KR20110035336A - 비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템 - Google Patents

비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템 Download PDF

Info

Publication number
KR20110035336A
KR20110035336A KR1020090093001A KR20090093001A KR20110035336A KR 20110035336 A KR20110035336 A KR 20110035336A KR 1020090093001 A KR1020090093001 A KR 1020090093001A KR 20090093001 A KR20090093001 A KR 20090093001A KR 20110035336 A KR20110035336 A KR 20110035336A
Authority
KR
South Korea
Prior art keywords
traffic
residual
data
principal component
abnormal
Prior art date
Application number
KR1020090093001A
Other languages
English (en)
Inventor
최용민
유재형
심병권
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020090093001A priority Critical patent/KR20110035336A/ko
Publication of KR20110035336A publication Critical patent/KR20110035336A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 비정상 트래픽을 탐지하는 방법 및 이를 이용한 네트워크 관리 시스템에 관한 것으로서, 보다 상세하게는, 주성분 분석에 의해 트래픽 데이터에 대해 획득된 주성분을 이용하여 비정상 트래픽을 탐지하는 방법 및 이를 이용한 네트워크 관리 시스템에 관한 것이다.
비정상 트래픽 탐지 방법은 (a) 주성분 분석(PCA, Principal Component Analysis)을 이용하여 트래픽 데이터의 주성분을 획득하는 단계, (b) 상기 주성분을 이용하여 잔여 부분공간을 구성하는 단계, (c) 상기 트래픽 데이터를 상기 잔여 부분공간에 투영하여 잔여 트래픽 성분을 획득하는 단계, (d) 상기 잔여 트래픽 성분을 분석하여 비정상 트래픽을 탐지하는 단계를 포함하고, 상기 잔여 부분공간은 상기 획득한 주성분 중 상기 트래픽 데이터의 잔여 트래픽 변동성을 포함하는 잔여 주성분을 이용하여 형성될 수 있다.
비정상 트래픽, 주성분 분석, PCA

Description

비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템{METHOD FOR DETECTING TRAFFIC ANOMALY AND NETWORK MANAGEMENT SYSTEM USING THE SAME}
본 발명은 비정상 트래픽을 탐지하는 방법 및 이를 이용한 네트워크 관리 시스템에 관한 것으로서, 보다 상세하게는, 주성분 분석에 의해 트래픽 데이터에 대해 획득된 주성분을 이용하여 비정상 트래픽을 탐지하는 방법 및 이를 이용한 네트워크 관리 시스템에 관한 것이다.
전통적으로 네트워크 운용관리는 트래픽의 변동을 모니터링하고 혼잡이 발생하지 않도록 엔지니어링 하는 방식으로 수행되어 왔다. 그러나 네트워크에 웜이나 바이러스 또는 DDoS 공격에 의해 대량의 비정상 트래픽이 발생하고 망 운용에 영향을 주기 시작하면서 네트워크의 보안 문제도 중요한 분야로 등장하였다.
기본적으로 네트워크의 운용관리는 장비나 링크의 이용률의 변화를 기록하고 관리하는 기능을 기반으로 구현되었다. 따라서, 기존의 네트워크 운용관리 시스템의 경우 IP 트래픽의 변화나 웜이나 바이러스와 같은 비정상 트래픽의 존재 여부를 파악하기 어려운 경우가 많다.
네트워크의 보안 문제는 주로 바이러스 백신의 제조업체와 같이 PC나 개별 시스템의 보안을 다루는 IDS(Intrusion Detection System) 또는 IPS (Intrusion Prevention System) 분야에서 다뤄져 왔으므로 네트워크 운용관리 측면에서는 적용하기 어렵다는 한계가 있다.
IDS 분야에서는 웜이나 바이러스 또는 공격에 의한 비정상적인 트래픽을 탐지하기 위해 주로 사용하는 방법은 비정상 트래픽이라고 의심되거나 해당하는 트래픽의 수집 및 분석에 의한다. 웜이나 바이러스 같은 경우 패킷의 페이로드에 존재하는 패턴을 정의하고 패턴 매칭에 의해 비정상 트래픽을 탐지하기도 하거나, DDoS 공격과 같은 경우 공격을 받는 서버나 사이트에서의 트래픽의 변동을 모니터링 하거나 사용자가 체감하는 속도의 저하 등으로부터 이상 징후를 탐지하고 IP 주소나 포트 번호의 검색 및 상세 분석을 통해 비정상 여부를 판단하게 된다.
이와 같은 방법은 비정상 트래픽의 발생 여부를 판단하기 어렵고 패킷 분석과 같이 시간 및 노력이 많이 드는 작업이 필요하므로 비정상 트래픽의 발생 초기에 탐지하기 어렵다는 문제들이 있다.
특히 다양한 변종의 웜, 바이러스가 개발되고 공격 형태가 진화하는 환경에서 비정상 트래픽을 탐지하기 어렵고, 탐지하더라도 상당한 공격이 진행된 이후에야 비로소 비정상 트래픽을 탐지하는 경우가 대부분이다.
평균적인 통계량 보다 많은 양이 발생하는 경우를 비정상인 상황이라고 분류하는 방식 또는 IP 주소 또는 포트번호의 변화와 같은 단순한 방식을 사용하는 경 우에도 비정상 트래픽의 발생을 정확하게 탐지하지 못하는 경우가 있으며, 찾은 패턴을 이용하여 비정상 트래픽을 탐지하기 위하여 패킷을 수집하고 분석하는 장비가 별도로 필요하므로 비용이 많이 소요되는 문제가 있다.
개별 시스템이나 PC의 보안에 적용하는 알고리즘의 경우, 다양한 장비와 링크가 존재하는 네트워크 수준의 보안 또는 비정상 트래픽 탐지에 적용하기 어렵다는 문제점이 있었다.
종래의 한국등록특허 제0561628호는 각 네트워크 장비로부터 트래픽 데이터를 수집하여 통합한 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하고, 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 구성을 개시하고 있다.
이러한 종래의 기술은 특성 트래픽 데이터를 추출하는 구체적인 구성을 개시하고 있지 않으며, 특히 기존의 통계적 모델과 비교하여 이상 트래픽 여부를 판단하므로, 일정량의 통계 데이터가 수집되기 이전에 이상 트래픽을 감지할 수 없다는 문제점이 있었다.
본 발명의 일 실시예는 패킷의 헤더 또는 페이로드의 분석에 의하여 비정상 트래픽을 탐지하는 종래의 기술과는 달리 통계적 처리에 의해 비정상 트래픽을 탐지하는 방법 및 시스템을 제공하고자 한다.
특히, 본 발명의 일 실시예는 주성분 분석(PCA, Principal Component Analysis)을 이용하여 네트워크에서 측정한 트래픽의 변동 패턴을 분석하고 비정상 트래픽을 탐지하는 방법 및 시스템을 제공하고자 한다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면은 (a) 주성분 분석(PCA, Principal Component Analysis)을 이용하여 트래픽 데이터의 주성분을 획득하는 단계, (b) 상기 주성분을 이용하여 잔여 부분공간을 구성하는 단계, (c) 상기 트래픽 데이터를 상기 잔여 부분공간에 투영하여 잔여 트래픽 성분을 획득하는 단계, (d) 상기 잔여 트래픽 성분을 분석하여 비정상 트래픽을 탐지하는 단계를 포함하고, 상기 잔여 부분공간은 상기 획득한 주성분 중 상기 트래픽 데이터의 잔여 트래픽 변동성을 포함하는 잔여 주성분을 이용하여 형성되는 것인 비정상 트래픽 탐지 방법을 제공할 수 있다.
본 발명의 제 2 측면은 상기 네트워크에 대한 정보를 수신하는 네트워크 모니터링 서버, 상기 네트워크 정보에 포함된 트래픽 데이터에 대해 주성분 분 석(PCA, Principal Component Analysis)을 통해 획득된 주성분을 이용하여 비정상 트래픽을 탐지하는 비정상 트래픽 탐지 서버 및 상기 탐지된 비정상 트래픽을 분석하는 트래픽 관리 서버를 포함하는 비정상 트래픽을 탐지하여 네트워크를 관리하는 네트워크 관리 시스템을 제공할 수 있다.
전술한 본 발명의 과제 해결 수단에 의하면, 주성분 분석(PCA, Principal Component Analysis)을 이용하여 네트워크에서 측정한 트래픽 데이터의 변동 패턴 중 잔여 변동의 패턴을 분석하여 비정상 트래픽의 발생을 탐지할 수 있다.
또한, 전술한 본 발명의 과제 해결 수단에 의하면, 네트워크 장비에서 기본적으로 수집하는 트래픽 정보를 분석하여 비정상 트래픽을 탐지하므로, 별도로 패킷을 분석하기 위한 시간 및 자원의 소모를 방지할 수 있으며, 트래픽 데이터로부터 트래픽 성분을 분류함에 의해 신속하게 비정상 트래픽을 탐지하므로, 발생한 비정상 트래픽에 보다 신속하게 대응할 수 있다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해 서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지가 적용된 네트워크 관리 시스템을 도시한 도면이다.
본 발명의 일 실시예에 따른 비정상 트래픽 탐지 서버를 이용하여 네트워크 관리 시스템(10)은 네트워크 모니터링 서버(11), 비정상 트래픽 탐지 서버(100), 트래픽 관리 서버(12) 및 트래픽 정보 데이터베이스(13)를 포함한다.
네트워크 모니터링 서버(11)는 네트워크(1)로부터 네트워크에 대한 정보를 수신한다. 네트워크 모니터링 서버(11)가 네트워크(1)로부터 수신하는 네트워크 정보는 트래픽 데이터를 포함할 수 있다. 트래픽 데이터는 특정 링크에서 측정한 트래픽에 대한 데이터이며, 특정 링크에서 특정한 트래픽은 SNMP(Simple Network Management Protocol) 트래픽, 플로우/패킷 레벨 트래픽, 인터넷 전화 또는 DNS 등의 특정 서비스 트래픽 등을 포함할 수 있다.
비정상 트래픽 탐지 서버(100)는 수신한 트래픽 데이터를 이용하여 트래픽의 고유한 정규 트래픽 성분과 잔여 트래픽 성분을 획득하고, 획득한 잔여 트래픽 성 분을 부석하여 비정상 트래픽의 발생 여부를 판단한다.
비정상 트래픽 탐지 서버(100)는 비정상 트래픽의 발생을 탐지하면, 발생한 비정상 트래픽의 정보를 트래픽 관리 서버(12) 및 트래픽 정보 데이터베이스(13)로 전송한다.
트래픽 관리 서버(12)는 비정상 트래픽 탐지 서버(100)로부터 비정상 트래픽 정보를 수신하고, 수신한 비정상 트래픽 정보를 이용하여 비정상 트래픽의 발생 원인, 발생 패턴을 분석하고, 트래픽 정보 데이터베이스(13)에 수집된 비정상 트래픽을 분석하여 데이터 해상도 또는 네트워크 구성에 따른 비정상 트래픽의 발생 여부 등을 파악한다.
트래픽 정보 데이터베이스(13)는 비정상 트래픽 탐지 서버(12)로부터 수신한 비정상 트래픽 정보를 저장하고, 트래픽 관리 서버(12)에 의해 분석된 비정상 트래픽의 발생 원인, 패턴 등의 정보를 저장한다.
도 2는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법의 흐름을 도시한 순서도이다.
단계(S110)에서, 네트워크의 특정 링크에서 측정한 트래픽 데이터를 수신하고, 주성분 분석(PCA, Principal Component Analysis)을 이용하여 수신한 트래픽 데이터의 주성분을 획득한다. 수신한 트래픽 데이터에 대하여 복수의 주성분이 획득될 수 있으며, 획득된 각각의 주성분은 네트워크에서 측정된 트래픽 데이터의 변동성을 나타낸다.
또한, 단계(S110)에서, 획득한 각각의 주성분에 대하여 트래픽 데이터를 대 응시켜 각각의 주성분에 대해 트래픽의 변동 상태를 나타내는 트래픽 변동 데이터를 획득한다.
단계(S120)에서, 단계(S110)에서 획득한 주성분 및 트래픽 변동 데이터를 이용하여 부분공간(subspace)를 형성한다. 부분공간은 주성분을 기저 벡터로 하는 부분공간으로서, 정규 부분공간(normal subspace) 및 잔여 부분공간(residual subspace)을 포함한다.
정규 부분공간은 트래픽 데이터의 고유한 변동성, 즉 트래픽 데이터의 주요한 변동성을 나타내는 주성분의 트래픽 변동 데이터를 이용하여 형성되고, 잔여 부분공간은 정규 부분공간을 형성하는 주성분을 제외한 나머지 주성분의 트래픽 변동 데이터를 이용하여 형성된다.
주요한 변동성은 트래픽 데이터의 전체적인 변동 패턴을 의미하며, 나머지 변동 패턴은, 예를 들어 잡음과 같이 전체적인 변동과 관계 없는 잔여 변동에 따른 변동 패턴을 의미한다.
단계(S130)에서, 단계(S110)에서 수신한 트래픽 데이터를 단계(S120)에서 형성된 부분공간에 투영한다. 즉, 트래픽 데이터를 정규 부분공간 및 잔여 부분공간에 각각 투영한다.
이를 통해, 투영된 트래픽 데이터 중에서 주요한 트래픽 변동 패턴에 부합하는 트래픽 데이터는 정규 부분공간에 존재하고, 그 외의 나머지 트래픽 데이터는 잔여 부분공간에 존재하게 된다.
단계(S140)에서, 단계(S130)에서 부분공간에 대한 트래픽 데이터의 투영을 통해 잔여 트래픽 성분을 획득한다. 전술한 바와 같이, 주요한 트래픽 변동 패턴에 부합하는 트래픽 데이터는 정규 부분공간에 존재하며, 정규 부분공간에 존재하는 트래픽 데이터를 통해 정규 트래픽 성분을 획득할 수 있다.
또한, 주요한 트래픽 변동 패턴에 부합하는 트래픽 데이터 이외의 트래픽 데이터, 잔여 트래픽 변동 패턴에 부합하는 트래픽 데이터는 잔여 부분공간에 존재하며, 잔여 부분공간에 존재하는 트래픽 데이터를 통해 잔여 트래픽 성분을 획득할 수 있다.
도 9에 도시된 바와 같이, 정규 트래픽 성분은 단계(S110)에서 수신한 트래픽 데이터의 주요한 트래픽 패턴을 포함하며, 잔여 트래픽 성분은 단계(S110)에서 수신한 트래픽 데이터의 정규 트래픽 패턴이 아닌 잔여 트래픽 패턴, 예를 들어 잡음과 같은 패턴을 포함한다.
단계(S150)에서, 단계(S140)에서 획득한 잔여 트래픽 성분을 분석하여 비정상 트래픽을 탐지한다. 도 9에 도시된 바와 같이, 잔여 트래픽 성분은 특이 패턴(810) 및 잡음 형태의 패턴(820)을 포함할 수 있다.
도 9에 도시된 잔여 트래픽 성분에서 특이 패턴(810)에서의 트래픽 볼륨은 잔여 트래픽 성분의 평균값에 비해 약 13.7σ만큼의 큰 값을 갖는다. 여기서 σ는 잔여 트래픽 성분의 표준 편차를 의미한다.
이와 같은 특이 패턴(810)에서의 측정치는 정상적인 경우에는 발생하지 않는 비정상 트래픽의 존재를 나타내며, 예를 들어 웜, 바이러스 또는 분산 서비스 거부(DDoS, Distribute Denial of Service) 공격이나 라우터 설정 오류에 의한 비정 상적인 트래픽의 발생을 나타낼 수 있다.
잔여 트래픽 성분에서 비정상적인 트래픽 변동을 탐지하기 위하여 제곱예측오차(SPE, Squared Prediction Error)가 사용될 수 있다.
예를 들어, 신뢰구간이 1-α인 경우 제곱예측오차(SPE)의 임계치가 σα 2 이라 하면, 제곱예측오차(SPE)가 임계치(σα 2) 이하일 때 주어진 트래픽은 정상이라고 판단하고, 제곱예측오차(SPE)가 임계치(σα 2)를 초과할 때 주어진 트래픽은 비정상이라고 판단할 수 있다.
이 경우, 제곱예측오차의 임계치 σα 2는 아래의 식 (1)과 같다.
Figure 112009060223444-PAT00001
(1)
여기서
Figure 112009060223444-PAT00002
,
Figure 112009060223444-PAT00003
이다.
λj 는 주어진 트래픽 데이터를 j번째 주성분으로 사상한 트래픽에 포함된 변동성, 예를 들어 고유치 또는 분산이며, cα 는 표준 정규 분포에서 신뢰구간 1-α의 백분위수(percentile)를 나타낸다.
따라서, 식 (1)에 따라 산출된 임계치와 제곱예측오차를 비교하여 트래픽의 비정상 여부를 판단할 수 있다.
제곱예측오차(SPE) 이외에도 다양한 방법을 이용하여 잔여 트래픽 성분을 분석하고 비정상 트래픽을 탐지하는 것이 가능하다.
도 3은 본 발명의 일 실시예 따른 비정상 트래픽 탐지 방법에서 주성분 분석(PCA, Principal Component Analysis)을 이용하여 트래픽 데이터의 주성분을 획득하는 흐름을 도시한 순서도이다.
주성분 분석(PCA)는 특이치 분해(Singular Value Decomposition, SVD) 또는 Karhunen-Loeve 변환이라고도 불리는데, 분석 대상인 다차원 데이터에서 변동성이 큰 축으로 구성되는 직교축을 찾고 데이터를 사상하는 방법이다.
분석 대상이 되는 t×m 트래픽 데이터를 해석하는 경우, 각 트래픽 측정치는 m 차원 공간에서의 점으로 표현되며, 주성분 분석을 적용하여 트래픽 측정치를 가장 잘 표현하는 고유한 직교 좌표축을 구할 수 있다.
이처럼 다차원 데이터에 대한 주성분 분석을 통해 직교 좌표축의 기저 벡터, 즉 다차원 데이터를 표현하는 t×m 행렬의 주성분인 고유치와 고유벡터가 획득될 수 있다.
이하에서 주성분 분석을 이용하여 트래픽 데이터의 주성분에 대한 트래픽 데이터를 획득하는 방법에 대해 설명한다.
단계(S111)에서, 네트워크의 특정 링크에서 측정한 트래픽 데이터 X를 수신한다. 예를 들어, 도 6에 도시된 바와 같이 주노드와 센터노드 사이에서 측정된 트 래픽 변동에 따른 트래픽 데이터를 수신할 수 있다.
도 6에 도시된 그래프에서 x축은 일정 시간 동안 측정한 샘플 수를 나타내고, y축은 전송한 트래픽 볼륨(bps)를 나타낸다. 예를 들어, 트래픽 데이터로서 SNMP 트래픽을 사용하는 경우, 5분 동안 전송한 트래픽 볼륨이 측정되므로 1시간 동안 12개의 샘플이 수집되고 1일 동안 288개의 샘플이 수집될 수 있다. 도 6에 도시된 그래프는 3일 동안 864개의 샘플이 수집된 트래픽 데이터를 도시한 것이다.
이 경우 수신한 트래픽 데이터 X는 주노드와 센터노드 사이의 m개의 링크에서 t번의 횟수로 데이터 측정된 t×m의 매트릭스(matrix)이며, X의 i행은 i번째 시간에 모든 링크에서 측정한 트래픽의 데이터를 포함하며 X의 j행은 j번째 링크의 트래픽 변동에 대한 데이터를 포함한다.
단계(S112)에서, X의 각 열의 평균을 제거한 Xc, 즉, X의 각 열의 평균값이 0이 되도록 조정된 매트릭스 Xc 를 산출한다.
수신한 트래픽 데이터 X는 링크 속도 또는 사용 패턴에 따라 볼륨에 차이가 발생할 수 있다. 따라서, 이와 같은 차이에 의한 영향을 배제하고 순수한 트래픽 변동 패턴을 분석하기 위하여 평균을 제거한 트래픽 데이터 Xc 를 산출한다.
단계(S113)에서, 단계(S112)에서 산출된 트래픽 데이터 Xc의 공분산 매트릭스(covariance matrix) cov(Xc)를 산출한다.
단계(S114)에서, 단계(S113)에서 산출한 공분산 매트릭스 cov(Xc)를 이용하 여 트래픽 데이터 X의 특성을 나타내는 주성분을 획득한다.
단계(S113)에서 산출한 공분산 매트릭스 cov(Xc)를 주성분 분석(PCA)에 적용하여 고유치 및 고유벡터를 산출할 수 있으며, 산출된 고유치 및 고유벡터는 트래픽 데이터 X의 주성분으로 볼 수 있다.
따라서 트래픽 데이터 X로부터 획득된 공분산 매트릭스 cov(Xc)의 고유치 및 고유벡터를 산출하여 트래픽 데이터 X의 주성분을 획득하며, 이 때 하나 이상의 주성분이 획득될 수 있다.
단계(S115)에서, 단계(S114)에서 획득한 주성분 각각에 대한 트래픽 변동 데이터를 획득한다.
즉, 단계(S114)에서 산출한 고유벡터를 기저벡터로 하는 새로운 좌표축 상에 트래픽 데이터 X를 사상하여 도 7에 도시된 바와 같이 변환된 좌표축에서의 트래픽 변동 데이터를 획득한다.
고유치는 해당하는 좌표축 상에서 데이터의 변동성, 즉 분산을 나타내며, 가장 큰 고유치를 갖는 주성분에 대한 축에서의 트래픽 변동 데이터는 트래픽 데이터의 변동성을 가장 잘 나타낸다. 또한, 그 다음으로 큰 고유치를 갖는 주성분에 대한 축에서의 트래픽 변동 데이터는 가장 큰 고유치를 갖는 주성분에 대한 축에 직교하면서 나머지 데이터의 변동성을 가장 많이 포함한다.
도 7에 도시된 주성분 1 내지 주성분 6의 트래픽 변동(410 내지 460)은 도 6에 도시된 트래픽 데이터(310)의 각각의 주성분에 대한 트래픽 변동을 나타낸다. 이 경우 각각의 주성분은 주성분 1 내지 주성분 6의 순서로 큰 고유치를 갖는다.
주성분 1의 트래픽 변동(410)은 도 6의 트래픽 데이터(310)의 변동과 가장 근사한 패턴을 보이며, 주성분 2 및 주성분 3의 트래픽 변동(420 및 430)은 도 6의 트래픽 데이터(310)와 반대의 위상을 갖는 패턴을 보인다. 즉, 주성분 1 내지 주성분 3의 트래픽 변동(410 내지 430)은 도 6의 트래픽 데이터(310)의 주요한 변동을 나타낸다.
또한, 주성분 4 내지 주성분 6의 트래픽 변동(440 내지 460)은 도 6의 트래픽 데이터(310)의 패턴과 상이한 패턴을 보이며, 트래픽 패턴(310)의 잡음 등의 주요하지 않은 변동을 나타낸다. 즉, 고유치가 작아질수록 그에 해당하는 주성분의 트래픽 변동은 잡음과 같은 패턴을 나타낸다.
이처럼 주성분 분석에 의하여, 네트워크로부터 수신한 트래픽 데이터의 차원보다 낮은 차원의 성분으로 트래픽 데이터가 표현될 수 있다. 즉, 상호 연관성이 있는 트래픽 데이터 X에 포함된 대부분의 변동성은, 트래픽 데이터 X의 주요한 주성분을 사용할 경우, 트래픽 데이터 X의 차원 m 보다 낮은 k개(m>k), 예를 들어 3개의 주성분 만으로 표현될 수 있다.
이처럼 획득된 각 주성분에 대한 트래픽 변동 데이터는 이하에서 설명할 부분공간(subspace)을 형성하기 위해 사용된다.
도 4는 본 발명의 일 실시예 따른 비정상 트래픽 탐지 방법에서 부분공간(subspace)를 형성하는 흐름을 도시한 순서도이다.
단계(S121)에서, 네트워크로부터 수신한 트래픽 데이터 X의 대부분의 변동성 을 포함하는 주성분의 수를 결정한다.
전술한 바와 같이, 트래픽 데이터 X의 변동성을 표현하기 위하여, 트래픽 데이터 X의 차원보다 낮은 개수의 주성분이 필요하다. 따라서, 트래픽 데이터 X의 변동을 표현하기 위하여 필요한 정규 주성분과 그 이외의 잔여 주성분을 분류하기 위하여, 트래픽 데이터 X의 변동을 대부분 포함할 수 있는 정규 주성분의 수 a를 결정한다.
이러한 정규 주성분의 수 a를 결정하는 방법으로 스크리 플롯(Scree Plot) 또는 변량 누적률(cumulative percentage of variance) 방법이 사용될 수 있다.
스크리 플롯(Scree Plot)을 사용하는 경우, 본 발명의 일 실시예에 따른 트래픽 데이터에 대한 스크리 플롯(Scree Plot)은 도 8의 스크리 플롯 그래프(510)로 표현될 수 있다. 스크리 플롯(Scree Plot)은 각각의 고유벡터의 고유치를 큰 순서대로 그린 그래프이며, 트래픽 데이터의 주성분이 포함하는 변동성 또는 분산의 변화를 나타낸다.
이러한 스크리 플롯(Scree Plot)은 고유벡터에 포함된 변동성이 현저하게 감소하는 지점을 포함하며, 도 8의 스크리 플롯 그래프(510)의 경우, 1번째 고유치부터 3번째 고유치까지의 변동은 크지만, 3번째 고유치로부터 4번째 고유치까지의 변동의 크기는 감소하는 것으로 나타난다. 따라서, 스크리 플롯을 통해 트래픽 데이터 X의 변동을 표현하기 위하여 필요한 고유벡터의 수, 즉 주성분의 수는 3개인 것으로 결정할 수 있다.
또한, 변량 누적률(cumulative percentage of variance) 방법을 사용하는 경 우, 고유치의 개수를 늘려감에 따라 누적된 고유치의 합계, 즉 트래픽 데이터의 변동성을 산출할 수 있으므로 원하는 수준만큼의 데이터의 변동성을 고려할 수 있는 주성분의 수를 결정할 수 있다.
본 발명의 일 실시예에 따른 트래픽 데이터 X의 주성분의 고유치에 대한 누적 고유치의 합은 표 1과 같이 나타날 수 있다.
고유치의 수 누적 고유치 합계(%)
1 96.4790
2 99.4610
3 99.7448
4 99.8319
5 99.8643
<표 1>
따라서, 변량 누적률 방법에 따르면, 트래픽 데이터 X에 대해 99.7 퍼센트의 변동성을 포함하기를 원하는 경우, 고유치의 크기가 큰 3개의 주성분을 이용하여 트래픽 데이터 X의 변동성을 표현할 수 있다.
이처럼 단계(S121)에서는, 스크리 플롯 또는 변량 누적률 방법 등을 이용하여 트래픽 데이터 X의 변동성을 표현하기 위하여 필요한 정규 주성분의 수 a를 결정한다.
단계(S122)에서, 트래픽 데이터 X의 정규 트래픽 변동 데이터 및 잔여 트래픽 변동 데이터를 획득한다.
정규 트래픽 변동 데이터는 단계(S121)에서 결정된 정규 주성분의 수 a에 해당하는 주성분에 대한 트래픽 변동 데이터이며, 잔여 트래픽 변동 데이터는 주성분 수 a에 해당하지 않는 잔여 주성분에 대한 트래픽 변동 데이터이다.
다시 말해, 정규 트래픽 변동 데이터는 트래픽 데이터 X의 주요한 변동성을 표현하기 위하여 필요한 것으로 결정된 정규 주성분에 대한 트래픽 변동 데이터이며, 잔여 트래픽 변동 데이터는 트래픽 데이터 X의 변동성을 표현하는데 필요하지 않은 것으로 결정된 나머지 주성분인 잔여 주성분에 대한 트래픽 변동 데이터이다.
따라서, 잔여 트래픽 변동 데이터는 트래픽 데이터 X의 트래픽 중 잡음 등의 변동에 대한 데이터를 포함하며, 특히 웜, 바이러스 또는 분산 서비스 거부(DDoS) 공격과 같은 비정상 트래픽에 따른 변동에 대한 데이터를 포함할 수 있다.
단계(S123)에서는, 단계(S122)에서 획득한 정규 트래픽 변동 데이터 및 잔여 트래픽 변동 데이터를 이용하여 부분공간(subspace)를 구성한다.
정규 부분공간(normal subspace)은 정규 트래픽 변동 데이터에 대응하는 부분공간이며, 잔여 부분공간(residual subspace)은 잔여 트래픽 변동 데이터에 대응하는 부분공간인 잔여 부분공간(residual subspace)이다.
즉, 정규 부분공간은 트래픽 데이터 X의 주요한 변동 패턴만을 표현하는 주성분으로 구성되며, 잔여 부분공간은 트래픽 데이터 X의 잡음 등을 표현하는 주성분으로 구성된다.
이 경우, 정규 부분공간(normal subspace)은 트래픽 데이터 X의 변동성을 표현하기 위하여 필요한 것으로 결정된 주성분만을 기저 벡터로 하며, 잔여 부분공간(residual subspace)은 나머지 주성분을 기저 벡터로 한다.
따라서, 전술한 바와 같이 잔여 부분공간에 트래픽 데이터 X를 투영하여 잔 여 트래픽 성분을 획득할 수 있으며, 획득한 잔여 트래픽 성분을 분석하여 비정상 트래픽을 탐지할 수 있다.
도 5는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 서버의 구성을 도시한 도면이다.
본 발명의 일 실시예에 따른 비정상 트래픽 탐지 서버(100)는 트래픽 데이터 수신부(110), 트래픽 분석부(120) 및 비정상 트래픽 정보 전송부(130)를 포함한다.
트래픽 데이터 수신부(110)는 네트워크의 특정 구간에서 측정한 트래픽의 데이터를 수신한다. 트래픽 데이터 수신부(110)는 예를 들어, 주노드와 센터노드 사이에서 측정한 트래픽 데이터를 수신할 수 있으며, 트래픽 데이터는 트래픽 볼륨 등의 변동 상태를 포함한다.
트래픽 분석부(120)는 수신한 트래픽 데이터를 분석하여 비정상 트래픽을 탐지한다. 트래픽 분석부(120)는 주성분 분석 모듈(121), 잔여 트래픽 성분 생성 모듈(122) 및 트래픽 탐지 모듈(123)을 포함한다.
주성분 분석 모듈(121)은 주성분 분석(PCA, Principal Component Analysis)을 이용하여 트래픽 데이터의 주성분을 획득한다. 주성분은 트래픽 데이터의 변동성을 파악하기 위하여 사용될 수 있다.
따라서, 주성분 분석 모듈(121)은 획득한 트래픽 데이터의 주성분을 획득하고, 획득한 주성분 중 트래픽의 잡음에 관련된 변동을 나타내는 주성분을 이용하여 잔여 트래픽 변동 데이터를 획득한다.
잔여 트래픽 성분 생성 모듈(122)은 주성분 분석 모듈(121)에서 획득한 잔여 트래픽 변동 데이터를 이용하여 잔여 부분공간(residual subspace)를 구성하고, 잔여 부분공간에 트래픽 데이터를 투영하여 잔여 트래픽 성분을 생성한다.
잔여 트래픽 변동 데이터를 이용하여 구성된 잔여 부분공간은 트래픽 데이터의 잡음 등을 표현하는 주성분으로 구성된다. 따라서, 잔여 트래픽 성분 생성 모듈(122)은 잔여 부분공간에 트래픽 데이터를 투영하여, 트래픽 데이터의 정규 트래픽 패턴 이외의 잔여 트래픽 패턴, 예를 들어 잡음과 같은 패턴을 포함하는 잔여 트래픽 성분을 생성한다.
트래픽 탐지 모듈(123)은 잔여 트래픽 성분을 분석하여 비정상 트래픽의 발생을 탐지한다. 잔여 트래픽 성분은 잡음의 패턴뿐만 아니라 웜, 바이러스, DDoS 공격 또는 라우터 설정 오류 등에 의한 비정상적인 트래픽의 패턴을 포함한다.
따라서, 트래픽 탐지 모듈(123)은 잔여 트래픽 성분을 분석하여, 잡음에 해당하는 트래픽 패턴 이외에 웜, 바이러스, DDoS 공격 또는 라우터 설정 오류 등에 의한 비정상적인 트래픽의 발생 여부를 탐지한다.
비정상 트래픽 정보 전송부(130)는 트래픽 분석부(120)가 트래픽을 분석하여 탐지한 비정상 트래픽에 대한 정보를 트래픽 관리 서버(도시 생략)로 전송한다. 비정상 트래픽에 대한 정보는 비정상 트래픽 발생 시기, 발생 구간 등의 정보를 포함할 수 있다. 트래픽 관리 서버는 전송된 비정상 트래픽 정보를 이용하여 비정상 트래픽의 패턴, 원인 등을 분석할 수 있다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
도 1은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지가 적용된 네트워크 관리 시스템을 도시한 도면,
도 2는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법의 흐름을 도시한 순서도,
도 3은 본 발명의 일 실시예 따른 비정상 트래픽 탐지 방법에서 주성분 분석(PCA, Principal Component Analysis)을 이용하여 트래픽 데이터의 주성분을 획득하는 흐름을 도시한 순서도,
도 4는 본 발명의 일 실시예 따른 비정상 트래픽 탐지 방법에서 부분공간(subspace)를 형성하는 흐름을 도시한 순서도,
도 5는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 서버의 구성을 도시한 도면,
도 6은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법에서 주노드와 센터노드 사이에서 측정된 트래픽 데이터 X를 도시한 도면,
도 7은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법에서 주성분 분석에 의해 트래픽 데이터 X로부터 획득된 각각의 주성분에 대한 트래픽 변동 데이터를 도시한 도면,
도 8은 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법에서 트래픽 데이터 X를 적용한 스크리 플롯(Scree plot)을 도시한 도면,
도 9는 본 발명의 일 실시예에 따른 비정상 트래픽 탐지 방법에서 트래픽 데 이터를 정규 부분공간 및 잔여 부분공간에 투영하여 획득된 정상 트래픽 성분 및 잔여 트래픽 성분을 도시한 도면.

Claims (9)

  1. 비정상 트래픽 탐지 방법에 있어서,
    (a) 주성분 분석(PCA, Principal Component Analysis)을 이용하여 트래픽 데이터의 주성분을 획득하는 단계,
    (b) 상기 주성분을 이용하여 잔여 부분공간을 구성하는 단계,
    (c) 상기 트래픽 데이터를 상기 잔여 부분공간에 투영하여 잔여 트래픽 성분을 획득하는 단계,
    (d) 상기 잔여 트래픽 성분을 분석하여 비정상 트래픽을 탐지하는 단계
    를 포함하고,
    상기 잔여 부분공간은 상기 획득한 주성분 중 상기 트래픽 데이터의 잔여 트래픽 변동성을 포함하는 잔여 주성분을 이용하여 형성되는 것인 비정상 트래픽 탐지 방법.
  2. 제 1 항에 있어서,
    상기 (b) 단계는,
    (b1) 상기 잔여 주성분의 수를 결정하는 단계 및
    (b2) 상기 잔여 주성분을 기저벡터로 하는 잔여 부분공간을 구성하는 단계
    를 포함하는 비정상 트래픽 탐지 방법.
  3. 제 2 항에 있어서,
    상기 잔여 주성분의 수는 스크리 플롯(Scree plot)을 이용하여 결정되는 것인 비정상 트래픽 탐지 방법.
  4. 제 2 항에 있어서,
    상기 잔여 주성분의 수는 변량 누적률(cumulative percentage of variance) 방법을 이용하여 결정되는 것인 비정상 트래픽 탐지 방법.
  5. 비정상 트래픽을 탐지하여 네트워크를 관리하는 네트워크 관리 시스템에 있어서,
    상기 네트워크에 대한 정보를 수신하는 네트워크 모니터링 서버,
    상기 네트워크 정보에 포함된 트래픽 데이터에 대해 주성분 분석(PCA, Principal Component Analysis)을 통해 획득된 주성분을 이용하여 비정상 트래픽을 탐지하는 비정상 트래픽 탐지 서버 및
    상기 탐지된 비정상 트래픽을 분석하는 트래픽 관리 서버
    를 포함하는 네트워크 관리 시스템.
  6. 제 5 항에 있어서,
    상기 비정상 트래픽 탐지 서버는,
    상기 네트워크 모니터링 서버로부터 상기 트래픽 데이터를 수신하는 트래픽 데이터 수신부 및
    상기 트래픽 데이터에 대해 획득된 상기 주성분으로부터 잔여 주성분을 획득하여 비정상 트래픽을 탐지하는 트래픽 분석부
    를 포함하고,
    상기 잔여 주성분은 상기 트래픽 데이터의 주요한 변동 이외의 잔여 변동에 대한 데이터를 포함하는 것인 네트워크 관리 시스템.
  7. 제 6 항에 있어서,
    상기 트래픽 분석부는
    주성분 분석(PCA)를 이용하여 상기 트래픽 데이터에 대한 잔여 주성분을 획득하는 주성분 분석 모듈,
    상기 잔여 주성분을 이용하여 구성된 잔여 부분공간(residual subspace)에 상기 트래픽 데이터를 투영하여 잔여 트래픽 성분을 생성하는 잔여 트래픽 성분 생성 모듈 및
    상기 잔여 트래픽 성분을 분석하여 비정상 트래픽을 탐지하는 트래픽 탐지 모듈
    을 포함하는 네트워크 관리 시스템.
  8. 제 7 항에 있어서,
    상기 잔여 주성분은 스크리 플롯(Scree plot)을 이용하여 상기 주성분 중에서 결정되는 것인 네트워크 관리 시스템.
  9. 제 7 항에 있어서,
    상기 잔여 주성분은 변량 누적률(cumulative percentage of variance) 방법을 이용하여 상기 주성분 중에서 결정되는 것인 네트워크 관리 시스템.
KR1020090093001A 2009-09-30 2009-09-30 비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템 KR20110035336A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090093001A KR20110035336A (ko) 2009-09-30 2009-09-30 비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090093001A KR20110035336A (ko) 2009-09-30 2009-09-30 비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템

Publications (1)

Publication Number Publication Date
KR20110035336A true KR20110035336A (ko) 2011-04-06

Family

ID=44043698

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090093001A KR20110035336A (ko) 2009-09-30 2009-09-30 비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템

Country Status (1)

Country Link
KR (1) KR20110035336A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101381558B1 (ko) * 2012-08-30 2014-04-14 포항공과대학교 산학협력단 비정상 트래픽 탐지 방법 및 장치
KR20190010225A (ko) 2017-07-21 2019-01-30 삼성에스디에스 주식회사 악성 트래픽 탐지 방법 및 그 장치
US10432653B2 (en) 2017-07-28 2019-10-01 Penta Security Systems Inc. Method and apparatus for detecting anomaly traffic
CN116962083A (zh) * 2023-09-20 2023-10-27 西南交通大学 网络异常行为的检测方法、装置、设备及可读存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101381558B1 (ko) * 2012-08-30 2014-04-14 포항공과대학교 산학협력단 비정상 트래픽 탐지 방법 및 장치
KR20190010225A (ko) 2017-07-21 2019-01-30 삼성에스디에스 주식회사 악성 트래픽 탐지 방법 및 그 장치
US10432653B2 (en) 2017-07-28 2019-10-01 Penta Security Systems Inc. Method and apparatus for detecting anomaly traffic
CN116962083A (zh) * 2023-09-20 2023-10-27 西南交通大学 网络异常行为的检测方法、装置、设备及可读存储介质
CN116962083B (zh) * 2023-09-20 2023-12-05 西南交通大学 网络异常行为的检测方法、装置、设备及可读存储介质

Similar Documents

Publication Publication Date Title
US11374835B2 (en) Apparatus and process for detecting network security attacks on IoT devices
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US8869276B2 (en) Method and apparatus for whole-network anomaly diagnosis and method to detect and classify network anomalies using traffic feature distributions
US11252021B2 (en) Telemetry adaptation
US9860278B2 (en) Log analyzing device, information processing method, and program
JP6535809B2 (ja) 異常検出装置、異常検出システム、及び、異常検出方法
Da Silva et al. Identification and selection of flow features for accurate traffic classification in SDN
US20180007578A1 (en) Machine-to-Machine Anomaly Detection
US20050108377A1 (en) Method for detecting abnormal traffic at network level using statistical analysis
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
KR20090041198A (ko) 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
US20080186876A1 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
JP7235967B2 (ja) ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法
KR20110035336A (ko) 비정상 트래픽 탐지 방법 및 이를 이용한 네트워크 관리 시스템
US20180198718A1 (en) Network operation
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
JP2008118242A (ja) 異常トラヒック検出方法およびその装置およびプログラム
US11336534B2 (en) Network operation
Zaidi et al. Real-time detection of traffic anomalies in wireless mesh networks
US11895146B2 (en) Infection-spreading attack detection system and method, and program
Li et al. Network‐Wide Traffic Anomaly Detection and Localization Based on Robust Multivariate Probabilistic Calibration Model
Zaidi et al. Detection and identification of anomalies in wireless mesh networks using Principal Component Analysis (PCA)
KR101573413B1 (ko) 주성분 분석을 기반으로 하는 침입 탐지 장치 및 그 방법
CN113543188A (zh) 无线网络信号质量检测方法、终端设备及存储介质
WO2018142704A1 (ja) 特徴量生成装置、特徴量生成方法及びプログラム

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination