KR20100041533A - Network management method - Google Patents

Network management method Download PDF

Info

Publication number
KR20100041533A
KR20100041533A KR1020080100769A KR20080100769A KR20100041533A KR 20100041533 A KR20100041533 A KR 20100041533A KR 1020080100769 A KR1020080100769 A KR 1020080100769A KR 20080100769 A KR20080100769 A KR 20080100769A KR 20100041533 A KR20100041533 A KR 20100041533A
Authority
KR
South Korea
Prior art keywords
traffic
network
analysis
present
abnormal
Prior art date
Application number
KR1020080100769A
Other languages
Korean (ko)
Inventor
이응도
김영식
최용우
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020080100769A priority Critical patent/KR20100041533A/en
Publication of KR20100041533A publication Critical patent/KR20100041533A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A network management method is provided to protect internal network equipment and a system by easily finding the reason of an attack to a network. CONSTITUTION: A traffic flowing from an external network into an internal network is collected through network equipment(202). Analysis for an IP(Internet Protocol) of the collected traffic and port is executed(204). When abnormal traffic is detected, the detail reason of the traffic is analyzed(206). A blocking solution due to the detail reason of the traffic is provided to the security device of the internal network(208).

Description

네트워크 관리 방법{NETWORK MANAGEMENT METHOD}How to manage your network {NETWORK MANAGEMENT METHOD}

본 발명은 네트워크 관리 방법에 관한 것으로서, 특히 외부 네트워크로부터 내부 네트워크로 유입되는 전체 트래픽 볼륨에 대해 IP 정보 및 프로토콜(포트)별 트래픽 내역을 대비하여 이상 트래픽을 감시하는 네트워크 관리 방법에 관한 것이다.The present invention relates to a network management method, and more particularly, to a network management method for monitoring abnormal traffic in preparation for traffic information for each IP (information) and protocol (port) for the total traffic volume flowing from the external network to the internal network.

컴퓨터와 기타 컴퓨팅 장치들이 인터넷과 같은 각종 네트워크를 통해 점점 더 많이 상호 접속할수록, 특히 네트워크를 통해 또는 정보 스트림을 통해 전달되는 침입 또는 공격으로부터 컴퓨터 보안이 더 중요해지고 있다. 당업자들은 이러한 공격들이 컴퓨터 바이러스, 컴퓨터 웜(worm), 시스템 컴포넌트에 대체, 시스템 공격의 부정, 정보 훔치기, 심지어 합법적인 컴퓨터 시스템 특징의 오용/남용을 포함하는 많은 상이한 형태를 취하지만, 이에 제한되지 않으며, 이러한 것 모두는 비합법적인 목적을 위해 하나 이상의 컴퓨터 시스템의 취약성을 부당하게 이용한다. As computers and other computing devices interconnect more and more through various networks, such as the Internet, computer security becomes more important, especially from intrusions or attacks that are delivered through the network or through information streams. Those skilled in the art take many different forms such attacks include, but are not limited to, computer viruses, computer worms, system components, denial of system attacks, information stealing, and even misuse / abuse of legitimate computer system features. All of which unfairly exploit the vulnerabilities of one or more computer systems for illegal purposes.

이러한 공격으로부터 내부 네트워크를 방어하기 위해 종래에 사용하던 트래 픽 감시 툴은 단순 트래픽 감시 기능만을 사용하는 형편이며, 특정 트래픽 패턴에 대한 상세 분석이 불가능하여 장애 감지를 통한 분석에 한계가 있다. 따라서 특정 트래픽 패턴에 대한 상세 분석이 불가능하여 장애 원인을 파악하거나 장애를 예방할 수 없다.In order to protect the internal network from such an attack, the traffic monitoring tool used in the prior art only uses the simple traffic monitoring function, and it is impossible to analyze specific traffic patterns in detail, and thus, there is a limit in analysis through fault detection. Therefore, it is impossible to analyze specific traffic patterns in detail, so it is impossible to identify the cause of the failure or prevent the failure.

또한 종래의 트래픽 감시 툴은 수행 작업에 따라 별도의 툴을 사용하므로 한 화면에서 전체 네트워크 인프라를 감시 또는 분석하는 것이 불가능하여 빠른 분석을 기대할 수 없다. 따라서 갑작스런 트래픽 증가시 해당 트래픽에서 많이 사용되는 IP 및 프로토콜에 대한 분석이 불가능하다.In addition, since the conventional traffic monitoring tool uses a separate tool according to the work performed, it is impossible to monitor or analyze the entire network infrastructure in one screen, and thus it is impossible to expect fast analysis. Therefore, when sudden traffic increases, it is impossible to analyze the IP and protocols used in the traffic.

따라서 본 발명은 네트워크에 대한 공격이 어떤 원인에 의해 이루어지는지 용이하게 파악할 수 있도록 함으로써 내부에 존재하는 네트워크 장비 및 시스템을 보호하는 것을 목적으로 한다.Accordingly, an object of the present invention is to protect network equipment and systems existing therein by making it easy to understand what causes an attack on a network.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention which are not mentioned above can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. It will also be readily apparent that the objects and advantages of the invention may be realized and attained by means of the instrumentalities and combinations particularly pointed out in the appended claims.

이러한 목적을 달성하기 위해 도출된 본 발명은 네트워크 관리 방법에 있어서, 외부 네트워크에서 내부 네트워크로 유입되는 트래픽을 수집하는 단계와, 상기 수집된 트래픽에 대해 IP 및 포트에 따라 분석을 수행하는 단계와, 상기 분석 결과 이상 트래픽이 감지되는 경우 상기 이상 트래픽의 상세 원인을 분석하는 단계를 구비하는 것을 특징으로 한다. In accordance with an aspect of the present invention, there is provided a network management method comprising: collecting traffic flowing from an external network into an internal network, performing analysis according to IP and ports on the collected traffic; And analyzing a detailed cause of the abnormal traffic when abnormal traffic is detected as a result of the analysis.

상기 분석 수행 단계는 소정 시간 단위로 전체 트래픽 볼륨에 대한 IP 및 포트의 트래픽 내역을 정량화함으로써 수행되는 것이 바람직하다. 또한 상기 분석 수행 단계는 상기 이상 트래픽의 소오스 IP, 목적지 IP, 서비스 포트를 판정하는 것 이 바람직하다. 상기 이상 트래픽의 상세 원인에 따른 차단 솔루션을 상기 내부 네트워크의 보안 장비에 제공하는 단계를 추가하는 것이 바람직하다.The performing of the analysis is preferably performed by quantifying the traffic details of the IP and the port for the total traffic volume in predetermined time units. In addition, the performing of the analysis, it is preferable to determine the source IP, destination IP, service port of the abnormal traffic. The method may further include providing a blocking solution according to the detailed cause of the abnormal traffic to the security equipment of the internal network.

이러한 본 발명에 의하면, 단순 트래픽 감시 기능에 포함된 트래픽 현황을 근거로 전체 트래픽에 대해 단위(일간/분/초)로 구별하여 데이터 내역을 DB화 해서 특정 시간, 분 단위로 정보를 IP 정보 및 프로토콜(포트)별로 트래픽 볼륨에 대해 정량화된 수치로 보여줌으로써 특정하게 증가된 아날로그에 대한 트래픽 내역에 대해 분석이 가능하다. 이로써 네트워크에 대한 공격이 어디서(Source_IP), 어디로(Destination_IP), 어떤 정보(PORT) 형태로 이루어지는지 용이하게 파악할 수 있고, 해당 내역을 방화벽이나 기타 보안 장비에서 차단하여 내부에 존재하는 네트워크 장비 및 시스템을 효과적으로 보호할 수 있다.According to the present invention, based on the traffic status included in the simple traffic monitoring function, all the traffic is classified into units (daily / minutes / seconds) and the data is made into a DB to display information on a specific time and minute basis for IP information and By showing quantified values of traffic volume by protocol (port), it is possible to analyze the traffic history for a particular increased analog. This makes it easy to identify where (Source_IP), where (Destination_IP), and what information (PORT) forms the attack on the network, and block the details from the firewall or other security devices to prevent the network equipment and systems existing inside. Can be effectively protected.

전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.The above objects, features, and advantages will be described in detail with reference to the accompanying drawings, whereby those skilled in the art to which the present invention pertains may easily implement the technical idea of the present invention. In describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 의한 네트워크 관리 방법이 적용되는 네트워크의 구성을 설명하는 도면이다. 1 is a diagram illustrating a configuration of a network to which a network management method according to an embodiment of the present invention is applied.

외부 네트워크인 인터넷(1020)은 스위치(또는 라우터)(104a 내지 104d)를 통해 내부 네트워크에 연결된다. 본 발명의 일 실시예에 의한 네트워크 관리 시스템(100)은 수집서버(106), 분석서버(108), 데이터베이스(DB)서버(110)를 포함하여 구성된다. The external network 1020 is connected to the internal network via switches (or routers) 104a through 104d. Network management system 100 according to an embodiment of the present invention is configured to include a collection server 106, analysis server 108, database (DB) server 110.

도 2는 본 발명의 일 실시예에 의한 네트워크 관리 방법의 흐름도이다.2 is a flowchart of a network management method according to an embodiment of the present invention.

수집서버(106)는 스위치(104a 내지 104d)를 통해 외부 네트워크로부터 내부 네크워크로 유입되는 모든 트래픽을 수집한다(202). 수집서버(106)는 외부 네트워크(또는 인터넷)(102)로부터 내부 네트워크로 트래픽이 유입되는 모든 구간에서의 네트워크 장비로부터 트래픽 데이터를 수집한다.The collection server 106 collects all traffic flowing into the internal network from the external network through the switches 104a to 104d (202). The collection server 106 collects traffic data from network equipment in all sections in which traffic flows from the external network (or the Internet) 102 to the internal network.

분석서버(108)는 수집서버(106)를 통해 수집된 트래픽 데이터에 대한 분석을 수행한다(204). 분석서버(108)는 수집된 트래픽에 대해 IP별 내역을 구분하여 트래픽 데이터를 분석한 후에, 특정 포트(Port), 특정 IP에 대한 심화 분석을 수행한다. 또한 분석서버(108)는 특정 서버 혹은 서버군에 대한 트래픽 심화 분석을 수행한다.The analysis server 108 performs analysis on the traffic data collected through the collection server 106 (204). The analysis server 108 analyzes the traffic data by dividing the details for each IP for the collected traffic, and then performs deep analysis on a specific port and a specific IP. In addition, the analysis server 108 performs a deep analysis of traffic for a particular server or server group.

이러한 분석 결과로 외부에서 내부로 유입되는 트래픽에 이상이 감지되는 경우, 분석서버(108)는 이상 트래픽의 상세 원인을 분석한다.(206) 그리고 이러한 분석 결과를 이용해 분석서버(108)는 외부 공격에 대해 내부 서비스를 보호하고 조기에 복구를 수행하기 위한 솔루션을 생성하여 방화벽 등의 보안장비에 제공한 다(208). 분석서버(108)는 TCP/UDP/ICMP 플러딩(flooding) 공격, 기존/신종 인터넷 웜 바이러스, 또는 정상 트래픽 대비 이상 징후를 감지할 수 있다.When an abnormality is detected in the traffic flowing from the outside as a result of this analysis, the analysis server 108 analyzes the detailed cause of the abnormal traffic. (206) And using the analysis result, the analysis server 108 is an external attack It creates a solution for protecting internal services and performing recovery early on, and provides it to security equipment such as firewalls (208). The analysis server 108 may detect a TCP / UDP / ICMP flooding attack, an existing / new Internet worm virus, or an abnormality in comparison with normal traffic.

또한 분석서버(108)는 트래픽 분석 결과에 대해 보고서 템플릿 기능을 통해 다양한 보고서를 생성하고, 분석 결과를 DB서버(110)에 저장한다. In addition, the analysis server 108 generates various reports through the report template function for the traffic analysis result, and stores the analysis result in the DB server 110.

도 3은 본 발명에 따라 회선별 장애 징후를 조기 감지하고 이에 대응하는 과정을 설명하는 도면이다. 3 is a view for explaining a process of early detection and corresponding to the failure sign for each line according to the present invention.

"A" 단계는 초기 징후 단계로서 가변 임계치를 이용하여 트래픽 이상을 감지한다. 평소 트래픽에 대비하여 트래픽이 갑자기 증가하면 트래픽에 대한 실시간 감시를 진행한다. "B" 단계는 원인 분석 단계로서 임계치보다 월등히 증가한 트래픽은 이상 징후로 보고 해당 트래픽에 대한 상세 분석을 진행한다. 트래픽 분석은 일/시간별로 IP 내역 및 서비스 포트별로 구분하여 수행하며, 이로써 트래픽 이상의 원인이 되는 네트워크 공격이 어디서 어떤 경로를 통해 최종 목적지까지 전달되는지 파악할 수 있고, 문제점 및 해결방안을 동시에 제시할 수 있다. "C" 단계는 원인 제거 단계로서 트래픽 이상의 상세 원인을 분석한 결과에 따라 조치 방안(또는 해결 솔루션)을 마련하고 방화벽 등의 보안장비에 제공함으로써 트래픽 이상의 원인을 제거한다. "D" 단계는 보고 단계로서 마련된 조치 방안에 따라 네트워크가 정상 상태에 도달하면 트래픽 이상의 원인과 조치 방안의 내용에 대한 보고서를 작성한다. The "A" phase is an initial indication phase that detects traffic anomalies using variable thresholds. If the traffic suddenly increases in preparation for the usual traffic, the traffic is monitored in real time. The "B" stage is the cause analysis stage, and traffic that is significantly increased above the threshold is regarded as an abnormal symptom and detailed analysis of the traffic is performed. Traffic analysis is performed by IP history and service port by day / hour, so that network attack that causes traffic anomaly can be identified from where and through which route to the final destination, and problems and solutions can be presented simultaneously. have. The "C" step is to eliminate the cause of the traffic abnormality by preparing a countermeasure (or solution) according to the result of analyzing the detailed cause of the traffic abnormality and providing the security equipment such as a firewall. Step "D" is a reporting step. When the network reaches a normal state according to the action plan prepared, a report on the cause of the traffic abnormality and the content of the action plan is prepared.

도 4는 본 발명에 따라 트래픽 증가로 인한 이벤트의 상세 원인을 분석한 결과를 표시하는 화면을 도시한다. 도 4의 (a)는 굵은 선으로 표시된 사각형 안에서 아웃바운즈 트래픽(outbounds traffic)이 급격히 증가한 것을 보이며, 도 4의 (b)는 이러한 트래픽 증가의 상세 원인을 분석한 결과를 표시하는 화면으로서 외부 네트워크에서 내부 네트워크로 요청한 트래픽의 건수가 증가함에 따라 포트 80을 이용한 서비스가 증가하였음을 보이고 있다. 4 illustrates a screen displaying a result of analyzing a detailed cause of an event due to an increase in traffic according to the present invention. Figure 4 (a) shows a sharp increase in outbounds traffic within the square indicated by a thick line, Figure 4 (b) is a screen that displays the result of analyzing the detailed cause of this increase in the external network Shows that the service using port 80 has increased as the number of traffic requests to the internal network increases.

도 5는 본 발명에 따라 트래픽 상세 분석을 통해 네트워크 서비스의 성능을 제고하는 것을 표시하는 화면을 도시한다. 도시된 바와 같이, 외부에서 내부로 유입되는 트래픽에 대해 서비스별, IP_Block별, IP별 트래픽 사용량을 분석함으로써 현재 어디서(Source) 어디로(Destination) 트래픽을 전달하고 있는지 실시간 검색이 가능하다. FIG. 5 is a screen illustrating an improvement of the performance of a network service through detailed traffic analysis according to the present invention. As shown in the figure, by analyzing the traffic usage by service, IP_Block, and IP for the traffic flowing from the outside to the inside, it is possible to search in real time where the traffic is being transmitted from where to source.

도 6은 본 발명에 따라 회선별 이상 트래픽을 자동 탐지하는 것을 표시하는 화면을 도시한다. 예를 들어, 사이버테러, DoS/DDoS 공격, 인터넷 웜 등의 회선별 이상 트래픽을 자동 탐지한다. 이러한 본 발명에 의하면 공격 패턴을 자동 감지함으로써 내부 네트워크를 통해 수행되는 서비스를 외부 공격으로부터 보호할 수 있다. 표 1은 본 발명에 따른 회선별 이상 트래픽 감지 기능을 정리한 것이다. 6 shows a screen indicating automatic detection of abnormal traffic per line according to the present invention. For example, it automatically detects abnormal traffic per line such as cyber terrorism, DoS / DDoS attacks, and Internet worms. According to the present invention can automatically detect the attack pattern to protect the service performed through the internal network from the external attack. Table 1 summarizes the abnormal traffic detection function for each line according to the present invention.

Figure 112008071552125-PAT00001
Figure 112008071552125-PAT00001

도 7은 본 발명에 따라 생성한 분석 보고서를 표시하는 화면이다. 본 발명의 일 실시예에 의해 보고서는 템플릿 기능을 이용하여 다양한 양식으로 생성될 수 있다. 주기별 보고서를 자동 생성하고 메일을 통해 자동 송부할 수 있다. 본 발명에 의해 웹 기반 보고서, MS-WORD 기반 보고서, HWP 형식의 보고서 등의 보고서 생성을 지원할 수 있다. 별도의 보고서 작성을 위한 에디팅이 필요 없다. 표 2는 본 발명에 의한 보고서 생성 기능을 정리한 것이다. 7 is a screen displaying an analysis report generated according to the present invention. According to an embodiment of the present invention, the report may be generated in various forms using a template function. Periodic reports can be generated automatically and sent via email. The present invention can support the generation of reports such as web-based reports, MS-WORD-based reports, HWP format reports, and the like. There is no need for editing to create a separate report. Table 2 summarizes the report generation function according to the present invention.

Figure 112008071552125-PAT00002
Figure 112008071552125-PAT00002

전술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체 (씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다. As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.

이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the art without departing from the technical spirit of the present invention. It will be clear to those of ordinary knowledge.

도 1은 본 발명의 일 실시예에 의한 네트워크 관리 방법이 적용되는 네트워크의 구성을 설명하는 도면이다.1 is a diagram illustrating a configuration of a network to which a network management method according to an embodiment of the present invention is applied.

도 2는 본 발명의 일 실시예에 의한 네트워크 관리 방법의 흐름도이다.2 is a flowchart of a network management method according to an embodiment of the present invention.

도 3은 본 발명에 따라 회선별 장애 징후를 조기 감지하는 원리를 설명하는 도면이다.3 is a view for explaining the principle of early detection of failure signs for each line according to the present invention.

도 4는 본 발명에 따라 트래픽 증가로 인한 이벤트의 상세 원인을 분석한 결과를 표시하는 화면을 도시한다.4 illustrates a screen displaying a result of analyzing a detailed cause of an event due to an increase in traffic according to the present invention.

도 5는 본 발명에 따라 트래픽 상세 분석을 통해 네트워크 서비스의 성능을제고하는 것을 표시하는 화면을 도시한다.FIG. 5 is a screen showing that improving performance of a network service through detailed traffic analysis according to the present invention.

도 6은 본 발명에 따라 회선별 이상 트래픽을 자동 탐지하는 것을 표시하는 화면을 도시한다. 6 shows a screen indicating automatic detection of abnormal traffic per line according to the present invention.

도 7은 본 발명에 따라 생성한 분석 보고서를 표시하는 화면이다.7 is a screen displaying an analysis report generated according to the present invention.

Claims (7)

네트워크 관리 방법에 있어서,In the network management method, 외부 네트워크에서 내부 네트워크로 유입되는 트래픽을 수집하는 단계와,Collecting traffic from the external network to the internal network, 상기 수집된 트래픽에 대해 IP 및 포트에 따라 분석을 수행하는 단계와,Performing analysis on the collected traffic according to IP and port; 상기 분석 결과 이상 트래픽이 감지되는 경우 상기 이상 트래픽의 상세 원인을 분석하는 단계를Analyzing the detailed cause of the abnormal traffic when abnormal traffic is detected as a result of the analysis; 구비하는 것을 특징으로 하는 네트워크 관리 방법.Network management method characterized in that it comprises. 제 1 항에 있어서,The method of claim 1, 상기 분석 수행 단계는 소정 시간 단위로 전체 트래픽 볼륨에 대한 IP 및 포트의 트래픽 내역을 정량화함으로써 수행되는 것을 특징으로 하는 네트워크 관리 방법.The analyzing step is performed by quantifying the traffic details of the IP and port for the total traffic volume in a predetermined time unit. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 트래픽 수집 단계는 상기 외부 네트워크에서 상기 내부 네트워크로 트래픽을 전달하는 네트워크 장비를 통해 트래픽을 수집하는 것을 특징으로 하는 네트워크 관리 방법.The traffic collecting step is a network management method, characterized in that for collecting the traffic through the network equipment for transmitting traffic from the external network to the internal network. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 분석 수행 단계는 상기 이상 트래픽의 소오스 IP, 목적지 IP, 서비스 포트를 판정하는 것을 특징으로 하는 네트워크 관리 방법.The performing of the analysis may include determining a source IP, a destination IP, and a service port of the abnormal traffic. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 IP 및 포트의 트래픽 내역이 소정 임계치보다 증가한 경우 이상 트래픽으로 감지하는 것을 특징으로 하는 네트워크 관리 방법.And detecting the traffic as abnormal traffic when the traffic details of the IP and the port increase above a predetermined threshold. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 분석 수행 단계는 정상 트래픽과의 대비를 통해 수행되는 것을 특징으로 하는 네트워크 관리 방법.The performing of the analysis step is performed by contrasting with normal traffic. 제 1 항 또는 제 2 항에 있어서,The method according to claim 1 or 2, 상기 이상 트래픽의 상세 원인에 따른 차단 솔루션을 상기 내부 네트워크의 보안 장비에 제공하는 단계를 추가로 포함하는 것을 특징으로 하는 네트워크 관리 방법.And providing a blocking solution according to the detailed cause of the abnormal traffic to the security equipment of the internal network.
KR1020080100769A 2008-10-14 2008-10-14 Network management method KR20100041533A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080100769A KR20100041533A (en) 2008-10-14 2008-10-14 Network management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080100769A KR20100041533A (en) 2008-10-14 2008-10-14 Network management method

Publications (1)

Publication Number Publication Date
KR20100041533A true KR20100041533A (en) 2010-04-22

Family

ID=42217245

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080100769A KR20100041533A (en) 2008-10-14 2008-10-14 Network management method

Country Status (1)

Country Link
KR (1) KR20100041533A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101371902B1 (en) * 2012-12-12 2014-03-10 현대자동차주식회사 Apparatus for detecting vehicle network attcak and method thereof
KR101638613B1 (en) * 2015-04-17 2016-07-11 현대자동차주식회사 In-vehicle network intrusion detection system and method for controlling the same

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101371902B1 (en) * 2012-12-12 2014-03-10 현대자동차주식회사 Apparatus for detecting vehicle network attcak and method thereof
US9231967B2 (en) 2012-12-12 2016-01-05 Hyundai Motor Company Apparatus and method for detecting in-vehicle network attack
KR101638613B1 (en) * 2015-04-17 2016-07-11 현대자동차주식회사 In-vehicle network intrusion detection system and method for controlling the same

Similar Documents

Publication Publication Date Title
JP5844938B2 (en) Network monitoring device, network monitoring method, and network monitoring program
CN110495138B (en) Industrial control system and monitoring method for network security thereof
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
CN100435513C (en) Method of linking network equipment and invading detection system
US9621544B2 (en) Computer implemented method of analyzing X.509 certificates in SSL/TLS communications and the data-processing system
JPWO2014119669A1 (en) Log analysis apparatus, information processing method, and program
CN113839935B (en) Network situation awareness method, device and system
CN110224970B (en) Safety monitoring method and device for industrial control system
JP2004030286A (en) Intrusion detection system and intrusion detection program
CN214306527U (en) Gas pipe network scheduling monitoring network safety system
Nitin et al. Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas)
CN114006723A (en) Network security prediction method, device and system based on threat intelligence
CN113794590B (en) Method, device and system for processing network security situation awareness information
CN114006722B (en) Situation awareness verification method, device and system for detecting threat
JP4161989B2 (en) Network monitoring system
JP5752020B2 (en) Attack countermeasure device, attack countermeasure method, and attack countermeasure program
KR20140078329A (en) Method and apparatus for defensing local network attacks
KR20100041533A (en) Network management method
KR100651749B1 (en) Method for detection of unknown malicious traffic and apparatus thereof
KR101518233B1 (en) Security Apparatus for Threats Detection in the Enterprise Internal Computation Environment
Hajdarevic et al. A new method for the identification of proactive information security management system metrics
Kumar et al. Recent advances in intrusion detection systems: An analytical evaluation and comparative study
CN114006720B (en) Network security situation awareness method, device and system
Hsiao et al. Behavior profiling for robust anomaly detection
Liu et al. Research on Network Attack Detection Technology based on Reverse Detection and Protocol Analysis

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application