KR20050066048A - 다단계 트래픽 흐름 관리 장치 및 방법 - Google Patents

다단계 트래픽 흐름 관리 장치 및 방법 Download PDF

Info

Publication number
KR20050066048A
KR20050066048A KR1020030097247A KR20030097247A KR20050066048A KR 20050066048 A KR20050066048 A KR 20050066048A KR 1020030097247 A KR1020030097247 A KR 1020030097247A KR 20030097247 A KR20030097247 A KR 20030097247A KR 20050066048 A KR20050066048 A KR 20050066048A
Authority
KR
South Korea
Prior art keywords
flow
aggregate
basic
basic flow
predetermined
Prior art date
Application number
KR1020030097247A
Other languages
English (en)
Other versions
KR100596389B1 (ko
Inventor
허영준
오진태
김기영
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030097247A priority Critical patent/KR100596389B1/ko
Publication of KR20050066048A publication Critical patent/KR20050066048A/ko
Application granted granted Critical
Publication of KR100596389B1 publication Critical patent/KR100596389B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크의 트래픽 흐름을 선로 속도(wire speed)로 모니터링하여 비정상적 트래픽 흐름을 감지하기 위한 장치 및 방법에 관한 것으로, 다단계 트래픽 흐름 관리 장치는 소정의 집합 흐름의 대역폭의 변화로 인하여 집합 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 소정의 집합 흐름의 집합 흐름 정보를 전달하고, 소정의 집합 흐름에 대한 기본 흐름 정보를 수집할 것을 명령하는 집합 흐름 관리부; 및 집합 흐름 관리부로부터 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 소정의 기본 흐름의 대역폭의 변화로 인하여 소정의 기본 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 소정의 기본 흐름의 기본 흐름 정보를 전달하는 기본 흐름 관리부를 포함하며, 의심이 가는 트래픽 흐름에 대해서만 세부적으로 분석할 수 있게 함으로서 시스템에 부담을 주지 않으면서도 고속 네트워크의 모든 트래픽 흐름을 선로 속도로 모니터링하여 DoS, DDoS, 웜 등의 비정상적 트래픽 흐름을 정확하고 신속하게 감지할 수 있다.

Description

다단계 트래픽 흐름 관리 장치 및 방법{Apparatus and method for managing multi-level traffic flow}
본 발명은 네트워크의 트래픽 흐름을 선로 속도(wire speed)로 모니터링하여 DoS(Denial of Service), DDoS(Distributed Denial of Service), 웜(worm) 등의 비정상적 트래픽 흐름을 감지하기 위한 장치 및 방법에 관한 것이다.
종래의 Meter MIB(Management Information Base), RMON(Remote Monitoring)은 SNMP(Simple Network Management Protocol) 프로토콜을 사용하여 트래픽 흐름 정보를 수집하고 분석하였다. 종래의 NetFlow는 시스코(Cisco)에서 개발한 것으로 IP(Internet Protocol) 트래픽 전용이고, 시스코 장비들에 사용된다는 것을 제외하고는 상기된 방식들과 유사하다. 이러한 방식들은 네트워크 대역폭이 증가함에 따라서 선로 속도로 모니터링하며 분석하는 성능에 한계가 있어 제 기능을 발휘하지 못 한다는 문제점이 있었다. 이러한 문제점을 해결하기 위하여, 샘플링 알고리즘을 이용하여 전체 트래픽 흐름 정보를 수집하는 대신에 일부 트래픽 흐름 정보만을 수집하고 분석하는 방식을 채용하게 되었다. 그러한, 이러한 방식도 일부 트래픽 흐름만에 분석하게 됨으로서 DoS, DDoS, 웜 등의 비정상적 트래픽 흐름을 정확하게 감지하지 못 한다는 문제점이 가지고 있었다.
본 발명이 이루고자 하는 기술적 과제는 네트워크의 모든 트래픽 흐름을 다단계 집합 흐름(aggregation flow) 및 다단계 기본 흐름(primitive flow)으로 분류하고 관리하여, 의심이 가는 트래픽 흐름에 대해서만 세부적으로 분석할 수 있게 하는 장치 및 방법을 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 다단계 트래픽 흐름 관리 장치는 소정의 집합 흐름을 상기 소정의 집합 흐름의 대역폭을 기준으로 다단계 중, 소정의 단계로 분류한 상태에서 상기 소정의 집합 흐름의 대역폭의 변화로 인하여 상기 집합 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 집합 흐름의 집합 흐름 정보를 전달하고, 상기 소정의 집합 흐름에 대한 기본 흐름 정보를 수집할 것을 명령하는 집합 흐름 관리부; 및 상기 집합 흐름 관리부로부터 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 상기 수신된 수집 명령이 지시하는 소정의 기본 흐름을 상기 소정의 기본 흐름의 대역폭을 기준으로 다단계 중, 소정의 단계로 분류한 상태에서 상기 소정의 기본 흐름의 대역폭의 변화로 인하여 상기 소정의 기본 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 기본 흐름의 기본 흐름 정보를 전달하는 기본 흐름 관리부를 포함한다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 따른 다단계 집합 흐름 관리 방법은 (a) 서로 다른 집합 흐름 속성을 갖는 다수의 집합 흐름 엔트리들이 상기 집합 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 집합 흐름 엔트리들을 포함하는 집합 흐름 테이블에 현재 집합 흐름의 집합 흐름 속성과 동일한 집합 흐름 속성을 갖는 소정의 집합 흐름 엔트리가 존재하는 지를 알아보기 위하여 상기 집합 흐름 테이블을 검색하는 단계; (b) 상기 (a) 단계에서 검색된 결과, 상기 소정의 집합 흐름 엔트리가 존재하면, 상기 현재 집합 흐름의 대역폭을 계산하고, 상기 계산된 대역폭을 기준으로 상기 집합 흐름 테이블을 재정렬하는 단계; 및 (c) 상기 (b) 단계에서 재정렬된 결과, 상기 소정의 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 집합 흐름 엔트리의 집합 흐름 정보를 전달하고, 상기 소정의 집합 흐름 엔트리에 대한 기본 흐름 정보를 수집할 것을 명령하는 단계를 포함한다.
상기 또 다른 기술적 과제를 해결하기 위한 본 발명에 따른 다단계 기본 흐름 관리 방법은 (a) 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 서로 다른 기본 흐름 속성을 갖는 다수의 기본 흐름 엔트리들이 상기 기본 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 기본 흐름 엔트리들을 포함하는 기본 흐름 테이블에 현재 기본 흐름의 기본 흐름 속성과 동일한 기본 흐름 속성을 갖는 소정의 기본 흐름 엔트리가 존재하는 지를 알아보기 위하여 상기 기본 흐름 테이블을 검색하는 단계; (b) 상기 (a) 단계에서 검색된 결과, 상기 소정의 기본 흐름 엔트리가 존재하면, 상기 현재 기본 흐름의 대역폭을 계산하고, 상기 계산된 대역폭을 기준으로 상기 기본 흐름 테이블을 재정렬하는 단계; 및 (c) 상기 (b) 단계에서 재정렬된 결과, 상기 소정의 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 기본 흐름 엔트리의 기본 흐름 정보를 전달하는 단계를 포함한다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다.
도 1은 본 발명에 사용되는 집합 흐름 및 기본 흐름의 일 예를 도시한 도면이다.
본 발명에서는 네트워크의 모든 트래픽 흐름을 집합 흐름 및 기본 흐름으로 분류한다. 본 발명에 따르면, 일단, 집합 흐름에 대해서 정보를 수집하고 분석하고, 의심이 가는 집합 흐름이 발견된 경우, 이 집합 흐름에 관련된 기본 흐름에 대해서 세부적으로 분석한다.
도 1을 참조하면, 기본 흐름(11)은 네트워크를 통과하는 트래픽 흐름의 헤더에 포함된 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜의 5 가지 속성(이하, "기본 흐름 속성"이라 한다)이 동일한 흐름을 말한다. 예를 들어, 근원지 주소가 129.254.10.10이고, 목적지 주소가 129.254.10.10이고, 프로토콜이 6이고, 근원지 포트 번호가 11이고, 목적지 포트 번호가 22인 기본 흐름의 bps(bits per second)는 100이다.
집합 흐름(12, 13)은 상기된 5 가지 속성 중에서 어느 일부(이하, "집합 흐름 속성"이라 한다)만이 동일한 흐름을 말한다. 예를 들어, 근원지 주소가 129.254.10.10인 집합 흐름의 bps는 600이다. 이하, 상기된 기본 흐름 속성, bps 등을 포함하는 기본 흐름에 관한 모든 정보를 기본 흐름 정보라고 하고, 상기된 집합 흐름 속성, bps 등을 포함하는 집합 흐름에 관한 모든 정보를 집합 흐름 정보라고 한다.
도 2는 본 발명의 바람직한 일 실시예에 따른 다단계 트래픽 흐름 관리 장치의 구성도이다.
도 2를 참조하면, 다단계 트래픽 흐름 관리 장치는 집합 흐름 관리부(21), 기본 흐름 관리부(22), 집합 흐름 정보 관리부(23), 기본 흐름 정보 관리부(24), 및 흐름 분석부(25)로 구성된다.
집합 흐름 관리부(21)는 집합 흐름들을 대역폭을 기준으로 다단계로 분류하고, 집합 흐름들 각각의 집합 흐름 정보들을 수집하여 관리한다. 즉, 집합 흐름 관리부(21)는 집합 흐름의 대역폭의 변화로 인하여 이 집합 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 집합 흐름 정보 관리부(23)에 이 집합 흐름의 집합 흐름 정보를 전달하고, 기본 흐름 관리부(22)에 이 집합 흐름에 대한 기본 흐름 정보를 수집할 것을 명령한다.
도 2를 참조하면, 집합 흐름 관리부(21)는 집합 흐름 테이블 검색부(211), 집합 흐름 테이블 관리부(212), 및 집합 흐름 테이블(213)로 구성된다. 집합 흐름 속성이 근원지 주소라고 하고, 집합 흐름 관리부(21)를 보다 상세하게 설명하면 다음과 같다.
집합 흐름 테이블 검색부(211)는 집합 흐름 테이블(213)에 현재 집합 흐름의 근원지 주소와 동일한 근원지 주소를 갖는 집합 흐름 엔트리가 존재하는 지를 알아보기 위하여 집합 흐름 테이블을 검색한다. 집합 흐름 테이블(213)은 집합 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 다수의 집합 흐름 엔트리들을 포함하고, 이 다수의 집합 흐름 엔트리들은 서로 다른 근원지 주소를 갖는다.
집합 흐름 테이블 관리부(212)는 집합 흐름 테이블 검색부(211)에서 검색된 결과, 현재 집합 흐름의 근원지 주소와 동일한 근원지 주소를 갖는 집합 흐름 엔트리가 존재하면, 현재 집합 흐름의 대역폭을 계산하고, 대역폭을 기준으로 집합 흐름 테이블을 재정렬하고, 재정렬된 결과, 이 근원지 주소를 갖는 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우에는 이 근원지 주소를 갖는 집합 흐름 엔트리의 집합 흐름 정보를 집합 흐름 정보 관리자(23)에게 전달하고, 동일한 근원지 주소를 갖는 집합 흐름 엔트리에 대한 기본 흐름 정보를 수집할 것을 명령한다. 이때, 동일한 단계의 집합 흐름 엔트리들은 동일한 단계 내에서 도착 시간을 기준으로 정렬되어 있다. 집합 흐름 테이블 관리부(212)는 현재 집합 흐름의 도착 시간을 기준으로 집합 흐름 테이블(213)을 재정렬한다. 여기에서, 이상 변이를 나타내는 수준으로 변화된 경우란 각 집합 흐름의 대역폭을 로그 함수에 기반하여 여러 단계들로 분류한 상태에서, 현재 집합 흐름의 대역폭의 단계가 일정 수준 이상으로 변화된 경우를 말한다. 이 대역폭은 bps를 측정하여 계산한다. 집합 흐름 테이블 관리부(212)는 집합 흐름을 보다 정밀하게 분석하기 위하여 bps 이외에 pps(packet per second)를 측정하기도 한다.
집합 흐름 테이블 관리부(212)는 집합 흐름 테이블 검색부(211)에서 검색된 결과, 현재 집합 흐름의 근원지 주소와 동일한 근원지 주소를 갖는 집합 흐름 엔트리가 존재하지 않으면, 집합 흐름 테이블(213)에 새로운 집합 흐름 엔트리를 추가할 공간이 존재하는 지를 검색하고, 검색된 결과, 추가할 공간이 존재한다면 현재 집합 흐름을 집합 흐름 테이블(213)의 새로운 집합 흐름 엔트리로 추가하고, 추가할 공간이 존재하지 않는다면 대역폭 및 도착 시간을 기준으로 이상 변이의 가능성이 가장 낮은 집합 흐름 엔트리를 삭제하고, 현재 집합 흐름을 집합 흐름 테이블(213)의 새로운 집합 흐름 엔트리로 추가한다.
기본 흐름 관리부(22)는 기본 흐름들을 대역폭을 기준으로 다단계로 분류하고, 기본 흐름들 각각의 기본 흐름 정보들을 수집하여 관리한다. 즉, 기본 흐름 관리부(21)는 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 수신된 수집 명령이 지시하는 기본 흐름의 대역폭의 변화로 인하여 이 기본 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 기본 흐름 정보 관리부(23)에 이 기본 흐름의 집합 흐름 정보를 전달한다.
도 2를 참조하면, 기본 흐름 관리부(22)는 기본 흐름 수집 명령 수신부(221), 기본 흐름 테이블 검색부(222), 기본 흐름 테이블 관리부(223), 및 기본 흐름 테이블(224)로 구성된다. 기본 흐름 속성이 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜이라고 하고, 기본 흐름 관리부(22)를 보다 상세하게 설명하면 다음과 같다.
기본 흐름 수집 명령 수신부(221)는 집합 흐름 관리자(21)로부터 기본 흐름 정보에 대한 수집 명령을 수신하고, 만약 수집 명령을 수신하면 기본 흐름 테이블 검색부(222)에 그 사실을 알려 기본 흐름 정보 수집을 시작하도록 한다.
기본 흐름 테이블 검색부(222)는 기본 흐름 테이블(224)에 현재 기본 흐름의 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜과 동일한 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리가 존재하는 지를 알아보기 위하여 기본 흐름 테이블(224)을 검색한다. 기본 흐름 테이블(224)은 기본 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 다수의 기본 흐름 엔트리들을 포함하고, 이 다수의 기본 흐름 엔트리들은 서로 다른 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는다.
기본 흐름 테이블 관리부(223)는 기본 흐름 테이블 검색부(222)에서 검색된 결과, 현재 기본 흐름의 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜과 동일한 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리가 존재하면, 현재 기본 흐름의 대역폭을 계산하고, 대역폭을 기준으로 기본 흐름 테이블을 재정렬하고, 재정렬된 결과, 이 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우에는 이 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리의 기본 흐름 정보를 기본 흐름 정보 관리자(24)에게 전달한다. 이때, 동일한 단계의 기본 흐름 엔트리들은 동일한 단계 내에서 도착 시간을 기준으로 정렬되어 있다. 기본 흐름 테이블 관리부(223)는 현재 기본 흐름의 도착 시간을 기준으로 기본 흐름 테이블(224)을 재정렬한다. 여기에서, 이상 변이를 나타내는 수준으로 변화된 경우란 각 기본 흐름의 대역폭을 로그 함수에 기반하여 여러 단계들로 분류한 상태에서, 현재 기본 흐름의 대역폭의 단계가 일정 수준 이상으로 변화된 경우를 말한다.
기본 흐름 테이블 관리부(223)는 기본 흐름 테이블 검색부(222)에서 검색된 결과, 현재 기본 흐름의 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜과 동일한 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 갖는 기본 흐름 엔트리가 존재하지 않으면, 기본 흐름 테이블(224)에 새로운 기본 흐름 엔트리를 추가할 공간이 존재하는 지를 검색하고, 검색된 결과, 추가할 공간이 존재한다면 현재 기본 흐름을 기본 흐름 테이블(224)의 새로운 기본 흐름 엔트리로 추가하고, 추가할 공간이 존재하지 않는다면 대역폭 및 도착 시간을 기준으로 이상 변이의 가능성이 가장 낮은 기본 흐름 엔트리를 삭제하고, 현재 기본 흐름을 기본 흐름 테이블(224)의 새로운 기본 흐름 엔트리로 추가한다.
집합 흐름 정보 관리부(23)는 집합 흐름 관리부(21)로부터 집합 흐름 정보를 수신한 경우, 수신된 집합 흐름 정보를 저장한다. 도 2를 참조하면, 집합 흐름 정보 관리부(23)는 집합 흐름 정보 저장부(231) 및 집합 흐름 데이터베이스(232)로 구성된다. 집합 흐름 정보 저장부(231)는 집합 흐름 관리부(21)로부터 집합 흐름 정보를 수신한 경우, 수신된 집합 흐름 정보를 집합 흐름 데이터베이스(232)에 저장한다
기본 흐름 정보 관리부(24)는 기본 흐름 관리부(22)로부터 기본 흐름 정보를 수신한 경우, 수신된 기본 흐름 정보를 저장한다. 도 2를 참조하면, 기본 흐름 정보 관리부(24)는 기본 흐름 정보 저장부(241), 기본 흐름 데이터베이스(242), 집합 흐름 정보 생성부(243), 및 집합 흐름 데이터베이스(244)로 구성된다. 기본 흐름 정보 저장부(241)는 기본 흐름 관리부(22)로부터 기본 흐름 정보를 수신한 경우, 수신된 기본 흐름 정보를 기본 흐름 데이터베이스(242)에 저장한다. 집합 흐름 정보 생성부(243)는 기본 흐름 데이터베이스(242)에 저장된 기본 흐름 정보에 대해 집합 흐름 속성, 즉 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜 중 일부를 기준으로 집합 흐름 정보를 생성한다. 예를 들어, 도 1에 도시된 집합 흐름 정보(12)는 기본 흐름 정보(11)에 대해 근원지 주소를 기준으로 집합 흐름 정보를 생성한 것이고, 집합 흐름 정보(13)는 기본 흐름 정보(11)에 대해 목적지 주소 및 목적지 포트 번호를 기준으로 집합 흐름 정보를 생성한 것이다.
흐름 분석부(25)는 집합 흐름 정보 관리부(23)에서 저장된 집합 흐름 정보를 분석하고, 기본 흐름 정보 관리부(24)에서 저장된 기본 흐름 정보를 분석하고, 분석된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고한다.
도 2를 참조하면, 흐름 분석부(25)는 흐름 정보 추출부(251), bps/pps 분석부(252), 토폴로지(topology) 분석부(253), 트래픽 량(traffic volume) 분석부(254), 및 트래픽 분포(traffic distribution) 분석부(255)로 구성된다.
흐름 정보 추출부(251)는 기본 흐름 데이터베이스(242)로부터 기본 흐름 정보를 추출하고, 집합 흐름 데이터베이스(232, 244)로부터 집합 흐름 정보를 추출한다. bps/pps 분석부(252)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 bps, pps와 프로파일에 포함된 bps, pps를 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다. 이때, 보다 정밀하게 분석하기 위하여 bps, pps의 변화량뿐만 아니라 변화 속도를 측정하기도 한다. 여기에서, 프로파일은 시스템이 평상시에 사용하는 정상적인 트래픽 흐름에 대한 정보이고, 이하 동일하다.
토폴로지 분석부(253)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 토폴로지와 프로파일에 포함된 토폴로지를 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다. 트래픽 량 분석부(254)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 트래픽 량과 프로파일에 포함된 트래픽 량을 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다. 트래픽 분포 분석부(255)는 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 분포와 프로파일에 포함된 분포를 비교하고, 비교된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하고, 비정상적 트래픽 흐름을 나타내지 않으면 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다.
도 3은 도 2에 도시된 집합 흐름 테이블 및 기본 흐름 테이블의 일 예를 도시한 도면이다.
도 3을 참조하면, 집합 흐름 테이블 및 기본 흐름 테이블은 대역폭을 기준으로 집합 흐름 또는 기본 흐름을 다단계로 분류하고, 대역폭이 좁은 순서대로 아래로부터 위로 정렬하였다. 또한, 동일한 단계에서는, 즉 동일한 행에서는 도착 시간이 늦은 순서대로 왼쪽에서 오른쪽으로 정렬하였다. 일정 시간 이상 동안 대역폭이 좁은 동일한 집합 흐름 또는 기본 흐름이 발생하지 않는다면, 이 흐름은 이상 변이일 가능성이 낮기 때문에 집합 흐름 테이블 또는 기본 흐름 테이블에서 가장 먼저 삭제되어야 한다. 도 3에서는 흐름 8이 이상 변이의 가능성이 가장 낮다.
도 4는 본 발명의 바람직한 일 실시예에 따른 다단계 집합 흐름 관리 방법의 흐름도이다.
도 4를 참조하면, 다단계 집합 흐름 관리 방법은 다음과 같은 단계들로 구성된다. 다단계 집합 흐름 관리 방법은 도 2에 도시된 집합 흐름 관리부(21)에서 수행된다.
서로 다른 집합 흐름 속성을 갖는 다수의 집합 흐름 엔트리들이 집합 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 집합 흐름 엔트리들을 포함하는 집합 흐름 테이블에 현재 집합 흐름의 집합 흐름 속성과 동일한 집합 흐름 속성을 갖는 집합 흐름 엔트리가 존재하는 지를 알아보기 위하여 집합 흐름 테이블을 검색한다. 검색된 결과, 이 집합 흐름 엔트리가 존재하면(41), 이어서 현재 집합 흐름의 대역폭을 계산하고(42), 계산된 대역폭을 기준으로 집합 흐름 테이블을 재정렬한다(43). 재정렬된 결과, 이 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우(44), 이어서 이 집합 흐름 엔트리의 집합 흐름 정보를 전달하고, 이 집합 흐름 엔트리에 대한 기본 흐름 정보를 수집할 것을 명령한다(48). 만약, 이 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화되지 않은 경우에는 처음 단계로 귀환한다.
검색된 결과, 만약 이 집합 흐름 엔트리가 존재하지 않으면, 이어서 집합 흐름 테이블에 새로운 집합 흐름 엔트리를 추가할 공간이 존재하는 지를 검색한다. 검색된 결과, 추가할 공간이 존재한다면(45), 이어서 현재 집합 흐름을 집합 흐름 테이블의 새로운 집합 흐름 엔트리로 추가하고(47), 추가할 공간이 존재하지 않는다면(45), 대역폭 및 도착 시간을 기준으로 이상 변이의 가능성이 가장 낮은 집합 흐름 엔트리를 삭제하고(46), 현재 집합 흐름을 집합 흐름 테이블의 새로운 집합 흐름 엔트리로 추가한다(47).
도 5는 본 발명의 바람직한 일 실시예에 따른 다단계 기본 흐름 관리 방법의 흐름도이다.
도 5를 참조하면, 다단계 기본 흐름 관리 방법은 다음과 같은 단계들로 구성된다. 다단계 기본 흐름 관리 방법은 기본 흐름 관리부(22)에서 수행된다.
기본 흐름 정보에 대한 수집 명령을 수신한 경우, 서로 다른 기본 흐름 속성을 갖는 다수의 기본 흐름 엔트리들이 기본 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 기본 흐름 엔트리들을 포함하는 기본 흐름 테이블에 현재 기본 흐름의 기본 흐름 속성과 동일한 기본 흐름 속성을 갖는 기본 흐름 엔트리가 존재하는 지를 알아보기 위하여 기본 흐름 테이블을 검색한다. 검색된 결과, 이 기본 흐름 엔트리가 존재하면(51), 이어서 현재 기본 흐름의 대역폭을 계산하고(52), 계산된 대역폭을 기준으로 기본 흐름 테이블을 재정렬한다(53). 재정렬된 결과, 이 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우(54), 이어서 이 기본 흐름 엔트리의 기본 흐름 정보를 전달한다(58). 만약, 이 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화되지 않은 경우에는 처음 단계로 귀환한다.
검색된 결과, 만약 이 기본 흐름 엔트리가 존재하지 않으면(51), 기본 흐름 테이블에 현재 기본 흐름을 추가할 공간이 존재하는 지를 검색한다. 검색된 결과, 추가할 공간이 존재한다면(55), 이어서 현재 기본 흐름을 새로운 기본 흐름 엔트리로 추가하고(57), 추가할 공간이 존재하지 않는다면(55), 이어서 대역폭 및 도착 시간을 기준으로 이상 변이가 발생할 가능성이 가장 낮은 기본 흐름 엔트리를 삭제하고(56), 현재 기본 흐름을 기본 흐름 테이블의 새로운 기본 흐름 엔트리로 추가한다(57).
도 6은 본 발명의 바람직한 일 실시예에 따른 트래픽 흐름 정보 관리 방법의 흐름도이다.
도 6을 참조하면, 트래픽 흐름 정보 관리 방법은 다음과 같은 단계들로 구성된다. 트래픽 흐름 정보 관리 방법은 도 2에 도시된 집합 흐름 정보 관리부(23) 및 기본 흐름 정보 관리부(24)에서 수행된다.
집합 흐름 정보를 수신한 경우(61), 수신된 집합 흐름 정보를 집합 흐름 정보 관리부(23)에 포함된 집합 흐름 데이터베이스에 저장한다. 기본 흐름 정보를 수신한 경우(61), 수신된 기본 흐름 정보를 기본 흐름 데이터베이스에 저장한다(62). 이어서, 기본 흐름 데이터베이스에 저장된 기본 흐름 정보에 대해 여러 가지 집합 흐름 속성들을 기준으로 집합 흐름 정보를 생성하고, 생성된 집합 흐름 정보를 기본 흐름 정보 관리부(24)에 포함된 집합 흐름 데이터베이스에 저장한다(65).
도 7은 본 발명의 바람직한 일 실시예에 따른 집합 흐름 분석 방법의 흐름도이다.
도 7을 참조하면, 집합 흐름 분석 방법은 다음과 같은 단계들로 구성된다. 집합 흐름 분석 방법은 도 2에 도시된 흐름 분석부(25)에서 수행된다.
집합 흐름 정보 관리부(23)에 포함된 집합 흐름 데이터베이스로부터 집합 흐름 정보를 추출한다(71). 이어서, 집합 흐름 데이터베이스로부터 추출된 집합 흐름 정보에 포함된 bps, pps와 프로파일에 포함된 bps, pps를 비교한다(72). 비교된 결과, 비정상적 트래픽 흐름을 나타내면(73), 이어서 비정상적 트래픽 흐름으로 보고하고(74), 비정상적 트래픽 흐름을 나타내지 않으면(73), 이어서 추출된 집합 흐름 정보를 기반으로 프로파일을 갱신한다(75).
도 8은 본 발명의 바람직한 일 실시예에 따른 기본 흐름 분석 방법의 흐름도이다.
도 8을 참조하면, 기본 흐름 분석 방법은 다음과 같은 단계들로 구성된다. 기본 흐름 분석 방법은 도 2에 도시된 흐름 분석부(25)에서 수행된다.
기본 흐름 데이터베이스로부터 기본 흐름 정보를 추출하고, 집합 흐름 데이터베이스로부터 집합 흐름 정보를 추출한다(81). 이어서, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 bps, pps의 변화 속도를 계산하고, 프로파일에 포함된 bps, pps의 변화 속도와 비교한다(82). 상기된 집합 흐름 분석 과정에서 bps, pps의 변화량을 비교하였기 때문에, 여기에서는 보충적으로 bps, pps의 변화 속도를 비교한다. 또한, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 토폴로지와 프로파일에 포함된 토폴로지를 비교한다(83). 또한, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 트래픽 량과 프로파일에 포함된 트래픽 량을 비교한다(84). 또한, 추출된 기본 흐름 정보 또는 집합 흐름 정보에 포함된 트래픽 분포와 프로파일에 포함된 트래픽 분포를 비교한다(85).
비교된 결과, 비정상적 트래픽 흐름을 나타내면(86), 이어서 비정상적 트래픽 흐름으로 보고하고(87), 비정상적 트래픽 흐름을 나타내지 않으면(86), 이어서 추출된 기본 흐름 정보 또는 집합 흐름 정보를 기반으로 프로파일을 갱신한다(88).
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
본 발명에 따르면, 네트워크의 모든 트래픽 흐름을 다단계 집합 흐름 및 다단계 기본 흐름으로 분류하고 관리하여, 의심이 가는 트래픽 흐름에 대해서만 세부적으로 분석할 수 있게 함으로서 시스템에 부담을 주지 않으면서도 고속 네트워크의 모든 트래픽 흐름을 선로 속도로 모니터링하여 DoS, DDoS, 웜 등의 비정상적 트래픽 흐름을 정확하고 신속하게 감지할 수 있다는 효과가 있다.
도 1은 본 발명에 사용되는 집합 흐름 및 기본 흐름의 일 예를 도시한 도면이다.
도 2는 본 발명의 바람직한 일 실시예에 따른 다단계 트래픽 흐름 관리 장치의 구성도이다.
도 3은 도 2에 도시된 집합 흐름 테이블 및 기본 흐름 테이블의 일 예를 도시한 도면이다.
도 4는 본 발명의 바람직한 일 실시예에 따른 다단계 집합 흐름 관리 방법의 흐름도이다.
도 5는 본 발명의 바람직한 일 실시예에 따른 다단계 기본 흐름 관리 방법의 흐름도이다.
도 6은 본 발명의 바람직한 일 실시예에 따른 트래픽 흐름 정보 관리 방법의 흐름도이다.
도 7은 본 발명의 바람직한 일 실시예에 따른 집합 흐름 분석 방법의 흐름도이다.
도 8은 본 발명의 바람직한 일 실시예에 따른 기본 흐름 분석 방법의 흐름도이다.

Claims (15)

  1. 소정의 집합 흐름을 상기 소정의 집합 흐름의 대역폭을 기준으로 다단계 중, 소정의 단계로 분류한 상태에서 상기 소정의 집합 흐름의 대역폭의 변화로 인하여 상기 집합 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 집합 흐름의 집합 흐름 정보를 전달하고, 상기 소정의 집합 흐름에 대한 기본 흐름 정보를 수집할 것을 명령하는 집합 흐름 관리부; 및
    상기 집합 흐름 관리부로부터 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 상기 수신된 수집 명령이 지시하는 소정의 기본 흐름을 상기 소정의 기본 흐름의 대역폭을 기준으로 다단계 중, 소정의 단계로 분류한 상태에서 상기 소정의 기본 흐름의 대역폭의 변화로 인하여 상기 소정의 기본 흐름의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 기본 흐름의 기본 흐름 정보를 전달하는 기본 흐름 관리부를 포함하는 것을 특징으로 하는 다단계 트래픽 흐름 관리 장치.
  2. 제 1 항에 있어서,
    상기 집합 흐름 속성은 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜 중 일부를 포함하고, 상기 기본 흐름 속성은 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜 전부를 포함하는 것을 특징으로 하는 다단계 트래픽 흐름 관리 장치.
  3. 제 1 항에 있어서,
    상기 집합 흐름 정보는 상기 집합 흐름 속성 및 상기 대역폭을 포함하고, 상기 기본 흐름 정보는 상기 기본 흐름 속성 및 상기 대역폭을 포함하는 것을 특징으로 하는 다단계 트래픽 흐름 관리 장치.
  4. 제 1 항에 있어서,
    상기 집합 흐름 관리부로부터 집합 흐름 정보를 수신한 경우, 상기 수신된 집합 흐름 정보를 저장하는 집합 흐름 정보 관리부; 및
    상기 기본 흐름 관리부로부터 기본 흐름 정보를 수신한 경우, 상기 수신된 기본 흐름 정보를 저장하는 기본 흐름 정보 관리부를 포함하는 것을 특징으로 하는 다단계 트래픽 흐름 관리 장치.
  5. 제 4 항에 있어서,
    상기 집합 흐름 정보 관리부에 저장된 집합 흐름 정보를 분석하고, 상기 기본 흐름 정보 관리부에서 저장된 기본 흐름 정보를 분석하고, 상기 분석된 결과, 비정상적 트래픽 흐름을 나타내면 비정상적 트래픽 흐름으로 보고하는 흐름 분석부를 포함하는 것을 특징으로 하는 다단계 트래픽 흐름 관리 장치.
  6. (a) 서로 다른 집합 흐름 속성을 갖는 다수의 집합 흐름 엔트리들이 상기 집합 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 집합 흐름 엔트리들을 포함하는 집합 흐름 테이블에 현재 집합 흐름의 집합 흐름 속성과 동일한 집합 흐름 속성을 갖는 소정의 집합 흐름 엔트리가 존재하는 지를 알아보기 위하여 상기 집합 흐름 테이블을 검색하는 단계;
    (b) 상기 (a) 단계에서 검색된 결과, 상기 소정의 집합 흐름 엔트리가 존재하면, 상기 현재 집합 흐름의 대역폭을 계산하고, 상기 계산된 대역폭을 기준으로 상기 집합 흐름 테이블을 재정렬하는 단계; 및
    (c) 상기 (b) 단계에서 재정렬된 결과, 상기 소정의 집합 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 집합 흐름 엔트리의 집합 흐름 정보를 전달하고, 상기 소정의 집합 흐름 엔트리에 대한 기본 흐름 정보를 수집할 것을 명령하는 단계를 포함하는 것을 특징으로 하는 다단계 집합 흐름 관리 방법.
  7. 제 6 항에 있어서, 상기 집합 흐름 속성은 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜 중 일부를 포함하는 것을 특징으로 하는 다단계 집합 흐름 관리 방법.
  8. 제 6 항에 있어서,
    상기 집합 흐름 정보는 상기 집합 흐름 속성 및 상기 대역폭을 포함하는 것을 특징으로 하는 다단계 집합 흐름 관리 방법.
  9. 제 6 항에 있어서,
    동일한 단계의 집합 흐름 엔트리들은 상기 동일한 단계 내에서 도착 시간을 기준으로 정렬되어 있고,
    상기 (b) 단계는 상기 현재 집합 흐름의 도착 시간을 기준으로 상기 집합 흐름 테이블을 재정렬하는 것을 특징으로 하는 다단계 집합 흐름 관리 방법.
  10. 제 9 항에 있어서,
    (e) 상기 (a) 단계에서 검색된 결과, 상기 소정의 집합 흐름 엔트리가 존재하지 않으면, 상기 집합 흐름 테이블에 새로운 집합 흐름 엔트리를 추가할 공간이 존재하는 지를 검색하는 단계; 및
    (f) 상기 (e) 단계에서 검색된 결과, 상기 추가할 공간이 존재한다면 상기 현재 집합 흐름을 상기 집합 흐름 테이블의 새로운 집합 흐름 엔트리로 추가하고, 상기 추가할 공간이 존재하지 않는다면 상기 대역폭 및 상기 도착 시간을 기준으로 이상 변이의 가능성이 가장 낮은 집합 흐름 엔트리를 삭제하고, 상기 현재 집합 흐름을 상기 집합 흐름 테이블의 새로운 집합 흐름 엔트리로 추가하는 단계를 포함하는 것을 특징으로 하는 다단계 기본 흐름 관리 방법.
  11. (a) 기본 흐름 정보에 대한 수집 명령을 수신한 경우, 서로 다른 기본 흐름 속성을 갖는 다수의 기본 흐름 엔트리들이 상기 기본 흐름 엔트리들 각각의 대역폭을 기준으로 다단계로 정렬된 기본 흐름 엔트리들을 포함하는 기본 흐름 테이블에 현재 기본 흐름의 기본 흐름 속성과 동일한 기본 흐름 속성을 갖는 소정의 기본 흐름 엔트리가 존재하는 지를 알아보기 위하여 상기 기본 흐름 테이블을 검색하는 단계;
    (b) 상기 (a) 단계에서 검색된 결과, 상기 소정의 기본 흐름 엔트리가 존재하면, 상기 현재 기본 흐름의 대역폭을 계산하고, 상기 계산된 대역폭을 기준으로 상기 기본 흐름 테이블을 재정렬하는 단계; 및
    (c) 상기 (b) 단계에서 재정렬된 결과, 상기 소정의 기본 흐름 엔트리의 단계가 이상 변이를 나타내는 수준으로 변화된 경우, 상기 소정의 기본 흐름 엔트리의 기본 흐름 정보를 전달하는 단계를 포함하는 것을 특징으로 하는 다단계 기본 흐름 관리 방법.
  12. 제 11 항에 있어서, 상기 기본 흐름 속성은 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 및 프로토콜을 포함하는 것을 특징으로 하는 다단계 기본 흐름 관리 방법.
  13. 제 11 항에 있어서,
    상기 기본 흐름 정보는 상기 기본 흐름 속성 및 상기 대역폭을 포함하는 것을 특징으로 하는 다단계 기본 흐름 관리 방법.
  14. 제 11 항에 있어서,
    동일한 단계의 기본 흐름 엔트리들은 상기 동일한 단계 내에서 도착 시간을 기준으로 정렬되어 있고,
    상기 (b) 단계는 상기 현재 기본 흐름의 도착 시간을 기준으로 상기 기본 흐름 테이블을 재정렬하는 것을 특징으로 하는 다단계 기본 흐름 관리 방법.
  15. 제 14 항에 있어서,
    (e) 상기 (a) 단계에서 검색된 결과, 상기 소정의 기본 흐름 엔트리가 존재하지 않으면, 상기 기본 흐름 테이블에 상기 현재 기본 흐름을 추가할 공간이 존재하는 지를 검색하는 단계;
    (f) 상기 (e) 단계에서 검색된 결과, 상기 추가할 공간이 존재한다면 상기 현재 기본 흐름을 새로운 기본 흐름 엔트리로 추가하고, 상기 추가할 공간이 존재하지 않는다면 상기 대역폭 및 상기 도착 시간을 기준으로 이상 변이가 발생할 가능성이 가장 낮은 기본 흐름 엔트리를 삭제하고, 상기 현재 기본 흐름을 상기 기본 흐름 테이블의 새로운 기본 흐름 엔트리로 추가하는 단계를 포함하는 것을 특징으로 하는 다단계 기본 흐름 관리 방법.
KR1020030097247A 2003-12-26 2003-12-26 다단계 트래픽 흐름 관리 장치 및 방법 KR100596389B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030097247A KR100596389B1 (ko) 2003-12-26 2003-12-26 다단계 트래픽 흐름 관리 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030097247A KR100596389B1 (ko) 2003-12-26 2003-12-26 다단계 트래픽 흐름 관리 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20050066048A true KR20050066048A (ko) 2005-06-30
KR100596389B1 KR100596389B1 (ko) 2006-07-03

Family

ID=37257173

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030097247A KR100596389B1 (ko) 2003-12-26 2003-12-26 다단계 트래픽 흐름 관리 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100596389B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656340B1 (ko) * 2004-11-20 2006-12-11 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법
KR100926115B1 (ko) * 2007-12-17 2009-11-11 한국전자통신연구원 특정 이벤트/조건에서 동작하는 윈도우용 악성 코드탐지를 위한 프로그램 자동 분석 장치 및 방법
KR100938647B1 (ko) * 2007-12-13 2010-01-25 한국전자통신연구원 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법
US8826381B2 (en) 2011-06-09 2014-09-02 Samsung Electronics Co., Ltd. Node device and method to prevent overflow of pending interest table in name based network system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656340B1 (ko) * 2004-11-20 2006-12-11 한국전자통신연구원 비정상 트래픽 정보 분석 장치 및 그 방법
KR100938647B1 (ko) * 2007-12-13 2010-01-25 한국전자통신연구원 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법
KR100926115B1 (ko) * 2007-12-17 2009-11-11 한국전자통신연구원 특정 이벤트/조건에서 동작하는 윈도우용 악성 코드탐지를 위한 프로그램 자동 분석 장치 및 방법
US8584101B2 (en) 2007-12-17 2013-11-12 Electronics And Telecommunications Research Institute Apparatus and method for automatically analyzing program for detecting malicious codes triggered under specific event/context
US8826381B2 (en) 2011-06-09 2014-09-02 Samsung Electronics Co., Ltd. Node device and method to prevent overflow of pending interest table in name based network system

Also Published As

Publication number Publication date
KR100596389B1 (ko) 2006-07-03

Similar Documents

Publication Publication Date Title
US11757740B2 (en) Aggregation of select network traffic statistics
Yuan et al. ProgME: towards programmable network measurement
US9565076B2 (en) Distributed network traffic data collection and storage
US8549139B2 (en) Method and system for monitoring control signal traffic over a computer network
US8654655B2 (en) Detecting and classifying anomalies in communication networks
EP3905622A1 (en) Botnet detection method and system, and storage medium
US8028337B1 (en) Profile-aware filtering of network traffic
Mahmood et al. An efficient clustering scheme to exploit hierarchical data in network traffic analysis
JP4860745B2 (ja) Bgpトラヒック変動監視装置、方法、およびシステム
CN114401516B (zh) 一种基于虚拟网络流量分析的5g切片网络异常检测方法
CN109952743B (zh) 用于低内存和低流量开销大流量对象检测的系统和方法
CN112822077B (zh) 数据中心网络中全网流量测量方法、系统及丢包检测方法
KR100596389B1 (ko) 다단계 트래픽 흐름 관리 장치 및 방법
Amza et al. Hybrid network intrusion detection
CN115102907B (zh) 一种基于小流过滤的活跃大流精确识别方法和系统
US11265237B2 (en) System and method for detecting dropped aggregated traffic metadata packets
JP4871775B2 (ja) 統計情報収集装置
KR100688078B1 (ko) 인터넷 트래픽 분석 시스템과 방법, 그리고 그시스템에서의 dbms 스키마 변경 방법
KR100723884B1 (ko) 인터넷 상의 tcp 트래픽을 구성하는 개별 플로우의 실질성능을 측정하는 시스템 및 방법
CN117527367A (zh) 基于多粒度密文流量流转关联特征表征模型的溯源方法、装置、处理器及其存储介质
Kobayashi et al. Traffic monitoring system based on correlation between BGP messages and traffic data
Patetta et al. Line-Rate Botnet Detection with Smartnic-Embedded Feature Extraction
KR20050059649A (ko) 트래픽 측정 시스템 및 방법과 그 프로그램 소스를 저장한기록매체
Oliveira et al. The elusive Effect of Routing Dynamics on Traffic Anomalies
Madeira Space-Efficient Per-Flow Network Traffic Measurement in SDN Environments

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110609

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee