KR20070092009A - Apparatus and method of forming statistics data in relation to network security - Google Patents

Apparatus and method of forming statistics data in relation to network security Download PDF

Info

Publication number
KR20070092009A
KR20070092009A KR1020060021880A KR20060021880A KR20070092009A KR 20070092009 A KR20070092009 A KR 20070092009A KR 1020060021880 A KR1020060021880 A KR 1020060021880A KR 20060021880 A KR20060021880 A KR 20060021880A KR 20070092009 A KR20070092009 A KR 20070092009A
Authority
KR
South Korea
Prior art keywords
information
traffic data
statistical information
generating
received information
Prior art date
Application number
KR1020060021880A
Other languages
Korean (ko)
Other versions
KR101310252B1 (en
Inventor
박주환
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020060021880A priority Critical patent/KR101310252B1/en
Publication of KR20070092009A publication Critical patent/KR20070092009A/en
Application granted granted Critical
Publication of KR101310252B1 publication Critical patent/KR101310252B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

A device and a method for generating statistics information related to network security are provided to secure network stability by generating the statistics information related to the network security after analyzing reception information of network traffic data and enable a user to easily understand the statistics information by generating a report with the statistics information related to the network security. A collecting module collects the network traffic data. A statistics information generating module(110) extracts the reception information from each collected network traffic data and generates the statistics information of the network traffic data based on the extracted reception information. A statistics information database stores the generated statistics information. A report generating module generates the report by using the stored statistics information. A discriminating module discriminates harmful traffic data among the collected network traffic data. The statistics information generating module extracts each kind of reception information from the discriminated harmful traffic data and generates the statistics information of the harmful traffic data based on the extracted reception information.

Description

네트워크 보안 관련 통계정보 생성 장치 및 방법{Apparatus and method of forming statistics data in relation to network security}Apparatus and method of forming statistics data in relation to network security}

도 1은 종래의 네트워크 보안시스템의 구성블럭도이다.1 is a block diagram of a conventional network security system.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안 관련 통계정보 생성장치의 구성블럭도이다.2 is a block diagram of an apparatus for generating network security related statistical information applied to the first embodiment according to the present invention.

도 3a 및 도 3b는 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더의 포맷을 도시한 것이다.3A and 3B illustrate the formats of Transmission Control Protocol (TCP) and Internet Protocol (IP) headers.

도 4는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안 관련 통계정보 생성방법의 흐름도이다.4 is a flowchart illustrating a method for generating network security related statistical information applied to the first embodiment according to the present invention.

도 5 는 도 4의 통계정보 생성 및 저장과정을 상세히 설명하기 위한 흐름도이다.5 is a flowchart illustrating a process of generating and storing statistical information of FIG. 4 in detail.

<도면의 주요부분에 대한 부호의 설명>          <Description of the symbols for the main parts of the drawings>

10,100 : 네트워크 보안시스템 11 : 룰 DB10,100: Network security system 11: Rule DB

12 : 관리 모듈 13 : 탐지룰 DB12: management module 13: detection rule DB

14 : 탐지/차단 모듈 110 : 통계정보 생성모듈14: detection / blocking module 110: statistical information generation module

120 : 통계정보 및 보고서 DB 130 : 웹서버120: statistical information and reports DB 130: Web server

140 : PC140: PC

본 발명은 네트워크의 안정성을 확보하기 위한 네트워크 보안 관련 통계정보를 생성하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for generating network security related statistical information for securing the stability of a network.

도 1은 종래의 네트워크 보안시스템(10)의 구성블럭도이다. 1 is a block diagram of a network security system 10 according to the related art.

룰(rule) 데이터베이스(DataBase, 이하 'DB'라 함)(11)는 전체 룰을 저장한다. 그리고 관리 모듈(12)은, 상기 룰 DB(11)에 저장된 전체 룰 가운데 관리자에 의해 선택된 룰이 탐지룰 DB(13)에 저장되도록 제어하고, 탐지/차단 모듈(14)에 의한 탐지 및 차단 동작이 개시되도록 제어한다.A rule database (DataBase, hereinafter referred to as 'DB') 11 stores the entire rule. The management module 12 controls the rule selected by the administrator to be stored in the detection rule DB 13 among all the rules stored in the rule DB 11, and detects and blocks by the detection / blocking module 14. Control to start.

그리고 상기 탐지/차단 모듈(14)은, 상기 탐지룰 DB(13)에 저장된 룰을 순차적으로 독출한 후, 상기 독출된 룰과 입력되는 네트워크 트래픽 데이터(network traffic data)를 패킷단위로 순차 비교하는 탐지 동작과, 탐지 결과 상기 독출된 룰과 일치하는 패킷을 포함하는 네트워크 트래픽 데이터를 유해 트래픽(traffic) 데이터로 판단하고 이를 차단하는 동작을 수행한다.The detection / blocking module 14 sequentially reads the rules stored in the detection rule DB 13 and sequentially compares the read rules with the input network traffic data in packet units. A detection operation and network traffic data including a packet matching the read rule are determined as harmful traffic data and blocked.

그런데, 상기와 같이 구성되고 동작하는 종래의 네트워크 보안시스템은, 네트워크 트래픽 데이터를 침입에 대한 탐지 및 차단을 위해서만 이용하였다.However, the conventional network security system constructed and operated as described above used network traffic data only for detection and blocking of intrusion.

따라서, 향후 네트워크 트래픽 데이터의 침입을 예측하고 이를 통해 네트워크의 안정성을 확보하기 위한 통계정보가 절실히 요구되었다.Therefore, statistical information is required to predict the future intrusion of network traffic data and to secure the stability of the network.

따라서, 본 발명은 상기와 같은 요구에 부응하기 위해 창작된 것으로서, 네트워크 트래픽 데이터의 수신정보를 분석하여 네트워크 보안 관련 통계정보를 생성함으로써 네트워크의 안정성을 확보하도록 한 네트워크 보안 관련 통계정보 생성 장치 및 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention was created to meet the above requirements, and the apparatus and method for generating network security related statistical information by analyzing received information of network traffic data and generating network security related statistical information to ensure the stability of the network. The purpose is to provide.

또한 본 발명의 다른 목적은, 네트워크 트래픽 데이터의 수신정보를 분석하여 생성된 네트워크 보안 관련 통계정보를 이용하여 보고서를 더 생성함으로써 통계정보를 보다 쉽게 이해할 수 있도록 한 네트워크 보안 관련 통계정보 생성 장치 및 방법을 제공하는 것이다.In addition, another object of the present invention, the network security related statistical information generating device and method for making it easier to understand the statistical information by further generating a report by using the network security-related statistical information generated by analyzing the received information of the network traffic data To provide.

상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 네트워크 보안 관련 통계정보 생성장치는, 네트워크 트래픽 데이터(network traffic data)를 수집하는 수집모듈; 그리고 상기 수집된 네트워크 트래픽 데이터로부터 각각의 수신정보를 추출하고, 상기 추출된 수신정보에 근거하여 상기 네트워크 트래픽 데이터의 통계정보를 생성하는 통계정보 생성모듈을 포함한다.In accordance with a first aspect of the present invention, there is provided a network security related statistical information generating apparatus comprising: a collecting module for collecting network traffic data; And a statistical information generation module for extracting respective received information from the collected network traffic data and generating statistical information of the network traffic data based on the extracted received information.

본 발명의 제 1 실시예에 따른 네트워크 보안 관련 통계정보 생성장치는, 상 기 생성된 통계정보를 저장하는 통계정보 DB; 그리고 상기 저장된 통계정보를 이용하여 보고서를 생성하는 보고서 생성모듈을 더 포함할 수 있다.Network security related statistical information generating apparatus according to the first embodiment of the present invention, the statistical information DB for storing the generated statistical information; And it may further include a report generating module for generating a report by using the stored statistical information.

본 발명의 제 1 실시예에 따른 네트워크 보안 관련 통계정보 생성장치는, 상기 수집된 네트워크 트래픽 데이터 가운데 유해 트래픽 데이터를 구분하는 구분모듈을 더 포함하고, 상기 통계정보 생성모듈은, 상기 구분된 유해 트래픽 데이터로부터 각각의 수신정보를 더 추출하고, 상기 추출된 수신정보에 근거하여 상기 유해 트래픽 데이터의 통계정보를 더 생성할 수 있다.The apparatus for generating network security related statistical information according to the first embodiment of the present invention further includes a classification module for classifying harmful traffic data among the collected network traffic data, and the statistical information generating module includes the classified harmful traffic. Each of the received information may be further extracted from the data, and statistical information of the harmful traffic data may be further generated based on the extracted received information.

상기 통계정보 생성모듈은, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출할 수 있다.The statistical information generating module may extract the received information from a TCP (Transmission Control Protocol) and an IP (Internet Protocol) header included in the network traffic data.

상기 통계정보 생성모듈은, 상기 유해 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출할 수 있다.The statistical information generation module may extract the received information from a TCP (Transmission Control Protocol) and an IP (Internet Protocol) header included in the harmful traffic data.

상기 수신정보는, 프로토콜(protocol), 원천지 IP(Internet Protocol) 및 port, 목적지 IP(Internet Protocol) 및 port 가운데 적어도 하나 이상을 포함할 수 있다.The received information may include at least one of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port.

상기 통계정보는, 상기 네트워크 트래픽 데이터로부터 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성될 수 있다.The statistical information accumulates daily, hourly, and minute bit per second (BPS) and packet per second (PPS) information on the received information extracted from the network traffic data. Can be generated.

상기 통계정보는, 상기 유해 트래픽 데이터로부터 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성된 정보이고, 상기 각 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 해당 유해 트래픽 데이터의 추출횟수를 정렬한 정보를 더 포함할 수 있다.The statistical information accumulates daily, hourly, and minute bit per second (BPS) and packet per second (PPS) information on the received information extracted from the harmful traffic data. The generated information may further include information in which the number of times of extracting harmful traffic data of each received information by day, time, and minute is sorted.

또한, 본 발명의 제 1 실시예에 따른 네트워크 보안 관련 통계정보 생성방법은, 네트워크 트래픽 데이터(network traffic data)를 수집하는 제 1 단계; 상기 수집된 네트워크 트래픽 데이터로부터 각각의 수신정보를 추출하는 제 2 단계; 그리고 상기 추출된 수신정보에 근거하여, 상기 네트워크 트래픽 데이터의 통계정보를 생성하는 제 3 단계를 포함한다.In addition, the method for generating network security related statistical information according to the first embodiment of the present invention includes a first step of collecting network traffic data; A second step of extracting respective received information from the collected network traffic data; And generating a statistical information of the network traffic data based on the extracted received information.

또한, 본 발명의 제 1 실시예에 따른 네트워크 보안 관련 통계정보 생성방법은, 상기 생성된 통계정보를 저장하는 제 4 단계; 그리고 상기 저장된 통계정보를 이용하여 보고서를 생성하는 제 5 단계를 더 포함할 수 있다.In addition, the method for generating network security-related statistical information according to the first embodiment of the present invention, the fourth step of storing the generated statistical information; The method may further include generating a report using the stored statistical information.

상기 제 1 단계는, 상기 수집된 네트워크 트래픽 데이터 가운데 유해 트래픽 데이터를 구분하는 하위 제 1 단계를 더 포함하고, 상기 제 2 단계는, 상기 구분된 유해 트래픽 데이터로부터 각각의 수신정보를 더 추출하고, 상기 제 3 단계는, 상기 추출된 수신정보에 근거하여 상기 유해 트래픽 데이터의 통계정보를 더 생성할 수 있다.The first step may further include a lower first step of classifying harmful traffic data among the collected network traffic data, and the second step may further extract respective received information from the classified harmful traffic data, The third step may further generate statistical information of the harmful traffic data based on the extracted received information.

상기 제 2 단계는, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출할 수 있다.In the second step, the received information may be extracted from a Transmission Control Protocol (TCP) and an Internet Protocol (IP) header included in the network traffic data.

상기 제 2 단계는, 상기 유해 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출할 수 있다.In the second step, the received information may be extracted from a Transmission Control Protocol (TCP) and an Internet Protocol (IP) header included in the harmful traffic data.

상기 수신정보는, 프로토콜(protocol), 원천지 IP(Internet Protocol) 및 port, 목적지 IP(Internet Protocol) 및 port 가운데 적어도 하나 이상을 포함할 수 있다.The received information may include at least one of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port.

상기 통계정보는, 상기 네트워크 트래픽 데이터로부터 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성될 수 있다.The statistical information accumulates daily, hourly, and minute bit per second (BPS) and packet per second (PPS) information on the received information extracted from the network traffic data. Can be generated.

상기 통계정보는, 상기 유해 트래픽 데이터로부터 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성된 정보이고, 상기 각 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 해당 유해 트래픽 데이터의 추출횟수를 정렬한 정보를 더 포함할 수 있다.The statistical information accumulates daily, hourly, and minute bit per second (BPS) and packet per second (PPS) information on the received information extracted from the harmful traffic data. The generated information may further include information in which the number of times of extracting harmful traffic data of each received information by day, time, and minute is sorted.

이상과 같은 구성과 흐름에 의해, 본 발명에 따른 네트워크 보안 관련 통계정보 생성 장치 및 방법은, 네트워크 트래픽 데이터의 수신정보를 분석하여 네트워크 보안 관련 통계정보를 생성하고 더 나아가, 상기 생성된 통계정보를 이용하여 보고서를 더 생성하는 것이다.According to the configuration and flow as described above, the apparatus and method for generating network security related statistical information according to the present invention analyzes the received information of network traffic data to generate network security related statistical information, and further, generates the generated statistical information. To generate more reports.

이하에서는, 도면을 참조하여 네트워크 보안 관련 통계정보 생성 장치 및 방법에 대하여 보다 상세히 설명하기로 한다.Hereinafter, an apparatus and method for generating network security related statistical information will be described in detail with reference to the accompanying drawings.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안 관련 통계정보 생성장치의 구성블럭도이고, 도 3a 및 도 3b는 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더의 포맷을 도시한 것이다.FIG. 2 is a block diagram of a network security related statistical information generating apparatus applied to a first embodiment according to the present invention, and FIGS. 3A and 3B illustrate formats of a TCP (Transmission Control Protocol) and an IP (Internet Protocol) header. It is.

본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안 관련 통계정보 생성장치에서, 네트워크 보안시스템(100)은, 종래에 수행하였던 침입에 대한 탐지 및 차단 동작 외에, 패킷(또는 비트) 단위로 수신되는 네트워크 트래픽 데이터(network traffic data)를 수집하고 상기 수집된 네트워크 트래픽 데이터 가운데 유해 트래픽 데이터를 구분한다.In the network security related statistical information generating apparatus applied to the first embodiment according to the present invention, the network security system 100 is received in units of packets (or bits), in addition to the detection and blocking operations for intrusions which have been conventionally performed. Network traffic data is collected and harmful traffic data is distinguished from the collected network traffic data.

그리고, 통계정보 생성모듈(110)은 상기 네트워크 보안시스템(100)에 의해 수집된 네트워크 트래픽 데이터 및 유해 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 각각의 수신정보를 추출한다. 상기 추출되는 수신정보는, 프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 port, 목적지(destination) IP(Internet Protocol) 및 port 가운데 적어도 하나 이상을 포함한다(도 3a 및 도 3b 참조).In addition, the statistical information generating module 110 receives the received information from the TCP (Transmission Control Protocol) and IP (Internet Protocol) headers included in the network traffic data and the harmful traffic data collected by the network security system 100. Extract. The extracted received information includes at least one or more of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port (see FIGS. 3A and 3B). ).

또한 통계정보 생성모듈(110)은, 상기 추출된 수신정보에 근거하여 네트워크 트래픽 데이터 및 유해 트래픽 데이터의 통계정보를 생성한다. In addition, the statistical information generating module 110 generates statistical information of network traffic data and harmful traffic data based on the extracted received information.

상기 통계정보 생성과정에 대해 보다 상세히 설명하면 다음과 같다.The statistical information generating process will now be described in detail.

통계정보 생성모듈(110)은, 상기 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적함으로써 네트워크 트래픽 데이터 및 유해 트래픽 데이터의 BPS 및 PPS 누적정보를 생성하고, 특히 각 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 해당 유해 트래픽 데이터의 추출횟수를 정렬함으로써 유해 트래픽 데이터 추출횟수 정렬정보를 더 생성한다.The statistical information generating module 110 accumulates the BPS (Bit Per Second) and PPS (Packet Per Second) information for the extracted reception information by day, hour, minute, and the like. By generating BPS and PPS cumulative information of network traffic data and harmful traffic data, and in particular, sorting the number of times of harmful traffic data extraction by day, time and minute for each received information Generates harmful traffic data extraction frequency sorting information.

이와 같이 네트워크 트래픽 데이터 및 유해 트래픽 데이터의 통계정보가 생성되고 나면, 통계정보 생성모듈(110)는 상기 생성된 통계정보(BPS 및 PPS 누적정보, 유해 트래픽 데이터 추출횟수 정렬정보)를 통계정보 및 보고서 DB(120)에 저장한다.After the statistical information of the network traffic data and harmful traffic data is generated as described above, the statistical information generating module 110 reports the generated statistical information (BPS and PPS cumulative information and harmful traffic data extraction frequency sorting information) into statistical information and reports. Stored in the DB (120).

그리고 웹서버(130)는, PC(140)로부터 보고서 생성이 요청될 때마다 또는 지정된 보고서 생성주기{일(日)별, 주(周)별, 월(月)별}마다, 상기 통계정보 및 보고서 DB(120)에 저장된 통계정보를 독출하고, 상기 독출된 통계정보를 이용하여 실시간 혹은 일(日)별 혹은 주(周)별 혹은 월(月)별 보고서를 생성한 후, 상기 생성된 보고서를 상기 통계정보 및 보고서 DB(120)에 저장한다.When the report generation is requested from the PC 140, or the web server 130, or every designated report generation period (per day, week, month), the statistical information and After reading the statistical information stored in the report DB 120, using the read statistical information to generate a real-time or daily or weekly or monthly report, the generated report Store the statistical information and the report in the DB (120).

이후, 웹서버(130)에 접속하여 인증절차를 거친 PC(140)로부터 보고서 출력(화면 또는 지면) 요청시, 웹서버(130)는 상기 통계정보 및 보고서 DB(120)에 저장된 보고서를 독출하여 해당 PC(140)로 전송하고, PC(140)는 상기 전송된 보고서를 화면 또는 지면상에 출력한다.Subsequently, upon requesting a report output (screen or page) from the PC 140 that has undergone the authentication procedure by accessing the web server 130, the web server 130 reads the statistical information and the report stored in the report DB 120. The PC 140 transmits the report to the PC 140 on the screen or the page.

도 4는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안 관련 통계정보 생성방법의 흐름도이고, 도 5 는 도 4의 통계정보 생성 및 저장과정을 상세히 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method for generating network security related statistical information applied to the first embodiment according to the present invention, and FIG. 5 is a flowchart for explaining in detail the process of generating and storing statistical information of FIG. 4.

이하에서는, 상기와 같이 구성되는 네트워크 보안 관련 통계정보 생성장치의 동작에 대해, 도 4 및 도 5와 병행하여 상세히 설명하기로 한다.Hereinafter, the operation of the apparatus for generating network security related statistical information configured as described above will be described in detail with reference to FIGS. 4 and 5.

먼저, 네트워크 보안시스템(100)은, 패킷(또는 비트) 단위로 수신되는 네트워크 트래픽 데이터(network traffic data)를 수집하고(S401) 상기 수집된 네트워크 트래픽 데이터 가운데 유해 트래픽 데이터를 구분한다(S402).First, the network security system 100 collects network traffic data received in packet (or bit) units (S401) and classifies harmful traffic data among the collected network traffic data (S402).

이어, 통계정보 생성모듈(110)은 상기 네트워크 보안시스템(100)에 의해 수집된 네트워크 트래픽 데이터 및 유해 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 각각의 수신정보{프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 port, 목적지(destination) IP(Internet Protocol) 및 port}를 추출한다(S403).Subsequently, the statistical information generating module 110 receives the received information from the TCP (Transmission Control Protocol) and IP (Internet Protocol) headers included in the network traffic data and the harmful traffic data collected by the network security system 100 { A protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol) and a port} are extracted (S403).

그리고 통계정보 생성모듈(110)은, 상기 추출된 수신정보에 근거하여 네트워크 트래픽 데이터 및 유해 트래픽 데이터의 통계정보를 생성하고 생성된 통계정보를 통계정보 및 보고서 DB(120)에 저장한다(S404).The statistical information generating module 110 generates statistical information of network traffic data and harmful traffic data based on the extracted received information, and stores the generated statistical information in the statistical information and the report DB 120 (S404). .

상기 제 404 단계(S404)의 통계정보 생성 및 저장 동작에 대해 도 5를 참조하여 보다 상세히 설명하면 다음과 같다.The operation of generating and storing statistical information in the step 404 (S404) will be described in more detail with reference to FIG. 5 as follows.

우선, 상기 통계정보 생성모듈(110)은, 상기 추출된 네트워크 트래픽 데이터 및 유해 트래픽 데이터의 수신정보{프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 port, 목적지(destination) IP(Internet Protocol) 및 port}에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적한다. 또한, 상기 통계정보 생성모듈(110)은, 각 수신정보{프로토콜(protocol), 원천지(source) IP(Internet Protocol) 및 port, 목적지(destination) IP(Internet Protocol) 및 port}에 대한 일(日)별, 시간(時間)별, 분(分)별 해당 유해 트래픽 데이터의 추출횟수를 정렬한다.(S404-1)First, the statistical information generation module 110, the received information (protocol, source IP (Internet Protocol) and port, destination IP (receipt) of the extracted network traffic data and harmful traffic data ( It accumulates BPS (Bit Per Second) and PPS (Packet Per Second) information for each day, hour, and minute for the Internet Protocol) and the port}. In addition, the statistical information generating module 110, for each received information {protocol, source IP (Internet Protocol) and port, destination IP (Internet Protocol) and port} ( Sort the number of times the harmful traffic data is extracted by day, hour, and minute (S404-1).

이와 같이 네트워크 트래픽 데이터 및 유해 트래픽 데이터의 BPS 및 PPS 누적정보와 유해 트래픽 데이터 추출횟수 정렬정보가 생성되고 나면, 통계정보 생성모듈(110)은 분(分)이 변경될 때마다(S404-2의 예) 상기 생성된 분(分)별 BPS 및 PPS 누적정보와 유해 트래픽 데이터 추출횟수 정렬정보를 통계정보 및 보고서 DB(120)에 저장한다(S404-3). As such, after the BPS and PPS accumulation information and harmful traffic data extraction frequency sorting information of the network traffic data and harmful traffic data are generated, the statistical information generating module 110 changes every minute (S404-2). For example, the generated minute BPS and PPS accumulated information and harmful traffic data extraction frequency sorting information are stored in the statistical information and the report DB 120 (S404-3).

또한, 통계정보 생성모듈(110)은 시간(時間)이 변경될 때마다(S404-4의 예) 상기 생성된 시간(時間)별 BPS 및 PPS 누적정보와 유해 트래픽 데이터 추출횟수 정렬정보를 통계정보 및 보고서 DB(120)에 저장한다(S404-5). In addition, the statistical information generating module 110 changes the BPS and PPS accumulated information and harmful traffic data extraction frequency sorting information for each generated time every time the time is changed (YES in S404-4). And it is stored in the report DB (120) (S404-5).

또한, 통계정보 생성모듈(110)은 일(日)이 변경될 때마다(S404-6의 예) 상기 생성된 일(日)별 BPS 및 PPS 누적정보와 유해 트래픽 데이터 추출횟수 정렬정보를 통계정보 및 보고서 DB(120)에 저장한다(S404-7).In addition, the statistical information generating module 110 changes the BPS and PPS cumulative information and harmful traffic data extraction frequency sorting information for each generated day every time the day is changed (YES in S404-6). And it is stored in the report DB (120) (S404-7).

이와 같이 하여 통계정보 생성 및 저장동작이 종료되고 나면(S404-8의 예),웹서버(130)는, PC(140)로부터 실시간으로 보고서 생성이 요청될 때마다 또는 지정 된 보고서 생성주기{일(日)별, 주(周)별, 월(月)별}마다, 상기 통계정보 및 보고서 DB(120)에 저장된 통계정보를 독출하고, 상기 독출된 통계정보를 이용하여 실시간 혹은 일(日)별 혹은 주(周)별 혹은 월(月)별 보고서를 생성한 후(S405), 상기 생성된 보고서를 상기 통계정보 및 보고서 DB(120)에 저장한다(S406).In this way, after the statistical information generation and storage operation is completed (Yes in S404-8), the web server 130, whenever a report generation is requested in real time from the PC 140 or a specified report generation period {day For each day, week, month, and the like, and reads the statistical information and the statistical information stored in the report DB 120, and uses the read statistical information in real time or daily. After generating a star or a weekly or monthly report (S405), the generated report is stored in the statistical information and report DB 120 (S406).

이후, 웹서버(130)에 접속하여 인증절차를 거친 PC(140)로부터 보고서 출력(화면 또는 지면) 요청시(S407의 예), 웹서버(130)는 상기 통계정보 및 보고서 DB(120)에 저장된 보고서를 독출하여 해당 PC(140)로 전송하고, PC(140)는 상기 전송된 보고서를 화면 또는 지면상에 출력한다(S408).Subsequently, upon requesting a report output (screen or page) from the PC 140, which has undergone the authentication procedure by accessing the web server 130 (YES in S407), the web server 130 is connected to the statistical information and the report DB 120. The stored report is read and transmitted to the corresponding PC 140, and the PC 140 outputs the transmitted report on a screen or a page (S408).

상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, the present invention has been described with reference to the embodiments shown in the drawings, which are merely exemplary, and those of ordinary skill in the art to which the present invention pertains should not depart from the spirit and scope of the present invention. It will be apparent that various modifications, changes and equivalent other embodiments are possible without departing. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

상술한 바와 같이, 본 발명에 따른 네트워크 보안 관련 통계정보 생성 장치 및 방법은, 네트워크 트래픽 데이터의 수신정보를 분석하여 통계정보를 생성함으로써 네트워크의 안정성을 확보하도록 하여, 보다 체계적인 실시간 네트워크 보안 관 리가 이루어지도록 한 매우 유용한 발명인 것이다.As described above, the network security related statistical information generating apparatus and method according to the present invention, by analyzing the received information of the network traffic data to generate statistical information to ensure the stability of the network, more systematic real-time network security management is achieved It is a very useful invention.

또한 본 발명은, 상기 생성된 통계정보를 이용하여 보고서를 더 생성함으로써 통계정보를 보다 쉽게 이해할 수 있도록 하여, 네트워크 보안 관리자의 입장을 고려한 매우 용이한 발명인 것이다.In addition, the present invention is a very easy invention in consideration of the position of the network security administrator to make it easier to understand the statistical information by generating a report using the generated statistical information.

Claims (18)

네트워크 트래픽 데이터(network traffic data)를 수집하는 수집모듈; 그리고A collection module for collecting network traffic data; And 상기 수집된 네트워크 트래픽 데이터로부터 각각의 수신정보를 추출하고, 상기 추출된 수신정보에 근거하여 상기 네트워크 트래픽 데이터의 통계정보를 생성하는 통계정보 생성모듈을 포함하는 네트워크 보안 관련 통계정보 생성장치.And a statistical information generating module for extracting respective received information from the collected network traffic data and generating statistical information of the network traffic data based on the extracted received information. 제 1항에 있어서,The method of claim 1, 상기 생성된 통계정보를 저장하는 통계정보 DB; 그리고Statistical information DB for storing the generated statistical information; And 상기 저장된 통계정보를 이용하여 보고서를 생성하는 보고서 생성모듈을 더 포함하는 네트워크 보안 관련 통계정보 생성장치.And a report generation module for generating a report using the stored statistical information. 제 1항 또는 제 2항에 있어서,The method according to claim 1 or 2, 상기 수집된 네트워크 트래픽 데이터 가운데 유해 트래픽 데이터를 구분하는 구분모듈을 더 포함하고,Further comprising a classification module for classifying harmful traffic data from the collected network traffic data, 상기 통계정보 생성모듈은,The statistical information generation module, 상기 구분된 유해 트래픽 데이터로부터 각각의 수신정보를 더 추출하고, 상 기 추출된 수신정보에 근거하여 상기 유해 트래픽 데이터의 통계정보를 더 생성하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성장치.And further extracting respective reception information from the classified harmful traffic data, and further generating statistical information of the harmful traffic data based on the extracted received information. 제 1항 또는 제 2항에 있어서, 상기 통계정보 생성모듈은,The method of claim 1 or 2, wherein the statistical information generating module, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성장치.And extracting the received information from a transmission control protocol (TCP) and an internet protocol (IP) header included in the network traffic data. 제 3항에 있어서, 상기 통계정보 생성모듈은,The method of claim 3, wherein the statistical information generating module, 상기 유해 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성장치.And extracting the received information from a transmission control protocol (TCP) and an internet protocol (IP) header included in the harmful traffic data. 제 1항 또는 제 2항에 있어서, 상기 수신정보는,The method of claim 1 or 2, wherein the received information, 프로토콜(protocol), 원천지 IP(Internet Protocol) 및 port, 목적지 IP(Internet Protocol) 및 port 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성장치.Network security related statistical information generating device comprising at least one of a protocol, a source IP (Internet Protocol) and port, a destination IP (Internet Protocol) and port. 제 6항에 있어서, 상기 통계정보는,The method of claim 6, wherein the statistical information, 상기 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성되는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성장치.Network security associated with the extracted reception information is generated by accumulating the BPS (Bit Per Second) and PPS (Packet Per Second) information for each day, time, minute Statistical information generating device. 제 3항에 있어서, 상기 수신정보는,The method of claim 3, wherein the received information, 프로토콜(protocol), 원천지 IP(Internet Protocol) 및 port, 목적지 IP(Internet Protocol) 및 port 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성장치.Network security related statistical information generating device comprising at least one of a protocol, a source IP (Internet Protocol) and port, a destination IP (Internet Protocol) and port. 제 8항에 있어서, 상기 통계정보는,The method of claim 8, wherein the statistical information, 상기 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성된 정보이고,It is information generated by accumulating BPS (Bit Per Second) and PPS (Packet Per Second) information for each day, time, minute, and the like for the extracted received information. 상기 각 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 해당 유해 트래픽 데이터의 추출횟수를 정렬한 정보를 더 포함하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성장치.And network information related to the number of times of extracting the harmful traffic data by day, time, and minute for each of the received information. 네트워크 트래픽 데이터(network traffic data)를 수집하는 제 1 단계First step of collecting network traffic data 상기 수집된 네트워크 트래픽 데이터로부터 각각의 수신정보를 추출하는 제 2 단계; 그리고A second step of extracting respective received information from the collected network traffic data; And 상기 추출된 수신정보에 근거하여, 상기 네트워크 트래픽 데이터의 통계정보를 생성하는 제 3 단계를 포함하는 네트워크 보안 관련 통계정보 생성방법.And generating a statistical information of the network traffic data based on the extracted received information. 제 10항에 있어서,The method of claim 10, 상기 생성된 통계정보를 저장하는 제 4 단계; 그리고A fourth step of storing the generated statistical information; And 상기 저장된 통계정보를 이용하여 보고서를 생성하는 제 5 단계를 더 포함하는 네트워크 보안 관련 통계정보 생성방법.And generating a report using the stored statistical information. 제 10항 또는 제 11항에 있어서,The method according to claim 10 or 11, wherein 상기 제 1 단계는,The first step is, 상기 수집된 네트워크 트래픽 데이터 가운데 유해 트래픽 데이터를 구분하는 하위 제 1 단계를 더 포함하고,Further comprising a lower first step of classifying harmful traffic data among the collected network traffic data, 상기 제 2 단계는, 상기 구분된 유해 트래픽 데이터로부터 각각의 수신정보 를 더 추출하고, The second step further extracts each received information from the classified harmful traffic data, 상기 제 3 단계는, 상기 추출된 수신정보에 근거하여 상기 유해 트래픽 데이터의 통계정보를 더 생성하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성방법.The third step may further generate statistical information of the harmful traffic data based on the extracted received information. 제 10항 또는 제 11항에 있어서, 상기 제 2 단계는,The method of claim 10 or 11, wherein the second step, 상기 네트워크 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성방법.And extracting the received information from a transmission control protocol (TCP) and an internet protocol (IP) header included in the network traffic data. 제 12항에 있어서, 상기 제 2 단계는,The method of claim 12, wherein the second step, 상기 유해 트래픽 데이터에 포함된 TCP(Transmission Control Protocol) 및 IP(Internet Protocol) 헤더로부터 상기 수신정보를 추출하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성방법.And extracting the received information from a transmission control protocol (TCP) and an internet protocol (IP) header included in the harmful traffic data. 제 10항 또는 제 11항에 있어서, 상기 수신정보는,The method of claim 10 or 11, wherein the received information, 프로토콜(protocol), 원천지 IP(Internet Protocol) 및 port, 목적지 IP(Internet Protocol) 및 port 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성방법.And at least one of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port. 제 15항에 있어서, 상기 통계정보는,The method of claim 15, wherein the statistical information, 상기 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성되는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성방법.Network security associated with the extracted reception information is generated by accumulating the BPS (Bit Per Second) and PPS (Packet Per Second) information for each day, time, minute How to generate statistical information. 제 12항에 있어서, 상기 수신정보는,The method of claim 12, wherein the received information, 프로토콜(protocol), 원천지 IP(Internet Protocol) 및 port, 목적지 IP(Internet Protocol) 및 port 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성방법.And at least one of a protocol, a source IP (Internet Protocol) and a port, a destination IP (Internet Protocol), and a port. 제 17항에 있어서, 상기 통계정보는,The method of claim 17, wherein the statistical information, 상기 추출된 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 BPS(Bit Per Second) 및 PPS(Packet Per Second) 정보를 누적하여 생성된 정보이고,It is information generated by accumulating BPS (Bit Per Second) and PPS (Packet Per Second) information for each day, time, minute, and the like for the extracted received information. 상기 각 수신정보에 대한 일(日)별, 시간(時間)별, 분(分)별 해당 유해 트래 픽 데이터의 추출횟수를 정렬한 정보를 더 포함하는 것을 특징으로 하는 네트워크 보안 관련 통계정보 생성방법.Network security related statistical information generation method further comprises the information of the number of times of extracting the harmful traffic data by day, time, minute for each of the received information; .
KR1020060021880A 2006-03-08 2006-03-08 Apparatus and method of forming statistics data in relation to network security KR101310252B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060021880A KR101310252B1 (en) 2006-03-08 2006-03-08 Apparatus and method of forming statistics data in relation to network security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060021880A KR101310252B1 (en) 2006-03-08 2006-03-08 Apparatus and method of forming statistics data in relation to network security

Publications (2)

Publication Number Publication Date
KR20070092009A true KR20070092009A (en) 2007-09-12
KR101310252B1 KR101310252B1 (en) 2013-09-24

Family

ID=38689597

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060021880A KR101310252B1 (en) 2006-03-08 2006-03-08 Apparatus and method of forming statistics data in relation to network security

Country Status (1)

Country Link
KR (1) KR101310252B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140045096A (en) * 2012-10-08 2014-04-16 에스케이플래닛 주식회사 Device and method for processing security based use statistics
CN104540018A (en) * 2014-12-17 2015-04-22 北京国双科技有限公司 Method and device for processing video abnormal playing data of network television
KR102295348B1 (en) * 2020-11-16 2021-09-03 주식회사 케이사인 Method for Analyzing and Detecting Security Threat of Operational Technology Data

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100617308B1 (en) * 2003-12-18 2006-08-30 한국전자통신연구원 Internet traffic analysing system, method, and storage media providing country-to-country internet traffic analysis results by matrix type
KR20050090640A (en) * 2004-03-09 2005-09-14 유넷시스템주식회사 A system and method for analyzing harmful traffic

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140045096A (en) * 2012-10-08 2014-04-16 에스케이플래닛 주식회사 Device and method for processing security based use statistics
CN104540018A (en) * 2014-12-17 2015-04-22 北京国双科技有限公司 Method and device for processing video abnormal playing data of network television
KR102295348B1 (en) * 2020-11-16 2021-09-03 주식회사 케이사인 Method for Analyzing and Detecting Security Threat of Operational Technology Data

Also Published As

Publication number Publication date
KR101310252B1 (en) 2013-09-24

Similar Documents

Publication Publication Date Title
CN104270392B (en) A kind of network protocol identification method learnt based on three grader coorinated trainings and system
CN111277587A (en) Malicious encrypted traffic detection method and system based on behavior analysis
CN102694733B (en) Method for acquiring network flow data set with accurate application type identification
US7801985B1 (en) Data transfer for network interaction fraudulence detection
CN103179132B (en) A kind of method and device detecting and defend CC attack
CN104115463A (en) A streaming method and system for processing network metadata
CN113612763B (en) Network attack detection device and method based on network security malicious behavior knowledge base
CN103155487A (en) Methods and systems for detecting suspected data leakage using traffic samples
US9231982B2 (en) Data transfer for network interaction fraudulence detection
CN101626323A (en) Method and device for monitoring network data flow
CN105051696A (en) An improved streaming method and system for processing network metadata
CN107454076A (en) A kind of website portrait method
CN108900374A (en) A kind of data processing method and device applied to DPI equipment
CN104079545A (en) Method, device and system for extracting data package filtering rules
KR101310252B1 (en) Apparatus and method of forming statistics data in relation to network security
Cho et al. Aguri: An aggregation-based traffic profiler
CN108322354B (en) Method and device for identifying running-stealing flow account
US20100031273A1 (en) method of supervising a plurality of units in a communications network
CN102271331A (en) Method and system for detecting reliability of service provider (SP) site
CN105025006B (en) A kind of positive information safety operation and maintenance platform
CN111741007A (en) Financial business real-time monitoring system and method based on network layer message analysis
Tellenbach Detection, classification and visualization of anomalies using generalized entropy metrics
KR100969455B1 (en) Home gateway apparatus and method for managing network using tendency and method of managing network using tendency using that
US7266088B1 (en) Method of monitoring and formatting computer network data
US11405358B2 (en) Network security monitoring of network traffic

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160701

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 7