KR20070029919A - 미확인 트래픽을 분류하는 방법 및 그 시스템 - Google Patents

미확인 트래픽을 분류하는 방법 및 그 시스템 Download PDF

Info

Publication number
KR20070029919A
KR20070029919A KR1020050084559A KR20050084559A KR20070029919A KR 20070029919 A KR20070029919 A KR 20070029919A KR 1020050084559 A KR1020050084559 A KR 1020050084559A KR 20050084559 A KR20050084559 A KR 20050084559A KR 20070029919 A KR20070029919 A KR 20070029919A
Authority
KR
South Korea
Prior art keywords
packet
traffic
classification
port
protocol
Prior art date
Application number
KR1020050084559A
Other languages
English (en)
Inventor
최규민
이윤석
김영호
김윤관
김철
김수일
Original Assignee
플러스기술주식회사
주식회사 빌테크놀로지
하나로텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 플러스기술주식회사, 주식회사 빌테크놀로지, 하나로텔레콤 주식회사 filed Critical 플러스기술주식회사
Priority to KR1020050084559A priority Critical patent/KR20070029919A/ko
Publication of KR20070029919A publication Critical patent/KR20070029919A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 급격히 증가하는 인터넷상의 트래픽에서 그 성격을 구분할 수 없는 Un-known Traffic을 분류하는 방법 및 그 시스템에 관한 기술이다.
트래픽 분류, 트래픽 분석, 서비스 품질

Description

미확인 트래픽을 분류하는 방법 및 그 시스템 {The method and the system for Un-known traffic classification}
도 1은 본 발명에 따른 Un-known traffic을 분석하는 시스템의 실시 블록도이다.
본 발명은 급격히 증가하는 인터넷상의 트래픽에서 그 성격을 구분할 수 없는 Un-known traffic을 분류하는 방법과 그 시스템에 관한 기술이다.
최근에는 네트워크 사용자의 급격한 증가로 인해 많은 인터넷 응용 프로그램들이 개발되고 이를 이용한 이용도 급격히 증가하고 있는 추세이다.
하지만 한정된 네트워크 속도를 효율적으로 활용해야 하는 통신사업자 입장에서는 네트워크 사용자의 인터넷 트래픽 증가에 대해서 효율적인 대처를 할 필요성이 있다.
특히, 네트워크 사용자의 인터넷 트래픽을 분석하여 우선 순위를 주어 트래픽을 처리해 줄 필요성이 크게 증가하는 실정이다.
종래의 트래픽 분석 기법들은 IETF(Internet Engineering Task Force)에서 정의된 RFC(Request For Comments) 1700번(Assigned Numbers)을 기반으로 하여 TCP 또는 UDP상의 포트번호를 이용한 트래픽 분석을 해 오고 있었다.
이러한 포트번호를 Well-known 포트 번호라고 하고 이 Well-known 포트 번호에 속하는 트래픽을 Well-known Traffic이라고 정의했으며 Well-known Traffic에 속하지 않는 트래픽을 Un-known Traffic이라고 한다.
이러한 종래의 트래픽 분석 기법은 분석에 있어서 단순하고 고속으로 처리할 수 있다는 장점이 있는 반면 근래의 급속히 증가하는 인터넷 응용 프로그램들은 이러한 Well-known Port만을 사용하는 것이 아니라 Un-known 포트 번호를 많이 사용함으로 인해 분석률이 급격히 저하되는 문제점을 가지고 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 본 발명이 이루고자 하는 기술적 과제는, 기존에 Well-known Traffic 분류 기법에서 Un-known Traffic 분석을 하지 않아서 발생했던 문제점을 해결하여 Un-known Traffic의 양을 최소화시키기 위한 방법 및 그 시스템에 관한 기술이다.
상기 기술적 과제를 달성하기 위한 본 발명은 도 1에서와 같이 네트워크 사용자가 사용하고 있는 모든 트래픽을 모니터링 할 수 있는 환경에서 네트워크 사용자의 트래픽을 분석장치(10)와 외부 트래픽 추적장치(20)로 구성이 된다.
분석장치(10)는 네트워크 사용자에게 네트워크 사용자에게서 전송 또는 수신되는 패킷을 분석을 하여 패킷을 분류하는 기능과 분류 DB(140)에 속하지 않는 트 래픽을 상위 빈도수 대로 정리하여 외부 트래픽 추적장치(20)로 전송하는 기능을 담당한다.
즉, 분석장치(10)에 수신되는 패킷은 패킷 수신부(110)에서 수신이 되어서 패킷 분석부(120)에 전달이 된다. 패킷 분석부(120)는 네트워크 사용자에서 외부 사이트로 전송되는 패킷이라면 해당 패킷에서 소스 IP 및 목적지 IP, 목적지 포트를 분석하여 가입자 IP로 소스 IP를 선택하고 접속서버 IP로 목적지 IP, 접속 서버 포트로 목적지 포트를 정의한다.
만약 외부 사이트에서 네트워크 사용자에게 전송되는 패킷이라면 소스 IP 및 소스 포트, 목적지 IP를 분석하여 가입자 IP로 목적지 IP, 접속서버 IP로 소스 IP, 접속 서버 포트로 소스 포트를 선택하여 패킷 비교부(130)로 전송한다.
패킷 비교부(130)는 패킷 분석부(120)에서 전송받은 접속 서버 IP 및 접속 서버 포트를 기준으로 분류 DB(140)와 비교를 수행한다.
이때 분류 DB(140)는 IP 만으로 구성되거나 IP와 포트, 프로토콜로 구성이 되거나 포트, 프로토콜로 구성될 수 있으며 이들은 다양한 조합에 의한 경우의 수로 구성할 수 있다. 또한 각 항목마다 그 DB의 성격을 나타내는 분류 기준(웹, 게임, P2P등)이 들어 있다.
패킷 비교부(130)에서 분류 DB(140)와 비교를 할 때에는 접속 서버 IP만을 만족하는 것이 있는지, 접속 서버 포트, 프로토콜이 만족하는 것이 있는지, 접속 서버 IP 및 접속 서버 포트, 프로토콜 모두 만족하는 것이 있는지를 비교한다.
패킷 비교부(130)에서 분류 DB(140)와 비교를 해서 동일한 자료를 찾으면 가 입자 IP에 해당하는 분류 DB(140)에서 제공한 분류기준을 적용하고 관련 트래픽 증가값을 증가시켜서 트래픽 분류 작업을 수행한다.
만약 분류 DB(140)에서 동일한 자료가 없으면 Un-known 트래픽으로 Un-known트래픽 증가값을 증가시키고 접속 서버 IP 및 접속 서버 포트, 프로토콜 정보를Un-known 패킷 분석부(160)로 전송한다.
Un-known 패킷 분석부(160)는 전송받은 접속 서버 IP 및 접속 서버 포트, 프로토콜로 구성되는 트래픽 정보를 기준으로 패킷 발생 빈도를 증가시킨다. 이렇게 증가된 패킷 발생 빈도가 특정 임계치 이상으로 증가하게 되면 다수 Un-known 트래픽 발생 서버로 규정하여 외부 트래픽 추적장치(20)상의 Un-known 패킷 수신부(210)로 해당 트래픽 정보를 송신한다.
Un-known 패킷 수신부(210)는 수신된 접속 서버 IP 및 접속 서버 포트, 프로토콜 정보를 곧바로 상세 추적부(220)로 송신한다.
상세 추적부(220)는 사람의 시각 또는 별도의 패킷 추적/분석 프로그램 또는 시스템을 이용하여 접속 서버 IP 및 접속 서버 포트, 프로토콜 정보가 어떤 트래픽에 해당하는지(웹, 게임, P2P 등)을 확인하여 추적 완료 DB(230)에 저장한다.
추적 완료 DB(230)는 주기적으로 또는 실시간으로 신규 추가되거나 변경된 분류 기준, 접속 서버 IP 및 접속 서버 포트 번호를 분석 장치(10)상의 분류 DB(140)로 송신하여 패킷 비교부(130)가 고속으로 패킷 분류가 이루어질 수 있도록 한다.
상술한 바와 같이, 본 발명에 의한 Un-known Traffic을 분류하는 방법 및 그 시스템에 의하면 기존의 방식에 비해서 고속으로 트래픽을 분석 및 분류할 수 있게 되고, 특히, 가입자가 많이 발생시키지만 인터넷 표준상에 정의되어 있지 않던 트래픽을 별도의 제 3의 장치에서 추적을 해서 그 값을 고속으로 비교가 가능한 분류 DB에 저장해서 고속 비교가 가능하게 함으로 인해 우수한 트래픽 분석 자료를 제공받을 수 있다.

Claims (3)

  1. 가입자가 발생하거나 수신하는 모든 패킷을 수신할 수 있는 다수의 패킷 분석 장치 및 그 패킷 분석 장치에서 Un-known 트래픽으로 분류된 트래픽을 상세 추적할 수 있는 외부 트래픽 추적장치로 구성된 것을 특징으로 하는 미확인 트래픽 측정 시스템.
  2. 제 1항에 있어서,
    상기 패킷 분석 장치는 IP, IP+포트+프로토콜, 포트+프로토콜 조합 및 트래픽의 분류기준을 가지고 있는 분류 DB와 탭과, 포트 미러링과 같은 방법에 의해서 패킷을 수신하는 패킷 수신부와, 패킷 수신부에서 전송된 패킷을 분석하여 IP 및 포트, 프로토콜 정보를 추출하는 패킷 분석부와, 패킷 분석부의 결과를 분류 DB와 비교하여 패킷을 분류하는 패킷 비교부와, 분류된 패킷을 저장하는 Known 패킷 저장부와, 분류 DB에 속하지 않는 패킷을 별도로 추출하여 상위 빈도순으로 분석하고 이를 외부 트래픽 추적 장치상의 Un-known 패킷 수신부로 송신하는 Un-known 패킷 분석부로 구성된 것을 특징으로 하는 미확인 트래픽 측정 시스템.
  3. 제 1항에 있어서,
    상기 트래픽 추적 장치는 분석장치상의 Un-known 패킷 분석부에서 송신된 상위 빈도순의 Un-known 트래픽을 수신하는 Un-known 패킷 수신부 및 Un-known 패킷 수신부에서 전송된 IP 및 포트번호가 어떤 트래픽 분류 기준에 속하는지를 사람의 감각 또는 외부 패킷 분석 프로그램과 관련 프로그램을 이용하여 추적하는 상세추적부와, 추적 완료되어 전송된 IP 및 포트번호와 트래픽 분류 기준을 저장하고 주기적 또는 실시간으로 분석 장치상의 분류 DB로 전송하는 추적 완료 DB로 구성된 것을 특징으로 하는 미확인 트래픽 측정 시스템.
KR1020050084559A 2005-09-12 2005-09-12 미확인 트래픽을 분류하는 방법 및 그 시스템 KR20070029919A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050084559A KR20070029919A (ko) 2005-09-12 2005-09-12 미확인 트래픽을 분류하는 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050084559A KR20070029919A (ko) 2005-09-12 2005-09-12 미확인 트래픽을 분류하는 방법 및 그 시스템

Publications (1)

Publication Number Publication Date
KR20070029919A true KR20070029919A (ko) 2007-03-15

Family

ID=38101842

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050084559A KR20070029919A (ko) 2005-09-12 2005-09-12 미확인 트래픽을 분류하는 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR20070029919A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005856B1 (ko) * 2008-11-17 2011-01-05 한국과학기술원 전송 계층에서 트래픽을 분류하는 방법 및 장치
KR101005755B1 (ko) * 2008-09-18 2011-01-06 고려대학교 산학협력단 트래픽 분석을 위한 응용 관리장치 및 방법.

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005755B1 (ko) * 2008-09-18 2011-01-06 고려대학교 산학협력단 트래픽 분석을 위한 응용 관리장치 및 방법.
KR101005856B1 (ko) * 2008-11-17 2011-01-05 한국과학기술원 전송 계층에서 트래픽을 분류하는 방법 및 장치

Similar Documents

Publication Publication Date Title
Vekshin et al. Doh insight: Detecting dns over https by machine learning
US20200322237A1 (en) Traffic detection method and traffic detection device
Bujlow et al. A method for classification of network traffic based on C5. 0 Machine Learning Algorithm
US9769190B2 (en) Methods and apparatus to identify malicious activity in a network
Liu et al. Detecting DNS tunnel through binary-classification based on behavior features
US8111629B2 (en) Media session identification method for IP networks
JP4553315B2 (ja) パケット遅延から輻輳パスを分類する輻輳パス分類方法、管理装置及びプログラム
US20090182864A1 (en) Method and apparatus for fingerprinting systems and operating systems in a network
Lu et al. BotCop: An online botnet traffic classifier
CN106878314B (zh) 基于可信度的网络恶意行为检测方法
JP2006148686A (ja) 通信監視システム
Choi et al. Automated classifier generation for application-level mobile traffic identification
Pellegrino et al. Learning behavioral fingerprints from netflows using timed automata
Wang et al. Benchmark data for mobile app traffic research
Chang et al. Study on os fingerprinting and nat/tethering based on dns log analysis
Oudah et al. A novel features set for internet traffic classification using burstiness
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
JP2020022133A (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
CN111953552B (zh) 数据流的分类方法和报文转发设备
Richer Entropy-based detection of botnet command and control
KR20070029919A (ko) 미확인 트래픽을 분류하는 방법 및 그 시스템
Oudah et al. Using burstiness for network applications classification
CN114760216B (zh) 一种扫描探测事件确定方法、装置及电子设备
Shaman et al. User profiling based on application-level using network metadata
Shen et al. Passive fingerprinting for wireless devices: A multi-level decision approach

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application