KR102362077B1 - Method and apparatus for automatic detection of traffic leakage - Google Patents

Method and apparatus for automatic detection of traffic leakage Download PDF

Info

Publication number
KR102362077B1
KR102362077B1 KR1020180158654A KR20180158654A KR102362077B1 KR 102362077 B1 KR102362077 B1 KR 102362077B1 KR 1020180158654 A KR1020180158654 A KR 1020180158654A KR 20180158654 A KR20180158654 A KR 20180158654A KR 102362077 B1 KR102362077 B1 KR 102362077B1
Authority
KR
South Korea
Prior art keywords
traffic
leak
link
state
links
Prior art date
Application number
KR1020180158654A
Other languages
Korean (ko)
Other versions
KR20200070942A (en
Inventor
이경주
한정훈
권유안
윤철희
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020180158654A priority Critical patent/KR102362077B1/en
Publication of KR20200070942A publication Critical patent/KR20200070942A/en
Application granted granted Critical
Publication of KR102362077B1 publication Critical patent/KR102362077B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

트래픽 누수 자동 탐지 방법 및 그 장치가 제공된다. 이 방법은 적어도 하나의 프로세서에 의해 동작하는 트래픽 누수 자동 탐지 장치가 트래픽 누수를 자동으로 탐지하는 방법으로서, 감시 대상인 복수의 링크 양단에 연결된 네트워크 장비들로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로, 복수의 트래픽 누수 원인을 학습하여 학습 모델을 생성하는 단계, 복수의 링크에 연결된 적어도 하나의 네트워크 장비로부터 상기 복수의 링크 각각에 대한 트래픽 정보, 시스템 로그 정보 및 상태 정보를 수집하는 단계, 그리고 상기 트래픽 정보, 상기 시스템 로그 정보 및 상기 상태 정보를 상기 학습 모델에 입력하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는지 결정하는 단계를 포함한다.A method and apparatus for automatically detecting a traffic leak are provided. This method is a method in which an automatic traffic leak detection device operated by at least one processor automatically detects a traffic leak, based on traffic information, system log information, and status information from network devices connected to both ends of a plurality of links to be monitored. generating a learning model by learning a plurality of traffic leak causes; collecting traffic information, system log information, and status information for each of the plurality of links from at least one network device connected to the plurality of links; and and inputting the traffic information, the system log information, and the state information into the learning model to determine whether a traffic leak occurs among the plurality of links.

Description

트래픽 누수 자동 탐지 방법 및 그 장치{METHOD AND APPARATUS FOR AUTOMATIC DETECTION OF TRAFFIC LEAKAGE}Method and device for automatic traffic leak detection

본 발명은 트래픽 누수 자동 탐지 방법 및 그 장치에 관한 것으로서, 네트워크 장비들이 복수의 링크로 연결된 서비스망에서 트래픽 누수를 자동으로 탐지하는 기술에 관한 것이다.The present invention relates to a method and apparatus for automatically detecting a traffic leak, and to a technology for automatically detecting a traffic leak in a service network in which network devices are connected by a plurality of links.

트래픽 누수는 서로 연결된 두개의 네트워크 장비 사이에 송수신되는 트래픽이 가용 대역폭 이내로 인입되고 있음에도 불구하고, 트래픽이 드롭(Drop)되는 현상을 말한다. Traffic leakage refers to a phenomenon in which traffic is dropped even though the traffic transmitted and received between two network devices connected to each other is coming within the available bandwidth.

트래픽 누수가 있으면, 네트워크 장비들에 연결된 종단 사용자 단말에서는 통화 중 음성이 끊긴다거나 또는 모바일 게임 중에 랙(lack)이 발생하는 등의 서비스 장애가 발생한다. 네트워크 장비 내에서 대역폭 보다 많은 트래픽이 링크 1개에 집중되면 라우터에서는 'Q-DROP' 경보를 발생시키고, 트래픽 전송 중에 에러가 발생하면 CRC(cyclical redundancy check) 시스로그(syslog) 등을 발생시켜 운용자가 인지할 수 있도록 한다. If there is a traffic leak, a service failure occurs in the end user terminal connected to the network devices, such as a voice cut off during a call or a lag occurring during a mobile game. When more traffic than bandwidth within the network equipment is concentrated on one link, the router generates a 'Q-DROP' alarm. make it recognizable

그런데, 트래픽 누수 발생시에는 어떠한 경보 또는 시스로그(syslog)를 남기지 않고 장애가 지속되므로 그 상황의 심각성이 중요하다. However, since the failure continues without leaving any alarm or syslog when a traffic leak occurs, the severity of the situation is important.

여러 개의 링크를 통해 두 장비간 트래픽을 부하 분산하는 ECMP(Equal Cost Multi-Path) 또는 UCMP(Unequal Cost Multi-Path) 방식의 망 구조에서는 트래픽 누수를 감지하는 것이 더욱 어렵다. 왜냐하면, 두 네트워크 장비간 트래픽은 소통되지만 일부 특정 링크의 트래픽이 누수되고 있는 상황에서 아무런 경보나 시스로그(syslog)가 발생하지 않으므로, 운용자가 이를 직접 인지하기 어렵기 때문이다. It is more difficult to detect a traffic leak in an ECMP (Equal Cost Multi-Path) or UCMP (Unequal Cost Multi-Path) network structure that load balances traffic between two devices through multiple links. This is because, although traffic between two network devices is communicated, no alarm or syslog is generated in a situation in which traffic of some specific link is leaking, so it is difficult for an operator to directly recognize it.

따라서, 트래픽 누수 현상은 실시간 트래픽 정보, 라우터 상태 정보, 시스로그(syslog) 정보 등을 종합하여 판단하여야 한다. 그런데, 수많은 감시 대상의 링크 상태 정보, IGP(Interior Gateway Protocol) 또는 IDRP(Intra-domain Routing Protocol) 상태 정보 등을 운용자가 일일이 확인하여 트래픽 누수를 실시간으로 탐지하기는 현실적으로 어렵다. Therefore, the traffic leak phenomenon must be determined by integrating real-time traffic information, router status information, syslog information, and the like. However, it is practically difficult for an operator to check the link status information of numerous monitoring targets, IGP (Interior Gateway Protocol) or IDRP (Intra-domain Routing Protocol) status information one by one to detect a traffic leak in real time.

본 발명이 해결하고자 하는 과제는 네트워크 장비들이 복수의 링크로 연결된 구간에서 트래픽 누수(traffic stuck) 현상을 실시간으로 감지하는 방법 및 그 장치를 제공하는 것이다.An object of the present invention is to provide a method and an apparatus for detecting a traffic stuck phenomenon in real time in a section in which network devices are connected by a plurality of links.

본 발명의 하나의 특징에 따르면, 트래픽 누수 탐지 방법은 적어도 하나의 프로세서에 의해 동작하는 트래픽 누수 자동 탐지 장치가 트래픽 누수를 자동으로 탐지하는 방법으로서, 감시 대상인 복수의 링크 양단에 연결된 네트워크 장비들로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로, 복수의 트래픽 누수 원인을 학습하여 학습 모델을 생성하는 단계, 복수의 링크에 연결된 적어도 하나의 네트워크 장비로부터 상기 복수의 링크 각각에 대한 트래픽 정보, 시스템 로그 정보 및 상태 정보를 수집하는 단계, 그리고 상기 트래픽 정보, 상기 시스템 로그 정보 및 상기 상태 정보를 상기 학습 모델에 입력하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는지 결정하는 단계를 포함한다.According to one aspect of the present invention, a traffic leak detection method is a method in which an automatic traffic leak detection apparatus operated by at least one processor automatically detects a traffic leak, from network devices connected to both ends of a plurality of links to be monitored. generating a learning model by learning a plurality of traffic leak causes based on traffic information, system log information, and status information; traffic information for each of the plurality of links from at least one network device connected to a plurality of links; collecting log information and status information; and inputting the traffic information, the system log information, and the status information to the learning model to determine whether a traffic leak occurs among the plurality of links.

상기 생성하는 단계는, 상기 트래픽 정보를 기초로, 상기 감시 대상인 복수의 링크의 트래픽 실시간 변화율을 모니터링하는 단계, 상기 트래픽 실시간 변화율이 임계치 이상이면, 상기 감시 대상인 복수의 링크 중에서 트래픽양이 임계치 이하인 특정 링크를 탐색하는 단계, 상기 특정 링크 양단에 연결된 네트워크 장비들로부터 수집된 상태 정보를 기초로, 상기 특정 링크의 양단 중 일단이 링크 연결(Up) 상태인지 판단하는 단계, 상기 특정 링크의 양단 중 일단이 링크 연결(Up) 상태이면, 상기 특정 링크를 트래픽 누수로 판정하는 단계, 그리고 상기 특정 링크 양단에 연결된 네트워크 장비들로부터 수집된 시스템 로그 정보 및 상태 정보를 이용하여 상기 학습 모델을 학습시키는 단계를 포함할 수 있다.The generating may include monitoring a real-time change rate of traffic of the plurality of links to be monitored based on the traffic information. Searching for a link, determining whether one end of both ends of the specific link is in a link up state based on status information collected from network devices connected to both ends of the specific link, and one end of the specific link If the link connection (Up) state, determining the specific link as a traffic leak, and learning the learning model using the system log information and status information collected from network devices connected to both ends of the specific link may include

상기 트래픽 누수로 결정하는 단계는, 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상인지 판단하는 단계, 상기 트래픽 차이가 임계치 이상이면, 트래픽 누수로 결정하는 단계, 그리고 상기 트래픽 차이가 임계치 미만이면, 트래픽 누수 경고로 결정하는 단계를 포함하고, 상기 학습시키는 단계는, 트래픽 누수인 경우의 트래픽 정보, 시스템 로그 정보 및 상태 정보와, 트래픽 누수 경고인 경우의 트래픽 정보, 시스템 로그 정보 및 상태 정보를 구분하여 학습하고, 상기 트래픽 누수가 발생하는지 결정하는 단계는, 상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 타입을 판별할 수 있다.The determining of the traffic leak may include determining whether a traffic difference between both ends of the specific link is greater than or equal to a threshold, determining whether the traffic difference is greater than or equal to a threshold, determining a traffic leak, and if the traffic difference is less than a threshold, traffic Comprising the step of determining a water leak warning, the step of learning, traffic information, system log information and status information in the case of a traffic leak, and traffic information, system log information, and status information in the case of a traffic leak warning by distinguishing In the learning and determining whether the traffic leak occurs, a link in which a traffic leak occurs among the plurality of links and a traffic leak type may be determined using the learning model.

상기 학습시키는 단계는, 상기 특정 링크 양단에 연결된 네트워크 장비들로부터 수집된 시스템 로그 정보 및 상태 정보를 기초로, 트래픽 누수 원인을 추출하고, 상기 트래픽 누수가 발생하는지 결정하는 단계는, 상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 원인을 판별할 수 있다.In the learning step, extracting a cause of a traffic leak based on system log information and status information collected from network devices connected to both ends of the specific link, and determining whether the traffic leak occurs, the learning model It can be used to determine a link in which a traffic leak occurs among the plurality of links and a cause of the traffic leak.

상기 일단이 링크 연결(Up) 상태인지 판단하는 단계 이후, 상기 특정 링크의 양단이 모두 링크 다운(Down) 상태이면, 상기 특정 링크를 정상 상태로 결정하는 단계, 그리고 상기 특정 링크의 양단에서 수집된 상태 정보를 기초로, 링크 다운(Down)의 종류를 구별하는 단계를 더 포함하고, 상기 학습시키는 단계는, 링크 다운(Down)의 종류 별로 정상 상태인 경우의 트래픽 정보, 시스템 로그 정보 및 상태 정보를 학습하고, 상기 결정하는 단계는, 상기 트래픽 정보, 상기 시스템 로그 정보 및 상기 상태 정보를 상기 학습 모델에 입력하여 링크 다운(Down)인 정상 상태와, 링크 다운(Down)의 종류를 결정할 수 있다.After determining whether the one end is in a link connection (Up) state, if both ends of the specific link are in a link down state, determining the specific link as a normal state, and collecting data collected from both ends of the specific link The method further includes the step of discriminating a type of link down based on the status information, wherein the learning includes traffic information, system log information, and status information in a normal state for each type of link down. The step of learning and determining may include inputting the traffic information, the system log information, and the state information into the learning model to determine a link-down normal state and a link-down type. .

상기 수집하는 단계 이후, 상기 적어도 하나의 네트워크 장비로부터 수집된 트래픽 정보를 기초로, 상기 복수의 링크의 트래픽 실시간 변화율을 모니터링하는 단계, 그리고 상기 트래픽 실시간 변화율이 임계치 이상이면, 상기 복수의 링크 중에서 트래픽양이 임계치 이하인 특정 링크를 탐색하는 단계를 더 포함하고, 상기 결정하는 단계는, 상기 탐색된 특정 링크에서 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 학습 모델에 입력하여 트래픽 누수 여부를 판단할 수 있다.After the collecting, monitoring a real-time rate of change in traffic of the plurality of links based on the traffic information collected from the at least one network device, and if the real-time rate of change in traffic is equal to or greater than a threshold, traffic among the plurality of links The method further includes the step of searching for a specific link whose amount is less than or equal to a threshold, wherein the determining step includes inputting traffic information, system log information, and status information collected from the discovered specific link into a learning model to determine whether or not traffic leaks. can

상기 결정하는 단계는, 트래픽 누수 여부와 트래픽 누수 타입을 판별하고, 상기 결정하는 단계 이후, 상기 트래픽 누수 타입에 정의된 트래픽 누수 해결을 위한 작업 명령을 생성하여, 트래픽 누수가 탐지된 특정 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 단계를 더 포함할 수 있다.The determining may include determining whether a traffic leak exists and a traffic leak type, and after the determining step, a work command for resolving a traffic leak defined in the traffic leak type is generated and connected to a specific link in which the traffic leak is detected. The method may further include transmitting to at least one network device.

상기 결정하는 단계 이후, 상기 트래픽 누수 여부와 트래픽 누수 타입을 판별한 결과를 사용자 인터페이스를 통해 시각적 알람 또는 청각적 알람으로 출력하는 단계를 더 포함할 수 있다.After the determining, the method may further include outputting a result of determining whether the traffic leak is present and the traffic leak type as a visual alarm or an audible alarm through a user interface.

본 발명의 다른 특징에 따르면, 트래픽 누수 자동 탐지 장치는 서비스망을 구성하고, 복수의 링크로 연결된 적어도 하나의 네트워크 장비와 연결되어 상기 적어도 하나의 네트워크 장비와 정보를 송수신하는 통신 장치, 학습 모델을 이용하여 상기 복수의 링크에서 트래픽 유실이 발생하는지 탐지하는 프로그램을 저장하는 메모리, 그리고 상기 프로그램을 실행하는 적어도 하나의 프로세서를 포함하고, 상기 프로그램은, 상기 적어도 하나의 네트워크 장비로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 상기 학습 모델에 입력하여 상기 복수의 링크에서 트래픽 유실이 발생하는지와 트래픽 유실 원인을 판단하는 명령어들(Instructions)을 포함할 수 있다.According to another feature of the present invention, the automatic traffic leak detection apparatus configures a service network, is connected to at least one network device connected by a plurality of links, and includes a communication device and a learning model for transmitting and receiving information with the at least one network device. a memory storing a program for detecting whether traffic loss occurs in the plurality of links by using the memory; and at least one processor executing the program, wherein the program comprises: traffic information collected from the at least one network device; It may include instructions for determining whether traffic loss occurs in the plurality of links and a cause of traffic loss by inputting system log information and status information to the learning model.

상기 프로그램은, 운용자에 의해 입력된 복수의 트래픽 누수 원인을 지정한 트리거링 이벤트 발생시, 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 학습하고, 실시간 또는 주기적으로 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로 트래픽 누수를 판별하고, 트래픽 누수가 탐지된 링크에서 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 이용하여 트래픽 누수 원인을 학습하는 명령어들을 포함할 수 있다.The program learns traffic information, system log information and status information collected from network devices connected to both ends of a plurality of links selected as monitoring targets when a triggering event that specifies a plurality of traffic leak causes input by an operator occurs, It determines traffic leaks based on traffic information, system log information, and status information collected from network devices connected to both ends of a plurality of links selected for monitoring in real time or periodically, and traffic information collected from the link where the traffic leak is detected. , commands for learning the cause of traffic leakage using system log information and status information.

상기 프로그램은, 상기 실시간 또는 주기적으로 수집된 트래픽 정보를 기초로, 트래픽 실시간 변화율을 모니터링하여, 상기 실시간 변화율이 임계치 이상이면, 상기 복수의 링크의 트래픽 점유율 평균치보다 낮은 특정 링크를 탐색하며, 상기 특정 링크의 양단이 모두 절단(Down) 상태이면, 상기 특정 링크를 정상 상태로 판별하고, 상기 특정 링크의 양단 중 일단이 연결(Up) 상태이면, 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상인지 판단하여, 임계치 이상이면 상기 특정 링크를 트래픽 누수 상태로 판별하며, 임계치 미만이면 상기 특정 링크를 트래픽 누수 경고 상태로 판별하고, 상기 정상 상태, 상기 트래픽 누수 상태, 상기 트래픽 누수 경고 상태로 판별된 특정 링크에서 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 이용하여 상기 학습 모델을 학습시키는 명령어들을 포함할 수 있다.The program monitors a real-time change rate of traffic based on the real-time or periodically collected traffic information, and if the real-time rate of change is greater than or equal to a threshold, searches for a specific link lower than the average value of the traffic share of the plurality of links, If both ends of the link are in a down state, the specific link is determined as a normal state. Thus, if the threshold value or more, the specific link is determined as a traffic leak state, if it is less than the threshold value, the specific link is determined as a traffic leak warning state, and the specific link determined as the normal state, the traffic leak state, and the traffic leak warning state It may include instructions for learning the learning model by using the collected traffic information, system log information, and state information.

상기 장치는, 상기 프로그램의 동작에 따른 정보를 시각적 또는 청각적으로 출력하는 사용자 인터페이스부를 더 포함하고, 상기 프로그램은, 상기 적어도 하나의 네트워크 장비로부터 수집된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 상기 학습 모델에 입력하여 정상 상태, 트래픽 누수 상태 및 트래픽 누수 경고 상태 중 어느 상태에 해당하는지 판별하고, 트래픽 누수 상태인 경우, 트래픽 누수 원인을 판별하며, 판별 결과를 상기 사용자 인터페이스부로 출력하고, 트래픽 누수 또는 트래픽 경고로 판별된 경우, 트래픽 누수 판단 결과 및 트래픽 누수 원인에 따른 작업 명령을 특정 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 명령어들을 포함할 수 있다.The apparatus further includes a user interface unit that visually or aurally outputs information according to the operation of the program, wherein the program displays traffic information, system log information, and status information collected from the at least one network device. It is input to the learning model to determine which of the normal state, traffic leak state, and traffic leak warning state corresponds to, and if it is a traffic leak state, determines the cause of traffic leak, outputs the determination result to the user interface unit, and traffic leak Alternatively, when it is determined as a traffic warning, it may include commands for transmitting a traffic leak determination result and a work command according to the cause of the traffic leak to at least one network device connected to a specific link.

본 발명에 따르면, 트래픽 누수 현상을 실시간으로 감지할 수 있어 즉각적인 조치가 가능하므로, 인터넷 서비스 대형 장애 문제를 원천적으로 해결할 수 있다.According to the present invention, since it is possible to detect a traffic leak phenomenon in real time and take immediate action, it is possible to fundamentally solve the problem of large Internet service failure.

또한, 트래픽 누수 탐지 결과와 운용자에 의한 인위적 트래픽 누수 발생 등 다양한 케이스들을 통해 축적된 학습 데이터를 기초로, 트래픽 누수 탐지를 위한 학습 모델을 생성하고 이를 트래픽 누수 탐지시 이용함으로써, 트래픽 누수 탐지의 신뢰도를 향상시킬 수 있다.In addition, based on the learning data accumulated through various cases such as the traffic leak detection result and the occurrence of artificial traffic leak by the operator, a learning model for traffic leak detection is created and used to detect the traffic leak, so the reliability of traffic leak detection can improve

또한, 실시간 관제 및 운용 가능한 솔루션으로서 네트워크 운용 비용을 절감할 수 있고, 장비 제조사 종류, 장비 명령어에 독립적으로 동작 가능하다.In addition, as a real-time control and operable solution, network operation costs can be reduced, and it can operate independently of equipment manufacturer types and equipment commands.

도 1은 본 발명의 실시예에 따른 트래픽 누수 자동 탐지 장치가 적용된 네트워크 환경을 도시한다.
도 2는 본 발명의 실시예에 따른 멀티 패쓰 구간을 설명하는 도면이다.
도 3은 본 발명의 한 실시예에 따른 트래픽 누수 탐지 장치의 세부 구성을 나타낸 블록도이다.
도 4는 본 발명의 실시예에 따른 트래픽 통계를 나타낸다.
도 5는 본 발명의 한 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이다.
도 6은 본 발명의 실시예에 따른 트래픽 누수 탐지를 위한 학습 모델의 예시도이다.
도 7은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이다.
도 8은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도이다.
도 9는 본 발명의 또 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도이다.
도 10은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 장치의 하드웨어 블록도이다.1 illustrates a network environment to which an automatic traffic leak detection apparatus according to an embodiment of the present invention is applied.
2 is a view for explaining a multi-path section according to an embodiment of the present invention.
3 is a block diagram illustrating a detailed configuration of an apparatus for detecting a traffic leak according to an embodiment of the present invention.
4 shows traffic statistics according to an embodiment of the present invention.
5 is a flowchart illustrating a traffic leak detection learning operation according to an embodiment of the present invention.
6 is an exemplary diagram of a learning model for detecting a traffic leak according to an embodiment of the present invention.
7 is a flowchart illustrating a traffic leak detection learning operation according to another embodiment of the present invention.
8 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention.
9 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention.
10 is a hardware block diagram of an apparatus for detecting a traffic leak according to another embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, the embodiments of the present invention will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement them. However, the present invention may be embodied in various different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함" 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part "includes" a certain element, it means that other elements may be further included, rather than excluding other elements, unless otherwise stated.

이제, 도면을 참조하여 본 발명의 실시예에 따른 트래픽 누수 자동 탐지 방법 및 그 장치에 대하여 설명한다.Now, a method and apparatus for automatically detecting a traffic leak according to an embodiment of the present invention will be described with reference to the drawings.

도 1은 본 발명의 실시예에 따른 트래픽 누수 자동 탐지 장치가 적용된 네트워크 환경을 도시하고, 도 2는 본 발명의 실시예에 따른 멀티 패쓰 구간을 설명하는 도면이다.1 shows a network environment to which an automatic traffic leak detection apparatus according to an embodiment of the present invention is applied, and FIG. 2 is a diagram for explaining a multi-path section according to an embodiment of the present invention.

도 1을 참조하면, 트래픽 누수 자동 탐지 장치(100)는 서비스망을 구성하는 네트워크 장비(200)들로부터 수집한 정보를 기초로, 네트워크 장비들(200)을 서로 연결하는 적어도 하나의 링크에서 트래픽 누수가 발생하는지 탐지한다. 여기서, 네트워크 장비들(200)은 종단 장비, 즉, 단말(300)과 연결되며, 예를들면, 라우터, 스위치 등을 포함한다.Referring to FIG. 1 , the automatic traffic leak detection apparatus 100 performs traffic in at least one link connecting the network devices 200 to each other based on information collected from the network devices 200 constituting the service network. Detect leaks. Here, the network equipment 200 is connected to the end equipment, that is, the terminal 300, and includes, for example, a router, a switch, and the like.

도 2를 참조하면, 두개의 네트워크 장비(201, 203)는 복수의 링크로 연결된다. 이처럼, 복수의 링크로 연결되는 구조는 멀티 패쓰(Multiple Path)로서, ECMP(Equal Cost Multi-Path) 또는 UCMP(Unequal Cost Multi-Path)라 할 수 있다.Referring to FIG. 2 , two network devices 201 and 203 are connected by a plurality of links. As such, a structure connected by a plurality of links is a multiple path, and may be referred to as an Equal Cost Multi-Path (ECMP) or an Unequal Cost Multi-Path (UCMP).

예를들어, 네트워크 장비1(201)과 네트워크 장비2(203)가 5개의 링크로 연결되어 있다고 할 경우, 각 링크를 통해서 트래픽이 송수신된다. 이때, 5번 링크(⑤)에 연결된 네트워크 장비1(201)과 네트워크 장비2(203) 간에 트래픽이 현저하게 차이가 발생하면, 5번 링크(⑤)에서 트래픽이 유실, 즉, 트래픽 누수가 발생하였다고 한다. 이처럼, 트래픽 누수는 링크의 일단에 연결된 네트워크 장비1(201)에서 트래픽을 전송하였으나, 링크의 타단에 연결된 네트워크 장비2(203)에서는 트래픽이 정상적으로 수신되지 못한 경우가 해당된다. 물론, 그 반대의 경우도 마찬가지이다. For example, if it is assumed that the network device 1 201 and the network device 2 203 are connected by five links, traffic is transmitted/received through each link. At this time, if there is a significant difference in traffic between the network device 1 (201) and the network device 2 (203) connected to the link 5 (⑤), traffic is lost in the link 5 (⑤), that is, a traffic leak occurs. said to have done As such, the traffic leak corresponds to a case in which traffic is transmitted from the network device 1 201 connected to one end of the link, but the traffic is not normally received from the network device 2 203 connected to the other end of the link. Of course, vice versa.

트래픽 누수가 링크 양단에서 트래픽 차이가 발생함을 의미하기는 하나, 단순히 링크 양단의 트래픽양을 비교함으로써, 트래픽 누수를 탐지하기는 어렵다. 트래픽의 실시간성, 버스트 트래픽(burst traffic) 특성으로 인해 단순히 링크 양단의 트래픽량을 비교하여 서로 다르다는 이유로 트래픽 누수를 판단하면, 오류 가능성이 높다.Although a traffic leak means that a traffic difference occurs at both ends of a link, it is difficult to detect a traffic leak simply by comparing the amount of traffic at both ends of the link. Due to the real-time nature of traffic and burst traffic characteristics, if traffic leaks are determined because they are different from each other by simply comparing the traffic volumes at both ends of the link, an error is highly likely.

또한, 링크 중간에 IPS(Intrusion Prevention System) 또는 DPI(Deep Packet Inspection) 시스템 등과 같은 유해 트래픽 차단 시스템이 연결되어 있으면, 링크 양단의 트래픽 처리량이 상이하다. 또한, 링크 양단에 연결된 네트워크 장비들로부터 트래픽을 수집해야 하나, 장비의 성능 또는 보안 이슈 등으로 링크의 일단에서만 트래픽을 수집할 수 밖에 없는 경우가 있다. 또한, 링크 양단에 연결된 네트워크 장비들을 관리하는 주체가 서로 다른 경우가 있다. 이런 경우 역시 링크의 일단에서만 트래픽을 수집할 수 밖에 없다.In addition, when a harmful traffic blocking system such as an Intrusion Prevention System (IPS) or Deep Packet Inspection (DPI) system is connected in the middle of the link, traffic throughputs at both ends of the link are different. In addition, although it is necessary to collect traffic from network devices connected to both ends of the link, there are cases in which traffic can only be collected from one end of the link due to device performance or security issues. In addition, there are cases where the subjects that manage the network devices connected to both ends of the link are different from each other. In this case, too, traffic can only be collected from one end of the link.

따라서, 멀티 패쓰 구간에서 트래픽 누수를 탐지하려면, 다양한 정보를 수집하여 복합적으로 판단해야 하며, 그 구성에 대해 설명하기로 한다.Therefore, in order to detect a traffic leak in the multi-path section, it is necessary to collect various information and make a complex judgment, and the configuration will be described.

도 3은 본 발명의 한 실시예에 따른 트래픽 누수 탐지 장치의 세부 구성을 나타낸 블록도이고, 도 4는 본 발명의 실시예에 따른 트래픽 통계를 나타내며, 도 5는 본 발명의 한 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이고, 도 6은 본 발명의 실시예에 따른 트래픽 누수 탐지를 위한 학습 모델의 예시도이며, 도 7은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 학습 동작을 나타낸 순서도이다.3 is a block diagram showing a detailed configuration of a traffic leak detection apparatus according to an embodiment of the present invention, FIG. 4 shows traffic statistics according to an embodiment of the present invention, and FIG. 5 is a block diagram according to an embodiment of the present invention It is a flowchart illustrating a traffic leak detection learning operation, FIG. 6 is an exemplary diagram of a learning model for traffic leak detection according to an embodiment of the present invention, and FIG. 7 is a traffic leak detection learning operation according to another embodiment of the present invention It is a flowchart.

도 3을 참조하면, 트래픽 누수 자동 탐지 장치(100)는 트래픽 정보 수집부(101), 시스템 로그 정보 수집부(103), 상태 정보 수집부(105), 트래픽 누수 탐지부(107), 학습부(109), 학습 모델 DB(111), 네트워크 장비 제어부(113) 및 사용자 인터페이스부(115)를 포함한다. Referring to FIG. 3 , the automatic traffic leak detection apparatus 100 includes a traffic information collection unit 101 , a system log information collection unit 103 , a state information collection unit 105 , a traffic leak detection unit 107 , and a learning unit. 109 , a learning model DB 111 , a network equipment control unit 113 , and a user interface unit 115 .

여기서, 트래픽 누수 탐지부(101)는 트래픽 누수 학습 모델을 생성하기 위한 탐지 동작과, 학습 모델을 이용한 트래픽 누수 탐지 동작을 수행한다. Here, the traffic leak detection unit 101 performs a detection operation for generating a traffic leak learning model and a traffic leak detection operation using the learning model.

트래픽 누수 학습 모델을 생성하기 위한 탐지 동작의 경우, 트래픽 누수 탐지부(101)는 링크의 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)에서 모두 정보를 수집할 수 있어야 한다. 즉, 트래픽 누수 탐지부(101)는 링크 양단에서 수집된 정보를 이용한다. In the case of a detection operation for generating a traffic leak learning model, the traffic leak detection unit 101 must be able to collect information from all network devices (200 in FIG. 1 and 201 and 203 in FIG. 2 ) connected to both ends of the link. do. That is, the traffic leak detection unit 101 uses information collected from both ends of the link.

반면, 학습 모델을 이용한 트래픽 누수 탐지 동작의 경우, 링크 양단 뿐만 아니라 링크 일단에서만 정보 수집이 가능한 경우라도 관계없다. 즉, 트래픽 누수 탐지부(101)는 링크의 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203) 뿐만 아니라, 링크의 일단에 연결된 네트워크 장비(도 1의 200, 도 2의 201 또는 203)에서만 수집한 정보를 이용할 수도 있다.On the other hand, in the case of the traffic leak detection operation using the learning model, it does not matter if information can be collected only from both ends of the link as well as from one end of the link. That is, the traffic leak detection unit 101 includes not only the network devices connected to both ends of the link (200 in FIG. 1 , 201 and 203 in FIG. 2 ), but also the network devices connected to one end of the link (200 in FIG. 1 and FIG. 2 ). 201 or 203) may use information collected only.

트래픽 정보 수집부(101), 시스템 로그 정보 수집부(103) 및 장비 상태 정보 수집부(105)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 정보를 수집한다. The traffic information collection unit 101 , the system log information collection unit 103 , and the equipment state information collection unit 105 collect information from network devices ( 200 in FIG. 1 , 201 and 203 in FIG. 2 ).

트래픽 정보 수집부(101)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보를 수집한다. 한 실시예에 따르면, 트래픽 정보는 단위 시간(예, 5분 단위) 동안 각 네트워크 장비(도 1의 200, 도 2의 201, 203)의 링크 별 트래픽 처리량을 포함할 수 있다. 트래픽 처리량은 단위 시간 동안 네트워크 장비에서 처리되는 트래픽양을 의미한다. 트래픽 정보 수집부(101)는 수집한 트래픽 처리량을 기초로 링크 별로 트래픽 점유율(%)을 계산한다. 링크 별로 트래픽 점유율(%)은 링크의 대역폭과 그 링크에서의 트래픽 처리량의 비로 표현된다. The traffic information collecting unit 101 collects traffic information from network devices (200 in FIG. 1 and 201 and 203 in FIG. 2 ). According to an embodiment, the traffic information may include the traffic throughput for each link of each network device (200 in FIG. 1 and 201 and 203 in FIG. 2 ) for a unit time (eg, in units of 5 minutes). The traffic throughput means the amount of traffic processed by the network equipment for a unit time. The traffic information collection unit 101 calculates a traffic share (%) for each link based on the collected traffic throughput. The traffic share (%) for each link is expressed as the ratio of the bandwidth of the link to the traffic throughput in the link.

다른 실시예에 따르면, 트래픽 점유율(%)은 각 네트워크 장비(도 1의 200, 도 2의 201, 203)에서 계산될 수 있다. 그리고 트래픽 정보 수집부(101)는 단위 시간(예, 5분 단위)의 트래픽 점유율(%)을 각 네트워크 장비(도 1의 200, 도 2의 201, 203)로부터 수신할 수 있다.According to another embodiment, the traffic share (%) may be calculated in each network device (200 in FIG. 1 and 201 and 203 in FIG. 2). In addition, the traffic information collection unit 101 may receive the traffic share (%) for a unit time (eg, in units of 5 minutes) from each network device (200 in FIG. 1 and 201 and 203 in FIG. 2 ).

이러한 트래픽 점유율(%)은 도 4에서 A와 같이, 단위 시간, 즉, 5분 단위로 표시된다. Such a traffic share (%) is displayed in units of time, that is, 5 minutes, as shown in A in FIG. 4 .

시스템 로그 정보 수집부(103)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 각각의 시스템 로그 정보를 수집하며, 예를들면, 시스템 로그 정보는 시스로그(Syslog) 정보일 수 있다. 시스템 로그 정보는 라우팅 프로토콜(예, IS-IS)의 재시작(Restart) 로그, CRC(cyclic redundancy check)값, CRC 카운트 정보 정보 등을 포함할 수 있다. The system log information collecting unit 103 collects each system log information from the network devices (200 in FIG. 1, 201 and 203 in FIG. 2), for example, the system log information is syslog information. can The system log information may include a restart log of a routing protocol (eg, IS-IS), a cyclic redundancy check (CRC) value, and CRC count information information.

상태 정보 수집부(105)는 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 각 네트워크 장비(도 1의 200, 도 2의 201, 203)의 링크 상태 정보를 수집한다. 링크 상태 정보는 장비 상태와 라우팅 프로토콜의 상태를 포함한다.The status information collecting unit 105 collects link status information of each network device (200 in FIG. 1 and 201 and 203 in FIG. 2 ) from the network devices ( 200 in FIG. 1 and 201 and 203 in FIG. 2 ). Link state information includes equipment state and routing protocol state.

장비 상태는 네트워크 장비(도 1의 200, 도 2의 201, 203) 자체의 전원 상태, 네트워크 장비(도 1의 200, 도 2의 201, 203)에 탑재된 인터페이스 모듈, 포트 등의 활성화/비활성화 상태로서, 연결(UP) 또는 단절(DOWN)로 표현된다. 예를들어, 연결(UP)은 ① 링크의 양단에 연결된 네트워크 장비(201, 203)가 모두 전원 온(On) 상태에 있거나 또는 링크가 연결된 인터페이스 모듈 또는 포트가 활성화 상태인 경우가 해당된다. 단절(DOWN)은 ①링크의 양단에 연결된 네트워크 장비(201, 203)가 모두 전원 오프(Off) 상태에 있거나 도는 링크가 연결된 인터페이스 모듈 또는 포트가 비활성화 상태인 경우가 해당된다.The equipment state includes the power state of the network equipment (200 in Fig. 1, 201, 203 in Fig. 2) itself, and activation/deactivation of interface modules, ports, etc. mounted in the network equipment (200 in Fig. 1, 201, 203 in Fig. 2). As a state, it is expressed as connected (UP) or disconnected (DOWN). For example, the connection (UP) corresponds to ① when all of the network devices 201 and 203 connected to both ends of the link are in the power-on state or the interface module or port to which the link is connected is in the active state. Disconnection (DOWN) ① corresponds to a case in which all of the network devices 201 and 203 connected to both ends of the link are in the power-off state, or the interface module or port to which the link is connected is in an inactive state.

라우팅 프로토콜의 상태는 IGP(Interior Gateway Protocol) 상태일 수 있다. IGP는 동일한 AS(Autonomous System) 네트워크 안에서 유통되는 프로토콜로서 BGP(Border Gateway Protocol)/라우팅(Routing) 테이블을 효율적으로 다른 라우터(또는 네트워크 장비)에게 전달하기 위해서 사용된다. 동일 AS망을 구성하는 모든 라우터(또는 네트워크 장비)는 동일한 링크 상태 정보(link state database)를 공유함으로써, 최적의 경로를 찾아서 라우팅을 계산한다. IGP는 IS-IS, OSPF(Open Shortest Path First) 등의 프로토콜이 있으며 논리적인 값으로 'on', 'down', 'initialization' 등의 값을 취할 수 있다. The state of the routing protocol may be an Interior Gateway Protocol (IGP) state. IGP is a protocol distributed within the same Autonomous System (AS) network and is used to efficiently transmit a BGP (Border Gateway Protocol)/Routing table to another router (or network equipment). All routers (or network equipment) constituting the same AS network share the same link state database to find an optimal route and calculate routing. IGP has protocols such as IS-IS and OSPF (Open Shortest Path First), and can take values such as 'on', 'down', and 'initialization' as logical values.

'on'은 예를들어, 도 2에서 네트워크 장비(201)가 이웃 네트워크 장비(203)로부터 'IGP hello 메시지'를 수신하여 IGP 라우팅 프로토콜이 정상적으로 동작하는 상태를 의미한다. 'on' means, for example, in FIG. 2 , the network device 201 receives the 'IGP hello message' from the neighboring network device 203 and the IGP routing protocol operates normally.

'down'은 네트워크 장비(도 2의 201)가 이웃 네트워크 장비(도 2의 203)로부터 'IGP hello 메시지'를 수신하지 못하여 IGP 라우팅 프로토콜이 동작하지 않는 상태를 의미한다.'down' refers to a state in which the IGP routing protocol does not operate because the network device (201 in FIG. 2) does not receive the 'IGP hello message' from the neighboring network device (203 in FIG. 2).

'initialization'은 네트워크 장비(도 2의 201)가 이웃 네트워크 장비(도 2의 203)로부터 'IGP hello 메시지'를 수신하여 IGP를 동작시킬 준비가 되었으나 이웃 네트워크 장비(203)가 자신이 'IGP hello 메시지'를 수신했는지를 확인 받지 못해 대기하고 있는 상태이다. 즉, IGP 라우팅 프로토콜이 down 상태로 동작하는 것은 아니고대기 상태로 동작한다. In 'initialization', the network equipment (201 in FIG. 2) receives the 'IGP hello message' from the neighboring network equipment (203 in FIG. 2) and is ready to operate the IGP, but the neighboring network equipment 203 determines that it is 'IGP hello' It is in a waiting state because it has not received confirmation that it has received a 'message'. That is, the IGP routing protocol does not operate in the down state, but in the standby state.

상태 정보 수집부(107)는 장비 상태 및 라우팅 프로토콜 상태를 기초로, 링크 연결 상태를 판단한다. 링크 연결 상태는 연결(UP) 또는 단절(DOWN)로 표현된다. 링크 연결 상태는 장비 상태에 기초한 링크의 물리적 경로(physical path)의 상태와 라우팅 프로토콜의 상태에 기초한 링크의 논리적 경로(logical path)의 상태를 포함한다. The state information collecting unit 107 determines the link connection state based on the equipment state and the routing protocol state. The link connection state is expressed as connected (UP) or disconnected (DOWN). The link connection state includes a state of a physical path of the link based on an equipment state and a state of a logical path of the link based on a state of a routing protocol.

따라서, 특정 링크에서 트래픽 누수가 발생한 경우, 트래픽 누수 타입은 링크 셧다운(Shutdown) 타입과 IGP 셧다운 타입을 포함할 수 있다. 링크 셧다운은 인터페이스 모듈 교체 등의 링크의 물리적 절단으로 발생한다. IGP 셧다운은 전송로 순단(또는 인터럽트)과 같은 링크의 논리적 절단으로 발생한다. Accordingly, when a traffic leak occurs in a specific link, the traffic leak type may include a link shutdown type and an IGP shutdown type. Link shutdown occurs when the link is physically broken, such as by replacing an interface module. An IGP shutdown occurs as a result of a logical break in a link, such as a transmission line down (or interrupt).

또한, 멀티 패쓰를 구성하는 개개의 링크의 상태 정보는 링크 식별자로 구별된다.In addition, status information of individual links constituting a multi-path is distinguished by a link identifier.

트래픽 누수 탐지부(101)는 트래픽 정보 수집부(103), 시스템 로그 정보 수집부(105) 및 상태 정보 수집부(107) 각각으로부터 수집한 정보들을 기초로, 트래픽 누수를 탐지한다.The traffic leak detection unit 101 detects a traffic leak based on information collected from each of the traffic information collection unit 103 , the system log information collection unit 105 , and the state information collection unit 107 .

먼저, 도 5를 참조하면, 트래픽 누수 탐지부(101)는 감시 대상 링크의 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 실시간 또는 주기적으로 수집한다(S101). 그리고 트래픽 누수 탐지부(101)는 수집(S101)한 트래픽 정보를 기초로, 링크 별로 트래픽의 실시간 변화율을 모니터링한다(S103).First, referring to FIG. 5 , the traffic leak detection unit 101 detects traffic information, system log information, and status information from network devices ( 200 in FIG. 1 , 201 and 203 in FIG. 2 ) connected to both ends of a monitoring target link. It is collected in real time or periodically (S101). Then, the traffic leak detection unit 101 monitors the real-time change rate of traffic for each link based on the collected traffic information (S101) (S103).

도 2를 참고하여 설명하면, 트래픽 누수 탐지부(101)는 네트워크 장비1(201)과 네트워크 장비2(203)로부터 5개의 링크에 대한 각각의 트래픽 처리량 또는 트래픽 점유율과, 시스템 로그 정보, 상태 정보를 수집한다. Referring to FIG. 2 , the traffic leak detection unit 101 includes traffic throughput or traffic share for each of the five links from the network device 1 201 and the network device 2 203 , system log information, and status information. to collect

이때, 트래픽 누수 탐지는 링크의 일단에서 획득한 정보를 기초로 한다. 도 2의 링크 ①을 예시로 하면, 링크 ①에 연결된 네트워크 장비들(201, 203)은 트래픽을 송신하는 송신측 네트워크 장비로 동작하거나 또는 트래픽을 수신하는 수신측 네트워크 장비로 동작한다. 따라서, 트래픽 누수 탐지 장치(100)는 링크 ①에 연결된 네트워크 장비들(201, 203) 중에서 하나의 네트워크 장비(201 또는 203)를 수신측 네트워크 장비(201 또는 203)로 선택한다. 그리고 선택한 네트워크 장비(201 또는 203)로부터 수집된 트래픽 정보를 기초로, 실시간 변화율을 모니터링한다.In this case, the traffic leak detection is based on information obtained from one end of the link. Taking the link ① of FIG. 2 as an example, the network devices 201 and 203 connected to the link ① operate as a transmission-side network device for transmitting traffic or as a reception-side network device for receiving traffic. Accordingly, the traffic leak detection apparatus 100 selects one network device 201 or 203 from among the network devices 201 and 203 connected to the link ① as the receiving-side network device 201 or 203 . And, based on the traffic information collected from the selected network device 201 or 203, the real-time rate of change is monitored.

도 4를 참조하면, 트래픽 정보 수집부(103)는 단위 시간, 예를들어, 5분 단위로 각 링크의 트래픽 점유율(P1)을 수집 또는 계산한다. Referring to FIG. 4 , the traffic information collecting unit 103 collects or calculates the traffic share P1 of each link in units of unit time, for example, 5 minutes.

트래픽 누수 탐지부(101)는 트래픽 점유율(P1)을 기초로, 링크간 표준편차(a)를 계산한다. 그리고 링크간 표준편차(a)를 이용하여 단위 시간의 트래픽 실시간 변화율을 계산한다. 이때, 트래픽 실시간 변화율은 다음 수학식 1과 같이 계산된 값의 절대치이다. 실시간 변화율은 수학식 1과 같이 계산된다.The traffic leak detection unit 101 calculates a standard deviation (a) between links based on the traffic share (P1). Then, the real-time change rate of traffic per unit time is calculated using the standard deviation (a) between links. In this case, the real-time traffic change rate is an absolute value of a value calculated as shown in Equation 1 below. The real-time rate of change is calculated as in Equation 1.

Figure 112018123799532-pat00001
Figure 112018123799532-pat00001

여기서, a는 복수의 링크의 단위 시간당 트래픽 표준편차이고, b는 표준편차의 임계 시간의 이동평균이다.Here, a is the traffic standard deviation per unit time of a plurality of links, and b is the moving average of the critical time of the standard deviation.

예를들어, 수학식 1에서 단위 시간은 5분이고 임계 시간은 15분으로 설정될 수 있다.For example, in Equation 1, the unit time may be 5 minutes and the threshold time may be set to 15 minutes.

트래픽 누수 탐지부(101)는 모니터링한(S103) 실시간 변화율이 임계치 이상인지 판단한다(S105). The traffic leak detection unit 101 determines whether the monitored real-time rate of change (S103) is equal to or greater than a threshold (S105).

트래픽 시간 변화율의 임계치는 1주일전 동일 시간대의 트래픽 시간 변화율이 설정되거나 또는 디폴트값으로 100%가 설정될 수 있다. 임계치가 100%로 설정되었다고 가정하면, 도 4의 '01:00~01:25' 구간에서 실시간 변화율(a-b)이 임계치 이상이므로, 트래픽 누수가 발생한 것으로 탐지한다. 여기서, 실시간 변화율(a-b)은 연속된 시간 구간의 값이므로, 특정 시간에 100% 미만이라 하더라도 트래픽 누수 탐지 구간에 포함된다.As for the threshold of the traffic time change rate, the traffic time change rate in the same time zone one week ago may be set, or 100% may be set as a default value. Assuming that the threshold is set to 100%, since the real-time rate of change a-b in the section '01:00 to 01:25' of FIG. 4 is greater than or equal to the threshold, it is detected that a traffic leak has occurred. Here, since the real-time rate of change (a-b) is a value of a continuous time interval, it is included in the traffic leak detection interval even if it is less than 100% at a specific time.

트래픽 누수 탐지부(101)는 임계치 미만이면, S101 단계부터 다시 시작한다. 반면, 임계치 이상이면, 복수의 링크 중에서, 트래픽양이 복수의 링크의 트래픽 평균 이하인 링크를 탐색한다(S107). 트래픽 누수가 탐지된 '01:00~01:25' 구간에서 링크(Link)1의 트래픽 점유율(P1)이 다른 링크들에 비해 현저하게 낮은 것을 확인할 수 있다. 따라서, 링크1이 탐색된다. If the traffic leak detection unit 101 is less than the threshold, it starts again from step S101. On the other hand, if it is equal to or greater than the threshold, a link whose traffic amount is equal to or less than the average traffic of the plurality of links from among the plurality of links is searched for (S107). It can be seen that in the section '01:00 to 01:25' in which the traffic leak is detected, the traffic share P1 of Link 1 is significantly lower than that of other links. Accordingly, link 1 is searched.

트래픽 평균은 멀티 링크(multi-link)의 개수, 로드 밸런싱(Load balancing) 특성, 링크 대역폭 등에 따라 변경될 수 있다.The traffic average may be changed according to the number of multi-links, load balancing characteristics, link bandwidth, and the like.

트래픽 누수 탐지부(101)는 탐색(S107)된 링크의 연결 상태를 확인한다(S109). 링크의 연결 상태는 전술한 것처럼, 링크의 물리적인 연결 상태와 논리적인 연결 상태를 포함한다. The traffic leak detection unit 101 checks the connection state of the searched link (S107) (S109). As described above, the link state includes a physical link state and a logical link state of the link.

트래픽 누수 탐지부(101)는 링크 양단의 물리적인 연결 상태가 모두 다운(Down) 상태인지 판단한다(S111). 트래픽 누수 탐지부(101)는 링크 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)의 인터페이스 모듈이 모두 다운(Down) 상태인지 판단한다(S111).The traffic leak detection unit 101 determines whether the physical connection states of both ends of the link are all down (S111). The traffic leak detection unit 101 determines whether the interface modules of the network devices (200 in FIG. 1, 201, 203 in FIG. 2) connected to both ends of the link are all down (S111).

트래픽 누수 탐지부(101)는 S111 단계에서 다운(Down) 상태이면, 링크 절단(Down) 상태이므로, 트래픽 누수가 아닌 정상 상태로 판단한다(S113).If the traffic leak detection unit 101 is in the down state in step S111, since it is in the link down state, it is determined that the traffic leak is not in the normal state (S113).

반면, 트래픽 누수 탐지부(101)는 S111 단계에서 모두 다운(Down) 상태가 아니면, 링크 양단의 라우팅 프로토콜 상태가 모두 다운(Down) 상태인지 판단한다(S115).On the other hand, if the traffic leak detection unit 101 is not in the down state in step S111, it is determined whether the routing protocol states of both ends of the link are all down (S115).

트래픽 누수 탐지부(101)는 S115 단계에서 모두 다운(Down) 상태이면, S107 단계에서 탐색된 링크는 절단(Down) 상태이므로, 그 링크를 트래픽 누수가 아닌 정상 상태로 판단한다(S113).If the traffic leak detection unit 101 is all down in step S115, since the link found in step S107 is in a down state, it determines that the link is in a normal state rather than a traffic leak (S113).

반면, S115 단계에서 모두 다운(Down) 상태가 아니면, 일단은 연결(Up) 상태이므로, 연결(Up) 상태인 네트워크 장비(도 1의 200, 도 2의 201 또는 203)는 링크가 유효(Alive)하다고 판단하고 트래픽을 상대편으로 전송한다. 그런데, 반대쪽 네트워크 장비(도 1의 200, 도 2의 201 또는 203)는 링크가 미연결(Down)이므로 트래픽을 수신하지 못한다. 즉, 해당 링크에서 트래픽은 계속 유실된다. 따라서, 링크의 양단이 모두 다운(Down) 상태인지, 또는 일단이 연결(up)인지를 판단해야 한다.On the other hand, if all are not in the Down state in step S115, since one end is in the Up state, the network equipment in the Up state (200 in FIG. 1, 201 or 203 in FIG. 2) has a valid link (Alive). ) and transmits the traffic to the other side. However, the opposite network device (200 in FIG. 1 , 201 or 203 in FIG. 2 ) cannot receive traffic because the link is down. That is, traffic continues to be lost on that link. Therefore, it is necessary to determine whether both ends of the link are in a down state or one end is connected.

트래픽 누수 탐지부(101)는 링크의 일단이 연결 상태로 판단되면, 그 링크의 양단 트래픽 차이가 임계치 이상인지 판단한다(S119). When it is determined that one end of the link is in a connected state, the traffic leak detection unit 101 determines whether a traffic difference between both ends of the link is equal to or greater than a threshold (S119).

S119 단계에서 임계치 이상이 아니라면, 즉, 임계치 미만이면, 트래픽 누수 탐지부(101)는 그 링크, 즉, S107 단계에서 탐색된 링크를 트래픽 누수는 아니지만 트래픽 누수 경고(위험) 상태로 판단한다(S121). 반면, S119 단계에서 임계치 이상이면, 트래픽 누수 탐지부(101)는 S107 단계에서 탐색된 링크를 트래픽 누수로 판단한다(S123).If it is not higher than the threshold in step S119, that is, less than the threshold, the traffic leak detection unit 101 determines that the link, that is, the link discovered in step S107, is not a traffic leak but in a traffic leak warning (dangerous) state (S121) ). On the other hand, if it is greater than or equal to the threshold in step S119, the traffic leak detection unit 101 determines that the link found in step S107 is a traffic leak (S123).

트래픽 누수 탐지부(101)는 S113 단계, S121 단계, S123 단계의 판단 결과와 S101 단계에서 수집한 정보를 학습부(109)로 전달하여 학습을 요청한다(S125).The traffic leak detection unit 101 transmits the determination result of steps S113, S121, and S123 and the information collected in step S101 to the learning unit 109 to request learning (S125).

이상, 도 5에서는 트래픽 누수 원인의 자동화된 학습 과정에 대해 설명하였다. As mentioned above, in FIG. 5, the automated learning process of the cause of traffic leakage has been described.

또한, 다른 실시예로는 트래픽 누수 원인을 수동으로 학습할 수도 있다. In addition, in another embodiment, it is also possible to manually learn the cause of the traffic leak.

도 7을 참조하면, 운용자에 의해 입력된 복수의 트래픽 누수 원인을 지정한 트리거링 이벤트 발생(S201)시, 트래픽 누수 탐지부(101)는 수집부(103, 105, 107)를 통해 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 수집한다(S203). 그리고 수집(S203)한 정보와 트리거링 이벤트를 학습부(109)로 전달하여 학습을 요청한다(S205).Referring to FIG. 7 , when a triggering event specifying a plurality of traffic leak causes input by an operator occurs ( S201 ), the traffic leak detection unit 101 is selected as a monitoring target through the collection units 103 , 105 , and 107 . Traffic information, system log information, and status information are collected from network devices ( 200 in FIG. 1 and 201 and 203 in FIG. 2 ) connected to both ends of a plurality of links ( S203 ). Then, the collected information and the triggering event are transferred to the learning unit 109 to request learning (S205).

즉, 운용자는 다양한 트래픽 누수 원인을 만들고, 그때의 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로 학습 모델을 생성할 수 있다. That is, the operator can create various causes of traffic leakage and create a learning model based on the traffic information, system log information, and status information at that time.

다시, 도 3을 참조하면, 학습부(109)는 트래픽 누수 탐지를 위한 학습 모델을 생성하여, 학습 모델 DB(111)에 저장한다. Again, referring to FIG. 3 , the learning unit 109 generates a learning model for traffic leak detection and stores it in the learning model DB 111 .

학습부(109)는 도 5와 같은 방식으로, 트래픽 누수가 탐지된 링크에 연결된 수신측 네트워크 장비(200)로부터 수집한 링크 상태 정보, 장비 상태 정보, 트래픽 정보를 이용하여 학습 모델을 학습시킨다.The learning unit 109 trains the learning model by using the link state information, equipment state information, and traffic information collected from the receiving-side network equipment 200 connected to the link in which the traffic leak is detected in the same manner as in FIG. 5 .

또한, 학습부(109)는 도 7과 같은 방식으로, 트래픽 누수 원인을 학습한다. 예를들어, 운용자가 임의로 링크 절단을 유도하는 경우, 절단된 링크 양단에 연결된 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 수집한 링크 상태 정보, 장비 상태 정보, 트래픽 정보를 이용하여 학습 모델을 학습시킨다. 학습 알고리즘은 딥러닝 알고리즘을 이용하며, 딥러닝 알고리즘의 예시로 서포트 벡터 머신(support vector machine, SVM), 나이브 베이즈 분류(Naive Bayes Classification) 등의 분류 기법들을 활용할 수 있다. 그러나 이에 국한되는 것은 아니며, 다양한 딥러닝 알고리즘이 이용될 수 있다. In addition, the learning unit 109 learns the cause of the traffic leak in the same manner as in FIG. 7 . For example, when an operator arbitrarily induces link disconnection, link state information, equipment state information, and traffic information collected from network devices (200 in FIG. 1, 201 and 203 in FIG. 2) connected to both ends of the broken link to train the learning model. The learning algorithm uses a deep learning algorithm, and as an example of the deep learning algorithm, classification techniques such as support vector machine (SVM) and naive Bayes classification may be used. However, the present invention is not limited thereto, and various deep learning algorithms may be used.

학습부(109)에 의해 생성되는 학습 모델은 트래픽 누수 타입 별로 복수의 특징 벡터를 포함한다. 트래픽 누수 탐지부(107)는 학습 모델을 이용하여 트래픽 누수 상태에 해당하는 트래픽 누수 타입을 판별한다. 예를들면, 트래픽 누수 타입은 링크 셧다운(Shutdown)과 IGP 셧다운으로 구분될 수 있다. 또한, 링크 셧다운과 IGP 셧다운 내에서도 세부적인 케이스로 구분될 수 있다. The learning model generated by the learning unit 109 includes a plurality of feature vectors for each type of traffic leak. The traffic leak detection unit 107 determines a traffic leak type corresponding to a traffic leak state by using the learning model. For example, traffic leak types can be divided into link shutdown (Shutdown) and IGP shutdown. In addition, it can be divided into detailed cases within link shutdown and IGP shutdown.

트래픽 누수 탐지부(107)는 트래픽 정보 수집부(101), 시스템 로그 정보 수집부(103) 및 장비 상태 정보 수집부(105) 각각으로부터 수집한 정보들을 학습 모델에 입력하여 트래픽 누수 타입을 분류 또는 결정한다.The traffic leak detection unit 107 inputs information collected from each of the traffic information collection unit 101, the system log information collection unit 103, and the equipment state information collection unit 105 into the learning model to classify or decide

여기서, 학습 모델은 도 6과 같다. 도 6을 참조하면, 학습 모델은 다양한 케이스를 나타내는 인덱스(I)마다 분류(C) 별 특징 벡터(F)가 수록된다.Here, the learning model is shown in FIG. 6 . Referring to FIG. 6 , in the learning model, feature vectors (F) for each classification (C) are recorded for each index (I) representing various cases.

분류(C)는 정상 상태(w1)와 트래픽 누수(w2)를 포함한다. 정상 상태(w1)는 모듈 교체, 전송로 순단, 일반 등 정상 타입으로 세분화된다. 일반은 연결이 유효한 상태를 나타낸다. 모듈 교체, 전송로 순단은 운용자가 임의로 특정 링크를 순간 절단하거나 또는 전송로를 절체하는 케이스에 해당할 수 있다. Classification (C) includes a steady state (w1) and a traffic leak (w2). The steady state w1 is subdivided into normal types, such as module replacement, transmission path passing, and general. Normal indicates that the connection is valid. Module replacement and transmission line traversal may correspond to cases in which the operator arbitrarily cuts off a specific link or changes the transmission line.

트래픽 누수(w2)는 트래픽 누수와 트래픽 누수 경고로 세분화된다. The traffic leak w2 is subdivided into a traffic leak and a traffic leak alert.

특징 벡터(F)는 CRC(F1), Syslog ISIS restarted(F2), 인터페이스 상태(F3), ISIS 상태(F4), CRC 카운트 증감(F5), ECMP 구간 트래픽 점유율(F6), CRC/ISIS syslog 발생 링크 트래픽 점유율(F7), 트래픽 변화율(F8) 중 적어도 하나를 포함할 수 있다. 이러한 특징 벡터(F)는 분류(C)의 타입 별로 해당되는 값들을 포함한다. Feature vector (F) is CRC (F1), Syslog ISIS restarted (F2), Interface status (F3), ISIS status (F4), CRC count increase/decrease (F5), ECMP section traffic share (F6), CRC/ISIS syslog generation It may include at least one of a link traffic share (F7) and a traffic change rate (F8). This feature vector (F) includes values corresponding to each type of classification (C).

트래픽 변화율(F8)은 도 4에서 설명한 트래픽 표준편차(a), 이동평균(b), 실시간 변화율(a-b) 등을 포함할 수 있다.The traffic change rate F8 may include the traffic standard deviation (a), moving average (b), real-time rate of change (a-b), etc. described with reference to FIG. 4 .

의도적인 인터페이스 모듈 다운(Down), IGP 셧다운(shut-down), 전송로 고장등으로 인해 멀티 링크 상에 표준편차 변화, 즉, 트래픽 실시간 변화율 이상을 감지할 수 있다. 그러나, 이를 근거로 바로 자동 조치 하기에는 신뢰성이 부족하다. It is possible to detect a change in standard deviation on multi-links due to intentional interface module down, IGP shutdown, transmission path failure, etc., that is, an abnormality in traffic real-time change rate. However, it is not reliable enough to take immediate automatic action based on this.

따라서, 운용자는 임의로 이러한 케이스를 만들어 트래픽 누수 탐지 동작을 수행하고 그때의 트래픽 정보, 시스템 로그 정보, 상태 정보를 이용하여 학습 모델을 학습시킬 수 있다. 즉, 학습부(109)는 운용자에 의해 의도된 정확한 케이스 별로 신뢰성을 확보한 학습 모델을 생성할 수 있다. 또한, 장기간에 걸친 다량의 데이터를 학습시키면, 트래픽 누수 발생시 자동 진단 뿐만 아니라 운용자의 판단을 기다리지 않고 즉시 자동 조치할 수 있다. Therefore, an operator can arbitrarily create such a case to perform a traffic leak detection operation and train a learning model using the traffic information, system log information, and status information at that time. That is, the learning unit 109 may generate a learning model that secures reliability for each exact case intended by the operator. In addition, if a large amount of data over a long period of time is learned, not only automatic diagnosis when a traffic leak occurs, but also an automatic action can be taken immediately without waiting for the operator's judgment.

다시, 도 3을 참조하면, 네트워크 장비 제어부(113)는 트래픽 누수가 탐지되면, 트래픽 누수가 탐지된 링크에 연결된 적어도 하나의 네트워크 장비(도 1의 200, 도 2의 201, 203)에게 트래픽 누수 타입에 정의된 조치 작업 명령을 전송한다. 조치 작업 명령을 수신한 네트워크 장비(도 1의 200, 도 2의 201, 203)는 조치 작업 명령에 따라 자동으로 네트워크 설정 등의 장비 설정을 수행하거나 또는 디스플레이 화면에 운용자가 확인할 수 있는 조치 작업 명령을 출력한다.Referring again to FIG. 3 , when a traffic leak is detected, the network device controller 113 leaks traffic to at least one network device ( 200 in FIG. 1 and 201 and 203 in FIG. 2 ) connected to the link in which the traffic leak is detected. Sends the action action command defined in the type. The network equipment (200 in FIG. 1, 201, 203 in FIG. 2) that has received the action action command automatically performs device settings such as network setup according to the action action command, or action action commands that the operator can check on the display screen to output

사용자 인터페이스부(115)는 스피커와 같은 청각적 알림을 출력하는 수단, 디스플레이 화면과 같은 시각적 알림을 출력하는 수단을 포함한다. 사용자 인터페이스부(115)는 트래픽 누수 탐지부(101)의 탐지 결과를 청각적 또는 시각적으로 출력하여 운용자에게 알린다. The user interface unit 115 includes means for outputting an audible notification such as a speaker and a means for outputting a visual notification such as a display screen. The user interface unit 115 notifies the operator by aurally or visually outputting the detection result of the traffic leak detection unit 101 .

도 8은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도로서, 도 3의 트래픽 누수 탐지부(101)의 학습 모델을 이용한 트래픽 누수 탐지 동작을 나타낸다.8 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention, and illustrates a traffic leak detection operation using the learning model of the traffic leak detection unit 101 of FIG. 3 .

도 8을 참조하면, 트래픽 누수 탐지부(101)는 수집부(103, 105, 107)를 통하여 네트워크 장비들(도 1의 200, 도 2의 201, 203)로부터 트래픽 정보, 시스템 로그 정보 및 상태 정보를 실시간 또는 주기적으로 수집한다(S301). 이때, 네트워크 장비들(도 1의 200, 도 2의 201, 203)은 링크의 양단으로 한정되지 않고, 링크의 일단에 연결된 네트워크 장비일 수도 있다.Referring to FIG. 8 , the traffic leak detection unit 101 receives traffic information, system log information, and status from network devices ( 200 in FIG. 1 , 201 and 203 in FIG. 2 ) through the collection units 103 , 105 , and 107 . Information is collected in real time or periodically (S301). In this case, the network devices 200 in FIG. 1 and 201 and 203 in FIG. 2 are not limited to both ends of the link, and may be network devices connected to one end of the link.

트래픽 누수 탐지부(101)는 S301 단계에서 수집한 정보를 학습 모델 DB(111)에 저장된 학습 모델에 입력하여 트래픽 누수 여부와 트래픽 누수 타입을 결정한다(S303). 트래픽 누수 탐지부(101)는 S303 단계에서 결정된 결과를 사용자 인터페이스부(115)로 출력한다(S305).The traffic leak detection unit 101 inputs the information collected in step S301 to the learning model stored in the learning model DB 111 to determine whether or not to leak traffic and the type of traffic leak (S303). The traffic leak detection unit 101 outputs the result determined in step S303 to the user interface unit 115 (S305).

트래픽 누수 탐지부(101)는 S303 단계에서 트래픽 누수로 결정되었는지 판단한다(S307). 트래픽 누수가 아닌 정상 상태로 판단된 결과, S301 단계를 다시 시작한다.The traffic leak detection unit 101 determines whether it is determined as a traffic leak in step S303 (S307). As a result of determining that the normal state is not a traffic leak, step S301 is restarted.

반면, 트래픽 누수로 결정되면, S303 단계에서 걸정된 트래픽 누수 타입에 정의된 작업 명령을 트래픽 누수가 탐지된 링크에 연결된 적어도 하나의 네트워크 장비(도 1의 200, 도 2의 201, 203)에게 전송한다(S309). On the other hand, if it is determined as a traffic leak, the operation command defined in the traffic leak type determined in step S303 is transmitted to at least one network device (200 in FIG. 1, 201, 203 in FIG. 2) connected to the link in which the traffic leak is detected. do (S309).

또한, 학습부(109)는 S301 단계에서 수집된 정보를 S303 단계의 결정 결과와 함께 학습 모델에 업데이트하여, 학습 모델의 신뢰도를 증가시킨다.In addition, the learning unit 109 updates the learning model together with the determination result of step S303 with the information collected in step S301 to increase the reliability of the learning model.

여기서, 트래픽 누수 탐지부(101)는 모든 수집 정보에 대해 학습 모델을 적용하기에 앞서, 트래픽 변화율에서 이상이 감지된 경우에만 학습 모델을 선택적으로 적용하는 방식을 사용할 수도 있다. 이러한 실시예는 도 9와 같다.Here, before applying the learning model to all collected information, the traffic leak detection unit 101 may use a method of selectively applying the learning model only when an abnormality is detected in the traffic change rate. This embodiment is shown in FIG. 9 .

도 9는 본 발명의 또 다른 실시예에 따른 트래픽 누수 탐지 동작을 나타낸 순서도로서, 도 8의 트래픽 누수 탐지 동작 중에서 S301 단계와 S303 단계의 다른 실시예를 나타낸 것이다.9 is a flowchart illustrating a traffic leak detection operation according to another embodiment of the present invention, and shows another embodiment of steps S301 and S303 in the traffic leak detection operation of FIG. 8 .

도 9를 참조하면, 트래픽 누수 탐지부(101)는 수집부(103, 105, 107)를 통하여 수집(S401)된 트래픽 정보, 시스템 로그 정보 및 상태 정보를 기초로 링크 별로 트래픽의 실시간 변화율을 모니터링한다(S403).Referring to FIG. 9 , the traffic leak detection unit 101 monitors the real-time rate of change of traffic for each link based on the traffic information, system log information, and status information collected ( S401 ) through the collection units 103 , 105 , and 107 . do (S403).

트래픽 누수 탐지부(101)는 모니터링한 트래픽의 실시간 변화율이 임계치 이상인지 판단한다(S405).The traffic leak detection unit 101 determines whether the real-time change rate of the monitored traffic is equal to or greater than a threshold (S405).

트래픽 누수 탐지부(101)는 실시간 변화율이 임계치 미만이면, S401 단계를 다시 시작한다. 반면, 실시간 변화율이 임계치 이상이면, 실시간 변화율이 임계치 이상인 링크 들중에서 트래픽 편차가 임계치 이상이면서, 트래픽 점유율이 평균 이하인 링크를 탐색한다(S407). S405 단계와 S407 단계는 도 5의 S105 단계, S107 단계와 동일하므로, 자세한 설명은 생략한다.If the real-time change rate is less than the threshold, the traffic leak detection unit 101 restarts step S401. On the other hand, if the real-time rate of change is equal to or greater than the threshold, a link whose traffic deviation is equal to or greater than the threshold and whose traffic occupancy is equal to or less than the average is searched among links having a real-time rate of change equal to or greater than the threshold (S407). Steps S405 and S407 are the same as steps S105 and S107 of FIG. 5 , and thus a detailed description thereof will be omitted.

트래픽 누수 탐지부(101)는 S407 단계에서 탐색된 링크의 시스템 로그 정보 및 상태 정보를 학습 모델에 입력하여 트래픽 누수 여부를 결정한다(S409).The traffic leak detection unit 101 determines whether or not traffic leaks by inputting the system log information and state information of the link discovered in step S407 to the learning model (S409).

한편, 도 10은 본 발명의 다른 실시예에 따른 트래픽 누수 탐지 장치의 하드웨어 블록도로서, 도 1 ~ 도 9에서 설명한 트래픽 누수 탐지 장치(100)의 하드웨어 구성을 나타낸다.Meanwhile, FIG. 10 is a hardware block diagram of a traffic leak detection apparatus according to another embodiment of the present invention, and shows the hardware configuration of the traffic leak detection apparatus 100 described with reference to FIGS. 1 to 9 .

도 10을 참조하면, 트래픽 누수 탐지 장치(400)는 통신 장치(401), 메모리(403), 저장 장치(405) 및 적어도 하나의 프로세서(407)를 포함한다. 통신 장치(401)는 적어도 하나의 프로세서(407)와 연결되어, 데이터를 송수신 처리한다. 메모리(403)는 적어도 하나의 프로세서(407)와 연결되어, 도 1 내지 도 9에서 설명한 실시예들에 따른 구성 및/또는 방법을 실행하게 하는 명령어(instructions)들을 포함하는 프로그램을 저장한다. 프로그램은 메모리(403), 저장 장치(405) 및 적어도 하나의 프로세서(407) 등의 하드웨어와 결합하여 본 발명을 구현한다.Referring to FIG. 10 , the traffic leak detection device 400 includes a communication device 401 , a memory 403 , a storage device 405 , and at least one processor 407 . The communication device 401 is connected to at least one processor 407 to transmit/receive data. The memory 403 is connected to the at least one processor 407 and stores a program including instructions for executing the configuration and/or method according to the embodiments described with reference to FIGS. 1 to 9 . The program implements the present invention in combination with hardware such as a memory 403 , a storage device 405 and at least one processor 407 .

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements by those skilled in the art using the basic concept of the present invention as defined in the following claims are also provided. is within the scope of the right.

Claims (12)

적어도 하나의 프로세서에 의해 동작하는 트래픽 누수 자동 탐지 장치가 트래픽 누수를 자동으로 탐지하는 방법으로서,
감시 대상인 복수의 링크 양단에 연결된 네트워크 장비들의 트래픽 차이, 그리고 상기 네트워크 장비들의 링크 연결 상태를 학습 데이터로 사용하여 상기 학습 데이터에 대응하는 정상 상태, 트래픽 누수 상태 및 트래픽 누수 경고 상태 중 적어도 하나를 결정하는 학습 모델을 생성하는 단계,
복수의 링크에 연결된 네트워크 장비들로부터 상기 복수의 링크 각각에 대한 트래픽 차이 및 링크 연결 상태를 수집하는 단계, 그리고
상기 수집한 트래픽 차이 및 링크 연결 상태를 상기 학습 모델에 입력하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는지 결정하는 단계
를 포함하는, 트래픽 누수 탐지 방법.A method for automatically detecting a traffic leak by an automatic traffic leak detection device operated by at least one processor, the method comprising:
At least one of a normal state, a traffic leak state, and a traffic leak warning state corresponding to the learning data is determined by using the traffic difference between the network devices connected to both ends of the plurality of links to be monitored and the link connection state of the network devices as learning data. creating a learning model that
collecting a traffic difference and link connection status for each of the plurality of links from network devices connected to the plurality of links; and
determining whether a traffic leak occurs among the plurality of links by inputting the collected traffic difference and link connection state to the learning model
A traffic leak detection method comprising a. 제1항에서,
상기 생성하는 단계는,
트래픽의 실시간 변화율이 임계치 이상인 링크들 중에서 링크 양단의 트래픽 편차가 임계치 이상이면서 트래픽 점유율은 평균 이하인 특정 링크의 양단 중 일단이 링크 연결 상태이면, 상기 특정 링크를 트래픽 누수로 결정하고, 상기 양단이 링크 다운 상태이면 상기 특정 링크를 정상 상태로 결정하는 학습 모델을 생성하는, 트래픽 누수 탐지 방법.In claim 1,
The generating step is
Among the links in which the real-time change rate of traffic is greater than or equal to the threshold, if one end of a specific link whose traffic deviation is equal to or greater than the threshold and whose traffic share is less than or equal to the average, the particular link is determined to be a traffic leak, and both ends of the link If the down state, generating a learning model that determines the specific link as a normal state, traffic leak detection method. 제2항에서,
상기 생성하는 단계는,
상기 특정 링크의 양단 중 일단이 링크 연결 상태이고 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상이면, 트래픽 누수로 결정하고,
상기 트래픽 차이가 임계치 미만이면, 트래픽 누수 경고로 결정하는 학습 모델을 생성하고,
상기 결정하는 단계는,
상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 타입을 판별하는, 트래픽 누수 탐지 방법.In claim 2,
The generating step is
If one end of both ends of the specific link is in a link-connected state and the traffic difference between both ends of the specific link is greater than or equal to a threshold, it is determined as a traffic leak;
If the traffic difference is less than a threshold, create a learning model to determine a traffic leak warning,
The determining step is
A traffic leak detection method for determining a link in which a traffic leak occurs and a traffic leak type among the plurality of links by using the learning model. 제1항에서,
상기 생성하는 단계는,
다양한 트래픽 누수 원인 별로 상기 트래픽 누수 원인에 따른 트래픽 누수가 발생하였을때 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 차이, 시스템 로그 정보 및 링크 연결 상태를 학습 데이터로 사용하여 학습 모델을 생성하고,
상기 결정하는 단계는,
상기 학습 모델을 이용하여 상기 복수의 링크 중에서 트래픽 누수가 발생하는 링크와 트래픽 누수 원인을 판별하는, 트래픽 누수 탐지 방법.In claim 1,
The generating step is
When a traffic leak occurs according to the cause of the traffic leak by various traffic leak causes, a learning model is created using the traffic difference, system log information, and link connection status collected from network devices connected to both ends of a plurality of links as training data, and ,
The determining step is
A traffic leak detection method for determining a link in which a traffic leak occurs among the plurality of links and a cause of the traffic leak by using the learning model. 제3항에서,
상기 링크 연결 상태는,
네트워크 장비 상태 및 라우팅 프로토콜 상태를 포함하고,
상기 생성하는 단계는,
상기 특정 링크의 양단이 모두 링크 다운(Down) 상태이면, 상기 특정 링크를 정상 상태로 결정하고,
링크 다운(Down)의 종류 별로 정상 상태인 경우의 네트워크 장비 상태 및 라우팅 프로토콜 상태를 학습 데이터로 사용하여 상기 학습 모델을 생성하고,
상기 결정하는 단계는,
상기 네트워크 장비들로부터 수집한 네트워크 장비 상태 및 라우팅 프로토콜 상태를 상기 학습 모델에 입력하여 링크 다운(Down)인 정상 상태와, 링크 다운(Down)의 종류를 결정하는, 트래픽 누수 탐지 방법.In claim 3,
The link connection state is
including network equipment status and routing protocol status;
The generating step is
If both ends of the specific link are in a link-down state, it is determined that the specific link is in a normal state,
By using the network equipment state and routing protocol state in the normal state for each type of link down as training data, the learning model is generated,
The determining step is
A traffic leak detection method for determining a link-down normal state and a link-down type by inputting the network equipment state and routing protocol state collected from the network equipment into the learning model. 삭제delete 제1항에서,
상기 결정하는 단계 이후,
상기 트래픽 누수 타입에 정의된 트래픽 누수 해결을 위한 작업 명령을 생성하여, 트래픽 누수가 탐지된 특정 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 단계
를 더 포함하는, 트래픽 누수 탐지 방법.In claim 1,
After the determining step,
generating a work command for resolving a traffic leak defined in the traffic leak type and transmitting it to at least one network device connected to a specific link in which a traffic leak is detected;
Further comprising, a traffic leak detection method. 제7항에서,
상기 결정하는 단계 이후,
상기 트래픽 누수 여부와 트래픽 누수 타입을 판별한 결과를 사용자 인터페이스를 통해 시각적 알람 또는 청각적 알람으로 출력하는 단계
를 더 포함하는, 트래픽 누수 탐지 방법.In claim 7,
After the determining step,
Outputting a result of determining whether the traffic leak exists and the traffic leak type as a visual alarm or an audible alarm through a user interface
Further comprising, a traffic leak detection method. 서비스망을 구성하고, 복수의 링크로 연결된 복수의 네트워크 장비들과 연결되어 상기 복수의 네트워크 장비들과 정보를 송수신하는 통신 장치,
학습 모델을 이용하여 상기 복수의 링크에서 트래픽 누수가 발생하는지 탐지하는 프로그램을 저장하는 메모리, 그리고
상기 프로그램을 실행하는 적어도 하나의 프로세서를 포함하고,
상기 프로그램은,
상기 복수의 네트워크 장비들의 트래픽 차이 및 링크 연결 상태를 학습 데이터로 사용하여 상기 학습 데이터에 대응하는 정상 상태, 트래픽 누수 상태 및 트래픽 누수 경고 상태 중 적어도 하나의 트래픽 누수 타입을 결정하는 학습 모델을 생성하고,
복수의 링크에 연결된 네트워크 장비들로부터 상기 복수의 링크 각각에 대하여 수집된 트래픽 차이 및 링크 연결 상태를 상기 학습 모델에 입력하여 상기 복수의 링크에서 트래픽 누수가 발생하는지 판단하는 명령어들(Instructions)을 포함하는, 트래픽 누수 자동 탐지 장치.A communication device constituting a service network and connected to a plurality of network devices connected by a plurality of links to transmit/receive information to and from the plurality of network devices;
a memory for storing a program for detecting whether a traffic leak occurs in the plurality of links using a learning model; and
at least one processor executing the program;
The program is
Using the traffic difference and link connection state of the plurality of network devices as training data to generate a learning model that determines at least one traffic leak type of a normal state, a traffic leak state, and a traffic leak warning state corresponding to the learning data, and ,
Includes instructions for determining whether traffic leakage occurs in the plurality of links by inputting the traffic difference and link connection state collected for each of the plurality of links from network devices connected to the plurality of links into the learning model which, an automatic traffic leak detection device. 제9항에서,
상기 프로그램은,
운용자에 의해 입력된 복수의 트래픽 누수 원인에 따른 트래픽 누수가 발생하였을때 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 차이, 시스템 로그 정보 및 링크 연결 상태를 상기 복수의 트래픽 누수 원인 별 학습 데이터로 사용하여 학습 모델을 생성하고,
실시간 또는 주기적으로 감시 대상으로 선별된 복수의 링크 양단에 연결된 네트워크 장비들로부터 수집된 트래픽 차이, 시스템 로그 정보 및 링크 연결 상태를 기초로 트래픽 누수 원일을 판별하는 명령어들을 포함하는, 트래픽 누수 자동 탐지 장치.In claim 9,
The program is
When a traffic leak occurs according to a plurality of traffic leak causes input by an operator, the traffic difference, system log information, and link connection status collected from network devices connected to both ends of a plurality of links are displayed as learning data for each cause of the plurality of traffic leaks. to create a training model using
A traffic leak automatic detection device comprising instructions for determining the source of a traffic leak based on the traffic difference, system log information, and link connection status collected from network devices connected to both ends of a plurality of links selected as monitoring targets in real time or periodically . 제10항에서,
상기 프로그램은,
상기 복수의 링크 양단의 트래픽 실시간 변화율을 모니터링하여, 상기 실시간 변화율이 임계치 이상이면, 상기 복수의 링크의 트래픽 점유율 평균치보다 낮은 특정 링크의 양단이 모두 절단(Down) 상태이면, 상기 특정 링크를 정상 상태로 판별하고,
상기 특정 링크의 양단 중 일단이 연결(Up) 상태이면, 상기 특정 링크의 양단의 트래픽 차이가 임계치 이상인지 판단하여, 임계치 이상이면 상기 특정 링크를 트래픽 누수 상태로 판별하며, 임계치 미만이면 상기 특정 링크를 트래픽 누수 경고 상태로 판별하는 학습 모델을 생성하는 명령어들을 포함하는, 트래픽 누수 자동 탐지 장치.In claim 10,
The program is
The real-time change rate of traffic at both ends of the plurality of links is monitored, and if the real-time rate of change is equal to or greater than a threshold, if both ends of a specific link lower than the average value of the traffic occupancy of the plurality of links are both down, the specific link is set to a normal state. to be determined,
If one end of both ends of the specific link is in an up state, it is determined whether the traffic difference between both ends of the specific link is equal to or greater than a threshold, and if it is equal to or greater than the threshold, the specific link is determined to be in a traffic leak state; Containing instructions for generating a learning model to determine the traffic leak warning state, traffic leak automatic detection device. 제9항에서,
상기 프로그램의 동작에 따른 정보를 시각적 또는 청각적으로 출력하는 사용자 인터페이스부를 더 포함하고,
상기 프로그램은,
상기 학습 모델을 이용하여 결정한 트래픽 누수 타입을 상기 사용자 인터페이스부로 출력하고,
상기 트래픽 누수 타입이 트래픽 누수 상태 또는 트래픽 누수 경고 상태로 결정된 경우, 트래픽 누수 타입에 따른 작업 명령을 해당하는 링크에 연결된 적어도 하나의 네트워크 장비로 전송하는 명령어들을 포함하는, 트래픽 누수 자동 탐지 장치.
In claim 9,
Further comprising a user interface for outputting information according to the operation of the program visually or audibly,
The program is
Outputs the traffic leak type determined using the learning model to the user interface unit,
and instructions for transmitting an operation command according to the traffic leak type to at least one network device connected to a corresponding link when the traffic leak type is determined to be a traffic leak state or a traffic leak warning state.
KR1020180158654A 2018-12-10 2018-12-10 Method and apparatus for automatic detection of traffic leakage KR102362077B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180158654A KR102362077B1 (en) 2018-12-10 2018-12-10 Method and apparatus for automatic detection of traffic leakage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180158654A KR102362077B1 (en) 2018-12-10 2018-12-10 Method and apparatus for automatic detection of traffic leakage

Publications (2)

Publication Number Publication Date
KR20200070942A KR20200070942A (en) 2020-06-18
KR102362077B1 true KR102362077B1 (en) 2022-02-10

Family

ID=71143345

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180158654A KR102362077B1 (en) 2018-12-10 2018-12-10 Method and apparatus for automatic detection of traffic leakage

Country Status (1)

Country Link
KR (1) KR102362077B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014015951A1 (en) 2012-07-21 2014-01-30 Audi Ag Circuit arrangement for a mobile communications unit of a motor vehicle, motor vehicle and method for operating a circuit arrangement
WO2014139461A1 (en) 2013-03-15 2014-09-18 华为技术有限公司 Method and device for monitoring network performance
KR102055915B1 (en) 2018-11-14 2019-12-13 주식회사 케이티 System and method for fault prediction in core network based on autoencoder

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100887874B1 (en) * 2002-06-28 2009-03-06 주식회사 케이티 System for managing fault of internet and method thereof
KR20040039509A (en) * 2002-11-01 2004-05-12 주식회사 엔엠시스템즈 Monitoring system of optical communication network
KR100936236B1 (en) * 2007-09-04 2010-01-11 충남대학교산학협력단 System and method for measuring QoS metrics for SIP/RTP VoIP traffic
KR20160132698A (en) * 2015-05-11 2016-11-21 삼성에스디에스 주식회사 Apparatus and method of intelligent system diagnosis
KR102009718B1 (en) * 2016-08-30 2019-08-16 주식회사 케이티 System and method for monitoring fault in mobile communication network
KR20190107523A (en) * 2018-03-12 2019-09-20 주식회사 케이티 System and method for handling network failure using syslog

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014015951A1 (en) 2012-07-21 2014-01-30 Audi Ag Circuit arrangement for a mobile communications unit of a motor vehicle, motor vehicle and method for operating a circuit arrangement
WO2014139461A1 (en) 2013-03-15 2014-09-18 华为技术有限公司 Method and device for monitoring network performance
KR102055915B1 (en) 2018-11-14 2019-12-13 주식회사 케이티 System and method for fault prediction in core network based on autoencoder

Also Published As

Publication number Publication date
KR20200070942A (en) 2020-06-18

Similar Documents

Publication Publication Date Title
EP3275125B1 (en) Flow-specific failure detection in sdn networks
US8730814B2 (en) Communication network connection failure protection methods and systems
US9515962B2 (en) Communication system, communication method, server equipment, and communication equipment
CN104301146A (en) Link switching method and device in software defined network
CN103684835B (en) Link fault reporting method and processing method, and transmission node and primary node
CN107735784A (en) Communication link fails detection in software defined network
US7724685B2 (en) Network segmentation method
CN106603261B (en) Hot backup method, first main device, standby device and communication system
CN103812675A (en) Method and system for realizing allopatric disaster recovery switching of service delivery platform
CN104243239B (en) The condition detection method and device of controller in a kind of SDN clusters
JP4616020B2 (en) Network monitoring program and network system
CN103441897A (en) Method and device for locating failure node in virtual network
CN102571457B (en) A kind of method, bypass equipment changing method and device triggering bypass equipment and switch
CN101056341B (en) Automatic closing method and automatic recovery method of unidirectional link and its device
US7366104B1 (en) Network monitoring and disaster detection
CN104125590A (en) Link fault diagnosis device and method thereof
WO2019172319A1 (en) Monitoring device and monitoring method
US20080002569A1 (en) Method and apparatus for identifying a fault in a communications link
CN105743565A (en) Optical transport network protection switching method and device
KR102362077B1 (en) Method and apparatus for automatic detection of traffic leakage
CN107948000B (en) Method, device and system for switching main channel and standby channel
CN108632121A (en) A kind of pretection switch method and device for looped network
CN109039761B (en) Method and device for processing fault link in cluster control channel
KR101590590B1 (en) Control apparatus and method thereof in software defined network
CN104639499B (en) A kind of fire wall monitoring method, device and network management platform

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant