KR102260417B1 - 트래픽 탐지 방법 및 장치 - Google Patents

트래픽 탐지 방법 및 장치 Download PDF

Info

Publication number
KR102260417B1
KR102260417B1 KR1020190142037A KR20190142037A KR102260417B1 KR 102260417 B1 KR102260417 B1 KR 102260417B1 KR 1020190142037 A KR1020190142037 A KR 1020190142037A KR 20190142037 A KR20190142037 A KR 20190142037A KR 102260417 B1 KR102260417 B1 KR 102260417B1
Authority
KR
South Korea
Prior art keywords
traffic information
traffic
abnormal
target
threshold
Prior art date
Application number
KR1020190142037A
Other languages
English (en)
Other versions
KR20200110132A (ko
Inventor
야징 첸
빙 황
칭즈 저우
사오옌 왕
Original Assignee
베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. filed Critical 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Publication of KR20200110132A publication Critical patent/KR20200110132A/ko
Application granted granted Critical
Publication of KR102260417B1 publication Critical patent/KR102260417B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 출원의 실시예는 트래픽 탐지 방법 및 장치를 개시한다. 해당 방법의 일 구체적인 실시예는, 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하는 단계와, 적어도 2개 차원의 트래픽 정보 중에 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하는 단계와, 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 타깃 IP의 트래픽이 이상함을 확정하는 단계를 포함한다. 해당 실시예는 이상 트래픽의 탐지율을 향상시킨다.

Description

트래픽 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING TRAFFIC}
본 출원의 실시예는 컴퓨터의 기술 분야에 관한 것으로, 특히는 트래픽 탐지 방법과 장치에 관한 것이다.
사회의 발전과 인터넷 응용의 끊임없이 보편화 됨에 따라 인터넷의 발전은 인류에게 큰 편의를 제공해주는 동시에 보안적인 문제들도 야기시켰다. 따라서, 정확하고 즉각적으로 인터넷에 존재하는 이상현상을 탐지하고 네트워크공격을 식별하고 제거하며 업무적 사용에 있어서의 신뢰성을 확보하는 것은 매우 중요한 문제가 되고 있다.
이상 트래픽의 식별은 네트워크 공격을 탐지하는데 있어서의 전제조건이다. 트래픽이 이상함을 감지할 수 있어야만 이러한 네트워크 공격이 진짜 공격인지 여부를 분석할 필요성이 생긴다.
일부 관련 기술에 있어서는 통상적으로 트래픽의 특징값을 추출하고 기설정된 특징 라이브러리과 비교하는 방식을 통하여 현재 트래픽에 이상이 있는지 여부를 탐지한다.
본 출원의 실시예는 트래픽 탐지 방법 및 장치를 제공한다.
제1 양태에 있어서, 본 출원의 실시예는 트래픽 탐지 방법을 제공하고, 상기 방법은, 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하는 단계와, 상기 적어도 2개 차원의 트래픽 정보 중에, 상기 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하는 단계와, 상기 적어도 2개 차원의 트래픽 정보 중에, 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 상기 타깃 IP의 트래픽이 이상함을 확정하는 단계를 포함한다.
일부 실시예에 있어서, 상기 적어도 2개 차원의 트래픽 정보는, 단위 시간에 전송되는 비트수, 단위 시간에 전송되는 데이터패킷의 수량, 단위 시간의 요청량, 단위 시간의 연결 수량 중 적어도 2가지를 포함한다.
일부 실시예에 있어서, 상기 트래픽 탐지 방법은, 상기 적어도 2개 차원의 트래픽 정보 중에 상기 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하는 단계 전에, 상기 타깃 IP의 트래픽 정보를 주기적으로 수집하는 단계와, 수집한 트래픽 정보 중에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거하는 단계와, 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 상기 타깃 IP의 이상 트래픽 역치를 확정하는 단계를 더 포함한다.
일부 실시예에 있어서, 상기 타깃 IP의 트래픽 정보를 주기적으로 수집하는 단계는, 기설정 빈도에 따라 상기 타깃 IP에 대하여 트래픽을 수집하는 단계와, 매회 수집한 샘플 데이터에 대하여, 해당 샘플 데이터가 위치하는 구간 범위를 확정하고, 해당 구간 범위 내의 기설정값을 해당 회 수집한 트래픽 정보로 확정하는 단계를 포함한다.
일부 실시예에 있어서, 수집한 트래픽 정보 중에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거하는 단계는, 수집한 트래픽 정보 중에서 제1 값 범위를 초과하는 이상 트래픽 정보를 제거하여 1차 스크리닝을 거친 트래픽 정보를 얻는 단계와, 1차 스크리닝을 거친 트래픽 정보에 기반하여, 상기 제1 값 범위보다 작은 제2 값 범위를 확정하는 단계와, 1차 스크리닝을 거친 트래픽 정보 중에서 상기 제2 값 범위를 초과하는 이상 트래픽 정보를 제거하는 단계를 포함한다.
일부 실시예에 있어서, 상기 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 상기 타깃 IP의 이상 트래픽 역치를 확정하는 단계는, 현재 주기 내에서 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하는 단계와, 상기 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 상기 구간 범위의 상한선을 기준 역치로 설정하는 단계와, 상기 기준 역치를 기설정 배수만큼 확대하여 상기 타깃 IP의 이상 트래픽 역치를 얻는 단계를 포함한다.
일부 실시예에 있어서, 상기 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 해당 타깃 IP의 이상 트래픽 역치를 확정하는 단계는, 현재 주기와 다수의 과거 주기를 포함하는 다수의 주기 내에서 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하는 단계와, 각각의 주기 내에서 획득한 트래픽 정보의 집합에 대하여, 해당 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 확정된 구간 범위의 상한선을 해당 주기에 해당되는 기준 역치로 설정하는 단계와, 상기 다수의 주기에 해당되는 기준 역치와 상응 가중치에 기반하여 최종역치를 확정하는 단계와, 상기 최종역치를 기설정 배수만큼 확대하여 상기 타깃 IP의 이상 트래픽 역치를 확정하는 단계를 포함한다.
일부 실시예에 있어서, 상기 다수의 주기의 가중치는, 각각의 주기의 가중치를 동일 값으로 설정하는 방법과, 현재 주기와 가까운 주기의 가중치를 현재 주기와 먼 주기의 가중치보다 크게 설정하는 방법과, 트래픽 정보의 안정성에 기반하여 각각의 주기의 가중치를 확정하는 방법 중 한 가지를 통하여 확정한다.
제2 양태에 있어서, 본 개시의 실시예는 트래픽 탐지 장치를 제공하며, 상기 장치는, 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하도록 구성된 정보 획득 유닛과, 상기 적어도 2개 차원의 트래픽 정보 중에, 상기 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하도록 구성된 판단 유닛과, 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 상기 타깃 IP의 트래픽이 이상함을 확정하도록 구성된 이상 확정 유닛을 포함한다.
일부 실시예에 있어서, 상기 적어도 2개 차원의 트래픽 정보는, 단위 시간에 전송되는 비트수, 단위 시간에 전송되는 데이터패킷의 수량, 단위 시간의 요청량, 단위 시간의 연결 수량 중 적어도 2가지를 포함한다.
일부 실시예에 있어서, 상기 장치는, 타깃 IP의 트래픽 정보를 주기적으로 수집하도록 구성된 정보 수집 유닛; 수집한 트래픽 정보 중에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거하도록 구성된 제거 유닛; 및 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 타깃 IP의 이상 트래픽 역치를 확정하도록 구성된 역치 확정 유닛을 더 포함한다.
일부 실시예에 있어서, 정보 수집 유닛은, 기설정 빈도에 따라 타깃 IP에 대하여 트래픽을 수집하도록 구성된 정보 수집 모듈; 및 매회 수집한 샘플 데이터에 대하여, 해당 샘플 데이터가 위치하는 구간 범위를 확정한 후, 해당 구간 범위 내의 기설정값을 해당 회에 수집한 트래픽 정보로 확정하도록 구성된 정보 확정 모듈을 포함한다.
일부 실시예에 있어서, 제거 유닛은, 수집한 트래픽 정보 중에서 제1 값 범위를 초과하는 이상 트래픽 정보를 제거하여, 1차 스크리닝을 거친 트래픽 정보를 획득하도록 구성된 제1 제거 모듈; 1차 스크리닝을 거친 트래픽 정보에 기반하여, 제1 값 범위보다 작은 제2 값 범위를 확정하도록 구성된 범위 확정 모듈; 및 1차 스크리닝을 거친 트래픽 정보 중에서 제2 값 범위를 초과하는 이상 트래픽 정보를 제거하도록 구성된 제2 제거 모듈을 포함한다.
일부 실시예에 있어서, 역치 확정 유닛은, 현재 주기 내 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하도록 구성된 집합 획득 모듈; 해당 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 해당 구간 범위의 상한선을 기준 역치로 간주하도록 구성된 범위 확정 모듈; 및 해당 기준 역치를 기설정 배수만큼 확대하여 해당 타깃 IP의 이상 트래픽 역치를 획득하도록 구성된 역치 확정 모듈을 포함한다.
일부 실시예에 있어서, 역치 확정 유닛은, 다수의 주기 내에 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하도록 구성된 - 여기서, 다수의 주기는 현재 주기와 다수의 과거 주기를 포함함 - 집합 획득 모듈; 각각의 주기에서 획득한 트래픽 정보의 집합에 대하여, 해당 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 확정된 구간 범위의 상한선을 해당 주기의 해당 기준 역치로 간주하도록 구성된 범위 확정 모듈; 다수의 주기의 해당 기준 역치와 상응 가중치에 따라 최종역치를 확정하도록 구성된 수정 모듈; 및 최종역치를 기설정 배수만큼 확대하여 해당 타깃 IP의 이상 트래픽 역치를 획득하도록 구성된 역치 확정 모듈을 포함한다.
일부 실시예에 있어서, 다수의 주기의 가중치는 아래 방식 중 하나에 의해 확정된다. 즉, 각각의 주기의 가중치를 동일 값으로 설정하거나, 현재 주기와 가까운 주기의 가중치를 현재 주기와 먼 주기의 가중치보다 크게 설정하거나, 트래픽 정보의 안정성에 기반하여 각각의 주기의 가중치를 확정할 수 있다.
제3 양태에 있어서, 본 개시의 실시예는 전자 기기를 제공하며, 상기 전자 기기는, 하나 또는 다수의 처리장치; 및 하나 또는 다수의 프로그램이 저장된 저장장치를 포함하되, 상기 하나 또는 다수의 프로그램이 상기 하나 또는 다수의 처리장치에 의해 실행될 경우, 상기 하나 또는 다수의 처리장치가 제1 양태 중 어느 한 구현 방식에 따른 방법을 구현한다.
제4 양태에 있어서, 본 개시의 실시예는 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능한 매체를 제공하며, 상기 컴퓨터 프로그램이 처리장치에 의해 실행될 경우, 제1 양태 중 어느 한 구현 방식에 따른 방법을 구현한다.
본 출원에서 제공되는 트래픽 탐지 방법 및 장치에 따르면, 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득한 후, 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 역치를 초과하는 트래픽 정보가 존재하는지 여부를 판단하고, 해당 차원의 역치를 초과하는 트래픽 정보가 존재할 경우 트래픽이 이상함을 확정함으로써, 이상 트래픽의 탐지율을 향상시킨다.
본 출원의 기타 특징, 목적 및 장점들은 하기 도면을 참조하여 진행하는 비한정적 실시예들에 대한 상세한 설명을 통하여 더욱 명확해 질 것이다.
도 1은 본 출원의 일 실시예가 적용 가능한 예시적 시스템 체계 구조도이다.
도 2는 본 출원에 따른 트래픽 탐지 방법의 일 실시예의 흐름도이다.
도 3은 본 출원에 따른 트래픽 탐지 방법의 다른 일 실시예의 흐름도이다.
도 4는 본 출원에 따른 트래픽 탐지 장치의 일 실시예의 개략적 구조도이다.
도 5는 본 출원에 따른 트래픽 탐지 장치의 다른 일 실시예의 개략적 구조도이다.
도 6은 본 출원의 실시예의 전자 장치를 구현하기에 적합한 개략적 구조도이다.
이하, 첨부된 도면 및 실시예들을 참조하여 본 출원에 대한 보다 상세한 설명을 진행하기로 한다. 여기에 설명되는 구체적인 실시예들은 단지 관련된 발명을 해석하기 위한 것일 뿐, 해당 발명을 한정하기 위한 것이 아님을 이해할 수 있을 것이다. 또한, 설명의 편의를 위해 첨부된 도면에는 단지 관련 발명에 관한 부분만이 도시된다.
본 출원의 실시예 및 실시예 중의 특징들은 모순되지 않는 한 서로 조합될 수 있다. 이하, 첨부된 도면을 참조하고 실시예들을 참조하여 본 출원에 대한 상세한 설명을 진행하기로 한다.
도 1은 본 출원 실시예의 트래픽 탐지 방법 혹은 트래픽 탐지에 사용되는 실시예를 적용할 수 있는 예시적 시스템 체계 구조(100)를 나타낸다.
도 1에 도시된 바와 같이, 시스템 체계 구조(100)는 전자 기기(101, 102, 103), 네트워크(104) 및 서버(105)를 포함할 수 있다. 네트워크(104)는 전자 기기(101, 102, 103)와 서버(105) 사이에서 통신 네트워크의 매개물을 제공할 수 있다. 네트워크(104)는 예컨대 유선 통신 링크, 무선 통신 링크 또는 광섬유 케이블 등과 같은 다양한 연결 유형을 포함할 수 있다.
전자 기기(101, 102, 103)는 서버(예컨대, 클라우드에 위치한, 특정 서비스를 제공할 수 있는 서버)일 수도 있고 단말기 장치(예컨대, 인터넷 연결이 가능한 스마트폰, 휴대용 노트북과 데스트탑 등)일 수도 있다. 그 중, 각 전자 기기는 하나의 IP(인터넷 프로토콜)를 표시할 수 있다.
서버(105)는 다양한 서비스를 제공하는 서버일 수 있으며, 예컨대, 전자 기기(101, 102, 103)의 네트워크 트래픽에 대하여 이상 탐지를 수행하는 백엔드 서버일 수 있다. 백엔드 서버는 수신된 트래픽 정보 등 데이터에 대한 분석 등을 통하여 전자 기기(101, 102, 103)의 트래픽의 이상 여부를 확인할 수 있다.
본 출원의 실시예에서 제공하는 트래픽 탐지 방법은 일반적으로 서버(105)에 의해 실행되고 트래픽 탐지 장치는 통상 서버(105) 내에 설치된다.
도 1에서의 단말기, 네트워크 및 서버 수량은 단지 예시적인 것이며, 구현 수요에 따라, 임의의 수량의 전자 기기, 네트워크 및 서버가 구비될 수 있음을 이해하여야 한다.
이어서, 도 2를 참조하면, 본 출원에 따른 트래픽 탐지 방법의 일 실시예의 흐름(200)을 나타낸다. 해당 트래픽 탐지 방법은 아래와 같은 단계들을 포함할 수 있다.
단계(201)에서, 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득한다.
본 실시예에 있어서, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는 타깃 IP(예컨대, 도 1의 전자 기기(101, 102, 103)) 적어도 2개 차원의 트래픽 정보를 획득할 수 있다. 그 중, 타깃 IP는 상기 실행주체가 관리하는 IP 중 하나일 수도 있다. 트래픽 정보는 예컨대 비트/초(bits per second)와 데이터패킷 수량/초(packets per second) 등과 같이 타깃 IP의 네트워크 상태를 나타낼 수 있는 정보일 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 상기 적어도 2개 차원의 트래픽 정보는, 단위 시간에 전송되는 비트수(예컨대, 비트/초), 단위 시간에 전송되는 데이터패킷의 수량(예컨대, 데이터패킷 수량/초), 단위 시간의 요청량(예컨대, 요청량/초), 단위 시간의 연결 수량(예컨대, 연결 수량/초) 중 적어도 2가지를 포함할 수 있다.
위 구현에서는 단위 시간에 전송되는 비트수를 그 중 하나의 차원의 트래픽 정보로 예로 들어 설명하였으나, 본 실시예는 이에 한정되지 않는다. 해당 기술분야의 당업자는 단위 시간에 전송되는 바이트수를 해당 차원의 트래픽 정보로 하여도 무방하다.
여기서, 적어도 2개 차원의 트래픽 정보는 탐지 주기 내에 동시에 획득 가능하다. 예컨대, 타깃 IP가 전송하는 비트수, 전송하는 데이터패킷의 수량, 요청량 및 연결 수량에 대하여 동시적으로 수집하여 타깃 IP에 대한 상기 4개 차원에서의 트래픽 정보를 획득하는 것이다.
단계(202)에서, 적어도 2개 차원의 트래픽 정보 중에 타깃 IP의 해당 차원에서의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인한다.
본 실시예에 있어서, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는, 상기 적어도 2개 차원의 트래픽 정보를 해당 차원의 이상 트래픽 역치와 각각 비교시켜, 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인할 수 있다. 여기서 어느 한 차원에 해당되는 이상 트래픽 역치를 이용하여 해당 차원의 트래픽 정보가 해당 차원의 정상 범위 내에 위치하는지 여부를 판단할 수 있는 바, 예컨대, 100조 비트/초와 같이 기설정된 값일 수 있다.
단계(203)에서, 적어도 2개 차원의 트래픽 정보 중에 해당 차원에서의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 타깃 IP의 트래픽이 이상함을 확정한다.
본 실시예에 있어서, 만약 단계(202)를 통하여 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재함을 확정하였을 경우, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는 타깃 IP의 트래픽이 이상함을 확정할 수 있다(즉, 타깃 IP가 공격을 당하였거나 당하였을 수 있다).
예시적으로, 타깃 IP가 비트수와 데이터패킷 수량 2개 차원에서의 트래픽 정보인 200조 비트/초와 700 데이터패킷/초를 획득한다. 다음, 해당 2개 차원의 트래픽 정보를 각자 차원의 해당 이상 트래픽 역치(예컨대, 비트수 차원의 해당 이상 트래픽 역치는 300조 비트/초이고, 데이터패킷 수량 차원의 해당 이상 트래픽 역치는 500 데이터패킷/초)와 각각 비교한다. 데이터패킷 수량 차원의 트래픽 정보 (즉, 700 데이터패킷/초)가 데이터패킷 수량 차원의 해당 이상 트래픽 역치(즉, 500 데이터패킷/초)를 초과하므로 타깃 IP의 트래픽이 이상함을 확정할 수 있다.
위 예시를 통하여 알 수 있는 바, 비트수 차원으로만 타깃 IP에 대하여 트래픽 탐지를 진행하였을 경우, 타깃 IP는 데이터 정상으로 판단된다. 그러나 본 출원에서 제공하는 적어도 2개 차원에서 타깃 IP에 대하여 트래픽 탐지를 진행하는 경우, 그 중 한 개 차원의 트래픽 정보가 이상 트래픽 역치를 초과하기만 하면, 바로 해당 타깃 IP의 트래픽이 이상함을 판단할 수 있으므로, 이상 트래픽의 탐지율을 대대적으로 향상시킬 수 있다.
본 출원의 상기 실시예에서 제공하는 트래픽 탐지 방법은 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득한 후, 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 역치를 초과하는 트래픽 정보가 존재하는지 여부를 판단하고, 해당 차원의 역치를 초과하는 트래픽 정보가 존재할 경우 트래픽이 이상함을 확정함으로써, 이상 트래픽의 탐지율을 향상시킨다.
이어서, 도 3은 본 출원에 따른 트래픽 탐지에 사용되는 다른 일 실시예의 흐름(300)을 나타낸다. 본 출원의 트래픽 탐지 방법은 아래와 같은 단계들을 포함할 수 있다.
단계(301)에서, 타깃 IP의 트래픽 정보를 주기적으로 수집한다.
본 실시예에 있어서, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는 타깃 IP의 트래픽 정보를 주기적으로 수집할 수 있다. 여기서, 타깃 IP는 상기 실행주체가 관리하는 IP 중 하나일 수 있다. 트래픽 정보는 예컨대, 비트/초(bits per second)와 데이터패킷 수량/초(packets per second) 등 타깃 IP의 네트워크 상태를 나타낼 수 있는 정보일 수 있다.
예시적으로, 상기 실행주체는 일정 빈도에 따라 타깃 IP에 대하여 트래픽을 수집하여, 수집한 샘플 데이터를 타깃 IP의 트래픽 정보로 간주할 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 단계(301)는 구체적으로 아래와 같은 단계들을 포함할 수 있다. 먼저 기설정 빈도(예컨대, 초당 1회)에 따라 타깃 IP에 대하여 트래픽을 수집한 후, 매회 수집한 샘플 데이터에 대하여 해당 샘플 데이터가 위치하는 구간 범위를 확정하고, 해당 구간 범위 내의 기설정값을 해당 회에 수집한 트래픽 정보로 확정한다. 예컨대, 수집한 샘플 데이터가 158 데이터패킷 수량/초라고 가정한다면, 해당 샘플 데이터를 한 개의 구간 [100,200](해당 구간은 탐지결과에 영향을 주지 않는 전제조건 하에 경험에 따라 설정한 구간일 수 있음)으로 근사화할 수 있다. 그 다음 반올림하여 200 데이터패킷 수량/초를 해당 회에 수집한 트래픽 정보로 설정할 수 있다. 판단결과에 영향을 주지 않는 한 수집한 샘플 데이터에 대한 근사치 반올림은 메모리 소모량을 효과적으로 줄일 수 있다.
비록 상기 예시에서는 반올림값을 취하는 방식을 통하여 매회 수집한 트래픽 정보를 확정하는 방법에 대하여 설명하였으나, 이는 본 출원에 한정되지 않는다. 해당 기술분야의 당업자들은 기타 방식, 예컨대, 반내림 근차값을 취하는 방법, 구간 범위 내의 중간값(예컨대, 150)을 취하는 방법 등을 통하여 매회 수집한 트래픽 정보를 확정할 수 있음을 자명할 것이다.
타깃 IP의 트래픽 정보에 적어도 2개 차원의 트래픽 정보가 포함될 경우, 적어도 2개 차원의 트래픽 정보를 동시에 수집할 수도 있고 적어도 2개 차원의 트래픽 정보를 순차적으로 수집할 수도 있는 바, 본 출원에서는 이에 대하여 한정짓지 않는다.
단계(302)에서, 수집한 트래픽 정보 중에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거한다.
본 실시예에 있어서, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는 단계(301)를 통하여 수집한 트래픽 정보 중에서 기설정값 범위를 초과하는 이상 트래픽 정보를 제거할 수 있다. 단계(301)를 통하여 수집한 트래픽 정보에 이상 트래픽 정보(즉, 기설정값 범위를 초과하는 트래픽 정보)가 포함될 수 있으므로 해당 이상 트래픽 정보를 제거하여야 한다. 여기서, 기설정값 범위는 경험에 따라 미리 설정한 값일 수도 있고 실행과정에서 수집한 데이터에 기반하여 확정한 값일 수도 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 기설정 값 범위는 제1 값 범위와 제2 값 범위를 포함할 수 있다. 이 중, 제1 값 범위는 경험에 따라 설정한 고정 역치일 수 있고, 제2 값 범위는 해당 방법의 실행과정에서 확정한 값일 수 있으며, 제1 값 범위는 제2 값 범위보다 크다.
본 구현에 있어서, 단계(302)는 구체적으로 아래와 같은 단계들을 포함할 수 있다.
제1 단계, 단계(301)를 통하여 수집한 트래픽 정보 중에서 제1 값 범위(예컨대, 고정 역치를 초과하는 범위)를 초과하는 이상 트래픽 정보를 제거하여 1차 스크리닝을 거친 트래픽 정보를 획득한다. 1차 스크리닝을 통하여, 확연히 비정상적인 트래픽 정보를 제거할 수 있다.
제2 단계, 1차 스크리닝을 거친 트래픽 정보에 기반하여 제2 값 범위를 확정한다. 예시로, 1차 스크리닝을 거친 트래픽 정보를 샘플로 사용하여 표준차σ와 평균값μ을 확정할 경우, 제2 값 범위는 (μ-3σ,μ+3σ)로 확정할 수 있다. 3σ원칙에 따르면 수치가 (μ-3σ,μ+3σ) 내에 분포될 확률은 0.9974이다. 따라서 해당 범위 내에 있지 않는 샘플은 이상 샘플임을 판단할 수 있다.
제3 단계, 1차 스크리닝을 거친 트래픽 정보 중에서 해당 제2 값 범위를 초과하는 이상 트래픽 정보를 제거한다. 예컨대, (μ-3σ,μ+3σ) 내에 포함되지 않는 트래픽 정보를 제거하는 것이다.
상기 예시에서는 3σ원칙을 사용하여 제2 값 범위를 확정하는 것을 설명하였으나, 본 출원은 이에 한정되지 않는다. 해당 기술분야의 당업자들은 기타 적절한 방식을 통하여 2차값을 범위를 확정할 수 있음을 자명할 것이다.
단계(303)에서, 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 타깃 IP의 이상 트래픽 역치를 확정한다.
본 실시예에 있어서, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는 단계(302)를 통하여 획득한 트래픽 정보를 이용하여 타깃 IP의 이상 트래픽 역치를 확정할 수 있다. 여기서 타깃 IP의 이상 트래픽 역치는 적어도 2개 차원의 이상 트래픽 역치를 포함할 수 있다. 그 중, 어느 한 차원에 해당되는 이상 트래픽 역치는 해당 차원의 트래픽 정보가 해당 차원의 정상범위 내에 위치하는지 여부를 판단할 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 단계(303)는 구체적으로 아래와 같은 단계들을 포함할 수 있다.
제1 단계, 현재 주기 내에서 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득한다.
제2 단계, 상기 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 해당 구간 범위의 상한선을 기준 역치로 간주한다. 그 중, 기설정 비율은 경험에 따라 미리 설정한 값일 수 있으며, 예컨대 90%, 95% 등일 수 있다.
제3 단계, 기준 역치를 기설정 배수만큼 확대하여 타깃 IP의 이상 트래픽 역치를 획득한다. 그 중, 기설정 배수는 경험에 따라 미리 설정한 값일 수 있으며, 예컨대 2, 3 등일 수 있다.
예시로, 먼저 당일에 수집한, 제1 값 범위와 제2 값 범위를 초과한 이상 비트수를 제거한 100개의 비트수 샘플을 획득한다. 다음 이러한 비트수 샘플에 대하여 낮은 값으로부터 올림차순으로 정열하여 샘플분포의 히스토그램을 생성하고, 95%의 비트수샘플(즉, 95개 비트수 샘플)에 대응되는 횡축 좌표(즉, 95%의 비트수샘플이 위치하고 있는 구간 범위의 상한선)를 찾아 해당 횡축 좌표값을 기준 역치로 간주한다. 마지막으로 기준 역치를 2배 확대하여 이를 타깃 IP에 대한 후속 트래픽 탐지에 이용될 이상 트래픽 역치로 간주한다.
또한, 단일 주기가 트래픽 프크타임, 장기간 공격 등 요소의 영향으로 인해 단일 주기에 따라 추산한 값이 안정적이지 않다는 점을 감안하여, 다수의 주기에 대응되는 데이터를 수정함으로써 추산한 이상 트래픽 역치의 정확성을 향상시킬 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 단계(303)는 구체적으로 아래와 같은 단계들을 포함할 수 있다.
제1 단계, 다수의 주기 내에서 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득한다. 이 중, 상기 다수의 주기는 현재 주기와 다수의 과거 주기를 포함한다.
제2 단계, 각각의 주기에 대하여, 해당 주기에 대응되는 집합 내의 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고 확정된 구간 범위의 상한선을 해당 주기에 해당되는 기준 역치로 간주한다.
제3 단계, 다수의 주기에 해당되는 기준 역치와 상응 가중치에 기반하여 최종역치를 확정한다.
제4 단계, 최종역치를 기설정 배수만큼 확대하여 타깃 IP의 이상 트래픽 역치를 획득한다.
아래, 예시를 통하여 진일보 설명하도록 한다.
먼저, 당일을 포함한 여러 날(예컨대, 30일)에 걸쳐 수집한, 제1 값 범위와 제2 값 범위를 초과하는 이상비트수가 제거된 3000개 비트수 샘플(그 중, 매일 100개의 비트수 샘플을 수집하는 것으로 가정함)을 획득한다.
다음, 매일의 비트수 샘플에 대한 처리를 통하여 매일의 대응되는 기준 역치를 획득한다. 구체적으로, 매일의 비트수 샘플에 대하여 낮은 값으로부터 올림차순으로 정열하여 샘플분포의 히스토그램을 생성하고 95%의 비트수샘플(즉, 95개 비트수 샘플)에 대응되는 횡축 좌표(즉, 95%의 비트수샘플이 위치하고 있는 구간 범위의 상한선)를 찾아 해당 횡축 좌표값을 기준 역치로 간주한다.
그 다음, 이러한 여러 날의 대응되는 기준 역치에 대하여 가중평균을 산출하여 최종역치를 확정한다. 여기서 매일의 가중치는 미리 설정될 수 있으며, 예컨대, 1/n(n은 일수)일 수 있다.
마지막으로, 기준 역치를 2배 확대하여 이를 타깃 IP에 대한 후속 트래픽 탐지에 사용될 이상 트래픽 역치로 간주한다.
본 실시예의 일부 선택 가능한 구현에 있어서, 상기 다수의 주기의 가중치는 아래 방식 중 한 가지를 통하여 확정될 수 있다.
방식 1, 각각의 주기의 가중치를 동일 값으로 설정한다. 예컨대, 1/n(n은 각각의 주기의 일수)이다.
방식 2, 현재 주기와 가까운 주기의 가중치를 크게 설정한다. 예컨대, i번째 주기의 가중치를 1/i(i는 자연수)로 설정하는 것이다.
방식 3, 트래픽 정보가 안정적인 주기의 가중치를 크게 설정한다. 예컨대, i번째 주기의 트래픽 정보가 안정적인 경우(i번째 주기의 트래픽 정보의 편차σ가 0임), i번째 주기의 가중치를 n i (n i i번째 주기의 일수)로 설정하고, i번째 주기의 트래픽 정보가 안정적이지 않을 경우(i번째 주기의 트래픽 정보의 편차σ가 0보다 큼), i번째 주기의 가중치를 n i 2 로 설정하는 것이다.
위 다수의 주기는 필요에 의하여 기설정된 값일 수 있으며, 예컨대, 5일, 10일, 2개월 등일 수 있다.
이 외, 과거 데이터가 커버하는 주기수가 기설정된 주기수보다 작을 경우, 기설정된 주기에 걸쳐 수집한 트래픽 정보의 집합은 타깃 IP 과거 데이터 중의 트래픽 정보의 집합을 획득한 것으로 간주될 수 있다. 예컨대, 기설정된 주기수가 10일이고 타깃 IP로부터 생성된 과거 데이터가 최근 2일 내 수집한 트래픽 정보만 포함할 경우, 10일에 걸쳐 수집한 트래픽 정보의 집합은 타깃 IP 과거 데이터(즉, 최근 2일 내 수집한 과거 데이터) 중의 트래픽 정보의 집합을 획득한 것이라고 볼 수 있는 바, 과거 데이터가 커버하는 주기수가 기설정된 주기수보다 같거나 클 때까지 기다릴 필요가 없다.
단계(304)에서, 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득한다.
본 실시예에 있어서, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득할 수 있다.
단계(305)에서, 적어도 2개 차원의 트래픽 정보 중에 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인한다.
본 실시예에 있어서, 트래픽 탐지 방법을 실행하는 실행주체(예컨대, 도 1의 서버(105))는 단계(304)를 통하여 획득한 상기 적어도 2개 차원의 트래픽 정보를 해당 차원의 이상 트래픽 역치(단계(303)를 통하여 확정한 이상 트래픽 역치)와 각각 비교시켜 상기 적어도 2개 차원의 트래픽 정보에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인할 수 있다.
단계(306)에서, 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 타깃 IP의 트래픽이 이상함을 확정한다.
본 실시예에 있어서, 단계(305)를 통하여 적어도 2개 차원의 트래픽 정보에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재함을 확정하였을 경우, 트래픽 탐지 방법을 실행하는 실행주체 (예컨대, 도 1의 서버(105))는 타깃 IP의 트래픽이 이상함을 확정할 수 있다(즉, 타깃 IP가 공격을 당하였거나 당하였을 수 있다).
도 3으로부터 알 수 있듯이, 도 2의 실시예와 비교할 경우, 본 실시예의 트래픽 탐지 방법(300)은 이상 트래픽 역치를 확정하는 단계를 보다 명확히 하였다. 본 실시예에서 설명하는 방법은 타깃 IP의 이상 트래픽 역치를 동적으로 조정하여 이상 트래픽를 한층 더 정확히 탐지할 수 있다. 또한, 서로 다른 IP의 과거 트래픽 정보를 사용하여 서로 다른 IP의 이상 트래픽 역치를 확정하고 서로 다른 IP의 트래픽 이상 여부에 대하여 별도로 판단함으로써, 이상 트래픽 탐지의 누락율과 착오률을 낮출 수 있다.
나아가 도 4를 참고하면, 본 출원에서는 도 2에 나타낸 방법의 일 구현인, 트래픽 탐지 장치의 일 실시예를 제공한다. 해당 장치의 실시예는 도 2에 나타낸 방법의 실시예와 서로 대응된다. 해당 장치는 구체적으로 서버에 적용될 수 있다.
도 4에서 나타낸 바와 같이, 본 실시예의 트래픽 탐지 장치(400)는 정보 획득 유닛(401), 판단 유닛(402) 및 이상 확정 유닛(403)을 포함할 수 있다. 이 중, 정보 획득 유닛(401)은 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하도록 구성되고, 판단 유닛(402)은 적어도 2개 차원의 트래픽 정보 중에 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하도록 구성되고, 이상 확정 유닛(403)은 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 타깃 IP의 트래픽이 이상함을 확정하도록 구성된다.
본 실시예의 트래픽 탐지 장치(400)의 획득 유닛(401)은 타깃 IP(예컨대, 도 1의 전자 기기(101, 102, 103)) 에 대한 적어도 2개 차원의 트래픽 정보를 획득할 수 있다. 그 중, 타깃 IP는 상기 실행주체가 관리하는 IP 중 하나일 수 있다. 트래픽 정보는 비트/초(bits per second)와 데이터패킷 수량/초(packets per second) 등 타깃 IP의 네트워크 상태를 나타낼 수 있는 정보일 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 상기 적어도 2개 차원의 트래픽 정보에는 단위 시간에 전송되는 비트수(예컨대, 비트/초), 단위 시간에 전송되는 데이터패킷의 수량(예컨대, 데이터패킷 수량/초), 단위 시간의 요청량(예컨대, 요청량/초), 및 단위 시간의 연결 수량(예컨대, 연결 수량/초) 중 적어도 2가지를 포함할 수 있다.
본 실시예에 있어서, 상기 판단 유닛(402)은 상기 적어도 2개 차원의 트래픽 정보를 해당 차원의 이상 트래픽 역치와 각각 비교시켜 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인할 수 있다. 여기서, 어느 한 차원에 해당되는 이상 트래픽 역치는 해당 차원의 트래픽 정보가 해당 차원의 정상범위 내에 위치하는지 여부를 판단할 수 있는 바, 예컨대, 100조 비트/초와 같이 기설정된 값일 수 있다.
본 실시예에 있어서, 만약 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재함을 확정하였을 경우, 상기 이상 확정 유닛(403)은 타깃 IP의 트래픽이 이상함을 확정할 수 있다(즉, 타깃 IP가 공격을 당하였거나 당하였을 수 있다).
본 출원의 상기 실시예에서 제공하는 트래픽 탐지 장치는 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득한 후, 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 역치를 초과하는 트래픽 정보가 존재하는지 여부를 판단하고, 해당 차원의 역치를 초과하는 트래픽 정보가 존재할 경우 트래픽이 이상함을 확정함으로써, 이상 트래픽의 탐지율을 향상시킨다.
나아가 도 5를 참고하면, 본 출원에서는 도 3에 나타낸 방법의 일 구현인, 트래픽 탐지 장치의 일 실시예를 제공한다. 해당 장치의 실시예는 도 3에 나타낸 방법의 실시예와 서로 대응된다. 해당 장치는 구체적으로 서버에 적용될 수 있다.
도 5에서 나타낸 바와 같이, 본 실시예의 트래픽 탐지 장치(500)는 정보 수집 유닛(501), 제거 유닛(502), 역치 확정 유닛(503), 정보 획득 유닛(504), 판단 유닛(504) 및 이상 확정 유닛(506)을 포함할 수 있다. 이 중, 정보 수집 유닛(501)은 타깃 IP의 트래픽 정보를 주기적으로 수집하도록 구성된다. 제거 유닛(502)은 수집한 트래픽 정보 중에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거하도록 구성된다. 역치 확정 유닛(503)은 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 타깃 IP의 이상 트래픽 역치를 확정하도록 구성된다. 정보 획득 유닛(504)은 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하도록 구성되고, 판단 유닛(505)은 적어도 2개 차원의 트래픽 정보 중에 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하도록 구성되며, 이상 확정 유닛(506)은 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 타깃 IP의 트래픽이 이상함을 확정하도록 구성된다.
본 실시예의 트래픽 탐지 장치(500)의 정보 수집 유닛(501)은 타깃 IP의 트래픽 정보를 주기적으로 수집할 수 있다. 그 중, 타깃 IP는 상기 실행주체가 관리하는 IP 중 하나일 수 있다. 트래픽 정보는 비트/초(bits per second)와 데이터패킷 수량/초(packets per second) 등 타깃 IP의 네트워크 상태를 나타낼 수 있는 정보일 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 상기 정보 수집 유닛은 정보 수집 모듈과 정보 확정 모듈을 포함할 수 있다. 그 중, 정보 수집 모듈은 기설정 빈도에 따라 타깃 IP에 대하여 트래픽을 수집하도록 구성될 수 있다. 정보 확정 모듈은 매회 수집한 샘플 데이터에 대하여, 해당 샘플 데이터가 위치하는 구간 범위를 확정한 후, 해당 구간 범위 내의 기설정값을 해당 회에 수집한 트래픽 정보로 확정하도록 구성될 수 있다.
본 실시예에 있어서, 상기 제거 유닛(502)은 상기 정보 수집 유닛(501)이 수집한 트래픽 정보 중에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거한다. 상기 정보 수집 유닛(501)이 수집한 트래픽 정보에 이상 트래픽(즉, 기설정값 범위를 초과하는 트래픽 정보)가 포함될 수 있으므로 이를 제거하여야 한다. 여기서, 기설정 값 범위는 경험에 따라 미리 설정한 값일 수도 있고, 실행과정에서 수집한 데이터에 기반하여 확정한 값일 수도 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 기설정 값 범위는 제1 값 범위와 제2 값 범위를 포함할 수 있다. 이 중, 제1 값 범위는 경험에 따라 설정한 고정 역치일 수 있고, 제2 값 범위는 방법의 실행과정에서 확정한 값일 수 있으며, 제1 값 범위는 제2 값 범위보다 크다.
상기와 같은 구현에 있어서, 상기 제거 유닛(502)은 제1 제거 모듈, 범위 확정 모듈 및 제2 제거 모듈을 포함할 수 있다. 그 중, 제1 제거 모듈은 수집한 트래픽 정보 중에서 제1 값 범위를 초과하는 이상 트래픽 정보를 제거하여, 1차 스크리닝을 거친 트래픽 정보를 획득하도록 구성될 수 있다. 범위 확정 모듈은 1차 스크리닝을 거친 트래픽 정보에 기반하여 제2 값 범위를 확정하도록 구성될 수 있으며, 제2 값 범위는 제1 값 범위보다 작다. 제2 제거 모듈은 1차 스크리닝을 거친 트래픽 정보 중에서 제2 값 범위를 초과하는 이상 트래픽 정보를 제거하도록 구성될 수 있다.
본 실시예에 있어서, 상기 역치 확정 유닛(503)은 상기 제거 유닛(502)을 통하여 획득한 트래픽 정보에 기반하여 타깃 IP의 이상 트래픽 역치를 확정할 수 있다. 여기서, 타깃 IP의 이상 트래픽 역치는 적어도 2개 차원의 이상 트래픽 역치를 포함할 수 있다. 이 중, 임의의 한 차원의 해당 이상 트래픽 역치를 이용하여 해당 차원의 트래픽 정보가 해당 차원의 정상 범위 내에 위치하는지 여부를 판단할 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 상기 역치 확정 유닛(503)은 집합 획득 모듈, 범위 확정 모듈 및 역치 확정 모듈을 포함할 수 있다. 이 중, 집합 획득 모듈은 현재 주기 내 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하도록 구성될 수 있다. 범위 확정 모듈은 해당 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 해당 구간 범위의 상한선을 기준 역치로 간주하도록 구성될 수 있다. 역치 확정 모듈은 해당 기준 역치를 기설정 배수만큼 확대하여 해당 타깃 IP의 이상 트래픽 역치를 획득하도록 구성될 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 상기 역치 확정 유닛(503)은 집합 획득 모듈, 범위 확정 모듈, 수정 모듈 및 역치 확정 모듈을 포함할 수 있다. 이 중, 집합 획득 모듈은 다수의 주기 내에 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하도록 구성될 수 있으며, 다수의 주기는 현재 주기와 다수의 과거 주기를 포함한다. 범위 확정 모듈은 각각의 주기에서 획득한 트래픽 정보의 집합에 대하여, 해당 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 확정된 구간 범위의 상한선을 해당 주기의 해당 기준 역치로 간주하도록 구성될 수 있다. 수정 모듈은 다수의 주기의 해당 기준 역치와 상응 가중치에 따라 최종역치를 확정하도록 구성될 수 있다. 역치 확정 모듈은 최종역치를 기설정 배수만큼 확대하여 해당 타깃 IP의 이상 트래픽 역치를 획득하도록 구성될 수 있다.
본 실시예의 일부 선택 가능한 구현에 있어서, 다수의 주기의 가중치는 아래 방식 중 한 가지를 통하여 확정할 수 있다. 즉, 각각의 주기의 가중치를 동일 값으로 설정하거나, 현재 주기와 가까운 주기의 가중치를 현재 주기와 먼 주기의 가중치보다 크게 설정하거나, 트래픽 정보의 안정성에 기반하여 각각의 주기의 가중치를 확정할 수 있다.
본 실시예에 있어서, 상기 획득 유닛(504)은 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득할 수 있다.
본 실시예에 있어서, 상기 판단 유닛(505)은 상기 획득 유닛(504)을 통하여 획득한 적어도 2개 차원의 트래픽 정보를 해당 차원의 이상 트래픽 역치와 각각 비교시켜 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인할 수 있다.
본 실시예에 있어서, 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 상기 이상 확정 유닛(506)은 해당 타깃 IP의 트래픽이 이상함을 확정할 수 있다(즉, 타깃 IP가 공격을 당하였거나 당하였을 수 있다).
도 5으로부터 알 수 있듯이, 도 4의 실시예와 비교할 경우, 본 실시예의 트래픽 탐지 장치(400)는 이상 트래픽 역치를 확정하는 유닛을 보다 명확히 하였다. 이로부터, 본 실시예에서 설명한 방법은 타깃 IP의 이상 트래픽 역치를 동적으로 조정하여 이상 트래픽를 한층 더 정확히 탐지할 수 있다. 또한, 서로 다른 IP의 과거 트래픽 정보를 사용하여 서로 다른 IP의 이상 트래픽 역치를 확정하고 서로 다른 IP의 트래픽 이상 여부에 대하여 별도로 판단함으로써, 이상 트래픽 탐지의 누락율과 착오률을 낮출 수 있다.
아래에 도 6을 참조하면, 도 6은 본 출원의 실시예의 전자 장치(예컨대, 도 1에 도시된 전자 기기(101, 102, 103)를 구현하기에 적합한 개략적 구조도를 나타낸다. 도 6에 도시된 전자 장치는 단지 일 예시일 뿐, 본 출원의 실시예의 기능 및 이용 범위를 한정하기 위한 것이 아니다.
도 6에 도시된 바와 같이, 전자 기기(600)은 처리장치(601; 예컨대, CPU, 그래픽 처리 장치 등)를 포함하되, 이는 판독 전용 메모리 장치(602; ROM)에 저장된 프로그램 또는 저장장치(608)로부터 랜덤 액세스 메모리 장치(603; RAM)에 로딩된 프로그램에 의해 여러가지 적당한 동작과 처리를 실행할 수 있다. RAM(603)에는 컴퓨터 시스템(600)을 작동하기에 필요한 각종 프로그램 및 데이터가 더 저장되어 있다. 처리장치(601), ROM(602) 및 RAM(603)은 버스(604)를 통해 서로 연결된다. 입력/출력(I/O) 인터페이스(605)도 버스(604)에 연결된다.
I/O 인터페이스(605)에 연결되는 장치로서, 키보드, 마우스 등 입력장치(606)와, 예컨대 액정 표시 장치(LCD)와 스피커 등을 포함하는 출력장치(607)와, 자기 테이프, 하드 드라이버 등을 포함하는 저장장치(608)와, 통신장치(609)가 포함된다. 통신장치(609)는 컴퓨터 시스템(600)이 기타 장치와 무선 혹은 유선 통신을 통하여 데이터를 교환할 수 있도록 한다. 도 6에서는 비록 다양한 장치를 구비하는 컴퓨터 시스템(600)을 도시하였으나, 반드시 도시된 모든 장치를 모두 구현하거나 구비되어야 하는 것은 아니며, 이보다 많거나 이보다 적은 장치를 구현하거나 구비하여도 무방함을 이해할 수 있을 것이다. 도 6에서 도시된 각각의 블록들은 하나의 장치를 표시할 수도 있고, 수요에 따라 여러 장치들을 표시할 수도 있다.
특히, 본 출원에 개시된 실시예에 의하면, 흐름도를 참조하여 설명한 상기 과정들은 컴퓨터 소프트웨어 프로그램으로 구현될 수 있다. 예를 들어, 본 출원에 개시된 실시예는 컴퓨터 프로그램 제품을 포함하고, 상기 컴퓨터 프로그램 제품은 컴퓨터 판독 가능한 매체에 적재되는 컴퓨터 프로그램을 포함한다. 해당 컴퓨터 프로그램은 흐름도에 도시된 방법을 실행하기 위한 컴퓨터 코드를 포함한다. 이러한 실시예에 있어서, 해당 컴퓨터 프로그램은 통신장치(609)를 경유하여 네트워크로부터 다운로드되어 설치될 수 있거나 저장장치(608)로부터 설치될 수도 있으며, 혹은 ROM(602)으로부터 설치될 수도 있다. 해당 컴퓨터 프로그램이 처리장치(601)에 의해 실행될 경우, 본 출원의 방법에 한정된 상기 기능을 실행한다.
본 출원의 컴퓨터 판독 가능한 매체는 컴퓨터 판독 가능한 저장 매체일 수 있다. 컴퓨터 판독 가능한 저장 매체는 예컨대 전기, 자기, 광, 전자기, 적외선 또는 반도체 시스템, 장치 소자, 또는 이들의 임의의 조합일 수 있으나, 이에 한정되지 않는다. 컴퓨터 판독 가능한 저장 매체의 보다 구체적인 예시로서, 하나 또는 다수의 와이어를 구비하는 전기적 연결, 휴대용 컴퓨터 디스켓, 하드 디스크, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 삭제 및 프로그래밍 가능한 판독 전용 메모리(EPROM 또는 플래시 메모리), 광섬유, 휴대용 콤팩트 디스크 판독 전용 메모리(CD-ROM), 광학 메모리 소자, 자기 메모리 소자, 또는 이들의 임의의 적합한 조합을 포함할 수 있으나, 이에 한정되지 않는다. 본 출원에 있어서, 컴퓨터 판독 가능한 매체는 프로그램을 포함하거나 저장하는 유형 매체일 수 있고, 해당 프로그램은 명령어 실행 시스템, 장치 또는 소자에 의해 사용되거나 이들과 결합되어 사용될 수 있다.
상기 컴퓨터 판독 가능한 매체는 상술한 장치에 포함된 것일 수 있으며, 해당 장치에 집적되지 않고 독립적으로 존재할 수도 있다. 상기 컴퓨터 판독 가능한 매체에는 하나 또는 다수의 프로그램이 적재되고, 상기 하나 또는 다수의 프로그램이 해당 장치에 의해 실행될 경우, 해당 장치로 하여금, 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하는 단계; 상기 적어도 2개 차원의 트래픽 정보 중에 타깃 IP의 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하는 단계; 상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 타깃 IP의 트래픽이 이상함을 확정하는 단계;를 실행하도록 한다.
하나 또는 다수의 프로그램 설계언어 또는 그 조합으로 본 출원의 실시예의 동작을 실행하기 위한 컴퓨터 프로그램 코드를 작성할 수 있으며, 상기 프로그램 설계언어는 예컨대 Java, Smalltalk, C++을 포함한 오브젝트 지향 프로그래밍 언어와, 예컨대 "C" 언어 또는 유사한 프로그램 설계언어를 포함한 통상적인 과정식 프로그램 설계언어를 포함한다. 프로그램 코드는 전체적으로 사용자의 컴퓨터상에서 실행될 수도 있고, 부분적으로 사용자의 컴퓨터에서 실행될 수도 있으며, 한 개의 독립적인 소프트웨어 패키지로서 실행될 수도 있고, 일부는 사용자의 컴퓨터에서 일부는 원격 컴퓨터상에서 실될 수도 있고, 또는 전체적으로 원격 컴퓨터 또는 서버에서 실행될 수도 있다. 원격 컴퓨터의 경우, 원격 컴퓨터는 로컬 네트워크(LAN) 또는 광역 네트워크(WAN)를 포함하는 임의의 종류의 네트워크를 통하여 사용자 컴퓨터에 접속할 수도 있고, 또는 외부 컴퓨터에 접속할 수도 있다(예를 들면, 인터넷 서비스 제공자를 이용하여 인터넷을 통해 접속함).
첨부된 도면 중의 흐름도 및 블록도는 본 출원의 각 실시예에 따른 시스템, 방법 및 컴퓨터 프로그램 제품의 구현 가능한 체계구조, 기능 및 동작을 도시하였다. 이러한 방면에서, 흐름도 또는 블록도 중의 각 블록은 하나의 모듈, 프로그램 세그먼트 또는 코드의 일부분을 표시할 수 있고, 해당 모듈, 프로그램 세그먼트 또는 코드의 일부분은 규정된 로직 기능을 구현하기 위한 하나 또는 다수의 실행 가능한 명령어를 포함한다. 일부 대체 구현에 있어서, 블록에 표기된 기능들은 첨부된 도면에 표시된 순서와 역순으로 실행될 수도 있다. 예를 들어, 순차적으로 표시된 두개의 블록은 실제적으로 거의 동시에 실행될 수 있고, 경우에 따라 반대된 순서에 따라 실행될 수도 있으며, 이는 관련 기능에 따라 결정된다. 블록도 및/또는 흐름도 중의 각 블록 및 블록도 및/또는 흐름도 중의 블록들의 조합은 규정된 기능 또는 동작을 실행하는 하드웨어 기반의 전용 시스템으로 구현되거나, 전용 하드웨어와 컴퓨터 명령어의 조합으로 구현될 수 있음을 유의하여야 한다.
본 출원의 실시예에 관련된 유닛들은 소프트웨어 방식으로 실현될 수 있으며, 하드웨어 방식으로 실현될 수도 있다. 설명된 유닛들은 처리장치에 설치될 수도 있다. 예를 들어, 처리장치는 정보 획득 유닛, 판단 유닛과 이상 확정 유닛을 포함하는 것으로 설명될 수 있다. 여기서, 이러한 유닛들의 명칭은 일부의 경우에 해당 유닛 자체에 대한 한정을 의미하는 것이 아닌 바, 예컨대, 정보 획득 유닛은 "타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하는 유닛"으로 설명될 수도 있다.
이상의 설명은 단지 본 출원의 비교적 바람직한 실시예 및 운용한 기술적 원리에 대한 설명이다. 본 출원에 관련된 발명의 범위가 상기 기술적 특징들의 특정 조합으로 이루어진 기술적 방안들에 한정되는 것이 아니라 본 발명의 주지를 벗어나지 않고서 상기 기술적 특징들 또는 그들의 균등한 특징들의 임의의 조합으로 이루어진 기타 기술적 방안들도 포함되어야 함을 해당 기술분야의 당업자는 이해하여야 한다. 예를 들어, 상기 특징들과 본 출원에 개시된(이에 한정되지 않음) 유사한 기능을 구비한 기술적 특징을 서로 대체하여 이루어진 기술적 방안도 포함된다.

Claims (11)

  1. 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하는 단계와,
    상기 획득한 적어도 2개 차원의 트래픽 정보에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거하는 단계와,
    상기 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 상기 타깃 IP의 각 차원의 이상 트래픽 역치를 확정하는 단계와,
    상기 적어도 2개 차원의 트래픽 정보 중에, 상기 타깃 IP의 해당 차원의 상기 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하는 단계와,
    상기 적어도 2개 차원의 트래픽 정보 중에, 해당 차원의 상기 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 상기 타깃 IP의 트래픽이 이상함을 확정하는 단계를 포함하는 트래픽 탐지 방법.
  2. 제1항에 있어서,
    상기 적어도 2개 차원의 트래픽 정보는,
    단위 시간에 전송되는 비트수, 단위 시간에 전송되는 데이터패킷의 수량, 단위 시간의 요청량, 단위 시간의 연결 수량 중 적어도 2가지를 포함하는 것을 특징으로 하는 트래픽 탐지 방법.
  3. 제1항에 있어서,
    타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하는 단계는,
    상기 타깃 IP의 트래픽 정보를 주기적으로 수집하는 것을 더 포함하는 것을 특징으로 하는 트래픽 탐지 방법.
  4. 제3항에 있어서,
    상기 타깃 IP의 트래픽 정보를 주기적으로 수집하는 단계는,
    기설정 빈도에 따라 상기 타깃 IP에 대하여 트래픽을 수집하는 단계와,
    매회 수집한 샘플 데이터에 대하여, 해당 샘플 데이터가 위치하는 구간 범위를 확정하고, 해당 구간 범위 내의 기설정값을 해당 회 수집한 트래픽 정보로 확정하는 단계를 포함하는 것을 특징으로 하는 트래픽 탐지 방법.
  5. 제3항에 있어서,
    상기 획득한 적어도 2개 차원의 트래픽 정보 중에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거하는 단계는,
    수집한 트래픽 정보 중에서 제1 값 범위를 초과하는 이상 트래픽 정보를 제거하여 1차 스크리닝을 거친 트래픽 정보를 얻는 단계와,
    1차 스크리닝을 거친 트래픽 정보에 기반하여, 상기 제1 값 범위보다 작은 제2 값 범위를 확정하는 단계와,
    1차 스크리닝을 거친 트래픽 정보 중에서 상기 제2 값 범위를 초과하는 이상 트래픽 정보를 제거하는 단계를 포함하는 것을 특징으로 하는 트래픽 탐지 방법.
  6. 제3항에 있어서,
    상기 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 상기 타깃 IP의 각 차원의 이상 트래픽 역치를 확정하는 단계는,
    현재 주기 내에서 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하는 단계와,
    상기 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 상기 구간 범위의 상한선을 기준 역치로 설정하는 단계와,
    상기 기준 역치를 기설정 배수 만큼 확대하여 상기 타깃 IP의 이상 트래픽 역치를 얻는 단계를 포함하는 것을 특징으로 하는 트래픽 탐지 방법.
  7. 제3항에 있어서,
    상기 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 해당 타깃 IP의 각 차원의 이상 트래픽 역치를 확정하는 단계는,
    현재 주기와 다수의 과거 주기를 포함하는 다수의 주기 내에서 획득한, 이상 트래픽 정보가 제거된 트래픽 정보의 집합을 획득하는 단계와,
    각각의 주기 내에서 획득한 트래픽 정보의 집합에 대하여, 해당 집합 내 기설정 비율의 트래픽 정보가 위치하는 구간 범위를 확정하고, 확정된 구간 범위의 상한선을 해당 주기에 해당되는 기준 역치로 설정하는 단계와,
    상기 다수의 주기에 해당되는 기준 역치와 상응 가중치에 기반하여 최종역치를 확정하는 단계와,
    상기 최종역치를 기설정 배수 만큼 확대하여 상기 타깃 IP의 이상 트래픽 역치를 확정하는 단계를 포함하는 것을 특징으로 하는 트래픽 탐지 방법.
  8. 제7항에 있어서,
    상기 다수의 주기의 가중치는,
    각각의 주기의 가중치를 동일 값으로 설정하는 방법과,
    현재 주기와 가까운 주기의 가중치를 현재 주기와 먼 주기의 가중치보다 크게 설정하는 방법과,
    트래픽 정보의 안정성에 기반하여 각각의 주기의 가중치를 확정하는 방법 중 한 가지를 통하여 확정하는 것을 특징으로 하는 트래픽 탐지 방법.
  9. 타깃 IP에 대한 적어도 2개 차원의 트래픽 정보를 획득하도록 구성된 정보 획득 유닛과,
    상기 획득한 적어도 2개 차원의 트래픽 정보에서 기설정 값 범위를 초과하는 이상 트래픽 정보를 제거하도록 구성된 제거 유닛과,
    상기 이상 트래픽 정보가 제거된 트래픽 정보에 기반하여 상기 타깃 IP의 각 차원의 이상 트래픽 역치를 확정하도록 구성된 역치 확정 유닛과,
    상기 적어도 2개 차원의 트래픽 정보 중에, 상기 타깃 IP의 해당 차원의 상기 이상 트래픽 역치를 초과하는 트래픽 정보가 존재하는지 여부를 확인하도록 구성된 판단 유닛과,
    상기 적어도 2개 차원의 트래픽 정보 중에 해당 차원의 상기 이상 트래픽 역치를 초과하는 트래픽 정보가 존재할 경우, 상기 타깃 IP의 트래픽이 이상함을 확정하도록 구성된 이상 확정 유닛을 포함하는 네트워크 트래픽 탐지 장치.
  10. 하나 또는 다수의 처리장치; 및
    하나 또는 다수의 프로그램이 저장된 저장장치; 를 포함하되,
    상기 하나 또는 다수의 프로그램이 상기 하나 또는 다수의 처리장치에 의해 실행될 경우, 상기 하나 또는 다수의 처리장치가 제1항 내지 제8항 중 어느 한 항에 따른 방법을 구현하는 것을 특징으로 하는 전자 기기.
  11. 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능한 저장 매체에 있어서,
    상기 컴퓨터 프로그램이 처리장치에 의해 실행될 경우, 제1항 내지 제8항 중 임의의 한 항에 따른 방법을 구현하는 것을 특징으로 하는 컴퓨터 판독 가능한 저장 매체.
KR1020190142037A 2019-03-15 2019-11-07 트래픽 탐지 방법 및 장치 KR102260417B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201910198336.6 2019-03-15
CN201910198336.6A CN109802973A (zh) 2019-03-15 2019-03-15 用于检测流量的方法和装置

Publications (2)

Publication Number Publication Date
KR20200110132A KR20200110132A (ko) 2020-09-23
KR102260417B1 true KR102260417B1 (ko) 2021-06-02

Family

ID=66562937

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190142037A KR102260417B1 (ko) 2019-03-15 2019-11-07 트래픽 탐지 방법 및 장치

Country Status (5)

Country Link
US (1) US11444861B2 (ko)
JP (1) JP7048555B2 (ko)
KR (1) KR102260417B1 (ko)
CN (1) CN109802973A (ko)
SG (1) SG10201910430TA (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110399366A (zh) * 2019-07-29 2019-11-01 秒针信息技术有限公司 数据过滤方法、装置、服务器及计算机可读存储介质
CN111277598B (zh) * 2020-01-21 2022-11-04 北京天琴合创技术有限公司 一种基于流量的应用攻击识别方法及系统
CN111625859A (zh) * 2020-05-20 2020-09-04 北京百度网讯科技有限公司 一种资源的访问控制方法、装置、电子设备和存储介质
CN112015995A (zh) * 2020-09-29 2020-12-01 北京百度网讯科技有限公司 数据分析的方法、装置、设备以及存储介质
CN112288359A (zh) * 2020-10-28 2021-01-29 北京每日优鲜电子商务有限公司 异常物品信息定位方法、装置、电子设备和计算机介质
CN112511372B (zh) * 2020-11-06 2022-03-01 新华三技术有限公司 一种异常检测方法、装置及设备
JP7466809B1 (ja) 2023-06-21 2024-04-12 三菱電機株式会社 ストリーム監視方式、中継装置、ネットワークシステム、ストリーム監視プログラム、および監視端末

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101187023B1 (ko) * 2012-05-11 2012-09-28 주식회사 이글루시큐리티 네트워크 비정상 트래픽 분석시스템
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7028333B2 (en) * 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for partners in virtual networks
JP2005044277A (ja) 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP4303741B2 (ja) 2006-09-28 2009-07-29 富士通株式会社 通信遮断装置、通信遮断プログラムおよび通信遮断方法
JP4698555B2 (ja) 2006-11-17 2011-06-08 富士通株式会社 検出方法、検出装置及びコンピュータプログラム
KR20150033820A (ko) 2013-09-24 2015-04-02 주식회사 아이디어웨어 제어패킷 트래픽 증가 검출방법과 기록매체
CN103905451B (zh) * 2014-04-03 2017-04-12 国网河南省电力公司电力科学研究院 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
CN107483455B (zh) * 2017-08-25 2020-07-14 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统
CN107508816A (zh) * 2017-08-31 2017-12-22 杭州迪普科技股份有限公司 一种攻击流量防护方法及装置
CN108234524B (zh) * 2018-04-02 2020-08-21 广州广电研究院有限公司 网络数据异常检测的方法、装置、设备及存储介质
CN109413071B (zh) * 2018-10-31 2021-08-06 新华三信息安全技术有限公司 一种异常流量检测方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101187023B1 (ko) * 2012-05-11 2012-09-28 주식회사 이글루시큐리티 네트워크 비정상 트래픽 분석시스템
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법

Also Published As

Publication number Publication date
JP2020150531A (ja) 2020-09-17
JP7048555B2 (ja) 2022-04-05
US11444861B2 (en) 2022-09-13
SG10201910430TA (en) 2020-10-29
CN109802973A (zh) 2019-05-24
KR20200110132A (ko) 2020-09-23
US20200296022A1 (en) 2020-09-17

Similar Documents

Publication Publication Date Title
KR102260417B1 (ko) 트래픽 탐지 방법 및 장치
US10171360B2 (en) System detection and flow control
US10248910B2 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US10061677B2 (en) Fast automated detection of seasonal patterns in time series data without prior knowledge of seasonal periodicity
US8977908B2 (en) Method and apparatus for detecting a suspect memory leak
CN111131320B (zh) 资产识别方法、装置、系统和介质
US20190372804A1 (en) Method and apparatus for operating smart network interface card
CN106874135B (zh) 用于检测机房故障的方法、装置及设备
US11656959B2 (en) Disaster recovery region recommendation system and method
US20200314159A1 (en) Anomaly detection for streaming data
CN114710369A (zh) 一种异常数据检测方法、装置、计算机设备及存储介质
US20200004905A1 (en) System and methods for complex it process annotation, tracing, analysis, and simulation
US10346293B2 (en) Testing pre and post system call exits
US20160063398A1 (en) System and method for profiling requests in service systems
CN111679885B (zh) 确定虚拟机漂移方法、装置、介质及电子设备
WO2022088381A1 (zh) 一种铸铁生产安全监测方法、装置及服务器
CN111181982B (zh) 异常数据的识别方法、装置、计算设备以及介质
US11138537B2 (en) Data volume-based server hardware sizing using edge case analysis
CN114328662A (zh) 异常数据定位方法、装置、电子设备及存储介质
CN109067726B (zh) 建站系统识别方法、装置、电子设备及存储介质
CN115422555B (zh) 后门程序检测方法、装置、电子设备及存储介质
US11930000B2 (en) Detection of anomalous authentications
CN112541183B (zh) 数据处理方法及装置、边缘计算设备、存储介质
CN115378746B (zh) 网络入侵检测规则生成方法、装置、设备以及存储介质
CN115290798B (zh) 变压器油色谱在线监测装置的稳定性能监测方法及终端

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant