KR20120010535A - Apparatus and method for analyzing packet - Google Patents

Apparatus and method for analyzing packet Download PDF

Info

Publication number
KR20120010535A
KR20120010535A KR1020100072130A KR20100072130A KR20120010535A KR 20120010535 A KR20120010535 A KR 20120010535A KR 1020100072130 A KR1020100072130 A KR 1020100072130A KR 20100072130 A KR20100072130 A KR 20100072130A KR 20120010535 A KR20120010535 A KR 20120010535A
Authority
KR
South Korea
Prior art keywords
packet
band
network device
index table
information
Prior art date
Application number
KR1020100072130A
Other languages
Korean (ko)
Inventor
서문찬
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020100072130A priority Critical patent/KR20120010535A/en
Publication of KR20120010535A publication Critical patent/KR20120010535A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A packet analysis apparatus and method thereof are provided to device a traffic which is exposed to the outside into an upper traffic and a lower traffic. CONSTITUTION: An index table storage unit(140) stores an index table corresponding to each network device. In case the source address of a packet or a destination address belongs to IP band, a packet identification unit(120) generates packet information. The packet identification unit stores packet information in the index table. The packet information indicates that the packet is a packet of uplink or downlink traffic.

Description

패킷 분석 장치 및 방법{APPARATUS AND METHOD FOR ANALYZING PACKET}Packet analysis apparatus and method {APPARATUS AND METHOD FOR ANALYZING PACKET}

본 발명은 통신 기술에 관련된 것으로, 보다 자세하게는 네트워크를 통해 전송되는 패킷을 분석하는 기술에 관한 것이다.
The present invention relates to communication technology, and more particularly, to a technique for analyzing a packet transmitted over a network.

규모가 큰 네트워크를 운용하고 있는 기업이나 단체는 네트워크를 안정적으로 운용하기 위해 많은 노력을 기울이고 있다. 특히 NMS(Network Management System)를 구비하여 네트워크 상 자원의 트래픽, 보안 등을 감시하고, 네트워크의 이용 현황을 분석하도록 하고 있다.Companies and organizations that operate large networks are putting a lot of effort into keeping the network stable. In particular, it is equipped with NMS (Network Management System) to monitor the traffic, security, etc. of the resources on the network, and to analyze the usage of the network.

하지만, NMS는 네트워크를 통해 전송되는 트래픽의 패킷량은 알 수 있지만, 트래픽이 상향 또는 하향 트래픽인지 구분을 할 수 없었다. 또한 NMS는 네트워크 자원에서 장애가 발생하여 트래픽에 손실이 발생하는 경우, 장애가 발생한 지점을 확인하기 어려웠다.
However, the NMS can know the packet volume of the traffic transmitted through the network, but cannot distinguish whether the traffic is uplink or downlink. In addition, the NMS was difficult to identify the point of failure when a failure occurs in the network resources and the traffic is lost.

본 발명은 네트워크로 유입되거나 외부로 유출되는 트래픽의 패킷을 분석하는 패킷 분석 장치 및 방법을 제공하고자 한다.
An object of the present invention is to provide a packet analysis apparatus and method for analyzing a packet of traffic flowing into or out of a network.

본 발명의 일 측면에 따르면, 패킷을 수신하는 트래픽 수신부; 각 네트워크 장치에 상응하는 인덱스 테이블을 저장하는 인덱스 테이블 저장부; 상기 네트워크 장치에 상응하는 IP 대역과 상기 인덱스 테이블이 저장되는 메모리 주소를 포함하는 해시 테이블을 저장하는 해시 테이블 저장부; 및 상기 패킷의 근원지 주소 또는 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 또는 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하고, 상기 패킷 정보를 상기 인덱스 테이블에 저장하는 패킷 식별부를 포함하는 패킷 분석 장치가 제공된다.
According to an aspect of the invention, the traffic receiving unit for receiving a packet; An index table storage unit for storing an index table corresponding to each network device; A hash table storage unit for storing a hash table including an IP band corresponding to the network device and a memory address where the index table is stored; And a packet identification unit configured to generate packet information indicating that the packet is a packet of uplink or downlink traffic when the source address or the destination address of the packet belongs to the IP band, and store the packet information in the index table. An analysis device is provided.

본 발명의 다른 측면에 따르면, 패킷 분석 장치가 패킷을 분석하는 방법에 있어서, 패킷을 수신하는 단계; 상기 패킷의 근원지 주소가 해시 테이블에 포함된 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계; 상기 패킷의 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계; 상기 패킷 정보를 상기 근원지 주소 또는 상기 목적지 주소가 속한 IP 대역에 상응하는 네트워크 장치의 인덱스 테이블에 저장하는 단계를 포함하는 패킷 분석 방법이 제공된다.
According to another aspect of the present invention, a method for analyzing a packet by a packet analysis device, the method comprising: receiving a packet; Generating packet information indicating that the packet is a packet of uplink traffic when the source address of the packet belongs to the IP band included in a hash table; Generating packet information indicating that the packet is a packet of downlink traffic when a destination address of the packet belongs to the IP band; And storing the packet information in an index table of a network device corresponding to an IP band to which the source address or the destination address belongs.

본 발명의 실시예에 의하면, 네트워크로 유입 또는 외부로 유출되는 트래픽이 상향 또는 하향 트래픽인지 구분할 수 있다.According to an embodiment of the present invention, it is possible to distinguish whether traffic flowing into or out of the network is uplink or downlink.

도 1은 패킷 분석 장치가 구비된 네트워크 시스템을 간략히 예시한 블록도.
도 2는 네트워크 분석 장치의 각 구성부를 예시한 블록도.
도 3은 패킷 분석 장치(100)의 해시 테이블 저장부(130)에서 저장하는 해시 테이블을 예시한 도면.
도 4는 패킷 분석 장치가 네트워크 시스템으로 유입 또는 외부로 유출되는 트래픽의 패킷을 분석하는 방법을 예시한 순서도.
도 5는 패킷 분석 장치가 패킷을 분석하여 생성된 통계 데이터를 표시한 화면을 예시한 도면.1 is a block diagram schematically illustrating a network system provided with a packet analysis device.
2 is a block diagram illustrating each component of a network analysis device.
3 is a diagram illustrating a hash table stored in the hash table storage unit 130 of the packet analysis apparatus 100.
4 is a flowchart illustrating a method of analyzing a packet of traffic flowing into or out of a network analysis apparatus.
5 is a diagram illustrating a screen in which a packet analyzing apparatus displays statistical data generated by analyzing a packet.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention may be variously modified and have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail with reference to the accompanying drawings. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소로 신호를 '전송한다'로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되어 신호를 전송할 수 잇지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 신호를 전송할 수도 있다고 이해되어야 할 것이다.
In addition, in the present specification, when one component is referred to as 'transmit' a signal to another component, the one component may be directly connected to the other component to transmit a signal, but the description to the contrary It is to be understood that the signal may be transmitted through another component in the middle unless it is present.

도 1은 패킷 분석 장치가 구비된 네트워크 시스템을 간략히 예시한 블록도이다.1 is a block diagram schematically illustrating a network system equipped with a packet analysis device.

도 1을 참조하면, 네트워크 시스템은 IP(INTERNET PROTOCOL) 네트워크 시스템으로써, IP 주소의 구조에 적합하도록 서브 네트워크(SUB NETWORK)으로 구성된다. 예를 들어, L0는 지정된 IP 대역에 대한 트래픽을 외부로부터 수신하거나 외부로 전송하는 네트워크 장치이다. L0의 하위 네트워크 장치로는 L1-1 및 L1-2가 구성되고, 각 네트워크 장치는 L0에 지정된 IP 대역 중 일부에 대한 트래픽 전송을 수행한다. L1-1 및 L1-2는 각각에 해당하는 IP 대역 중 일부에 대한 트래픽 전송을 수행하는 하위 네트워크 장치와 연결된다. 즉, 네트워크 시스템은 복수의 서브 네트워크로 구성되는 계층적 구조를 가지고, 계층적 구조를 트리로 나타내었을 때, 단말(leaf node)에 해당하는 네트워크 장치(도 1의 L2-2, L2-3, L3-1, L3-2, L3-3, L3-4 및 L3-5)는 트래픽을 수신하거나 송신하는 장치(PC, 서버 등)이 연결될 수 있다.Referring to FIG. 1, the network system is an IP (INTERNET PROTOCOL) network system, and is configured as a sub network so as to conform to the structure of an IP address. For example, L0 is a network device that receives or transmits traffic for a specified IP band from the outside. The lower network devices of L0 are composed of L1-1 and L1-2, and each network device performs traffic transmission for a part of the IP band designated in L0. L1-1 and L1-2 are connected to lower network devices that perform traffic transmission for some of the corresponding IP bands, respectively. That is, the network system has a hierarchical structure composed of a plurality of sub-networks, and when the hierarchical structure is represented by a tree, network devices corresponding to leaf nodes (L2-2, L2-3, L3-1, L3-2, L3-3, L3-4, and L3-5 may be connected to a device (PC, server, etc.) that receives or transmits traffic.

상술한 네트워크 시스템의 최상위 네트워크 장치(도1의 L0)와 외부 인터넷 망간의 경로에는 패킷 수집 장치(50)가 구비된다. 물론, 도 1에 예시된 패킷 수집 장치(50)의 위치는 하나의 예를 도시한 것일 뿐, 도 1과 달리 네트워크 시스템의 경로 중 어느 곳이든 위치할 수 있다. 패킷 수집 장치(50)는 네트워크 시스템으로 유입되거나 외부로 유출되는 트래픽의 패킷을 탭핑(TAPPING) 또는 미러링(MIRRORING)하여 패킷 분석 장치(100)로 전송한다.
The packet collecting device 50 is provided in the path between the uppermost network device (LO in FIG. 1) and the external internet network of the above-described network system. Of course, the location of the packet collecting device 50 illustrated in FIG. 1 is merely an example and, unlike FIG. 1, may be located anywhere in the path of the network system. The packet collecting device 50 taps or mirrors a packet of traffic flowing into or out of the network system and transmits the packet to the packet analysis device 100.

도 2는 네트워크 분석 장치의 각 구성부를 예시한 블록도이고, 도 3은 패킷 분석 장치(100)의 해시 테이블 저장부(130)에서 저장하는 해시 테이블을 예시한 도면이다. 2 is a block diagram illustrating each component of the network analysis apparatus, and FIG. 3 is a diagram illustrating a hash table stored in the hash table storage unit 130 of the packet analysis apparatus 100.

도 2를 참조하면, 네트워크 분석 장치(100)는 트래픽 수신부(110), 패킷 식별부(120), 해시 테이블 저장부(130) 및 인덱스 테이블 저장부(140), 네트워크 구성 저장부(150) 및 출력부(150)를 포함한다.Referring to FIG. 2, the network analysis apparatus 100 may include a traffic receiver 110, a packet identifier 120, a hash table storage 130, an index table storage 140, a network configuration storage 150, and And an output unit 150.

트래픽 수신부(110)는 패킷 수집 장치(50)가 탭핑 또는 미러링한 패킷을 수신한다. 트래픽 수신부(110)는 버퍼를 구비하여 수신한 패킷을 저장한다. 이 때, 버퍼는 시스템이 처리 가능한 패킷 용량의 큐(QUEUE) 형식으로 패킷을 저장한다. 따라서, 네트워크 시스템이 DDos 공격을 받아 대량의 패킷이 수신되어 큐 용량 이상의 패킷이 수신되는 경우, 네트워크 분석 장치(100)의 작동이 중단되는 것을 방지할 수 있다.The traffic receiver 110 receives a packet that the packet collecting device 50 taps or mirrors. The traffic receiver 110 includes a buffer to store the received packet. At this time, the buffer stores the packet in the form of a queue of packet capacity that the system can process. Therefore, when the network system is subjected to a DDos attack and a large amount of packets are received to receive a packet larger than the queue capacity, it is possible to prevent the operation of the network analysis apparatus 100 from being interrupted.

패킷 식별부(120)는 트래픽 수신부(110)로 수신한 패킷을 큐에서 추출한다. 패킷 식별부(120)는 추출한 패킷에 포함된 근원지 주소(Source address) 및 목적지 주소(Destination address)를 추출한다. 패킷 식별부(120)는 해시 테이블 저장부(130)에 저장된 해시 테이블을 검색하여 근원지 주소 또는 목적지 주소가 해시 테이블에 포함된 각 장치 중 단말 노드의 IP 대역에 포함되어 있는지 확인한다. 근원지 주소가 포함되는 단말 노드의 IP 대역이 존재하는 경우, 패킷 식별부(120)는 해당 패킷을 상향 패킷(네트워크 시스템으로부터 외부로 유출되는 패킷)으로 판단한다. 반대로 목적지 주소가 포함되는 단말 노드의 IP 대역이 존재하는 경우, 패킷 식별부(120)는 해당 패킷을 하향 패킷(외부로부터 네트워크 시스템으로 유입되는 패킷)으로 판단한다. 또한 근원지 주소 및 목적지 주소에 상응하는 단말 노드의 IP 대역이 존재하지 않는 경우, 패킷 식별부(120)는 해당 패킷이 변조(Spoofing) 공격을 위한 패킷일 가능성이 있는 것으로 판단한다. 예를 들어, 패킷 식별부(120)는 추출한 패킷의 목적지 주소가 도 1의 L0, L1-1, L2-1의 IP 대역에 속하고, L3-1 및 L3-2의 IP 대역에 속하지 않는 경우, 해당 패킷을 L2-1에 대한 변조 공격을 위한 패킷으로 판단한다.The packet identification unit 120 extracts the packet received by the traffic reception unit 110 from the queue. The packet identification unit 120 extracts a source address and a destination address included in the extracted packet. The packet identification unit 120 searches the hash table stored in the hash table storage unit 130 and checks whether the source address or the destination address is included in the IP band of the terminal node among the devices included in the hash table. If there is an IP band of the terminal node that includes the source address, the packet identification unit 120 determines that the packet is an uplink packet (packet outflow from the network system). On the contrary, if there is an IP band of the terminal node including the destination address, the packet identification unit 120 determines that the packet is a downlink packet (a packet flowing into the network system from the outside). In addition, when there is no IP band of the terminal node corresponding to the source address and the destination address, the packet identification unit 120 determines that the packet may be a packet for a spoofing attack. For example, the packet identification unit 120 is the destination address of the extracted packet belongs to the IP band of L0, L1-1, L2-1 of Figure 1, and does not belong to the IP band of L3-1 and L3-2 The packet is determined to be a packet for a tamper attack against L2-1.

패킷 식별부(120)는 해당 패킷이 상향 또는 하향 트래픽인 경우, 해당 패킷이 상향 또는 하향 트래픽인 것에 대한 정보인 패킷 정보를 생성하여 인덱스 테이블 저장부(140)의 인덱스 테이블에 저장한다. 이 때, 패킷 식별부(120)는 해시 테이블의 IP 대역 및 단말 정보를 참조하여 해당 패킷에 상응하는 단말 노드에 해당하는 네트워크 장비를 식별하고, 단말 노드에 상응하는 네트워크 장비의 인덱스 테이블에 패킷 정보를 저장한다. 예를 들어, 특정 패킷이 L0, L1-1 및 L2-1을 거쳐 L3-1로 전송되었다고 가정하면, 패킷 식별부(120)는 해당 패킷의 근원지 주소 또는 목적지 주소가 속하는 IP 대역에 상응하는 네트워크 장치를 해시 테이블을 참조하여 검색하고, 검색된 네트워크 장치 중 해시 테이블의 단말 정보를 참조하여 ‘yes’인 네트워크 장치(L3-1)를 해당 패킷에 상응하는 단말 노드로 식별할 수 있다. 패킷 식별부(120)는 L3-1의 메모리 주소가 가리키는 인덱스 테이블에 패킷 정보를 저장한다. When the packet is uplink or downlink traffic, the packet identification unit 120 generates packet information that is information on whether the packet is uplink or downlink traffic and stores the packet information in the index table of the index table storage 140. At this time, the packet identification unit 120 identifies the network equipment corresponding to the terminal node corresponding to the packet by referring to the IP band and the terminal information of the hash table, and packet information in the index table of the network equipment corresponding to the terminal node. Save it. For example, assuming that a specific packet is transmitted to L3-1 through L0, L1-1, and L2-1, the packet identification unit 120 corresponds to a network corresponding to the IP band to which the source address or the destination address of the packet belongs. The device may be searched by referring to the hash table, and the network device L3-1 that is 'yes' may be identified as a terminal node corresponding to the corresponding packet by referring to the terminal information of the hash table among the found network devices. The packet identification unit 120 stores the packet information in an index table indicated by the memory address of L3-1.

또한 패킷 식별부(120)는 해당 패킷이 변조 공격을 위한 패킷일 가능성이 있는 경우, 해당 패킷이 변조 공격을 위한 패킷임을 경고하는 경고 메시지를 생성하여 출력부(160)를 통해 사용자에게 표시할 수 있다. In addition, if there is a possibility that the packet is a packet for a tamper attack, the packet identification unit 120 may generate a warning message to warn that the packet is a packet for a tamper attack and display it to the user through the output unit 160. have.

해시 테이블 저장부(130)는 네트워크 시스템을 구성하는 각 네트워크 장치에 상응하는 IP 대역 및 인덱스 테이블의 주소를 포함하는 해시 테이블을 저장한다. 도 3에 예시된 해시 테이블은 각 네트워크 장치의 식별 정보, 네트워크 장비를 통해 트래픽이 전송될 IP 대역, 해당 네트워크 장치가 네트워크 시스템의 구조에서 단말(Leaf)에 해당하는 노드인지에 대한 정보인 단말 정보, 사용하는 포트 번호 및 네트워크 장비에 상응하는 패킷 정보가 저장될 인덱스 테이블의 인덱스 테이블의 주소를 저장하는 필드를 포함한다. The hash table storage unit 130 stores a hash table including an address of an IP band and an index table corresponding to each network device constituting the network system. The hash table illustrated in FIG. 3 is identification information of each network device, IP band to which traffic is to be transmitted through the network equipment, and terminal information which is information on whether the corresponding network device is a node corresponding to a leaf in the structure of the network system. And a field for storing an address of an index table of an index table in which packet information corresponding to a port number and network equipment to be used are stored.

인덱스 테이블 저장부(140)는 각 단말 노드에 해당하는 네트워크 장치에 상응하는 인덱스 테이블을 저장한다. 인덱스 테이블은 해당 네트워크 장치에 상응하는 패킷 정보를 포함한다. 이 때, 인덱스 테이블 저장부(140)에 저장된 각 인덱스 테이블이 저장되는 메모리 주소는 해시 테이블 저장부(130)에 저장된 해시 테이블에 저장된다. The index table storage unit 140 stores an index table corresponding to a network device corresponding to each terminal node. The index table includes packet information corresponding to the corresponding network device. At this time, the memory address where each index table stored in the index table storage unit 140 is stored is stored in the hash table stored in the hash table storage unit 130.

네트워크 구성 저장부(150)는 네트워크 시스템의 계층적 구조를 나타내는 네트워크 구성 정보를 저장한다. 이 때, 네트워크 구성 정보는 각 네트워크 장치의 사용 가능한 포트(PORT), 주석, IP 대역, 사용 용도 및 상위 장치의 식별 정보를 포함할 수 있다. The network configuration storage unit 150 stores network configuration information representing a hierarchical structure of the network system. In this case, the network configuration information may include usable ports of each network device, annotations, IP bands, usage purposes, and identification information of higher level devices.

출력부(160)는 해시 테이블 저장부(130)에 저장된 해시 테이블 저장부(130)를 참조하여 네트워크 장치에 상응하는 인덱스 테이블의 주소를 검출하고, 검출된 인덱스 테이블의 주소에 따라 인덱스 테이블을 참조하여 각 네트워크 장치에 상응하는 패킷 정보를 추출한다. 출력부(160)는 추출된 패킷 정보를 사용자에게 제공한다. 이 때, 출력부(160)는 네트워크 구성 저장부(150)에 저장된 네트워크 구조 정보의 상위 장치 식별 정보를 참조하여 각 네트워크 장치를 트리 형식으로 표시하고, 트리의 각 노드에 상응하는 패킷 정보를 표시할 수 있다. 출력부(160)가 패킷 정보를 표시하는 것에 대해서는 추후 도 6를 참조하여 상세히 설명하도록 한다.The output unit 160 detects the address of the index table corresponding to the network device by referring to the hash table storage unit 130 stored in the hash table storage unit 130, and references the index table according to the detected index table address. To extract the packet information corresponding to each network device. The output unit 160 provides the extracted packet information to the user. At this time, the output unit 160 displays each network device in a tree form by referring to the upper device identification information of the network structure information stored in the network configuration storage unit 150, and displays packet information corresponding to each node of the tree. can do. Display of the packet information by the output unit 160 will be described in detail later with reference to FIG. 6.

상술한 바와 같이 출력부(160)는 해시 테이블에 저장된 인덱스 테이블의 주소를 참조하여 패킷 정보를 추출하기 때문에 패킷 정보의 검색을 빠르게 수행할 수 있다. 또한 패킷 식별부(120)는 해시 테이블에 저장된 인덱스 테이블의 주소에 따라 인덱스 테이블에 패킷 정보를 저장하기 때문에 패킷 정보를 빠르게 저장할 수 있다.As described above, since the output unit 160 extracts the packet information by referring to the address of the index table stored in the hash table, the output unit 160 may quickly search the packet information. In addition, since the packet identification unit 120 stores the packet information in the index table according to the address of the index table stored in the hash table, the packet information 120 can quickly store the packet information.

지금까지, 패킷 분석 장치(100)의 각 기능부에 대해 설명하였다. 이하 해시 테이블 저장부(130)에서 저장하는 해시 테이블에 대해 상세히 설명하도록 한다.
The functional units of the packet analysis device 100 have been described so far. Hereinafter, the hash table stored in the hash table storage unit 130 will be described in detail.

도 4는 패킷 분석 장치가 네트워크 시스템으로 유입 또는 외부로 유출되는 트래픽의 패킷을 분석하는 방법을 예시한 순서도이다.4 is a flowchart illustrating a method of analyzing a packet of traffic flowing into or out of a network analysis apparatus.

단계 410에서 패킷 분석 장치는 패킷을 패킷 수집 장치(50)로부터 수신한다.In operation 410, the packet analyzing apparatus receives a packet from the packet collecting apparatus 50.

단계 420에서 패킷 분석 장치는 단계 410에서 수신한 패킷을 버퍼에 저장한다. 이 때, 패킷이 저장되는 버퍼의 자료 구조는 큐일 수 있다. In operation 420, the packet analysis apparatus stores the packet received in operation 410 in a buffer. In this case, the data structure of the buffer in which the packet is stored may be a queue.

단계 430에서 패킷 분석 장치는 버퍼에 저장된 하나의 패킷을 추출하고, 추출된 패킷의 근원지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하는지 해시 테이블을 참조하여 확인한다.In operation 430, the packet analysis apparatus extracts one packet stored in the buffer and checks whether a network device corresponding to a terminal node that is in charge of the IP band including the source address of the extracted packet exists by referring to a hash table.

단계 430에서 근원지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하는 경우, 단계 440에서 패킷 분석 장치는 해당 패킷은 상향 트래픽의 패킷으로 판단한다.If there is a network device corresponding to the terminal node in charge of the IP band including the source address in step 430, in step 440, the packet analyzer determines that the packet is a packet of uplink traffic.

단계 430에서 근원지 주소가 포함된 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하지 않는 경우, 단계 450에서 패킷 분석 장치는 추출된 패킷의 목적지 주소가 포함되는 IP 대역을 담당하는 네트워크 장치가 존재하는지 해시 테이블을 참조하여 확인한다.If there is no network device corresponding to the terminal node in charge of the IP band including the source address in step 430, in step 450, the packet analyzer determines that the network device in charge of the IP band including the destination address of the extracted packet is determined. Check the hash table for existence.

단계 450에서 목적지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하지 않는 경우, 단계 460에서 패킷 분석 장치는 해당 패킷이 변조 공격임을 경고 메시지를 표시한다.If there is no network device corresponding to the terminal node in charge of the IP band including the destination address in step 450, in step 460 the packet analysis device displays a warning message that the packet is a tamper attack.

단계 450에서 목적지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하는 경우, 단계 470에서 패킷 분석 장치는 해당 패킷을 하향 트래픽의 패킷으로 판단한다.If there is a network device corresponding to the terminal node in charge of the IP band including the destination address in step 450, in step 470, the packet analyzer determines the packet as a packet of downlink traffic.

단계 480에서 패킷 분석 장치는 해당 패킷이 상향 또는 하향 패킷인 여부에 대한 정보를 포함하는 패킷 정보를 생성하여 인덱스 테이블에 저장한다.In operation 480, the packet analysis apparatus generates packet information including information on whether a corresponding packet is an uplink or a downlink packet, and stores the packet information in an index table.

단계 490에서 패킷 분석 장치는 인덱스 테이블에 저장된 패킷 정보를 확인하여 통계 정보를 생성한다. 이 때, 통계 정보는 단말 노드에 상응하는 각 IP 별로 패킷 정보에 따른 상향 트래픽 및 하향 트래픽 별 패킷 수, bps(bit per second), pps(packet per second) 등의 패킷 정보를 이용하여 산출할 수 있는 통계치를 나타내는 정보이다.In operation 490, the apparatus for analyzing a packet generates statistical information by checking packet information stored in an index table. In this case, the statistical information may be calculated using packet information such as the number of packets for uplink traffic and downlink traffic according to packet information, bit per second (bps), and packet per second (pps) according to packet information for each IP corresponding to the terminal node. Information indicating statistics that are present.

단계 495에서 패킷 분석 장치는 단계 490에서 생성한 통계 정보를 트리 형식의 GUI(Graphic User Interface)를 통해 표시한다. In operation 495, the packet analysis apparatus displays statistical information generated in operation 490 through a graphical user interface (GUI) in a tree format.

이하 도 5를 참조하여 통계 데이터를 표시하는 과정을 상세히 설명하도록 한다.
Hereinafter, a process of displaying statistical data will be described in detail with reference to FIG. 5.

도 5는 패킷 분석 장치가 패킷을 분석하여 생성된 통계 데이터를 표시한 화면을 예시한 도면이다.5 is a diagram illustrating a screen in which a packet analyzing apparatus displays statistical data generated by analyzing a packet.

도 5를 참조하면, 패킷 분석 장치(100)의 출력부(160)는 네트워크 시스템의 최상위 네트워크 장치를 최상위 노드로 하는 트리를 생성한다. 즉, 출력부(160)는 최상위 노드의 자식 노드를 최상위 네트워크 장치의 하위 네트워크 장치로 설정하여 네트워크 시스템의 계층적 구성을 트리 형태로 사용자에게 표시할 수 있다. 예를 들어, 출력부(160)는 네트워크 구성 저장부(150)에 저장된 네트워크 구성 정보를 참조하여 네트워크 장치들의 계층적인 관계를 트리 형식으로 제1 표시 영역(610)에 표시할 수 있다. Referring to FIG. 5, the output unit 160 of the packet analyzing apparatus 100 generates a tree in which a top network device of a network system is a top node. That is, the output unit 160 may set the child node of the top node as a lower network device of the top network device to display the hierarchical structure of the network system in a tree form to the user. For example, the output unit 160 may display the hierarchical relationship of network devices in a tree format on the first display area 610 with reference to the network configuration information stored in the network configuration storage unit 150.

또한 출력부(160)는 각 단말 노드에 상응하는 패킷 정보를 이용한 통계 정보를 제2 표시 영역(620)에 표시할 수 있다. 물론 도 5에 예시된 통계 정보 이외 다른 부가적인 정보를 제2 표시 영역(620)에 표시할 수 있음은 자명하다.In addition, the output unit 160 may display statistical information using packet information corresponding to each terminal node in the second display area 620. Obviously, additional information other than the statistical information illustrated in FIG. 5 may be displayed on the second display area 620.

출력부(160)는 패킷 식별부(120)에서 생성한 변조 공격임으로 판단한 패킷에 대한 경고 메시지를 제3 표시 영역(630)에 표시할 수 있다.
The output unit 160 may display a warning message for the packet determined to be a modulation attack generated by the packet identification unit 120 on the third display area 630.

이제까지 본 발명에 대하여 그 실시 예를 중심으로 살펴보았다. 전술한 실시 예 외의 많은 실시 예들이 본 발명의 특허청구범위 내에 존재한다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the embodiment for the present invention. Many embodiments other than the above-described embodiments are within the claims of the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. The disclosed embodiments should, therefore, be considered in an illustrative rather than a restrictive sense. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

Claims (10)

패킷을 수신하는 트래픽 수신부;
각 네트워크 장치에 상응하는 인덱스 테이블을 저장하는 인덱스 테이블 저장부;
상기 네트워크 장치에 상응하는 IP 대역과 상기 인덱스 테이블이 저장되는 메모리 주소를 포함하는 해시 테이블을 저장하는 해시 테이블 저장부; 및
상기 패킷의 근원지 주소 또는 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 또는 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하고, 상기 패킷 정보를 상기 인덱스 테이블에 저장하는 패킷 식별부
를 포함하는 패킷 분석 장치.
A traffic receiver for receiving a packet;
An index table storage unit for storing an index table corresponding to each network device;
A hash table storage unit for storing a hash table including an IP band corresponding to the network device and a memory address where the index table is stored; And
When the source address or the destination address of the packet belongs to the IP band, the packet identification unit for generating packet information indicating that the packet is a packet of upstream or downstream traffic, and stores the packet information in the index table
Packet analysis device comprising a.
제1 항에 있어서,
상기 패킷 식별부는 상기 패킷의 근원지 주소 또는 목적지 주소가 단말 노드에 해당하는 상기 네트워크 장치의 상기 IP 대역에 속하지 않는 경우, 상기 패킷이 변조 공격임을 경고하는 메시지를 생성하는 것을 특징으로 하는 패킷 분석 장치.
The method according to claim 1,
And, if the source address or the destination address of the packet does not belong to the IP band of the network device corresponding to the terminal node, generating a message to warn that the packet is a tampering attack.
제1 항에 있어서,
상기 패킷 식별부는 상기 패킷 정보를 상기 패킷의 근원지 주소 또는 목적지 주소가 속한 IP 대역에 상응하는 상기 네트워크 장치의 인덱스 테이블에 저장하는 것을 특징으로 하는 패킷 분석 장치.
The method according to claim 1,
And the packet identification unit stores the packet information in an index table of the network device corresponding to the IP band to which the source address or the destination address of the packet belongs.
제1 항에 있어서,
상기 네트워크 장치를 노드로 하는 트리에 상기 패킷 정보를 매칭시켜 표시하는 출력부를 더 포함하는 패킷 분석 장치.
The method according to claim 1,
And an output unit for matching and displaying the packet information in a tree including the network device as a node.
제1 항에 있어서,
상기 트래픽 수신부는 상기 패킷을 큐로 구성된 버퍼에 저장하는 것을 특징으로 하는 패킷 분석 장치.
The method according to claim 1,
The traffic receiver stores the packet in a buffer consisting of a queue.
패킷 분석 장치가 패킷을 분석하는 방법에 있어서,
패킷을 수신하는 단계;
상기 패킷의 근원지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계;
상기 패킷의 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계;
상기 패킷 정보를 상기 근원지 주소 또는 상기 목적지 주소가 속한 IP 대역에 상응하는 네트워크 장치의 인덱스 테이블에 저장하는 단계
를 포함하는 패킷 분석 방법.
In a method for analyzing a packet by the packet analysis device,
Receiving a packet;
Generating packet information indicating that the packet is a packet of uplink traffic when the source address of the packet belongs to the IP band;
Generating packet information indicating that the packet is a packet of downlink traffic when a destination address of the packet belongs to the IP band;
Storing the packet information in an index table of a network device corresponding to an IP band to which the source address or the destination address belongs.
Packet analysis method comprising a.
제6 항에 있어서,
상기 패킷의 근원지 주소 또는 목적지 주소가 단말 노드에 해당하는 상기 네트워크 장치의 상기 IP 대역에 속하지 않는 경우, 상기 패킷이 변조 공격임을 경고하는 메시지를 표시하는 단계를 더 포함하는 패킷 분석 방법.
The method of claim 6,
And if the source address or the destination address of the packet does not belong to the IP band of the network device corresponding to the terminal node, displaying a message warning that the packet is a tampering attack.
제6 항에 있어서,
상기 패킷 정보를 상기 패킷의 근원지 주소 또는 목적지 주소가 속한 IP 대역에 상응하는 상기 네트워크 장치의 인덱스 테이블에 저장하는 단계를 더 포함하는 패킷 분석 방법.
The method of claim 6,
And storing the packet information in an index table of the network device corresponding to an IP band to which the source address or the destination address of the packet belongs.
제6 항에 있어서,
상기 네트워크 장치를 노드로 하는 트리에 상기 패킷 정보를 매칭시켜 표시하는 단계를 더 포함하는 패킷 분석 방법.
The method of claim 6,
And matching and displaying the packet information in a tree having the network device as a node.
제6 항에 있어서,
상기 패킷을 수신하는 단계는
상기 패킷을 수신하여 큐로 구성된 버퍼에 저장하는 단계인 것을 특징으로 하는 패킷 분석 방법.
The method of claim 6,
Receiving the packet
Receiving the packet and storing the packet in a buffer consisting of a queue.
KR1020100072130A 2010-07-26 2010-07-26 Apparatus and method for analyzing packet KR20120010535A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100072130A KR20120010535A (en) 2010-07-26 2010-07-26 Apparatus and method for analyzing packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100072130A KR20120010535A (en) 2010-07-26 2010-07-26 Apparatus and method for analyzing packet

Publications (1)

Publication Number Publication Date
KR20120010535A true KR20120010535A (en) 2012-02-03

Family

ID=45835014

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100072130A KR20120010535A (en) 2010-07-26 2010-07-26 Apparatus and method for analyzing packet

Country Status (1)

Country Link
KR (1) KR20120010535A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455288B1 (en) * 2013-05-08 2014-11-03 고려대학교 산학협력단 Apparatus and method for analyzing traffic
KR20190088344A (en) * 2018-01-18 2019-07-26 주식회사맥데이타 Network-related new device registration method and apparatus
US11362922B2 (en) 2018-01-18 2022-06-14 Magdata Inc. Method, apparatus and system for diagnosing network performance

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455288B1 (en) * 2013-05-08 2014-11-03 고려대학교 산학협력단 Apparatus and method for analyzing traffic
KR20190088344A (en) * 2018-01-18 2019-07-26 주식회사맥데이타 Network-related new device registration method and apparatus
US11362922B2 (en) 2018-01-18 2022-06-14 Magdata Inc. Method, apparatus and system for diagnosing network performance
US11902135B2 (en) 2018-01-18 2024-02-13 Magdata Inc. Method, apparatus and system for diagnosing network performance

Similar Documents

Publication Publication Date Title
ES2313959T3 (en) SECURITY CAMERA FOR A NETWORK.
Zhou et al. Exploiting the vulnerability of flow table overflow in software-defined network: Attack model, evaluation, and defense
US20100262873A1 (en) Apparatus and method for dividing and displaying ip address
JP5050781B2 (en) Malware detection device, monitoring device, malware detection program, and malware detection method
KR102129375B1 (en) Deep running model based tor site active fingerprinting system and method thereof
CN103840976B (en) Communication means, light device and the network equipment
US20150036510A1 (en) Method and device for measuring ethernet performance
CN101626323A (en) Method and device for monitoring network data flow
CN106789625A (en) A kind of loop detecting method and device
JP6081386B2 (en) Information sharing apparatus, information sharing method, and information sharing program
CN102546117A (en) Frame loss measuring method, frame loss measuring device and frame loss measuring system
CN104717105A (en) Industrial sensor network data repeated detecting method based on standard ISA 100.11a
CN104579788B (en) A kind of location of mistake method of distributed dynamic route network
CN100561954C (en) Method, system and the equipment of control detection of connectivity
KR20120010535A (en) Apparatus and method for analyzing packet
CN115174676A (en) Convergence and shunt method and related equipment thereof
CN104883362A (en) Method and device for controlling abnormal access behaviors
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
CN106330616A (en) Method of realizing railway data business classification monitoring
CN101471817B (en) Method, system and equipment for monitoring flux of connectionless IP network
CN107210969B (en) Data processing method based on software defined network and related equipment
KR20110067871A (en) Network access apparatus and method for watching and controlling traffic using oam packet in ip network
CN110784375B (en) Network data monitoring method and device, electronic equipment and storage medium
CN105681487A (en) Method and device for detecting NAT device
CN102752169B (en) Transmitting, monitoring method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application