KR100590770B1 - 대역폭을 이용한 데이터 플로우 정렬 장치 및 방법 - Google Patents

대역폭을 이용한 데이터 플로우 정렬 장치 및 방법 Download PDF

Info

Publication number
KR100590770B1
KR100590770B1 KR1020030096892A KR20030096892A KR100590770B1 KR 100590770 B1 KR100590770 B1 KR 100590770B1 KR 1020030096892 A KR1020030096892 A KR 1020030096892A KR 20030096892 A KR20030096892 A KR 20030096892A KR 100590770 B1 KR100590770 B1 KR 100590770B1
Authority
KR
South Korea
Prior art keywords
bandwidth
flows
flow
sorting
activity
Prior art date
Application number
KR1020030096892A
Other languages
English (en)
Other versions
KR20050065125A (ko
Inventor
이종국
오진태
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030096892A priority Critical patent/KR100590770B1/ko
Priority to US11/004,426 priority patent/US20050141423A1/en
Publication of KR20050065125A publication Critical patent/KR20050065125A/ko
Application granted granted Critical
Publication of KR100590770B1 publication Critical patent/KR100590770B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크를 통해 단말기로 전송되는 트래픽을 동일한 목적지를 가지는 다수 개의 흐름(이하 "플로우(flow)"라 한다)으로 구분하고, 구분된 다수 개의 플로우들을 각 플로우의 대역폭을 기준으로 정렬하기 위한 방법 및 장치가 개시된다. 본 발명에 의한 방법은 플로우들을 수신하는 단계, 수신된 플로우의 대역폭이 속하는 대역폭 범위를 설정하고, 사전에 수신된 플로우들의 대역폭과 비교하여 비교 결과에 따라 정렬하는 대역폭 정렬 단계 및 수신된 플로우의 발생 빈도를 나타내는 활동도를 사전에 수신된 플로우들 중 대역폭 범위에 포함되는 대역폭을 가지는 플로우들의 활동도와 비교하여 비교 결과에 따라 정렬하는 활동도 정렬 단계를 포함한다. 본 발명에 의하여 대용량 데이터를 대역폭 및 활동도를 이용하여 신속하게 정렬하고, 공격 가능성이 높은 플로우만을 선택적으로 감시할 수 있다.

Description

대역폭을 이용한 데이터 플로우 정렬 장치 및 방법{Apparatus and method for sorting data flow based on bandwidth}
도 1은 본 발명의 일 측면에 의한 데이터 플로우 정렬 방법을 나타내는 흐름도이다.
도 2는 본 발명에 적용되기 위한 대역폭 계산 방법을 설명하기 위한 도면으로서, 이중 윈도우를 이용하여 대역폭을 계산한다.
도 3은 본 발명에 적용되기 위한 대역폭 범위를 설정하기 위한 방법을 설명하기 위한 도면이다.
도 4는 본 발명에 의한 데이터 플로우 정렬 방법 및 장치에서 데이터 플로우를 정렬하는 과정을 설명하기 위한 도면이다.
도 5는 동일한 대역폭 범위에 속하는 데이터 플로우들을 활동도를 기준으로 정렬하는 과정을 설명하기 위한 도면이다.
도 6은 본 발명에 의한 대역폭 범위 설정 방법의 일 실시예를 나타내는 도면이다.
본 발명은 네트워크 장치에 관한 것으로서, 특히 고속 네트워크 환경에서 트래픽을 대역폭 및 활동도와 같은 소정 우선 순위에 의하여 정렬하기 위한 방법 및 장치에 관한 것이다.
점점 발전하는 통신 기술에 힘입어 데이터를 송수신하는 속도가 현격하게 향상되어 데이터 통신의 편리성이 극대화된다. 그러나, 통신망이 대용량화됨에 따라서, 통신망의 부정 사용, 즉, 해킹 기술도 발전한다. 해커들이 네트워크를 공격하기 위해 사용하는 방법에는 다양한 방법들이 있으며, 그 중 하나로는 과도한 트래픽을 단기간에 집중시키는 폭주 공격(Flooding Attack)이 있다. 폭주 공격으로 인해 매우 빠르게 네트워크의 자원이 고갈되고, 네트워크 상의 주요 장비들이 공격을 받게 된다.
반면, 폭주 공격 등의 점점 지능화되는 해커들의 공격으로부터 소중한 데이터를 보호하기 위한 방법에는 한계가 있다. 즉, 폭주 공격의 경우에도 침입 탐지 시스템이나 기타 보안 장비가 이 공격의 특징을 모르거나, 혹은 알고 있더라도 조기 탐지 및 퇴치하는 것은 용이하지 않다. 반면에, 이러한 공격을 효과적으로 방어하지 못하는 동안 그 피해는 엄청난 경제적 손실로 이어진다.
최근, 네트워크의 트래픽 상황 및 패턴 분석, QoS 혹은 Billing Account등의 목적으로 Cisco NetFlow, nTop, sFlow와 같은 트래픽 모니터링 솔루션들이 사용되고 있다. 하지만 이런 솔루션들은 다음과 같은 문제점들을 지니고 있다.
첫째로, 상기 툴들은 고속 네트워크에서 사용될 만큼 고성능이지 않다. 그 결과로 트래픽 분석 시에 패킷 샘플링을 하여 트래픽 상황을 추론한다. 샘플링 이 론에 따르면, 신뢰도와 허용 오차 범위 내에서는 효율적이고 정확하게 결과를 추론할 수 있다. 샘플링에 의한 표본 수가 증가하면 샘플링에 의한 오차가 감소되지만, 이는 성능 저하의 문제로 직결된다.
둘째로, 트래픽 흐름 정보의 보고(reporting)가 일정 주기로 발생한다는 것이다. 이는 모든 흐름 정보가 일정 주기를 두고 동시에 갱신되기 때문에 갱신 작업에 부하가 많고, 네트워크 상황에 대한 정보가 실시간으로 전달되지 않는다. Reporting 주기가 감소할수록 정보가 실시간에 가깝게 전달되나, 이것도 성능 저하의 문제로 직결된다.
셋째는, 첫째와 둘째 문제가 동시에 원인이 되어 나타나는 문제점으로 모든 트래픽을 모니터링 할 수가 없고, 실시간으로 네트워크에 발생한 문제점을 알 수가 없기 때문에 폭주 공격을 조기 탐지하고 대응하는 것에 효율적이지 못하다. 게다가, 플로우의 이상 여부와 관련 없이 모든 플로우를 모니터링 하므로, 자원 활용도 비효율적이다.
또한, 종래 기술에 의한 폭주 공격에 대한 조기 탐지 방법 중의 하나는 트래픽 엔지니어링의 기법을 이용하여 네트워크에서 대역폭의 소모가 많은 특정 플로우를 탐지하는 것이 있다. 즉, DoS, DDoS, 또는 Worm등의 바이러스의 경우에, 갑자기 과다한 트래픽을 발생하며 패킷의 특정 필드가 같은 패킷들이 다량으로 발생하는 특성이 있기 때문에, 이러한 특징을 이용하면 폭주 공격으로 인한 네트워크의 피해를 방지할 수 있다.
그러나, 폭주 공격을 감지하기 위해서는 각 트래픽을 플로우 단위로 모니터 링 해야 하며, 관찰된 패킷들이 공통적인 특징을 가지는지 검사해야 한다. 그런데, 네트워크에서 모든 트래픽을 동시에 관찰하기 위해서는 많은 시스템 자원이 요구된다. 특히 네트워크의 주요 자원들-예를 들어 IDS 센터나 전자 상거래 서버-과 같이 트래픽이 많은 장비들은 처리하는 트래픽에 비례하여 훨씬 더 많은 자원이 더 요구된다. 반면에, 대부분의 고속 네트워크에서 트래픽을 처리하는 장비들은 제한된 자원을 가지고 있다. 그러므로, 트래픽에서 흐름 정보를 수집하는 즉시 플로우의 대역폭을 계산하고, 계산된 대역폭에 따라 플로우를 정렬하여, 정렬된 정보 중에서 과다 트래픽으로 의심되는 대역폭 소모가 큰 플로우들만을 수집하여 감시하는 방법이 효율적이다.
그러므로, 방대한 양의 트래픽을 모두 감시하는 것이 아니라, 공통점을 기준으로 분류한 플로우로 구분하고, 구분된 플로우를 대역폭 및 활동도 순서로 정렬하여 선택적으로 감시함으로써 네트워크 자원의 활용을 극대화시키기 위한 방법이 요구된다.
본 발명의 목적은 기간 망(Backbone Network)과 같은 고속 네트워크의 트래픽에서 플로우 정보를 수집하고, 플로우들을 대역폭 및 활동도(liveliness, activity)에 따라 자동으로 정렬하는 방법을 제공하는 것이다.
또한, 본 발명의 다른 목적은 방대한 트래픽 중 악의적(hostile) 공격 수단인 트래픽으로 의심되는 플로우들 만을 선택하여 선택적인 감시를 할 수 있도록 허용하는 장치를 제공하는 것이다.
상기와 같은 목적들을 달성하기 위한 본 발명의 일면은, 네트워크를 통해 단말기로 전송되는 트래픽을 동일한 목적지를 가지는 다수 개의 흐름(이하 "플로우(flow)"라 한다)으로 구분하고, 구분된 다수 개의 플로우들을 각 플로우의 대역폭을 기준으로 정렬하기 위한 방법에 관한 것이다. 본 발명의 일 측면에 의한 플로우 정렬 방법은 플로우들을 수신하는 단계, 수신된 플로우의 대역폭이 속하는 대역폭 범위를 설정하고, 사전에 수신된 플로우들의 대역폭과 비교하여 비교 결과에 따라 정렬하는 대역폭 정렬 단계 및 수신된 플로우의 발생 빈도를 나타내는 활동도를 사전에 수신된 플로우들 중 대역폭 범위에 포함되는 대역폭을 가지는 플로우들의 활동도와 비교하여 비교 결과에 따라 정렬하는 활동도 정렬 단계를 포함한다. 특히, 본 발명의 일 측면에 의한 플로우 정렬 방법은 최근에 수신된 플로우가 동일한 대역폭 범위에 포함되는 대역폭을 가지는 플로우들 보다 높은 활동도를 가지는 것으로 판단하여 정렬하는 단계를 더 포함하는 것이 바람직하다. 또한, 대역폭 정렬 단계는 대역폭 범위와 인접하는 상위 대역폭 범위 및 하위 대역폭 범위와의 상대적 관계를 고려하여 비선형적인 크기 관계를 가지도록 대역폭 범위를 설정하는 것이 바람직하다. 뿐만 아니라, 본 발명의 일 측면에 의한 플로우 정렬 방법은 대역폭 및 활동도를 기준으로 정렬된 하나 이상의 플로우 중에서, 대역폭 및 활동도가 높은 것으로 판단되는 플로우들을 구별하는 단계 및 구별된 플로우들을 실시간으로 감시하여 외부로부터의 공격을 감지하는 단계를 더 포함하는 것을 특징으로 한다.
상기와 같은 목적들을 달성하기 위한 본 발명의 다른 면은, 네트워크를 통해 단말기로 전송되는 트래픽을 동일한 목적지를 가지는 다수 개의 흐름으로 구분하고, 구분된 다수 개의 플로우들을 각 플로우의 대역폭을 기준으로 정렬하기 위한 장치에 관한 것이다. 본 발명의 다른 측면에 의한 플로우 정렬 장치는 플로우들을 수신하기 위한 수신 모듈, 수신된 플로우의 대역폭이 속하는 대역폭 범위를 설정하고, 사전에 수신된 플로우들의 대역폭과 비교하여 비교 결과에 따라 정렬하는 대역폭 정렬 모듈 및 수신된 플로우의 발생 빈도를 나타내는 활동도를 사전에 수신된 플로우들 중 대역폭 범위에 포함되는 대역폭을 가지는 플로우들의 활동도와 비교하여 비교 결과에 따라 정렬하는 활동도 정렬 모듈을 포함하는 것을 특징으로 한다. 또한, 플로우 정렬 장치는, 최근에 수신된 플로우가 동일한 대역폭 범위에 포함되는 대역폭을 가지는 플로우들 보다 높은 활동도를 가지는 것으로 판단하여 정렬하는 것이 바람직하다. 뿐만 아니라, 대역폭 정렬 모듈은 대역폭 범위와 인접하는 상위 대역폭 범위 및 하위 대역폭 범위와의 상대적 관계를 고려하여 비선형적인 크기 관계를 가지도록 대역폭 범위를 설정하는 것을 특징으로 한다.
본 발명에 의하여 외부로부터의 공격을 방어하기 위하여 트래픽을 감시할 때, 공격 가능성이 가장 높은 데이터 플로우들만을 선택적으로 방어할 수 있으므로 네트워크 자원의 효용성이 증가되며 방어 효율도 향상시킬 수 있다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로서, 본 발명을 상세히 설명한다. 각 도면에 대하여, 동일한 참조부호는 동일한 부재임을 나타낸다.
도 1은 본 발명의 일 측면에 의한 데이터 플로우 정렬 방법을 나타내는 흐름도이다.
본 발명의 일 측면에 의한 데이터 플로우 정렬 방법에서는, 우선 정렬할 플로우를 수신한다(S110), 이 과정에서 수신된 방대한 양의 트래픽이 동일한 목적지 또는 그 외의 동일성을 기준으로 하여 데이터 흐름(플로우)으로 구분된다. 그리고, 구분된 플로우의 대역폭을 계산하고, 계산된 대역폭을 사전에 정렬된 플로우들의 대역폭과 비교하여 대역폭 순서에 따라 정렬한다(S130), 즉, 모든 플로우들은 대역폭 기준으로 일렬로 정렬되는 것이 아니라, 소정 범위의 대역폭 범위 내에 포함되는 대역폭을 가지는 플로우들은 동일한 대역폭 범위 내에 포함되는 것으로 간주한다. 그리고, 동일한 대역폭 범위에 속하는 플로우들의 활동도를 비교하여 활동도 순서에 따라 정렬한다(S150). 이 경우, 최근에 수신된 데이터 패킷의 활동도는 동일한 대역폭 범위에 속하는 플로우들 중 가장 높은 것으로 간주하고 정렬한다(S170).
즉, 본 발명은 고속 네트워크 환경에서 트래픽을 흐름(플로우)별로 분류하고, 분류된 흐름들을 대역폭 기준으로 자동 정렬하는 방법을 제안한다. 본 발명으로 고속 네트워크 환경에서 패킷의 손실(Packet Loss)과 패킷 표본 추출법(Packet sampling)없이 모든 트래픽을 선로 속도를 보장하면서 모니터링하면서 흐름들을 분 류할 수 있다. 또한, 분류된 플로우들을 대역폭 및 활동도를 기준으로 정렬함으로써, 임의의 플로우의 대역폭이 증가 혹은 감소하는 것을 실시간으로 모니터링하면서 트래픽 패턴의 이상을 즉시 감지(Abrupt change detection)할 수 있다. 더 나아가, 네트워크를 과다 트래픽 유입을 통한 공격(Bandwidth Attack 또는 Flooding Attack)으로부터 조기에 방어하여 안전하게 한다.
도 1에 도시된 정렬 방법에서, 플로우들을 활동도 순에 따라 정렬하기 때문에, 자원이 제한된 환경에서 자원을 효율적으로 사용하면서 네트워크를 모니터링 할 수 있다.
도 2는 본 발명에 적용되기 위한 대역폭 계산 방법을 설명하기 위한 도면으로서, 이중 윈도우를 이용하여 대역폭을 계산한다.
도 2에는 두 개의 상이한 시점에서 시작되며 동일한 폭을 가지는 두 개의 시간 윈도우를 이용하여 대역폭을 계산한다. 즉, 제1 시작 시각(start_time)에서 시작되는 시간 윈도우 및 제2 시작 시각(start_time')에서 시작되는 시간 윈도우를 나타낸다. 모든 윈도우의 폭은 (△T)으로 동일하며, 데이터 패킷은 제2 시작 시각(start_time')으로부터 △T'이 지난 시점(A)에서 수신된다. 여기서 윈도우의 폭인 △T는 제1 시작 시각(start_time) 및 제2 시작 시각(start_time') 간의 시각차인 T의 절반에 해당한다. 제1 시작 시각(start_time) 및 제2 시작 시각(start_time')은 주기 T마다 현재 시각으로 갱신된다. 여기서, △T 동안 수신된 Octet 수를 Prev_Octet 라고 하고 △T' 까지 수신된 Octet 수를 Cur_Octet 이라고 가정한다. 그러면, BPS는 다음 수학식 1과 같이 계산된다.
Figure 112003049584007-pat00001
도 3은 본 발명에 적용되기 위한 대역폭 범위를 설정하기 위한 방법을 설명하기 위한 도면이다.
제 3도에서 n, n-1 (n > n-1)은 정렬 인덱스이고, Bn, Bn-1 (Bn > Bn-1 )은 해당 인덱스의 대역폭 값이다. 임의의 플로우의 대역폭이 BM 일 때, △Q 는 BM 을 기준으로 해당 플로우의 대역폭이 변하더라도 정렬 인덱스의 변동은 없는 범위를 표현한다. 즉, Bn 과 Bn-1 에 대한 BM 기준의 변동 허용 범위로 0 ≤ △Q < 0.5로 표현된다. 정렬 인덱스 간의 대역폭 범위는 다음 수학식 2로 표현된다.
Figure 112003049584007-pat00002
도 4는 본 발명에 의한 데이터 플로우 정렬 방법 및 장치에서 데이터 플로우를 정렬하는 과정을 설명하기 위한 도면이다.
두 가지 기준을 이용하여 정렬 하기 위해서 빈(bin) 정렬 기법을 변형 적용한다. 즉, 정렬 인덱스 간의 대역폭 간격 설정 모듈에 의해 정해진 각각의 대역폭 을 각각 Bin으로 지정을 하고, 각각의 Bin 내에서는 활동도를 기준으로 다시 플로우들을 정렬한다. 도 4에서 각각의 행은 대역폭 또는 Bin을 나타내고, 각각의 Bin내에서 오른쪽에 있는 플로우일수록 활동도가 가장 높은 플로우이다. 즉, 도 4에서 플로우6 < 플로우4 < 플로우0 의 순서로 Bin이 정렬되고, 플로우0 < 플로우1 < 플로우 2 < 플로우3의 순서로 활동도가 커진다. 그러므로, 도 4에 도시된 플로우들 중 가장 높은 대역폭 및 활동도를 가지는 플로우는 flow3이며, 가장 낮은 대역폭 및 활동도를 가지는 플로우는 flow8이다.
도시되는 바와 같이 본 발명에서 플로우를 정렬하기 위하여 요구하는 조건은 오직 대역폭을 기준으로 구분된 대역폭 범위 및 우선 순위 큐(queue)를 구성하기 위한 플로우의 활동도 뿐이다. 그러므로 데이터 플로우의 정렬이 용이하게 이루어진다.
도 5는 동일한 대역폭 범위에 속하는 데이터 플로우들을 활동도를 기준으로 정렬하는 과정을 설명하기 위한 도면이다. 즉, 도 5는 임의의 흐름의 활동도나 대역폭의 변화가 있는 경우 플로우들을 재정렬하는 방법을 제시한다. 임의의 플로우를 수신한 경우, 만약 대역폭이 커져서 상위 Bin에 해당되면 상위 Bin의 가장 오른쪽으로 정렬한다. 또한, 대역폭이 커져도 원래 속해있던 대역폭 범위 내에 속한다면 현재 Bin의 가장 오른쪽으로 옮긴다. 이러한 메커니즘은 가장 최근에 패킷을 수신한 플로우일수록 활동도가 높다고 가정을 한 것이다. 그리고, 이러한 가정은 최근 발생된 플로우일수록 재발생될 가능성이 높다는 점을 고려하면 합리적인 것이다.
본 발명에 의한 플로우 정렬 방법은 폭주 공격 감지에 필요한 정보를 효율적으로 탐지하는 것에 최적이다. 즉, 대역폭을 Bin으로 구분하여 대역폭 측면에서 의심스러운 플로우들만 모니터링할 수 있으며, 동일한 Bin에 속하는 플로우 중에서도 활동도가 가장 높은 플로우나 낮은 플로우에 대한 정보에 접근하여 폭주 공격을 감시할 수 있다. 즉, 본 발명에 의한 플로우 정렬 방법을 이용하면 모든 플로우들을 대역폭 기준으로 정렬함으로써, 현재 트래픽에서 어떤 플로우에 공격 징후가 있는지를 알 수 있으며, 플로우의 활동도를 기준으로 정렬을 함으로써 어떤 플로우가 현재 모니터링할 만한 가치가 있는지, 어떤 플로우가 더 이상 유효하지 않은지를 알 수 있다.
플로우들을 대역폭 측면에서 정렬하고 관리하는 것으로 공격 징후를 조기에 탐지할 수 있다. 임의의 플로우에 대해서 실시간으로 대역폭을 계산 및 갱신하고 대역폭의 변화 정도를 모니터링하면서 트래픽 이상 징후를 탐지한다. 본 발명에 의한 플로우 정렬 방법을 통하여 공격 징후를 조기 탐지함으로써 공격 대상 네트워크나 시스템에게 공격에 대한 대응 및 대비 시간을 확보해준다.
플로우들을 활동도 관점에서 정렬하는 것은 관리중인 플로우들에 대하여 일종의 Cache를 관리하는 것과 같다. 즉, 활동도가 높은 플로우들은 계속 패킷이 유입될 가능성이 크고, 활동도가 낮은 플로우들은 더 이상 유효하지 않거나 패킷 유입의 확률이 낮다. 이는 성능 문제와 자원의 효율적 사용의 관점에서 중요하다. 활동도가 높은 플로우들을 집중적으로 모니터링 함으로써 성능을 향상시킬 수 있고, 활동도가 낮은 플로우들은 모니터링 대상에서 삭제하여 자원을 새로 확보하고, 새 로 생성된 플로우들을 확보된 자원을 이용하여 모니터링 대상에 추가한다. 이는 제한된 자원을 가진 환경에서 효율적인 자원 활용을 가능케 한다.
도 6은 본 발명에 의한 대역폭 범위 설정 방법의 일 실시예를 나타내는 도면이다.
즉, 본 발명에 의한 플로우 정렬 방법에서는 '비선형적 대역폭 간격 설정법'을 채택하여 대역폭 범위를 결정한다. 비선형적 대역폭 간격 설정법의 예를 들면 의사 대수 스케일(Pseudo Log Scale)이 있다. 고속 네트워크 환경에는 대역폭이 높은 소수의 플로우들도 있지만, 대역폭이 작은 다수의 플로우들도 있다. 만약 대역폭 간격이 상수 값으로 혹은 선형적으로 차이가 난다면, 대역폭이 작은 다수의 플로우들의 미묘한 변화를 감지하기가 어렵고, 동시에 대역폭이 큰 소수의 플로우들의 미묘한 변화에는 아주 민감하게 반응을 할 것이다. 반면에, 본 발명에 의한 플로우 정렬 방법에서는 인접한 상위 대역폭을 기준으로 백분율로 대역폭 간격을 설정하여 대수 스케일과 유사한 특성을 가지므로 대역폭이 작은 플로우들의 민감한 변화를 효율적으로 감지하면서도, 대역폭이 큰 플로우들의 변화에 대해서도 효율적으로 감지할 수 있다. 도 6은 이러한 대역폭 범위의 특징을 개념적으로 나타낸다. 대수의 밑인 a는 1보다 큰 실수이다.
본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 예를 들면, 본 발명에 의한 플로우 정렬 장치는 별도의 장치로서 구현되는 것이 아니라 네트워크 라우터 또는 스 위치 등의 장치 내에 하드웨어적 또는 소프트웨어적으로 구현될 수 있음은 물론이다.
따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명에 의하여, 기간 망과 같은 고속 네트워크의 트래픽에서 플로우 정보를 수집하고, 플로우들을 대역폭 및 활동도에 따라 자동으로 정렬하는 방법이 제공되었다.
또한, 본 발명에 따른 방법 및 장치에 의하여 방대한 트래픽 중 악의적 공격 수단인 트래픽으로 의심되는 플로우들 만을 선택하여 선택적인 감시를 할 수 있다.

Claims (8)

  1. 네트워크를 통해 단말기로 전송되는 트래픽을 동일한 목적지를 가지는 다수 개의 흐름(이하 "플로우(flow)"라 한다)으로 구분하고, 구분된 다수 개의 플로우들을 각 플로우의 대역폭을 기준으로 정렬하기 위한 방법에 있어서,
    상기 플로우들을 수신하는 단계;
    수신된 상기 플로우의 대역폭이 속하는 대역폭 범위를 설정하고, 사전에 수신된 플로우들의 대역폭과 비교하여 비교 결과에 따라 정렬하는 대역폭 정렬 단계; 및
    수신된 상기 플로우의 발생 빈도를 나타내는 활동도(liveliness)를 사전에 수신된 플로우들 중 상기 대역폭 범위에 포함되는 대역폭을 가지는 플로우들의 활동도와 비교하여 비교 결과에 따라 정렬하는 활동도 정렬 단계를 포함하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 방법.
  2. 제1항에 있어서, 상기 플로우 정렬 방법은,
    최근에 수신된 플로우가 동일한 대역폭 범위에 포함되는 대역폭을 가지는 플로우들 보다 높은 활동도를 가지는 것으로 판단하여 정렬하는 단계를 더 포함하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 방법.
  3. 제2항에 있어서, 상기 대역폭 정렬 단계는,
    상기 대역폭 범위와 인접하는 상위 대역폭 범위 및 하위 대역폭 범위와의 상대적 관계를 고려하여 비선형적인 크기 관계를 가지도록 상기 대역폭 범위를 설정하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 방법.
  4. 제2항에 있어서, 상기 플로우 정렬 방법은,
    대역폭 및 활동도를 기준으로 정렬된 하나 이상의 플로우 중에서, 대역폭 및 활동도가 높은 것으로 판단되는 플로우들을 구별하는 단계; 및
    구별된 플로우들을 실시간으로 감시하여 외부로부터의 공격을 감지하는 단계를 더 포함하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 방법.
  5. 네트워크를 통해 단말기로 전송되는 트래픽을 동일한 목적지를 가지는 다수 개의 흐름(이하 "플로우(flow)"라 한다)으로 구분하고, 구분된 다수 개의 플로우들을 각 플로우의 대역폭을 기준으로 정렬하기 위한 장치에 있어서,
    상기 플로우들을 수신하기 위한 수신 모듈;
    수신된 상기 플로우의 대역폭이 속하는 대역폭 범위를 설정하고, 사전에 수신된 플로우들의 대역폭과 비교하여 비교 결과에 따라 정렬하는 대역폭 정렬 모듈; 및
    수신된 상기 플로우의 발생 빈도를 나타내는 활동도(liveliness)를 사전에 수신된 플로우들 중 상기 대역폭 범위에 포함되는 대역폭을 가지는 플로우들의 활동도와 비교하여 비교 결과에 따라 정렬하는 활동도 정렬 모듈을 포함하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 장치.
  6. 제5항에 있어서, 상기 플로우 정렬 장치는,
    최근에 수신된 플로우가 동일한 대역폭 범위에 포함되는 대역폭을 가지는 플로우들 보다 높은 활동도를 가지는 것으로 판단하여 정렬하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 장치.
  7. 제6항에 있어서, 상기 대역폭 정렬 모듈은,
    상기 대역폭 범위와 인접하는 상위 대역폭 범위 및 하위 대역폭 범위와의 상대적 관계를 고려하여 비선형적인 크기 관계를 가지도록 상기 대역폭 범위를 설정 하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 장치.
  8. 제6항에 있어서, 상기 플로우 정렬 장치는,
    대역폭 및 활동도를 기준으로 정렬된 하나 이상의 플로우 중에서, 대역폭 및 활동도가 높은 것으로 판단되는 플로우들을 구별하기 위한 구별 모듈; 및
    구별된 플로우들을 실시간으로 감시하여 외부로부터의 공격을 감지하기 위한 공격 감지 모듈을 더 포함하는 것을 특징으로 하는 대역폭을 이용한 플로우 정렬 장치.
KR1020030096892A 2003-12-24 2003-12-24 대역폭을 이용한 데이터 플로우 정렬 장치 및 방법 KR100590770B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020030096892A KR100590770B1 (ko) 2003-12-24 2003-12-24 대역폭을 이용한 데이터 플로우 정렬 장치 및 방법
US11/004,426 US20050141423A1 (en) 2003-12-24 2004-12-03 Method of and apparatus for sorting data flows based on bandwidth and liveliness

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030096892A KR100590770B1 (ko) 2003-12-24 2003-12-24 대역폭을 이용한 데이터 플로우 정렬 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20050065125A KR20050065125A (ko) 2005-06-29
KR100590770B1 true KR100590770B1 (ko) 2006-06-15

Family

ID=34698480

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030096892A KR100590770B1 (ko) 2003-12-24 2003-12-24 대역폭을 이용한 데이터 플로우 정렬 장치 및 방법

Country Status (2)

Country Link
US (1) US20050141423A1 (ko)
KR (1) KR100590770B1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100714109B1 (ko) * 2005-12-01 2007-05-02 한국전자통신연구원 침입 경보 데이터 생성 장치 및 그 방법
US9218219B2 (en) * 2010-11-24 2015-12-22 International Business Machines Corporation Managing virtual functions of an input/output adapter
CA2827941C (en) * 2011-02-24 2017-09-12 The University Of Tulsa Network-based hyperspeed communication and defense
US9794130B2 (en) * 2012-12-13 2017-10-17 Coriant Operations, Inc. System, apparatus, procedure, and computer program product for planning and simulating an internet protocol network
US9608938B2 (en) * 2014-08-12 2017-03-28 Arista Networks, Inc. Method and system for tracking and managing network flows
US10498612B2 (en) * 2016-09-27 2019-12-03 Mellanox Technologies Tlv Ltd. Multi-stage selective mirroring
US10574546B2 (en) 2016-09-27 2020-02-25 Mellanox Technologies Tlv Ltd. Network monitoring using selective mirroring
US20180183726A1 (en) * 2016-12-27 2018-06-28 Netspeed Systems, Inc. Traffic mapping of a network on chip through machine learning
CN114610581B (zh) * 2022-03-17 2024-04-12 杭州云深科技有限公司 一种获取应用软件的数据处理***

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4358829A (en) * 1980-04-14 1982-11-09 Sperry Corporation Dynamic rank ordered scheduling mechanism
US5278987A (en) * 1991-03-05 1994-01-11 Franklin Chiang Virtual pocket sorting
US5699513A (en) * 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US7146425B2 (en) * 2000-12-22 2006-12-05 Matsushita Electric Industrial Co., Ltd. Measurement-based admission control utilizing effective envelopes and service curves
US7324447B1 (en) * 2002-09-30 2008-01-29 Packeteer, Inc. Methods, apparatuses and systems facilitating concurrent classification and control of tunneled and non-tunneled network traffic
GB0229647D0 (en) * 2002-12-19 2003-01-22 Zarlink Semiconductor Ltd Packet classifer
US7584303B2 (en) * 2002-12-20 2009-09-01 Forte 10 Networks, Inc. Lossless, stateful, real-time pattern matching with deterministic memory resources
US7219228B2 (en) * 2003-08-25 2007-05-15 Lucent Technologies Inc. Method and apparatus for defending against SYN packet bandwidth attacks on TCP servers

Also Published As

Publication number Publication date
KR20050065125A (ko) 2005-06-29
US20050141423A1 (en) 2005-06-30

Similar Documents

Publication Publication Date Title
Wang et al. An efficient flow control approach for SDN-based network threat detection and migration using support vector machine
Carl et al. Denial-of-service attack-detection techniques
US7716737B2 (en) Connection based detection of scanning attacks
US7664963B2 (en) Data collectors in connection-based intrusion detection
US7949737B2 (en) Method and apparatus for grouping nodes based on connection characteristics
US8090809B2 (en) Role grouping
US8479057B2 (en) Aggregator for connection based anomaly detection
US7461404B2 (en) Detection of unauthorized access in a network
US20130167232A1 (en) Event detection/anomaly correlation heuristics
US20040199791A1 (en) Connection table for intrusion detection
US20050033989A1 (en) Detection of scanning attacks
US20040220984A1 (en) Connection based denial of service detection
US20200195672A1 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
White et al. Cooperating security managers: Distributed intrusion detection systems
KR100590770B1 (ko) 대역폭을 이용한 데이터 플로우 정렬 장치 및 방법
Song et al. Flow-based statistical aggregation schemes for network anomaly detection
Sawaya et al. Detection of attackers in services using anomalous host behavior based on traffic flow statistics
KR20110028106A (ko) 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
JP2007074339A (ja) 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
Oo et al. Effective detection and mitigation of SYN flooding attack in SDN
Tartakovsky et al. A nonparametric multichart CUSUM test for rapid intrusion detection
Shomura et al. Analyzing the number of varieties in frequently found flows
Shushlevska et al. Anomaly detection with various machine learning classification techniques over UNSW-NB15 dataset

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110531

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee