KR101885657B1 - Traffic perception apparatus and method using connectionstatus in data transport network having hierarchical structure - Google Patents

Traffic perception apparatus and method using connectionstatus in data transport network having hierarchical structure Download PDF

Info

Publication number
KR101885657B1
KR101885657B1 KR1020160120187A KR20160120187A KR101885657B1 KR 101885657 B1 KR101885657 B1 KR 101885657B1 KR 1020160120187 A KR1020160120187 A KR 1020160120187A KR 20160120187 A KR20160120187 A KR 20160120187A KR 101885657 B1 KR101885657 B1 KR 101885657B1
Authority
KR
South Korea
Prior art keywords
traffic
node
information
abnormal
abnormal traffic
Prior art date
Application number
KR1020160120187A
Other languages
Korean (ko)
Other versions
KR20180031479A (en
Inventor
안명길
김용현
노병희
이승운
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020160120187A priority Critical patent/KR101885657B1/en
Publication of KR20180031479A publication Critical patent/KR20180031479A/en
Application granted granted Critical
Publication of KR101885657B1 publication Critical patent/KR101885657B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법이 개시된다. 본 발명에서는, 계층 구조를 갖는 정보전달망에서, 정보전달망에 포함된 노드들에 대한 기 정의된 연결 관계 정보를 포함하는 연결 관계 맵과, 정보전달망에서 발생한 트래픽의 연결 관계 여부를 연결 관계 맵으로부터 확인하여 이상 트래픽을 탐지하는 이상 트래픽 탐지부와, 이상 트래픽 탐지부의 탐지 결과에 근거하여, 정보전달망에서 발생한 트래픽의 처리를 수행하는 이상 트래픽 처리부와, 이상 트래픽의 발생을 알려주고 이상 트래픽에 대한 추가적인 처리를 수행하는 중앙 제어부를 포함하여 이루어진다.An abnormal traffic detection apparatus using a connection relationship in an information transmission network having a hierarchical structure and a detection method thereof are disclosed. In the present invention, in an information transmission network having a hierarchical structure, a connection relationship map including predefined connection relationship information about nodes included in the information transmission network and a connection relationship between traffic generated in the information transmission network are confirmed from a connection relationship map An abnormal traffic processor for processing the traffic generated in the information transmission network based on the detection result of the abnormal traffic detector and an abnormal traffic processor for notifying the occurrence of abnormal traffic and performing an additional processing on the abnormal traffic And a central control unit for performing the operation.

Description

계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법{TRAFFIC PERCEPTION APPARATUS AND METHOD USING CONNECTIONSTATUS IN DATA TRANSPORT NETWORK HAVING HIERARCHICAL STRUCTURE}TECHNICAL FIELD [0001] The present invention relates to an apparatus and method for detecting abnormal traffic using a connection relationship in an information transmission network having a hierarchical structure,

본 발명은 전장 모의 실험에서, 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법에 관한 것이다. The present invention relates to an abnormal traffic detection apparatus using a connection relationship in an information transmission network having a hierarchical structure in a full field simulation, and a detection method thereof.

정보전달망(data transport network)은 양 지점 간의 정보를 전달하는 기능적인 측면의 네트워크 자원을 의미한다. 계층적이고 정형화된 정보전달망은, 군 전술 통신망, SCADA와 같이 감시 제어 및 데이터 취득을 목적으로 하는 네트워크(예를 들어, 산업 제어 시스템 네트워크)에서 사용되는 통신망을 의미한다.A data transport network is a functional network resource that carries information between two points. The hierarchical and formal information transmission network refers to a communication network used in a monitoring control and data acquisition network (for example, an industrial control system network) such as a military tactical communication network, SCADA.

일반적인 통신망 환경에서는, 통신망에 연결되어 있는 모든 노드들 간의 제약이 없는 풀 메쉬 형태를 형성한다. 반면, 계층적이고 정형화된 정보통신망은 노드들이 그룹을 이루어 계층을 이루고, 각 계층에는 분리된 그룹이 존재할 수 있다. 이러한 경우, 동일 계층에 속하더라도 다른 그룹에 속한 노드들 간에는 직접적인 통신이 제한되며, 대신 이들의 상위 계층에 속한 그룹(들)을 경유해야만 통신이 가능하다.In a typical network environment, all nodes connected to the network form a full mesh type without any restriction. On the other hand, the hierarchical and formalized information communication network may have a group of nodes, and a separate group may exist in each layer. In this case, direct communication between the nodes belonging to the same group but not belonging to the other group is limited, and communication can be performed only through the group (s) belonging to the higher layer.

또한, 계층적이고 정형화된 정보전달망에서의 정보 전달은 모든 노드들 간에서 수행되지 않고, 그룹 내의 특정 노드 간, 특정 그룹 간, 또는 특정 계층 간에서와 같이 노드들 간에 논리적 관계가 미리 정의되어 있고, 이와 같이 정의된 관계의 노드들 간에만 정보 교환이 허용된다. 즉, 네트워크 노드가 단대단(end-to-end)으로 연결되어 있더라도, 구조적 또는 정책적인 특징에 따라 모든 노드들 간의 통신이 제한될 수 있다.In addition, information transfer in a hierarchical and formal information transmission network is not performed among all the nodes, and a logical relationship is predefined between nodes, such as between specific nodes in a group, between specific groups, or between specific layers, Information exchange is allowed only between the nodes of the relationship thus defined. That is, even if the network node is connected end-to-end, communication between all the nodes may be restricted according to the structural or policy feature.

한편, 최근 인터넷환경에는 이상 트래픽을 유발하여 네트워크에 피해를 주는 서비스 거부, 웜(computer worm) 등의 공격 등이 존재한다. 이러한 공격들로 인한 피해가 증가하고 있으며, 이에 대한 탐지 및 방지 기술들이 도입되고 있다. 예를 들어, 패턴 매칭, 프로토콜 스펙 위반 등과 같은 패킷 검사 등의 기존 기술들은 일반 인터넷망의 환경을 고려한 것으로서 계층적인 정보전달망이 갖는 특성을 반영하지 않는다.On the other hand, there are attacks such as denial of service and computer worm which cause abnormal traffic in the Internet environment and damage the network. The damage caused by these attacks is increasing, and detection and prevention technologies are being introduced. For example, existing technologies such as packet inspection such as pattern matching and protocol specification violation consider the environment of a general Internet network and do not reflect characteristics of a hierarchical information transmission network.

구체적으로, 계층 구조를 갖는 정보전달망의 경우, 기존 기술을 이용한 이상 트래픽 탐지 및 방지 기술을 사용할 경우, 이상 트래픽 탐지 및 방어 시 불필요한 패킷 검사를 수행해야 하기 때문에 비효율적인 탐지가 이루어진다. 이에, 계층 구조를 갖는 정보전달망의 특성을 반영한 효율적인 이상 트래픽 탐지 기술이 필요하다. Specifically, in the case of an information transmission network having a hierarchical structure, when abnormal traffic detection and prevention techniques using existing technologies are used, inefficient detection is performed because unnecessary packet inspection must be performed in detection and defense of abnormal traffic. Therefore, there is a need for an efficient abnormal traffic detection technique that reflects characteristics of a hierarchical information transmission network.

따라서, 본 발명의 일 목적은, 노드들이 단대단으로 연결된 계층적이고 정형화된 정보전달망의 특성을 반영하여 이상 트래픽을 탐지할 수 있는, 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법을 제공하는 데 있다. Therefore, it is an object of the present invention to provide an abnormal traffic detection device using a connection relationship in an information transmission network having a hierarchical structure, in which abnormalities can be detected by reflecting the characteristics of a hierarchical and formal information transmission network, It is to provide a detection method.

또한, 본 발명의 또 다른 목적은, 계층구조를 갖는 정보전달망에서, 이상 트래픽이 발생한 노드를 회복할 수 있는, 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법을 제공하는 데 있다. It is still another object of the present invention to provide an apparatus and method for detecting abnormal traffic using a connection relationship in an information transmission network having a hierarchical structure capable of recovering a node generating abnormal traffic in an information transmission network having a hierarchical structure .

이를 위해, 본 발명에 따른 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치는, 상기 정보전달망에 포함된 노드들에 대한 기 정의된 연결 관계 정보를 포함하는 연결 관계 맵; 상기 정보전달망에서 발생한 트래픽의 연결 관계 여부를 상기 연결 관계 맵으로부터 확인하여 이상 트래픽을 탐지하는 이상 트래픽 탐지부; 상기 이상 트래픽 탐지부의 탐지 결과에 근거하여, 상기 정보전달망에서 발생한 트래픽의 처리를 수행하는 이상 트래픽 처리부; 및 이상 트래픽의 발생을 알려주고 이상 트래픽에 대한 추가적인 처리를 수행하는 중앙 제어부를 포함하여 이루어진다.To this end, the abnormal traffic detection apparatus using the connection relationship in the information delivery network having the hierarchical structure according to the present invention comprises: a connection relationship map including predefined connection relationship information about the nodes included in the information transmission network; An abnormal traffic detection unit for detecting an abnormal traffic by checking whether the traffic generated in the information transmission network is a connection relation from the connection relationship map; An abnormal traffic processing unit for processing traffic generated in the information transmission network based on the detection result of the abnormal traffic detection unit; And a central control unit for notifying the occurrence of the abnormal traffic and performing an additional process for the abnormal traffic.

일 실시 예에서, 상기 중앙 제어부는 중앙 제어 노드와 통신가능하도록 연결되고, 상기 중앙 제어부는, 상기 중앙 제어 노드로부터 수신된 이상 트래픽에 관한 정보에 기초하여, 이상 노드에 대한 정보를 수집 및 저장하는 이상 노드 저장부, 및 상기 이상 노드 저장부로부터 수신된 이상 노드에 대한 정보를 기초로, 치료 노드에 대한 정보를 수집 및 저장하는 치료 노드 저장부를 더 포함할 수 있다.In one embodiment, the central control unit is connected to be communicable with the central control node, and the central control unit collects and stores information on the ideal node based on the information on the abnormal traffic received from the central control node And a treatment node storage unit for collecting and storing information about the treatment node based on the information about the ideal node received from the abnormal node storage unit.

일 실시 예에서, 상기 중앙 제어 노드는, 상기 치료 노드 저장부로부터 치료될 노드의 정보를 수신하여, 해당 노드로 치료 메시지를 전송할 수 있다.In one embodiment, the central control node receives the information of the node to be treated from the treatment node storage unit, and transmits the treatment message to the node.

일 실시 예에서, 상기 정보전달망에서 발생한 트래픽에는 송신자 노드 및 수신자 노드의 식별자 정보가 포함되고, 상기 이상 트래픽 탐지부는, 상기 송신자 노드 및 수신자 노드의 식별자 정보를 이용하여 상기 연결 관계 맵에 대응되는 연결 관계 정보를 검출하고, 검출된 연결 관계 정보를 기초로 이상 트래픽을 탐지할 수 있다.In one embodiment, the traffic generated in the information transmission network includes identifier information of a sender node and a receiver node, and the abnormal traffic detection unit detects a connection corresponding to the connection relationship map using the identifier information of the sender node and the receiver node, It is possible to detect the abnormal traffic based on the detected connection information.

일 실시 예에서, 상기 이상 트래픽 탐지부로부터 수신된 트래픽이 이상 트래픽으로 탐지된 경우이면 해당 트래픽 전송을 차단하고, 상기 이상 트래픽 탐지부로부터 수신된 트래픽이 이상 트래픽으로 탐지되지 않은 경우이면 해당 트래픽을 통과시킬 수 있다.In one embodiment, if the traffic received from the abnormal traffic detection unit is detected as abnormal traffic, the transmission of the corresponding traffic is blocked. If the traffic received from the abnormal traffic detection unit is not detected as abnormal traffic, Can pass.

또한, 본 발명의 일 실시 예에 따른 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 방법은, 정보전달망으로부터 트래픽을 수신하는 단계; 기정의된 연결 관계 정보를 포함하는 연결 관계 맵을 이용하여, 상기 수신된 트래픽의 연결 관계를 검색하는 단계; 검색 결과, 상기 수신된 트래픽의 연결 관계가 존재하는지를 판단하는 단계; 및 상기 판단에 기초하여, 해당 트래픽의 전송 여부를 결정하는 단계를 포함하여 이루어진다.According to another aspect of the present invention, there is provided a method for detecting abnormal traffic using a connection relationship in an information delivery network having a hierarchical structure, the method comprising: receiving traffic from an information delivery network; Retrieving a connection relationship of the received traffic using a connection relationship map including predefined connection relationship information; Determining whether a connection relation of the received traffic exists as a result of the search; And determining whether to transmit the traffic based on the determination.

일 실시 예에서, 상기 해당 트래픽의 전송 여부를 결정하는 단계는, 상기 수신된 트래픽의 연결 관계가 존재하면 해당 트래픽을 통과시키고, 상기 수신된 트래픽의 연결 관계가 존재하지 않으면 해당 트래픽을 차단하는 단계를 포함할 수 있다.In one embodiment, the step of determining whether to transmit the corresponding traffic may include passing the corresponding traffic if the connection relationship of the received traffic exists, and blocking the corresponding traffic if the connection relationship of the received traffic does not exist . ≪ / RTI >

일 실시 예에서, 상기 탐지 방법은, 상기 수신된 트래픽의 연결 관계가 존재하지 않으면, 이상 트래픽으로 판단하고, 이상 트래픽을 발생하는 이상 노드를 수집하여 해당 노드로 치료 메시지를 전송하는 단계를 더 포함할 수 있다.In one embodiment, the detection method further includes a step of determining an abnormal traffic if the connection relationship of the received traffic does not exist, collecting an abnormal node generating abnormal traffic, and transmitting a treatment message to the node can do.

이와 같은, 본 발명의 실시 예에 따른 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법에 의하면, 특수한 계층적 정보전달망의 상황에서도 추가적인 탐지 방법 없이 효율적인 이상 트래픽 탐지 및 방어가 이루어질 수 있다. 그에 따라, 정보전달의 연결 관계를 확인할 수 있는 연결 관계 맵을 이용하여 이상 트래픽 탐지를 용이하게 확인할 수 있다.According to the abnormal traffic detection apparatus and the detection method thereof using the connection relationship in the information transmission network having the hierarchical structure according to the embodiment of the present invention, even in the case of the special hierarchical information transmission network, Defense can be done. Accordingly, the abnormal traffic detection can be easily confirmed using the connection relationship map which can confirm the connection relation of the information transmission.

또한, 본 발명의 실시 예에 따른 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법에 의하면, 이상 트래픽의 탐지 이후에 회복 장치를 추가적으로 구성할 수 있으므로, 이상 트래픽의 발견시 신속한 대응을 제공할 수 있다.In addition, according to the abnormal traffic detection apparatus and the detection method thereof using the connection relationship in the information delivery network having the hierarchical structure according to the embodiment of the present invention, since the recovery apparatus can be additionally configured after detection of abnormal traffic, It is possible to provide a quick response upon discovery.

도 1은 본 발명의 일 실시예에 따른 계층구조를 갖는 정보전달망에서, 연결 관계 맵을 이용한 이상 트래픽 탐지 장치에 대한 예시 블록도이다.
도 2는 본 발명의 일 실시예에 따른 계층 구조를 갖는 정보 전달망에서, 이상 트래픽이 발생한 노드의 회복하는 방법과 연관된 예시 블록도이다.
도 3은 본 발명의 일 실시예에 따른 계층 구조를 갖는 정보 전달망에서, 연결 관계를 이용한 이상 트래픽 탐지 방법을 보여주는 대표 흐름도이다.1 is an exemplary block diagram of an abnormal traffic detection apparatus using a connection relationship map in an information transmission network having a hierarchical structure according to an embodiment of the present invention.
FIG. 2 is an exemplary block diagram related to a method for recovering a node in which an abnormal traffic occurs, in an information delivery network having a hierarchical structure according to an embodiment of the present invention.
3 is a flowchart illustrating a method for detecting abnormal traffic using a connection relationship in an information transmission network having a hierarchical structure according to an exemplary embodiment of the present invention.

먼저, 본 발명의 실시예는 노드들이 연결된 통신망에서 이상 트래픽의 탐지가 가능한 모든 환경에 적용될 수 있음을 미리 밝혀둔다First, it is disclosed that the embodiment of the present invention can be applied to all environments where abnormal traffic can be detected in a communication network to which nodes are connected

또한, 본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. In addition, the present invention is capable of various modifications and various embodiments, and specific embodiments are illustrated in the drawings and described in detail in the detailed description. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

여기서 설명되는 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 즉, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항복들 중의 어느 항목을 포함한다.Terms including ordinals such as first, second, etc. described herein can be used to describe various elements, but the elements are not limited to these terms. That is, the terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. The term " and / or " includes any combination of a plurality of related listed items or any of a plurality of related listed yields.

또한, 어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.Also, when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, but other elements may be present in between have. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

또한, 본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Also, the terms used in the present application are used only to describe certain embodiments and are not intended to limit the present invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, Should not be construed to preclude the presence or addition of one or more other features, integers, steps, operations, elements, parts, or combinations thereof.

또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 갖는다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Also, unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.

이하, 첨부한 도면들을 참조하여 본 발명에 바람직한 실시 예들을 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어 도면 부호에 상관없이 동일하거나 대응하는 구성요소는 동일한 참조번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout. The description will be omitted.

이하, 본 발명의 실시예에 따른 계층 구조를 갖는 정보전달망에서, 노드들의 연결 관계 맵을 이용한 이상 트래픽 탐지 방법 및 장치(이하, 이상 트래픽 탐지 방법 및 장치)에 대하여 구체적으로 설명하겠다. 군 전술 통신망 및 SCADA와 같은 정보전달망의 경우, 노드들 간의 논리적 관계가 미리 정의되고, 정의된 관계의 노드들 간에만 정보 공유가 이루어지는 특수한 구조를 갖는다. 따라서, 정의된 관계 이외의 이상 트래픽이 특정량 이상으로 발생할 경우에, 이상 트래픽으로 감지할 수 있다. 이에 따라, 본 발명의 일 실시예에 따른 이상 트래픽 탐지 방법 및 장치는 정의된 관계의 노드들에 대한 트래픽 정보를 고려하여 이상 트래픽 탐지를 수행하는 것을 특징으로 한다. Hereinafter, an abnormal traffic detection method and apparatus using a connection relationship map of nodes in an information transmission network having a hierarchical structure according to an embodiment of the present invention (hereinafter, abnormal traffic detection method and apparatus) will be described in detail. In the case of information transmission networks such as military tactical communication network and SCADA, the logical relationship between nodes is predefined and has a special structure in which information is shared only between nodes of a defined relationship. Therefore, if abnormal traffic other than the defined relationship occurs more than a certain amount, abnormal traffic can be detected. Accordingly, the abnormal traffic detection method and apparatus according to an embodiment of the present invention perform abnormal traffic detection in consideration of traffic information on nodes having a defined relationship.

먼저, 도 1은 본 발명의 일 실시예에 따른 계층구조를 갖는 정보전달망에서, 연결 관계 맵을 이용한 이상 트래픽 탐지 장치(100)에 대한 예시 블록도이다. 1 is an exemplary block diagram of an abnormal traffic detection apparatus 100 using a connection relationship map in an information transmission network having a hierarchical structure according to an embodiment of the present invention.

이상 트래픽 탐지 장치(100)는 연결 관계 맵(110), 이상 트래픽 탐지부(120), 이상 트래픽 처리부(130), 및 중앙 제어부(150)를 포함하여 이루어질 수 있다. 여기서, 상기 연결 관계 맵(110), 이상 트래픽 탐지부(120), 이상 트래픽 처리부(130), 및 중앙 제어부(150)의 각 구성들은 본 발명의 이해를 돕기 위해 기능별로 구분된 것이라는 점이 이해되어야 한다. 즉, 본 발명의 일 실시 예에 따른 이상 트래픽 탐지 장치(100)는 하나의 노드에 포함된 구성이거나 또는 CPU, MPU 및 GPU와 같은 하나의 처리부로 구성될 수 있다. 이하, 도 1을 참조하여, 본 발명의 일 실시예에 따른 이상 트래픽 탐지 장치(100)의 각 구성에 대하여 보다 구체적으로 설명하겠다.The abnormal traffic detection apparatus 100 may include a connection relationship map 110, an abnormal traffic detection unit 120, an abnormal traffic processing unit 130, and a central control unit 150. It is to be understood that each of the configurations of the connection relationship map 110, the abnormal traffic detection unit 120, the abnormal traffic processing unit 130, and the central control unit 150 is classified by function in order to facilitate understanding of the present invention do. That is, the abnormal traffic detection apparatus 100 according to an exemplary embodiment of the present invention may be comprised of one node or a single processing unit such as a CPU, MPU, and GPU. Hereinafter, with reference to FIG. 1, each configuration of the abnormal traffic detection apparatus 100 according to an embodiment of the present invention will be described more specifically.

연결 관계 맵(110)은 정보전달망에 포함된 노드들 간의 트래픽 정보를 담고 있는 기능을 수행한다. 연결 관계 맵(110)에 저장된 트래픽 정보는 이후 이상 트래픽 탐지부에 전달되어 정의되지 않은 이상, 트래픽이 존재하는지 여부를 판단하는데 사용될 수 있다. 트래픽 정보는 노드들 간의 현재 네트워크의 상태에 관한 정보를 포함한다.The connection relationship map 110 carries traffic information between nodes included in the information transmission network. The traffic information stored in the connection relationship map 110 may be used to determine whether or not traffic is present unless the traffic information is transmitted to the abnormal traffic detection unit. The traffic information includes information about the state of the current network between the nodes.

또, 연결 관계 맵(110)은 정형화된 정보전달의 송수신 관계를 근거로 연결 관계 정보를 포함한다. 여기서, 연결 관계 정보는 다음의 수학식 1과 같이 표현될 수 있다.In addition, the connection relationship map 110 includes connection relationship information based on a transmission / reception relationship of a formalized information transfer. Here, the connection relationship information can be expressed by the following Equation (1).

Figure 112016091089918-pat00001
Figure 112016091089918-pat00001

수학식 1에서 pij는 이하에 기술된 연결 관계 맵에 포함된 연결 관계 맵 원소 즉, 연결 관계 정보를 나타낸다. 그리고, i 및 j는 정보전달망에 포함된 노드의 식별자 정보로, i는 송신자 노드의 식별자 정보를 나타내고, j는 수신자 노드의 식별자 정보를 나타낸다. In Equation (1), p ij denotes a connection relationship map element included in the connection relationship map described below, that is, connection relation information. I and j are the identifier information of the node included in the information transmission network, i denotes the identifier information of the sender node, and j denotes the identifier information of the receiver node.

또, pij는 0과 1사이의 값으로 표현될 수 있는데, 0일 경우 연결 관계가 없음을 나타내고, 1일 경우 연결 관계가 있음을 나타낸다. 따라서, 0과 1 사이의 값일 경우 pij의 확률만큼의 연결성을 가질 수 있다.Also, p ij can be expressed as a value between 0 and 1, where 0 indicates no connection, and 1 indicates a connection. Therefore, if it is a value between 0 and 1, it can have the same connectivity as p ij .

이와 같이 수학식 1을 이용하여 산출된 연결 관계 정보(pij)에 기초하여 송신자 노드와 수신자 노드 간의 인접 행렬을 생성할 수 있다. 이와 같이 생성된 인접 행렬은 아래의 수학식 2와 같이 표현될 수 있다.Thus, an adjacent matrix between the sender node and the receiver node can be generated based on the connection relationship information pij calculated using Equation (1). The adjacency matrix thus generated can be expressed as Equation (2) below.

Figure 112016091089918-pat00002
Figure 112016091089918-pat00002

여기서, n은 정보전달망에 포함된 노드들의 개수를 나타낸다. Here, n represents the number of nodes included in the information transmission network.

이와 같이 수학식 2로 표현된 인접 행렬은 전술한 연결 관계 맵(110)으로 정의될 수 있다. 즉, 연결 관계 맵(110)은 수학식 1 및 수학식 2를 참조하여 설명한 바와 같이, 송신자 노드와 수신자 노드 간의 인접 행렬 즉, 2차원 배열 형태를 가질 수 있다. 이때, 2차원 배열에서 행과 열의 개수는 노드의 개수로 정의될 수 있다.Thus, the adjacency matrix expressed by Equation (2) can be defined as the above-described connection relationship map 110. [ That is, the connection relationship map 110 may have a neighboring matrix between the sender node and the receiver node, that is, a two-dimensional array form, as described with reference to Equations (1) and (2). In this case, the number of rows and columns in a two-dimensional array can be defined by the number of nodes.

계속해서 도 1에서 이상 트래픽 탐지부(120)는 정보전달망에서 발생하는 트래픽 정보를 통해 이상 트래픽을 탐지한다. 여기서, 트래픽 정보는 정보전달망 내에서의 송신자 노드 및 수신자 노드에 관한 정보를 포함할 수 있다. 또한, 이상 트래픽 탐지부(120)는 트래픽 정보에 연결 관계가 정의되었는지를 확인하는 작업을 수행한다. 구체적으로, 이상 트래픽 탐지부(120)는 트래픽 정보에 포함된 송신자 노드 및 수신자 노드의 식별자 정보를 이용하여, 연결 관계 맵에 해당하는 연결 관계 정보를 검출할 수 있다. 연결 관계 맵에 트래픽 정보와 동일한 정보가 존재하지 않을 경우, 이상 트래픽 탐지부(120)는 이를 이상 트래픽으로 인식한 다음, 이후 기술할 이상 트래픽 처리부(130)와 중앙 제어부(150)에 이상 트래픽이 발견되었음을 알려주는 정보를 전달한다. 1, the abnormal traffic detection unit 120 detects abnormal traffic through traffic information generated in the information transmission network. Here, the traffic information may include information on the sender node and the receiver node in the information transmission network. In addition, the abnormal traffic detection unit 120 performs an operation to confirm whether a connection relation is defined in the traffic information. Specifically, the abnormal traffic detection unit 120 may detect the connection relationship information corresponding to the connection relationship map using the identifier information of the sender node and the receiver node included in the traffic information. If the same information as the traffic information does not exist in the connection relationship map, the abnormal traffic detection unit 120 recognizes the abnormal traffic as abnormal traffic and then transmits abnormal traffic to the abnormal traffic processing unit 130 and the central control unit 150, Provide information that indicates that it has been discovered.

다음, 이상 트래픽 처리부(130)는 이상 트래픽 탐지부(120)의 결과를 수집하여 트래픽에 대한 처리를 수행한다. 여기서, 이상 트래픽 탐지부(120)의 결과는 이상 트래픽 탐지의 결과를 불리언 값(boolean value), 즉 0 또는 1 로 표현할 수 있다. 이에 따라, 이상 트래픽 처리부(130)는 수신된 트래픽이 이상 트래픽으로 탐지되지 않았을 경우, 트래픽을 통과시킨다. 또한, 이상 트래픽 처리부(130)는 수신된 트래픽이 이상트래픽으로 탐지되었을 경우, 트래픽 전송을 차단한다. Next, the abnormal traffic processing unit 130 collects the results of the abnormal traffic detection unit 120 and performs processing on the traffic. Here, the result of the abnormal traffic detection unit 120 may express the result of abnormal traffic detection as a boolean value, that is, 0 or 1. Accordingly, when the received traffic is not detected as abnormal traffic, the abnormal traffic processing unit 130 passes the traffic. In addition, when the received traffic is detected as abnormal traffic, the abnormal traffic processing unit 130 blocks the traffic transmission.

중앙 제어부(150)는 탐지된 이상 트래픽 정보를 통해 정보전달망의 중앙 제어 노드가 특정 작업을 수행하게끔 한다. 여기서, 중앙 제어부(150)는 정보전달망의 중앙 제어 노드에 포함된 기능 또는 이러한 기능을 실행하는 장치일 수 있다. 또한, 상기 중앙 제어부(150)는 정보전달망 전체 또는 정보전달망에 포함된 적어도 일부의 노드들에게 이상 트래픽의 발생을 알려준다. The central control unit 150 causes the central control node of the information transmission network to perform a specific task through the detected abnormal traffic information. Here, the central control unit 150 may be a function included in the central control node of the information transmission network or a device executing such a function. In addition, the central control unit 150 informs the entire information transmission network or at least some nodes included in the information transmission network of the occurrence of abnormal traffic.

또한, 중앙 제어부(150)는 중앙 처리를 통해 이상 트래픽을 발생하는 노드에 대한 치료나 차단 등의 기능을 수행하는 어떠한 모듈, 장치, 알고리즘이라도 될 수 있다. 따라서, 이에 대한 사항은 특정한 방식의 제한 없이, 사용자 설정에 의해 가변될 수 있음을 밝혀둔다.In addition, the central control unit 150 may be any module, apparatus, or algorithm that performs functions such as healing or interception of nodes that generate abnormal traffic through central processing. Therefore, it should be noted that this can be varied depending on the user's setting without limitation of a specific method.

이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 이상 트래픽 탐지 장치에 따르면, 계층적이고 정형화된 정보 전달망의 특성을 고려하여서, 연결 관계 맵을 통해 사전에 정의된 연결 관계를 갖는 노드들을 확인할 수 있다. 또한, 이를 기초로 하여 관계가 정의되지 않은 노드간에 발생하는 트래픽을 이상 트래픽이라고 판단하여서 사전에 차단할 수 있다. 이에 따르면, 특수한 계층적 정보 전달망에서도 효율적인 이상 트래픽 탐지 및 방어가 이루어질 수 있다.As described above, according to the abnormal traffic detection apparatus according to an embodiment of the present invention, considering the characteristics of the hierarchical and formal information transmission network, it is possible to identify nodes having a connection relationship defined in advance through the connection relationship map have. In addition, based on this, the traffic generated between the nodes for which the relation is not defined can be determined as abnormal traffic and can be blocked in advance. Accordingly, efficient abnormal traffic detection and defense can be performed even in a special hierarchical information transmission network.

한편, 이와 같이 정보전달망에서 이상 트래픽이 탐지되었을 경우, 이상 트래픽을 발생하는 이상 노드가 존재할 수 있다. 본 발명에서는 이러한 노드를 대상으로 중앙 제어부를 이용하여 회복/치료 기능을 수행하는 것이 가능하다.On the other hand, when abnormal traffic is detected in the information transmission network, an abnormal node that generates abnormal traffic may exist. In the present invention, it is possible to perform a recovery / repair function using such a node as a central control unit.

이에, 이하에서는 도 2를 참조하여 본 발명에 실시 예에 따른 계층구조를 갖는 정보전달망에서 이상 트래픽을 발생하는 노드를 회복하는 방법에 대하여 구체적으로 설명하겠다.Hereinafter, a method for recovering a node that generates abnormal traffic in an information delivery network having a hierarchical structure according to an embodiment of the present invention will be described in detail with reference to FIG.

도 2에서, 이상 트래픽을 발생하는 노드를 회복하는 기능을 수행하기 위해, 중앙제어 노드(260)와 중앙 제어부(250)가 서로 통신가능하게 연결된다. 또한, 중앙 제어부(250)는 이상 노드 저장부(251) 및 치료 노드 저장부(252)를 더 포함할 수 있다.2, a central control node 260 and a central control unit 250 are communicably connected to each other to perform a function of recovering a node generating abnormal traffic. In addition, the central control unit 250 may further include an abnormal node storage unit 251 and a treatment node storage unit 252.

중앙 제어 노드(260)는 도 1의 이상 트래픽 탐지부(120)로부터 수집한 이상 노드에 관한 정보에 기초하여, 중앙 제어부(250)에 이상 트래픽에 관한 정보를 전달한다. 또한, 중앙 제어 노드(260) 치료될 노드의 정보를 중앙 제어부(250)로부터 수신하여 해당 노드로 치료 메시지를 보내는 기능을 수행한다. The central control node 260 transmits information about the abnormal traffic to the central control unit 250 based on the information about the abnormal node collected from the abnormal traffic detection unit 120 of FIG. Also, the central control node 260 receives the information of the node to be treated from the central control unit 250 and sends a treatment message to the corresponding node.

중앙 제어부(250)는 이상 노드의 정보를 저장하기 위해 이상 노드 저장부(251)를 포함한다. 또, 중앙 제어부(250)는 이상 노드의 치료를 위해, 치료 노드 저장부(252)를 포함한다.The central control unit 250 includes an ideal node storage unit 251 for storing information of an ideal node. In addition, the central control unit 250 includes a treatment node storage unit 252 for treatment of an abnormal node.

이상 노드 저장부(251)는 이상 트래픽 탐지부(120)로부터 수신된 이상 트래픽의 정보, 예를 들어 이상 노드에 대한 정보를 수집하여 저장하는 기능을 수행한다. 이때, 이상 노드 저장부(251)는 중앙 제어부(250) 내에 별도의 장치로 구현되거나 중앙 제어부(250)의 하나의 기능이거나, 또는 중앙 제어부(250)와 독립된 별도의 장치로 구현될 수 있다. 또한, 이상 노드에 대한 정보는 이상 노드의 식별자 정보이거나 또는 이상 노드의 IP 주소일 수 있다. The abnormal node storage unit 251 collects and stores information on the abnormal traffic received from the abnormal traffic detection unit 120, for example, information about the abnormal node. At this time, the ideal node storage unit 251 may be implemented as a separate device in the central control unit 250, a function of the central control unit 250, or a separate device independent of the central control unit 250. The information about the anomaly node may be the identifier information of the anomaly node or the IP address of the anomaly node.

치료 노드 저장부(252)는 이상 노드 저장부(251)로부터 전달된 이상 노드에 대한 정보를 수집하고 저장하는 기능을 수행한다. 또한, 치료 노드 저장부(252)도 중앙 제어부(250) 내에 별도의 장치로 구현되거나 중앙 제어부(250)의 하나의 기능이거나, 또는 중앙 제어부(250)와 독립된 별도의 장치로 구현될 수 있다. 또한, 여기서 치료 노드에 대한 정보는 이상 노드의 식별자 정보이거나 또는 이상 노드의 IP 주소일 수 있다. The treatment node storage unit 252 collects and stores information on the anomaly node transmitted from the anomaly node storage unit 251. [ In addition, the treatment node storage unit 252 may be implemented as a separate device in the central control unit 250, a function of the central control unit 250, or a separate device independent of the central control unit 250. Here, the information about the treatment node may be the identifier information of the abnormal node or the IP address of the abnormal node.

다음, 도 3은 본 발명의 일 실시예에 따른 계층 구조를 갖는 정보 전달망에서, 연결 관계를 이용한 이상 트래픽 탐지 방법을 보여주는 대표 흐름도이다.3 is a flowchart illustrating a method of detecting abnormal traffic using a connection relationship in an information delivery network having a hierarchical structure according to an embodiment of the present invention.

이하, 도 3을 참조로 본 발명의 일 실시예에 따른 계층 구조를 갖는 정보 전달망에서 연결 관계를 이용한 이상 트래픽 탐지 방법에 대한 설명이 이루어진다. 아래의 설명에서는 위에서 설명한 부분과 중복되는 사항은 생략하여 설명이 이루어진다. Hereinafter, an abnormal traffic detection method using a connection relationship in an information transmission network having a hierarchical structure according to an embodiment of the present invention will be described with reference to FIG. In the following description, the elements overlapping with those described above are omitted and explanations are made.

먼저 이상 트래픽을 판단하기 위한 초기 단계로, 트래픽 정보를 수신하여 이상 트래픽 탐지부(120, 도 1)로 전달하는 단계(S310)가 수행된다. 위에서 설명한 것처럼, 트래픽 정보는 트래픽의 송신자 노드 및 수신자 노드를 포함할 수 있다. First, in step S310, traffic information is received and transmitted to the abnormal traffic detection unit 120 (FIG. 1) as an initial step for determining abnormal traffic. As described above, the traffic information may include the sender node and the receiver node of the traffic.

다음, 트래픽 탐지부(120)에 수신된 트래픽의 연결 관계 정보를 연결 관계 맵으로부터 검색하는 단계(S320)가 수행된다.Next, a step S320 of searching the connection relationship information of traffic received by the traffic detection unit 120 from the connection relationship map is performed.

이때, 계층 구조를 갖는 정보전달망은 기 정의된 관계 노드간에서만 데이터 전달이 이루어진다. 따라서 연결 관계 맵을 검색하는 S320 단계는 이러한 정보 전달의 특성을 고려하여, 데이터 연결 정보를 갖는 연결 관계 맵을 호출하여 연결 관계의 여부를 판단하는 과정을 포함한다. At this time, the information transmission network having a hierarchical structure transmits data only between predefined relationship nodes. Therefore, in step S320 of retrieving the connection relationship map, the connection relationship map having the data connection information is called in consideration of the characteristics of the information transmission to determine whether the connection relation exists.

다음, S320의 검색 결과, 수신된 트래픽 정보의 연결 관계가 존재하는지 여부를 판단하는 단계(S330)를 수행한다. 단계 S330의 판단 결과, 연결관계가 있을 경우, 이상 트래픽이 아닌 것으로 판단하여 S340의 단계로 넘어가서 트래픽을 전송한다. 그렇지 않은 경우, 즉 연결 관계가 없을 경우, 이상 트래픽으로 판단하여 S350의 단계로 넘어가서 트래픽을 무시하고(S350), 전송을 차단한다. 이때, 차단된 트래픽에 대한 보고가 수행될 수 있다. Next, in step S330, it is determined whether there is a connection relationship between the received traffic information and a result of the search in step S320. If it is determined in step S330 that there is a connection relationship, it is determined that the traffic is not abnormal, and the process proceeds to step S340 to transmit the traffic. If not, that is, if there is no connection relation, it is determined that the traffic is abnormal, the process proceeds to step S350 and the traffic is ignored (S350), and transmission is interrupted. At this time, reporting on the blocked traffic can be performed.

한편, S330의 판단 결과 이상 트래픽으로 판단된 경우, 이상 트래픽을 발생하는 이상 노드를 수집하여 해당 노드로 치료 메시지를 전송할 수 있다.On the other hand, if it is determined as abnormal traffic as a result of the determination in S330, an abnormal node generating an abnormal traffic may be collected and the treatment message may be transmitted to the corresponding node.

이상에서 설명한 바와 같이, 이와 같은, 본 발명의 실시 예에 따른 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치 및 그것의 탐지 방법에 의하면, 특수한 계층적 정보전달망의 상황에서도 추가적인 탐지 방법 없이 효율적인 이상 트래픽 탐지 및 방어가 이루어질 수 있다. 그에 따라, 정보전달의 연결 관계를 확인할 수 있는 연결 관계 맵을 이용하여 이상 트래픽 탐지를 용이하게 확인할 수 있다. 또한, 이상 트래픽의 탐지 이후에 회복 장치를 추가적으로 구성할 수 있으므로, 이상 트래픽의 발견시 신속한 대응을 제공할 수 있다.As described above, according to the abnormal traffic detecting apparatus using the connection relation and the detecting method thereof in the information transmission network having the hierarchical structure according to the embodiment of the present invention, even in the case of the special hierarchical information transmission network, Effective abnormal traffic detection and defense can be achieved. Accordingly, the abnormal traffic detection can be easily confirmed using the connection relationship map which can confirm the connection relation of the information transmission. In addition, since a recovery device can be additionally constructed after detection of abnormal traffic, it is possible to provide a quick response when an abnormal traffic is detected.

이상에서는 본 발명의 바람직한 실시 예를 예시적으로 설명하였으나, 본 발명의 범위는 이와 같은 특정 실시 예에만 한정되는 것은 아니므로, 본 발명은 본 발명의 사상 및 특허청구범위에 기재된 범주 내에서 다양한 형태로 수정, 변경, 또는 개선될 수 있다. 또한, 여기에서 기술된 본 발명에 따른 방법은 소프트웨어, 하드웨어, 또는 이들의 조합으로 구현될 수 있다. 예를 들어, 본 발명에 따른 방법은 저장매체(예, 단말내부 메모리, 플래쉬 메모리, 하드디스크, 등)에 저장될 수 있고, 프로세서(예, 단말 내부 마이크로 프로세서)에 의해 실행될 수 있는 소프트웨어 프로그램 내에 포함되는 코드들 또는 명령어들로 구현될 수 있다.While the present invention has been described with reference to exemplary embodiments, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, May be modified, modified, or improved. Further, the method according to the present invention described herein can be implemented in software, hardware, or a combination thereof. For example, a method according to the present invention may be stored in a software program that can be stored in a storage medium (e.g., terminal internal memory, flash memory, hard disk, etc.) and executed by a processor May be implemented with embedded codes or instructions.

Claims (8)

계층 구조를 갖는 정보전달망에 있어서,
상기 정보전달망에 포함된 노드들에 대한 기 정의된 연결 관계 정보를 포함하는 연결 관계 맵;
상기 정보전달망에서 발생한 트래픽의 연결 관계 여부를 상기 연결 관계 맵으로부터 확인하여 이상 트래픽을 탐지하는 이상 트래픽 탐지부;
상기 이상 트래픽 탐지부의 탐지 결과에 근거하여, 상기 정보전달망에서 발생한 트래픽의 처리를 수행하는 이상 트래픽 처리부; 및
이상 트래픽의 발생을 알려주고 이상 트래픽에 대한 추가적인 처리를 수행하는 중앙 제어부;를 포함하며,
상기 중앙 제어부는 중앙 제어 노드와 통신가능하도록 연결되고,
상기 중앙 제어부는,
상기 중앙 제어 노드로부터 수신된 이상 트래픽에 관한 정보에 기초하여, 이상 노드에 대한 정보를 수집 및 저장하는 이상 노드 저장부, 및
상기 이상 노드 저장부로부터 수신된 이상 노드에 대한 정보를 기초로, 치료 노드에 대한 정보를 수집 및 저장하는 치료 노드 저장부를 더 포함하며,
상기 중앙 제어 노드는,
상기 치료 노드 저장부로부터 치료될 노드의 정보를 수신하여, 해당 노드로 치료 메시지를 전송하는 것을 특징으로 하는 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치.In an information delivery network having a hierarchical structure,
A connection relationship map including predefined connection relationship information for nodes included in the information transmission network;
An abnormal traffic detection unit for detecting an abnormal traffic by checking whether the traffic generated in the information transmission network is a connection relation from the connection relationship map;
An abnormal traffic processing unit for processing traffic generated in the information transmission network based on the detection result of the abnormal traffic detection unit; And
And a central control unit for informing the occurrence of abnormal traffic and performing an additional process on the abnormal traffic,
Wherein the central control unit is communicably connected to the central control node,
The central control unit,
An ideal node storage unit for collecting and storing information on an ideal node based on information about abnormal traffic received from the central control node,
And a treatment node storage unit for collecting and storing information on the treatment node based on the information on the anomaly node received from the anomaly node storage unit,
The central control node,
And receiving the information of the node to be treated from the treatment node storage unit and transmitting the treatment message to the node. 삭제delete 삭제delete 제1항에 있어서,
상기 정보전달망에서 발생한 트래픽에는 송신자 노드 및 수신자 노드의 식별자 정보가 포함되고,
상기 이상 트래픽 탐지부는,
상기 송신자 노드 및 수신자 노드의 식별자 정보를 이용하여 상기 연결 관계 맵에 대응되는 연결 관계 정보를 검출하고, 검출된 연결 관계 정보를 기초로 이상 트래픽을 탐지하는 것을 특징으로 하는 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치.The method according to claim 1,
The traffic generated in the information transmission network includes the identifier information of the sender node and the receiver node,
Wherein the abnormal traffic detection unit comprises:
Detecting connection relationship information corresponding to the connection relationship map using the identifier information of the sender node and the receiver node, and detecting abnormal traffic based on the detected connection relationship information. Abnormal traffic detection device using connection relation. 제1항에 있어서,
상기 이상 트래픽 처리부는,
상기 이상 트래픽 탐지부로부터 수신된 트래픽이 이상 트래픽으로 탐지된 경우이면 해당 트래픽 전송을 차단하고, 상기 이상 트래픽 탐지부로부터 수신된 트래픽이 이상 트래픽으로 탐지되지 않은 경우이면 해당 트래픽을 통과시키는 것을 특징으로 하는 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 장치.The method according to claim 1,
The abnormal traffic processing unit,
When the traffic received from the abnormal traffic detection unit is detected as an abnormal traffic, blocks the corresponding traffic transmission, and if the traffic received from the abnormal traffic detection unit is not detected as abnormal traffic, An apparatus for detecting abnormal traffic using a connection relationship in an information transmission network having hierarchical structure. 계층 구조를 갖는 정보전달망에서의 이상 트래픽 탐지 방법으로서,
상기 정보전달망으로부터 트래픽을 수신하는 단계;
기정의된 연결 관계 정보를 포함하는 연결 관계 맵을 이용하여, 상기 수신된 트래픽의 연결 관계를 검색하는 단계;
검색 결과, 상기 수신된 트래픽의 연결 관계가 존재하는지를 판단하는 단계;
상기 판단에 기초하여, 해당 트래픽의 전송 여부를 결정하는 단계;를 포함하며,
상기 해당 트래픽의 전송 여부를 결정하는 단계는,
상기 수신된 트래픽의 연결 관계가 존재하면 해당 트래픽을 통과시키고, 상기 수신된 트래픽의 연결 관계가 존재하지 않으면 해당 트래픽을 차단하는 단계를 포함하며,
상기 수신된 트래픽의 연결 관계가 존재하지 않으면, 이상 트래픽으로 판단하고, 이상 트래픽을 발생하는 이상 노드를 수집하여 해당 노드로 치료 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 하는 계층 구조를 갖는 정보전달망에서 연결 관계를 이용한 이상 트래픽 탐지 방법.A method for detecting abnormal traffic in an information transmission network having a hierarchical structure,
Receiving traffic from the information delivery network;
Retrieving a connection relationship of the received traffic using a connection relationship map including predefined connection relationship information;
Determining whether a connection relation of the received traffic exists as a result of the search;
And determining whether to transmit the traffic based on the determination,
Wherein the step of determining whether to transmit the traffic includes:
And if the connection relationship of the received traffic exists, passing the corresponding traffic and blocking the corresponding traffic if the connection relation of the received traffic does not exist,
If the connection relationship of the received traffic does not exist, determining that the traffic is abnormal, collecting an abnormal node generating an abnormal traffic, and transmitting the treatment message to the corresponding node. Detection of abnormal traffic using connection relation in transport network. 삭제delete 삭제delete
KR1020160120187A 2016-09-20 2016-09-20 Traffic perception apparatus and method using connectionstatus in data transport network having hierarchical structure KR101885657B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160120187A KR101885657B1 (en) 2016-09-20 2016-09-20 Traffic perception apparatus and method using connectionstatus in data transport network having hierarchical structure

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160120187A KR101885657B1 (en) 2016-09-20 2016-09-20 Traffic perception apparatus and method using connectionstatus in data transport network having hierarchical structure

Publications (2)

Publication Number Publication Date
KR20180031479A KR20180031479A (en) 2018-03-28
KR101885657B1 true KR101885657B1 (en) 2018-08-06

Family

ID=61901788

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160120187A KR101885657B1 (en) 2016-09-20 2016-09-20 Traffic perception apparatus and method using connectionstatus in data transport network having hierarchical structure

Country Status (1)

Country Link
KR (1) KR101885657B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100973076B1 (en) * 2009-08-28 2010-07-29 (주)넷코아테크 System for depending against distributed denial of service attack and method therefor

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160036201A (en) * 2014-09-25 2016-04-04 한국전자통신연구원 Abnormal communication interception apparatus and method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100973076B1 (en) * 2009-08-28 2010-07-29 (주)넷코아테크 System for depending against distributed denial of service attack and method therefor

Also Published As

Publication number Publication date
KR20180031479A (en) 2018-03-28

Similar Documents

Publication Publication Date Title
AU2019216687B2 (en) Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness
CN109829310B (en) Similar attack defense method, device, system, storage medium and electronic device
US8341740B2 (en) Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
US9521162B1 (en) Application-level DDoS detection using service profiling
US8086729B1 (en) Distributed statistical detection of network problems and causes
US11558269B2 (en) Method, device, and system for network traffic analysis
US8990938B2 (en) Analyzing response traffic to detect a malicious source
EP4060958B1 (en) Attack behavior detection method and apparatus, and attack detection device
CN104901971A (en) Method and device for carrying out safety analysis on network behaviors
CN106790189B (en) intrusion detection method and device based on response message
Naderi et al. A trust based routing protocol for mitigation of sinkhole attacks in wireless sensor networks
KR101885657B1 (en) Traffic perception apparatus and method using connectionstatus in data transport network having hierarchical structure
CN110881016B (en) Network security threat assessment method and device
Anil A Zero-Trust Security Framework for Granular Insight on Blind Spot and Comprehensive Device Protection in the Enterprise of Internet of Things (E-IOT)
CN114189361B (en) Situation awareness method, device and system for defending threat
JP2019216305A (en) Communication device, packet processing method, and program
UmaRani et al. Detection of selective forwarding attack using BDRM in wireless sensor network
Prathap et al. CPMTS: Catching packet modifiers with trust support in wireless sensor networks
Nishanth et al. Mobile agent based tcp attacker identification in manet using the traffic history (maith)
Kamarei et al. AT2A: Defending Unauthenticated Broadcast Attacks in Mobile Wireless Sensor Networks
Kharkwal et al. Cross-layer DoS attack detection technique for internet of things
CN103368850A (en) Method and device for processing unicast message with unknown destination
Stojanović et al. Intrusion Detection Against Denial Of Service Attacks In Manet Environment
Azer et al. Using Attack Graphs in Ad Hoc Networks-For Intrusion Prediction Correlation and Detection
KR101956882B1 (en) Apparatus and method of collecting frequent events in distributed systems based on bitmap, storage media storing the same

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant