KR102362077B1 - Method and apparatus for automatic detection of traffic leakage - Google Patents
Method and apparatus for automatic detection of traffic leakage Download PDFInfo
- Publication number
- KR102362077B1 KR102362077B1 KR1020180158654A KR20180158654A KR102362077B1 KR 102362077 B1 KR102362077 B1 KR 102362077B1 KR 1020180158654 A KR1020180158654 A KR 1020180158654A KR 20180158654 A KR20180158654 A KR 20180158654A KR 102362077 B1 KR102362077 B1 KR 102362077B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- leak
- link
- state
- links
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
트래픽 누수 자동 탐지 방법 및 그 장치가 제공된다. 이 방법은 적어도 하나의 프로세서에 의해 동작하는 트래픽 누수 자동 탐지 장치가 트래픽 누수를 자동으로 탐지하는 방법으로서, 감시 대상인 복수의 링크 양단에 연결된 네트워크 장비들로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로, 복수의 트래픽 누수 원인을 학습하여 학습 모델을 생성하는 단계, 복수의 링크에 연결된 적어도 하나의 네트워크 장비로부터 상기 복수의 링크 각각에 대한 트래픽 정보, 시스템 로그 정보 및 상태 정보를 수집하는 단계, 그리고 상기 트래픽 정보, 상기 시스템 로그 정보 및 상기 상태 정보를 상기 학습 모델에 입력하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는지 결정하는 단계를 포함한다.A method and apparatus for automatically detecting a traffic leak are provided. This method is a method in which an automatic traffic leak detection device operated by at least one processor automatically detects a traffic leak, based on traffic information, system log information, and status information from network devices connected to both ends of a plurality of links to be monitored. generating a learning model by learning a plurality of traffic leak causes; collecting traffic information, system log information, and status information for each of the plurality of links from at least one network device connected to the plurality of links; and and inputting the traffic information, the system log information, and the state information into the learning model to determine whether a traffic leak occurs among the plurality of links.
Description
본 발명은 트래픽 누수 자동 탐지 방법 및 그 장치에 관한 것으로서, 네트워크 장비들이 복수의 링크로 연결된 서비스망에서 트래픽 누수를 자동으로 탐지하는 기술에 관한 것이다.The present invention relates to a method and apparatus for automatically detecting a traffic leak, and to a technology for automatically detecting a traffic leak in a service network in which network devices are connected by a plurality of links.
트래픽 누수는 서로 연결된 두개의 네트워크 장비 사이에 송수신되는 트래픽이 가용 대역폭 이내로 인입되고 있음에도 불구하고, 트래픽이 드롭(Drop)되는 현상을 말한다. Traffic leakage refers to a phenomenon in which traffic is dropped even though the traffic transmitted and received between two network devices connected to each other is coming within the available bandwidth.
트래픽 누수가 있으면, 네트워크 장비들에 연결된 종단 사용자 단말에서는 통화 중 음성이 끊긴다거나 또는 모바일 게임 중에 랙(lack)이 발생하는 등의 서비스 장애가 발생한다. 네트워크 장비 내에서 대역폭 보다 많은 트래픽이 링크 1개에 집중되면 라우터에서는 'Q-DROP' 경보를 발생시키고, 트래픽 전송 중에 에러가 발생하면 CRC(cyclical redundancy check) 시스로그(syslog) 등을 발생시켜 운용자가 인지할 수 있도록 한다. If there is a traffic leak, a service failure occurs in the end user terminal connected to the network devices, such as a voice cut off during a call or a lag occurring during a mobile game. When more traffic than bandwidth within the network equipment is concentrated on one link, the router generates a 'Q-DROP' alarm. make it recognizable
그런데, 트래픽 누수 발생시에는 어떠한 경보 또는 시스로그(syslog)를 남기지 않고 장애가 지속되므로 그 상황의 심각성이 중요하다. However, since the failure continues without leaving any alarm or syslog when a traffic leak occurs, the severity of the situation is important.
여러 개의 링크를 통해 두 장비간 트래픽을 부하 분산하는 ECMP(Equal Cost Multi-Path) 또는 UCMP(Unequal Cost Multi-Path) 방식의 망 구조에서는 트래픽 누수를 감지하는 것이 더욱 어렵다. 왜냐하면, 두 네트워크 장비간 트래픽은 소통되지만 일부 특정 링크의 트래픽이 누수되고 있는 상황에서 아무런 경보나 시스로그(syslog)가 발생하지 않으므로, 운용자가 이를 직접 인지하기 어렵기 때문이다. It is more difficult to detect a traffic leak in an ECMP (Equal Cost Multi-Path) or UCMP (Unequal Cost Multi-Path) network structure that load balances traffic between two devices through multiple links. This is because, although traffic between two network devices is communicated, no alarm or syslog is generated in a situation in which traffic of some specific link is leaking, so it is difficult for an operator to directly recognize it.
따라서, 트래픽 누수 현상은 실시간 트래픽 정보, 라우터 상태 정보, 시스로그(syslog) 정보 등을 종합하여 판단하여야 한다. 그런데, 수많은 감시 대상의 링크 상태 정보, IGP(Interior Gateway Protocol) 또는 IDRP(Intra-domain Routing Protocol) 상태 정보 등을 운용자가 일일이 확인하여 트래픽 누수를 실시간으로 탐지하기는 현실적으로 어렵다. Therefore, the traffic leak phenomenon must be determined by integrating real-time traffic information, router status information, syslog information, and the like. However, it is practically difficult for an operator to check the link status information of numerous monitoring targets, IGP (Interior Gateway Protocol) or IDRP (Intra-domain Routing Protocol) status information one by one to detect a traffic leak in real time.
본 발명이 해결하고자 하는 과제는 네트워크 장비들이 복수의 링크로 연결된 구간에서 트래픽 누수(traffic stuck) 현상을 실시간으로 감지하는 방법 및 그 장치를 제공하는 것이다.An object of the present invention is to provide a method and an apparatus for detecting a traffic stuck phenomenon in real time in a section in which network devices are connected by a plurality of links.
본 발명의 하나의 특징에 따르면, 트래픽 누수 탐지 방법은 적어도 하나의 프로세서에 의해 동작하는 트래픽 누수 자동 탐지 장치가 트래픽 누수를 자동으로 탐지하는 방법으로서, 감시 대상인 복수의 링크 양단에 연결된 네트워크 장비들로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로, 복수의 트래픽 누수 원인을 학습하여 학습 모델을 생성하는 단계, 복수의 링크에 연결된 적어도 하나의 네트워크 장비로부터 상기 복수의 링크 각각에 대한 트래픽 정보, 시스템 로그 정보 및 상태 정보를 수집하는 단계, 그리고 상기 트래픽 정보, 상기 시스템 로그 정보 및 상기 상태 정보를 상기 학습 모델에 입력하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는지 결정하는 단계를 포함한다.According to one aspect of the present invention, a traffic leak detection method is a method in which an automatic traffic leak detection apparatus operated by at least one processor automatically detects a traffic leak, from network devices connected to both ends of a plurality of links to be monitored. generating a learning model by learning a plurality of traffic leak causes based on traffic information, system log information, and status information; traffic information for each of the plurality of links from at least one network device connected to a plurality of links; collecting log information and status information; and inputting the traffic information, the system log information, and the status information to the learning model to determine whether a traffic leak occurs among the plurality of links.
상기 생성하는 단계는, 상기 트래픽 정보를 기초로, 상기 감시 대상인 복수의 링크의 트래픽 실시간 변화율을 모니터링하는 단계, 상기 트래픽 실시간 변화율이 임계치 이상이면, 상기 감시 대상인 복수의 링크 중에서 트래픽양이 임계치 이하인 특정 링크를 탐색하는 단계, 상기 특정 링크 양단에 연결된 네트워크 장비들로부터 수집된 상태 정보를 기초로, 상기 특정 링크의 양단 중 일단이 링크 연결(Up) 상태인지 판단하는 단계, 상기 특정 링크의 양단 중 일단이 링크 연결(Up) 상태이면, 상기 특정 링크를 트래픽 누수로 판정하는 단계, 그리고 상기 특정 링크 양단에 연결된 네트워크 장비들로부터 수집된 시스템 로그 정보 및 상태 정보를 이용하여 상기 학습 모델을 학습시키는 단계를 포함할 수 있다.The generating may include monitoring a real-time change rate of traffic of the plurality of links to be monitored based on the traffic information. Searching for a link, determining whether one end of both ends of the specific link is in a link up state based on status information collected from network devices connected to both ends of the specific link, and one end of the specific link If the link connection (Up) state, determining the specific link as a traffic leak, and learning the learning model using the system log information and status information collected from network devices connected to both ends of the specific link may include
상기 트래픽 누수로 결정하는 단계는, 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상인지 판단하는 단계, 상기 트래픽 차이가 임계치 이상이면, 트래픽 누수로 결정하는 단계, 그리고 상기 트래픽 차이가 임계치 미만이면, 트래픽 누수 경고로 결정하는 단계를 포함하고, 상기 학습시키는 단계는, 트래픽 누수인 경우의 트래픽 정보, 시스템 로그 정보 및 상태 정보와, 트래픽 누수 경고인 경우의 트래픽 정보, 시스템 로그 정보 및 상태 정보를 구분하여 학습하고, 상기 트래픽 누수가 발생하는지 결정하는 단계는, 상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 타입을 판별할 수 있다.The determining of the traffic leak may include determining whether a traffic difference between both ends of the specific link is greater than or equal to a threshold, determining whether the traffic difference is greater than or equal to a threshold, determining a traffic leak, and if the traffic difference is less than a threshold, traffic Comprising the step of determining a water leak warning, the step of learning, traffic information, system log information and status information in the case of a traffic leak, and traffic information, system log information, and status information in the case of a traffic leak warning by distinguishing In the learning and determining whether the traffic leak occurs, a link in which a traffic leak occurs among the plurality of links and a traffic leak type may be determined using the learning model.
상기 학습시키는 단계는, 상기 특정 링크 양단에 연결된 네트워크 장비들로부터 수집된 시스템 로그 정보 및 상태 정보를 기초로, 트래픽 누수 원인을 추출하고, 상기 트래픽 누수가 발생하는지 결정하는 단계는, 상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 원인을 판별할 수 있다.In the learning step, extracting a cause of a traffic leak based on system log information and status information collected from network devices connected to both ends of the specific link, and determining whether the traffic leak occurs, the learning model It can be used to determine a link in which a traffic leak occurs among the plurality of links and a cause of the traffic leak.
상기 일단이 링크 연결(Up) 상태인지 판단하는 단계 이후, 상기 특정 링크의 양단이 모두 링크 다운(Down) 상태이면, 상기 특정 링크를 정상 상태로 결정하는 단계, 그리고 상기 특정 링크의 양단에서 수집된 상태 정보를 기초로, 링크 다운(Down)의 종류를 구별하는 단계를 더 포함하고, 상기 학습시키는 단계는, 링크 다운(Down)의 종류 별로 정상 상태인 경우의 트래픽 정보, 시스템 로그 정보 및 상태 정보를 학습하고, 상기 결정하는 단계는, 상기 트래픽 정보, 상기 시스템 로그 정보 및 상기 상태 정보를 상기 학습 모델에 입력하여 링크 다운(Down)인 정상 상태와, 링크 다운(Down)의 종류를 결정할 수 있다.After determining whether the one end is in a link connection (Up) state, if both ends of the specific link are in a link down state, determining the specific link as a normal state, and collecting data collected from both ends of the specific link The method further includes the step of discriminating a type of link down based on the status information, wherein the learning includes traffic information, system log information, and status information in a normal state for each type of link down. The step of learning and determining may include inputting the traffic information, the system log information, and the state information into the learning model to determine a link-down normal state and a link-down type. .
상기 수집하는 단계 이후, 상기 적어도 하나의 네트워크 장비로부터 수집된 트래픽 정보를 기초로, 상기 복수의 링크의 트래픽 실시간 변화율을 모니터링하는 단계, 그리고 상기 트래픽 실시간 변화율이 임계치 이상이면, 상기 복수의 링크 중에서 트래픽양이 임계치 이하인 특정 링크를 탐색하는 단계를 더 포함하고, 상기 결정하는 단계는, 상기 탐색된 특정 링크에서 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 학습 모델에 입력하여 트래픽 누수 여부를 판단할 수 있다.After the collecting, monitoring a real-time rate of change in traffic of the plurality of links based on the traffic information collected from the at least one network device, and if the real-time rate of change in traffic is equal to or greater than a threshold, traffic among the plurality of links The method further includes the step of searching for a specific link whose amount is less than or equal to a threshold, wherein the determining step includes inputting traffic information, system log information, and status information collected from the discovered specific link into a learning model to determine whether or not traffic leaks. can
상기 결정하는 단계는, 트래픽 누수 여부와 트래픽 누수 타입을 판별하고, 상기 결정하는 단계 이후, 상기 트래픽 누수 타입에 정의된 트래픽 누수 해결을 위한 작업 명령을 생성하여, 트래픽 누수가 탐지된 특정 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 단계를 더 포함할 수 있다.The determining may include determining whether a traffic leak exists and a traffic leak type, and after the determining step, a work command for resolving a traffic leak defined in the traffic leak type is generated and connected to a specific link in which the traffic leak is detected. The method may further include transmitting to at least one network device.
상기 결정하는 단계 이후, 상기 트래픽 누수 여부와 트래픽 누수 타입을 판별한 결과를 사용자 인터페이스를 통해 시각적 알람 또는 청각적 알람으로 출력하는 단계를 더 포함할 수 있다.After the determining, the method may further include outputting a result of determining whether the traffic leak is present and the traffic leak type as a visual alarm or an audible alarm through a user interface.
본 발명의 다른 특징에 따르면, 트래픽 누수 자동 탐지 장치는 서비스망을 구성하고, 복수의 링크로 연결된 적어도 하나의 네트워크 장비와 연결되어 상기 적어도 하나의 네트워크 장비와 정보를 송수신하는 통신 장치, 학습 모델을 이용하여 상기 복수의 링크에서 트래픽 유실이 발생하는지 탐지하는 프로그램을 저장하는 메모리, 그리고 상기 프로그램을 실행하는 적어도 하나의 프로세서를 포함하고, 상기 프로그램은, 상기 적어도 하나의 네트워크 장비로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 상기 학습 모델에 입력하여 상기 복수의 링크에서 트래픽 유실이 발생하는지와 트래픽 유실 원인을 판단하는 명령어들(Instructions)을 포함할 수 있다.According to another feature of the present invention, the automatic traffic leak detection apparatus configures a service network, is connected to at least one network device connected by a plurality of links, and includes a communication device and a learning model for transmitting and receiving information with the at least one network device. a memory storing a program for detecting whether traffic loss occurs in the plurality of links by using the memory; and at least one processor executing the program, wherein the program comprises: traffic information collected from the at least one network device; It may include instructions for determining whether traffic loss occurs in the plurality of links and a cause of traffic loss by inputting system log information and status information to the learning model.
상기 프로그램은, 운용자에 의해 입력된 복수의 트래픽 누수 원인을 지정한 트리거링 이벤트 발생시, 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 학습하고, 실시간 또는 주기적으로 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로 트래픽 누수를 판별하고, 트래픽 누수가 탐지된 링크에서 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 이용하여 트래픽 누수 원인을 학습하는 명령어들을 포함할 수 있다.The program learns traffic information, system log information and status information collected from network devices connected to both ends of a plurality of links selected as monitoring targets when a triggering event that specifies a plurality of traffic leak causes input by an operator occurs, It determines traffic leaks based on traffic information, system log information, and status information collected from network devices connected to both ends of a plurality of links selected for monitoring in real time or periodically, and traffic information collected from the link where the traffic leak is detected. , commands for learning the cause of traffic leakage using system log information and status information.
상기 프로그램은, 상기 실시간 또는 주기적으로 수집된 트래픽 정보를 기초로, 트래픽 실시간 변화율을 모니터링하여, 상기 실시간 변화율이 임계치 이상이면, 상기 복수의 링크의 트래픽 점유율 평균치보다 낮은 특정 링크를 탐색하며, 상기 특정 링크의 양단이 모두 절단(Down) 상태이면, 상기 특정 링크를 정상 상태로 판별하고, 상기 특정 링크의 양단 중 일단이 연결(Up) 상태이면, 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상인지 판단하여, 임계치 이상이면 상기 특정 링크를 트래픽 누수 상태로 판별하며, 임계치 미만이면 상기 특정 링크를 트래픽 누수 경고 상태로 판별하고, 상기 정상 상태, 상기 트래픽 누수 상태, 상기 트래픽 누수 경고 상태로 판별된 특정 링크에서 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 이용하여 상기 학습 모델을 학습시키는 명령어들을 포함할 수 있다.The program monitors a real-time change rate of traffic based on the real-time or periodically collected traffic information, and if the real-time rate of change is greater than or equal to a threshold, searches for a specific link lower than the average value of the traffic share of the plurality of links, If both ends of the link are in a down state, the specific link is determined as a normal state. Thus, if the threshold value or more, the specific link is determined as a traffic leak state, if it is less than the threshold value, the specific link is determined as a traffic leak warning state, and the specific link determined as the normal state, the traffic leak state, and the traffic leak warning state It may include instructions for learning the learning model by using the collected traffic information, system log information, and state information.
상기 장치는, 상기 프로그램의 동작에 따른 정보를 시각적 또는 청각적으로 출력하는 사용자 인터페이스부를 더 포함하고, 상기 프로그램은, 상기 적어도 하나의 네트워크 장비로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 상기 학습 모델에 입력하여 정상 상태, 트래픽 누수 상태 및 트래픽 누수 경고 상태 중 어느 상태에 해당하는지 판별하고, 트래픽 누수 상태인 경우, 트래픽 누수 원인을 판별하며, 판별 결과를 상기 사용자 인터페이스부로 출력하고, 트래픽 누수 또는 트래픽 경고로 판별된 경우, 트래픽 누수 판단 결과 및 트래픽 누수 원인에 따른 작업 명령을 특정 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 명령어들을 포함할 수 있다.The apparatus further includes a user interface unit that visually or aurally outputs information according to the operation of the program, wherein the program displays traffic information, system log information, and status information collected from the at least one network device. It is input to the learning model to determine which of the normal state, traffic leak state, and traffic leak warning state corresponds to, and if it is a traffic leak state, determines the cause of traffic leak, outputs the determination result to the user interface unit, and traffic leak Alternatively, when it is determined as a traffic warning, it may include commands for transmitting a traffic leak determination result and a work command according to the cause of the traffic leak to at least one network device connected to a specific link.
본 발명에 따르면, 트래픽 누수 현상을 실시간으로 감지할 수 있어 즉각적인 조치가 가능하므로, 인터넷 서비스 대형 장애 문제를 원천적으로 해결할 수 있다.According to the present invention, since it is possible to detect a traffic leak phenomenon in real time and take immediate action, it is possible to fundamentally solve the problem of large Internet service failure.
또한, 트래픽 누수 탐지 결과와 운용자에 의한 인위적 트래픽 누수 발생 등 다양한 케이스들을 통해 축적된 학습 데이터를 기초로, 트래픽 누수 탐지를 위한 학습 모델을 생성하고 이를 트래픽 누수 탐지시 이용함으로써, 트래픽 누수 탐지의 신뢰도를 향상시킬 수 있다.In addition, based on the learning data accumulated through various cases such as the traffic leak detection result and the occurrence of artificial traffic leak by the operator, a learning model for traffic leak detection is created and used to detect the traffic leak, so the reliability of traffic leak detection can improve
또한, 실시간 관제 및 운용 가능한 솔루션으로서 네트워크 운용 비용을 절감할 수 있고, 장비 제조사 종류, 장비 명령어에 독립적으로 동작 가능하다.In addition, as a real-time control and operable solution, network operation costs can be reduced, and it can operate independently of equipment manufacturer types and equipment commands.
도 1은 본 발명의 실시예에 따른 트래픽 누수 자동 탐지 장치가 적용된 네트워크 환경을 도시한다.
도 2는 본 발명의 실시예에 따른 멀티 패쓰 구간을 설명하는 도면이다.
도 3은 본 발명의 한 실시예에 따른 트래픽 누수 탐지 장치의 세부 구성을 나타낸 블록도이다.
도 4는 본 발명의 실시예에 따른 트래픽 통계를 나타낸다.
도 5는 본 발명의 한 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이다.
도 6은 본 발명의 실시예에 따른 트래픽 누수 탐지를 위한 학습 모델의 예시도이다.
도 7은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이다.
도 8은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도이다.
도 9는 본 발명의 또 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도이다.
도 10은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 장치의 하드웨어 블록도이다.1 illustrates a network environment to which an automatic traffic leak detection apparatus according to an embodiment of the present invention is applied.
2 is a view for explaining a multi-path section according to an embodiment of the present invention.
3 is a block diagram illustrating a detailed configuration of an apparatus for detecting a traffic leak according to an embodiment of the present invention.
4 shows traffic statistics according to an embodiment of the present invention.
5 is a flowchart illustrating a traffic leak detection learning operation according to an embodiment of the present invention.
6 is an exemplary diagram of a learning model for detecting a traffic leak according to an embodiment of the present invention.
7 is a flowchart illustrating a traffic leak detection learning operation according to another embodiment of the present invention.
8 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention.
9 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention.
10 is a hardware block diagram of an apparatus for detecting a traffic leak according to another embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, the embodiments of the present invention will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement them. However, the present invention may be embodied in various different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함" 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part "includes" a certain element, it means that other elements may be further included, rather than excluding other elements, unless otherwise stated.
이제, 도면을 참조하여 본 발명의 실시예에 따른 트래픽 누수 자동 탐지 방법 및 그 장치에 대하여 설명한다.Now, a method and apparatus for automatically detecting a traffic leak according to an embodiment of the present invention will be described with reference to the drawings.
도 1은 본 발명의 실시예에 따른 트래픽 누수 자동 탐지 장치가 적용된 네트워크 환경을 도시하고, 도 2는 본 발명의 실시예에 따른 멀티 패쓰 구간을 설명하는 도면이다.1 shows a network environment to which an automatic traffic leak detection apparatus according to an embodiment of the present invention is applied, and FIG. 2 is a diagram for explaining a multi-path section according to an embodiment of the present invention.
도 1을 참조하면, 트래픽 누수 자동 탐지 장치(100)는 서비스망을 구성하는 네트워크 장비(200)들로부터 수집한 정보를 기초로, 네트워크 장비들(200)을 서로 연결하는 적어도 하나의 링크에서 트래픽 누수가 발생하는지 탐지한다. 여기서, 네트워크 장비들(200)은 종단 장비, 즉, 단말(300)과 연결되며, 예를들면, 라우터, 스위치 등을 포함한다.Referring to FIG. 1 , the automatic traffic
도 2를 참조하면, 두개의 네트워크 장비(201, 203)는 복수의 링크로 연결된다. 이처럼, 복수의 링크로 연결되는 구조는 멀티 패쓰(Multiple Path)로서, ECMP(Equal Cost Multi-Path) 또는 UCMP(Unequal Cost Multi-Path)라 할 수 있다.Referring to FIG. 2 , two
예를들어, 네트워크 장비1(201)과 네트워크 장비2(203)가 5개의 링크로 연결되어 있다고 할 경우, 각 링크를 통해서 트래픽이 송수신된다. 이때, 5번 링크(⑤)에 연결된 네트워크 장비1(201)과 네트워크 장비2(203) 간에 트래픽이 현저하게 차이가 발생하면, 5번 링크(⑤)에서 트래픽이 유실, 즉, 트래픽 누수가 발생하였다고 한다. 이처럼, 트래픽 누수는 링크의 일단에 연결된 네트워크 장비1(201)에서 트래픽을 전송하였으나, 링크의 타단에 연결된 네트워크 장비2(203)에서는 트래픽이 정상적으로 수신되지 못한 경우가 해당된다. 물론, 그 반대의 경우도 마찬가지이다. For example, if it is assumed that the
트래픽 누수가 링크 양단에서 트래픽 차이가 발생함을 의미하기는 하나, 단순히 링크 양단의 트래픽양을 비교함으로써, 트래픽 누수를 탐지하기는 어렵다. 트래픽의 실시간성, 버스트 트래픽(burst traffic) 특성으로 인해 단순히 링크 양단의 트래픽량을 비교하여 서로 다르다는 이유로 트래픽 누수를 판단하면, 오류 가능성이 높다.Although a traffic leak means that a traffic difference occurs at both ends of a link, it is difficult to detect a traffic leak simply by comparing the amount of traffic at both ends of the link. Due to the real-time nature of traffic and burst traffic characteristics, if traffic leaks are determined because they are different from each other by simply comparing the traffic volumes at both ends of the link, an error is highly likely.
또한, 링크 중간에 IPS(Intrusion Prevention System) 또는 DPI(Deep Packet Inspection) 시스템 등과 같은 유해 트래픽 차단 시스템이 연결되어 있으면, 링크 양단의 트래픽 처리량이 상이하다. 또한, 링크 양단에 연결된 네트워크 장비들로부터 트래픽을 수집해야 하나, 장비의 성능 또는 보안 이슈 등으로 링크의 일단에서만 트래픽을 수집할 수 밖에 없는 경우가 있다. 또한, 링크 양단에 연결된 네트워크 장비들을 관리하는 주체가 서로 다른 경우가 있다. 이런 경우 역시 링크의 일단에서만 트래픽을 수집할 수 밖에 없다.In addition, when a harmful traffic blocking system such as an Intrusion Prevention System (IPS) or Deep Packet Inspection (DPI) system is connected in the middle of the link, traffic throughputs at both ends of the link are different. In addition, although it is necessary to collect traffic from network devices connected to both ends of the link, there are cases in which traffic can only be collected from one end of the link due to device performance or security issues. In addition, there are cases where the subjects that manage the network devices connected to both ends of the link are different from each other. In this case, too, traffic can only be collected from one end of the link.
따라서, 멀티 패쓰 구간에서 트래픽 누수를 탐지하려면, 다양한 정보를 수집하여 복합적으로 판단해야 하며, 그 구성에 대해 설명하기로 한다.Therefore, in order to detect a traffic leak in the multi-path section, it is necessary to collect various information and make a complex judgment, and the configuration will be described.
도 3은 본 발명의 한 실시예에 따른 트래픽 누수 탐지 장치의 세부 구성을 나타낸 블록도이고, 도 4는 본 발명의 실시예에 따른 트래픽 통계를 나타내며, 도 5는 본 발명의 한 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이고, 도 6은 본 발명의 실시예에 따른 트래픽 누수 탐지를 위한 학습 모델의 예시도이며, 도 7은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이다.3 is a block diagram showing a detailed configuration of a traffic leak detection apparatus according to an embodiment of the present invention, FIG. 4 shows traffic statistics according to an embodiment of the present invention, and FIG. 5 is a block diagram according to an embodiment of the present invention It is a flowchart illustrating a traffic leak detection learning operation, FIG. 6 is an exemplary diagram of a learning model for traffic leak detection according to an embodiment of the present invention, and FIG. 7 is a traffic leak detection learning operation according to another embodiment of the present invention It is a flowchart.
도 3을 참조하면, 트래픽 누수 자동 탐지 장치(100)는 트래픽 정보 수집부(101), 시스템 로그 정보 수집부(103), 상태 정보 수집부(105), 트래픽 누수 탐지부(107), 학습부(109), 학습 모델 DB(111), 네트워크 장비 제어부(113) 및 사용자 인터페이스부(115)를 포함한다. Referring to FIG. 3 , the automatic traffic
여기서, 트래픽 누수 탐지부(101)는 트래픽 누수 학습 모델을 생성하기 위한 탐지 동작과, 학습 모델을 이용한 트래픽 누수 탐지 동작을 수행한다. Here, the traffic
트래픽 누수 학습 모델을 생성하기 위한 탐지 동작의 경우, 트래픽 누수 탐지부(101)는 링크의 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)에서 모두 정보를 수집할 수 있어야 한다. 즉, 트래픽 누수 탐지부(101)는 링크 양단에서 수집된 정보를 이용한다. In the case of a detection operation for generating a traffic leak learning model, the traffic
반면, 학습 모델을 이용한 트래픽 누수 탐지 동작의 경우, 링크 양단 뿐만 아니라 링크 일단에서만 정보 수집이 가능한 경우라도 관계없다. 즉, 트래픽 누수 탐지부(101)는 링크의 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203) 뿐만 아니라, 링크의 일단에 연결된 네트워크 장비(도 1의 200, 도 2의 201 또는 203)에서만 수집한 정보를 이용할 수도 있다.On the other hand, in the case of the traffic leak detection operation using the learning model, it does not matter if information can be collected only from both ends of the link as well as from one end of the link. That is, the traffic
트래픽 정보 수집부(101), 시스템 로그 정보 수집부(103) 및 장비 상태 정보 수집부(105)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 정보를 수집한다. The traffic
트래픽 정보 수집부(101)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보를 수집한다. 한 실시예에 따르면, 트래픽 정보는 단위 시간(예, 5분 단위) 동안 각 네트워크 장비(도 1의 200, 도 2의 201, 203)의 링크 별 트래픽 처리량을 포함할 수 있다. 트래픽 처리량은 단위 시간 동안 네트워크 장비에서 처리되는 트래픽양을 의미한다. 트래픽 정보 수집부(101)는 수집한 트래픽 처리량을 기초로 링크 별로 트래픽 점유율(%)을 계산한다. 링크 별로 트래픽 점유율(%)은 링크의 대역폭과 그 링크에서의 트래픽 처리량의 비로 표현된다. The traffic
다른 실시예에 따르면, 트래픽 점유율(%)은 각 네트워크 장비(도 1의 200, 도 2의 201, 203)에서 계산될 수 있다. 그리고 트래픽 정보 수집부(101)는 단위 시간(예, 5분 단위)의 트래픽 점유율(%)을 각 네트워크 장비(도 1의 200, 도 2의 201, 203)로부터 수신할 수 있다.According to another embodiment, the traffic share (%) may be calculated in each network device (200 in FIG. 1 and 201 and 203 in FIG. 2). In addition, the traffic
이러한 트래픽 점유율(%)은 도 4에서 A와 같이, 단위 시간, 즉, 5분 단위로 표시된다. Such a traffic share (%) is displayed in units of time, that is, 5 minutes, as shown in A in FIG. 4 .
시스템 로그 정보 수집부(103)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 각각의 시스템 로그 정보를 수집하며, 예를들면, 시스템 로그 정보는 시스로그(Syslog) 정보일 수 있다. 시스템 로그 정보는 라우팅 프로토콜(예, IS-IS)의 재시작(Restart) 로그, CRC(cyclic redundancy check)값, CRC 카운트 정보 정보 등을 포함할 수 있다. The system log
상태 정보 수집부(105)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 각 네트워크 장비(도 1의 200, 도 2의 201, 203)의 링크 상태 정보를 수집한다. 링크 상태 정보는 장비 상태와 라우팅 프로토콜의 상태를 포함한다.The status
장비 상태는 네트워크 장비(도 1의 200, 도 2의 201, 203) 자체의 전원 상태, 네트워크 장비(도 1의 200, 도 2의 201, 203)에 탑재된 인터페이스 모듈, 포트 등의 활성화/비활성화 상태로서, 연결(UP) 또는 단절(DOWN)로 표현된다. 예를들어, 연결(UP)은 ① 링크의 양단에 연결된 네트워크 장비(201, 203)가 모두 전원 온(On) 상태에 있거나 또는 링크가 연결된 인터페이스 모듈 또는 포트가 활성화 상태인 경우가 해당된다. 단절(DOWN)은 ①링크의 양단에 연결된 네트워크 장비(201, 203)가 모두 전원 오프(Off) 상태에 있거나 도는 링크가 연결된 인터페이스 모듈 또는 포트가 비활성화 상태인 경우가 해당된다.The equipment state includes the power state of the network equipment (200 in Fig. 1, 201, 203 in Fig. 2) itself, and activation/deactivation of interface modules, ports, etc. mounted in the network equipment (200 in Fig. 1, 201, 203 in Fig. 2). As a state, it is expressed as connected (UP) or disconnected (DOWN). For example, the connection (UP) corresponds to ① when all of the
라우팅 프로토콜의 상태는 IGP(Interior Gateway Protocol) 상태일 수 있다. IGP는 동일한 AS(Autonomous System) 네트워크 안에서 유통되는 프로토콜로서 BGP(Border Gateway Protocol)/라우팅(Routing) 테이블을 효율적으로 다른 라우터(또는 네트워크 장비)에게 전달하기 위해서 사용된다. 동일 AS망을 구성하는 모든 라우터(또는 네트워크 장비)는 동일한 링크 상태 정보(link state database)를 공유함으로써, 최적의 경로를 찾아서 라우팅을 계산한다. IGP는 IS-IS, OSPF(Open Shortest Path First) 등의 프로토콜이 있으며 논리적인 값으로 'on', 'down', 'initialization' 등의 값을 취할 수 있다. The state of the routing protocol may be an Interior Gateway Protocol (IGP) state. IGP is a protocol distributed within the same Autonomous System (AS) network and is used to efficiently transmit a BGP (Border Gateway Protocol)/Routing table to another router (or network equipment). All routers (or network equipment) constituting the same AS network share the same link state database to find an optimal route and calculate routing. IGP has protocols such as IS-IS and OSPF (Open Shortest Path First), and can take values such as 'on', 'down', and 'initialization' as logical values.
'on'은 예를들어, 도 2에서 네트워크 장비(201)가 이웃 네트워크 장비(203)로부터 'IGP hello 메시지'를 수신하여 IGP 라우팅 프로토콜이 정상적으로 동작하는 상태를 의미한다. 'on' means, for example, in FIG. 2 , the
'down'은 네트워크 장비(도 2의 201)가 이웃 네트워크 장비(도 2의 203)로부터 'IGP hello 메시지'를 수신하지 못하여 IGP 라우팅 프로토콜이 동작하지 않는 상태를 의미한다.'down' refers to a state in which the IGP routing protocol does not operate because the network device (201 in FIG. 2) does not receive the 'IGP hello message' from the neighboring network device (203 in FIG. 2).
'initialization'은 네트워크 장비(도 2의 201)가 이웃 네트워크 장비(도 2의 203)로부터 'IGP hello 메시지'를 수신하여 IGP를 동작시킬 준비가 되었으나 이웃 네트워크 장비(203)가 자신이 'IGP hello 메시지'를 수신했는지를 확인 받지 못해 대기하고 있는 상태이다. 즉, IGP 라우팅 프로토콜이 down 상태로 동작하는 것은 아니고대기 상태로 동작한다. In 'initialization', the network equipment (201 in FIG. 2) receives the 'IGP hello message' from the neighboring network equipment (203 in FIG. 2) and is ready to operate the IGP, but the neighboring
상태 정보 수집부(107)는 장비 상태 및 라우팅 프로토콜 상태를 기초로, 링크 연결 상태를 판단한다. 링크 연결 상태는 연결(UP) 또는 단절(DOWN)로 표현된다. 링크 연결 상태는 장비 상태에 기초한 링크의 물리적 경로(physical path)의 상태와 라우팅 프로토콜의 상태에 기초한 링크의 논리적 경로(logical path)의 상태를 포함한다. The state
따라서, 특정 링크에서 트래픽 누수가 발생한 경우, 트래픽 누수 타입은 링크 셧다운(Shutdown) 타입과 IGP 셧다운 타입을 포함할 수 있다. 링크 셧다운은 인터페이스 모듈 교체 등의 링크의 물리적 절단으로 발생한다. IGP 셧다운은 전송로 순단(또는 인터럽트)과 같은 링크의 논리적 절단으로 발생한다. Accordingly, when a traffic leak occurs in a specific link, the traffic leak type may include a link shutdown type and an IGP shutdown type. Link shutdown occurs when the link is physically broken, such as by replacing an interface module. An IGP shutdown occurs as a result of a logical break in a link, such as a transmission line down (or interrupt).
또한, 멀티 패쓰를 구성하는 개개의 링크의 상태 정보는 링크 식별자로 구별된다.In addition, status information of individual links constituting a multi-path is distinguished by a link identifier.
트래픽 누수 탐지부(101)는 트래픽 정보 수집부(103), 시스템 로그 정보 수집부(105) 및 상태 정보 수집부(107) 각각으로부터 수집한 정보들을 기초로, 트래픽 누수를 탐지한다.The traffic
먼저, 도 5를 참조하면, 트래픽 누수 탐지부(101)는 감시 대상 링크의 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 실시간 또는 주기적으로 수집한다(S101). 그리고 트래픽 누수 탐지부(101)는 수집(S101)한 트래픽 정보를 기초로, 링크 별로 트래픽의 실시간 변화율을 모니터링한다(S103).First, referring to FIG. 5 , the traffic
도 2를 참고하여 설명하면, 트래픽 누수 탐지부(101)는 네트워크 장비1(201)과 네트워크 장비2(203)로부터 5개의 링크에 대한 각각의 트래픽 처리량 또는 트래픽 점유율과, 시스템 로그 정보, 상태 정보를 수집한다. Referring to FIG. 2 , the traffic
이때, 트래픽 누수 탐지는 링크의 일단에서 획득한 정보를 기초로 한다. 도 2의 링크 ①을 예시로 하면, 링크 ①에 연결된 네트워크 장비들(201, 203)은 트래픽을 송신하는 송신측 네트워크 장비로 동작하거나 또는 트래픽을 수신하는 수신측 네트워크 장비로 동작한다. 따라서, 트래픽 누수 탐지 장치(100)는 링크 ①에 연결된 네트워크 장비들(201, 203) 중에서 하나의 네트워크 장비(201 또는 203)를 수신측 네트워크 장비(201 또는 203)로 선택한다. 그리고 선택한 네트워크 장비(201 또는 203)로부터 수집된 트래픽 정보를 기초로, 실시간 변화율을 모니터링한다.In this case, the traffic leak detection is based on information obtained from one end of the link. Taking the
도 4를 참조하면, 트래픽 정보 수집부(103)는 단위 시간, 예를들어, 5분 단위로 각 링크의 트래픽 점유율(P1)을 수집 또는 계산한다. Referring to FIG. 4 , the traffic
트래픽 누수 탐지부(101)는 트래픽 점유율(P1)을 기초로, 링크간 표준편차(a)를 계산한다. 그리고 링크간 표준편차(a)를 이용하여 단위 시간의 트래픽 실시간 변화율을 계산한다. 이때, 트래픽 실시간 변화율은 다음 수학식 1과 같이 계산된 값의 절대치이다. 실시간 변화율은 수학식 1과 같이 계산된다.The traffic
여기서, a는 복수의 링크의 단위 시간당 트래픽 표준편차이고, b는 표준편차의 임계 시간의 이동평균이다.Here, a is the traffic standard deviation per unit time of a plurality of links, and b is the moving average of the critical time of the standard deviation.
예를들어, 수학식 1에서 단위 시간은 5분이고 임계 시간은 15분으로 설정될 수 있다.For example, in
트래픽 누수 탐지부(101)는 모니터링한(S103) 실시간 변화율이 임계치 이상인지 판단한다(S105). The traffic
트래픽 시간 변화율의 임계치는 1주일전 동일 시간대의 트래픽 시간 변화율이 설정되거나 또는 디폴트값으로 100%가 설정될 수 있다. 임계치가 100%로 설정되었다고 가정하면, 도 4의 '01:00~01:25' 구간에서 실시간 변화율(a-b)이 임계치 이상이므로, 트래픽 누수가 발생한 것으로 탐지한다. 여기서, 실시간 변화율(a-b)은 연속된 시간 구간의 값이므로, 특정 시간에 100% 미만이라 하더라도 트래픽 누수 탐지 구간에 포함된다.As for the threshold of the traffic time change rate, the traffic time change rate in the same time zone one week ago may be set, or 100% may be set as a default value. Assuming that the threshold is set to 100%, since the real-time rate of change a-b in the section '01:00 to 01:25' of FIG. 4 is greater than or equal to the threshold, it is detected that a traffic leak has occurred. Here, since the real-time rate of change (a-b) is a value of a continuous time interval, it is included in the traffic leak detection interval even if it is less than 100% at a specific time.
트래픽 누수 탐지부(101)는 임계치 미만이면, S101 단계부터 다시 시작한다. 반면, 임계치 이상이면, 복수의 링크 중에서, 트래픽양이 복수의 링크의 트래픽 평균 이하인 링크를 탐색한다(S107). 트래픽 누수가 탐지된 '01:00~01:25' 구간에서 링크(Link)1의 트래픽 점유율(P1)이 다른 링크들에 비해 현저하게 낮은 것을 확인할 수 있다. 따라서, 링크1이 탐색된다. If the traffic
트래픽 평균은 멀티 링크(multi-link)의 개수, 로드 밸런싱(Load balancing) 특성, 링크 대역폭 등에 따라 변경될 수 있다.The traffic average may be changed according to the number of multi-links, load balancing characteristics, link bandwidth, and the like.
트래픽 누수 탐지부(101)는 탐색(S107)된 링크의 연결 상태를 확인한다(S109). 링크의 연결 상태는 전술한 것처럼, 링크의 물리적인 연결 상태와 논리적인 연결 상태를 포함한다. The traffic
트래픽 누수 탐지부(101)는 링크 양단의 물리적인 연결 상태가 모두 다운(Down) 상태인지 판단한다(S111). 트래픽 누수 탐지부(101)는 링크 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)의 인터페이스 모듈이 모두 다운(Down) 상태인지 판단한다(S111).The traffic
트래픽 누수 탐지부(101)는 S111 단계에서 다운(Down) 상태이면, 링크 절단(Down) 상태이므로, 트래픽 누수가 아닌 정상 상태로 판단한다(S113).If the traffic
반면, 트래픽 누수 탐지부(101)는 S111 단계에서 모두 다운(Down) 상태가 아니면, 링크 양단의 라우팅 프로토콜 상태가 모두 다운(Down) 상태인지 판단한다(S115).On the other hand, if the traffic
트래픽 누수 탐지부(101)는 S115 단계에서 모두 다운(Down) 상태이면, S107 단계에서 탐색된 링크는 절단(Down) 상태이므로, 그 링크를 트래픽 누수가 아닌 정상 상태로 판단한다(S113).If the traffic
반면, S115 단계에서 모두 다운(Down) 상태가 아니면, 일단은 연결(Up) 상태이므로, 연결(Up) 상태인 네트워크 장비(도 1의 200, 도 2의 201 또는 203)는 링크가 유효(Alive)하다고 판단하고 트래픽을 상대편으로 전송한다. 그런데, 반대쪽 네트워크 장비(도 1의 200, 도 2의 201 또는 203)는 링크가 미연결(Down)이므로 트래픽을 수신하지 못한다. 즉, 해당 링크에서 트래픽은 계속 유실된다. 따라서, 링크의 양단이 모두 다운(Down) 상태인지, 또는 일단이 연결(up)인지를 판단해야 한다.On the other hand, if all are not in the Down state in step S115, since one end is in the Up state, the network equipment in the Up state (200 in FIG. 1, 201 or 203 in FIG. 2) has a valid link (Alive). ) and transmits the traffic to the other side. However, the opposite network device (200 in FIG. 1 , 201 or 203 in FIG. 2 ) cannot receive traffic because the link is down. That is, traffic continues to be lost on that link. Therefore, it is necessary to determine whether both ends of the link are in a down state or one end is connected.
트래픽 누수 탐지부(101)는 링크의 일단이 연결 상태로 판단되면, 그 링크의 양단 트래픽 차이가 임계치 이상인지 판단한다(S119). When it is determined that one end of the link is in a connected state, the traffic
S119 단계에서 임계치 이상이 아니라면, 즉, 임계치 미만이면, 트래픽 누수 탐지부(101)는 그 링크, 즉, S107 단계에서 탐색된 링크를 트래픽 누수는 아니지만 트래픽 누수 경고(위험) 상태로 판단한다(S121). 반면, S119 단계에서 임계치 이상이면, 트래픽 누수 탐지부(101)는 S107 단계에서 탐색된 링크를 트래픽 누수로 판단한다(S123).If it is not higher than the threshold in step S119, that is, less than the threshold, the traffic
트래픽 누수 탐지부(101)는 S113 단계, S121 단계, S123 단계의 판단 결과와 S101 단계에서 수집한 정보를 학습부(109)로 전달하여 학습을 요청한다(S125).The traffic
이상, 도 5에서는 트래픽 누수 원인의 자동화된 학습 과정에 대해 설명하였다. As mentioned above, in FIG. 5, the automated learning process of the cause of traffic leakage has been described.
또한, 다른 실시예로는 트래픽 누수 원인을 수동으로 학습할 수도 있다. In addition, in another embodiment, it is also possible to manually learn the cause of the traffic leak.
도 7을 참조하면, 운용자에 의해 입력된 복수의 트래픽 누수 원인을 지정한 트리거링 이벤트 발생(S201)시, 트래픽 누수 탐지부(101)는 수집부(103, 105, 107)를 통해 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 수집한다(S203). 그리고 수집(S203)한 정보와 트리거링 이벤트를 학습부(109)로 전달하여 학습을 요청한다(S205).Referring to FIG. 7 , when a triggering event specifying a plurality of traffic leak causes input by an operator occurs ( S201 ), the traffic
즉, 운용자는 다양한 트래픽 누수 원인을 만들고, 그때의 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로 학습 모델을 생성할 수 있다. That is, the operator can create various causes of traffic leakage and create a learning model based on the traffic information, system log information, and status information at that time.
다시, 도 3을 참조하면, 학습부(109)는 트래픽 누수 탐지를 위한 학습 모델을 생성하여, 학습 모델 DB(111)에 저장한다. Again, referring to FIG. 3 , the
학습부(109)는 도 5와 같은 방식으로, 트래픽 누수가 탐지된 링크에 연결된 수신측 네트워크 장비(200)로부터 수집한 링크 상태 정보, 장비 상태 정보, 트래픽 정보를 이용하여 학습 모델을 학습시킨다.The
또한, 학습부(109)는 도 7과 같은 방식으로, 트래픽 누수 원인을 학습한다. 예를들어, 운용자가 임의로 링크 절단을 유도하는 경우, 절단된 링크 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 수집한 링크 상태 정보, 장비 상태 정보, 트래픽 정보를 이용하여 학습 모델을 학습시킨다. 학습 알고리즘은 딥러닝 알고리즘을 이용하며, 딥러닝 알고리즘의 예시로 서포트 벡터 머신(support vector machine, SVM), 나이브 베이즈 분류(Naive Bayes Classification) 등의 분류 기법들을 활용할 수 있다. 그러나 이에 국한되는 것은 아니며, 다양한 딥러닝 알고리즘이 이용될 수 있다. In addition, the
학습부(109)에 의해 생성되는 학습 모델은 트래픽 누수 타입 별로 복수의 특징 벡터를 포함한다. 트래픽 누수 탐지부(107)는 학습 모델을 이용하여 트래픽 누수 상태에 해당하는 트래픽 누수 타입을 판별한다. 예를들면, 트래픽 누수 타입은 링크 셧다운(Shutdown)과 IGP 셧다운으로 구분될 수 있다. 또한, 링크 셧다운과 IGP 셧다운 내에서도 세부적인 케이스로 구분될 수 있다. The learning model generated by the
트래픽 누수 탐지부(107)는 트래픽 정보 수집부(101), 시스템 로그 정보 수집부(103) 및 장비 상태 정보 수집부(105) 각각으로부터 수집한 정보들을 학습 모델에 입력하여 트래픽 누수 타입을 분류 또는 결정한다.The traffic
여기서, 학습 모델은 도 6과 같다. 도 6을 참조하면, 학습 모델은 다양한 케이스를 나타내는 인덱스(I)마다 분류(C) 별 특징 벡터(F)가 수록된다.Here, the learning model is shown in FIG. 6 . Referring to FIG. 6 , in the learning model, feature vectors (F) for each classification (C) are recorded for each index (I) representing various cases.
분류(C)는 정상 상태(w1)와 트래픽 누수(w2)를 포함한다. 정상 상태(w1)는 모듈 교체, 전송로 순단, 일반 등 정상 타입으로 세분화된다. 일반은 연결이 유효한 상태를 나타낸다. 모듈 교체, 전송로 순단은 운용자가 임의로 특정 링크를 순간 절단하거나 또는 전송로를 절체하는 케이스에 해당할 수 있다. Classification (C) includes a steady state (w1) and a traffic leak (w2). The steady state w1 is subdivided into normal types, such as module replacement, transmission path passing, and general. Normal indicates that the connection is valid. Module replacement and transmission line traversal may correspond to cases in which the operator arbitrarily cuts off a specific link or changes the transmission line.
트래픽 누수(w2)는 트래픽 누수와 트래픽 누수 경고로 세분화된다. The traffic leak w2 is subdivided into a traffic leak and a traffic leak alert.
특징 벡터(F)는 CRC(F1), Syslog ISIS restarted(F2), 인터페이스 상태(F3), ISIS 상태(F4), CRC 카운트 증감(F5), ECMP 구간 트래픽 점유율(F6), CRC/ISIS syslog 발생 링크 트래픽 점유율(F7), 트래픽 변화율(F8) 중 적어도 하나를 포함할 수 있다. 이러한 특징 벡터(F)는 분류(C)의 타입 별로 해당되는 값들을 포함한다. Feature vector (F) is CRC (F1), Syslog ISIS restarted (F2), Interface status (F3), ISIS status (F4), CRC count increase/decrease (F5), ECMP section traffic share (F6), CRC/ISIS syslog generation It may include at least one of a link traffic share (F7) and a traffic change rate (F8). This feature vector (F) includes values corresponding to each type of classification (C).
트래픽 변화율(F8)은 도 4에서 설명한 트래픽 표준편차(a), 이동평균(b), 실시간 변화율(a-b) 등을 포함할 수 있다.The traffic change rate F8 may include the traffic standard deviation (a), moving average (b), real-time rate of change (a-b), etc. described with reference to FIG. 4 .
의도적인 인터페이스 모듈 다운(Down), IGP 셧다운(shut-down), 전송로 고장등으로 인해 멀티 링크 상에 표준편차 변화, 즉, 트래픽 실시간 변화율 이상을 감지할 수 있다. 그러나, 이를 근거로 바로 자동 조치 하기에는 신뢰성이 부족하다. It is possible to detect a change in standard deviation on multi-links due to intentional interface module down, IGP shutdown, transmission path failure, etc., that is, an abnormality in traffic real-time change rate. However, it is not reliable enough to take immediate automatic action based on this.
따라서, 운용자는 임의로 이러한 케이스를 만들어 트래픽 누수 탐지 동작을 수행하고 그때의 트래픽 정보, 시스템 로그 정보, 상태 정보를 이용하여 학습 모델을 학습시킬 수 있다. 즉, 학습부(109)는 운용자에 의해 의도된 정확한 케이스 별로 신뢰성을 확보한 학습 모델을 생성할 수 있다. 또한, 장기간에 걸친 다량의 데이터를 학습시키면, 트래픽 누수 발생시 자동 진단 뿐만 아니라 운용자의 판단을 기다리지 않고 즉시 자동 조치할 수 있다. Therefore, an operator can arbitrarily create such a case to perform a traffic leak detection operation and train a learning model using the traffic information, system log information, and status information at that time. That is, the
다시, 도 3을 참조하면, 네트워크 장비 제어부(113)는 트래픽 누수가 탐지되면, 트래픽 누수가 탐지된 링크에 연결된 적어도 하나의 네트워크 장비(도 1의 200, 도 2의 201, 203)에게 트래픽 누수 타입에 정의된 조치 작업 명령을 전송한다. 조치 작업 명령을 수신한 네트워크 장비(도 1의 200, 도 2의 201, 203)는 조치 작업 명령에 따라 자동으로 네트워크 설정 등의 장비 설정을 수행하거나 또는 디스플레이 화면에 운용자가 확인할 수 있는 조치 작업 명령을 출력한다.Referring again to FIG. 3 , when a traffic leak is detected, the
사용자 인터페이스부(115)는 스피커와 같은 청각적 알림을 출력하는 수단, 디스플레이 화면과 같은 시각적 알림을 출력하는 수단을 포함한다. 사용자 인터페이스부(115)는 트래픽 누수 탐지부(101)의 탐지 결과를 청각적 또는 시각적으로 출력하여 운용자에게 알린다. The
도 8은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도로서, 도 3의 트래픽 누수 탐지부(101)의 학습 모델을 이용한 트래픽 누수 탐지 동작을 나타낸다.8 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention, and illustrates a traffic leak detection operation using the learning model of the traffic
도 8을 참조하면, 트래픽 누수 탐지부(101)는 수집부(103, 105, 107)를 통하여 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 실시간 또는 주기적으로 수집한다(S301). 이때, 네트워크 장비들(도 1의 200, 도 2의 201, 203)은 링크의 양단으로 한정되지 않고, 링크의 일단에 연결된 네트워크 장비일 수도 있다.Referring to FIG. 8 , the traffic
트래픽 누수 탐지부(101)는 S301 단계에서 수집한 정보를 학습 모델 DB(111)에 저장된 학습 모델에 입력하여 트래픽 누수 여부와 트래픽 누수 타입을 결정한다(S303). 트래픽 누수 탐지부(101)는 S303 단계에서 결정된 결과를 사용자 인터페이스부(115)로 출력한다(S305).The traffic
트래픽 누수 탐지부(101)는 S303 단계에서 트래픽 누수로 결정되었는지 판단한다(S307). 트래픽 누수가 아닌 정상 상태로 판단된 결과, S301 단계를 다시 시작한다.The traffic
반면, 트래픽 누수로 결정되면, S303 단계에서 걸정된 트래픽 누수 타입에 정의된 작업 명령을 트래픽 누수가 탐지된 링크에 연결된 적어도 하나의 네트워크 장비(도 1의 200, 도 2의 201, 203)에게 전송한다(S309). On the other hand, if it is determined as a traffic leak, the operation command defined in the traffic leak type determined in step S303 is transmitted to at least one network device (200 in FIG. 1, 201, 203 in FIG. 2) connected to the link in which the traffic leak is detected. do (S309).
또한, 학습부(109)는 S301 단계에서 수집된 정보를 S303 단계의 결정 결과와 함께 학습 모델에 업데이트하여, 학습 모델의 신뢰도를 증가시킨다.In addition, the
여기서, 트래픽 누수 탐지부(101)는 모든 수집 정보에 대해 학습 모델을 적용하기에 앞서, 트래픽 변화율에서 이상이 감지된 경우에만 학습 모델을 선택적으로 적용하는 방식을 사용할 수도 있다. 이러한 실시예는 도 9와 같다.Here, before applying the learning model to all collected information, the traffic
도 9는 본 발명의 또 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도로서, 도 8의 트래픽 누수 탐지 동작 중에서 S301 단계와 S303 단계의 다른 실시예를 나타낸 것이다.9 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention, and shows another embodiment of steps S301 and S303 in the traffic leak detection operation of FIG. 8 .
도 9를 참조하면, 트래픽 누수 탐지부(101)는 수집부(103, 105, 107)를 통하여 수집(S401)된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로 링크 별로 트래픽의 실시간 변화율을 모니터링한다(S403).Referring to FIG. 9 , the traffic
트래픽 누수 탐지부(101)는 모니터링한 트래픽의 실시간 변화율이 임계치 이상인지 판단한다(S405).The traffic
트래픽 누수 탐지부(101)는 실시간 변화율이 임계치 미만이면, S401 단계를 다시 시작한다. 반면, 실시간 변화율이 임계치 이상이면, 실시간 변화율이 임계치 이상인 링크 들중에서 트래픽 편차가 임계치 이상이면서, 트래픽 점유율이 평균 이하인 링크를 탐색한다(S407). S405 단계와 S407 단계는 도 5의 S105 단계, S107 단계와 동일하므로, 자세한 설명은 생략한다.If the real-time change rate is less than the threshold, the traffic
트래픽 누수 탐지부(101)는 S407 단계에서 탐색된 링크의 시스템 로그 정보 및 상태 정보를 학습 모델에 입력하여 트래픽 누수 여부를 결정한다(S409).The traffic
한편, 도 10은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 장치의 하드웨어 블록도로서, 도 1 ~ 도 9에서 설명한 트래픽 누수 탐지 장치(100)의 하드웨어 구성을 나타낸다.Meanwhile, FIG. 10 is a hardware block diagram of a traffic leak detection apparatus according to another embodiment of the present invention, and shows the hardware configuration of the traffic
도 10을 참조하면, 트래픽 누수 탐지 장치(400)는 통신 장치(401), 메모리(403), 저장 장치(405) 및 적어도 하나의 프로세서(407)를 포함한다. 통신 장치(401)는 적어도 하나의 프로세서(407)와 연결되어, 데이터를 송수신 처리한다. 메모리(403)는 적어도 하나의 프로세서(407)와 연결되어, 도 1 내지 도 9에서 설명한 실시예들에 따른 구성 및/또는 방법을 실행하게 하는 명령어(instructions)들을 포함하는 프로그램을 저장한다. 프로그램은 메모리(403), 저장 장치(405) 및 적어도 하나의 프로세서(407) 등의 하드웨어와 결합하여 본 발명을 구현한다.Referring to FIG. 10 , the traffic
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements by those skilled in the art using the basic concept of the present invention as defined in the following claims are also provided. is within the scope of the right.
Claims (12)
감시 대상인 복수의 링크 양단에 연결된 네트워크 장비들의 트래픽 차이, 그리고 상기 네트워크 장비들의 링크 연결 상태를 학습 데이터로 사용하여 상기 학습 데이터에 대응하는 정상 상태, 트래픽 누수 상태 및 트래픽 누수 경고 상태 중 적어도 하나를 결정하는 학습 모델을 생성하는 단계,
복수의 링크에 연결된 네트워크 장비들로부터 상기 복수의 링크 각각에 대한 트래픽 차이 및 링크 연결 상태를 수집하는 단계, 그리고
상기 수집한 트래픽 차이 및 링크 연결 상태를 상기 학습 모델에 입력하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는지 결정하는 단계
를 포함하는, 트래픽 누수 탐지 방법.A method for automatically detecting a traffic leak by an automatic traffic leak detection device operated by at least one processor, the method comprising:
At least one of a normal state, a traffic leak state, and a traffic leak warning state corresponding to the learning data is determined by using the traffic difference between the network devices connected to both ends of the plurality of links to be monitored and the link connection state of the network devices as learning data. creating a learning model that
collecting a traffic difference and link connection status for each of the plurality of links from network devices connected to the plurality of links; and
determining whether a traffic leak occurs among the plurality of links by inputting the collected traffic difference and link connection state to the learning model
A traffic leak detection method comprising a.
상기 생성하는 단계는,
트래픽의 실시간 변화율이 임계치 이상인 링크들 중에서 링크 양단의 트래픽 편차가 임계치 이상이면서 트래픽 점유율은 평균 이하인 특정 링크의 양단 중 일단이 링크 연결 상태이면, 상기 특정 링크를 트래픽 누수로 결정하고, 상기 양단이 링크 다운 상태이면 상기 특정 링크를 정상 상태로 결정하는 학습 모델을 생성하는, 트래픽 누수 탐지 방법.In claim 1,
The generating step is
Among the links in which the real-time change rate of traffic is greater than or equal to the threshold, if one end of a specific link whose traffic deviation is equal to or greater than the threshold and whose traffic share is less than or equal to the average, the particular link is determined to be a traffic leak, and both ends of the link If the down state, generating a learning model that determines the specific link as a normal state, traffic leak detection method.
상기 생성하는 단계는,
상기 특정 링크의 양단 중 일단이 링크 연결 상태이고 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상이면, 트래픽 누수로 결정하고,
상기 트래픽 차이가 임계치 미만이면, 트래픽 누수 경고로 결정하는 학습 모델을 생성하고,
상기 결정하는 단계는,
상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 타입을 판별하는, 트래픽 누수 탐지 방법.In claim 2,
The generating step is
If one end of both ends of the specific link is in a link-connected state and the traffic difference between both ends of the specific link is greater than or equal to a threshold, it is determined as a traffic leak;
If the traffic difference is less than a threshold, create a learning model to determine a traffic leak warning,
The determining step is
A traffic leak detection method for determining a link in which a traffic leak occurs and a traffic leak type among the plurality of links by using the learning model.
상기 생성하는 단계는,
다양한 트래픽 누수 원인 별로 상기 트래픽 누수 원인에 따른 트래픽 누수가 발생하였을때 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 차이, 시스템 로그 정보 및 링크 연결 상태를 학습 데이터로 사용하여 학습 모델을 생성하고,
상기 결정하는 단계는,
상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 원인을 판별하는, 트래픽 누수 탐지 방법.In claim 1,
The generating step is
When a traffic leak occurs according to the cause of the traffic leak by various traffic leak causes, a learning model is created using the traffic difference, system log information, and link connection status collected from network devices connected to both ends of a plurality of links as training data, and ,
The determining step is
A traffic leak detection method for determining a link in which a traffic leak occurs among the plurality of links and a cause of the traffic leak by using the learning model.
상기 링크 연결 상태는,
네트워크 장비 상태 및 라우팅 프로토콜 상태를 포함하고,
상기 생성하는 단계는,
상기 특정 링크의 양단이 모두 링크 다운(Down) 상태이면, 상기 특정 링크를 정상 상태로 결정하고,
링크 다운(Down)의 종류 별로 정상 상태인 경우의 네트워크 장비 상태 및 라우팅 프로토콜 상태를 학습 데이터로 사용하여 상기 학습 모델을 생성하고,
상기 결정하는 단계는,
상기 네트워크 장비들로부터 수집한 네트워크 장비 상태 및 라우팅 프로토콜 상태를 상기 학습 모델에 입력하여 링크 다운(Down)인 정상 상태와, 링크 다운(Down)의 종류를 결정하는, 트래픽 누수 탐지 방법.In claim 3,
The link connection state is
including network equipment status and routing protocol status;
The generating step is
If both ends of the specific link are in a link-down state, it is determined that the specific link is in a normal state,
By using the network equipment state and routing protocol state in the normal state for each type of link down as training data, the learning model is generated,
The determining step is
A traffic leak detection method for determining a link-down normal state and a link-down type by inputting the network equipment state and routing protocol state collected from the network equipment into the learning model.
상기 결정하는 단계 이후,
상기 트래픽 누수 타입에 정의된 트래픽 누수 해결을 위한 작업 명령을 생성하여, 트래픽 누수가 탐지된 특정 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 단계
를 더 포함하는, 트래픽 누수 탐지 방법.In claim 1,
After the determining step,
generating a work command for resolving a traffic leak defined in the traffic leak type and transmitting it to at least one network device connected to a specific link in which a traffic leak is detected;
Further comprising, a traffic leak detection method.
상기 결정하는 단계 이후,
상기 트래픽 누수 여부와 트래픽 누수 타입을 판별한 결과를 사용자 인터페이스를 통해 시각적 알람 또는 청각적 알람으로 출력하는 단계
를 더 포함하는, 트래픽 누수 탐지 방법.In claim 7,
After the determining step,
Outputting a result of determining whether the traffic leak exists and the traffic leak type as a visual alarm or an audible alarm through a user interface
Further comprising, a traffic leak detection method.
학습 모델을 이용하여 상기 복수의 링크에서 트래픽 누수가 발생하는지 탐지하는 프로그램을 저장하는 메모리, 그리고
상기 프로그램을 실행하는 적어도 하나의 프로세서를 포함하고,
상기 프로그램은,
상기 복수의 네트워크 장비들의 트래픽 차이 및 링크 연결 상태를 학습 데이터로 사용하여 상기 학습 데이터에 대응하는 정상 상태, 트래픽 누수 상태 및 트래픽 누수 경고 상태 중 적어도 하나의 트래픽 누수 타입을 결정하는 학습 모델을 생성하고,
복수의 링크에 연결된 네트워크 장비들로부터 상기 복수의 링크 각각에 대하여 수집된 트래픽 차이 및 링크 연결 상태를 상기 학습 모델에 입력하여 상기 복수의 링크에서 트래픽 누수가 발생하는지 판단하는 명령어들(Instructions)을 포함하는, 트래픽 누수 자동 탐지 장치.A communication device constituting a service network and connected to a plurality of network devices connected by a plurality of links to transmit/receive information to and from the plurality of network devices;
a memory for storing a program for detecting whether a traffic leak occurs in the plurality of links using a learning model; and
at least one processor executing the program;
The program is
Using the traffic difference and link connection state of the plurality of network devices as training data to generate a learning model that determines at least one traffic leak type of a normal state, a traffic leak state, and a traffic leak warning state corresponding to the learning data, and ,
Includes instructions for determining whether traffic leakage occurs in the plurality of links by inputting the traffic difference and link connection state collected for each of the plurality of links from network devices connected to the plurality of links into the learning model which, an automatic traffic leak detection device.
상기 프로그램은,
운용자에 의해 입력된 복수의 트래픽 누수 원인에 따른 트래픽 누수가 발생하였을때 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 차이, 시스템 로그 정보 및 링크 연결 상태를 상기 복수의 트래픽 누수 원인 별 학습 데이터로 사용하여 학습 모델을 생성하고,
실시간 또는 주기적으로 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 차이, 시스템 로그 정보 및 링크 연결 상태를 기초로 트래픽 누수 원일을 판별하는 명령어들을 포함하는, 트래픽 누수 자동 탐지 장치.In claim 9,
The program is
When a traffic leak occurs according to a plurality of traffic leak causes input by an operator, the traffic difference, system log information, and link connection status collected from network devices connected to both ends of a plurality of links are displayed as learning data for each cause of the plurality of traffic leaks. to create a training model using
A traffic leak automatic detection device comprising instructions for determining the source of a traffic leak based on the traffic difference, system log information, and link connection status collected from network devices connected to both ends of a plurality of links selected as monitoring targets in real time or periodically .
상기 프로그램은,
상기 복수의 링크 양단의 트래픽 실시간 변화율을 모니터링하여, 상기 실시간 변화율이 임계치 이상이면, 상기 복수의 링크의 트래픽 점유율 평균치보다 낮은 특정 링크의 양단이 모두 절단(Down) 상태이면, 상기 특정 링크를 정상 상태로 판별하고,
상기 특정 링크의 양단 중 일단이 연결(Up) 상태이면, 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상인지 판단하여, 임계치 이상이면 상기 특정 링크를 트래픽 누수 상태로 판별하며, 임계치 미만이면 상기 특정 링크를 트래픽 누수 경고 상태로 판별하는 학습 모델을 생성하는 명령어들을 포함하는, 트래픽 누수 자동 탐지 장치.In claim 10,
The program is
The real-time change rate of traffic at both ends of the plurality of links is monitored, and if the real-time rate of change is equal to or greater than a threshold, if both ends of a specific link lower than the average value of the traffic occupancy of the plurality of links are both down, the specific link is set to a normal state. to be determined,
If one end of both ends of the specific link is in an up state, it is determined whether the traffic difference between both ends of the specific link is equal to or greater than a threshold, and if it is equal to or greater than the threshold, the specific link is determined to be in a traffic leak state; Containing instructions for generating a learning model to determine the traffic leak warning state, traffic leak automatic detection device.
상기 프로그램의 동작에 따른 정보를 시각적 또는 청각적으로 출력하는 사용자 인터페이스부를 더 포함하고,
상기 프로그램은,
상기 학습 모델을 이용하여 결정한 트래픽 누수 타입을 상기 사용자 인터페이스부로 출력하고,
상기 트래픽 누수 타입이 트래픽 누수 상태 또는 트래픽 누수 경고 상태로 결정된 경우, 트래픽 누수 타입에 따른 작업 명령을 해당하는 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 명령어들을 포함하는, 트래픽 누수 자동 탐지 장치.
In claim 9,
Further comprising a user interface for outputting information according to the operation of the program visually or audibly,
The program is
Outputs the traffic leak type determined using the learning model to the user interface unit,
and instructions for transmitting an operation command according to the traffic leak type to at least one network device connected to a corresponding link when the traffic leak type is determined to be a traffic leak state or a traffic leak warning state.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180158654A KR102362077B1 (en) | 2018-12-10 | 2018-12-10 | Method and apparatus for automatic detection of traffic leakage |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180158654A KR102362077B1 (en) | 2018-12-10 | 2018-12-10 | Method and apparatus for automatic detection of traffic leakage |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200070942A KR20200070942A (en) | 2020-06-18 |
KR102362077B1 true KR102362077B1 (en) | 2022-02-10 |
Family
ID=71143345
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180158654A KR102362077B1 (en) | 2018-12-10 | 2018-12-10 | Method and apparatus for automatic detection of traffic leakage |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102362077B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014015951A1 (en) | 2012-07-21 | 2014-01-30 | Audi Ag | Circuit arrangement for a mobile communications unit of a motor vehicle, motor vehicle and method for operating a circuit arrangement |
WO2014139461A1 (en) | 2013-03-15 | 2014-09-18 | 华为技术有限公司 | Method and device for monitoring network performance |
KR102055915B1 (en) | 2018-11-14 | 2019-12-13 | 주식회사 케이티 | System and method for fault prediction in core network based on autoencoder |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100887874B1 (en) * | 2002-06-28 | 2009-03-06 | 주식회사 케이티 | System for managing fault of internet and method thereof |
KR20040039509A (en) * | 2002-11-01 | 2004-05-12 | 주식회사 엔엠시스템즈 | Monitoring system of optical communication network |
KR100936236B1 (en) * | 2007-09-04 | 2010-01-11 | 충남대학교산학협력단 | System and method for measuring QoS metrics for SIP/RTP VoIP traffic |
KR20160132698A (en) * | 2015-05-11 | 2016-11-21 | 삼성에스디에스 주식회사 | Apparatus and method of intelligent system diagnosis |
KR102009718B1 (en) * | 2016-08-30 | 2019-08-16 | 주식회사 케이티 | System and method for monitoring fault in mobile communication network |
KR20190107523A (en) * | 2018-03-12 | 2019-09-20 | 주식회사 케이티 | System and method for handling network failure using syslog |
-
2018
- 2018-12-10 KR KR1020180158654A patent/KR102362077B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014015951A1 (en) | 2012-07-21 | 2014-01-30 | Audi Ag | Circuit arrangement for a mobile communications unit of a motor vehicle, motor vehicle and method for operating a circuit arrangement |
WO2014139461A1 (en) | 2013-03-15 | 2014-09-18 | 华为技术有限公司 | Method and device for monitoring network performance |
KR102055915B1 (en) | 2018-11-14 | 2019-12-13 | 주식회사 케이티 | System and method for fault prediction in core network based on autoencoder |
Also Published As
Publication number | Publication date |
---|---|
KR20200070942A (en) | 2020-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3275125B1 (en) | Flow-specific failure detection in sdn networks | |
US8730814B2 (en) | Communication network connection failure protection methods and systems | |
US9515962B2 (en) | Communication system, communication method, server equipment, and communication equipment | |
CN104301146A (en) | Link switching method and device in software defined network | |
CN103684835B (en) | Link fault reporting method and processing method, and transmission node and primary node | |
CN107735784A (en) | Communication link fails detection in software defined network | |
US7724685B2 (en) | Network segmentation method | |
CN106603261B (en) | Hot backup method, first main device, standby device and communication system | |
CN103812675A (en) | Method and system for realizing allopatric disaster recovery switching of service delivery platform | |
CN104243239B (en) | The condition detection method and device of controller in a kind of SDN clusters | |
JP4616020B2 (en) | Network monitoring program and network system | |
CN103441897A (en) | Method and device for locating failure node in virtual network | |
CN102571457B (en) | A kind of method, bypass equipment changing method and device triggering bypass equipment and switch | |
CN101056341B (en) | Automatic closing method and automatic recovery method of unidirectional link and its device | |
US7366104B1 (en) | Network monitoring and disaster detection | |
CN104125590A (en) | Link fault diagnosis device and method thereof | |
WO2019172319A1 (en) | Monitoring device and monitoring method | |
US20080002569A1 (en) | Method and apparatus for identifying a fault in a communications link | |
CN105743565A (en) | Optical transport network protection switching method and device | |
KR102362077B1 (en) | Method and apparatus for automatic detection of traffic leakage | |
CN107948000B (en) | Method, device and system for switching main channel and standby channel | |
CN108632121A (en) | A kind of pretection switch method and device for looped network | |
CN109039761B (en) | Method and device for processing fault link in cluster control channel | |
KR101590590B1 (en) | Control apparatus and method thereof in software defined network | |
CN104639499B (en) | A kind of fire wall monitoring method, device and network management platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |