KR101886526B1 - Method and system for specifying payload signature for elaborate application traffic classification - Google Patents

Method and system for specifying payload signature for elaborate application traffic classification Download PDF

Info

Publication number
KR101886526B1
KR101886526B1 KR1020160162049A KR20160162049A KR101886526B1 KR 101886526 B1 KR101886526 B1 KR 101886526B1 KR 1020160162049 A KR1020160162049 A KR 1020160162049A KR 20160162049 A KR20160162049 A KR 20160162049A KR 101886526 B1 KR101886526 B1 KR 101886526B1
Authority
KR
South Korea
Prior art keywords
signature
traffic
signatures
packet
content
Prior art date
Application number
KR1020160162049A
Other languages
Korean (ko)
Other versions
KR20180062126A (en
Inventor
김명섭
구영훈
김성민
이성호
심규석
Original Assignee
고려대학교 세종산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 세종산학협력단 filed Critical 고려대학교 세종산학협력단
Priority to KR1020160162049A priority Critical patent/KR101886526B1/en
Publication of KR20180062126A publication Critical patent/KR20180062126A/en
Application granted granted Critical
Publication of KR101886526B1 publication Critical patent/KR101886526B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9042Separate storage for different parts of the packet, e.g. header and payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

응용 트래픽 분류에 정교한 페이로드 시그니쳐 생성 방법 및 시스템이 개시된다. 페이로드 시그니쳐 생성 방법은 복수의 응용들과 관련된 트래픽을 수집하는 단계, 수집된 트래픽들을 대상으로 공통 문자열을 추출하여 콘텐츠 시그니쳐를 포함하는 콘텐츠 시그니쳐 집합을 생성하는 단계, 상기 수집된 트래픽들 중 어느 하나의 트래픽을 대상으로, 상기 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐들 중 복수의 콘텐츠 시그니쳐가 매칭하는 패킷 시그니쳐를 생성하는 단계, 및 상기 수집된 트래픽들을 기반으로 하는 플로우를 대상으로 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 생성하는 단계를 포함할 수 있다.A sophisticated payload signature generation method and system for application traffic classification is disclosed. A payload signature generation method includes collecting traffic associated with a plurality of applications, extracting a common string for collected traffic, generating a content signature set including a content signature, Generating a packet signature matching a plurality of content signatures of the content signatures included in the set of content signatures with respect to the traffic of the plurality of packet signatures matching the plurality of packet signatures with respect to the flow based on the collected traffic; To generate a flow signature.

Figure R1020160162049
Figure R1020160162049

Description

응용 트래픽 분류에 정교한 페이로드 시그니쳐 생성 방법 및 시스템{METHOD AND SYSTEM FOR SPECIFYING PAYLOAD SIGNATURE FOR ELABORATE APPLICATION TRAFFIC CLASSIFICATION}[0001] METHOD AND SYSTEM FOR SPECIFIED PAYLOAD SIGNATURE FOR ELABORATE APPLICATION TRAFFIC CLASSIFICATION [0002]

본 발명은 응용 트래픽 분류에 정교한 페이로드 시그니쳐 생성 방법 및 시스템에 관한 것으로서, 네트워크 정책을 기반으로 다양한 응용(application)에 대한 정확한 트래픽 분류를 통해 네트워크를 관리하기 위한 페이로드 시그니쳐를 생성 또는 정의하는 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a payload signature generation method and system that is sophisticated in application traffic classification and is a technology for generating or defining payload signatures for managing a network through accurate traffic classification for various applications based on network policies .

오늘날 네트워크 고속화와 더불어 인터넷 연결이 가능한 스마트 기기들의 보편화에 따라 인터넷에 기반한 응용프로그램의 사용이 급격하게 증가하고 있다. 이에 따라 한정된 네트워크 자원을 효율적으로 사용하고, 사용자에게 안정적인 서비스를 제공하기 위해 다양한 종류의 응용 레벨 트래픽을 정확하게 분류하는 기술에 대한 연구가 진행되고 있다. Today, with the increasing speed of networks and the widespread use of smart devices capable of connecting to the Internet, the use of Internet-based applications is increasing rapidly. In order to efficiently use limited network resources and provide stable services to users, researches have been made on techniques for accurately classifying various kinds of application level traffic.

페이로드를 추출한 응용의 트래픽에 대해서는 정확한 분석이 가능하기 때문에, 트래픽(traffic)의 분류를 위한 다양한 방법들 중 페이로드 시그니쳐 기반 분석 방법이 많이 이용되고 있다.Since the traffic of the application that extracts the payload can be analyzed accurately, the payload signature based analysis method among the various methods for classifying the traffic is widely used.

아래의 비특허문헌 [1] H.-A. Kim and B. Karp , "Autograph: Toward automated, distributed worm signature detection," in USENIX Security Symp ., vol. 286, 2004., [2] B.-C. Park, Y. J. Won, M.-S. Kim, and J. W. Hong, "Towards automated application signature generation for traffic identification," IEEE Network Operations and Management Symp .(NOMS 2008), pp. 160-167, 2008., 비특허문헌 [3] C. MU, X.-h. HUANG , X. TIAN , Y. MA, and J.-l. Qi, "Automatic traffic signature extraction based on fixed bit offset algorithm for traffic classification," The J. China Universities of Posts and Telecommun., vol. 18, pp. 79-85, 2011.에서는 페이로드 시그니쳐의 구조에 대해 제시하고 있다. 페이로드 시그니쳐의 구조는 패킷의 데이터 부분인 페이로드(payload) 내의 공통 문자열을 기반으로 한다. 이에 따라, 특정 응용 프로그램에 고유하지 않고, 다른 응용 프로그램과 중복되는 페이로드 시그니쳐가 추출될 가능성이 높다. 이처럼, 특정 응용에 해당하는 페이로드 시그니쳐가 다른 응용을 분석(즉, 다른 응용을 식별)하는 경우, 네트워크 관리에 있어서 신뢰도를 저하시키며, 네트워크 정책이나 고장 진단, 용량 계획 등을 정확히 수행하기 어렵다. 특히, 네트워크 보안 분야에서는 특정 응용의 시그니쳐가 다른 응용을 분석하는 경우, 악성 트래픽을 오탐(False Positive)하거나 미탐(False Negative)함에 따라 엄청난 손실을 초래하게 된다. Non-patent document [1] H.-A. Kim and B. Karp , " Autograph: Toward automated, distributed worm signature detection, & quot ; in USENIX Security Symp ., Vol. 286, 2004. [2] B.-C. Park, YJ Won, M.-S. Kim, and JW Hong, "Towards Automated Application Signature Generation for Traffic Identification," IEEE Network Operations and Management Symp . (NOMS 2008), pp. 160-167, 2008. Non-Patent Document [3] C. MU, X.-h. HUANG , X. TIAN , Y. MA, and J.-l. Qi, " Automatic traffic signature extraction based on fixed offset algorithm for traffic classification ", The J. Chinese Universities of Posts and Telecommun., Vol. 18, pp. 79-85, 2011. This paper presents the structure of payload signatures. The structure of the payload signature is based on a common string in the payload, which is the data portion of the packet. Accordingly, there is a high possibility that payload signatures that are not unique to a specific application program and overlap with other application programs are extracted. In this way, when a payload signature corresponding to a specific application analyzes another application (that is, identifies another application), reliability in network management is lowered, and it is difficult to accurately perform network policy, trouble diagnosis, and capacity planning. Particularly, in the field of network security, when a signature of a specific application analyzes another application, malicious traffic is caused to be false positive or false negative, resulting in a great loss.

예컨대, 특정 프로토콜에서 메타 데이터로 사용되는 문자열(GET, Accept, HTTP/1.1, 201, User-Agent, Content-Type, Referrer 등)이 시그니쳐로 추출되는 경우, 상기 특정 프로토콜을 사용하는 응용에 대해서는 모두 동일한 시그니쳐가 추출될 수 있다. 즉, HTTP Request, Response의 명령어가 시그니쳐로 추출될 가능성이 있으며, 해당 시그니쳐의 경우 특정 응용 이외에 HTTP를 이용하는 다른 응용도 식별 가능하다는 점에서, 해당 응용을 식별하기 위한 시그니쳐로서의 가치가 없을 수 있다. 이외에, 앨범(Album), 이미지(Image), 음악(Music) 등의 사전적 의미를 가지는 문자열이 시그니쳐로 추출되는 경우에도 시그니쳐로서의 신뢰도가 낮을 수 있다. 예컨대, 음악(Music)이 시그니쳐로 추출된 경우, 다양한 음악 서비스를 제공하는 응용 중 정확히 어떤 음악 응용 프로그램을 식별하기 위한 시그니쳐인지를 구분하기 어렵다. 즉, 소리바다, 멜론 등 다양한 음악 응용 프로그램 모두 음원 제공을 목적으로 하고 있으므로 페이로드에 음악(Music)을 포함하고 있는 바, 음악을 시그니쳐로 하는 경우, 해당 시그니쳐가 소리바다와 멜론 모두를 식별하기 때문에 정확히 어떤 응용 프로그램을 식별하는지 특정하기 어렵다. 즉, 특정 응용의 시그니쳐가 다른 응용을 식별하여 네트워크의 신뢰도를 저하시킨다. For example, when a string (GET, Accept, HTTP / 1.1, 201, User-Agent, Content-Type, Referrer, etc.) used as metadata in a specific protocol is extracted as a signature, The same signature can be extracted. In other words, there is a possibility that the HTTP Request and Response commands are extracted as signatures, and in the case of the signature, other applications using HTTP can be identified in addition to the specific application, so there is no value as a signature for identifying the application. In addition, even when a character string having a dictionary meaning such as an album (Album), an image (Image), or a music (Music) is extracted as a signature, the reliability as a signature may be low. For example, when music is extracted as a signature, it is difficult to distinguish exactly which one of the applications providing various music services is a signature for identifying a music application program. In other words, since various music applications such as a soundbada and a melon are intended to provide a sound source, the payload includes music. When the music is a signature, the corresponding signature identifies both the soundblower and the melon, It is difficult to specify which application to identify. That is, the signature of a specific application identifies other applications and degrades the reliability of the network.

따라서, 급격하게 증가하는 응용 트래픽에서 네트워크 관리자가 페이로드를 일일이 확인하여 검증된 시그니쳐를 수작업으로 하지 않고 자동으로 시그니쳐를 정의 또는 생성함에 있어서, 특정 응용프로그램에 특화된 보다 정교한 페이로드 시그니쳐가 요구된다. 한국등록특허 제10-1270339호는 시그니쳐 검사방법에 관한 것으로, 네트워크 패킷의 내용과 일치하는 인덱스가 있는 경우 인덱스에 대한 그룹에 포함된 시그니쳐에 대하여 시그니쳐 검사를 수행하고, 일치하는 인덱스가 없는 경우에는 해당 인덱스 그룹에 속한 시그니쳐는 이후에도 검사할 필요가 없으므로 시그니쳐 검사에서 제외시키는 시그니쳐 검사 기술을 개시하고 있다.Thus, in a rapidly increasing application traffic, a more sophisticated payload signature specific to a particular application is required in a network administrator to manually identify a payload and automatically define or generate a signature without manually verifying the signature. Korean Patent Registration No. 10-1270339 relates to a signature checking method. When there is an index matching the contents of a network packet, a signature check is performed on a signature included in the group for the index. If there is no matching index, A signature check technique for excluding a signature belonging to the index group from a signature check is not disclosed since it is not necessary to check it later.

[1] H.-A. Kim and B. Karp, "Autograph: Toward automated, distributed worm signature detection," in USENIX Security Symp., vol. 286, 2004.[1] H.-A. Kim and B. Karp, " Autograph: Toward automated, distributed worm signature detection, " in USENIX Security Symp., Vol. 286, 2004. [2] B.-C. Park, Y. J. Won, M.-S. Kim, and J. W. Hong, "Towards automated application signature generation for traffic identification," IEEE Network Operations and Management Symp.(NOMS 2008), pp. 160-167, 2008.[2] B.-C. Park, Y. J. Won, M.-S. Kim, and J. W. Hong, "Towards Automated Application Signature Generation for Traffic Identification," IEEE Network Operations and Management Symp. (NOMS 2008), pp. 160-167, 2008. [3] C. MU, X.-h. HUANG, X. TIAN, Y. MA, and J.-l. Qi, "Automatic traffic signature extraction based on fixed bit offset algorithm for traffic classification," The J. China Universities of Posts and Telecommun., vol. 18, pp. 79-85, 2011.[3] C. MU, X.-h. HUANG, X. TIAN, Y. MA, and J.-l. Qi, " Automatic traffic signature extraction based on fixed offset algorithm for traffic classification ", The J. Chinese Universities of Posts and Telecommun., Vol. 18, pp. 79-85, 2011. [4]R. Agrawal and R. Srikant, "Fast algorithms for mining association rules," in Proc. 20th Int. Conf. VLDB, pp. 487-499, 1994[4] R. Agrawal and R. Srikant, " Fast algorithms for mining association rules, " in Proc. 20th Int. Conf. VLDB, pp. 487-499, 1994 [5]R. Agrawal and R. Srikant, "Mining sequential patterns," in Proc. Eleventh Int. Conf. Data Eng., pp. 3-14, 1995.[5] R. Agrawal and R. Srikant, " Mining sequential patterns, " in Proc. Eleventh Int. Conf. Data Eng., Pp. 3-14, 1995.

본 발명은 상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 다른 응용 프로그램과는 중복되지 않고 특정 응용 프로그램에 특화된 보다 정교한 페이로드 시그니쳐의 구조를 정의하는 기술을 제안하고자 한다.In order to solve the problems of the related art as described above, the present invention proposes a technique for defining a structure of a more elaborate payload signature specialized for a specific application program without overlapping with other application programs.

상기한 목적을 달성하기 위해 페이로드 시그니쳐 생성 방법은 복수의 응용들과 관련된 트래픽을 수집하는 단계, 수집된 트래픽들을 대상으로 공통 문자열을 추출하여 콘텐츠 시그니쳐를 포함하는 콘텐츠 시그니쳐 집합을 생성하는 단계, 상기 수집된 트래픽들 중 어느 하나의 트래픽을 대상으로, 상기 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐들 중 복수의 콘텐츠 시그니쳐가 매칭하는 패킷 시그니쳐를 생성하는 단계, 및 상기 수집된 트래픽들을 기반으로 하는 플로우를 대상으로 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 생성하는 단계를 포함할 수 있다.According to another aspect of the present invention, there is provided a method for generating payload signature, the method comprising: collecting traffic related to a plurality of applications; extracting a common character string for collected traffic to generate a content signature set including a content signature; Generating a packet signature matching a plurality of content signatures among the content signatures included in the set of content signatures with respect to any one of the collected traffic, To generate a flow signature that matches a plurality of packet signatures.

일측면에 따르면, 상기 콘텐츠 시그니쳐를 하위 레벨, 패킷 시그니쳐를 중간 레벨 및 플로우 시그니쳐를 상위 레벨의 구조로 하는 페이로드 시그니쳐를 특정 응용을 식별하기 위한 시그니쳐로 생성하는 단계를 더 포함할 수 있다.According to an aspect of the present invention, the method may further include generating a payload signature having a low level of the content signature, a medium level of the packet signature, and a high level of the flow signature as a signature for identifying a specific application.

다른 측면에 따르면, 상기 플로우 시그니쳐를 생성하는 단계는, 상기 수집된 트래픽들에 포함된 패킷들을 대상으로 패킷의 헤더 중 5-튜플 정보가 동일한 패킷들을 추출하는 단계, 및 추출된 패킷들 각각을 상기 플로우로 정의하는 단계를 포함할 수 있다.According to another aspect of the present invention, the step of generating the flow signature includes extracting packets having the same 5-tuple information among the headers of the packets for the packets included in the collected traffic, As a flow.

또 다른 측면에 따르면, 상기 플로우 시그니쳐를 생성하는 단계는, 전체 트래픽을 대상으로 동일 플로우 내에서 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 정의하는 단계를 더 포함할 수 있다.According to another aspect, generating the flow signature may further include defining a flow signature that matches a plurality of packet signatures within the same flow for the entire traffic.

또 다른 측면에 따르면, 상기 5-튜플 정보는, 패킷의 헤더에 포함된 출발지 IP 주소 정보, 목적지 IP 주소 정보, 출발지 포트 번호, 목적지 포트 번호 및 4계층 프로토콜 정보를 포함할 수 있다.According to another aspect, the 5-tuple information may include source IP address information, destination IP address information, source port number, destination port number, and 4-layer protocol information included in the header of the packet.

또 다른 측면에 따르면, 상기 패킷 시그니쳐를 생성하는 단계는, 상기 어느 하나의 트래픽을 대상으로 기정의된 일정 빈도 수 이상 매칭하는 복수의 콘텐츠 시그니쳐의 집합을 상기 패킷 시그니쳐로 생성할 수 있다.According to another aspect of the present invention, the step of generating the packet signatures may generate a plurality of sets of content signatures matching the predetermined number of frequencies with respect to any one of the traffic, using the packet signatures.

또 다른 측면에 따르면, 전체 트래픽(total traffic)을 대상으로 하나의 패킷 시그니쳐에 해당하는 적어도 하나의 콘텐츠 시그니쳐와 매칭하는 트래픽의 양을 계산하는 단계, 및 계산된 상기 트래픽의 양과 전체 트래픽의 양에 기초하여 페이로드 시그니쳐의 분석률을 계산하는 단계를 더 포함할 수 있다.According to yet another aspect, there is provided a method of transmitting traffic information, the method comprising: calculating an amount of traffic matching at least one content signature corresponding to one packet signature for total traffic; And calculating an analysis rate of the payload signature based on the analysis result.

페이로드 시그니쳐 생성 시스템은, 복수의 응용들과 관련된 트래픽들을 수집하는 트래픽 수집부, 및 수집된 트래픽들을 대상으로 공통 문자열을 추출하여 콘텐츠 시그니쳐를 포함하는 콘텐츠 시그니쳐 집합을 생성하고, 상기 수집된 트래픽들 중 어느 하나의 트래픽들을 대상으로, 상기 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐들 중 복수의 콘텐츠 시그니쳐가 매칭하는 패킷 시그니쳐를 생성하고, 상기 수집된 트래픽들을 기반으로 하는 플로우를 대상으로 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 생성하는 시그니쳐 생성부를 포함할 수 있다.The payload signature generation system includes a traffic collector for collecting traffic related to a plurality of applications, a common character string extraction unit for generating a content signature set including a content signature by extracting a common character string for the collected traffic, A plurality of packet signatures matching a plurality of content signatures included in the content signatures included in the set of content signatures are generated, and a plurality of packet signatures are generated for a flow based on the collected traffic And a signature generation unit for generating a matching flow signature.

일측면에 따르면, 상기 시그니쳐 생성부는, 상기 콘텐츠 시그니쳐를 하위 레벨, 패킷 시그니쳐를 중간 레벨 및 플로우 시그니쳐를 상위 레벨의 구조로 하는 페이로드 시그니쳐를 특정 응용을 식별하기 위한 시그니쳐로 생성할 수 있다.According to an aspect of the present invention, the signature generation unit may generate a payload signature having a structure of a lower level of the content signatures, an intermediate level of the packet signatures, and a higher level of the flow signatures, as a signature for identifying a specific application.

다른 측면에 따르면, 상기 시그니쳐 생성부는, 상기 수집된 트래픽들에 포함된 패킷들을 대상으로 패킷의 헤더 중 5-튜플 정보가 동일한 패킷들을 추출하고, 추출된 패킷들 각각을 상기 플로우로 정의하고, 전체 트래픽을 대상으로 동일 플로우 내에서 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 정의할 수 있다.According to another aspect of the present invention, the signature generation unit extracts packets having the same 5-tuple information among the headers of the packets for the packets included in the collected traffic, defines each of the extracted packets as the flow, A flow signature that matches a plurality of packet signatures in the same flow with respect to traffic can be defined.

또 다른 측면에 따르면, 전체 트래픽(total traffic)을 대상으로 하나의 패킷 시그니쳐에 해당하는 적어도 하나의 콘텐츠 시그니쳐와 매칭하는 트래픽의 양을 계산하고, 계산된 상기 트래픽의 양과 전체 트래픽의 양에 기초하여 페이로드 시그니쳐의 분석률을 계산하는 분석률 계산부를 더 포함할 수 있다.According to another aspect of the present invention, there is provided a method of calculating traffic amount, comprising the steps of: calculating an amount of traffic matching at least one content signature corresponding to one packet signature with respect to total traffic; And an analysis rate calculation unit for calculating an analysis rate of the payload signature.

본 발명에 따르면, 하위 레벨부터 상위 레벨까지 복수의 레벨로 구성된 페이로드 시그니쳐 구조를 정의함으로써, 공통 문자열을 사용하는 페이로드 시그니쳐 보다 특정 응용 프로그램에 대해서 보다 더 특화시킬 수 있다. 즉, 새로운 구조의 페이로드 시그니쳐가 다른 응용 프로그램을 식별하거나 분석할 확률을 낮추고(다시 말해, 오탐률을 감소시키고), 특정 응용 프로그램을 식별하거나 분석하는 정교한 페이로드 시그니쳐를 생성할 수 있다.According to the present invention, by defining a payload signature structure composed of a plurality of levels from a low level to a high level, the payload signature using the common character string can be more specialized than that for a specific application program. That is, a new structured payload signature can generate a sophisticated payload signature that lowers the probability of identifying or analyzing other applications (i. E., Reduces false positives) and identifies or analyzes particular applications.

그리고, 새로운 구조의 페이로드 시그니쳐를 이용하여 응용 프로그램을 분석 또는 식별함에 따라, 오탐률이 감소하여 트래픽 분석의 정확도가 향상되고, 분석 결과의 신뢰성이 높아져 네트워크 관리의 효율성이 증가할 수 있다. 즉, 새로운 구조의 페이로드 시그니쳐를 이용하여 트래픽 분석 시, TP(True Positive)의 수치는 유지하면서, FP(false Positive)의 수치는 감소할 수 있다.In addition, as the application program is analyzed or identified using the new structure payload signature, the accuracy of traffic analysis is improved due to a decrease in false positives, and the reliability of analysis results is improved, thereby increasing the efficiency of network management. That is, when analyzing traffic using the payload signature of the new structure, the value of FP (false positive) can be reduced while maintaining the value of TP (True Positive).

도 1은 본 발명의 일실시예에 있어서, 페이로드 시그니쳐 생성 시스템의 네트워크 구성을 도시한 도면이다.
도 2는 본 발명의 일실시예에 있어서, 페이로드 시그니쳐 생성 시스템의 내부구성을 도시한 블록도이다.
도 3은 본 발명의 일실시예에 있어서, 페이로드 시그니쳐 생성 방법을 도시한 흐름도이다.
도 4는 본 발명의 일실시예에 있어서, 페이로드 시그니쳐의 구조를 도시한 도면이다.
도 5는 본 발명의 일실시예에 있어서, 복수의 레벨 구조를 가지는 페이로드 시그니쳐를 이용하여 트래픽의 분석률을 계산하는 방법을 도시한 흐름도이다.1 is a diagram illustrating a network configuration of a payload signature generation system according to an embodiment of the present invention.
2 is a block diagram illustrating an internal configuration of a payload signature generation system according to an embodiment of the present invention.
3 is a flowchart illustrating a payload signature generation method according to an embodiment of the present invention.
4 is a diagram illustrating the structure of a payload signature according to an exemplary embodiment of the present invention.
5 is a flowchart illustrating a method of calculating an analysis rate of traffic using a payload signature having a plurality of level structures, according to an embodiment of the present invention.

이하, 본 발명의 바람직한 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate a thorough understanding of the present invention, the same reference numerals are used for the same means regardless of the number of the drawings.

본 발명은 특정 응용 프로그램에 고유하게 특화된 페이로드 시그니쳐의 구조를 정의하는 기술에 관한 것으로, 특히, 특정 응용 프로그램(이하, '특정 응용'이라 칭함.)에 대해 하위 레벨부터 상위 레벨까지 복수의 레벨로 구성된 페이로드 시그니쳐(payload signature)를 정의 또는 생성하는 기술에 관한 것이다. 예를 들어, 하위 레벨의 콘텐츠 시그니쳐(contents signature), 중간 레벨의 패킷 시그니쳐(packet signature), 및 상위 레벨의 플로우 시그니쳐(flow signature)의 구조를 갖는 페이로드 시그니쳐를 정의 또는 생성하는 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a technique for defining a structure of a payload signature uniquely specific to a specific application program, To a technique for defining or generating a payload signature consisting of < RTI ID = 0.0 > a < / RTI > To a technique for defining or generating a payload signature having a structure of, for example, lower-level content signatures, intermediate-level packet signatures, and higher-level flow signatures .

본 실시예들에서, '콘텐츠 시그니쳐(content signature)'는 페이로드 시그니쳐(payload signature)의 하위 레벨에 해당하는 것으로서, 트래픽(traffic)의 데이터 부분인 페이로드(payload) 내의 공통된 문자열을 나타낼 수 있다. 즉, 콘텐츠 시그니쳐는 트래픽들에 공통적으로 포함하고 있는 연속된 문자열을 나타낼 수 있다. 여기서, 페이로드 시그니쳐(payload signature)는 시스템으로 유입 또는 수집되는 복수의 트래픽들 중 특정 트래픽이 어떤 응용(예컨대, 다음, 구글, 네이버, 야후 등)으로부터 시스템으로 유입 또는 수집되는 트래픽인지를 식별하기 위한 키(key)를 의미할 수 있다. 그리고, 트래픽(traffic)은 헤더(header)와 데이터(data)로 이루어진 패킷들의 집합을 나타낼 수 있다. 그리고, 페이로드(payload)는 패킷의 데이터 부분인 데이터 트래픽을 의미하고, 콘텐츠 시그니쳐는 서로 다른 패킷들을 대상으로 추출된 공통된 문자열을 기반으로 정의 또는 생성될 수 있다.In these embodiments, the 'content signature' corresponds to the lower level of the payload signature and may represent a common string in the payload, which is the data portion of the traffic . That is, the content signature may represent a contiguous string that is commonly contained in the traffic. Here, the payload signature is used to identify whether a particular traffic among the plurality of traffic that is introduced or collected into the system is traffic that is flowed into or collected from a certain application (e.g., next, Google, Naver, Yahoo, etc.) Quot; key " Traffic may represent a set of packets including a header and data. The payload means data traffic which is a data part of a packet, and the content signatures can be defined or generated based on a common character string extracted for different packets.

본 실시예들에서, '패킷 시그니쳐(packet signature)'는 동일한 패킷 내 콘텐츠 시그니쳐의 집합으로서, 동일한 패킷에서 발생하는 콘텐츠 시그니쳐의 조합을 의미할 수 있다. 즉, 하나의 패킷 내에서 상기 콘텐츠 시그니쳐의 집합에 포함된 복수의 시그니쳐들 중 적어도 둘 이상을 포함하는 경우, 포함하는 적어도 둘 이상의 콘텐츠 시그니쳐의 조합이 패킷 시그니쳐가 될 수 있다. 이처럼, 패킷 시그니쳐는 하나의 패킷에서 매칭하는 여러 개의 콘텐츠 시그니쳐를 조합한 형태를 나타낼 수 있다.In the present embodiments, a 'packet signature' may be a set of content signatures in the same packet, which may mean a combination of content signatures that occur in the same packet. That is, when at least two of the plurality of signatures included in the set of the content signatures are included in one packet, the combination of at least two of the content signatures may be a packet signature. As described above, the packet signature can represent a combination of a plurality of content signatures matching in one packet.

본 실시예들에서, '플로우 시그니쳐(flow signature)'는 동일한 플로우(flow) 내에서 발생하는 패킷 시그니쳐의 집합으로서, 동일한 플로우 내에서 추출되는 패킷 시그니쳐의 집합 중 기정의된 일정 빈도 수를 만족하는 집합을 의미할 수 있다. In the present embodiments, a 'flow signature' is a set of packet signatures that occur in the same flow, and is a set of packet signatures that satisfy a predetermined fixed frequency number among the set of packet signatures extracted in the same flow It can mean a set.

본 실시예들에서, 정답지 트래픽은, 해당 응용에서만 발생한 순수한 트래픽, 즉, 다른 응용은 섞여있지 않은 트래픽을 의미할 수 있다. 예를 들어, 네이버(naver)의 정답지 트래픽은 네이버(naver)에서 발생한 트래픽만을 의미하고, 구글의 정답지 트래픽을 구글(google)에서 발생한 트래픽만을 의미할 수 있다.In the present embodiments, the correct answer traffic may refer to pure traffic generated only by the application, that is, traffic not mixed with other applications. For example, Naver 's right - hand traffic means only traffic from Naver, and Google' s right - hand traffic means only traffic from Google.

도 1은 본 발명의 일실시예에 있어서, 페이로드 시그니쳐 생성 시스템의 네트워크 구성을 도시한 도면이다.1 is a diagram illustrating a network configuration of a payload signature generation system according to an embodiment of the present invention.

도 1에서, 페이로드 시그니쳐 생성 시스템(100)은 적어도 하나의 호스트(110)로부터 트래픽(traffic), 즉, 패킷을 수집할 수 있다. 도 1에서는 3개의 호스트를 도시하고 있으나, 이는 실시예에 해당되며, 호스트는 3개 미만, 3개 이상일 수 있다. 예컨대, 호스트는 데스크탑 PC, 노트북, 스마트폰, 태블릿 등의 유/무선 인터넷을 이용하는 다양한 전자 기기를 포함할 수 있다.In FIG. 1, the payload signature generation system 100 may collect traffic, or packets, from at least one host 110. Although FIG. 1 shows three hosts, this corresponds to the embodiment, and the number of hosts may be less than three, or three or more. For example, the host may include various electronic devices using a wired / wireless Internet such as a desktop PC, a notebook, a smart phone, a tablet, and the like.

도 1에 따르면, 페이로드 시그니쳐 생성 시스템(100)은 인터넷(101) 등의 네트워크를 통해 기정의된 일정시간 동안 복수의 호스트들(110)에서 발생하는 트래픽(즉, 패킷, 120)을 수집할 수 있다. 이때, 페이로드 시그니쳐 생성 시스템(100)은 TMA(Traffic Measurement Agent)를 이용하여 각 호스트로부터 트래픽(120)을 수집할 수 있다. 그리고, 페이로드 시그니쳐 생성 시스템(100)은 수집된 트래픽(120)을 대상으로 정답지 트래픽(Ground Traffic, GT Traffic)을 생성할 수 있다. 여기서, 정답지 트래픽은 해당 응용에서만 발생한 순수한 트래픽, 즉, 다른 응용은 섞여있지 않은 트래픽을 의미할 수 있다. 예를 들어, naver의 정답지 트래픽이라 함은 naver에서 발생한 트래픽만을 의미할 수 있다.1, the payload signature generation system 100 collects traffic (i. E., Packets 120) occurring on a plurality of hosts 110 over a network, such as the Internet 101, for a predetermined period of time . At this time, the payload signature generation system 100 can collect traffic 120 from each host using a traffic measurement agent (TMA). Then, the payload signature generation system 100 can generate the ground traffic (GT Traffic) on the collected traffic 120. Here, the traffic of the correct answer may be pure traffic generated only by the application, that is, traffic not mixed with other applications. For example, naver's right-hand traffic can only refer to traffic generated by naver.

일례로, 각 호스트(111, 112, 113)에서 TMA가 설치되어 실행 또는 구동될 수 있으며, 각 호스트에서 TMA가 실행 시 로그 데이터(log data, 140)가 생성될 수 있다. 그러면, 페이로드 시그니쳐 생성 시스템(100)은 각 호스트(111, 112, 113)로부터 상기 트래픽에 해당하는 로그 데이터(140)를 수집할 수 있다. 여기서, 로그 데이터(log data, 140)는, 프로세스 이름(process name) 정보, IP 주소 정보, 포트 번호(port number) 정보, 스테이트(state) 정보, 프로토콜(protocol) 정보 등을 포함할 수 있다. 각 호스트는 기정의된 시간 간격으로 TMA 서버로 로그 데이터를 전송할 수 있다. 그러면, TMA 서버(130)는 각 호스트(111, 112, 113)로부터 시간대 별로 수신된 로그 데이터를 통합하여 저장할 수 있다. 예컨대, 로그 데이터의 수신 시간, 해당 로그 데이터를 전송한 호스트의 식별자 정보 및 해당 로그 데이터를 매칭하여 저장할 수 있다. 그러면, 페이로드 시그니쳐 생성 시스템(100)은 수집된 트래픽에 해당하는 호스트의 식별자 정보에 기초하여 해당 호스트의 로그 데이터를 TMA 서버(130)로 요청하여 수신할 수 있다. 이처럼, 트래픽과 로그 데이터가 수집되면, 페이로드 시그니쳐 생성 시스템(100)은 로그 데이터에 기초하여 응용 별로 정답지 트래픽을 생성할 수 있으며, 수집된 트래픽들(즉, 패킷들)을 대상으로 복수의 레벨로 구성된 페이로드 시그니쳐를 정의 또는 생성할 수 있다.For example, a TMA may be installed and run or run in each of the hosts 111, 112, and 113, and log data (140) may be generated when the TMA is executed in each host. Then, the payload signature generation system 100 may collect log data 140 corresponding to the traffic from each host 111, 112, and 113. Here, the log data 140 may include process name information, IP address information, port number information, state information, protocol information, and the like. Each host can send log data to the TMA server at regular intervals. Then, the TMA server 130 may integrate and store the log data received from each of the hosts 111, 112, and 113 in the time zone. For example, it is possible to match and store the received time of log data, the identifier information of the host that transmitted the log data, and the corresponding log data. Then, the payload signature generation system 100 can request and receive the log data of the host from the TMA server 130 based on the identifier information of the host corresponding to the collected traffic. In this way, when the traffic and the log data are collected, the payload signature generation system 100 can generate the correct-answer traffic for each application based on the log data, and the collected traffic (i.e., packets) Lt; RTI ID = 0.0 > a < / RTI > payload signature.

도 2는 본 발명의 일실시예에 있어서, 페이로드 시그니쳐 생성 시스템의 내부구성을 도시한 블록도이고, 도 3은 본 발명의 일실시예에 있어서, 페이로드 시그니쳐 생성 방법을 도시한 흐름도이다.FIG. 2 is a block diagram illustrating an internal configuration of a payload signature generation system according to an exemplary embodiment of the present invention. FIG. 3 is a flowchart illustrating a payload signature generation method according to an exemplary embodiment of the present invention.

도 2에 따르면, 트래픽 수집부(210), 시그니쳐 생성부(220), 분석률 계산부(230) 및 제어부(240)를 포함할 수 있다. 여기서, 제어부(240)는 본 발명의 일실시예에 따른 페이로드 시그니쳐 생성 시스템(200)의 구성 요소, 즉, 트래픽 수집부(210), 시그니쳐 생성부(220), 분석률 계산부(230)의 동작을 전반적으로 제어할 수 있다. 예컨대, 제어부(240)는 트래픽 수집부(210), 시그니쳐 생성부(220), 분석률 계산부(230)에서 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있으며, 메모리와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령의 실행, 기본적인 산술, 로직 및 입출력 연산을 수행하도록 트래픽 수집부(210), 시그니쳐 생성부(220), 분석률 계산부(230)의 동작을 제어할 수 있다.2, a traffic collecting unit 210, a signature generating unit 220, an analysis rate calculating unit 230, and a control unit 240 may be included. The control unit 240 includes a traffic collecting unit 210, a signature generating unit 220, an analysis rate calculating unit 230, Can be controlled in general. For example, the control unit 240 may be configured to process a command of a computer program in the traffic collecting unit 210, the signature generating unit 220, and the analysis rate calculating unit 230, The signature generation unit 220, and the analysis rate calculation unit 230 so as to perform basic arithmetic, logic, and input / output operations according to the received information.

그리고, 도 3의 각 단계들(310 내지 350 단계)은 도 2의 구성요소인 트래픽 수집부(210), 시그니쳐 생성부(220), 분석률 계산부(230) 및 제어부(240)에 의해 수행될 수 있다.3 are performed by the traffic collecting unit 210, the signature generating unit 220, the analysis rate calculating unit 230, and the control unit 240, which are components of FIG. 2 .

310 단계에서, 트래픽 수집부(210)는 인터넷 등의 네트워크를 통해 기정의된 일정시간 동안 복수의 호스트들에서 발생하는 패킷(즉, 트래픽)을 수집할 수 있다. 이때, 트래픽 수집부(210)는 TMA(Traffic Measurement Agent)를 이용하여 각 호스트로부터 트래픽을 수집할 수 있다.In step 310, the traffic collecting unit 210 may collect packets (i.e., traffic) generated in a plurality of hosts for a predetermined period of time through a network such as the Internet. At this time, the traffic collecting unit 210 may collect traffic from each host using a traffic measurement agent (TMA).

예를 들어, 각 호스트에서 네이버, 다음, 구글, 야후 등의 응용에 액세스(access)하는 경우, 트래픽 수집부(210)는 각 호스트에서 상기 응용들 중 특정 응용에 액세스하여 데이터 다운로드, 실시간 미디어 스트리밍 서비스 이용(예컨대, 음악, 인터넷 TV 시청 등)함에 따라 발생하는 패킷을 포함하는 트래픽을 수집할 수 있다. 여기서, 패킷은 헤더(header)와 데이터인 페이로드(payload)로 구성될 수 있으며, 패킷의 헤더는 5-튜블(tuple) 정보를 포함할 수 있다. 5-튜플 정보는 해당 패킷의 출발지 IP 주소 정보, 목적지 IP 주소 정보, 출발지 포트(port) 번호, 목적지 포트 번호 및 4계층 프로토콜 정보를 포함할 수 있다.For example, when each host accesses an application such as Naver, Daum, Google, Yahoo, etc., the traffic collecting unit 210 accesses a specific one of the applications from each host to download data, And may collect traffic including packets that occur due to service utilization (e.g., music, Internet TV viewing, etc.). Here, the packet may be composed of a header and data payload, and the header of the packet may include 5-tuple information. The 5-tuple information may include the source IP address information, the destination IP address information, the source port number, the destination port number, and the 4th layer protocol information of the corresponding packet.

320 단계에서, 시그니쳐 생성부(220)는 수집된 패킷들을 대상으로 공통된 문자열을 추출하여 콘텐츠 시그니쳐(content signature)를 생성(즉, 정의)할 수 있다.In step 320, the signature generator 220 may generate a content signature (i.e., define a content signature) by extracting a common string for the collected packets.

일례로, 패킷 1부터 패킷 100까지 100개의 패킷들이 수집된 경우, 시그니쳐 생성부(220)는 100개의 패킷들의 페이로드에서 공통된 문자열을 추출할 수 있다. 예컨대, 321 단계에서. 시그니쳐 생성부(220)는 위의 비특허문헌 [ 4]R . Agrawal and R. Srikant , "Fast algorithms for mining association rules," in Proc . 20th Int. Conf . VLDB , pp. 487-499, 1994., [ 5]R . Agrawal and R. Srikant , "Mining sequential patterns," in Proc . Eleventh Int . Conf . Data Eng ., pp. 3-14, 1995.에서 설명하고 있는 순차 패턴 알고리즘을 이용하여 복수의 패킷들에서 공통 문자열을 추출할 수 있다. For example, when 100 packets from the packet 1 to the packet 100 are collected, the signature generation unit 220 can extract a common character string from the payload of 100 packets. For example, in step 321. Signature generator 220 is a non-patent document of the above [4] R. Agrawal and R. Srikant , " Fast algorithms for mining association rules, " in Proc . 20th Int. Conf . VLDB , pp. 487-499, 1994., [5] R . Agrawal and R. Srikant , " Mining sequential patterns, " in Proc . Eleventh Int . Conf . Data Eng ., Pp. 3-14, 1995. It is possible to extract a common string from a plurality of packets using the sequential pattern algorithm.

322 단계에서, 시그니쳐 생성부(220)는 추출된 공통 문자열들 중 기정의된 일정 빈도수 이상 추출된 공통 문자열을 콘텐츠 시그니쳐로 생성(즉, 정의)할 수 있다.In step 322, the signature generation unit 220 may generate (i.e., define) a common character string extracted from the extracted common strings by a content signature.

예를 들어, 100개의 패킷들을 대상으로 추출된 공통 문자열이 30개인 경우, 시그니쳐 생성부(220)는 30개의 공통 문자열 중 2회 이상 추출된 공통 문자열을 콘텐츠 시그니쳐로 정의할 수 있다. 여기서, 일정 빈도수가 2회인 경우를 예로 들어 설명하였으나, 이는 실시예에 해당되며, 일정 빈도수는 2회 이외에 3회, 4회 이상 등과 같이 미리 정의될 수 있다. 예컨대, 30개의 공통 문자열들 중 2회 이상 중복하여 추출된 공통 문자열이 10개인 경우, 10개의 콘텐츠 시그니쳐가 생성될 수 있다.For example, if there are 30 common strings extracted from 100 packets, the signature generation unit 220 may define a common character string extracted at least twice from 30 common characters as a content signature. Here, the case where the predetermined frequency is two times is described as an example, but this corresponds to the embodiment, and the predetermined frequency can be defined in advance such as three times, four times or more in addition to the second frequency. For example, if there are 10 common strings extracted twice or more out of 30 common strings, ten content signatures can be generated.

323 단계에서, 시그니쳐 생성부(220)는 생성된 콘텐츠 시그니쳐들을 포함하는 콘텐츠 시그니쳐 집합을 생성할 수 있다. 예컨대, 30개의 공통된 문자열들 중 일정 빈도수를 만족하는 10개의 콘텐츠 시그니쳐가 생성된 경우, 중복 추출된 10개의 공통된 문자열(즉, 10개의 콘텐츠 시그니쳐에 해당함)을 포함하는 콘텐츠 시그니쳐 집합을 생성할 수 있다.In step 323, the signature generator 220 may generate a set of content signatures including the generated content signatures. For example, if ten content signatures are generated that satisfy a certain frequency among the 30 common strings, a set of content signatures may be generated that includes ten common strings that are duplicated (i.e., corresponding to ten content signatures) .

아래의 표 1은 콘텐츠 시그니쳐(content signature)의 예를 나타낼 수 있다.Table 1 below shows examples of content signatures.

SignatureSignature idid Content SignatureContent Signature 1One <GET /><GET /> 22 <HTTP /1.1><HTTP / 1.1> 33 <MUSIC><MUSIC> 44 <CACHE-CONTROL><CACHE-CONTROL> 55 <NO><NO> 66 <FACEBOOK><FACEBOOK> 77 <IMAGE><IMAGE> 88 <ALBUM><ALBUM> 99 <32><32>

표 1에 따르면, 9개의 공통 문자열들이 각각 콘텐츠 시그니쳐로 정의될 수 있다. 예컨대, 100개의 패킷들 중 2회 이상 중복되어 추출된 공통 문자열인, <GET/>, <HTTP/1.1>, <MUSIC>, <CACHE-CONTROL>, <NO>, <FACEBOOK>, <IMAGE>, <ALBUM>, <32> 각각이 콘텐츠 시그니쳐로 생성(즉, 정의)될 수 있으며, 시그니쳐 생성부(220)는 <GET/>, <HTTP/1.1>, <MUSIC>, <CACHE-CONTROL>, <NO>, <FACEBOOK>, <IMAGE>, <ALBUM>, <32>를 포함하는 하나의 콘텐츠 시그니쳐 집합을 생성할 수 있다.According to Table 1, nine common strings can be defined as content signatures, respectively. For example, <GET />, <HTTP / 1.1>, <MUSIC>, <CACHE-CONTROL>, <NO>, <FACEBOOK>, and <IMAGE>, which are common strings extracted twice or more among 100 packets, HTTP / 1.1>, <MUSIC>, and <CACHE-CONTROL> may be generated (ie, defined) as the content signatures, , <NO>, <FACEBOOK>, <IMAGE>, <ALBUM>, and <32>.

330 단계에서, 시그니쳐 생성부(220)는 콘텐츠 시그니쳐에 기초하여 패킷 시그니쳐를 생성할 수 있다. 이때, 시그니쳐 생성부(220)는 수집된 트래픽들 중 어느 하나의 트래픽을 대상으로, 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐들 중 적어도 하나의 콘텐츠 시그니쳐가 매칭하는 패킷 시그니쳐를 생성할 수 있다.In step 330, the signature generator 220 may generate a packet signature based on the content signature. At this time, the signature generation unit 220 may generate packet signatures matching at least one content signature of the content signatures included in the content signature set for any one of the collected traffic.

일례로, 시그니쳐 생성부(220)는 100개의 패킷들 중 어느 하나의 패킷 내에서 상기 콘텐츠 시그니쳐 집합에 포함된 시그니쳐들 중 적어도 하나 또는 적어도 둘 이상의 시그니쳐가 기정의된 일정 빈도수 이상 매칭하는 콘텐츠 시그니쳐들을 추출하고, 매칭하는 콘텐츠 시그니쳐들의 조합을 패킷 시그니쳐로 생성(즉, 정의)할 수 있다. 이때, 시그니쳐 생성부(220)는 100개의 패킷들 각각에 대해 패킷 시그니쳐를 정의하는 프로세스를 수행할 수 있다. 예컨대, 하나의 패킷 내에 콘텐츠 시그니쳐 집합에 포함된 9개의 시그니쳐들 중 <GET/>, <MUSIC>, <32>의 3개의 콘텐츠 시그니쳐가 포함된 경우, 즉, 매칭하는 경우, 시그니쳐 생성부(220)는 매칭하는 상기 3개의 콘텐츠 시그니쳐들의 집합을 패킷 시그니쳐(<GET/><MUSIC><32>)로 정의(즉, 생성)할 수 있다. 구체적으로, 시그니쳐 생성부(220)는 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐들의 가능한 모든 조합(예컨대, 2개짜리, 3개짜리, ..., n개짜리 조합)을 순차패턴 알고리즘을 이용하여 후보 패킷 시그니쳐(즉, 패킷 시퀀스라고 함)를 생성 후, 생성된 후보 패킷 시그니쳐 중 기정의된 일정 빈도 수 이상 매칭하는 조합을 패킷 시그니쳐로 생성할 수 있다. 예컨대, 전체 트래픽을 대상으로 동일 패킷 내에서 아래의 표 2와 같이 4개의 패킷 시그니쳐들이 생성될 수 있다. 표 2에서는 추출된 패킷 시그니쳐들을 포함하는 패킷 시그니쳐 집합을 나타낼 수 있다. 예를 들어, 일정 빈도수가 전체 패킷의 95% 이상으로 기정의된 경우, 시그니쳐 생성부(220)는 후보 패킷 시그니쳐들 중 전체 패킷의 95% 이상 발견되는 콘텐츠 시그니쳐들의 조합을 패킷 시그니쳐로 정의할 수 있다.For example, the signature generation unit 220 may generate at least one of the signatures included in the content signature set in at least one of the 100 packets, or at least two or more of the signatures included in the set of content signatures, (I.e., define) a combination of extracted and matched content signatures as a packet signature. At this time, the signature generation unit 220 may perform a process of defining a packet signature for each of the 100 packets. For example, when three content signatures <GET />, <MUSIC>, and <32> among the nine signatures included in the content signature set are included in one packet, that is, when the three content signatures are matched, the signature generator 220 ) Can define (i.e., generate) the set of three matching content signatures with a packet signature (<GET /> <MUSIC> <32>). Specifically, the signature generation unit 220 generates all possible combinations (for example, two, three, ..., n combinations) of the content signatures included in the content signature set using a sequential pattern algorithm After generating the packet signature (that is, the packet sequence), a combination that matches more than a certain predetermined number of frequencies of the generated candidate packet signatures may be generated as the packet signature. For example, four packet signatures can be generated in the same packet for the entire traffic as shown in Table 2 below. Table 2 shows a set of packet signatures including extracted packet signatures. For example, when the predetermined frequency is set to 95% or more of the total packets, the signature generator 220 can define a combination of the content signatures, which are found in 95% or more of all the packet among the candidate packet signatures, as the packet signature have.

Figure 112016117737625-pat00001
Figure 112016117737625-pat00001

표 2에 따르면, 4개의 패킷 시그니쳐를 포함하고 있으며, 패킷 시그니쳐는 전체 패킷들을 대상으로 생성될 수 있다. 패킷 시그니쳐는 일정 빈도수 이상(전체 패킷에서 기정의한 빈도수, 예를 들면 95%)의 패킷들에서 발생되는 컨텐츠 시그니쳐의 집합이므로, 항상 전체 패킷들에 대해 생성될 수 있다. 여기서, 컨텐츠 시그니쳐의 집합은 동일한 패킷 내에 함께 존재하는 시그니쳐 세트(set)로서, 상기 세트(set)가 다른 패킷들에서도 발견될 수 있으며, 전체 패킷들 중 일정 빈도 수 이상 발견이 되면 해당 세트를 패킷 시그니쳐로 생성할 수 있다.According to Table 2, four packet signatures are included, and a packet signature can be generated for all packets. The packet signature is always a set of content signatures that are generated in packets of a certain frequency or more (a frequency of the default in the entire packet, for example 95%), so that it can always be generated for all packets. Here, the set of content signatures is a set of signatures that coexist in the same packet. The set can be found in other packets. If a certain number of packets are found, Signature can be generated.

표 2에서, 패킷 시그니쳐 3의 경우, 콘텐츠 시그니쳐 집합에 포함된 9개의 콘텐츠 시그니쳐들 중 9개의 콘텐츠 시그니쳐들을 조합한 복수개의 콘텐츠 시그니쳐의 집합을 생성할 수 있다. 그리고, 생성된 콘텐츠 시그니쳐의 집합에 포함된 콘텐츠 시그니쳐 중 일정 빈도수 이상 매칭된 콘텐츠 시그니쳐의 집합(예컨대, 2개의 콘텐츠 시그니쳐를 모아놓은 집합)이 패킷 시그니쳐 3으로 정의될 수 있다. 그리고, 패킷 시그니쳐 4와 같이, 1개의 콘텐츠 시그니쳐 <FACEBOOK>를 포함하는 콘텐츠 시그니쳐의 집합이 패킷 시그니쳐로 생성될 수도 있다.In the case of Packet Signature 3, in Table 2, a set of a plurality of content signatures combining 9 content signatures out of 9 content signatures included in the content signature set can be generated. A set of content signatures (for example, a collection of two content signatures) matched with a certain frequency or more among the content signatures included in the generated set of content signatures may be defined as the packet signature 3. And, like the packet signature 4, a set of content signatures including one content signature < FACEBOOK > may be generated as a packet signature.

340 단계에서, 시그니쳐 생성부(220)는 콘텐츠 시그니쳐의 집합들 중 일정 빈도수 이상 매칭된 콘텐츠 시그니쳐의 집합인 패킷 시그니쳐에 기초하여 플로우 시그니쳐를 생성할 수 있다.In step 340, the signature generator 220 may generate a flow signature based on a packet signature, which is a set of content signatures matched by more than a certain frequency among sets of content signatures.

341 단계에서, 시그니쳐 생성부(220)는 수집된 트래픽들을 대상으로 트래픽에 포함된 패킷들 각각의 헤더 정보에 기초하여 플로우(flow)에 해당하는 패킷들을 분류할 수 있다.In step 341, the signature generator 220 may classify the packets corresponding to the flow based on the header information of each of the packets included in the traffic for the collected traffic.

예를 들어, 시그니쳐 생성부(220)는 수집된 트래픽들에 포함된 100개의 패킷들을 대상으로, 패킷 각각의 헤더에 포함된 5-튜플 정보에 기초하여 동일 그룹에 해당하는 패킷들을 분류할 수 있다. 여기서, 패킷의 헤더에 포함된 출발지 IP 주소 정보, 목적지 IP 주소 정보, 출발지 포트 번호, 목적지 포트 번호 및 4계층 프로토콜 정보를 포함할 수 있다. 즉, 시그니쳐 생성부(220)는 100개의 패킷들 중 출발지 IP 주소 정보, 목적지 IP 주소 정보, 출발지 포트 번호, 목적지 포트 번호 및 4계층 프로토콜 정보가 동일한 패킷 별로 분류하여 하나의 플로우(flow)로 구분할 수 있다. 예컨대, 100개의 패킷들 중 헤더 정보에 포함된 5-튜플 정보가 동일한 40개의 패킷들을 플로우 1, 상기 5-튜플 정보가 동일한 30개의 패킷들을 플로우 2, 상기 5-튜플 정보가 동일한 20개의 패킷들을 플로우 3, 상기 5-튜플 정보가 동일한 10개의 패킷들을 플로우 4로 분류할 수 있다.For example, the signature generation unit 220 may classify 100 packets included in the collected traffic, and classify packets corresponding to the same group based on the 5-tuple information included in the header of each packet . Here, the source IP address information, the destination IP address information, the source port number, the destination port number, and the 4th layer protocol information included in the header of the packet may be included. That is, the signature generation unit 220 classifies the source IP address information, the destination IP address information, the source port number, the destination port number, and the 4th layer protocol information of each of the 100 packets into one flow . For example, 40 packets having the same 5-tuple information included in the header information among the 100 packets are referred to as Flow 1, 30 packets having the same 5-tuple information as Flow 2, 20 packets having the same 5-tuple information Flow 3, and 10 packets having the same 5-tuple information can be classified into Flow 4.

342 단계에서, 시그니쳐 생성부(220)는 하나의 플로우(flow) 내에서 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 생성할 수 있다. 이때, 시그니쳐 생성부(220)는 하나의 동일한 플로우를 대상으로, 패킷 시그니쳐 집합에 포함된 패킷 시그니쳐들 중 일정 빈도수 이상 추출되는 패킷 시그니쳐를 추출하고, 추출된 패킷 시그니쳐의 조합을 플로우 시그니쳐로 정의(즉, 생성)할 수 있다.In step 342, the signature generator 220 may generate a flow signature matching a plurality of packet signatures in one flow. At this time, the signature generator 220 extracts a packet signature extracted from a plurality of packet signatures included in the packet signature set for a single flow, extracts a packet signature extracted from the packet signatures, and defines a combination of the extracted packet signatures as a flow signature (I.e., generated).

예컨대, 아래의 표 3은 플로우 시그니쳐를 나타낼 수 있다.For example, Table 3 below may indicate flow signatures.

Figure 112016117737625-pat00002
Figure 112016117737625-pat00002

위의 표 3에 따르면, 전체 트래픽 내에서 2개의 플로우 시그니쳐가 생성될 수 있다. 즉, 플로우 시그니쳐는 동일한 플로우 내에서 발생하는 패킷 시그니쳐의 집합이므로, 패킷 시그니쳐의 가능한 모든 조합들 중 기정의된 일정 빈도수(예컨대, 플로우의 95%) 이상 발견되는 패킷 시그니쳐의 집합이 플로우 시그니쳐로 정의될 수 있다. 예컨대, 표 2의 패킷 시그니쳐 집합에 포함된 패킷 시그니쳐 1, 패킷 시그니쳐 2, 패킷 시그니쳐 3, 및 패킷 시그니쳐 4 중 하나의 플로우 내에서 일정 빈도수 이상 매칭되는 패킷 시그니쳐들을 모아놓은 집합이 하나의 플로우 시그니쳐(<GET/><MUSIC><32><ALBUM><CASHE-CONROL>)로 생성될 수 있다. 표 3과 같이 전체 트래픽 내에서 2개의 플로우 시그니쳐가 생성될 수 있다. 이때, 플로우가 4개로 분류된 경우, 시그니쳐 생성부(220)는 4개의 플로우들 각각을 대상으로 플로우 시그니쳐를 생성할 수 있다.According to Table 3 above, two flow signatures can be generated within the entire traffic. That is, since the flow signature is a set of packet signatures that occur in the same flow, a set of packet signatures found above a predetermined certain frequency (e.g., 95% of a flow) of all possible combinations of packet signatures is defined as a flow signature . For example, a set of packet signatures matching a certain frequency or more in a flow of one of the packet signature 1, the packet signature 2, the packet signature 3, and the packet signature 4 included in the packet signature set of Table 2 is included in one flow signature <GET /> <MUSIC> <32> <ALBUM> <CASHE-CONROL>). As shown in Table 3, two flow signatures can be generated in the entire traffic. At this time, when the flows are classified into four, the signature generation unit 220 can generate a flow signature for each of the four flows.

350 단계에서, 시그니쳐 생성부(220)는 생성된 콘텐츠 시그니쳐, 패킷 시그니쳐, 플로우 시그니쳐를 복수의 레벨로 하는 페이로드 시그니쳐를 특정 응용에 해당하는 시그니쳐로 생성할 수 있다. 여기서, 콘텐츠 시그니쳐는 하위 레벨, 패킷 시그니쳐는 중간 레벨, 플로우 시그니쳐는 상위 레벨에 해당할 수 있다. 이처럼, 페이로드 시그니쳐는 3개의 레벨로 구성된 시그니쳐 구조를 가질 수 있으며, 생성된 페이로드 시그니쳐에 기초하여 특정 응용이 분석, 즉, 식별될 수 있다.In step 350, the signature generator 220 may generate a payload signature having a plurality of levels of the generated content signatures, packet signatures, and flow signatures as a signature corresponding to a specific application. Here, the content signatures may correspond to a lower level, the packet signatures may correspond to an intermediate level, and the flow signatures may correspond to a higher level. As such, the payload signature may have a signature structure of three levels, and a particular application may be analyzed, i.e., identified, based on the payload signature generated.

도 4는 본 발명의 일실시예에 있어서, 페이로드 시그니쳐의 구조를 도시한 도면이다.4 is a diagram illustrating the structure of a payload signature according to an exemplary embodiment of the present invention.

도 4에 따르면, 페이로드 시그니쳐는 3개의 레벨, 즉, 콘텐츠 시그니쳐(410), 패킷 시그니쳐(420) 및 플로우 시그니쳐(430)로 구성된 구조를 가질 수 있다.4, the payload signature may have a structure consisting of three levels: a content signature 410, a packet signature 420, and a flow signature 430.

도 4를 참고하면, 1차적으로 시그니쳐 생성부(220)는 4개의 패킷들에 해당하는 페이로드(411)를 대상으로 공통된 문자열을 추출할 수 있다. 그리고, 추출된 공통 문자열들 중 일정 빈도수 이상(예컨대, 2회 이상) 추출된 공통 문자열을 콘텐츠 시그니쳐(412, 413, 414)로 생성(즉, 정의)할 수 있다. 그리고, 콘텐츠 시그니쳐(412, 413, 414)를 모아놓은 집합이 콘텐츠 시그니쳐 집합(410)에 해당할 수 있다.Referring to FIG. 4, the signature generator 220 can primarily extract a common character string for a payload 411 corresponding to four packets. Then, the common character string extracted from the extracted common strings by a predetermined frequency or more (for example, two or more times) can be generated (i.e., defined) by the content signatures 412, 413, and 414. A collection of the content signatures 412, 413, and 414 may correspond to the content signature set 410.

그리고, 2차적으로 시그니쳐 생성부(220)는 복수의 콘텐츠 시그니쳐 집합 중 특정 콘텐츠 시그니쳐 집합(410)에 포함된 콘텐츠 시그니쳐들이 하나의 패킷 내에서 일정 빈도수 이상 매칭되는지 여부를 확인할 수 있다. 그리고, 시그니쳐 생성부(220)는 일정 빈도수 이상 매칭되는 적어도 하나의 콘텐츠 시그니쳐 집합을 패킷 시그니쳐로 생성(즉, 정의)할 수 있다. 예컨대, 하나의 패킷 내에서 콘텐츠 시그니쳐 1(412)과 콘텐츠 시그니쳐 2(413)를 포함하는 콘텐츠 시그니쳐 집합이 기정의된 일정 빈도수 이상 포함된 경우(즉 매칭하는 경우), 시그니쳐 생성부(220)는 콘텐츠 시그니쳐 1(412)과 콘텐츠 시그니쳐 2(413)으로 구성된 콘텐츠 시그니쳐 집합을 패킷 시그니쳐 1(421)로 생성(즉, 정의)할 수 있다. 이때, 상기 하나의 패킷 내에서 콘텐츠 시그니쳐 3(413)이 일정 빈도수 이상 매칭하는 경우, 시그니쳐 생성부(220)는 콘텐츠 시그니쳐 3(413)을 패킷 시그니쳐 2(422)로 생성(즉, 정의)할 수 있다. 이처럼, 패킷 시그니쳐는 하나의 패킷(즉, 데이터 트래픽)에서 여러 개의 콘텐츠 시그니쳐가 매칭되어야 하므로 오탐률이 적어 트래픽 분석의 정확성을 향상시킬 수 있다. 이에 따라, 패킷 시그니쳐는 콘텐츠 시그니쳐보다 응용에 보다 정교한 시그니쳐에 해당할 수 있다.Secondarily, the signature generator 220 can check whether the content signatures included in the specific content signature set 410 among the plurality of content signature sets are matched by more than a certain frequency in one packet. The signature generator 220 may generate (i.e., define) at least one set of content signatures matching a certain frequency or more with a packet signature. For example, if a set of content signatures including content signature 1 412 and content signature 2 413 in one packet includes more than a certain predetermined number of frequencies (i.e., matches), the signature generation unit 220 A content signature set consisting of content signature 1 412 and content signature 2 413 can be generated (i.e., defined) with packet signature 1 421. In this case, if the content signature 3 413 matches more than a certain frequency in the one packet, the signature generation unit 220 generates (i.e., defines) the content signature 3 413 as the packet signature 2 422 . As described above, since packet signatures must match a plurality of content signatures in one packet (i.e., data traffic), it is possible to improve the accuracy of traffic analysis due to low false positives. Accordingly, the packet signature may correspond to a more sophisticated signature for the application than the content signature.

3차적으로, 시그니쳐 생성부(220)는 동일 플로우(flow) 내에서 패킷 시그니쳐 집합(420)에 포함된 패킷 시그니쳐들 중 일정 빈도수 이상 매칭되는 적어도 하나의 패킷 시그니쳐를 플로우 시그니쳐로 생성(즉, 정의)할 수 있다. 예컨대, 동일 플로우 내에서 패킷 시그니쳐 1(421)과 패킷 시그니쳐 2(422)가 기정의된 일정 빈도수 이상 포함된 경우(즉 매칭하는 경우), 시그니쳐 생성부(220)는 패킷 시그니쳐 1(421)과 패킷 시그니쳐 2(422)으로 구성된 집합을 플로우 시그니쳐 1(431)로 생성(즉, 정의)할 수 있다. 이처럼, 플로우 시그니쳐는 동일 플로우 내에서 여러 개의 패킷 시그니쳐가 매칭되어야 하므로 패킷 시그니쳐보다 해당 응용의 분석에 오탐률이 적은 더 정교한 시그니쳐가 될 수 있다.Thirdly, the signature generator 220 generates (i. E., Defines) at least one packet signature that matches at least a certain frequency among the packet signatures included in the packet signature set 420 in the same flow )can do. For example, if the packet signature 1 421 and the packet signature 2 422 are included in the same flow more than a certain predetermined frequency (that is, matching), the signature generation unit 220 generates the packet signature 1 421 and The packet signatures 2 422 may be generated (i.e., defined) by the flow signature 1 431. As such, the flow signature can be a more sophisticated signature with less false positives in the analysis of the application than the packet signature, since multiple packet signatures must be matched within the same flow.

이러한 콘텐츠 시그니쳐, 패킷 시그니쳐 및 플로우 시그니쳐를 레벨로 하는 페이로드 시그니쳐의 구조는 아래의 표 4와 같이 수학식 형태로 표현될 수 있다.The structure of the payload signature having the content signatures, the packet signatures and the flow signatures as levels can be expressed in a mathematical form as shown in Table 4 below.

Figure 112016117737625-pat00003
Figure 112016117737625-pat00003

표 4에서, 특정 응용에 대한 공통 문자열 중 일정 빈도수 이상이 되는 9개의 콘텐츠 시그니쳐가 추출된 경우를 가정하면, 콘텐츠 시그니쳐 집합 C는

Figure 112016117737625-pat00004
와 같이 표현될 수 있다. 그리고, 동일 패킷 내에 존재하는 콘텐츠 시그니쳐 집합 중 일정 빈도 수가 넘는 패킷 시그니쳐가 4개인 경우를 가정하면, 패킷 시그니쳐 집합 P는
Figure 112016117737625-pat00005
와 같이 표현될 수 있다. 도 4에서는 플로우 시그니쳐가 1개인 경우를 도시하였으나, 하나의 플로우 내에서 플로우 시그니쳐가 2개 이상 추출될 수 있으며, 플로우 시그니쳐가 2개 추출된 경우,
Figure 112016117737625-pat00006
로 표현될 수 있으며,
Figure 112016117737625-pat00007
를 나타낼 수 있다. 여기서, c1 내지 c9, p1 내지 p4, f1 내지 f2는 위의 표 1 내지 표 3의 시그니쳐 ID(signatureid)를 나타낼 수 있다. 위의 표 1 내지 표 3과 위에서 설명한 상기 집합 C, P, F를 참고하면, 콘텐츠 시그니쳐 6(C6), 패킷 시그니쳐 4(P4), 플로우 시그니쳐 2(f2)는 모두 문자열 <FACEBOOK> 문자열을 나타내는 시그니쳐에 해당할 수 있다. 이때, 응용에 대한 분석률이 모두 같을지라도 콘텐츠 시그니쳐 6(C6)보다 패킷 시그니쳐 4(P4)가 해당 응용에 보다 정교하고, 패킷 시그니쳐 4(P4)보다 플로우 시그니쳐 2(f2)가 해당 응용에 보다 정교한 시그니쳐에 해당할 수 있다.In Table 4, assuming that nine pieces of content signatures that are equal to or more than a certain frequency among the common strings for a specific application are extracted, the content signature set C
Figure 112016117737625-pat00004
Can be expressed as Assuming that there are four packet signatures having a certain frequency number among the set of content signatures existing in the same packet, the packet signature set P is
Figure 112016117737625-pat00005
Can be expressed as Although FIG. 4 shows a case where one flow signature is 1, two or more flow signatures may be extracted in one flow, and when two flow signatures are extracted,
Figure 112016117737625-pat00006
, &Lt; / RTI >
Figure 112016117737625-pat00007
Lt; / RTI &gt; Here, c 1 to c 9, p 1 to p 4, f 1 to f 2 may indicate an ID signature (signature id) in the previous table 1 to Table 3. The contents signature 6 (C 6 ), the packet signature 4 (P 4 ), and the flow signature 2 (f 2 ) all have the string &lt; FACEBOOK &gt;, as shown in the above Tables 1 to 3 and the above- It may correspond to a signature representing a string. At this time, even if the same both the analysis rate of the application content signature 6 (C 6) than the packet signature 4 (P 4) is a more sophisticated, and the packet signature 4 (P 4) than the flow signature 2 (f 2) to the application It may correspond to more sophisticated signatures for the application.

한편, 콘텐츠 시그니쳐, 패킷 시그니쳐, 플로우 시그니쳐와 같이 복수의 레벨 구조를 갖는 페이로드 시그니쳐를 이용하여 트래픽을 분석하는 경우, 패킷 시그니쳐 또는 플로우 시그니쳐를 사용하여 트래픽을 분석함에 따라 분석률에 한계가 존재할 수 있다. 예컨대, 패킷 시그니쳐를 사용하는 경우, 하나의 패킷 시그니쳐가 매칭되기 위해서는 해당 패킷 시그니쳐를 생성하기 위해 사용된 적어도 하나의 콘텐츠 시그니쳐가 모두 매칭되어야 할 수 있다. 즉, 콘텐츠 시그니쳐 3개를 기반으로 하나의 패킷 시그니쳐가 생성된 경우, 3개의 콘텐츠 시그니쳐 모두가 매칭되어야 패킷 시그니쳐가 매칭되는 것으로 트래픽을 분석할 수 있다. 이에 따라, 새로운 페이로드 시그니쳐 구조에 맞는 분석률 계산이 수행될 수 있다.On the other hand, when traffic is analyzed using a payload signature having a plurality of level structures such as a content signature, a packet signature, and a flow signature, there is a limit to the analysis rate by analyzing traffic using a packet signature or a flow signature have. For example, if a packet signature is used, at least one content signature used to generate the packet signature may have to be matched in order for one packet signature to be matched. That is, when one packet signature is generated based on three content signatures, all three content signatures must be matched so that packet signatures are matched to analyze the traffic. Thus, an analysis rate calculation that matches the new payload signature structure can be performed.

도 5는 본 발명의 일실시예에 있어서, 복수의 레벨 구조를 가지는 페이로드 시그니쳐를 이용하여 트래픽의 분석률을 계산하는 방법을 도시한 흐름도이다.5 is a flowchart illustrating a method of calculating an analysis rate of traffic using a payload signature having a plurality of level structures, according to an embodiment of the present invention.

도 5에서, 각 단계들(510 내지 520 단계)는 도 2의 분석률 계산부(230)에 의해 수행될 수 있다.In FIG. 5, the steps (steps 510 to 520) may be performed by the analysis rate calculation unit 230 of FIG.

510 단계에서, 분석률 계산부(230)는 전체 트래픽(즉, 패킷)을 대상으로, 하나의 패킷 시그니쳐에 해당하는 적어도 하나의 콘텐츠 시그니쳐와 매칭하는 트래픽의 양(즉, 트래픽의 개수)을 계산할 수 있다.In step 510, the analysis rate calculator 230 calculates the amount of traffic (i.e., the number of traffic) matching the at least one content signature corresponding to one packet signature, for the entire traffic (i.e., packet) .

520 단계에서, 분석률 계산부(230)는 계산된 트래픽의 양(즉, 트래픽의 개수)과 전체 트래픽의 양(즉, 전체 트래픽의 개수)에 기초하여 페이로드 시그니쳐의 분석률을 계산할 수 있다. 즉, 분석률 계산부(230)는 복수의 레벨 구조를 갖는 페이로드 시그니쳐로 특정 응용을 통해 유입된 트래픽을 분석할 때의 분석률을 계산할 수 있다.In step 520, the analysis rate calculation unit 230 may calculate the analysis rate of the payload signature based on the amount of the calculated traffic (i.e., the number of traffic) and the amount of the entire traffic (i.e., the total number of traffic) . That is, the analysis rate calculation unit 230 can calculate the analysis rate when analyzing the traffic that has flowed through the specific application with the payload signature having a plurality of level structures.

예를 들어, 분석률 계산부(230)는 아래의 수학식 1에 기초하여 분석률을 계산할 수 있다.For example, the analysis rate calculation unit 230 may calculate the analysis rate based on the following equation (1).

[수학식 1][Equation 1]

Figure 112016117737625-pat00008
Figure 112016117737625-pat00008

페이로드 시그니쳐가 단순히 콘텐츠 시그니쳐가 아닌 패킷 시그니쳐와 플로우 시그니쳐와 같이 콘텐츠 시그니쳐보다 높은 레벨의 시그니쳐로 구성된 구조를 가지는 경우, 상위 레벨의 시그니쳐는 하위 레벨의 시그니쳐의 집합으로 생성되므로 하위 레벨의 시그니쳐가 분석한 트래픽은 상위 레벨의 시그니쳐도 분석할 수 있다. If the payload signature has a structure that is not just a content signature but a higher level signature than a content signature, such as a packet signature and a flow signature, the higher-level signature is generated as a lower-level set of signatures, One traffic can also analyze high level signatures.

예를 들어, 수학식 1에서, 3개의 콘텐츠 시그니쳐 A, B, C가 하나의 패킷 시그니쳐를 생성하기 위해 이용된 경우, 패킷 시그니쳐의 분석률은 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐 A, B, C가 매칭된 트래픽의 양을 단순히 더하는 것이 아니라, 분석률 계산부(230)는 하나의 패킷 시그니쳐를 구성하는 콘텐츠 시그니쳐 A, B, C로 분석한 트래픽들(즉, 패킷 시그니쳐로 분석한 트래픽들)의 합집합의 양을 전체 트래픽의 양으로 나눈 것의 백분율을 계산하여 분석률을 계산할 수 있다. 즉, 콘텐츠 시그니쳐 A, B, C가 각각 분석한 트래픽이 중복될 수 있으므로 A, B, C의 합집합의 양을 전체 트래픽의 양으로 나눌 수 있다. 이에 따라, 콘텐츠 시그니쳐보다 높은 레벨(패킷 시그니쳐, 플로우 시그니쳐)의 시그니쳐를 사용하여 응용 트래픽을 분석하는 경우에 하위 레벨의 시그니쳐를 이용할 때의 분석률을 그대로 유지하면서 오탐률은 감소시켜 특정 응용을 보다 정확히 분석할 수 있다. 상위 레벨의 시그니쳐 구조를 사용하는 경우, 시그니쳐의 개수를 줄이면서 특정 응용에 더 정교한 시그니쳐가 생성되므로, 상위 레벨의 시그니쳐를 다수개 보유할 시 대용량의 트래픽을 콘텐츠 시그니쳐와 같은 하위 레벨의 시그니쳐를 이용할 때 보다 빠른 시간에 분석할 수 있다.For example, in Equation (1), when three content signatures A, B, and C are used to generate one packet signature, the analysis rate of the packet signature is determined by the content signatures A, B, C The analysis rate calculator 230 does not simply add the amount of matched traffic but the traffic analyzed by the content signatures A, B, and C (i.e., the traffic analyzed by the packet signatures) constituting one packet signature, Can be calculated by calculating the percentage of the sum of the union of the traffic and the total amount of traffic. That is, since the traffic analyzed by the content signatures A, B, and C may overlap each other, the amount of union of A, B, and C can be divided by the amount of total traffic. Accordingly, when analyzing application traffic using signatures of higher level than the content signatures (packet signatures and flow signatures), it is possible to maintain the analysis rate when using lower level signatures and reduce the false positives, It can be analyzed accurately. When a higher level signature structure is used, more sophisticated signatures are generated in a specific application while reducing the number of signatures. Therefore, when a large number of signatures are stored at a high level, a large amount of traffic is used for signatures at lower levels such as content signatures You can analyze it faster than before.

아래의 표 5는 복수의 레벨 구조를 가진 페이로드 시그니쳐를 이용하여 특정 응용 트래픽에 적용하는 경우의 실험 환경을 나타낼 수 있다. Table 5 below shows the experimental environment when applied to specific application traffic using payload signatures having a plurality of level structures.

먼저 수집된 트래픽을 TMA(Traffic Measurement Agent)를 이용하여 정답지 트래픽(Ground Traffic, GTT)이 생성될 수 있다. 그리고, 응용 1(예컨대, 네이버), 응용 2(예컨대, 야후)의 정답지 트래픽(Ground Traffic, GTT)을 바탕으로 각각의 응용들의 콘텐츠 시그니쳐와 패킷 시그니쳐가 추출될 수 있다. 추출한 2가지 응용에 해당하는 콘텐츠 시그니쳐와 패킷 시그니쳐를 반대로 적용하여 표 5의 (2)와 (3)이 계산될 수 있다. 예컨대, 응용 1의 패킷 시그니쳐와 콘텐츠 시그니쳐 각각을 이용하여 응용 2의 트래픽을 분석하고, 응용 2의 패킷 시그니쳐와 콘텐츠 시그니쳐 각각을 이용하여 응용 1의 트래픽을 분석하여 표 5의 (2)와 (3)이 계산될 수 있다. 표 5의 (1)과 (4)는 2가지 응용의 시그니쳐로 해당 응용의 정답지 트래픽(GTT)을 분석한 경우의 분석률을 나타낼 수 있다. 즉, 분석률 계산부(230)는 표 5의 (1), (2), (3), (4)의 값에 기초하여 콘텐츠 시그니쳐와 패킷 시그니쳐의 분석률과 오탐률을 비교 분석할 수 있다.First, the collected traffic can be generated using Traffic Measurement Agent (TMA). Then, the content signatures and the packet signatures of the respective applications can be extracted based on the application 1 (for example, Naver) and the application 2 (for example, Yahoo). (2) and (3) of Table 5 can be calculated by applying the content signatures and packet signatures corresponding to the two extracted applications in reverse. For example, the application 2 traffic is analyzed using the packet signatures and the content signatures of the application 1, and the traffic of the application 1 is analyzed using the packet signatures and the content signatures of the application 2, ) Can be calculated. Table 5 (1) and (4) show the analysis rate when the GTT of the application is analyzed with the signatures of two applications. That is, the analysis rate calculation unit 230 can compare and analyze the analysis rate and the false rate of the content signatures and the packet signatures based on the values of (1), (2), (3), and (4) .

Figure 112016117737625-pat00009
Figure 112016117737625-pat00009

표 5에서, GTT는 정답지 트래픽을 나타내고, Sig는 시그니쳐를 나타낼 수 있다. 그리고, (1)은 응용 1의 시그니쳐를 응용 1의 정답지 트래픽에 적용한 분석률을 나타내고, 이는 응용 1 분석에 대한 TP(True Positive)에 해당할 수 있다. (2)는 응용 2의 시그니쳐를 응용 1의 정답지 트래픽에 적용한 분석률을 나타내며, 이는 응용 2의 분석에 대한 FP(False Positive), 즉, 오탐률을 나타낼 수 있다. (3)은 응용 1의 시그니쳐를 응용 2의 정답지 트래픽이 적용한 분석률을 나타내는 것으로서, 응용 2의 분석에 대한 FP(False Positive), 즉, 오탐률에 해당할 수 있다. (4)는 응용 2의 시그니쳐로 응용 2의 정답지 트래픽을 분석한 분석률을 나타내는 것으로서, 응용 2에 대한 TP(True Positive)에 해당할 수 있다.In Table 5, GTT indicates the correct traffic and Sig indicates the signature. (1) represents the analysis rate applied to the right-hand side traffic of application 1, which is equivalent to TP (True Positive) for application 1 analysis. (2) represents the analysis rate applied to the application of the application 2's signature to the right-hand traffic of application 1, which can represent false positives (FP) for the analysis of application 2, that is, false positives. (3) represents the analysis rate applied by the application of the right-hand side traffic of the application 1, and corresponds to the FP (false positives) of the application 2, that is, the false rate. (4) is the signature of the application 2, which represents the analysis rate of the traffic of the application 2 and corresponds to TP (True Positive) for Application 2.

아래의 표 6은 위의 표 5 실험 조건에 따른 실험 결과로서, 응용 1과 응용 2의 오탐률을 나타낼 수 있다. 표 6에서 실험 결과에 해당하는 모든 값은 트래픽의 플로우(flow) 단위에 해당할 수 있다.Table 6 below shows the false positives of Application 1 and Application 2 as a result of the experiment according to the experimental condition of Table 5 above. In Table 6, all values corresponding to the experimental result may correspond to a flow unit of traffic.

Figure 112016117737625-pat00010
Figure 112016117737625-pat00010

표 6의 FP를 참고하면, 응용 1 및 응용 2 모두에서 콘텐츠 시그니쳐의 오탐률보다 패킷 시그니쳐의 오탐률이 더 낮음을 확인할 수 있다. 그리고, 표 6의 TP를 참고하면, 응용 1 및 응용 2 모두에서 콘텐츠 시그니쳐에 비해 패킷 시그니쳐의 분석률이 변화가 적음을 확인할 수 있다.Referring to FP in Table 6, it can be seen that the false positives of the packet signatures are lower than the false positives of the content signatures in the applications 1 and 2. Also, referring to the TP in Table 6, it can be seen that the analysis rate of the packet signature is less changed than that of the content signature in both Application 1 and Application 2.

이상에서 설명한 바와 같이, 특정 응용에 대한 페이로드 시그니쳐의 구조가 콘텐츠 시그니쳐, 패킷 시그니쳐 및 플로우 시그니쳐가 복수의 레벨로 구성되도록 정의됨에 따라, 응용 별 시그니쳐 추출 시 시그니쳐 중복을 감소 또는 방지하고, 응용 트래픽 분석 시 오탐률을 감소시켜 신뢰성을 높일 수 있다. 즉, 효율적인 네트워크 관리가 가능할 수 있다. 그리고, 표 5 및 표 6의 실험을 통해 확인한 바와 같이, 페이로드 시그니쳐가 복수의 레벨 구조를 가짐에 따라 TP, FP의 수치 분석 결과, 해당 시그니쳐로 해당 응용을 분석하는 분석률인 TP는 유지시키면서 오탐률인 FP의 수치는 감소시키는 것을 알 수 있다.As described above, since the structure of the payload signature for a specific application is defined such that the content signatures, the packet signatures, and the flow signatures are composed of a plurality of levels, signature redundancy is reduced or prevented at the time of extracting signatures for each application, It is possible to improve the reliability by reducing the false positive rate in the analysis. That is, efficient network management can be achieved. As a result of the numerical analysis of TP and FP as the payload signature has a plurality of level structures as shown in the experiments of Tables 5 and 6, the analysis rate TP for analyzing the corresponding application with the corresponding signature is maintained It can be seen that the value of FP which is the false rate decreases.

소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI &gt; or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (11)

복수의 응용들과 관련된 트래픽을 수집하는 단계;
수집된 트래픽들을 대상으로 공통 문자열을 추출하여 콘텐츠 시그니쳐를 포함하는 콘텐츠 시그니쳐 집합을 생성하는 단계;
상기 수집된 트래픽들 중 어느 하나의 트래픽을 대상으로, 상기 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐들 중 복수의 콘텐츠 시그니쳐가 매칭하는 패킷 시그니쳐를 생성하는 단계; 및
상기 수집된 트래픽들을 기반으로 하는 플로우를 대상으로 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 생성하는 단계
를 포함하는 페이로드 시그니쳐 생성 방법.Collecting traffic associated with a plurality of applications;
Extracting a common string for the collected traffic to generate a content signature set including a content signature;
Generating a packet signature matching a plurality of content signatures among content signatures included in the content signature set for any one of the collected traffic; And
Generating a flow signature matching a plurality of packet signatures for a flow based on the collected traffic;
/ RTI &gt; 제1항에 있어서,
상기 콘텐츠 시그니쳐를 하위 레벨, 패킷 시그니쳐를 중간 레벨 및 플로우 시그니쳐를 상위 레벨의 구조로 하는 페이로드 시그니쳐를 특정 응용을 식별하기 위한 시그니쳐로 생성하는 단계
를 더 포함하는 페이로드 시그니쳐 생성 방법.The method according to claim 1,
Generating a payload signature having a structure of a lower level of the content signatures, a middle level of the packet signatures, and a higher level of the flow signatures as a signature for identifying a specific application
And generating a payload signature. 제1항에 있어서,
상기 플로우 시그니쳐를 생성하는 단계는,
상기 수집된 트래픽들에 포함된 패킷들을 대상으로 패킷의 헤더 중 5-튜플 정보가 동일한 패킷들을 추출하는 단계; 및
추출된 패킷들 각각을 상기 플로우로 정의하는 단계
를 포함하는 페이로드 시그니쳐 생성 방법.The method according to claim 1,
Wherein the step of generating the flow signature comprises:
Extracting packets having the same 5-tuple information among the headers of the packets with respect to the packets included in the collected traffic; And
Defining each of the extracted packets as the flow
/ RTI &gt; 제3항에 있어서,
상기 플로우 시그니쳐를 생성하는 단계는,
전체 트래픽을 대상으로 동일 플로우 내에서 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 정의하는 단계
를 더 포함하는 페이로드 시그니쳐 생성 방법.The method of claim 3,
Wherein the step of generating the flow signature comprises:
Defining a flow signature that matches a plurality of packet signatures in the same flow with respect to the entire traffic;
And generating a payload signature. 제3항에 있어서,
상기 5-튜플 정보는, 패킷의 헤더에 포함된 출발지 IP 주소 정보, 목적지 IP 주소 정보, 출발지 포트 번호, 목적지 포트 번호 및 4계층 프로토콜 정보를 포함하는 것
을 특징으로 하는 페이로드 시그니쳐 생성 방법.The method of claim 3,
The 5-tuple information includes the source IP address information, the destination IP address information, the source port number, the destination port number, and the 4-layer protocol information included in the header of the packet
And generating a payload signature. 제1항에 있어서,
상기 패킷 시그니쳐를 생성하는 단계는,
상기 어느 하나의 트래픽을 대상으로 기정의된 일정 빈도 수 이상 매칭하는 복수의 콘텐츠 시그니쳐의 집합을 상기 패킷 시그니쳐로 생성하는 것
을 특징으로 하는 페이로드 시그니쳐 생성 방법.The method according to claim 1,
Wherein generating the packet signature comprises:
And generating a set of a plurality of content signatures matching the predetermined number of frequencies with respect to any one of the traffic with the packet signature
And generating a payload signature. 제1항에 있어서,
전체 트래픽(total traffic)을 대상으로 하나의 패킷 시그니쳐에 해당하는 적어도 하나의 콘텐츠 시그니쳐와 매칭하는 트래픽의 양을 계산하는 단계; 및
계산된 상기 트래픽의 양과 전체 트래픽의 양에 기초하여 페이로드 시그니쳐의 분석률을 계산하는 단계
를 더 포함하는 페이로드 시그니쳐 생성 방법.The method according to claim 1,
Calculating an amount of traffic matching at least one content signature corresponding to one packet signature with respect to total traffic; And
Calculating an analysis rate of the payload signature based on the amount of the calculated traffic and the amount of the total traffic
And generating a payload signature. 복수의 응용들과 관련된 트래픽들을 수집하는 트래픽 수집부; 및
수집된 트래픽들을 대상으로 공통 문자열을 추출하여 콘텐츠 시그니쳐를 포함하는 콘텐츠 시그니쳐 집합을 생성하고, 상기 수집된 트래픽들 중 어느 하나의 트래픽들을 대상으로, 상기 콘텐츠 시그니쳐 집합에 포함된 콘텐츠 시그니쳐들 중 복수의 콘텐츠 시그니쳐가 매칭하는 패킷 시그니쳐를 생성하고, 상기 수집된 트래픽들을 기반으로 하는 플로우를 대상으로 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 생성하는 시그니쳐 생성부
를 포함하는 페이로드 시그니쳐 생성 시스템.A traffic collector for collecting traffic related to a plurality of applications; And
Extracting a common character string for the collected traffic to generate a content signature set including a content signature, and generating a plurality of content signatures included in the content signature set for any one of the collected traffic A signature generation unit for generating a packet signature matched by the content signature and generating a flow signature matching a plurality of packet signatures for a flow based on the collected traffic,
The payload signature generation system comprising: 제8항에 있어서,
상기 시그니쳐 생성부는,
상기 콘텐츠 시그니쳐를 하위 레벨, 패킷 시그니쳐를 중간 레벨 및 플로우 시그니쳐를 상위 레벨의 구조로 하는 페이로드 시그니쳐를 특정 응용을 식별하기 위한 시그니쳐로 생성하는 것
을 특징으로 하는 페이로드 시그니쳐 생성 시스템.9. The method of claim 8,
Wherein the signature generator comprises:
Generating a payload signature having a structure of a lower level of the content signatures, a middle level of the packet signatures, and a higher level of the flow signatures as a signature for identifying a specific application
The payload signature generation system comprising: 제8항에 있어서,
상기 시그니쳐 생성부는,
상기 수집된 트래픽들에 포함된 패킷들을 대상으로 패킷의 헤더 중 5-튜플 정보가 동일한 패킷들을 추출하고, 추출된 패킷들 각각을 상기 플로우로 정의하고, 전체 트래픽을 대상으로 동일 플로우 내에서 복수의 패킷 시그니쳐가 매칭하는 플로우 시그니쳐를 정의하는 것
을 특징으로 하는 페이로드 시그니쳐 생성 시스템.9. The method of claim 8,
Wherein the signature generator comprises:
Extracting packets having the same 5-tuple information among the headers of the packets for the packets included in the collected traffic, defining each of the extracted packets as the flow, Define the flow signature that the packet signature matches.
The payload signature generation system comprising: 제8항에 있어서,
전체 트래픽(total traffic)을 대상으로 하나의 패킷 시그니쳐에 해당하는 적어도 하나의 콘텐츠 시그니쳐와 매칭하는 트래픽의 양을 계산하고, 계산된 상기 트래픽의 양과 전체 트래픽의 양에 기초하여 페이로드 시그니쳐의 분석률을 계산하는 분석률 계산부
를 더 포함하는 페이로드 시그니쳐 생성 시스템.9. The method of claim 8,
Calculating an amount of traffic matching at least one content signature corresponding to one packet signature with respect to total traffic, calculating an analysis rate of the payload signature based on the amount of the calculated traffic and the amount of the total traffic, And an analysis-
The payload signature generation system further comprising:
KR1020160162049A 2016-11-30 2016-11-30 Method and system for specifying payload signature for elaborate application traffic classification KR101886526B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160162049A KR101886526B1 (en) 2016-11-30 2016-11-30 Method and system for specifying payload signature for elaborate application traffic classification

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160162049A KR101886526B1 (en) 2016-11-30 2016-11-30 Method and system for specifying payload signature for elaborate application traffic classification

Publications (2)

Publication Number Publication Date
KR20180062126A KR20180062126A (en) 2018-06-08
KR101886526B1 true KR101886526B1 (en) 2018-08-07

Family

ID=62600587

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160162049A KR101886526B1 (en) 2016-11-30 2016-11-30 Method and system for specifying payload signature for elaborate application traffic classification

Country Status (1)

Country Link
KR (1) KR101886526B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560820B1 (en) * 2013-11-29 2015-10-15 (주) 시스메이트 Appratus and Method for Signature-Based Application Identification

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101560820B1 (en) * 2013-11-29 2015-10-15 (주) 시스메이트 Appratus and Method for Signature-Based Application Identification

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
‘응용 레벨 트래픽 분류를 위한 시그니쳐 생성 및 갱신 시스템 개발’, 정보처리학회논문지, pp.99-108, 2010.02

Also Published As

Publication number Publication date
KR20180062126A (en) 2018-06-08

Similar Documents

Publication Publication Date Title
CN107665191B (en) Private protocol message format inference method based on extended prefix tree
CN111565205B (en) Network attack identification method and device, computer equipment and storage medium
Vlăduţu et al. Internet traffic classification based on flows' statistical properties with machine learning
WO2017107965A1 (en) Web anomaly detection method and apparatus
US8666985B2 (en) Hardware accelerated application-based pattern matching for real time classification and recording of network traffic
Zhang et al. Proword: An unsupervised approach to protocol feature word extraction
Zhang et al. Toward unsupervised protocol feature word extraction
CN113949577A (en) Data attack analysis method applied to cloud service and server
US20140280929A1 (en) Multi-tier message correlation
CN103036910B (en) A kind of user&#39;s web access Behavior-Based control method and device
CN110572402B (en) Internet hosting website detection method and system based on network access behavior analysis and readable storage medium
CN109344913B (en) Network intrusion behavior detection method based on improved MajorCluster clustering
Wang et al. An unknown protocol syntax analysis method based on convolutional neural network
CN112235254A (en) Rapid identification method for Tor network bridge in high-speed backbone network
Alouneh et al. An effective classification approach for big data security based on GMPLS/MPLS networks
KR101886526B1 (en) Method and system for specifying payload signature for elaborate application traffic classification
CN115470489A (en) Detection model training method, detection method, device and computer readable medium
KR102258965B1 (en) Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol
KR20220093034A (en) Method and apparatus for detecting anomalies of a dns traffic
KR102080479B1 (en) Scenario-based real-time attack detection system and scenario-based real-time attack detection method using the same
CN114760083A (en) Method and device for issuing attack detection file and storage medium
CN113037551A (en) Quick identification and positioning method for sensitive-related services based on traffic slice
Guo et al. Website fingerprinting attacks based on homology analysis
JP2022546879A (en) Network forensics system and network forensics method using the same
EP4254237A1 (en) Security data processing device, security data processing method, and computer-readable storage medium for storing program for processing security data

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant