KR20050030186A - A method for the detection of network traffic anomalies using netflow data - Google Patents

A method for the detection of network traffic anomalies using netflow data Download PDF

Info

Publication number
KR20050030186A
KR20050030186A KR1020050016311A KR20050016311A KR20050030186A KR 20050030186 A KR20050030186 A KR 20050030186A KR 1020050016311 A KR1020050016311 A KR 1020050016311A KR 20050016311 A KR20050016311 A KR 20050016311A KR 20050030186 A KR20050030186 A KR 20050030186A
Authority
KR
South Korea
Prior art keywords
daemon
regression
network traffic
netflow
netflow information
Prior art date
Application number
KR1020050016311A
Other languages
Korean (ko)
Inventor
강구홍
Original Assignee
강구홍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 강구홍 filed Critical 강구홍
Priority to KR1020050016311A priority Critical patent/KR20050030186A/en
Publication of KR20050030186A publication Critical patent/KR20050030186A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Abstract

A method for detecting a network traffic anomaly by using netflow information is provided to use a correlation between the number of flows and the number of bytes obtainable from netflow information through regression analysis when detecting an anomaly, thereby expanding utility of the netflow information. A system receives flows per second and bytes per second from a flow collector daemon(S401). The system obtains regression coefficients based on a current time from a regression coefficient generator(S402). The system calculates an upper limit and a lower limit of a reliable section from a regression model based on the flows per second(S403). The system decides whether the number of the bytes is between the upper limit and the lower limit(S404). If not, the system outputs a network traffic anomaly(S405).

Description

NetFlow 정보를 이용한 네트워크 트래픽 어노멀리 검출 방법 {A METHOD FOR THE DETECTION OF NETWORK TRAFFIC ANOMALIES USING NETFLOW DATA}Network traffic normal detection method using NetFlow information {A METHOD FOR THE DETECTION OF NETWORK TRAFFIC ANOMALIES USING NETFLOW DATA}

본 발명은 시스코 네트워크 장비가 제공하는 NetFlow 정보를 이용하여 네트워크 트래픽 어노멀리 (이하, '어노멀리'라고 약칭함) 검출에 관한 것으로, 더욱 상세하게는 NetFlow 정보로 제공되는 흐름 수, 패킷 수, 그리고 바이트 수의 상관관계를 회귀분석을 통해 어노멀리를 검출하는 방법에 관한 것이다.The present invention relates to network traffic normal (hereinafter, abbreviated as 'normally') detection using NetFlow information provided by Cisco network equipment. More specifically, the number of flows, packets, and It relates to a method for detecting anomaly through regression analysis of the correlation of the number of bytes.

주지와 같이, 오늘날 산업, 정부, 그리고 심지어 일반 개인 생활이 인터넷에 점점 더 의존해 감에 따라 네트워크를 통한 정보 흐름에 관한 중요성이 한층 강조되고 있다. 그러나 헤커들에 의한 네트워크 혹은 주요 서버 컴퓨터에 대한 침입이나 공격은 네트워크를 마비시킴으로서 전자 상거래 서비스 중단과 같은 심각한 경제적 손실뿐만 아니라 인터넷 서비스 중단에 따른 극심한 사회적 혼란을 초래하고 있다. 이러한 공격으로부터 네트워크를 보호하기 위한 침입탐지시스템 기술은 대부분 잘 알려진 공격 시그너처(signature)를 기준으로 패턴 매칭에 의해 공격을 검출해 내는 방법을 사용한다. 그러나 이러한 기존 방법들은 알려지지 않은 공격(일명 어노멀리(anomaly) 라고 함)으로부터 네트워크를 보호하는 것은 불가능하다.As is well known, the importance of information flow through the network is being emphasized as the industry, government, and even general personal life become more and more dependent on the Internet today. However, intrusions or attacks on networks or major server computers by hackers paralyze the network, leading to severe social disruption resulting from Internet service outages as well as serious economic losses such as e-commerce service outages. Intrusion detection system technology to protect the network from such attacks mostly uses a method of detecting an attack by pattern matching based on well-known attack signature (signature). However, these existing methods are unable to protect the network from unknown attacks (also known as anomaly).

어노멀리 검출을 위한 방법은 네트워크 기반과 호스트 기반으로 이루어진다. 초기 어노멀리 검출은 호스트 기반으로서 유닉스 서버 혹은 운영체제 서비스의 오류를 이용한 공격을 검출하였다. 이들 공격은 시스템 콜의 정상적인 패턴으로부터 벗어나며, 어노멀리 검출은 이와 같은 비정상적인 시스템 콜 패턴을 확인하게 된다. 한편 네트워크 기반은 네트워크 트래픽의 정상 사용 패턴(normal usage pattern)을 인지한 후 트래픽을 모니터링하여 이들 정상 사용 패턴을 벗어나는 네트워크 트래픽을 어노멀리로 검출한다. 이러한 네트워크 트래픽 어노멀리는 네 가지 카테고리, 즉 서비스거부공격(Denial of Service) 혹은 플러딩(flooding)공격과 같은 공격(attack), 하드웨어 장애, 사용자 폭주(flash crowds), 그리고 측정 실패 등으로 분류한다. 이들 네트워크 트래픽 어노멀리를 빠르고 정확하게 판단하는 것은 네트워크의 효율적인 운영에 있어서 매우 중요하다.Methods for normal detection are network based and host based. Early anomaly detection detected an attack using a host-based error of a Unix server or operating system service. These attacks deviate from the normal pattern of system calls, and anomaly detection identifies these abnormal system call patterns. On the other hand, the network infrastructure recognizes normal usage patterns of network traffic and then monitors the traffic and detects network traffic that is outside these normal usage patterns as anomaly. These network traffic anomalies fall into four categories: attacks such as denial of service or flooding attacks, hardware failures, flash crowds, and measurement failures. Determining these network traffic normals quickly and accurately is very important for efficient operation of the network.

종래의 네트워크 트래픽 어노멀리 검출 방법은 크게 두 가지 유형으로 분류할 수 있다. 첫 번째 방법은 패킷의 헤드 정보 즉 TCP/IP 프로토콜 속성을 모니터링하여 이를 기반으로 어노멀리를 검출한다. 이러한 방법은 오늘날 대부분의 공격들이 비정상적인 TCP 플래그 혹은 IP 옵션, 유효하지 않은 일련번호(sequence number), 잘못된 체크섬(checksum), 위장된 주소(spoofed address) 등을 이용하기 때문이다. 두 번째 방법은 네트워크 트래픽을 타임 시리즈로 모델링하고 이 모델링으로부터 정상 트래픽을 정의하기 위해 통계적 편차(statistical deviations)를 결정한 다음 이들로부터 벗어나는 트래픽을 네트워크 어노멀리로 검출하는 방법이 있다.Conventional network traffic normal detection methods can be classified into two types. The first method detects anomaly based on monitoring the head information of the packet, that is, the TCP / IP protocol property. This is because most attacks today use unusual TCP flags or IP options, invalid sequence numbers, invalid checksums, spoofed addresses, and so on. The second method is to model network traffic as a time series, determine statistical deviations from this modeling to define normal traffic, and then detect network deviations from the traffic.

이러한 종래 네트워크 트래픽 어노멀리 검출 방법들은 TCP/IP 프로토콜 정보를 대량으로 관리하고 처리해야 하며 타임 시리즈 모델링을 위한 많은 관련 파라미터들을 설정해야 하는 문제점이 있다.These conventional network traffic normal detection methods have a problem of managing and processing a large amount of TCP / IP protocol information and setting many related parameters for time series modeling.

본 발명은 이와 같은 종래의 문제점을 해결하기 위하여 제안한 것으로, 시스코 네트워크 장비 (예를 들어, 라우터 혹은 스위치) 가 제공하는 NetFlow 정보로부터 획득할 수 있는 흐름 수, 패킷 수, 그리고 바이트 수의 상관관계를 회귀분석을 통해 어노멀리 검출에 이용함에 따라 NetFlow 정보의 활용성을 보다 확대하였으며 기존 어노멀리 검출과 비교해 구현 및 사용의 편리성을 제공하는 데 그 목적이 있다.The present invention has been proposed to solve such a conventional problem, and the correlation between the number of flows, the number of packets, and the number of bytes that can be obtained from the NetFlow information provided by a Cisco network device (for example, a router or a switch) is provided. By using regression analysis for anomaly detection, NetFlow information is further utilized, and its purpose is to provide convenience of implementation and use compared to existing anomaly detection.

이와 같은 목적을 실현하기 위한 본 발명에 따른 NetFlow 정보를 이용한 네트워크 트래픽 어노멀리 검출 방법은 NetFlow 정보를 제공하기 위한 시스코 사의 라우터와, NetFlow 정보를 수집하는 흐름 콜렉터 데몬과, 수집된 정보를 이용해 회귀계수를 생성하는 회귀계수 발생 데몬과 흐름 콜렉터 데몬과 회귀계수 발생 데몬으로부터 관련 정보를 수집해 어노멀리를 판단하는 어노멀리 검출 데몬을 포함한다.Network traffic normal detection method using the NetFlow information according to the present invention for realizing the above object is a Cisco router for providing NetFlow information, a flow collector daemon for collecting NetFlow information, and a regression coefficient using the collected information It includes a regression coefficient generation daemon for generating a flow collector daemon and an anomaly detection daemon that collects related information from the regression coefficient generation daemon to determine the anomaly.

본 발명의 실시예로는 다수개가 존재할 수 있으며, 이하에서는 첨부한 도면을 참조하여 바람직한 실시예에 대하여 상세히 설명하기로 한다. 이 실시예를 통해 본 발명의 목적, 특징 및 이점들을 보다 잘 이해할 수 있게 된다.There may be a plurality of embodiments of the present invention. Hereinafter, preferred embodiments will be described in detail with reference to the accompanying drawings. This embodiment allows for a better understanding of the objects, features and advantages of the present invention.

도 1은 본 발명에 따른 NetFlow 정보를 이용한 어노멀리 검출이 적용된 네트워크 구성도로서, NetFlow 정보를 제공하는 라우터(102)와 NetFlow 정보를 수집하는 흐름 콜렉터 데몬(105), 회귀모형의 계수를 생성하고 관리하는 회귀계수 발생 데몬(106), 흐름 콜렉터 데몬(105)과 회귀계수 발생 데몬(106)으로부터 관련 정보를 수집해 네트워크 트래픽 어노멀리를 검출하는 어노멀리 검출 데몬(107), 그리고 이들 세 개의 데몬, 즉 흐름 콜렉터 데몬(105), 회귀계수 발생 데몬(106), 어노멀리 검출 데몬(107)을 운영하는 컴퓨터(104)로 이루어진 망 구성도이다.1 is a diagram illustrating a network configuration to which anomaly detection using NetFlow information is applied. The router 102 provides NetFlow information, the flow collector daemon 105 collecting NetFlow information, and generates coefficients of a regression model. An anomaly detection daemon 107 that detects network traffic anomalies by collecting related information from the managing regression coefficient generation daemon 106, the flow collector daemon 105, and the regression coefficient generation daemon 106, and these three daemons. That is, it is a network diagram consisting of a computer 104 for operating the flow collector daemon 105, the regression coefficient generation daemon 106, and the normally detected daemon 107.

외부 인터넷 망(101)과 내부 인트라넷 망(103)을 연결하는 라우터(102)는 인터넷 망(101)에서 인트라넷 망(103)으로 향하는 인바운드(in-bound) 트래픽과 인트라넷 망(103)에서 인터넷 망(101)으로 향하는 아웃바운드(out-bound) 트래픽 정보를 컴퓨터(104)로 NetFlow 정보를 제공할 수 있는 시스코 사의 제품이어야 하며 NetFlow 버전은 흐름 수, 패킷 수, 그리고 바이트 수를 제공하는 NetFlow 버전5 정보(108) (이하, NetFlow V5 PDU(Protocol Data Unit)라 칭함) 를 사용한다. 물론, 이들 세 가지 정보를 제공하는 어떤 버전의 NetFlow PDU를 사용해도 무방하다.The router 102 that connects the external Internet network 101 and the internal intranet network 103 includes in-bound traffic from the Internet network 101 to the intranet network 103 and the Internet network in the intranet network 103. It must be a Cisco product that can provide NetFlow information to the computer 104 for out-bound traffic information destined for (101), and the NetFlow version is NetFlow version 5, which provides the number of flows, packets, and bytes. Information 108 (hereinafter referred to as NetFlow V5 Protocol Data Unit (PDU)). Of course, you can use any version of NetFlow PDU that provides these three pieces of information.

도 2는 본 발명에 따른 단순선형회귀모형 계수를 구하기 위한 2차원 좌표 구성도이다.2 is a two-dimensional coordinate configuration for obtaining a simple linear regression model coefficient in accordance with the present invention.

도시된 바와 같이 회귀계수 발생 데몬(106)은 흐름 콜렉터 데몬(105)이 수집한 NetFlow V5 PDU(108)를 사용해 5분 단위로 평균 흐름 수 (fps: flows per second)와 평균 바이트 수 (bps: bytes per second)를 구하여 하나의 점(204)으로 나타내고, 하루 24시간 동안 수집된 이들 점(204)들을 2차원, 즉 x축을 초당 흐름 수(201), 그리고 y축을 초당 바이트 수(202)로 표현하는 산점도(scatter diagram)를 기준으로 단순선형회귀선(203)으로 이들 선형관계를 다음 (식 1)과 같이 단순선형회귀 모형으로 나타낸다.As shown, the regression coefficient generation daemon 106 uses the NetFlow V5 PDU 108 collected by the flow collector daemon 105 to show the average number of flows per second (fps) and the average number of bytes (bps: bytes per second) and expressed as a single point 204, and these points 204 collected for 24 hours a day are two-dimensional, i.e. flows per second on the x-axis (201) and bytes per second (202) on the y-axis. A simple linear regression line 203 based on a scatter diagram to represent these linear relationships are represented by a simple linear regression model as shown in Equation 1 below.

여기서, 회귀계수(regression coefficient) β 0는 상수 혹은 절편(intercept)이고 β 1은 기울기(slope) 이다.Here, the regression coefficient β 0 is a constant or intercept and β 1 is a slope.

이들 단순선형회귀모형은 하루 동안 수집된 NetFlow V5 PDU(108)을 사용해 만들어지며 따라서 각 요일별로 서로 다른 단순선형회귀선(203)의 회귀계수가 생성된다. 이때 생성되는 테이블의 항목이 표 1의 예시와 같다.These simple linear regression models are created using the NetFlow V5 PDU 108 collected during the day, thus generating different regression coefficients of the simple linear regression line 203 for each day of the week. The items of the created table are shown in the example of Table 1.

[표 1]TABLE 1

(표 1)과 비교해 더욱 정확한 회귀계수를 구하기 위해서 회귀계수 발생 데몬(106)이 흐름 콜렉터 데몬(105)으로부터 1 시간 동안 수집된 NetFlow V5 PDU(108)을 사용해 단순선형회귀모형을 만들 경우 각 요일별 매 시간대로 서로 다른 선형회귀선(203)의 회귀계수가 생성된다. 이때 생성되는 테이블의 항목이 표 2의 예시와 같다.In order to obtain a more accurate regression coefficient compared to Table 1, when the regression coefficient generation daemon 106 creates a simple linear regression model using the NetFlow V5 PDU 108 collected for one hour from the flow collector daemon 105, Regression coefficients of different linear regression lines 203 are generated for each time zone. The items of the created table are as shown in Table 2.

[표 2]TABLE 2

계절별로 트래픽 특성 차이가 심한 네트워크의 경우 (표 1) 혹은 (표 2)를 계절 혹은 월별로 유지할 수 있다. 또한 네트워크의 특성에 따라 지수평활화(exponential smoothing)을 이용하여 다음 (식 2)와 같이 시점 t에서의 회귀계수 절편 와 기울기 를 계산해 회귀계수로 사용할 수 있다.In the case of a network with severe traffic characteristics by season, (Table 1) or (Table 2) can be maintained by season or month. Also, by using exponential smoothing according to the characteristics of the network, the regression coefficient intercept at time point t as And tilt Can be calculated and used as a regression coefficient.

그러나 y의 모든 관찰값들이 (식 1)의 회귀식에 의해 설명되는 것은 아니다. 즉 x로부터 y값을 예측하는데 따르는 오차가 존재하며 따라서 i 번째 관측 xi의 예측회귀식은 다음 (식 3)과 같다.However, not all observations of y are explained by the regression equation (1). That is, there is an error in predicting y value from x. Therefore, the prediction regression equation of the i th observation x i is given by Equation 3 below.

어노멀리 검출 데몬(107)이 흐름 콜렉터 데몬(105)으로부터 5분 단위로 얻어지는 새로운 흐름 수 x0가 주어졌을 때 100(1-α)% 예측 구간(prediction interval)은 다음과 같다.Given the new number of flows x 0 that the normally detected daemon 107 obtains from the flow collector daemon 105 in units of 5 minutes, the 100 (1-α)% prediction interval is as follows.

여기서, t (α/2,n-2)는 n-2 자유도(degree of freedom) t 분포, MS E 는 잔차평균자승(residual mean square), 이다.Where t (α / 2, n-2) is the n-2 degree of freedom t distribution, MS E is the residual mean square, to be.

어노멀리 검출 데몬(107)은 회귀계수 발생 데몬(106)이 저장하고 있는 해당 회귀계수 β 0β 1을 가져와 (식 3)을 이용해 흐름 콜렉터 데몬(105)으로부터 수신된 새로운 흐름 수 x0에 대한 예상 바이트 수 을 계산한다.The anomaly detection daemon 107 takes the corresponding regression coefficients β 0 and β 1 stored in the regression coefficient generation daemon 106 and uses (Equation 3) to obtain a new flow number x 0 received from the flow collector daemon 105. Expected Bytes For Calculate

도 3은 본 발명에 따른 어노멀리를 검출하기 위한 2차원 좌표 구성도이다.3 is a two-dimensional coordinate configuration for detecting anomaly according to the present invention.

도시된 바와 같이 식 (4)로부터 상한선(301)과 하한선(302)을 각각 구할 수 있다.As shown in the figure, the upper limit 301 and the lower limit 302 can be obtained, respectively.

도 4는 본 발명에 따른 어노멀리를 검출하기 위한 흐름도이다.4 is a flowchart for detecting anomaly according to the present invention.

도시된 바와 같이 흐름 콜렉터 데몬(105)으로부터 평균 흐름 수 및 평균 바이트 수 수신(S401) 하고, 회귀계수 발생기(106)로부터 현재 시간 기준의 회귀계수입수(S402) 후, 평균 흐름수를 기준으로 회귀모형으로부터 신뢰구간의 상한선과 하한선 계산(S403)을 한 다음, 바이트 수가 이들 상한선(301)과 하한선(302) 사이에 들어가는지 판단(S404)하고 이들 경계선을 벗어나면 네트워크 트래픽 어노멀리 검출(S405)을 출력한다.As shown, after receiving the average number of streams and the average number of bytes from the flow collector daemon 105 (S401), the regression coefficient generator 106 receives a regression coefficient based on the current time, and then regresss based on the average number of flows. After calculating the upper and lower bounds of the confidence interval from the model (S403), it is determined whether the number of bytes falls between these upper bounds 301 and the lower bound 302 (S404), and when it is out of these boundaries, network traffic normal detection (S405). Outputs

상기에서는 본 발명의 일 실시예에 국한하여 설명하였으나 본 발명의 기술이 당업자에 의하여 용이하게 변형 실시될 가능성이 자명하다. 이러한 변형된 실시예들은 본 발명의 특허청구범위에 기재된 기술사상에 포함된다고 하여야 할 것이다.In the above description, but limited to one embodiment of the present invention, it is obvious that the technology of the present invention can be easily modified by those skilled in the art. Such modified embodiments should be included in the technical spirit described in the claims of the present invention.

전술한 바와 같이 본 발명은 시스코 네트워크 장비가 제공하는 NetFlow 정보를 이용하여 네트워크 트래픽 어노멀리를 검출하는 방법에 관한 것으로, NetFlow 정보로 제공되는 흐름 수와 바이트 수의 상관관계를 회귀분석을 통해 어노멀리 검출에 이용함에 따라 NetFlow 정보의 활용성을 보다 확대하는 이점이 있다.As described above, the present invention relates to a method for detecting network traffic anomaly using NetFlow information provided by Cisco network equipment. The present invention relates to a correlation between flow number and byte number provided by NetFlow information through regression analysis. As it is used for detection, there is an advantage of further expanding the usability of NetFlow information.

아울러, 타임시리즈 모델링 및 복잡한 통계적 자료를 이용하기 위해 많은 종류의 파라미터를 설정하고 사용해야 하는 종래 어노멀리 검출 방법들과는 달리 본 발명은 회귀모형 계수와 신뢰구간 파라미터만 결정함으로서 기존 어노멀리 검출과 비교해 구현 및 사용의 편리성을 제공하는 효과가 있다.In addition, unlike the conventional anomaly detection methods that require setting and using many types of parameters for time series modeling and complex statistical data, the present invention determines and implements only the regression model coefficients and confidence interval parameters. It has the effect of providing convenience of use.

도 1은 본 발명에 따른 NetFlow 정보를 이용한 어노멀리 검출이 적용된 네트워크 구성도,1 is a network configuration to which anomaly detection using NetFlow information according to the present invention,

도 2는 본 발명에 따른 단순선형회귀분석 좌표 구성도,2 is a simple linear regression analysis coordinate configuration according to the present invention,

도 3은 본 발명에 따른 어노멀리 검출을 위한 좌표 구성도,3 is a coordinate configuration diagram for anomaly detection according to the present invention;

도 4는 본 발명에 따른 어노멀리 검출 결정 흐름도.4 is a flowchart of anomaly detection decision according to the present invention;

<도면의 주요 부분에 대한 부호의 설명><Description of the code | symbol about the principal part of drawing>

101 : 인터넷 망 102 : 라우터101: internet network 102: router

103 : 인트라넷 망 104 : 컴퓨터103: intranet network 104: computer

105 : 흐름 콜렉터 데몬 106 : 회귀계수 발생 데몬105: flow collector daemon 106: regression coefficient generation daemon

107 : 어노멀리 검출 데몬 108 : NetFlow V5 PDU107: Normally Detection Daemon 108: NetFlow V5 PDU

Claims (6)

시스코 네트워크 장비가 제공하는 NetFlow 정보를 이용하여 네트워크 트래픽 어노멀리를 검출하는 방법에 있어서,In the method for detecting network traffic anomaly using NetFlow information provided by Cisco network equipment, NetFlow 정보를 수집하는 흐름 콜렉터 데몬과,A flow collector daemon that collects NetFlow information, 상기 흐름 콜렉터 데몬과 연동하여 단순선형회귀모형 계수를 생성하는 회귀계수 발생 데몬과,A regression coefficient generation daemon for generating a simple linear regression model coefficient in conjunction with the flow collector daemon; 상기 흐름 콜렉터 데몬과 회귀계수 발생 데몬과 연결되어 네트워크 트래픽 어노멀리를 검출하는 어노멀리 검출 데몬을 포함하는 NetFlow 정보를 이용한 네트워크 트래픽 어노멀리를 검출 방법.And a net detection information connected to the flow collector daemon and a regression coefficient generation daemon to detect a network traffic normal. 제 1 항에 있어서,The method of claim 1, 단순선형회귀모형 계수를 하루 단위, 시간 단위, 계절 단위, 혹은 월 단위로 유지하고 사용하거나 지수평활화 방법을 사용해 회귀계수를 사용할 수 있는 것을 특징으로 한 NetFlow 정보를 이용한 네트워크 트래픽 어노멀리를 검출 장치.An apparatus for detecting network traffic anomaly using NetFlow information, wherein a simple linear regression model coefficient is maintained and used in units of a day, a time, a season, or a month, or a regression coefficient can be used using an exponential smoothing method. 제 1 항에 있어서,The method of claim 1, 상기 회귀계수 발생 데몬은 단순선형회귀모형 이외에 변수 변환 및 비선형 회귀모형 모델링을 포함하는 NetFlow 정보를 이용한 네트워크 트래픽 어노멀리를 검출 장치.The regression coefficient generation daemon detects network traffic anomaly using NetFlow information including variable transformation and nonlinear regression modeling in addition to the simple linear regression model. 제 1 항에 있어서,The method of claim 1, 상기 어노멀리 검출 데몬은 흐름 콜렉터 데몬으로부터 수신한 평균 흐름 수와 평균 바이트 수를 기준으로 회귀발생 데몬으로부터 회귀계수를 가져와 신뢰구간에 따른 상한선과 하한선을 구한 다음 평균 바이트 수가 이들 두 경계선 내에 존재하는지 확인하여 어노멀리를 검출하는 것을 특징으로 한 NetFlow 정보를 이용한 네트워크 트래픽 어노멀리를 검출 장치.The anomaly detection daemon obtains an upper limit and a lower limit according to a confidence interval by obtaining a regression coefficient from a regression daemon based on the average number of flows and the average number of bytes received from the flow collector daemon, and then checks whether the average number of bytes exists within these two boundaries. And detecting the network traffic by using the NetFlow information. 제 4항에 있어서,The method of claim 4, wherein 상기 흐름 콜렉터 데몬은 수신된 NetFlow 정보로부터 평균 흐름 수와 평균 바이트 수 이외에 평균 패킷 수를 계산하고, 상기 회귀계수 발생 데몬은 이들 세 가지 계산값들에 대한 다양한 조합을 적용하여 회귀모형으로 모델링하고 신뢰구간을 적용하여 어노멀리를 검출하는 것을 포함하는 NetFlow 정보를 이용한 네트워크 트래픽 어노멀리를 검출 방법The flow collector daemon calculates the average number of packets in addition to the average number of flows and the average number of bytes from the received NetFlow information, and the regression coefficient generation daemon applies various combinations of these three calculations to model and trust the regression model. Method for detecting network traffic normal using NetFlow information, including detecting normal by applying interval 제 4 항에 있어서,The method of claim 4, wherein 상기 흐름 콜렉터 데몬은 수신된 NetFlow 정보로부터 평균 흐름 수, 바이트 수, 그리고 패킷 수를 계산하는 대신 최대 혹은 최소 흐름 수, 바이트 수, 그리고 패킷 수를 계산하고, 상기 회귀계수 발생 데몬은 이들 세 가지 계산값들에 대한 다양한 조합을 적용하여 회귀모형으로 모델링하고 신뢰구간을 적용하여 어노멀리를 검출하는 것을 포함하는 NetFlow 정보를 이용한 네트워크 트래픽 어노멀리를 검출 방법.The flow collector daemon calculates the maximum or minimum flow number, byte number, and packet number instead of calculating the average flow number, byte number, and packet number from the received NetFlow information, and the regression coefficient generation daemon calculates these three calculations. A network traffic normal detection method using NetFlow information comprising modeling a regression model by applying various combinations of values and detecting the normality by applying a confidence interval.
KR1020050016311A 2005-02-28 2005-02-28 A method for the detection of network traffic anomalies using netflow data KR20050030186A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050016311A KR20050030186A (en) 2005-02-28 2005-02-28 A method for the detection of network traffic anomalies using netflow data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050016311A KR20050030186A (en) 2005-02-28 2005-02-28 A method for the detection of network traffic anomalies using netflow data

Publications (1)

Publication Number Publication Date
KR20050030186A true KR20050030186A (en) 2005-03-29

Family

ID=37386587

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050016311A KR20050030186A (en) 2005-02-28 2005-02-28 A method for the detection of network traffic anomalies using netflow data

Country Status (1)

Country Link
KR (1) KR20050030186A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100725179B1 (en) * 2005-06-28 2007-06-04 서원대학교산학협력단 A method for the detection of network traffic anomalies by the entropy of destination network distributions
CN110149247A (en) * 2019-06-06 2019-08-20 北京神州绿盟信息安全科技股份有限公司 A kind of detection method and device of network state

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100725179B1 (en) * 2005-06-28 2007-06-04 서원대학교산학협력단 A method for the detection of network traffic anomalies by the entropy of destination network distributions
CN110149247A (en) * 2019-06-06 2019-08-20 北京神州绿盟信息安全科技股份有限公司 A kind of detection method and device of network state
CN110149247B (en) * 2019-06-06 2021-04-16 北京神州绿盟信息安全科技股份有限公司 Network state detection method and device

Similar Documents

Publication Publication Date Title
David et al. Efficient DDoS flood attack detection using dynamic thresholding on flow-based network traffic
US10027694B1 (en) Detecting denial of service attacks on communication networks
CN108429651B (en) Flow data detection method and device, electronic equipment and computer readable medium
US11374835B2 (en) Apparatus and process for detecting network security attacks on IoT devices
Chung et al. NICE: Network intrusion detection and countermeasure selection in virtual network systems
Jeya et al. Efficient classifier for R2L and U2R attacks
US7752307B2 (en) Technique of analyzing an information system state
Androulidakis et al. Improving network anomaly detection via selective flow-based sampling
KR20140106547A (en) A streaming method and system for processing network metadata
CN104734916B (en) A kind of high-efficiency multi-stage anomalous traffic detection method based on Transmission Control Protocol
Bhatia Ensemble-based model for DDoS attack detection and flash event separation
JP4324189B2 (en) Abnormal traffic detection method and apparatus and program thereof
Chen et al. Measuring network-aware worm spreading ability
Unal et al. Towards prediction of security attacks on software defined networks: A big data analytic approach
Qu et al. Multivariate statistical analysis for network attacks detection
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
Tartakovsky et al. A nonparametric multichart CUSUM test for rapid intrusion detection
KR20050030186A (en) A method for the detection of network traffic anomalies using netflow data
KR100725179B1 (en) A method for the detection of network traffic anomalies by the entropy of destination network distributions
Thorat et al. SDN-based machine learning powered alarm manager for mitigating the traffic spikes at the IoT gateways
Bu et al. Design and evaluation of a fast and robust worm detection algorithm
Kati et al. Comprehensive Overview of DDOS Attack in Cloud Computing Environment using different Machine Learning Techniques
Majed et al. Efficient and Secure Statistical DDoS Detection Scheme.
JP2008079138A (en) Communication monitoring system, flow collection apparatus, analysis manager apparatus, and program
Androulidakis et al. Intelligent flow-based sampling for effective network anomaly detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application