KR20070061268A - P2p 트래픽 분류 시스템 및 그 분류 방법 - Google Patents

P2p 트래픽 분류 시스템 및 그 분류 방법 Download PDF

Info

Publication number
KR20070061268A
KR20070061268A KR1020060078796A KR20060078796A KR20070061268A KR 20070061268 A KR20070061268 A KR 20070061268A KR 1020060078796 A KR1020060078796 A KR 1020060078796A KR 20060078796 A KR20060078796 A KR 20060078796A KR 20070061268 A KR20070061268 A KR 20070061268A
Authority
KR
South Korea
Prior art keywords
packet
address
traffic
rule
field
Prior art date
Application number
KR1020060078796A
Other languages
English (en)
Other versions
KR100744562B1 (ko
Inventor
이병준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20070061268A publication Critical patent/KR20070061268A/ko
Application granted granted Critical
Publication of KR100744562B1 publication Critical patent/KR100744562B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 인터넷 트래픽(traffic)을 분석하여 P2P 응용에 의해 발생한 것으로 추정되는 트래픽만을 별도로 분류하여 저장하는 P2P x트래픽 분류 시스템 및 그 분류 방법을 제공한다. 그 P2P 트래픽 분류 시스템은 인터넷으로부터 트래픽을 검출하는 트래픽(traffic) 검출부; 트래픽 검출부에서 검출된 트래픽의 패킷으로부터 IP(internet protocol) 주소를 포함한 정보를 추출하는 IP 주소 추출부; IP 주소 추출부에서 추출한 정보를 바탕으로 규칙을 생성, 저장 및 관리하며, 트래픽 검출부에서 전송된 패킷에 규칙을 적용하는 규칙 관리부; 및 규칙 관리부의 지시에 따라 파일 시스템 내의 저장부에 패킷을 분류 저장하는 파일 관리부;를 포함하고, 검출된 트래픽 중에서 P2P(peer-to-peer) 응용 프로그램에 의해 발생되는 트래픽을 분류 및 저장한다.
인터넷 트래픽, P2P(peer-to-peer), 분류

Description

P2P 트래픽 분류 시스템 및 그 분류 방법{System and method for classifying peer-to-peer(P2P) traffic from internet traffic}
도 1은 본 발명의 일 실시예에 따른 P2P 트래픽 분류 시스템을 개략적으로 보여주는 블럭도이다.
도 2a 및 2b는 도 1의 IP 주소 추출부의 동작 과정을 설명하기 위한 흐름도들이다.
도 3a 및 3b는 도 1의 IP 주소 추출부에서 이용하는 제1 및 제2 테이블을 예시적으로 보여주는 표들이다.
도 4는 도 1의 규칙 관리자가 관리하는 규칙의 형태를 설명하기 위한 설명도이다.
<도면의 주요부분에 대한 설명>
100:P2P 트래픽 분류 시스템 110:트래픽 검출부
120:IP 주소 추출부 130:규칙 관리부
140:파일 관리부 150:파일 시스템
200:인터넷 310:WC 규칙
320:WS 규칙 330:CC 규칙
340:CS 규칙 350:QC 규칙
360:QS 규칙 370:DC 규칙
380:DS 규칙
본 발명은 인터넷 통신에 관한 발명으로서, 특히 인터넷 통신 중 발생하는 트래픽들 중 P2P 응용 프로그램에 의해 발생한 것으로 추정되는 인터넷 트래픽만을 별도 분류하여 저장하는 시스템과 그 방법에 관한 것이다.
인터넷 트래픽이라 함은 인터넷을 통해 전송되는 데이터들 또는 데이터 전송량을 일컫는 것이다. 한편, P2P(Peer-To-Peer) 응용 프로그램은 파일의 공유를 목적으로 인터넷 사용자들이 사용하는 프로그램을 지칭하는 것으로, 대표적인 것으로는 넵스터(Napter), 이동키(e-Donkey), 프루나(Pruna), 카자(Kazza), 그누텔라(Gnutella) 등이 있다.
P2P 응용 프로그램은 그 통신 프로토콜에 따라 중앙 집중식 서버형 P2P(Centralized-Server based P2P), 서번트 기반 P2P(Servant-based P2P), 웹 포탈 기반 P2P(Web Portal-based P2P) 등으로 나누어 볼 수 있다. 중앙 집중식 서버형 P2P 응용 프로그램은 인터넷 사용자가 P2P 응용 프로그램을 통해 파일을 공유하려고 할 때 반드시 인터넷 망에 존재하는 P2P 서버의 중재작업이 요구되는 P2P 응용 프로그램을 지칭하는 것으로서, P2P 서버가 정상동작하지 않을 경우, 해당 P2P 응용 프로그램을 통해 파일을 공유하는 것은 불가능하다. 반면 서번트 기반 P2P 응 용 프로그램은 중앙에 하나의 P2P 서버를 두는 대신, P2P 응용 프로그램들이 각각 서버 역할을 분담하여 담당할 수 있도록 하고 있다. 따라서 인터넷 사용자가 P2P 응용 프로그램을 시작하면 주변에 P2P 사용자, 즉 서번트 기반 P2P 사용자가 있는지 탐색하는 과정을 거치게 된다.
한편, 웹 포탈 기반 P2P는 파일 공유를 위한 웹 서버가 인터넷 상에 존재하고, 파일을 공유하려면 해당 웹 서버에 로그인하여 해당 웹 서버를 통해 파일을 공유하여야 하는 시스템을 지칭한다. 이러한 시스템의 경우 중앙 집중식 서버형 P2P 응용 프로그램과 유사한 구동방식을 가지나, 실제 파일 공유 과정은 서번트 기반 P2P 응용 프로그램과 유사한 경우가 많다.
최근 인터넷 트래픽 중 상당량이 P2P(Peer-To-Peer) 응용 프로그램에 의해 발생하고 있다는 것은 주지의 사실이다. 이러한 응용 프로그램들은 인터넷을 사용하는 사용자들이 다양한 종류의 파일을 공유하기 위해서 개발된 것으로서, 냅스터(Napster)라는 MP3 파일 공유 P2P 응용 프로그램이 최초로 개발되어 인터넷에 소개된 이후 급속도로 발전되어 왔으며, 최근에는 이러한 P2P 응용 프로그램과 그 동작 원리에 대한 많은 논문이 발표되고 있는 실정이다. P2P 응용 프로그램이 각별한 관심의 대상이 되는 것은, P2P 프로그램이 파일 공유를 목적으로 발생시키는 트래픽이 대용량이기 때문에 인터넷 대역폭의 상당량을 소모하기 때문이다.
따라서, 인터넷 망을 관리하고 있는 사업자들로서는 P2P 응용 프로그램이 발생시키는 대용량의 인터넷 트래픽을 적절히 통제하여야 인터넷 망의 효율적인 운영이 가능하기 때문에, 인터넷 트래픽으로부터 P2P 응용에 의해 발생한 것으로 추정 되는 트래픽을 효과적으로 분류해 낼 수 있는 방법을 요구하게 된다.
이러한 요구사항을 만족시키기 위해서 일반적으로 채택되고 있는 방법 중 하나는, 인터넷 패킷(packet)의 자료부(payload)에 특정한 시그너춰(signature)가 포함되어 있는지를 살피는 것이다. 이 방법의 장점은 특정한 P2P 응용이 사용하고 있는 시그너춰의 집합을 알고 있을 경우, 해당 P2P 응용에 의해 발생한 트래픽을 정확하게 탐지해 낼 수 있다는 점에 있다. 하지만, 이 방법을 사용하려면 인터넷 상에서 사용되고 있는 모든 P2P 응용 프로그램을 전부 분석하여 그 시그너춰 집합을 미리 찾아 놓아야만 한다는 문제가 있다.
그 기술적 진화가 매우 빠르게 이루어지는 인터넷의 특성상, 그러한 분석 작업은 현실적으로 불가능하다. 따라서, 시그너춰에 의한 P2P 트래픽 탐지가 의미가 있으려면, P2P 응용 프로그램에 대한 별도의 지식 없이도, P2P 응용 프로그램에 의해 발생한 것으로 추정되는 트래픽을 선별하여 저장하는 능력을 가진 시스템의 존재가 필수적으로 선행되어야 한다. 그에 따라, 미리 선별된 트래픽으로부터 시그너춰를 생성하는 작업이 비교적 간단해 질 수 있다.
따라서, 본 발명이 이루고자 하는 기술적 과제는, 인터넷 트래픽(traffic)을 분석하여 P2P 응용에 의해 발생한 것으로 추정되는 트래픽만을 별도로 분류하여 저장하는 P2P 트래픽 분류 시스템 및 그 분류 방법을 제공하는 데에 있다.
상기 기술적 과제를 달성하기 위하여, 본 발명은 인터넷으로부터 트래픽을 검출하는 트래픽(traffic) 검출부; 상기 트래픽 검출부에서 검출된 트래픽의 패킷으로부터 IP(internet protocol) 주소를 포함한 정보를 추출하는 IP 주소 추출부; 상기 IP 주소 추출부에서 추출한 정보를 바탕으로 규칙을 생성, 저장 및 관리하며, 상기 트래픽 검출부에서 전송된 패킷에 상기 규칙을 적용하는 규칙 관리부; 및 상기 규칙 관리부의 지시에 따라 파일 시스템 내의 저장부에 상기 패킷을 분류 저장하는 파일 관리부;를 포함하고, 상기 검출된 트래픽 중에서 P2P(peer-to-peer) 응용 프로그램에 의해 발생되는 트래픽을 분류 및 저장하는 P2P(peer-to-peer) 트래픽 분류 시스템을 제공한다.
본 발명에 있어서, 상기 IP 주소 추출부는 교환을 탐지하기 위한 제1 테이블 및 상기 IP 주소 검색 행위를 탐지하기 위한 제2 테이블을 이용하여 상기 트래픽으로부터 SYN(synchronize sequence number) 패킷 교환, IP 주소 검색, 또는 P2P 웹 포탈 사이트로의 접속을 시도하는 IP 주소들을 찾아낼 수 있다. 상기 SYN 패킷이 교환, 상기 IP 주소 검색 행위 또는 상기 P2P 웹 포탈 사이트로의 접속이 탐지된 경우에 그 정보가 상기 규칙 관리부로 전달될 수 있다.
상기 제1 테이블은, 송신자 IP 주소를 저장할 필드, 수신자 IP 주소를 저장할 필드, 송신자 포트(port) 번호를 저장할 필드, 수신자 포트 번호를 저장할 필드, 및 패킷 수집 시각을 저장할 필드를 포함할 수 있고, 상기 제2 테이블은, 송신자 IP 주소를 저장할 필드, 프로토콜을 저장할 필드, 수신자 포트 번호를 저장할 필드, 목적지 IP주소 집합을 저장할 필드, 응답자 IP 주소 집합을 저장할 필드 및 최초 패킷 수집 시각을 저장할 필드를 포함할 수 있다.
상기 규칙 관리부는 상기 IP 주소 추출부가 전달한 정보를 바탕으로 규칙을 생성하고, 상기 트래픽 검출부에 의해 검출된 패킷에 적용 가능한 상기 규칙을 탐색하고, 상기 적용가능한 규칙을 실행하여 상기 파일 관리부로 하여금 상기 패킷을 분류 및 저장하도록 할 수 있다. 이때, 상기 규칙은 조건문과 실행문으로 구성되며, 상기 조건문이 참일 경우 실행문을 실행하여 상기 파일 관리부로 하여금 상기 패킷을 분류 및 저장하도록 할 수 있다.
본 발명은 또한 상기 기술적 과제를 달성하기 위하여, 트래픽 검출부에서 인터넷으로부터 트래픽을 검출하는 단계; IP 주소 추출부에서 상기 검출된 트래픽의 패킷을 분석하고 상기 패킷에 대한 IP 주소를 포함한 정보를 추출하는 단계; 규칙 관리부에서 상기 패킷에 대한 정보를 바탕으로 P2P 트래픽 식별 규칙을 생성하거나 상기 검출된 트래픽에 상기 식별 규칙을 적용하는 단계; 및 파일 관리부에서 상기 식별 규칙을 통해 검색된 P2P 트래픽에 해당하는 패킷을 분류 및 저장하는 단계;를 포함하는 P2P 트래픽 분류 방법을 제공한다.
본 발명에 있어서, 상기 트래픽의 검출은 인터넷 양방향 회선으로부터 동시에 트래픽을 수집할 수 있고, 상기 IP 주소는 SYN 패킷 교환이나 IP 주소 검색 행위 또는 P2P 웹 포탈 사이트로의 접속을 시도하는 IP 주소들일 수 있다.
상기 분석 및 정보 추출 단계는 SYN 패킷 교환을 탐지하기 위한 제1 테이블 및 IP 주소 검색 행위를 탐지하기 위한 제2 테이블에 패킷에 대한 정보를 채우는 단계를 포함할 수 있다. 또한, 상기 분석 및 정보 추출 단계는 상기 검출된 트래픽의 패킷이 TCP 패킷인지 판단하는 단계; 상기 패킷이 TCP 패킷인 경우 SYN 패킷인 지 판단하는 단계; 상기 패킷이 SYN 패킷인 경우 P2P 웹 포탈 사이트로의 접속인지 판단하는 단계; 및 상기 패킷이 웹 포탈 사이트로의 접속인 경우 상기 패킷이 웹 포탈 사이트에 대한 최소 접속임을 상기 규칙 관리부에 전달하고 상기 패킷에 대한 처리를 종료하는 단계;를 포함할 수 있다.
상기 패킷이 P2P 웹 포탈 사이트로의 접속이 아닌 경우는 상기 제1 테이블을 이용하여 일정 시간 내에 역방향 SYN 패킷을 검색하는 단계; 상기 역방향 SYN 패킷이 검색된 경우 상기 역방향 SYN 패킷에 대한 정보를 상기 규칙 관리부에 전달하고 상기 패킷에 대한 처리를 종료하는 단계;를 포함할 수 있다.
또한, 상기 패킷이 TCP 패킷이 아니거나 SYN 패킷이 아닌 경우, 또는 역방향 SYN 패킷이 검색되지 않아 상기 제1 테이블에 상기 SYN 패킷 발생을 기록한 경우는, 상기 패킷에 대한 정보를 이용하여 상기 제2 테이블을 검색하는 단계; 상기 제2 테이블에 검색된 레코드가 존재하는 경우, 상기 제2 테이블의 목적지 IP주소 집합을 저장할 제1 필드에 상기 패킷의 수신자 IP 주소를 추가하는 단계; 상기 패킷에 대한 역방향 정보를 이용하여 상기 제2 테이블을 재검색하는 단계; 상기 재검색을 통해 상기 제2 테이블에 검색된 레코드가 존재하는 경우, 상기 제2 테이블의 응답자 IP 주소 집합을 저장할 제2 필드에 상기 패킷의 송신자 IP 주소를 추가하는 단계; 변수 A에 상기 제2 필드에 저장된 응답자 IP 주소의 집합 크기를 할당하고 변수 B에 상기 제1 필드에 저장된 목적지 IP주소 집합의 크기를 할당하여, A > 0이고 B > A x 10 인가를 판단하는 단계; 및 상기 식을 만족하는 경우 상기 제2 테이블의 필드에 저장된 정보를 상기 규칙 관리부에 전달하고 상기 패킷에 대한 처리를 종료하는 단계;를 포함할 수 있다.
상기 재검색 결과가 없거나, 상기 식을 만족하지 못한 경우에 상기 패킷에 대한 처리를 종료하고, 상기 검색 결과가 없는 경우에 상기 제2 테이블에 새 항목을 추가하고 상기 패킷의 수신자 IP 주소를 초기값으로 저장할 수 있다.
본 발명의 P2P 트래픽 분류 시스템은 인터넷 트래픽 중 P2P 응용 프로그램에 의해 발생한 것으로 추정되는 트래픽만을 별도로 분류하여, 그 트래픽이 갖는 특성을 분석할 수 있으므로, 인터넷 망에서 실제 사용되고 있는 P2P 응용 프로그램의 종류나 가짓수를 미리 모르더라도, P2P 응용에 대한 분석 작업을 가능하게 한다.
이하에서는 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 이하의 설명에서 인용되는 각 도면들은 발명에 대한 설명의 편의 및 명확성을 위하여 과장되었고, 설명과 관계없는 부분은 생략되었다. 도면상에서 동일 부호는 동일한 요소를 지칭한다. 한편, 사용되는 용어들은 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다.
도 1은 본 발명의 일 실시예에 따른 P2P 트래픽 분류 시스템을 개략적으로 보여주는 블럭도이다.
도 1을 참조하면, 상기 P2P 트래픽 분류 시스템(100)은 트래픽 검출부(110), IP 주소 추출부(120), 규칙 관리부(130), 파일 관리부(140), 및 파일 관리부(140)에 연결된 파일 시스템(150)을 포함한다. 트래픽 검출부(110)는 외부 인터넷(200) 망과 연결되어 있다.
먼저, 트래픽 검출부(110)는 인터넷 트래픽 검출을 위한 하드웨어 또는 소프트웨어를 사용하여 인터넷(200)으로부터 트래픽을 검출한다. 이때, 트래픽 검출부(110)는 인터넷 양방향 회선으로부터 동시에 트래픽을 수집하여야 하며, 패킷 하나가 수집될 때마다 해당 패킷은 IP 주소 추출부(120) 및 규칙 관리부(130)에 전달된다.
IP 주소 추출부(120)는 패킷 하나가 전달될 때마다 해당 패킷을 분석하여 P2P 응용 프로그램이 설치된 것으로 추정되는 사용자의 IP 주소, 및 P2P 서버나 P2P 서번트(Servant)가 설치된 것으로 의심되는 IP 주소, P2P 웹 포탈로 접속을 시도하는 IP 주소 등을 식별한다. 이러한 IP 주소는 식별이 완료될 때까지 별도의 테이블에 저장되었다가, 식별이 완료되면 규칙 관리부(130)로 전달된다.
규칙 관리부(130)는 IP 주소가 전달되면 해당 IP 주소에 대하여 P2P 트래픽 식별 규칙을 만들어 내부적으로 저장한다. 또한, 트래픽 검출부(110)로부터 전달된 패킷이 상기 식별 규칙에 해당되는 경우, 파일 관리부(140)를 호출하여 해당 패킷을 파일 시스템(150) 상의 지정된 디렉터리에 분류, 저장하도록 지시한다.
파일 관리부(140)는 규칙 관리부의 패킷 저장 명령을 실제로 수행하여 트래픽 검출부가 검출한 트래픽 중 P2P 응용 프로그램에 의해 발생한 것으로 추정되는 패킷들을 파일 시스템(150) 상에 저장하는 역할을 담당한다.
도 2a 및 2b는 도 1의 IP 주소 추출부의 동작 과정을 구체적으로 설명하기 위한 흐름도들이다.
도 2a를 참조하면, 분석해야 할 패킷이 트래픽 검출부(110)로부터 IP 주소 추출부(120)에 도착하면, IP 주소 추출부(120)는 먼저 해당 패킷이 TCP(Transmission Control Protocol) 패킷인지를 판단한다(A100). TCP 패킷이 아닌 경우에는 제2 테이블을 이용한 분석 작업을 전개할 필요가 있다(A). 이에 대한 내용은 도 2b에서 설명한다. TCP 패킷인 경우에는 SYN(synchronize sequence number) 패킷인지를 판단한 후(A200), SYN 패킷인 경우에는 P2P 웹 포탈 사이트로의 접속인지를 판단한다(A300). P2P 웹 포탈 사이트로의 접속인지를 판단하기 위해, P2P 트래픽 분류 시스템(100)은 P2P 웹 포탈 사이트의 주소 목록을 내부적으로 유지하고 있어야만 한다.
웹 포탈 사이트에 대한 접속인 경우, 해당 패킷이 웹 포탈에 대한 최초 접속임을 규칙 관리부에 알린다(A400). 이때 패킷이 수집된 시각에 대한 정보도 함께 전송되어야 한다. 웹 포탈 사이트에 대한 접속이 아닐 경우, 해당 패킷의 역방향으로 전송된 패킷이 제1 테이블에 기록되어 있는지 살펴본다(A500). 이때 주의할 것은, 제1 테이블에 기록된 역방향 패킷 정보를 검색할 때, 상기한 도착 패킷의 수집 시각으로부터 10초 이내에 발생한 역방향 SYN 패킷을 찾아야 한다는 사실이다.
상기의 패킷이 역방향 SYN 패킷이 발생한 후 10초 이후에 발생한 패킷이라면, 두 패킷 간에 연관관계가 있을 확률이 낮다고 볼 수 있다. 10초라는 시간은 다른 값으로도 설정될 수 있음은 물론이나, 달리 설정되지 아니한 경우 기본값으로 10초를 사용한다. 상기의 조건을 만족하는 역방향 SYN 패킷이 검색된 경우, 해당 역방향 SYN 패킷의 정보를 규칙 관리부에 넘긴다(A600). 이때, 역방향 SYN 패킷의 정보는 역방향으로 전송되는 송신자 IP 주소, 수신자 IP 주소, 송신자 포트 번호, 수신자 포트 번호, 역방향 패킷의 수집 시각 등이 될 수 있다. 역방향 SYN 패킷이 검색되지 아니한 경우에는 제1 테이블에 SYN 패킷이 발생하였음을 그 수집 시각과 함께 기록한다(A700).
역방향 SYN 패킷의 검색(A500)에서부터의 과정은 중앙 집중식 P2P 응용 프로그램을 사용하는 사용자의 IP 주소를 찾아내기 위한 것이다. 일반적으로, 통상의 중앙 집중식 P2P 응용 프로그램의 경우, 사용자가 P2P 서버에 TCP 프로토콜을 통해 접속하면, 해당 사용자로부터 다른 사용자가 파일을 전송받을 수 있는지를 알아보기 위해 P2P 서버가 해당 사용자가 사용하는 특정 포트로 역방향 연결을 시도한다. 즉, P2P 사용자가 서버에 접속하면 그 순간에 SYN 패킷이 교환된다. 따라서, 역방향 SYN 패킷 검색(A500)의 과정은 그러한 SYN 패킷의 교환을 탐지하여 P2P 응용 프로그램이 시작되는 것을 알아내기 위한 것이다.
도 2b를 참조하면, 트래픽 검출부(110)로부터 패킷이 도착한 후, 패킷이 TCP 패킷이 아니거나(A), SYN 패킷이 아닌 경우(A), 또는 역방향 SYN 패킷이 검색되지 않아 제1 테이블에 SYN 패킷 발생을 기록한(A700) 경우(A)에, 해당 패킷의 송신자 IP 주소, 프로토콜, 수신자 포트 번호를 키(key)로 하여 제2 테이블을 검사한다(B100). 검색 결과를 판단한(B200) 후, 검색 결과로 찾아진 레코드가 존재하는 경우, 제2 테이블의 한 필드인 목적지 IP주소 집합에, 상기의 도착 패킷의 수신자 IP 주소를 추가한다(B300). 검색 결과로 찾아진 레코드가 없는 경우에는 제2 테이블에 새 항목을 추가한다(B400b). 이때 추가되는 레코드의 필드 중 목적지 IP주소 집합에는 상기의 도착 패킷의 수신자 IP 주소가 초기값으로 저장된다.
상기의 과정이 끝난 뒤에는 도착 패킷의 정보를 역방향으로 사용해서 제2 테이블을 재검색한다. 다시 말해, 상기의 도착 패킷의 역방향으로 수신자 IP 주소, 프로토콜, 송신자 포트 번호를 키(key)로 하여 제2 테이블을 검사하는 것이다(B400). 검색 결과가 있는 경우(B500), 제2 테이블의 필드 중 하나인 응답자 IP 주소 집합에 상기 도착 패킷의 역방향의 송신자 IP 주소를 추가한다(B600). 검색 결과가 없는 경우에는 상기의 도착 패킷 처리를 종료한다.
그 후, 제2 테이블의 응답자 IP 주소 집합의 크기를 변수 A에, 제2 테이블의 목적지 IP주소 집합의 크기를 변수 B에 저장한다(B700). 두 변수 A와 B의 관계식이 'A > 0이고, B > A * 10'의 식을 만족할 경우(B800), 검색된 레코드에 저장된 정보를 규칙 관리부에 넘긴다. 즉, 송신자 IP 주소, 프로토콜, 목적지 포트 번호, 목적지 IP주소 집합, 응답자 IP 주소 집합, 수집 시각을 규칙 관리부에 넘긴다. 상기의 부등식을 만족하지 못하는 경우에는 바로 패킷 처리를 종료한다.
이상의 과정(B100~B900)은 서번트(Servant) 기반 P2P 응용 프로그램이 구동 초기에 인접한 P2P 서번트들을 탐색하는 과정에 착안한 것으로, 구동된 P2P 응용 프로그램이 서번트로 생각되는 인접 IP 주소들의 특정 포트에 확인 패킷을 전송하며, 해당 패킷에 대한 실제 응답률, 즉 해당 포트로 접속할 수 있음을 알리는 응답 패킷이 실제로 전송되는 비율은 비교적 낮다는 점에 착안한 것이다. 본 실시예에서는 응답률 10 % 이하를 상정하고 상기 부등식에 10이라는 상수를 사용하였으나, 시스템(100) 구동 시에 10 대신 다른 값이 설정될 수도 있음은 물론이다. 별도로 설정되지 아니한 경우, 기본값으로 10을 사용한다.
도 3a 및 3b는 도 1의 IP 주소 추출부에서 이용하는 제1 및 제2 테이블을 예시적으로 보여주는 표들이다.
도 3a를 참조하면, 제1 테이블은 송신자 IP 주소 저장 필드, 수신자 IP 저장 필드, 송신자 포트 번호 저장 필드, 수신자 포트 번호 저장 필드 및 패킷 수집 시간 저장 필드로 구성된다. 이러한 제1 테이블은 처음 패킷이 수집될 때, IP 주소 추출부(120)를 통해 작성되고, 그 후에는 검색용으로 사용되며, 새로운 패킷이 검출된 경우 업데이트 되게 된다.
도 3b를 참조하면, 제2 테이블은 송신자 IP 주소를 저장할 필드, 프로토콜을 저장할 필드, 수신자 포트 번호를 저장할 필드, 목적지 IP주소 집합을 저장할 필드, 응답자 IP 주소 집합을 저장할 필드, 및 최초 패킷 수집 시각을 저장할 필드로 구성된다. 제2 테이블 역시 IP 주소 추출부(120)를 통해 작성, 검색, 및 업데이트 되는데, 전술한 바와 같이 서번트 기반 P2P 응용 프로그램에 의해 발생되는 트래픽을 검출하기 위해 이용된다. 한편, 제2 테이블의 '목적지 IP 주소 집합 저장 필드'와 '응답자 IP 주소 집합 저장 필드'에 일반적인 숫자가 쓰여져 있는데, 이는 상기의 부등식의 적용을 쉽게 이해하도록 각각의 필드에 속하는 IP 주소들의 개수를 적어놓은 것이다. 그러나 전술한 바와 같이, 해당 필드에 각 필드에 속하는 수신자 IP 주소들 및 역방향의 송신자 IP 주소들이 입력되고, 그 집합의 크기가 비교된다.
도 4는 도 1의 규칙 관리자가 관리하는 규칙의 형태를 설명하기 위한 설명도이다. 이하에서는, 이해의 편의를 위해 도 1 및 도 2를 인용하여 설명한다.
도 4를 참조하면, 규칙 관리부로 전달된 패킷 정보를 사용하여 만들어지는 규칙은, 어떤 정보가 전달되었는가에 따라 달라진다. 다만, 그 규칙의 구조는 동일한데, 조건문(CONDITIONAL)과, 해당 조건문이 표현하는 조건을 만족하는 패킷이 검출되었을 경우 수행되는 명령문(ACTION)의 두 가지 부분으로 구성된다. 조건문은 IF ( ... ) 의 문법에 의해 표현되며, 명령문은 { ... }안에 들어오는 실행문에 의해 표현된다. 유의할 것은, 상기 구조를 구현할 때 반드시 이러한 문법에 따라 구현할 필요는 없다는 사실이다. 상기 형식이 표현하고자 하는 기능을 실질적으로 구현할 수 있는 방법이라면, 어떠한 방법에 의해 구현되더라도 무방하다.
각 부분을 검출된 P2P 트래픽의 형식에 관계하여 설명하면, 규칙 관리부에 전달된 정보가 웹 포탈 사이트로의 최초 접속 정보에 해당하는 경우(A400), WC 규칙(310), WS 규칙(320), DC 규칙(370), DS 규칙(380) 등이 만들어진다. WC 규칙(310)은 웹 포탈 사이트로 전송되는 패킷을 식별하기 위한 규칙이며, WS 규칙(320)은 그 역방향 패킷들을 식별하기 위한 규칙이다.
이 규칙들이 실제로 규칙 관리부 내부에 저장될 때에는, 규칙의 x 위치에는 송신자 주소, 즉 웹 포탈 사이트로 접속을 시도한 사용자의 IP 주소, y 위치에는 수신자 주소, 즉 웹 포탈 사이트의 IP 주소가 입력되고, z 위치에는 해당 웹 포탈 사이트로 최초 접속을 시도한 패킷의 수집 시각이 대입되어 저장된다.
각 규칙은 IF( ... ) 의 소괄호 안의 조건문을 판단하고, 조건에 해당하는 경우, { ... }의 중괄호 안의 명령문을 실행하는 형식으로 되어 있다. 명령문은 파일 관리부(140)에 대한 명령문이다. 즉, 상기 규칙은 일단 규칙 관리부(130)에 생성 및 저장되지만, 검출된 트래픽들이 조건을 만족한 경우 파일 관리부(140)가 이 명령문을 수행하여 파일 시스템(150) 상의 디렉터리 내에 패킷을 분류, 저장한다.
도면에 예시된 WC 규칙(310)을 예로 들어 좀더 상세히 설명하면, 조건문은 패킷의 프로토콜이 TCP 패킷 프로토콜인가와 패킷의 수신자 주소 및 수신자 포트를 확인한다. 이때, 80은 일반적으로 사용되고 있는 웹서버 포트 번호이다. 한편, '>='은 최소 패킷 수집 시각(y)보다 이후에 검출된 패킷에 대하여 패킷처리를 수행함을 의미한다. 위와 같은 조건이 모두 만족된 경우, 파일 관리부(140)에 의해 파일 시스템(150)의 /P2P/x/ 디렉토리 상의 'WC.genesis' 파일에 해당 패킷에 대한 정보가 저장되게 된다. 그 외 나머지 규칙들로 비슷한 형식으로 수행된다.
한편, DC 규칙(370)은 P2P 사용자가 웹 포탈 사이트의 IP 주소 이외의 주소를 갖는 P2P 사용자 측으로 전송하는 트래픽을 식별하기 위한 것이며, DS 규칙(380)은 그 역방향 트래픽을 식별하기 위한 것이다. 상기 규칙이 실제로 규칙 관리부 내부에 저장될 때에는, 규칙의 x위치에는 상기 웹 포탈 사이트로 최초 접속을 시도한 패킷의 송신자 측 IP 주소가 대입되고, y 위치에는 상기 패킷이 수집된 시각이 대입되며, z위치에는 웹 포탈 사이트의 IP 주소가 대입된 후에 저장된다.
규칙 관리부로 전달된 패킷 정보가 역방향 SYN 패킷에 대한 정보인 경우(A600), CC 규칙(330), CS 규칙(340), DC 규칙(370), 및 DS 규칙(380) 등이 만들어진다. CC 규칙(330)은 중앙 집중식 P2P 서버로 전송되는 패킷을 식별하기 위한 규칙이며, CS 규칙(340)은 그 역방향 패킷들을 식별하기 위한 규칙이다.
상기 두 규칙이 실제로 규칙 관리부 내부에 저장될 때에는, x위치에는 상기 최초 SYN 패킷의 송신자 IP 주소가 대입되고, y위치에는 상기 SYN 패킷의 수신자 IP 주소가 대입되며, z위치에는 상기 최초 SYN 패킷이 수집된 시각이 대입되고, p위치에는 최초 SYN 패킷의 수신자 포트 번호가 대입된 뒤에 저장된다.
DC 규칙(370)과 DS 규칙(380)의 의미는 앞서 설명한 바와 비슷하며, 그 형식도 같다. 즉, P2P 서버의 IP 주소 이외의 주소를 갖는 P2P 사용자 측으로 전송하는 트래픽을 식별하기 위한 규칙이 DC 규칙(370)이며, 그 역방향 트래픽을 식별하기 위한 규칙이 DS 규칙(380)이다.
상기 두 규칙이 실제로 규칙 관리부(130) 내부에 저장될 때에는, x 위치에는 상기 최초 SYN 패킷의 송신자 IP 주소가 대입되고, y 위치에는 상기 최초 패킷의 수집 시각이 대입되고, z위치에는 6_p의 문자열이 저장되는데, 이때 p 자리에는 상기 최초 SYN 패킷의 수신자 포트 번호가 대입된 후에 저장된다.
규칙 관리부(130)로 전달된 패킷 정보가 인접 IP 탐색 정보에 상응하는 경우(B900)에는 QC 규칙(350), QS 규칙(360), DC 규칙(370), 및 DS 규칙(380) 등이 만들어진다. 이 경우, 규칙 관리부(130)로 상기 제2 테이블의 레코드 하나가 전달된다. QC 규칙(350)은 인접한 서번트로 전송되는 패킷을 식별하기 위한 규칙이며, QS 규칙(360)은 그 역방향 패킷들을 식별하기 위한 규칙이다. 상기 제2 테이블의 레코드에는‘목적지 IP 주소 집합’과 ‘응답지 IP 주소 집합’의 두 부분이 포함되어 있으므로, 해당 정보들을 이용하여 QC 규칙(350)과 QS 규칙(360)을 생성한다.
즉, QC 규칙(350)을 생성하여 규칙 관리부(130)에 저장할 때에는, ‘목적지 IP 주소 집합’내의 모든 IP 주소 y에 대해서 하나씩의 QC 규칙(350) 및 QS 규 칙(360)을 생성하여야 한다. 다시 말해서, QC 규칙(350)의 x에는 규칙 관리부(130)가 수신한 레코드 내에 포함된 송신자 IP 주소를 대입하고, y 에는 '목적지 IP 주소 집합'에 기록된 IP 주소 중 하나를 대입하며, z 자리에는 레코드에 저장된 최초 패킷 정보에 수집 시각을 대입하고, p 자리에는 상기 레코드에 포함된 수신자 포트 번호를 대입한다. QS 규칙(360)에 대해서도 마찬가지이나, y 자리에 ‘목적지 IP 주소 집합’내의 IP 주소들을 대입하는 것이 아니라, ‘응답지 IP 주소 집합’내의 IP 주소들을 대입해야 한다는 점만 다르다.
DC 규칙(370)과 DS 규칙(380)의 의미는 앞서 설명한 바와 비슷하며, 그 형식도 같다. 즉, 서번트들의 IP 주소들 이외의 주소를 갖는 P2P 사용자 측으로 전송하는 트래픽을 식별하기 위한 규칙이 DC 규칙(370)이며, 그 역방향 트래픽을 식별하기 위한 규칙이 DS 규칙(380)이다.
상기 두 규칙이 실제로 규칙 관리부 내부에 저장될 때에는, x 위치에는 규칙 관리부가 수신한 상기 레코드에 포함된 송신자 IP 주소가 대입되고, y 위치에는 규칙 관리부가 수신한 상기 레코드에 포함된 수집 시각이 대입되고, z위치에는 6_p의 문자열이 대입된 후에 저장된다. 이때 p 자리에는 규칙 관리부가 수신한 상기 레코드에 포함된 수신자 포트 번호가 대입된다.
규칙 관리부는 상기의 규칙들을 저장하고 있다가, 트래픽 검출부(110)가 인터넷으로부터 수집한 패킷을 규칙 관리부로 전송해 주면 해당 패킷에 대응될 수 있는 모든 규칙을 찾아낸 다음에, 상기 패킷을 해당 규칙들에 적용해 보고, 조건문을 만족하는 패킷들에 대해서 명령문을 실행하게 된다. 명령문이 실행되면 파일 관리 부(140)가 호출되며, 파일 관리부는 패킷을 실제로 파일 시스템(150)의 파일에 기록하게 된다.
따라서, 본 발명의 실시예에 따른 P2P 트래픽 분류 시스템(100)은, 상기 설명한 바와 같이 트래픽 검출부(110)가 인터넷으로부터 트래픽을 검출하면, IP 주소 추출부(120)가 P2P 응용 프로그램을 사용하는 사용자의 것으로 추정되는 IP 주소 및 기타 정보를 추출하고, 해당 정보들을 넘겨받은 규칙 관리부(130)는 해당 정보들로부터 규칙들을 생성하며, 그 후 트래픽 검출부(110)로부터 패킷이 전송될 때마다 저장된 규칙들을 패킷에 적용하고, 조건문이 만족한 규칙들에 정의되어 있는 명령문을 수행하여 해당 패킷들을 파일 시스템(150)에 저장한다. 저장된 결과는 추후 P2P 응용의 정확한 식별에 필요한 시그너춰(signature) 생성 과정의 초기 입력으로 사용될 수 있으며, 그 외 추후라고 다양한 방식으로 참조가 가능하다.
본 명세서에서 개시된 장치 및 방법에서 사용되는 기능은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며 또한 캐리어 웨이브, 예컨대 인터넷을 통한 전송의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
지금까지, 본 발명을 도면에 도시된 실시예를 참고로 설명하였으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
이상에서 상세히 설명한 바와 같이, 본 발명에 따르면 인터넷 트래픽 중 P2P 응용 프로그램에 의해 발생한 것으로 추정되는 트래픽만을 별도로 분류하여, P2P 트래픽이 갖는 특성을 분석할 수 있으므로, 인터넷 망에서 실제 사용되고 있는 P2P 응용 프로그램의 종류나 가짓수를 미리 모르더라도, P2P 응용에 대한 분석 작업이 가능하다.
따라서, P2P 응용의 특성을 필수적으로 파악해야만 하는 망 사업자나, 인터넷 응용을 분석하여 그 응용들이 망에 가할 수 있는 위험성을 조기에 파악해야 하는 관리자의 요구사항을 만족시키는 데 유용하게 사용될 수 있다.

Claims (22)

  1. 인터넷으로부터 트래픽을 검출하는 트래픽(traffic) 검출부;
    상기 트래픽 검출부에서 검출된 트래픽의 패킷으로부터 IP(internet protocol) 주소를 포함한 정보를 추출하는 IP 주소 추출부;
    상기 IP 주소 추출부에서 추출한 정보를 바탕으로 규칙을 생성, 저장 및 관리하며, 상기 트래픽 검출부에서 전송된 패킷에 상기 규칙을 적용하는 규칙 관리부; 및
    상기 규칙 관리부의 지시에 따라 파일 시스템 내의 저장부에 상기 패킷을 분류 저장하는 파일 관리부;를 포함하고,
    상기 검출된 트래픽 중에서 P2P(peer-to-peer) 응용 프로그램에 의해 발생되는 트래픽을 분류 및 저장하는 P2P(peer-to-peer) 트래픽 분류 시스템.
  2. 제1 항에 있어서,
    상기 IP 주소 추출부는 상기 트래픽으로부터 SYN(synchronize sequence number) 패킷 교환, IP 주소 검색, 또는 P2P 웹 포탈 사이트로의 접속을 시도하는 IP 주소들을 찾아내는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  3. 제2 항에 있어서,
    상기 IP 주소 추출부는
    상기 SYN 패킷 교환을 탐지하기 위한 제1 테이블 및 상기 IP 주소 검색 행위를 탐지하기 위한 제2 테이블을 포함하는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  4. 제3 항에 있어서,
    상기 IP 주소 추출부는 상기 제1 테이블에 저장된 레코드를 판독하여 상기 SYN 패킷이 교환되었는지를 탐지하거나, 상기 제2 테이블에 저장된 레코드를 판독하여 상기 IP 주소 검색 행위를 탐지하거나, 또는 상기 P2P 웹 포탈 사이트로의 접속되었는지 탐지하고 해당 정보를 상기 규칙 관리부로 전달하는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  5. 제3 항에 있어서,
    상기 제1 테이블은,
    송신자 IP 주소를 저장할 필드;
    수신자 IP 주소를 저장할 필드;
    송신자 포트(port) 번호를 저장할 필드;
    수신자 포트 번호를 저장할 필드; 및
    패킷 수집 시각을 저장할 필드;를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  6. 제3 항에 있어서,
    상기 제2 테이블은,
    송신자 IP 주소를 저장할 필드;
    프로토콜을 저장할 필드;
    수신자 포트 번호를 저장할 필드;
    목적지 IP주소 집합을 저장할 필드;
    응답자 IP 주소 집합을 저장할 필드; 및
    최초 패킷 수집 시각을 저장할 필드;를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  7. 제1 항에 있어서,
    상기 규칙 관리부는 상기 IP 주소 추출부가 전달한 정보를 바탕으로 규칙을 생성하고, 상기 트래픽 검출부에 의해 검출된 패킷에 적용 가능한 상기 규칙을 탐색하고, 상기 적용가능한 규칙을 실행하여 상기 파일 관리부로 하여금 상기 패킷을 분류 및 저장하도록 하는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  8. 제7 항에 있어서,
    상기 규칙은 조건문과 실행문으로 구성되며,
    상기 조건문이 참일 경우 실행문을 실행하여 상기 파일 관리부로 하여금 상기 패킷을 분류 및 저장하도록 하는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  9. 제7 항에 있어서,
    상기 규칙은 상기 규칙 관리부에 전달된 패킷의 정보에 따라 다르며,
    상기 전달된 패킷의 정보가 웹 포탈 사이트로의 최초 접속에 대한 정보인 경우는, 웹 포탈 사이트로 전송되는 패킷을 식별하기 위한 규칙(WC), 역방향 패킷을 구별하기 위한 규칙(WS), P2P 사용자가 웹 포탈 사이트의 IP 주소 이외의 주소를 갖는 P2P 사용자 측으로 전송하는 트래픽을 식별하기 위한 규칙(DC), 및 역방향 트래픽을 식별하기 위한 규칙(DS)을 포함하고,
    상기 전달된 패킷의 정보가 역방향 SYN 패킷에 대한 정보인 경우는, 중앙 집중식 P2P 서버로 전송되는 패킷을 식별하기 위한 규칙(CC), 역방향 패킷을 식별하기 위한 규칙(CS), 상기 DC 및 상기 DS를 포함하며,
    상기 전달된 패킷의 정보가 인접 IP 탐색 정보에 대한 정보인 경우는, 인접한 서번트(servant)로 전송되는 패킷을 식별하기 위한 규칙(QC), 역방향 패킷을 식별하기 위한 규칙(QS), 상기 DC 및 상기 DS를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 시스템.
  10. 트래픽 검출부에서 인터넷으로부터 트래픽을 검출하는 단계;
    IP 주소 추출부에서 상기 검출된 트래픽의 패킷을 분석하고 상기 패킷에 대한 IP 주소를 포함한 정보를 추출하는 단계;
    규칙 관리부에서 상기 패킷에 대한 정보를 바탕으로 P2P 트래픽 식별 규칙을 생성하거나 상기 검출된 트래픽에 상기 식별 규칙을 적용하는 단계; 및
    파일 관리부에서 상기 식별 규칙을 통해 검색된 P2P 트래픽에 해당하는 패킷을 분류 및 저장하는 단계;를 포함하는 P2P 트래픽 분류 방법.
  11. 제10 항에 있어서,
    상기 트래픽의 검출은 인터넷 양방향 회선으로부터 동시에 트래픽을 수집하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  12. 제10 항에 있어서,
    상기 IP 주소는 SYN 패킷 교환이나 IP 주소 검색 행위 또는 P2P 웹 포탈 사이트로의 접속을 시도하는 IP 주소들인 것을 특징으로 하는 P2P 트래픽 분류 방법.
  13. 제10 항에 있어서,
    상기 분석 및 정보 추출 단계는 SYN 패킷 교환을 탐지하기 위한 제1 테이블 및 IP 주소 검색 행위를 탐지하기 위한 제2 테이블에 패킷에 대한 정보를 채우는 단계를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  14. 제13 항에 있어서,
    상기 분석 및 정보 추출 단계는
    상기 검출된 트래픽의 패킷이 TCP 패킷인지 판단하는 단계;
    상기 패킷이 TCP 패킷인 경우 SYN 패킷인지 판단하는 단계;
    상기 패킷이 SYN 패킷인 경우 P2P 웹 포탈 사이트로의 접속인지 판단하는 단계; 및
    상기 패킷이 웹 포탈 사이트로의 접속인 경우 상기 패킷이 웹 포탈 사이트에 대한 최소 접속임을 상기 규칙 관리부에 전달하고 상기 패킷에 대한 처리를 종료하는 단계;를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  15. 제14 항에 있어서,
    상기 패킷이 P2P 웹 포탈 사이트로의 접속이 아닌 경우는
    상기 제1 테이블을 이용하여 일정 시간 내에 역방향 SYN 패킷을 검색하는 단계;
    상기 역방향 SYN 패킷이 검색된 경우 상기 역방향 SYN 패킷에 대한 정보를 상기 규칙 관리부에 전달하고 상기 패킷에 대한 처리를 종료하는 단계;를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  16. 제15 항에 있어서,
    상기 역방향 SYN 패킷에 대한 정보는 역방향으로 전송되는 송신자 IP 주소, 수신자 IP 주소, 송신자 포트 번호, 수신자 포트 번호 및 역방향 패킷 수집 시각을 포함하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  17. 제15 항에 있어서,
    상기 일정 시간은 10초인 것을 특징으로 하는 P2P 트래픽 분류 방법.
  18. 제13 항에 있어서,
    상기 제1 테이블은, 송신자 IP 주소를 저장할 필드, 수신자 IP 주소를 저장할 필드, 송신자 포트(port) 번호를 저장할 필드, 수신자 포트 번호를 저장할 필드, 및 패킷 수집 시각을 저장할 필드;를 포함하고,
    상기 제2 테이블은, 송신자 IP 주소를 저장할 필드, 프로토콜을 저장할 필드, 수신자 포트 번호를 저장할 필드, 목적지 IP주소 집합을 저장할 필드, 응답자 IP 주소 집합을 저장할 필드, 및 최초 패킷 수집 시각을 저장할 필드;를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  19. 제18 항에 있어서,
    상기 패킷이 TCP 패킷이 아니거나 SYN 패킷이 아닌 경우, 또는 역방향 SYN 패킷이 검색되지 않아 상기 제1 테이블에 상기 SYN 패킷 발생을 기록한 경우는,
    상기 패킷에 대한 정보를 이용하여 상기 제2 테이블을 검색하는 단계;
    상기 제2 테이블에 검색된 레코드가 존재하는 경우, 상기 제2 테이블의 목적지 IP 주소 집합을 저장할 제1 필드에 상기 패킷의 수신자 IP 주소를 추가하는 단계;
    상기 패킷에 대한 역방향 정보를 이용하여 상기 제2 테이블을 재검색하는 단 계;
    상기 재검색을 통해 상기 제2 테이블에 검색된 레코드가 존재하는 경우, 상기 제2 테이블의 응답자 IP 주소 집합을 저장할 제2 필드에 상기 패킷의 송신자 IP 주소를 추가하는 단계;
    변수 A에 상기 제2 필드에 저장된 응답자 IP 주소 집합의 크기를 할당하고 변수 B에 상기 제1 필드에 저장된 목적지 IP주소 집합의 크기를 할당하여, A > 0이고 B > A x 10 인가를 판단하는 단계; 및
    상기 식을 만족하는 경우 상기 제2 테이블의 필드에 저장된 정보를 상기 규칙 관리부에 전달하고 상기 패킷에 대한 처리를 종료하는 단계;를 포함하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  20. 제19 항에 있어서,
    상기 재검색 결과가 없거나, 상기 식을 만족하지 못한 경우에 상기 패킷에 대한 처리를 종료하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  21. 제19 항에 있어서,
    상기 검색 결과가 없는 경우에 상기 제2 테이블에 새 항목을 추가하고 상기 패킷의 목적지 IP 주소 집합에 상기 수신자 IP 주소를 초기값으로 저장하는 것을 특징으로 하는 P2P 트래픽 분류 방법.
  22. 제19 항에 있어서,
    상기 패킷에 대한 정보는 상기 패킷에 대한 송신자 IP 주소, 프로토콜 및 수신자 포트 번호이고,
    상기 패킷에 대한 역방향 정보는 상기 역방향 패킷의 수신자 IP 주소, 프로토콜 및 송신자 포트 번호인 것을 특징으로 하는 P2P 트래픽 분류 방법.
KR1020060078796A 2005-12-08 2006-08-21 P2p 트래픽 분류 시스템 및 그 분류 방법 KR100744562B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050120052 2005-12-08
KR1020050120052 2005-12-08

Publications (2)

Publication Number Publication Date
KR20070061268A true KR20070061268A (ko) 2007-06-13
KR100744562B1 KR100744562B1 (ko) 2007-08-01

Family

ID=38357204

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060078796A KR100744562B1 (ko) 2005-12-08 2006-08-21 P2p 트래픽 분류 시스템 및 그 분류 방법

Country Status (1)

Country Link
KR (1) KR100744562B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101013624B1 (ko) * 2008-08-21 2011-02-10 주식회사 세아네트웍스 광대역 무선 통신 시스템에서의 패킷 분류 장치 및 방법
US8601151B2 (en) 2009-09-21 2013-12-03 Samsung Electronics Co., Ltd. Apparatus and method for receiving data
KR101522932B1 (ko) * 2013-11-25 2015-05-28 단국대학교 산학협력단 휴리스틱 규칙을 이용한 p2p 트래픽 분류 방법 및 장치
CN106021252A (zh) * 2015-03-31 2016-10-12 瞻博网络公司 使用公共因特网搜索确定基于因特网的对象信息

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005202589A (ja) 2004-01-14 2005-07-28 Kddi Corp P2pネットワークのトラヒック制御システム
JP2005295457A (ja) 2004-04-05 2005-10-20 Fujitsu Ltd P2pトラフィック対応ルータ及びそれを用いたp2pトラフィック情報共有システム
KR100628306B1 (ko) * 2004-09-30 2006-09-27 한국전자통신연구원 네트워크의 유해 피투피 트래픽 선별 차단 방법 및 장치
KR20060107871A (ko) * 2005-04-11 2006-10-16 김영한 트래픽 분석 기반의 피어투피어 플로우 검출 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101013624B1 (ko) * 2008-08-21 2011-02-10 주식회사 세아네트웍스 광대역 무선 통신 시스템에서의 패킷 분류 장치 및 방법
US8601151B2 (en) 2009-09-21 2013-12-03 Samsung Electronics Co., Ltd. Apparatus and method for receiving data
KR101522932B1 (ko) * 2013-11-25 2015-05-28 단국대학교 산학협력단 휴리스틱 규칙을 이용한 p2p 트래픽 분류 방법 및 장치
CN106021252A (zh) * 2015-03-31 2016-10-12 瞻博网络公司 使用公共因特网搜索确定基于因特网的对象信息

Also Published As

Publication number Publication date
KR100744562B1 (ko) 2007-08-01

Similar Documents

Publication Publication Date Title
CN107665191B (zh) 一种基于扩展前缀树的私有协议报文格式推断方法
US9584535B2 (en) System and method for real time data awareness
Breier et al. A dynamic rule creation based anomaly detection method for identifying security breaches in log records
RU2601201C2 (ru) Способ и устройство для анализа пакетов данных
CN101237326B (zh) 设备日志实时解析的方法、装置和系统
KR101404882B1 (ko) 행위를 기반으로 한 악성코드 분류시스템 및 분류방법
CN110414236B (zh) 一种恶意进程的检测方法及装置
CN104426906A (zh) 识别计算机网络内的恶意设备
KR20080037909A (ko) 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
RU2004138761A (ru) Обнаружение файлов без кода
KR100744562B1 (ko) P2p 트래픽 분류 시스템 및 그 분류 방법
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
EP3809298B1 (en) System for performing bi-directional inquiry, comparison and tracking on security policies and audit logs, and method therefor
KR102189127B1 (ko) 행위 기반 룰 처리 장치 및 그 처리 방법
CN112817567B (zh) 一种微服务应用的openwhisk无服务框架迁移方法
CN103166942B (zh) 一种恶意代码的网络协议解析方法
JP2008140102A (ja) 情報処理装置及び漏洩情報判定方法及びプログラム
Sija et al. Survey on network protocol reverse engineering approaches, methods and tools
CN116170186A (zh) 基于网络流量分析的攻击代码在线检测方法和装置
KR102559398B1 (ko) 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법
CN115102758A (zh) 异常网络流量的检测方法、装置、设备及存储介质
JP2018121262A (ja) セキュリティ監視サーバ、セキュリティ監視方法、プログラム
US7831705B1 (en) Distributed event correlation using horizontally partitioned rulesets
KR102623432B1 (ko) 악성코드 메타 정보 수집 장치 및 방법
CN114189382B (zh) 一种基于模糊测试的网络协议自动化分析漏洞挖掘装置

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100701

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee