KR20120071122A - 트래픽 분석 장치 - Google Patents

트래픽 분석 장치 Download PDF

Info

Publication number
KR20120071122A
KR20120071122A KR1020100132730A KR20100132730A KR20120071122A KR 20120071122 A KR20120071122 A KR 20120071122A KR 1020100132730 A KR1020100132730 A KR 1020100132730A KR 20100132730 A KR20100132730 A KR 20100132730A KR 20120071122 A KR20120071122 A KR 20120071122A
Authority
KR
South Korea
Prior art keywords
tcp
packet
unit
http
analysis
Prior art date
Application number
KR1020100132730A
Other languages
English (en)
Other versions
KR101510432B1 (ko
Inventor
강동원
이준경
윤상식
이왕봉
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR20100132730A priority Critical patent/KR101510432B1/ko
Priority to US13/333,248 priority patent/US8806189B2/en
Publication of KR20120071122A publication Critical patent/KR20120071122A/ko
Application granted granted Critical
Publication of KR101510432B1 publication Critical patent/KR101510432B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 트래픽 분석 장치에 관한 것으로, 세션별 연관 관계 추적을 통해 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반으로 웹 트래픽을 정밀하게 식별 및 분석할 수 있도록 구현하여 웹 트래픽을 효율적으로 분석할 수 있도록 한 것이다.

Description

트래픽 분석 장치{Apparatus for analizing traffic}
트래픽 분석 기술에 관련한 것으로, 특히 트래픽의 정확한 식별 및 세밀한 분석을 위한 트래픽 분석 장치에 관한 것이다.
현재까지는 트래픽 분석 기술은 웹(HTTP) 트래픽의 내용 기반의 정확한 식별과, 웹 트래픽의 특성인 요청(Request)과 응답(Response) 쌍(Pair)에 대한 고도의 세밀한 분석 정보를 제공하는데 한계가 있었다.
따라서, 본 발명자는 세션별 연관 관계 추적을 통한 웹 트래픽의 정확한 식별과, 세밀한 분석을 통한 효율적인 트래픽 분석 제어가 가능한 기술에 대한 연구를 하게 되었다.
본 발명은 세션별 연관 관계 추적을 통해 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반으로 웹 트래픽을 정밀하게 식별 및 분석할 수 있는 트래픽 분석 장치를 제공함을 그 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 트래픽 분석 장치가 트래픽 패킷으로부터 TCP 패킷을 분리하고, TCP 패킷에 대한 분석을 수행하고, 식별된 HTTP 패킷에 대한 분석을 수행하고, HTTP 세션 쌍(Pair)에 대한 분석을 수행하는 것을 특징으로 한다.
세션별 연관 관계 추적을 통해 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반으로 웹 트래픽을 정밀하게 식별 및 분석할 수 있으므로, 웹 트래픽을 효율적으로 분석할 수 있는 효과가 있다.
도 1 은 본 발명에 따른 트래픽 분석 장치의 일 실시예의 구성을 도시한 블럭도이다.
도 2 는 본 발명에 따른 트래픽 분석 장치의 필터링부의 일 실시예의 구성을 도시한 블럭도이다.
도 3 은 본 발명에 따른 트래픽 분석 장치의 TCP 분석부의 일 실시예의 구성을 도시한 블럭도이다.
도 4 는 본 발명에 따른 트래픽 분석 장치의 HTTP 분석부의 일 실시예의 구성을 도시한 블럭도이다.
도 5 는 본 발명에 따른 트래픽 분석 장치의 PAIR 분석부의 일 실시예의 구성을 도시한 블럭도이다.
도 6 은 본 발명에 따른 트래픽 분석 장치의 통합 관리부의 일 실시예의 구성을 도시한 블럭도이다.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.
본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명 명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1 은 본 발명에 따른 트래픽 분석 장치의 일 실시예의 구성을 도시한 블럭도이다. 도 1 에 도시한 바와 같이, 이 실시예에 따른 트래픽 분석 장치(100)는 필터링부(110)와, TCP 분석부(120)와, HTTP 분석부(130)와, PAIR 분석부(140)를 포함하여 이루어진다.
필터링부(110)는 트래픽 패킷을 필터링 규칙(Rule)에 따라 분석하여 TCP 패킷을 분리한다. 필터링 규칙(Rule)에는 어떤 패킷은 통과시키고, 어떤 패킷은 통과시키지 않고 제외할지 등의 필터링시 적용할 규칙을 기록한 것으로, 데이터베이스에 저장될 수 있다. 필터링부(110)의 구체적인 구성은 추후 설명한다.
TCP 분석부(120)는 필터링부에 의해 분리된 TCP 패킷에 대한 3-handshake(SYN, SYN/ACK, ACK) 정상/비정상 연결 상태를 식별하고, 정상적인 연결이 이루어진 TCP 패킷에 대한 패킷 분석을 수행한다. TCP 분석부(120)는 5-tuple(소스 IP 주소, 목적지 IP 주소, 프로토콜, 소스 포트 번호, 목적지 포트 번호) 기반으로 패킷 정보를 분석하는 부분으로, 구체적인 구성은 추후 설명한다.
HTTP 분석부(130)는 TCP 분석부(120)에 의해 분석된 TCP 패킷에 대한 HTTP 요청/응답(Request/Response) 헤더 내용 식별을 통해 HTTP 패킷인지 식별하고, 식별된 HTTP 패킷에 대한 분석을 수행한다. HTTP 분석부(130)는 내용 기반으로 패킷 정보를 분석하는 부분으로, 구체적인 구성은 추후 설명한다.
PAIR 분석부(140)는 HTTP 분석부(130)에 의해 분석된 HTTP 패킷에 대해 순서와 관련 없이 무작위로 식별되는 요청/응답을 순서에 맞게 쌍(Pair)이 되도록 정렬해주고, 쌍(Pair)에 대한 분석을 수행한다. PAIR 분석부(140)는 요청/응답(Request/Response) 기반으로 패킷 정보를 분석하는 부분으로, 구체적인 구성은 추후 설명한다.
따라서, 본 발명은 필터링부(110)에 의해 선택된 패킷에 대해 TCP 분석부(120)와, HTTP 분석부(130) 및 PAIR 분석부(140)를 통해 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반으로 웹 트래픽을 정밀하게 식별 및 분석할 수 있다.
한편, 발명의 부가적인 양상에 따르면, 트래픽 분석 장치(100)가 통합 관리부(150)를 더 포함할 수 있다. 통합 관리부(150)는 식별 세션별 연관 관계 추적 및 통합 통계를 통한 이상 탐지를 수행한다. 통합 관리부(150)의 구체적인 구성은 추후 설명한다.
따라서, 통합 관리부(150)를 통해 TCP 세션 및 HTTP 세션에 대한 연관 관계 추적을 통해 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반으로 웹 트래픽이 정밀하게 식별 및 분석되도록 하고, 통합적인 통계 정보를 이용해 이상 탐지를 수행함으로써 웹 트래픽을 보다 정밀하게 식별 및 분석할 수 있다.
도 2 는 본 발명에 따른 트래픽 분석 장치의 필터링부의 일 실시예의 구성을 도시한 블럭도이다. 도 2 에 도시한 바와 같이, 이 실시예에 따른 필터링부(110)는 패킷 분석부(111)와, 제외 규칙 적용부(112)와, 통과 규칙 적용부(113)를 포함한다.
패킷 분석부(111)는 트래픽 패킷을 분석하여 TCP 패킷을 추출하고, 트래픽 패킷 분석 결과를 저장한다. 패킷 분석부(111)는 패킷의 소스 IP 주소, 목적지 IP 주소, 프로토콜, 소스 포트 번호, 목적지 포트 번호 등을 분석해 TCP 패킷을 추출하고, 분석된 정보를 기반으로 TCP 패킷 추출과 관련한 통계정보를 생성하여 데이터베이스에 저장한다.
즉, 패킷 분석부(111)는 TCP 패킷만 다음 과정으로 진행되도록 하며, TCP 패킷이 아닌 데이터는 정해진 액션(Action)을 수행하도록 한다. 이 때, 액션은 패킷의 드랍(Drop), 포워드(Forward), 갱신(Modify), 덤프(Dump) 등일 수 있다.
제외 규칙 적용부(112)는 패킷 분석부(111)에 의해 출력되는 TCP 패킷에 대해 제외 규칙을 적용하여 제외 규칙에 매칭되는 TCP 패킷을 제외시키고, TCP 패킷 제외와 관련한 통계정보를 생성하여 데이터베이스에 저장한다.
제외 규칙 적용부(112)는 제외 규칙에 매칭되는 TCP 패킷은 정해진 액션(Action)을 수행하도록 한다. 이 때, 액션은 패킷의 드랍(Drop), 포워드(Forward), 갱신(Modify), 덤프(Dump) 등일 수 있다.
통과 규칙 적용부(113)는 제외 규칙 적용부(112)에 의해 출력되는 TCP 패킷에 대해 통과 규칙을 적용하여 통과 규칙에 매칭되는 TCP 패킷을 통과시키고, TCP 패킷 통과와 관련한 통계정보를 생성하여 데이터베이스에 저장한다.
통과 규칙 적용부(113)는 통과 규칙에 매칭되지 않은 TCP 패킷은 정해진 액션(Action)을 수행하도록 한다. 이 때, 액션은 패킷의 드랍(Drop), 포워드(Forward), 갱신(Modify), 덤프(Dump) 등일 수 있다.
따라서, 필터링부(110)는 패킷 분석부(111)와, 제외 규칙 적용부(112)와, 통과 규칙 적용부(113)를 통해 패킷을 식별 및 분석하기 전에 불필요한 패킷을 제거하여 목적하는 패킷들만 추후 과정에서 분석되도록 함으로써 패킷 식별 및 분석 효율을 향상시킨다.
한편, 발명의 부가적인 양상에 따르면, 필터링부(110)가 바이러스 규칙 적용부(114)를 더 포함할 수 있다. 바이러스 규칙 적용부(114)는 통과 규칙 적용부(113)에 의해 출력되는 TCP 패킷에 대해 바이러스 규칙을 적용하여 바이러스 규칙에 매칭되는 TCP 패킷을 제외시키고, 바이러스 규칙 적용과 관련한 통계정보를 생성하여 데이터베이스에 저장한다.
바이러스 규칙 적용부(114)는 바이러스 규칙에 매칭되는 TCP 패킷은 정해진 액션(Action)을 수행하도록 한다. 이 때, 액션은 패킷의 드랍(Drop), 포워드(Forward), 갱신(Modify), 덤프(Dump) 등일 수 있다.
따라서, 패킷을 식별 및 분석하기 전에 바이러스 규칙 적용부(114)를 통해 악의적인 TCP 패킷을 미리 제거할 수 있고, 정상적인 패킷들만 추후 과정에서 분석되도록 함으로써 안정적으로 패킷 식별 및 분석을 수행할 수 있도록 한다.
도 3 은 본 발명에 따른 트래픽 분석 장치의 TCP 분석부의 일 실시예의 구성을 도시한 블럭도이다. 도 3 에 도시한 바와 같이, 이 실시예에 따른 TCP 분석부(120)는 TCP 식별부(121)와, TCP 분석 수행부(122)를 포함한다.
TCP 식별부(121)는 TCP 패킷에 대한 3-handshake(SYN, SYN/ACK, ACK) 정상/비정상 연결 상태를 식별한다. 즉, TCP 식별부(121)는 TCP 플래그(Flag) 식별을 통해 TCP 세션을 관리하는데, TCP 세션 관리를 위해 3-handshake(SYN, SYN/ACK, ACK) 정상/비정상 연결 상태를 식별한다. 한편, TCP 식별부(121)가 TCP 세션 종료를 식별할 수 있다. 예컨대, TCP 식별부(121)가 TCP 플래그의 FIN, RST를 식별하여 TCP 세션 종료를 식별할 수 있다.
TCP 플래그는 연결 요청을 위한 SYN(Synchronization), 응답을 위한 ACK(Acknowledgement), 비정상적인 세션 연결 종료를 위한 RST(Reset), 수신한 데이터를 응용계층으로 바로 전달하기 위한 PSH(Push), 긴급 데이터를 위한 URG(Urgent), 정상적인 종료를 위한 FIN(Finish)로 이루어진다.
TCP 분석 수행부(122)는 TCP 식별부(121)에 의해 정상 연결 상태라 판단된 TCP 패킷에 대한 패킷 분석을 수행하고, 정상 연결 상태라 판단된 TCP 패킷에 대한 분석 결과를 저장한다.
TCP 분석 수행부(122)는 5-tuple(소스 IP 주소, 목적지 IP 주소, 프로토콜, 소스 포트 번호, 목적지 포트 번호) 기반으로 패킷 정보를 분석하고, 분석 결과를 데이터베이스에 통계정보로 저장한다. 그리고, 분석 완료 시점에 다음 단계 분석을 위한 HTTP 세션을 미리 생성한다.
5-tuple(소스 IP 주소, 목적지 IP 주소, 프로토콜, 소스 포트 번호, 목적지 포트 번호) 기반 분석은 이 출원전에 공지되어 수행되는 통상의 분석 기술이므로, 자세한 설명은 생략한다.
따라서, TCP 분석부(120)를 통해 5-tuple(소스 IP 주소, 목적지 IP 주소, 프로토콜, 소스 포트 번호, 목적지 포트 번호) 기반의 패킷 분석이 수행되고, 패킷 분석 결과가 통계정보로 저장된 후 다음 분석 과정이 진행되게 된다.
한편, 발명의 부가적인 양상에 따르면, TCP 분석부(120)가 TCP 조건 적용부(123)를 더 포함할 수 있다. TCP 조건 적용부(123)는 TCP 분석 수행부(122)에 의해 분석된 TCP 패킷에 대해 TCP 조건 규칙을 적용하여 규칙에 매칭되는 TCP 패킷을 제외시킨다.
즉, TCP 조건 적용부(123)를 통해 내용 기반(HTTP) 분석을 수행할지 여부에 대한 결정을 한다. TCP 조건 규칙은 내용 기반(HTTP) 분석을 수행할 필요가 없는 패킷을 제외시키기 위한 규칙으로, TCP 조건 규칙에 매칭되는 TCP 패킷은 제외시키고, 매칭되지 않는 TCP 패킷은 통과시킨다.
TCP 조건 적용부(123)는 제외되는 TCP 패킷은 정해진 액션(Action)을 수행하도록 한다. 이 때, 액션은 패킷의 드랍(Drop), 포워드(Forward), 갱신(Modify), 덤프(Dump) 등일 수 있다.
예컨대, TCP 조건 적용부(123)가 분석 결과가 비적법한 TCP 플래그(Invalid TCP Flag) 조건을 만족할 경우 드랍 액션(Drop Action)이 수행되도록 구현할 수 있다.
도 4 는 본 발명에 따른 트래픽 분석 장치의 HTTP 분석부의 일 실시예의 구성을 도시한 블럭도이다. 도 4 에 도시한 바와 같이, 이 실시예에 따른 HTTP 분석부(130)는 HTTP 식별부(131)와, HTTP 분석 수행부(132)를 포함한다.
HTTP 식별부(131)는 미리 정의된 HTTP 요청/응답(Request/Response) 패턴 규칙에 따라 TCP 패킷에 대한 HTTP 요청/응답(Request/Response) 헤더 내용을 식별하여 실제 HTTP 패킷인지 또는 HTTP가 아닌 TCP 패킷인지를 식별한다.
즉, HTTP 식별부(131)는 TCP 분석부(120)에서 생성된 HTTP 세션이 실제 HTTP 응용인지 식별한다. 정해진 패킷내에서 HTTP 요청이 인식되지 않을 경우, 식별되지 않는(Unknown) 응용으로 처리한다. 식별되지 않는(Unknown) 응용으로 식별 처리되는 세션은 이후 패킷들에 대해 간단히 통계 처리만 수행한다.
HTTP 분석 수행부(132)는 HTTP 식별부(131)에 의해 식별된 HTTP 패킷에 대한 분석을 수행하고, HTTP 패킷에 대한 분석 결과를 저장한다. 이 때, HTTP 분석 수행부(132)가 TCP 시퀀스 기반의 패킷 기록 정렬(Packet Record Sorting)을 수행하도록 구현할 수도 있다.
분석된 데이터를 기반으로 패킷 기록 정렬(Packet Record Sorting)하는 절차는 다음과 같다. 먼저, 요청/응답 패킷(Request/Response Packet)을 구별한다. 그 다음, 해당 기록 테이블(Record Table)의 헤드(Head)에 기록(Record)을 가져온다. 널(NULL)이면 현재 패킷을 헤드에 삽입(Insert)한다.
헤드에 기록이 있으면 현재 패킷의 시퀀스(sequence)와 기록된 패킷의 시퀀스를 비교한다. 현재 패킷의 시퀀스가 더 크면 헤드에 삽입한다. 작으면 현재 패킷의 시퀀스와 기록된 패킷의 시퀀스가 같은지 비교한다. 같다면 현재 기록을 현재 패킷을 헤드에 오버라이트(Overwrite)한다. 값이 다르면 이중 연결리스트의 다음 기록을 가져와, 이중 연결리스트의 끝에 도달할 때까지 위의 과정을 반복한다.
즉, HTTP 분석 수행부(132)는 내용 기반 분석을 수행하고, 분석 결과를 통계정보로 데이터베이스에 저장한다. 내용 기반 분석은 이 출원전에 공지되어 수행되는 통상의 분석 기술이므로, 자세한 설명은 생략한다. 따라서, HTTP 분석부(130)를 통해 내용 기반의 패킷 분석이 수행되고, 패킷 분석 결과가 통계정보로 저장된 후, 다음 분석 과정이 진행되게 된다.
한편, 발명의 부가적인 양상에 따르면, HTTP 분석부(130)가 HTTP 조건 적용부(133)를 더 포함한다. HTTP 조건 적용부(133)는 HTTP 분석 수행부(132)에 의해 분석된 HTTP 패킷에 대해 HTTP 조건 규칙을 적용하여 규칙에 매칭되는 HTTP 패킷을 제외시킨다.
즉, HTTP 조건 적용부(133)를 통해 요청/응답 쌍(PAIR) 기반 분석을 수행할지 여부에 대한 결정을 한다. HTTP 조건 규칙은 요청/응답 쌍(PAIR) 기반 분석을 수행할 필요가 없는 패킷을 제외시키기 위한 규칙으로, HTTP 조건 규칙에 매칭되는 HTTP 패킷은 제외시키고, 매칭되지 않는 HTTP 패킷은 통과시킨다.
HTTP 조건 적용부(133)는 제외되는 HTTP 패킷은 정해진 액션(Action)을 수행하도록 한다. 이 때, 액션은 패킷의 드랍(Drop), 포워드(Forward), 갱신(Modify), 덤프(Dump) 등일 수 있다.
예컨대, HTTP 조건 적용부(133)가 전체 요청 카운트(Total Request Count) 조건이 20회를 넘는 패킷(Packet)들에 대해 덤프 액션(Dump Action)이 수행되도록 할 수 있다.
도 5 는 본 발명에 따른 트래픽 분석 장치의 PAIR 분석부의 일 실시예의 구성을 도시한 블럭도이다. 도 5 에 도시한 바와 같이, 이 실시예에 따른 PAIR 분석부(140)는 PAIR 식별부(141)와, PAIR 분석 수행부(142)를 포함한다.
PAIR 식별부(141)는 요청/응답 여부를 식별한다. 예컨대, PAIR 식별부(141)는 HTTP 헤더로부터 요청/응답 여부를 식별한다. HTTP 헤더는 데이터 요청을 위한 요청 헤더와, 요청에 대한 응답을 위한 응답 헤더로 구분되며, PAIR 식별부(141)는 HTTP 헤더를 분석해 요청/응답 여부를 식별한다.
PAIR 분석 수행부(142)는 PAIR의 상태정보와, TCP 시퀀스, ACK 넘버를 분석해 올바른 PAIR를 완성한다. PAIR 분석 수행부(142)는 PAIR에 대한 분석 결과를 저장한다.
즉, PAIR 분석 수행부(142)는 요청/응답 쌍(PAIR) 기반 분석을 수행하고, 분석 결과를 통계정보로 데이터베이스에 저장한다. 요청/응답 쌍(PAIR) 기반 분석은 이 출원 이전에 이미 다양하게 공지되어 시행되는 통상의 기술이므로, 이에 대한 설명은 생략한다. 따라서, PAIR 분석부(140)를 통해 요청/응답 쌍(PAIR) 기반의 패킷 분석이 수행되고, 패킷 분석 결과가 통계정보로 저장된다.
한편, 발명의 부가적인 양상에 따르면, PAIR 분석부(140)가 헤더 파싱부(143)를 더 포함할 수 있다. 헤더 파싱부(143)는 헤더 파싱 규칙에 따라 HTTP 헤더를 분석한다. 헤더 파싱 규칙은 헤더 파싱(parsing)을 위한 규칙을 저장한다. 헤더 파싱과 관련해서는 이 출원전에 공지되어 수행되는 통상의 기술이므로, 자세한 설명은 생략한다.
한편, 발명의 부가적인 양상에 따르면, PAIR 분석부(140)가 PAIR 조건 적용부(144)를 더 포함할 수 있다. PAIR 조건 적용부(144)는 PAIR 분석 수행부(140)에 의해 분석된 PAIR에 대해 PAIR 조건 규칙을 적용하여 규칙에 매칭되는 PAIR를 제외시킨다. PAIR 조건 적용부(144)는 제외되는 PAIR는 정해진 액션(Action)을 수행하도록 한다.
이 때, 액션은 패킷의 드랍(Drop), 포워드(Forward), 갱신(Modify), 덤프(Dump) 등일 수 있다. 예컨대, PAIR 조건 적용부(144)가 'Not Complete Pair-Request Only' 또는 'Response Only' 조건일 경우 드랍 액션(Drop Action)이 수행되도록 할 수 있다.
도 6 은 본 발명에 따른 트래픽 분석 장치의 통합 관리부의 일 실시예의 구성을 도시한 블럭도이다. 도 6 에 도시한 바와 같이, 이 실시예에 따른 통합 관리부(150)는 종료 세션 타임아웃 처리부(151)와, 비활성 세션 타임 아웃 처리부(152)와, 정보 처리부(153)를 포함한다.
종료 세션 타임아웃 처리부(151)는 세션 종료된 TCP/HTTP/PAIR 기록을 타임아웃 처리한다. 즉, 종료 세션 타임아웃 처리부(151)는 TCP 분석부(120), HTTP 분석부(120), PAIR 분석부(140)에 의해 패킷 분석이 완료되어 종료된 TCP 세션 또는 HTTP 세션에 대한 종료를 수행한다.
비활성 세션 타임 아웃 처리부(152)는 TCP 세션 기록 테이블, HTTP 세션 기록 테이블 및 PAIR 기록을 스캔하여 일정 시간 동안 변화가 없는 세션을 타임 아웃 처리한다.
TCP 세션 기록 테이블에는 TCP 세션이 생성되면 TCP 세션 정보가 기록되고, HTTP 세션 기록 테이블에는 HTTP 세션이 생성되면 HTTP 세션 정보가 기록되고, PAIR 기록은 요청/응답 쌍(PAIR)이 결정될 때 기록된다.
비활성 세션 타임 아웃 처리부(152)는 이 기록들을 검사하여 비활성된 TCP 세션 또는 HTTP 세션을 검출하고, 검출된 비활성 TCP 세션 또는 HTTP 세션에 대한 종료를 수행한다.
정보 처리부(153)는 타임 아웃 처리된 기록들에 대한 결과 및 전체 통계 정보를 생성한다. 즉, 정보 처리부(153)는 종료 세션 타임아웃 처리부(151)와 비활성 세션 타임 아웃 처리부(152)에 의해 타임 아웃 처리된 기록들에 대한 결과 정보를 생성한다. 그리고, TCP 분석부(120), HTTP 분석부(120), PAIR 분석부(140)에 의해 각각 분석되어 도출된 통계정보를 통합하여 전체 통계정보를 생성하고 이를 저장한다.
따라서, 통합 관리부(150)를 통해 TCP 세션 및 HTTP 세션 기록 및 종료 관리를 통해 TCP 세션 및 HTTP 세션에 대한 연관 관계 추적이 가능하고, TCP 분석부(120), HTTP 분석부(120), PAIR 분석부(140)에 의해 도출된 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반의 분석 결과를 통합하여 전체 통계정보를 구축할 수 있다.
한편, 발명의 부가적인 양상에 따르면, 통합 관리부(150)가 비정상 검출부(154)를 더 포함할 수 있다. 비정상 검출부(154)는 수집된 통계 정보를 이용해 비정상적인 조건을 검출하고, 비정상적인 조건에 대한 액션을 수행한다. 이 때, 액션은 정보 생성(Create), 로그(Log) 기록, 세션 리셋(Reset) 등일 수 있다.
예컨대, 비정상 검출부(154)가 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반의 분석 결과를 통합하여 생성된 전체 통계정보를 이용해 비정상 조건/액션 테이블에 기록된 비정상 조건을 검출하고, 비정상적인 조건에 대한 액션을 수행할 수 있다.
한편, 발명의 부가적인 양상에 따르면, 통합 관리부(150)가 추가 분석부(155)를 더 포함할 수 있다. 추가 분석부(155)는 필요시 타임 아웃된 PAIR 기록에 대한 추가적인 분석을 수행한다.
경우에 따라서는 타임 아웃된 PAIR에 대한 추가 분석이 요구될 수도 있다. 이 경우, 추가 분석부(155)를 통해 타임 아웃된 PAIR 기록에 대한 추가적인 분석을 수행한다.
이상에서 설명한 바와 같이, 본 발명은 세션별 연관 관계 추적을 통해 5-tuple 기반(TCP), 내용 기반(HTTP), 요청/응답 쌍(PAIR) 기반으로 웹 트래픽을 정밀하게 식별 및 분석할 수 있으므로, 웹 트래픽을 효율적으로 분석할 수 있으므로, 상기에서 제시한 본 발명의 목적을 달성할 수 있다.
본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위 내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.
본 발명은 트래픽 분석 기술분야 및 이의 응용 기술분야에서 산업상으로 이용 가능하다.
100 : 트래픽 분석 장치 110 : 필터링부
111 : 패킷 분석부 112 : 제외 규칙 적용부
113 : 통과 규칙 적용부 114 : 바이러스 규칙 적용부
120 : TCP 분석부 121 : TCP 식별부
122 : TCP 분석 수행부 123 : TCP 조건 적용부
130 : HTTP 분석부 131 : HTTP 식별부
132 : HTTP 분석 수행부 133 : HTTP 조건 적용부
140 : PAIR 분석부 141 : PAIR 식별부
142 : PAIR 분석 수행부 143 : 헤더 파싱부
144 : PAIR 조건 적용부 150 : 통합 관리부
151 : 종료 세션 타임아웃 처리부 152 : 비활성 세션 타임 아웃 처리부
153 : 정보 처리부 154 : 비정상 검출부
155 : 추가 분석부

Claims (20)

  1. 트래픽 패킷을 필터링 규칙(Rule)에 따라 분석하여 TCP 패킷을 분리하는 필터링부와;
    상기 필터링부에 의해 분리된 TCP 패킷에 대한 3-handshake(SYN, SYN/ACK, ACK) 정상/비정상 연결 상태를 식별하고, 정상적인 연결이 이루어진 TCP 패킷에 대한 패킷 분석을 수행하는 TCP 분석부와;
    상기 TCP 분석부에 의해 분석된 TCP 패킷에 대한 HTTP 요청/응답(Request/Response) 헤더 내용 식별을 통해 HTTP 패킷인지 식별하고, 식별된 HTTP 패킷에 대한 분석을 수행하는 HTTP 분석부와;
    상기 HTTP 분석부에 의해 분석된 HTTP 패킷에 대해 순서와 관련 없이 무작위로 식별되는 요청/응답을 순서에 맞게 쌍(Pair)이 되도록 정렬해주고, 쌍(Pair)에 대한 분석을 수행하는 PAIR 분석부를;
    포함하여 이루어지는 것을 특징으로 하는 트래픽 분석 장치.
  2. 제 1 항에 있어서,
    상기 트래픽 분석 장치가:
    식별 세션별 연관 관계 추적 및 통합 통계를 통한 이상 탐지를 수행하는 통합 관리부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
  3. 제 1 항에 있어서,
    상기 필터링부가:
    트래픽 패킷을 분석하여 TCP 패킷을 추출하는 패킷 분석부와;
    상기 패킷 분석부에 의해 출력되는 TCP 패킷에 대해 제외 규칙을 적용하여 제외 규칙에 매칭되는 TCP 패킷을 제외시키는 제외 규칙 적용부와;
    상기 제외 규칙 적용부에 의해 출력되는 TCP 패킷에 대해 통과 규칙을 적용하여 통과 규칙에 매칭되는 TCP 패킷을 통과시키는 통과 규칙 적용부를;
    포함하는 것을 특징으로 하는 트래픽 분석 장치.
  4. 제 3 항에 있어서,
    상기 필터링부가:
    상기 통과 규칙 적용부에 의해 출력되는 TCP 패킷에 대해 바이러스 규칙을 적용하여 바이러스 규칙에 매칭되는 TCP 패킷을 제외시키는 바이러스 규칙 적용부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
  5. 제 3 항에 있어서,
    상기 패킷 분석부가:
    트래픽 패킷 분석 결과를 저장하는 것을 특징으로 하는 트래픽 분석 장치.
  6. 제 1 항에 있어서,
    상기 TCP 분석부가:
    TCP 패킷에 대한 3-handshake(SYN, SYN/ACK, ACK) 정상/비정상 연결 상태를 식별하는 TCP 식별부와;
    상기 TCP 식별부에 의해 정상 연결 상태라 판단된 TCP 패킷에 대한 패킷 분석을 수행하는 TCP 분석 수행부를;
    포함하는 것을 특징으로 하는 트래픽 분석 장치.
  7. 제 6 항에 있어서,
    상기 TCP 분석부가:
    TCP 분석 수행부에 의해 분석된 TCP 패킷에 대해 TCP 조건 규칙을 적용하여 규칙에 매칭되는 TCP 패킷을 제외시키는 TCP 조건 적용부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
  8. 제 6 항에 있어서,
    상기 TCP 식별부가:
    TCP 세션 종료를 식별하는 것을 특징으로 하는 트래픽 분석 장치.
  9. 제 6 항에 있어서,
    상기 TCP 분석 수행부가:
    정상 연결 상태라 판단된 TCP 패킷에 대한 분석 결과를 저장하는 것을 특징으로 하는 트래픽 분석 장치.
  10. 제 1 항에 있어서,
    상기 HTTP 분석부가:
    미리 정의된 HTTP 요청/응답(Request/Response) 패턴 규칙에 따라 TCP 패킷에 대한 HTTP 요청/응답(Request/Response) 헤더 내용을 식별하여 실제 HTTP 패킷인지 또는 HTTP가 아닌 TCP 패킷인지를 식별하는 HTTP 식별부와;
    상기 HTTP 식별부에 의해 식별된 HTTP 패킷에 대한 분석을 수행하는 HTTP 분석 수행부를;
    포함하는 것을 특징으로 하는 트래픽 분석 장치.
  11. 제 10 항에 있어서,
    상기 HTTP 분석부가:
    HTTP 분석 수행부에 의해 분석된 HTTP 패킷에 대해 HTTP 조건 규칙을 적용하여 규칙에 매칭되는 HTTP 패킷을 제외시키는 HTTP 조건 적용부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
  12. 제 10 항에 있어서,
    상기 HTTP 분석 수행부가:
    TCP 시퀀스 기반의 패킷 기록 정렬(Packet Record Sorting)을 수행하는 것을 특징으로 하는 트래픽 분석 장치.
  13. 제 10 항에 있어서,
    상기 HTTP 분석 수행부가:
    HTTP 패킷에 대한 분석 결과를 저장하는 것을 특징으로 하는 트래픽 분석 장치.
  14. 제 1 항에 있어서,
    상기 PAIR 분석부가:
    요청/응답 여부를 식별하는 PAIR 식별부와;
    PAIR의 상태정보와, TCP 시퀀스, ACK 넘버를 분석해 올바른 PAIR를 완성하는 PAIR 분석 수행부를;
    포함하는 것을 특징으로 하는 트래픽 분석 장치.
  15. 제 14 항에 있어서,
    상기 PAIR 분석부가:
    헤더 파싱 규칙에 따라 HTTP 헤더를 분석하는 헤더 파싱부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
  16. 제 15 항에 있어서,
    상기 PAIR 분석부가:
    PAIR 분석 수행부에 의해 분석된 PAIR에 대해 PAIR 조건 규칙을 적용하여 규칙에 매칭되는 PAIR를 제외시키는 PAIR 조건 적용부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
  17. 제 14 항에 있어서,
    상기 PAIR 분석 수행부가:
    PAIR에 대한 분석 결과를 저장하는 것을 특징으로 하는 트래픽 분석 장치.
  18. 제 2 항에 있어서,
    상기 통합 관리부가:
    세션 종료된 TCP/HTTP/PAIR 기록을 타임아웃 처리하는 종료 세션 타임아웃 처리부와;
    TCP 세션 기록 테이블, HTTP 세션 기록 테이블 및 PAIR 기록을 스캔하여 일정 시간 동안 변화가 없는 세션을 타임 아웃 처리하는 비활성 세션 타임 아웃 처리부와;
    타임 아웃 처리된 기록들에 대한 결과 및 전체 통계 정보를 생성하는 정보 처리부를;
    포함하는 것을 특징으로 하는 트래픽 분석 장치.
  19. 제 18 항에 있어서,
    상기 통합 관리부가:
    수집된 통계 정보를 이용해 비정상적인 조건을 검출하고, 비정상적인 조건에 대한 액션을 수행하는 비정상 검출부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
  20. 제 18 항에 있어서,
    상기 통합 관리부가:
    필요시 타임 아웃된 PAIR 기록에 대한 추가적인 분석을 수행하는 추가 분석부를;
    더 포함하는 것을 특징으로 하는 트래픽 분석 장치.
KR20100132730A 2010-12-22 2010-12-22 트래픽 분석 장치 KR101510432B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20100132730A KR101510432B1 (ko) 2010-12-22 2010-12-22 트래픽 분석 장치
US13/333,248 US8806189B2 (en) 2010-12-22 2011-12-21 Apparatus for analyzing traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20100132730A KR101510432B1 (ko) 2010-12-22 2010-12-22 트래픽 분석 장치

Publications (2)

Publication Number Publication Date
KR20120071122A true KR20120071122A (ko) 2012-07-02
KR101510432B1 KR101510432B1 (ko) 2015-04-10

Family

ID=46318709

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20100132730A KR101510432B1 (ko) 2010-12-22 2010-12-22 트래픽 분석 장치

Country Status (2)

Country Link
US (1) US8806189B2 (ko)
KR (1) KR101510432B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9560144B2 (en) 2014-02-04 2017-01-31 Electronics And Telecommunications Research Institute Apparatus and method for processing packets

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101661161B1 (ko) * 2010-04-07 2016-10-10 삼성전자주식회사 이동통신 단말기에서 인터넷프로토콜 패킷 필터링 장치 및 방법
US9213832B2 (en) * 2012-01-24 2015-12-15 International Business Machines Corporation Dynamically scanning a web application through use of web traffic information
IL219499B (en) * 2012-04-30 2019-02-28 Verint Systems Ltd A system and method for detecting malicious software
EP2725512B1 (en) 2012-10-23 2019-03-27 Verint Systems Ltd. System and method for malware detection using multi-dimensional feature clustering
IL224482B (en) 2013-01-29 2018-08-30 Verint Systems Ltd System and method for keyword spotting using representative dictionary
WO2014168524A1 (en) * 2013-04-08 2014-10-16 Telefonaktiebolaget L M Ericsson (Publ) Controlling establishment of multiple tcp connections
IL226057A (en) 2013-04-28 2017-07-31 Verint Systems Ltd System and method for automatic configuration of intrusion detection systems
IL226747B (en) 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
IL233776B (en) 2014-07-24 2019-02-28 Verint Systems Ltd A system and method for adjusting domains
US10560842B2 (en) 2015-01-28 2020-02-11 Verint Systems Ltd. System and method for combined network-side and off-air monitoring of wireless networks
IL238001B (en) 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication conversation participants based on communication traffic patterns
IL242219B (en) 2015-10-22 2020-11-30 Verint Systems Ltd System and method for keyword searching using both static and dynamic dictionaries
IL242218B (en) 2015-10-22 2020-11-30 Verint Systems Ltd A system and method for maintaining a dynamic dictionary
IL243418B (en) 2015-12-30 2022-07-01 Cognyte Tech Israel Ltd System and method for monitoring computer network security
IL243825B (en) 2016-01-28 2021-05-31 Verint Systems Ltd A system and method for automated forensic investigation
IL245299B (en) 2016-04-25 2021-05-31 Verint Systems Ltd A system and method for decoding communication transmitted in a wireless local communication network
CN107547484B (zh) * 2016-06-29 2021-05-07 上海连尚网络科技有限公司 消息获取、推送的方法、设备及系统
CN107979567A (zh) * 2016-10-25 2018-05-01 北京计算机技术及应用研究所 一种基于协议分析的异常检测系统及方法
EP3319288A1 (en) * 2016-11-07 2018-05-09 Secucloud GmbH Protocol detection by parsing layer-4 packets in a network security system
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between computer application users
IL252041B (en) 2017-04-30 2020-09-30 Verint Systems Ltd System and method for tracking computer application users
US10542025B2 (en) * 2017-12-26 2020-01-21 International Business Machines Corporation Automatic traffic classification of web applications and services based on dynamic analysis
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
US11063921B2 (en) * 2018-11-06 2021-07-13 International Business Machines Corporation Extracting data from passively captured web traffic that is encrypted in accordance with an anonymous key agreement protocol
CN109450735A (zh) * 2018-12-04 2019-03-08 成都知道创宇信息技术有限公司 一种基于上行流量的识别tcp正常请求的方法
WO2021084439A1 (en) 2019-11-03 2021-05-06 Verint Systems Ltd. System and method for identifying exchanges of encrypted communication traffic

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100523486B1 (ko) 2002-12-13 2005-10-24 한국전자통신연구원 트래픽 측정 시스템 및 그의 트래픽 분석 방법
US20050144441A1 (en) 2003-12-31 2005-06-30 Priya Govindarajan Presence validation to assist in protecting against Denial of Service (DOS) attacks
US7992204B2 (en) 2004-05-02 2011-08-02 Markmonitor, Inc. Enhanced responses to online fraud
US7675854B2 (en) * 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
US20110016523A1 (en) * 2009-07-14 2011-01-20 Electronics And Telecommunications Research Institute Apparatus and method for detecting distributed denial of service attack

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9560144B2 (en) 2014-02-04 2017-01-31 Electronics And Telecommunications Research Institute Apparatus and method for processing packets

Also Published As

Publication number Publication date
US20120167221A1 (en) 2012-06-28
KR101510432B1 (ko) 2015-04-10
US8806189B2 (en) 2014-08-12

Similar Documents

Publication Publication Date Title
KR20120071122A (ko) 트래픽 분석 장치
CN111277578B (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
JP5961354B2 (ja) 効率的なネットフローデータ解析のための方法及び装置
WO2021151300A1 (zh) 网络攻击的安全处理方法、装置、计算机设备及介质
EP2860912A1 (en) A method for correlating network traffic data from distributed systems and computer program thereof
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
CN112039904A (zh) 一种网络流量分析与文件提取系统及方法
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
JP2016513944A (ja) ネットワーク通信分析のためにメタデータを抽出及び保持するシステム及び方法
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
CN112800424A (zh) 一种基于随机森林的僵尸网络恶意流量监测方法
CN108234345A (zh) 一种终端网络应用的流量特征识别方法、装置和系统
CN114281676A (zh) 针对工控私有协议的黑盒模糊测试方法及系统
CN106789728A (zh) 一种基于NetFPGA的VoIP流量实时识别方法
CN107707549B (zh) 一种自动提取应用特征的装置及方法
Kaushik et al. Network forensic system for ICMP attacks
CN109005082A (zh) 一种利用crc校验字段捕获以太网报文的方法及装置
Hurley et al. ITACA: Flexible, scalable network analysis
van De Wiel et al. Enabling non-expert analysis of large volumes of intercepted network traffic
CN107360062B (zh) Dpi设备识别结果的验证方法、系统及dpi设备
CN101296224B (zh) 一种p2p流量识别系统和方法
Shen et al. On detection accuracy of L7-filter and OpenDPI
KR20130126830A (ko) 실시간 응용 시그니쳐 생성 장치 및 방법
CN114117429A (zh) 一种网络流量的检测方法及装置
RU2485705C1 (ru) Способ и система идентификации сетевых протоколов на основании описания клиент-серверного взаимодействия

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190325

Year of fee payment: 5