KR20060028853A - 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치 - Google Patents

네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치 Download PDF

Info

Publication number
KR20060028853A
KR20060028853A KR1020040077730A KR20040077730A KR20060028853A KR 20060028853 A KR20060028853 A KR 20060028853A KR 1020040077730 A KR1020040077730 A KR 1020040077730A KR 20040077730 A KR20040077730 A KR 20040077730A KR 20060028853 A KR20060028853 A KR 20060028853A
Authority
KR
South Korea
Prior art keywords
traffic
harmful
unit
image
peer
Prior art date
Application number
KR1020040077730A
Other languages
English (en)
Other versions
KR100628306B1 (ko
Inventor
남택용
이호균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040077730A priority Critical patent/KR100628306B1/ko
Priority to US11/014,556 priority patent/US20060068806A1/en
Publication of KR20060028853A publication Critical patent/KR20060028853A/ko
Application granted granted Critical
Publication of KR100628306B1 publication Critical patent/KR100628306B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • H04L67/1078Resource delivery mechanisms
    • H04L67/1085Resource delivery mechanisms involving dynamic management of active down- or uploading connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치에 관한 것으로, 네트워크의 유해 피투피 트래픽 선별 차단 방법은, (a) 네트워크를 통하여 외부 단말 장치와 송수신되는 데이터가 피투피 트래픽인지를 감지하는 단계; (b) 상기 (a)단계에서 피투피 트래픽을 감지한 경우에 상기 송수신되는 피투피 트래픽의 유해성을 검사하는 단계; 및 (c) 상기 유해성 검사에서 유해성이 있다고 판단되는 경우에 상기 외부 단말 장치와 송수신되는 상기 피투피 트래픽을 차단하는 단계;로 구성된다. 따라서, 네트워크에서 유포되는 유해 피투피 트래픽을 차단하기 위해서 개인용 컴퓨터에서 텍스트, 이미지, 동영상 유해성 검사 기능을 구현하여 실시간으로 트래픽을 감시 차단할 수 있다.

Description

네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치{Method and apparatus for preventing of harmful P2P traffic in network}
도 1은 본 발명의 일실시예에 따라 문서 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
도 2는 본 발명의 다른 일실시예에 따라 문서 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
도 3은 본 발명의 다른 일실시예에 따라 동영상 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
도 4는 본 발명의 다른 일실시예에 따라 이미지 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
도 5는 도 2의 단계S250을 보다 자세히 나타내는 흐름도이다.
도 6은 도 1 내지 도 4에서 유해 P2P 트래픽을 감지하는 과정을 보다 자세히 나타내는 흐름도이다.
도 7은 본 발명의 일실시예에 따른 네트워크의 유해 P2P 트래픽 선별 차단 장치의 블럭도를 나타낸다.
도 8은 도 7의 문서 분류 모듈(760)을 보다 자세히 나타내는 블럭도의 일예이다.
도 9는 도 7의 문서 분류 모듈(760)을 보다 자세히 나타내는 블럭도의 다른 일예이다.
도 10은 도 7의 동영상 분류 모듈(770)을 보다 자세히 나타내는 블럭도이다.
도 11은 도 7의 이미지 분류 모듈(780)을 보다 자세히 나타내는 블럭도이다.
본 발명은 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치에 관한 것으로, 더욱 상세하게는 유해 정보(음란물)와 불법 소프트웨어의 유포 수단이 되고 있는 피투피 네트워크에서 유해 정보를 내용 기반으로 선별 차단할 수 있는 방법 및 장치를 제공하는 것이다.
종래의 컴퓨터 보안은 컴퓨터 시스템 자체에 대한 방어, 즉 바이러스나 서비스 거부 공격(DoS 공격)과 같은 시스템 공격에 대한 대응이나, 은행의 현금 이체 등에 쓰이는 통신 암호화 등이 주된 관심사였지만 이제는 사람들이 주고받는 컨텐츠가 사람들에게 끼치는 영향을 고려하여 명백한 유해 정보인 경우 자동으로 이를 탐지하고 방지하는 기술에 대한 연구가 필요하다. 이미 몇몇 대기업에서는 자체 인트라넷에 대한 감시 체제를 구축하여 주요 기업 기밀에 대한 유출을 대비하고 있다. 컨텐츠에 대한 감시와 예방 체계 구축은 개인 정보에 대한 침해로 이어질 수 있기 때문에 법적으로는 매우 미묘한 문제가 될 수 있다. 따라서 이견의 여지가 없는 명백한 유해 정보 또는 불법 정보에 대해서 사용자의 동의 하에 탐지와 방지를 수행하는 시스템의 개발 방법이 제시되어야 한다.
일반적으로, 유해 트래픽 선별 차단 기술은 유해 사이트 차단 제품으로 상용화가 많이 이루어지고 있는 기술이다. 유해 사이트 차단 제품은 크게 선 차단 방식과 후 차단 방식 두 가지로 나뉘고 있다.
선 차단 방식은 미리 유해 URL 데이터베이스를 구축하고 사용자가 웹 브라우져에 URL을 입력했을 때 데이터베이스를 검색해서 유해 URL인 경우는 접속을 차단하는 방식이다. 선 차단 방식은 DB를 구축할 때 자동분류 기술과 사람의 검증과정을 거치기 때문에 정확성이 높다는 장점이 있는 반면에 DB가 모든 URL을 포함하고 있을 수 없고, 내용이 수시로 바뀌는 URL인 경우, DB에 잘못된 평가 내용이 저장되어 있을 수 있는 단점이 있다.
후 차단 방식은 들어오는 트래픽을 대상으로 텍스트나 이미지에 대해서 유해성을 실시간으로 검사해서 유해 사이트를 차단하는 방식이다. 후 차단 방식은 실시간으로 URL의 유해성을 판단해야 하므로 정확성이 선 차단 방식보다 떨어질 수 있고, 전송 중인 트래픽을 가로채서 판단하므로 사용자가 느끼기에 더 느리다는 단점이 있다.
유해 정보 방지 기술의 핵심은 컨텐츠에 따른 자동 분류 기술의 정확성 향상에 있다. 컨텐츠 자동 분류는 기술적으로 문서 분류와 이미지 분류로 구분할 수 있다. 문서 분류는 정보 분류 및 차단 분야에서 이미 많은 연구가 이루어진 분야로 범용적인 텍스트 컨텐츠 분류에서도 상당한 성능을 보이고 있다. 특히 유해 정보 방지와 같이 특정 분야의 문서만을 골라내는 True/False 문제에서는 더 높은 성능 을 기대할 수 있다. 하지만 P2P의 경우는 문서 분류에 사용할 수 있는 대상이 검색 결과로 얻을 수 있는 파일명뿐이기 때문에 판단을 하기 위한 재료가 매우 작다.
이미지의 컨텐츠를 분석하여 유해 이미지 여부를 판별하는 방법에 관한 연구는 최근에 많이 이루어지고 있으며, 크게 두 가지 관점에서 접근하고 있다. 한 가지 방법은 CBIR(Content Based Image Retrieval)분야에서 이미지 검색에 사용되는 특징들을 사용하여 음란성 이미지의 여부를 판별하는 방법이다. 다른 한 가지 방법은 이미지에서 피부 영역을 추출한 다음 피부 영역에서 유해 이미지를 나타낼 수 있는 고차원의 특징 벡터를 추출하여 유해 이미지 여부를 판별하는 방법이다. CBIR 관점에서의 접근 방법은 유해 이미지를 판단하기 위해 많은 시간이 소요되는 문제점이 있다. 그리고 피부 영역으로부터 고차원의 특징 벡터를 추출하여 판별하는 관점에서의 접근 방법의 경우, 기존에 사용된 고차원의 특징이 주로 피부색 정보에 의존하였기 때문에 정확도가 떨어진다는 문제점이 있다.
본 발명은 상기 종래기술의 문제점을 극복하기 위한 것으로, 문서 분류, 동영상 분류 및 이미지 분류의 세가지 정보 분류 알고리즘을 통하여 P2P 네트워크를 원천 차단시키지 않으면서도 유해한 정보만을 선별적으로 차단할 수 있는 네트워크의 유해 P2P 트래픽 선별 차단 방법 및 장치를 제공하고자 한다.
또한, 본 발명에서는 P2P에서의 텍스트 컨텐츠 분류에서 사용할 수 있는 최적의 알고리즘을 제시하고, 유해 이미지가 가지는 외형 정보를 이용하여 유해 이미지를 정확하게 판별할 수 있는 방법을 사용하여, P2P 에서 유해 이미지를 효과적으 로 차단할 수 있는 방법을 제시하며, P2P 에서 대부분의 음란물이 동영상으로 유포되고 있다는 점을 통하여 P2P 에서 전송중인 동영상 파일의 일부를 가로채서 이를 키프레임 단위로 복원 시킨 후 키 프레임 영상에 대한 유해 판단을 수행하는 메커니즘을 제공하고자 한다.
상기 기술적 과제를 이루기 위한 본 발명에 의한 네트워크의 유해 피투피 트래픽 선별 차단 방법은, (a) 네트워크를 통하여 외부 단말 장치와 송수신되는 데이터가 피투피 트래픽인지를 감지하는 단계; (b) 상기 (a)단계에서 피투피 트래픽을 감지한 경우에 상기 송수신되는 피투피 트래픽의 유해성을 검사하는 단계; 및 (c) 상기 유해성 검사에서 유해성이 있다고 판단되는 경우에 상기 외부 단말 장치와 송수신되는 상기 피투피 트래픽을 차단하는 단계;를 포함하는 것을 특징으로 가진다.
상기 기술적 과제를 이루기 위한 본 발명에 의한 네트워크의 유해 피투피 트래픽 선별 차단 장치는, 외부 단말 장치와 데이터를 송수신하는 송수신부; 상기 외부 단말 장치와 송수신하는 데이터가 피투피 데이터인지 여부를 감지하는 피투피 트래픽 감지부; 상기 외부 단말 장치와 송수신하는 데이터의 유해성 여부를 판단하는 유해 피투피 트래픽 판단부; 및 상기 피투피 트래픽 감지부로부터 피투피 트래픽 감지신호가 입력되는 경우에 상기 송수신부를 통하여 송수신되는 데이터를 상기 유해 피투피 트래픽 판단부로 보내고, 상기 유해 피투피 트래픽 판단부로부터 유해 피투피 트래픽 판단신호가 입력되는 경우에 상기 송수신부를 제어하여 상기 외부 단말 장치와 데이터의 송수신을 차단하는 제어부;를 포함하는 것을 특징으로 가진 다.
이하에서, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따라 문서 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
도 1을 참조하면, 네트워크의 유해 P2P 트래픽 선별 차단 시스템에서 외부장치와 전송중인 네트워크 트래픽을 감시하게 된다(S100).
다음으로, P2P 트래픽이 감지되는지 여부를 판단하게 된다(S110). 여기에서, P2P 트래픽이 감지되는지 여부는 도 6에서 보다 자세히 살펴보기로 한다. P2P 트래픽이 감지되지 않는다고 판단된 경우에는 단계S100으로 복귀한다. 한편, P2P 트래픽이 감지된다고 판단하는 경우에는 단계S120으로 진행한다.
다음으로, 유입되는 P2P 트래픽이 외부로부터 입력되는 유입 P2P 트래픽인지 외부로 출력되는 유출 P2P 트래픽인지 여부를 판단하게 된다(S120). 유입 P2P 트래픽인지 유출 P2P 트래픽인지 여부는 수신부를 통하여 외부장치로부터 소정의 데이터를 유입받는지 송신부를 통하여 외부장치로 소정의 데이터를 유출하는지 여부를 통하여 판단한다. 유입 P2P 트래픽이라고 판단된 경우에는 단계S130으로 진행한다. 한편, 유출 P2P 트래픽이라고 판단된 경우에는 단계S135로 진행한다.
단계S130에서는 유입되는 P2P 트래픽의 파일명을 추출하게 된다.
단계S135에서는 유출되는 P2P 트래픽의 검색어를 추출하게 된다.
다음으로, 단계S130과 단계S135를 거친 후에는 추출된 파일명 또는 검색어에 대하여 형태소 분석을 하게 된다(S140). 단계S140에서의 형태소 분석 과정에서는 명사, 동사, 형용사 등의 품사 원형을 추출하게 된다.
다음으로, 추출된 명사, 동사, 형용사 등의 품사 원형을 유해어 사전과 비교하게 된다(S150). 여기에서, 유해어 사전은 일반적인 유해 문서 분류에 사용되는 사전이 아니라 P2P 에서 많이 사용되는 용어의 특성을 분석해서 별도의 가중치를 가지는 사전을 미리 준비하여 둔다.
다음으로, 전송되는 P2P 트래픽의 유해성을 판단하게 된다(S160). 유해성 판단에 있어서는 유해어 사전과 비교하여 유해어가 있는지 여부에 따라 결정한다. 단계S160에서의 판단결과, 유해성이 없다고 판단되는 경우에는 P2P 트래픽을 통과시킨다(S175). 한편, 유해성이 있다고 판단되는 경우에는 P2P 트래픽을 차단하게 된다(S170).
도 2는 본 발명의 다른 일실시예에 따라 문서 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
도 2를 참조하면, 네트워크의 유해 P2P 트래픽 선별 차단 시스템에서 네트워크 트래픽을 감시하게 된다(S200).
다음으로, P2P 트래픽이 감지되는지 여부를 판단하게 된다(S210). 여기에서, P2P 트래픽이 감지되는지 여부는 도 6에서 보다 자세히 살펴보기로 한다. P2P 트래픽이 감지되지 않는다고 판단된 경우에는 단계S200으로 복귀한다. 한편, P2P 트래픽이 감지된다고 판단하는 경우에는 단계S220으로 진행한다.
다음으로, 유입되는 P2P 트래픽이 외부로부터 입력되는 유입 P2P 트래픽인지 외부로 출력되는 유출 P2P 트래픽인지 여부를 판단하게 된다(S220). 유입 P2P 트래픽인지 유출 P2P 트래픽인지 여부는 수신부를 통하여 외부장치로부터 소정의 데이터를 유입받는지 송신부를 통하여 외부장치로 소정의 데이터를 유출하는지 여부를 통하여 판단한다. 유입 P2P 트래픽이라고 판단된 경우에는 단계S230으로 진행한다. 한편, 유출 P2P 트래픽이라고 판단된 경우에는 단계S235로 진행한다.
단계S230에서는 유입되는 P2P 트래픽의 파일명을 추출하게 된다.
단계S235에서는 유출되는 P2P 트래픽의 검색어를 추출하게 된다.
다음으로, 단계S230과 단계S235를 거친 후에는 추출된 파일명 또는 검색어에 대하여 형태소 분석을 하게 된다(S240). 단계S240에서의 형태소 분석 과정에서는 명사, 동사, 형용사 등의 품사 원형을 추출하게 된다.
다음으로, 학습 모델을 기반으로 하여 유입되는 또는 유출되는 P2P 트래픽에 대하여 문서 분류를 수행하게 된다(S250). 이와 같이 문서 분류는 자동 문서 범주화(automatic text categorization)로 미리 정의된 범주에 문서를 자동으로 할당하는 기법과 관련되어 있다. 이러한 자동 문서 범주화는 대량의 문서를 효율적으로 관리하고 검색할 수 있게 되는 동시에 방대한 양의 수작업을 감소시킬 수 있다. 예를 들어 문서 분류는 1등급 부터 5등급으로 나눌 수 있다. 나아가, 해당 항목별(음란, 폭력, 언어 등)로 정하여 1등급부터 5등급까지 나눌 수도 있다. 보다 자세한 내용은 도 5에서 살펴보기로 한다.
다음으로, 전송되는 P2P 트래픽의 유해성 여부를 판단하게 된다(S260). 유해성 판단에 있어서는 학습 결과를 통하여 판단하게 된다. 예를 들어 문서 분류에서 4등급과 5등급이 나온경우에 이를 유해성이 있다고 판단 할 수 있다. 이와 관련하여서는 다양한 변형이 가능할 것이다. 단계S250에서 문서 분류가 단계S260에서의 판단결과, 유해성이 없다고 판단되는 경우에는 P2P 트래픽을 통과시킨다(S275). 한편, 유해성이 있다고 판단되는 경우에는 P2P 트래픽을 차단하게 된다(S270).
P2P 유해 정보 차단에서는 입력되는 문서가 일반적인 장문의 문서가 아니라 10 바이트에서 128 바이트까지 정도의 길이이기 때문에 색인어 추출과정을 거칠 필요가 없이 형태소 분석결과로 나오는 모든 단어를 등급 분류에 활용할 수 있다. 여기에서, 학습에 의한 문서의 유해성 판단은 유해성 판단의 대상이 되는 문서의 양이 어느 수준 이상이 되어야 효과를 기대할 수 있게 된다.
상기 도 1과 상기 도 2에서 살펴본 알고리즘 중에서 어떤것을 적용할 것이지 여부에 대하여는 먼저 도 1에서 제시한 사전 기반 알고리즘을 적용한다. 도 1에서의 결과가 명백한 유해 또는 명백한 무해 문서로 판단된 경우 해당 결과를 그대로 반영한다. 여기에서, 명백한 유해라 함은 사전에서 정의된 가중치가 매우 높은 명백한 유해어로 구성된 경우이고, 명백한 무해라 함은 사전에서 정의된 유해어가 하나도 등장하지 않는 경우를 말한다. 도 1에서의 결과가 명백한 유해 또는 명백한 무해 문서로 판단되지 않는 경우에 도 2의 학습 기반 알고리즘을 적용한다. 학습 기반 알고리즘은 명백한 유해 또는 명백한 무해 판정이 애매한 경우의 판정을 위해서 학습 데이터가 준비되어 있기 때문에 이와 같은 상황에서 사전 기반 알고리즘보다 더 높은 정확성을 보인다. 즉, 도 1의 사전 기반 알고리즘은 보다 빠른 성능을 위한 알고리즘이고, 도 2의 학습 기반 알고리즘은 보다 정확한 성능을 위한 알고리 즘이다.
도 1의 사전 기반 알고리즘과 도 2의 학습 기반 알고리즘의 성능 개선을 위해서는 두개의 알고리즘의 공통 부분인 형태소 분석 단계에서 복합 명사 처리 기능과 오,탈자 수정 기능을 수행할 수 있도록 한다. 이를 통해서 입력 문서를 유해어 사전에 정의된 품사 원형과 같은 형태로 분리할 수 있고 탐지 성능을 높일 수 있게 된다.
도 3은 본 발명의 다른 일실시예에 따라 동영상 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
P2P 프로그램의 동작 방식에 따라 약간의 차이는 있지만 많이 사용되고 있는 이동키 프로그램을 기준으로 분석해 보면, P2P 에서는 동영상 파일이 수신과 동시에 실시간으로 재생되지 않고 조각조각으로 분해되어 전송된다. 그 다음에 전체 동영상 파일이 완전히 재구성 되어야만 사용자가 재생이 가능하게 된다. 따라서, P2P의 동영상 분류 알고리즘에 있어서는 실시간 유해성 인식보다는 동영상 파일에서 정지 영상을 추출하여 이를 통하여 유해성 여부를 판별하는 것이 필요하게 된다.
도 3을 참조하면, 네트워크의 유해 P2P 트래픽 선별 차단 시스템에서 네트워크 트래픽을 감시하게 된다(S300).
다음으로, P2P 트래픽이 감지되는지 여부를 판단하게 된다(S310). 여기에서, P2P 트래픽이 감지되는지 여부는 도 6에서 보다 자세히 살펴보기로 한다. P2P 트래픽이 감지되지 않는다고 판단된 경우에는 단계S300으로 복귀한다. 한편, P2P 트래픽이 감지된다고 판단하는 경우에는 단계S320으로 진행한다.
다음으로, 전송중인 파일이 임시적으로 저장되는 임시저장 파일을 추출하게 된다(S320).
다음으로, 추출된 임시저장 파일에서 동영상 일부를 복원하게 된다(S330).
다음으로, 복원된 동영상 일부에 대하여 정지 영상을 추출하게 된다(S340). 정지 영상 추출과 관련되어서는 어디에서 어디까지 정지 영상을 추출하여야 하는지 여부의 문제가 남게 된다. 예를 들어, 2시간 분량의 영화에서 약 3분 정도의 내용이 외설 시비를 일으킬 수도 있지만, 여기에서는 일반적으로 인식되는 음란물, 즉 전체 동영상중에서 임의의 위치에서 부분적인 정지 영상만을 추출해도 유해하다고 판단될 수 있는 음란물을 대상으로 판단하기로 한다.
정지 영상의 추출 방법으로는 키프레임 추출 방식과 일정 시간별로 추출하는 두 가지 방식이 있다. 키 프레임 추출방식은 동일한 프레임들을 중복 추출하는 것을 피할 수 있는 장점이 있는 반면에, 수행 시간이 길어진다는 단점이 있다. 그리고 일정 시간 간격별 추출 방식은 의미상으로 같은 장면(scene)이 중복 추출될 수 있는 단점이 있지만 빠르게 추출할 수 있다는 장점이 있다. 두 개의 방식중 적어도 어느 하나를 이용하여(바람직하게는, 구현 제품이 채택한 방식에 따라) 동영상 파일의 정지 영상을 추출하게 된다.
다음으로, 추출된 정지 영상을 통하여 이미지 유해 검사 엔진을 통하여 이미지 유해 검사를 수행하게 된다(S350).
다음으로, 전송되는 P2P 트래픽의 유해성 여부를 판단하게 된다(S360). 유해성 판단에 있어서는 수신된 이미지 중에서 유해 이미지가 검출되는지 여부를 따라 결정한다. 단계S360에서의 판단결과, 유해성이 없다고 판단되는 경우에는 P2P 트래픽을 통과시킨다(S375). 한편, 유해성이 있다고 판단되는 경우에는 P2P 트래픽을 차단하게 된다(S370).
도 4는 본 발명의 다른 일실시예에 따라 이미지 분류 알고리즘에 의해 유해 P2P 트래픽을 선별 차단하는 과정을 나타내는 흐름도이다.
도 4를 참조하면, 네트워크의 유해 P2P 트래픽 선별 차단 시스템에서 네트워크 트래픽을 감시하게 된다(S400).
다음으로, P2P 트래픽이 감지되는지 여부를 판단하게 된다(S410). 여기에서, P2P 트래픽이 감지되는지 여부는 도 6에서 보다 자세히 살펴보기로 한다. P2P 트래픽이 감지되지 않는다고 판단된 경우에는 단계S400으로 복귀한다. 한편, P2P 트래픽이 감지된다고 판단하는 경우에는 단계S420으로 진행한다.
다음으로, 입력되는 P2P 입력 이미지에서 피부 영역을 추출하게 된다(S420). 여기에서 입력되는 P2P 입력 이미지에는 P2P 트래픽 중에서 이미지 파일이 될 수 있다. 또한, 상기 도 3에서 언급한 바와 같은 동영상 분류 알고리즘에서 추출된 정지 영상에 대하여도 이를 적용할 수 있다.
다음으로, 추출된 피부 영역에서 피부색이 임계치 이상 존재하는지 여부를 판단하게 된다(S430). 단계S430에서의 판단결과 피부색이 임계치 이상 존재하지 않는다고 판단되는 경우에는 단계S465로 진행한다. 한편, 단계S430에서의 판단결과 피부색이 임계치 이상 존재한다고 판단되는 경우에는 단계S440으로 진행한다.
다음으로, 단계S440에서는 학습 모델을 통한 이미지 분류를 수행한다. 학습 모델을 통한 이미지 분류를 수행하기 위하여 이미지 특징 벡터를 생성한다. 여기에서 이미지 특징 벡터는 SVM 판별자로 활용되고, SVM 판별자의 입력 벡터로 사용되는 이미지 특징 벡터를 SVM 학습 모델과 비교하여 이미지 분류를 수행하게 된다. 이미지 분류에 대하여도 도 3에서 살펴본 바와 같이 분류할 수 있다.
다음으로, 유해성 여부를 판단하게 된다(S450). 유해성 판단에 있어서는 수신된 이미지 중에서 이미지 분류에서 유해 이미지로 분류되는지 여부에 따라 결정한다. 단계S450에서의 판단결과, 유해성이 없다고 판단되는 경우에는 P2P 트래픽을 통과시킨다(S465). 한편, 유해성이 있다고 판단되는 경우에는 P2P 트래픽을 차단하게 된다(S460).
상기에서 언급한 바와 같이 도 4는 입력되는 P2P 입력 이미지에는 P2P 트래픽 중에서 이미지 파일이 될 수 있고, 또한, 상기 도 3에서 언급한 바와 같은 동영상 분류 알고리즘에서 추출된 정지 영상에 대하여도 이를 적용할 수 있다.
도 5는 도 2의 단계S250을 보다 자세히 나타내는 흐름도이다.
도 5를 살펴보면, 학습용 실험 문서를 수집한다(S500).
다음으로, 단계S500을 수집된 학습용 실험 문서를 형태소 분석을 하여 기계적 처리가 가능하도록 변환하고 문서의 내용이나 특징을 잘 반영하는 품사 원형을 추출하게 된다(S510). 품사 원형을 추출하는 것은 형태소 분석기를 사용하여 문장을 각 형태소별로 나누어 품사를 결정한다. 한국어에는 동작성 명사에 해당하는 동사 파생 접미사가 붙어서 동사가 되는 경우가 많으므로 명사의 비중이 그만큼 크다고 할 수 있다. 여기에서, 추출된 내용어 중에서 여러 문서에서 공통적으로 많이 나타나기 때문에 별다른 정보를 주지 못하는 불용어(stop word)들이 있다. 이와 같은 불용어들을 처리하기 위해 불용어 사전을 정의하고 품사 원형 추출시 불용어에 해당하는 용어들을 제거한다.
다음으로, 형태소 분석을 통하여 추출된 품사 원형 중에서 범주화 학습에 유용하게 학습될 만한 품사 원형만을 특징 벡터로 추출하게 된다(S520). 특징 벡터 추출단계에서 문서에 나타나는 품사 원형들 중에서 범주화 구분에 유용하게 사용될 만한 품사 원형을 선택하는 것이다. 학습 문서에 나타나는 품사 원형의 수는 수만에서 수십만에 이르기 때문에 모든 내용어가 특징 벡터로 선택된다면 분류 시간이 길어지게 된다. 그러므로, 문서 범주화 성능의 저하 없이 특징 벡터의 수를 줄이기 위하여 학습 문서에 나타나는 품사 원형의 정보량을 계산하고 정보량이 큰 품사 원형만을 특징 벡터로 선택하는 것이다.
다음으로, 특징 벡터로 추출된 품사 원형 중에서 어떻게 문서를 표시할 것인가에 대한 색인 단계를 수행한다(S530). 여기에서 색인(index)이란 선택된 특징 벡터를 사용하여 어떻게 문서를 표현할 것인가에 대한 것으로, 문서의 표현은 문서 범주 시스템의 전체적인 일반화 성능에 큰 영향을 미치므로 각 문서를 학습에 적합한 형태로 표현한다. 특징 벡터 추출단계에서 추출된 특징 벡터를 색인 용어로 사용하기 위해서 문서에서 단어의 순서는 큰 문제를 일으키지 않는다는 가정을 하면, 문서는 더 이상 순서(sequence)로 표현되는 객체가 아니라 단어 주머니(bag-of-words)형태로 표현된다. 일반적으로 사용되는 문서 표현 방법은 벡터 공간 모델이다. 이것은 문서 전체에 나타난 각 특징 벡터의 출현 빈도(TF: Term Frequency)를 이용하여 문서를 하나의 벡터로 표현하는 것이다. 보통 특징 벡터의 출현 빈도와 역문헌 빈도(IDF: Inverse Document Frequency) 또는 역범주 빈도(ICF: Inverse Document Frequency)를 이용하여 가중치를 둠으로써 문서를 표현한다.
다음으로, 단계S530에서 생성된 문서 표현을 통하여 도 2의 단계S250에서 학습 모델을 통한 문서 분류를 수행할 수 있도록 전송한다(S540).
도 6은 도 1 내지 도 4에서 유해 P2P 트래픽을 감지하는 과정을 보다 자세히 나타내는 흐름도이다.
도 6을 참조하면, IP 포트를 검사하여 자주 사용되는 프로그램 포트 번호인지 여부인지를 판단한다(S600). IP 포트 검사는 P2P 프로그램 이외에 개인용 PC에서 자주 사용되는 네트워크 프로그램의 IP 포트 번호를 검사하는 것이다. 단계S600에서의 판단결과, P2P 이외의 자주 사용되는 프로그램 IP 포트 번호로 식별되는 경우에는 단계S650으로 진행한다. 한편, 단계S600에서의 판단결과, P2P 이외의 자주 사용되는 프로그램 IP 포트 번호로 식별되지 않는 경우에는 단계S610으로 진행한다.
다음으로, 웹 트래픽과 FTP 트래픽이 트래픽의 크기나 송수신 피어들의 특징 프로토콜 특성에 따라서 일정한 패턴을 가지는 것처럼, P2P 프로토콜과 트래픽양을 분석하여 현재 사용중인 송수신 IP 포트를 분석하게 된다(S610).
다음으로, 단계S610에서 분석된 송수신 IP 포트가 기존에 알려진 P2P 트래픽이 전송되는 IP 포트인지 여부를 판단하게 된다(S620). 여기에서 기존에 알려진 P2P 트래픽인지 여부는 기존 방화벽 장비와 같이 P2P 프로그램이 사용되는 모든 IP 포트 번호를 검출하고 현재 전송중인 트래픽들이 전송되는 포트 번호와 매칭하여 보는 방법이 있다. 단계S620에서의 판단결과 기존에 알려진 P2P 트래픽인 경우에는 단계S660으로 진행한다. 한편, 단계S620에서의 판단결과 기존에 알려진 P2P 트래픽이 아닌 경우에는 단계S630으로 진행한다.
다음으로, 기존에 알려진 P2P 트래픽이 아닌 경우에는 송수신 IP가 1대 N 연결 관계가 성립하는지 여부를 판단한다(S630). 단계S630에서의 판단결과 송수신 IP 가 1대 N 연결 관계가 성립하는 경우에는 단계S660으로 진행한다.
한편, 단계S630에서의 판단결과 송수신 IP 가 1대 N 연결 관계가 성립하지 않는다고 판단되는 경우에는 웹 포트인 80번 포트를 통하여 일정 크기 이상의 데이터가 송수신 되는지 여부를 판단한다(S640).
단계S640에서의 판단결과 웹 포트인 80번 포트로 일정 크기 이상의 데이터가 송수신 된다고 판단되는 경우에는 단계S660으로 진행한다. 한편, 단계S640에서의 판단결과 웹 포트인 80번 포트로 일정 크기 이상의 데이터가 송수신 된다고 판단되지 않는 경우에는 단계S650으로 진행한다.
단계S650에서는, 현재 송수신되는 트래픽이 P2P 트래픽이 아니라고 판단한다.
단계S660에서는, 현재 송수신되는 트래픽이 P2P 트래픽이라고 판단하게 된다.
도 7은 본 발명의 일실시예에 따른 네트워크의 유해 P2P 트래픽 선별 차단 장치의 블럭도를 나타낸다.
도 7을 참조하면, 유해 트래픽 선별 차단 장치(700)는 수신부(710), P2P 트래픽 감지부(720), 저장부(730), 송신부(750), 문서 분류 모듈(760), 동영상 분류 모듈(770), 이미지 분류 모듈(780) 및 상기 각부와 모듈을 제어하는 제어부(740)를 포함하여 이루어진다.
수신부(710)는 외부 단말 장치로부터 로컬 컴퓨터에서 실행 중인 응용 프로그램으로 유입되는 트래픽을 대신 수신한다. 검사 결과 P2P 트래픽이 아닌 경우, 이를 원래 수신 응용 프로그램으로 전달해준다.
P2P 트래픽 감지부(720)는 수신부(710)를 통하여 입력되는 트래픽이 P2P 트래픽인지 여부를 감지하게 된다. 수신부(710)를 통하여 입력되는 트래픽이 P2P 트래픽인 경우에는 P2P 트래픽 감지 신호를 제어부(740)로 출력하게 된다.
저장부(730)는 유해 트래픽 선별 차단 장치의 전체적인 동작을 제어하는 프로그램이 등록되어 있고, 제어부(740)는 저장부(730)에 등록된 프로그램을 처리하여 유해 트래픽 선별 차단 장치의 동작을 제어한다.
송신부(750)는 외부 단말 장치로 송신되는 트래픽을 가로채서 P2P 트래픽 여부를 검사한다. P2P 트래픽이 아닌 경우 원래 목적지로 송신한다. 여기에서 수신부(710)와 송신부(750)를 구분하여 설명하였으나, 송수신부가 함께 구성되어 있는 것으로 할 수도 있다.
제어부(740)는 P2P 트래픽 감지부(720)로부터 P2P 트래픽 감지 신호를 입력받은 경우에 문서 분류 모델(760), 동영상 분류 모델(770) 및 이미지 분류 모델(780)로 P2P 트래픽을 전송하도록 제어한다. 그리고, 문서 분류 모델(760), 동영상 분류 모델(770) 및 이미지 분류 모델(780)는 각각 현재 전송되는 P2P 트래픽이 유해 P2P 트래픽이라고 판단되는 경우에 유해 P2P 트래픽 판단신호를 상기 제어부(740)로 출력하게 된다. 제어부(740)는 유해 P2P 트래픽 판단신호가 입력되는 경우 수신부(710)와 송신부(750)를 제어하여 유해 P2P 트래픽의 전송을 차단하도록 제어한다. 여기에서, 문서 분류 모델(760), 동영상 분류 모델(770) 및 이미지 분류 모델(780)를 모두 포함하는 것으로 P2P 트래픽이 유해 또는 불법 트랙픽인지 여부를 판단하는 유해 P2P 트래픽 판단부(미도시)라는 용어를 사용한다.
문서 분류 모델(760)를 통하여 입력되는 P2P 트래픽이 유해 또는 불법 트랙픽인지 여부를 판단하는 보다 구체적인 것은 도 8과 도 9에서 살펴보기로 한다.
동영상 분류 모델(770)를 통하여 입력되는 P2P 트래픽이 유해 또는 불법 트랙픽인지 여부를 판단하는 보다 구체적인 것은 도 10에서 살펴보기로 한다.
이미지 분류 모델(760)를 통하여 입력되는 P2P 트래픽이 유해 또는 불법 트랙픽인지 여부를 판단하는 보다 구체적인 것은 도 11에서 살펴보기로 한다.
디스플레이부(790)는 수신부(710)를 통해 입력되는 데이터 또는 제어부(550)의 제어에 의해 출력되는 데이터를 사용자가 알 수 있도록 외부로 출력하는 LCD(Liquid Crystal Display: 액정표시장치) 등으로 이루어진 디스플레이 장치이다. 그럼으로써, 디스플레이부(790)는 현재 입력되는 트래픽이 유해한 P2P 트래픽인 경우에는 이를 디스플레이하여 사용자로 하여금 현재 입력되는 트래픽이 유해한 P2P 트래픽임을 알 수 있도록 한다.
도 8은 도 7의 문서 분류 모듈(760)을 보다 자세히 나타내는 블럭도의 일예 이다.
도 8을 참조하면, 문서 분류 모듈(760)은 파일명/검색어 추출부(800), 형태소 분석부(810), 비교 검색부(820) 및 유해 문서 판단부(830)를 포함하여 구성된다.
파일명/검색어 추출부(800)는 P2P 트래픽이 유입되는 경우에는 유입되는 P2P 트래픽의 파일명을 추출하고, P2P 트래픽이 유출되는 경우에는 유출되는 P2P 트래픽의 검색어를 추출하게 된다.
형태소 분석부(810)는 파일명/검색어 추출부(800)에서 추출된 파일명 또는 검색어에 대하여 형태소 분석을 하게 된다. 형태소 분석에서는 추출된 파일명 또는 검색어를 명사, 동사, 형용사 등의 품사 원형을 추출하게 된다.
비교 검색부(820)는 추출된 명사, 동사, 형용사 등의 품사 원형과 유해어 사전을 비교하게 된다. 여기에서, 유해어 사전은 일반적인 유해 문서 분류에 사용되는 사전이 아니라 P2P 에서 많이 사용되는 용어의 특성을 분석해서 별도의 가중치를 가지는 사전을 말한다. 유해어 사전은 저장부(730)에 기 저장되어 있는 것을 로딩하여 활용할 수 있고 문서 분석 모듈(760) 내부에 형성되어 있는 저장장치(미도시)에 기 저장되어 있도록 할 수도 있다. 비교 검색부(820)에서는 유해어 사전과 비교하여 검출된 품사 원형 사이에서의 품사별 비교 검색된 비교 검색 신호를 유해 문서 판단부(830)로 출력하게 된다.
유해 문서 판단부(830)는 비교 검색부(820)로부터 입력되는 비교 검색 신호를 통하여 비교 검색 신호에 유해어가 소정 범위가 넘어서 존재하는 경우에 현재 입력되는 트래픽이 유해 문서 트래픽이라고 판단하게 된다.
유해 문서 판단부(830)는 유해 문서 트래픽이라고 판단되는 경우에 제어부(740)에 유해 문서 판단신호(유해 P2P 트래픽 판단신호)를 보내게 된다.
제어부(740)는 문서 분류 모델(760)로부터 유해 문서 판단신호가 입력되면 수신부(710)를 통하여 입력되는 트래픽을 차단하도록 제어하게 된다.
도 9는 도 7의 문서 분류 모듈(760)을 보다 자세히 나타내는 블럭도의 다른 일예이다.
도 9를 참조하면, 문서 분류 모듈(760)은 파일명/검색어 추출부(900), 형태소 분석부(910), 문서 분류부(920) 및 유해 문서 판단부(930)를 포함하여 구성된다.
파일명/검색어 추출부(900)는 P2P 트래픽이 유입되는 경우에는 유입되는 P2P 트래픽의 파일명을 추출하고, P2P 트래픽이 유출되는 경우에는 유출되는 P2P 트래픽의 검색어를 추출하게 된다.
형태소 분석부(910)는 파일명/검색어 추출부(900)에서 추출된 파일명 또는 검색어에 대하여 형태소 분석을 하게 된다. 형태소 분석에서는 추출된 파일명 또는 검색어를 명사, 동사, 형용사 등의 품사 원형을 추출하게 된다.
문서 분류부(920)는 추출된 명사, 동사, 형용사 등의 품사 원형에서 특성 벡터를 추출하여 미리 수행된 학습 결과와 비교하여 학습 모델을 통한 문서 분류를 하게된다. 문서 분류부(920)에서는 학습 모델을 통한 문서 분류를 통하여 생성된 문서 분류 신호를 유해 문서 판단부(930)로 출력하게 된다.
유해 문서 판단부(930)는 문서 분류부(920)로부터 입력되는 문서 분류 신호를 통하여 미리 정한 소정 문서 분류 범위에 해당하는 경우에 현재 입력되는 트래픽이 유해 문서 트래픽이라고 판단하게 된다. 유해 문서 판단부(930)는 유해 문서 트래픽이라고 판단되는 경우에 제어부(740)에 유해 문서 판단신호(유해 P2P 트래픽 판단신호)를 보내게 된다.
제어부(740)는 문서 분류 모델(760)로부터 유해 문서 판단신호가 입력되면 수신부(710)를 통하여 입력되는 트래픽을 차단하게 된다.
도 10은 도 7의 동영상 분류 모듈(770)을 보다 자세히 나타내는 블럭도이다.
도 10을 참조하면, 동영상 분류 모듈(770)은 임시저장 파일 추출부(1000), 복원부(1010), 정지 영상 추출부(1020), 유해 동영상 판단부(1030)를 포함하여 구성된다.
임시저장 파일 추출부(1000)는 수신부(710)를 통하여 입력되는 트래픽이 임시적으로 저장되는 임시저장 파일을 추출하게 된다.
복원부(1010)는 추출된 임시저장 파일에서 동영상 일부를 복원하게 된다.
정지 영상 추출부(1020)는 복원된 동영상 일부에 대하여 정지 영상을 추출하게 된다. 정지 영상 추출과 관련되어서는 어디에서 어디까지 정지 영상을 추출하여야 하는지 여부의 문제가 남게 된다. 예를 들어, 2시간 분량의 영화에서 약 3분 정도의 내용이 외설 시비를 일으킬 수도 있지만, 여기에서는 일반적으로 인식되는 음란물, 즉 전체 동영상중에서 임의의 위치에서 부분적인 정지 영상만을 추출해도 유해하다고 판단될 수 있는 음란물을 대상으로 판단하기로 한다.
정지 영상의 추출 방법으로는 키프레임 추출 방식와 일정 시간별로 추출하는 두 가지 방식이 있다. 키 프레임 추출방식은 동일한 프레임들을 중복 추출하는 것을 피할 수 있는 장점이 있는 반면에, 수행 시간이 길어진다는 단점이 있다. 그리고 일정 시간 간격별 추출 방식은 의미상으로 고려할 수 없는 단점이 있지만 빠르게 추출할 수 있는 장점이 있다. 두 개의 방식중 적어도 어느 하나를 이용하여(바람직하게는, 구현 제품이 채택한 방식에 따라) 동영상 파일의 정지 영상을 추출하게 된다.
유해 동영상 판단부(1030)는 추출된 정지 영상을 통하여 이미지 유해 검사 엔진을 통하여 이미지 유해 검사를 수행하고, 유해성 여부가 판단되는 경우에 제어부(740)에 유해 동영상 판단신호(유해 P2P 트래픽 판단신호)를 보내게 된다.
제어부(740)는 동영상 분류 모델(770)로부터 유해 동영상 판단신호가 입력되면 수신부(710)를 통하여 입력되는 트래픽을 차단하게 된다.
도 11은 도 7의 이미지 분류 모듈(780)을 보다 자세히 나타내는 블럭도이다.
도 11을 참조하면, 이미지 분류 모듈(778)은 피부영역 추출부(1100), 기준 판단부(1110), 이미지 분류부(1120) 및 유해 이미지 판단부(1130)를 포함하여 구성된다.
피부영역 추출부(1100)는 제어부(740)의 제어에 의해 수신부(710)로부터 입력되는 P2P 트래픽 중 이미지 파일 또는 유해 동영상 판단부에서 보낸 정지 영상으로부터 피부 영역을 추출한다.
기준 판단부(1110)는 피부영역 추출부(1100)를 통하여 추출된 피부 영역에서 피부색이 임계치 이상 존재하는지 여부를 판단한다.
이미지 분류부(1120)는 기준 판단부(1110)로부터 피부색이 임계치 이상 존재하는 경우 피부색 정보와 외형 정보를 포함하는 특징 벡터를 추출하고 이를 SVM 판별자로 활용하여 SVM 학습 모델과 비교하게 된다. 이미지 분류부(1120)는 SVM 학습 모델을 통하여 분류된 이미지 분류 신호를 유해 이미지 판단부(1130)로 출력하게 된다.
유해 이미지 판단부(1130)는 이미지 분류부(1120)로부터 입력되는 이미지 분류 신호를 통하여 소정 분류의 이미지에 해당하면 현재 입력되는 트래픽이 유해 이미지 트래픽이라고 판단하게 된다. 유해 이미지 판단부(1130)는 유해 이미지 트래픽이라고 판단되는 경우에 제어부(740)에 유해 이미지 판단신호를 보내게 된다.
제어부(740)는 이미지 분류 모델(780)로부터 유해 이미지 판단신호가 입력되면 수신부(710)를 통하여 입력되는 트래픽을 차단하게 된다.
상기에서 언급한 바와 같이 도 11은 입력되는 P2P 입력 이미지에는 P2P 트래픽 중에서 이미지 파일이 될 수 있고, 또한, 상기 도 10에서 언급한 바와 같은 동영상 분류 알고리즘에서 추출된 정지 영상에 대하여도 이를 적용할 수 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프, 플로피디스크 및 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷 을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명은 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치에 관한 것으로 다음과 같은 효과가 있다.
본 발명은 P2P 네트워크에서 내용 기반 탐지 기술을 통하여 텍스트 컨텐츠 인식, 이미지 컨텐츠 인식, 동영상 컨텐츠 인식 등을 수행하여 P2P 네트워크를 통해 전달되는 정보의 내용을 식별해서 명백한 유해 정보(음란물)에 대해서는 전송을 차단하는 시스템을 구축하고 있다. 본 발명에 의한 내용 기반 트래픽 선별 차단 기술은 P2P 에서 음란물 차단뿐만 아니라 불법 소프트웨어 유통 차단과 인터넷 게시판에서 불법 광고와 음란 메시지 유포 방지 등에 활용될 수 있다.

Claims (17)

  1. (a) 네트워크를 통하여 외부 단말 장치와 송수신되는 데이터가 피투피 트래픽인지를 감지하는 단계;
    (b) 상기 (a)단계에서 피투피 트래픽을 감지한 경우에 상기 송수신되는 피투피 트래픽의 유해성을 검사하는 단계; 및
    (c) 상기 유해성 검사에서 유해성이 있다고 판단되는 경우에 상기 외부 단말 장치와 송수신되는 상기 피투피 트래픽을 차단하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  2. 제 1 항에 있어서, 상기 (a)단계는
    (a-1) 개인용 PC에서 자주 사용되는 네트워크 프로그램의 포트 번호를 검사하는 IP 포트를 검사하는 단계;
    (a-2) 피투피 프로토콜과 트래픽양을 분석하여 현재 활성화된 송수신 IP 포트를 분석하는 단계;
    (a-3) 상기 (a-2)단계에서 분석된 송수신 IP 포트가 사전에 정의된 피투피 트래픽 포트인지를 판단하는 단계;
    (a-4) 사전에 정의된 피투피 트래픽 포트가 아닌 경우에는 송수신 IP 포트가 외부와 1대 N의 연결 관계가 성립하는지 여부를 판단하는 단계; 및
    (a-5) 상기 (a-3)단계에서 기존에 알려진 피투피 트래픽 포트인 경우 및 상기 (a-4)단계에서 외부 단말 장치와 1대 N의 연결 관계가 성립하는 경우에 피투피 트래픽을 감지하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  3. 제 2 항에 있어서,
    상기 (a-4)단계에서의 판단결과 송수신 IP 포트가 외부와 1대 N의 연결 관계가 성립되지 않는 경우에도 상기 송수신 IP 포트가 웹 포트로 소정 크기 이상의 데이터가 송수신되고 있는 경우에는 상기 (a-5)단계를 수행하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  4. 제 2 항에 있어서, 상기 (a-3)단계는
    피투피 프로그램이 사용되는 모든 IP 포트와 현재 사용중인 송수신 IP 포트의 번호를 매칭하여 판단하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  5. 제 1 항에 있어서, 상기 (b)단계는
    (b-1) 상기 외부 단말 장치와 전송중인 데이터가 문서 데이터인 경우 유입 트래픽인지 유출 트래픽인지 판단하는 단계;
    (b-2) 상기 (b-1)단계에서 유입 트래픽인 경우 파일명을 추출하고, 상기 (b-1)단계에서 유출 트래픽인 경우 검색어를 추출하는 단계;
    (b-3) 상기 추출된 파일명 또는 검색어에 대하여 형태소 분석을 하는 단계;
    (b-4) 상기 분석된 형태소에 따라 유해어 사전과 비교하는 단계; 및
    (b-5) 상기 유해어 사전과 비교하여 유해성 판단을 수행하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  6. 제 1 항에 있어서, 상기 (b)단계는
    (b-1) 상기 외부 단말 장치와 전송중인 데이터가 문서 데이터인 경우 유입 트래픽인지 유출 트래픽인지 판단하는 단계;
    (b-2) 상기 (b-1)단계에서 유입 트래픽인 경우 파일명을 추출하고, 상기 (b-1)단계에서 유출 트래픽인 경우 검색어를 추출하는 단계;
    (b-3) 상기 추출된 파일명 또는 검색어에 대하여 형태소 분석을 하는 단계;
    (b-4) 상기 분석된 형태소를 학습 모델과 비교하여 문서를 분류하는 단계; 및
    (b-5) 상기 분류된 문서가 소정 기준에 해당하는 경우 유해성 판단을 수행하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  7. 제 1 항에 있어서, 상기 (b)단계는
    (b-1) 상기 외부 단말 장치와 전송중인 데이터가 동영상 파일인 경우 임시저장되어 있는 파일을 추출하는 단계;
    (b-2) 상기 (b-1)단계에서 추출된 임시저장 파일에서 동영상 일부를 복원하 는 단계;
    (b-3) 상기 복원된 동영상 일부에서 정지 영상을 추출하는 단계; 및
    (b-4) 상기 정지 영상을 기초로 이미지 유해 검사하여 소정 기준에 해당하는 경우 유해성 판단을 수행하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  8. 제 1 항에 있어서, 상기 (b)단계는
    (b-1) 상기 외부 단말 장치와 전송중인 데이터가 이미지 파일인 경우 입력 이미지에서 피부 영역을 추출하는 단계;
    (b-2) 상기 추출된 피부영역에서 피부색이 임계치 이상 존재하는지 판단하는 단계;
    (b-3) 상기 (b-2)단계에서 임계치 이상 존재한다고 판단되는 경우에 상기 추출된 피부영역을 학습 모델과 비교하는 단계; 및
    (b-4) 상기 학습 모델과 비교하여 소정 기준에 해당하는 경우 유해성 판단을 수행하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 방법.
  9. 외부 단말 장치와 데이터를 송수신하는 송수신부;
    상기 외부 단말 장치와 송수신하는 데이터가 피투피 데이터인지 여부를 감지하는 피투피 트래픽 감지부;
    상기 외부 단말 장치와 송수신하는 데이터의 유해성 여부를 판단하는 유해 피투피 트래픽 판단부; 및
    상기 피투피 트래픽 감지부로부터 피투피 트래픽 감지신호가 입력되는 경우에 상기 송수신부를 통하여 송수신되는 데이터를 상기 유해 피투피 트래픽 판단부로 보내고, 상기 유해 피투피 트래픽 판단부로부터 유해 피투피 트래픽 판단신호가 입력되는 경우에 상기 송수신부를 제어하여 상기 외부 단말 장치와 데이터의 송수신을 차단하는 제어부;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  10. 제 9 항에 있어서, 상기 유해 피투피 트래픽 판단부는
    상기 외부 단말 장치와 전송하는 문자 데이터의 유해 여부를 판단하는 문서 분류 모듈;
    상기 외부 단말 장치와 전송하는 동영상 데이터의 유해 여부를 판단하는 동영상 분류 모듈; 및
    상기 외부 단말 장치와 전송하는 이미지 데이터의 유해 여부를 판단하는 이미지 분류 모듈;에서 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  11. 제 10 항에 있어서, 상기 문서 분류 모듈은
    상기 송수신부로부터 피투피 트래픽이 유입되는 경우에는 유입되는 피투피 트래픽의 파일명을 추출하고, 상기 피투피 트래픽이 유출되는 경우에는 유출되는 피투피 트래픽의 검색어를 추출하는 파일명/검색어 추출부;
    상기 추출된 파일명 또는 검색어에 대하여 형태소 분석을 수행하여 품사 원형을 추출하는 형태소 분석부;
    상기 추출된 품사 원형을 기 저장되어 있는 유해어 사전과 비교하여 비교 검색 신호를 생성하는 비교 검색부; 및
    상기 비교 검색 신호를 입력받아 상기 유해어 사전의 유해어가 존재한다고 판단되는 경우에 유해 문서 판단신호를 상기 제어부로 출력하는 유해 문서 판단부;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  12. 제 10 항에 있어서, 상기 문서 분류 모듈은
    상기 송수신부로부터 입력되는 피투피 트래픽이 유입되는 경우에는 유입되는 피투피 트래픽의 파일명을 추출하고, 상기 피투피 트래픽이 유출되는 경우에는 유출되는 피투피 트래픽의 검색어를 추출하는 파일명/검색어 추출부;
    상기 추출된 파일명 또는 검색어에 대하여 형태소 분석을 수행하여 품사 원형을 추출하는 형태소 분석부;
    상기 추출된 품사 원형을 학습 모델을 기초로 문서 분류를 수행하여 문서 분류 신호를 생성하는 문서 분류부; 및
    상기 문서 분류 신호를 통하여 소정 기준의 문서라고 판단되는 경우에 유해 문서 판단신호를 상기 제어부로 출력하는 유해 문서 판단부;를 포함하는 것을 특징 으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  13. 제 10 항에 있어서, 상기 동영상 분류 모듈은
    상기 송수신부로부터 입력되는 피투피 트래픽이 임시적으로 저장되는 임시저장 파일을 추출하는 임시저장 파일 추출부;
    상기 임시저장 파일 추출부에서 추출된 임시저장 파일의 동영상 일부를 복원하는 복원부;
    상기 복원부에서 복원된 동영상 일부에 대하여 정지 영상을 추출하는 정지 영상 추출부; 및
    상기 정지 영상 추출부에서 추출된 정지 영상을 통하여 소정 기준의 이미지라고 판단되는 경우에 유해 동영상 판단신호를 상기 제어부로 출력하는 유해 동영상 판단부;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  14. 제 13 항에 있어서, 상기 정지 영상 추출부는
    키 프레임 단위로 정지 영상을 추출하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  15. 제 13 항에 있어서, 상기 정지 영상 추출부는
    일정 시간 간격별로 정지 영상을 추출하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  16. 제 10 항에 있어서, 상기 이미지 분류 모듈은
    상기 송수신부로부터 입력되는 피투피 트래픽에서 피부 영역을 추출하는 피부 영역 추출부;
    상기 피부영역 추출부를 통하여 추출된 피부 영역에서 피부색이 임계치 이상 존재하는지 여부를 판단하는 기준 판단부;
    상기 기준 판단부로부터 피부색이 임계치 이상 존재하는 경우 상기 피부색 정보와 외형 정보를 통하여 이미지 분류를 수행하여 이미지 분류 신호를 생성하는 이미지 분류부; 및
    상기 이미지 분류 신호를 통하여 소정 기준의 이미지라고 판단되는 경우에 유해 이미지 판단신호를 상기 제어부로 출력하는 유해 이미지 판단부;를 포함하는 것을 특징으로 하는 네트워크의 유해 피투피 트래픽 선별 차단 장치.
  17. 제 1 항 내지 제 8 항 중 어느 한 항에 기재된 발명을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020040077730A 2004-09-30 2004-09-30 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치 KR100628306B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040077730A KR100628306B1 (ko) 2004-09-30 2004-09-30 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치
US11/014,556 US20060068806A1 (en) 2004-09-30 2004-12-15 Method and apparatus of selectively blocking harmful P2P traffic in network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040077730A KR100628306B1 (ko) 2004-09-30 2004-09-30 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20060028853A true KR20060028853A (ko) 2006-04-04
KR100628306B1 KR100628306B1 (ko) 2006-09-27

Family

ID=36099916

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040077730A KR100628306B1 (ko) 2004-09-30 2004-09-30 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치

Country Status (2)

Country Link
US (1) US20060068806A1 (ko)
KR (1) KR100628306B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100744562B1 (ko) * 2005-12-08 2007-08-01 한국전자통신연구원 P2p 트래픽 분류 시스템 및 그 분류 방법
KR100773416B1 (ko) * 2007-03-21 2007-11-05 (주)소만사 P2p 및 인스턴트 메신저의 네트워크 트래픽 제어 방법및 시스템
KR100826945B1 (ko) * 2006-04-21 2008-05-02 한국정보통신대학교 산학협력단 P2p 전자상거래를 위한 무계정 과금 처리 장치
WO2008082209A1 (en) * 2006-12-29 2008-07-10 Planty-Net Co., Ltd. Method for restricting use of harmful multimedia file
US8146133B2 (en) 2007-12-07 2012-03-27 Electronics And Telecommunications Research Institute Apparatus and method for managing P2P traffic
WO2020111692A1 (ko) * 2018-11-27 2020-06-04 삼성전자 주식회사 디스플레이 장치의 제어 방법 및 그에 따른 디스플레이 장치

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007050244A2 (en) 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
KR100670815B1 (ko) * 2005-12-08 2007-01-19 한국전자통신연구원 순차적 데이터 처리 기반의 유해 멀티미디어 서비스 차단장치 및 그 방법
KR100841737B1 (ko) * 2006-03-27 2008-06-27 주식회사 아라기술 인터넷 컨텐츠의 전송 관리 방법 및 시스템
US7646728B2 (en) * 2006-10-13 2010-01-12 SafeMedia Corp. Network monitoring and intellectual property protection device, system and method
US20080195664A1 (en) 2006-12-13 2008-08-14 Quickplay Media Inc. Automated Content Tag Processing for Mobile Media
US9571902B2 (en) 2006-12-13 2017-02-14 Quickplay Media Inc. Time synchronizing of distinct video and data feeds that are delivered in a single mobile IP data network compatible stream
US7996520B2 (en) * 2007-09-19 2011-08-09 Cisco Technology, Inc. Behavioral classification of communication sessions using active session initiation
US8510252B1 (en) * 2007-12-07 2013-08-13 Google, Inc. Classification of inappropriate video content using multi-scale features
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US20100145912A1 (en) * 2008-12-08 2010-06-10 At&T Intellectual Property I, L.P. Detecting peer to peer applications
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
US8510548B1 (en) 2010-09-24 2013-08-13 ReVera Networks Inc. Method and discovery system for discovering encrypted peer-to-peer (EP2P) nodes associated with a particular EP2P network
KR101496632B1 (ko) * 2010-11-04 2015-03-03 한국전자통신연구원 안심 콘텐츠 서비스를 위한 시스템 및 이를 위한 방법
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US9922190B2 (en) 2012-01-25 2018-03-20 Damballa, Inc. Method and system for detecting DGA-based malware
US10547674B2 (en) * 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
US10560362B2 (en) * 2014-11-25 2020-02-11 Fortinet, Inc. Application control
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
KR101890123B1 (ko) * 2018-02-23 2018-09-28 ㈜와치텍 네트워크 트래픽의 상호흐름 및 세부내용을 가시적으로 추적할 수 있는 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6308175B1 (en) * 1996-04-04 2001-10-23 Lycos, Inc. Integrated collaborative/content-based filter structure employing selectively shared, content-based profile data to evaluate information entities in a massive information network

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100744562B1 (ko) * 2005-12-08 2007-08-01 한국전자통신연구원 P2p 트래픽 분류 시스템 및 그 분류 방법
KR100826945B1 (ko) * 2006-04-21 2008-05-02 한국정보통신대학교 산학협력단 P2p 전자상거래를 위한 무계정 과금 처리 장치
WO2008082209A1 (en) * 2006-12-29 2008-07-10 Planty-Net Co., Ltd. Method for restricting use of harmful multimedia file
KR100773416B1 (ko) * 2007-03-21 2007-11-05 (주)소만사 P2p 및 인스턴트 메신저의 네트워크 트래픽 제어 방법및 시스템
US8146133B2 (en) 2007-12-07 2012-03-27 Electronics And Telecommunications Research Institute Apparatus and method for managing P2P traffic
WO2020111692A1 (ko) * 2018-11-27 2020-06-04 삼성전자 주식회사 디스플레이 장치의 제어 방법 및 그에 따른 디스플레이 장치
US11424996B2 (en) 2018-11-27 2022-08-23 Samsung Electronics Co., Ltd. Method for controlling display device, and display device according thereto

Also Published As

Publication number Publication date
KR100628306B1 (ko) 2006-09-27
US20060068806A1 (en) 2006-03-30

Similar Documents

Publication Publication Date Title
KR100628306B1 (ko) 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치
CN107547555B (zh) 一种网站安全监测方法及装置
Corona et al. Deltaphish: Detecting phishing webpages in compromised websites
KR101130357B1 (ko) 외부 데이터를 사용하는 검색 엔진 스팸 검출
EP1741223B1 (en) Method, apparatus and computer program for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN107547490B (zh) 一种扫描器识别方法、装置及系统
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和系统
CN109922065A (zh) 恶意网站快速识别方法
CN111488590A (zh) 一种基于用户行为可信分析的sql注入检测方法
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN113079150A (zh) 一种电力终端设备入侵检测方法
Thakur et al. An intelligent algorithmically generated domain detection system
CN112866278B (zh) 一种基于大数据的计算机网络信息安全防护系统
Deore et al. Intrusion detection system based on RNN classifier for feature reduction
CN113542252A (zh) Web攻击的检测方法、检测模型和检测装置
CN113946823A (zh) 一种基于url基线偏离度分析的sql注入检测方法及装置
Lee et al. Attacking logo-based phishing website detectors with adversarial perturbations
Chandrinos et al. Automatic web rating: Filtering obscene content on the web
CN113704772A (zh) 基于用户行为大数据挖掘的安全防护处理方法及系统
CN117478403A (zh) 一种全场景网络安全威胁关联分析方法及系统
CN116633672A (zh) 告警信息检测方法、装置、电子设备及存储介质
Sushma et al. Deep learning for phishing website detection
CN113824730A (zh) 一种攻击分析方法、装置、设备及存储介质
Sharathkumar et al. Phishing site detection using machine learning

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100901

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee