KR20070083089A - 이상 트래픽 분석방법 - Google Patents
이상 트래픽 분석방법 Download PDFInfo
- Publication number
- KR20070083089A KR20070083089A KR1020060016353A KR20060016353A KR20070083089A KR 20070083089 A KR20070083089 A KR 20070083089A KR 1020060016353 A KR1020060016353 A KR 1020060016353A KR 20060016353 A KR20060016353 A KR 20060016353A KR 20070083089 A KR20070083089 A KR 20070083089A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- analysis
- value
- time
- host
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 트래픽의 비정상적인 현상을 정확하게 분석하고 적절한 대응조치를 할 수 있도록 하는 이상 트래픽 분석방법에 관한 것이다. 본 발명은 하나 이상의 기준값(L,D,N,T)들과 함께 대응정책을 설정한 상태에서 트래픽 분석 시작 시점(Ts)을 설정한다(△L=Lm-La, △L>=L인 경우). 또한, 상기 시작 시점을 기준으로 상기 트래픽 안정성을 판단하고(△L>=L이 반복되는 값인 Dt를 구하고, Dt>=D인 경우), 이후 트래픽 분석 종료 시점(Te)을 설정한다(Dt>=D 또는 버퍼링 용량 한계 도달한 경우). 그리고 상기 트래픽 분석 시작 시점과 분석 종료 시점 동안에 수집된 패킷 데이터를 분석하고, 소정 호스트가 다른 호스트에 접속하는 횟수(Nh)와 기준값 N를 비교한 후, 그 비교결과에 따라 이상 트래픽을 발생한 호스트에 대해서는 기 설정된 대응정책을 적용하도록 한다. 이에 따라 트래픽의 모양을 분석하고 이상 트래픽에 해당하는 구간에서의 패킷 정보를 바탕으로 이상 트래픽이 발생하였는지를 정확한 분석을 통해 판단할 수 있으며, 또한 상기 하나 이상의 분석 알고리즘만을 적용하기 때문에 시스템 부하에 영향을 주지 않고, 각 호스트별로 서로 상이한 대응정책을 적용할 수 있다.
트래픽, 이상 트래픽, 분석 알고리즘, 대응정책.
Description
도 1은 일반적인 침입방지 시스템의 전체 구성도.
도 2는 본 발명의 바람직한 실시 예에 따른 이상 트래픽 분석방법의 처리 흐름도.
도 3은 본 발명의 이상 트래픽 분석방법을 설명하기 위해 제공된 트래픽 분석 그래프.
<도면의 주요 부분에 대한 부호의 설명>
1 : 사용자 관리모듈 3 : 탐지/대응모듈
5 : 이상 트래픽 탐지모듈 7 : 경고 모듈
본 발명은 이상 트래픽 분석에 관한 것으로서, 특히 트래픽 발생시에 이상 트래픽 여부를 판단하고 그 판단결과에 따라 대응정책을 수행하는 이상 트래픽 분석방법에 관한 것이다.
컴퓨터의 급속한 보급과 인터넷의 사용이 일반화되면서, 인터넷을 통한 전자 상거래 등의 서비스 확산에 따라 보안 문제의 중요성이 높아지고 있다. 이러한 보안문제를 해결하기 위해 이상 트래픽에 대한 침입방지 시스템(Intrusion Prevention System : IPS) 또는 침입차단 시스템이 개발되었다. 이와 같은 시스템들은 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다. 효과적인 침입방지시스템이 되려면 개별 패킷은 물론 트래픽 패턴을 감시하고 대응하는 것과 같이 복잡한 감시와 분석을 수행할 수 있어야 한다.
또한, 공격자가 일단 내부의 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있다. 따라서 상기 침입방지시스템은 네트워크 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 대다수의 침입방지시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신 호스트에 전달한다.
이와 같은 이상 트래픽을 탐지하는 일반적인 침입방지시스템을 도 1에 도시하고 있다.
이를 참조하면, 침입방지시스템은 사용자 관리모듈(1)에 의하여 설정된 유해탐지패턴정보와 차단대응정보에 따라 유해패킷을 탐지하고 차단하는 탐지/대응모듈(3)을 구비한다. 또한 사용자 관리모듈(1)에 의하여 설정된 패킷 데이터의 IP별, 프로토콜별 임계치에 따라 이상 트래픽 여부를 판단하는 이상 트래픽 탐지모듈(5) 을 구비한다. 상기 탐지/대응모듈(3) 및 이상 트래픽 탐지모듈(5)에 의하여 탐지정보와 경고정보를 상기 사용자 관리모듈(1)로 전달하는 경고모듈(7)을 구비한다.
이러한 구성을 하고 있는 상기 침입방지시스템은 통상 네트워크에 유입되는 트래픽에 대하여 사용자 관리모듈(1)에 의해 설정된 대응정책인 임계치에 따라 대응이 실행되고 있다. 예컨대, 트래픽에 대한 평균 트래픽양을 임계치로 설정한 상태에서, 이상 트래픽 탐지모듈(5)은 유입되는 패킷 데이터의 갯수 또는 패킷량을 확인하고 임계값 이상이 유입되는 경우에 패킷을 차단하고 있다.
그러나, 상기 침입방지시스템에서의 이상 트래픽을 분석하고 차단하는 방법에는 다음과 같은 문제점이 있다.
먼저, 관리자가 설정한 임계치에 대해서만 이상 트래픽 여부를 판단하고 그에 대한 대응이 수행되고 있기 때문에, 하나의 호스트에 대해 순간적으로 많은 트래픽 발생량이 발생되는 정상적인 경우에도 단지 설정한 임계치를 넘었다는 이유로 정상적인 트래픽을 이상 트래픽으로 간주하여 서비스를 제한하는 문제가 발생되었다.
또한, 네트워크 구성이 변경되면 이에 적합한 임계치를 다시 설정해야 하는 번거로운 점도 있었다.
이에, 본 발명의 목적은 트래픽 분석에 대한 시작 시점 및 종료 시점을 설정하고 상기 시점 사이에서 발생되는 패킷 데이터를 분석하여 트래픽 이상 현상을 정 확하게 판단하도록 제어하는 이상 트래픽 분석방법을 제공함에 있다.
상기한 바와 같은 목적을 달성하기 위한 본 발명의 이상 트래픽 분석방법은; 네트워크에서 발생된 트래픽의 이상 여부를 분석하는 방법에 있어서, 트래픽 분석 시작 시점(Ts)을 정하는 단계와, 상기 시작 시점(Ts)을 기준으로 상기 트래픽 안정성을 판단하는 단계와, 상기 트래픽 안정성 판단 후 트래픽 분석 종료 시점(Te)을 정하는 단계와, 상기 트래픽 분석 시작 시점(Ts)과 분석 종료 시점(Te) 동안에 수집된 패킷 데이터를 분석하는 단계와, 상기 패킷 데이터 분석에 따라 이상 트래픽을 발생한 호스트에 대하여 대응정책을 적용하는 단계를 포함하여 구성되는 것을 기술적 특징으로 한다.
상기 트래픽 분석 시작 이전에 사용자 정의의 △L 기준값인 L값, 사용자 정의의 시간 기준값인 T값, 사용자 정의의 Dt 기준값인 D값, 사용자 정의의 Nh 기준값인 N값, 및 하나 이상의 상기 대응정책을 설정하는 단계를 더 포함하는 것이 바람직하다. 여기서, 상기 △L는 트래픽 최고점과 최저점의 차이, Dt는 정해진 시간 T 구간에서의 △L≥L 횟수, Nh는 정해진 시간 T 구간에서 한 호스트에서 다른 호스트로 접속하는 접속 횟수를 말한다.
상기 트래픽 분석 시작 시점(Ts)을 정하는 단계는, 상기 시간 T동안의 단위시간인 Rt에서 정상적인 평균 트래픽 La를 구하는 단계와, 상기 La와 트래픽 최대값 Lm을 참조하여 다음 식(1)에 의하여 상기 △L를 구하는 단계와, 상기 △L과 상 기 L값이 △L >= L인 경우에 분석 시작 시점(Ts)으로 정하는 단계를 포함한다.
△L >= L, (△L=Lm - La) : ---- 식(1).
상기 트래픽 안정성을 판단하는 단계는, 상기 분석 시작 시점을 기준으로 일정 시간 동안 상기 △L >= L이 몇 번 반복되는지를 나타내는 Dt값을 확인하는 단계와, 상기 확인 단계로부터 다음 식(2)에 의하여 상기 △L가 큰 경우 상기 트래픽이 불안정한 것으로 판단하는 단계를 포함한다.
Dt >= D : ----식(2).
상기 트래픽 분석 종료 시점(Te)을 정하는 단계는, 상기 트래픽이 불안전한 것으로 판단될 때, 상기 식(2)의 Dt >= D 이거나, 또는 수집되는 패킷 데이터의 분석을 위한 버퍼링의 용량 한계가 도달한 시점으로 정하는 것이 바람직하다.
상기 패킷 데이터 분석 단계는, 상기 트래픽 분석 시작 시점(Ts)과 분석 종료 시점(Te) 동안에 수집된 패킷 데이터를 분석하여 트래픽을 발생시키는 호스트를 검색하는 단계와, 상기 검색된 호스트가 다른 호스트에 접속하는 횟수를 확인하는 단계와, 상기 접속 횟수(Nh)를 상기 N값과 비교하는 단계와, 상기 비교 단계로부터 상기 접속 횟수가 N값 이상인 경우 상기 호스트에 대하여 기 설정된 대응정책을 적용하도록 경고를 발생하는 단계를 포함한다.
상기 대응정책은 상기 호스트에 대하여 'Log', 'Sound', 'Mail', '단문메시지서비스', 'Packet Drop', 'Session Kill' 중 하나 이상을 선택적으로 적용하는 것이 바람직하다.
상기한 바와 같은 구성으로 이루어진 본 발명에 의하면, 다단계의 분석을 통 해 다양한 형태의 트래픽 이상 현상을 분석하고, 이상 트래픽에 해당하는 구간에서의 패킷 정보를 분석하여 보다 정확하게 이상 트래픽의 발생 여부를 판단할 수 있게 된다.
이하, 상기한 바와 같은 구성을 가지는 본 발명에 의한 이상 트래픽 분석장치 및 방법의 바람직한 실시 예를 첨부된 도면을 참고하여 상세하게 설명한다.
도 3에는 본 발명의 바람직한 실시 예에 따른 이상 트래픽 분석방법을 설명하기 위해 제안된 트래픽 분석 그래프가 도시되어 있다.
여기서, 상기 트래픽 분석 그래프에 기재된 단위를 설명하면 다음과 같다.
1) Rt : 소정 시간동안 트래픽 분석을 위해 설정된 분석 시간 단위,
2) △L: 트래픽 최고점과 최저점의 차이,
3) L : 사용자 정의의 △L 기준값,
4) La : 정상시의 평균 트래픽,
5) Lm : Rt 구간에서의 최대값,
6) T : 사용자 정의의 시간 기준값,
7) Ts : 분석이 시작되는 시간,
8) Te : 분석이 종료되는 시간,
9) Dt : 정해진 시간 T 구간에서의 △L≥L 횟수,
10) D : 사용자의 정의의 Dt 기준값,
11) H : 네트워크를 접속하는 호스트,
12) Nh: T 구간에서의 한 호스트에서 다른 호스트로 접속하는 접속 횟수,
13) N : 사용자 정의의 Nh 기준값으로 설명된다.
여기서, 상기 기준값(L, T, D, N) 들은 침입방지시스템 및 이상 트래픽 탐지모듈이 효율적으로 구동되는 설정값으로서, 시스템 성능 등에 따라 차등적으로 부여된다.
이어, 상기 도 3과 같이 트래픽 분석 그래프 형태로 트래픽이 발생되었을 때 트래픽을 분석하고 이상 트래픽을 정밀하게 분석하여 판단하는 과정을 도 2를 참조하여 설명한다. 여기서 본 발명의 실시 예를 설명함에 있어서 상술한 도 1의 침입방지시스템의 구성을 인용하여 설명한다.
먼저, 제 30 단계에서 사용자 관리모듈(1)은 도 2에서 설명한 것 중에서, 3) L : 사용자 정의의 △L 기준값, 6) T : 사용자 정의의 시간 기준값, 10) D : 사용자의 정의의 Dt 기준값, 13) N : 사용자 정의의 Nh 기준값과 함께 이상 트래픽 발생시에 그에 대한 대응정책을 설정한다. 상기 대응정책은 상기 이상 트래픽 탐지모듈(5)에서 경고모듈(7)을 통해 사용자 관리모듈(1)로 전달되는데, 'Log', 'Sound', 'Mail', '단문메시지서비스', 'Packet Drop', 'Session Kill' 등과 같은 대응방법이 제공된다.
상기 기준값들과 대응정책이 설정된 상태로부터, 이상 트래픽 탐지모듈(5)은 네트워크에서 트래픽이 발생하는지를 감시하고, 트래픽이 정상시의 평균 트래픽(La)값과 비교해서 큰 차이(즉, 허용범위 이내)가 발생되지 않으면 트래픽 요구에 대하여 서비스를 제공한다. 이때 제 32 단계와 같이 정상시의 평균 트래픽 La을 계산한다. 이때 Dt값은 제로(0)이다.
그러나, 상기 이상 트래픽 탐지모듈(5)은 트래픽이 갑자기 증가하는 경우 그 시점을 감시하며, 트래픽 분석 시작 시점(Ts)을 구해야 한다. 상기 Ts는 트래픽을 샘플링하는 시점을 기준으로 정해진 구역(Rt)에서의 전체적인 평균값인 상기 La를 구하고, 미리 설정된 기준값인 L값과 제 34 단계에서 계산된 트래픽 최대값인 Lm값을 참조하여 다음 식(1)에 따라 정해진다.
△L >= L, (△L=Lm - La) : ---- 식(1)
상기 식(1)에 의해 제 36 단계 및 제 38 단계로부터 트랙픽 분석 시작 시점(Ts)을 설정한다(제 40 단계).
즉, 도 2에서 도면 부호 10이 트래픽 분석 시작 시점(Ts)이 된다.
상기와 같이 트래픽 분석 시작 시점이 정해지면, 이후 트래픽의 안정성을 분석하는 과정을 수행한다. 상기 안정성 분석은 상기 트래픽 분석 시작 시점을 기준으로 하여 정해진 시간 T값 동안, 상기 △L가 상기 L값보다 이상인 경우가 몇 번 반복하여 발생하였는지를 나타내는 Dt 값을 확인하고(제 42 단계), 상기 Dt값과 미리 설정된 기준값 D값을 비교하는 식(2)에 따라 불안정 여부를 판단한다.
즉, 상기 Dt >= D : ----식(2)에서, 상기 기준값 D보다 Dt값이 높은 경우에 트래픽이 불안정한 것으로 판단한다. 이때 상기 식(2)와 함께 선택적으로 패킷 데이터를 수집하는 버퍼(미도시)의 용량이 한계치에 도달되는 경우에도 트래픽 불안정 여부에 따라, 후술하는 분석 종료 시점(Te)를 설정하게 된다(제 44 단계).
그와 같이, 상기 식(2)에 따라 트래픽이 불안정이면, 상기 이상 트래픽 탐지모듈(5)은 상기 트래픽에 대한 대응 정책을 적용시키기 위하여 분석 종료 시점(Te) 을 설정한다(제 46 단계). 즉, 상기 트래픽이 불안정된 상태로 계속되면 트래픽 분석을 계속하여 실시하기에 앞서 그에 대한 대응 정책이 적용되도록 상기 분석작업이 종료되어야 하는 것이다. 이에, 상기 분석 종료 시점(Te)은, 상기 기준값 D보다 Dt값이 높은 경우 또는 분석 데이터의 버퍼링이 가능한 시점을 기준으로 정해지는 것이다. 도 2의 도면부호 12가 분석 종료 시점(Te)이 된다. 예컨대 도 2에서 Dt값은 총 5회(14,16,18,20,22) 발생된 것으로 판단할 수 있으며, 만일 D값이 5회로 정해져 있는 경우 상기 식(2)에 따라 분석 종료 시점(Te)이 정해지는 것이다.
이와 같이, 상기 트래픽 분석 시작 시점(Ts)(10)과 분석 종료 시점(Te)(12)이 정해지면, 상기 이상 트래픽 탐지모듈은 상기 시간(T) 동안에 수집된 패킷 데이터를 분석한다. 상기 패킷 데이터의 헤더부분에는 프로토콜/발생방향/포트번호 정보가 제공되기 때문에, 상기 패킷 데이터의 분석에 따라 트래픽을 발생시키는 호스트를 확인할 수 있다. 그리고, 상기 트래픽 발생 호스트가 다른 호스트와 접속하는 횟수(Nh)를 감시한다(제 48 단계).
상기 감시에 따라서 파악된 접속 횟수(Nh)가 기 설정된 Nh 기준값인 N값에 대비하여 높은가를 비교한다(제 50 단계). 만약, 상기 접속 횟수(Nh)가 기준값 N값보다 높은 경우, 즉 Nh >= N : ---식 (3)인 경우에는 이상 트래픽이 발생된 것으로 간주한다. 다시 말해, 상기 호스트가 과도하게 트래픽을 발생시키면서, 여러 호스트에 접속하는 횟수가 설정 기준값(N)보다 많은 경우, 상기 호스트로부터 유해 트래픽이 접속되는 다른 호스트로 전달될 수 있는 위험이 있기 때문에 비정상적인 행위로 판단하는 것이다. 물론, 상기 호스트가 여러 호스트와 접속하지 않는 상태에 서 트래픽만이 과도하게 발생되는 경우에는 비정상적인 행위로 볼 수 없다. 이는 하나의 호스트에 대하여 다수 사용자로부터 소정 패킷데이터의 서비스 요청이 발생될 수 있기 때문이다.
이와 같이, 상기 과도하게 트래픽을 발생시키는 호스트에 대하여 상기 식 (3)에 의하여 접속 횟수(Nh)가 기준값 N값보다 높게 발생되면 상기 이상 트래픽 탐지모듈(5)은 상기 경고모듈(7)에게 상기 이상 트래픽 여부를 전달한다. 그러면 상기 경고모듈(7)은 상기 사용자 관리모듈(1)로 경고정보를 전달하게 되며, 상기 사용자 관리모듈(1)은 상기 호스트에 대하여 미리 설정한 대응정책을 적용한다(제 52 단계). 하지만 상기 제 50 단계에서 N값이 더 큰 경우에는 다음 호스트에 대한 접속 횟수(Nh)를 계산하도록 한다(제 56 단계).
상기 대응정책에는 'Log', 'Sound', 'Mail', '단문메시지서비스', 'Packet Drop', 'Session Kill' 등이 선택적으로 적용된다. 만일 상기 사용자 관리모듈(1)에서 'Log' 및 'Sound' 정책만을 설정하였다면, 상기 이상 트래픽 발생시에 상기 경고모듈(7)은 상기 사용자 관리모듈(1)에게 트래픽 발생사실 정보 등을 데이터화하고, 아울러 경보음을 출력하게 된다.
한편, 상기한 바와 같은 트래픽 분석과정이 종료되면, 상기 이상 트래픽 탐지모듈(5)은 상기 트래픽 분석 시작 시점(Ts)과 분석 종료 시점(Te) 동안 수집한 패킷 데이터를 버퍼로부터 삭제하고, 제 32 단계로 복귀하여 트래픽 분석작업을 다시 시작한다.
이와 같이 상기 실시 예에 설명되고 있는 본 발명은, 이상 트래픽에 대한 시 작 시점, 안정성 분석 시점, 종료 시점, 및 정밀 분석 시점과 같은 다단계의 분석 작업을 통하여 다양한 형태의 트래픽 이상 현상을 분석할 수 있다.
그리고, 본 발명의 이상 트래픽 분석방법은 침입방지 시스템에 적극 활용할 수 있으며, 다른 네트워크 시스템 즉 바이러스 월(Virus Wall)이나 위헙관리 시스템(Threat Management System)에도 적용할 수 있음은 물론이다.
이상에서 설명한 바와 같은 본 발명의 이상 트래픽 분석방법에는 다음가 같은 효과가 있다.
먼저, 종래 네트워크에 유입되는 패킷 데이터 양을 기 설정된 임계치와 단순 비교하여 패킷 전송을 차단하지 않고, 다단계의 분석을 통해 트래픽의 이상 현상을 분석할 수 있는 효과가 있다. 또한, 상기 다단계의 분석에 적용되는 분석 알고리즘이 간단하여 시스템에 부하를 감소시킬 수 있다.
그리고, 이상 트래픽이 탐지되면 경고모듈을 통해 관리자에게 통보할 수 있게 되어 시스템에 대한 즉각적인 대책이 가능하여 이상 트래픽 발생에 따른 시스템 다운 등을 방지할 수 있고, 이상 트래픽을 발생시키는 호스트별로 서로 다른 대응정책을 적용 운영함으로써 네트워크를 보다 융통성 있게 관리할 수 있다.
Claims (7)
- 네트워크에서 발생된 트래픽의 이상 여부를 분석하는 방법에 있어서,트래픽 분석 시작 시점(Ts)을 정하는 단계와,상기 시작 시점(Ts)을 기준으로 상기 트래픽 안정성을 판단하는 단계와,상기 트래픽 안정성 판단 후 트래픽 분석 종료 시점(Te)을 정하는 단계와,상기 트래픽 분석 시작 시점(Ts)과 분석 종료 시점(Te) 동안에 수집된 패킷 데이터를 분석하는 단계와,상기 패킷 데이터 분석에 따라 이상 트래픽을 발생한 호스트에 대하여 대응정책을 적용하는 단계를 포함하여 구성되는 것을 특징으로 하는 이상 트래픽 분석 방법.
- 제 1항에 있어서,상기 트래픽 분석 시작 이전에 사용자 정의의 △L 기준값인 L값, 사용자 정의의 시간 기준값인 T값, 사용자 정의의 Dt 기준값인 D값, 사용자 정의의 Nh 기준값인 N값, 및 하나 이상의 상기 대응정책을 설정하는 단계를 더 포함하는 것을 특징으로 하는 이상 트래픽 분석 방법.여기서, △L : 트래픽 최고점과 최저점의 차이. Dt : 정해진 시간 T 구간에서의 △L≥L 횟수. Nh : 정해진 시간 T 구간에서 한 호스트에서 다른 호스트로 접속하는 접속 횟수.
- 제 1항에 있어서,상기 트래픽 분석 시작 시점(Ts)을 정하는 단계는,상기 시간 T동안의 단위시간인 Rt에서 정상적인 평균 트래픽 La를 구하는 단계와,상기 La와 트래픽 최대값 Lm을 참조하여 다음 식(1)에 의하여 상기 △L를 구하는 단계와,상기 △L과 상기 L값이 △L >= L인 경우에 분석 시작 시점으로 정하는 단계를 포함하는 특징으로 하는 이상 트래픽 분석 방법.△L >= L, (△L=Lm - La) : ---- 식(1).
- 제 1항에 있어서,상기 트래픽 안정성을 판단하는 단계는,상기 분석 시작 시점(Ts)을 기준으로 일정 시간 동안 상기 △L >= L이 몇 번 반복되는지를 나타내는 Dt값을 확인하는 단계와,상기 확인 단계로부터 다음 식(2)에 의하여 상기 △L가 큰 경우 상기 트래픽이 불안정한 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 이상 트래픽 분석 방법.Dt >= D : ----식(2).
- 제 1항에 있어서,상기 트래픽 분석 종료 시점(Te)을 정하는 단계는,상기 트래픽이 불안전한 것으로 판단될 때, 상기 식(2)의 Dt >= D 이거나, 또는 수집되는 패킷 데이터의 분석을 위한 버퍼링의 용량 한계가 도달한 시점으로 정하는 것을 특징으로 하는 이상 트래픽 분석 방법.
- 제 1항에 있어서,상기 패킷 데이터 분석 단계는,상기 트래픽 분석 시작 시점(Ts)과 분석 종료 시점(Te) 동안에 수집된 패킷 데이터를 분석하여 트래픽을 발생시키는 호스트를 검색하는 단계와,상기 검색된 호스트가 다른 호스트에 접속하는 횟수를 확인하는 단계와,상기 접속 횟수(Nh)를 상기 N값과 비교하는 단계와,상기 비교 단계로부터 상기 접속 횟수가 N값 이상인 경우 상기 호스트에 대하여 기 설정된 대응정책을 적용하도록 경고를 발생하는 단계를 포함하는 것을 특징으로 하는 이상 트래픽 분석 방법.
- 제 1항 또는 제 6항에 있어서,상기 대응정책은, 상기 호스트에 대하여 'Log', 'Sound', 'Mail', '단문메시지서비스', 'Packet Drop', 'Session Kill' 중 하나 이상을 선택적으로 적용하는 것을 특징으로 하는 이상 트래픽 분석 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060016353A KR20070083089A (ko) | 2006-02-20 | 2006-02-20 | 이상 트래픽 분석방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060016353A KR20070083089A (ko) | 2006-02-20 | 2006-02-20 | 이상 트래픽 분석방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20070083089A true KR20070083089A (ko) | 2007-08-23 |
Family
ID=38612524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060016353A KR20070083089A (ko) | 2006-02-20 | 2006-02-20 | 이상 트래픽 분석방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20070083089A (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8149699B2 (en) | 2008-12-02 | 2012-04-03 | Electronics And Telecommunications Research Institute | Method and apparatus for controlling traffic according to user |
| CN104079452A (zh) * | 2014-06-30 | 2014-10-01 | 电子科技大学 | 一种数据监测技术和分类网络流量异常的方法 |
-
2006
- 2006-02-20 KR KR1020060016353A patent/KR20070083089A/ko not_active Application Discontinuation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8149699B2 (en) | 2008-12-02 | 2012-04-03 | Electronics And Telecommunications Research Institute | Method and apparatus for controlling traffic according to user |
| CN104079452A (zh) * | 2014-06-30 | 2014-10-01 | 电子科技大学 | 一种数据监测技术和分类网络流量异常的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101077135B1 (ko) | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 | |
| KR101061375B1 (ko) | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 | |
| RU129279U1 (ru) | Устройство обнаружения и защиты от аномальной активности на сети передачи данных | |
| KR101404352B1 (ko) | 정보 시스템 기반구조의 보안 정책 조정 방법 | |
| CN106713216B (zh) | 流量的处理方法、装置及系统 | |
| US8356350B2 (en) | Method and system for managing denial of service situations | |
| US20100251370A1 (en) | Network intrusion detection system | |
| US9253153B2 (en) | Anti-cyber hacking defense system | |
| KR20050081439A (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| Yu et al. | Entropy-based collaborative detection of DDOS attacks on community networks | |
| KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| CN112422554A (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| KR101061377B1 (ko) | 분포 기반 디도스 공격 탐지 및 대응 장치 | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| Ono et al. | A design of port scan detection method based on the characteristics of packet-in messages in openflow networks | |
| Sree et al. | Detection of http flooding attacks in cloud using dynamic entropy method | |
| Mohammad et al. | DDoS attack mitigation using entropy in SDN-IoT environment | |
| Qu et al. | Multivariate statistical analysis for network attacks detection | |
| KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
| EP2112800A1 (en) | Method and system for enhanced recognition of attacks to computer systems | |
| Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
| KR100756462B1 (ko) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 | |
| KR20030009887A (ko) | 서비스거부 공격 차단시스템 및 방법 | |
| KR20070083089A (ko) | 이상 트래픽 분석방법 | |
| KR20050090640A (ko) | 유해 트래픽 분석 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| N231 | Notification of change of applicant | ||
| WITN | Withdrawal due to no request for examination |