KR101871600B1 - 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템 - Google Patents

페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템 Download PDF

Info

Publication number
KR101871600B1
KR101871600B1 KR1020160159552A KR20160159552A KR101871600B1 KR 101871600 B1 KR101871600 B1 KR 101871600B1 KR 1020160159552 A KR1020160159552 A KR 1020160159552A KR 20160159552 A KR20160159552 A KR 20160159552A KR 101871600 B1 KR101871600 B1 KR 101871600B1
Authority
KR
South Korea
Prior art keywords
signature
payload
signatures
matching
efficiency
Prior art date
Application number
KR1020160159552A
Other languages
English (en)
Other versions
KR20180060263A (ko
Inventor
김명섭
이성호
바라카 다우디 시자
구영훈
Original Assignee
고려대학교 세종산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 세종산학협력단 filed Critical 고려대학교 세종산학협력단
Priority to KR1020160159552A priority Critical patent/KR101871600B1/ko
Publication of KR20180060263A publication Critical patent/KR20180060263A/ko
Application granted granted Critical
Publication of KR101871600B1 publication Critical patent/KR101871600B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9042Separate storage for different parts of the packet, e.g. header and payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템이 개시된다. 고효율 시그니쳐 탐색 방법은 복수의 페이로드 시그니쳐들(payload signature)을 대상으로 시그니쳐의 활용성(redundancy), 고유성(characteristic), 및 매칭속도(performance) 중 적어도 둘 이상에 기초하여 해당 시그니쳐의 중요도를 나타내는 품질 평가(Quality Evaluation)를 수행하는 단계, 및 수행된 품질 평가의 결과에 기초하여 상기 복수의 페이로드 시그니쳐들 중에서 적어도 하나의 고효율 시그니쳐를 탐색하는 단계를 포함할 수 있다.

Description

페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템{METHOD AND SYSTEM FOR DETECTING HIGH PERFORMANCE SIGNATURE BY QUALITY EVALUATION OF PAYLOAD SIGNATURE}
본 발명은 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템에 관한 것으로서, 네트워크 트래픽 분석에 있어서 트래픽 식별을 위해 특정 응용과 관련하여 생성된 시그니쳐들 중에서 특정 응용에 중요한 시그니쳐, 즉, 고효율 시그니쳐를 탐색(결정)하는 기술에 관한 것이다.
네트워크 고속화와 더불어 다양한 서비스와 응용 프로그램이 개발됨에 따라 개인 또는 기업은 인터넷으로 대표되는 네트워크에 대한 의존이 상당히 커져가고 있다. 이처럼, 네트워크 의존이 증가함에 따라 현실 속에서 네트워크의 효율적 운용과 관리를 위한 응용 레벨의 트래픽의 모니터링과 분석은 네트워크 사용현황 파악과 확장계획 수립 등의 다양한 분야에서 필요성이 증가하고 있다. 이에 따라, 다양한 종류의 응용 레벨의 트래픽을 정확하게 분류하기 위한 방법 및 고속 링크에서 발생하는 대용량의 트래픽(traffic)을 실시간으로 처리하는 방법이 요구되고 있다.
응용 레벨의 트래픽 분류 방법으로는 페이로드 시그니쳐 기반의 분석 방법이 존재한다. 페이로드 시그니쳐 기반의 트래픽 분석 방법은 다른 분석 방법들에 비해 상대적으로 높은 분류 정확성과 식별률(즉, 분석률)을 가지나, 처리 속도가 느리다는 한계가 존재한다. 더욱이, 응용의 사용이 증가하고 있는 추세를 고려할 때, 페이로드 기반 분석 방법의 처리 속도 문제를 해결하는 기술이 요구된다.
한국공개특허 제10-2016-0084179호는 시그니쳐의 분류정보를 이용하는 고성능의 패킷분석장치 및 패킷분석방법에 관한 것으로, 수집된 패킷에 대해 시그니쳐의 분류정보를 비교하는 검사를 수행하고, 패킷의 헤더(header)와 페이로드(payload)를 파싱(parsing)하여 매칭하는 시그니쳐 분류를 검출하고, 패킷에 대해 시그니쳐 분류 검사를 수행함으로써 고효율의 패킷 분석 처리를 수행하는 기술을 개시하고 있다.
본 발명은 상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 다양한 응용 프로그램들(즉, 응용들)을 식별하기 위해 생성된 복수의 페이로드 시그니쳐들 중에서 특정 응용과 관련하여 중요도가 높은 고효율의 시그니쳐를 탐색하는 기술을 제안하고자 한다.
상기한 목적을 달성하기 위해 고효율 시그니쳐 탐색 방법은, 복수의 페이로드 시그니쳐들(payload signature)을 대상으로 시그니쳐의 활용성(redundancy), 고유성(characteristic), 및 매칭속도(performance) 중 적어도 둘 이상에 기초하여 해당 시그니쳐의 중요도를 나타내는 품질 평가(Quality Evaluation)를 수행하는 단계, 및 수행된 품질 평가의 결과에 기초하여 상기 복수의 페이로드 시그니쳐들 중에서 적어도 하나의 고효율 시그니쳐를 탐색하는 단계를 포함할 수 있다.
일측면에 따르면, 상기 품질 평가를 수행하는 단계는, 상기 복수의 페이로드 시그니쳐들 중에서 어느 하나의 특정 시그니쳐와 매칭하는 플로우(flow)의 개수를 상기 시그니쳐의 활용성으로 계산하는 단계를 포함할 수 있다.
다른 측면에 따르면, 상기 품질 평가를 수행하는 단계는, 페이로드 시그니쳐를 구성하는 문자열에 포함된 문자(character)의 수, 숫자(numberic)의 수, 및 페이로드 시그니쳐의 전체 길이에 기초하여 상기 시그니쳐의 고유성을 계산하는 단계를 포함할 수 있다.
또 다른 측면에 따르면, 상기 품질 평가를 수행하는 단계는, 페이로드 시그니쳐를 구성하는 문자열에 응용 이름이 포함되어 있는지 여부에 기초하여 상기 시그니쳐의 고유성을 계산하는 단계를 포함할 수 있다.
또 다른 측면에 따르면, 상기 품질 평가를 수행하는 단계는, 상기 복수의 페이로드 시그니쳐들을 대상으로, 페이로드 시그니쳐 각각의 매칭 오프셋(offset), 매칭 길이(depth), 그리고 패킷의 데이터 영역에 해당하는 페이로드의 전체 길이에 기초하여 상기 매칭속도를 계산하는 단계를 포함할 수 있다.
또 다른 측면에 따르면, 상기 품질 평가를 수행하는 단계는, 상기 시그니쳐의 효율성, 고유성 및 매칭속도에 기초하여 복수의 시그니쳐들 각각에 해당하는 품질 가중치(Quality Weight)를 계산하는 단계를 포함할 수 있다.
또 다른 측면에 따르면, 상기 고효율 시그니쳐를 탐색하는 단계는, 분석하고자 하는 플로우들(flow)을 대상으로, 상기 복수의 페이로드 시그니쳐들 각각을 맵핑한 2차원 맵(MAP)을 구성하는 단계, 상기 2차원 맵(MAP) 상의 각 플로우에 맵핑된 페이로드 시그니쳐에 해당하는 적어도 하나의 매칭 포인트를 대상으로, 페이로드 시그니쳐 별 품질 가중치(Quality Weight)에 기초하여 타겟 매칭 포인트를 결정하는 단계, 및 결정된 타겟 매칭 포인트에 해당하는 페이로드 시그니쳐를 상기 고효율 시그니쳐로 결정하는 단계를 포함할 수 있다.
또 다른 측면에 따르면, 상기 복수의 페이로드 시그니쳐들 중에서 탐색된 상기 고효율 시그니쳐에 기초하여 트래픽의 분석을 수행하는 단계를 더 포함할 수 있다.
고효율 시그니쳐 탐색 시스템은 복수의 페이로드 시그니쳐들(payload signature)을 대상으로 시그니쳐의 활용성(redundancy), 고유성(characteristic), 및 매칭속도(performance) 중 적어도 둘 이상에 기초하여 해당 시그니쳐의 중요도를 나타내는 품질 평가(Quality Evaluation)를 수행하는 품질 평가부, 및 수행된 품질 평가의 결과에 기초하여 상기 복수의 페이로드 시그니쳐들 중에서 적어도 하나의 고효율 시그니쳐를 탐색하는 시그니쳐 탐색부를 포함할 수 있다.
일측면에 따르면, 상기 품질 평가부는, 상기 시그니쳐의 효율성, 고유성 및 매칭속도에 기초하여 복수의 시그니쳐들 각각에 해당하는 품질 가중치(Quality Weight)를 계산하고, 상기 시그니쳐 탐색부는, 분석하고자 하는 플로우들(flow)을 대상으로, 상기 복수의 페이로드 시그니쳐들 각각을 맵핑한 2차원 맵(MAP)을 구성하고, 상기 2차원 맵(MAP) 상의 각 플로우에 맵핑된 페이로드 시그니쳐에 해당하는 적어도 하나의 매칭 포인트를 대상으로, 페이로드 시그니쳐 별 품질 가중치(Quality Weight)에 기초하여 타겟 매칭 포인트를 결정하고, 결정된 타겟 매칭 포인트에 해당하는 페이로드 시그니쳐를 상기 고효율 시그니쳐로 결정할 수 있다.
다른 측면에 따르면, 상기 복수의 페이로드 시그니쳐들 중에서 탐색된 상기 고효율 시그니쳐에 기초하여 트래픽 분석을 수행하는 트래픽 분석부를 더 포함할 수 있다.
본 발명에 따르면, 다양한 응용 프로그램들(즉, 응용들)을 식별하기 위해 생성된 복수의 페이로드 시그니쳐들 각각에 대한 품질 평가를 통해, 복수의 페이로드 시그니쳐들 중에서 특정 응용과 관련하여 중요도가 높은 고효율의 시그니쳐를 탐색할 수 있다.
생성된 모든 페이로드 시그니쳐들이 아닌 선별된 고효율의 시그니쳐를 이용하여 응용의 트래픽들에 대한 분석을 수행함으로써, 트래픽 분석으로 인한 네트워크 부하(load)를 감소시키고, 트래픽 분석 속도를 향상시킬 수 있다. 즉, 트래픽 분석을 위한 네트워크 처리속도와 네트워크 효율을 향상시킬 수 있다.
도 1은 본 발명의 일실시예에 있어서, 고효율 시그니쳐 탐색 시스템의 네트워크 구성을 도시한 도면이다.
도 2는 본 발명의 일실시예에 있어서, 고효율 시그니쳐 탐색 방법의 내부구성을 도시한 블록도이다.
도 3은 본 발명의 일실시예에 있어서, 고효율 시그니쳐 탐색 방법을 도시한 흐름도이다.
도 4는 본 발명의 일실시예에 있어서, 페이로드 시그니쳐의 품질 평가를 수행하는 동작을 도시한 흐름도이다.
도 5는 본 발명의 일실시예에 있어서, 고효율 시그니쳐를 탐색하는 방법을 도시한 흐름도이다.
도 6은 본 발명의 일실시예에 있어서, 2차원 맵(MAP)인 S-MAP을 도시한 도면이다.
도 7은 본 발명의 일실시예에 있어서, 시그니쳐 비율에 따른 응용 식별률을 나타낸 그래프이다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.
본 발명은 특정 응용 프로그램을 식별하기 위해 생성된 시그니쳐들을 대상으로 시그니쳐의 중요도를 평가하고, 중요도 평가에 기초하여 특정 응용 프로그램에 대해 중요한 시그니쳐를 탐색(즉, 결정)하는 기술에 관한 것이다. 특히, 본 발명은 페이로드 시그니쳐(payload signature)를 대상으로 3개의 메트릭(metric)들을 이용하여 각 시그니쳐의 중요도를 평가하고, 네트워크 트래픽 분석에 이용하고자 하는 고효율의 특정 시그니쳐들(즉, 중요도가 높은 시그니쳐들)을 탐색하는 기술에 관한 것이다. 즉, 생성된 시그니쳐의 정확성과 그 의미를 평가할 명확한 지표와 기준을 제시하는 기술에 관한 것이다.
본 실시예들에서, 페이로드 시그니쳐(payload signature)는 시스템으로 유입 또는 수집되는 복수의 트래픽들 중 특정 트래픽이 어떤 응용 프로그램(예컨대, 다음, 구글, 네이버, 야후 등)으로부터 시스템으로 유입 또는 수집되는 트래픽인지를 식별하기 위한 키(key)를 의미할 수 있다. 그리고, 트래픽(traffic)은 패킷(packet)을 나타내는 것으로서, 패킷은 헤더(header) 영역과 데이터(data) 영역으로 구성되며, 패킷의 데이터 영역이 페이로드(payload)에 해당할 수 있다. 예컨대, 페이로드 시그니쳐는 서로 다른 패킷들을 대상으로 추출된 공통된 문자열을 기반으로 정의 또는 생성되는 것을 의미할 수 있다. 이외에, 페이로드 시그니쳐는 콘텐츠 시그니쳐, 패킷 시그니쳐 및 플로우 시그니쳐와 같이 복수의 레벨 구조로 정의될 수 있다.
여기서, '콘텐츠 시그니쳐(content signature)'는 페이로드 시그니쳐(payload signature)의 하위 레벨에 해당하는 것으로서, 트래픽(traffic)의 데이터 부분인 페이로드(payload) 내의 공통된 문자열을 나타낼 수 있다. 즉, 콘텐츠 시그니쳐는 트래픽들에 공통적으로 포함하고 있는 연속된 문자열을 나타낼 수 있다. 그리고, '패킷 시그니쳐(packet signature)'는 동일한 패킷 내 콘텐츠 시그니쳐의 집합으로서, 동일한 패킷에서 발생하는 콘텐츠 시그니쳐의 조합을 의미할 수 있다. 즉, 하나의 패킷 내에서 상기 콘텐츠 시그니쳐의 집합에 포함된 복수의 시그니쳐들 중 적어도 둘 이상을 포함하는 경우, 포함하는 적어도 둘 이상의 콘텐츠 시그니쳐의 조합이 패킷 시그니쳐가 될 수 있다. '패킷 시그니쳐(packet signature)'는 동일한 플로우(flow) 내에서 발생하는 패킷 시그니쳐의 집합으로서, 동일한 플로우 내에서 추출되는 패킷 시그니쳐의 집합 중 기정의된 일정 빈도 수를 만족하는 집합을 의미할 수 있다.
본 실시예들에서, '시그니쳐 기반 트래픽 분석'은 네트워크에서 특정 응용 또는 행위 트래픽에 대해 특정한 규칙(signature)을 정의하고, 정의된 시그니쳐를 이용하여 시스템에서 수집한 트래픽(또는 시스템으로 유입된 트래픽)이 어떤 응용에 해당하는 것인지를 찾는 것(즉, 결정하는 것)을 의미할 수 있다.
본 실시예들에서, '고효율 시그니쳐'는 복수의 페이로드 시그니쳐들을 3가지 메트릭 중 적어도 둘 이상을 이용하여 탐색된 시그니쳐로서, 응용 식별 효율, 해당 응용에 대한 중요도, 해당 응용에 의미가 있는지 정도가 상기 복수의 페이로드 시그니쳐들 중에서 고효율로 탐색되지 않은 나머지 시그니쳐들보다 높은 시그니쳐를 의미할 수 있다. 즉, 해당 응용과 관련하여 생성된 여러 시그니쳐들 중에서 해당 응용의 식별에 보다 정교한(고유한) 시그니쳐를 나타낼 수 있다.
도 1은 본 발명의 일실시예에 있어서, 고효율 시그니쳐 탐색 시스템의 네트워크 구성을 도시한 도면이다.
도 1에서, 고효율 시그니쳐 탐색 시스템(100)은 적어도 하나의 호스트(110, 120)로부터 트래픽(traffic), 즉, 패킷을 수집할 수 있다. 도 1에서는 2개의 호스트를 도시하고 있으나, 이는 실시예에 해당되며, 호스트는 2개 미만, 2개 이상일 수 있다. 예컨대, 호스트는 데스크탑 PC, 노트북, 스마트폰, 태블릿 등의 유/무선 인터넷을 이용하는 다양한 전자 기기를 포함할 수 있다.
도 1에 따르면, 고효율 시그니쳐 탐색 시스템(100)은 인터넷 등의 네트워크(1301)를 통해 기정의된 일정시간 동안 복수의 호스트들(110, 120)에서 발생하는 트래픽들(즉, 패킷)을 수집할 수 있다. 이때, 고효율 시그니쳐 탐색 시스템(100)은 TMA(Traffic Measurement Agent)를 이용하여 각 호스트로부터 트래픽을 수집할 수 있다. 일례로, 각 호스트(110, 120)로부터 수집된 트래픽들(즉, 패킷)에는 타겟 응용의 트래픽도 존재하고, 타겟 응용이 아닌 다른 응용의 트래픽들도 섞여서 존재할 수 있다. 예컨대, 타겟 응용이 구글인 경우, 수집된 트래픽들에는 구글의 트래픽 이외에 네이버, 다음, 야후 등의 트래픽 역시 존재할 수 있다. 그러면, 고효율 시그니쳐 탐색 시스템(100)은 수집된 트래픽들을 대상으로, 공통 문자열을 추출하고, 추출된 공통 문자열을 포함하는 페이로드 시그니쳐를 생성할 수 있다. 이때, 고효율 시그니쳐 탐색 시스템(100)은 생성된 페이로드 시그니쳐들을 대상으로 품질 평가(Quality Evaluation)를 수행하고, 품질 평가 결과에 기초하여 생성된 상기 페이로드 시그니쳐들 중에서 트래픽 분석에 이용하기 위한 고효율 시그니쳐들을 탐색할 수 있다. 즉, 품질 평가를 통해 상기 페이로드 시그니쳐들 중에서 적어도 일부의 고효율 시그니쳐들을 트래픽 분석을 위해 이용될 시그니쳐로 결정할 수 있다. 그리고, 결정된 고효율 시그니쳐들을 이용하여 이후 수집된 트래픽들을 대상으로 해당 트래픽이 어떤 응용에 해당하는지 매칭하는 트래픽 분석을 수행할 수 있다.
도 2는 본 발명의 일실시예에 있어서, 고효율 시그니쳐 탐색 방법의 내부구성을 도시한 블록도이고, 도 3은 본 발명의 일실시예에 있어서, 고효율 시그니쳐 탐색 방법을 도시한 흐름도이다.
도 2에 따르면, 고효율 시그니쳐 탐색 시스템(200)은 품질 평가부(210), 시그니쳐 탐색부(220), 트래픽 분석부(230) 및 제어부(240)를 포함할 수 있다. 여기서, 제어부(240)는 본 발명의 일실시예에 따른 페이로드 시그니쳐 생성 시스템(200)의 구성 요소, 즉, 품질 평가부(210), 시그니쳐 탐색부(220), 트래픽 분석부(230)의 동작을 전반적으로 제어할 수 있다. 예컨대, 제어부(240)는 품질 평가부(210), 시그니쳐 탐색부(220), 트래픽 분석부(230)에서 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있으며, 메모리와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령의 실행, 기본적인 산술, 로직 및 입출력 연산을 수행하도록 품질 평가부(210), 시그니쳐 탐색부(220), 트래픽 분석부(230)의 동작을 제어할 수 있다. 그리고, 고효율 시그니쳐 탐색 시스템(200)은 도 2에 도시된 품질 평가부(210), 시그니쳐 탐색부(220), 트래픽 분석부(230) 및 제어부(240) 이외에 다른 구성요소들을 더 포함할 수 있다. 예컨대, 구글, 네이버, 다음, 야후 등의 서로 다른 응용 프로그램들(이하, '응용' 이라 칭함.)과 관련된 트래픽들을 복수의 호스트들로부터 수집하는 트래픽 수집부(미도시), 수집된 트래픽들을 대상으로 순차 변환 알고리즘 등을 이용하여 특정 응용에 대한 시그니쳐를 생성하는 시그니쳐 생성부(미도시) 등을 더 포함할 수 있다. 본 실시예들은 이미 생성된 시그니쳐들을 대상으로 해당 시그니쳐의 품질을 평가하고, 품질 평가 결과를 기반으로 고효율 시그니쳐를 탐색하는 것이므로, 트래픽 수집 및 시그니쳐 생성하는 자세한 설명은 생략하기로 한다.
먼저, 도 3의 각 단계들(310 내지 330 단계)은 도 2의 구성요소인 품질 평가부(210), 시그니쳐 탐색부(220), 트래픽 분석부(230) 및 제어부(240)에 의해 수행될 수 있다.
310 단계에서, 품질 평가부(210)는 복수의 페이로드 시그니쳐들을 대상으로 각 페이로드 시그니쳐의 품질 평가(Quality Evaluation, QE)을 수행할 수 있다. 이때, 품질 평가부(210)는 3가지 메트릭 중 적어도 둘 이상의 메트릭을 이용하여 각 페이로드 시그니쳐의 품질 평가를 수행할 수 있다. 여기서, 3가지 메트릭(metric)은 시그니쳐의 활용성(Redundancy), 시그니쳐의 고유성(Characteristic) 및 매칭속도(Performance)를 포함할 수 있다. 예컨대, 품질 평가부(210)는 활용성 및 고유성, 활용성 및 매칭속도, 고유성 및 매칭속도, 또는 활용성, 고유성, 매칭속도와 같이 3가지 메트릭들을 적절하게 조합하여 각 페이로드 시그니쳐의 품질 평가를 수행할 수 있다.
이때, 품질 평가가 수행되는 대상인 상기 복수의 페이로드 시그니쳐들은 시그니쳐 생성을 목표로 하는 응용에 해당하는 트래픽들(즉, 트래픽 파일들)을 대상으로 각 트래픽 파일들이 공통적으로 포함하고 있는 문자열(즉, 공통 문자열)을 추출하고, 추출된 공통 문자열에 기초하여 생성된 시그니쳐를 나타낼 수 있다. 이처럼, 생성된 페이로드 시그니쳐는 하나의 레벨 구조의 콘텐츠 시그니쳐일 수도 있고, 두 개의 레벨 구조의 콘텐츠 시그니쳐 및 패킷 시그니쳐 구조로 생성될 수도 있고, 세 개의 레벨 구조를 가지는 콘텐츠 시그니쳐, 패킷 시그니쳐 및 플로우 시그니쳐 구조의 형태로 생성될 수도 있다. 그러면, 품질 평가부(210)는 생성된 페이로드 시그니쳐들을 입력으로 하여 각 페이로드 시그니쳐의 품질 평가를 상기 3가지 메트릭에 기초하여 수행할 수 있다.
320 단계에서, 시그니쳐 탐색부(220)는 각 페이로드 시그니쳐의 품질 평가 결과, 즉, 품질 가중치(QW)에 기초하여 복수의 페이로드 시그니쳐들 중에서 고효율 시그니쳐를 탐색할 수 있다.
예를 들어, 시그니쳐 탐색부(220)는 플로우들(flow) 또는 패킷들을 대상으로, 복수의 페이로드 시그니쳐들 각각의 품질 가중치(QW)를 2차원 맵(MAP)에 매칭하여, 복수의 페이로드 시그니쳐들 중에서 고효율 시그니쳐를 결정할 수 있다. 여기서, 2차원 맵(MAP)으로 S-MAP이 이용될 수 있다.
330 단계에서, 트래픽 분석부(230)는 탐색된 고효율 시그니쳐들을 이용하여 이후 수집된 트래픽들의 분석을 수행할 수 있다.
도 4는 본 발명의 일실시예에 있어서, 페이로드 시그니쳐의 품질 평가를 수행하는 동작을 도시한 흐름도이다.
즉, 도 4의 각 단계들(311 내지 314 단계)은 도 3의 품질 평가를 수행하는 310 단계에 포함되는 것으로서, 도 2의 품질 평가 수행부(210)에 의해 수행될 수 있다. 도 4에서는 311 단계 내지 313 단계 순서로 계산하는 것으로 도시하고 있으나, 이는 실시예에 해당되며, 활용성, 고유성 및 매칭속도는 동시에 계산될 수도 있고, 고유성이 가장 먼저 계산될 수도 있고, 매칭속도가 가장 먼저 계산될 수도 있다. 즉, 각 메트릭의 계산 순서는 품질 가중치(QW) 계산 이전에 단계의 어디에 위치해도 괜찮다.
311 단계에서, 품질 평가부(210)는 복수의 페이로드 시그니쳐들을 대상으로 각 페이로그 시그니쳐의 활용성(Redundancy)을 계산할 수 있다. 예를 들어, 품질 평가부(210)는 아래의 수학식 1에 기초하여 페이로그 시그니쳐의 활용성을 정량화하여 계산할 수 있다.
[수학식 1]
Figure 112016116465228-pat00001
수학식 1에서,
Figure 112016116465228-pat00002
는 특정 시그니쳐 sigx로 식별된 플로우(flow)의 개수를 나타낼 수 있다. 예컨대, 특정 시그니쳐 sigx와 매칭하는 플로우의 개수를 나타낼 수 있다.
수학식 1에 따르면, 품질 평가부(210)는 복수의 플로우들, 또는 복수의 패킷들을 대상으로 상기 복수의 페이로드 시그니쳐들 중 어느 하나의 특정 시그니쳐와 매칭하는 플로우 또는 패킷의 수를 계산할 수 있다. 그리고, 품질 평가부(210)는 계산된 플로우의 개수 또는 패킷의 개수를 상기 시그니쳐의 활용성(Redundancy Value, RV)으로 계산할 수 있다. 여기서, 플로우는 패킷의 헤더에 포함된 정보들 중 5-튜플(tuple) 정보가 동일한 패킷들(즉, 트래픽들)을 모아놓은 집합을 나타낼 수 있다.
예를 들어, 100개의 패킷들 각각의 헤더에 포함된 5-튜플 정보에 기초하여 동일 그룹에 해당하는 패킷들이 하나의 플로우로 분류될 수 있다. 여기서, 5-튜플 정보는 출발지 IP 주소 정보, 목적지 IP 주소 정보, 출발지 포트 번호, 목적지 포트 번호 및 4계층 프로토콜 정보를 포함할 수 있다. 즉, 100개의 패킷들 중 출발지 IP 주소 정보, 목적지 IP 주소 정보, 출발지 포트 번호, 목적지 포트 번호 및 4계층 프로토콜 정보가 동일한 패킷들이 하나의 플로우(flow)로 분류될 수 있다. 예컨대, 패킷 1 내지 패킷 5의 5-튜플 정보가 동일한 경우, 패킷 1 내지 패킷 5는 플로우 1, 패킷 6 내지 패킷 20의 5-튜플 정보가 동일한 경우, 패킷 6 내지 패킷 20은 플로우 2 등으로 분류될 수 있으며, 패킷 100개 각각의 5-튜플 정보를 확인하고, 5-튜플 정보가 동일한 것으로 분류된 패킷들의 집합을 하나의 플로우로 구분할 수 있다.
312 단계에서, 품질 평가부(210)는 페이로드 시그니쳐를 구성하는 문자열에 포함된 문자(character)의 수, 숫자의 수, 페이로드 시그니쳐의 전체 길이에 기초하여 시그니쳐의 고유성을 계산할 수 있다. 시그니쳐의 고유성은 생성된 페이로드 시그니쳐를 구성하는 전체 문장에서 의미를 갖는 글자와 숫자의 비율을 고려하여 해당 시그니쳐의 중요도를 정량화하기 위한 것이므로, 품질 평가부(210)는 페이로그 시그니쳐를 구성하는 문자열에 응용 이름이 포함되어 있는지 여부를 고려하여 해당 시그니쳐의 고유성을 계산할 수 있다. 예를 들어, 품질 평가부(210)는 아래의 수학식 2에 기초하여 페이로드 시그니쳐의 고유성(Characteristic Value, CV)을 계산할 수 있다.
[수학식 2]
Figure 112016116465228-pat00003
수학식 2에서, character는 시그니쳐를 구성하는 문자열에서 기정의된 의미를 갖는 문자(즉, 글자)의 수를 나타내고, numberic은 시그니쳐를 구성하는 문자열에 포함된 기정의된 의미를 갖는 숫자의 개수를 나타낼 수 있다. 그리고,
Figure 112016116465228-pat00004
는 특정 시그니쳐 Sigx의 전체 길이를 나타낼 수 있다. 예컨대, 네이버, 다음, 구글, 페이스북 등과 같은 응용의 이름은 해당 트래픽이 어떤 응용인지를 나타내는 의미있는 문자이므로, 품질 평가부(210)는 페이로드 시그니쳐에 응용 이름이 포함된 경우, 해당 페이로드 시그니쳐의 고유성을 1로 계산할 수 있다. 응용 이름 이외에 기정의된 의미를 갖는 문자나 숫자를 포함하는 경우, 문자의 개수와 숫자의 개수의 합, 상기 합과 페이로그 시그니쳐의 전체 길이의 비율로서 상기 고유성을 계산할 수 있다. 이때, 복수의 페이로드 시그니쳐들이 100개인 경우, 품질 평가부(210)는 100개의 시그니쳐들 각각의 고유성을 계산할 수 있다. 즉, 시그니쳐로서 의미나 고유성을 갖지 않는 패딩 비트(padding bits)나 랜덤 스트링(random string)이 페이로드 시그니쳐에 포함된 경우, 시그니쳐로서의 가치가 낮으므로 패딩 비트나 랜덤 스트링보다는 응용 이름 등과 같이 해당 응용을 특정하는 의미가 있는 문자를 미리 정의하고, 미리 정의된 문자들이 페이로드 시그니쳐에 포함되어 있는지 여부를 확인, 그리고 얼마나 포함되어 있는지에 따라 상기 수학식 2에 기초하여 고유성이 계산될 수 있다.
313 단계에서, 품질 평가부(210)는 페이로드 시그니쳐들을 대상으로 페이로드 시그니쳐 각각의 매칭 오프셋(offset) 및 매칭 길이(depth), 패킷의 데이터 영역에 해당하는 페이로드의 전체 길이에 기초하여 페이로그 시그니쳐의 매칭속도(performance)를 계산할 수 있다.
여기서, 매칭 오프셋은 페이로드 시그니쳐가 나타나는 응용 트래픽(즉, 패킷)의 페이로드 위치를 나타낼 수 있다. 응용 트래픽을 식별하거나 전체 트래픽 분석 시스템의 성능을 고려할 때, 시그니쳐가 존재하는 오프셋이 앞부분에 고정된 경우 보다 빠른 응용 식별이 가능하며, 빠른 응용의 식별은 분석 시간을 감소시키고, 결국 네트워크 효율을 향상시킬 수 있다. 즉, 페이로드의 전체 길이 중 상기 페이로드 시그니쳐와 매칭하는 위치가 앞쪽에 해당할수록 응용 식별이 빨라질 수 있으며, 매칭속도가 빠를수록 좋은 시그니쳐로 결정할 수 있다. 이에 따라, 아래의 수학식 3과 같이, 품질 평가부(210)는 매칭 오프셋(offset), 매칭 길이(Depth), 패킷 페이로드의 전체 길이(L)에 기초하여 매칭속도(Performance Value, PV)를 계산할 수 있다.
[수학식 3]
Figure 112016116465228-pat00005
수학식 3에 따르면, 품질 평가부(210)는 특정 시그니쳐 Sigx의 매칭 오프셋(offset)과 매칭 길이(Depth)의 곱을 계산할 수 있다. 그리고, 품질 평가부(210)는 해당 트래픽(즉, 해당 패킷)의 페이로드의 전체 길이와 상기 곱의 차를 계산할 수 있다. 품질 평가부(210)는 상기 곱의 차와 페이로드의 전체 길이 L 간의 비율로서 해당 페이로드 시그니쳐의 매칭속도(PV)를 계산할 수 있다.
314 단계에서, 품질 평가부(210)는 페이로드 시그니쳐 별로 계산된 각 페이로드의 효율성(QV), 고유성(CV) 및 매칭속도(PC) 중 적어도 둘 이상에 기초하여 각 페이로드 시그니쳐의 품질 가중치(QW)를 계산할 수 있다. 예컨대, 품질 평가부(210)는 아래의 수학식 4에 기초하여 각 페이로드 시그니쳐의 품질 가중치(QW)를 계산할 수 있다.
[수학식 4]
Figure 112016116465228-pat00006
수학식 4에 따르면, 품질 평가부(210)는 해당 페이로드 시그니쳐의 고유성(CV), 매칭속도(PV) 및 효율성에 로그(log) 스케일을 적용한 곱으로써, 해당 페이로드 시그니쳐의 품질 가중치(QW)를 계산할 수 있다. 예컨대, 페이로드 시그니쳐 1의 품질 가중치는, 페이로드 시그니쳐 1의 CV, PV 및 log(RV)의 곱으로서 계산될 수 있다. 이외에, 품질 평가부(210)는 CV, PV 및 log(RV)의 합 등과 같이 다양한 형태로 해당 시그니쳐의 품질 가중치를 계산할 수 있다. 그리고, 수학식 4에서는 3가지의 메트릭을 모두 이용하는 경우를 예로 들었으나, 3가지 메트릭 이외에 둘 이상의 메트릭의 곱 또는 합 등을 통해 상기 품질 가중치(QW)를 계산할 수도 있다.
위의 수학식 3에서는 효율성에 로그(log) 스케일을 적용하는 경우를 예로 들었으나, 이는 각 페이로드 시그니쳐에 따른 RV값의 편차가 매우 크기 때문에 편차를 줄이기 위한 것이며, 상기 편차가 기정의된 임계값 이내로 작은 경우 log 스케일을 적용하지 않고 상기 품질 가중치(QW)를 계산할 수도 있다.
도 5는 본 발명의 일실시예에 있어서, 고효율 시그니쳐를 탐색하는 방법을 도시한 흐름도이다.
즉, 도 5의 각 단계들(321 내지 322 단계)은 도 3의 고효율 시그니쳐를 탐색하는 320 단계에 포함되는 것으로서, 도 2의 시그니쳐 탐색부(220)에 의해 수행될 수 있다.
321 단계에서, 시그니쳐 탐색부(220)는 복수의 플로우들(또는 패킷들)을 대상으로 2차원 맵(MAP)을 구성할 수 있다.
예를 들어, 도 4에서 설명한 바와 같이, 복수의 페이로드 시그니쳐 별로 품질 평가가 수행되어 각 시그니쳐의 품질 가중치(QW)가 계산되면, 시그니쳐 탐색부(220)는 아래의 표 1과 같이, 계산된 품질 가중치(QW)가 각 시그니쳐의 식별자 정보(sig Id), 각 페이로드 시그니쳐에 매칭하는 플로우들의 식별자 정보(flow ID)를 맵핑하는 2차원 맵(MAP)을 구성할 수 있다. 아래의 표 1은 각 페이로드 시그니쳐의 품질 가중치(QW)를 2차원 맵(MAP)에 맵핑(mapping)하여 구성한 S-MAP 테이블(table)을 나타낼 수 있다.
Figure 112016116465228-pat00007
표 1을 예로 들면, 12개의 페이로드 시그니쳐를 대상으로 품질 가중치(QW)가 계산된 경우, 시그니쳐 탐색부(220)는 12개의 시그니쳐 각각의 식별자 정보(ID)와 해당 품질 가중치(QW)를 2차원 맵(MAP)에 매칭시킬 수 있다. 이때, 시그니쳐 탐색부(220)는 해당 시그니쳐에 매칭하는 플로우들(또는 패킷들)의 식별자 정보(ID)를 함께 2차원 맵(MAP)에 매칭시켜 S-MAP을 구성할 수 있다.
322 단계에서, 시그니쳐 탐색부(220)는 구성한 2차원 맵(즉, S-MAP)과 각 페이로드 시그니쳐의 품질 가중치(QW)에 기초하여 복수의 페이로드 시그니쳐들 중에서 고효율 시그니쳐를 탐색, 즉, 결정할 수 있다.
일례로, 시그니쳐 탐색부(220)는 2차원 맵 상의 각 플로우에 매칭된 페이로드 시그니쳐에 해당하는 적어도 하나의 매칭 포인트를 대상으로, 페이로드 시그니쳐 별 품질 가중치에 기초하여 타겟 매칭 포인트를 결정할 수 있다. 그리고, 결정된 타겟 매칭 포인트에 해당하는 페이로드 시그니쳐를 고효율 시그니쳐로 결정할 수 있다. 예를 들어, 도 6을 참고하면, 시그니쳐 탐색부(220)는 S-MAP 테이블에 기초하여 2차원 맵(S-MAP)의 가로축(x축)에 플로우들의 식별자 정보(즉, 플로우 시퀀스)로 하고, 세로축(y축)은 각 시그니쳐의 식별자 정보(Sig ID)로 하는 2차원 맵 상에 해당 시그니쳐로 매칭하는 플로우들을 나타내는 매칭 포인트(matching point)를 맵핑시킬 수 있다. 그리고, 시그니쳐 탐색부(220)는 각 매칭 포인트마다 품질 가중치(QW)에 기초하여 모든 x축의 플로우에 해당하는 매칭 포인트를 연결하는 가상의 선(610)을 그릴 수 있다. 이때, x축의 특정 플로우 시퀀스에 맵핑된 매칭 포인트가 복수개인 경우, 시그니쳐 탐색부(220)는 최대 가중치에 해당하는 매칭 포인트들을 연결하여 상기 가상의 선(610)을 그릴 수 있다. 예컨대, 플로우 1의 경우, 시그니쳐 5와 시그니쳐 8과 매칭하나, 둘 중 품질 가중치(QW)가 높은 시그니쳐 8의 매칭 포인트가 선택되고, 시그니쳐 8에 해당하는 매칭 포인트(620)와 플로우 2에서 최대 가중치에 해당하는 시그니쳐 8의 매칭 포인트(630)를 연결하는 가상의 선이 2차원 맵 상에 그려질 수 있다. 그리고, 시그니쳐 탐색부(220)는 매칭 포인트(630)를 플로우 3에서 최대 가중치에 해당하는 시그니쳐 1의 매칭 포인트(640)를 연결하는 가상의 선을 그릴 수 있다. 동일한 방식으로, 플로우 4 내지 플로우 12(즉, 모든 플로우들)에 대해 품질 가중치에 기초하여 선택된 매칭 포인트들을 연결하는 가상의 선이 2차원 맵 상에 그려질 수 있다. 도 6의 S-MAP을 참고하면, 품질 가중치에 기초하여 매칭 포인트를 연결한 가상 선을 생성할 때 이용된 시그니쳐들(즉, Y축)은 {1, 8, 10}번 시그니쳐에 해당할 수 있다. 이에 따라, 시그니쳐 탐색부(220)는 12개의 페이로드 시그니쳐들 중에서 {1, 8, 10}번 시그니쳐를 고효율 시그니쳐로 결정할 수 있다. 그리고, 시그니쳐 탐색부(220)는 트래픽 분석을 위해 고효율 시그니쳐들을 포함하는 세트를 생성할 수 있다. 그러면, 트래픽 분석부(230)는 생성된 고효율 시그니쳐 세트에 포함된 고효율 시그니쳐들을 이용하여 이후 트래픽 수집부에서 수집된 트래픽들이 어떤 응용에 해당하는 것인지 분석할 수 있다. 예컨대, 12개의 페이로드 시그니쳐들과 수집된 트래픽들이 서로 매칭하는지 여부를 모두 분석하지 않고, 12개 중에서 고효율로 결정된 상기 1, 8, 10번, 3개의 고효율 시그니쳐와 상기 수집된 트래픽들이 서로 매칭하는지 여부를 분석할 수 있다. 이때, 시그니쳐의 효율은 아래의 수학식 5에 기초하여 계산될 수 있다.
[수학식 5]
Figure 112016116465228-pat00008
수학식 5에서, SAE(Signature Average Efficiency)는 단위 시그니쳐가 식별한 플로우 내 패킷의 개수를 나타낼 수 있다. 여기서, 단위 시그니쳐는, 페이로드 시그니쳐를 구성하는 콘텐츠 시그니쳐, 패킷 시그니쳐 또는 플로우 시그니쳐를 나타낼 수 있다.
수학식 5에 따르면, 고효율 시그니쳐 세트
Figure 112016116465228-pat00009
에 포함된 고효율 시그니쳐 각각에 매칭된(MatchedToSigx) 패킷 시퀀스(PKTseq)의 개수를 계산하고, 계산결과를 고효율 시그니쳐 세트에 포함된 고효율 시그니쳐의 전체 개수로 나눠줌에 따라 상기 시그니쳐의 효율(SAE)이 계산될 수 있다. SAE 값을 통해 고효율 시그니쳐 세트의 응용 식별 효율이 계산될 수 있으며, 효율을 비교할 수 있다.
예컨대, 다시 도 6을 참고하면, S-MAP에 기초하여 탐색된 고효율 시그니쳐들로 구성된 고효율 시그니쳐 세트를 기반으로 SAE를 계산한 경우, 이전보다 시그니쳐의 개수가 1/4로 압축되었음을 알 수 있다. 즉, 12개의 페이로드 시그니쳐 대신 3개의 고효율 시그니쳐(1,8,10번 시그니쳐)를 이용하여 트래픽을 분석할 수 있다. 이처럼, 시그니쳐의 개수가 1/4로 압축(감소)됨에 따라, 고효율 시그니쳐들을 이용한 트래픽 분석량은 12개의 시그니쳐들을 이용할 때 보다 4배 증가함을 알 수 있다. 즉, S-MAP을 통해 탐색된 고효율 시그니쳐 세트는 이전의 12개의 시그니쳐들 보다 평균 4배 높은 시그니쳐 효율을 가짐을 알 수 있다. 그리고, 12개의 페이로드 시그니쳐 전체가 아닌 압축된 3개의 고효율 시그니쳐를 이용하여 트래픽을 분석함에 따라, 분석 속도 역시 4배 이상 향상될 수 있다. 즉, 시그니쳐와의 매칭 회수만을 고려하면 트래픽 분석 속도가 4배 증가하나, 시그니쳐의 검사 범위 및 매칭 오프셋값이 함께 줄었으므로 분석 속도는 4배 이상 증가할 수 있다.
도 7은 본 발명의 일실시예에 있어서, 시그니쳐 비율에 따른 응용 식별률을 나타낸 그래프이다.
즉, 도 7은 아래의 표 2에 트래픽 트레이스들에 기초하여 시그니쳐의 품질 평가를 수행한 결과를 나타낼 수 있다. 아래의 표 2는 품질 평가를 위해 사용한 트래픽 트레이스(traffic trace)를 나타낼 수 있다. 예컨대, 표 2에서, 6개의 트레이스는 모두 토렌트 응용의 트래픽으로서, 각각 동영상 파일을 다운로드하여 수집된 트래픽일 수 있다. 표 2에서, 페이로드 시그니쳐를 구성하는 콘텐츠 시그니쳐, 패킷 시그니쳐, 플로우 시그니쳐 중 가장 하위 레벨인 콘텐츠 시그니쳐를 단위 시그니쳐로 이용하여 품질 평가가 수행된 경우를 가정할 수 있다. 콘텐츠 시그니쳐, 패킷 시그니쳐, 플로우 시그니쳐 순으로 레벨이 높아질 수 있으며, 레벨이 높을수록 특정 응용에 보다 특화된, 즉, 다른 응용은 분석하지 않고 특정 응용만을 분석하는 보다 정교한 시그니쳐에 해당할 수 있다. 콘텐츠 시그니쳐 이외에 패킷 시그니쳐, 플로우 시그니쳐에 대해서도 품질 평가가 수행될 수 있다.
Figure 112016116465228-pat00010
위의 표 2 및 도 7에서, 6개의 트레이스들 중에서 총 139개의 콘텐츠 시그니쳐(content signature)와 약 14,000개의 패킷 시퀀스(packet sequence)가 24개의 고효율 시그니쳐로 압축될 수 있다. 즉, S-MAP을 통해 139개의 페이로드 시그니쳐가 24개의 고효율 시그니쳐로 압축될 수 있다. 이때, 품질 평가(QE)를 적용하지 않은 기존의 139개의 시그니쳐와 품질 평가를 통해 탐색된 24개의 고효율 시그니쳐를 이용할 때의 시퀀스 효율을 각각 계산하면, 품질 평가를 적용하여 탐색된 고효율 시그니쳐가 품질 평가를 적용하지 않은 페이로드 시그니쳐들 보다 평균 5배 정도 높은 시그니쳐 효율을 가질 수 있다. 즉, S-MAP의 Y축에서 139개의 시그니쳐 중 실제 연결된 매칭 포인트들의 수준이 24개로 일정한 것을 확인할 수 있다.
그러면, 도 7에서, 139개의 페이로드 시그니쳐의 응용 식별률을 100%로 가정하면, 각 시그니쳐의 품질 가중치(QW)가 낮은 시그니쳐부터 순차적으로 제외시키면서 고효율 시그니쳐 세트가 생성될 수 있다. 즉, 139개의 시그니쳐들을 포함하는 시그니쳐 세트가 24개의 고효율 시그니쳐를 포함하는 고효율 시그니쳐 세트로 압축될 수 있다. 도 7을 참고하면, 압축률이 약 40%가 된 시점부터 응용 식별률이 점진적으로 감소하는 것을 확인할 수 있다. 즉, 139개의 시그니쳐를 같은 식별률을 유지하며 전체 시그니쳐의 40%인 55개의 시그니쳐로 압축할 수 있다. 그리고, 품질 평가(QE)를 적용함에 따라 압축된 24개의 고효율 시그니쳐는 전체 시그니쳐의 약 17%로서, 1차적으로 추려진 55개의 시그니쳐보다 13% 낮은 시그니쳐 비율을 갖는 동시에 응용 식별률 측면에서는 3% 미만의 차이를 보이고 있음을 확인할 수 있다. 즉, 도 7의 응용 식별률 98%를 유지하면서 크리티컬 포인트(critical point)는 40%인 55개의 시그니쳐를 유지하나, 품질 평가를 적용하는 경우(optical point) 시그니쳐 압축을 17%까지 하면서 96%의 응용 식별률을 유지할 수 있다. 다시 말해, 고효율 시그니쳐로 압축함에 따라 1.2%로 응용 식별률(즉, 트래픽 분석률)이 감소하나 감소는 미비하고, 시그니쳐 압축이 17%로 상당하여 분석 속도가 5배 이상 향상됨을 확인할 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (11)

  1. 복수의 페이로드 시그니쳐들(payload signature)을 대상으로 시그니쳐의 활용성(redundancy), 고유성(characteristic), 및 매칭속도(performance)에 기초하여 해당 시그니쳐의 중요도를 나타내는 품질 평가(Quality Evaluation)를 수행하는 단계; 및
    수행된 품질 평가의 결과에 기초하여 상기 복수의 페이로드 시그니쳐들 중에서 적어도 하나의 고효율 시그니쳐를 탐색하는 단계
    를 포함하고,
    상기 품질 평가를 수행하는 단계는,
    상기 복수의 페이로드 시그니쳐들 중에서 어느 하나의 특정 시그니쳐와 매칭하는 플로우(flow)의 개수를 상기 시그니쳐의 활용성으로 계산하는 단계
    를 포함하고,
    상기 고유성은, 페이로드 시그니쳐를 구성하는 문자열에서 미리 지정된 의미를 갖는 문자와 숫자의 비율을 기반으로 해당 시그니쳐의 중요도를 정량화한 것을 나타내고,
    상기 매칭속도는, 패킷의 전체 페이로드 중에서 페이로드 시그니쳐의 위치를 기반으로 상기 페이로드 시그니쳐와 매칭하는 속도를 나타내는 것
    을 특징으로 하는 고효율 시그니쳐 탐색 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 품질 평가를 수행하는 단계는,
    페이로드 시그니쳐를 구성하는 문자열에 포함된 문자(character)의 수, 숫자(numberic)의 수, 및 페이로드 시그니쳐의 전체 길이에 기초하여 상기 시그니쳐의 고유성을 계산하는 단계
    를 더 포함하는 고효율 시그니쳐 탐색 방법.
  4. 제1항에 있어서,
    상기 품질 평가를 수행하는 단계는,
    페이로드 시그니쳐를 구성하는 문자열에 응용 이름이 포함되어 있는지 여부에 기초하여 상기 시그니쳐의 고유성을 계산하는 단계
    를 더 포함하는 고효율 시그니쳐 탐색 방법.
  5. 제1항에 있어서,
    상기 품질 평가를 수행하는 단계는,
    상기 복수의 페이로드 시그니쳐들을 대상으로, 페이로드 시그니쳐 각각의 매칭 오프셋(offset), 매칭 길이(depth), 그리고 패킷의 데이터 영역에 해당하는 페이로드의 전체 길이에 기초하여 상기 매칭속도를 계산하는 단계
    를 더 포함하는 고효율 시그니쳐 탐색 방법.
  6. 제1항에 있어서,
    상기 품질 평가를 수행하는 단계는,
    상기 시그니쳐의 효율성, 고유성 및 매칭속도에 기초하여 복수의 시그니쳐들 각각에 해당하는 품질 가중치(Quality Weight)를 계산하는 단계
    를 더 포함하는 고효율 시그니쳐 탐색 방법.
  7. 제1항에 있어서,
    상기 고효율 시그니쳐를 탐색하는 단계는,
    분석하고자 하는 플로우들(flow)을 대상으로, 상기 복수의 페이로드 시그니쳐들 각각을 맵핑한 2차원 맵(MAP)을 구성하는 단계;
    상기 2차원 맵(MAP) 상의 각 플로우에 맵핑된 페이로드 시그니쳐에 해당하는 적어도 하나의 매칭 포인트를 대상으로, 페이로드 시그니쳐 별 품질 가중치(Quality Weight)에 기초하여 타겟 매칭 포인트를 결정하는 단계; 및
    결정된 타겟 매칭 포인트에 해당하는 페이로드 시그니쳐를 상기 고효율 시그니쳐로 결정하는 단계
    를 포함하는 고효율 시그니쳐 탐색 방법.
  8. 제1항에 있어서,
    상기 복수의 페이로드 시그니쳐들 중에서 탐색된 상기 고효율 시그니쳐에 기초하여 복수의 트래픽들의 분석을 수행하는 단계
    를 더 포함하는 고효율 시그니쳐 탐색 방법.
  9. 복수의 페이로드 시그니쳐들(payload signature)을 대상으로 시그니쳐의 활용성(redundancy), 고유성(characteristic), 및 매칭속도(performance)에 기초하여 해당 시그니쳐의 중요도를 나타내는 품질 평가(Quality Evaluation)를 수행하는 품질 평가부; 및
    수행된 품질 평가의 결과에 기초하여 상기 복수의 페이로드 시그니쳐들 중에서 적어도 하나의 고효율 시그니쳐를 탐색하는 시그니쳐 탐색부
    를 포함하고,
    상기 품질 평가부는,
    상기 복수의 페이로드 시그니쳐들 중에서 어느 하나의 특정 시그니쳐와 매칭하는 플로우(flow)의 개수를 상기 시그니쳐의 활용성으로 계산하고,
    상기 고유성은, 페이로드 시그니쳐를 구성하는 문자열에서 미리 지정된 의미를 갖는 문자와 숫자의 비율을 기반으로 해당 시그니쳐의 중요도를 정량화한 것을 나타내고,
    상기 매칭속도는, 패킷의 전체 페이로드 중에서 페이로드 시그니쳐의 위치를 기반으로 상기 페이로드 시그니쳐와 매칭하는 속도를 나타내는 것
    을 특징으로 하는 고효율 시그니쳐 탐색 시스템.
  10. 제9항에 있어서,
    상기 품질 평가부는,
    상기 시그니쳐의 효율성, 고유성 및 매칭속도에 기초하여 복수의 시그니쳐들 각각에 해당하는 품질 가중치(Quality Weight)를 계산하고,
    상기 시그니쳐 탐색부는,
    분석하고자 하는 플로우들(flow)을 대상으로, 상기 복수의 페이로드 시그니쳐들 각각을 맵핑한 2차원 맵(MAP)을 구성하고, 상기 2차원 맵(MAP) 상의 각 플로우에 맵핑된 페이로드 시그니쳐에 해당하는 적어도 하나의 매칭 포인트를 대상으로, 페이로드 시그니쳐 별 품질 가중치(Quality Weight)에 기초하여 타겟 매칭 포인트를 결정하고, 결정된 타겟 매칭 포인트에 해당하는 페이로드 시그니쳐를 상기 고효율 시그니쳐로 결정하는 것
    을 특징으로 하는 고효율 시그니쳐 탐색 시스템.
  11. 제9항에 있어서,
    상기 복수의 페이로드 시그니쳐들 중에서 탐색된 상기 고효율 시그니쳐에 기초하여 복수의 트래픽들의 분석을 수행하는 트래픽 분석부
    를 더 포함하는 고효율 시그니쳐 탐색 시스템.
KR1020160159552A 2016-11-28 2016-11-28 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템 KR101871600B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160159552A KR101871600B1 (ko) 2016-11-28 2016-11-28 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160159552A KR101871600B1 (ko) 2016-11-28 2016-11-28 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20180060263A KR20180060263A (ko) 2018-06-07
KR101871600B1 true KR101871600B1 (ko) 2018-06-27

Family

ID=62621602

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160159552A KR101871600B1 (ko) 2016-11-28 2016-11-28 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101871600B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100316263A1 (en) 2009-06-15 2010-12-16 Honeywell International Inc. Iris and ocular recognition system using trace transforms

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100316263A1 (en) 2009-06-15 2010-12-16 Honeywell International Inc. Iris and ocular recognition system using trace transforms

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문("페이로드 시그니쳐 매칭 순서 최적화를 통한 응용 트래픽 분류 속도 향상", 이성호, 박준상, 김명섭, 석우진, The Journal of Korean Institute of Communications and Information Science, 2015.03)

Also Published As

Publication number Publication date
KR20180060263A (ko) 2018-06-07

Similar Documents

Publication Publication Date Title
US8655805B2 (en) Method for classification of objects in a graph data stream
US20120182891A1 (en) Packet analysis system and method using hadoop based parallel computation
CN107861981B (zh) 一种数据处理方法及装置
CN107016018B (zh) 数据库索引创建方法及装置
CN111813756B (zh) 一种日志检索系统、方法、装置、电子设备及存储介质
JP2015508543A (ja) 店舗訪問データを処理すること
CN110768875A (zh) 一种基于dns学习的应用识别方法及系统
CN112866023A (zh) 网络检测、模型训练方法、装置、设备及存储介质
GB2498762A (en) Computing user traffic at the website based on user actions
CN112256599A (zh) 一种数据预取方法、装置及存储设备
CN111507479A (zh) 特征分箱方法、装置、设备及计算机可读存储介质
CN107451461B (zh) 移动设备的设备指纹处理方法、装置、服务器及存储介质
CN106572486B (zh) 一种基于机器学习的手持终端流量识别方法和系统
JP6523799B2 (ja) 情報分析システム、情報分析方法
JP2012094129A (ja) コンピューティング環境における資源の発見のための方法、装置、およびプログラム
JP6588661B2 (ja) 情報検索精度の評価方法、システム、装置及びコンピュータ読み取り可能な記憶媒体
JP6683839B2 (ja) モバイル装置識別子を設定する方法及び装置
CN111092879B (zh) 日志关联方法及装置、电子设备、存储介质
KR101871600B1 (ko) 페이로드 시그니쳐 품질 평가를 통해 고효율 시그니쳐를 탐색하는 방법 및 시스템
CN117081801A (zh) 网站的内容管理系统的指纹识别方法、装置及介质
WO2018138205A1 (en) Model search method and device based on semantic model framework
CN110120918B (zh) 一种标识解析方法及装置
US20230106935A1 (en) Network probe placement optimization
CN101854341B (zh) 用于数据流的模式匹配方法和装置
CN112311679B (zh) 状态检测方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant