KR20090062742A - 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법 - Google Patents

플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법 Download PDF

Info

Publication number
KR20090062742A
KR20090062742A KR1020070130170A KR20070130170A KR20090062742A KR 20090062742 A KR20090062742 A KR 20090062742A KR 1020070130170 A KR1020070130170 A KR 1020070130170A KR 20070130170 A KR20070130170 A KR 20070130170A KR 20090062742 A KR20090062742 A KR 20090062742A
Authority
KR
South Korea
Prior art keywords
flow data
analysis
alarm
network equipment
communication network
Prior art date
Application number
KR1020070130170A
Other languages
English (en)
Other versions
KR100938647B1 (ko
Inventor
윤승현
김기원
정유현
이경호
김병식
정형석
남현순
김선미
이병준
박한솔
최인상
권태현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070130170A priority Critical patent/KR100938647B1/ko
Publication of KR20090062742A publication Critical patent/KR20090062742A/ko
Application granted granted Critical
Publication of KR100938647B1 publication Critical patent/KR100938647B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0627Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time by acting on the notification or alarm source

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

플로우 데이터 분석결과에 따라 플로우 데이터를 저장하는 장치 및 방법이 개시된다. 본 발명에 따라 통신 네트워크를 통하여 전송되는 트래픽을 감시하기 위한 플로우 데이터를 분석하여 그 분석 결과에 따라 플로우 데이터를 저장하는 장치는, 통신 네트워크상에 마련되는 플로우 데이터 생성부로부터 플로우 데이터를 수신하고, 수신된 플로우 데이터를 분석하여 경보 발생 조건에 해당하는지의 여부를 판단하는 플로우 데이터 수집 및 분석부와, 상기 분석 결과, 경보 발생 조건에 해당하면 네트워크 장비로부터 플로우 데이터를 수신하여 저장하는 상세분석용 플로우 데이터 저장부를 포함하는 것을 특징으로 한다. 이에 따라, 경보 상황이 발생한 시점에서 즉시 경보 발생을 야기한 트래픽에 대한 플로우 데이터를 자동적으로 확보할 수가 있어 신속하고 정확하게 경보 발생한 원인에 대한 규명을 할 수가 있게 된다.
플로우(flow), 이상 탐지(anomaly detection), 상세 분석, 플로우 데이터 저장

Description

플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및 방법{Apparatus and method for storing flow data according to results of analysis of flow data}
본 발명은 통신 네트워크를 감시하는 분야에 관련되는 것으로, 특히 트래픽 데이터를 분석하는 기술분야와 관련된다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호:2005-S-097-03, 과제명:BcN 통합망 제어 및 QoS/TE 관리 기술개발].
통신 네트워크의 사용자가 늘어나면서, 통신 네트워크를 통해 전송되는 트래픽이 급격하게 증가하고 있다. 트래픽의 특성을 파악하고 통신 네트워크의 이용현황등을 파악함으로써, 효율적으로 네트워크를 운용하려는 시도가 활발히 진행중에 있다.
수동적인(passive) 트래픽 측정 기술로써 플로우 데이터를 이용하는 방식이 있다. 주지하다시피, 플로우 데이터는 일련의 동일한 특성을 가진 패킷의 집합으로 설명할 수 있다. 동일한 특성으로는 발신지 주소(source address), 목적지 주소(destination address), 프로토콜 식별자(protocol ID), 발신지 포트(source port), 목적지 포트(destination port)등이 있다.
플로우 레벨의 분석은 WWW(World Wide Web), ftp(file transfer protocol), 스트리밍 서비스, p2p(peer to peer)등의 응용 세션들에 대한 특성 분석이 가능하다. 이를 위해, Cisco사의 NetFlow 포맷, InMon사의 sFlow 포맷, ntop사의 nflow 포맷등이 제안되고 있다.
플로우 데이터의 한 포맷인 NetFlow는 Cisco사에서 개발한 형식인데, Cisco 라우터 환경에서는 NetFlow 기반의 트래픽 측정이 가능하다. Juniper 라우터에서도 NetFlow 형식을 취하고 있다.
플로우 데이터는 플로우 데이터 생성부에 의해 생성된다. 통신 네트워크 장비(라우터, 스위치등)에 플로우 데이터 생성부를 마련하거나 또는 플로우 데이터 생성부가 구현된 별도의 프로브등을 네트워크에 설치함으로써, 플로우 데이터가 생성될 수 있다.
한편, 인터넷의 확산, 정보에 대한 의존도 상승, 정보 가치의 증가 등에 따라 통신 네트워크를 통한 외부 침입의 가능성이 커지고 있고, 내부인에 의한 정보 유출 및 파괴 또한 계속 증가하고 있다. 이에 따라, 각종 보안 시스템을 이용하여 컴퓨터 시스템 및 네트워크를 보호하는 기술이 연구되고 있다.
접근 제어 시스템(access control system), 인증 시스템(authentication system), 데이터 암호화 시스템(data encryption system), 침입 차단 시스템(fire wall)등은 널리 알려진 보안 시스템이다.
그러나, 단순한 접근 제어나 침입 차단 시스템의 운영만으로는 다양한 보안 사양을 만족시키기가 힘들며, 특히 내부인 혹은 외부인에 의해 반발하는 시스템 및 통신 네트워크 침입(intrusion)을 다루는데 있어서는 앞서 언급한 보안 시스템과는 다른 기술이 필요로 하게 되었다. 침입 탐지 시스템(Intrusion Detection System:IDS)은 시스템이나 네트워크에서 일어나는 각종 침입 행위들을 자동으로 탐지, 보고, 대응하는 시스템이다.
침입 탐지 시스템은, 데이터의 소스를 기반으로 하여 분류하여 볼 때에, 단일 호스트 기반 시스템(단일 호스트로부터 생성되고 모아진 audit data로 침입을 탐지함), 다중 호스트 기반 시스템(여러 호스트로부터 생성되고 모아진 audit data로 침입을 탐지함), 네트워크 기반 시스템(네트워크의 패킷 데이터를 모아 침입을 탐지하는데 사용), 이상(비정상적인) 탐지(anomaly detection) 시스템, 오용 침입 탐지(misuse detection) 시스템(시스템의 알려진 취약점들을 이용하여 공격하는 행위들을 사전에 공격에 대한 특징 정보를 가지고 있다가 탐지하는 방식)등으로 나뉘어 질 수가 있다.
전술한 바와 같이, 바이러스나 해킹에 의해서 통신 네트워크가 불안정해지는 것을 최소화 하기 위해서, 이상 탐지(anomaly detection) 기술이 도입되고 있다. 주지하다시피, 이상 침입(anomaly intrusion)이란 컴퓨터 자원에 대한 비정상적인 행위나 사용에 근거한 침입을 말한다. 이상 탐지는 일반적인 행위패턴으로부터 벗어나는 이상 행위를 탐지하는 것이다. 이상 탐지 방법으로는 통계적인 방법, 특징 추출 방법, 비정상적인 행위 측정 방법, 예측 가능한 패턴 생성 방법, 신경망 사용 방법등이 있다.
트래픽등의 이상 탐지를 위해서, 전송되는 트래픽에 대한 플로우 데이터를 생성하고, 이 플로우 데이터를 수집하고 분석하여 이상 여부를 검사할 수 있다. 이상 여부를 판단하기 위한 조건은 기설정된 이상 탐지 프로그램에 의해 결정될 수 있다. 또는, 이상 여부등과 같은 경보 발생 조건을 사용자가 직접 설정하거나 선택하게 할 수도 있다.
다른 한편, 통신 네트워크상에 마련되는 플로우 데이터 생성부로부터 플로우 데이터를 수신하고, 수신된 플로우 데이터에 대하여 분석을 수행하며, 분석 결과를 출력하는 기술이 공지되어 있다.
그러나, 종래의 기술을 보게 되면, 플로우 데이터를 분석하고 분석 결과를 운용자에게 출력하는 구성에 대해서만 언급하고 있을 뿐이며, 분석 결과가 이상 발생에 해당하는 경우에 구체적으로 어떤 동작을 수행해야 하는지에 대한 측면에서는 구체적인 해결 방안을 제시하고 못하고 있다.
또한, 종래에도 수신되는 플로우 데이터를 저장하고 저장된 플로우 데이터에 대하여 상세분석을 수행하는 기술 자체는 공지되어 있다. 그러나, 필요한 경우에만 선택적이고 자동적으로 플로우 데이터를 저장하는 것이 아니라, 통상적인 검사 과정에서 수신되는 플로우 데이터를 모두 저장부에 저장하도록 하는 방식이다. 따라서, 수많은 저장 공간을 필요로 하던지 아니면 불필요하게 자주 상세 분석을 수행해야 하는 문제점이 발생한다.
만약에 트래픽에 이상이 발생할 경우를 대비한다는 방안으로써, 통상적인 검사 과정에서 수신되는 플로우 데이터를 모두 상세분석용 저장부에 저장하도록 한다 면, 저장자원의 낭비가 심하게 되어 현실적으로 불가능 할 수가 있다.
또한, 만약에 경보 상황이 발생한 시점에서 즉시 경보 발생을 야기한 트래픽에 대한 플로우 데이터를 확보하지 못한다면, 상세 분석을 위해 필요한 트래픽 데이터가 사라진 이후의 새로운 트래픽 데이터가 분석 대상이 되므로, 경보 발생의 원인 규명등과 같은 상세 분석의 정확성이 낮아지게 되며 많은 시간과 노력이 필요로 하게 될 것이다.
따라서 본 발명이 이루고자 하는 기술적 과제는, 플로우 데이터에 대한 분석 결과가 경보 발생에 해당되는 경우에만 자동으로 플로우 데이터를 상세분석용으로 저장하도록 하는 장치 및 방법을 제공하는 것이다.
상기 기술적 과제는, 본 발명에 따라 통신 네트워크를 통하여 전송되는 트래픽을 감시하기 위한 플로우 데이터를 분석하여 그 분석 결과에 따라 플로우 데이터를 저장하는 장치에 있어서, 통신 네트워크상에 마련되는 네트워크 장비로부터 플로우 데이터를 수신하고, 수신된 플로우 데이터를 분석하여 경보 발생 조건에 해당하는지의 여부를 판단하는 플로우 데이터 수집 및 분석부와, 분석 결과, 경보 발생 조건에 해당되면 네트워크 장비로부터 플로우 데이터를 수신하여 저장하는 상세분석용 플로우 데이터 저장부를 포함하는 것을 특징으로 하는 플로우 데이터 저장 장치에 의해서 달성된다.
한편, 상기 기술적 과제는, 통신 네트워크를 통하여 전송되는 트래픽을 감시하기 위한 플로우 데이터를 분석하여 그 분석 결과에 따라 플로우 데이터를 저장하는 방법에 있어서, 통신 네트워크상에 마련되는 네트워크 장비로부터 플로우 데이터를 수신하는 단계와, 수신된 플로우 데이터에 대하여 분석하는 단계와, 분석의 결과가 경보 발생 조건에 해당하면, 네트워크 장비로부터 플로우 데이터를 수신하는 단계와, 경보 발생 경우에 수행하는 상세분석용으로써 수신된 플로우 데이터를 저장하는 단계를 포함하는 것을 특징으로 하는 플로우 데이터 저장 방법에 의해서도 달성된다.
본 발명의 보조적인 양상에 의하면, 플로우 데이터 수집 및 분석부는, 판단 결과가 경보 발생 조건에 해당되나 네트워크 장비가 직접 제어모드를 제공하지 않는 경우에는, 네트워크 장비로부터 플로우 데이터를 수신하여 상기 상세분석용 플로우 데이터 저장부에 전달하는 것을 특징으로 한다.
본 발명의 보조적인 양상에 의하면, 수신된 플로우 데이터를 분석한 결과가 경보 발생 조건이 되는 경우에, 그 경보 발생 조건은 운용자가 설정하는 조건으로서, 적어도 특정 아이피(IP) 주소 정보 또는 특정 포트 정보 또는 특정 시간 정보에 의한 조건인 것을 특징으로 한다.
전술한 바와 같이, 종래에는 플로우 데이터를 분석하고 분석 결과를 운용자에게 출력하는 구성에 대해서만 언급하고 있을 뿐이며, 분석 결과가 이상 발생에 해당하는 경우에 구체적으로 어떤 동작을 수행해야 하는지에 대한 측면에서는 구체 적인 해결 방안을 제시하고 못하고 있다.
만약에 트래픽에 이상이 발생할 경우를 대비한다는 방안으로써, 통상적인 검사 과정에서 수신되는 플로우 데이터를 모두 상세분석용 저장부에 저장하도록 한다면, 저장자원의 낭비가 심하게 되어 현실적으로 불가능 할 수가 있다.
또한, 만약에 이상이 발생한 시점에서 즉시 이상 발생을 야기한 트래픽에 대한 플로우 데이터를 확보하지 못한다면, 상세 분석을 위해 필요한 트래픽 데이터가 사라진 이후의 새로운 트래픽 데이터가 분석 대상이 되므로, 이상 발생의 원인 규명등과 같은 상세 분석의 정확성이 낮아지게 되며 많은 시간과 노력이 필요로 하게 될 것이다.
본 발명은, 플로우 데이터에 대한 분석 결과가 경보 발생에 해당하는 경우에 구체적으로 어떤 동작을 수행해야 하는지에 대한 방안을 제시한다. 특히, 본 발명에 따르면, 트래픽 상황이 경보 발생에 해당하는 경우를 대비한다는 방안에 있어서, 통상적인 검사 과정에서 수신되는 플로우 데이터를 모두 상세분석용 저장부에 저장하도록 하지 않는다. 필요한 시점에서 필요한 플로우 데이터만을 효율적으로 저장할 수 있으므로, 자원을 효율적으로 사용할 수가 있다. 또한 필요없는 데이터가 제외되므로, 상세분석시에 분석 시간을 단축할 수가 있다.
또한, 경보 상황이 발생한 시점에서 즉시 경보 발생을 야기한 트래픽에 대한 플로우 데이터를 자동적으로 확보할 수가 있어 신속하고 정확하게 경보 발생한 원인에 대한 규명을 할 수가 있게 된다.
본 발명의 바람직한 일 실시예에 따르면, 정상적인 측정과정에 해당하는 경우에는 플로우 데이터 수집 및 분석부가 플로우 데이터를 수신하도록 하고, 경보 발생 상황에 이르게 되는 경우에는 상세분석용 플로우 데이터 저장부에서 플로우 데이터를 수신하도록 할 수 있다.
통상적인 검사 과정 도중에 플로우 데이터에 대한 분석 결과가 경보 발생에 해당하는 경우에는, 경보 발생 상태에 대응하여 자동으로 플로우 데이터를 생성하는 네트워크 장비로부터 플로우 데이터를 수신하고, 경보 발생한 경우에 수행하는 상세분석을 위해 필요한 정보로써 수신된 플로우 데이터를 저장하여, 이후에 상세분석부가 저장된 플로우 데이터를 상세히 분석할 수 있도록 한다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세히 설명하기로 한다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 그리고, 본 발명을 설명함에 있어, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 1은 본 발명의 일 실시예에 따른 플로우 데이터 분석 및 제공장치를 도시한 구성도이다.
도 1에 도시되어 있는 바와 같이, 본 발명에 따른 플로우 데이터를 분석한 결과에 따라 이를 저장하는 장치(100)는 플로우 데이터 수집 및 분석부(110)와 상세분석용 플로우 데이터 저장부(120)를 포함하여 구성되는 것을 특징으로 한다.
플로우 데이터 수집 및 분석부(110)는 플로우 데이터 수집부(103), 플로우 데이터 분석 및 제어부(105), 리포트 생성부(107), 리포트 데이터베이스(111) 및 경보 발생부(109)로 구성되어 질 수가 있다.
플로우 데이터 수집부(103)는 플로우 데이터 생성부(101)로부터 예컨대 UDP 패킷으로 전송되는 플로우 데이터를 수집한다. 수집 동작은 플로우 데이터를 수신하는 동작과, 플로우 데이터에서 불필요한 필드를 제거하는 동작등이 될 수 있다. 플로우 데이터로부터 통신 네트워크를 통해 전송되는 트래픽을 측정 및 분석하기 위한 방안으로 통계 처리 동작이 수행될 수 있다. 이때, 이 통계 처리 동작은 플로우 데이터 수집부(103)에서 수행될 수도 있고, 플로우 데이터 분석 및 제어부(105)에서 수행될 수도 있다.
예를 들어, 플로우 데이터 수집부(103)에서 통계 처리를 수행한다고 하면, 플로우 데이터 수집부(103)의 내부에서 멀티 쓰레드(thread)가 내부 메모리에 임시 저장되는 플로우 데이터에 대하여, 통계 데이터를 생성할 수 있다. 통계 데이터의 생성 동작의 일 예로써, 각 쓰레드는 하나의 트래픽 분석 단위가 되는 회선의 모음인 프로젝트 단위로 일차적인 통계데이터를 가공 처리 할 수 있다. 프로젝트 단위로는 지역별, AS(autonomous system)별, ISP별, 논리 포트별, 인터페이스별, 라우터별 프로토콜별로 설계될 수 있다. 또한, 각 쓰레드는 상위 IP에 대한 통계데이터를 가공 처리 할 수 있다. 통계전송을 담당하는 쓰레드는 각 프로젝트별로 1시간 단위로 내부 메모리에 임시 저장된 통계정보를 플로우 데이터 분석 및 제어부(105)로 전달할 수가 있다.
플로우 데이터 분석 및 제어부(105)에서는 통계처리된 정보에 대하여 분석을 수행한다. 물론, 플로우 데이터 분석 및 제어부(105)에서 전술한 통계 처리를 수행할 수도 있다. 예를 들어, 플로우 데이터 분석 및 제어부(105)는 복수개의 통계 데이터에 대하여 별개의 트래픽 분석을 수행할 수 있다. 또한, 리포트 생성부(107)는 트래픽 분석 결과를 운용자에게 출력하며, 트래픽 분석 결과를 리포트 데이터베이스(111)에 저장한다.
플로우 데이터 분석 및 제어부(105)는 분석의 결과가 경보 발생 조건에 해당하는 경우에, 경보 발생부(109)를 제어하여 경보를 발생시킨다. 예를 들어, 경보 발생은 기설정된 주소로의 이메일 전송, 기설정된 휴대폰으로의 단문 메시지 전송등이 될 수가 있다. 플로우 데이터 분석 및 제어부(105)는 본 발명에 따른 플로우 데이터 제공 장치(100)의 전반적인 동작을 제어할 수가 있다.
일실시예에 따르면, 플로우 데이터 분석 및 제어부(105)는 분석의 결과가 경보 발생 조건에 해당하는 경우에, 플로우 데이터를 생성하는 네트워크 장비(101)로 제어신호를 보내어 네트워크 장비(101)로부터 플로우 데이터가 상세분석용 플로우 데이터 저장부(120)로 전송되도록 한다. 물론, 플로우 데이터 분석 및 제어부(105)의 제어에 의해서, 상세분석용 플로우 데이터 저장부(120)가 직접 전송에 필요한 제어신호를 네트워크 장비(101)로 송신할 수도 있다. 전송에 필요한 제어신호에 포함되는 정보로는, 플로우 데이터의 범위, 전송의 종료 판단 조건등이 될 수가 있다. 또한 전송의 종료 조건은 상세분석용 플로우 데이터 저장부(120)나 네트워크 장비(101)에 미리 설정되어 있을 수도 있다.
상세분석용 플로우 데이터 저장부(120)는 플로우 데이터 수신부(113)와 플로우 데이터 데이터베이스(115)를 포함하여 구성되어 질 수가 있다. 플로우 데이터 수신부(113)는 네트워크 장비(120)로부터 전송되는 플로우 데이터를 수신한다. 플로우 데이터 수신부(113)는 예를 들어, 공지의 캡쳐(capture) 기능으로 구현될 수 있다. 그리고, 플로우 데이터 수신부(113)는 경보 발생한 경우에 수행하는 상세분석을 위해 필요한 정보로써 수신된 플로우 데이터를 플로우 데이터 데이터베이스(115)에 저장한다. 플로우 데이터 데이터베이스(115)에 저장되는 정보는 리포트 데이터베이스(111)에 저장되는 분석 결과 정보와는 달리 원시의(raw)의 플로우 데이터가 된다. 따라서, 상세분석부(117)는 플로우 데이터 데이터베이스(115)에 저장된 플로우 데이터에 대하여 상세 분석을 수행할 수가 있다.
네트워크 장비(101)는 통신 네트워크에 설치되는 라우터에 구현될 수가 있다. 또는 네트워크 장비(101)는 통신 네트워크에 설치되는 스위치에 구현될 수가 있다. 또는 네트워크 장비(101)는 통신 네트워크에 독립적으로 설치되는 프로브에 구현될 수가 있다.
한편, 플로우 데이터 분석 및 제어부(105)는 수신된 플로우 데이터에 대하여 분석을 수행하고 경보가 발생 조건에 해당하는지를 검사한다. 예를 들어, 플로우 데이터 분석 및 제어부(105)는 플로우 데이터로부터 이상 트래픽 감지 여부 판단이 되는 통계치를 산출한다. 그리고, 플로우 데이터 분석 및 제어부(105)는 이후 수집되는 플로우 데이터를 분석하여 통계치가 허용하는 범위 이상이 되는 경우를 경보 발생 조건에 해당하는 것으로 판단할 수가 있다. 플로우 데이터 분석 및 제어 부(105)가 플로우 데이터를 분석하여 경보 발생 조건에 해당하는지를 판단하는 기술 자체는 당업자에게는 공지된 기술에 해당된다.
여기서, 수신된 플로우 데이터를 분석한 결과가 경보 발생 조건이 되는 경우에, 그 경보 발생 조건은 이상 탐지 프로그램의 경보 발생 조건이 될 수 있다. 플로우 데이터 수집 및 분석부(110)는 다양한 침입 탐지 시스템(Intrusion Detection System:IDS) 프로그램 중에서, 이상 탐지 프로그램에 의해 동작될 수가 있다. 따라서, 경보 발생 조건은 이상 탐지 프로그램의 조건이 될 수가 있는 것이다.
또한 여기서, 수신된 플로우 데이터를 분석한 결과가 경보 발생 조건이 되는 경우에, 그 경보 발생 조건은 운용자가 설정하는 조건으로서, 적어도 특정 아이피(IP) 주소 정보 또는 특정 포트 정보 또는 특정 시간 정보에 의한 조건이 될 수도 있다.
예를 들어, 전술한 이상 탐지 프로그램은 침입 탐지 프로그램 제조사에서 제공하는 상용의 이상 탐지 프로그램이 될 수도 있다. 또는 경보 발생 조건을 운용자가 직접 설정할 수도 있다. 예를 들어 운용 프로그램의 메뉴 화면에서 특정한 아이피(IP) 주소 정보 또는 특정한 포트 정보 또는 특정한 시간대를 선택하도록 할 수가 있다. 운용자가 직접 조건을 설정할 수 있도록 하면, 특정 사용자나 특정 응용 프로그램의 트래픽을 자동으로 일정시간 동안 수신할 수 있으며, 이는 네트워크 운용을 위한 분석 작업에 매우 유용하다.
도 2는 본 발명의 또 다른 실시예에 따른 플로우 데이터 분석 및 제공방법을 도시한 흐름도이다.
플로우 데이터 수집 및 분석부(110)는 통신 네트워크상에 마련되며 플로우 데이터를 발생시키는 네트워크 장비(101)로부터 플로우 데이터를 수신한다(201). 그리고, 플로우 데이터 수집 및 분석부(110)는 수신된 플로우 데이터에 대하여 분석을 수행한다(203).
플로우 데이터를 사용하여 통신 네트워크를 통해 전송되는 트래픽을 측정 및 분석하기 위한 방안으로 통계 처리 동작이 수행될 수 있다. 이때, 이 통계 처리 동작은 플로우 데이터 수집 및 분석부(110)에 구비되는 플로우 데이터 수집부(103)에서 수행될 수도 있고, 플로우 데이터 분석 및 제어부(105)에서 수행될 수도 있다.
예를 들어, 플로우 데이터 수집부(103)에서 통계 처리를 수행한다고 하면, 플로우 데이터 수집부(103)의 내부에서 멀티 쓰레드(thread)가 내부 메모리에 임시 저장되는 플로우 데이터에 대하여, 통계 데이터를 생성할 수 있다. 통계 데이터의 생성 동작의 일 예로써, 각 쓰레드는 하나의 트래픽 분석 단위가 되는 회선의 모음인 프로젝트 단위로 일차적인 통계데이터를 가공 처리 할 수 있다. 프로젝트 단위로는 지역별, AS(autonomous system)별, ISP별, 논리 포트별, 인터페이스별, 라우터별 프로토콜별로 설계될 수 있다. 또한, 각 쓰레드는 상위 IP에 대한 통계데이터를 가공 처리 할 수 있다. 통계전송을 담당하는 쓰레드는 각 프로젝트별로 1시간 단위로 내부 메모리에 임시 저장된 통계정보를 플로우 데이터 분석 및 제어부(105)로 전달할 수가 있다.
플로우 데이터 분석 및 제어부(105)에서는 통계처리된 정보에 대하여 분석을 수행한다(203). 물론, 플로우 데이터 분석 및 제어부(105)에서 전술한 통계 처리를 수행할 수도 있다. 플로우 데이터 분석 및 제어부(105)는 복수개의 통계 데이터에 대하여 별개의 트래픽 분석을 수행할 수 있다. 또한, 리포트 생성부(107)는 트래픽 분석 결과를 리포트로 만들어 운용자에게 출력하며(205), 트래픽 분석 결과를 리포트 데이터베이스(111)에 저장한다.
그리고, 플로우 데이터 수집 및 분석부(110)는 분석의 결과가 경보 발생 조건에 해당하는 경우에(207), 경보를 발생한다. 또한, 경보가 발생하는 경우에는, 플로우 데이터 수집 및 분석부(110)는 네트워크 장비(101)로 자동적으로 제어명령신호를 보내어 네트워크 장비(101)로부터 플로우 데이터가 상세분석용 플로우 데이터 저장부(120)로 전송되도록 한다(211).
그러면, 상세분석용 플로우 데이터 저장부(120)는 네트워크 장비(101)로부터 플로우 데이터를 수신한다. 예를 들어, 네트워크 장비(101)<->상세분석용 플로우 데이터 저장부(120) 사이에서 직접 송신이 이루어지게 하는 방안으로는, 네트워크 장비(101)에 상세분석용 플로우 데이터 저장부(120)의 IP주소를 저장시키고, 네트워크 장비(101)<->상세분석용 플로우 데이터 저장부(120) 사이에 서로 프로토콜을 설정해 두도록 하는 것으로 구현될 수 있다.
그리고, 상세분석용 플로우 데이터 저장부(120)는 상세분석을 위해 필요한 정보로써 수신된 플로우 데이터를 저장한다(215). 플로우 데이터 데이터베이스(115)에 저장되는 정보는 리포트 데이터베이스(111)에 저장되는 분석 결과 정보와는 달리 원시의(raw)의 플로우 데이터가 된다. 따라서, 상세분석부(117)는 플로 우 데이터 데이터베이스(115)에 저장된 플로우 데이터에 대하여 상세 분석을 수행할 수가 있다.
이하에서는, 본 발명의 추가적인 양상에 대하여 설명하기로 한다. 플로우 데이터 수집 및 분석부(110)는 분석의 결과가 경보 발생 조건에 해당하는 경우에(207), 네트워크 장비(101)의 직접 제어 모드를 제공 여부를 검사한다(209). 경우에 따라서, 어떤 네트워크 장비(101)는 직접 제어 모드를 제공할 수 있고 다른 어떤 네트워크 장비(101)는 직접 제어 모드를 제공하지 못하는 혼재된 상황이 있을 수도 있기 때문이다.
네트워크 장비(101)가 직접 제어 모드를 제공하는 경우에는(209 참조), 전술한 바와 같이, 플로우 데이터 수집 및 분석부(110)는 네트워크 장비(101)로 제어명령신호를 보내어 네트워크 장비(101)가 상세분석용 플로우 데이터 저장부(120)로 직접 플로우 데이터를 송신할 수 있도록 한다(211).
네트워크 장비(101)가 직접 제어 모드를 제공하지 않는다면(209 참조), 플로우 데이터 수집 및 분석부(110)는 네트워크 장비(101)로 자동적으로 제어명령신호를 보내어, 네트워크 장비(101)로부터 플로우 데이터를 수신하고 이를 상세분석용 플로우 데이터 저장부(120)로 전달한다(213). 그러면, 상세분석용 플로우 데이터 저장부(120)는 상세분석을 위해 필요한 정보로써 전달되는 플로우 데이터를 저장한다(215).
전술한 바와 같이, 본 발명에 따르면, 상세분석용 플로우 데이터 저장부(120)를 별도로 두어 플로우 데이터를 직접 수신할 수 있도록 설계한다. 기존의 플로우 데이터 수집 및 분석부(110)와 상세분석용 플로우 데이터 저장부(120)가 역할을 분담하게 되므로, 데이터 처리양과 데이터 처리 속도, 데이터 처리 빈번도등을 고려하여 시스템을 효율적으로 설계할 수가 있다.
또한, 네트워크 장비(101)가 상세분석용 플로우 데이터 저장부(120)로 직접 송신할 수 있도록 제어하는 모드가 제공되지 못하는 혼재된 상황에서도, 플로우 데이터를 확보할 수 있게 된다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 특히, 이상 감지(anomaly detection) 절차 자체에 대한 내용은 관련분야의 전문가에는 공지된 기술에 해당하고 본 발명의 실시예의 내용에 쉽게 적용이 가능한 것이므로, 상세히 설명하지 않았다.
본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 발명청구의 범위뿐 만 아니라 이 발명청구의 범위한 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 일 실시예에 따른 플로우 데이터 분석 및 제공장치를 도시한 구성도.
도 2는 본 발명의 일 실시예에 따른 플로우 데이터 분석 및 제공방법을 도시한 흐름도.

Claims (5)

  1. 통신 네트워크를 통하여 전송되는 트래픽을 감시하기 위한 플로우 데이터를 분석하여 그 분석 결과에 따라 플로우 데이터를 저장하는 장치에 있어서,
    상기 통신 네트워크상에 마련되는 네트워크 장비로부터 플로우 데이터를 수신하고, 상기 수신된 플로우 데이터를 분석하여 경보 발생 조건에 해당하는지의 여부를 판단하는 플로우 데이터 수집 및 분석부; 및
    상기 분석 결과, 경보 발생 조건에 해당되면 상기 네트워크 장비로부터 플로우 데이터를 수신하여 저장하는 상세분석용 플로우 데이터 저장부를 포함하는 것을 특징으로 하는 플로우 데이터 저장 장치.
  2. 청구항 1에 있어서,
    상기 네트워크 장비는, 적어도 통신 네트워크에 설치되는 라우터, 스위치 또는 독립된 프로브에 구현되는 것을 특징으로 하는 플로우 데이터 저장 장치.
  3. 청구항 1에 있어서,
    상기 경보 발생 조건은, 운용자가 설정하는 조건으로서, 특정 아이피(IP) 주소 정보, 특정 포트 정보 또는 특정 시간 정보 중 어느 하나를 만족시키면 경보를 발생시키는 것을 특징으로 하는 플로우 데이터 저장 장치.
  4. 청구항 1에 있어서,
    상기 플로우 데이터 수집 및 분석부는, 상기 판단 결과가 경보 발생 조건에 해당되나 상기 네트워크 장비가 직접 제어모드를 제공하지 않는 경우에는, 상기 네트워크 장비로부터 플로우 데이터를 수신하여 상기 상세분석용 플로우 데이터 저장부에 전달하는 것을 특징으로 하는 플로우 데이터 저장 장치.
  5. 통신 네트워크를 통하여 전송되는 트래픽을 감시하기 위한 플로우 데이터를 분석하여 그 분석 결과에 따라 플로우 데이터를 저장하는 방법에 있어서,
    상기 통신 네트워크상에 마련되는 네트워크 장비로부터 플로우 데이터를 수신하는 단계;
    상기 수신된 플로우 데이터에 대하여 분석하는 단계;
    상기 분석의 결과가 경보 발생 조건에 해당하면, 상기 네트워크 장비로부터 플로우 데이터를 수신하는 단계; 및
    경보 발생 경우에 수행하는 상세분석용으로써 상기 수신된 플로우 데이터를 저장하는 단계를 포함하는 것을 특징으로 하는 플로우 데이터 저장 방법.
KR1020070130170A 2007-12-13 2007-12-13 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법 KR100938647B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070130170A KR100938647B1 (ko) 2007-12-13 2007-12-13 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070130170A KR100938647B1 (ko) 2007-12-13 2007-12-13 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법

Publications (2)

Publication Number Publication Date
KR20090062742A true KR20090062742A (ko) 2009-06-17
KR100938647B1 KR100938647B1 (ko) 2010-01-25

Family

ID=40991933

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070130170A KR100938647B1 (ko) 2007-12-13 2007-12-13 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법

Country Status (1)

Country Link
KR (1) KR100938647B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160093791A (ko) * 2015-01-29 2016-08-09 한국과학기술원 내부망에서 효율적인 침입탐지 방법 및 장치

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100521976B1 (ko) * 2002-10-02 2005-10-17 주식회사 케이티 인터페이스 인덱스를 이용한 플로우 트래픽 데이터 수집방법
KR100596389B1 (ko) * 2003-12-26 2006-07-03 한국전자통신연구원 다단계 트래픽 흐름 관리 장치 및 방법
JP2005286684A (ja) 2004-03-30 2005-10-13 Hitachi Ltd トラフィックフロー計測環境設定方式
KR100681000B1 (ko) * 2004-12-06 2007-02-09 한국전자통신연구원 플로우별 트래픽 측정 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160093791A (ko) * 2015-01-29 2016-08-09 한국과학기술원 내부망에서 효율적인 침입탐지 방법 및 장치

Also Published As

Publication number Publication date
KR100938647B1 (ko) 2010-01-25

Similar Documents

Publication Publication Date Title
US10440049B2 (en) Network traffic analysis for malware detection and performance reporting
US7200866B2 (en) System and method for defending against distributed denial-of-service attack on active network
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
EP1980054B1 (en) Method and apparatus for monitoring malicious traffic in communication networks
RU129279U1 (ru) Устройство обнаружения и защиты от аномальной активности на сети передачи данных
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
US20150341389A1 (en) Log analyzing device, information processing method, and program
KR20080076960A (ko) 악의적인 공격들에 대하여 3g 무선 네트워크를 방어하는방법들 및 디바이스들
US20110307936A1 (en) Network analysis
JP4380710B2 (ja) トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム
CN109462621A (zh) 网络安全保护方法、装置及电子设备
CN114124516B (zh) 态势感知预测方法、装置及系统
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
CN114006722B (zh) 发现威胁的态势感知验证方法、装置及系统
EP1754348B1 (en) Using address ranges to detect malicious activity
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
JP4161989B2 (ja) ネットワーク監視システム
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Wibowo et al. Smart Home Security Analysis Using Arduino Based Virtual Private Network
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
KR100938647B1 (ko) 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
WO2020103154A1 (en) Method, apparatus and system for data analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121206

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131209

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20141229

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20151228

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20161228

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20171226

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 10