KR20090054140A - Apparatus and method for monitoring abnormal traffic - Google Patents

Apparatus and method for monitoring abnormal traffic Download PDF

Info

Publication number
KR20090054140A
KR20090054140A KR1020070120866A KR20070120866A KR20090054140A KR 20090054140 A KR20090054140 A KR 20090054140A KR 1020070120866 A KR1020070120866 A KR 1020070120866A KR 20070120866 A KR20070120866 A KR 20070120866A KR 20090054140 A KR20090054140 A KR 20090054140A
Authority
KR
South Korea
Prior art keywords
packet size
value
packet
abnormal traffic
traffic
Prior art date
Application number
KR1020070120866A
Other languages
Korean (ko)
Inventor
오준석
이경호
손춘호
김기응
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020070120866A priority Critical patent/KR20090054140A/en
Publication of KR20090054140A publication Critical patent/KR20090054140A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/36Flow control; Congestion control by determining packet size, e.g. maximum transfer unit [MTU]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 비정상 트래픽 감시 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for monitoring abnormal traffic.

본 발명은 운영자가 설정한 측정 주기대로 옥텟값과 패킷수 값을 측정하여 측정 주기 동안의 평균 패킷 크기를 계산하고, 계산한 평균 패킷 크기가 운용자가 설정한 패킷 크기의 상한선과 패킷 크기의 하한선을 벗어나는 패킷의 유출입을 감지하며 비정상 트래픽 감지 경보를 발생하는 방법을 제공한다.The present invention calculates the average packet size during the measurement period by measuring the octet value and the number of packets in the measurement period set by the operator, the calculated average packet size is the upper limit of the packet size set by the operator and the lower limit of the packet size It provides a way to detect outgoing and outgoing packets and to generate an abnormal traffic detection alert.

본 발명은 IP 네트워크 망 관리에 있어 별도의 시스템 투자 비용없이 옥텟값과 패킷수 측정만으로 비정상 트래픽 유입을 감지할 수 있는 효과를 기대할 수 있다.The present invention can be expected to detect the effect of abnormal traffic inflow only by measuring the octet value and the number of packets without additional system investment cost in IP network management.

비정상 트래픽, 옥텟값, 패킷수, 평균 패킷 크기 Unhealthy traffic, octets, packets, average packet size

Description

비정상 트래픽 감시 장치 및 방법{Apparatus and Method for Monitoring Abnormal Traffic}Apparatus and Method for Monitoring Abnormal Traffic}

본 발명은 비정상 트래픽 감시 장치 및 방법에 관한 것으로서, 특히 IP 네트워크 망 관리에 있어 비정상 트래픽 감시 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for monitoring abnormal traffic, and more particularly, to an apparatus and method for monitoring abnormal traffic in IP network management.

인터넷상에서 이루어지는 사이버 공격의 발생 빈도는 인터넷의 급격한 확산과 인터넷을 이용하는 응용의 수가 급격히 증가함에 따라 점점 증가하고 있다. 이로 인하여 입게 되는 피해의 시간적, 경제적 규모는 이전과는 비교할 수 없을 정도로 커지고 있는 실정이다.The incidence of cyber attacks on the Internet is increasing with the rapid spread of the Internet and the rapid increase in the number of applications using the Internet. As a result, the temporal and economic scale of the damage suffered is growing unprecedentedly.

이러한 사이버 공격은 가입자 단에서 위치하는 시스템들을 목표로 하는 공격에서 네트워크 자체의 운용이나 성능에 영향을 미치고 네트워크 서비스 제공 자체를 위협하는 단계에 이르기까지 심각한 문제점을 야기하고 있다.These cyber attacks are causing serious problems, ranging from attacks targeting systems located at the subscriber end to affecting the operation or performance of the network itself and threatening network service provision itself.

도 1은 종래 기술에 따른 이상 트래픽 침입 탐지 장치의 구성을 나타낸 블록 구성도이다.1 is a block diagram showing the configuration of an abnormal traffic intrusion detection apparatus according to the prior art.

관리자는 관리자 인터페이스(10)를 통해 유해 패킷 탐지 모듈(20) 및 이상 트래픽 탐지 모듈(30)을 제어하여 트래픽이 차단되도록 한다. 입력 또는 출력 트래 픽에 실리는 패킷들은 유해 패킷 탐지 모듈(20) 및 이상 트래픽 탐지 모듈(30)을 거치면서 공격성을 검증받게 된다.The administrator controls the harmful packet detection module 20 and the abnormal traffic detection module 30 through the manager interface 10 to block traffic. Packets carried on the input or output traffic are verified through aggressive packet detection module 20 and abnormal traffic detection module 30.

유해 패킷 탐지 모듈(20)은 패킷의 헤더를 분석하여 미리 정의된 유해 패킷 정보(40)에 해당하는지를 분석한다.The harmful packet detection module 20 analyzes the header of the packet and analyzes whether it corresponds to the predefined harmful packet information 40.

이상 트래픽 탐지 모듈(30)은 현재의 IP 별 또는 프로토콜별 패킷 유입량이 미리 설정된 임계치를 초과하고 있는지 검사한다. 유해 패킷 탐지 모듈(20) 및/또는 이상 트래픽 탐지 모듈(30)은 분석 결과 공격성을 지니고 있는 패킷으로 판단하는 경우 현재 트래픽을 자동으로 차단하여 시스템을 보호한다.The abnormal traffic detection module 30 checks whether the current packet inflow for each IP or protocol exceeds a preset threshold. The harmful packet detection module 20 and / or the abnormal traffic detection module 30 may protect the system by automatically blocking the current traffic when it is determined that the packet has aggressiveness as a result of the analysis.

종래 기술의 유해 트래픽 차단 장치는 네트워크 트래픽을 구성하는 패킷의 헤더를 분석하여 미리 정의된 유해 정보와 비교함으로써 패킷의 공격 의도를 판단하는 방법을 사용한다.The harmful traffic blocking apparatus of the related art uses a method of determining an attack intention of a packet by analyzing a header of a packet constituting network traffic and comparing it with predefined harmful information.

종래 기술의 유해 트래픽 차단 장치는 유입되는 비정상 트래픽을 판단하는 경우, 패킷의 헤더를 일일이 분석하여 미리 정의된 유해 정보와 비교해야 하므로 과다 유입되는 트래픽을 분석하는 데 있어 시스템 부하, 비정상 트래픽 추출 에러 등의 문제점이 있었다.When the harmful traffic blocking device of the prior art determines the incoming abnormal traffic, it is necessary to analyze the header of the packet one by one and compare it with the predefined harmful information. Therefore, in analyzing the excessive incoming traffic, system load, abnormal traffic extraction error, etc. There was a problem.

즉, 종래 기술의 유해 트래픽 차단 장치는 네트워크 트래픽을 구성하는 패킷의 헤더에서 포트 정보, 패킷 사이즈 등을 분석하여 하나의 패킷에 대한 비정상 유무를 판단하기 때문에 대량 유입되는 트래픽을 분석하는 데 어려움이 있었다.That is, the harmful traffic blocking apparatus of the prior art has difficulty in analyzing a large amount of traffic because it analyzes the port information, packet size, etc. in the header of the packet constituting the network traffic to determine whether there is an abnormality for one packet. .

이와 같은 문제점을 해결하기 위하여, 본 발명은 IP 기반 네트워크에서 비정상 트래픽 감시 장치 및 방법을 제공하기 위한 것이다.In order to solve this problem, the present invention is to provide an apparatus and method for monitoring abnormal traffic in an IP-based network.

이러한 기술적 과제를 달성하기 위한 본 발명의 특징에 따른 비정상 트래픽 감시 방법은 (a) 네트워크 장비에 접속하여 해당 장비의 인터페이스들을 대상으로 제1 옥텟값과 제1 패킷수 값을 측정하고, 트래픽 측정 주기가 경과한 후, 제2 옥텟값과 제2 패킷수 값을 측정하는 단계; (b) 상기 트래픽 측정 주기 동안 측정된 옥텟값―상기 옥텟값은 상기 제2 옥텟값에서 상기 제1 옥텟값을 뺀 값을 의미함―을 패킷수 값―상기 패킷수 값은 상기 제2 패킷수 값에서 상기 제1 패킷수 값을 뺀 값을 의미함―으로 나누어 평균 패킷 크기를 계산하는 단계; 및 (c) 상기 계산한 평균 패킷 크기가 기설정된 패킷 크기 상한선 값과 기설정된 패킷 크기 하한선 값을 벗어나는 패킷의 유출입을 판단하여 비정상 트래픽 감지 경보를 발생하는 단계를 포함한다.Abnormal traffic monitoring method according to the characteristics of the present invention for achieving the technical problem (a) is connected to the network equipment to measure the first octet value and the first packet number value for the interface of the equipment, the traffic measurement period Measuring a second octet value and a second packet number value after elapsed; (b) an octet value measured during the traffic measurement period, wherein the octet value refers to a value obtained by subtracting the first octet value from the second octet value; and the packet number value is the second packet number. Calculating an average packet size by dividing by a value minus the first packet number value; And (c) generating an abnormal traffic detection alert by determining whether the calculated average packet size exceeds the predetermined packet size upper limit value and the predetermined packet size lower limit value.

본 발명의 특징에 따른 비정상 트래픽 감시 장치는 트래픽 측정 주기, 패킷 크기 상한선 값 및 패킷 크기 하한선 값을 입력받아 저장하는 설정값 입력부; 네트워크 장비에 접속하여 해당 장비의 인터페이스들을 대상으로 상기 트래픽 측정 주기마다 옥텟값과 패킷수 값을 측정하는 트래픽 측정부; 및 상기 측정한 옥텟값과 상기 측정한 패킷수 값을 이용하여 상기 트래픽 측정 주기 동안의 평균 패킷 크기 를 계산하고, 상기 계산한 평균 패킷 크기가 상기 패킷 크기 상한선 값과 상기 패킷 크기 하한선 값을 벗어나는 패킷의 유출입을 감지하여 비정상 트래픽 감지 경보를 발생하는 비정상 트래픽 판단부를 포함한다.Abnormal traffic monitoring apparatus according to an aspect of the present invention comprises a setting value input unit for receiving and storing the traffic measurement period, the packet size upper limit value and the packet size lower limit value; A traffic measurement unit for accessing a network device and measuring an octet value and a packet number value for each traffic measurement period for the interfaces of the corresponding device; And calculating the average packet size during the traffic measurement period using the measured octet value and the measured packet number value, wherein the calculated average packet size is outside the packet size upper limit value and the packet size lower limit value. And an abnormal traffic determination unit for detecting an inflow and outflow and generating an abnormal traffic detection alert.

전술한 구성에 의하여, 본 발명은 IP 네트워크 망 관리에 있어 별도의 시스템 투자 비용없이 옥텟값과 패킷수 측정만으로 비정상 트래픽 유입을 감지할 수 있는 효과를 기대할 수 있다.By the above-described configuration, the present invention can expect the effect of detecting abnormal traffic inflow only by measuring the octet value and the number of packets without additional system investment cost in IP network management.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈", "블록" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. In addition, the terms “… unit”, “… unit”, “module”, “block”, etc. described in the specification mean a unit that processes at least one function or operation, which is hardware or software or a combination of hardware and software. It can be implemented as.

도 2는 본 발명의 실시예에 따른 IP 기반 네트워크에서 비정상 트래픽 감시 시스템의 구성도를 간략하게 나타낸 도면이다.2 is a diagram schematically illustrating a configuration of an abnormal traffic monitoring system in an IP-based network according to an embodiment of the present invention.

비정상 트래픽 감시 시스템은 다수의 네트워크 장비(100) 및 비정상 트래픽 감시 장치(200)를 포함한다.The abnormal traffic monitoring system includes a plurality of network equipment 100 and the abnormal traffic monitoring apparatus 200.

다수의 네트워크 장비(100)는 라우터, 스위치와 같은 IP 네트워크 장비로서, 인터페이스 링크를 흐르는 트래픽의 옥텟(Octet)값과 패킷(Packet)수 값을 주기적으로 측정한다. 또한, 다수의 네트워크 장비(100)는 유입되는 트래픽 중 패킷의 총 크기를 나타내는 옥텟값을 측정하는 옥텟 측정부(미도시)와 패킷수를 측정하는 패킷수 측정부(미도시)를 구비한다. 옥텟값을 측정하고 패킷수 값을 측정하는 방법은 공지된 기술로서 본 발명의 핵심적인 특징이 아니므로 상세한 설명을 생략한다.The plurality of network devices 100 are IP network devices such as routers and switches, and periodically measure octet values and packet number values of traffic flowing through an interface link. In addition, the plurality of network equipment 100 includes an octet measuring unit (not shown) for measuring an octet value indicating the total size of packets among incoming traffic, and a packet number measuring unit (not shown) for measuring the number of packets. The method for measuring the octet value and the packet number value is a well-known technique and is not a key feature of the present invention, and thus detailed description thereof will be omitted.

비정상 트래픽 감시 장치(200)는 별도의 시스템 비용을 부담하지 않고 네트워크 장비(라우터, 스위치 등)(100)에서 제공되는 옥텟값과 패킷수 값을 이용하여 평균 패킷 크기를 계산함으로써 비정상 트래픽 유입을 감지한다. 또한, 비정상 트래픽 감시 장치(200)는 네트워크 장비(100)의 인터페이스를 흐르는 트래픽의 옥텟값과 패킷수 값을 주기적으로 측정하여 초당 비트(Bit Per Second: BPS)와 초당 패킷(Packet Per Second: PPS)을 계산하여 보여준다.The abnormal traffic monitoring apparatus 200 detects an abnormal traffic inflow by calculating an average packet size using octet values and packet number values provided from the network equipment (router, switch, etc.) 100 without incurring a separate system cost. do. In addition, the abnormal traffic monitoring apparatus 200 periodically measures the octet value and the packet number value of the traffic flowing through the interface of the network equipment 100 to determine bits per second (BPS) and packets per second (PPS). Calculate and show).

다음, 도 3을 참조하여 비정상 트래픽 감시 장치(200)의 내부 구성을 상세하게 설명한다.Next, an internal configuration of the abnormal traffic monitoring apparatus 200 will be described in detail with reference to FIG. 3.

도 3은 본 발명의 실시예에 따른 비정상 트래픽 감시 장치(200)의 내부 구성을 나타내는 블록 구성도이다.3 is a block diagram showing the internal configuration of the abnormal traffic monitoring apparatus 200 according to an embodiment of the present invention.

본 발명의 실시예에 따른 비정상 트래픽 감시 장치(200)는 설정값 입력부(210), 트래픽 측정부(220), 데이터 저장부(230), 비정상 트래픽 판단부(240) 및 트래픽 감시 화면 출력부(250)를 포함한다.Abnormal traffic monitoring apparatus 200 according to an embodiment of the present invention is a set value input unit 210, traffic measuring unit 220, data storage unit 230, abnormal traffic determination unit 240 and traffic monitoring screen output unit ( 250).

설정값 입력부(210)는 운용자로부터 트래픽 측정 주기(T), 패킷 크기 상한선 값(MAX)과 패킷 크기 하한선 값(MIN)을 입력받아 저장한다. 여기서, 패킷 크기 상한선 값(MAX)은 정상 트래픽의 장애를 줄 수 있는 패킷 크기의 기준값으로서, 네트워크 성능, 속도를 열화시키는 패킷 크기의 상한선을 의미한다.The set value input unit 210 receives and stores a traffic measurement period T, a packet size upper limit value MAX, and a packet size lower limit value MIN from an operator. Here, the packet size upper limit value MAX is a reference value of a packet size that can impair normal traffic, and means a packet size upper limit that deteriorates network performance and speed.

여기서, 패킷 크기 하한선 값(MIN)은 네트워크를 공격할 목적으로 전송하는 패킷 크기의 기준값으로서, 엄청난 네트워크 부하로 인하여 네트워크 작동 불능으로 만드는 패킷 크기의 하한선을 의미한다. Here, the packet size lower limit value (MIN) is a reference value of the packet size transmitted for the purpose of attacking the network, and means a lower limit of the packet size that makes the network inoperable due to a huge network load.

네트워크를 공격하는 비정상 트래픽은 일반 트래픽에 비하여 패킷 크기가 아주 작거나 큰 특성을 가진다.Abnormal traffic that attacks the network has a very small or large packet size compared to general traffic.

트래픽 측정부(220)는 다수의 네트워크 장비(100)의 인터페이스들에 대한 정보를 파악하고 있으며, 주기적으로 다수의 네트워크 장비(100)에 접속하여 해당 장비의 모든 인터페이스들을 대상으로 옥텟값과 패킷수 값을 측정한다.The traffic measuring unit 220 grasps information on the interfaces of the plurality of network equipments 100, and periodically accesses the plurality of network equipments 100 to octet values and the number of packets for all the interfaces of the equipment. Measure the value.

데이터 저장부(230)는 측정한 옥텟값과 패킷수 값을 각 네트워크 장비(100)의 각 장비별로 구분하여 저장한다.The data storage unit 230 stores the measured octet value and the packet number value for each device of each network device 100.

비정상 트래픽 판단부(240)는 트래픽 측정 주기마다 수신한 옥텟값과 패킷수 값을 이용하여 평균 패킷 크기를 계산하고, 운용자가 설정한 패킷 크기 상한선 값(MAX)과 패킷 크기 하한선 값(MIN)을 벗어나는 패킷의 유출입을 감지하여 '비정 상 트래픽 감지 경보'(화면 표시 및 소리 신호 등)를 발생한다.The abnormal traffic determination unit 240 calculates the average packet size using the octet value and the number of packets received for each traffic measurement period, and calculates the packet size upper limit value MAX and the packet size lower limit MIN set by the operator. It detects outflow and outflow of outgoing packet and generates 'abnormal traffic detection alert' (screen display and sound signal).

트래픽 감시 화면 출력부(250)는 비정상 트래픽 감시 장치(200)의 출력 화면(도 4에 도시된 바와 같이)으로서, 계산된 평균 패킷 크기를 주기적으로 갱신하여 그래프로 표시하는 기능을 한다. 또한, 트래픽 감시 화면 출력부(250)는 도 4에 도시된 바와 같이, X축을 시간값, Y축을 평균 패킷 크기로 표시하고, 패킷 크기 상한선 값(MAX)과 패킷 크기 하한선 값(MIN)을 표시하며, 감시되고 있는 평균 패킷 크기의 그래프를 주기적으로 갱신하여 표시한다.The traffic monitoring screen output unit 250 is an output screen of the abnormal traffic monitoring apparatus 200 (as shown in FIG. 4) and functions to periodically update the calculated average packet size and display it in a graph. In addition, as shown in FIG. 4, the traffic monitoring screen output unit 250 displays an X-axis as a time value and an Y-axis as an average packet size, and displays a packet size upper limit value MAX and a packet size lower limit value MIN. The graph of the average packet size being monitored is periodically updated and displayed.

다음, 도 5를 참조하여 비정상 트래픽 감시 방법을 상세하게 설명한다.Next, the abnormal traffic monitoring method will be described in detail with reference to FIG. 5.

도 5는 본 발명의 실시예에 따른 비정상 트래픽 감시 방법을 설명하기 위한 도면이다.5 is a view for explaining an abnormal traffic monitoring method according to an embodiment of the present invention.

설정값 입력부(210)는 트래픽을 감시하기 위해 트래픽 감시 파라미터(트래픽 측정 주기(T), 패킷 크기 상한선 값(MAX)과 패킷 크기 하한선 값(MIN))를 비정상 트래픽 감시 장치(200)에 입력한다(S100).The set value input unit 210 inputs a traffic monitoring parameter (traffic measurement period T, packet size upper limit value MAX and packet size lower limit value MIN) to the abnormal traffic monitoring apparatus 200 to monitor the traffic. (S100).

트래픽 측정부(220)는 다수의 네트워크 장비(100) 중 하나의 네트워크 장비(100)에 접속하고, 해당 장비의 인터페이스들을 대상으로 시간 t에서 제1 옥텟값(Number of Octets: NO(t))과 제1 패킷수(Number of Packets: NP(t)) 값을 측정하고, 트래픽 측정 주기(T) 시간이 경과한 후, 제2 옥텟값(Number of Octets: NO(t+T))과 제2 패킷수(Number of Packets: NP(t+T)) 값을 측정한다(S102, S104).The traffic measuring unit 220 connects to one network device 100 of the plurality of network devices 100, and has a first octet at a time t for the interfaces of the device. And the first number of packets (NP (t)) and the second octet value (NO (t + T)) after the traffic measurement period (T) time elapses. 2 (Number of Packets: NP (t + T)) value is measured (S102, S104).

비정상 트래픽 판단부(240)는 트래픽 측정 주기 동안 측정된 옥텟값(패킷의 총 크기)을 패킷수 값으로 나누어 평균 패킷 크기(Size of Packet: SP(t+T))를 계 산한다(S106). 즉, 평균 패킷 크기(SP(t+T))는 (제2 옥텟값 - 제1 옥텟값)/(제2 패킷수 값 - 제1 패킷수 값)으로 계산한다.The abnormal traffic determination unit 240 calculates an average packet size (SP (t + T)) by dividing the octet value (packet total size) measured during the traffic measurement period by the number of packets (S106). . That is, the average packet size SP (t + T) is calculated as (second octet value-first octet value) / (second packet number value-first packet number value).

비정상 트래픽 판단부(240)는 계산한 평균 패킷 크기가 패킷 크기 상한선 값(MAX)과 패킷 크기 하한선 값(MIN)을 벗어나는 패킷의 유출입인지 판단한다(S108).The abnormal traffic determination unit 240 determines whether the calculated average packet size is an outflow or inflow of packets that deviate from the packet size upper limit value MAX and the packet size lower limit value MIN (S108).

즉, 비정상 트래픽 판단부(240)는 계산한 평균 패킷 크기가 패킷 크기 하한선 값(MIN)보다 크고 패킷 크기 상한선 값(MAX)보다 작은지 여부를 판단한다(패킷 크기 하한선 값(MIN)<SP(t+T)<패킷 크기 상한선 값(MAX)).That is, the abnormal traffic determination unit 240 determines whether the calculated average packet size is larger than the packet size lower limit value MIN and smaller than the packet size upper limit value MAX (packet size lower limit value MIN <SP ( t + T) <Packet upper limit value (MAX)).

비정상 트래픽 판단부(240)는 계산한 평균 패킷 크기가 패킷 크기 하한선보다 작거나 패킷 크기 상한선보다 큰 경우, 비정상 트래픽으로 감지하여 '비정상 트래픽 감지 경보'를 발생하고(S110), 시간 t에 측정 주기(T)를 갱신한 후(t <- t+T), 단계 S104로 진행한다(S112).The abnormal traffic determination unit 240 detects the abnormal traffic as an abnormal traffic and generates a 'abnormal traffic detection alarm' when the calculated average packet size is smaller than the packet size lower limit or larger than the packet size upper limit (S110). After (T) is updated (t <-t + T), the flow proceeds to step S104 (S112).

비정상 트래픽 판단부(240)는 계산한 평균 패킷 크기가 패킷 크기 하한선보다 크고 패킷 크기 상한선보다 작은 경우, 현재 '비정상 트래픽 감지 경보'가 발생되고 있는지 판단한다(S114). 이어서, 비정상 트래픽 판단부(240)는 현재 '비정상 트래픽 감지 경보'가 발생되는 경우 경보를 해제하고(S116), 현재 '비정상 트래픽 감지 경보'가 발생되지 않는 경우 시간 t에 측정 주기(T)를 갱신한 후(t <- t+T), 단계 S104로 진행한다(S112).The abnormal traffic determination unit 240 determines whether the 'abnormal traffic detection alert' is generated when the calculated average packet size is larger than the packet size lower limit and smaller than the packet size upper limit (S114). Subsequently, the abnormal traffic determination unit 240 releases the alarm when the current 'abnormal traffic detection alarm' is generated (S116), and when the current 'abnormal traffic detection alarm' does not occur, sets the measurement period T at time t. After updating (t <-t + T), the process proceeds to step S104 (S112).

이상에서 설명한 본 발명의 실시예는 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하기 위한 프 로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.The embodiments of the present invention described above are not implemented only by the apparatus and / or method, but through a program for realizing a function corresponding to the configuration of the embodiments of the present invention, a recording medium on which the program is recorded, and the like. The implementation may be easily implemented by those skilled in the art from the description of the above-described embodiments.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

도 1은 종래 기술에 따른 이상 트래픽 침입 탐지 장치의 구성을 나타낸 블록 구성도이다.1 is a block diagram showing the configuration of an abnormal traffic intrusion detection apparatus according to the prior art.

도 2는 본 발명의 실시예에 따른 IP 기반 네트워크에서 비정상 트래픽 감시 시스템의 구성도를 간략하게 나타낸 도면이다.2 is a diagram schematically illustrating a configuration of an abnormal traffic monitoring system in an IP-based network according to an embodiment of the present invention.

도 3은 본 발명의 실시예에 따른 비정상 트래픽 감시 장치의 내부 구성을 나타내는 블록 구성도이다.3 is a block diagram illustrating an internal configuration of an abnormal traffic monitoring apparatus according to an exemplary embodiment of the present invention.

도 4는 본 발명의 실시예에 따른 트래픽 감시 화면 출력부를 통해 표시되는 출력 화면을 나타낸 도면이다.4 is a view showing an output screen displayed through the traffic monitoring screen output unit according to an embodiment of the present invention.

도 5는 본 발명의 실시예에 따른 비정상 트래픽 감시 방법을 설명하기 위한 도면이다.5 is a view for explaining an abnormal traffic monitoring method according to an embodiment of the present invention.

Claims (6)

(a) 네트워크 장비에 접속하여 해당 장비의 인터페이스들을 대상으로 제1 옥텟값과 제1 패킷수 값을 측정하고, 트래픽 측정 주기가 경과한 후, 제2 옥텟값과 제2 패킷수 값을 측정하는 단계;(a) measuring the first octet value and the first packet number value for the interfaces of the corresponding equipment by accessing the network equipment, and after the traffic measurement period has elapsed, measuring the second octet value and the second packet number value. step; (b) 상기 트래픽 측정 주기 동안 측정된 옥텟값―상기 옥텟값은 상기 제2 옥텟값에서 상기 제1 옥텟값을 뺀 값을 의미함―을 패킷수 값―상기 패킷수 값은 상기 제2 패킷수 값에서 상기 제1 패킷수 값을 뺀 값을 의미함―으로 나누어 평균 패킷 크기를 계산하는 단계; 및(b) an octet value measured during the traffic measurement period, wherein the octet value refers to a value obtained by subtracting the first octet value from the second octet value; and the packet number value is the second packet number. Calculating an average packet size by dividing by a value minus the first packet number value; And (c) 상기 계산한 평균 패킷 크기가 기설정된 패킷 크기 상한선 값과 기설정된 패킷 크기 하한선 값을 벗어나는 패킷의 유출입을 판단하여 비정상 트래픽 감지 경보를 발생하는 단계(c) generating an abnormal traffic detection alert by determining whether the calculated average packet size exceeds a predetermined packet size upper limit value and a predetermined packet size lower limit value to flow in and out of the packet; 를 포함하는 비정상 트래픽 감시 방법.Abnormal traffic monitoring method comprising a. 제1 항에 있어서,According to claim 1, 상기 계산한 평균 패킷 크기가 상기 기설정된 패킷 크기 상한선 값보다 크거나 상기 기설정된 패킷 크기 하한선 값보다 작은 경우, 현재 비정상 트래픽 감지 경보가 발생되고 있는지 판단하여 상기 현재 비정상 트래픽 감지 경보가 발생하는 경우 경보를 해제하는 단계When the calculated average packet size is larger than the preset packet size upper limit value or smaller than the preset packet size lower limit value, it is determined whether an abnormal traffic detection alarm is generated and an alarm is generated when the current abnormal traffic detection alarm is generated. Steps to turn it off 를 더 포함하는 비정상 트래픽 감시 방법.Abnormal traffic monitoring method further comprising. 제1 항 또는 제2 항에 있어서,The method according to claim 1 or 2, 상기 기설정된 패킷 크기 상한선 값은 정상 트래픽의 장애를 줄 수 있는 패킷 크기의 상한선을 의미하고, 상기 기설정된 패킷 크기 하한선 값은 네트워크 공격용 패킷으로 네트워크 부하로 인하여 네트워크 작동 불능으로 만드는 패킷 크기의 하한선을 의미하는 것을 특징으로 하는 비정상 트래픽 감시 장치.The predetermined packet size upper limit value refers to an upper limit of a packet size that can impede normal traffic, and the predetermined packet size lower limit value refers to a packet attack lower limit of a packet size that makes a network inoperable due to a network load. Abnormal traffic monitoring device, characterized in that means. 트래픽 측정 주기, 패킷 크기 상한선 값 및 패킷 크기 하한선 값을 입력받아 저장하는 설정값 입력부;A set value input unit configured to receive and store a traffic measurement period, a packet size upper limit value, and a packet size lower limit value; 네트워크 장비에 접속하여 해당 장비의 인터페이스들을 대상으로 상기 트래픽 측정 주기마다 옥텟값과 패킷수 값을 측정하는 트래픽 측정부; 및A traffic measurement unit for accessing a network device and measuring an octet value and a packet number value for each traffic measurement period for the interfaces of the corresponding device; And 상기 측정한 옥텟값과 상기 측정한 패킷수 값을 이용하여 상기 트래픽 측정 주기 동안의 평균 패킷 크기를 계산하고, 상기 계산한 평균 패킷 크기가 상기 패킷 크기 상한선 값과 상기 패킷 크기 하한선 값을 벗어나는 패킷의 유출입을 감지하여 비정상 트래픽 감지 경보를 발생하는 비정상 트래픽 판단부The average packet size is calculated during the traffic measurement period using the measured octet value and the measured packet number value, and the average packet size of the packet is outside the packet size upper limit value and the packet size lower limit value. Abnormal traffic judgment unit that detects the inflow and outflow and generates an abnormal traffic detection alert 를 포함하는 비정상 트래픽 감시 장치.Abnormal traffic monitoring device comprising a. 제4 항에 있어서,The method of claim 4, wherein 상기 패킷 크기 상한선 값과 상기 패킷 크기 하한선 값을 표시하고, 상기 계산한 평균 패킷 크기를 주기적으로 갱신하여 표시하는 트래픽 감시 화면 출력부A traffic monitoring screen output unit for displaying the packet size upper limit value and the packet size lower limit value, and periodically updating and displaying the calculated average packet size. 를 더 포함하는 비정상 트래픽 감시 장치.Abnormal traffic monitoring device further comprising. 제4 항 또는 제5 항에 있어서,The method according to claim 4 or 5, 상기 패킷 크기 상한선 값은 정상 트래픽의 장애를 줄 수 있는 패킷 크기의 상한선을 의미하고, 상기 패킷 크기 하한선 값은 네트워크 공격용 패킷으로 네트워크 부하로 인하여 네트워크 작동 불능으로 만드는 패킷 크기의 하한선을 의미하는 것을 특징으로 하는 비정상 트래픽 감시 장치.The packet size upper limit value refers to an upper limit of a packet size that can impair normal traffic, and the packet size lower limit value refers to a lower limit of a packet size that makes a network inoperable due to a network load as a packet for network attack. Abnormal traffic monitoring device.
KR1020070120866A 2007-11-26 2007-11-26 Apparatus and method for monitoring abnormal traffic KR20090054140A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070120866A KR20090054140A (en) 2007-11-26 2007-11-26 Apparatus and method for monitoring abnormal traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070120866A KR20090054140A (en) 2007-11-26 2007-11-26 Apparatus and method for monitoring abnormal traffic

Publications (1)

Publication Number Publication Date
KR20090054140A true KR20090054140A (en) 2009-05-29

Family

ID=40861360

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070120866A KR20090054140A (en) 2007-11-26 2007-11-26 Apparatus and method for monitoring abnormal traffic

Country Status (1)

Country Link
KR (1) KR20090054140A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100967558B1 (en) * 2010-02-12 2010-07-05 주식회사 한진이엔씨 Method for designation of crossroads number by using octet units in traffic control system
KR101240059B1 (en) * 2011-08-26 2013-03-06 한국과학기술원 System and method for adjusting network traffic measurement interval
CN106357939A (en) * 2016-09-30 2017-01-25 携程旅游信息技术(上海)有限公司 Call traffic monitoring method and monitoring system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100967558B1 (en) * 2010-02-12 2010-07-05 주식회사 한진이엔씨 Method for designation of crossroads number by using octet units in traffic control system
KR101240059B1 (en) * 2011-08-26 2013-03-06 한국과학기술원 System and method for adjusting network traffic measurement interval
CN106357939A (en) * 2016-09-30 2017-01-25 携程旅游信息技术(上海)有限公司 Call traffic monitoring method and monitoring system
CN106357939B (en) * 2016-09-30 2019-02-01 携程旅游信息技术(上海)有限公司 Call traffic monitoring method and monitoring system

Similar Documents

Publication Publication Date Title
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US11374835B2 (en) Apparatus and process for detecting network security attacks on IoT devices
RU129279U1 (en) DEVICE FOR DETECTION AND PROTECTION AGAINST ANOMALOUS ACTIVITY ON DATA TRANSMISSION NETWORKS
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
US7624447B1 (en) Using threshold lists for worm detection
KR101077135B1 (en) Apparatus for detecting and filtering application layer DDoS Attack of web service
KR100561628B1 (en) Method for detecting abnormal traffic in network level using statistical analysis
KR100617310B1 (en) Apparatus for detecting abnormality of traffic in network and method thereof
US20080178294A1 (en) Wireless intrusion prevention system and method
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
EP3158706A1 (en) Ineffective network equipment identification
KR101310487B1 (en) System for managing risk of customer on-demand and method thereof
US20070150955A1 (en) Event detection system, management terminal and program, and event detection method
KR20140088340A (en) APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH
JP6168977B2 (en) System and method for real-time reporting of abnormal internet protocol attacks
CN112422554B (en) Method, device, equipment and storage medium for detecting abnormal traffic external connection
KR20090054140A (en) Apparatus and method for monitoring abnormal traffic
JP6470201B2 (en) Attack detection device, attack detection system, and attack detection method
KR20120071123A (en) Apparatus and method for detecting abnormal traffic
KR101231966B1 (en) Server obstacle protecting system and method
KR20080040257A (en) Method and apparatus for early detecting unknown worm and virus in network level
KR20100057723A (en) Network management apparatus and method thereof, contents providing server for managing network
CN112688938B (en) Network performance measurement system and method based on attack and defense modes
KR20090072436A (en) Internet traffic analysis processing system
JP5752021B2 (en) Attack countermeasure device, attack countermeasure method, and attack countermeasure program

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination