KR20090089034A - Apparatus and method for abnormal behaviored ip packets detection in ip communication system - Google Patents

Apparatus and method for abnormal behaviored ip packets detection in ip communication system Download PDF

Info

Publication number
KR20090089034A
KR20090089034A KR1020080014355A KR20080014355A KR20090089034A KR 20090089034 A KR20090089034 A KR 20090089034A KR 1020080014355 A KR1020080014355 A KR 1020080014355A KR 20080014355 A KR20080014355 A KR 20080014355A KR 20090089034 A KR20090089034 A KR 20090089034A
Authority
KR
South Korea
Prior art keywords
packet
information
sample set
abnormal
mahalanobis distance
Prior art date
Application number
KR1020080014355A
Other languages
Korean (ko)
Inventor
정기섭
김상수
김종현
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020080014355A priority Critical patent/KR20090089034A/en
Publication of KR20090089034A publication Critical patent/KR20090089034A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An apparatus for detecting an abnormal IP packet detection and a method thereof by using Mahalanobis distance in an IP communications system are provided to detect the abnormal internet protocol packet by performing a learning process using the number of ports of a transport layer using a parameter. A communications unit communicates with the other node. A network monitor(140) produces the sample combination generation toward the information of the internet protocol packet through the communications unit. In case the Mahalanobis distance is larger than the critical value, the network monitor ring segment determines the current internet protocol packet as the abnormal internet protocol packet.

Description

아이피 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치 및 방법{APPARATUS AND METHOD FOR ABNORMAL BEHAVIORED IP PACKETS DETECTION IN IP COMMUNICATION SYSTEM}Apparatus and method for detecting abnormal operation IP packet in IP communication system {APPARATUS AND METHOD FOR ABNORMAL BEHAVIORED IP PACKETS INTEC COMMUNICATION SYSTEM}

본 발명은 IP-BSS(Inernet Protocol Base Station System)에서 비 정상 IP 패킷을 검출하여 처리하기 위한 IDS(Intrusion Detection System)에 관한 것이다.The present invention relates to an intrusion detection system (IDS) for detecting and processing an abnormal IP packet in an Internet Protocol Base Station System (IP-BSS).

일반적으로 비 정상적인 아이피 패킷, 특히 악의적인 목적을 가진 아이피 패킷을 검출하는 방법으로는 아이피 패킷의 아이피 주소 또는 아이피 패킷의 헤더 내의 정보를 이용하였다. In general, as a method of detecting an abnormal IP packet, particularly an IP packet having a malicious purpose, the IP address of the IP packet or information in the header of the IP packet is used.

상기의 방법에서는. 해당 아이피 패킷에 대해 아이피 주소가 이전에 억셉트된 적이 있는 아이피 주소인지와 해당 아이피 주소를 갖는 패킷이 기 정해진 임계 시간 동안에 증가된 수가 임계 값보다 큰 경우, 비 정상적 아이피 패킷으로 판단하여 필터링을 수행하였다.In the above method. If the IP address has been previously accepted for the IP packet, and if the number of packets having the IP address increased during the predetermined threshold time is greater than the threshold value, the filtering is determined as an abnormal IP packet. It was.

하지만, 이러한 방식은 아이피 주소만을 참조하여, 해당 시간 내의 같은 주 소의 아이피 패킷 수를 검사하므로, 트랜스포트 계층 패킷의 정보를 이용하지 못하는 문제점이 있다.However, this method refers to only the IP address, and thus checks the number of IP packets of the same address within a corresponding time, and thus there is a problem in that information of a transport layer packet cannot be used.

특히, IP-BSS 시스템에서는 UDP(User Datagram Potocol) 포트가 중요한 파라미터가 되는데, 이를 고려하지 않는 문제점이 있다.In particular, in the IP-BSS system, UDP (User Datagram Potocol) port becomes an important parameter, there is a problem that does not consider this.

본 발명의 목적은 아이피 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치 및 방법을 제공함에 있다.An object of the present invention is to provide an apparatus and method for detecting abnormal operation IP packet in IP communication system.

본 발명의 다른 목적은 아이피 통신 시스템에서 아이피 패킷의 길이와 트랜스포트 계층의 포트 수를 파라미터로 이용하여 1 그램 모델(gram model)을 기반으로 이의 측정을 위한 마하라노비스(Mahalanobis) 거리를 적용하여 계속적인 학습 과정을 수행하여 비정상적인 아이피 패킷을 검출하는 장치 및 방법을 제공함에 있다.Another object of the present invention is to apply the Maharanobis distance for the measurement based on the 1 gram model using the IP packet length and the number of ports of the transport layer in the IP communication system as parameters An apparatus and method for detecting an abnormal IP packet by performing a continuous learning process are provided.

본 발명의 또 다른 목적은 아이피 통신 시스템에서 UDP 포트 및 해당 포트의 패킷의 길이를 파라미터로 이용하고, 여기에 마하라노비스 거리를 적용하여 계속적인 학습 과정을 수행하여 비 정상적인 아이피 패킷을 검출하여 비 정상적인 패킷의 유입을 막는 장치 및 방법을 제공함에 있다.Another object of the present invention is to use the UDP port and the packet length of the corresponding port as a parameter in the IP communication system, and to apply the Maharanobis distance to the continuous learning process to detect abnormal IP packets An apparatus and method for preventing the inflow of a normal packet is provided.

본 발명의 목적을 달성하기 위한 본 발명의 제 1 견지에 따르면, 아이피 패킷 통신 시스템에서 비정상적인 아이피 패킷 검출 방법에 있어서 캡쳐한 아이피 패킷의 정보에 대한 표본 집합을 생성하는 과정과 상기 표본 집합의 정보와 모니터링한 현재의 아이피 패킷의 정보를 입력 변수로하여 마하라노비스(Mahalanobis) 거리를 계산하는 과정과 상기 마하라노비스 거리가 임계값보다 큰 경우, 상기 현재의 아이피 패킷을 비정상 아이피 패킷으로 판단하는 과정을 포함하는 것을 특징으로 한다.According to a first aspect of the present invention for achieving the object of the present invention, the process of generating a sample set for the information of the IP packet captured in the abnormal IP packet detection method in the IP packet communication system and the information of the sample set and Calculating a Mahalanobis distance using the monitored IP packet information as an input variable and determining the current IP packet as an abnormal IP packet when the Mahalanobis distance is larger than a threshold value Characterized in that it comprises a.

본 발명의 목적을 달성하기 위한 본 발명의 제 2 견지에 따르면, 아이피 패킷 통신 시스템에서 비정상적인 아이피 패킷을 검출하는 장치에 있어서 다른 노드와 통신하기 위한 통신부와 상기 통신부를 통해 캡쳐한 아이피 패킷의 정보에 대한 표본 집합을 생성하고, 상기 표본 집합의 정보와 모니터링한 현재의 아이피 패킷의 정보를 입력 변수로하여 마하라노비스(Mahalanobis) 거리를 계산하고, 상기 마하라노비스 거리가 임계값보다 큰 경우, 상기 현재의 아이피 패킷을 비정상 아이피 패킷으로 판단하는 네트워크 모니터링부를 포함하는 것을 특징으로 한다.According to a second aspect of the present invention for achieving the object of the present invention, in the apparatus for detecting abnormal IP packet in the IP packet communication system, the communication unit for communicating with other nodes and the information of the IP packet captured through the communication unit Generating a sample set, calculating the Mahalanobis distance using the information of the sample set and information of the current IP packet monitored as input variables, and if the Mahalanobis distance is greater than a threshold, And a network monitoring unit for determining the current IP packet as an abnormal IP packet.

본 발명은 아이피 통신 시스템에서 비정상적인 아이피 패킷을 정확히 보다 빨리 검출할 수 있는 이점이 있다.The present invention has the advantage of detecting the abnormal IP packet more quickly than the IP communication system.

이하 본 발명의 바람직한 실시 예를 첨부된 도면의 참조와 함께 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In describing the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

이하, 본 발명은 아이피 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치 및 방법에 대해 설명할 것이다.Hereinafter, the present invention will be described an apparatus and method for detecting abnormal operation IP packet in the IP communication system.

도 1은 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 블록 구성을 도시한 도면이다.1 is a block diagram illustrating an apparatus for detecting an abnormal operation IP packet in a communication system according to an exemplary embodiment of the present invention.

상기 도 1을 참조하면, ATM(Asynchronous Transfer Mode)수신부(110), IP 진출부(115), PPP진출부(120), 큐 관리부(125), 네트워크 처리 엔진 송신부(130)는 상기 장치에서 하나의 아이피 패킷의 흐름 상의 처리 블록을 나타낸다. 그리고, ATM 송신부(150), IP 진출부(155), PPP 진입부(160), 네트워크 처리 엔진 수신부(165)는 상기 장치에서 하나의 아이피 패킷의 흐름 상의 처리 블록을 나타낸다. 즉, 상기 장치는 다른 두 네트워크를 연결는 장치가 될 수 있다. 이하에서, 본 발명은 상기에서 기술한 블록들을 통신부로 칭할 것이다. 그리고, 상기의 장치가 IP-BSS 일 경우, 상기 통신부는 무선 통신을 위한 무선 통신 인터페이스를 포함한다.Referring to FIG. 1, an Asynchronous Transfer Mode (ATM) receiver 110, an IP entry unit 115, a PPP entry unit 120, a queue manager 125, and a network processing engine transmitter 130 are provided in the apparatus. Represents a processing block on the flow of IP packets. In addition, the ATM transmitter 150, the IP entry unit 155, the PPP entry unit 160, and the network processing engine receiver 165 represent processing blocks on the flow of one IP packet in the apparatus. That is, the device may be a device connecting two different networks. In the following, the present invention will be referred to the blocks described above as a communication unit. And, if the device is IP-BSS, the communication unit includes a wireless communication interface for wireless communication.

네트워크 모니터링 부(140)는 상기 IP 진출부(115, 116) 전 또는 후의 아이피 패킷이 비 정상적인지 아닌지 모니터링하여 비 정상적인 경우는 해당 아이피 패킷을 드롭한다.The network monitoring unit 140 monitors whether the IP packets before or after the IP entry units 115 and 116 are abnormal and drop the corresponding IP packets in case of abnormality.

여기서, 상기 해당 아이피 패킷은 상위 계층(kernel 단)에서 처리되지 않고 통신부에서 처리된다. In this case, the IP packet is processed in the communication unit, not in the upper layer (kernel stage).

상기 네트워크 모니터링 부(140)는 상기 해당 아이피 패킷을 송수신 경로 상에서 모니터링하여 처리하므로, ADS(Abnormal behavior detector system)로서는 좀더 안정적인 구조라 할 수 있다.The network monitoring unit 140 monitors and processes the corresponding IP packet on a transmission / reception path, and thus may be a more stable structure as an Abnormal Behavior Detector system (ADS).

상기 네트워크 모니터링 부(140)는 상기 아이피 패킷의 헤더 정보(주소, time to live 정보 등), 상기 아이피 패킷에서 256 바이트의 페이로드, 상기 아이피 패킷의 크기, 상기 아이피 패킷의 페이로드에 포함된 UDP 포트 번호 등을 이용하여, 1 그램 모델을 생성하며, 마하라노비스 거리(Mahalanobis distance)를 구한다. The network monitoring unit 140 includes UDP information included in header information (address, time to live information, etc.) of the IP packet, a 256-byte payload in the IP packet, a size of the IP packet, and a payload of the IP packet. Using a port number or the like, a 1 gram model is generated and the Mahalanobis distance is obtained.

이후, 상기 네트워크 모니터링 부(140)는 임계값으로 정한 마하라노비스 거리 보다 큰 거리 값이 구해 질 경우, 비 정상적인 패킷으로 분류하여 경보를 발생하여 관리자에게 알리고, 해당 아이피 패킷은 드롭한다. 상기 임계값을 실험적으로 구해 질 수 있고, 그 값은 구현 상황에 따라 달라질 수 있다.Then, when the distance value larger than the Mahalanobis distance determined as the threshold value is obtained, the network monitoring unit 140 generates an alarm by notifying an administrator by classifying it as an abnormal packet and dropping the IP packet. The threshold can be obtained experimentally, and the value can vary depending on the implementation situation.

도 2는 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 동작 과정을 도시한 흐름도이다.2 is a flowchart illustrating an operation process of an apparatus for detecting an abnormal operation IP packet in a communication system according to an exemplary embodiment of the present invention.

상기 도 2를 참조하면, 네트워크 모니터링부는 네트워크 상의 아이피 패킷을 캡쳐하고(210 단계), 해당 정보를 이용하여 정상적 또는 비정상적인 1 그램 모델을 생성할 수 있도록 시그너쳐를 생성하고(215 단계), 생성된 시그니처 저장 과정을 수행한다(220 단계).Referring to FIG. 2, the network monitoring unit captures an IP packet on a network (step 210), generates a signature to generate a normal or abnormal 1-gram model using the corresponding information (step 215), and generates the generated signature. The storage process is performed (step 220).

여기서, 상기 시그니처를 생성하는 이유는 현재 네트워크 상의 아이피 패킷의 표본 집합(1 그램 모델링)을 만들기 위해서이다. Here, the reason for generating the signature is to make a sample set (1 gram modeling) of the IP packet on the current network.

상기 표본 집합에는 현재 네트워크 상의 아이피 패킷에 대한 헤더 정보(주소, time to live 정보 등), 상기 아이피 패킷에서 256 바이트의 페이로드, 상기 아이피 패킷의 크기, 상기 아이피 패킷의 페이로드에 포함된 UDP 포트 번호 등에 대한 빈도 수 및 이에 대한 평균 및 표준 편차를 포함한다.The sample set may include header information (address, time to live information, etc.) for an IP packet on a current network, a 256-byte payload in the IP packet, a size of the IP packet, and a UDP port included in the payload of the IP packet. Frequency counts for numbers, etc., and their mean and standard deviations.

이후, 네트워크 상의 트래픽에서, 본 발명에 따른 UDP 포트, IP 주소, 길이 등과 같은 데이터를 모니터링하면서(225 단계), 검출 및 학습 과정을 수행한다(230 단계). Then, in the traffic on the network, while detecting data such as UDP port, IP address, length, etc. according to the present invention (step 225), the detection and learning process is performed (step 230).

상기 검출 과정은 마하라노비스 거리 측정 과정을 포함한다. 상기 마하라노비스 측정과정은 상기 표본 집합(1 그램 모델) 및 현재 입력을 같이 고려하여 비 정상적인 패킷을 검출한다.The detection process includes a Mahalanobis distance measurement process. The Mahalanobis measurement process detects abnormal packets in consideration of the sample set (1 gram model) and the current input.

마하라노비스 거리 측정 과정에서. 비 정상적인 아이피 패킷이 검출된 경우는(235 단계), 비 정상적인 아이피 패킷 처리 과정을 수행한다(240 단계). Maharanobis in the distance measurement process. If abnormal IP packet is detected (step 235), abnormal IP packet processing is performed (step 240).

상기 비 정상적인 아이피 패킷 처리 과정은 해당 아이피 패킷의 드롭)및 관리자에게로의 보고 등을 포함한다.The abnormal IP packet processing includes dropping of the corresponding IP packet) and reporting to the administrator.

상기 마하라노비스 거리 측정과정에서. 정상적인 아이피 패킷이 검출된 경우는(235 단계), 시그너처 갱신 과정을 수행하는 단계(245 단계) 및 이후의 과정을 수행한다. 상기 갱신 과정은 상기 패킷에 대한 표본 집합의 갱신 과정을 나타낸다.In the Mahalanobis distance measurement process. When the normal IP packet is detected (step 235), the signature update process is performed (step 245) and the subsequent process is performed. The update process represents an update process of a sample set for the packet.

이후, 본 발명에 따른 알고리즘을 종료한다.Then, the algorithm according to the present invention is terminated.

아이피 패킷 헤더는 특정 형식이 있지만, 아이피 패킷의 페이로드는 단지 바이트 스트림들이다. 페이로드는 키 워드 라든지, 예상되는 토큰(token)들 이라든지 제한된 범위의 값들과 같은 고정 형식이 존재하지 않는다. 따라서, 어떤 문자 또는 바이트 값이든지 데이터그램 스트림의 어디에도 위치할 수 있다.The IP packet header has a specific format, but the payload of the IP packet is just byte streams. Payloads do not have a fixed format, such as keywords, expected tokens, or a limited range of values. Thus, any character or byte value can be placed anywhere in the datagram stream.

상기 페이로드를 모델링하는 방법에 있어서, 유사한 스트림들을로 모델링하기 위해서는 스트림을 작은 클러스터 또는 그룹들로 나눌 필요가 있다. 그리고, 스트림의 방향에 따라, 각각의 모델의 생성이 가능하다. 여기에서 포트 번호와 길이는 아주 많이 필요한 사항이다. In the method of modeling the payload, it is necessary to divide the stream into small clusters or groups in order to model similar streams. Each model can be generated according to the direction of the stream. Port numbers and lengths are very necessary here.

대개 표준 네트워크 서비스들은 고정된 미리 할당된 포트 번호를 가진다. 예를 들어, FTP 데이터 전송의 경우에는 포트 번호 20을 사용하고, FTP 명령어 전송의 경우에는 포트 번호 21을 사용하고, SSH(Secure SHell)의 경우에는 포트번호 22번을, 그리고 Telnet의 경우는 포트번호 23번, 그리고 SMTP(Simple Mail Transfer Protocol)의 경우에는 포트번호 25 번을 Web의 경우에는 포트번호 80번을 사용한다.Usually standard network services have a fixed pre-assigned port number. For example, use port number 20 for FTP data transfer, port number 21 for FTP command transfer, port number 22 for SSH (Secure SHell), and port for Telnet. Use port number 23 and port number 25 for SMTP (Simple Mail Transfer Protocol) and port number 80 for Web.

이러한 응용 프로그램은 각각의 특정 프로토콜을 사용하고, 응용 프로그램에 맞는 페이로드가 있다. 예를 들면, 포트 번호 22의 SSH 같은 경우는 암호화된 유니폼 분산형태의 데이터가 페이로드에 포함된다. 그리고, 포트 번호 21 번의 FTP 명령어 같은 경우는 프린트 가능한 문자들이 포함된다. These applications use each specific protocol and have a payload specific to the application. For example, in the case of port number 22, the encrypted uniform distribution data is included in the payload. In the case of the FTP command on port 21, printable characters are included.

그리고, 페이로드의 길이는 응용 프로그램에 따라 다양하다. 예를 들면, TCP 패킷들은 0~1460 바이트의 길이를 가질 수 있고, 응용 프로그램에 따라 다른 페이로드 길이를 가진다. 일반적으로 페이로드의 길이가 길수록 이진 데이터일 빈도가 높아진다. And, the payload length varies depending on the application. For example, TCP packets can be between 0 and 1460 bytes in length and have different payload lengths depending on the application. In general, the longer the payload, the higher the frequency of binary data.

1 그램 모델링의 가장 단순한 경우는 아스키(ASCII) 문자(번호 0~255)의 평균 빈도수를 구하는 것이다. 여기에서 각각의 아스키 문자에 대한 상대 빈도수를 변수로 잡고 그 평균과 표준편차를 페이로드 모델로 삼는다.The simplest case of 1-gram modeling is to find the average frequency of ASCII characters (numbers 0-255). Here, the relative frequency for each ASCII character is taken as a variable, and the mean and standard deviation are used as payload models.

이제 마하라노비스 거리 측정에 대해 설명하면 하기와 같다. 마하라노비스 거리는 2 개의 통계적인 분산들을 비교하기 위한 표준의 거리 메트릭이다.Now, the Mahalanobis distance measurement will be described. The Mahalanobis distance is the standard distance metric for comparing two statistical variances.

Figure 112008011799245-PAT00001
Figure 112008011799245-PAT00001

여기서, x 와 y 는 두 입력 벡터이고, 각각의 벡터의 원소는 변수이다. x 는 새로운 입력에 대한 벡터이고, y 는 표본 집합으로부터의 평균 벡터이다. 즉, x는 새로운 패킷에 대한 시그니처이고, y 는 표본 집합(1 그램 모델)에서의 평균을 나타낸다. 그리고, C-1 은 인버스 코베리언스(inverse covariance) 이고, 하기와 같이 정의된다. Where x and y are two input vectors, and the elements of each vector are variables. x is the vector for the new input and y is the mean vector from the sample set. That is, x is the signature for the new packet and y is the mean in the sample set (1 gram model). And C -1 is inverse covariance and is defined as follows.

Figure 112008011799245-PAT00002
Figure 112008011799245-PAT00002

여기서, yi, yj 는 표본 집합에서의 i와 j 번째 원소이다.Where yi and yj are the i and j th elements in the sample set.

마하라노비스 거리는 표본 집합의 평균뿐만이 아니라, 측정된 아이피 패킷의 분산 및 공분산을 고려한다. The Mahalanobis distance takes into account not only the mean of the sample set, but also the variance and covariance of the measured IP packets.

전술한 설명에서, 표본 집합으로부터의 입력 변수는 UDP 포트 번호에 따른 데이터 크기가 될 수 있고, 이 경우, 상기 UDP 포트 번호에 따른 데이터 크기를 다른 입력 변수로 하였을 때, 이 때의 마하라노비스 거리가 임계 값보다 클 경우, 비 정상적인 패킷으로 간주할 수 있다. In the above description, the input variable from the sample set may be the data size according to the UDP port number. In this case, when the data size according to the UDP port number is another input variable, the Maharanobis distance at this time If is greater than the threshold value can be considered as an abnormal packet.

여기서, 상기 UDP 포트 번호 대신, 아이피 주소가 입력 변수가 될 수 있고, 본 발명에서의 입력 변수의 제한은 없다.Here, the IP address may be an input variable instead of the UDP port number, and there is no limitation of the input variable in the present invention.

한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the scope of the following claims, but also by the equivalents of the claims.

도 1은 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 블록 구성을 도시한 도면, 및,1 is a block diagram of an apparatus for detecting an abnormal operation IP packet in a communication system according to an embodiment of the present invention; and

도 2는 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 동작 과정을 도시한 흐름도.2 is a flowchart illustrating an operation of an apparatus for detecting an abnormal IP packet in a communication system according to an exemplary embodiment of the present invention.

Claims (10)

아이피 패킷 통신 시스템에서 비정상적인 아이피 패킷 검출 방법에 있어서,In the abnormal IP packet detection method in the IP packet communication system, 캡쳐한 아이피 패킷의 정보에 대한 표본 집합을 생성하는 과정과,Generating a sample set for the captured IP packet information; 상기 표본 집합의 정보와 모니터링한 현재의 아이피 패킷의 정보를 입력 변수로하여 마하라노비스(Mahalanobis) 거리를 계산하는 과정과,Calculating a Mahalanobis distance using the information of the sample set and the information of the current IP packet monitored as an input variable; 상기 마하라노비스 거리가 임계값보다 큰 경우, 상기 현재의 아이피 패킷을 비정상 아이피 패킷으로 판단하는 과정을 포함하는 것을 특징으로 하는 방법.And determining the current IP packet as an abnormal IP packet when the Mahalanobis distance is greater than a threshold value. 제 1항에 있어서,The method of claim 1, 상기 마하라노비스 거리가 임계값보다 작은 경우, 상기 현재의 아이피 패킷을 정상 아이피 패킷으로 판단하는 과정을 더 포함하는 것을 특징으로 하는 방법.If the Mahalanobis distance is less than a threshold value, determining the current IP packet as a normal IP packet. 제 1항에 있어서,The method of claim 1, 상기 마하라노비스 거리가 임계값보다 작은 경우, 상기 현재의 아이피 패킷에 정보를 상기 표본 집합에 반영하여 상기 표본 집합을 갱신하는 과정을 더 포함하는 것을 특징으로 하는 방법.And if the Mahalanobis distance is smaller than a threshold, updating the sample set by applying information to the sample set in the current IP packet. 제 1항에 있어서,The method of claim 1, 상기 아이피 패킷에 대한 정보는,The information on the IP packet, 상기 아이피 패킷의 헤더내의 정보, 상기 아이피 패킷에서 256 바이트의 페이로드, 상기 아이피 패킷의 크기, 상기 아이피 패킷의 페이로드에 포함된 UDP 포트 번호 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.And at least one of information in the header of the IP packet, a payload of 256 bytes in the IP packet, a size of the IP packet, and a UDP port number included in the payload of the IP packet. 제 1항에 있어서,The method of claim 1, 상기 마하라노비스 거리는 하기 <수학식 3>을 이용하여 구하는 것을 특징으로 하는 방법.The Mahalanobis distance is calculated using the following Equation 3.
Figure 112008011799245-PAT00003
Figure 112008011799245-PAT00003
 여기서, x 와 y 는 두 입력 벡터이고, 각각의 벡터의 원소는 변수이다. x 는 새로운 입력에 대한 벡터이고, y 는 표본 집합으로부터의 평균 벡터이다. 즉, x는 새로운 패킷에 대한 정보이고, y 는 표본 집합에서의 평균을 나타낸다. 그리고, C-1 은 인버스 코베리언스(inverse covariance) 이고, 하기와 <수학식 4>와 같이 정의된다. Where x and y are two input vectors, and the elements of each vector are variables. x is the vector for the new input and y is the mean vector from the sample set. In other words, x is information about a new packet, and y is the mean in the sample set. In addition, C- 1 is inverse covariance, and is defined as Equation 4 below.
Figure 112008011799245-PAT00004
Figure 112008011799245-PAT00004
 여기서, yi, yj 는 표본 집합에서의 i와 j 번째 원소이다.Where yi and yj are the i and j th elements in the sample set. 아이피 패킷 통신 시스템에서 비정상적인 아이피 패킷을 검출하는 장치에 있어서,An apparatus for detecting an abnormal IP packet in an IP packet communication system, 다른 노드와 통신하기 위한 통신부와,A communication unit for communicating with other nodes, 상기 통신부를 통해 캡쳐한 아이피 패킷의 정보에 대한 표본 집합을 생성하고, 상기 표본 집합의 정보와 모니터링한 현재의 아이피 패킷의 정보를 입력 변수로하여 마하라노비스(Mahalanobis) 거리를 계산하고, 상기 마하라노비스 거리가 임계값보다 큰 경우, 상기 현재의 아이피 패킷을 비정상 아이피 패킷으로 판단하는 네트워크 모니터링부를 포함하는 것을 특징으로 하는 장치.Generate a sample set for the IP packet information captured through the communication unit, calculate the Mahalanobis distance using the information of the sample set and the information of the current IP packet monitored as an input variable, And a network monitoring unit for determining the current IP packet as an abnormal IP packet when the Haranobis distance is larger than a threshold. 제 6항에 있어서,The method of claim 6, 상기 네트워크 모니터링부는,The network monitoring unit, 상기 마하라노비스 거리가 임계값보다 작은 경우, 상기 현재의 아이피 패킷을 정상 아이피 패킷으로 판단하는 것을 특징으로 하는 장치.And if the Mahalanobis distance is less than a threshold, determining the current IP packet as a normal IP packet. 제 6항에 있어서,The method of claim 6, 상기 네트워크 모니터링부는,The network monitoring unit, 상기 마하라노비스 거리가 임계값보다 작은 경우, 상기 현재의 아이피 패킷에 정보를 상기 표본 집합에 반영하여 상기 표본 집합을 갱신하는 것을 특징으로 하는 장치.And when the Mahalanobis distance is smaller than a threshold, reflecting the information on the current IP packet to the sample set to update the sample set. 제 6항에 있어서,The method of claim 6, 상기 아이피 패킷에 대한 정보는,The information on the IP packet, 상기 아이피 패킷의 헤더내의 정보, 상기 아이피 패킷에서 256 바이트의 페이로드, 상기 아이피 패킷의 크기, 상기 아이피 패킷의 페이로드에 포함된 UDP 포트 번호 중 적어도 하나를 포함하는 것을 특징으로 하는 장치.And at least one of information in a header of the IP packet, a payload of 256 bytes in the IP packet, a size of the IP packet, and a UDP port number included in the payload of the IP packet. 제 6항에 있어서,The method of claim 6, 상기 마하라노비스 거리는,The Mahalanobis distance is, 하기 <수학식 5>를 이용하여 구하는 것을 특징으로 하는 장치.Apparatus characterized by the following formula (5).
Figure 112008011799245-PAT00005
Figure 112008011799245-PAT00005
 여기서, x 와 y 는 두 입력 벡터이고, 각각의 벡터의 원소는 변수이다. x 는 새로운 입력에 대한 벡터이고, y 는 표본 집합으로부터의 평균 벡터이다. 즉, x는 새로운 패킷에 대한 정보이고, y 는 표본 집합에서의 평균을 나타낸다. 그리고, C-1 은 인버스 코베리언스(inverse covariance) 이고, 하기와 <수학식 6>과 같이 정의된다. Where x and y are two input vectors, and the elements of each vector are variables. x is the vector for the new input and y is the mean vector from the sample set. In other words, x is information about a new packet, and y is the mean in the sample set. In addition, C -1 is inverse covariance, and is defined as in Equation 6 below.
Figure 112008011799245-PAT00006
Figure 112008011799245-PAT00006
 여기서, yi, yj 는 표본 집합에서의 i와 j 번째 원소이다.Where yi and yj are the i and j th elements in the sample set.
KR1020080014355A 2008-02-18 2008-02-18 Apparatus and method for abnormal behaviored ip packets detection in ip communication system KR20090089034A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080014355A KR20090089034A (en) 2008-02-18 2008-02-18 Apparatus and method for abnormal behaviored ip packets detection in ip communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080014355A KR20090089034A (en) 2008-02-18 2008-02-18 Apparatus and method for abnormal behaviored ip packets detection in ip communication system

Publications (1)

Publication Number Publication Date
KR20090089034A true KR20090089034A (en) 2009-08-21

Family

ID=41207402

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080014355A KR20090089034A (en) 2008-02-18 2008-02-18 Apparatus and method for abnormal behaviored ip packets detection in ip communication system

Country Status (1)

Country Link
KR (1) KR20090089034A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103081407A (en) * 2011-03-03 2013-05-01 株式会社日立制作所 Failure analysis device, and system and method for same

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103081407A (en) * 2011-03-03 2013-05-01 株式会社日立制作所 Failure analysis device, and system and method for same
CN103081407B (en) * 2011-03-03 2015-11-25 株式会社日立制作所 Fail analysis device, trouble analysis system and failure analysis methods

Similar Documents

Publication Publication Date Title
US11451578B2 (en) Analyzing encrypted traffic behavior using contextual traffic data
Santos et al. Machine learning algorithms to detect DDoS attacks in SDN
US11201882B2 (en) Detection of malicious network activity
EP3701699B1 (en) Leveraging point inferences on http transactions for https malware detection
US11748477B2 (en) OS start event detection, OS fingerprinting, and device tracking using enhanced data features
US10616267B2 (en) Using repetitive behavioral patterns to detect malware
US10375096B2 (en) Filtering onion routing traffic from malicious domain generation algorithm (DGA)-based traffic classification
US11570166B2 (en) Semi-active probing framework to gather threat intelligence for encrypted traffic and learn about devices
US11038900B2 (en) Structural command and control detection of polymorphic malware
US20230129786A1 (en) Correlating endpoint and network views to identify evasive applications
WO2011119436A1 (en) Adaptive distinct counting for network-traffic monitoring and other applications
US20180152466A1 (en) Estimating feature confidence for online anomaly detection
US20200092306A1 (en) Automated creation of lightweight behavioral indicators of compromise (iocs)
Li et al. Detecting saturation attacks based on self-similarity of OpenFlow traffic
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
WO2012147909A1 (en) Network device, communication system, method for detecting abnormal traffic, and program
KR101980901B1 (en) SYSTEM AND METHOD FOR DDoS DETECTION BASED ON SVM-SOM COMBINATION
WO2020027250A1 (en) Infection spread attack detection device, attack origin specification method, and program
WO2019235403A1 (en) Infection-spreading attack detection system and method, and program
KR20090089034A (en) Apparatus and method for abnormal behaviored ip packets detection in ip communication system
Revathi et al. RMCARTAM For DDoS Attack Mitigation in SDN Using Machine Learning.
CN115442060A (en) User-defined encryption protocol flow processing method and device and electronic equipment
Anbarsu et al. Software-Defined Networking for the Internet of Things: Securing home networks using SDN
Xu et al. Comparative studies of router-based observation schemes for anomaly detection in TCP/UDP networks
Lee et al. Mobile device-centric approach for identifying problem spot in network using deep learning

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial