KR102276090B1 - 트래픽 데이터 재배열 방법 및 그 장치 - Google Patents

트래픽 데이터 재배열 방법 및 그 장치 Download PDF

Info

Publication number
KR102276090B1
KR102276090B1 KR1020200152474A KR20200152474A KR102276090B1 KR 102276090 B1 KR102276090 B1 KR 102276090B1 KR 1020200152474 A KR1020200152474 A KR 1020200152474A KR 20200152474 A KR20200152474 A KR 20200152474A KR 102276090 B1 KR102276090 B1 KR 102276090B1
Authority
KR
South Korea
Prior art keywords
traffic data
interest
traffic
time
rrc
Prior art date
Application number
KR1020200152474A
Other languages
English (en)
Inventor
김도원
박성민
조형진
박영권
권성문
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020200152474A priority Critical patent/KR102276090B1/ko
Priority to US17/332,875 priority patent/US11252568B1/en
Application granted granted Critical
Publication of KR102276090B1 publication Critical patent/KR102276090B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/30Connection release
    • H04W76/38Connection release triggered by timers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 트래픽 데이터를 재배열하는 방법 및 그 장치에 관한 것이다. 본 발명의 일 실시예에 따른 트래픽 데이터 재배열 방법은, 컴퓨팅 장치에 의해 수행되는 방법에 있어서, 기지국과 단말 사이에 송수신되는 트래픽 데이터를 획득하는 단계, 상기 트래픽 데이터에 포함된 RRC(Radio Resource Control) 해제 메시지에 기초하여, RRC 비활성 타이머 값을 산출하는 단계, 상기 산출된 RRC 비활성 타이머 값을 이용하여, 타임 윈도우의 크기를 결정하는 단계 및 상기 타임 윈도우의 크기 단위마다, 상기 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터를, 상기 RRC 연결 요청 시간의 순서대로 재배열하는 단계를 포함할 수 있다.

Description

트래픽 데이터 재배열 방법 및 그 장치{METHOD AND APPARATUS FOR REARRANGING TRAFFIC DATA}
본 발명은 트래픽 데이터를 재배열하는 방법 및 그 장치에 관한 것이다. 보다 구체적으로, 본 발명은 이동 통신망을 구성하는 기지국과 단말 사이에 송수신되는 트래픽 데이터를 수집하여, 세션 생성 시간의 역전이 조정되도록 트래픽 데이터를 재배열하는 방법 및 그 장치에 관한 것이다.
오늘날의 스마트폰 사용자들은 고속의 이동 통신망을 기반으로 하는 다수의 모바일 서비스들을 사용하고 있다. 이러한 모바일 서비스들은 현대인 생활에 필수불가결한 요소로 자리잡고 있다. 따라서, 모바일 서비스들을 사용자들이 안전하게 사용하기 위해 필수적으로 요구되는 이동 통신망에 관련된 보안 기술의 중요성이 대두되고 있다.
특히, 이동 통신망의 한정된 무선 자원을 악의적으로 점유하는 공격에 대한 보안 기술의 필요성이 요구되고 있다. 이러한 공격 유형은, 대량의 시그널링 메시지를 유발시키거나 트래픽을 급증시킴으로써, 이동 통신망의 무선 자원을 관리하는 이동 통신망 장비의 장애를 유발한다. 이러한 공격 유형의 예로써, DoS(Denial of Service), Scanning 및 Flooding 등이 있다.
종래의 이동 통신망에 관련된 보안 기술은, 개별적 공격 유형을 탐지하거나 예방하는 방향으로 발전해왔다. 다만, 한정된 무선 자원을 악의적으로 점유하는 공격에 관한 탐지 기술들은, LTE EMM(EPS Mobility Management)에서 발생하는 세션 생성 시간의 역전 현상에 의해 비정상 트래픽을 탐지하지 못하는 문제가 있었다. 상용 이동 통신망에서 탐지 가능한 트래픽들 사이에는, 디바이스의 핸드오버 등으로 인해 전술한 세션 생성 시간의 역전 현상이 빈번하게 발생하고 있는데, 종래 기술은 세션 생성 시간의 역전 현상을 바로잡지 못하므로, 비정상 트래픽을 정상 트래픽으로 판정하는 경우가 많다. 이는, 무선 자원을 관리하는 이동 통신망 장비의 장애를 유발한다.
따라서, 세션 생성 시간의 역전 현상을 조정하는 기술이 요구된다.
한국 등록특허 제 1501698 호 "이동통신망 내 비정상 데이터 플러딩 탐지방법"
본 발명의 몇몇 실시예들이 해결하고자 하는 기술적 과제는, 세션 생성 시간의 역전 현상을 조정하는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들이 해결하고자 하는 다른 기술적 과제는, 비정상 트래픽 탐지 성능을 증진시키는 방법 및 장치를 제공하는 것이다.
본 발명의 몇몇 실시예들이 해결하고자 하는 또 다른 기술적 과제는, 이동 통신망에 대한 공격 탐지 성능을 증진시키는 방법 및 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따른 트래픽 데이터 재배열 방법은, 컴퓨팅 장치에 의해 수행되는 방법에 있어서, 기지국과 단말 사이에 송수신되는 트래픽 데이터를 획득하는 단계, 상기 트래픽 데이터에 포함된 RRC(Radio Resource Control) 해제 메시지에 기초하여, RRC 비활성 타이머 값을 산출하는 단계, 상기 산출된 RRC 비활성 타이머 값을 이용하여, 타임 윈도우의 크기를 결정하는 단계 및 상기 타임 윈도우의 크기 단위마다, 상기 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터를, 상기 RRC 연결 요청 시간의 순서대로 재배열하는 단계를 포함할 수 있다. 여기서, 상기 재배열된 관심 대상 트래픽 데이터를 분석하여 비정상 트래픽을 탐지하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 비정상 트래픽을 탐지하는 단계는, 제1 시점으로부터 상기 타임 윈도우의 크기만큼 경과된 제2 시점까지의 제1 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터를 획득하는 단계 및 상기 제1 구간의 누적 스코어가 임계치 이상인 경우, 상기 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 포함할 수 있다. 여기서, 상기 누적 스코어는, 상기 관심 대상 단말이 송수신하는 RRC 해제 메시지 및 RRC 연결 요청 메시지의 누적 개수에 기초하여 결정되는 것이거나 상기 관심 대상 단말이 송신하는 SIP(Session Initiation Protocol) 요청 메시지에 대해 SIP 응답 메시지가 발생하지 않은 누적 횟수에 기초하여 결정되는 것일 수 있다.
일 실시예에서, 상기 비정상 트래픽을 탐지하는 단계는, 제1 시점으로부터 상기 타임 윈도우의 크기만큼 경과된 제2 시점까지의 제1 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터를 획득하는 단계 및 상기 제1 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터로부터 산출된 통계 데이터를 이용하여, 상기 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 포함할 수 있다.
일 실시예에서, 상기 제1 시점으로부터 기준 시간만큼 경과된 제3 시점을 기산점으로 하여, 상기 제3 시점으로부터 상기 타임 윈도우의 크기만큼 경과된 제4 시점까지의 제2 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터를 획득하는 단계 및 상기 제2 구간의 누적 스코어가 임계치 이상인 경우, 상기 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 더 포함할 수 있다. 여기서, 상기 기준 시간은, 상기 타임 윈도우의 크기일 수 있다.
일 실시예에서, 상기 트래픽 데이터를 획득하는 단계는, 상기 기지국과 상기 단말 사이에 송수신되는 상기 트래픽 데이터를 실시간으로 획득하는 단계를 포함할 수 있다.
일 실시예에서, 상기 RRC 비활성 타이머 값을 산출하는 단계는, 상기 트래픽 데이터에 포함된 마지막 RRC 메시지의 송수신 시간으로부터 상기 RRC 해제 메시지의 송수신 시간까지의 시간을 상기 RRC 비활성 타이머 값으로 산출하는 단계를 포함할 수 있다.
일 실시예에서, 상기 타임 윈도우의 크기를 결정하는 단계는, 미리 결정된 탐지 시간 크기에 상기 RRC 비활성 타이머 값을 더한 값을 상기 타임 윈도우의 크기로 결정하는 단계를 포함할 수 있다. 여기서, 상기 탐지 시간 크기는, 비정상 트래픽의 종류에 기초하여 결정되는 값일 수 있다.
일 실시예에서, 상기 관심 대상 단말은, 상기 트래픽 데이터에 포함된 IMSI(International Mobile Subscriber Identity) 데이터로부터 식별되는 것일 수 있다.
본 발명의 다른 실시예에 따른 트래픽 데이터 재배열 장치는, 프로세서, 네트워크 인터페이스, 메모리 및 상기 메모리에 로드(load)되고, 상기 프로세서에 의해 실행되는 컴퓨터 프로그램을 포함하되, 상기 컴퓨터 프로그램은, 기지국과 단말 사이에 송수신되는 트래픽 데이터를 획득하는 인스트럭션(instruction), 상기 트래픽 데이터에 포함된 RRC(Radio Resource Control) 해제 메시지에 기초하여, RRC 비활성 타이머 값을 산출하는 인스트럭션, 상기 산출된 RRC 비활성 타이머 값을 이용하여, 타임 윈도우의 크기를 결정하는 인스트럭션 및 상기 타임 윈도우의 크기 단위마다, 상기 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터를, 상기 RRC 연결 요청 시간의 순서대로 재배열하는 인스트럭션을 포함할 수 있다. 여기서, 상기 컴퓨터 프로그램은, 상기 재배열된 관심 대상 트래픽 데이터를 분석하여 비정상 트래픽을 탐지하는 인스트럭션을 더 포함할 수도 있다.
도 1은 본 발명의 일 실시예에 따른 트래픽 데이터 재배열 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 트래픽 데이터 재배열 방법을 설명하기 위한 도면이다.
도 3은 본 발명의 몇몇 실시예들에서 참조될 수 있는 세션 생성 시간의 역전 현상을 설명하기 위한 도면이다.
도 4는 도 3을 참조하여 설명된 세션 생성 시간의 역전 현상이 반영된 트래픽의 예시 도면이다.
도 5는 도 2를 참조하여 설명된 트래픽 데이터 재배열 방법의 RRC 비활성 타이머 값을 산출하는 동작을 보다 구체적으로 설명하기 위한 도면이다.
도 6은 도 5를 참조하여 설명된 RRC 비활성 타이머 값을 보다 구체적으로 설명하기 위한 도면이다.
도 7은 도 2를 참조하여 설명된 트래픽 데이터 재배열 방법의 타임 윈도우의 크기를 결정하는 동작을 보다 구체적으로 설명하기 위한 도면이다.
도 8은 도 6을 참조하여 설명된 타임 윈도우의 크기를 보다 구체적으로 설명하기 위한 도면이다.
도 9 및 도 10은 도 2를 참조하여 설명된 트래픽 데이터 재배열 방법의 관심 대상 트래픽 데이터를 분석하는 동작을 보다 구체적으로 설명하기 위한 도면이다.
도 11은 본 발명의 또 다른 실시예에 따른 트래픽 데이터 재배열 장치의 하드웨어 구성도이다.
도 12는 도 11을 참조하여 설명된 트래픽 데이터 재배열 장치의 블록 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명의 기술적 사상은 이하의 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명의 기술적 사상을 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 기술적 사상은 청구항의 범주에 의해 정의될 뿐이다.
각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
이하, 본 발명의 몇몇 실시예들에 대하여 첨부된 도면에 따라 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 트래픽 데이터 재배열 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 트래픽 데이터 재배열 시스템은 사용자 단말(100), 기지국(200), MME(300, Mobility Management Entity), S-GW(400, Serving Gateway), P-GW(500, Packet Data Network Gateway), HSS(600, Home subscriber Server), PCRF(700, Policy and Charging Rule Function), PDN(800, Packet Data Network) 및 IDS(900, Intrusion Detection System)을 포함할 수 있다. 도 1에 개시된 트래픽 데이터 재배열 시스템 각각의 구성 요소들은 기능적으로 구분되는 기능 요소들을 나타낸 것으로서, 어느 하나 이상의 구성 요소가 실제 물리적 환경에서는 서로 통합되어 구현될 수 있다. 이하, 트래픽 데이터 재배열 시스템의 구성 요소에 대해 보다 구체적으로 설명하기로 한다.
도 1에는 이동 통신망에 접속된 복수의 사용자 단말이 도시된다. 구체적으로, 제1 사용자 단말(100a), 제2 사용자 단말(100b) 및 제N 사용자 단말(100n)이 도시된다. 도 1은 이동 통신망에 연결되는 복수의 사용자 단말을 예시하는 것일 뿐, 도 1에 도시된 사용자 단말(100)의 개수에 본 발명이 한정되는 것은 아님을 유의해야 한다.
이러한, 사용자 단말(100)은 무선 인터페이스(e.g. RAN)를 통하여 기지국(200)과 접속한다. 여기서, 무선 인터페이스를 제어하는 프로토콜은 RRC(Radio Resource Control)이며, 주로 Radio Bearer 설정, 재설정 및 해제와 관련된 기능 등을 수행한다.
다음으로 기지국(200)은 사용자 단말(100), MME(300) 및 S-GW(400) 등과 연결된다. 기지국은 eNB(200a) 또는 gNB(200b)로 구성될 수 있다. 여기서, eNB(200a)는 LTE Radio 기술과 EPC(Evolved Packet Core)와의 연동을 지원하는 LTE 시스템에서 사용되는 기지국을 의미한다. 다음으로, gNB(200b)는 New Radio 기술과 5G Core와의 연동을 지원하는 차세대 기지국을 의미한다. 도 1에 도시된 5G 구조는 NSA(Non Standalone) 구조로 도시되어 있으나, 본 발명이 이에 한정되는 것은 아니고, 5G 이동 통신망에 적용될 수 있는 모든 기지국이 본 발명에 포함될 수 있다.
다음으로, MME(300)는 기지국(200)과 연결되고 S-GW(400), P-GW(500) 및 HSS(600)등과도 연결된다. MME(30)는 유휴 모드(idle)의 사용자 단말(100)을 관리하고, 사용자 단말(100)을 페이징하는 역할도 수행한다. 이러한, MME(300)는 사용자 단말(100)이 EPC 망에 연동하는데 필요한 시그널을 처리한다.
다음으로, S-GW(400)는 기지국(200)과 연결되며 MME(300) 및 P-GW(500)과도 연결된다. S-GW(400)는 사용자 단말(100)이 기지국(200)에 연결된 상태에서 데이터 서비스를 시작하면 사용자 트래픽을 기지국(200)과 EPC 망에 전달하고 라우팅하는 역할을 수행한다. 또한, S-GW(400)는 사용자 단말(100)이 핸드 오버하거나 로밍할 때도 데이터 서비스가 끊기지 않도록 관리한다.
다음으로, P-GW(500)는 사용자 단말(100)의 IP 주소를 할당하고, PDN(800)과 연결해주며, EPC 망 내 패킷 데이터를 주고받고 처리하는 기능을 수행한다. 또한, P-GW(500)는 베어러(bearer) 대역을 결정하고, 패킷 데이터에 대한 포워딩(Forwarding) 및 라우팅(Routing) 기능을 담당한다.
이때, 통상적인 3GPP 기술에서 기지국(200)과 S-GW(400) 사이는 S1 인터페이스, MME(300)와 S-GW(400) 사이는 S11 인터페이스, S-GW(400)와 P-GW(500) 사이는 S5 인터페이스라고 명명한다.
다음으로, HSS(600)는 사용자 프로파일 데이터를 갖는 중앙 데이터 베이스로써, MME(300)에 연결되어 사용자 인증 데이터와 사용자 프로파일 데이터를 MME(300)에게 제공하는 서버이다.
다음으로, PCRF(700)는 정책 및 과금 제어 기능을 수행한다. 이때, PCRF(700)에서 생성된 PCC 규칙은 P-GW(500)로 전달된다.
도 1을 참조하여 지금까지 설명된 본 실시예에 따른 일부 구성들은, 5G 이동 통신망을 구성하는 일반적인 장치로써 5G 통신 관련 분야 통상의 기술자가 명확히 이해할 수 있는 사항이므로, 각 구성에 대한 보다 구체적인 설명은 생략하기로 한다.
다음으로, IDS(900)는 침입 탐지 시스템으로써, 도 1에 도시된 이동 통신망의 비정상 트래픽을 감지하는 기능을 수행한다. 구체적으로, IDS(900)는 기지국(200)과 사용자 단말(100) 사이에 송수신되는 트래픽 데이터를 수집하여, 관심 대상 단말의 관심 대상 트래픽 데이터를 재배열한다. 이러한, IDS(900)는 재배열된 관심 대상 트래픽 데이터를 분석하여, 관심 대상 트래픽 데이터의 정상 여부를 결정한다.
또한, IDS(900)가 수집하는 트래픽 데이터는 기지국(200)과 사용자 단말(100) 사이에 송수신되는 트래픽 데이터에 한정되지 않고, 예를 들어, 기지국(200)과 MME(300) 사이, 기지국(200)과 S-GW(400) 사이, S-GW(400)와 P-GW(500) 사이 및 P-GW(500)와 PDN(800) 사이 등 이동 통신망의 모든 연결 지점에서의 트래픽 데이터를 포함한다.
또한 몇몇 실시예에서, IDS(900)는 본 발명의 또 다른 실시예에 따른 트래픽 데이터 재배열 장치로 구성될 수 있다. 보다 구체적인 설명을 위해 도 12를 참조하면, IDS(900)는 트래픽 데이터 획득부(910), RRC 비활성 타이머 값 산출부(920), 타임 윈도우 크기 결정부(930), 트래픽 재배열부(940) 및 트래픽 탐지부(950)를 포함할 수 있다. IDS(900)를 구성하는 각 구성이 수행하는 구체적인 동작들은 추후 명세서의 기재를 통해 구체화될 것이다.
이상, 도 1을 참조하여 본 발명의 일 실시예에 따른 트래픽 데이터 재배열 시스템에 대해 구체적으로 설명하였다. 도 1을 참조하여 설명된 본 실시예에 따르면, IDS(900)에 의해 비정상 트래픽이 탐지됨으로써, 비정상 트래픽으로 인한 이동 통신망에서 무선 자원을 관리하는 장치들의 장애 발생이 방지될 수 있다. 특히, 트래픽 데이터를 재배열함으로써, LTE EMM에서 발생될 수 있는 세션 생성 시간의 역전 현상을 해소할 수 있고, 이에 따라 비정상 트래픽을 보다 정확하게 탐지할 수 있다.
이하, 도 2 내지 도 10을 참조하여 본 발명의 다른 실시예에 따른 트래픽 데이터 재배열 방법에 대해 구체적으로 설명하기로 한다. 도 2를 참조하여 본 발명의 다른 실시예에 따른 트래픽 데이터 재배열 방법을 설명하기에 앞서, 도 3 및 도 4를 참조하여 세션 생성 시간의 역전 현상 및 이에 따른 종래 기술의 탐지 메시지 미생성 문제에 관해 설명하기로 한다.
도 3은 본 발명의 몇몇 실시예들에서 참조될 수 있는 세션 생성 시간의 역전 현상을 설명하기 위한 도면이고, 도 4는 도 3을 참조하여 설명된 세션 생성 시간의 역전 현상이 반영된 트래픽의 예시 도면이다.
도 3의 (a) 내지 (c)를 참조하면, 한정된 무선 자원을 악의적으로 점유하는 공격들에 관한 탐지 기술들은, 탐지 주기(12)에 수집된 트래픽 데이터를 가공하여 누적된 누적 값이 임계 값 이상인지 여부를 기준으로 비정상 트래픽을 탐지한다. 다만, 이에 한정되는 것은 아니고, 한정된 무선 자원을 악의적으로 점유하는 공격들에 관한 다른 탐지 기술들은, 탐지 주기(12)에 수집된 트래픽에 관한 통계 정보를 기초로, 참조될 수 있는 과거에 수집된 트래픽에 관한 통계 정보와 비교하여 비정상 트래픽을 탐지한다. 즉, 트래픽이 수집되는 탐지 주기(12)는 비정상 트래픽을 탐지하는데 있어서 중요한 요소이다.
도 3의 (a)를 참조하면 정상 트래픽의 경우, 탐지 주기(12)에 수집된 트래픽 데이터를 가공하여 누적된 누적 값이 임계 값 미만이므로 탐지 메시지가 생성되지 않는다. 도 3의 (b)를 참조하면 비정상 트래픽의 경우, 탐지 주기(12)에 수집된 트래픽 데이터를 가공하여 누적된 누적 값이 초과 지점(14)에서 임계 값을 초과하므로, 탐지 메시지가 생성된다.
이에 반해 도 3의 (c)를 참조하면, 비정상 트래픽임에도 세션 역전 현상(10)에 의해 탐지 메시지가 생성되지 않는다. 보다 구체적으로, 제1 지점(16)에서 누적되어야 할 데이터가 세션 역전 현상(10)에 의해 제2 지점(18)에서 누적됨으로써, 탐지 메시지가 생성되지 않는다. 이처럼, 세션 역전 현상(10)에 의해 비정상 트래픽으로 탐지되어야 할 관심 대상 트래픽 데이터가 정상 트래픽으로 결정되는 문제가 있다. 이러한 문제를 야기하는 세션 역전 현상(10)을 보다 구체적으로 설명하기위해 도 4를 참조하기로 한다.
도 4를 참조하면, 수집된 트래픽이 가공된 테이블이 도시된다. 구체적으로, RRC 연결 요청 시간(20), RRC 연결 요청 응답 시간(22) 및 세션 생성 시간(24)이 도시된다.
여기서, 제1 요청 시간(26a)은 2020년 05월 13일 10시 09분 49.937680초이고, 이에 따라 세션이 생성된 시간은 2020년 05월 13일 10시 09분 49.938432초이다. 또한, 제2 요청 시간(26b)은 2020년 05월 13일 10시 09분 49.937654초이고, 이에 따라 세션이 생성된 시간은 2020년 05월 13일 10시 09분 49.938574초이다. 즉, 제1 요청 시간(26a)은 제2 요청 시간(26b) 이후에 발생된 것이나 각 요청에 응답하여 세션이 생성 시간은 제2 요청 시간(26b)에 의한 세션의 생성이 제1 요청 시간(26a)에 의한 세션의 생성보다 우선한다. 이처럼, RRC 연결 요청 시간 순서가 역전되어 세션이 생성되는 현상을 세션 역전 현상(10)이라 명명한다.
이러한 세션 역전 현상(10)은, LTE EMM의 'S1 Release Procedure' 및 'Service Request Procedure'에 의한 것으로써, 이는 5G 통신 관련 분야 통상의 기술자가 명확히 이해할 수 있는 사항이므로, 세션 역전 현상(10) 발생 원인에 관한 구체적인 설명은 생략하기로 한다.
지금까지 도 3 내지 도 4를 참조하여 설명된 세션 생성 시간의 역전 현상 및 이에 따른 종래 기술의 탐지 메시지 미생성 문제는 추후 설명될 트래픽 데이터 재배열 방법에 의해 해소될 수 있다. 이하, 도 2를 참조하여 트래픽 데이터 재배열 방법을 설명하기로 한다.
도 2는 본 발명의 다른 실시예에 따른 트래픽 데이터 재배열 방법을 설명하기 위한 도면이다. 본 실시예에 따른 트래픽 데이터 재배열 방법은 컴퓨팅 장치에 의하여 수행될 수 있다. 예컨대, 본 실시예에 따른 트래픽 데이터 재배열 방법은 도 12에 도시된 트래픽 데이터 재배열 장치에 의하여 수행될 수 있다. 또한, 본 실시예에 따른 방법은 제1 컴퓨팅 장치와 제2 컴퓨팅 장치에 의하여 나뉘어 수행될 수 있다. 이하, 본 실시예에 따른 방법의 각 동작을 수행함에 있어서, 그 주체의 기재가 생략되면, 그 주체는 상기 컴퓨팅 장치인 것으로 해석될 수 있을 것이다.
도 2를 참조하면 단계 S100에서, 기지국과 단말 사이에 송수신되는 트래픽 데이터가 획득된다. 여기서, 트래픽 데이터는 시그널링 메시지를 포함할 수 있다. 이러한, 시그널링 메시지는 RRC 연결 메시지 또는 RRC 해제 메시지를 포함할 수 있다.
또한, 트래픽 데이터는 이동 통신망에 연결되는 복수의 사용자 단말 각각의 트래픽 데이터를 포함할 수 있다. 예를 들어, 정상 트래픽을 송수신하는 정상 사용자 단말과 비정상 트래픽을 송수신하는 비정상 사용자 단말이 이동 통신망에 연결되고, 정상 사용자 단말 및 비정상 사용자 단말이 송수신하는 각각의 트래픽 데이터가 수집될 수 있다. 여기서, 이동 통신망에 연결되는 각각의 단말들은 트래픽 데이터에 포함된 IMSI(International Mobile Subscriber Identity)에 의해 식별될 수 있다.
단계 S100과 관련된 몇몇 실시예에서, 트래픽 데이터를 획득하는 단계는 기지국과 단말 사이에 송수신되는 트래픽 데이터가 실시간으로 획득될 수도 있다. 본 실시예에 따르면, 트래픽 데이터가 실시간으로 수집됨으로써, 실시간으로 비정상 패킷을 탐지하여 이동 통신망을 구성하는 장치들을 보호할 수 있다.
앞서 설명된 단계 S100에서 수행되는 동작은, 예컨대, 도 12에 도시된 트래픽 데이터 획득부(910)에 의하여 수행될 수 있다.
다음으로, 단계 S200에서 트래픽 데이터에 포함된 RRC 해제 메시지에 기초하여, RRC 비활성 타이머 값(RRC Inactivity Timer)이 산출된다. 여기서, RRC 비활성 타이머 값은 RRC 연결이 해제되기 위해 요구되는 사용자 단말의 미사용 시간으로써, RRC 비활성 타이머 값은 기지국에 저장되어 있는 고유한 값이다. 이러한, RRC 비활성 타이머 값은 통신사마다 서로 다른 고유한 값을 가질 수 있다.
단계 S200과 관련된 몇몇 실시예에서, RRC 비활성 타이머 값을 산출하는 단계는, 트래픽 데이터에 포함된 마지막 RRC 메시지의 송수신 시간으로부터 RRC 해제 메시지의 송수신 시간까지의 시간을 RRC 비활성 타이머 값으로 산출하는 단계를 포함할 수 있다. 이와 관련된 구체적인 설명을 위해 도 5 내지 도 6을 참조하여 설명하기로 한다.
도 5는 도 2를 참조하여 설명된 트래픽 데이터 재배열 방법의 RRC 비활성 타이머 값을 산출하는 동작을 보다 구체적으로 설명하기 위한 도면이고, 도 6은 도 5를 참조하여 설명된 RRC 비활성 타이머 값을 보다 구체적으로 설명하기 위한 도면이다.
도 5를 참조하면, 마지막 RRC 메시지의 송수신 시간(32) 및 RRC 해제 메시지의 송수신 시간(34)이 도시된다. 구체적으로, 마지막 RRC 메시지의 송수신 시간(32)은 13시 51분 01.553초이고, RRC 해제 메시지의 송수신 시간(34)은 13시 51분 08.155초이다. 이때, RRC 비활성 타이머 값은 RRC 해제 메시지의 송수신 시간(34)에서 마지막 RRC 메시지의 송수신 시간(32)을 뺀 시간이므로, 6.602초로 산출된다. 다만, 도 5에 도시된 RRC 비활성 타이머 값은 예시적인 값으로, 본 발명의 권리 범위를 한정하는 것은 아님을 유의해야한다.
RRC 비활성 타이머 값과 관련된 몇몇 실시예에서, RRC 비활성 타이머 값은 특정 소수점 자리에서 반올림된 값으로 산출될 수도 있다. 예를 들어, 소수점 셋째 자리에서 반올림된 값을 RRC 비활성 타이머 값으로 산출하는 경우, 도 5에 도시된 RRC 비활성 타이머 값은 6.60초로 산출된다. 다른 예를 들어, 소수점 둘째 자리에서 반올림된 값을 RRC 비활성 타이머 값으로 산출하는 경우, 도 5에 도시된 RRC 비활성 타이머 값은 6.6초로 산출된다.
도 6을 참조하면 도 5를 참조하여 설명된 RRC 비활성 타이머 값을 저장하는 테이블의 예시가 도시된다. 앞서 설명된 마지막 RRC 메시지의 송수신 시간(32) 및 RRC 해제 메시지의 송수신 시간(34)이 사용자 단말마다 고유한 값으로 정해진 IMSI(30) 별로 저장된다. 또한, 도 6과 달리 RRC 비활성 타이머 값이 산출되어 IMSI(30) 별로 저장될 수도 있다.
앞서 설명된 단계 S200에서 수행되는 동작은, 예컨대, 도 12에 도시된 RRC 비활성 타이머 값 산출부(920)에 의하여 수행될 수 있다. 다시 도 2를 참조하여 설명하기로 한다.
다음으로 단계 S300에서, 산출된 RRC 비활성 타이머 값이 이용되어, 타임 윈도우의 크기가 결정된다. 여기서, 타임 윈도우는 수집된 관심 대상 트래픽을 재배열하는 기준 시간 단위가 될 수 있다. 또한, 타임 윈도우는 재배열된 관심 대상 트래픽을 분석하는 기준 시간 단위도 될 수 있다.
단계 S300과 관련된 몇몇 실시예에서, 타임 윈도우의 크기를 결정하는 단계는 미리 결정된 탐지 시간 크기에 RRC 비활성 타이머 값을 더한 값을 타임 윈도우의 크기로 결정하는 단계를 포함할 수 있다. 이와 관련된 구체적인 설명을 위해 도 7 및 도 8을 참조하여 설명하기로 한다.
도 7은 도 2를 참조하여 설명된 트래픽 데이터 재배열 방법의 타임 윈도우의 크기를 결정하는 동작을 보다 구체적으로 설명하기 위한 도면이고, 도 8은 도 6을 참조하여 설명된 타임 윈도우의 크기를 보다 구체적으로 설명하기 위한 도면이다.
도 7을 참조하면, 트래픽(41)이 도시된다. 이때, 트래픽(41)을 재배열하거나 분석하는 기준 시간 단위인 타임 윈도우(44)도 도시된다. 이러한, 타임 윈도우(44)의 크기는 탐지 시간(40) 크기 및 RRC 비활성 타이머(42) 값 각각의 값을 더한 값으로 표현될 수 있다. 도 7에 도시된 타임 윈도우(44)의 크기는 탐지 시간(40) 크기에 RRC 비활성 타이머(42) 값의 두배가 더해진 값으로 표현된다. 이처럼, RRC 비활성 타이머(42) 값에 기초하여 타임 윈도우(44)의 크기가 결정될 수 있다.
도 8을 참조하면 도 7을 참조하여 설명된 타임 윈도우(44)의 크기를 저장하는 테이블의 예시가 도시된다. 앞서 설명된 탐지 시간(40) 크기, RRC 비활성 타이머(42) 값 및 타임 윈도우(44)의 크기가 IMSI(30) 별로 저장된다. 또한, 도 8과 달리 타임 윈도우(44)의 크기만이 IMSI(30) 별로 저장될 수도 있다.
단계 S300과 관련된 다른 몇몇 실시예에서, 타임 윈도우를 구성하는 탐지 시간 크기는 탐지하고자 하는 비정상 트래픽의 종류에 기초하여 결정되는 값일 수도 있다. 본 실시예에 따르면, 탐지하고자 하는 비정상 트래픽의 종류에 따라 적합한 탐지 시간이 미리 결정되고, RRC 비활성 타이머 값이 이에 더해짐으로써, 탐지하고자 하는 비정상 트래픽의 탐지 룰에 따라 동적으로 타임 윈도우가 결정될 수 있다.
앞서 설명된 단계 S300에서 수행되는 동작은, 예컨대, 도 12에 도시된 타임 윈도우 크기 결정부(930)에 의하여 수행될 수 있다. 다시 도 2를 참조하여 설명하기로 한다.
다음으로 단계 S400에서, 타임 윈도우의 크기 단위마다, 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터가, RRC 연결 요청 시간의 순서대로 재배열된다. 구체적인 예를 들어 앞서 설명된 도 4를 참조하여 설명하면, 제1 요청 시간(26a)의 트래픽 데이터와 제2 요청 시간(26b)의 트래픽 데이터가 RRC 연결 요청 시간 순서대로 재배열된다. 이 경우, 시간적으로 제2 요청 시간(26b)보다 후순위인 제1 요청 시간(26a)의 트래픽 데이터가 제2 요청 시간(26b)의 트래픽 데이터 다음 순서로 재배열된다. 본 실시예에 따르면, 세션 역전 현상을 보정하기 위해 동적으로 타임 윈도우의 크기가 결정되고, 결정된 타임 윈도우의 크기마다 수집되는 트래픽을 RRC 연결 요청 시간의 순서대로 재배열함으로써, 세션 역전 현상을 보정할 수 있다.
앞서 설명된 단계 S400에서 수행되는 동작은, 예컨대, 도 12에 도시된 트래픽 재배열부(940)에 의하여 수행될 수 있다.
다음으로 단계 S500에서, 재배열된 관심 대상 트래픽 데이터가 분석되어 비정상 트래픽이 탐지된다. 여기서, 관심 대상 트래픽은, 한정된 무선 자원을 악의적으로 점유하는 관심 대상 단말이 송수신하는 트래픽 데이터를 의미할 수 있다. 본 실시예에 따르면, 단말의 요청 시간 순서대로 재배열된 트래픽 데이터를 분석함으로써, 세션 역전 현상이 보정되어 도 3을 참조하여 설명된 비정상 트래픽의 탐지 메시지 미생성 문제가 해소될 수 있다.
단계 S500과 관련된 몇몇 실시예에서, 비정상 트래픽을 탐지하는 단계는 제1 시점으로부터 타임 윈도우의 크기만큼 경과된 제2 시점까지의 제1 구간에 대응되는 재배열된 관심 대상 트래픽 데이터를 획득하는 단계 및 제1 구간의 누적 스코어가 임계치 이상인 경우, 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 포함할 수 있다. 이와 관련된 구체적인 설명을 위해 도 9를 참조하여 설명하기로 한다. 도 9는 도 2를 참조하여 설명된 트래픽 데이터 재배열 방법의 관심 대상 트래픽 데이터를 분석하는 동작을 보다 구체적으로 설명하기 위한 도면이다.
도 9를 참조하면, 재배열된 트래픽(51) 및 제1 시점(50)으로부터 타임 윈도우(44)의 크기만큼 경과된 제2 시점(52)까지의 제1 구간이 도시된다. 여기서, 제1 구간의 누적 스코어가 임계치 이상인 경우, 재배열된 관심 대상 트래픽 데이터가 비정상 트래픽으로 결정될 수 있다. 또한, 제1 구간의 누적 스코어가 임계치 미만인 경우, 재배열된 관심 대상 트래픽 데이터가 정상 트래픽으로 결정될 수도 있다.
이하, 비정상 트래픽을 탐지하기 위한 동작과 관련한 누적 스코어에 대해 보다 구체적으로 설명하기로 한다. 여기서, 비정상 트래픽은, 예를 들어, 시그널링 DoS 및 Scanning을 의미할 수 있다.
몇몇 실시예에서, 누적 스코어는 관심 대상 단말이 송수신하는 RRC 해제 메시지 및 RRC 연결 요청 메시지의 누적 개수에 기초하여 결정되는 것일 수 있다. 본 실시예에 따르면, 관심 대상 단말이 송수신하는 RRC 해제 메시지 및 RRC 연결 요청 메시지가 타임 윈도우의 크기 단위 시간 동안 누적됨으로써, 시그널링 DoS와 관련된 비정상 트래픽을 탐지할 수 있다. 여기서, 시그널링 DoS란, 비정상 사용자 단말이 악의적으로 무선 자원 할당 및 해제를 반복하여 대량의 시그널링 메시지를 유발시키는 공격 유형을 의미한다.
다른 몇몇 실시예에서, 누적 스코어는 관심 대상 단말이 송신하는 SIP(Session Initiation Protocol) 요청 메시지에 대해 SIP 응답 메시지가 발생하지 않은 누적 횟수에 기초하여 결정되는 것일 수도 있다. 본 실시예에 따르면, 관심 대상 단말이 송신하는 SIP 요청 메시지의 응답 실패 이력이 타임 윈도우의 크기 단위 시간 동안 누적됨으로써, Scanning과 관련된 비정상 트래픽을 탐지할 수 있다.
앞서 설명된 것과 같이 몇몇 실시예들에 따르면, 타임 윈도우의 크기 단위 시간 동안 누적 스코어를 갱신함으로써, 누적 스코어가 미리 설정된 임계치 이상인 경우, 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정할 수 있다. 이때, 재배열된 트래픽 데이터를 이용함으로써, 세션 역전 현상이 보정되어, 비정상 트래픽 탐지 성능이 증진될 수 있다.
단계 S500과 관련된 다른 몇몇 실시예에서, 비정상 트래픽을 탐지하는 단계는 제1 시점으로부터 타임 윈도우의 크기만큼 경과된 제2 시점까지의 제1 구간에 대응되는 재배열된 관심 대상 트래픽 데이터를 획득하는 단계 및 제1 구간에 대응되는 재배열된 관심 대상 트래픽 데이터로부터 산출된 통계 데이터를 이용하여, 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 포함할 수 있다. 본 실시예에 따르면, 타임 윈도우의 크기 단위 시간 동안 산출된 세션 별 트래픽 통계 정보를 이용함으로써, 이동 통신망에 비정상적으로 대량의 트래픽이 유입되어 장애를 유발하는 Flooding과 관련된 비정상 트래픽을 탐지할 수 있다.
지금까지 비정상 트래픽으로 결정되는 공격 유형으로, 시그널링 DoS, Scanning 및 Flooding을 설명하였다. 앞서 설명된 실시예들에 따르면, 재배열된 트래픽 데이터를 이용함으로써, 세션 역전 현상이 보정되어, 비정상 트래픽 탐지 성능이 증진될 수 있다. 다만, 앞서 설명된 비정상 트래픽으로 결정되는 공격 유형은 예시적인 것일 뿐, 본 발명의 범위를 한정하는 것은 아니다. 또한, 시그널링 Dos, Scanning 및 Flooding 공격 유형을 탐지하기 위한 보다 구체적인 내용은 관련 종래 기술들이 참조될 수 있다.
이하, 타임 윈도우의 크기 단위마다 관심 대상 트래픽 데이터를 분석하여 비정상 트래픽을 탐지하는 동작에 관해 도 10을 참조하여 보다 구체적으로 설명하기로 한다. 도 10은 도 2를 참조하여 설명된 트래픽 데이터 재배열 방법의 관심 대상 트래픽 데이터를 분석하는 동작을 보다 구체적으로 설명하기 위한 도면이다.
도 10을 참조하면, 제1 시점(50)으로부터 기준 시간(54)만큼 경과된 제3 시점(56)을 기산점으로 하여, 제3 시점(56)으로부터 타임 윈도우(44)의 크기만큼 경과된 제4 시점(58)까지의 제 2구간에 대응되는 재배열된 관심 대상 트래픽 데이터가 획득되고, 제2 구간의 누적 스코어가 임계치 이상인 경우, 재배열된 관심 대상 트래픽 데이터가 비정상 트래픽으로 결정된다. 여기서, 기준 시간(54)은 비정상 트래픽의 탐지 룰에 따라 결정될 수 있다. 예를 들어, 제1 구간과 제2 구간이 일부 중첩되어 누적 스코어가 갱신될 수 있다. 다른 예를 들어, 제1 구간과 제2 구간이 중첩되지 않도록, 기준 시간은 타임 윈도우의 크기로 결정될 수도 있다. 본 실시예에 따르면, 비정상 트래픽의 탐지 룰에 따라 동적으로 기준 시간이 결정될 수 있다.
앞서 설명된 단계 S500에서 수행되는 동작은, 예컨대, 도 12에 도시된 트래픽 탐지부(950)에 의하여 수행될 수 있다.
지금까지 도 2 내지 도 10을 참조하여, 본 발명의 다른 실시예에 따른 트래픽 데이터 재배열 방법 및 그 응용분야에 대해서 설명하였다. 본 실시예에 따르면, 트래픽 데이터가 재배열됨으로써, LTE EMM에서 발생될 수 있는 세션 생성 시간의 역전 현상이 해소될 수 있고, 이에 따라 비정상 트래픽이 보다 정확하게 탐지될 수 있다.
이하에서는, 본 발명의 또 다른 실시예에 따른 트래픽 데이터 재배열 장치를 구현할 수 있는 예시적인 컴퓨팅 장치(1500)에 대하여 설명하도록 한다. 도 11은 본 발명의 또 다른 실시예에 따른 트래픽 데이터 재배열 장치를 구현할 수 있는 컴퓨팅 장치(1500)를 설명하기 위한 도면이다.
도 11에 도시된 바와 같이, 컴퓨팅 장치(1500)는 하나 이상의 프로세서(1510), 버스(1550), 통신 인터페이스(1570), 프로세서(1510)에 의하여 수행되는 컴퓨터 프로그램(1591)을 로드(load)하는 메모리(1530)와, 컴퓨터 프로그램(1591)을 저장하는 스토리지(1590)를 포함할 수 있다. 다만, 도 11에는 본 발명의 실시예와 관련 있는 구성 요소들 만이 도시되어 있다. 따라서, 본 발명이 속한 기술분야의 통상의 기술자라면 도 11에 도시된 구성요소들 외에 다른 범용적인 구성 요소들이 더 포함될 수 있음을 알 수 있다.
프로세서(1510)는 컴퓨팅 장치(1500)의 각 구성의 전반적인 동작을 제어한다. 프로세서(1510)는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 포함하여 구성될 수 있다. 또한, 프로세서(1510)는 본 발명의 실시예들에 따른 방법을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. 컴퓨팅 장치(1500)는 하나 이상의 프로세서를 구비할 수 있다.
메모리(1530)는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리(1530)는 본 발명의 실시예들에 따른 방법을 실행하기 위하여 스토리지(1590)로부터 하나 이상의 프로그램(1591)을 로드 할 수 있다. 메모리(1530)는 RAM과 같은 휘발성 메모리로 구현될 수 있을 것이나, 본 발명의 기술적 범위가 이에 한정되는 것은 아니다.
버스(1550)는 컴퓨팅 장치(1500)의 구성 요소 간 통신 기능을 제공한다. 버스(1550)는 주소 버스(Address Bus), 데이터 버스(Data Bus) 및 제어 버스(Control Bus) 등 다양한 형태의 버스로 구현될 수 있다.
통신 인터페이스(1570)는 컴퓨팅 장치(1500)의 유무선 인터넷 통신을 지원한다. 또한, 통신 인터페이스(1570)는 인터넷 통신 외의 다양한 통신 방식을 지원할 수도 있다. 이를 위해, 통신 인터페이스(1570)는 본 발명의 기술 분야에 잘 알려진 통신 모듈을 포함하여 구성될 수 있다.
몇몇 실시예들에 따르면, 통신 인터페이스(1570)는 생략될 수도 있다.
스토리지(1590)는 상기 하나 이상의 프로그램(1591)과 각종 데이터를 비임시적으로 저장할 수 있다.
스토리지(1590)는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.
컴퓨터 프로그램(1591)은 메모리(1530)에 로드 될 때 프로세서(1510)로 하여금 본 발명의 다양한 실시예에 따른 방법/동작을 수행하도록 하는 하나 이상의 인스트럭션들을 포함할 수 있다. 즉, 프로세서(1510)는 상기 하나 이상의 인스트럭션들을 실행함으로써, 본 발명의 다양한 실시예에 따른 방법/동작들을 수행할 수 있다.
위와 같은 경우, 컴퓨팅 장치(1500)를 통해 본 발명의 또 다른 실시예에 따른 트래픽 데이터 재배열 장치가 구현될 수 있다.
지금까지 도 1 내지 도 12를 참조하여 본 발명의 다양한 실시예들 및 그 실시예들에 따른 효과들을 언급하였다. 본 발명의 기술적 사상에 따른 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
지금까지 도 1 내지 도 12를 참조하여 설명된 본 발명의 기술적 사상은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 이동형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 이동식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비 형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명의 기술적 사상이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행 되어야만 하거나 또는 모든 도시 된 동작들이 실행 되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시예들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 발명이 다른 구체적인 형태로도 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명에 의해 정의되는 기술적 사상의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (18)

  1. 컴퓨팅 장치에 의해 수행되는 방법에 있어서,
    기지국과 단말 사이에 송수신되는 트래픽 데이터를 획득하는 단계;
    상기 트래픽 데이터에 포함된 RRC(Radio Resource Control) 해제 메시지에 기초하여, RRC 비활성 타이머 값을 산출하는 단계;
    상기 산출된 RRC 비활성 타이머 값을 이용하여, 타임 윈도우의 크기를 결정하는 단계; 및
    상기 타임 윈도우의 크기 단위마다, 상기 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터를, RRC 연결 요청 시간의 순서대로 재배열하는 단계를 포함하는,
    트래픽 데이터 재배열 방법.
  2. 제1 항에 있어서,
    상기 재배열된 관심 대상 트래픽 데이터를 분석하여 비정상 트래픽을 탐지하는 단계를 더 포함하는,
    트래픽 데이터 재배열 방법.
  3. 제2 항에 있어서,
    상기 비정상 트래픽을 탐지하는 단계는,
    제1 시점으로부터 상기 타임 윈도우의 크기만큼 경과된 제2 시점까지의 제1 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터를 획득하는 단계; 및
    상기 제1 구간의 누적 스코어가 임계치 이상인 경우, 상기 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 포함하는,
    트래픽 데이터 재배열 방법.
  4. 제3 항에 있어서,
    상기 누적 스코어는,
    상기 관심 대상 단말이 송수신하는 RRC 해제 메시지 및 RRC 연결 요청 메시지의 누적 개수에 기초하여 결정되는 것인,
    트래픽 데이터 재배열 방법.
  5. 제3 항에 있어서,
    상기 누적 스코어는,
    상기 관심 대상 단말이 송신하는 SIP(Session Initiation Protocol) 요청 메시지에 대해 SIP 응답 메시지가 발생하지 않은 누적 횟수에 기초하여 결정되는 것인,
    트래픽 데이터 재배열 방법.
  6. 제3 항에 있어서,
    상기 제1 시점으로부터 기준 시간만큼 경과된 제3 시점을 기산점으로 하여, 상기 제3 시점으로부터 상기 타임 윈도우의 크기만큼 경과된 제4 시점까지의 제2 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터를 획득하는 단계; 및
    상기 제2 구간의 누적 스코어가 임계치 이상인 경우, 상기 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 더 포함하는,
    트래픽 데이터 재배열 방법.
  7. 제6 항에 있어서,
    상기 기준 시간은,
    상기 타임 윈도우의 크기인,
    트래픽 데이터 재배열 방법.
  8. 제2 항에 있어서,
    상기 비정상 트래픽을 탐지하는 단계는,
    제1 시점으로부터 상기 타임 윈도우의 크기만큼 경과된 제2 시점까지의 제1 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터를 획득하는 단계; 및
    상기 제1 구간에 대응되는 상기 재배열된 관심 대상 트래픽 데이터로부터 산출된 통계 데이터를 이용하여, 상기 재배열된 관심 대상 트래픽 데이터를 비정상 트래픽으로 결정하는 단계를 포함하는,
    트래픽 데이터 재배열 방법.
  9. 제1 항에 있어서,
    상기 트래픽 데이터를 획득하는 단계는,
    상기 기지국과 상기 단말 사이에 송수신되는 상기 트래픽 데이터를 실시간으로 획득하는 단계를 포함하는,
    트래픽 데이터 재배열 방법.
  10. 제1 항에 있어서,
    상기 RRC 비활성 타이머 값을 산출하는 단계는,
    상기 트래픽 데이터에 포함된 마지막 RRC 메시지의 송수신 시간으로부터 상기 트래픽 데이터에 포함된 RRC 해제 메시지의 송수신 시간까지의 시간을 상기 RRC 비활성 타이머 값으로 산출하는 단계를 포함하는,
    트래픽 데이터 재배열 방법.
  11. 제1 항에 있어서,
    상기 타임 윈도우의 크기를 결정하는 단계는,
    미리 결정된 탐지 시간 크기에 상기 RRC 비활성 타이머 값을 더한 값을 상기 타임 윈도우의 크기로 결정하는 단계를 포함하는,
    트래픽 데이터 재배열 방법.
  12. 제11 항에 있어서,
    상기 탐지 시간 크기는,
    비정상 트래픽의 종류에 기초하여 결정되는 값인,
    트래픽 데이터 재배열 방법.
  13. 제1 항에 있어서,
    상기 관심 대상 단말은,
    상기 트래픽 데이터에 포함된 IMSI(International Mobile Subscriber Identity) 데이터로부터 식별되는 것인,
    트래픽 데이터 재배열 방법.
  14. 프로세서;
    네트워크 인터페이스;
    메모리; 및
    상기 메모리에 로드(load)되고, 상기 프로세서에 의해 실행되는 컴퓨터 프로그램을 포함하되,
    상기 컴퓨터 프로그램은,
    기지국과 단말 사이에 송수신되는 트래픽 데이터를 획득하는 인스트럭션(instruction);
    상기 트래픽 데이터에 포함된 RRC(Radio Resource Control) 해제 메시지에 기초하여, RRC 비활성 타이머 값을 산출하는 인스트럭션;
    상기 산출된 RRC 비활성 타이머 값을 이용하여, 타임 윈도우의 크기를 결정하는 인스트럭션; 및
    상기 타임 윈도우의 크기 단위마다, 상기 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터를, RRC 연결 요청 시간의 순서대로 재배열하는 인스트럭션을 포함하는,
    트래픽 데이터 재배열 장치.
  15. 제14 항에 있어서,
    상기 컴퓨터 프로그램은,
    상기 재배열된 관심 대상 트래픽 데이터를 분석하여 비정상 트래픽을 탐지하는 인스트럭션을 더 포함하는,
    트래픽 데이터 재배열 장치.
  16. 프로세서에 의해 실행 가능한 컴퓨터 프로그램 명령어들을 포함하는, 트래픽 데이터를 재배열하기 위한 컴퓨터 프로그램으로서,
    상기 컴퓨터 프로그램 명령어들이 컴퓨팅 디바이스의 프로세서에 의해 실행되는 경우에,
    기지국과 단말 사이에 송수신되는 트래픽 데이터를 획득하는 단계;
    상기 트래픽 데이터에 포함된 RRC(Radio Resource Control) 해제 메시지에 기초하여, RRC 비활성 타이머 값을 산출하는 단계;
    상기 산출된 RRC 비활성 타이머 값을 이용하여, 타임 윈도우의 크기를 결정하는 단계; 및
    상기 타임 윈도우의 크기 단위마다, 상기 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터를, RRC 연결 요청 시간의 순서대로 재배열하는 단계를 포함하는 동작들을 수행하는 컴퓨터 프로그램이 기록된,
    컴퓨터 판독 가능한 기록 매체.
  17. 기지국과 단말 사이에 송수신되는 트래픽 데이터를 획득하는 트래픽 데이터 획득부;
    상기 트래픽 데이터에 포함된 RRC(Radio Resource Control) 해제 메시지에 기초하여, RRC 비활성 타이머 값을 산출하는 RRC 비활성 타이머 값 산출부;
    상기 산출된 RRC 비활성 타이머 값을 이용하여, 타임 윈도우의 크기를 결정하는 타임 윈도우 크기 결정부; 및
    상기 타임 윈도우의 크기 단위마다, 상기 트래픽 데이터에 포함된 관심 대상 단말의 관심 대상 트래픽 데이터를, RRC 연결 요청 시간의 순서대로 재배열하는 트래픽 재배열부를 포함하는,
    트래픽 데이터 재배열 장치.
  18. 제17 항에 있어서,
    상기 재배열된 관심 대상 트래픽 데이터를 분석하여 비정상 트래픽을 탐지하는 비정상 트래픽 탐지부를 더 포함하는,
    트래픽 데이터 재배열 장치.
KR1020200152474A 2020-11-16 2020-11-16 트래픽 데이터 재배열 방법 및 그 장치 KR102276090B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020200152474A KR102276090B1 (ko) 2020-11-16 2020-11-16 트래픽 데이터 재배열 방법 및 그 장치
US17/332,875 US11252568B1 (en) 2020-11-16 2021-05-27 Method and apparatus for rearranging traffic data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200152474A KR102276090B1 (ko) 2020-11-16 2020-11-16 트래픽 데이터 재배열 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR102276090B1 true KR102276090B1 (ko) 2021-07-12

Family

ID=76858974

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200152474A KR102276090B1 (ko) 2020-11-16 2020-11-16 트래픽 데이터 재배열 방법 및 그 장치

Country Status (2)

Country Link
US (1) US11252568B1 (ko)
KR (1) KR102276090B1 (ko)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130064186A1 (en) * 2010-05-27 2013-03-14 Zte Corporation Method and System for Synchronizing Access Stratum Security Algorithm
KR101447677B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 감염 이동단말의 탐지 및 제어 장치
KR101501698B1 (ko) 2013-12-12 2015-03-11 한국인터넷진흥원 이동통신망 내 비정상 데이터 플러딩 탐지방법
KR101586626B1 (ko) * 2015-01-14 2016-01-20 한국인터넷진흥원 4g 이동통신망에서의 sip 탐지 시스템 및 그에 의한 sip 공격과 비정상 탐지 방법
KR102030837B1 (ko) * 2013-09-30 2019-10-10 한국전력공사 침입 탐지 장치 및 방법
KR20200017424A (ko) * 2017-06-15 2020-02-18 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 데이터 전송 방법 및 장치

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101483891B (zh) * 2008-01-08 2012-12-05 株式会社Ntt都科摩 对用户设备设置激活期起始点的方法及装置
CN102210190B (zh) * 2008-11-10 2015-05-06 黑莓有限公司 针对承载类型选择是否发送请求更节约能量的状态或模式的指示信息的方法和装置
US8744534B2 (en) * 2010-04-30 2014-06-03 Apple Inc. Methods and apparatus for preserving battery resources in a mobile communication device
US8570926B2 (en) * 2010-11-15 2013-10-29 At&T Intellectual Property I, L.P. Method and apparatus for inferring state transitions in a wireless communications network
US8611825B2 (en) * 2010-11-15 2013-12-17 At&T Intellectual Property I, L.P. Method and apparatus for providing a dynamic inactivity timer in a wireless communications network
US8594747B2 (en) * 2011-05-06 2013-11-26 Apple Inc. Adaptive fast dormancy in a mobile device
US9295095B2 (en) * 2012-03-27 2016-03-22 Blackberry Limited UE preference indicator for suspension
US10165512B2 (en) * 2012-10-09 2018-12-25 Apple Inc. Dynamic wireless circuitry configuration for carrier aggregation component carriers
US9591574B2 (en) * 2012-10-09 2017-03-07 Apple Inc. Dynamic receive diversity selection for LTE
EP3108686B1 (en) * 2014-02-21 2019-06-19 Telefonaktiebolaget LM Ericsson (publ) Wlan throughput prediction
US10057800B2 (en) * 2015-02-13 2018-08-21 Mediatek Inc. Apparatuses and methods for user equipment (UE)-initiated connection and resource release
US20170019820A1 (en) * 2015-07-17 2017-01-19 Qualcomm Incorporated Enhancements for discontinuous reception in wireless communications

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130064186A1 (en) * 2010-05-27 2013-03-14 Zte Corporation Method and System for Synchronizing Access Stratum Security Algorithm
JP2013530630A (ja) * 2010-05-27 2013-07-25 ゼットティーイー コーポレーション アクセス層セキュリティアルゴリズムの保護方法及びアクセス層セキュリティアルゴリズムの保護システム
KR101447677B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 감염 이동단말의 탐지 및 제어 장치
KR102030837B1 (ko) * 2013-09-30 2019-10-10 한국전력공사 침입 탐지 장치 및 방법
KR101501698B1 (ko) 2013-12-12 2015-03-11 한국인터넷진흥원 이동통신망 내 비정상 데이터 플러딩 탐지방법
KR101586626B1 (ko) * 2015-01-14 2016-01-20 한국인터넷진흥원 4g 이동통신망에서의 sip 탐지 시스템 및 그에 의한 sip 공격과 비정상 탐지 방법
KR20200017424A (ko) * 2017-06-15 2020-02-18 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 데이터 전송 방법 및 장치

Also Published As

Publication number Publication date
US11252568B1 (en) 2022-02-15

Similar Documents

Publication Publication Date Title
US9071998B2 (en) Optimizing performance information collection
JP7268240B2 (ja) シグナリングストームブロッキング方法、装置、およびデバイス、ならびに記憶媒体
US20210250771A1 (en) Method For Determining Class Information And Apparatus
US8750133B2 (en) Method and monitoring component for network traffic monitoring
US20150146519A1 (en) Apparatus and Methods for Supporting Control Plane Data
US10362043B2 (en) Method and apparatus for detecting man-in-the-middle attack
US20220014550A1 (en) Monitor device, base station, monitoring method, control method, and non-transitory computer readable medium
US20210250811A1 (en) Method for controlling connection between terminal and network, and related apparatus
EP2717504B1 (en) Method for analyzing signaling traffic
CN109196889B (zh) 用户信息获取方法、标识对应关系保存方法及装置与设备
US10645106B2 (en) Method, apparatus, and system for detecting terminal device anomaly
EP2878162B1 (en) A node and method for priority of application based handling of a paging request
EP3596985A1 (en) Method and apparatus for protection of privacy in paging of user equipment
US9820193B2 (en) Determining a user equipment context for a radio resource control connection reestablishment request
US20160301580A1 (en) Service Testing Method, Device, and System, Network Node, and Quality Processing Node
US9723501B2 (en) Fault analytics framework for QoS based services
EP2996283B1 (en) Systems and devices for determining key performance indicators using inferential statistics
US10129079B2 (en) Telecommunications system and method
EP2989822B1 (en) Reducing location update signaling between network nodes of a mobile communication network
KR102276090B1 (ko) 트래픽 데이터 재배열 방법 및 그 장치
US20180007534A1 (en) Mobility management switching center, communication system, and communication control method
US9198013B2 (en) Identifying base station types
KR101564228B1 (ko) 이동통신망에서 시그널링 DoS 트래픽을 탐지하기 위한 시스템 및 그 방법
KR20220128896A (ko) 클라우드 서버 스케일링 방법 및 그 장치
CN106102021B (zh) 一种生成广播信息的方法和装置

Legal Events

Date Code Title Description
GRNT Written decision to grant