KR20030028013A - 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법 - Google Patents

수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법 Download PDF

Info

Publication number
KR20030028013A
KR20030028013A KR1020010059886A KR20010059886A KR20030028013A KR 20030028013 A KR20030028013 A KR 20030028013A KR 1020010059886 A KR1020010059886 A KR 1020010059886A KR 20010059886 A KR20010059886 A KR 20010059886A KR 20030028013 A KR20030028013 A KR 20030028013A
Authority
KR
South Korea
Prior art keywords
flow data
traffic
analysis
collection
router
Prior art date
Application number
KR1020010059886A
Other languages
English (en)
Other versions
KR100495086B1 (ko
Inventor
이현식
이선우
홍운표
김상언
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR10-2001-0059886A priority Critical patent/KR100495086B1/ko
Publication of KR20030028013A publication Critical patent/KR20030028013A/ko
Application granted granted Critical
Publication of KR100495086B1 publication Critical patent/KR100495086B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/067Generation of reports using time frame reporting

Abstract

본 발명은 수동적 측정 방식을 이용한 IP(Internet Protocol) 네트워크 트래픽 정보 분석 장치에 관한 것으로, 수집하고자 하는 라우터에 발생 구성정보와 수집 구성정보를 설정하고, 플로우 데이터를 저장한 후 플로우 데이터를 트래픽 수집 및 분석 서버로 전송시키는 라우터, 플로우 데이터를 수집하고 분석하는 트래픽 수집 및 분석서버와, 수집된 플로우 데이터와 분석된 플로우 데이터를 저장하는 데이터베이스서버를 구비한다.
또한, 본 발명은 수동적 측정 방식을 이용한 IP 네트워크 트래픽 정보 분석 방법에 관한 것으로, 플로우 데이터의 발생 구성정보와 수집 구성정보를 설정시키는 단계, 플로우 데이터를 수집하는 단계, 플로우 데이터를 분류하는 단계, 플로우 데이터를 분석단위시간을 기준으로 패킷수와 바이트수를 재계산하는 단계, 플로우데이터를 분류된 종류에 따라 저장하는 단계로 구성된다.

Description

수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 장치 및 방법{Analysis Apparatus and Method for Traffic Information of IP Network based on Passive Measurement}
본 발명은 인터넷 프로토콜 네트워크 트래픽 정보 분석에 관한 것으로, 좀 더 구체적으로는 IP(Internet Protocol) 네트워크에서 발생된 트래픽을 라우터로부터 수동적 측정 방식에 의해 수집한 후 데이터웨어하우스(Data Warehouse) 기반으로 트래픽 정보를 분석할 수 있는 장치 및 방법에 관한 것이다.
일반적으로 네트워크에서 데이터를 수집하는 방법에는 능동적 측정(Active Measurement)과 수동적 측정(Passive Measurement)의 방법이 있다.
여기서 능동적 측정(AM)은 시험 패킷을 이용하여 네트워크 설계, 트래픽 분석, 트래픽 상태 및 성능분석 등 네트웍 엔지니어링을 위한 데이터를 수집하는 것으로, IP(Internet Protocol) 네트워크에서는 NIMI(National Internet Measurement Infrastructure)와 Surveyor 툴 등이 있다.
한편, 수동적 측정(PM)은 별도의 시험 패킷을 이용하지 않고 네트워크에서 발생되는 데이터를 수집하여 네트웍 엔지니어링을 위한 데이터를 산출하는 것으로, IP 네트워크에서 SNMP(Simple Network Management Protocol)와 MIB(Management Information Base), UNIX에서 운용되는 tcpdump, 및 CISCO사의 NetFlow 등이 있다.
그런데, 상기 능동적 측정(AM)의 경우에는 실시간으로 네트워크의 현황 및 상태를 파악할 수 있는 장점이 있으나, 데이터 트래픽 이외에도 측정을 위한 별도의 트래픽을 네트워크에 발생시킴으로써 네트워크 부하를 가중시킬 수 있다. 또한, 능동적 측정은 트래픽 수집 및 분석을 위해 별도의 측정장치와 분석장비를 네트워크에 설치해야 하므로 비용이 많이 들고, 비용에 비해서 수집된 정보의 양이 적으므로 대규모 네트워크의 트래픽 수집 및 분석을 위해서는 제약사항이 있다.
수동적 측정(PM)의 경우에는 능동적 측정에 비해서 경제적이며 단시간 내에 대규모 데이터를 수집할 수 있으므로 분석의 정확성을 고려할 때 유리하다. 따라서 수동적 측정은 대규모 네트워크 사업자가 네트워크 설계, 트래픽 분석, 네트워크 진단 및 분석 등을 수행하고자 할 때 적합한 방법이다. 다만 수동적 측정은 장비에 종속적이기 때문에 데이터 수집과 분석을 위해 특정 장비에서 발생되는 데이터의 속성을 명확히 파악해야 한다는 문제점이 있다.
능동적 측정(AM)과 수동적 측정(PM)을 이용하여 데이터가 수집되면, 예컨대 데이터 분석장치를 통해 목적에 따라 파라미터 값과 기타 특성 분석 결과가 도출되어 제공되는데, 이와 같은 정보는 2차적인 분석을 위한 기초자료로 사용되기 힘들뿐 아니라 사용자에 따라 그 결과가 유용하지 않을 수 있는 단점이 있다.
따라서, 본 발명은 상술한 제반 문제점을 해결하기 위해 제안된 것으로서, 트래픽을 분석하고자 하는 IP 네트워크의 임의의 라우터로부터 넷플로우 데이터를 수집하도록 설정할 수 있는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 장치를 제공함에 그 목적이 있다.
또한, 본 발명은 수집된 넷플로우 데이터를 쿼리의 조건에 맞추어진 데이터로 제공할 수 있는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 장치를 제공함에 다른 목적이 있다.
더욱이 본 발명은 사용자가 요구하는 넷플로우 데이터의 분석정보를 산출하여 제공할 수 있는 수동적 측정 방식을 이용한 네트워크 트래픽 정보 분석 장치를 제공함에 다른 목적이 있다.
도 1은 본 발명의 실시예에 따른 네트워크의 라우터와 수집서버의 접속상태를 나타낸 도면.
도 2는 도 1에 도시된 라우터로부터 데이터베이스서버에 수집되는 데이터베이스의 구조를 나타낸 도면.
도 3은 도 1에 도시된 데이터베이스서버의 데이터베이스 조회에 의한 트래픽 수집 및 분석 서버에서의 분석을 위한 디멘션 모델을 나타낸 도면.
도 4는 도 1에 도시된 트래픽 수집 및 분석 서버의 동작을 상세히 나타낸 플로우챠트.
< 도면의 주요 부분에 대한 부호의 설명 >
100, 200 : 자율시스템(AS)110, 210 : 네트워크
220, 230 : 라우터240 : 트래픽 수집 및 분석 서버
250 : 데이터베이스 서버
상술한 목적을 달성하기 위해 제안된 본 발명의 특징에 의하면, 수동적 측정 방식을 이용한 네트워크 트래픽 정보 분석 장치는 수집하고자 하는 라우터에 플로우 데이터의 발생 구성정보와 수집 구성정보가 설정되도록 전송하고, 설정된 라우터로부터 발생된 플로우 데이터를 수집하고 수집된 플로우 데이터를 분석하는 트래픽 수집 및 분석서버와; 상기 트래픽 수집 및 분석 서버로부터의 발생 구성정보에 기초하여 생성된 플로우 데이터를 저장한 후, 트래픽 수집 및 분석 서버로부터의 수집 구성정보에 기초하여 저장된 플로우 데이터를 상기 트래픽 수집 및 분석 서버로 전송시키는 라우터; 및 상기 트래픽 수집 및 분석 서버에 수집된 플로우 데이터와 분석된 플로우 데이터를 저장하는 데이터베이스서버로 구성된 것을 특징으로 한다.
이 특징의 바람직한 실시예에 있어서, 상기 트래픽 수집 및 분석서버는 수집된 플로우 데이터를 소정의 분석단위시간으로 나누는 것을 특징으로 한다.
이 특징의 바람직한 실시예에 있어서, 상기 데이터베이스서버는 수집된 플로우 데이터를 소스IP주소, 목적IP주소, 소스포트번호, 목적포트번호, 및 프로토콜별로 각각 분류시키는 것을 특징으로 한다.
또한, 본 발명의 다른 특징에 의하면, 수동적 측정 방식을 이용한 네트워크 트래픽 정보 분석 방법은 분석하고자 하는 라우터에 플로우 데이터의 발생 구성정보와 수집 구성정보를 설정시키는 단계와, 상기 구성정보를 설정시키는 단계에 의해 구성된 라우터로부터 발생된 플로우 데이터를 수집하는 단계, 상기 플로우 데이터를 수집하는 단계에서 수집된 플로우 데이터를 소스IP주소, 목적IP주소, 소스포트번호, 목적포트번호, 및 프로토콜별로 분류하는 단계, 상기 분류하는 단계에서 분류된 데이터를 분석하고자 하는 분석단위시간을 기준으로 패킷수와 바이트수를 재계산하는 단계, 상기 재계산하는 단계에서 재계산된 플로우데이터를 상기 분류하는 단계에서 분류된 종류에 따라 저장하는 단계로 구성된 것을 특징으로 한다.
이 특징의 바람직한 실시예에 있어서, 상기 구성정보를 설정시키는 단계는 플로우 데이터를 분석하고자 하는 분석단위시간을 설정시키는 단계를 포함하는 것을 특징으로 한다.
이 특징의 바람직한 실시예에 있어서, 상기 재계산하는 단계는 수집된 플로우 데이터가 분석단위시간을 거쳐 발생된 경우에는 플로우 데이터를 분석단위시간을 기준으로 비율적으로 분리시키는 단계를 포함하는 것을 특징으로 한다.
이하, 도 1 내지 도 4를 참조하여 본 발명의 실시예를 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 네트워크의 라우터와 수집서버의 접속상태를 나타낸 도면이다. 도면에서 참조부호 100과 200은 자율시스템(Autonomous System), 110과 210은 네트워크(IP Network), 220과 230은 라우터(Router), 240은 트래픽 수집 및 분석 서버, 250은 데이터베이스 서버(Database Server)를 각각 나타낸다.
도면을 참조하면 IP 네트워크(210)는 자율시스템(200)에 속해있고, 타 IP 네트워크(110)는 다른 자율시스템(100)에 속해있다.
본 발명의 상기 네트워크(210)는 예컨대 CISCO사의 라우터 기반의 BGP(Boarder Routing Protocol)이 동작되는 IP 네트워크를 예로 들어 설명한다.
상기 네트워크(210)에 구성된 CISCO사의 라우터(220, 230)는 발생된 플로우 트래픽을 1차적으로 모두 저장하게 된다. 이와 같은 라우터는 플로우 트래픽을 발생시키기 위한 스위칭 모드가 설정되고, 발생된 트래픽을 수집하는 장치를 지정하면 된다. 여기서 트래픽 수집 및 분석 서버(250)는 라우터에서 발생된 트래픽을 수집하는 장치로 설정되게 된다. 상기 라우터에서 발생되는 데이터를 일반적으로 NED(NewFlow Export Data)라 한다.
따라서 상기 라우터가 플로우 트래픽을 발생시키기 위한 스위칭 모드로 설정되면, 라우터에서 발생된 NED는 주기적으로 지정된 트래픽 수집 및 분석 서버로 전송된다. 그러면, 트래픽 수집 및 분석 서버(240)는 수집된 NED를 데이터베이스 서버(250)를 통해 데이터베이스에 저장한다.
본 발명의 실시예에서는 NED를 수집하기 위한 상기 라우터(230, 220)의 설정상태의 변경 및 설정은 트래픽 수집 및 분석 서버(240)에 의해 제어될 수 있다.
도 2는 도 1에 도시된 라우터로부터 데이터베이스서버에 수집되는 데이터베이스의 구조를 나타낸 도면이다. 여기서 도 2의 (A)는 데이터베이스의 헤더정보를 나타내고, (B)는 레코드를 나타낸다.
상기 헤더는 버전(Version), 카운트(Count), 경과시각(Sysuptime), 유닉스_초(Unix_secs), 유닉스_나노초(Unix_nsecs), 전체플로우카운트(Flow_sequence), 엔진타입(Engin_type), 및 엔진식별자(Engine_ID)로 구성된다.
여기서 버전은 넷플로우(NetFlow) 포맷의 버전 번호, 카운트(Count)는 UDP 패킷 내에 등록된 플로우 수, 경과시각(Sysuptime)은 라우터 부팅경과시간, 유닉스_초(Unix_secs)와 유닉스_나노초(Unix_nsecs)는 라우터 시간, 전체플로우카운트(Flow_sequence)는 플로우 시퀀스의 카운터 번호, 엔진타입(Engin_type)은 라우터의 넷플로우의 엔진타입, 엔진식별자(Engine_ID)는 라우터 넷플로우의 엔진번호를 나타낸다.
한편, 레코드는 소스IP주소(Srcaddr), 목적IP주소(Dstaddr), 넥스트홉라우터IP주소(NextHop), 입력인터페이스SNMP인덱스(Input), 출력인터페이스SNMP인덱스(Output), 플로우패킷수(Dpkts), 플로우3레이어바이트수(Doctets), 플로우시작경과시각(First), 플로우종료경과시각(Last), 소스포트번호(Srcport), 목적포트번호(Dstport), TCP플래그(Tcp_flags), 프로토콜타입(Prot), 서비스타입(Tos), 소스자율시스템번호(Src_as), 목적자율시스템번호(Dst_as), 소스어드레스프리픽스마스크(Src_mask), 목적어드레스프리픽스마스크(Dst_mask)로 구성된다.
상기 소스IP주소(Srcaddr)는 발신 IP(Internet Protocol) 주소, 목적IP주소(Dstaddr)는 착신 IP 주소, 넥스트홉라우터IP주소(NextHop)는 Next HOP 라우터의 IP 주소, 입력인터페이스SNMP인덱스(Input)는 입력 인터페이스의 SNMP 인덱스 번호, 출력인터페이스SNMP인덱스(Output)는 출력 인터페이스의 SNMP 인덱스 번호, 플로우패킷수(Dpkts)는 플로우가 송신한 패킷수, 플로우바이트수(Doctets)는플로우가 송신한 총 바이트수, 플로우시작경과시각(First)은 플로우의 시작시간, 플로우종료경과시각(Last)은 플로우의 종료시간, 소스포트번호(Srcport)는 발신 IP의 포트번호, 목적포트번호(Dstport)는 착신 IP의 포트번호, 소스자율시스템번호(Src_as)는 발신 IP가 속한 자율시스템(Autonomous System) 번호, 목적자율시스템번호(Dst_as)는 착신 IP가 속한 자율시스템(Autonomous System) 번호, 소스어드레스프리픽스마스크(Src_mask)는 발신 IP의 네트웍 마스크 정보, 목적어드레스프리픽스마스크(Dst_mask)는 착신 IP의 네트웍 마스크 정보를 각각 나타낸다.
도 3은 도 1에 도시된 데이터베이스서버의 데이터베이스 조회에 의한 트래픽 수집 및 분석 서버에서의 분석을 위한 데이터베이스 디멘션 모델을 나타낸 도면이다.
도면에 도시된 바와 같이, 본 발명의 실시예에 따른 데이터베이스 디멘션 모델은 기간테이블(250)과, 시간테이블(260), 발신지역테이블(270), 착신지역테이블(280), 발신포트테이블(290), 착신포트테이블(300), 및 프로토콜테이블(310)로 구성된다. 상기 각각의 테이블(250∼310)은 플로우트래픽분석테이블(320)과 링크되어 있다.
상기 프로우트래픽분석테이블(320)은 트래픽 분석 및 통계내역 정보를 포함하는 것으로, 상기 디멘션 테이블(250∼310)과는 연월일코드, 시간코드, 소스IP주소, 목적IP주소, 소스포트번호, 목적포트번호, 프로토콜타입으로 링크되어 있다.
이와 같은 상기 기간테이블(250)은 연월일코드, 연월일명, 요일명, 월명, 년명의 필드로 구성된다. 그리고 시간테이블(260)은 시간코드, 시간명의 필드로 구성된다.
발신지역테이블(270)은 소스IP주소, 노드, 지역본부, 소스자율시스템, 및 발신가입자유형 필드로 구성된다. 한편, 착신지역테이블(280)은 목적IP주소, 노드, 지역본부, 목적자율시스템, 착신가입자유형 필드로 구성된다.
발신포트테이블(290)은 소스포트번호와 서비스타입 필드로 구성된다. 그리고 착신포트테이블(300)은 목적포트번호와 서비스타입 필드로 구성된다. 한편, 프로토콜테이블(310)은 프로토콜타입과 프로토콜명 필드로 구성된다.
도 4는 도 1에 도시된 트래픽 수집 및 분석 서버의 동작을 상세히 나타낸 플로우챠트이다.
먼저, 운용자는 트래픽 수집 및 분석 서버(240)를 통해 트래픽을 분석하고자 하는 분석단위시간을 입력시킨다(S110).
그리고 트래픽 수집 및 분석 서버(240)는 측정하고자 하는 라우터에 대한 플로우 데이터 발생 구성정보와 수집서버 구성정보를 입력받고, 입력된 구성정보에 따라 선택된 라우터의 구성정보를 설정한다(S120).
상기 플로우 데이터 발생 구성정보는 라우터(220, 230)로부터 수집 및 분석 서버(240)에 데이터를 전송하는 시간의 주기(수집주기)를 포함한다. 상기 수집주기는 수집데이터가 네트워크에 미치는 영향을 최소화하도록 라우터마다 다른 시간에 발생되도록 설정한다. 또한, 상기 수집 서버 구성정보는 플로우 데이터를 수집하는 트래픽 수집 및 분석 서버(240)의 IP주소를 포함한다.
그러면 트래픽 수집 및 분석 서버(240)는 상기와 같이 설정된 라우터로부터 송신된 플로우 데이터를 수집한다(S130).
계속해서 트래픽 수집 및 분석 서버(240)는 수신된 플로우 데이터를 발신IP주소와, 목적IP주소, 소스포트번호, 목적포트번호, 및 프로토콜별로 분류한다 (S140).
그리고 트래픽 수집 및 분석 서버(240)는 상기 수신된 플로우 데이터를 상기 입력된 분석단위시간은 재계산한다(S150). 예를 들어 트래픽 수집 및 분석 서버(240)는 수신된 플로우 데이터에 포함된 플로우패킷수와 플로우바이트수를 상기 분석단위시간으로 계산한다.
여기서, 상기 분석단위시간 입력 단계(S110)에서 분석단위시간을 15분으로 입력시킨 경우를 예로 들어 설명한다.
수집된 원래의 플로우 데이터를 Flow1이라 표기하고, Flow1의 플로우발생시각이 2001년 1월 1일 00시 05분, Flow1의 플로우종료시각이 2001년 1월 1일 00시 20분이라 가정한다. 그리고 Flow1의 플로우패킷수는 100, 플로우바이트수는 1000이라 가정한다.
그러면 Flow1의 유지시간(Activetime)은 플로우종료시각에서 플로우발생시각을 뺀 시간이 된다. 따라서 Flow1의 유지시간은 15분(20분 - 5분)이 된다.
그런데 상기 설정된 분석단위시간은 15분으로 입력되어 있으므로, 이와 같은 분석단위시간에 맞추어 플로우 데이터의 정보를 재계산 하여야 한다. 그러므로, 트래픽 수집 및 분석 서버(240)는 상기 수신된 플로우 데이터 Flow1을 15분을 기준으로 Flow11과 Flow12로 나눈다.
따라서, Flow11의 발생시각은 2001년 1월 1일 00시 05분, 종료시각은 2001년 1월 1일 00시 15분이 된다. 그리고, Flow12의 발생시각은 2001년 1월 1일 00시 15분, 종료시각은 2001년 1월 1일 00시 20분이 된다. 이때, Flow11의 유지시간은 10분이고, Flow12의 유지시간은 5분이 된다.
이어서, 트래픽 수집 및 분석 서버(240)는 상기와 같이 계산된 유지시간에 기초하여 Flow11과 Flow12의 플로우패킷수와 플로우바이트수를 계산한다.
먼저, Flow11 의 플로우패킷수를 계산하면 수학식 1과 같다.
[수학식 1]
그러면, Flow12의 플로우패킷수는 30개(Flow1의 플로우패킷수 - Flow11의 플로우패킷수)가 된다.
마찬가지로, Flow11의 플로우바이트수를 계산하면 수학식 2와 같다.
[수학식 2]
그러면, Flow12의 플로우바이트수는 300바이트(Flow1의 플로우바이트수 - Flow11의 플로우바이트수)가 된다.
상기와 같이 분류된 플로우별로 계산된 결과를 데이터베이스서버(25)를 통해 본 발명의 실시예에 따른 데이터웨어하우스 디멘션 모델에 따라 저장시킨다(S160).
마지막으로, 트래픽 수집 및 분석 서버(240)는 상기와 같이 데이터베이스서버(250)를 통해 데이터베이스에 저장된 플로우 데이터를 다음의 표 1에 도시된 바와 같이 계산한다.
[표 1] 플로우 트래픽 통계 내역
분석1 분석2 분석3 파라미터 정의
단위시간별,일별,월별,년도별 자율시스템별,지역별,ISP별,특정사이트별 프로토콜별,서비스별 bytecnt 총송신바이트수(트래픽볼륨)
pktcnt 총송신패킷수
flowcnt 발생된 플로우수
bps 송신 바이트수(단위시간)bps=bytecnt/UNIT_TIME
flowsec 발생된 플로우수(단위시간)flowsec=flowcnt/UNIT_TIME
activetime 플로우 평균 유지시간(플로우종료시각-플로우발생시각)의 평균
pktsec 송신한 패킷수(단위시간)pktsec=pktcnt/UNIT_TIME
pktperflow 플로우당 평균 송신 패킷수pktperflow=pktcnt/flowcnt
Byteperpkt 패킷당 평균 송신 바이트수byteperpkt=bytecnt/flowcnt
byteperflow 플로우당 평균 송신 바이트수byteperflow=bytecnt/flowcnt
이와 같이 계산된 통계 데이터는 플로우트래픽분석테이블(320)에 저장된다.
본 발명은 수동적 측정(PM) 방식으로 플로우 데이터를 수집하므로 별도의 트래픽 수집을 위한 측정장비가 필요하지 않고, 대규모의 데이터를 단시간에 수집할 수 있어 경제적이다. 또한, 본 발명에 의하면 대규모 데이터를 기초로 하여 네트워크 트래픽을 분석하므로 분석결과에 신뢰성이 있다.
이와 같은 본 발명은 인터넷 프로토콜의 사용을 기초로한 과금을 할 수 있고, QoS 및 SLA와 같은 트래픽 관련 IP 부가서비스가 가능하게 한다.
더욱이 본 발명에 의하면 네트워크 운용자가 경제적인 BGP Peering 정책을 수립할 수 있는 정보를 제공받을 수 있다.
또한, 본 발명에 의하면 데이터 수집 및 분석이 신속하게 이루어지고, 분석하고자 하는 단위시간을 자유롭게 설정할 수 있어, 네트워크의 버스트 트래픽을 분석할 수 있고, 해킹 공격을 받을 것으로 추정되는 호스트를 즉시 파악할 수 있다.

Claims (6)

  1. 인터넷 프로토콜 네트워크에 접속된 라우터로부터 발생된 플로우 데이터를 수집하는 장치에 있어서,
    수집하고자 하는 라우터에 플로우 데이터의 발생 구성정보와 수집 구성정보가 설정되도록 전송하고, 설정된 라우터로부터 발생된 플로우 데이터를 수집하고 수집된 플로우 데이터를 분석하는 트래픽 수집 및 분석서버와;
    상기 트래픽 수집 및 분석 서버로부터의 발생 구성정보에 기초하여 생성된 플로우 데이터를 저장한 후, 트래픽 수집 및 분석 서버로부터의 수집 구성정보에 기초하여 저장된 플로우 데이터를 상기 트래픽 수집 및 분석 서버로 전송시키는 라우터; 및
    상기 트래픽 수집 및 분석 서버에 수집된 플로우 데이터와 분석된 플로우 데이터를 저장하는 데이터베이스서버로 구성된 것을 특징으로 하는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 장치.
  2. 제 1 항에 있어서,
    상기 트래픽 수집 및 분석서버는 수집된 플로우 데이터를 소정의 분석단위시간으로 나누는 것을 특징으로 하는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 장치.
  3. 제 1 항에 있어서,
    상기 데이터베이스서버는 수집된 플로우 데이터를 소스IP주소와, 목적IP주소, 소스포트번호, 목적포트번호, 및 프로토콜별로 분류시켜 저장시키는 것을 특징으로 하는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 장치.
  4. 인터넷 프로토콜 네트워크에 접속된 라우터로부터 발생된 플로우 데이터를 수집하는 방법에 있어서,
    분석하고자 하는 라우터에 플로우 데이터의 발생 구성정보와 수집 구성정보를 설정시키는 단계와;
    상기 구성정보를 설정시키는 단계에 의해 구성된 라우터로부터 발생된 플로우 데이터를 수집하는 단계;
    상기 플로우 데이터를 수집하는 단계에서 수집된 플로우 데이터를 소스IP주소, 목적IP주소, 소스포트번호, 목적포트번호, 및 프로토콜별로 분류하는 단계;
    상기 분류하는 단계에서 분류된 데이터를 분석하고자 하는 분석단위시간을 기준으로 패킷수와 바이트수를 재계산하는 단계; 및
    상기 재계산하는 단계에서 재계산된 플로우데이터를 상기 분류하는 단계에서 분류된 종류에 따라 저장하는 단계로 구성된 것을 특징으로 하는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 방법.
  5. 제 4 항에 있어서,
    상기 구성정보를 설정시키는 단계는 플로우 데이터를 분석하고자 하는 분석단위시간을 설정시키는 단계를 포함하는 것을 특징으로 하는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 방법.
  6. 제 4 항에 있어서,
    상기 재계산하는 단계는 수집된 플로우 데이터가 분석단위시간을 거쳐 발생된 경우에는 플로우 데이터를 분석단위시간을 기준으로 비율적으로 분리시키는 단계를 포함하는 것을 특징으로 하는 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크 트래픽 정보 분석 방법.
KR10-2001-0059886A 2001-09-27 2001-09-27 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법 KR100495086B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0059886A KR100495086B1 (ko) 2001-09-27 2001-09-27 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0059886A KR100495086B1 (ko) 2001-09-27 2001-09-27 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20030028013A true KR20030028013A (ko) 2003-04-08
KR100495086B1 KR100495086B1 (ko) 2005-06-14

Family

ID=29562472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0059886A KR100495086B1 (ko) 2001-09-27 2001-09-27 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100495086B1 (ko)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100448634B1 (ko) * 2002-11-12 2004-09-13 한국전자통신연구원 네트워크에서의 트래픽 행렬 산출 시스템 및 그 방법
KR100521976B1 (ko) * 2002-10-02 2005-10-17 주식회사 케이티 인터페이스 인덱스를 이용한 플로우 트래픽 데이터 수집방법
KR100523486B1 (ko) * 2002-12-13 2005-10-24 한국전자통신연구원 트래픽 측정 시스템 및 그의 트래픽 분석 방법
KR100566213B1 (ko) * 2001-10-26 2006-03-29 주식회사 케이티 Ip 네트워크에서 플로우에 기반한 트래픽 표본화 방법
KR100570888B1 (ko) * 2002-10-02 2006-04-12 주식회사 케이티 인터넷 트래픽 모니터링 서비스 제공방법
KR100688078B1 (ko) * 2004-12-01 2007-03-02 한국전자통신연구원 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법
KR100706602B1 (ko) * 2004-12-16 2007-04-11 한국전자통신연구원 통신 품질 측정 시스템 및 그 방법
KR100772983B1 (ko) * 2006-12-07 2007-11-02 한국전자통신연구원 인터넷 트래픽 측정 시스템 및 측정 방법
KR100862727B1 (ko) * 2007-03-26 2008-10-10 한국전자통신연구원 트래픽 분석 방법 및 그 시스템
KR100870182B1 (ko) * 2007-04-05 2008-11-25 삼성전자주식회사 L2/l3 기반 라우터쌍의 플로우 별 트래픽 양 추정시스템 및 방법
KR100895460B1 (ko) * 2006-12-01 2009-05-07 한국전자통신연구원 타임 버킷 기반의 아이피 트래픽 플로우 생성 방법
KR100912806B1 (ko) * 2006-12-07 2009-08-18 한국전자통신연구원 인터넷 트래픽으로부터 특정 인터넷 응용 프로그램시그너춰를 추출하는 장치 및 방법.
US7715317B2 (en) 2003-11-28 2010-05-11 Electronics And Telecommunications Research Institute Flow generation method for internet traffic measurement
US7983164B2 (en) 2006-12-01 2011-07-19 Electronics And Telecommunications Research Institute Apparatus and method for merging internet traffic mirrored from multiple links
US8031611B2 (en) 2006-12-01 2011-10-04 Electronics And Telecommunications Research Institute Method of generating IP traffic flow based on a time bucket
KR101399414B1 (ko) * 2013-06-28 2014-07-01 고려대학교 산학협력단 캐시를 사용한 네트워크 트래픽 분석 장치 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101275751B1 (ko) * 2007-07-30 2013-06-14 영남대학교 산학협력단 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07231317A (ja) * 1993-12-22 1995-08-29 Fuji Xerox Co Ltd トラフィック収集解析装置
KR100216069B1 (ko) * 1996-06-03 1999-08-16 이계철 전자교환기 트래픽 집중관리시스템
KR100249039B1 (ko) * 1997-11-17 2000-03-15 김영환 이동통신교환기의통계요구정보관리방법
KR100406569B1 (ko) * 1999-11-24 2003-11-20 주식회사 케이티 Atm 기반 인터넷 트래픽 측정 및 분석 장치 및 방법
KR100730876B1 (ko) * 2000-09-22 2007-06-20 주식회사 케이티 고속 네트워크 트래픽 관리장치 및 방법

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100566213B1 (ko) * 2001-10-26 2006-03-29 주식회사 케이티 Ip 네트워크에서 플로우에 기반한 트래픽 표본화 방법
KR100521976B1 (ko) * 2002-10-02 2005-10-17 주식회사 케이티 인터페이스 인덱스를 이용한 플로우 트래픽 데이터 수집방법
KR100570888B1 (ko) * 2002-10-02 2006-04-12 주식회사 케이티 인터넷 트래픽 모니터링 서비스 제공방법
KR100448634B1 (ko) * 2002-11-12 2004-09-13 한국전자통신연구원 네트워크에서의 트래픽 행렬 산출 시스템 및 그 방법
KR100523486B1 (ko) * 2002-12-13 2005-10-24 한국전자통신연구원 트래픽 측정 시스템 및 그의 트래픽 분석 방법
US7715317B2 (en) 2003-11-28 2010-05-11 Electronics And Telecommunications Research Institute Flow generation method for internet traffic measurement
KR100688078B1 (ko) * 2004-12-01 2007-03-02 한국전자통신연구원 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법
US7664850B2 (en) 2004-12-16 2010-02-16 Electronics And Telecommunications Research Institute System for measuring communication quality and method thereof
KR100706602B1 (ko) * 2004-12-16 2007-04-11 한국전자통신연구원 통신 품질 측정 시스템 및 그 방법
KR100895460B1 (ko) * 2006-12-01 2009-05-07 한국전자통신연구원 타임 버킷 기반의 아이피 트래픽 플로우 생성 방법
US7983164B2 (en) 2006-12-01 2011-07-19 Electronics And Telecommunications Research Institute Apparatus and method for merging internet traffic mirrored from multiple links
US8031611B2 (en) 2006-12-01 2011-10-04 Electronics And Telecommunications Research Institute Method of generating IP traffic flow based on a time bucket
KR100912806B1 (ko) * 2006-12-07 2009-08-18 한국전자통신연구원 인터넷 트래픽으로부터 특정 인터넷 응용 프로그램시그너춰를 추출하는 장치 및 방법.
KR100772983B1 (ko) * 2006-12-07 2007-11-02 한국전자통신연구원 인터넷 트래픽 측정 시스템 및 측정 방법
KR100862727B1 (ko) * 2007-03-26 2008-10-10 한국전자통신연구원 트래픽 분석 방법 및 그 시스템
KR100870182B1 (ko) * 2007-04-05 2008-11-25 삼성전자주식회사 L2/l3 기반 라우터쌍의 플로우 별 트래픽 양 추정시스템 및 방법
US8284697B2 (en) 2007-04-05 2012-10-09 Samsung Electronics Co. Ltd System and method for estimating flow-specific traffic volumes
KR101399414B1 (ko) * 2013-06-28 2014-07-01 고려대학교 산학협력단 캐시를 사용한 네트워크 트래픽 분석 장치 및 방법

Also Published As

Publication number Publication date
KR100495086B1 (ko) 2005-06-14

Similar Documents

Publication Publication Date Title
KR100495086B1 (ko) 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법
US7529192B2 (en) System and method for correlating traffic and routing information
Feldmann et al. Deriving traffic demands for operational IP networks: Methodology and experience
EP1583281B1 (en) High-speed traffic measurement and analysis methodologies and protocols
Sekar et al. cSamp: A system for network-wide flow monitoring
US7185103B1 (en) Rate-controlled transmission of traffic flow information
US7002960B1 (en) Traffic matrix computation for packet networks
US8089895B1 (en) Adaptive network flow analysis
EP1511220B1 (en) Non-intrusive method for routing policy discovery
EP1318629A2 (en) Method and system for determining autonomous system transit volumes
US7898969B2 (en) Performance measurement in a packet transmission network
US20080159287A1 (en) EFFICIENT PERFORMANCE MONITORING USING IPv6 CAPABILITIES
US9634851B2 (en) System, method, and computer readable medium for measuring network latency from flow records
JP2001203691A (ja) ネットワークトラフィック監視システム及びそれに用いる監視方法
JP2007336512A (ja) 統計情報収集システム及び統計情報収集装置
US7478156B1 (en) Network traffic monitoring and reporting using heap-ordered packet flow representation
JP4523612B2 (ja) 経路情報・mib情報をもとにしたトラフィック監視方法
KR101157268B1 (ko) 인터넷 프로토콜 패킷특성 분석 시스템 및 그 방법
EP2262173A1 (en) Network management method and agent
US20090055529A1 (en) Method of collecting descriptions of streams pertaining to streams relating to at least one client network attached to an interconnection network
Teixeira et al. BGP routing changes: Merging views from two ISPs
Pekár et al. Issues in the passive approach of network traffic monitoring
KR100570888B1 (ko) 인터넷 트래픽 모니터링 서비스 제공방법
KR101364090B1 (ko) 아이에스피망의 고유 번호를 이용한 아이에스피 간의트래픽 정산 시스템 및 방법
JP2002084278A (ja) 経路別トラヒック解析方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130603

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140602

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150601

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20160901

Year of fee payment: 12