KR20120038882A - 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치 - Google Patents

네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치 Download PDF

Info

Publication number
KR20120038882A
KR20120038882A KR1020110030873A KR20110030873A KR20120038882A KR 20120038882 A KR20120038882 A KR 20120038882A KR 1020110030873 A KR1020110030873 A KR 1020110030873A KR 20110030873 A KR20110030873 A KR 20110030873A KR 20120038882 A KR20120038882 A KR 20120038882A
Authority
KR
South Korea
Prior art keywords
traffic information
service
traffic
port
port number
Prior art date
Application number
KR1020110030873A
Other languages
English (en)
Inventor
장범환
정치윤
손선경
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US13/272,687 priority Critical patent/US8775613B2/en
Publication of KR20120038882A publication Critical patent/KR20120038882A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

트랜스포트 레이어 포트 번호의 연속성과 발생빈도의 균등성을 이용한 네트워크 이상상황 탐지 시스템 및 방법은, 외부의 트래픽 플로우 생성 장치에 의해 발생되는 트래픽 플로우를 수집하거나 또는 외부의 트래픽 정보 데이터베이스의 트래픽 플로우 정보를 참조하여 네트워크 서비스로 트래픽 플로우를 군집화하는 트래픽 특성 수집/추출부가 필요하며, 네트워크 서비스로 군집화된 트래픽 플로우들의 중요 속성인 트랜스포트 레이어 포트번호들의 연속성과 발생 빈도의 균등성을 표시 및 분석하여 네트워크 공격 유무를 판단하는 서비스 이상 표시/판단부가 필요하다.

Description

네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치{METHOD AND SYSTEM FOR PROVIDING NETWORK MONITORING, SECURITY EVENT COLLECTION APPARATUS AND SERVICE ABNORMALITY DETECTION APPARATUS FOR NETWORK MONITORING}
본 발명은 TCP/IP 트랜스포트 레이어 프로토콜 포트번호(transport layer protocol port number)의 연속성(continuity)과 발생빈도의 균등성(uniformity)을 이용하여 네트워크 서비스의 건전성을 탐지하기 위한 것으로, 특히 네트워크의 트래픽 플로우들로 이루어진 서비스 모습이 부자연스럽거나 혹은 인위적으로 형성됨을 시각적으로 표시 및 탐지하여 기존 서버의 모습과 네트워크 공격의 모습을 구분하는데 적합한 네트워크 모니터링 기술에 관한 것이다.
종래의 트래픽을 이용한 네트워크 이상상황 탐지 기술은 네트워크(또는 시스템) 주소, 프로토콜, 포트번호, 패킷 개수 등을 이용하여 해당 항목의 추이를 분석하거나 데이터를 일정한 규칙에 따라 좌표평면 또는 기하학적인 도형으로 표현하여 비정상적인 상황을 표시하는 경우가 대부분이었다. 예를 들면, 2차원 좌표계에서 X축을 송신지의 주소(또는 포트), Y축을 수신지의 주소(또는 포트)로 설정하여 트래픽의 송신지와 수신지의 상관관계를 표시하거나 그 발생빈도를 표현하여 이상상황을 추측 및 탐지한다.
이와 같은 방법은, 표시되는 네트워크 상태 이미지 또는 그래프를 활용하기 때문에 트래픽의 이상 유무 정도만을 탐지(즉, 다수의 정상 서버들과 네트워크 공격들을 포함)하게 되고 네트워크 서비스를 제공하는 정상적인 서버와 공격을 유발하고 있는 트래픽들을 정확히 구분 및 표현하기가 어렵기 때문에, 이상 상황에 따른 대응 방법을 제시하기는 불가능하며 관리자가 이상 현상을 유발하는 유해 트래픽을 찾아내어 대응하는 데까지 걸리는 시간이 더욱 길어져서 그 피해가 크다는 문제가 있다.
게다가, 단일 공격이 아닌 복수 개의 공격이 동시에 진행되거나 또는 기존에 없던 새로운 공격이 발생할 경우 공격의 탐지와 표시는 더욱 어렵게 된다.
이에 본 발명의 실시예에서는, 네트워크 서비스를 구성하는 트래픽 플로우들의 중요 속성인 트랜스포트 레이어 포트번호들의 연속성과 발생빈도의 균등성을 분석 및 표시하여 해당 서비스가 인위적으로 생성된 트래픽들로 구성되었는지 또는 정상적인 형태로 구성되었는지를 신속히 파악함으로써 현재 서비스가 정상적인 서버들과의 통신인지 네트워크 공격인지를 정확하게 탐지 및 직관적으로 인지하는 장치 및 방법을 제공하고자 한다.
본 발명의 실시예에 따른 네트워크 모니터링 시스템은, 트래픽 정보를 발생하는 트래픽 정보 생성 장치와, 기 저장된 트래픽 정보를 참조하여 상기 트래픽 정보 생성 장치에 의해 발생되는 트래픽 정보를 수집하고, 수집되는 상기 트래픽 정보를 군집화한 후 서비스 정보를 추출하는 보안이벤트 수집 장치와, 상기 보안이벤트 수집 장치로부터 추출된 서비스 정보들의 트랜스포트 레이어의 포트번호와 상기 트랜스포트 레이어의 발생빈도를 검출하고, 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단하여 서비스 이상상황을 표시하는 서비스 이상상황 탐지 장치를 포함할 수 있다.
여기서, 상기 트래픽 정보는, 트래픽 플로우 또는 트래픽 넷플로우를 포함할 수 있다.
본 발명의 실시예에 따른 네트워크 모니터링을 위한 보안이벤트 수집 장치는, 트래픽 정보 생성 장치에 의해 발생되는 트래픽 정보를 수집하는 트래픽 정보 수집부와, 트래픽 정보 데이터베이스를 통해 기 저장된 트래픽 정보들을 참조하는 트래픽 정보 참조부와, 상기 트래픽 정보 수집부에 의해 수집되고 상기 트래픽 정보 참조부에 의해 참조된 트래픽 정보들을 군집화한 후 서비스 정보를 추출하는 트래픽 정보 군집부를 포함할 수 있다.
여기서, 상기 트래픽 정보 군집부는, 속성 정보에서 포트 정보가 적어도 하나 이상 포함되도록 상기 트래픽 정보들을 군집화하는 것을 특징으로 할 수 있다.
또한, 상기 속성 정보는, 프로토콜 또는 송신지주소 또는 송신지포트 또는 수신지포트 또는 수신지주소 중 적어도 하나 이상을 포함할 수 있다.
또한, 상기 트래픽 정보는, 트래픽 플로우 또는 트래픽 넷플로우를 포함할 수 있다.
본 발명의 실시예에 따른 네트워크 모니터링을 위한 서비스 이상상황 탐지 장치는, 보안이벤트 수집 장치로부터 추출된 서비스 정보들의 트랜스포트 레이어의 포트번호를 검출하는 포트번호 검출부와, 상기 트랜스포트 레이어의 발생빈도를 검출하는 발생빈도 검출부와, 상기 포트번호 검출부 및 발생빈도 검출부에 의해 검출된 결과에 따라 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단하고, 판단 결과를 외부로 표시하는 이상상황 판단 및 표시부를 포함할 수 있다.
여기서, 상기 트랜스포트 레이어는, 인터넷 프로토콜 기반의 트랜스포트 레이어를 포함할 수 있다.
또한, 상기 이상상황 판단 및 표시부는, 2차원 좌표계에서 X축은 상기 포트번호를, Y축은 상기 발생빈도로 정의하여 송신지 포트 및 수신지 포트를 점 좌표로 표시하는 것을 특징으로 할 수 있다.
또한, 상기 이상상황 판단 및 표시부는, 허프 트랜스폼(Hough Transform) 기반의 라인 검출 기법을 사용하여 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단할 수 있다.
또한, 상기 이상상황 판단 및 표시부는, 연결 영역 검출 기법(Connected Component Labeling, CCL)을 사용하여 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단할 수 있다.
또한, 상기 서비스 정보는, 프로토콜 또는 송신지주소 또는 송신지포트 또는 수신지포트 또는 수신지주소 중 적어도 하나 이상을 포함할 수 있다.
본 발명의 실시예에 따른 네트워크 모니터링 방법은, 트래픽 정보 생성 장치에 의해 발생되는 트래픽 정보를 수집하거나 트래픽 정보 데이터베이스의 트래픽 정보를 참조하여 네트워크 서비스 정보로 트래픽 정보를 군집화하는 과정과, 상기 네트워크 서비스 정보로 군집화된 트래픽 정보들의 트랜스포트 레이어의 포트번호와 발생빈도를 검출하는 과정과, 상기 포트번호의 연속성과 상기 발생빈도의 균등성에 따른 결과를 외부로 표시하는 과정을 포함할 수 있다.
여기서, 상기 트래픽 정보는, 트래픽 플로우 또는 트래픽 넷플로우를 포함할 수 있다.
또한, 상기 네트워크 서비스 정보는, 프로토콜 또는 송신지주소 또는 송신지포트 또는 수신지포트 또는 수신지주소 중 적어도 하나 이상을 포함할 수 있다.
또한, 상기 트랜스포트 레이어는, 인터넷 프로토콜 기반의 트랜스포트 레이어를 포함할 수 있다.
또한, 상기 표시하는 과정은, 2차원 좌표계에서 X축은 상기 포트번호를, Y축은 상기 발생빈도로 정의하여 송신지 포트 및 수신지 포트를 점 좌표로 표시하는 과정을 포함할 수 있다.
본 발명은 트랜스포트 레이어 포트번호의 특징을 이용하여 네트워크 서비스의 건전성을 탐지하기 때문에 사용자의 개입이 필요하지 않다는 장점이 있다. 또한, 이상 상황이 발생하면 자동으로 기존 서버의 모습과 네트워크 공격의 모습을 정확하게 구분하여 사용자에게 통보할 수 있기 때문에, 사용자가 이상 상황을 신속하게 인지하고 대처할 수 있다는 장점이 있다.
도 1은 본 발명의 실시예에 따른 네트워크 모니터링 시스템에 대한 구성 블록도,
도 2는 본 발명의 실시예에 따라 도 1의 서비스 이상상황 탐지 장치(200)를 통해 표시 및 분석되는 포트번호 연속성과 발생빈도 균등성을 예시적으로 나타낸 그래프,
도 3은 본 발명의 실시예에 따라 도 1의 서비스 이상상황 탐지 장치(200)를 통해 분석 및 표시되는 포트번호 연속성과 발생빈도 균등성을 나타낸 그래프로서, 예를 들어 슬래머 웜(slammer worm) 공격을 예시한 그래프,
도 4는 본 발명의 실시예에 따라 도 1의 서비스 이상상황 탐지 장치(200)를 통해 분석 및 표시되는 포트번호 연속성과 발생빈도 균등성을 나타낸 그래프로서, 예를 들어 도스(Denial of Service, DoS) 공격을 예시한 그래프.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
본 발명은 트랜스포트 레이어 포트번호(transport layer port number)의 연속성(continuity)과 발생빈도의 균등성(uniformity)을 이용하여 네트워크 이상상황을 탐지하기 위한 것으로, 이를 위해 본 발명에서는 기본적인 트래픽의 5가지 속성들, 예를 들어 프로토콜, 송신지주소, 송신지포트, 수신지포트, 수신지주소 등을 포함하고 다양한 트래픽 정보들을 활용할 수 있다.
이하에서 설명하는 본 발명의 실시예에서는, 트래픽 정보로 플로우(flow) 또는 넷플로우(netflow)를 활용한 방법을 설명하기로 하며, 다만 이러한 설명은 하나의 예시일 뿐, 본 발명에 적용되는 방법은 다양한 트래픽 정보를 활용한 기술로 확장이 가능함을 주지할 필요가 있다.
이를 위해, 본 발명에 따른 트랜스포트 레이어 포트번호의 연속성과 발생빈도의 균등성을 이용한 네트워크 모니터링 기술은, 외부의 트래픽 플로우 생성기에 의해 발생되는 트래픽 플로우를 수집하거나 또는 외부의 트래픽 정보 저장소의 트래픽 플로우 정보를 참조하여 네트워크 서비스로 트래픽 플로우를 군집화하는 트래픽 특성 수집부 및 추출부가 필요하며, 네트워크 서비스로 군집화된 트래픽 플로우들의 중요 속성인 트랜스포트 레이어 포트번호들의 연속성과 발생빈도의 균등성을 표시 및 분석하여 네트워크 공격 유무를 판단하는 서비스 이상 표시부 및 판단부가 필요할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 포트번호의 연속성과 발생빈도의 균등성을 이용한 네트워크 모니터링 시스템을 도시한 구성 블록도로서, 트래픽 정보 생성 장치(10), 보안이벤트 수집 장치(100), 서비스 이상상황 탐지 장치(200) 등을 포함할 수 있다.
도 1에 도시한 바와 같이, 트래픽 정보 생성 장치(10)는 외부 트래픽 정보, 예를 들어 플로우 또는 넷플로우 등을 활용한 트래픽 정보를 발생할 수 있다.
보안 이벤트 수집 장치(100)는 트래픽 정보 생성 장치(10)에 의해 발생되는 트래픽 플로우(또는 넷플로우)를 수집하여 트래픽 정보를 추출하고, 추출되는 트래픽 정보를 군집화한 후 서비스 정보를 추출하는 역할을 할 수 있다.
구체적으로, 보안 이벤트 수집 장치(100)는, 트래픽 정보 수집부(102), 트래픽 정보 참조부(104), 트래픽 정보 군집부(106) 등을 포함할 수 있다.
여기서, 트래픽 정보 수집부(102)는 트래픽 정보 생성 장치(10)에 의해 발생되는 트래픽 정보, 예컨대 트래픽 플로우(또는 넷플로우)를 수집하는 역할을 할 수 있다.
트래픽 정보 참조부(104)는 외부와 연결된 트래픽 정보 DB(Data Base)(108)를 통해 기 저장된 트래픽 정보들을 참조하고, 참조된 결과를 트래픽 정보 군집부(106)로 제공하는 역할을 할 수 있다.
트래픽 정보 군집부(106)는 트래픽 정보 수집부(102)에 의해 수집되고 트래픽 정보 참조부(104)에 의해 참조된 트래픽 정보들을 군집화한 후 서비스 정보를 추출하는 역할을 할 수 있다.
이때의 군집화는, 예를 들어 프로토콜, 송신지주소, 송신지포트, 수신지포트, 수신지주소 등과 같은 속성 정보들에서 포트 정보가 적어도 하나 이상 포함되도록, 즉 트래픽 속성 중 하나인 프로토콜을 이용하여 군집화하는 과정을 포함할 수 있다.
이러한 군집화를 통해, 예컨대 아래 7가지 형태의 서비스 정보들이 추출될 수 있다.
1. 송신지 주소, 송신지 포트
2. 송신지 주소, 수신지 포트
3. 송신지 주소, 수신지 주소
4. 송신지 포트, 수신지 주소
5. 수신지 포트, 수신지 주소
6. 송신지주소, 수신지포트, 수신지주소
7. 송신지주소, 송신지포트, 수신지주소
이와 같이 보안이벤트 수집 장치(100)에 의해 최종 추출된 서비스 정보들은 서비스 이상상황 탐지 장치(200)로 제공될 수 있다.
서비스 이상상황 탐지 장치(200)는 보안이벤트 수집 장치(100)로부터 추출된 서비스 정보들의 속성 정보, 예컨대 트랜스포트 레이어의 포트번호와 트랜스포트 레이어의 발생빈도를 검출하고, 포트번호의 연속성과 발생빈도의 균등성을 각각 판단하여 서비스 이상상황(예를 들어, 네트워크 공격 여부 등)을 표시하는 역할을 할 수 있다.
구체적으로, 서비스 이상상황 탐지 장치(200)는, 포트번호 검출부(202), 발생빈도 검출부(204), 이상상황 판단 및 표시부(206) 등을 포함할 수 있다.
여기서, 포트번호 검출부(202)는 보안이벤트 수집 장치(100)로부터 추출된 서비스 정보들의 트랜스포트 레이어의 포트번호를 검출하는 역할을 할 수 있다.
발생빈도 검출부(204)는 보안이벤트 수집 장치(100)로부터 추출된 서비스 정보들의 트랜스포트 레이어의 발생빈도를 검출하는 역할을 할 수 있다.
이상상황 판단 및 표시부(206)는 포트번호 검출부(202) 및 발생빈도 검출부(204)에 의해 검출된 결과에 따라 포트번호의 연속성 및 발생빈도의 균등성을 각각 판단하고, 판단 결과를 외부로 표시하는 역할을 할 수 있다.
이상상황 판단 및 표시부(206)에 의해 표시되는 포트번호의 연속성 및 발생빈도의 균등성에 대한 판단 결과는 도 2의 그래프와 같이 예시될 수 있다.
도 2의 2차원 좌표계에서 X축은 포트번호를, Y축은 발생빈도(세션 개수)로 정의하여 송신지 포트 및 수신지 포트를 점 좌표로 표시할 수 있다.
본 발명의 실시예에 따른 서비스 이상상황 탐지 장치(200)는 포트의 번호 연속성과 발생빈도 균등성을 판단하기 위해, 예를 들어 이미지 처리 분야에서 주로 사용되는 허프 트랜스폼(Hough Transform) 기반의 라인 검출 기법을 사용하여 포트번호가 연속되는지에 관한 연속성을 검출하고 발생빈도가 균등하게 분포하는지를 검출할 수 있다. 다만, 완전한 라인으로 연결되지 않는 경우가 외부의 원인에 의해 발생될 수 있기 때문에, 이미지 처리 분야의 또 다른 기법, 예를 들어 연결 영역 검출 기법(Connected Component Labeling, CCL)이 사용될 수 있으며, 이를 통해 연결 영역이 일정 크기를 넘는 경우에 인위적으로 발생된 포트들로 규정할 수 있다.
일반적으로 인위적으로 생성된 공격들, 예를 들어 포트 스캔 공격, 인터넷 웜, DoS 공격, DDoS(Distribute Denial of Service) 공격 등은 포트번호들이 연속적으로 발생하거나 발생빈도가 균등하게 분포하는 특징이 있다. 하지만, 포트번호를 하나씩 증가시키는 스캐닝의 경우에도 외부의 트래픽 플로우 생성 장치가 샘플링을 수행하게 되면, 포트번호가 완전히 연결되지 않고 끊어진 형태로 이미지 상에 표현될 수 있다. 따라서, 연결 영역이 존재하지 않는 경우에 대해서는 중심점에 대한 집중도를 사용하여 포트 스캐닝 여부를 판단할 수 있다.
도 3은 본 발명의 실시예에 따라 도 1의 서비스 이상상황 탐지 장치(200)를 통해 분석 및 표시되는 포트번호 연속성과 발생빈도 균등성을 나타낸 그래프로서, 예를 들어 슬래머 웜(slammer worm) 공격을 예시한 그래프이다.
도 3의 슬래머 웜 공격의 경우, 송신지 주소 및 송신지 포트로 군집화된 서비스를 표시 및 분석해 보면, 특정 송신지 포트에서 특정 수신지 포트로의 발생빈도가 매우 크서 비정상적인 서비스가 이루어짐을 알 수 있다.
도 4는 본 발명의 실시예에 따라 도 1의 서비스 이상상황 탐지 장치(200)를 통해 분석 및 표시되는 포트번호 연속성과 발생빈도 균등성을 나타낸 그래프로서, 예를 들어 도스(Denial of Service, DoS) 공격을 예시한 그래프이다.
도 4의 도스 공격의 경우, 트래픽 플로우를 대량으로 발생시키기 위해 송신지 포트를 일정 비율로 2회에 걸쳐 발생시킨 비정상적인 서비스인 것을 알 수 있다.
이상 설명한 바와 같이, 본 발명의 실시예에 의하면, 트래픽의 송신지 및 수신지 포트 번호의 연속성과 균등성을 이용하여 네트워크 서비스의 건전성을 쉽게 파악할 수 있으며, 특히 서비스를 제공하는 중요 서버들과 각종 네트워크 공격, 예를 들어 스캐닝 공격, 인터넷 웜 등을 용이하게 구분하여 탐지할 수 있도록 구현한 것이다.
100: 보안이벤트 수집 장치
102: 트래픽 정보 수집부
104: 트래픽 정보 참조부
106: 트래픽 정보 군집부
200: 서비스 이상상황 탐지 장치
202: 포트번호 검출부
204: 발생빈도 검출부
206: 이상상황 판단 및 표시부

Claims (17)

  1. 트래픽 정보를 발생하는 트래픽 정보 생성 장치와,
    기 저장된 트래픽 정보를 참조하여 상기 트래픽 정보 생성 장치에 의해 발생되는 트래픽 정보를 수집하고, 수집되는 상기 트래픽 정보를 군집화한 후 서비스 정보를 추출하는 보안이벤트 수집 장치와,
    상기 보안이벤트 수집 장치로부터 추출된 서비스 정보들의 트랜스포트 레이어의 포트번호와 상기 트랜스포트 레이어의 발생빈도를 검출하고, 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단하여 서비스 이상상황을 표시하는 서비스 이상상황 탐지 장치를 포함하는 네트워크 모니터링 시스템.
  2. 제 1 항에 있어서,
    상기 트래픽 정보는, 트래픽 플로우 또는 트래픽 넷플로우를 포함하는
    네트워크 모니터링 시스템.
  3. 트래픽 정보 생성 장치에 의해 발생되는 트래픽 정보를 수집하는 트래픽 정보 수집부와,
    트래픽 정보 데이터베이스를 통해 기 저장된 트래픽 정보들을 참조하는 트래픽 정보 참조부와,
    상기 트래픽 정보 수집부에 의해 수집되고 상기 트래픽 정보 참조부에 의해 참조된 트래픽 정보들을 군집화한 후 서비스 정보를 추출하는 트래픽 정보 군집부를 포함하는
    보안이벤트 수집 장치.
  4. 제 3 항에 있어서,
    상기 트래픽 정보 군집부는, 속성 정보에서 포트 정보가 적어도 하나 이상 포함되도록 상기 트래픽 정보들을 군집화하는 것을 특징으로 하는
    보안이벤트 수집 장치.
  5. 제 4 항에 있어서,
    상기 속성 정보는, 프로토콜 또는 송신지주소 또는 송신지포트 또는 수신지포트 또는 수신지주소 중 적어도 하나 이상을 포함하는
    보안이벤트 수집 장치.
  6. 제 3 항에 있어서,
    상기 트래픽 정보는, 트래픽 플로우 또는 트래픽 넷플로우를 포함하는
    보안이벤트 수집 장치.
  7. 보안이벤트 수집 장치로부터 추출된 서비스 정보들의 트랜스포트 레이어의 포트번호를 검출하는 포트번호 검출부와,
    상기 트랜스포트 레이어의 발생빈도를 검출하는 발생빈도 검출부와,
    상기 포트번호 검출부 및 발생빈도 검출부에 의해 검출된 결과에 따라 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단하고, 판단 결과를 외부로 표시하는 이상상황 판단 및 표시부를 포함하는
    서비스 이상상황 탐지 장치.
  8. 제 7 항에 있어서,
    상기 트랜스포트 레이어는, 인터넷 프로토콜 기반의 트랜스포트 레이어를 포함하는
    서비스 이상상황 탐지 장치.
  9. 제 7 항에 있어서,
    상기 이상상황 판단 및 표시부는, 2차원 좌표계에서 X축은 상기 포트번호를, Y축은 상기 발생빈도로 정의하여 송신지 포트 및 수신지 포트를 점 좌표로 표시하는 것을 특징으로 하는
    서비스 이상상황 탐지 장치.
  10. 제 7 항에 있어서,
    상기 이상상황 판단 및 표시부는, 허프 트랜스폼(Hough Transform) 기반의 라인 검출 기법을 사용하여 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단하는
    서비스 이상상황 탐지 장치.
  11. 제 7 항에 있어서,
    상기 이상상황 판단 및 표시부는, 연결 영역 검출 기법(Connected Component Labeling, CCL)을 사용하여 상기 포트번호의 연속성과 상기 발생빈도의 균등성을 각각 판단하는
    서비스 이상상황 탐지 장치.
  12. 제 7 항에 있어서,
    상기 서비스 정보는, 프로토콜 또는 송신지주소 또는 송신지포트 또는 수신지포트 또는 수신지주소 중 적어도 하나 이상을 포함하는
    서비스 이상상황 탐지 장치.
  13. 트래픽 정보 생성 장치에 의해 발생되는 트래픽 정보를 수집하거나 트래픽 정보 데이터베이스의 트래픽 정보를 참조하여 네트워크 서비스 정보로 트래픽 정보를 군집화하는 과정과,
    상기 네트워크 서비스 정보로 군집화된 트래픽 정보들의 트랜스포트 레이어의 포트번호와 발생빈도를 검출하는 과정과,
    상기 포트번호의 연속성과 상기 발생빈도의 균등성에 따른 결과를 외부로 표시하는 과정을 포함하는
    네트워크 모니터링 방법.
  14. 제 13 항에 있어서,
    상기 트래픽 정보는, 트래픽 플로우 또는 트래픽 넷플로우를 포함하는
    네트워크 모니터링 방법.
  15. 제 13 항에 있어서,
    상기 네트워크 서비스 정보는, 프로토콜 또는 송신지주소 또는 송신지포트 또는 수신지포트 또는 수신지주소 중 적어도 하나 이상을 포함하는
    네트워크 모니터링 방법.
  16. 제 13 항에 있어서,
    상기 트랜스포트 레이어는, 인터넷 프로토콜 기반의 트랜스포트 레이어를 포함하는
    네트워크 모니터링 방법.
  17. 제 13 항에 있어서,
    상기 표시하는 과정은, 2차원 좌표계에서 X축은 상기 포트번호를, Y축은 상기 발생빈도로 정의하여 송신지 포트 및 수신지 포트를 점 좌표로 표시하는 과정을 포함하는
    네트워크 모니터링 방법.
KR1020110030873A 2010-10-14 2011-04-04 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치 KR20120038882A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US13/272,687 US8775613B2 (en) 2010-10-14 2011-10-13 Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020100100148 2010-10-14
KR20100100148 2010-10-14

Publications (1)

Publication Number Publication Date
KR20120038882A true KR20120038882A (ko) 2012-04-24

Family

ID=46139478

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110030873A KR20120038882A (ko) 2010-10-14 2011-04-04 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치

Country Status (1)

Country Link
KR (1) KR20120038882A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447178B1 (ko) * 2014-06-25 2014-10-10 숭실대학교산학협력단 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법
KR101498647B1 (ko) * 2014-01-21 2015-03-11 (주)우산씨앤씨 보안관리 시스템 및 이를 이용한 보안 관리 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101498647B1 (ko) * 2014-01-21 2015-03-11 (주)우산씨앤씨 보안관리 시스템 및 이를 이용한 보안 관리 방법
KR101447178B1 (ko) * 2014-06-25 2014-10-10 숭실대학교산학협력단 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법

Similar Documents

Publication Publication Date Title
CN112651006B (zh) 一种电网安全态势感知系统
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
Fischer et al. Large-scale network monitoring for visual analysis of attacks
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
KR20200033092A (ko) 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
Kintzel et al. Monitoring large ip spaces with clockview
US9584533B2 (en) Performance enhancements for finding top traffic patterns
CN112074834A (zh) 用于运营技术系统的分析装置、方法、系统和存储介质
CN109962891A (zh) 监测云安全的方法、装置、设备和计算机存储介质
Mansmann et al. Visual support for analyzing network traffic and intrusion detection events using TreeMap and graph representations
KR20110011935A (ko) 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN110224970B (zh) 一种工业控制系统的安全监视方法和装置
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
CN113259316A (zh) 电力系统内部的攻击路径可视化方法、系统和电子设备
Zhang et al. Bridging the gap of network management and anomaly detection through interactive visualization
EP2936772A1 (en) Network security management
CN113938401A (zh) 一种舰艇网络安全可视化系统
Chang et al. An efficient network attack visualization using security quad and cube
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
KR20190027122A (ko) 네트워크 공격 패턴 분석 및 방법
KR20120038882A (ko) 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치
Teoh et al. Visual data analysis for detecting flaws and intruders in computer network systems
KR101940512B1 (ko) 공격특성 dna 분석 장치 및 그 방법
Kasemsri A survey, taxonomy, and analysis of network security visualization techniques

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination