 접근제어리스트 자동 생성부(20)에서 자동 생성된 접근제어리스트(ACL) 및 최종단계까지 접근제어리스트 자동 생성에 사용되지 못하고 남은 잔여 플로우(Flow) 또는 잔여 플로우들을 입력받아 실제로 적용할 대상인지를 검증한다.
예를 들어, 접근제어리스트 및 잔여 플로우 검증부(30)는 접근제어리스트(ACL)를 검증할 때 다음과 같은 기준을 활용할 수 있다.
1. 일방향 접근제어리스트 : TCP 통신의 경우 양방향성을 갖고 있기 때문에 일방향 접근제어리스트에 대해 검증을 수행할 수 있다.
2. 접근제어리스트 사용빈도 : 접근제어리스트의 사용빈도를 기준으로 해당 접근제어리스트가 정상 서비스로부터 기인한 것인지를 식별하여 접근제어에 적용할지의 여부를 검증할 수 있다.
그리고, 접근제어리스트 및 잔여 플로우 검증부(30)는 잔여 플로우(Flow)를 검증할 때 다음과 같은 기준을 활용할 수 있다.
1. 일방향 접근제어리스트 : TCP 통신의 경우 양방향성을 갖고 있기 때문에 일방향 접근제어리스트에 대해 검증을 수행할 수 있다.
2. 포트를 동적으로 할당하는 서비스(FTP 등) : 포트를 동적으로 할당하는 서비스의 경우 접근제어리스트로 자동생성되지 않을 수 있다. 따라서, 잔여 플로우(Flow)가 해당 서비스로부터 기인한 것인지의 검증을 수행할 수 있다.
도 3은 도 2에 도시된 LFP 자동 추출부(10)의 동작을 설명하는 흐름도이다.
우선, LFP 자동 추출부(10)는 n번째 플로우(Flow) 리스트를 입력받는다(S10).
이어, LFP 자동 추출부(10)는 입력받은 해당 플로우 리스트내의 각 포트 번호의 사용횟수를 계산한다(S12).
그리고, LFP 자동 추출부(10)는 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하는지를 판단한다(S14).
그 판단 결과, 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하면 LFP 자동 추출부(10)는 해당 포트 번호를 LFP 후보 리스트에 추가한다(S16).
반대로, LFP 자동 추출부(10)는 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하지 않으면 LFP 자동 추출부(10)는 입력받은 n번째 플로우(Flow) 리스트가 마지막 플로우(Flow) 리스트인지 확인한다(S18).
확인 결과, n번째 플로우(Flow) 리스트가 마지막이 아닐 경우 LFP 자동 추출부(10)는 제 1 임계치를 초과하지 아니한 포트 번호에 대해 LFP(지역적으로 빈번하게 사용된 포트 번호)에서 제외한다(S20). 그리고, LFP 자동 추출부(10)는 n+1번째 플로우(Flow) 리스트를 입력받아 상술한 과정을 반복하여 수행한다.
한편, 상기 단계 S18에서의 확인 결과, 입력받은 n번째 플로우(Flow) 리스트가 마지막 플로우(Flow) 리스트이면 LFP 자동 추출부(10)는 LFP 후보 리스트내의 포트 번호의 사용횟수가 기설정된 제 2 임계치를 초과하는지를 판단한다(S22).
그 판단 결과, LFP 자동 추출부(10)는 제 2 임계치를 초과하는 포트 번호에 대해서만 최종 LFP 리스트에 포함되는 것으로 확정하고(S24), LFP 자동추출을 종료한다.
한편, LFP 자동 추출부(10)는 제 2 임계치를 초과하지 않은 LFP 후보 리스트내의 포트 번호에 대해서는 최종 LFP 리스트에서 제외한다(S26).
도 3의 설명에서, 제 1 임계치는 매 n 번째 플로우(Flow) 리스트마다 적용하여 LFP 후보 리스트에 추가하기 위한 기준으로 사용되는 임계치를 의미한다고 볼 수 있다.
도 3의 설명에서, 제 2 임계치는 제 1 임계치를 사용하여 모든 플로우(Flow) 리스트를 처리(즉, n이 마지막 플로우(flow) 리스트일 때까지 증가시켜 가며 모든 플로우(Flow) 리스트를 확인)한 결과물인 LFP 후보 리스트에 대해 마지막으로 한번 더 적용(즉, n이 마지막 플로우(flow) 리스트 일 때 LFP 후보 리스트에 적용)하여 최종 LFP 리스트를 확정하는데 사용되는 임계치를 의미한다고 볼 수 있다.
도 4는 도 2에 도시된 접근제어리스트 자동 생성부(20)의 동작을 설명하는 흐름도이다.
우선, 접근제어리스트 자동 생성부(20)는 네트워크 트래픽에서 n번째 플로우(Flow) 리스트를 입력받게 됨에 따라 해당 플로우(Flow) 리스트에서 이전에 생성한 접근제어리스트(ACL)에 포함되는 플로우를 찾아서 제거하는 작업을 수행한다(S30, S32). 그에 따라, 해당 플로우(즉, n번째 플로우) 리스트에서 이전에 생성한 접근제어리스트에 사용되지 않고 남은 하나 이상의 플로우(Flow)가 존재하거나 잔여 플로우(Flow)가 존재하지 않게 된다.
잔여 플로우가 존재한다면, 접근제어리스트 자동 생성부(20)는 이전 플로우(Flow)(즉, n-1번째 플로우) 리스트에서 접근제어리스트 자동 생성 후 남은 하나 이상의 플로우(Flow)를 현재 플로우(즉, n번째 플로우) 리스트에서 이전에 생성한 접근제어리스트에 사용되지 않고 남은 하나 이상의 플로우(Flow)와 병합하여 리스트화한다(S34).
그리고 나서, 접근제어리스트 자동 생성부(20)는 병합된 플로우(Flow) 리스트에 대해 Degree Centrality(연결 정도 중심성)를 분석한다(S36). Degree centrality 분석은 네트워크(network)를 구성하는 어느 하나의 점(node)과 이것과 직접적으로 연결된 다른 점들과의 연결 정도를 측정하여, 각각의 점들이 네트워크에서 얼마나 중심에 위치하는지를 알아보는 기법이다. 즉, 네트워크상에서 점이 직접적인 관계 또는 흐름을 가질 수 있는 전체 경우의 수에서 실제 점이 가지고 있는 직접적인 관계 또는 흐름 수의 비율(portion)을 바탕으로 한다.
여기서, Degree Centrality 분석은 점(node)의 연결 방향성에 따라 In-degree Centrality 분석과 Out-degree Centrality 분석으로 구분된다. In-Degree centrality 분석은 다른 점들로부터 하나의 점(node)으로 들어오는(in) 관계만을 고려한 방법이며, Out-Degree centrality 분석은 하나의 점(node)에서 다른 점들로 나가는(out) 관계만을 고려한 방법이다. 예를 들어, 도 1에서 노드 1의 경우 In-degree Centrality는 2(노드 2와 노드 3으로부터 들어오는 방향으로 연결)로 분석되고, Out-degree Centrality는 1(노드 2로 나가는 방향으로 연결)로 분석된다.
이와 같은 Degree Centrality 분석을 마친 후, 접근제어리스트 자동 생성부(20)는 LFP 자동 추출부(10)로부터의 LFP 리스트를 참조하여 하기와 같은 형태로 서버-클라이언트 관계를 반영한 접근제어리스트(ACL)를 생성한다.
접근제어리스트 자동 생성부(20)는 플로우(Flow) 리스트의 플로우에서 소스 포트(Src Port)와 목적지 포트(Dst Port)가 모두 LFP 리스트에 포함된다면, 접근제어리스트(ACL)를 (Src IP, Src Port, Dst IP, Dst Port) 형태로 생성한다(S38, S40).
한편, 접근제어리스트 자동 생성부(20)는 플로우 리스트의 플로우에서 소스 포트(Src Port)만 LFP 리스트에 포함된다면, 접근제어리스트(ACL)를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성한다(S42, S44).
한편, 접근제어리스트 자동 생성부(20)는 플로우 리스트의 플로우 중 목적지 포트(Dst Port)만 LFP 리스트에 포함된다면, 접근제어리스트(ACL)를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성한다(S46, S48).
상술한 LFP 리스트를 참조하여 접근제어리스트 자동 생성 이후, 접근제어리스트 자동 생성부(20)는 앞서 분석한 Degree Centrality를 참조하여 하기와 같은 형태로 접근제어리스트(ACL)를 생성한다.
접근제어리스트 자동 생성부(20)는 플로우 리스트의 플로우에서 목적지 노드의 In-degree Centrality가 기설정된 제 1 포트 임계치(Port Threshold)를 초과하는 경우(S50에서 "Yes"), 접근제어리스트(ACL)를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성한다. 여기서, 제 1 포트 임계치는 목적지(Destination)의 In-degree 값에 따라 접근제어리스트(ACL)의 형식을 선택하는 기준값으로 사용되는 임계치를 의미한다고 볼 수 있다.
한편, 접근제어리스트 자동 생성부(20)는 플로우 리스트의 플로우에서 소스 노드의 Out-degree Centrality가 기설정된 제 2 포트 임계치를 초과하는 경우(S52에서 "Yes"), 접근제어리스트(ACL)를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성한다. 여기서, 제 2 포트 임계치는 소스(Source)의 Out-degree 값에 따라 접근제어리스트(ACL)의 형식을 선택하는 기준값으로 사용되는 임계치를 의미한다고 볼 수 있다.
상술한 바와 같은 조건에 따른 접근제어리스트 자동 생성이 끝날 경우, 접근제어리스트 자동 생성부(20)는 n번째 플로우 리스트가 마지막 플로우 리스트인지 확인한다(S54).
그 확인 결과, n번째 플로우 리스트가 마지막 플로우 리스트이면 접근제어리스트 자동 생성부(20)는 접근제어리스트 자동 생성을 종료한다.
만약, n번째 플로우 리스트가 마지막이 아닐 경우, 접근제어리스트 자동 생성부(20)는 n번째 플로우 리스트에서 접근제어리스트(ACL)로 자동생성되지 못하고 남은 플로우에 한하여 n+1번째 플로우 리스트와 병합하여 상술한 바와 같은 과정을 반복하여 수행한다.
도 5는 본 발명의 실시예에 따른 접근제어리스트 생성 및 검증 방법을 설명하기 위한 흐름도이다.
먼저, LFP 자동 추출부(10)는 네트워크 트래픽의 플로우(Flow) 기본정보(즉, Source IP, Source port, Destination IP, Destination port, 및 Transport Protocol을 포함)를 포함하는 플로우(Flow) 리스트를 입력받는다(S100).
그리고 나서, LFP 자동 추출부(10)는 입력받은 플로우 리스트에서 지역적으로 빈번히 사용된 포트 번호(LFP ; Locally Frequent-used Port)를 자동으로 추출하고(S110), 이를 리스트화하여 접근제어리스트 자동 생성부(20)에게로 보낸다. 여기서, LFP 자동 추출에 대한 세부 동작은 당업자라면 상술한 도 3의 설명을 통해 충분히 이해할 수 있으리라 본다.
이어, 접근제어리스트 자동 생성부(20)는 입력받은 LFP 리스트 및 플로우(Flow) 리스트를 이용하여 접근제어리스트(ACL)를 자동 생성한다(S120). 여기서, 접근제어리스트 자동 생성에 대한 세부 동작은 당업자라면 상술한 도 4의 설명을 통해 충분히 이해할 수 있으리라 본다.
이후, 접근제어리스트 및 잔여 플로우 검증부(30)는 접근제어리스트 자동 생성부(20)로부터 접근제어리스트(ACL) 및 최종단계까지 접근제어리스트 자동 생성에 사용되지 못하고 남은 잔여 플로우(Flow)를 입력받는다.
접근제어리스트 및 잔여 플로우 검증부(30)는 입력받은 접근제어리스트(ACL) 및 잔여 플로우(Flow)에 대한 검증을 실시하여 실제로 접근제어에 반영할지의 여부를 결정한다(S130). 여기서, 접근제어리스트(ACL)를 검증할 때는 일방향 접근제어리스트, 및 접근제어리스트 사용빈도의 기준을 통해 검증할 수 있다. 그리고, 잔여 플로우를 검증할 때는 일방향 접근제어리스트, 및 포트를 동적으로 할당하는 서비스의 기준을 통해 검증할 수 있다.
한편, 상술한 본 발명의 실시예는 컴퓨터 시스템에서 구현될 수 있다. 도 6에 도시된 바와 같이, 컴퓨터 시스템(120)은 버스(122)를 통하여 서로 통신하는 하나 이상의 프로세서(121), 메모리(123), 사용자 인터페이스 입력 장치(126), 사용자 인터페이스 출력 장치(127) 및 스토리지(128)를 포함할 수 있다. 또한, 컴퓨터 시스템(120)은 네트워크(130)에 연결되는 하나 이상의 네트워크 인터페이스(129)를 더 포함할 수 있다. 프로세서(121)는 중앙 처리 장치 또는 메모리(123) 또는 스토리지(128)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(123) 및 스토리지(128)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리(123)는 ROM(124)이나 RAM(125)을 포함할 수 있다.
그리고, IoT 시대를 대비하여 컴퓨터 시스템(120)을 소형의 컴퓨팅 디바이스로 구현시킨 경우, 컴퓨팅 디바이스에 이더넷(Ethernet) 케이블을 연결하면 무선 공유기처럼 동작해서 모바일 디바이스가 무선으로 게이트웨이에 붙어서 암복호화 기능을 할 수 있으므로, 이를 위해 컴퓨터 시스템(120)은 무선 통신 칩(와이파이 칩)(131)을 추가로 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : LFP 자동 추출부
20 : 접근제어리스트 자동 생성부
30 : 접근제어리스트 및 잔여 플로우 검증부

Claims (20)

  1. 네트워크 트래픽에서 플로우의 기본 정보를 포함하는 플로우 리스트를 입력받아 지역적으로 빈번히 사용된 포트 번호(LFP)를 추출하고, 추출된 포트 번호를 근거로 LFP 리스트를 만들어 출력하는 LFP 자동 추출부;
    상기 플로우 리스트 및 상기 LFP 리스트를 이용하여 접근제어리스트를 생성하는 접근제어리스트 자동 생성부; 및
    상기 접근제어리스트 및 상기 접근제어리스트의 생성에 사용되지 못하고 남은 잔여 플로우를 검증하는 접근제어리스트 및 잔여 플로우 검증부;를 포함하고,
    상기 접근제어리스트 자동 생성부는,
    상기 플로우 리스트에서 이전에 생성한 접근제어리스트에 포함되는 플로우를 제거하고,
    이전 플로우 리스트에서 남은 하나 이상의 플로우를 상기 제거하고 남은 플로우와 병합하여 리스트화하고,
    상기 병합된 플로우 리스트에 대해 연결 정도 중심성(Degree Centrality)을 분석하고,
    상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성하고, 상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  2. 청구항 1에 있어서,
    상기 플로우의 기본 정보는 Source IP, Source port, Destination IP, Destination port, Transport Protocol을 포함하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  3. 청구항 1에 있어서,
    상기 LFP 자동 추출부는,
    상기 플로우 리스트내의 각 포트 번호의 사용횟수를 계산하고,
    상기 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하면 해당 포트 번호를 LFP 후보 리스트에 추가하고,
    상기 플로우 리스트가 마지막 플로우 리스트이면 상기 LFP 후보 리스트내의 포트 번호의 사용횟수가 기설정된 제 2 임계치를 초과하는 포트 번호에 대해서만 최종 LFP 리스트에 포함되는 것으로 확정하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  4. 청구항 3에 있어서,
    상기 LFP 자동 추출부는,
    상기 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하지 않고 상기 플로우 리스트가 마지막 플로우 리스트가 아니면 상기 제 1 임계치를 초과하지 아니한 포트 번호에 대해 LFP에서 제외하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  5. 삭제
  6. 청구항 1에 있어서,
    상기 접근제어리스트 자동 생성부는, 상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성함에 있어서,
    상기 플로우 리스트의 플로우에서 소스 포트와 목적지 포트가 모두 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, Src Port, Dst IP, Dst Port) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  7. 청구항 1에 있어서,
    상기 접근제어리스트 자동 생성부는, 상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성함에 있어서,
    상기 플로우 리스트의 플로우에서 소스 포트만 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  8. 청구항 1에 있어서,
    상기 접근제어리스트 자동 생성부는, 상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성함에 있어서,
    상기 플로우 리스트의 플로우 중 목적지 포트만 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  9. 청구항 1에 있어서,
    상기 접근제어리스트 자동 생성부는, 상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성함에 있어서,
    상기 플로우 리스트의 플로우에서 목적지 노드의 In-degree Centrality가 기설정된 제 1 포트 임계치를 초과하면 접근제어리스트를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  10. 청구항 1에 있어서,
    상기 접근제어리스트 자동 생성부는, 상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성함에 있어서,
    상기 플로우 리스트의 플로우에서 소스 노드의 Out-degree Centrality가 기설정된 제 2 포트 임계치를 초과하면 접근제어리스트를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 장치.
  11. LFP 자동 추출부가, 네트워크 트래픽에서 플로우의 기본 정보를 포함하는 플로우 리스트를 입력받는 단계;
    상기 LFP 자동 추출부가, 상기 입력받은 플로우 리스트에서 지역적으로 빈번히 사용된 포트 번호(LFP)를 추출하여 LFP 리스트를 만들어 출력하는 단계;
    접근제어리스트 자동 생성부가, 상기 플로우 리스트 및 상기 LFP 리스트를 이용하여 접근제어리스트를 생성하는 단계; 및
    접근제어리스트 및 잔여 플로우 검증부가, 상기 접근제어리스트 및 상기 접근제어리스트의 생성에 사용되지 못하고 남은 잔여 플로우를 검증하는 단계;를 포함하고,
    상기 접근제어리스트를 생성하는 단계는,
    상기 플로우 리스트에서 이전에 생성한 접근제어리스트에 포함되는 플로우를 제거하는 단계;
    이전 플로우 리스트에서 남은 하나 이상의 플로우를 상기 제거하고 남은 플로우와 병합하여 리스트화하는 단계;
    상기 병합된 플로우 리스트에 대해 연결 정도 중심성(Degree Centrality)을 분석하는 단계;
    상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성하는 단계; 및
    상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성하는 단계;를 포함하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  12. 청구항 11에 있어서,
    상기 플로우의 기본 정보는 Source IP, Source port, Destination IP, Destination port, Transport Protocol을 포함하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  13. 청구항 11에 있어서,
    상기 LFP 리스트를 만들어 출력하는 단계는,
    상기 플로우 리스트내의 각 포트 번호의 사용횟수를 계산하는 단계;
    상기 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하면 해당 포트 번호를 LFP 후보 리스트에 추가하는 단계;
    상기 플로우 리스트가 마지막 플로우 리스트이면 상기 LFP 후보 리스트내의 포트 번호의 사용횟수가 기설정된 제 2 임계치를 초과하는지를 판단하는 단계; 및
    상기 판단 결과, 상기 제 2 임계치를 초과하는 포트 번호에 대해서만 최종 LFP 리스트에 포함되는 것으로 확정하는 단계;를 포함하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  14. 청구항 13에 있어서,
    상기 LFP 리스트를 만들어 출력하는 단계는,
    상기 계산한 포트 번호의 사용횟수가 기설정된 제 1 임계치를 초과하지 않고 상기 플로우 리스트가 마지막 플로우 리스트가 아니면 상기 제 1 임계치를 초과하지 아니한 포트 번호에 대해 LFP에서 제외하는 단계;를 추가로 포함하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  15. 삭제
  16. 청구항 11에 있어서,
    상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성하는 단계는,
    상기 플로우 리스트의 플로우에서 소스 포트와 목적지 포트가 모두 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, Src Port, Dst IP, Dst Port) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  17. 청구항 11에 있어서,
    상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성하는 단계는,
    상기 플로우 리스트의 플로우에서 소스 포트만 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  18. 청구항 11에 있어서,
    상기 LFP 리스트를 근거로 서버-클라이언트 관계를 반영한 접근제어리스트를 생성하는 단계는,
    상기 플로우 리스트의 플로우 중 목적지 포트만 상기 LFP 리스트에 포함된다면 접근제어리스트를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  19. 청구항 11에 있어서,
    상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성하는 단계는,
    상기 플로우 리스트의 플로우에서 목적지 노드의 In-degree Centrality가 기설정된 제 1 포트 임계치를 초과하면 접근제어리스트를 (Src IP, ANY, Dst IP, Dst Port) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
  20. 청구항 11에 있어서,
    상기 분석한 연결 정도 중심성을 근거로 접근제어리스트를 생성하는 단계는,
    상기 플로우 리스트의 플로우에서 소스 노드의 Out-degree Centrality가 기설정된 제 2 포트 임계치를 초과하면 접근제어리스트를 (Src IP, Src Port, Dst IP, ANY) 형태로 생성하는 것을 특징으로 하는 접근제어리스트 생성 및 검증 방법.
KR1020150051891A 2015-04-13 2015-04-13 접근제어리스트 생성 및 검증 장치, 및 방법 KR101626293B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150051891A KR101626293B1 (ko) 2015-04-13 2015-04-13 접근제어리스트 생성 및 검증 장치, 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150051891A KR101626293B1 (ko) 2015-04-13 2015-04-13 접근제어리스트 생성 및 검증 장치, 및 방법

Publications (1)

Publication Number Publication Date
KR101626293B1 true KR101626293B1 (ko) 2016-06-01

Family

ID=56138472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150051891A KR101626293B1 (ko) 2015-04-13 2015-04-13 접근제어리스트 생성 및 검증 장치, 및 방법

Country Status (1)

Country Link
KR (1) KR101626293B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050083956A (ko) * 2002-11-22 2005-08-26 소니 가부시끼 가이샤 정보 처리 장치, 서버 클라이언트 시스템, 및 방법, 및컴퓨터·프로그램
KR20110033018A (ko) * 2009-09-22 2011-03-30 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050083956A (ko) * 2002-11-22 2005-08-26 소니 가부시끼 가이샤 정보 처리 장치, 서버 클라이언트 시스템, 및 방법, 및컴퓨터·프로그램
KR20110033018A (ko) * 2009-09-22 2011-03-30 한국전자통신연구원 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치

Similar Documents

Publication Publication Date Title
JP5942013B2 (ja) アクセス制御リスト抽出方法およびシステム
KR20160042441A (ko) 애플리케이션-인식 네트워크 관리
US10320680B1 (en) Load balancer that avoids short circuits
CN101465763A (zh) 用户端网络设备流量监控及分析的方法
US10623278B2 (en) Reactive mechanism for in-situ operation, administration, and maintenance traffic
US11888745B2 (en) Load balancer metadata forwarding on secure connections
US11395174B2 (en) Systems and methods for optimized LTE private networks
US10298508B2 (en) Communication system, receiving-side apparatus and transmission-side apparatus
KR101626293B1 (ko) 접근제어리스트 생성 및 검증 장치, 및 방법
WO2015184849A1 (zh) 一种业务端口的预留带宽配置方法及装置
KR101643829B1 (ko) 네트워크 요소의 집중된 과부하의 제어(cofo-ne)의 클라우드 기반 구현을 위한 시스템 및 방법
CN104243225A (zh) 一种基于深度包检测的流量识别方法
CN111278111A (zh) 一种基于业务场景的网络资源差异化调度方法及装置
MOHAMMED et al. AUTONOMOUS SYSTEM FOR NETWORK MONITORING AND SERVICE CORRECTION, IN IMS ARCHITECTURE.
Castellanos-Lopez et al. Channel reservation in cognitive radio networks with the RESTART retransmission strategy
US20130170377A1 (en) Apparatus and method for identifying application using packet in communication system
CN101409647A (zh) 一种对用户路由器提供流量监控及分析的方法
KR101472522B1 (ko) 시그니처 탐지 방법 및 장치
CN110063048A (zh) 用于对由一组用户实现的计算机应用进行优先化的系统
EP2410698A1 (en) A method for routing and associated routing device and destination device
WO2011048740A1 (ja) データ伝送システム、送信速度制御方法、受信端末、送信端末
Baek et al. Implementation and verification of qos priority over software defined networking
KR20160085550A (ko) 어플리케이션 컨텐츠를 분석하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체
US20170188267A1 (en) Method And Apparatus For Network Bandwidth Measurement
US11012540B2 (en) Dynamic retransmission timeout values

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant