KR20160094558A - 네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법 - Google Patents

네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법 Download PDF

Info

Publication number
KR20160094558A
KR20160094558A KR1020150015426A KR20150015426A KR20160094558A KR 20160094558 A KR20160094558 A KR 20160094558A KR 1020150015426 A KR1020150015426 A KR 1020150015426A KR 20150015426 A KR20150015426 A KR 20150015426A KR 20160094558 A KR20160094558 A KR 20160094558A
Authority
KR
South Korea
Prior art keywords
user
information
value
usage
network
Prior art date
Application number
KR1020150015426A
Other languages
English (en)
Inventor
김영민
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150015426A priority Critical patent/KR20160094558A/ko
Publication of KR20160094558A publication Critical patent/KR20160094558A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/1396Protocols specially adapted for monitoring users' activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 관리 장치는 정보 수집부, 정보 수정부, 과도 대역 사용자 결정부 및 정책 수행부를 포함한다. 정보 수집부는 복수의 사용자의 네트워크 사용 정보를 수집하여 네트워크 사용 정보를 생성한다. 정보 수정부는 상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성한다. 과도 대역 사용자 결정부는 상기 수정 정보에 기초하여 과도 대역 사용자(excessive bandwith usage)를 결정한다. 정책 수행부는 상기 결정된 과도 대역 사용자에 대해 후속 정책을 수행한다.

Description

네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법 {APPARATUS AND METHOD FOR MANAGING NETWORK}
본 발명은 네트워크 관리 장치 및 방법에 관한 것으로, 보다 구체적으로는 네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법에 관한 것이다.
과도 대역 사용자 검출은, 네트워크를 이용하는 다수의 사용자들 중에서 네트워크 대역을 과도하게 사용하는 사용자를 검출하는 것을 말한다. 과도 대역 사용자는 다른 사용자들에 비해 매우 많은 대역폭을 사용하므로, 해당 사용자의 숫자에 비해 네트워크 전체에 주는 부담이 큰 편이며, 이에 대한 관리가 없는 경우 전체 사용자들에게 제공되는 네트워크 서비스의 품질이 하락하게 된다.
과도 대역 사용자를 감지하는 방법 중 하나로서, 통계학에서 주로 사용되는 아웃라이어(outlier) 감지 기법을 들 수 있다. 아웃라이어는 모집단의 대다수 값들과 매우 동떨어져 있는 값을 가진 표본을 의미할 수 있다. 네트워크 분야에서 아웃라이어에 해당하는 사용자는 다른 다수 사용자들에 비해 네트워크 사용량이 매우 높은 사용자를 의미할 수 있다. 기존 방법에 의하면, 사용자마다 사용한 바이트 및 플로우 수 정보 등에 기초하여 아웃라이어를 구별한 후, 구별된 아웃라이어를 과도 대역 사용자 또는 과다 사용자로 규정짓고 대역 제재를 가하게 된다. 이러한 방식에는 다음과 같은 주요 특징이 있다.
기존의 방식에 따르면 정상 대역 사용자(normal user)가 과도 대역 사용자로 오인될 확률을 낮추기 위해, 사용자 별 사용된 바이트 수뿐만 아니라 생성된 플로우 수까지 고려할 수 있다. 따라서 수십 개의 플로우를 생성하여 동시에 트래픽을 수신하는 P2P 서비스 사용자를 효율적으로 구별하여 제재 가능하다. 기존 방식에 의하면 과도 대역 사용자로 오인될 확률을 어느 정도 낮춰줄 수 있지만, 샘플이 큰 경우 계산 복잡도가 너무 크다는 단점이 있다. 또한 기존의 아웃라이어 감지 기법은 샘플들로부터 도출된 분포의 비대칭도(skewness) 등의 세부 특징을 고려하지 않은 채 가우시안 분포(Gaussian distribution)를 따른다고 가정하고 아웃라이어 여부를 판단하므로 정확성 측면에서도 비효율적이다.
복잡도 측면에서 살펴보면, 일반적인 아웃라이어 감지 기법을 과도 대역 사용 사용자 구별에 사용할 경우, 과도 대역을 사용한 사용자뿐만 아니라 적은 대역을 사용한 사용자들에 대한 정보 또한 아웃라이어로 식별될 가능성이 있다. 그러나, 과도 대역 사용자 감지 측면에 있어서, 적은 대역을 사용하는 사용자에 대한 정보는 그리 중요하지 않으며, 과도 대역을 사용한 사용자를 신속하고 정확하게 찾아내는 것이 훨씬 바람직하다.
실제 망에서 측정된 가입자 별 트래픽 사용현황을 참조하여 분포를 그려보면, 도 1과 같이 나타낼 수 있다. 도 1은 네트워크 사용량에 따른 해당 사용자 수의 분포를 나타내는 그래프이다. 도 1을 참조하면, 사용량에 따른 해당 사용자 수의 분포가 어느 정도의 비대칭도를 갖는 그래프 형태로 그려지게 된다. 도 1 그래프의 a 부분에 해당하는 사용자는 과도 대역을 사용하지 않은 것으로 판명될 사용자고, b 부분에 해당하는 사용자가 과도 대역을 사용한 사용자로 판명될 수 있다. 즉, a 부분에 해당하는 사용자에는 구체적인 과도 대역 사용자 여부를 판별하는 계산의 적용 없이도, 과도 대역 사용자가 아님을 알 수 있다. 중요한 점은 대다수의 사용자는 a 부분에 포함된다는 점이다. 과도 대역 사용자 감지 알고리즘이 수십만 또는 수백만의 가입자 중 과도 대역 사용자를 구별하기 위해 사용되는 기술임을 고려해볼 때, a 부분에 해당하는 사용자에 대한 구체적인 아웃라이어 기법 적용을 하지 않아도 전체 계산량은 절반 이상 떨어질 수 있다.
정확성 측면에서 살펴보면, 기존의 아웃라이어 감지 기법은 분포의 비대칭도 가 0이라고 가정하고, 즉 가우시안 분포를 따른다고 가정하여 아웃라이어를 식별한다. 그러나 실제 가입자 별 트래픽 사용현황에 따른 분포는 도 1에 도시된 바와 같이 어느 정도의 비대칭도를 갖는 분포 형태로 나타난다. 따라서, 가우시안 분포를 따른다고 가정한 아웃라이어 기법을 적용할 경우, 아웃라이어가 잘못 식별될 수 있다는 문제가 발생한다.
도 2는 비대칭도에 따른 분포를 나타내는 그래프이다. 도 2를 참조하면, 샘플에 의해 얻어진 분포의 비대칭도 정도에 따라 Q1 (전체 샘플 중 1/4번째로 큰 값을 갖는 샘플의 위치, 즉 제 1 사분위수), Q2 (샘플들 중 1/2번째로 큰 값을 갖는 샘플의 위치, 즉 중간값(median)), Q3 (샘플들 중 3/4번째로 큰 값을 갖는 샘플의 위치, 제 3 사분위 수)을 나타낸 것이다. 도 2에 도시된 바와 같이 비대칭도가 커질수록 Q2-Q1의 값과 Q3-Q2의 값이 커짐을 알 수 있다. 마지막 그래프의 경우, Q3-Q2의 값은 Q2-Q1의 값의 5배 이상 큼을 알 수 있다. 즉, 비대칭도가 무한대로 커지면 Q1≒Q2≪Q3 가 되며, 따라서 IQR≒Q3-Q2가 된다. 이러한 분포를 갖는 샘플들의 경우에도, (아웃라이어 기법으로 가장 흔히 사용되고 있는) 박스 플롯(Boxplot) 기법에서 [Q1-1.5×IQR, Q3+1.5×IQR]로 아웃라이어 여부를 판단하는 범위를 설정하면 비대칭도가 0일 때는 적당하나, 비대칭도가 커질수록 잘못된 아웃라이어를 검출하게 될 가능성이 높아진다.
본 발명의 일 실시예는 복잡도를 낮추면서도 정확성을 향상하여 과도 대역 사용자를 검출할 수 있는 네트워크 관리 장치를 제공한다.
본 발명의 다른 실시예는 복잡도를 낮추면서도 정확성을 향상하여 과도 대역 사용자를 검출할 수 있는 네트워크 관리 방법을 제공한다.
본 발명의 일 실시예에 따른 네트워크 관리 장치는 정보 수집부, 정보 수정부, 과도 대역 사용자 결정부 및 정책 수행부를 포함한다. 정보 수집부는 복수의 사용자의 네트워크 사용 정보를 수집하여 네트워크 사용 정보를 생성한다. 정보 수정부는 상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성한다. 과도 대역 사용자 결정부는 상기 수정 정보에 기초하여 과도 대역 사용자(excessive bandwith usage)를 결정한다. 정책 수행부는 상기 결정된 과도 대역 사용자에 대해 후속 정책을 수행한다.
일 실시예에서, 상기 정보 수집부는 각 사용자의 사용된 바이트 및 생성된 플로우의 개수에 관한 정보를 수집할 수 있다.
일 실시예에서, 상기 정보 수정부는 수집된 사용자의 바이트에 기초하여 중간값 사용자를 결정하고, 상기 네트워크 사용자 정보에서 상기 중간값 사용자보다 적은 바이트를 이용한 사용자 정보를 제거하여 축소된 수정 정보를 생성할 수 있다.
일 실시예에서, 상기 과도 대역 사용자 결정부는 박스 플롯(boxplot) 기법을 통해 과도 대역 사용자를 결정할 수 있다.
일 실시예에서, 상기 과도 대역 사용자 결정부는 다음 수학식 1에 의해 Finner와 Fouter 값을 결정할 수 있다.
[수학식 1]
Finner= Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
(여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미함)
또한 Finner보다 작은 바이트 사용량에 해당하는 사용자는 일반 사용자(normal user)로 결정하고, Finner 보다 크거나 같고 Fouter 보다 작은 바이트 사용량에 해당하는 사용자는 과다 사용자(heavy user)로 결정하며, Fouter 보다 크거나 같은 바이트 사용량에 해당하는 사용자는 초과다 사용자(super heavy user)로 결정할 수 있다.
본 발명의 다른 실시예에 따른 네트워크 관리 방법에 의하면, 복수의 사용자의 네트워크 사용 정보를 수집하여 네트워크 사용 정보를 생성하고, 상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성하며, 상기 수정 정보에 기초하여 과도 대역 사용자(excessive bandwith usage)를 결정하고, 상기 결정된 과도 대역 사용자에 대해 후속 정책을 수행한다.
일 실시예에서, 상기 과도 대역 사용자를 결정하는 단계에는, 수학식 1에 의해 Finner와 Fouter 값을 결정하는 단계, 상기 수정 정보에 포함된 사용자의 사용량을 Finner 및 Fouter 와 비교하는 단계 및 상기 비교 결과에 따라 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계를 포함할 수 있다.
[수학식 1]
Finner=Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
(여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미함)
일 실시예에서, 상기 비교 결과에 따라 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계에서는, 상기 사용자의 사용량이 Finner 보다 작은 경우 상기 사용자를 일반 사용자로 결정하고, 상기 사용자의 사용량이 Finner 보다 크거나 같고 Fouter 보다 작은 경우 상기 사용자를 과다 사용자로 결정하며, 상기 사용자의 사용량이 Fouter 보다 큰 경우 상기 사용자를 초과다 사용자로 결정할 수 있다.
일 실시예에서, 상기 과도 대역 사용자를 결정하는 단계는, 박스 플롯 기법을 통해 상기 수정 정보로부터 제 1 결과값을 생성하는 단계, z-score 기법을 통해 상기 수정 정보로부터 제 2 결과값을 생성하는 단계, 상기 제 1 결과값 및 상기 제 2 결과값의 합을 제 3 결과값으로서 생성하는 단계 및 상기 제 3 결과값에 기초하여, 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계를 포함할 수 있다.
일 실시예에서, 상기 박스 플롯 기법을 통해 상기 수정 정보로부터 제 1 결과값을 생성하는 단계는, 다음 수학식 1에 의해 Finner와 Fouter 값을 결정하는 단계, 상기 수정 정보에 포함된 사용자의 사용량을 Finner 및 Fouter 와 비교하는 단계 및 상기 사용자의 사용량이 Finner 보다 작은 경우 상기 제 1 결과값을 0으로 결정하고, 상기 사용자의 사용량이 Finner 보다 크거나 같고 Fouter 보다 작은 경우 상기 제 1 결과값을 1로 결정하며, 상기 사용자의 사용량이 Fouter 보다 큰 경우 상기 제 1 결과값을 2로 결정하는 단계를 포함할 수 있다.
[수학식 1]
Finner=Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
(여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미함)
실시예에 따라, 상기 z-score 기법을 통해 상기 수정 정보로부터 제 2 결과값을 생성하는 단계는, 다음 수학식 2를 통해 z 값을 계산하는 단계 및 상기 z값이 미리 결정된 제 1 임계값보다 크거나 같은 경우 상기 제 2 결과값을 1로 결정하고, 상기 상기 z값이 미리 결정된 제 1 임계값보다 작은 경우 상기 제 2 결과값을 0으로 결정하는 단계를 포함할 수 있다.
[수학식 2]
z=(x-m)/σ
(여기서 x는 수정 정보에 포함된 각 사용자의 네트워크 사용량, m은 평균값, σ는 표준편차를 의미함)
실시예에 따라, 상기 제 1 임계값은 3.5이고, 상기 제 3 결과값에 기초하여, 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계에서는, 상기 제 3 결과값이 0 또는 1인 경우 상기 사용자를 일반 사용자로 결정하고, 상기 제 3 결과값이 2인 경우 상기 사용자를 과다 사용자로 결정하며, 상기 제 3 결과값이 3인 경우 상기 사용자를 초과다 사용자로 결정할 수 있다.
본 발명의 일 실시예에 따른 네트워크 관리 장치에 의하면, 복잡도를 낮추면서도 정확성을 향상하여 과도 대역 사용자를 검출할 수 있다.
본 발명의 다른 실시예에 따른 네트워크 관리 방법에 의하면, 복잡도를 낮추면서도 정확성을 향상하여 과도 대역 사용자를 검출할 수 있다.
도 1은 네트워크 사용량에 따른 해당 사용자 수의 분포를 나타내는 그래프이다.
도 2는 비대칭도에 따른 분포를 나타내는 그래프이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 관리 장치를 나타내는 블록도이다.
도 4는 본 발명의 다른 실시예에 따른 네트워크 관리 방법을 나타내는 순서도이다.
도 5는 유선 광대역 사용 분포에서 가입자 비율과 해당 비율에 속하는 가입자들의 사용 대역을 도시하는 그래프이다.
도 6은 본 발명의 실시예에 따른 네트워크 관리 방법에서, 축소된 수정 정보에 기초하여 과도 대역 사용자를 결정하는 구체적인 방법의 일 예를 나타내는 순서도이다.
도 7은 본 발명의 실시예에 따른 네트워크 관리 방법에서, 축소된 수정 정보에 기초하여 과도 대역 사용자를 결정하는 구체적인 방법의 다른 예를 나타내는 순서도이다.
전술한 바와 같이, 기존의 방식보다 정확도를 향상시키면서 계산량을 저감시키는 과도 대역 사용자 검출 방식이 필요하다. 본 발명은 기존의 방식보다 복잡도 및 정확성 측면에서 성능을 향상시키기 위해, 샘플 집합 중 평균값(mean) 또는 중간값(median) 보다 큰 샘플들을 구별하여 그 샘플들의 집합에만 구체적인 계산 과정을 적용하여 복잡도를 낮추는 한편, 비대칭도를 고려하여 아웃라이어 여부를 판별하여 정확성을 향상시키도록 한다. 즉, 대다수의 가입자들이 적은 대역을 사용하는 것을 고려하여 본 발명에 따른 네트워크 장치 및 방법은 네트워크 대역을 특정 임계치 이상 사용하는 가입자들에 한하여만 아웃라이어 감지 알고리즘을 적용함으로써 복잡도를 대거 낮추는 한편, 비대칭도를 고려한 박스플롯 기법을 사용하여 정확도를 향상시킨다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 하기의 설명에서는 본 발명에 따른 동작을 이해하는데 필요한 부분만이 설명되며 그 이외 부분의 설명은 본 발명의 요지를 모호하지 않도록 하기 위해 생략될 것이라는 것을 유의하여야 한다. 또한 본 발명은 여기에서 설명되는 실시 예에 한정되지 않고 다른 형태로 구체화될 수도 있다. 단지, 여기에서 설명되는 실시 예은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여 제공되는 것이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 관리 장치를 나타내는 블록도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 네트워크 관리 장치(100)는 정보 수집부(110), 정보 수정부(130), 과도 대역 사용자 결정부(150) 및 정책 수행부(170) 를 포함한다. 정보 수집부(110)는 복수의 사용자의 네트워크 사용 현황에 관한 정보를 수집하여 네트워크 사용 정보를 생성한다. 정보 수정부(130)는 상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성한다. 상기 과도 대역 사용자 결정부(150)는 상기 수정 정보에 기초하여 과도 대역 사용자(excessive bandwidth user)를 결정한다. 상기 정책 수행부(170)는 상기 결정된 과도 대역 사용자에 대해 후속 정책을 수행한다. 실시예에 따라, 네트워크 관리 장치(100)는 정책 수행 결과 처리부(190)를 더 포함할 수 있다. 정책 수행 결과 처리부(190)는, 정책 수행부(170)가 수행한 정책에 대한 후속 처리를 수행할 수 있다.
정보 수집부(110)는 네트워크 내 가입자 별 대역 사용량을 수집할 수 있다. 구체적으로, 라우터가 패킷을 처리하면서, 또는 SNMP 등을 통해 수집되는 정보를 기초로 네트워크 내의 가입자별 대역 사용량을 수집할 수 있다. 즉, 라우터의 라인 카드 및 포트 인터페이스로부터 가입자 별 사용된 바이트 및 생성된 플로우 수 등에 관한 정보가 수집될 수 있다. 이 때, 가입자 별 사용된 바이트 량은 과도 대역 사용 여부를 직접적으로 판단할 수 있는 근거가 되며, 생성된 플로우 수는 P2P 서비스 사용자를 구별해내는 기준이 된다. 예를 들어, P2P 서비스의 경우 일반적으로 여러 개의 세션을 동시에 생성하여 트래픽을 수신할 수 있다. 수집된 정보는 정보 수집부(110)에 의해 네트워크 사용 정보로 생성될 수 있다. 상기 네트워크 사용 정보는, 각 사용자의 식별 정보 및 해당 사용자의 기간별 네트워크 사용량에 관한 정보를 포함할 수 있다. 예를 들어, 네트워크 사용 정보는 다음과 같이 간단한 정보의 집합으로 표현될 수 있다.
X = {x0, x1, x2, …, xn/2, …, xn-1, xn}
예시로 든 네트워크 사용 정보 X에서, n은 네트워크 내 전체 사용자 수를 의미할 수 있고, xi는 i번째 사용자의 네트워크 사용량을 의미할 수 있다. 정보 수집부(110)는 예시와 같이, 각 사용자의 네트워크 사용량에 관한 정보를 포함하는 데이터세트를 네트워크 사용 정보로서 생성할 수 있다.
정보 수정부(130)는 상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성한다. 위의 예에서, 네트워크 사용 정보에 해당하는 X의 전체 사용자의 네트워크 사용량에 대하여 아웃라이어 여부를 결정하는 연산을 수행하는 경우, 전체 연산량이 증가하여 비효율적일 수 있다. 따라서, 정보 수정부(130)는 네트워크 사용 정보 중, 연산 수행 없이도 일반 사용자로 판정할 수 있는 정보들을 제거하여 축소된 수정 정보를 생성한다. 도 1 및 도 2를 참조할 때, 대역 사용량에 따른 사용자 수의 분포에서 평균값 또는 중간값 미만의 사용량을 갖는 사용자는 박스플롯(Boxplot) 또는 제트-스코어(Z-score) 방식과 같은 구체적인 판별 연산을 수행하지 않고도 과도 대역 사용자가 아닌 것으로 결정할 수 있다. 따라서, 정보 수정부(130)는 특정 기준에 따라 네트워크 사용 정보 X에서 일부 정보를 제거하여 축소된 수정 정보 X'를 생성할 수 있다. 예를 들어, 네트워크 사용 정보 X에서 중간값인 xn/2보다 작은 정보들을 제거하는 경우, X'는 다음과 같이 생성될 수 있다.
X' = {xn/2, …, xn-1, xn}
축소된 수정 정보를 생성하는 기준은 실시예에 따라 다양하게 정해질 수 있다. 위의 예시와 같이 중간값 미만의 정보들을 제거하여 축소된 수정 정보를 생성할 수도 있고, 평균값 미만의 정보들을 제거하여 축소된 수정 정보를 생성할 수도 있으며, 제 3 사분위 수 미만의 정보들을 제거하여 축소된 수정 정보를 생성할 수도 있다. 축소된 수정 정보를 생성하는 기준에 따라, 수정 정보는 본래의 네트워크 사용 정보의 절반 또는 그 미만의 데이터량을 가질 수 있다. 따라서, 최종 과도 대역 사용자 결정에 필요한 연산량을 줄일 수 있다.
과도 대역 사용자 결정부(150)는 정보 수정부(130)에 의해 생성된 수정 정보에 기초하여 과도 대역 사용자를 결정한다. 일 실시예에서, 과도 대역 사용자 결정부(150)는 가입자 별 바이트 사용량에 대해 박스 플롯(Boxplot) 기법을 통해 과도 대역 사용자 여부를 결정할 수 있다. 다른 실시예에서, 과도 대역 사용자 결정부(150)는 가입자 별 바이트 사용량에 대해 제트-스코어(Z-score) 기법을 통해 과도 대역 사용자 여부를 결정할 수 있다. 또다른 실시예에서, 과도 대역 사용자 결정부(150)는 가입자 별 바이트 사용량에 대해 박스 플롯 기법 및 제트-스코어 기법을 병행하여 사용함으로써 과도 대역 사용자 여부를 결정할 수 있다. 과도 대역 사용자 결정부(150)의 구체적인 동작에 대하여는 도 6 내지 도 7을 참조하여 후술하기로 한다.
정책 수행부(170)는 과도 대역 사용자 결정부(150)에 의해 과도 대역 사용자로 결정된 사용자에 대해 후속 정책을 수행할 수 있다. 예를 들어, 정책 수행부(170)는 과도 대역 사용자에 대해, 생성된 플로우 및 가입자에 속하는 패킷을 전수 폐기하거나 확률적으로 일부 폐기하는 정책을 수행할 수 있다. 또는, 정책 수행부(170)는 과도 대역 사용자에 대해 신규 플로우를 생성하는 것을 불허하는 정책을 수행할 수도 있다. 정책 수행부(170)가 수행하는 구체적인 정책은 위 예시에 한정되지 않으며, 전체 네트워크 성능을 향상하기 위해 과도 대역 사용자에게 취할 수 있는 임의의 정책을 모두 포함할 수 있다.
정책 수행 결과 처리부(190)는 정책 수행부(170)가 수행한 정책에 대한 후속 처리를 수행할 수 있다. 예를 들어, 정책 수행부(170)가 수행한 정책 등에 대한 로그 기록을 저장하거나, 관리자 시스템에 수행 정책을 보고하는 등의 처리를 수행할 수 있다.
도 4는 본 발명의 다른 실시예에 따른 네트워크 관리 방법을 나타내는 순서도이다.
도 4를 참조하면, 본 발명의 다른 실시예에 따른 네트워크 관리 방법(200)은, 복수의 사용자에 대한 네트워크 사용정보를 생성하는 단계(S210), 축소된 수정 정보를 생성하는 단계(S230), 과도 대역 사용자를 결정하는 단계(S250) 및 결정된 과도 대역 사용자에 대해 정책을 수행하는 단계(S270)를 포함한다.
복수의 사용자에 대한 네트워크 사용정보를 생성하는 단계(S210)에서는, 네트워크 내 가입자 별 대역 사용량을 수집할 수 있다. 구체적으로, 라우터가 패킷을 처리하면서, 또는 SNMP 등을 통해 수집되는 정보를 기초로 네트워크 내의 가입자별 대역 사용량을 수집할 수 있다. 즉, 라우터의 라인 카드 및 포트 인터페이스로부터 가입자 별 사용된 바이트 및 생성된 플로우 수 등에 관한 정보가 수집될 수 있다. 수집된 정보들의 집합은 네트워크 사용 정보로 생성될 수 있다. 예를 들어, 네트워크 사용 정보는 다음과 같이 간단한 정보의 집합으로 표현될 수 있다.
X = {x0, x1, x2, …, xn/2, …, xn-1, xn}
예시로 든 네트워크 사용 정보 X에서, n은 네트워크 내 전체 사용자 수를 의미할 수 있고, xi는 i번째 사용자의 네트워크 사용량을 의미할 수 있다. 정보 수집부(110)는 예시와 같이, 각 사용자의 네트워크 사용량에 관한 정보를 포함하는 데이터세트를 네트워크 사용 정보로서 생성할 수 있다.
축소된 수정 정보를 생성하는 단계(S230)에서는, 상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성한다. 단계(S230)에서, 특정 기준에 따라 네트워크 사용 정보 X에서 일부 정보를 제거하여 축소된 수정 정보 X'를 생성할 수 있다. 축소된 수정 정보를 생성하는 기준은 실시예에 따라 다양하게 정해질 수 있다. 예를 들어, 일 실시예에서, 전체 네트워크 사용 정보에서 중간값(median)을 계산하여, 중간값 이하의 정보를 제거할 수 있다. 위의 예시에서, 네트워크 사용 정보 X에서 중간값인 xn/2보다 작은 정보들을 제거하는 경우, X'는 다음과 같이 생성될 수 있다.
X' = {xn/2, …, xn-1, xn}
생성된 수정 정보 X'는 수정 전의 네트워크 사용 정보 X의 절반 크기이므로 이후 과도 대역 사용자를 결정하기 위한 연산을 줄일 수 있다.
다만, 중간값 계산을 위해서는 네트워크 사용 정보 X에 포함된 각 사용자 정보를 정렬하는 작업이 선행되어야 한다는 점에서 어느 정도 복잡도가 발생할 수 밖에 없다. 도 5를 참조하면, 유선 광대역 사용 분포에서 가입자 비율과 해당 비율에 속하는 가입자들의 사용 대역을 도시하는 그래프가 도시되어 있다. 도 5의 그래프는 글로벌 벤더인 Anagran에서 제공한 가입자 별 대역 사용량 분포를 도시한 것이다. 그래프를 참조하면, 40%의 가입자가 전체 대역의 3.8%만을 사용하는 한편, 5%의 가입자가 전체 대역의 45.3%를 사용한다는 특징이 있다. 이런 경우, 중간값이 아닌 평균값 이하로 구별해내면 전체 샘플 집합을 상당량 줄일 수 있게 된다. 과도 대역 사용자 측면에서 볼 때 평균 이하의 대역을 사용하는 가입자가 과도 대역 사용자로 판명될 확률은 전혀 없다.
다시 도 4로 돌아가서, 과도 대역 사용자를 결정하는 단계(S250)에서는 단계(S230)에서 생성된 수정 정보에 기초하여 과도 대역 사용자를 결정한다. 일 실시예에서, 가입자 별 바이트 사용량에 대해 박스 플롯(Boxplot) 기법을 통해 과도 대역 사용자 여부가 결정될 수 있다. 다른 실시예에서, 가입자 별 바이트 사용량에 대해 제트-스코어(Z-score) 기법을 통해 과도 대역 사용자 여부가 결정될 수 있다. 또다른 실시예에서, 가입자 별 바이트 사용량에 대해 박스 플롯 기법 및 제트-스코어 기법을 병행하여 사용함으로써 과도 대역 사용자 여부가 결정될 수 있다. 과도 대역 사용자를 결정하는 구체적 예에 대하여는 도 6 내지 도 7을 참조하여 후술하기로 한다.
결정된 과도 대역 사용자에 대해 정책을 수행하는 단계(S270)에서는 과도 대역 사용자로 결정된 사용자에 대해 후속 정책을 수행할 수 있다. 예를 들어, 과도 대역 사용자에 대해, 생성된 플로우 및 가입자에 속하는 패킷을 전수 폐기하거나 확률적으로 일부 폐기하는 정책을 수행할 수 있다. 또는, 과도 대역 사용자에 대해 신규 플로우를 생성하는 것을 불허하는 정책을 수행할 수도 있다. 단계(S270)에서 수행되는 구체적인 정책은 위 예시에 한정되지 않으며, 전체 네트워크 성능을 향상하기 위해 과도 대역 사용자에게 취할 수 있는 임의의 정책을 모두 포함할 수 있다.
도 6은 본 발명의 실시예에 따른 네트워크 관리 방법에서, 축소된 수정 정보에 기초하여 과도 대역 사용자를 결정하는 구체적인 방법의 일 예를 나타내는 순서도이다.
도 6에 도시된 과도 대역 사용자를 결정하는 방법은, 도 4의 과도 대역 사용자를 결정하는 단계(S250)에 포함될 수 있다. 도 6의 방법에 의하면, 가입자 별 사용 통계량을 계산하고(S310), Boxplot을 통해 제 1 결과값(R1)을 생성하고(S330), z-score를 통해 제 2 결과값(R2)을 계산한다(S350). 이후에, 제 1 결과값(R1)과 제 2 결과값(R2)의 합이 1보다 작거나 같은 경우, 해당 사용자를 일반 사용자(normal user)로 결정한다. 제 1 결과값(R1)과 제 2 결과값(R2)의 합이 2인 경우, 해당 사용자를 과다 사용자(heavy user)로 결정한다. 제 1 결과값(R1)과 제 2 결과값(R2)의 합이 2보다 큰 경우, 해당 사용자를 초과다 사용자(super heavy user)로 결정한다. 사용자가 일반 사용자인지, 과다 사용자인지 또는 초과다 사용자인지 여부에 따라 후속 정책을 수행할지 여부를 결정할 수 있다.
가입자별 사용 통계량(S310)을 계산하는 단계에서는, 네트워크 사용 정보 및 축소된 수정 정보의 평균값, 중간값, 제 1 사분위 수, 제 3 사분위 수 등을 계산할 수 있다.
Boxplot을 통해 제 1 결과값(R1)을 계산하는 단계(S330)에서는, 다음 수학식 1에 의해 Finner와 Fouter 값을 결정할 수 있다.
[수학식 1]
Finner=Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미할 수 있다. Boxplot을 통해 제 1 결과값(R1)을 계산하는 단계(S330)에서는 Fence, 즉 Finner 및 Fouter 계산시 IQR값이 아닌 Q3와 Q2값을 기반으로 Inner Fence(Finner)와 Outer Fence(Fouter)를 결정하는 특징이 있다. Inner Fence와 Outer Fecne는 최적화된 바이트 사용량 Data Set에서 가져온 각각의 가입자 별 바이트 사용량에 대하여 아웃라이어 여부를 결정하게 된다. 가입자의 바이트 사용량이 Finner 보다 작거나 같은 경우에는 제 1 결과값(R1)으로 0을 결정하고, 가입자의 바이트 사용량이 Finner 보다 크고 Fouter 보다 작거나 같은 경우 제 1 결과값(R1)으로 1을 결정하며, 가입자의 바이트 사용량이 Fouter 보다 크거나 같은 경우 제 1 결과값(R1)으로 2를 결정할 수 있다. 즉, 사용자의 바이트 사용량에 따라, 단계(S330)에서 결정되는 제 1 결과값은 0, 1 또는 2의 세 가지 값을 가질 수 있다. Boxplot을 통해 제 1 결과값(R1)을 계산하는 단계(S330)에 대해서는 도 7을 참조하여 후술하기로 한다.
z-score를 통해 제 2 결과값(R2)을 계산하는 단계(S350)에서는, 다음 수학식 2에 의해 z값을 결정하여 제 2 결과값(R2)을 결정할 수 있다.
[수학식 2]
z=(x-m)/σ
여기서 x는 수정 정보에 포함된 각 사용자의 네트워크 사용량, m은 평균값, σ는 표준편차를 의미할 수 있다. 계산된 결과값이 어느 정도 크냐에 따라 제 2 결과값(R2)을 결정할 수 있다. 일 실시예에서, z값이 미리 결정된 제 1 임계값보다 크거나 같은 경우 제 2 결과값을 1로 결정하고, z값이 미리 결정된 제 1 임계값보다 작은 경우에는 제 2 결과값을 0으로 결정할 수 있다. 실시예에 따라 제 1 임계값은 다양하게 지정될 수 있다. 예를 들어, 상기 제 1 임계값은 3.5일 수 있다. 이 경우, z값이 3.5보다 크거나 같은 경우 제 2 결과값을 1로 결정하고, z값이 3.5보다 작은 경우에는 제 2 결과값을 0으로 결정할 수 있다. 즉, 사용자의 바이트 사용량에 따라, 단계(S350)에서 결정되는 제 2 결과값은 0 또는 1의 두 가지 값을 가질 수 있다.
단계(S330)에서 계산될 수 있는 제 1 결과값(R1)은 0, 1, 2의 세 가지 값을 가지며, 단계(S350)에서 계산될 수 있는 제 2 결과값(R2)은 0, 1의 두 가지 값을 갖는다. 따라서, 제 1 결과값과 제 2 결과값의 합은 0, 1, 2, 3의 네 가지 값을 가질 수 있다. 본 발명의 일 실시예에 따른 네트워크 관리 방법에서는 제 1 결과값과 제 2 결과값의 합이 0 또는 1인 경우 해당 사용자를 일반 사용자(normal user)로 결정하고, 제 1 결과값과 제 2 결과값의 합이 2인 경우 해당 사용자를 과다 사용자(heavy user)로 결정하며, 제 1 결과값과 제 2 결과값의 합이 3인 경우 해당 사용자를 초과다 사용자 (heavy user)로 결정할 수 있다. 이하 도 6을 참조하여 설명한다.
단계(S370)에서, 제 1 결과값과 제 2 결과값의 합이 0 또는 1인지 여부를 판단한다. 제 1 결과값과 제 2 결과값의 합이 0 또는 1인 경우, 해당 사용자를 일반 사용자로 결정한다(S391). 제 1 결과값과 제 2 결과값의 합이 0 또는 1이 아닌 경우, 단계(S380)에서 해당 값이 2인지 여부를 판단한다. 제 1 결과값과 제 2 결과값의 합이 2인 경우 해당 사용자를 과다 사용자로 결정한다(S393). 단계(S380)에서 제 1 결과값과 제 2 결과값의 합 2가 아닌 경우, 해당 값은 3일 것이므로 해당 사용자를 초과다 사용자로 결정한다(S395). 실시예에 따라 초과다 사용자만을 과도 대역 사용자로 규정하여 도 4의 단계(S270)에서 후속 정책을 수행할 수 있다. 또는 과다 사용자와 초과다 사용자 모두를 과도 대역 사용자로 규정하여 도 4의 단계(S270)에서 후속 정책을 수행할 수 있다. 이 경우, 과다 사용자와 초과다 사용자에게 동일한 정책을 수행할 수도 있고, 서로 다른 정책을 수행할 수도 있다.
도 7은 본 발명의 실시예에 따른 네트워크 관리 방법에서, 축소된 수정 정보에 기초하여 과도 대역 사용자를 결정하는 구체적인 방법의 다른 예를 나타내는 순서도이다.
도 7을 참조하면, 도 4의 과도 대역 사용자를 결정하는 단계(S250)를 구체적으로 설명하는 순서도가 도시되어 있다. 도 7은 도 6과 달리 박스플롯(boxplot)만을 이용하여 과도 대역 사용자를 결정하는 과정이 도시되어 있다. 단계(S410)에서 가입자별 사용 통계량을 계산할 수 있다. 단계(S430)에서는 중간값, 제 1 사분위 수, 제 3 사분위 수 등을 계산할 수 있다. 단계(S440)에서는, 다음 수학식 1에 의해 Finner와 Fouter 값을 결정할 수 있다.
[수학식 1]
Finner=Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미할 수 있다. Fence, 즉 Finner 및 Fouter 계산시 IQR값이 아닌 Q3와 Q2값을 기반으로 Inner Fence(Finner)와 Outer Fence(Fouter)를 결정하는 특징이 있다. Inner Fence와 Outer Fecne는 최적화된 바이트 사용량 Data Set에서 가져온 각각의 가입자 별 바이트 사용량에 대하여 아웃라이어 여부를 결정하게 된다.
이하 단계에서 가입자의 바이트 사용량이 Finner 보다 작거나 같은 경우에는 제 1 결과값(R1)으로 0을 결정하고, 가입자의 바이트 사용량이 Finner 보다 크고 Fouter 보다 작거나 같은 경우 제 1 결과값(R1)으로 1을 결정하며, 가입자의 바이트 사용량이 Fouter 보다 크거나 같은 경우 제 1 결과값(R1)으로 2를 결정할 수 있다. 즉 단계(S450)에서 가입자의 바이트 사용량이 Finner 보다 작거나 같은지 판단하고, 가입자의 바이트 사용량이 Finner 보다 작거나 같은 경우 R1=0의 값을 지정하여 해당 사용자를 일반 사용자로 결정할 수 있다(S481). 단계(S460)에서, 가입자의 바이트 사용량이 Finner 보다 크고 Fouter 보다 작거나 같은지 판단하고, 가입자의 바이트 사용량이 Finner 보다 크고 Fouter 보다 작거나 같은 경우 R1=1의 값을 지정하여 해당 사용자를 과다 사용자로 결정할 수 있다(S482). 가입자의 바이트 사용량이 Fouter 보다 큰 경우, R1=2의 값을 지정하여 해당 사용자를 초과다 사용자로 결정할 수 있다(S483). 실시예에 따라 초과다 사용자만을 과도 대역 사용자로 규정하여 도 4의 단계(S270)에서 후속 정책을 수행할 수 있다. 또는 과다 사용자와 초과다 사용자 모두를 과도 대역 사용자로 규정하여 도 4의 단계(S270)에서 후속 정책을 수행할 수 있다. 이 경우, 과다 사용자와 초과다 사용자에게 동일한 정책을 수행할 수도 있고, 서로 다른 정책을 수행할 수도 있다.
실시예에 따라, 도 7에 도시된 단계들은 도 4의 과도 대역 사용자를 결정하는 단계(S250)의 구체적인 방법으로 사용될 수 있다. 이 경우, 박스 플롯(boxplpot) 기법만에 의해 과도 대역 사용자 여부가 결정될 수 있다. 다른 실시예에서, 도 7에 도시된 단계들은 도 6의 Boxplot을 통해 제 1 결과값(R1)을 계산하는 단계(S330)의 구체적인 방법으로 사용될 수 있다. 이 경우, 네트워크 관리 방법(200)은 Boxplot을 통해 제 1 결과값(R1)을 도 7의 방법에 의해 계산하고(S330), z-score를 통해 제 2 결과값(R2)을 계산한 후(S350) 제 1 결과값(R1)과 제 2 결과값(R2)의 합에 따라 과도 대역 사용자 여부를 결정할 수 있다.
본 발명에 따른 네트워크 관리 장치 및 방법은, 네트워크 사용자들 중 대다수의 사용자들이 적은 대역을 사용하는 것을 고려하여, 대역을 어느 정도(평균 이상, 또는 상위 50% 이상 사용) 사용하는 가입자들에 한하여만 구체적인 아웃라이어 여부를 결정하도록 함으로써 복잡도를 대거 낮추는 한편, 사용자 분포의 비대칭도(skewness)를 고려하여 아웃라이어 여부를 결정하도록 수정함으로써 정확성을 더욱 더 향상시켰다는 특징이 있다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터를 이용하거나 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터를 이용하거나 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
100: 네트워크 관리 장치 110: 정보 수집부
130: 정보 수정부 150: 과도 대역 사용자 결정부
170: 정책 수행부 190: 정책 수행 결과 처리부

Claims (12)

  1. 복수의 사용자의 네트워크 사용 현황에 관한 정보를 수집하여 네트워크 사용 정보를 생성하는 정보 수집부;
    상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성하는 정보 수정부;
    상기 수정 정보에 기초하여 과도 대역 사용자(excessive bandwith user)를 결정하는 과도 대역 사용자 결정부; 및
    상기 결정된 과도 대역 사용자에 대해 후속 정책을 수행하는 정책 수행부를 포함하는, 네트워크 관리 장치.
  2. 제 1 항에 있어서, 상기 정보 수집부는 각 사용자의 사용된 바이트 및 생성된 플로우의 개수에 관한 정보를 수집하는, 네트워크 관리 장치.
  3. 제 2 항에 있어서, 상기 정보 수정부는 수집된 사용자의 바이트에 기초하여 중간값 사용자를 결정하고, 상기 네트워크 사용자 정보에서 상기 중간값 사용자보다 적은 바이트를 이용한 사용자 정보를 제거하여 축소된 수정 정보를 생성하는 것을 특징으로 하는, 네트워크 관리 장치.
  4. 제 1 항에 있어서, 상기 과도 대역 사용자 결정부는 박스 플롯(boxplot) 기법을 통해 과도 대역 사용자를 결정하는 것을 특징으로 하는, 네트워크 관리 장치.
  5. 제 4 항에 있어서, 상기 과도 대역 사용자 결정부는 다음 수학식 1에 의해 Finner와 Fouter 값을 결정하고,
    [수학식 1]
    Finner=Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
    (여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미함)
    Finner보다 작은 바이트 사용량에 해당하는 사용자는 일반 사용자(normal user)로 결정하고, Finner 보다 크거나 같고 Fouter 보다 작은 바이트 사용량에 해당하는 사용자는 과다 사용자(heavy user)로 결정하며, Fouter 보다 크거나 같은 바이트 사용량에 해당하는 사용자는 초과다 사용자(super heavy user)로 결정하는 것을 특징으로 하는, 네트워크 관리 장치.
  6. 복수의 사용자의 네트워크 사용 정보를 수집하여 네트워크 사용 정보를 생성하는 단계;
    상기 네트워크 사용 정보 중, 과도 대역 사용자 결정에 사용되지 않는 일반 사용자에 관한 정보를 제거하여 축소된 수정 정보를 생성하는 단계;
    상기 수정 정보에 기초하여 과도 대역 사용자(excessive bandwith usage)를 결정하는 단계; 및
    상기 결정된 과도 대역 사용자에 대해 후속 정책을 수행하는 단계를 포함하는, 네트워크 관리 방법.
  7. 제 6 항에 있어서,
    상기 과도 대역 사용자를 결정하는 단계는:
    다음 수학식 1에 의해 Finner와 Fouter 값을 결정하는 단계
    [수학식 1]
    Finner=Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
    (여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미함);
    상기 수정 정보에 포함된 사용자의 사용량을 Finner 및 Fouter 와 비교하는 단계; 및
    상기 비교 결과에 따라 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계를 포함하는, 네트워크 관리 방법.
  8. 제 7 항에 있어서,
    상기 비교 결과에 따라 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계는:
    상기 사용자의 사용량이 Finner 보다 작은 경우 상기 사용자를 일반 사용자로 결정하고, 상기 사용자의 사용량이 Finner 보다 크거나 같고 Fouter 보다 작은 경우 상기 사용자를 과다 사용자로 결정하며, 상기 사용자의 사용량이 Fouter 보다 큰 경우 상기 사용자를 초과다 사용자로 결정하는 것을 특징으로 하는, 네트워크 관리 방법.
  9. 제 6 항에 있어서,
    상기 과도 대역 사용자를 결정하는 단계는:
    박스 플롯 기법을 통해 상기 수정 정보로부터 제 1 결과값을 생성하는 단계;
    z-score 기법을 통해 상기 수정 정보로부터 제 2 결과값을 생성하는 단계;
    상기 제 1 결과값 및 상기 제 2 결과값의 합을 제 3 결과값으로서 생성하는 단계; 및
    상기 제 3 결과값에 기초하여, 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계를 포함하는, 네트워크 관리 방법.
  10. 제 9 항에 있어서,
    상기 박스 플롯 기법을 통해 상기 수정 정보로부터 제 1 결과값을 생성하는 단계는:
    다음 수학식 1에 의해 Finner와 Fouter 값을 결정하는 단계
    [수학식 1]
    Finner=Q3 + 1.5×(Q3-Q2), Fouter=Q3 + 3.0×(Q3-Q2)
    (여기서 Q3는 제 3 사분위 수, Q2는 중간값을 의미함);
    상기 수정 정보에 포함된 사용자의 사용량을 Finner 및 Fouter 와 비교하는 단계; 및
    상기 사용자의 사용량이 Finner 보다 작은 경우 상기 제 1 결과값을 0으로 결정하고, 상기 사용자의 사용량이 Finner 보다 크거나 같고 Fouter 보다 작은 경우 상기 제 1 결과값을 1로 결정하며, 상기 사용자의 사용량이 Fouter 보다 큰 경우 상기 제 1 결과값을 2로 결정하는 단계를 포함하는, 네트워크 관리 방법.
  11. 제 10 항에 있어서,
    상기 z-score 기법을 통해 상기 수정 정보로부터 제 2 결과값을 생성하는 단계는,
    다음 수학식 2를 통해 z 값을 계산하는 단계
    [수학식 2]
    z=(x-m)/σ
    (여기서 x는 수정 정보에 포함된 각 사용자의 네트워크 사용량, m은 평균값, σ는 표준편차를 의미함); 및
    상기 z값이 미리 결정된 제 1 임계값보다 크거나 같은 경우 상기 제 2 결과값을 1로 결정하고, 상기 상기 z값이 미리 결정된 제 1 임계값보다 작은 경우 상기 제 2 결과값을 0으로 결정하는 단계를 포함하는, 네트워크 관리 방법.
  12. 제 11 항에 있어서,
    상기 제 1 임계값은 3.5이고,
    상기 제 3 결과값에 기초하여, 상기 사용자를 일반 사용자(normal user), 과다 사용자(super user) 또는 초과다 사용자(super heavy user)로 결정하는 단계에서는, 상기 제 3 결과값이 0 또는 1인 경우 상기 사용자를 일반 사용자로 결정하고, 상기 제 3 결과값이 2인 경우 상기 사용자를 과다 사용자로 결정하며, 상기 제 3 결과값이 3인 경우 상기 사용자를 초과다 사용자로 결정하는 것을 특징으로 하는, 네트워크 관리 방법.
KR1020150015426A 2015-01-30 2015-01-30 네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법 KR20160094558A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150015426A KR20160094558A (ko) 2015-01-30 2015-01-30 네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150015426A KR20160094558A (ko) 2015-01-30 2015-01-30 네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20160094558A true KR20160094558A (ko) 2016-08-10

Family

ID=56713192

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150015426A KR20160094558A (ko) 2015-01-30 2015-01-30 네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20160094558A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210013432A (ko) 2019-07-25 2021-02-04 호서대학교 산학협력단 이상치 스코어 기반의 edr에서의 이상 징후 탐지 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210013432A (ko) 2019-07-25 2021-02-04 호서대학교 산학협력단 이상치 스코어 기반의 edr에서의 이상 징후 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
US9769190B2 (en) Methods and apparatus to identify malicious activity in a network
CN108768883B (zh) 一种网络流量识别方法及装置
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
US10097464B1 (en) Sampling based on large flow detection for network visibility monitoring
JP6321681B2 (ja) ウェブサイトユーザを識別する方法および装置
CN108965347B (zh) 一种分布式拒绝服务攻击检测方法、装置及服务器
US9979624B1 (en) Large flow detection for network visibility monitoring
US10536360B1 (en) Counters for large flow detection
US20130305365A1 (en) System and method for optimization of security traffic monitoring
US20170013018A1 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US10003515B1 (en) Network visibility monitoring
US10440035B2 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
CN109257390B (zh) Cc攻击的检测方法、装置及电子设备
CN107666468B (zh) 网络安全检测方法和装置
CN110602135A (zh) 网络攻击处理方法、装置以及电子设备
US11770387B1 (en) Graph-based detection of lateral movement in computer networks
Bartos et al. Optimizing flow sampling for network anomaly detection
US20170168882A1 (en) Event management in a data processing system
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
KR20160094558A (ko) 네트워크 과다 사용자를 검출하는 네트워크 관리 장치 및 방법
Locher Finding heavy distinct hitters in data streams
TWI704782B (zh) 骨幹網路異常流量偵測方法和系統
CN110022343B (zh) 自适应事件聚合
CN111552842A (zh) 一种数据处理的方法、装置和存储介质
JP2007334589A (ja) 決定木構築方法および装置および状態判定装置

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid