KR20100072975A - Apparatus and method for managing network traffic based on flow and session - Google Patents

Apparatus and method for managing network traffic based on flow and session Download PDF

Info

Publication number
KR20100072975A
KR20100072975A KR1020080131548A KR20080131548A KR20100072975A KR 20100072975 A KR20100072975 A KR 20100072975A KR 1020080131548 A KR1020080131548 A KR 1020080131548A KR 20080131548 A KR20080131548 A KR 20080131548A KR 20100072975 A KR20100072975 A KR 20100072975A
Authority
KR
South Korea
Prior art keywords
flow
session
network traffic
pattern
flow pattern
Prior art date
Application number
KR1020080131548A
Other languages
Korean (ko)
Other versions
KR101528928B1 (en
Inventor
엄종훈
권용식
이시영
엄태랑
최병걸
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020080131548A priority Critical patent/KR101528928B1/en
Publication of KR20100072975A publication Critical patent/KR20100072975A/en
Application granted granted Critical
Publication of KR101528928B1 publication Critical patent/KR101528928B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A network traffic management apparatus and a method thereof are provided to control flows generated from each application based on a traffic control policy. CONSTITUTION: A flow processing unit(110) controls a network traffic for each flow according to a traffic control policy. A flow controller(120) extracts a flow parameter about a flow set related from extracted discrete flow information. The flow controller analyzes a flow pattern. The flow controller recognizes the session which the flow set belongs by using the analyzed result and the saved flow pattern for each session. The flow controller decides the traffic control policy on the basis of the recognized session.

Description

플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법{APPARATUS AND METHOD FOR MANAGING NETWORK TRAFFIC BASED ON FLOW AND SESSION}Flow traffic and session based network traffic management apparatus and method thereof {APPARATUS AND METHOD FOR MANAGING NETWORK TRAFFIC BASED ON FLOW AND SESSION}

본 발명은 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법에 관한 것으로, 더욱 상세하게는 기본적인 플로우 정보뿐만 아니라 플로우들 간의 상관관계(예를 들면, 호스트의 플로우 수, 대량 플로우(Heavy Flow)인가 아닌가 등)를 기반으로 어떤 세션(응용 프로그램)이 동작함으로써 발생하는 것(플로우 패턴)인가를 실시간으로 인식하고, 이에 대해 트래픽 제어 정책을 기반으로 각 응용 프로그램으로부터 발생된 플로우들을 제어함으로써, 세션 기반으로 네트워크의 대역폭을 관리할 수 있는, 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법에 관한 것이다.The present invention relates to an apparatus and method for managing network traffic based on flows and sessions, and more particularly, to correlations between flows as well as basic flow information (for example, the number of flows of a host and a heavy flow). Session-based by recognizing in real time what sessions (applications) are occurring (flow patterns) and controlling flows from each application based on traffic control policies. The present invention relates to a flow and session based network traffic management apparatus and method for managing bandwidth of a network.

최근 업무 전산화로 인한 분산 컴퓨팅 환경이 확대되고 네트워크 기반의 응용 프로그램이 다양하게 개발되고 있다. 이에 따라, 네트워크 트래픽은 증가하는 추세에 있다. 또한, 어느 호스트에서 어떤 형태의 트래픽이 얼마만큼 유발되는지를 알아내는 일은 한정된 네트워크 자원을 효율적으로 활용하는데 매우 중요한 일이 되었다.Recently, distributed computing environment has been expanded due to computerization and various network-based applications have been developed. Accordingly, network traffic is on the rise. In addition, finding out how much traffic and what type of traffic is generated from which host has become very important for efficiently utilizing limited network resources.

하지만, 현재의 네트워크 관리 시스템들은 트래픽 모니터링에 따른 통계값 제공 등의 단순 평면적인 정보만을 제공할 뿐, 네트워크를 정밀 분석하고 그에 따른 대책을 마련하기에는 미약하다. 따라서 네트워크 관리 시스템은 네트워크 트래픽을 자세히 분석해야 한다. 또한, 네트워크 관리 시스템은 네트워크 계층별, 지역별, 호스트별 및 트래픽 플로우별로 트래픽 분석 및 진단할 수 있는 시스템의 개발이 필요하다. 이는 효율적인 네트워크 자원 활용을 위함이다.However, current network management systems only provide simple planar information such as providing statistics according to traffic monitoring, and are insufficient to analyze the network and prepare countermeasures accordingly. Therefore, the network management system must analyze the network traffic in detail. In addition, the network management system needs to develop a system capable of analyzing and diagnosing traffic by network layer, region, host, and traffic flow. This is for efficient network resource utilization.

종래의 네트워크 제어 및 관리 장비들은 TCP/UDP 또는 IP의 패킷 정보를 기반으로 네트워크를 제어하거나 관리한다. 해당 장비들은 특정 단위 목표인 라우팅이나 QoS, DDoS 방지 등을 달성하기 위해 연구되고 있다.Conventional network control and management equipment controls or manages the network based on packet information of TCP / UDP or IP. The devices are being studied to achieve specific unit goals such as routing, QoS, and DDoS prevention.

그러나 이러한 패킷 기반의 접근 방법은 상위 애플리케이션들의 통신 관계에 따른 정보들을 무시하고 있다. 또한, 이러한 접근 방법은 단순히 일시적인 정보 전달 단위인 각각의 분리된 패킷에 담겨 있는 정보들에만 의존하고 있다. 그렇기 때문에, 패킷 기반의 접근 시스템은 적게는 처리 속도의 한계성과 크게는 적용성의 한계로 인해 독립적인 목표를 위한 단일 시스템의 형태로 제공되고 있다. 여기서, 독립적인 목표를 위한 단일 시스템은 패킷 라우팅을 위한 라우터, DDoS 공격을 방어하는 전용 시스템, 또는 트래픽 제어를 위한 DPI 시스템 등을 포함할 수 있다.However, this packet-based approach ignores the information based on the communication relationship of the upper applications. In addition, this approach simply relies on the information contained in each separate packet, which is a temporary information transfer unit. As such, packet-based access systems are being provided in the form of a single system for independent goals due to the limited processing speed and largely the applicability. Here, a single system for an independent target may include a router for packet routing, a dedicated system for defending DDoS attacks, or a DPI system for traffic control.

또한, IP 네트워크의 본질인 베스트 에포트(베스트 에포트)라는 전송 및 운용 방식은 점차 증가하는 사용자 트래픽의 폭증, 인터넷 기술의 보편화에 따른 악 의적인 사용자 증가로 인해 DDoS 공격, 네트워크 대역폭(네트워크 Bandwidth) 공격 등이 증가함에 따라 네트워크의 관리 및 유지보수에 많은 문제점을 야기하고 있다.In addition, the best effort (best effort) method of transmission and operation, which is the essence of the IP network, is characterized by DDoS attacks and network bandwidth (network bandwidth) due to the explosion of user traffic and the increase of malicious users due to the generalization of Internet technology. As the number of attacks increases, it causes many problems in the management and maintenance of the network.

종래의 베스트 에포트 전송 및 운용 방식은 DDoS 공격, 대역폭(Bandwidth) 공격, P2P 등에 대한 다양한 현재 IP 네트워크 문제점이 있다. 이러한 종래의 전송 및 운영 방식은 미션 크리티컬한 트래픽(Mission-Critical 트래픽)(예를 들면, TV, SoIP, 이-러닝(e-Learning) 등)을 보호하지 못해서 인터넷의 서비스 품질을 극대화하지 못한다는 문제점이 있다. 또한 네트워크 중심전(NCW: 네트워크 Centric Warfare)과 전자정부를 추구하는 국방 광대역 통신망과 국가 정보 통신망에도 여러 가지 문제점이 있다.The conventional best effort transmission and operation method has various current IP network problems for DDoS attack, bandwidth attack, P2P, and the like. Such conventional transmission and operation methods do not protect mission-critical traffic (eg, TV, SoIP, e-learning, etc.) and do not maximize the quality of service on the Internet. There is a problem. There are also problems with the network centric warfare (NCW) and the defense broadband and national telecommunications networks in pursuit of e-government.

최근의 상황은 P2P, DDoS 공격 등 예측하기 어려운 패킷의 무분별한 유입으로 네트워크 대역폭에 대한 위협은 날로 증가하는 추세이다. 이는 사용자가 발생하는 패킷을 특별한 제어 없이 가용한 자원을 최대한 활용하도록 설계된 IP의 특성으로 인한 당연한 결과이다. 이로 인한 결과는 공격으로 인한 서비스의 중단, 통제 불가능한 자원 관리로 인한 정상 서비스의 품질 저하, 네트워크 구축을 위한 투자비의 증가 등 이루 말할 수 없는 문제점을 초래하고 있다.The recent situation is that the threat to network bandwidth is increasing due to the indiscriminate inflow of unpredictable packets such as P2P and DDoS attacks. This is a natural result of the nature of IP designed to maximize the available resources of the user's packets without special control. The consequences of this are unforeseen problems such as interruption of services due to attacks, deterioration of normal services due to uncontrollable resource management, and increased investment costs for network construction.

한편, 플로우 기술과 세션 인식 네트워크 기술은 연구 개발의 초기 단계에 있는 기술 분야이다. 망 사업자를 중심으로 IP 네트워크에서 실시간으로 미션 크리티컬한 트래픽(Mission Critical Traffic)을 감시 및 보호하는 기술로 활용하기 위해 조금씩 연구 개발이 진행되고 되고 있다. 그리고 플로우 라우터 및 하드웨어 장비와 플로우 제어 기술과 같은 소프트웨어 기술을 융합하여 플로우 기반 네트워크 제어 장비를 개발하고자 하는 연구 개발들이 시도되고 있다. 또한, 대형 네트워크 장비 업체들을 중심으로 네트워크 트래픽 분석의 중심 기술로서 연구되고 있다. 또한, 고속 플로우 라우팅 장비들의 개발이 진행되고 있다.On the other hand, flow technology and session aware network technology are technical fields at an early stage of research and development. Research and development is being done little by little for network operators to use the technology to monitor and protect mission critical traffic in real time on IP networks. In addition, research and development have been attempted to develop flow-based network control equipment by fusing software technologies such as flow router and hardware equipment and flow control technology. In addition, large network equipment companies are being researched as a core technology of network traffic analysis. In addition, the development of high-speed flow routing equipment is in progress.

그러나 이러한 기술들이 네트워크 트래픽의 오프라인(Off-line) 분석 또는 고속 라우팅 기술로 활용되고 있기에, 실시간 네트워크 트래픽의 제어를 위한 기술 수준을 확보하지 못하고 있는 실정이다. 즉, 플로우의 생성 기술이 패킷의 샘플링에 의존하고 있기 때문에 실시간 제어를 위한 정확한 정보 추출 수준이 되지 못하고 있다.However, since these technologies are used as an offline analysis or high-speed routing technology of network traffic, the technology level for controlling real-time network traffic is not secured. In other words, the flow generation technique is dependent on the sampling of the packet, and thus the level of information extraction for the real time control is not accurate.

현재 대표적인 네트워크 트래픽 검출 및 제어 시스템은 패킷의 페이로드를 검사하는 딥패킷 인스펙션(DPI: Deep 패킷 Inspection) 시스템이다. DPI 시스템은 세 가지 치명적인 단점이 있다. 첫째, 전송되는 모든 패킷의 페이로드를 검사해야함으로 프로세싱의 오버헤드가 너무 크다. 둘째, 페이로드가 암호화된 패킷일 경우 암호화를 풀 수 있는 방법이 없다. 그러므로 네트워크 트래픽을 검출할 방법이 없다. 셋째, 패킷 페이로드의 검사로 인해 네트워크 사용자의 프라이버시를 훼손할 수 있는 상황이므로 법적인 문제를 내포하고 있다. 세 가지 문제점으로 인해 DPI 시스템의 실제 망 적용에도 한계에 부딪히고 있다. 하지만, 아직까지는 DPI 시스템의 문제점을 해결하고 대응할 수 있는 시스템적인 해결 방안이나 종래의 기술이 부재한 상황이다.Currently, a representative network traffic detection and control system is a deep packet inspection (DPI) system that inspects a packet's payload. The DPI system has three fatal drawbacks. First, the overhead of processing is too great because the payload of all the packets being sent must be examined. Second, if the payload is an encrypted packet, there is no way to decrypt it. Therefore, there is no way to detect network traffic. Third, because the inspection of the packet payload may damage the privacy of the network user, there is a legal problem. Three problems are limiting the practical application of DPI systems. However, there are still no system solutions or conventional techniques that can solve and cope with the problems of the DPI system.

따라서 상기와 같은 종래 기술은 패킷의 페이로드를 검사하여 네트워크 트래픽을 검출함으로써, 페이로드를 처리하는 프로세싱의 오버헤드가 크며, 페이로드가 암호화되어 있는 경우에 트래픽 검출할 수 없으며, 페이로드 검사로 인한 사용자의 프라이버시가 훼손될 수 있다는 문제점이 있으며, 이러한 문제점을 해결하고자 하는 것이 본 발명의 과제이다.Therefore, the prior art as described above detects network traffic by inspecting the payload of the packet, so that the overhead of processing the payload is large, and the traffic cannot be detected when the payload is encrypted. There is a problem that the privacy of the user may be compromised due to the problem, it is an object of the present invention to solve this problem.

따라서 본 발명은 기본적인 플로우 정보뿐만 아니라 플로우들 간의 상관관계(예를 들면, 호스트의 플로우 수, 대량 플로우(Heavy Flow)인가 아닌가 등)를 기반으로 어떤 세션(응용 프로그램)이 동작함으로써 발생하는 것(플로우 패턴)인가를 실시간으로 인식하고, 이에 대해 트래픽 제어 정책을 기반으로 각 응용 프로그램으로부터 발생된 플로우들을 제어함으로써, 세션 기반으로 네트워크의 대역폭을 관리할 수 있는, 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법을 제공하는데 그 목적이 있다.Therefore, the present invention is generated by operating a session (application) based on not only basic flow information but also correlations between flows (for example, the number of flows of a host or a heavy flow). Flow and session based network traffic management device, which can manage the bandwidth of the network on a session basis by recognizing the flow pattern) in real time and controlling flows generated from each application based on the traffic control policy. And a method thereof.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention which are not mentioned can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

본 발명은 상기 문제점을 해결하기 위하여, 기본적인 플로우 정보뿐만 아니라 플로우들 간의 상관관계(예를 들면, 호스트의 플로우 수, 대량 플로우(Heavy Flow)인가 아닌가 등)를 기반으로 어떤 세션(응용 프로그램)이 동작함으로써 발생하는 것(플로우 패턴)인가를 실시간으로 인식하고, 이에 대해 트래픽 제어 정책을 기반으로 각 응용 프로그램으로부터 발생된 플로우들을 제어하는 것을 특징으로 한다.In order to solve the above problem, in order to solve the above problem, a session (application) is established based on not only basic flow information but also correlations between flows (for example, the number of flows of a host and a heavy flow). It is characterized in that it recognizes in real time whether it is generated by the operation (flow pattern), and controls flows generated from each application program based on the traffic control policy.

더욱 구체적으로, 본 발명의 장치는, 네트워크 트래픽 관리 장치에 있어서, 세션별 플로우 패턴을 저장하기 위한 플로우 패턴 저장 수단; 네트워크 트래픽의 데이터 링크를 통해 전송되는 패킷들로부터 개별 플로우 정보를 추출하여 플로우를 생성하고, 트래픽 제어 정책에 따라 플로우별 네트워크 트래픽을 제어하기 위한 플로우 처리 수단; 및 상기 추출된 개별 플로우 정보로부터 연관된 플로우 집합에 대한 플로우 파라미터를 추출하여 플로우 패턴을 분석하고, 상기 분석된 결과와 상기 저장된 세션별 플로우 패턴을 이용하여 상기 플로우 집합이 속한 세션을 인식하고, 상기 인식된 세션 기반으로 상기 트래픽 제어 정책을 결정하기 위한 플로우 제어 수단을 포함한다.More specifically, the apparatus of the present invention is a network traffic management apparatus, comprising: flow pattern storage means for storing a flow pattern for each session; Flow processing means for generating a flow by extracting individual flow information from packets transmitted through a data link of network traffic, and controlling network traffic for each flow according to a traffic control policy; And extracting a flow parameter for an associated flow set from the extracted individual flow information to analyze a flow pattern, and using the analyzed result and the stored session-specific flow pattern, recognizes a session to which the flow set belongs, and recognizes the flow pattern. Flow control means for determining the traffic control policy based on the established session.

또한, 상기 본 발명의 장치는, 상기 플로우 제어 수단에서 처리되지 못한 플로우에 대한 플로우 패턴을 백그라운드 상으로 분석하여 상기 저장된 세션별 플로우 패턴 목록을 갱신하기 위한 플로우 패턴 분석 수단을 더 포함한다.In addition, the apparatus of the present invention further comprises a flow pattern analysis means for updating the stored flow pattern list for each session by analyzing the flow pattern for the flow not processed by the flow control means in the background.

한편, 본 발명의 방법은, 네트워크 트래픽 관리 방법에 있어서, 네트워크 트 래픽의 데이터 링크를 통해 전송되는 패킷들로부터 개별 플로우 정보를 추출하여 플로우를 생성하는 플로우 생성 단계; 상기 추출된 개별 플로우 정보로부터 연관된 플로우 집합에 대한 플로우 파라미터를 추출하여 플로우 패턴을 분석하는 플로우 분석 단계; 상기 분석된 결과와 기저장된 세션별 플로우 패턴을 이용하여 상기 플로우 집합이 속한 세션을 인식하는 세션 인식 단계; 및 상기 인식된 세션 기반으로 트래픽 제어 정책을 결정하고 상기 결정된 트래픽 제어 정책에 따라 세션별 네트워크 트래픽을 제어하는 플로우 제어 단계를 포함한다.On the other hand, the method of the present invention, a network traffic management method, comprising: a flow generating step of generating a flow by extracting individual flow information from packets transmitted through a data link of a network traffic; A flow analysis step of analyzing a flow pattern by extracting flow parameters for an associated flow set from the extracted individual flow information; A session recognizing step of recognizing a session to which the flow set belongs by using the analyzed result and prestored flow patterns for each session; And a flow control step of determining a traffic control policy based on the recognized session and controlling network traffic for each session according to the determined traffic control policy.

또한, 상기 본 발명의 방법은, 상기 플로우 분석 단계에서 처리되지 못한 플로우에 대한 플로우 패턴을 백그라운드 상으로 분석하여 세션별 플로우 패턴 목록을 갱신하는 목록 갱신 단계를 더 포함한다.In addition, the method of the present invention further includes a list updating step of updating a flow pattern list for each session by analyzing a flow pattern for a flow not processed in the flow analysis step in the background.

상기와 같은 본 발명은, 기본적인 플로우 정보뿐만 아니라 플로우들 간의 상관관계(예를 들면, 호스트의 플로우 수, 대량 플로우(Heavy Flow)인가 아닌가 등)를 기반으로 어떤 세션(응용 프로그램)이 동작함으로써 발생하는 것(플로우 패턴)인가를 실시간으로 인식하고, 이에 대해 트래픽 제어 정책을 기반으로 각 응용 프로그램으로부터 발생된 플로우들을 제어함으로써, 세션 기반으로 네트워크의 대역폭을 관리할 수 있는 효과가 있다.As described above, the present invention is generated by operating a session (application) based on not only basic flow information but also correlations between flows (for example, the number of flows of a host, a heavy flow, etc.). By recognizing whether or not to perform (flow pattern) in real time, and controlling the flows generated from each application based on the traffic control policy, it is effective to manage the bandwidth of the network on a session basis.

즉, 본 발명은, 플로우 기반의 세션 인식 기술을 기반으로 하는 세션 기반 IP 네트워크 기술을 제시함으로써, 디도스(DDoS) 공격, 대역폭(Bandwidth) 공격, 피투피(P2P) 등의 다양한 현재 IP 네트워크의 문제점들을 해결할 수 있는 효과가 있다.That is, the present invention proposes a session-based IP network technology based on a flow-based session recognition technology, thereby providing a problem of various current IP networks such as DDoS attacks, bandwidth attacks, and P2P. There is an effect that can solve them.

또한, 본 발명은, IPTV, SoIP, e-러닝 등과 같은 미션 크리티컬한 트래픽을 보호함으로써 인터넷의 서비스 품질을 극대화할 수 있다.In addition, the present invention can maximize the service quality of the Internet by protecting the mission-critical traffic such as IPTV, SoIP, e-learning.

더 나아가, 본 발명은, 세션 기반의 IP 네트워크 기술을 이용하여 네트워크 중심전과 전자정부를 추구하는 국방 광대역 통신망과 국가 정보 통신망에 상존하는 문제점들을 해결할 수 있다. 본 발명은, 지능형 라우터 및 스위치, 광역 통신망(WAN) 가속기, 디도스(DDoS)나 파이어웨어(FireWare)와 같은 네트워크 보안 장비, 그리고 네트워크 QOS 관련 장비의 개발이 더욱 활성화될 수 있는 효과가 있다.Furthermore, the present invention can solve the problems existing in the defense broadband communication network and the national information communication network pursuing network-centered warfare and e-government using session-based IP network technology. The present invention has the effect that the development of intelligent routers and switches, wide area network (WAN) accelerator, network security equipment such as DDoS or FireWare, and network QOS related equipment can be further activated.

상술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되어 있는 상세한 설명을 통하여 보다 명확해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings, It can be easily carried out. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명을 설명하기에 앞서, 용어들을 살펴보면 다음과 같다.Before describing the present invention, terms are as follows.

플로우(Flow)는 제한된 시간 내에 연속적으로 전달되는 IP 패킷들의 집합이 다. 딥패킷 인스펙션(DPI: Deep 패킷 Inspection) 시스템은 패킷의 페이로드를 검사하는 패킷 필터링 방법이다. 비동기 전송 방식(ATM: Asynchronous Transfer Mode)은 자료를 일정한 크기로 정하여 순서대로 전송하는 전송 방식이다. 그리고 디도스 공격(DDoS: Distributed Denial-of-Service Attack)은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 분산 서비스 거부 공격이다. 피투피(P2P: Peer to Peer)는 서버와 클라이언트 역할을 담당하는 동등한 계층 노드들(peer nodes)들로 구성된 네트워크이다.Flow is a set of IP packets that are delivered continuously within a limited time. Deep Packet Inspection (DPI) system is a packet filtering method that inspects the payload of a packet. Asynchronous Transfer Mode (ATM) is a transmission method that transmits data in a fixed size. Distributed Denial-of-Service Attack (DDoS) is a distributed denial-of-service attack that attacks a specific site by operating multiple computers simultaneously. Peer to Peer (P2P) is a network of peer nodes that play the role of server and client.

도 1 은 본 발명에 따른 플로우 및 세션 기반의 네트워크 트래픽 관리 장치의 일실시예 구성도이다.1 is a configuration diagram of an apparatus for managing flow and session based network traffic according to the present invention.

도 1에 도시된 바와 같이, 네트워크 트래픽 관리 장치(100)는 플로우 처리부(110), 플로우 제어부(120), 플로우 패턴 분석부(130) 및 플로우 패턴 데이터베이스(140)를 포함한다.As shown in FIG. 1, the network traffic management apparatus 100 includes a flow processor 110, a flow controller 120, a flow pattern analyzer 130, and a flow pattern database 140.

네트워크 트래픽 관리 장치(100)는 실시간 네트워크 대역폭 제어 및 보호를 위하여 베스트 에포트 방식의 IP 네트워크 기술에 ATM의 제어 개념을 접목한 혼합형 기술이 이용된다. 그리고 네트워크 트래픽 관리 장치(100)는 플로우 기반 기술과 세션 인식 기술을 이용한 세션 기반의 IP 네트워크 트래픽 관리 장치에 관한 것이다.The network traffic management apparatus 100 uses a hybrid technology that combines the ATM control concept with the best effort IP network technology for real time network bandwidth control and protection. The network traffic management apparatus 100 relates to a session-based IP network traffic management apparatus using a flow-based technique and a session recognition technique.

예를 들어, 네트워크 트래픽 관리 장치(100)는 베스트 에포트 기반의 이더넷 및 TCP/IP 기술의 태생적인 문제점을 상용망에서 해결하고자 한다. 여기서, 베스트 에포트 기반의 이더넷 및 TCP/IP 기술은 전술된 디도스(DDoS) 공격, 대역 폭(Bandwidth) 공격 등 취약점과 랜(LAN: Local Area Network)과 맨(MAN: Metropolitan Area Network)을 구축하기 위한 것이다. 그리고 네트워크 트래픽 관리 장치(100)는 IPTV, SoIP, 이-러닝(e-Learning) 등과 같은 미션 크리티컬한 트래픽(Mission-Critical Traffic)을 보호함으로써 인터넷의 서비스 품질을 극대화하고자 플로우 기반의 세션 인식 기술을 기반으로 하는 세션 기반의 IP 네트워크 트래픽 관리 장치에 관한 것이다.For example, the network traffic management apparatus 100 attempts to solve the inherent problems of the best effort based Ethernet and TCP / IP technologies in a commercial network. Here, the best effort-based Ethernet and TCP / IP technologies are used to solve the above-mentioned vulnerabilities such as DDoS attacks and bandwidth attacks, LAN (Local Area Network) and MAN (Metropolitan Area Network). It is to build. In addition, the network traffic management apparatus 100 protects mission-critical traffic such as IPTV, SoIP, and e-learning, and uses flow-based session recognition technology to maximize the service quality of the Internet. It relates to a session-based IP network traffic management device based.

이하, 본 발명에 따른 네트워크 트래픽 관리 장치(100)의 구성요소 각각 및 네트워크 트래픽 관리 방법에 대하여 살펴보기로 한다.Hereinafter, each component of the network traffic management apparatus 100 and the network traffic management method will be described.

플로우 처리부(110)는 연속된 패킷들로부터 플로우 정보를 추출하고, 플로우 별로 트래픽을 제어한다. 즉, 플로우 처리부(110)는 패킷 기반의 IP 네트워크에서 세션 인식을 위한 단위인 플로우를 생성하여 관리한다. 또한, 플로우 처리부(110)는 플로우 제어 규칙에 의거하여 플로우에 대한 처리를 수행한다. 플로우 처리부(110)는 패킷 단위가 아닌 플로우 단위로 라우팅을 수행함으로써 저성능 장비에서도 고속의 라우팅의 제공이 가능하다.The flow processor 110 extracts flow information from successive packets and controls traffic for each flow. That is, the flow processor 110 generates and manages a flow which is a unit for session recognition in a packet-based IP network. In addition, the flow processor 110 performs a process on the flow based on the flow control rule. The flow processing unit 110 may provide high-speed routing even in low-performance equipment by performing routing in flow units instead of packet units.

그리고 플로우 제어부(120)는 플로우 기반으로 네트워크 트래픽을 분석하고, 분석한 결과를 기반으로 트래픽 제어 정책을 생성한다. 즉, 플로우 제어부(120)는 플로우 처리부(110)로부터 실시간으로 전달되는 플로우 정보 및 각 플로우들의 플로우 파라미터를 기반으로 플로우 패턴을 분석한다. 이후, 플로우 제어부(120)는 분석된 트래픽에 대한 제어 정책을 결정하고 그 결정된 제어 정책을 플로우 처리부(110)에 전달한다. 이는 실시간으로 플로우 기반 네트워크 대역폭 관리 및 제어 를 가능하게 하기 위함이다. 또한, 플로우 제어부(120)는 세션 기반 IP 네트워크 시스템의 주요 기술인 실시간 세션 인식 기능을 수행한다.The flow controller 120 analyzes network traffic based on the flow and generates a traffic control policy based on the analyzed result. That is, the flow controller 120 analyzes a flow pattern based on flow information transmitted from the flow processor 110 in real time and flow parameters of respective flows. Thereafter, the flow controller 120 determines a control policy for the analyzed traffic and transfers the determined control policy to the flow processor 110. This is to enable flow-based network bandwidth management and control in real time. In addition, the flow controller 120 performs a real time session recognition function, which is a main technology of the session-based IP network system.

그리고 플로우 패턴 분석부(130)는 플로우 제어부(120)에서 실시간으로 처리하지 못하는 플로우들의 패턴 정보에 대해 패턴 분석을 수행하고, 이의 결과인 플로우 패턴 정보를 플로우 제어부(120)에 적용한다. 즉, 플로우 제어부(120)에서 실시간으로 처리하지 못하는 플로우들의 패턴 정보에 대해 패턴 분석을 수행하고, 이의 결과인 플로우 패턴 정보를 플로우 제어부(120)에 전달하여 실시간으로 네트워크 대역폭 제어가 가능하도록 한다.The flow pattern analyzer 130 performs pattern analysis on pattern information of flows that the flow controller 120 does not process in real time, and applies the flow pattern information, which is a result thereof, to the flow controller 120. That is, the pattern analysis is performed on the pattern information of flows that cannot be processed in real time by the flow control unit 120, and the flow pattern information which is a result thereof is transmitted to the flow control unit 120 to enable network bandwidth control in real time.

그리고 플로우 패턴 데이터베이스(140)는 세션 기반을 위해 필요한 다양한 응용 서비스들의 플로우 패턴을 분석하고 그 분석 결과를 저장한다. 즉, 플로우 패턴 데이터베이스(140)는 세션 인식을 위해 필요한 다양한 응용 서비스들의 플로우 패턴을 분석하여 저장하는 데이터베이스이며, 플로우 패턴 분석부(130)의 분석 결과를 지속적으로 반영하여 플로우 제어부(120)에서 실시간 플로우 패턴 분석에 참조할 수 있도록 한다.The flow pattern database 140 analyzes flow patterns of various application services necessary for session-based and stores the analysis results. That is, the flow pattern database 140 is a database that analyzes and stores flow patterns of various application services necessary for session recognition, and continuously reflects the analysis result of the flow pattern analyzer 130 in real time in the flow controller 120. Reference to flow pattern analysis.

한편, 본 발명에 따른 네트워크 트래픽 관리 장치(100)는 하기의 세 가지 주요 기능을 수행한다.On the other hand, the network traffic management apparatus 100 according to the present invention performs the following three main functions.

첫째, 플로우 처리부(110)는 플로우 인식 기능을 이용하여 플로우를 인식한다. 여기서, 플로우는 개별 패킷 중심의 데이터 처리 방식에서 벗어나, 연속적으로 연관된 데이터 패킷의 집합을 의미한다. 예를 들면, 플로우는 TCP/IP 헤더에 있는 정보들을 기반으로 4, 5 및 7-튜플들로 이루어진다. 플로우 처리부(110)는 이러한 플로우를 인식한 후 이를 기반으로 네트워크상의 데이터들을 처리한다. 플로우 처리부(110)는 적용하고자 하는 분야의 특성에 맞추어 데이터 패킷들의 상호 연관성을 제일 잘 표현할 수 있는 튜플들을 선택하게 된다.First, the flow processor 110 recognizes a flow using a flow recognition function. Here, the flow means a set of data packets that are continuously associated with each other, away from the individual packet-oriented data processing scheme. For example, a flow consists of 4, 5, and 7-tuples based on the information in the TCP / IP header. The flow processing unit 110 recognizes such a flow and processes data on the network based on the flow. The flow processor 110 selects tuples that can best express the correlation of data packets according to the characteristics of the field to be applied.

둘째, 플로우 제어부(120)는 세션 인식 기능을 이용하여 세션을 인식한다. 플로우 처리부(110)는 네트워크 트래픽을 이루는 플로우를 인식한다. 그리고 플로우 제어부(120)는 플로우 처리부(110)에서 인식된 각 플로우들의 전달 특성(예를 들면, 플로우 파라미터) 정보를 추출하여 이를 기반으로 각 플로우들이 속하는 세션을 인식한다. 여기서, 플로우 파라미터는 인식된 플로우가 어떠한 전달 특성(Pattern)을 나타내고 있는가에 대한 정보를 나타내는 것이다. 예를 들어, 가장 기초적인 플로우 파라미터는 플로우가 생성되고 종료되는 시점까지의 패킷 카운트, 패킷들의 크기합, 플로우의 생존 시간 등이 있다. 플로우 파라미터는 이러한 기초 정보 외에도 세션을 구별할 수 있는 다양한 플로우 파라미터들이 있다. 플로우 제어부(120)는 이를 기반으로 플로우의 패턴을 가지는 플로우가 속하는 세션을 인식한다.Second, the flow controller 120 recognizes a session by using a session recognition function. The flow processor 110 recognizes a flow of network traffic. The flow controller 120 extracts the delivery characteristic (for example, flow parameter) information of each of the flows recognized by the flow processor 110 and recognizes a session to which each flow belongs based on the extracted information. Here, the flow parameter indicates information on what delivery pattern the recognized flow represents. For example, the most basic flow parameters are the packet count up to the point when the flow is created and finished, the sum of the sizes of the packets, the survival time of the flow, and the like. In addition to this basic information, flow parameters have various flow parameters that can distinguish a session. The flow controller 120 recognizes a session to which a flow having a pattern of flows belongs based on the flow control unit 120.

셋째, 플로우 처리부(110)는 세션 기반 네트워크 기능을 이용하여 세션 기반의 네트워크를 관리하고 제어한다. 이는 IP 네트워크의 기본 특성인 베스트 에포트 방식으로 말미암아 발생하는 관리 및 제어의 문제점들을 해결하기 위함이다. 즉, 플로우 처리부(110)는 ATM에서 사용하는 VC 개념을 IP 네트워크에 적용한다. 플로우 제어부(120)가 네트워크 트래픽의 특성을 플로우 기반으로 분석한 후, 각 플로우를 이루는 세션을 인식한다. 그러면, 플로우 처리부(110)는 그 세션 인식 결과를 이용하여 IP 네트워크를 관리하고 제어한다.Third, the flow processor 110 manages and controls the session-based network by using a session-based network function. This is to solve the management and control problems caused by the best effort method which is the basic characteristic of the IP network. That is, the flow processor 110 applies the VC concept used in ATM to the IP network. The flow controller 120 analyzes the characteristics of the network traffic based on the flow, and recognizes sessions that constitute each flow. Then, the flow processing unit 110 manages and controls the IP network using the session recognition result.

한편, 플로우 처리부(110)는 실시간(Real-time)으로 플로우를 처리한다. 여기서, 실시간 처리란 플로우가 생성되는 시점에 플로우에 대한 처리를 수행할 수 있는 경우를 의미한다.On the other hand, the flow processing unit 110 processes the flow in real-time. Here, the real-time processing means a case in which processing for the flow can be performed at the time when the flow is generated.

그리고 플로우 제어부(120) 실행시간(Runtime) 중에 플로우를 제어한다. 여기서, 실행시간 제어란 플로우가 생성된 후, 종료되기 전에 플로우에 대한 제어가 가해질 수 있는 경우를 의미한다.In addition, the flow control unit 120 controls the flow during runtime. Here, the execution time control refers to a case in which control on the flow may be applied after the flow is generated and before the flow is terminated.

그리고 플로우 패턴 분석부(130)는 백그라운드(Background)로 플로우 패턴을 분석한다. 여기서, 백그라운드 처리란 플로우의 라이프타임(Life-time)과는 관련이 없는 경우에 처리하는 것을 의미한다. 백그라운드 처리들은 실시간 분석을 제외한 대부분의 분석에 관련된 부분들이다.The flow pattern analyzer 130 analyzes the flow pattern in the background. Here, the background processing means processing when it is not related to the life-time of the flow. Background processes are relevant to most analyzes except for real-time analysis.

도 2 는 본 발명에 따른 네트워크 트래픽 관리 장치가 실제 망 적용될 때의 네트워크의 일실시예 구성도이다.2 is a block diagram of an embodiment of a network when the apparatus for managing network traffic according to the present invention is actually applied.

도 2에 도시된 바와 같이, 플로우 처리부(110)와 플로우 제어부(120)는 일대일(1:1)로 대응되며, 각 네트워크의 인터페이스(Interface) 단에 위치한다.As shown in FIG. 2, the flow processing unit 110 and the flow control unit 120 correspond to one-to-one (1: 1) and are located at an interface end of each network.

플로우 패턴 분석부(130)는 플로우 제어부(120)와 일대다(1:N)로 대응되며, 서버팜의 위치에 설치된다. 여기서, 서버팜은 하나 이상의 서버가 있는 웹사이트 또는 다중 서버를 이용해 웹호스팅 서비스를 말한다.The flow pattern analyzer 130 corresponds to the flow controller 120 one-to-many (1: N) and is installed at a server farm. Here, a server farm refers to a web hosting service using a website or multiple servers with one or more servers.

그리고 플로우 제어부(120), 플로우 패턴 분석부(130) 및 플로우 패턴 데이터베이스(140)는 일반적인 네트워크 링크 이외에도 상호 정보 교환을 위한 별도의 시그널링(Signaling) 링크를 가진다. 각각의 링크는 크게 연속적인 패킷들이 전송되는 데이터 링크(201)와 세션 기반의 네트워크 구성 요소들 간의 컨트롤 패킷 들이 전송되는 시그널 링크(211 내지 214)로 구분된다.In addition to the general network link, the flow controller 120, the flow pattern analyzer 130, and the flow pattern database 140 have separate signaling links for mutual information exchange. Each link is divided into a data link 201 through which consecutive packets are transmitted and a signal link 211 through 214 through which control packets between session-based network components are transmitted.

예를 들어, 시그널 링크(211 내지 214) 각각을 살펴보면, 시그널 링크(211)는 플로우 정보와 제어 정책 컨트롤 패킷이 전송되는 플로우 처리부(110)와 플로우 제어부(120) 사이의 링크이다. 그리고 시그널 링크(212)는 실시간으로 처리 불가능한 플로우 정보의 전송과 백그라운드로 분석된 결과를 전송하는 플로우 제어부(120)와 플로우 패턴 분석부(130) 사이의 링크(107)이다. 그리고 시그널 링크(213)는 플로우 제어부(120) 또는 플로우 패턴 분석부(130)에서 분석하는 플로우 정보를 플로우 패턴 데이터베이스(140)에 전송하는 링크(213)이다. 그리고 시그널 링크(214)는 플로우 제어부(120)에서 분석된 플로우 정보를 플로우 제어부(120) 간에 공유하는 링크이다.For example, referring to each of the signal links 211 to 214, the signal link 211 is a link between the flow processor 110 and the flow controller 120 through which the flow information and the control policy control packet are transmitted. The signal link 212 is a link 107 between the flow controller 120 and the flow pattern analyzer 130 that transmits flow information that cannot be processed in real time and a result that is analyzed in the background. The signal link 213 is a link 213 that transmits flow information analyzed by the flow controller 120 or the flow pattern analyzer 130 to the flow pattern database 140. The signal link 214 is a link sharing the flow information analyzed by the flow controller 120 between the flow controllers 120.

도 3 은 본 발명에 따른 플로우 및 세션 기반의 네트워크 트래픽 관리 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating an embodiment of a flow and session based network traffic management method according to the present invention.

플로우 처리부(110)는 네트워크 트래픽의 데이터 링크(201)를 통해 전송되는 패킷들로부터 개별 플로우 정보를 추출하여 플로우를 생성한다(302). 플로우 처리부(110)는 연속적으로 연관된 데이터 패킷의 집합을 인식하되, TCP/IP 헤더정보를 이용하여 상호 연관성있는 소정의 개수의 튜플(Tuple)들을 생성한다.The flow processor 110 generates a flow by extracting individual flow information from the packets transmitted through the data link 201 of the network traffic (302). The flow processor 110 recognizes a set of data packets associated with each other continuously, and generates a predetermined number of tuples that are correlated using TCP / IP header information.

그리고 플로우 제어부(120)는 추출된 개별 플로우 정보로부터 연관된 플로우 집합에 대한 플로우 파라미터를 추출한다(304).The flow controller 120 extracts a flow parameter for the associated flow set from the extracted individual flow information (304).

이어서, 플로우 제어부(120)는 추출된 플로우 파라미터를 이용하여 플로우 패턴을 분석한다(306). 플로우 제어부(120)는 연관된 플로우 집합에 대한 플로우 파라미터로서, 플로우 생성부터 종료 시점까지의 패킷 카운트, 패킷들의 크기 합 및 플로우의 생존 시간을 이용하여 플로우 패턴을 분석한다.Next, the flow controller 120 analyzes the flow pattern using the extracted flow parameter (306). The flow controller 120 analyzes the flow pattern using the packet count from the flow generation to the end time, the sum of the sizes of the packets, and the survival time of the flow as flow parameters for the associated flow set.

이후, 플로우 제어부(120)는 분석된 결과와 기저장된 세션별 플로우 패턴을 이용하여 플로우 집합이 속한 세션을 인식한다(308). 플로우 제어부(120)는 연관된 플로우 집합에 대한 상관관계로부터 추출된 행위 정보를 기반으로 세션을 실시간으로 인식한다. 플로우 제어부(120)는 분석된 결과와 플로우 패턴 데이터베이스(140)에 기저장된 세션별 플로우 패턴을 이용하여 특정 플로우 패턴이 발생함을 실시간으로 인지하여 세션의 종류를 런타임으로 확인한다.Thereafter, the flow controller 120 recognizes the session to which the flow set belongs by using the analyzed result and the prestored flow pattern for each session (308). The flow controller 120 recognizes the session in real time based on the behavior information extracted from the correlation for the associated flow set. The flow controller 120 recognizes in real time that a specific flow pattern occurs by using the analyzed result and the flow pattern for each session pre-stored in the flow pattern database 140 and confirms the type of session at runtime.

그리고 플로우 제어부(120)는 인식된 세션 기반으로 트래픽 제어 정책을 결정한다(310). In operation 310, the flow controller 120 determines a traffic control policy based on the recognized session.

이어서, 플로우 처리부(110)는 결정된 트래픽 제어 정책에 따라 세션별 네트워크 트래픽을 제어한다(312).Subsequently, the flow processor 110 controls 312 network traffic for each session according to the determined traffic control policy.

이후, 플로우 패턴 분석부(130)는 처리되지 못한 플로우에 대한 플로우 패턴을 백그라운드 상으로 분석하여 세션별 플로우 패턴 목록을 갱신한다(314). 여기서 , 플로우 패턴 분석부(130)는 처리되지 못한 플로우에 대한 플로우 패턴을 백그라운드 상으로 분석하여 세션별 플로우 패턴 목록을 갱신한다. 그리고 백그라운드 상으로 분석된 결과, 플로우 패턴 분석부(130)는 새롭게 분석된 플로우 패턴이면 새롭게 분석된 플로우 패턴에 부합하는 새로운 세션별 플로우 패턴 목록을 생성한다.Thereafter, the flow pattern analyzer 130 analyzes the flow pattern of the unprocessed flow in the background to update the session-specific flow pattern list (314). Here, the flow pattern analyzer 130 updates the flow pattern list for each session by analyzing a flow pattern of the unprocessed flow in the background. As a result of analyzing the background, the flow pattern analyzer 130 generates a new session-specific flow pattern list corresponding to the newly analyzed flow pattern if the flow pattern is newly analyzed.

다시 말하면, 본 발명에 따른 네트워크 트래픽 관리 장치(100)는 네트워크의 세션을 협대역(Narrowband) 세션과 광대역(Broadband) 세션으로 구분하여 네트워크 트래픽을 관리하기 위한 것이다. 즉, 네트워크 트래픽 관리 장치(100)는 협대역 세션을 패킷 기반의 IP 방식으로 처리하고, 광대역 세션을 제어 가능한 세션 스위칭으로 처리하기 위한 것이다. 즉, 네트워크 트래픽 관리 장치(100)는 패킷 단위의 스케쥴링이 아니라 제어 가능한 세션 단위로 스케쥴링하는 기술로 ATM의 제어 기술을 접목한 것이다.In other words, the apparatus 100 for managing network traffic according to the present invention divides a session of a network into a narrowband session and a broadband session to manage network traffic. That is, the apparatus 100 for managing network traffic is to process a narrowband session in a packet-based IP manner and to process a wideband session in controllable session switching. That is, the network traffic management apparatus 100 combines the ATM control technology with the technology of scheduling in the controllable session unit, not in the packet unit scheduling.

또한, 본 발명에 따른 네트워크 트래픽 관리 장치(100)는 플로우 기반의 세션 인식 기술을 기반으로 하는 세션 기반 IP 네트워크 기술을 이용함으로써, 디도스(DDoS) 공격, 대역폭(Bandwidth) 공격, 피투피(P2P) 등의 다양한 현재 IP 네트워크의 문제점들을 해결하기 위한 것이다. 또한, 네트워크 트래픽 관리 장치(100)는 IPTV, SoIP, 이-러닝(e-Learning) 등과 같은 미션 크리티컬한 트래픽(Mission-Critical Traffic)을 보호함으로써 인터넷의 서비스 품질을 극대화하고자 한다. 또한, 세션 기반 IP 네트워크 기술을 활용하여 네트워크 중심전(NCW: Network Centric Warfare)과 전자정부를 추구하는 국방 광대역 통신망과 국가 정보 통신망에 상존하는 문제점들을 해결하기 위한 것이다.In addition, the network traffic management apparatus 100 according to the present invention uses a session-based IP network technology based on a flow-based session recognition technology, such as a DDoS attack, a bandwidth attack, and a peer-to-peer (P2P). To solve various problems of the current IP network. In addition, the network traffic management apparatus 100 attempts to maximize service quality of the Internet by protecting mission-critical traffic such as IPTV, SoIP, and e-learning. In addition, this paper aims to solve the problems existing in the national defense network and the defense broadband network that pursues Network Centric Warfare (NCW) and e-government using session-based IP network technology.

한편, 전술한 바와 같은 본 발명의 방법은 컴퓨터 프로그램으로 작성이 가능하다. 그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체(정보저장매체)에 저장되고, 컴퓨터에 의하여 판독되고 실행됨으로써 본 발명의 방법을 구현한다. 그리고 상기 기록매체는 컴퓨터가 판독할 수 있는 모든 형태의 기록매체를 포함한다.On the other hand, the method of the present invention as described above can be written in a computer program. And the code and code segments constituting the program can be easily inferred by a computer programmer in the art. In addition, the written program is stored in a computer-readable recording medium (information storage medium), and read and executed by a computer to implement the method of the present invention. The recording medium may include any type of computer readable recording medium.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

도 1 은 본 발명에 따른 플로우 및 세션 기반의 네트워크 트래픽 관리 장치의 일실시예 구성도,1 is a configuration diagram of an apparatus for managing flow and session based network traffic according to the present invention;

도 2 는 본 발명에 따른 네트워크 트래픽 관리 장치가 실제 망 적용될 때의 네트워크의 일실시예 구성도,2 is a configuration diagram of an embodiment of a network when the apparatus for managing network traffic according to the present invention is actually applied;

도 3 은 본 발명에 따른 플로우 및 세션 기반의 네트워크 트래픽 관리 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating an embodiment of a flow and session based network traffic management method according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings

110: 플로우 처리부 120: 플로우 제어부110: flow processing unit 120: flow control unit

130: 플로우 패턴 분석부 140: 플로우 패턴 데이터베이스130: flow pattern analysis unit 140: flow pattern database

Claims (14)

네트워크 트래픽 관리 장치에 있어서,In the network traffic management apparatus, 세션별 플로우 패턴을 저장하기 위한 플로우 패턴 저장 수단;Flow pattern storage means for storing a flow pattern for each session; 네트워크 트래픽의 데이터 링크를 통해 전송되는 패킷들로부터 개별 플로우 정보를 추출하여 플로우를 생성하고, 트래픽 제어 정책에 따라 플로우별 네트워크 트래픽을 제어하기 위한 플로우 처리 수단; 및Flow processing means for generating a flow by extracting individual flow information from packets transmitted through a data link of network traffic, and controlling network traffic for each flow according to a traffic control policy; And 상기 추출된 개별 플로우 정보로부터 연관된 플로우 집합에 대한 플로우 파라미터를 추출하여 플로우 패턴을 분석하고, 상기 분석된 결과와 상기 저장된 세션별 플로우 패턴을 이용하여 상기 플로우 집합이 속한 세션을 인식하고, 상기 인식된 세션 기반으로 상기 트래픽 제어 정책을 결정하기 위한 플로우 제어 수단From the extracted individual flow information, a flow parameter of an associated flow set is extracted to analyze a flow pattern, and the session to which the flow set belongs is recognized using the analyzed result and the stored session-specific flow pattern, and the recognized Flow control means for determining the traffic control policy based on a session 을 포함하는 네트워크 트래픽 관리 장치.Network traffic management device comprising a. 제 1 항에 있어서,The method of claim 1, 상기 플로우 제어 수단에서 처리되지 못한 플로우에 대한 플로우 패턴을 백그라운드 상으로 분석하여 상기 저장된 세션별 플로우 패턴 목록을 갱신하기 위한 플로우 패턴 분석 수단Flow pattern analysis means for updating the stored flow pattern list for each session by analyzing a flow pattern for a flow not processed by the flow control means in the background 을 더 포함하는 네트워크 트래픽 관리 장치.Network traffic management device further comprising. 제 2 항에 있어서,The method of claim 2, 상기 플로우 패턴 분석 수단은,The flow pattern analysis means, 상기 백그라운드 상으로 분석된 결과, 새롭게 분석된 플로우 패턴이면 상기 새롭게 분석된 플로우 패턴에 부합하는 새로운 세션별 플로우 패턴 목록을 생성하는 네트워크 트래픽 관리 장치.The network traffic management apparatus for generating a new session-specific flow pattern list corresponding to the newly analyzed flow pattern as a result of the analysis on the background. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,4. The method according to any one of claims 1 to 3, 상기 플로우 처리 수단은,The flow processing means, 연속적으로 연관된 데이터 패킷의 집합을 인식하되, TCP/IP 헤더정보를 이용하여 상호 연관성있는 소정의 개수의 튜플(Tuple)들을 생성하는 네트워크 트래픽 관리 장치.A network traffic management apparatus for recognizing a set of consecutively related data packets, and generating a predetermined number of tuples that are correlated using TCP / IP header information. 제 4 항에 있어서,The method of claim 4, wherein 상기 플로우 제어 수단은,The flow control means, 상기 연관된 플로우 집합에 대한 플로우 파라미터로서 플로우 생성부터 종료 시점까지의 패킷 카운트, 패킷들의 크기 합 및 플로우의 생존 시간을 이용하여 플로우 패턴을 분석하는 네트워크 트래픽 관리 장치.And analyzing a flow pattern using a packet count from a flow generation to an end time, a sum of sizes of packets, and a survival time of the flow as flow parameters for the associated flow set. 제 5 항에 있어서,The method of claim 5, 상기 플로우 제어 수단은,The flow control means, 상기 연관된 플로우 집합에 대한 상관관계로부터 추출된 행위 정보를 기반으로 세션을 실시간으로 인식하는 네트워크 트래픽 관리 장치.Network traffic management apparatus for real-time session recognition based on the behavior information extracted from the correlation for the associated flow set. 제 6 항에 있어서,The method of claim 6, 상기 플로우 제어 수단은,The flow control means, 상기 분석된 결과와 상기 저장된 세션별 플로우 패턴을 이용하여 특정 플로우 패턴이 발생함을 실시간으로 인지하여 세션의 종류를 런타임으로 확인하는 네트워크 트래픽 관리 장치.A network traffic management apparatus for recognizing in real time that a specific flow pattern occurs using the analyzed result and the stored flow pattern for each session, confirming the type of session at runtime. 네트워크 트래픽 관리 방법에 있어서,In the network traffic management method, 네트워크 트래픽의 데이터 링크를 통해 전송되는 패킷들로부터 개별 플로우 정보를 추출하여 플로우를 생성하는 플로우 생성 단계;A flow generating step of generating a flow by extracting individual flow information from packets transmitted through a data link of network traffic; 상기 추출된 개별 플로우 정보로부터 연관된 플로우 집합에 대한 플로우 파라미터를 추출하여 플로우 패턴을 분석하는 플로우 분석 단계;A flow analysis step of analyzing a flow pattern by extracting flow parameters for an associated flow set from the extracted individual flow information; 상기 분석된 결과와 기저장된 세션별 플로우 패턴을 이용하여 상기 플로우 집합이 속한 세션을 인식하는 세션 인식 단계; 및A session recognizing step of recognizing a session to which the flow set belongs by using the analyzed result and prestored flow patterns for each session; And 상기 인식된 세션 기반으로 트래픽 제어 정책을 결정하고 상기 결정된 트래픽 제어 정책에 따라 세션별 네트워크 트래픽을 제어하는 플로우 제어 단계A flow control step of determining a traffic control policy based on the recognized session and controlling network traffic for each session according to the determined traffic control policy 를 포함하는 네트워크 트래픽 관리 방법.Network traffic management method comprising a. 제 8 항에 있어서,The method of claim 8, 상기 플로우 분석 단계에서 처리되지 못한 플로우에 대한 플로우 패턴을 백그라운드 상으로 분석하여 세션별 플로우 패턴 목록을 갱신하는 목록 갱신 단계List update step of updating the flow pattern list for each session by analyzing the flow pattern for the flow not processed in the flow analysis step in the background 를 더 포함하는 네트워크 트래픽 관리 방법.Network traffic management method further comprising. 제 9 항에 있어서,The method of claim 9, 상기 플로우 패턴 분석 단계는,The flow pattern analysis step, 상기 백그라운드 상으로 분석된 결과, 새롭게 분석된 플로우 패턴이면 상기 새롭게 분석된 플로우 패턴에 부합하는 새로운 세션별 플로우 패턴 목록을 생성하는 네트워크 트래픽 관리 방법.And if the flow pattern is newly analyzed, as a result of the analysis on the background, generating a new session-specific flow pattern list corresponding to the newly analyzed flow pattern. 제 8 항 내지 제 10 항 중 어느 한 항에 있어서,The method according to any one of claims 8 to 10, 상기 플로우 처리 단계는,The flow processing step, 연속적으로 연관된 데이터 패킷의 집합을 인식하되, TCP/IP 헤더정보를 이용하여 상호 연관성있는 소정의 개수의 튜플(Tuple)들을 생성하는 네트워크 트래픽 관리 방법.A method for managing network traffic that recognizes a set of consecutively related data packets, but generates a predetermined number of tuples that are correlated using TCP / IP header information. 제 11 항에 있어서,The method of claim 11, 상기 플로우 제어 단계는,The flow control step, 상기 연관된 플로우 집합에 대한 플로우 파라미터로서 플로우 생성부터 종료 시점까지의 패킷 카운트, 패킷들의 크기 합 및 플로우의 생존 시간을 이용하여 플로우 패턴을 분석하는 네트워크 트래픽 관리 방법.And analyzing a flow pattern using a packet count from a flow generation to an end point, a sum of sizes of packets, and a survival time of the flow as flow parameters for the associated flow set. 제 12 항에 있어서,13. The method of claim 12, 상기 플로우 제어 단계는,The flow control step, 상기 연관된 플로우 집합에 대한 상관관계로부터 추출된 행위 정보를 기반으로 세션을 실시간으로 인식하는 네트워크 트래픽 관리 방법.And recognizing the session in real time based on the behavior information extracted from the correlation for the associated flow set. 제 13 항에 있어서,The method of claim 13, 상기 플로우 제어 단계는,The flow control step, 상기 분석된 결과와 상기 저장된 세션별 플로우 패턴을 이용하여 특정 플로우 패턴이 발생함을 실시간으로 인지하여 세션의 종류를 런타임으로 확인하는 네트워크 트래픽 관리 방법.And recognizing the type of the session in real time using a result of the analysis and the stored flow pattern for each session in real time.
KR1020080131548A 2008-12-22 2008-12-22 Apparatus and method for managing network traffic based on flow and session KR101528928B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080131548A KR101528928B1 (en) 2008-12-22 2008-12-22 Apparatus and method for managing network traffic based on flow and session

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131548A KR101528928B1 (en) 2008-12-22 2008-12-22 Apparatus and method for managing network traffic based on flow and session

Publications (2)

Publication Number Publication Date
KR20100072975A true KR20100072975A (en) 2010-07-01
KR101528928B1 KR101528928B1 (en) 2015-06-16

Family

ID=42636043

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080131548A KR101528928B1 (en) 2008-12-22 2008-12-22 Apparatus and method for managing network traffic based on flow and session

Country Status (1)

Country Link
KR (1) KR101528928B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101136529B1 (en) * 2010-11-09 2012-04-17 플러스기술주식회사 A system for traffic analysis based on session
KR101284584B1 (en) * 2011-06-30 2013-07-11 에스케이텔레콤 주식회사 System and method for managing signaling traffic
WO2014189224A1 (en) * 2013-05-20 2014-11-27 주식회사 아이디어웨어 Server apparatus for reducing wireless network load, operating method thereof, and recording medium
KR101522405B1 (en) * 2013-12-30 2015-05-22 주식회사 케이티 Method and apparatus of deep packet inspection in access network
WO2015080525A1 (en) * 2013-11-28 2015-06-04 주식회사 케이티 Method and apparatus for dynamic traffic control in sdn environment
CN105993149A (en) * 2013-11-28 2016-10-05 Kt株式会社 Method and apparatus for dynamic traffic control in SDN environment

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102023777B1 (en) 2018-05-15 2019-09-20 엑사비스 주식회사 Method for network inspection saving packet and system performing the same

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100548923B1 (en) * 2003-03-24 2006-02-02 학교법인 포항공과대학교 A system for monitoring multi-media service traffic and method thereof
KR101333083B1 (en) * 2006-10-18 2013-12-19 삼성전자주식회사 The Method and Apparatus for classification according to the Service flow of the IP packet

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101136529B1 (en) * 2010-11-09 2012-04-17 플러스기술주식회사 A system for traffic analysis based on session
WO2012064056A1 (en) * 2010-11-09 2012-05-18 플러스기술주식회사 Session-based traffic analysis system
US9270550B2 (en) 2010-11-09 2016-02-23 Plustech Inc. Session-based traffic analysis system
KR101284584B1 (en) * 2011-06-30 2013-07-11 에스케이텔레콤 주식회사 System and method for managing signaling traffic
WO2014189224A1 (en) * 2013-05-20 2014-11-27 주식회사 아이디어웨어 Server apparatus for reducing wireless network load, operating method thereof, and recording medium
WO2015080525A1 (en) * 2013-11-28 2015-06-04 주식회사 케이티 Method and apparatus for dynamic traffic control in sdn environment
CN105993149A (en) * 2013-11-28 2016-10-05 Kt株式会社 Method and apparatus for dynamic traffic control in SDN environment
CN105993149B (en) * 2013-11-28 2019-10-08 Kt株式会社 The method and apparatus that dynamic flow controls in SDN environment
KR101522405B1 (en) * 2013-12-30 2015-05-22 주식회사 케이티 Method and apparatus of deep packet inspection in access network

Also Published As

Publication number Publication date
KR101528928B1 (en) 2015-06-16

Similar Documents

Publication Publication Date Title
Wang et al. SGS: Safe-guard scheme for protecting control plane against DDoS attacks in software-defined networking
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
KR101812403B1 (en) Mitigating System for DoS Attacks in SDN
KR101528928B1 (en) Apparatus and method for managing network traffic based on flow and session
Thomas et al. DDOS detection and denial using third party application in SDN
Rebecchi et al. Traffic monitoring and DDoS detection using stateful SDN
KR20110022141A (en) Apparatus for detecting and preventing application layer distribute denial of service attack and method
Mishra et al. Analysis of cloud computing vulnerability against DDoS
Schehlmann et al. COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes
Kareem et al. Entropy-based distributed denial of service attack detection in software-defined networking
CN110881023A (en) Method for providing network differentiated security service based on SDN/NFV
Wang et al. Distributed denial of service attack defence simulation based on honeynet technology
Dayal et al. Analyzing effective mitigation of DDoS attack with software defined networking
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
Singh Machine learning in openflow network: comparative analysis of DDoS detection techniques.
Czubak et al. Algorithmic complexity vulnerability analysis of a stateful firewall
Mohammad et al. DDoS attack mitigation using entropy in SDN-IoT environment
Krishnan et al. Mitigating DDoS attacks in software defined networks
Ivannikova et al. Probabilistic transition-based approach for detecting application-layer ddos attacks in encrypted software-defined networks
Fujinoki Dynamic binary user-splits to protect cloud servers from ddos attacks
Rajakumaran et al. Performance assessment of hybrid MTD for DoS mitigation in public cloud
Manu et al. Intrusion tolerant architecture for SDN networks through flow monitoring
Khajuria et al. Analysis of the ddos defense strategies in cloud computing
Gupta et al. DDoS and Cyber Attacks Detection and Mitigation in SDN: A Comprehensive Research of Moving Target Defense Systems
Wei et al. Stdc: A sdn-oriented two-stage ddos detection and defence system based on clustering

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant