KR20130054511A - 네트워크 트래픽 분석 시스템 및 방법 - Google Patents

네트워크 트래픽 분석 시스템 및 방법 Download PDF

Info

Publication number
KR20130054511A
KR20130054511A KR1020110119909A KR20110119909A KR20130054511A KR 20130054511 A KR20130054511 A KR 20130054511A KR 1020110119909 A KR1020110119909 A KR 1020110119909A KR 20110119909 A KR20110119909 A KR 20110119909A KR 20130054511 A KR20130054511 A KR 20130054511A
Authority
KR
South Korea
Prior art keywords
signature
traffic
application
analysis
network
Prior art date
Application number
KR1020110119909A
Other languages
English (en)
Other versions
KR101338223B1 (ko
Inventor
김명섭
윤성호
박준상
김지혜
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020110119909A priority Critical patent/KR101338223B1/ko
Publication of KR20130054511A publication Critical patent/KR20130054511A/ko
Application granted granted Critical
Publication of KR101338223B1 publication Critical patent/KR101338223B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

본 발명은 시그니처를 저장하는 시그니처 저장부; 네트워크 트래픽으로부터 상기 시그니처를 추출하여 상기 시그니처 저장부에 저장하는 시그니처 추출부; 상기 시그니처 저장부에 저장되어 있는 시그니처를 사용하여 네트워크 트래픽을 분석하는 트래픽 분석부; 및 상기 시그니처의 적어도 하나 이상의 특성을 기초로, 트래픽 분석에 유용한 시그니처는 유지시키고 유용하지 않은 시그니처는 삭제하여, 상기 시그니처 저장부에 저장되어 있는 시그니처를 최소량으로 유지하는 시그니처 관리부;를 포함하는 네트워크 트래픽 분석 시스템을 제공한다.

Description

네트워크 트래픽 분석 시스템 및 방법{SYSTEM AND METHOD FOR ANALYZING NETWORK TRAFFIC}
본 발명은 네트워크 트래픽 분석에 관한 것으로서, 보다 상세하게는 네트워크 트래픽 분석에 사용되는 시그니처를 효과적으로 관리하는 네트워크 트래픽 분석 시스템 및 방법에 관한 것이다.
네트워크와 인터넷이 발달함에 따라 효율적이고 안전하게 네트워크를 관리하기 위해 네트워크 트래픽 분석의 중요성이 커지고 있다. 네트워크 수요를 만족시키기 위해 대역폭을 관리하기 위해서도, 악성적인 공격을 감지, 방어하기 위해서도 트래픽 분석은 중요하다.
가장 원시적인 방법은 포트 정보만을 사용하는 것으로, 간단하고 빠르지만, 정확성이 매우 낮다. 따라서 정확한 트래픽 분석을 위한 연구가 많이 제안되고 있다.
예를 들어, 페이로드(payload) 기반 시그니처를 추출하여 트래픽 분석에 활용하는 방법이 있다. 하지만 페이로드 시그니처는 분석 오버헤드가 높고, 페이로드가 없는 트래픽이나 암호화된 트래픽에는 적용하기 어렵다는 난점이 있다.
헤더 기반 분석 방법은 포트 번호와 함께 호스트 정보를 함께 사용한다. 특정 응용을 제공하는 서버의 헤더 정보(IP 주소, 포트 번호, 전송 계층 프로토콜 등)를 사용하여 트래픽을 분석하는 것이다. 헤더 시그니처를 사용하면 빠르고 정확하게 트래픽을 분석할 수 있는 장점이 있다.
하지만 추출되는 시그니처의 양이 많아진다는 단점이 있다. 따라서 헤더 시그니처의 장점을 살리되, 시그니처의 수는 최소한으로 줄이기 위한 네트워크 트래픽 분석 시스템 및 방법이 필요하다. 즉, 트래픽 분석에 도움이 되는 시그니처는 유지하되, 트래픽 분석에 많이 사용되지 않는 시그니처는 삭제할 수 있는 네트워크 트래픽 분석 시스템 및 방법이 요구된다.
이와 관련하여 한국등록특허 제10-0615080호("10-0615080")에는 네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 가공 단계; 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성하는 생성 단계; 나무모형을 탐지규칙으로 탐지 패턴을 자동 생성하는 정형화단계 및; 각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고, 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 포함하는 것을 특징으로 하는 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반 탐지패턴을 자동 생성하는 구성이 개시되어 있다.
한편, 한국등록특허 제10-0937217호("시그니처 최적화 시스템 및 방법")는 네트워크를 통해 입력되는 데이터 플로우로부터 공격 의심되는 적어도 하나의 패킷을 이용하여 시그니처를 생성하는 시그니처 생성수단; 네트워크를 통해 입력되는 플로우를 저장하고, 플로우 중 시그니처 생성수단을 통해 생성된 시그니처에 대응하는 플로우를 추출하는 패킷 수집부; 패킷 수집부를 통해 추출된 플로우가 공격 징후를 포함하는지 확인하는 검증수단; 및 시그니처 생성수단을 통해 생성된 시그니처를 검증수단을 통해 확인된 공격 징후 별로 최종 시그니처를 생성하는 시그니처 최적화수단;을 포함하는 구성이 개시되어 있다.
본 발명은 전술한 네트워크 트래픽 분석 문제를 해결하기 위한 것으로서, 그 목적은 네트워크 트래픽 분석에 유용한 최소의 시그니처만을 유지하여 분석 성능과 효율성이 높은 네트워크 트래픽 분석 시스템 및 방법을 제공하는 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 제 1 측면에 따른 네트워크 트래픽 분석에 사용되는 시그니처를 관리하는 네트워크 트래픽 분석 시스템은, 상기 시그니처를 저장하는 시그니처 저장부; 네트워크 트래픽으로부터 상기 시그니처를 추출하여 상기 시그니처 저장부에 저장하는 시그니처 추출부; 상기 시그니처 저장부에 저장되어 있는 시그니처를 사용하여 네트워크 트래픽을 분석하는 트래픽 분석부; 및 상기 시그니처의 적어도 하나 이상의 특성을 기초로, 트래픽 분석에 유용한 시그니처는 유지시키고 유용하지 않은 시그니처는 삭제하여, 상기 시그니처 저장부에 저장되어 있는 시그니처를 최소량으로 유지하는 시그니처 관리부;를 포함하는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명의 제 2 측면에 따른 네트워크 트래픽 분석에 사용되는 시그니처를 관리하는 네트워크 트래픽 분석 방법은, (a) 네트워크 트래픽으로부터 상기 시그니처를 추출하는 단계; (b) 상기 시그니처를 사용하여 네트워크 트래픽을 분석하는 단계; 및 (c) 상기 시그니처 목록을 최소량으로 유지하는 단계;를 포함하는 것을 특징으로 한다.
본 발명은 네트워크 트래픽 분석 시스템 및 방법에 있어, 오버헤드는 낮추면서 정확하고 빠르게 네트워크 트래픽을 분석하는 효과를 얻는다.
즉, 포트 번호만을 사용하는 방법보다 정확하고 페이로드 시그니처를 사용하는 방법보다 오버헤드가 낮고 빠르며, 네트워크 트래픽 분석에 유용한 최소의 시그니처만을 유지하므로 분석 성능은 더욱 향상되고 자원은 절약된다.
또한 트래픽 수집시 발생할 수 있는 패킷 손실 및 TCP/IP 조각화 문제를 고려하지 않아도 된다.
또한 페이로드가 없거나 암호화된 경우에도 트래픽을 분석할 수 있다.
또한 시그니처 추출, 트래픽 분석, 시그니처 관리를 실시간으로 수행할 수 있다는 장점이 있다.
도 1은 본 발명에 따른 네트워크 트래픽 분석 시스템의 구조를 도시함.
도 2는 도 1의 시스템이 사용하는 트래픽 데이터의 개념을 도시함.
도 3은 도 1의 시스템이 트래픽 헤더에서 추출하는 데이터의 구조를 도시함.
도 4는 본 발명에 따른 네트워크 트래픽 분석 방법의 흐름을 도시함.
도 5는 시그니처 추출 단계의 흐름을 도시함.
도 6은 트래픽 분석 단계의 흐름을 도시함.
도 7은 시그니처 관리 단계의 흐름을 도시함.
도 8은 비정상 트래픽의 특성 및 P2P트래픽의 특성을 분석한 그래프를 도시함.
도 9는 발생 형태 분석 단계의 흐름을 도시함.
도 10은 응용별 시그니처 최대 유휴 시간을 분석한 그래프를 도시함.
도 11은 사용 주기 분석 단계의 흐름을 도시함.
도 12는 시그니처별 트래픽 분석 성능을 분석한 그래프를 도시함.
도 13은 통계적 특성 분석 단계의 흐름을 도시함.
도 14는 응용별 시그니처 사용률을 분석한 그래프를 도시함.
도 15는 사용 빈도 분석 단계의 흐름을 도시함.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
먼저, 도 1에서 도 3을 참조하여 본 발명에 따른 네트워크 트래픽 분석 시스템(10)을 설명한다.
도 1은 본 발명에 따른 네트워크 트래픽 분석 시스템(10)을 나타낸 블록도이다.
도 1을 참조하면, 본 발명에 따른 네트워크 트래픽 분석 시스템(10)은 하나 이상의 네트워크 사용 기기(500)와 네트워크를 통해 연결되어 있다. 여기서 네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN) 또는 부가가치 통신망(Value Added Network; VAN) 등과 같은 유선 네트워크나 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 무선 네트워크 등 모든 종류의 네트워크로 구현될 수 있다. 네트워크 사용 기기(500)도 컴퓨터, 휴대용 단말 등 기기의 종류에 제한을 두지 않으며, 서버인지 클라이언트인지에 상관 없이 네트워크를 사용하는 모든 기기를 포함한다. 또한 네트워크 트래픽 분석 시스템(10)을 구성하는 방법에도 제한이 없다. 도면에는 단일 시스템으로 도시되어 있으나, 여러 네트워크 사용 기기(500)에 분산되어 구성될 수도 있다.
네트워크 트래픽 분석 시스템(10)은 시그니처를 저장하는 시그니처 저장부(100), 네트워크 트래픽으로부터 시그니처를 추출하는 시그니처 추출부(200), 시그니처를 활용하여 네트워크 트래픽을 분석하는 트래픽 분석부(300), 시그니처 저장부(100)에 저장되어 있는 시그니처를 최소량으로 유지하는 시그니처 관리부(400)를 포함한다.
이때 네트워크 트래픽 분석이란 분석 대상 네트워크의 트래픽을 수집하여 분석 기준에 맞게 트래픽을 분류하고 분류된 트래픽을 수량적으로 측정하는 것을 의미한다. 본 발명에 따른 네트워크 트래픽 분석 시스템(10)이 채택하고 있는 분류 기준은 트래픽을 발생시킨 응용 프로그램이다(이하 응용이라 함). 즉, 네트워크 트래픽을 해당 트래픽을 발생시킨 응용을 기준으로 분류하고 응용별로 트래픽량을 측정한다. 분석된 응용 트래픽은 네트워크 관리 및 보안에 중요한 자료로 사용될 수 있다. 예를 들어, 특정 응용에서 발생하는 트래픽의 대역폭을 조절하거나 차단하는 등 네트워크 자원을 관리하기 위해서는 응용 트래픽을 실시간 분석하는 것이 중요하다.
응용 트래픽을 측정하기 위해, 시그니처 추출부(200)는 네트워크 트래픽을 응용별로 분류하여 응용에 대한 정보를 포함하는 시그니처를 생성하며, 트래픽 분석부(300)는 트래픽 분석시 시그니처에 포함되어 있는 응용 정보를 사용하여 트래픽을 응용별로 분류한다.
이때 트래픽은 서버 별로 재구성된다. 설명을 위해 네트워크 트래픽 분석 시스템(10)이 사용하는 트래픽 데이터의 개념을 도시하고 있는 도 2를 참조한다. 도면에서 원은 IP 주소, 사각형은 포트를 나타낸다.
종래 기술들은 트래픽 즉, 패킷을 플로우(flow) 단위로 조합하여 사용한다. 플로우는 동일한 5-튜플(5-tuple: 소스 IP 주소, 목적지 IP 주소, 소스 포트, 목적지 포트, 전송 계층 프로토콜)을 가지는 단방향 패킷들의 집합이다. 하지만 네트워크에서 발생하는 응용 트래픽은 특정 서버를 중심으로 발생되기 때문에 플로우를 서버 기준으로 재조합하면 응용의 발생 형태와 플로우간의 관계를 좀더 효과적으로 파악할 수 있다.
따라서 본 발명은 응용 서버 기준으로 플로우를 재조합한 번치(bunch)를 사용한다. 번치는 특정 서버의 3-튜플(3-tuple: IP 주소, 포트, 전송 계층 프로토콜)를 포함하는 모든 플로우들의 집합이다. 도 2의 우측 도면에 도시된 것과 같이, 번치는 하나의 서버 노드와 하나 이상의 클라이언트 노드로 구성된다. 대부분의 응용 서버는 하나의 서버 포트와 다수의 클라인언트 포트를 통해 트래픽을 발생시킨다. 이러한 관점에서 볼 때, 번치 단위의 트래픽은 특정 서버에서 발생한 응용 트래픽을 더욱 명확하게 나타낸다.
도 3에서 보는 바와 같이, 응용 서버별로 재구성된 트래픽의 헤더에서 본 발명에 따른 네트워크 트래픽 분석 시스템(10)은 IP 주소, 포트 번호, 전송 계층 프로토콜을 추출한다. 즉, 서버 노드의 3-튜플이 헤더 시그니처로 추출된다. 이 3-튜플은 시그니처 저장부(100)가 사용하는 해시(hash) 자료 구조의 키(key)로 사용되기 위한 것이다.
즉, 시그니처 추출부(200)는 시그니처 생성시 생성된 시그니처를 응용 서버별로 재구성된 트래픽의 헤더에서 추출한 <IP 주소, 포트 번호, 전송 계층 프로토콜 정보>를 키로 하여 시그니처 저장부(100)에 저장하고, 트래픽 분석부(300)는 시그니처 저장부(100)에서 트래픽 분석에 사용할 시그니처를 검색하기 위해 <IP 주소, 포트 번호, 전송 계층 프로토콜 정보>를 키로 사용한다. 즉, 분석할 트래픽에서 시그니처 추출부(200)가 시그니처를 생성할 때와 같은 방법으로 <IP 주소, 포트 번호, 전송 계층 프로토콜 정보>를 추출하고, 시그니처 저장부(100)에 저장되어 있는 시그니처들 중 이와 동일한 키를 갖는 시그니처가 있는지 검색한다. 이 키가 분석 대상 트래픽과 동일한 시그니처를 발생시킨 응용은 분석 대상 트래픽을 발생시킨 응용과 동일할 것이므로, 3-튜플을 키로 하여 검색된 시그니처에 포함된 응용 정보를 통해 트래픽을 분석하는 것이 가능하다.
이렇게 헤더 정보를 이용하여 트래픽을 분석할 경우 종래의 포트 번호만을 사용하는 방법이나 페이로드 시그니처를 사용하는 방법에 비해 여러가지 이점이 있다. 예를 들어, 포트 번호만을 사용하여 트래픽을 분석하는 경우보다 정확도가 높으며, 트래픽 수집시 발생할 수 있는 패킷 손실 및 TCP/IP 조각화(fragmentation) 문제를 고려하지 않아도 된다. 헤더 정보를 통해 트래픽을 분석하기 때문에 페이로드(payload)가 없거나 암호화된 경우에도 트래픽을 분석할 수 있으며, 페이로드 시그니처보다 분석 오버헤드가 덜하고 자원을 덜 사용한다. 트래픽의 헤더 정보는 고정된 위치에 존재하기 때문에 추출과 분석이 용이하다. 이에 더해, 본 발명에 따른 네트워크 트래픽 분석 시스템(10)은 전술한 바와 같이 추출된 헤더 정보를 해시 자료 구조의 키로 사용하기 때문에 빠르게 동일한 시그니처를 찾을 수 있다는 장점도 갖는다.
이렇게 헤더 기반 시그니처를 사용하면 정확하고 빠르게 트래픽을 분석할 수 있지만, 헤더 정보를 사용하기 때문에 많은 양의 시그니처가 추출된다. 따라서 최적의 시그니처를 유지할 수 있는 관리 방법이 필요하다. 전술한 헤더 시그니처의 장점을 활용하면서도 단점은 최소화하는 것이 본 발명의 목적이다. 그 방법은 분석에 도움이 되는 시그니처는 목록에 유지하고, 분석에 도움이 되지 않으면서 자원만 낭비하고 있는 시그니처는 삭제하는 것이다.
이를 위해 시그니처의 사용 이력이 이용된다. 즉, 시그니처는 자신이 분석한 트래픽의 크기, 지속 시간, 호스트, 사용 시간 등 트래픽 분석 이력을 저장하며, 이 정보는 시그니처 관리부(400)가 시그니처를 유지, 관리하는 데 사용된다. 이렇게 응용이 발생시키는 트래픽의 발생 형태와 특성, 그리고 사용 이력을 고려하여 트래픽 분석에 활용하는 데 최적인 헤더 시그니처만을 목록에 유지하기 때문에, 본 발명에 따른 네트워크 트래픽 분석 시스템(10)은 오버헤드는 줄이면서 분석률(completeness), 정확도(accuracy) 등 시그니처 분석 성능은 높게 유지할 수 있다.
시그니처 관리에 대한 자세한 설명은 이하 도 4에서 도 15를 참조하여 설명한다.
도 4는 본 발명에 따른 네트워크 트래픽 분석 방법의 흐름을 도시하고 있다.
본 발명에 따른 네트워크 트래픽 분석 방법은 네트워크 트래픽으로부터 시그니처를 추출하는 단계(S410), 시그니처를 사용하여 네트워크 트래픽을 분석하는 단계(S420), 시그니처 목록을 최소량으로 유지하는 단계(S430)을 포함한다.
도 4에는 이 단계들이 순차적으로 이루어지는 것처럼 도시되어 있지만, 이 단계들은 동시에 수행될 수도 있으며, 또한 많은 경우 실제 네트워크 환경에서 실시간으로 이루어질 수 있다. 인터넷 응용은 사용자의 요구에 따라 매번 수정되고 새로 출현하기 때문에 실시간 시그니처 추출 및 관리가 필수적인데, 본 발명에 따른 네트워크 트래픽 분석 시스템(10)은 시그니처 추출, 트래픽 분석, 시그니처 관리를 실시간으로 수행할 수 있다는 장점이 있는 것이다.
도 5는 시그니처 추출 단계(S410)의 흐름을 도시하고 있다.
시그니처 추출 단계(S410)에서 시그니처 추출부(200)는 정답지 트래픽(Ground truth Traffic)을 실시간으로 수집하여 시그니처를 추출한다. 정답지 트래픽을 생성하는 방법은 이미 많은 연구를 통해 제안되었으므로, 자세한 설명은 생략한다. 예를 들어, 정답지 트래픽은 실제 트래픽을 발생 시키는 호스트에 설치된 에이전트를 통해 수집될 수 있다.
전술한 바와 같이, 정답지 트래픽에서 특정 응용을 서비스하는 서버의 헤더 정보가 시그니처로 추출된다. 이를 위해서는 플로우의 서버를 구분해야 하는데, TCP 플로우의 경우 SYN, ACK 플래그를 통해 서버를 쉽게 판별할 수 있지만, UDP 플로우는 서버 판별이 모호하다. 따라서 UDP 플로우인 경우에는 두 종단 호스트에 발생한 첫 번째 패킷을 서비스 요청으로 가정하여 첫 패킷의 목적지 호스트를 서버로 판별한다.
도면에 도시되어 있는 추출 방법은 플로우를 번치로 재조합하는 부분(line:4~6)과 생성된 번치의 서버 노드에서 시그니처를 추출하는 부분(line:7~9)으로 구성된다. 추출된 시그니처와 기존에 추출된 시그니처가 동일한 3-튜플을 가지고 서로 다른 응용에서 추출된 경우 충돌이라 정의하며, 충돌이 발생하면 기존의 시그니처와 새로 추출된 시그니처 모두 삭제한다
도 6은 트래픽 분석 단계(S420)의 흐름을 도시하고 있다.
트래픽 분석 단계(S420)에서 트래픽 분석부(300)는 트래픽의 서버 3-튜플을 추출(line:5)하여 동일한 3-튜플을 가지는 헤더 시그니처를 찾는다(line:6). 3-튜플을 추출하는 방법은 앞서 설명한 시그니처 생성 단계(S410)에서 서버를 구분한 방법과 동일하다. 동일한 시그니처를 찾았을 경우, 해당 시그니처의 응용으로 트래픽을 분석한다(line:7). 이때 3-튜플 정보를 키로 사용하는 해시 자료 구조를 사용하기 때문에 빠르게 동일한 시그니처를 찾을 수 있다. 또한, 시그니처의 분석 이력을 기록하여 시그니처 관리 단계(S430)에서 활용한다
도 7은 시그니처 관리 단계(S430)의 흐름을 도시하고 있다.
전술한 바와 같이 시그니처를 관리한다는 것은 각 시그니처의 특성을 파악하여 트래픽 분석에 유용한 시그니처는 목록에 유지 시키고 그렇지 않은 시그니처는 목록에서 삭제하는 것을 의미한다. 이를 위해 시그니처 관리부(400)는 발생 형태, 사용 주기, 트래픽 통계적 특성, 사용 빈도를 고려한다.
트래픽 분석 단계(S410)에서 입력 데이터는 현재의 시그니처 목록(HSbefore)이고 출력 데이터는 최적화된 시그니처 목록(HSafter)이다. 시그니처 관리부(400)는 추출된 시그니처의 특성을 파악하여 비정상 트래픽(예: 단방향 통신, P2P)을 분석하는 시그니처(isAbnormal)와 해당 응용을 기준으로 일정 기간 사용되지 않은 시그니처(isTimeout)를 삭제한다(line:5). 단, 해당 시그니처로 분석된 트래픽이 우세한 특징을 가지고(isDominant), 여러 호스트에 의해 사용된 경우(isPopular), 삭제 대상에서 제외된다(line:6)
각 세부 관리 방법은 이하 도 8에서 도 15를 사용하여 설명한다. 도 8, 9는 발생 형태, 도 10, 11은 사용 주기, 도 12, 13은 트래픽 통계적 특성, 도 14, 15는 사용 빈도 정보를 시그니처 관리에 어떻게 사용하는지 도시한 도면이다.
도 8은 비정상 트래픽의 특성 및 P2P트래픽의 특성을 분석한 그래프를 도시하며, 도 9는 발생 형태 분석 단계의 흐름을 도시한다.
비정상적인 트래픽(포트 스캔, NetBIOS-SMB)과 P2P 응용에서 발생한 트래픽은 발생 형태의 특성 때문에 많은 시그니처가 추출되지만, 추출된 시그니처의 대부분은 분석에 일회적으로만 사용되기 때문에 분석 성능을 떨어뜨리고 메모리 오버헤드를 증가시키므로, 삭제하는 것이 바람직하다.
먼저 도 8을 통해 비정상 트래픽(위)과 P2P 응용(아래)의 특성을 살펴보자.
비정상과 정상 트래픽의 시그니처 당 분석된 플로우 수(fps)와 시그니처 당 분석된 클라이언트 수(cps)를 CDF(Cumulative Distribution Function)로 나타내면, 도면과 같이 비정상 트래픽에서 추출한 대부분의 시그니처(96.16%)는 오직 하나의 플로우만 분석한다. 즉, 정상적인 양방향 통신이 아니 단방향 통신에서 발생된 트래픽을 분석한다. 이에 반해 정상 트래픽에서 추출한 시그니처는 소수의 시그니처(10.01%)만이 하나의 플로우를 분석한다.
이러한 특성을 이용하여 비정상 트래픽에서 추출한 시그니처를 판별할 수 있지만, 좀 더 정확한 판별을 위해 추가적인 특성을 사용할 수 있다. 비정상 트래픽에서 추출한 시그니처로 분석된 트래픽의 고유한 클라이언트 수(cps)를 조사한 결과 시그니처의 cps가 대부분 1이었다. 즉, 해당 시그니처로 분석된 플로우를 앞서 설명한 번치로 재구성하였을 때, 오직 하나의 클라이언트 노드로 구성된다.
따라서 특정 시그니처가 분석한 플로우의 개수가 1이고, 해당 시그니처로 분석된 클라이언트 수가 1이면, 비정상 시그니처로 판별할 수 있다. 즉, 단일 호스트에서 발생된 단방향 플로우를 나타내는 것은 비정상 시그니처로 판별할 수 있다
또한 P2P 시그니처로 분석된 트래픽의 플로우 대부분(80%)은 오직 하나의 패킷으로 구성되었다. 따라서 오직 하나의 패킷으로 구성된 트래픽은 P2P 응용의 검색 또는 파일 전송에 관련된 것이므로 해당 시그니처를 P2P 시그니처로 판별할 수 있다.
이러한 특성을 이용해 도 9의 방법은 비정상 시그니처(line:4~7), P2P 시그니처(line:8~10)를 판별한다. 비정상 시그니처를 판별하기 위해 해당 시그니처로 분석된 플로우 개수를 확인(line:5)하고 단방향 플로우이면 해당 트래픽을 발생 시킨 클라이언트 개수를 확인(line:6)하고, 해당 트래픽이 특정 호스트에서 독점적으로 발생한 것이면 비정상 시그니처로 판별한다. P2P 시그니처는 해당 시그니처로 분석된 트래픽의 플로우 당 패킷 수를 확인(line:9)하여 1이면 P2P 시그니처로 판별한다.
도 10은 응용별 시그니처 최대 유휴 시간을 분석한 그래프를 도시하며, 도 11은 사용 주기 분석 단계의 흐름을 도시한다.
시그니처 목록의 폭발적인 증가를 막기 위해서는 오랜 기간 사용하지 않은 시그니처를 목록에서 제거해야 한다. 하지만 모든 응용에 동일한 유휴 시간 기준값을 적용하면 사용 주기가 긴 응용의 시그니처는 지속적으로 목록에서 삭제되어 버릴 것이다. 따라서, 응용의 사용 주기를 반영하여 기준값을 설정하고 시그니처를 관리해야 한다
도 10은 응용별 시그니처의 사용 주기를 확인하기 위해 몇가지 응용을 선정하여 시그니처를 추출하고 실제 발생 트래픽을 분석하고, 분석에 사용된 시그니처에 사용 이력을 기록하여 시그니처 별 최대 유휴 시간을 분석한 그래프이다. 정확한 실험을 위해 2회 이상 사용된 시그니처만 대상으로 하였다. 즉, 일회성 시그니처는 실험 대상에서 제외시켰다.
그 결과 웹(IE)이나 메신저(nateon) 트래픽을 분석한 시그니처의 유휴 시간은 P2P 응용(torrent)에서 발생한 트래픽을 분석한 시그니처의 유휴 시간보다 상대적으로 길었다. 이를 근거로 시그니처 사용 이력 정보를 활용하여 응용별로 최대 유휴 시간을 정할 수 있음을 알 수 있다. 즉, 응용별로 가장 긴 유휴 시간을 갖는 시그니처에 기록된 유휴 시간을 응용별 최대 유휴 시간을 정하는 데 사용할 수 있다.
하지만 네트워크의 환경에 따라 각 응용에 적합한 유휴 시간 기준값이 다를 것이므로, 본 발명의 일실시예에서는 각 응용의 최대 유휴 시간 값을 유동적으로 구하기 위해 해당 응용 시그니처 중 가장 긴 유휴 시간을 α배한 값을 사용할 수 있다. 즉, α배의 이유는 응용 별 유휴 시간 기준을 응용의 사용량에 따라 유동적으로 변화시키기 위함이다. 여기서 α값은 예를 들어 1.1이 될 수 있다.
도 11의 방법은 입력된 시그니처의 최대 유휴시간과 해당 응용의 최대 유휴 시간을 비교하여 일정 기간 이상 사용하지 않은 시그니처를 판별한다. 입력된 시그니처의 응용을 확인(line:4)하고, 현재 시간을 기준으로 유휴 시간을 계산한다(line:5). 입력된 시그니처의 유휴 시간이 해당 응용에서 추출된 시그니처들의 최대 유휴 시간 α배와 비교(line:6)하여 크면 참을 반환(line:7)하고 그렇지 않으면 거짓을 반환(line:8)한다. 즉, 해당 응용의 최대 유휴 시간 보다 오랜 기간 사용하지 않은 시그니처를 삭제 대상 시그니처로 판별한다.
도 12는 시그니처별 트래픽 분석 성능을 분석한 그래프를 도시하며, 도 13은 통계적 특성 분석 단계의 흐름을 도시한다.
트래픽 특성을 연구한 논문들에 따르면, 소량의 우세한(dominant) 몇몇 트래픽이 전체 트래픽에 큰 영향을 미친다. 즉, 전체 트래픽에서 소수의 유력(heavy hitter) 플로우가 트래픽의 많은 바이트 비율을 차지한다.
마찬가지로 헤더 시그니처에도 유력 시그니처가 존재 한다. 즉, 트래픽 분석에 있어 우세한 트래픽을 분석하는 우세한 헤더 시그니처가 존재한다. 따라서 이러한 우세한 시그니처들을 시그니처 테이블에 오래 유지시켜야 트래픽 분석 성능을 향상시킬 수 있을 것이다.
도 12는 우세한 시그니처의 존재를 확인하기 위하여 일정 기간 동안 시그니처를 추출하고 해당 시그니처로 분석된 트래픽의 비율을 조사한 결과를 보여준다. 우세한 시그니처를 확인하기 위하여 분석한 트래픽의 비율이 높은 순서로 시그니처 아이디를 부여하였다.
그 결과, 일부 시그니처(73.56%) 만이 트래픽 분석에 사용되었고, 또한 몇몇 소량의 시그니처(15.17%)가 분석된 트래픽의 대부분(90%)을 분석하였음을 알 수 있다. 즉, 우세한 트래픽을 분석하는 우세한 시그니처가 존재함을 확인할 수 있다
본 관리 방법에서는 우세한 시그니처를 판별하기 위해 해당 시그니처가 분석한 트래픽의 다양한 특성(예를 들어, 플로우의 크기, 플로우의 지속 시간)을 사용하며, 하나 이상의 측면에서 우세한 특성을 가지면 해당 시그니처를 우세한 시그니처로 판별한다.
또한, 응용별로 상이한 특성을 반영하기 위해 응용별 평균 트래픽 특성을 기준으로 각 트래픽 특성을 파악한다. 우세한 특성을 판단하기 위해 각 특성의 평균(mean)과 표준편차(standard deviation)를 사용한다. 즉, 어떤 특성이 우세한 특성인지 여부는 해당 응용으로 분석된 전체 트래픽의 평균과 표준편차 3배의 합보다 해당 특성의 값이 큰지 여부로 판별된다. 이 방법은 종래에 제안된 방법이므로 왜 이러한 수식을 사용하는지에 대한 설명은 생략한다.
도 13의 방법은 앞에서 예로 든 플로우의 크기(i가 0일 때), 플로우의 지속 시간(i가 1일 때)이라는 2가지 측면의 트래픽 특성을 파악하기 위해 반복 구조(line:4~11)를 사용한다. 우선, 시그니처가 입력되면, 해당 시그니처가 추출된 응용을 확인한다(line:6). 확인된 응용으로 분석된 전체 트래픽의 해당 특성에 대한 평균(mean) 과 표준 편차(standard deviation)을 구한다(line:7~8). 해당 시그니처의 특성과 해당 시그니처가 속한 응용의 전체 특성을 비교하여 우세한 시그니처를 분석한다(line:9~10).
도 14는 응용별 시그니처 사용률을 분석한 그래프를 도시하며, 도 15는 사용 빈도 분석 단계의 흐름을 도시한다.
시그니처는 해당 응용 서버를 대표하는 것이기 때문에 해당 응용을 사용할 때 자주 사용되는 것이어야 한다. 따라서, 해당 시그니처로 분석된 트래픽을 발생시킨 호스트의 개수 대비 해당 응용으로 분석된 트래픽을 발생시킨 호스트 개수의 비율로 계산되는 시그니처의 사용률이 임계값 β 이상일 때 해당 시그니처를 삭제 대상에서 제외하는 것이 필요하다. 즉, 인기있는 시그니처는 시그니처 목록에 유지하자는 것이다.
도 14는 응용별 시그니처의 사용률을 확인하기 위해 몇몇 응용을 선정하고 사용률의 분포를 분석한 그래프이다. 그 결과, 단일 호스트에서 트래픽이 발생하는 P2P 응용의 경우 대부분 시그니처의 사용률이 0인 것에 반해, 메신저 응용의 경우 사용률이 상대적으로 높은 시그니처가 존재함을 확인할 수 있다.
도 15의 방법은 시그니처가 입력되면 해당 시그니처가 추출된 응용을 확인한다(line:4). 확인된 응용을 통해 해당 응용을 사용한 호스트의 개수를 구한다(line:5). 이 응용을 사용한 총 호스트의 개수와 해당 시그니처를 사용한 호스트의 개수의 비율(line:6)이 특정 기준값(β)을 넘으면 해당 시그니처는 인기있는 시그니처로 판별된다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
10: 네트워크 트래픽 분석 시스템
100: 시그니처 저장부(100)
200: 시그니처 추출부(200)
300: 트래픽 분석부(300)
400: 시그니처 관리부(400)

Claims (11)

  1. 네트워크 트래픽 분석 시스템에 있어서,
    네트워크 트래픽으로부터 시그니처를 추출하는 시그니처 추출부;
    상기 시그니처 추출부에 의해 추출된 상기 시그니처가 저장되는 시그니처 저장부;
    상기 시그니처 저장부에 저장되어 있는 시그니처를 기초로 네트워크 트래픽을 분석하고, 상기 시그니처에 상기 트래픽의 분석 이력을 저장하는 트래픽 분석부; 및
    상기 분석 이력을 기초로 도출되는 상기 시그니처의 적어도 하나 이상의 특성을 기초로 상기 시그니처 저장부에 저장되어 있는 시그니처의 삭제 여부를 결정하여 상기 시그니처 수를 최소량으로 유지하는 시그니처 관리부;를 포함하되,
    상기 분석 이력은 트래픽의 크기, 지속 시간, 호스트, 및 사용 시간 중 적어도 하나 이상을 포함하는 네트워크 트래픽 분석 시스템.
  2. 제 1 항에 있어서,
    상기 트래픽 분석부는 분석 대상 네트워크의 트래픽을 수집하여, 상기 트래픽을 발생시킨 응용에 따라 분류하고, 상기 분류된 트래픽을 수량적으로 측정하는 것이되,
    상기 시그니처 추출부는 상기 네트워크 트래픽을 응용별로 분류하여 상기 응용에 대한 정보를 포함하는 시그니처를 생성하며,
    상기 트래픽 분석부는 상기 트래픽 분석시 상기 시그니처에 포함되어 있는 상기 응용 정보를 사용하는 네트워크 트래픽 분석 시스템.
  3. 제 1 항에 있어서,
    상기 시그니처 추출부는 상기 응용 트래픽을 서버별로 재구성하여 상기 시그니처를 추출하며, 상기 시그니처는 상기 서버의 헤더에서 추출한 IP 주소, 포트 번호, 및 전송 계층 프로토콜 정보를 키로 하는 해시 자료 구조를 사용하여 상기 시그니처 저장부에 저장되며,
    상기 트래픽 분석부는 수집된 네트워크 트래픽의 헤더 정보에서 추출한 IP 주소, 포트 번호, 및 전송 계층 프로토콜 정보를 해시 키로 하여 상기 시그니처 저장부에서 상기 해시 키가 동일한 시그니처를 검색하고, 상기 검색된 시그니처의 응용을 통해 상기 트래픽의 응용을 식별함으로써 상기 트래픽을 분석하는 것인 네트워크 트래픽 분석 시스템.
  4. 제 1 항에 있어서,
    상기 시그니처 추출부는 정답지 트래픽(Ground Truth Traffic)을 실시간으로 수집하여 상기 시그니처를 추출하는 네트워크 트래픽 분석 시스템.
  5. 제 1 항에 있어서,
    상기 시그니처 특성은 시그니처 발생 형태 정보를 포함하며, 상기 시그니처 관리부는 상기 정보를 기초로 일회성 시그니처를 삭제하는 네트워크 트래픽 분석 시스템.
  6. 제 1 항에 있어서,
    상기 시그니처 특성은 시그니처 사용 주기 정보를 포함하며, 상기 시그니처 관리부는 상기 정보를 기초로 상기 시그니처가 트래픽 분석에 사용되지 않은 시간이 응용별 최대 유휴 시간 이상인 시그니처를 삭제하는 네트워크 트래픽 분석 시스템.
  7. 제 1 항에 있어서,
    상기 시그니처 특성은 시그니처가 분석한 트래픽의 통계적 특성 정보를 포함하며, 상기 시그니처 관리부는 상기 정보를 기초로 전체 트래픽에 큰 영향을 미치는 우세한 트래픽을 분석해내는 우세한 시그니처를 유지하되,
    상기 우세한 시그니처는 상기 분석 이력에 기록된 트래픽의 다양한 특성 중 적어도 하나가 우세하다고 판단될 경우 우세한 시그니처로 결정되는 것이며,
    상기 특성이 우세한지 여부는 상기 시그니처에 해당되는 응용으로 분석된 트래픽의 평균과 표준 편차에 기초하여 판단되는 것인 네트워크 트래픽 분석 시스템.
  8. 제 1 항에 있어서,
    상기 시그니처 특성은 시그니처 사용 빈도 정보를 포함하며, 상기 시그니처 관리부는 상기 정보를 기초로 여러 호스트에 사용된 인기 시그니처를 유지하되,
    상기 인기 시그니처는 상기 시그니처의 응용을 사용하는 호스트 수 대비 상기 시그니처를 사용하는 호스트 수 비율이 임계값을 초과한 경우인 네트워크 트래픽 분석 시스템.
  9. 네트워크 트래픽 분석 방법에 있어서,
    (a) 네트워크 트래픽을 응용별로 분류하여 상기 응용에 대한 정보를 포함하는 시그니처를 추출하는 단계;
    (b) 분석 대상 네트워크의 트래픽을 수집하고, 상기 시그니처에 포함되어 있는 상기 응용 정보를 사용하여 상기 트래픽을 발생시킨 응용에 따라 분류하고, 상기 분류된 트래픽을 수량적으로 측정하여 네트워크 트래픽을 분석하고, 상기 시그니처에 상기 트래픽의 크기, 지속 시간, 호스트, 및 사용 시간 중 적어도 하나 이상을 포함하는 트래픽 분석 이력을 저장하는 단계; 및
    (c) 상기 분석 이력을 기초로 도출되는 상기 시그니처의 적어도 하나 이상의 특성을 기초로 상기 시그니처의 삭제 여부를 결정하여, 상기 시그니처 수를 최소로 유지하는 단계;를 포함하는 네트워크 트래픽 분석 방법.
  10. 제 9 항에 있어서,
    상기 시그니처는 상기 응용 트래픽을 서버별로 재구성하여 헤더에서 추출한, 상기 서버의 IP 주소, 포트 번호, 및 전송 계층 프로토콜 정보를 포함하는 네트워크 트래픽 분석 방법.
  11. 제 9 항에 있어서,
    상기 시그니처 특성은 시그니처 발생 형태, 시그니처사용 주기, 시그니처가 분석한 트래픽의 통계적 특성, 및 시그니처 사용 빈도 정보를 포함하며,
    상기 (c) 단계는 상기 정보를 기초로 일회성 시그니처, 및/또는 트래픽 분석에 사용되지 않은 시간이 응용별 최대 유휴 시간 이상인 시그니처를 삭제하고,
    전체 트래픽에 큰 영향을 미치는 우세한 트래픽을 분석해내는 우세한 시그니처, 및 여러 호스트에 사용된 인기 시그니처를 유지하는 네트워크 트래픽 분석 방법.
KR1020110119909A 2011-11-17 2011-11-17 네트워크 트래픽 분석 시스템 및 방법 KR101338223B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110119909A KR101338223B1 (ko) 2011-11-17 2011-11-17 네트워크 트래픽 분석 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110119909A KR101338223B1 (ko) 2011-11-17 2011-11-17 네트워크 트래픽 분석 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130054511A true KR20130054511A (ko) 2013-05-27
KR101338223B1 KR101338223B1 (ko) 2013-12-10

Family

ID=48663276

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110119909A KR101338223B1 (ko) 2011-11-17 2011-11-17 네트워크 트래픽 분석 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101338223B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101512134B1 (ko) * 2014-03-31 2015-04-14 (주) 시스메이트 비대칭 트래픽 통계 분산 처리 장치 및 방법
US9628364B2 (en) 2015-04-17 2017-04-18 Somansa Co., Ltd. Test automation system and method for detecting change in signature of internet application traffic protocol
KR20180055142A (ko) * 2016-11-16 2018-05-25 고려대학교 세종산학협력단 최신 네트워크 응용 분류를 위한 자동화 페이로드 시그니쳐 업데이트 시스템 및 방법
KR102297290B1 (ko) * 2020-10-19 2021-09-03 (주)휴네시온 네트워크 트래픽의 양자화 분석 장치 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101148705B1 (ko) * 2009-05-26 2012-05-23 포항공과대학교 산학협력단 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101512134B1 (ko) * 2014-03-31 2015-04-14 (주) 시스메이트 비대칭 트래픽 통계 분산 처리 장치 및 방법
US9628364B2 (en) 2015-04-17 2017-04-18 Somansa Co., Ltd. Test automation system and method for detecting change in signature of internet application traffic protocol
KR20180055142A (ko) * 2016-11-16 2018-05-25 고려대학교 세종산학협력단 최신 네트워크 응용 분류를 위한 자동화 페이로드 시그니쳐 업데이트 시스템 및 방법
KR102297290B1 (ko) * 2020-10-19 2021-09-03 (주)휴네시온 네트워크 트래픽의 양자화 분석 장치 및 방법

Also Published As

Publication number Publication date
KR101338223B1 (ko) 2013-12-10

Similar Documents

Publication Publication Date Title
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
US9088598B1 (en) Systematic mining of associated server herds for uncovering malware and attack campaigns
KR101519623B1 (ko) 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US8634717B2 (en) DDoS attack detection and defense apparatus and method using packet data
US20070248084A1 (en) Symmetric connection detection
JP2015502060A (ja) ネットワークメタデータを処理するストリーミング方法およびシステム
Brahmi et al. Towards a multiagent-based distributed intrusion detection system using data mining approaches
Aizuddin et al. DNS amplification attack detection and mitigation via sFlow with security-centric SDN
KR101338223B1 (ko) 네트워크 트래픽 분석 시스템 및 방법
CN111835681A (zh) 一种大规模流量异常主机检测方法和装置
Vaarandi Detecting anomalous network traffic in organizational private networks
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
JP2020022133A (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
Zhang et al. A spark-based DDoS attack detection model in cloud services
US7706273B2 (en) Port tracking on dynamically negotiated ports
Kong et al. Time-out bloom filter: A new sampling method for recording more flows
Liu et al. Next generation internet traffic monitoring system based on netflow
Shaheen et al. A proactive design to detect denial of service attacks using SNMP-MIB ICMP variables
Nawaz et al. Attack detection from network traffic using machine learning
KR101573413B1 (ko) 주성분 분석을 기반으로 하는 침입 탐지 장치 및 그 방법
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统
Nie et al. Intrusion detection using a graphical fingerprint model
TWI666568B (zh) 在Netflow上以會話型式之P2P殭屍網路偵測方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 7