KR20100068508A - 네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법 - Google Patents

네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법 Download PDF

Info

Publication number
KR20100068508A
KR20100068508A KR1020080126888A KR20080126888A KR20100068508A KR 20100068508 A KR20100068508 A KR 20100068508A KR 1020080126888 A KR1020080126888 A KR 1020080126888A KR 20080126888 A KR20080126888 A KR 20080126888A KR 20100068508 A KR20100068508 A KR 20100068508A
Authority
KR
South Korea
Prior art keywords
flow
information
detection
candidate
detected
Prior art date
Application number
KR1020080126888A
Other languages
English (en)
Inventor
이시영
손권룡
Original Assignee
주식회사 마하넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 마하넷 filed Critical 주식회사 마하넷
Priority to KR1020080126888A priority Critical patent/KR20100068508A/ko
Publication of KR20100068508A publication Critical patent/KR20100068508A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control

Abstract

네트워크 컨트롤 시스템 및 그 방법이 개시된다. 상기 네트워크 컨트롤 시스템은 수신되는 패킷들에 대한 정보에 기초하여 플로우를 생성하고, 생성된 플로우에 대한 정보를 출력하는 플로우 프로세서, 상기 플로우 프로세서로부터 수신되는 상기 플로우에 대한 정보에 기초하여 생성된 상기 플로우가 검출하고자 하는 검출 플로우인지를 판단하고, 검출 플로우인 경우 상기 검출 플로우의 제어정보를 상기 플로우 프로세서로 출력하는 플로우 컨트롤러를 포함한다.

Description

네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법{Νetwork control system and method of network control}
본 발명은 네트워크 컨트롤 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 네트워크 상에서 원하는 플로우를 실시간으로 빠르게 검출하여 상기 플로우를 제어할 수 있는 시스템 및 방법에 관한 것이다.
기존의 네트워크 제어 및 관리 장비들은 TCP(transport layer protocol)/UDP(user datagram protocol) 또는 IP(Internet protocol)의 패킷 정보를 기반으로, 해당 장비들의 특정 단위 목표인 라우팅이나 QoS(Quality of Service), DDoS(Distributed Denial of Service)방지 등을 달성하기 위해 노력해 왔다. 그러나 패킷 기반의 접근 방법은 상위 애플리케이션들의 통신 관계에 따른 정보들을 무시하고, 단순히 일시적인 정보 전달 단위인 각각의 분리된 패킷에 담겨 있는 정보들에만 의존함으로써, 적게는 처리 속도의 한계성과 크게는 적용성의 한계로 인해 패킷 라우팅을 위한 라우터, DDoS 공격을 방어하는 전용 시스템, 또는 트래픽 제어를 위한 DPI(Deep Packet Inspection) 시스템 등과 같은 독립적인 목표를 위한 단일 시스템의 형태로 제공되고 있다. 이 장비들 중에 P2P(peer to peer) 검출 및 제어를 담당하는 시스템은 DPI 시스템이며, DPI 시스템은 P2P 클라이언트(client)가 사용하는 잘 알여진 포트 번호와 페이로드(Payload)의 시그너쳐(Signature)를 찾아서 검출하고, 검출된 패킷을 제어하는 방법을 채택하고 있다.
그러나 DPI 시스템은 세 가지 치명적인 단점을 가지고 있다. 첫째, 전송되는 모든 패킷의 페이로드를 검사해야 함으로 프로세싱의 오버헤드가 너무 크다. 둘째, 페이로드가 암호화된 패킷일 경우 암호화를 풀 수 있는 방법이 없으므로 P2P 트래픽을 검출할 방법이 없다. 셋째, 패킷 페이로드의 검사로 인해 네트워크 사용자의 프라이버시를 훼손할 수 있는 상황이로 법적인 문제를 내포하고 있다. 세 가지 문제점으로 인해 DPI 시스템의 실제 망 적용에도 한계에 부딪히고 있다.하지만 아직까지는DPI 시스템의 문제점을 해결하고 대응할 수 있는 시스템적인 해결 방안이나 종래의 기술이 부재한 상황이다.
또한 분산 컴퓨팅 환경이 확대되고 네트워크 기반의 응용 프로그램이 다양하게 개발됨에 따라 네트워크 트래픽은 증가 일로에 있으며 어느 호스트에서 어떤 형태의 트래픽이 얼마만큼 유발되는지를 알아내는 일은 한정된 네트워크 자원을 효율적으로 활용하는데 매우 중요한 일이 되었다. 하지만, 현재의 네트워크 관리 시스템들은 트래픽 모니터링에 따른 통계값 제공 등의 단순 평면적인 정보만을 제공할 뿐, 네트워크를 정밀 분석하고 그에 따른 대책을 마련하기에는 미약하다. 따라서 효율적인 네트워크 자원 활용을 위하여 네트워크 트래픽을 자세히 분석하며, 네트워크 계층별, 지역별, 호스트별 및 트래픽 플로우별로 트래픽 분석 및 진단할 수 있는 시스템이 필요하다. 또한, 검출하고자 하는 특정 플로우(예컨대, P2P 해비(heavy) 트래픽(traffic)/플로우(flow))를 검출하여 네트워크의 효율성을 높일 수 있는 시스템 및 방법이 필요하다.
본 발명이 이루고자 하는 기술적인 과제는 상기 문제점들을 해결하기 위해서 패킷의 페이로드 정보를 이용하지 않고, 생성된 플로우에 대한 정보(예컨대, 트랜스포트 매개 변수 등) 및 플로우에 대한 정보의 상관 관계만을 분석하여 검출하고자 하는 소정의 트래픽 또는 플로우(예컨대, P2P Heavy 트래픽/플로우)을 검출하는 방법 및 그 시스템을 제공하는 것이다.
상기 기술적 과제를 달성하기 위한 네트워크 컨트롤 시스템은 수신되는 패킷들에 대한 정보에 기초하여 플로우를 생성하고, 생성된 플로우에 대한 정보를 출력하는 플로우 프로세서, 상기 플로우 프로세서로부터 수신되는 상기 플로우에 대한 정보에 기초하여 생성된 상기 플로우가 검출하고자 하는 검출 플로우인지를 판단하고, 검출 플로우인 경우 상기 검출 플로우의 제어정보를 상기 플로우 프로세서로 출력하는 플로우 컨트롤러를 포함한다.
상기 플로우 컨트롤러는 상기 검출 플로우에 선행하는 선행 플로우를 검출하고, 검출된 상기 선행 플로우에 대한 정보에 기초하여 상기 플로우가 상기 검출 플로인지를 판단할 수 있다.
상기 플로우 프로세서는 상기 플로우에 대한 정보에 기초하여 상기 플로우가 상기 선행 플로우의 후보플로우인지 상기 검출 플로우의 후보플로우인지를 판단하고, 판단결과에 기초하여 상기 플로우가 상기 선행 플로우의 후보 플로우인지 상기 검출 플로우의 후보플로우인지를 구별가능하도록 상기 플로우에 대한 정보를 상기 플로우 컨트롤러로 출력할 수 있다.
상기 플로우 컨트롤러는 상기 플로우에 대한 정보를 수신하고, 상기 플로우가 상기 선행 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 선행 플로우 후보군에 저장하고, 상기 플로우가 상기 검출 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 검출 플로우의 후보군에 저장할 수 있다.
상기 플로우 컨트롤러는 상기 선행 플로우의 소정의 특성에 대한 정보를 미리 저장하며, 저장된 상기 특성에 대한 정보에 기초하여 상기 선행 플로우 후보군에서 상기 선행 플로우를 검출할 수 있다.
상기 플로우 컨트롤러는 검출된 상기 선행 플로우에 대한 정보와 상기 플로우에 대한 정보 중 적어도 하나의 상관관계에 기초하여, 상기 플로우를 검출 플로우로 판단할 수 있다.
상기 플로우에 대한 정보는 소스 어드레스(source address), 목적 어드레스(destination address), 소스 포트(source port), 목적 포트(destination port), 프로토콜(protocol), 플로우 사이즈(flow size), 지속기간(duration), 패킷 카운트(packet count), 평균 패킷 사이즈(average packet size), 평균 레이트(average rate) 중 적어도 하나를 포함할 수 있다.
상기 검출 플로우는 P2P 해비(heavy) 플로우이고, 상기 선행 플로우는 소스 스캔 그룹(source scan group)일 수 있다.
상기 플로우 컨트롤러는 상기 검출 플로우의 대역폭을 제어하기 위한 상기 제어정보를 상기 플로우 프로세서로 출력하며, 상기 플로우 프로세서는 상기 제어정보에 기초하여 상기 검출 플로우의 대역폭을 제어할 수 있다.
상기 기술적 과제를 달성하기 위한 네트워크 컨트롤 방법은 네트워크 컨트롤 시스템이 수신되는 패킷들에 대한 정보에 기초하여 플로우를 생성하고, 생성된 플로우에 대한 정보를 수집하는 단계, 수집된 상기 플로우에 대한 정보에 기초하여 생성된 상기 플로우가 검출하고자 하는 검출 플로우인지를 판단하는 단계, 및 판단결과 검출 플로우인 경우 상기 검출 플로우를 제어하는 단계를 포함한다.
상기 플로우가 검출하고자 하는 검출 플로우인지를 판단하는 단계는, 상기 검출 플로우에 선행하는 선행 플로우를 검출하는 단계를 더 포함하며, 상기 네트워크 컨트롤 시스템은 검출된 상기 선행 플로우에 대한 정보에 기초하여 상기 플로우가 상기 검출 플로우인지를 판단할 수 있다.
상기 생성된 플로우에 대한 정보를 수집하는 단계는 상기 플로우에 대한 정보에 기초하여 상기 플로우가 상기 선행 플로우의 후보플로우인지 상기 검출 플로우의 후보플로우인지를 판단하는 단계 및 판단결과에 기초하여 상기 플로우가 상기 선행 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 선행 플로우 후보군에 저장하고, 상기 플로우가 상기 검출 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 검출 플로우의 후보군에 저장하는 단계를 포함할 수 있다.
상기 네트워크 컨트롤 방법은 상기 선행 플로우의 소정의 특성에 대한 정보를 미리 저장하는 단계를 더 포함하며, 상기 선행 플로우를 검출하는 단계는, 저장된 상기 특성에 대한 정보에 기초하여 상기 선행 플로우 후보군에서 상기 선행 플로우를 검출할 수 있다.
상기 네트워크 컨트롤 시스템은 검출된 상기 선행 플로우에 대한 정보에 기초하여 상기 플로우가 상기 검출 플로우인지를 판단하기 위해, 검출된 상기 선행 플로우에 대한 정보와 상기 플로우에 대한 정보 중 적어도 하나의 상관관계에 기초하여, 상기 플로우를 검출 플로우로 판단할 수 있다. 상기 네트워크 컨트롤 방법은 프로그램을 기록한 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.
본 발명에 따른 네트워크 컨트롤 방법 및 시스템은 네트워크 사용자의 증가로 인한 패킷의 무분별한 유입으로 소수의 사용자가 네트워크 대역폭의 많은 부분을 차지하여 정상적인 사용자의 네트워크 서비스 질을 보장할 수 없는 상황에서, 상기 소수의 사용자가 사용하는 트래픽/플로우를 검출하고 제어함으로써 정상적인 사용자의 네트워크 서비스 질을 보장할 수 있는 효과가 있다.
또한, 플로우에 대한 정보(예컨대, 플로우 트랜스포트 매개 변수) 기반의 해비 트래픽/플로우 검출 알고리즘은 기존에 제시된 패킷 기반의 DPI 시스템의 문제점들을 해결할 수 있는 효과가 있으며, 이러한 해피 트래픽/플로우을 실시간에 검출하고 제어할 수 있음으로써 네트워크 사용자에게 평등한 서비스 질을 보장해 줄 수 있는(Fairness) 네트워크 시스템의 구축에 큰 기여를 할 수 있는 효과가 있다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다.
반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
플로우(flow)는 제한된 시간 내에 연속적으로 전달되는 IP 패킷들의 집합을 의미한다. 따라서, IP 플로우는 애플리케이션의 주소 쌍(송신자 주소, 송신자 포트 번호, 수신자 주소, 수신자 포트 번호), 호스트 쌍(송신자 네트워크 주소, 수신자 네트워크 주소), AS 번호 쌍(송신자 AS 번호, 수신자 AS 번호)등으로 명세되는 제한된 시간 내에 연속적으로 전달되는 IP 패킷들의 흐름으로 정의된다.
본 발명의 기술적 사상은 이러한 플로우 정보를 기반으로 검출 또는 제어하 고자 하는 트래픽을 나타내는 검출 플로우를 검출하고, 제어하는 기술적 사상을 제공할 수 있다.
또한, 본 명세서에서는 본 발명의 실시 예에 따른 네트워크 컨르롤 시스템이 검출하고자 하는 검출 플로우는 헤비 플로우 중 P2P 헤비 플로우인 경우를 일 예로 설명한다. 이는 최근 최근P2P 사용자의 증가로 인한 패킷의 무분별한 유입으로 네트워크 대역폭에 대한 위협은 날로 증가하는 추세에 있다. 이는 사용자가 발생하는 패킷이 특별한 제어없이 가용한 자원을 최대한 활용하도록 설계된 IP의 특성으로 인한 당연한 결과이다. 이로 인해 소수의 P2P 사용자들이 전체 트래픽에서 많은 부분을 차지하게 되었으며 정상적인 사용자들의 네트워크 통신에 불편함을 초래할 수 있는 상황에 이르게 되었다. 즉, P2P 트래픽과 같은 통제 불가능한 자원 관리로 인한 정상 서비스의 품질 저하, 네트워크 구축을 위한 투자비의 증가 등 이루 말할 수 없는 문제점을 초래하고 있기 때문이다. 하지만 본 발명의 권리범위가 반드시 P2P와 관련된 플로우의 검출 및/또는 제어에 한정되는 것은 아니다.
도 1은 본 발명의 실시 예에 따른 네트워크 컨트롤 시스템의 개략적인 구성도를 나타낸다.
도 1을 참조하면, 본 발명의 실시 예에 따른 네트워크 컨트롤 시스템은 플로우 프로세서(100) 및 플로우 컨트롤러(200)를 포함한다.
상기 네트워크 컨트롤 시스템은 네트워크 상에 존재할 수 있다. 예컨대, 상기 네트워크 컨트롤 시스템은 소정의 로컬 에어리어 네트워크(LAN) 상에 존재하는 게이트웨이(gateway)의 전단 및/또는 후단에 위치하여 본 발명의 기술적 사상에 따 라 네트워크/트래픽을 컨트롤 할 수 있다. 네트워크/트래픽을 컨트롤 한다 함은 소정의 플로우 및/또는 패킷별로 대역폭, 전송속도를 조절하거나 전송을 차단하는 등의 인위적 행위를 의미할 수 있다.
도 2는 본 발명의 실시 예에 따른 네트워크 컨트롤 시스템의 기능을 설명하기 위한 도면이다.
도 2를 참조하면, 상기 네트워크 컨트롤 시스템은 전술한 바와 같이 플로우 프로세서(100)와 플로우 컨트롤러(200)를 포함하며, 플로우 패턴 DB(300)를 더 포함할 수도 있다. 상기 플로우 패턴 DB(300)는 상기 플로우 컨트롤러(200)와 물리적으로 별개의 장치로 구현될 수도 있지만, 물리적으로는 동일하되 논리적으로 별개의 장치로 구현될 수도 있다.
상기 플로우 프로세서(100)는 네트워크 상에 존재하며 상기 네트워크를 통해 전송되는 패킷들을 분석하여 플로우를 생성하거나 종료시킬 수 있다. 또한, 플로우에 대한 정보를 상기 플로우 컨트롤러(200)로 출력할 수 있으며, 패킷별 또는 플로우별로 트래픽을 제어할 수 있다.
상기 플로우 컨트롤러(200)는 상기 플로우 프로세서(100)로부터 출력되는 플로우에 대한 정보에 기초하여 검출하고자 하는 검출 플로우를 검출할 수 있다. 즉, 현재 플로우가 검출 플로우인지를 판단하고, 이에 따라 현재 플로우를 제어할 수 있다. 현재 플로우를 어떻게 제어할지에 대한 정보는 미리 상기 플로우 컨트롤러(200)에 저장되거나 소정의 연산을 통해 실시간으로 플로우의 제어 정책이 결정될 수 있다. 결정된 제어정책은 상기 플로우 프로세서(100)로 전송될 수 있으며, 전송된 정보에 기초하여 상기 플로우 프로세서(100)는 폴로우를 실시간으로 제어할 수 있다.
상기 플로우 패턴 DB(300)는 상기 플로우 컨트롤러(200)에 의해 출력되는 플로우에 대한 정보들을 임시로 저장할 수 있다. 상기 플로우 컨트롤러(200) 및/또는 상기 플로우 프로세서(100)는 현재 상기 플로우 프로세서(100)를 지나가는 플로우를 특성별로 구분할 수 있으며, 구분된 플로우들은 상기 플로우 패턴 DB(300)에 저장될 수 있다.
본 명세서에서는 설명의 편의를 위해 검출하고자 하는 검출 플로우는 P2P 해비 플로우(heavy flow)인 경우를 일 예로 설명한다. 하지만, 본 발명의 권리범위가 이에 한정되지 않으며, 소정의 플로우 특성을 도출할 수 있는 여러가지 애플리케이션 및/또는 애플리케이션이 사용하는 플로우에 적용할 수 있음을 본 발명의 평균적 전문가에게는 용이하게 추론될수 있을 것이다.
상기 플로우 프로세서(100)는 네트워크 상에서 패킷들을 입력으로 받아서 패킷들의 연속된 집합인 플로우를 생성하게 된다. 플로우를 생성하는 조건은 패킷들의 속성(예컨대, 5-Tuple(Source Address, Destination Address, Source Port, Destination Port, Protocol))를 비교하여 동일한 속성(예컨대, 5-튜플(tuple) 값)을 가지는 패킷이 존재하지 않으면 새로운 플로우를 생성하고, 만약에 동일한 값을 가지는 패킷이 존재하면 그 플로우의 트랜스포트 매개 변수 값을 업데이트하게 된다.
패킷들의 연속된 집합이라 함은 반드시 물리적으로 연속된 패킷들을 의미하 는 것이 아니라, 시간적으로 제한된 시간내에 도달한 패킷의 속성이 동일한 패킷을 포함하는 의미로 사용될 수 있다. 여기서 플로우 트랜스포트 매개 변수는 패킷의 5-튜플 정보와 플로우 사이즈(Flow Size), 지속기간(Duration), 패킷 카운트(Packet Count), 평균 패킷 사이즈(Average Packet Size), 평균 레이트(Average Rate)를 포함하는 변수 값으로 정의될 수 있다. 상기 패킷들의 속성(예컨대, 5-튜플 값) 및/또는 상기 트랜스포트 매개 변수 값을 포함하는 정보는 플로우에 대한 정보로 표현될 수 있다. 상기 플로우에 대한 정보들은 플로우 컨트롤러(200)로 출력될 수 있다. 상기 플로우 프로세서(100)가 상기 플로우 컨트롤러(200)로 플로우에 대한 정보를 출력하는 것을 플로우 익스포트(export)라고 칭하기로 한다. 그러면, 상기 플로우 프로세서(100)는 도 3에 도시된 바와 같이 플로우 익스포트를 수행할 수 있다.
도 3은 본 발명의 실시 예에 따른 플로우 프로세서가 플로우 익스포트를 수행하는 과정을 설명하기 위한 도면이다.
플로우 익스포트가 수행되는 환경은 도 3에 도시된 바와 같이 논-헤비 플로우(116)와 헤비 플로우(117)의 플로우 익스포트로 구별될 수 있다. 상기 논-헤비 플로우(116)는 본 발명의 실시 예에서 선행 플로우 후보군이 될 수 있다. 또한, ㅎ헤비 플로우(117)들은 검출 플로우 후보군이 될 수 있다.
플로우가 논-헤비 플로우(116)인 경우, 플로우 익스포트는 플로우가 생성되는 시점(packet1이 수신되는 시점)과 종료되는 시점(packet N이 수신되는 시점)에서 수행될 수 있다. 즉, 상기 플로우 프로세서(100)는 기본적으로 어느 한 플로우 의 생성시점과 종료시점에서 플로우 익스포트를 수행한다. 물론, 생성시점과 종료시점에서 플로우 익스포트하는 정보들은 서로 다를 수 있다. 왜냐하면, 플로우의 생성시점에서는 플로우에 대한 정보들 중 일부(예컨대, 트랜스포트 매개 변수 값들)를 모르기 때문이다. 플로우의 종료시점에는 플로우에 대한 정보를 모두 상기 플로우 컨트롤러(200)로 전송할 수 있다.
플로우가 헤비 플로우(117)인 경우, 상기 플로우 프로세서(100)는 플로우의 생성시점과 종료시점 이외에, 헤비 플로우로 판단된 시점에서 상기 플로우가 헤비 플로우(117)인지를 나타낼 수 있는 정보를 플로우 컨트롤러(200)에 추가적으로 전송할 수 있다. 상기 플로우 프로세서(100)는 패킷들을 수신하면서, 플로우 트랜스포트 매개 변수를 업데이트하다가 상기 플로우 트랜스포트 매개 변수 값(예컨대, 플로우 사이즈, 지속기간, 패킷 카운트, 평균 패킷 사이즈, 평균 레이트 등)이 소정의 기준치가 넘는 경우 상기 플로우를 헤비 플로우(117)로 판단할 수 있다. 상기 기준치는 구현 예에 따라 다양해질 수 있다. 판단된 헤비 플로우(117)는 검출하고자 하는 P2P 헤비 플로우의 후보군이 될 수 있다. 또한, 논-헤비 플로우(116)는 상기 P2P 헤비 플로우를 검출하기 위해 사용되는 선행 플로우의 후보군이 될 수 있다.
도 3에서와 같이 플로우 익스포트되는 플로우에 대한 정보는 패킷 속성(예컨대, 5-튜플) 중 적어도 일부 및/또는 플로우 트랜스포트 매개 변수 값 중 적어도 일부일 수 있다.
본 발명의 실시 예에 따른 네트워크 컨트롤 시스템은 플로우가 상기 헤비 플 로우(117)로 판단되는 시점(packet m이 수시된 시점)에서 소정의 짧은 시간내에 상기 헤비 플로우(117)가 검출하고자 하는 P2P 헤비 플로우인지를 판단하고, 실시간으로 상기 헤비 플로우(117)를 제어할 수 있다.
다시 도 2를 참조하면, 상기 플로우 컨트롤러(200)는 플로우 프로세서(100)로부터 전송 받은 플로우에 대한 정보(예컨대, 플로우 트랜스포트 매개 변수들과 그 값들)을 플로우 단위로 구별하여 상기 플로우 패턴 DB(300)에 저장할 수 있다. 예컨대, 논-헤비 플로우(116)와 헤비 플로우(117)로 구별하여 상기 플로우 패턴 DB(300)에 저장할 수 있다. 저장된 플로우에 대한 정보들 중 헤비 플로우(117)에 대한 정보들은 P2P 헤비 플로우의 후보군이 되며, 논-헤비 플로우(116)는 선행 플로우(예컨대, SSG(source scan group))의 후보군이 될 수 있다.
선행 플로우라 함은, 검출하고자 하는 검출 플로우가 네트워크를 통해 통과하기 전에 선행하는 플로우를 의미한다. 예컨대, P2P를 통한 컨텐츠 다운로드는 P2P의 메커니즘상 동등한 계층 노드(Peer Node)간의 호스트 및 파일 정보들을 먼저 공유하는 특성을 가지고 있고, 이러한 공유는 하나의 호스트에서 많은 호스트로의 호스트 및 파일 정보 공유 요청 패킷을 보냄으로써 이루어진다. 즉, 공유할 파일을 스캔(scan)하는 작업이 파일을 다운로드하는 작업에 선행하게 되는데, 이처럼 검출하고자 하는 플로우에 선행하게 되는 플로우를 본 명세서에서는 선행 플로우로 정의한다. 또한, 검출 플로우가 P2P 헤비 플로우인 경우 선행 플로우를 SSG로 정의할 수 있으며, P2P 헤비 플로우을 검출하는 중요한 데이터로 사용될 수 있다. 따라서, 상기 플로우 컨트롤러(200)는 논-헤비 플로우(116) 중에 선행 플로우(예컨대, P2P 클라이언트에서 전송하는 호스트 및 파일 정보 공유 요청 플로우의 집합(SSG))를 검출하는 기능을 수행할 수 있다.
또한, 상기 플로우 컨트롤러(200)는 검출된 선행 플로우를 이용하여 검출플로우를 상기 헤비 플로우(117)에서 검출한다. 예컨대, 헤비 플로우(117) 중에는 검출 플로우 이외에도 다양하고 정상적으로 네트워킹을 해야하는 플로우(예컨대, FTP, Streaming, Game, E-mail, Web 등)이 존재할 수 있으므로, 이 중에서 검출하고자 하는 플로우 만을 선택하여 검출할 수 있다. 따라서, 상기 플로우 컨트롤러(200)는 상기 선행 플로우의 정보를 이용하여 여러 헤비 플로우(117) 중 검출 플로우를 검출할 수 있다.
또한, 상기 플로우 컨트롤러(200)는 검출 플로우에 대한 제어 정책을 결정하고 그것을 플로우 프로세서(100)로 전송하는 기능을 수행할 수 있다. 이 기능은 예컨대, P2P 헤비 플로우와 같이 네트워크에서 많은 대역폭을 차지하는 트래픽 대역폭을 실시간으로 제어함으로써 다른 일반적인 사용자에게 원할한 네트워크 서비스를 제공하기 위함이다. P2P 헤비 플로우의 제어는 그 플로우가 라이브(live)한 상태에서 수행되는 것이 바람직하다.
도 4는 본 발명의 실시 예에 따른 검출 플로우의 검출 알고리즘을 설명하기 위한 플로우 챠트이다.
도 4에서는 검출 플로우는 P2P 헤비 플로우이고, 선행 플로우는 SSG인 경우를 일 예로 설명한다.
또한, 도 4에서 FH는 P2P 헤비 플로우 후보군, FSS는 SSG 집합, FPC는 플로우의 패킷 카운트, TPC는 패킷 카운트 임계치, FSSFC는 SSG의 플로우 카운트, TSSFC는 SSG의 플로우 카운트 임계치를 나타낸다.
도 4를 참조하면, 먼저 플로우 프로세서(100)는 플로우 컨트롤러(200)에게 플로우에 대한 정보를 출력한다(S100). 플로우 익스포트 시점은 도 3에서 설명한 바와 같다.
플로우 프로세서(100)에서 플로우 트랜스포트 매개 변수(Size, Duration, Packet Count, Average Packet Size, Average Rate) 값이 특정 임계치 값보다 크면 상기 플로우를 헤비 플로우로 판단할 수 있고, 상기 플로우 프로세서(100)는 헤비플로우 임을 나타내는 정보를 플로우 컨트롤러에 전달할 수 있다(S101). 구현 예에 따라, 상기 플로우가 헤비 플로우인지 논-헤비 플로우인지는 플로우 컨트롤러(200) 에서 판단할 수도 있을 것이다.
플로우 컨트롤러(200)는 플로우 프로세서(100)로부터 전송 받은 헤비 플로우에 대한 정보는 논-헤비 플로우 정보와 구별하여 소정의 DB(예컨대, 플로우 패턴 DB(300))에 저장할 수 있다(S102). 여기에서 검출된 헤비 플로우는 P2P 헤비 플로우가 아니라 단지 P2P 헤비 플로우일 가능성이 있는 후보군이다.
또한, 플로우 컨트롤러(200)는 플로우 프로세서(100)로부터 전송 받은 논-헤비 플로우에 대한 정보는 헤비 플로우에 대한 정보와 구별하여 플로우 패턴 DB(300)에 저장할 수 있다(S103). 이들 플로우는 호스트 및 파일 공유 정보를 주고 받는 선행 플로우 즉, P2P SSG(Source Scan Group)에 속할 수 있는 플로우 후보군일 수 있다.
상기 플로우 컨트롤러(200)는 또한, SSG에 속할 수 있는 플로우 후보군을 더 세부적으로 구별하여 관리할 수도 있다. 예컨대, 플로우 컨트롤러(200)는 P2P SSG 후보군에서 TCP SSG와 UDP SSG를 구별하기 위해서 플로우 정보 중에 프로토콜 항목을 검사할 수 있다(S104). P2P 애플리케이션의 동작은 컨텐츠의 검색 단계와 컨텐츠를 다운로드하는 단계로 구별되며, 이 중에서 컨텐츠 검색 단계는 TCP 프로토콜을 이용하여 컨텐츠를 검색하는 P2P애플리케이션과 UDP프로토콜을 이용하는 P2P 애플리케이션으로 나뉜다. 위와 같이 SSG를 TCP, UDP 프로토콜로 구별하여 데이터베이스에 UDP SSG 후보군 테이블과 TCP SSG 후보군 테이블에 각각 저장할 수도 있다(S106, S107).
그러면, 상기 플로우 컨트롤러(200)는 SSG 후보군에서 SSG를 검출한다. 구현 예에 따라 SSG 후보군이 UDP SSG 후보군과 TCP SSG 후보군으로 구별되어 저장되는 경우, 플로우 컨트롤러(200)는 UDP SSG 후보군과 TCP SSG 후보군 각각에서 SSG를 검출할 수 있다.
이를 위해, 플로우 컨트롤러(200)는 TCP SSG 후보군에 속한 플로우에서 상대 피어(Peer) 노드에게 TCP 커넥션(connection)을 연결하여 컨텐츠 검색 정보를 요청하는 플로우는 남기고 그 외의 플로우는 삭제할 수 있다.(S107, S114). 왜냐하면, TCP 프로토콜을 사용하여 컨텐츠를 검색하는 P2P 애플리케이션은 상대 피어 노드에게 연결 가능 여부, 컨텐츠 존재 여부, 컨텐츠 다운로드 가능 여부 등을 요청하고, 요청된 정보를 수신하게 되며, 이러한 소스 스캔 플로우는 TCP 연결 설정을 통해 이루어지기 때문이다. 한편, UDP SSG 후보군은 TCP 커넥션과정을 거치지 않으므로 이러한 과정(S107)을 생략할 수 있다.
또한, 상기 플로우 컨트롤러(200)는 TCP 또는 UDP SSG 후보 플로우 중에 플로우 사이즈가 특정 임계치 값보다 큰 플로우를 SSG 후보군에서 삭제할 수 있다(S108, S114). 왜냐하면, 컨텐츠 검색 단계에서 발생하는 피어 노드들 간의 전송하는 정보 양은 상당히 적기 때문에, 이를 나타내는 플로우의 사이즈도 특정 임계치 값을 넘지 못하며, 만약 플로우 사이즈 값이 임계치 값을 넘으면 소스 스캔 후보가 아니라고 가정하고 SSG 후보군에서 삭제할 수 있다(S114).
이처럼 SSG 후보군의 특성을 가지지 않는 플로우는 SSG 후보군에서 삭제한 후, 남은 플로우 중에서 플로우들의 상관 관계 또는 소정의 패턴 정보를 이용하여 P2P SSG 집합을 검출한다(S109). 동등한 계층 노들(Peer Node)간의 호스트 및 파일 정보를 주고 받는 P2P 소스 스캔은 하나의 호스트에서 다수의 많은 목적지 호스트 간에 발생하고, 이 때 사용하는 포트 번호는 일정할 수도 있고, 무작위적인 번호를 사용할 수도 있다. P2P 소스 스캔에 해당하는 플로우들를 5-Tuple 정보로 그래프로 나타내면 도 5와 같이 나타날 수 있다.
도 5는 본 발명의 실시 예에 따른 선행 플로우가 갖는 소정의 패턴을 나타낸다. 도 5를 참조하면, SSG는 하나의 소스 어드레스를 갖고 다수의 목적지 어드레서를 갖는 특성을 가짐을 알 수 있다. 상기 SSG의 패턴 특성은 상기 플로우 컨트롤러(200) 또는 상기 플로우 패턴 DB(300)에 미리 저장될 수 있다. 따라서, 상기 플 로우 컨트롤러(200)는 도 5와 같은 플로우의 패턴을 갖는 플로우를 P2P SSG로 검출한다.
다시 도 4를 참조하면, 상기 플로우 컨트롤러(200)는 검출된 SSG(TCP SSG 및/또는 UDP SSG)에서 소스 스캔 플로우의 수가 특정 임계치 값보다 작으면, 해당한는 헤비 플로우를 P2P 헤비 플로우 후보군에서 삭제한다(S110, S113). 왜냐하면, P2P 애플리케이션은 컨텐츠를 검색하기 위해 많은 상대 피어 노드들에게 피어 노드들의 네트워크 상태 및 컨텐츠 존재 여부 등의 정보를 요청하는 플로우를 생성시키는 특성을 가지고 있다. 이러한 특성을 기준으로 소스 스캔 플로우의 개수가 특정 임계치보다 적은 경우 그 시점에 발생한 헤비 플로우는 P2P 애플리케이션이 생성한 헤비 플로우가 아니라고 판단할 수 있다.
또한, P2P 헤비 플로우 후보군 중에 소스 어드레스가 P2P SSG에 포함되어 있으면 그 플로우는 P2P Heavy 플로우로 판단한다(S111, S112). P2P 헤비 플로우는 먼저 다수의 호스트에 대해서 소스 스캔 플로우를 생성하고, 이러한 다수의 호스트 중에서 하나 또는 여러 개의 호스트로부터 컨텐츠를 다운로드 받는다. 그래서 P2P 헤비 플로우의 소스 주소는 반드시 P2P SSG에 속한 하나 또는 그 이상의 플로우 목적지 호스트 주소와 일치해야 한다. 이러한 선행 플로우와 검출 플로우의 상관관계를 이용해 헤비 플로우가 실제로 검출할 P2P 헤비 플로우인지를 판단할 수 있다. 현재 상기 플로우 프로세서(100)를 통과하고 있는 플로우가 헤비 플로우인지가 디텍팅이 되면, 상기 플로우 컨트롤러(200)는 미리 정해진 시간(예컨대, 30분) 이전까지의 SSG를 검색하여 상기 헤비 플로우가 P2P 헤비 플로우인지를 판단할 수 있 다. 따라서, 상기 미리 정해진 시간을 얼마로 설정하는지에 따라 검출의 정확도가 달라질 수도 있다.
그러면, 상기 플로우 컨트롤러(200)는 P2P 헤비 플로우라고 판단된 플로우들에 대해 적용할 소정의 제어정책을 나타내는 제어정보를 상기 플로우 프로세서(100)로 출력할 수 있다. 그러면, 상기 플로우 프로세서(100)는 상기 제어정보에 상응하도록 상기 P2P 헤비 플로우의 대역폭을 제어할 수 있다. 실제로 본 발명의 실시 예에 의하면, 헤비 플로우의 지속 시간이 끝나기 전에 상기 헤비 플로우가 P2P 헤비 플로우인지를 검출하고 이에 따라 상기 P2P 헤비 플로우를 적절히 제어할 수 있다.
이처럼, 본 발명의 기술적 사상은 검출하고자 하는 플로우를 패킷들 각각의 페이로드를 검사하지 않고 플로우 정보만을 이용하므로 기존의 DPI 시스템의 문제점을 해결할 수 있다.
도 4에서 설명한 방법은 여러 다양한 변형 예가 가능하다. 예컨대, 검출 플로우가 P2P 헤비 플로우가 아닌 다른 플로우인 경우, 검출하고자 하는 플로우의 특성을 명확히 정의함으로써 본 발명의 기술적 사상이 적용될 수 있을 것이다. 또한, 검출하고자 하는 플로우의 특성상 선행하는 플로우가 존재하는 경우, 선행 플로우의 특성을 잘 정의함으로써 본 발명의 기술적 사상에 따라 선행 플로우를 검출할 수 있을 것이다. 또한, 검출된 선행 플로우에 대한 정보에서 어떠한 특성 또는 변수 값이 검출 플로우와 상관관계를 갖는지를 정의함으로써 본 발명의 기술적 사상은 여러 다양한 플로우를 검출하는데 적용될 수 있을 것이다.
본 발명의 실시 예에 따른 네트워크 컨트롤 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 실시 예에 따른 네트워크 컨트롤 시스템의 개략적인 구성도를 나타낸다.
도 2는 본 발명의 실시 예에 따른 네트워크 컨트롤 시스템의 기능을 설명하기 위한 도면이다.
도 3은 본 발명의 실시 예에 따른 플로우 프로세서가 플로우 익스포트를 수행하는 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 실시 예에 따른 검출 플로우의 검출 알고리즘을 설명하기 위한 플로우 챠트이다.
도 5는 본 발명의 실시 예에 따른 선행 플로우가 갖는 소정의 패턴을 나타낸다.

Claims (15)

  1. 수신되는 패킷들에 대한 정보에 기초하여 플로우를 생성하고, 생성된 플로우에 대한 정보를 출력하는 플로우 프로세서;
    상기 플로우 프로세서로부터 수신되는 상기 플로우에 대한 정보에 기초하여 생성된 상기 플로우가 검출하고자 하는 검출 플로우인지를 판단하고, 검출 플로우인 경우 상기 검출 플로우의 제어정보를 상기 플로우 프로세서로 출력하는 플로우 컨트롤러를 포함하는 네트워크 컨트롤 시스템.
  2. 제 1항에 있어서, 상기 플로우 컨트롤러는,
    상기 검출 플로우에 선행하는 선행 플로우를 검출하고,
    검출된 상기 선행 플로우에 대한 정보에 기초하여 상기 플로우가 상기 검출 플로인지를 판단하는 네트워크 컨트롤 시스템.
  3. 제 2항에 있어서, 상기 플로우 프로세서는,
    상기 플로우에 대한 정보에 기초하여 상기 플로우가 상기 선행 플로우의 후보플로우인지 상기 검출 플로우의 후보플로우인지를 판단하고,
    판단결과에 기초하여 상기 플로우가 상기 선행 플로우의 후보 플로우인지 상기 검출 플로우의 후보플로우인지를 구별가능하도록 상기 플로우에 대한 정보를 상기 플로우 컨트롤러로 출력하는 네트워크 컨트롤 시스템.
  4. 제 2항에 있어서, 상기 플로우 컨트롤러는,
    상기 플로우에 대한 정보를 수신하고, 상기 플로우가 상기 선행 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 선행 플로우 후보군에 저장하고, 상기 플로우가 상기 검출 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 검출 플로우의 후보군에 저장하는 네트워크 컨트롤 시스템.
  5. 제 4항에 있어서, 상기 플로우 컨트롤러는,
    상기 선행 플로우의 소정의 특성에 대한 정보를 미리 저장하며,
    저장된 상기 특성에 대한 정보에 기초하여 상기 선행 플로우 후보군에서 상기 선행 플로우를 검출하는 네트워크 컨트롤 시스템.
  6. 제 5항에 있어서, 상기 플로우 컨트롤러는,
    검출된 상기 선행 플로우에 대한 정보와 상기 플로우에 대한 정보 중 적어도 하나의 상관관계에 기초하여, 상기 플로우를 검출 플로우로 판단하는 네트워크 컨트롤 시스템.
  7. 제 1항에 있어서, 상기 플로우에 대한 정보는,
    소스 어드레스(source address), 목적 어드레스(destination address), 소스 포트(source port), 목적 포트(destination port), 프로토콜(protocol), 플로우 사 이즈(flow size), 지속기간(duration), 패킷 카운트(packet count), 평균 패킷 사이즈(average packet size), 평균 레이트(average rate) 중 적어도 하나를 포함하는 네트워크 컨트롤 시스템.
  8. 제 2항에 있어서, 상기 검출 플로우는,
    P2P 해비(heavy) 플로우이고, 상기 선행 플로우는 소스 스캔 그룹(source scan group)인 네트워크 컨트롤 시스템.
  9. 제 1항에 있어서, 상기 플로우 컨트롤러는,
    상기 검출 플로우의 대역폭을 제어하기 위한 상기 제어정보를 상기 플로우 프로세서로 출력하며, 상기 플로우 프로세서는 상기 제어정보에 기초하여 상기 검출 플로우의 대역폭을 제어하는 네트워크 컨트롤 시스템.
  10. 네트워크 컨트롤 시스템이 수신되는 패킷들에 대한 정보에 기초하여 플로우를 생성하고, 생성된 플로우에 대한 정보를 수집하는 단계;
    수집된 상기 플로우에 대한 정보에 기초하여 생성된 상기 플로우가 검출하고자 하는 검출 플로우인지를 판단하는 단계; 및
    판단결과 검출 플로우인 경우 상기 검출 플로우를 제어하는 단계를 포함하는 네트워크 컨트롤 방법.
  11. 제 10항에 있어서, 상기 상기 플로우가 검출하고자 하는 검출 플로우인지를 판단하는 단계는,
    상기 검출 플로우에 선행하는 선행 플로우를 검출하는 단계를 더 포함하며,
    상기 네트워크 컨트롤 시스템은 검출된 상기 선행 플로우에 대한 정보에 기초하여 상기 플로우가 상기 검출 플로우인지를 판단하는 네트워크 컨트롤 방법.
  12. 제 11항에 있어서, 상기 생성된 플로우에 대한 정보를 수집하는 단계는,
    상기 플로우에 대한 정보에 기초하여 상기 플로우가 상기 선행 플로우의 후보플로우인지 상기 검출 플로우의 후보플로우인지를 판단하는 단계; 및
    판단결과에 기초하여 상기 플로우가 상기 선행 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 선행 플로우 후보군에 저장하고, 상기 플로우가 상기 검출 플로우의 후보 플로우인 경우 상기 플로우에 대한 정보를 상기 검출 플로우의 후보군에 저장하는 단계를 포함하는 네트워크 컨트롤 방법.
  13. 제 12항에 있어서, 상기 네트워크 컨트롤 방법은,
    상기 선행 플로우의 소정의 특성에 대한 정보를 미리 저장하는 단계를 더 포함하며,
    상기 선행 플로우를 검출하는 단계는,
    저장된 상기 특성에 대한 정보에 기초하여 상기 선행 플로우 후보군에서 상기 선행 플로우를 검출하는 네트워크 컨트롤 방법.
  14. 제 13항에 있어서, 상기 네트워크 컨트롤 시스템은 검출된 상기 선행 플로우에 대한 정보에 기초하여 상기 플로우가 상기 검출 플로우인지를 판단하기 위해,
    검출된 상기 선행 플로우에 대한 정보와 상기 플로우에 대한 정보 중 적어도 하나의 상관관계에 기초하여, 상기 플로우를 검출 플로우로 판단하는 네트워크 컨트롤 방법.
  15. 제 10 항 내지 제14항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록매체.
KR1020080126888A 2008-12-15 2008-12-15 네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법 KR20100068508A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080126888A KR20100068508A (ko) 2008-12-15 2008-12-15 네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080126888A KR20100068508A (ko) 2008-12-15 2008-12-15 네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법

Publications (1)

Publication Number Publication Date
KR20100068508A true KR20100068508A (ko) 2010-06-24

Family

ID=42366739

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080126888A KR20100068508A (ko) 2008-12-15 2008-12-15 네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법

Country Status (1)

Country Link
KR (1) KR20100068508A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11528199B2 (en) 2018-05-15 2022-12-13 Xabyss Inc. Method for network inspection saving packet and system performing the same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11528199B2 (en) 2018-05-15 2022-12-13 Xabyss Inc. Method for network inspection saving packet and system performing the same

Similar Documents

Publication Publication Date Title
US7545748B1 (en) Classification and management of network traffic based on attributes orthogonal to explicit packet attributes
US7296288B1 (en) Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users
US7742406B1 (en) Coordinated environment for classification and control of network traffic
Strayer et al. Botnet detection based on network behavior
US7554983B1 (en) Probing hosts against network application profiles to facilitate classification of network traffic
US7921462B2 (en) Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack
EP2241058B1 (en) Method for configuring acls on network device based on flow information
Yau et al. Defending against distributed denial-of-service attacks with max-min fair server-centric router throttles
US7664048B1 (en) Heuristic behavior pattern matching of data flows in enhanced network traffic classification
Constantinou et al. Identifying known and unknown peer-to-peer traffic
US8897132B2 (en) Enhanced random early discard for networked devices
US7124173B2 (en) Method and apparatus for intercepting performance metric packets for improved security and intrusion detection
US7778194B1 (en) Examination of connection handshake to enhance classification of encrypted network traffic
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
Jansen et al. Throttling tor bandwidth parasites
US20040218615A1 (en) Propagation of viruses through an information technology network
JP2004364306A (ja) クライアント−サーバ接続要求を制御するシステム
JP2019134484A (ja) アクセス要求を規制するシステムおよび方法
Wang et al. Cooperative-filter: countering interest flooding attacks in named data networking
CN110166480B (zh) 一种数据包的分析方法及装置
KR102050089B1 (ko) 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법
Iacovazzi et al. The {DUSTER} attack: Tor onion service attribution based on flow watermarking with track hiding
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
US7437758B2 (en) Propagation of viruses through an information technology network
Goksel et al. DoS attack detection using packet statistics in SDN

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid