KR20120010535A - Apparatus and method for analyzing packet - Google Patents
Apparatus and method for analyzing packet Download PDFInfo
- Publication number
- KR20120010535A KR20120010535A KR1020100072130A KR20100072130A KR20120010535A KR 20120010535 A KR20120010535 A KR 20120010535A KR 1020100072130 A KR1020100072130 A KR 1020100072130A KR 20100072130 A KR20100072130 A KR 20100072130A KR 20120010535 A KR20120010535 A KR 20120010535A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- band
- network device
- index table
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000004458 analytical method Methods 0.000 claims abstract description 18
- 238000011144 upstream manufacturing Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 8
- 238000003012 network analysis Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 통신 기술에 관련된 것으로, 보다 자세하게는 네트워크를 통해 전송되는 패킷을 분석하는 기술에 관한 것이다.
The present invention relates to communication technology, and more particularly, to a technique for analyzing a packet transmitted over a network.
규모가 큰 네트워크를 운용하고 있는 기업이나 단체는 네트워크를 안정적으로 운용하기 위해 많은 노력을 기울이고 있다. 특히 NMS(Network Management System)를 구비하여 네트워크 상 자원의 트래픽, 보안 등을 감시하고, 네트워크의 이용 현황을 분석하도록 하고 있다.Companies and organizations that operate large networks are putting a lot of effort into keeping the network stable. In particular, it is equipped with NMS (Network Management System) to monitor the traffic, security, etc. of the resources on the network, and to analyze the usage of the network.
하지만, NMS는 네트워크를 통해 전송되는 트래픽의 패킷량은 알 수 있지만, 트래픽이 상향 또는 하향 트래픽인지 구분을 할 수 없었다. 또한 NMS는 네트워크 자원에서 장애가 발생하여 트래픽에 손실이 발생하는 경우, 장애가 발생한 지점을 확인하기 어려웠다.
However, the NMS can know the packet volume of the traffic transmitted through the network, but cannot distinguish whether the traffic is uplink or downlink. In addition, the NMS was difficult to identify the point of failure when a failure occurs in the network resources and the traffic is lost.
본 발명은 네트워크로 유입되거나 외부로 유출되는 트래픽의 패킷을 분석하는 패킷 분석 장치 및 방법을 제공하고자 한다.
An object of the present invention is to provide a packet analysis apparatus and method for analyzing a packet of traffic flowing into or out of a network.
본 발명의 일 측면에 따르면, 패킷을 수신하는 트래픽 수신부; 각 네트워크 장치에 상응하는 인덱스 테이블을 저장하는 인덱스 테이블 저장부; 상기 네트워크 장치에 상응하는 IP 대역과 상기 인덱스 테이블이 저장되는 메모리 주소를 포함하는 해시 테이블을 저장하는 해시 테이블 저장부; 및 상기 패킷의 근원지 주소 또는 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 또는 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하고, 상기 패킷 정보를 상기 인덱스 테이블에 저장하는 패킷 식별부를 포함하는 패킷 분석 장치가 제공된다.
According to an aspect of the invention, the traffic receiving unit for receiving a packet; An index table storage unit for storing an index table corresponding to each network device; A hash table storage unit for storing a hash table including an IP band corresponding to the network device and a memory address where the index table is stored; And a packet identification unit configured to generate packet information indicating that the packet is a packet of uplink or downlink traffic when the source address or the destination address of the packet belongs to the IP band, and store the packet information in the index table. An analysis device is provided.
본 발명의 다른 측면에 따르면, 패킷 분석 장치가 패킷을 분석하는 방법에 있어서, 패킷을 수신하는 단계; 상기 패킷의 근원지 주소가 해시 테이블에 포함된 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계; 상기 패킷의 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계; 상기 패킷 정보를 상기 근원지 주소 또는 상기 목적지 주소가 속한 IP 대역에 상응하는 네트워크 장치의 인덱스 테이블에 저장하는 단계를 포함하는 패킷 분석 방법이 제공된다.
According to another aspect of the present invention, a method for analyzing a packet by a packet analysis device, the method comprising: receiving a packet; Generating packet information indicating that the packet is a packet of uplink traffic when the source address of the packet belongs to the IP band included in a hash table; Generating packet information indicating that the packet is a packet of downlink traffic when a destination address of the packet belongs to the IP band; And storing the packet information in an index table of a network device corresponding to an IP band to which the source address or the destination address belongs.
본 발명의 실시예에 의하면, 네트워크로 유입 또는 외부로 유출되는 트래픽이 상향 또는 하향 트래픽인지 구분할 수 있다.According to an embodiment of the present invention, it is possible to distinguish whether traffic flowing into or out of the network is uplink or downlink.
도 1은 패킷 분석 장치가 구비된 네트워크 시스템을 간략히 예시한 블록도.
도 2는 네트워크 분석 장치의 각 구성부를 예시한 블록도.
도 3은 패킷 분석 장치(100)의 해시 테이블 저장부(130)에서 저장하는 해시 테이블을 예시한 도면.
도 4는 패킷 분석 장치가 네트워크 시스템으로 유입 또는 외부로 유출되는 트래픽의 패킷을 분석하는 방법을 예시한 순서도.
도 5는 패킷 분석 장치가 패킷을 분석하여 생성된 통계 데이터를 표시한 화면을 예시한 도면.1 is a block diagram schematically illustrating a network system provided with a packet analysis device.
2 is a block diagram illustrating each component of a network analysis device.
3 is a diagram illustrating a hash table stored in the hash
4 is a flowchart illustrating a method of analyzing a packet of traffic flowing into or out of a network analysis apparatus.
5 is a diagram illustrating a screen in which a packet analyzing apparatus displays statistical data generated by analyzing a packet.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention may be variously modified and have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail with reference to the accompanying drawings. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소로 신호를 '전송한다'로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되어 신호를 전송할 수 잇지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 신호를 전송할 수도 있다고 이해되어야 할 것이다.
In addition, in the present specification, when one component is referred to as 'transmit' a signal to another component, the one component may be directly connected to the other component to transmit a signal, but the description to the contrary It is to be understood that the signal may be transmitted through another component in the middle unless it is present.
도 1은 패킷 분석 장치가 구비된 네트워크 시스템을 간략히 예시한 블록도이다.1 is a block diagram schematically illustrating a network system equipped with a packet analysis device.
도 1을 참조하면, 네트워크 시스템은 IP(INTERNET PROTOCOL) 네트워크 시스템으로써, IP 주소의 구조에 적합하도록 서브 네트워크(SUB NETWORK)으로 구성된다. 예를 들어, L0는 지정된 IP 대역에 대한 트래픽을 외부로부터 수신하거나 외부로 전송하는 네트워크 장치이다. L0의 하위 네트워크 장치로는 L1-1 및 L1-2가 구성되고, 각 네트워크 장치는 L0에 지정된 IP 대역 중 일부에 대한 트래픽 전송을 수행한다. L1-1 및 L1-2는 각각에 해당하는 IP 대역 중 일부에 대한 트래픽 전송을 수행하는 하위 네트워크 장치와 연결된다. 즉, 네트워크 시스템은 복수의 서브 네트워크로 구성되는 계층적 구조를 가지고, 계층적 구조를 트리로 나타내었을 때, 단말(leaf node)에 해당하는 네트워크 장치(도 1의 L2-2, L2-3, L3-1, L3-2, L3-3, L3-4 및 L3-5)는 트래픽을 수신하거나 송신하는 장치(PC, 서버 등)이 연결될 수 있다.Referring to FIG. 1, the network system is an IP (INTERNET PROTOCOL) network system, and is configured as a sub network so as to conform to the structure of an IP address. For example, L0 is a network device that receives or transmits traffic for a specified IP band from the outside. The lower network devices of L0 are composed of L1-1 and L1-2, and each network device performs traffic transmission for a part of the IP band designated in L0. L1-1 and L1-2 are connected to lower network devices that perform traffic transmission for some of the corresponding IP bands, respectively. That is, the network system has a hierarchical structure composed of a plurality of sub-networks, and when the hierarchical structure is represented by a tree, network devices corresponding to leaf nodes (L2-2, L2-3, L3-1, L3-2, L3-3, L3-4, and L3-5 may be connected to a device (PC, server, etc.) that receives or transmits traffic.
상술한 네트워크 시스템의 최상위 네트워크 장치(도1의 L0)와 외부 인터넷 망간의 경로에는 패킷 수집 장치(50)가 구비된다. 물론, 도 1에 예시된 패킷 수집 장치(50)의 위치는 하나의 예를 도시한 것일 뿐, 도 1과 달리 네트워크 시스템의 경로 중 어느 곳이든 위치할 수 있다. 패킷 수집 장치(50)는 네트워크 시스템으로 유입되거나 외부로 유출되는 트래픽의 패킷을 탭핑(TAPPING) 또는 미러링(MIRRORING)하여 패킷 분석 장치(100)로 전송한다.
The
도 2는 네트워크 분석 장치의 각 구성부를 예시한 블록도이고, 도 3은 패킷 분석 장치(100)의 해시 테이블 저장부(130)에서 저장하는 해시 테이블을 예시한 도면이다. 2 is a block diagram illustrating each component of the network analysis apparatus, and FIG. 3 is a diagram illustrating a hash table stored in the hash
도 2를 참조하면, 네트워크 분석 장치(100)는 트래픽 수신부(110), 패킷 식별부(120), 해시 테이블 저장부(130) 및 인덱스 테이블 저장부(140), 네트워크 구성 저장부(150) 및 출력부(150)를 포함한다.Referring to FIG. 2, the
트래픽 수신부(110)는 패킷 수집 장치(50)가 탭핑 또는 미러링한 패킷을 수신한다. 트래픽 수신부(110)는 버퍼를 구비하여 수신한 패킷을 저장한다. 이 때, 버퍼는 시스템이 처리 가능한 패킷 용량의 큐(QUEUE) 형식으로 패킷을 저장한다. 따라서, 네트워크 시스템이 DDos 공격을 받아 대량의 패킷이 수신되어 큐 용량 이상의 패킷이 수신되는 경우, 네트워크 분석 장치(100)의 작동이 중단되는 것을 방지할 수 있다.The
패킷 식별부(120)는 트래픽 수신부(110)로 수신한 패킷을 큐에서 추출한다. 패킷 식별부(120)는 추출한 패킷에 포함된 근원지 주소(Source address) 및 목적지 주소(Destination address)를 추출한다. 패킷 식별부(120)는 해시 테이블 저장부(130)에 저장된 해시 테이블을 검색하여 근원지 주소 또는 목적지 주소가 해시 테이블에 포함된 각 장치 중 단말 노드의 IP 대역에 포함되어 있는지 확인한다. 근원지 주소가 포함되는 단말 노드의 IP 대역이 존재하는 경우, 패킷 식별부(120)는 해당 패킷을 상향 패킷(네트워크 시스템으로부터 외부로 유출되는 패킷)으로 판단한다. 반대로 목적지 주소가 포함되는 단말 노드의 IP 대역이 존재하는 경우, 패킷 식별부(120)는 해당 패킷을 하향 패킷(외부로부터 네트워크 시스템으로 유입되는 패킷)으로 판단한다. 또한 근원지 주소 및 목적지 주소에 상응하는 단말 노드의 IP 대역이 존재하지 않는 경우, 패킷 식별부(120)는 해당 패킷이 변조(Spoofing) 공격을 위한 패킷일 가능성이 있는 것으로 판단한다. 예를 들어, 패킷 식별부(120)는 추출한 패킷의 목적지 주소가 도 1의 L0, L1-1, L2-1의 IP 대역에 속하고, L3-1 및 L3-2의 IP 대역에 속하지 않는 경우, 해당 패킷을 L2-1에 대한 변조 공격을 위한 패킷으로 판단한다.The
패킷 식별부(120)는 해당 패킷이 상향 또는 하향 트래픽인 경우, 해당 패킷이 상향 또는 하향 트래픽인 것에 대한 정보인 패킷 정보를 생성하여 인덱스 테이블 저장부(140)의 인덱스 테이블에 저장한다. 이 때, 패킷 식별부(120)는 해시 테이블의 IP 대역 및 단말 정보를 참조하여 해당 패킷에 상응하는 단말 노드에 해당하는 네트워크 장비를 식별하고, 단말 노드에 상응하는 네트워크 장비의 인덱스 테이블에 패킷 정보를 저장한다. 예를 들어, 특정 패킷이 L0, L1-1 및 L2-1을 거쳐 L3-1로 전송되었다고 가정하면, 패킷 식별부(120)는 해당 패킷의 근원지 주소 또는 목적지 주소가 속하는 IP 대역에 상응하는 네트워크 장치를 해시 테이블을 참조하여 검색하고, 검색된 네트워크 장치 중 해시 테이블의 단말 정보를 참조하여 ‘yes’인 네트워크 장치(L3-1)를 해당 패킷에 상응하는 단말 노드로 식별할 수 있다. 패킷 식별부(120)는 L3-1의 메모리 주소가 가리키는 인덱스 테이블에 패킷 정보를 저장한다. When the packet is uplink or downlink traffic, the
또한 패킷 식별부(120)는 해당 패킷이 변조 공격을 위한 패킷일 가능성이 있는 경우, 해당 패킷이 변조 공격을 위한 패킷임을 경고하는 경고 메시지를 생성하여 출력부(160)를 통해 사용자에게 표시할 수 있다. In addition, if there is a possibility that the packet is a packet for a tamper attack, the
해시 테이블 저장부(130)는 네트워크 시스템을 구성하는 각 네트워크 장치에 상응하는 IP 대역 및 인덱스 테이블의 주소를 포함하는 해시 테이블을 저장한다. 도 3에 예시된 해시 테이블은 각 네트워크 장치의 식별 정보, 네트워크 장비를 통해 트래픽이 전송될 IP 대역, 해당 네트워크 장치가 네트워크 시스템의 구조에서 단말(Leaf)에 해당하는 노드인지에 대한 정보인 단말 정보, 사용하는 포트 번호 및 네트워크 장비에 상응하는 패킷 정보가 저장될 인덱스 테이블의 인덱스 테이블의 주소를 저장하는 필드를 포함한다. The hash
인덱스 테이블 저장부(140)는 각 단말 노드에 해당하는 네트워크 장치에 상응하는 인덱스 테이블을 저장한다. 인덱스 테이블은 해당 네트워크 장치에 상응하는 패킷 정보를 포함한다. 이 때, 인덱스 테이블 저장부(140)에 저장된 각 인덱스 테이블이 저장되는 메모리 주소는 해시 테이블 저장부(130)에 저장된 해시 테이블에 저장된다. The index
네트워크 구성 저장부(150)는 네트워크 시스템의 계층적 구조를 나타내는 네트워크 구성 정보를 저장한다. 이 때, 네트워크 구성 정보는 각 네트워크 장치의 사용 가능한 포트(PORT), 주석, IP 대역, 사용 용도 및 상위 장치의 식별 정보를 포함할 수 있다. The network
출력부(160)는 해시 테이블 저장부(130)에 저장된 해시 테이블 저장부(130)를 참조하여 네트워크 장치에 상응하는 인덱스 테이블의 주소를 검출하고, 검출된 인덱스 테이블의 주소에 따라 인덱스 테이블을 참조하여 각 네트워크 장치에 상응하는 패킷 정보를 추출한다. 출력부(160)는 추출된 패킷 정보를 사용자에게 제공한다. 이 때, 출력부(160)는 네트워크 구성 저장부(150)에 저장된 네트워크 구조 정보의 상위 장치 식별 정보를 참조하여 각 네트워크 장치를 트리 형식으로 표시하고, 트리의 각 노드에 상응하는 패킷 정보를 표시할 수 있다. 출력부(160)가 패킷 정보를 표시하는 것에 대해서는 추후 도 6를 참조하여 상세히 설명하도록 한다.The
상술한 바와 같이 출력부(160)는 해시 테이블에 저장된 인덱스 테이블의 주소를 참조하여 패킷 정보를 추출하기 때문에 패킷 정보의 검색을 빠르게 수행할 수 있다. 또한 패킷 식별부(120)는 해시 테이블에 저장된 인덱스 테이블의 주소에 따라 인덱스 테이블에 패킷 정보를 저장하기 때문에 패킷 정보를 빠르게 저장할 수 있다.As described above, since the
지금까지, 패킷 분석 장치(100)의 각 기능부에 대해 설명하였다. 이하 해시 테이블 저장부(130)에서 저장하는 해시 테이블에 대해 상세히 설명하도록 한다.
The functional units of the
도 4는 패킷 분석 장치가 네트워크 시스템으로 유입 또는 외부로 유출되는 트래픽의 패킷을 분석하는 방법을 예시한 순서도이다.4 is a flowchart illustrating a method of analyzing a packet of traffic flowing into or out of a network analysis apparatus.
단계 410에서 패킷 분석 장치는 패킷을 패킷 수집 장치(50)로부터 수신한다.In
단계 420에서 패킷 분석 장치는 단계 410에서 수신한 패킷을 버퍼에 저장한다. 이 때, 패킷이 저장되는 버퍼의 자료 구조는 큐일 수 있다. In
단계 430에서 패킷 분석 장치는 버퍼에 저장된 하나의 패킷을 추출하고, 추출된 패킷의 근원지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하는지 해시 테이블을 참조하여 확인한다.In
단계 430에서 근원지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하는 경우, 단계 440에서 패킷 분석 장치는 해당 패킷은 상향 트래픽의 패킷으로 판단한다.If there is a network device corresponding to the terminal node in charge of the IP band including the source address in
단계 430에서 근원지 주소가 포함된 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하지 않는 경우, 단계 450에서 패킷 분석 장치는 추출된 패킷의 목적지 주소가 포함되는 IP 대역을 담당하는 네트워크 장치가 존재하는지 해시 테이블을 참조하여 확인한다.If there is no network device corresponding to the terminal node in charge of the IP band including the source address in
단계 450에서 목적지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하지 않는 경우, 단계 460에서 패킷 분석 장치는 해당 패킷이 변조 공격임을 경고 메시지를 표시한다.If there is no network device corresponding to the terminal node in charge of the IP band including the destination address in
단계 450에서 목적지 주소가 포함되는 IP 대역을 담당하는 단말 노드에 해당하는 네트워크 장치가 존재하는 경우, 단계 470에서 패킷 분석 장치는 해당 패킷을 하향 트래픽의 패킷으로 판단한다.If there is a network device corresponding to the terminal node in charge of the IP band including the destination address in
단계 480에서 패킷 분석 장치는 해당 패킷이 상향 또는 하향 패킷인 여부에 대한 정보를 포함하는 패킷 정보를 생성하여 인덱스 테이블에 저장한다.In
단계 490에서 패킷 분석 장치는 인덱스 테이블에 저장된 패킷 정보를 확인하여 통계 정보를 생성한다. 이 때, 통계 정보는 단말 노드에 상응하는 각 IP 별로 패킷 정보에 따른 상향 트래픽 및 하향 트래픽 별 패킷 수, bps(bit per second), pps(packet per second) 등의 패킷 정보를 이용하여 산출할 수 있는 통계치를 나타내는 정보이다.In
단계 495에서 패킷 분석 장치는 단계 490에서 생성한 통계 정보를 트리 형식의 GUI(Graphic User Interface)를 통해 표시한다. In
이하 도 5를 참조하여 통계 데이터를 표시하는 과정을 상세히 설명하도록 한다.
Hereinafter, a process of displaying statistical data will be described in detail with reference to FIG. 5.
도 5는 패킷 분석 장치가 패킷을 분석하여 생성된 통계 데이터를 표시한 화면을 예시한 도면이다.5 is a diagram illustrating a screen in which a packet analyzing apparatus displays statistical data generated by analyzing a packet.
도 5를 참조하면, 패킷 분석 장치(100)의 출력부(160)는 네트워크 시스템의 최상위 네트워크 장치를 최상위 노드로 하는 트리를 생성한다. 즉, 출력부(160)는 최상위 노드의 자식 노드를 최상위 네트워크 장치의 하위 네트워크 장치로 설정하여 네트워크 시스템의 계층적 구성을 트리 형태로 사용자에게 표시할 수 있다. 예를 들어, 출력부(160)는 네트워크 구성 저장부(150)에 저장된 네트워크 구성 정보를 참조하여 네트워크 장치들의 계층적인 관계를 트리 형식으로 제1 표시 영역(610)에 표시할 수 있다. Referring to FIG. 5, the
또한 출력부(160)는 각 단말 노드에 상응하는 패킷 정보를 이용한 통계 정보를 제2 표시 영역(620)에 표시할 수 있다. 물론 도 5에 예시된 통계 정보 이외 다른 부가적인 정보를 제2 표시 영역(620)에 표시할 수 있음은 자명하다.In addition, the
출력부(160)는 패킷 식별부(120)에서 생성한 변조 공격임으로 판단한 패킷에 대한 경고 메시지를 제3 표시 영역(630)에 표시할 수 있다.
The
이제까지 본 발명에 대하여 그 실시 예를 중심으로 살펴보았다. 전술한 실시 예 외의 많은 실시 예들이 본 발명의 특허청구범위 내에 존재한다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the embodiment for the present invention. Many embodiments other than the above-described embodiments are within the claims of the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. The disclosed embodiments should, therefore, be considered in an illustrative rather than a restrictive sense. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
Claims (10)
각 네트워크 장치에 상응하는 인덱스 테이블을 저장하는 인덱스 테이블 저장부;
상기 네트워크 장치에 상응하는 IP 대역과 상기 인덱스 테이블이 저장되는 메모리 주소를 포함하는 해시 테이블을 저장하는 해시 테이블 저장부; 및
상기 패킷의 근원지 주소 또는 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 또는 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하고, 상기 패킷 정보를 상기 인덱스 테이블에 저장하는 패킷 식별부
를 포함하는 패킷 분석 장치.
A traffic receiver for receiving a packet;
An index table storage unit for storing an index table corresponding to each network device;
A hash table storage unit for storing a hash table including an IP band corresponding to the network device and a memory address where the index table is stored; And
When the source address or the destination address of the packet belongs to the IP band, the packet identification unit for generating packet information indicating that the packet is a packet of upstream or downstream traffic, and stores the packet information in the index table
Packet analysis device comprising a.
상기 패킷 식별부는 상기 패킷의 근원지 주소 또는 목적지 주소가 단말 노드에 해당하는 상기 네트워크 장치의 상기 IP 대역에 속하지 않는 경우, 상기 패킷이 변조 공격임을 경고하는 메시지를 생성하는 것을 특징으로 하는 패킷 분석 장치.
The method according to claim 1,
And, if the source address or the destination address of the packet does not belong to the IP band of the network device corresponding to the terminal node, generating a message to warn that the packet is a tampering attack.
상기 패킷 식별부는 상기 패킷 정보를 상기 패킷의 근원지 주소 또는 목적지 주소가 속한 IP 대역에 상응하는 상기 네트워크 장치의 인덱스 테이블에 저장하는 것을 특징으로 하는 패킷 분석 장치.
The method according to claim 1,
And the packet identification unit stores the packet information in an index table of the network device corresponding to the IP band to which the source address or the destination address of the packet belongs.
상기 네트워크 장치를 노드로 하는 트리에 상기 패킷 정보를 매칭시켜 표시하는 출력부를 더 포함하는 패킷 분석 장치.
The method according to claim 1,
And an output unit for matching and displaying the packet information in a tree including the network device as a node.
상기 트래픽 수신부는 상기 패킷을 큐로 구성된 버퍼에 저장하는 것을 특징으로 하는 패킷 분석 장치.
The method according to claim 1,
The traffic receiver stores the packet in a buffer consisting of a queue.
패킷을 수신하는 단계;
상기 패킷의 근원지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 상향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계;
상기 패킷의 목적지 주소가 상기 IP 대역에 속하는 경우, 상기 패킷이 하향 트래픽의 패킷임을 나타내는 패킷 정보를 생성하는 단계;
상기 패킷 정보를 상기 근원지 주소 또는 상기 목적지 주소가 속한 IP 대역에 상응하는 네트워크 장치의 인덱스 테이블에 저장하는 단계
를 포함하는 패킷 분석 방법.
In a method for analyzing a packet by the packet analysis device,
Receiving a packet;
Generating packet information indicating that the packet is a packet of uplink traffic when the source address of the packet belongs to the IP band;
Generating packet information indicating that the packet is a packet of downlink traffic when a destination address of the packet belongs to the IP band;
Storing the packet information in an index table of a network device corresponding to an IP band to which the source address or the destination address belongs.
Packet analysis method comprising a.
상기 패킷의 근원지 주소 또는 목적지 주소가 단말 노드에 해당하는 상기 네트워크 장치의 상기 IP 대역에 속하지 않는 경우, 상기 패킷이 변조 공격임을 경고하는 메시지를 표시하는 단계를 더 포함하는 패킷 분석 방법.
The method of claim 6,
And if the source address or the destination address of the packet does not belong to the IP band of the network device corresponding to the terminal node, displaying a message warning that the packet is a tampering attack.
상기 패킷 정보를 상기 패킷의 근원지 주소 또는 목적지 주소가 속한 IP 대역에 상응하는 상기 네트워크 장치의 인덱스 테이블에 저장하는 단계를 더 포함하는 패킷 분석 방법.
The method of claim 6,
And storing the packet information in an index table of the network device corresponding to an IP band to which the source address or the destination address of the packet belongs.
상기 네트워크 장치를 노드로 하는 트리에 상기 패킷 정보를 매칭시켜 표시하는 단계를 더 포함하는 패킷 분석 방법.
The method of claim 6,
And matching and displaying the packet information in a tree having the network device as a node.
상기 패킷을 수신하는 단계는
상기 패킷을 수신하여 큐로 구성된 버퍼에 저장하는 단계인 것을 특징으로 하는 패킷 분석 방법.
The method of claim 6,
Receiving the packet
Receiving the packet and storing the packet in a buffer consisting of a queue.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100072130A KR20120010535A (en) | 2010-07-26 | 2010-07-26 | Apparatus and method for analyzing packet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100072130A KR20120010535A (en) | 2010-07-26 | 2010-07-26 | Apparatus and method for analyzing packet |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20120010535A true KR20120010535A (en) | 2012-02-03 |
Family
ID=45835014
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100072130A KR20120010535A (en) | 2010-07-26 | 2010-07-26 | Apparatus and method for analyzing packet |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20120010535A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101455288B1 (en) * | 2013-05-08 | 2014-11-03 | 고려대학교 산학협력단 | Apparatus and method for analyzing traffic |
KR20190088344A (en) * | 2018-01-18 | 2019-07-26 | 주식회사맥데이타 | Network-related new device registration method and apparatus |
US11362922B2 (en) | 2018-01-18 | 2022-06-14 | Magdata Inc. | Method, apparatus and system for diagnosing network performance |
-
2010
- 2010-07-26 KR KR1020100072130A patent/KR20120010535A/en not_active Application Discontinuation
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101455288B1 (en) * | 2013-05-08 | 2014-11-03 | 고려대학교 산학협력단 | Apparatus and method for analyzing traffic |
KR20190088344A (en) * | 2018-01-18 | 2019-07-26 | 주식회사맥데이타 | Network-related new device registration method and apparatus |
US11362922B2 (en) | 2018-01-18 | 2022-06-14 | Magdata Inc. | Method, apparatus and system for diagnosing network performance |
US11902135B2 (en) | 2018-01-18 | 2024-02-13 | Magdata Inc. | Method, apparatus and system for diagnosing network performance |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2313959T3 (en) | SECURITY CAMERA FOR A NETWORK. | |
Zhou et al. | Exploiting the vulnerability of flow table overflow in software-defined network: Attack model, evaluation, and defense | |
US20100262873A1 (en) | Apparatus and method for dividing and displaying ip address | |
JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
KR102129375B1 (en) | Deep running model based tor site active fingerprinting system and method thereof | |
CN103840976B (en) | Communication means, light device and the network equipment | |
US20150036510A1 (en) | Method and device for measuring ethernet performance | |
CN101626323A (en) | Method and device for monitoring network data flow | |
CN106789625A (en) | A kind of loop detecting method and device | |
JP6081386B2 (en) | Information sharing apparatus, information sharing method, and information sharing program | |
CN102546117A (en) | Frame loss measuring method, frame loss measuring device and frame loss measuring system | |
CN104717105A (en) | Industrial sensor network data repeated detecting method based on standard ISA 100.11a | |
CN104579788B (en) | A kind of location of mistake method of distributed dynamic route network | |
CN100561954C (en) | Method, system and the equipment of control detection of connectivity | |
KR20120010535A (en) | Apparatus and method for analyzing packet | |
CN115174676A (en) | Convergence and shunt method and related equipment thereof | |
CN104883362A (en) | Method and device for controlling abnormal access behaviors | |
US20160248652A1 (en) | System and method for classifying and managing applications over compressed or encrypted traffic | |
CN106330616A (en) | Method of realizing railway data business classification monitoring | |
CN101471817B (en) | Method, system and equipment for monitoring flux of connectionless IP network | |
CN107210969B (en) | Data processing method based on software defined network and related equipment | |
KR20110067871A (en) | Network access apparatus and method for watching and controlling traffic using oam packet in ip network | |
CN110784375B (en) | Network data monitoring method and device, electronic equipment and storage medium | |
CN105681487A (en) | Method and device for detecting NAT device | |
CN102752169B (en) | Transmitting, monitoring method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |