KR20150072472A - 제어패킷 이상 증가 검출장치 - Google Patents

제어패킷 이상 증가 검출장치 Download PDF

Info

Publication number
KR20150072472A
KR20150072472A KR1020130158936A KR20130158936A KR20150072472A KR 20150072472 A KR20150072472 A KR 20150072472A KR 1020130158936 A KR1020130158936 A KR 1020130158936A KR 20130158936 A KR20130158936 A KR 20130158936A KR 20150072472 A KR20150072472 A KR 20150072472A
Authority
KR
South Korea
Prior art keywords
control packet
abnormal increase
value
flags
peak value
Prior art date
Application number
KR1020130158936A
Other languages
English (en)
Inventor
차양명
Original Assignee
주식회사 아이디어웨어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이디어웨어 filed Critical 주식회사 아이디어웨어
Priority to KR1020130158936A priority Critical patent/KR20150072472A/ko
Priority to PCT/KR2014/003397 priority patent/WO2015046697A1/ko
Publication of KR20150072472A publication Critical patent/KR20150072472A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 제어패킷 이상 증가 검출장치에 관한 것으로, 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 수집부와, 상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정하는 측정부와, 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 기록부와, 상기 측정부에서 측정되는 제어 플래그들의 초당 발생량과 상기 기록부에서 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 판단부와 상기 판단부에서 이상 증가가 검출되었을 경우, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 알람기록부를 구비한다.

Description

제어패킷 이상 증가 검출장치{Device for Detecting Abnormal Surge in Control Packet}
본 발명은 무선 네트워크 부하의 주요 원인인 제어패킷의 이상 증가 현상을 검출하기 위한 것이다.
스마트폰의 보급 이후 개인의 단말 사용 패턴은 음성통화에서 데이터 통신위주로 급속히 전환되고 있다.
도면 1의 모바일(무선) 데이터 트래픽 지표에서 보는 바와 같이, 향후 10~15년간 약 26배의 모바일 트래픽 증가가 예상되며, 2010년 개인이 하루에 사용하는 모바일 데이터량은 15MB수준이었으나, 2020년에 1GB에 이르게 될 수 있다.
이러한, 모바일 트래픽 증가는 이동통신사의 수익성 및 서비스 품질에 직접적으로 영향을 미치는 요인으로 작용하며, 서비스 사업자인 이동통신사의 장비증설을 수반하며, 이에 따른 수익악화가 불가피한 실정이며, 모바일 네트워크를 이용하는 사용자 또한 데이터 통신 속도 지연에 따른 서비스 불만족이 증가하게 된다.
이에 따라, 이동통신사들은 투자부담 감소와 서비스 품질보장을 위해 네트워크 인프라를 효율적으로 활용해야 하는 과제에 봉착했으며 현재의 솔루션에는 한계가 존재하므로 예측가능성과 실시간 통제가 보장되는 대안이 필요한 실정이다.
한편, 도면 2에서 보는 바와 같이, 모바일 네트워크 혼잡의 주요 요인은 무선단말장치에 설치된 각종 애플리케이션을 통한 통신망 상의 서버와의 트래픽 채널 생성이다.
즉, 무선단말장치에서 통신망 상의 서버와 하나의 트래픽 채널을 생성하기 위해서는 기지국의 위치확인 등 통신망 상의 장치들과 수십여번의 시그날 통신이 선행되어야 하며, 이러한 시그날 통신은 대용량의 패킷 전송보다 통신망 상에 더 커다란 부하를 유발한다.
또한, 하나의 서버(IP로 구분)에 여러 무선단말장치들이 TCP 프로토콜을 이용하여 서버와 연결되어 있는 상황에서, 서버관리를 위해 서버를 정상 종료시키거나 다양한 원인으로 인해 서버가 다운되어 무선단말장치와의 연결이 끊어지게 될 경우, 짧은 시간 내에 서버에 접속 중인 무선단말장치들에게 TCP의 제어플래그인 RST 또는 FIN이 설정된 제어패킷이 전송된다.
사용자가 많은 대형 서비스들의 서버가 여러 무선단말장치와 연결되어 있었을 경우 이러한 상황에서는 제어패킷이 순간적으로 폭발적인 증가상태를 보일 수 있으며, 특히 무선망에서는 이러한 제어패킷들은 해당 무선단말장치에 전달되기 위해서 기지국에 과부하를 발생시킬 수 있게 된다.
결론적으로, 네트워크 혼잡에 따른 이동통신 사업자의 막대한 비용소모와 무선단말정치 사용자들의 서비스 불만족을 해결해기 위해서는 과도한 트래픽 채널 생성을 유도하는 서버 정보와 트래픽 채널 생성 및 해제에 따른 제어패킷의 이상 증가 현상을 모니터링 할 수 있어야 하나, 통신망 시스템 상에서 이러한 모니터링을 보다 쉽고 편리하게 처리할 수 있는 방안이 전무한 실정이다.
상기한 종래 기술의 문제점 및 과제에 대한 인식은 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이 아니므로 이러한 인식을 기반으로 선행기술들과 대비한 본 발명의 진보성을 판단하여서는 아니됨을 밝혀둔다.
상기와 같은 문제점을 해소하기 위한 본 발명의 목적은, 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷들을 서버 식별정보(IP, URL 등)별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷들의 이상 증가를 검출함으로써, 모바일 네트워크의 과부하 원인 중 하나인 제어패킷의 이상 증가현상을 모니터링 할 수 있도록 하는 장치를 제공함에 있다.
본 발명에서 이루고자 하는 기술적 과제는 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명에 따른 제어패킷 이상 증가 검출장치는, 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 수집부와, 상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정하는 측정부와, 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 기록부와, 상기 측정부에서 측정되는 제어 플래그들의 초당 발생량과 상기 기록부에서 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 판단부와 상기 판단부에서 이상 증가가 검출되었을 경우, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 알람기록부를 구비한다.
일 측에 따르면, 상기 알람 기록부는, 상기 판단부에서 이상 증가를 검출하였을 경우, 현재시각을 기준으로 과거의 n초까지의 기록과 이후의 m초까지의 시간을 기록하며, 알람정보를 출력하거나, 또는 알람정보를 하나 이상의 단말 또는 서버로 전송할 수 있다.
또 다른 측면에 따르면, 상기 기록부는, 평균 값을 산출시, 매초마다 유입되는 플래그들의 개수를 측정하고, 이 값을 기존 피크값과 비교한 후, 이번 피크값을 새로운 플래그 개수로 설정할 지, 이전 피크값을 플래그 개수로 설정할 지, 이전 피크값을 감소시킨 값으로 플래그 개수를 설정할 지를 결정하고, 계산된 각각의 피크 플래그 개수들의 평균을 산출할 수 있으며, 새로운 플래그 개수가 이전 피크 값보다 큰 경우, 새로운 플래그 개수를 피크 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하면, 새로운 피크 값을 이전 피크 값을 특정 값으로 감소시킨 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하지 않으면, 새로운 피크 값을 이전 피크 값으로 유지할 수 있다.
또 다른 측면에 따르면, 상기 판단부는, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어설 경우 제어패킷의 이상 증가로 판단하거나, 또는 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지고, 기 설정한 임의의 하한치를 넘을 경우, 제어패킷의 이상 증가로 판단할 수 있다.
또 다른 측면에 따르면, 상기 판단부는, 이상증가가 발생한 서버의 식별정보정보와, 이상 증가 발생 시각 정보와, 이상 증가 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보를 하나 이상 검출할 수 있으며, 상기 기록부에서 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록시, 얼마 간의 시간 동안 기록을 할 지 조절할 수 있다.
본 발명의 일 양상에 따르면, 무선단말장치와 서버 간 통신망 상에서의 제어패킷 이상 증가현상을 검출함으로써, 특정 서버와의 제어패킷 이상 증가에 따른 네트워크 과부하를 제어할 수 있는 모니터링을 보다 쉽고 빠르게 처리할 수 있는 효과를 지니고 있다.
본 발명의 일 양상에 따른 또 다른 효과는, 과도한 제어패킷 증가현상을 유도하는 특정 서버와의 접속을 제어할 수 있도록 하여, 네트워크 이용의 최적화를 가져올 수 있으며, 이를 통해 이동통신사업자의 네트워크 증설비용을 최소화 할 수 있다.
본 발명의 일 양상에 따른 또 다른 효과는, 네트워크 이용의 최적화를 통해 데이터 통신지연 등에 따른 무선단말장치 사용자의 불만을 최소화 하는 동시에 무선단말장치의 배터리 소모를 크게 줄일 수 있도록 한다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 전술한 발명의 상세한 설명과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되지 않아야 한다.
도 1은 모바일(무선) 데이터 트래픽 지표를 도시한 도면이다.
도 2는 종래 모바일 네트워크 혼잡의 주요 요인 중 하나를 도시한 도면이다.
도 3은 본 발명의 실시 방법에 따른 제어패킷 이상 증가 검출장치의 주요 구성부를 도시한 도면이다.
도 4는 일반적인 제어패킷이 포함된 패킷의 사례를 보여주는 도면이다.
도 5는 측정된 제어패킷을 도식화한 일실시예도이다.
도 6은 측정된 제어패킷을 도식화한 또 다른 일실시예도이다.
도 7은 본 발명의 실시 방법에 따른 제어 플래그들의 초당 발생량을 측정하는 일실시예도이다.
도 8 내지 도 10은 본 발명의 실시 방법에 따른 제어 플래그의 평균값을 산출하기 위한 과정을 보여주는 일실시예도 이다.
도 11 내지 도 13은 본 발명의 실시 방법에 따른 제어 플래그의 피크 평균값을 산출하기 위한 과정을 보여주는 일실시예도 이다.
도 14는 본 발명의 실시 방법에 따른 제어패킷의 이상 증가 현상을 검출하는 프로세스를 도시한 도면이다.
이하 첨부된 도면과 설명을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 다만, 하기에 도시되는 도면과 후술되는 설명은 본 발명의 특징을 효과적으로 설명하기 위한 여러 가지 방법 중에서 바람직한 실시 방법에 대한 것이며, 본 발명이 하기의 도면과 설명만으로 한정되는 것은 아니다. 또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 발명에서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
도 3은 본 발명의 실시 방법에 따른 제어패킷 이상 증가 검출장치(100)의 주요 구성부를 도시한 도면이다.
보다 상세하게 본 도면3은 제어패킷 이상 증가 검출장치(100)가 복수개의 무선단말장치(200)와 복수개의 서버(300)가 패킷 송수신을 하는 통신망 또는 네트워크와 연결되어 상기 패킷(상기 패킷은 데이터로 표현이 가능하며, 이하 패킷과 데이터는 동일한 의미로 해석된다.)을 수집 또는 캡쳐한 후, 제어패킷의 이상 증가현상을 검출하는 구성을 도시한 것이다.
본 도면 3에 도시된 각각의 구성은 본 발명의 실시예를 설명하기 위한 구성일 뿐, 본 발명은 도면 3에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
본 발명의 일 실시방법에 따르면, 상기 제어패킷 이상 증가 검출장치(100)는 통신망을 통해 복수개 무선단말장치(200) 및 복수개 서버(300) 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하고, 상기 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정하고, 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산한 후, 상기 측정되는 제어 플래그들의 초당 발생량과 상기 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출한 후, 사용자에게 이상증가 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 역할을 수행한다.
여기서, 상기 제어패킷은, 하나 이상의 무선단말장치(200)와 연결된 서버(300)를 정상 종료시키거나 또는 하나 이상의 원인으로 인해 상기 서버(300)가 다운되어 상기 무선단말장치(200)와의 연결이 끊어지게 될 경우, 서버(300)에 접속 중인 무선단말장치(200)들에게 전송하는 TCP의 제어플래그인 세션의 재시작(RST) 또는 세션의 종료(FIN) 또는 세션의 연결(SYN)이 설정된 패킷을 의미하며, 상기 제어패킷 플래그는, 세션의 재시작(RST), 세션의 종료(FIN), 세션의 연결(SYN)을 하나 이상 포함한다.
또한, 상기 알람정보는, 이상 증가 검출 시각, 패킷 교환 서버에 대한 식별정보, DNS정보, TCP 플래그, 초당 유입량, 접속되어 있던 클라이언트의 수, 해당 시간 구간의 검출 로그를 하나 이상 포함할 수 있으며, 상기 이상 증가는, 제어패킷의 초당 발생량이 기 설정한 임의의 기준을 넘어설 경우인 것을 의미하며, 상기 n초는, 1초인 것이 바람직할 것이다.
도면 3을 참조하면, 본 발명의 실시 방법에 따른 제어패킷 이상 증가 검출장치(100)는, 수집부(10)와, 측정부(20)와, 기록부(30)와, 판단부(40)와, 알람 기록부(50)를 포함하여 구성된다.
여기서, 상기 제어패킷 이상 증가 검출장치(100)는 실시예 설명을 위해 도면 상에는 단일 장치로 도시되어 있으나, 상기 각각의 구성부가 각각 하나 이상의 장치 또는 서버로 분리되어 구성될 수 있다.
도면 3을 참조하면, 상기 수집부(10)는, 통신망을 통해 복수개 무선단말장치(200) 및 복수개 서버(300) 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 역할을 수행한다.
본 발명의 일 실시방법에 따르면, 무선단말장치(200)가 서버(300)(게임, 웹, 채팅, 유튜브 등)와 통신을 할 때, 기본적으로 무선단말장치(200)에서 발생된 패킷은 GGSN(Gateway GPRS Support Node)을 거치면서 TCP/IP프로토콜로 변환되어 해당하는 서버(300)로 전달되는데, 무선단말장치(200)와 서버(300) 간에 주고 받던 통신에 문제를 발생시키지 않으면서 패킷들을 분석해야 하는 바, 상기 수집부(10)는 패킷을 복제한 후, 복제된 패킷을 측정부(20)와 기록부(30)로 전달하는 것이 바람직할 것이다.
일반적으로, 서버(300)와 무선단말장치(200) 간에 TCP프로토콜을 이용하여 세션의 연결(SYN), 데이터의 송수신, 세션의 종료(FIN), 세션의 재시작(RST)등을 수행하기 위해서는 서로 간에 TCP헤더 상의 특정한 필드값을 설정하여 패킷을 주고 받으면서, 제어패킷을 통해 연결을 맺거나 데이터를 전송하거나 끊게 되는데, 해당 헤더의 정보는 도면 4와 같다.
도면 4는 일반적으로 무선단말장치(200)와 서버(300) 간 송수신하는 패킷의 헤더의 정보를 보여주는 일실시예를 보여준다.
도 4에 따르면, 헤더 정보 중, “RST (1 bit) ? Reset the connection”, “SYN (1 bit) ? Synchronize sequence numbers. Only the first packet sent from each end should have this 플래그 set. Some other 플래그s change meaning based on this 플래그, and some -are only valid for when it is set, and others when it is clear”, “FIN (1 bit) ? No more data from sender” 등 제어패킷을 구분하는 구성을 볼 수 있다.
본 발명은 서버(300)에서 무선단말장치(200)로 짧은 시간에 많은 양의 FIN이나 RST가 설정이 된 제어패킷이 발생하는 경우 등 이러한 제어 플래그의 양이 이상 증가할 경우를 검출함으로서, 네트워크의 과부하 원인을 모니터링 할 수 있도록 하는 것이다.
본 발명의 일 실시방법에 따른 측정부(20)는, 상기 수집부(10)가 수집 또는 캡쳐하는 패킷들을 서버(300) 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정하는 역할을 수행한다.
도면 5는 한 시간 동안 특정 서버(300)가 무선단말장치(200)와 주고 받은 제어플래그들의 개수를 종류에 따라서 초단위로 도식화한 예이다(그래프 설명 : 가로선인 TX, RX를 기준으로, +y축은 서버(300)가 무선단말장치(200)로 보낸 초당 제어패킷의 개수이며, -y축은 무선단말장치(200)에서 서버(300)로 보낸 초당 제어패킷의 개수).
도 5에 따르면, 약 50여분 정도는 일정한 양의 FIN, SYN, RST패킷들이 서버(300)로 부터 발생하다가 54분 정도에 RST 패킷이 급증한 것을 볼 수 있다.
도면 6은 도 5를 통해 확인된 제어패킷의 이상 증가가 발생한 시점을 기준으로 이상 증가 관련 정보들을 검출하기 위한 그래프를 도식화 한 것이다.
본 발명의 일 실시방법에 따르면, 상기 제어패킷 이상 증가 검출장치(100)는 도 5와 도 6을 통해 제어패킷의 이상 증가 현상을 확인한 후, 이상증가가 발생한 서버(300)의 식별정보와, 이상 증가 발생 시각정보, 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보 등을 하나 이상 검출한다.
도면 7은 측정부(20)를 통해 현재 유입되고 있는 패킷들을 서버(300) 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그(SYN, FIN, RST등) 각각에 대해서 최근 1초 동안의 발생량을 측정하는 일실시사례를 보여준다.
여기서, TX는 서버(300)에서 무선단말장치(200)로 보내는 패킷을 의미하며, RX는 무선단말장치(200)에서 서버(300)로 보내는 패킷을 의미한다.
본 발명의 일 실시방법에 따르면, 상기 수집부(10)로부터 캡쳐되서 들어오는 패킷에는 패킷이 캡쳐된 시각이 밀리세컨드 (1/1000초)단위로 기록이 되어 지속적으로 들어오게 되며, 상기 측정부(20)는 이 패킷들 중 최근 1초 동안 패킷들에 대해서 플래그별로 합산을 하여 초당 유입량을 계산한다.
본 발명의 일 실시방법에 따른 기록부(30)는, 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 역할을 수행한다.
본 발명에 따르면, 상기 기록부는, 평균 발생량(평균 값)을 산출시, 매초마다 유입되는 플래그들의 개수를 측정하고, 이 값을 기존 피크값과 비교한 후, 이번 피크값을 새로운 플래그 개수로 설정할 지, 이전 피크값을 플래그 개수로 설정할 지, 이전 피크값을 감소시킨 값으로 플래그 개수를 설정할 지를 결정하고, 계산된 각각의 피크 플래그 개수들의 평균을 산출할 수 있다.
도 8 내지 도 10은 본 발명의 실시 방법에 따른 상기 기록부에서의 제어 플래그의 평균값을 산출하기 위한 과정을 보여주는 일실시예도 이다.
상기 기록부에 기록되어있는 정보(즉, 플래그별 초당 발생 개수)를 바탕으로 평균을 산출하는 방법은 다양하다.
먼저, 도 8을 보면, 10분 동안 발생한 RST의 개수를 측정한 그래프로서, 평균의 기준을 정하는 방법에 따라서 어떠한 값들이 나오는 지를 확인하고, 가장 적절하다고 판단되는 평균산출방법을 최종적으로 적용할 수 있다. (가로축 : 10분 = 총 600초, 세로축 : 파란선이 100개임을 표시)
이러한 상태에서 이상증가를 판단하기 위한 평균값은 도 9에서 보는 바와 같이 붉은라인들의 평균값이 적절할 것이며(피크 평균), 붉은 라인을 평균을 낸다면 대략 50전후의 값이 나올 것이다.
이렇게 평균을 계산한 후에 다음 유입량이 평균의 n배 이상일 경우 이상증가로 판단하는데 사용된다.
본 발명의 일 실시방법에 따른 판단부(40)는, 상기 측정부(20)에서 측정되는 제어 플래그들의 초당 발생량과 상기 기록부(30)에서 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 역할을 수행한다.
한편, 도 10에서 보는 바와 같이, 평균값을 산출하는 방식은 다양하다.
먼저, 단순 산술 평균값(normal count)의 경우, 발생한 모든 RST의 합을 600초로 나눈 값이며, 8536(총 발생횟수)/600(총시간, 초단위) = 14.2(초당 평균 발생량)를 보여주고 있으나, 이 값은 목표로 하는 값과 큰 차이를 보이며 이상증가를 판단하기 위한 평균값으로는 부적절하다.
또한, active(>0, >30)의 경우, RST의 합산은 동일하며, 분모를 초당 발생량의 개수가 >0, >30을 만족하는 시각의 횟수로 나눈 값이며(실제로 값이 존재하는 구간에 대해서 n개 이상의 개수가 발견된 경우), >0인 경우에는 평균이 17, >30인 경우에는 46의 값을 지니며, >30인 경우에는 목표로 하는 값과 유사하긴하나, 데이터의 유형에 따라 적절한 값이 나올 때도 있고 나오지 않을 때도 있어서 사용하진 않는다.
한편, 피크 평균은 이전의 피크 값과 새로운 피크 값을 이용하여 값을 유지, 상승, 하락시키면서 가상의 피크값(붉은색 가로선)을 계산 후에 이들의 평균을 산출한 값인데, 이 경우에는 53의 값을 가지며, 목표로 한 값과 유사한 값을 도출하는 것을 볼 수 있으며, 이를 이용하여 평균값을 계산하고 이 값의 *n배인 경우에 이상증가로 판별할 수 있게 된다.
즉, 피크 평균을 이용하는 방법의 경우, 이전에 결정된 피크 값(peak value)과 새로 측정된 플래그의 개수(new value)를 이용하는 것으로, 매초마다 유입되는 플래그들의 개수를 측정(new value)하고, 이 값을 기존 피크값(peak value)과 비교한 후, 이번 피크값을 new value로 설정할 지, 이전 피크값으로 설정할 지(기존 값 유지), 이전 피크값을 감소시킨 값으로 설정할 지를 도면 11에서 보여주는 알고리즘에 의해 결정하고, 계산된 각각의 peak value들의 평균을 산출하는 방법이다.
도 11에서 특정시간(Drop time)동안 특정값(Drop condition)초과하는 것을 예를 들면, 매초마다 둘 값의 차이가 기존 값의 절반보다 큰 경우가 5초 이상 연속되게 발견 될 경우, 특정시간(Drop time)은 5가 되며, 특정값(Drop condition)은 (이전 peak value / 2)가 된다.
또한, 도 11에서 특정 값으로 감소(Drop value)하는 것에 대한 예를 들면, “기존값의 1/3로 감소(drop value = peak value / 3)”를 들 수 있으며, 이전값을 얼마만큼 감소시킬 것인가, 얼마동안 둘의 격차가 일정한 값 이상 벌어질 경우에 감소시킬지는 임의 지정이 가능하며, 이 값을 어떻게 정하느냐에 따라서 평균값은 다르게 나올 수 있으므로 데이터에 적절한 값으로 설정하는 것이 바람직할 것이다.
도 12는 피크 평균값을 산출하는 사례를 도표화 한 사례로서, RST 플래그가 매초마다 10, 5, 3, 20, 5, 5, 5, 5, 5, 15가 들어온다고 가정하고, Drop time이 3(3회 이상 기존 값과의 차이가 크게 발생할 경우), Drop condition이 기존값/2(기존값과의 차이가 이 값보다 큰 경우), Drop value가 기존값/3(기존값의 1/3을 새로운 값으로 지정)이라고 가정할 경우, 피크 평균 값의 변화를 보여준다.
즉, 도 12에서와 같은 방식으로 피크 평균을 산출하면, 도 13에서와 같이 실제 측정한 값(계열 1)과 가상으로 만들어진 값(계열 2)을 도출할 수 있으며, 이를 이용하여 평균값을 산출할 수 있게 된다.
도 8 내지 도 13에서 보여준 바와 같은 본 발명에 따른 기록부의 실시방법은 일실시방법일 뿐 평균값(평균발생량)을 산출하기 위한 방법은 당업자의 의도에 따라 여러 가지 방식이 가능할 것이다.
본 발명에 따르면, 상기 판단부(40)는, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어설 경우 제어패킷의 이상 증가로 판단하거나, 또는 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상이고, 기 설정한 임의의 하한치를 넘을 경우 제어패킷의 이상 증가로 판단할 수 있다.
또한, 상기 판단부(40)는, 이상증가가 발생한 서버(300)의 식별정보와, 이상 증가 발생 시각 정보와, 이상 증가 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보를 하나 이상 검출할 수 있으며, 상기 기록부(30)에서 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록시, 얼마 간의 시간 동안 기록을 할 지 조절하는 역할을 더 수행할 수 있다.
본 발명의 일 실시방법에 따른 알람 기록부(50)는, 상기 판단부(40)의 검출결과, 제어패킷의 이상 증가가 검출되면, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 역할을 수행한다.
본 발명에 따르면, 상기 알람 기록부(50)는 판단부에서 이상 증가를 검출하였을 경우, 현재시각을 기준으로 과거의 n초까지의 기록과 이후의 m초까지의 시간을 기록하며, 알람정보를 출력하거나, 또는 알람정보를 하나 이상의 단말 또는 서버로 전송할 수 있다.
여기서, 상기 알람정보는 이상 증가 검출 시각, 패킷 교환 서버, DNS정보, TCP 플래그, 초당 유입량, 접속되어 있던 클라이언트의 수, 해당 시간 구간의 검출 로그를 하나 이상 포함할 수 있다.
상기 알람정보를 예를 들면, “발생시각 : 2013년 10월 21일 오후 1시 18분 53초”, “서버 : 127.0.0.1 (www.naver.com)”, “RST flag의 이상증가 탐지”, “초당 유입량 300”, “접속 클라이언트 수 : 234명” 등과 이상 증가 시간대의 그래프 등을 포함할 수 있다.
본 발명에 따르면, 상기 제어패킷 이상 증가 검출장치(100)의 각 구성부는 프로그램 내지 프로그램 셋의 형태로 구현 가능하며, 두 개 이상의 장치에 분할되어 구비될 수 있다.
도 14는 본 발명의 실시 방법에 따른 제어패킷의 이상 증가 현상을 검출하는 프로세스를 도시한 도면이다.
우선, 제어패킷 이상 증가 검출장치(100)는 수집부(10)를 통해 복수개 무선단말장치(200) 및 복수개 서버(300) 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐한다(S1410).
이후, 제어패킷 이상 증가 검출장치(100)는 측정부(20)를 통해 상기 수집부(10)가 수집 또는 캡쳐하는 패킷들을 서버(300) 식별정보별로 분류(S1420).
이후, 제어패킷 이상 증가 검출장치(100)의 측정부(20)는 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정한다(S1430).
한편, 패킷 이상 증가 검출장치(100)는 기록부(30)를 통해 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록한다(S1440).
이후, 패킷 이상 증가 검출장치(100)는 기록부(30)를 통해 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산한다(S1450).
여기서, 상기 (S1420)과 (S1430)과정은 상기 (S1440)과정과 (S1450)과정과 그 순서를 바꾸어도 무방하며, 상기 (S1420) 및 (S1430)과정과 상기 (S1440)과정 및 (S1450)과정은 동시에 수행되어도 무방하다.
이후, 패킷 이상 증가 검출장치(100)는 판단부(40)를 통해 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘는지 확인한다(S1460).
만약, (S1460)과정에서, 확인결과, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어설 경우(S1470), 패킷 이상 증가 검출장치(100)의 판단부(40)는 제어패킷의 이상 증가로 판단한다(S1475).
만약, (S1460)과정에서, 확인결과, 특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어서지 않는 경우(S1480), 패킷 이상 증가 검출장치(100)는 판단부(40)를 통해 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지고, 기 설정한 임의의 하한치를 넘는지 확인한다(S1485).
만약, (S1485)과정에서, 확인결과, 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지고, 설정한 임의의 하한치를 넘는 경우(S1490), 패킷 이상 증가 검출장치(100)의 판단부(40)는 제어패킷의 이상 증가로 판단한다(S1475).
만약, (S1485)과정에서, 확인결과, 플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지지 않거나, 또는 기 설정한 임의의 하한치를 넘지 않거나, 기설정한 배수 이상 커지더라도 기설정한 임의의 하한치를 넘지 않는 경우(S1495), 상기 제어패킷 이상 증가 검출장치(100)는 (S1410)과정을 반복한다(S1495).
도 14에서는 본 발명의 일 실시사례 설명을 위하여 (S1460)과정과 (S1485)과정이 순차적으로 처리되는 것으로 도시되었으나, (S1460)과정과 (S1485)과정은 그 순서를 바꾸어도 무방하며, 동시에 처리되어도 무방하다.
도면 상에는 별도로 도시하지는 않았으나, (S1475)과정을 통해 제어패킷의 이상 증가를 검출되면, 이후 상기 제어패킷 이상 증가 검출장치(100)는 출력부(50)를 통해 모니터링 화면 또는 스피커 상에 알람을 출력하거나, 및/또는 통신부(60)를 통해 하나 이상의 단말 또는 서버(300)로 제어패킷 이상 증가를 통지한다.
100 : 제어패킷 이상 증가 검출장치
200 : 무선단말장치 300 : 서버
10 : 수집부 20 : 측정부
30 : 기록부 40 : 판단부
50 : 알람 기록부

Claims (13)

  1. 통신망을 통해 복수개 무선단말장치 및 복수개 서버 간 상호 송수신하는 복수개 패킷을 수집 또는 캡쳐하는 수집부;
    상기 수집부가 수집 또는 캡쳐하는 패킷들을 서버 식별정보별로 분류 후, 각각의 식별정보에 대해서 발생한 제어패킷을 플래그 각각에 대해서 최근 n초 동안의 발생량을 측정하는 측정부;
    현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록을 하며, 일정시간 동안 초단위로 기록된 플래그들의 개수 정보를 이용하여 평균 또는 최대 발생량을 계산하는 기록부;
    상기 측정부에서 측정되는 제어 플래그들의 초당 발생량과 상기 기록부에서 계산된 플래그별 초당 유입량의 평균값 또는 최대값을 이용하여 제어패킷의 이상 증가를 검출하는 판단부; 및
    상기 판단부에서 이상 증가가 검출되었을 경우, 사용자에게 알람을 알려주기 위해서 필요로 하는 알람정보를 기록하는 알람기록부;를 구비하는,
    제어패킷 이상 증가 검출장치.
  2. 제 1항에 있어서, 상기 알람 기록부는,
    판단부에서 이상 증가를 검출하였을 경우, 현재시각을 기준으로 과거의 n초까지의 기록과 이후의 m초까지의 시간을 기록하는,
    제어패킷 이상 증가 검출장치.
  3. 제 1항에 있어서, 상기 알람 기록부는,
    알람정보를 출력하거나, 또는 알람정보를 하나 이상의 단말 또는 서버로 전송하는,
    제어패킷 이상 증가 검출장치.
  4. 제 1항 또는 제 3항에 있어서, 상기 알람정보는,
    이상 증가 검출 시각, 패킷 교환 서버, DNS정보, TCP 플래그, 초당 유입량, 접속되어 있던 클라이언트의 수, 해당 시간 구간의 검출 로그를 하나 이상 포함하는,
    제어패킷 이상 증가 검출장치.
  5. 제 1항에 있어서, 상기 기록부는,
    평균 값을 산출시, 매초마다 유입되는 플래그들의 개수를 측정하고, 이 값을 기존 피크값과 비교한 후, 이번 피크값을 새로운 플래그 개수로 설정할 지, 이전 피크값을 플래그 개수로 설정할 지, 이전 피크값을 감소시킨 값으로 플래그 개수를 설정할 지를 결정하고, 계산된 각각의 피크 플래그 개수들의 평균을 산출하는,
    제어패킷 이상 증가 검출장치.
  6. 제 1항 또는 제 5항에 있어서, 상기 기록부는,
    새로운 플래그 개수가 이전 피크 값보다 큰 경우, 새로운 플래그 개수를 피크 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하면, 새로운 피크 값을 이전 피크 값을 특정 값으로 감소시킨 값으로 설정하고, 새로운 플래그 개수가 이전 피크 값보다 적은 경우, 이전 피크 값에서 새로운 플래그 개수를 차감한 개수가 특정시간동안 특정 값을 초과하지 않으면, 새로운 피크 값을 이전 피크 값으로 유지하는,
    제어패킷 이상 증가 검출장치.
  7. 제 1항에 있어서, 상기 판단부는,
    특정 플래그의 초당 발생량이 기 설정한 임의의 상한치를 넘어설 경우 제어패킷의 이상 증가로 판단하거나, 또는
    플래그별 초당 발생량이 플래그별 초당 유입량의 평균값보다 기 설정한 배수 이상 커지거나, 또는 기 설정한 임의의 하한치를 넘을 경우 제어패킷의 이상 증가로 판단하는,
    제어패킷 이상 증가 검출장치.
  8. 제 1항에 있어서, 상기 판단부는,
    이상증가가 발생한 서버의 식별정보와, 이상 증가 발생 시각 정보와, 이상 증가 발생 시각의 이전 일정 시각~이후 일정 시각까지의 제어패킷들에 대한 정보를 하나 이상 검출하는,
    제어패킷 이상 증가 검출장치.
  9. 제 1항에 있어서, 상기 판단부는,
    상기 기록부에서 현재시각을 기준으로 지난 일정 시간 동안 발생했던 제어패킷 플래그별 개수를 초단위로 일정 시간동안 기록시, 얼마 간의 시간 동안 기록을 할 지 조절하는,
    제어패킷 이상 증가 검출장치.
  10. 제 1항에 있어서, 상기 제어패킷은,
    하나 이상의 무선단말장치와 연결된 서버를 정상 종료시키거나 또는 하나 이상의 원인으로 인해 상기 서버가 다운되어 상기 무선단말장치와의 연결이 끊어지게 될 경우, 서버에 접속 중인 무선단말장치들에게 전송하는 TCP의 제어플래그인 세션의 재시작(RST) 또는 세션의 종료(FIN) 또는 세션의 연결(SYN)이 설정된 패킷인 것을 특징으로 하는,
    제어패킷 이상 증가 검출장치.
  11. 제 1항에 있어서, 상기 제어패킷 플래그는,
    세션의 재시작(RST), 세션의 종료(FIN), 세션의 연결(SYN)을 하나 이상 포함하는,
    제어패킷 이상 증가 검출장치.
  12. 제 1항에 있어서, 상기 이상 증가는,
    제어패킷의 초당 발생량이 기 설정한 임의의 기준을 넘어설 경우인 것을 특징으로 하는,
    제어패킷 이상 증가 검출장치.
  13. 제 1항에 있어서, 상기 n초는,
    1초인 것을 특징으로 하는,
    제어패킷 이상 증가 검출장치.
KR1020130158936A 2013-09-24 2013-12-19 제어패킷 이상 증가 검출장치 KR20150072472A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130158936A KR20150072472A (ko) 2013-12-19 2013-12-19 제어패킷 이상 증가 검출장치
PCT/KR2014/003397 WO2015046697A1 (ko) 2013-09-24 2014-04-18 제어패킷 이상 증가 검출 장치, 그 방법 및 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130158936A KR20150072472A (ko) 2013-12-19 2013-12-19 제어패킷 이상 증가 검출장치

Publications (1)

Publication Number Publication Date
KR20150072472A true KR20150072472A (ko) 2015-06-30

Family

ID=53518405

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130158936A KR20150072472A (ko) 2013-09-24 2013-12-19 제어패킷 이상 증가 검출장치

Country Status (1)

Country Link
KR (1) KR20150072472A (ko)

Similar Documents

Publication Publication Date Title
CN106850337B (zh) 一种网络质量检测方法及装置
US8681622B2 (en) Policy and charging rules function (PCRF) and performance intelligence center (PIC) based congestion control
CN101189895B (zh) 异常检测方法和系统以及维护方法和系统
EP2480001B1 (en) Determining mobile video quality of experience and impact of video transcoding
US9462486B2 (en) Method and device for classifying wireless data service
US9015312B2 (en) Network management system and method for identifying and accessing quality of service issues within a communications network
CN107332715B (zh) 主动性能测试加被动分流控的网络应用系统及其实施方法
CN109150670B (zh) 一种用于保持连接的心跳方法和系统
WO2016188187A1 (zh) 无源光网络告警检测方法及装置
EP2741439B1 (en) Network failure detecting method and monitoring center
EP3449596B1 (en) Technique for handling service level related performance data for roaming user terminals
CN106961693B (zh) 一种确定无线接入设备工作信道的方法
CN111464247B (zh) 一种基于数据通信的信号接收可调节系统及方法
CN112738538B (zh) 直播间挂机行为检测方法、装置、电子设备和计算机可读存储介质
US11716656B2 (en) System and method for handover management in mobile networks
KR20150072472A (ko) 제어패킷 이상 증가 검출장치
CN107547444B (zh) 一种流量统计方法及交换设备
KR20150033820A (ko) 제어패킷 트래픽 증가 검출방법과 기록매체
JP2008079138A (ja) 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム
KR20150033816A (ko) 제어패킷 이상 증가 검출장치
US9407525B1 (en) Measuring traffic utilization
CN115766471A (zh) 一种基于组播流量的网络业务质量分析方法
KR101501698B1 (ko) 이동통신망 내 비정상 데이터 플러딩 탐지방법
Romirer-Maierhofer et al. Explorative analysis of one-way delays in a mobile 3G network
CN113691400B (zh) Goose报文异常监测方法

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination