KR20080001303A - Traffic analysis system of the ip network using flow information and method thereof - Google Patents
Traffic analysis system of the ip network using flow information and method thereof Download PDFInfo
- Publication number
- KR20080001303A KR20080001303A KR1020060059645A KR20060059645A KR20080001303A KR 20080001303 A KR20080001303 A KR 20080001303A KR 1020060059645 A KR1020060059645 A KR 1020060059645A KR 20060059645 A KR20060059645 A KR 20060059645A KR 20080001303 A KR20080001303 A KR 20080001303A
- Authority
- KR
- South Korea
- Prior art keywords
- flow
- traffic
- analysis
- module
- application
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
도 1은 본 발명의 실시예에 따른 IP망에서 플로우를 이용한 트래픽 분석장치의 개략적인 구성도이다.1 is a schematic configuration diagram of a traffic analysis apparatus using a flow in an IP network according to an embodiment of the present invention.
도 2는 도 1에 도시된 트래픽 수집기의 상세 구성 블록도이다.FIG. 2 is a detailed block diagram of the traffic collector shown in FIG. 1.
도 3은 도 1에 도시된 트래픽 분석기의 상세 구성 블록도이다.3 is a detailed block diagram of the traffic analyzer illustrated in FIG. 1.
도 4는 본 발명의 실시예에 적용되는 넷 플로우(netflow)의 데이터 그램이다.4 is a datagram of a netflow applied to an embodiment of the invention.
도 5는 본 발명의 실시예에 따라 IP망에서 플로우를 이용하여 트래픽을 분석하는 과정을 나타내는 흐름도이다.5 is a flowchart illustrating a process of analyzing traffic using a flow in an IP network according to an embodiment of the present invention.
본 발명은 IP(Internet Protocol)망에서 플로우를 측정하고 그 특성을 분석하여 각 논리포트를 관리하도록 하는 IP망에서 플로우를 이용한 트래픽 분석장치 및 방법에 관한 것이다.The present invention relates to a traffic analysis apparatus and method using a flow in an IP network to measure the flow in the Internet Protocol (IP) network and analyze its characteristics to manage each logical port.
일반적으로 트래픽(Traffic)은 그 자체가 망(Network) 사업자의 주요한 자산 임과 동시에 망 상태의 모니터링 수단이며 망 설계 자료를 생성하는데 있어 아주 중요한 요소이다.In general, traffic is itself a major asset of a network operator, a means of monitoring network status, and is a very important factor in generating network design data.
IP망에서 트래픽을 분석하기 위해서는 통상적으로 SNMP(Simple Network Management Protocol)라는 프로토콜을 이용하여 망의 주요 장비인 라우터나 스위치의 각 포트 단위로 송수신되는 총량적인 바이트 량 등을 모아서 각각의 NMS(Network Management System)를 통하여 분석하였다.In order to analyze the traffic on the IP network, a network called SNMP (Simple Network Management Protocol) is used to collect the total amount of bytes transmitted and received by each port of a router or switch, which is the main equipment of the network, and to manage each NMS (Network Management). System).
그러나, 망을 통한 서비스가 다양해지고 망의 트래픽 엔지니어링 및 IP 트래픽의 정확한 속성에 기반한 트래픽을 분석하고자 하는 노력이 계속되면서 일련의 IP 패킷의 모음인 플로우(Flow)에 기반한 트래픽 분석에 관심이 집중되고 있다.However, with the diversification of services through the network, and efforts to analyze traffic based on the exact nature of IP traffic and network traffic, attention is focused on traffic analysis based on flow, which is a collection of IP packets. have.
플로우는 같은 특성을 가진 일련의 패킷 모음으로 단방향성을 갖는다.A flow is a unidirectional collection of packets with the same characteristics.
현재 주로 이용되고 있으며, IETF(Internet Engineering Tack Force)와 같은 표준화 기구에서도 참고되고 있는 것은 시스코사에서 개발하여 사용중인 넷 플로우(Netflow)이다.Currently used, and referenced by standardization bodies such as the Internet Engineering Tack Force (IETF), Netflow is developed and used by Cisco.
넷 플로우는 기본적으로 소스 IP(Source IP), 목적지 IP(Destination IP), 어플리케이션 포트 번호, IP 프로토콜 형식, 서비스 형식 및 AS 번호 등 7가지의 주요 필드를 갖는다.Net flow basically has seven main fields: source IP, destination IP, application port number, IP protocol format, service type and AS number.
현재 사용되고 있는 트래픽 측정방식은 주로 장치내의 SNMP MIB(Simple Network Management Protocol Management Information Base) 정보를 이용해서 장치에 속한 각 회선의 트래픽 양을 모니터링하는 방법이 적용되고 있다.Currently, the traffic measurement method is mainly used to monitor the traffic amount of each line belonging to the device by using SNMP Simple Network Management Protocol Management Information Base (MIB) information in the device.
트래픽을 측정하는 방법으로는 크게 능동 측정방식과 수동측정 방식으로 구 분되는데, 능동 측정방식은 테스트 패킷이나 응용 서비스를 발생시키고 망의 성능을 관찰하는 방식으로, 단방향 및 양방향성으로 구분된다.Traffic measurement methods are classified into active measurement methods and passive measurement methods. Active measurement methods generate test packets or application services and observe network performance.
수동 측정방식은 추가적인 패킷의 발생없이 망에 흐르는 트래픽을 수집하고 그 트래픽의 특성을 분석하는 방식으로, 라우터나 스위치 같은 망 장치로부터 데이터를 수집하는 방식과 측정장비를 투입하여 그 회선으로부터 수집하는 방식으로 구분된다.Manual measurement method collects the traffic flowing through the network without generating additional packets and analyzes the characteristics of the traffic.It collects data from network devices such as routers and switches, and collects data from the circuit by inputting measurement equipment. Separated by.
인터넷 접속 서비스를 제공하는 ISP(Internet Service Provider)사업자는 원활한 서비스의 제공을 위하여 망 운용상태를 감시하는 운용관리 시스템을 적용하고 있으며, 이를 이용하여 실제 트래픽의 현황을 모니터링하여 트래픽 관리 및 망 증설을 위한 근거자료를 생성할 수 있도록 한다.ISP (Internet Service Provider) provider that provides Internet access service is applying operation management system to monitor network operation status in order to provide smooth service, and use it to monitor traffic status and expand traffic management. Allows you to generate supporting data for
대부분의 운용관리 시스템은 라우터나 스위치 장비의 포트단에서 SNMP 프로토콜을 이용한 폴링(Polling)방식으로 트래픽 데이터를 수집 가공하여 운용자에게 리포팅한다.Most operation management systems collect and process traffic data by polling using SNMP protocol at the port of router or switch equipment and report it to the operator.
그리고, 넷 플로우를 지원하는 망 장비인 경우 해당 장비에 넷 플로우를 설정하여 원격으로 플로우 데이터를 수집 가공하여 운용자에게 리포팅한다.And, in the case of a network device that supports net flow, the net flow is set in the corresponding device, and the flow data is collected and processed remotely and reported to the operator.
그러나, 이러한 운용관리 시스템에서의 플로우 기반 트래픽 분석은 결과점에서 한계점이 있다.However, the flow-based traffic analysis in such an operation management system has a limitation in the result point.
그 이유는 IP 트래픽 자체가 가지는 유연성 때문에 표준기관인 IETF 산하 IANA(Internet Assigned Numbers Authority)에서 공표한 표준적인 포트와 프로토콜 값을 사용하지 않는 트래픽이 너무 많이 존재하는데, 라우터에서 전송되어오는 넷 플로우 정보에서는 이를 확인할 방법이 없기 때문이다.The reason is that because of the flexibility of IP traffic itself, there is too much traffic that does not use the standard port and protocol values published by the Internet Organization's Internet Assigned Numbers Authority (IANA). Because there is no way to confirm this.
따라서, 네트워크 이용 현황이 실제의 응용 서비스나 응용 프로그램의 이용 현황을 제대로 반영하지 못하고 있다.Therefore, the network usage status does not properly reflect the actual application service or application usage status.
예를 들어, 가장 보편적인 서비스가 되는 웹 트래픽인 경우 IANA에서 공표하고 있는 논리 포트값은 "80", "8080" 등이나, 트래픽을 분석해 보면 이들 "80" 포트를 이용하는 서비스가 모드 HTTP(Hyper Text Transfer Protocol) 프로토콜을 이용하는 웹 트래픽이 아닌 것으로 판명된다.For example, in the case of web traffic that is the most common service, the logical port values published by IANA are "80", "8080", etc. However, when analyzing the traffic, the service using these "80" ports is the mode HTTP (Hyper). It turns out that this is not web traffic using the Text Transfer Protocol protocol.
IP 프로토콜 특성상 "80" 포트를 이용하여 FTP(File Transfer Protocol) 서비스를 이용하여도 트래픽의 전송과 관련하여 아무런 문제가 발생되지 않는다.Due to the nature of the IP protocol, even when using the FTP (File Transfer Protocol) service using the "80" port, no problem occurs regarding the transmission of traffic.
서버 운용자와 사용자 사이에 약속만 이루어진다면 어떠한 논리 포트를 사용하여도 통신이 된다는 점을 이용하여 기업의 인트라넷 내부에서 사용하는 방화벽을 통과하기 위함이라든지, 특정 P2P를 개발하여 이용한다는지 하는 목적으로 이와 같은 비정상적인 트래픽이 실제로 많이 발생되고 있다.This means that if an appointment is made between the server operator and the user, it can communicate using any logical port to pass through the firewall used inside the corporate intranet or to develop and use a specific P2P. There is actually a lot of abnormal traffic.
또한, 특정회사에서 개발한 응용 프로그램이 표준에서는 제한된(Reserved) 포트에 대하여 임의적으로 해석하여 자체적으로 어떤 포트의 대역으로 사용하는 경우도 많이 존재하고 있다.In addition, there are many cases where an application developed by a specific company arbitrarily interprets a reserved port in a standard and uses it as a band of a port itself.
본 발명은 전술한 바와 같은 문제점을 해결하기 위하여 발명한 것으로, 그 목적인 물리적인 광학적 탭을 이용한 트래픽의 미러링으로 패킷을 수집하여 플로우를 생성하고, 생성된 플로우를 분석하여 기존 라우터 기반의 플로우 측정에서는 분 석이 안되는 트래픽을 분석하여 한정된 논리포트의 관리에 효율성을 제공하도록 한 것이다. The present invention has been invented to solve the problems described above, the flow is collected by the packet mirroring of the traffic using the physical optical tap for the purpose, the flow is generated by analyzing the generated flow in the conventional router-based flow measurement It analyzes traffic that is not analyzed to provide efficiency in management of limited logical port.
상기한 목적을 달성하기 위한 본 발명에 따른 IP망에서 플로우를 이용한 트래픽 분석장치는, 스위치와 IP 망간의 물리적 회선을 연결하는 스플리터; 스플리터의 물리적 회선을 미러링하여 실시간으로 패킷을 수집하고, 수집된 패킷의 트래픽을 분석하여 플로우를 생성하며, 플로우별 어플리케이션을 분석하여 그 결과를 트래픽 분석기에 전송하는 트래픽 수집기와; 트래픽 수집기로부터 제공되는 플로우별 어플리케이션의 분석 결과에 대하여 분석 항목별로 통계 데이터를 생성 저장하며, 통계 데이터를 관리자 PC의 화면을 통해 출력하는 트래픽 분석기를 포함한다.Traffic analysis apparatus using the flow in the IP network according to the present invention for achieving the above object, Splitter for connecting the physical line between the switch and the IP network; A traffic collector configured to mirror the physical circuit of the splitter to collect packets in real time, generate a flow by analyzing traffic of the collected packets, and analyze an application for each flow and transmit the result to a traffic analyzer; It generates and stores statistical data for each analysis item for the analysis result of the application for each flow provided from the traffic collector, and includes a traffic analyzer for outputting the statistical data through the screen of the manager PC.
또한, 본 발명에 따른 IP망에서 플로우를 이용한 트래픽 분석방법은, (a) 물리적 회선에서 분주되는 패킷을 수집하여 저장하는 단계; (b) 상기 저장된 패킷들을 모아 하나의 플로우를 생성하는 단계; (c) 상기 생성된 플로우의 어플리케이션 형식을 분석하는 단계; (d) 상기 분석된 어플리케이션 형식에 따라 ID를 삽입하는 단계; (e) ID가 삽입된 플로우를 분석하여 통계 데이터를 생성하는 단계; (f) 통계 데이터를 보고서로 생성하여 관리자에게 제공함과 동시에 파일로 저장 관리하는 단계를 포함한다. In addition, the traffic analysis method using the flow in the IP network according to the present invention, (a) collecting and storing the packets distributed in the physical circuit; (b) gathering the stored packets to create a flow; (c) analyzing an application format of the generated flow; (d) inserting an ID according to the analyzed application format; (e) analyzing the flow into which the ID is inserted to generate statistical data; (f) generating the statistical data as a report and providing the administrator with the storage and managing the file as a file.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기 에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.
또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. In addition, when a part is said to "include" a certain component, which means that it may further include other components, except to exclude other components unless otherwise stated.
또한, 본 명세서에서 기재한 모듈(module)이란 용어는 특정한 기능이나 동작을 처리하는 하나의 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현할 수 있다. In addition, the term module described herein refers to a unit for processing a specific function or operation, which may be implemented in hardware or software, or a combination of hardware and software.
이제 본 발명의 실시예에 따른 IP망에서 플로우를 이용한 트래픽 분석장치 및 방법에 대하여 도면을 참고로 하여 상세하게 설명한다.Now, a traffic analysis apparatus and method using a flow in an IP network according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 IP망에서 플로우를 이용한 트래픽 분석장치의 개략적인 구성도이다.1 is a schematic configuration diagram of a traffic analysis apparatus using a flow in an IP network according to an embodiment of the present invention.
도면에 도시된 바와 같이, 스위치(100)와 IP망(200), 스플리터(Splitter ; 300), 트래픽 수집기(400), 트래픽 분석기(500) 및 관리자 PC(600)를 포함한다.As shown in the figure, the
스위치(100)는 ISP에 설치되어 기가급 회선을 수용한다.The
스플리터(300)는 IP망(200)에 포함되는 라우터(210)와 스위치(300)의 사이에 배치되어 IP망(200)을 수용하는 광전송 라인인 물리적 회선을 접속한다.The
트래픽 수집기(400)는 스플리터(300)의 물리적 회선과 탭 방식으로 접속되며, 스플리터(300)의 물리적 회선을 미러링하여 실시간으로 패킷을 수집하고, 수집 된 패킷의 트래픽을 분석하여 플로우를 생성하며, 플로우별 어플리케이션을 분석하여 그 결과를 트래픽 분석기(500)에 전송한다.The
트래픽 분석기(500)는 상기 트래픽 수집기(400)와 접속되며, 트래픽 수집기(400)로부터 제공되는 플로우별 어플리케이션의 분석 결과를 데이터 베이스(DB)에 저장하며, 데이터 베이스(DB)에 저장된 플로우별 어플리케이션을 분석하여 트래픽을 분석 관리한다.The
플로우의 분석 결과 알 수 없는 트래픽으로 분류되거나 실제의 서비와 다른 서비스로 분류되는 트래픽을 추적 관리한다.As a result of analyzing the flow, traffic that is classified as unknown traffic or classified as a service different from the actual service is tracked.
관리자 PC(600)는 상기 트래픽 분석기(500)를 통해 분석되는 결과를 화면을 통해 관리자에게 표시하여 관리자에 의해 각각의 포트에서 비정상적인 트래픽이 발생되지 않도록함으로써, 서비스 접속의 신뢰성 및 서비스 제공 속도가 향상되도록 한다.The manager PC 600 displays the results analyzed by the
도 2는 도 1에 도시된 트래픽 수집기의 상세 구성 블록도이다.FIG. 2 is a detailed block diagram of the traffic collector shown in FIG. 1.
도 2에 도시된 바와 같이, 상기 트래픽 수집기(400)는 패킷 관리부(410), 플로우 관리부(420), 어플리케이션 관리부(430) 및 컨피크(config) 관리부(440)를 포함한다.As shown in FIG. 2, the
상기 패킷 관리부(410)는 스플리터(300)의 물리적 회선을 미리링하여 물리적 회선으로부터 실시간으로 패킷을 수집 관리한다.The
플로우 관리부(420)는 상기 패킷 관리부(410)에서 제공되는 수집된 패킷을 분석하여 플로우를 생성 및 전송한다.The
어플리케이션 관리부(430)는 상기 플로우 관리부(420)에서 생성되어 전송된 각각의 플로우에 대하여 플로우 단위로 해당 어플리케이션을 판별한다.The
어플리케이션의 종류는 단순 L4기반과 복합 L4기반, L7기반 및 세션 기반으로 구분된다.Application types are classified into simple L4 based, complex L4 based, L7 based and session based.
단순 L4기반의 어플리케이션은 IANA에 등록된 논리포트 값을 그대로 사용하는 어플리케이션 그룹으로 "A 형식" 이라하며, 일 예를 들어 http(80), ftp(20,21), telnet(23) 등이 있다.A simple L4-based application is an application group that uses the logical port value registered in IANA as it is called "A type". For example, http (80), ftp (20,21), telnet (23), etc. .
그리고, 단순 L4기반의 어플리케이션중에서 IANA에 등록된 논리포트 값을 지키지 않으나, 트래픽 분석을 통해 분석된 논리포트를 사용하는 어플리케이션으로 "B 형식" 이라 한다.Also, among the simple L4-based applications, the application that does not keep the logical port value registered in IANA, but uses the logical port analyzed through traffic analysis, is called "B type".
복합 L4기반 및 L7기반의 어플리케이션은 IANA에 등록되지 않았거나 사용중인 포트를 임의의 대역으로 이용하는 어플리케이션으로 "C 형식"이라 한다.Complex L4-based and L7-based applications are applications that use ports that are not registered or in use by IANA in any band and are referred to as "type C".
상기 "C 형식"은 패킷의 패이로드 일부를 분석해야만 정확한 어플리케이션으로 분류가 가능한 트래픽 플로우이며, 하나의 포트를 사용하는 것이 아니라 임의의 포트 대역을 순차적 또는 랜덤하게 사용하는 어플리케이션이다.The "C type" is a traffic flow that can be classified as an accurate application only by analyzing a portion of a payload of a packet, and is an application that uses random port bands sequentially or randomly, rather than using a single port.
세션기반의 어플리케이션은 L7기반과 유사하나 하나의 플로우 트래픽을 통해서는 트래픽의 특성을 구분할 수 없으며 몇 개의 입출력 플로우 트래픽의 상관성을 분석하여만 정확한 분석이 가능한 어플리케이션으로, "D 형식" 이라 한다. Session-based application is similar to L7-based, but it is not possible to distinguish the characteristics of traffic through one flow traffic, and it is an application that can be accurately analyzed only by analyzing the correlation of several input / output flow traffic. It is called "D type".
컨피크 관리부(440)는 상기 어플리케이션 관리부(430)에서 적용되는 각각의 옵션을 관리하고, 상기 플로우 관리부(420)에서 플로우의 생성 및 전송에 관련되는 각종 옵션을 관리하며, 트래픽 분석기(500)와의 연동에 관련되는 옵션을 관리한다.The
상기 패킷 관리부(410)는 패킷 수집모듈(411)과 버퍼(412) 및 샘플링 모듈(413)을 포함한다.The
패킷 수집모듈(411)은 네트워크 카드에서 패킷 데이터를 손실없이 수집하여 메모리 공간에 저장하는 기능을 담당한다.The
또한, 각 패킷이 모여 플로우가 생성될 시점에 컨피크 관리부(440)에 의해 관리되는 옵션으로 결정된 패이로드(Payload)를 해당하는 크기만큼 잘라서 플로우 풀에 입력한다.In addition, when each packet is collected and a flow is generated, a payload determined as an option managed by the
상기 패이로드의 관리는 트래픽을 수집하기 이전에 IP의 헤더정보를 제외한 시작시점과 크기가 사전에 설정된다.In the management of the payload, a start time and size except for header information of an IP are set in advance before collecting traffic.
버퍼(412)는 정해진 메모리 공간으로, 상기 패킷 수집모듈(411)에 의해 수집되는 패킷 데이터를 저장한다.The
상기 버퍼(412)의 개수 및 크기는 컨피그 관리부(440)의 관리 옵션에 의해 결정되며, 수정 및 변경이 가능하다.The number and size of the
샘플링 모듈(413)은 데이터의 고속전송이 제공되는 물리적 회선으로부터의 트래픽 수용과 시스템의 용량을 고려하여 효율적인 트래픽 분석을 제공하고자, 상기 버퍼(412)에 저장된 패킷 데이터를 샘플링한다.The
상기 패킷 데이터의 샘플링은 설정된 컨피그 관리부(440)의 관리 옵션에 따라 랜덤(Random) 샘플링과 임의의 위치 샘플링을 수행한다.Sampling of the packet data performs random sampling and random location sampling according to the management option of the configured
또한, 상기 플로우 관리부(420)는 플로우 생성모듈(421)과 플로우 풀(422), 플로우 종료 감시 및 전송모듈(423), 미분류 플로우 관리모듈(424)을 포함한다.In addition, the
플로우 생성모듈(421)은 패킷 관리부(410)에 샘플링 완료되어 저장되어 있는 패킷을 하나씩 엑세스하여 플로우로 생성한 다음 플로우 풀(422)에 저장한다.The
상기 플로우 풀(422)에 생성한 플로우를 저장함에 있어 새로운 생성된 플로우인 경우 추가하고, 기존에 저장되어 있는 플로우 인 경우 해당되는 플로우를 찾아서 "패킷량, 바이트 량" 등의 값을 업데이트한다.In storing the generated flow in the
플로우 풀(422)은 상기 플로우 생성모듈(421)에 의해 생성되는 플로우를 저장하는 메모리 공간으로, 생성된 플로우가 트래픽 분석기(500)에 전송되기까지 저장한다.The
플로우 종료감시 및 전송모듈(423)은 생성되는 플로우를 감시하여 생성이 완료되면 트래픽 분석기(500)에 전송하고, 전송이 완료된 해당 플로우를 상기 플로우 풀(422)에서 삭제한 다음 그 결과를 트래픽 분석기(500)에 제공한다. The flow end monitoring and
상기 플로우 종료 감시 및 전송모듈(423)은 플로우의 전송을 종료하는 시점에 어플리케이션 판별부(430)에 'Srclp', 'dsclp', '프로토콜 ID', '논리 포트값', 패이로드(payload)' 값을 전송하며, 그 결과를 리턴받아 플로우의 생성 결과값에 해당 어플리케이션 ID 값을 넣어서 전송한다.The flow end monitoring and
미분류 플로우 관리모듈(424)은 어플리케이션 판별부(430)에서 "판정불가"로 판명된 플로우에 대해서는 풀로우 풀(422)에 있는 정보와 패이로드 정보를 파일로 저장하며, 추후에 트래픽 분석기(500)로 전달하여 사후 분석을 위한 데이터로 활용되도록 한다.The unclassified
또한, 상기 어플리케이션 판별부(430)는 포트 분석모듈(431)과 패이로드 분석모듈(432) 및 세션 분석모듈(433)을 포함한다.In addition, the
포트 분석모듈(431)은 플로우에서 일정한 논리 포트의 값이나 대역을 사용하는 것으로 구분되어지는 어플리케이션을 판별한다.The
상기 포트 분석모듈(431)은 이전의 트래픽 분석 결과를 반영한 내용을 트래픽 분석기(500)의 DB에 저장되어 있는 각 어플리케이션과 해당되는 논리 포트의 대역값을 시스템이 가동될 때 컨피그 관리부(440)의 연동을 통해 다운로드 받아 어플리케이션의 판별에 적용한다.The
패이로드 분석모듈(432)은 포트 분석모듈(431)을 통해 판별이 불가능한 플로우인 경우 함께 저장되는 패킷의 패이로드를 분석하여 어플리케이션을 판별한다.The
상기 패이로드 분석모듈(432)은 트래픽 분석기(500)의 DB에 저장되어 있는 각 어플리케이션 별 패이로드의 특성 정보를 컨피그 관리부(440)의 연동을 통해 다운로드 받아 플로우의 어플리케이션을 판별한다.The
세션 분석모듈(433)은 상기 패이로드 분석모듈(432)을 통해 판별이 불가능한 플로우인 경우 기 설정된 개수 만큼의 플로우를 저장한 다음 한꺼번에 모아서 판별을 시도하고 분석 룰에 따라 해당하는 어플리케이션을 판별한다.In the case where the flow cannot be determined through the
상기 세션 분석모듈(433)을 통해 어플리케이션의 판별이 불가능한 플로우에 대해서는 어플리케이션의 분석불가 판정을 내리고, 그 결과를 플로우에 실어 트래픽 분석기(500)로 전송하며 그에 대한 로그 정보를 기록 저장한다.For the flow in which the application cannot be determined through the
또한, 상기 컨피크 관리부(440)은 룰 관리모듈(441)과 플로우 관리모듈(442) 및 연동 관리모듈(443)을 포함한다.In addition, the
룰 관리모듈(441)은 정확한 플로우 트래픽을 분석하기 위하여 트래픽 분석기(500)와 연동하여 어플리케이션 분석에 적용하는 룰(rule)을 관리한다.The
상기 룰 관리모듈(441)에 의해 관리되는 룰(rule)은 패킷 관리부(410)에서 적용되는 패이로드 분석을 위하여 헤더를 제외하고 저장하게 되는 플로우의 시작점과 크기, 패킷 관리부(410)의 버퍼 개수와 크기, 전체 적용되는 룰의 개수 및 세션기반의 어플리케이션 분석을 위해 적용되는 룰의 개수이다.Rules managed by the
플로우 관리모듈(442)은 플로우에 관련된 설정의 내용을 관리하는 기능을 담당한다.The
상기 플로우 관리모듈(442)의 세부기능은 패킷 관리부(410)에서 적용되는 샘플링 비(Sampling rate), 플로우 관리부(420)에서 적용되는 플로우 풀(422)의 크기, 플로우 풀(422)에서의 플로우 유지시간(active time), 새로운 플로우로 인식하는 패킷간의 시간차 등을 관리한다.Detailed functions of the
연동 관리모듈(443)은 트래픽 분석기(500)와의 데이터 연동을 담당한다.The
상기 트래픽 분석기(500)와 연동되는 정보는 룰 적용모듈(441)과 플로우 관리모듈(442)에서 사용되는 각종 옵션, 트래픽 분석기(500)로 통보되는 시스템 장애정보, 원격으로 트래픽 수집시작/종료 등을 통지하는 가동 정보이다.The information associated with the
도 3은 도 1에 도시된 트래픽 분석기의 상세 구성 블록도이다.3 is a detailed block diagram of the traffic analyzer illustrated in FIG. 1.
도시된 바와 같이, 트래픽 분석기(500)는 시스템 관리부(510), 트래픽 프로파일 관리부(520), 트래픽 통계 처리부(530), 보고서 관리부(540) 및 화면관리 부(550)를 포함한다.As shown, the
시스템 관리부(510)는 트래픽 분석기(500)의 운영에 따른 프로세서 관리, 로그 및 백업 관리, 데이터 파일의 관리를 수행한다.The
트래픽 프로파일 관리부(520)는 IANA에서의 프로토콜과 논리포트를 주기적으로 연동하여 ID를 관리하고, 실제적으로 망에서 수집된 트래픽을 분석하여 그 결과를 반영하며, 트래픽 분석에 요구되는 각종 룰(rule)을 관리한다.The
상기 트래픽 통계 처리부(530)는 트래픽 수집기(400)로부터 플로우 트래픽의 수집 분석하여 각 항목별 통계 데이터의 생성과 통계 정보를 분석한다.The traffic
보고서 관리부(540)는 상기 트래픽 통계 처리부(530)에서 분석된 각 항목별 통계 데이터의 보고서를 생성하여 파일로 저장 관리하며, 보고서 생성에 대한 스케즐을 관리한다.The
화면 관리부(550)는 트래픽 분석 결과의 통계 데이터를 관리자 PC(600)의 화면에 표시함에 있어 제반 동작을 관리한다.The
상기 시스템 관리부(510)는 프로세스 관리모듈(511)과 로그 및 백업 관리모듈(512) 및 데이터 관리모듈(513)을 포함한다.The
프로세스 관리모듈(511)은 주요 프로세스의 실행 상태를 감시하며 그 결과를 관리화면에 리포팅하는 프로세스 모니터링 기능, 주요 프로세스의 원인 모를 다운이나 메모리 고갈에 의한 다운이 일어나는 경우 관리화면에 리포팅하고 그 결과를 로그 데이터로 저장하는 장애관리 기능, 주요 프로세서가 다운되거나 주고받은 데이터가 없을 경우 해당되는 프로세스를 재실행시키며 그 결과를 로그 데이터로 저 장하는 자동 실행기능을 수행한다.The
로그 및 백업 관리모듈(512)은 트래픽 수집기별 로그 항목과 트래픽 분석기의 로그 항목을 관리 설정하는 로그 관리 기능, 백업 대상 테이블 및 백업주기를 관리하고 시스템 타임 등을 이용하여 설정된 시간에 해당 테이블을 파일 형태로 저장하여 지정된 디렉토리나 원격지에 전송하는 DB 백업 기능, 트래픽 수집기와 분석기내의 각종 시스템 환경변수에 해당되는 값들을 백업하여 버전별로 저장하고 향후 설정된 버전을 읽어서 시스템의 모든 환경변수를 자동으로 설정시켜 관리자 입력할 필요가 없도록 하는 시스템 환경변수 백업 기능을 수행한다.The log and
데이터 관리모듈(513)은 데이터의 전송 주기 및 모드를 관리하며, 분석 실패로 판정된 플로우 데이터를 그대로 저장하여 원격지의 FTP로 전송하는 기능을 수행한다.The
또한, 상기 트래픽 프로파일 관리부(520)는 ID 관리모듈(521)과 어플리케이션 관리모듈(522) 및 룰 관리모듈(523)을 포함한다.In addition, the
ID 관리모듈(521)은 주기적으로 IANA에서 관리하고 있는 프로토콜 및 논리포트의 정보를 다운받아 분석한 다음 현재 사용하고 있는 프로토콜 포맷과 논리 포트의 정보를 갱신하며, 이에 대한 정보를 트래픽 수집기(400)에 통지한다.The
또한, 트래픽 분석 결과가 "분석 불가"로 판정되어 트래픽 수집기(400)에서 전달되어온 플로우의 패이로드를 분석하여 새로운 어플리케이션으로 판정되는 경우와 관리자의 판단에 의하여 새로운 어플리케이션이 입력되는 경우 새로운 어플리케이션을 등록하고 ID를 부여한다.In addition, when the traffic analysis result is determined to be "unavailable" and the payload of the flow delivered from the
어플리케이션 관리모듈(522)은 트래픽 분석 결과로 표시되는 어플리케이션의 표기와 분석되는 어플리케이션을 정의하고, 룰 관리모듈(523)에서 ID를 읽어와 저장 관리한다.The
즉, IANA에 등록되어 있는 논리포트의 내용과 실제 IP 패킷의 트래픽이 동일하더라도 식별성이 저하되므로, IANA의 디스크립션(Description)정보 이외에 해당 어플리케이션 명을 추가한다.That is, even if the contents of the logical port registered in the IANA and the traffic of the actual IP packet are the same, the identification is deteriorated. Therefore, the application name is added in addition to the description information of the IANA.
또한, 고정된 논리포트를 사용하는 어플리케이션일지라도 IANA의 등록값을 위배하여 사용하는 어플리케이션이 존재하게 되므로, 이에 대하여 논리포트에 해당 어플리케이션 명을 추가한다.In addition, even if an application uses a fixed logical port, there is an application that violates the registered value of IANA. Therefore, the application name is added to the logical port.
또한, 플로우의 패이로드 분석이 필요로 하는 어플리케이션 명을 추가하며, 하나의 플로우가 아니라 몇 개의 플로우를 동시에 분석해야 하는 어플리케이션 명을 추가한다.In addition, an application name required for payload analysis of flows is added, and an application name for analyzing several flows simultaneously instead of one flow is added.
룰 관리모듈(523)은 각 어플리케이션 ID에 해당하는 룰을 저장 및 관리한다.The
상기 룰 관리모듈(523)에서 관리되는 값은 룰 ID, 해당하는 플로우의 어플리케이션 ID, 플로우를 구성하는 패킷들의 프로토콜 ID, 플로우의 송신측인 소스 IP, 플로우의 수신측인 목적지 IP, 소스 포트, 목적지 포트, 시그너처의 IP 헤더를 제외한 시작 포인트, 시그너처로 인식되는 텍스트나 바이트값, 플로우 형식, 상하향 방향의 구분, 플로우의 패이로드 내에서 시그너처의 발생회수 등을 포함한다.The value managed by the
또한, 상기 트래픽 통계처리부(530)는 플로우 정보 수집모듈(531)과 통계정보 처리모듈(532) 및 통계정보 분석모듈(533)을 포함한다.In addition, the traffic
플로우 정보 수집모듈(531)은 원격지에 위치한 트래픽 수집기로부터 수집되는 플로우 패킷을 메모리 공간인 버퍼(도시되지 않음)에 저장한다.The flow
상기 버퍼는 트래픽 수집기의 개수 많큼 생성되고, 크기는 시스템 관리부(510)의 프로세스 관리모듈(511)에 의해 조정된다.The buffer is generated as many as the number of traffic collectors, and the size is adjusted by the
통계정보 처리모듈(532)는 상기 버퍼에 저장된 각각의 플로우를 모아 각각의 트래픽 수집기(400)별, 등록된 분석 항목별 통계 데이터를 생성한다.The statistical
상기 통계 데이터는 각 트래픽 수집기(400)에 대하여 프로토콜 ID 값을 기준으로 바이트량, 패킷량, 플로우량 등으로 생성하며, 생성된 통계 데이터를 보고서 관리부(540)에 전송한다.The statistical data is generated for each
또한, 논리 포트값, 발신 IP별, 착신 IP별, 어플리케이션 형식별, 어플리케이션 ID별 등을 기준으로 바이트량, 패킷량, 플로우량 등으로 통계 데이터를 생성한다.Statistical data is generated based on the logical port value, the originating IP, the destination IP, the application type, the application ID, and the like based on the byte amount, the packet amount, the flow amount, and the like.
통계정보 분석모듈(533)은 상기 통계정보 처리모듈(532)를 통해 생성된 각 트래픽 수집기(400)별 각 분석 항목별 통계 정보를 각각의 데이터 베이스 테이블에 저장하고, 전체 보고서 생성에 필요한 2차적 통계 데이터를 생성한다.Statistical
또한, 상기 보고서 관리부(540)는 보고서 생성모듈(541)과 보고서 항목 관리모듈(542) 및 스케즐 모듈(543)을 포함한다.In addition, the
보고서 생성모듈(541)은 통계정보 처리모듈(532)에서 생성된 통계 데이터를 기준으로 시간별 통계 데이터를 생성하여 데이터 베이스에 저장한다.The
그리고 상기 스케즐 모듈에 등록되어 시점에서 데이터 베이스에 저장된 통계 데이터를 조회하여 일별, 주별, 월별 통계 데이터를 보고서 생성하고, 그 내용을 파일로 저장한다.In addition, the statistical data stored in the database at the time point registered in the schedule module is searched to generate daily, weekly and monthly statistical data, and the contents are stored in a file.
보고서 항목 관리모듈(542)은 화면관리부(550)를 통해 관리자가 트래픽 수집기(400)별로 등록한 보고서 항목을 저장 관리한다.The report
상기 보고서 항목을 저장함에 있어, 보고서 항목별로 버퍼와 통계 처리가 수행되므로 시스템의 부하와 용량을 고려하여 등록 관리된다.In storing the report item, since the buffer and statistical processing is performed for each report item, registration is managed in consideration of the load and capacity of the system.
스케즐 관리모듈(543)은 등록 관리되는 각 트래픽 수집기(400)별, 일별, 주별, 월별, 년별 스케즐에 따라 보고서 생성에 대한 스케즐을 관리한다.The
상기 화면관리부(550)은 사용자 관리모듈(551)과 실시간 조회모듈(552) 및 보고서 조회모듈(553)을 포함한다.The
사용자 관리모듈(551)은 등록된 사용자의 권한에 따른 트래픽 분석 결과 조회 및 보고서 조회를 위하여 사용자의 생성 및 삭제와 권한 관리를 처리한다.The
실시간 조회모듈(552)는 트래픽 상세 결과를 설정된 시간, 바람직하게는 5분 단위로 트래픽 통계 처리부(530)의 통계정보 처리모듈(532)에서 가공하여 버퍼에 저장된 값을 읽어 그래프나 표의 형태로 표시하여 한다.The real-
보고서 조회모듈(553)은 데이터 베이스에 저장되어 있는 통계 결과값을 읽어 그래프나 표의 형태로 표시되도록 한다.The
전술한 바와 같은 기능을 포함하여 구성되는 본 발명의 실시예에 따른 IP망에서 플로우를 이용한 트래픽 분석장치의 트래픽 분석에 대한 동작을 도 5를 참조하여 설명한다.An operation of traffic analysis of the traffic analysis apparatus using the flow in the IP network according to the embodiment of the present invention including the above-described function will be described with reference to FIG. 5.
도 5는 본 발명의 실시예에 따라 IP망에서 플로우를 이용하여 트래픽 분석을 수행하는 흐름도이다.5 is a flowchart illustrating a traffic analysis using a flow in an IP network according to an embodiment of the present invention.
본 발명에 따른 트래픽 분석장치의 활성화가 이루어지면, 트래픽 수집기(400)의 패킷 관리부(410)내의 패킷 수집모듈(411)은 물리적 회선을 접속하고 있는 스플리터(300)로부터 분주되는 패킷을 수집하여 버퍼(412)에 그 내용을 저장한다(S101).When the traffic analysis apparatus according to the present invention is activated, the
이때, 수집되는 패킷에 대하여 컨피그 관리부(440)에서 설정되는 샘플링 옵션이 설정되어 있으면 샘플링 모듈(413)은 버퍼(412)에 저장되는 패킷에 대하여 시스템의 용량을 고려하여 설정된 비율로 샘플링하여 저장한다.At this time, if the sampling option set by the
상기와 같이 패킷 관리부(410)내의 버퍼(412)에 샘플링된 패킷이 저장되면 플로우 관리부(420)내의 플로우 생성모듈(421)은 저장된 패킷들을 엑세스하여 하나의 플로우를 생성한다(S102).When the sampled packet is stored in the
상기 생성되는 플로우가 일 예를 들어 넷 플로우인 경우 도 4에 도시된 바와 같은 데이터 포맷의 구조를 갖는다.For example, when the generated flow is a net flow, the flow has a data format as shown in FIG. 4.
그리고, 생성된 플로우와 동일한 플로우가 플로우 풀(422)에 저장되어 있는지를 확인하여 저장되어 있는 플로우이면 해당 플로우의 업데이트를 실행시키고, 저장되어 있지 않은 플로우이면 새로운 플로우로 저장하는 플로우 관리를 실행한다(S103).Then, it is checked whether the same flow as the generated flow is stored in the
플로우 종료감시 및 전송모듈(423)은 플로우 풀(422)을 모니터링하여 종료된 플로우가 검출되는지 판단한다(S104).The flow end monitoring and
상기 S104의 판단에서 종료된 플로우가 검출되지 않으면 상기 S101의 단계로 리턴하여 전술한 동작을 반복적으로 실행하고, 종료된 플로우가 검출되었으면 이를 플로우 풀(422)에서 꺼내어 어플리케이션 판별부(430)로 전송한다.If the flow is not detected by the determination of S104, the flow returns to the step S101 to repeatedly execute the above-described operation. If the flow is detected, the flow is removed from the
어플리케이션 판별부(430)는 패킷 관리부(410)로부터 전송된 플로우에 대하여 어플리케이션의 판별하여 어플리케이션의 형식을 구분한다(S105)(S106).The
상기 판변된 어플리케이션 형식의 구분은 포트 분석모듈(431)을 이용한 논리포트의 분석과 패이로드 분석모듈(432)을 이용한 패이로드의 분석 및 세션 분석모듈(433)을 이용한 세션 분석으로 결정된다.The classification of the determined application type is determined by analysis of the logical port using the
상기 S106에서 어플리케이션의 형식이 하나의 플로우 트래픽을 통해서는 트래픽의 특성을 구분할 수 없으며 몇 개의 입출력 플로우 트래픽의 상관성을 분석하여만 정확한 분석이 가능한 "D 형식" 이면 세션을 저장하며(S107), 세션이 종료되었는지 판단한다(S108).If the type of the application in the step S106 can not distinguish the characteristics of the traffic through a single flow traffic, and the "D format" that can be accurately analyzed only by analyzing the correlation of several input and output flow traffic, the session is stored (S107) It is determined whether the operation has ended (S108).
상기 S106에서 어플리케이션의 형식이 "D"형식으로 판단되었으나 분석이 불가한 경우 분석 불가에 대한 로그 파일을 생성하고 그에 대한 정보를 FTP로 전송한다(S109).If it is determined in S106 that the format of the application is a "D" format, but analysis is not possible, a log file for analysis cannot be generated and information on the transmission is transmitted by FTP (S109).
상기 S108의 판단에서 세션의 종료가 판정되면 해당 플로우에 어플리케이션 ID를 삽입한다(S110).If it is determined in step S108 that the session is terminated, an application ID is inserted into the flow (S110).
또한, 상기 S106에서 어플리케이션의 형식이 IANA에 등록된 논리포트 값을 그대로 사용하는 "A 형식"이거나 IANA에 등록된 논리포트 값을 지키지 않으나, 트래픽 분석을 통해 분석된 논리포트를 사용하는 "B 형식" 혹은 IANA에 등록되지 않 았거나 사용중인 포트를 임의의 대역으로 이용하는 "C 형식"으로 판정되면 해당 플로우에 어플리케이션 ID를 삽입한다(S110).In addition, in S106, the format of the application is "A type" using the logical port value registered in IANA as it is or "B type" using the logical port analyzed through traffic analysis, although the logical port value registered in IANA is not kept. Or, if it is determined that the "C format" that is not registered in the IANA or the port being used as an arbitrary band, the application ID is inserted into the flow (S110).
상기 S110에서 플로우에 어플리케이션 ID의 삽입이 완료되면 이를 원격지에 설치되는 트래픽 분석기(500)로 전송한다(S111).When the insertion of the application ID is completed in the flow in S110 is transmitted to the
트래픽 분석기(500)내 트래픽 통계 처리부(530)의 플로우 정보 수집모듈(531)은 트래픽 수집기(400)에서 전송되는 플로우를 수집하여 메모리 공간인 버퍼에 임시로 저장하며, 통계정보 처리모듈(532)은 상기 플로우 정보 수집모듈(531)의 버퍼에 저장된 플로우를 엑세스하여 각 트래픽의 분석 항목별로 통계 데이터를 생성한다(S112).The flow
상기 트래픽의 분석 항목의 기준은 프로토콜별, 논리포트별, 발착신 IP 주소별, 어플리케이션별, 어플리케이션 형식별 등으로 구분된다.The criteria of the analysis item of the traffic are divided into protocols, logical ports, source IP address, application, application type, and the like.
또한, 상기 플로우 트래픽의 분석 및 통계 데이터의 생성은 트래픽 프로파일 관리부(52)에서 제공되는 규칙에 따라 실행된다.In addition, the analysis of the flow traffic and the generation of statistical data are executed according to the rules provided by the traffic profile manager 52.
트래픽 통계 처리부(530)는 각 분석 항목별로 생성한 통계 데이터를 데이터를 보고서 관리부(540)에 전송한다.The traffic
따라서, 보고서 관리부(540)내의 보고서 생성모듈(541)은 스케즐 모듈(543)에 등록되어 있는 주기에 따라 보고서 항목 관리모듈(542)에 설정된 항목별로 보고서를 자동 생성 관리하며 생성된 보고서 파일을 화면관리부(550)를 전송하여 화면 관리부(550)의 제어에 따라 관리자 PC(600)의 화면을 통해 그래프 및 표의 형식으로 표시하여 준다(S113).Accordingly, the
또한, 상기 보고서 관리부(540)은 자동 생성된 보고서 파일을 데이터 베이스에 저장하여 트래픽의 상세 속성을 분석하며, 이를 통해 논리포트의 운용을 효율적으로 관리할 수 있도록 한다(S114).In addition, the
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not implemented only through the apparatus and the method, but may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded. Implementation may be easily implemented by those skilled in the art from the description of the above-described embodiments.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
전술한 구성에 의하면, 본 발명의 실시예는 물리적 회선으로부터 패킷을 수집하여 플로우를 생성하고, 생성된 플로우의 어플리케이션 형식을 분석하여 각 분석 항목별로 통계 데이터를 생성함으로써, IP망에 대한 트래픽의 상세 분석을 제공하는 효과가 있다.According to the above-described configuration, an embodiment of the present invention collects a packet from a physical circuit to generate a flow, analyzes an application format of the generated flow, and generates statistical data for each analysis item, thereby providing details of traffic on an IP network. It has the effect of providing an analysis.
또한, IANA에 등록되지 않거나 P2P와 같은 트래픽을 분석할 수 있어 논리포트의 관리에 효율성을 제공하며, 이에 따라 IP망의 고속 서비스를 제공할 수 있는 효과를 기대할 수 있다.In addition, it can analyze traffic such as P2P that is not registered in IANA or provide efficiency in the management of logical ports. Accordingly, the high speed service of IP network can be expected.
즉, 비정상적으로 사용되고 있는 논리포트를 관리하여 한정된 IP망의 자원을 효율적으로 활용할 수 있는 효과를 기대할 수 있다.In other words, it can be expected to manage the logical port that is abnormally used to effectively utilize the resources of the limited IP network.
Claims (30)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060059645A KR100816503B1 (en) | 2006-06-29 | 2006-06-29 | Traffic analysis system of the IP network using flow information and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060059645A KR100816503B1 (en) | 2006-06-29 | 2006-06-29 | Traffic analysis system of the IP network using flow information and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080001303A true KR20080001303A (en) | 2008-01-03 |
KR100816503B1 KR100816503B1 (en) | 2008-03-24 |
Family
ID=39213341
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060059645A KR100816503B1 (en) | 2006-06-29 | 2006-06-29 | Traffic analysis system of the IP network using flow information and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100816503B1 (en) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101042416B1 (en) * | 2009-04-29 | 2011-06-16 | 주식회사 케이티 | Wireless data service monitering device and method for monitoring wireless data service |
KR101047152B1 (en) * | 2009-11-11 | 2011-07-07 | (주)비아이엔솔루션 | Data Driven Traffic Management System and Traffic Management Method |
US8775613B2 (en) | 2010-10-14 | 2014-07-08 | Electronics And Telecommunications Research Institute | Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring |
KR101467942B1 (en) * | 2013-04-24 | 2014-12-02 | 주식회사 윈스 | Fast Application Recognition System and Processing Method Therof |
KR101602189B1 (en) * | 2015-04-28 | 2016-03-11 | 주식회사 넷커스터마이즈 | traffic analysis and network monitoring system by packet capturing of 10-giga bit data |
KR101603124B1 (en) | 2015-05-27 | 2016-03-14 | 김영옥 | Portable multi welding machine |
KR20160071812A (en) | 2014-12-12 | 2016-06-22 | 김영옥 | Multi welding machine |
KR20160085550A (en) * | 2015-01-08 | 2016-07-18 | 주식회사 엘지유플러스 | Method, system and computer readable medium for analysing application contents |
KR20190066741A (en) * | 2017-12-06 | 2019-06-14 | 에스케이텔레콤 주식회사 | System for performing anomaly detection using traffic classification |
WO2020106105A1 (en) * | 2018-11-22 | 2020-05-28 | 고려대학교 산학협력단 | System and method for network traffic monitoring using sampling technique |
KR102120795B1 (en) * | 2018-12-19 | 2020-06-10 | 엑사비스 주식회사 | Method for network inspection saving packet adoptively and system performing the same |
CN115883327A (en) * | 2022-12-08 | 2023-03-31 | 宁波爱信诺航天信息有限公司 | Flow risk warning method and warning system based on feedback mechanism |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100523486B1 (en) * | 2002-12-13 | 2005-10-24 | 한국전자통신연구원 | Traffic measurement system and traffic analysis method thereof |
-
2006
- 2006-06-29 KR KR1020060059645A patent/KR100816503B1/en active IP Right Grant
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101042416B1 (en) * | 2009-04-29 | 2011-06-16 | 주식회사 케이티 | Wireless data service monitering device and method for monitoring wireless data service |
KR101047152B1 (en) * | 2009-11-11 | 2011-07-07 | (주)비아이엔솔루션 | Data Driven Traffic Management System and Traffic Management Method |
US8775613B2 (en) | 2010-10-14 | 2014-07-08 | Electronics And Telecommunications Research Institute | Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring |
KR101467942B1 (en) * | 2013-04-24 | 2014-12-02 | 주식회사 윈스 | Fast Application Recognition System and Processing Method Therof |
KR20160071812A (en) | 2014-12-12 | 2016-06-22 | 김영옥 | Multi welding machine |
KR20160085550A (en) * | 2015-01-08 | 2016-07-18 | 주식회사 엘지유플러스 | Method, system and computer readable medium for analysing application contents |
KR101602189B1 (en) * | 2015-04-28 | 2016-03-11 | 주식회사 넷커스터마이즈 | traffic analysis and network monitoring system by packet capturing of 10-giga bit data |
KR101603124B1 (en) | 2015-05-27 | 2016-03-14 | 김영옥 | Portable multi welding machine |
KR20190066741A (en) * | 2017-12-06 | 2019-06-14 | 에스케이텔레콤 주식회사 | System for performing anomaly detection using traffic classification |
WO2020106105A1 (en) * | 2018-11-22 | 2020-05-28 | 고려대학교 산학협력단 | System and method for network traffic monitoring using sampling technique |
KR102120795B1 (en) * | 2018-12-19 | 2020-06-10 | 엑사비스 주식회사 | Method for network inspection saving packet adoptively and system performing the same |
CN115883327A (en) * | 2022-12-08 | 2023-03-31 | 宁波爱信诺航天信息有限公司 | Flow risk warning method and warning system based on feedback mechanism |
Also Published As
Publication number | Publication date |
---|---|
KR100816503B1 (en) | 2008-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100816503B1 (en) | Traffic analysis system of the IP network using flow information and method thereof | |
EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
US8295198B2 (en) | Method for configuring ACLs on network device based on flow information | |
JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
WO2003107190A1 (en) | Real-time network performance monitoring system | |
JP2014534661A (en) | Method, apparatus and communication network for root cause analysis | |
Mellia et al. | Tstat: TCP statistic and analysis tool | |
Brownlee | Flow-based measurement: IPFIX development and deployment | |
Amrutkar et al. | Why is my smartphone slow? on the fly diagnosis of underperformance on the mobile internet | |
US20050283639A1 (en) | Path analysis tool and method in a data transmission network including several internet autonomous systems | |
Solomon et al. | Network traffic monitoring in an industrial environment | |
Kind et al. | Advanced network monitoring brings life to the awareness plane | |
Cisco | Monitoring VPN Performance | |
Cisco | Monitoring MPLS VPN Performance | |
Cisco | Monitoring MPLS VPN Performance | |
CN116319468B (en) | Network telemetry method, device, switch, network, electronic equipment and medium | |
KR100959663B1 (en) | A web-based system for measuring and diagnosing end-to-end performance of network with high-speed sections and method thereof | |
KR20050100470A (en) | Method and system for traffic information detection integrated of difference networks | |
Krejčí | Network Traffic Collection with IPFIX Protocol | |
KR100597196B1 (en) | Intranet Security Management System and Security Management Method | |
Ditutala | IPDiff–Detecting IP Traffic Changes | |
Uithol et al. | Section 2: Network monitoring based on flow measurement techniques | |
CN118075160A (en) | Method, system and device for determining network link quality | |
Culverhouse et al. | QUALITY OF SERVICE MONITORING AND ACCOUNTING | |
Goff | Distributed Resource Monitoring Tool and its use in Security and Quality of Service Evaluation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
G170 | Publication of correction | ||
FPAY | Annual fee payment |
Payment date: 20130305 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20140304 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20150304 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160304 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20170322 Year of fee payment: 10 |