KR20090089034A - Apparatus and method for abnormal behaviored ip packets detection in ip communication system - Google Patents
Apparatus and method for abnormal behaviored ip packets detection in ip communication system Download PDFInfo
- Publication number
- KR20090089034A KR20090089034A KR1020080014355A KR20080014355A KR20090089034A KR 20090089034 A KR20090089034 A KR 20090089034A KR 1020080014355 A KR1020080014355 A KR 1020080014355A KR 20080014355 A KR20080014355 A KR 20080014355A KR 20090089034 A KR20090089034 A KR 20090089034A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- information
- sample set
- abnormal
- mahalanobis distance
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 32
- 238000004891 communication Methods 0.000 title claims abstract description 26
- 238000001514 detection method Methods 0.000 title claims abstract description 7
- 239000013598 vector Substances 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 description 7
- 238000005259 measurement Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000009827 uniform distribution Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 IP-BSS(Inernet Protocol Base Station System)에서 비 정상 IP 패킷을 검출하여 처리하기 위한 IDS(Intrusion Detection System)에 관한 것이다.The present invention relates to an intrusion detection system (IDS) for detecting and processing an abnormal IP packet in an Internet Protocol Base Station System (IP-BSS).
일반적으로 비 정상적인 아이피 패킷, 특히 악의적인 목적을 가진 아이피 패킷을 검출하는 방법으로는 아이피 패킷의 아이피 주소 또는 아이피 패킷의 헤더 내의 정보를 이용하였다. In general, as a method of detecting an abnormal IP packet, particularly an IP packet having a malicious purpose, the IP address of the IP packet or information in the header of the IP packet is used.
상기의 방법에서는. 해당 아이피 패킷에 대해 아이피 주소가 이전에 억셉트된 적이 있는 아이피 주소인지와 해당 아이피 주소를 갖는 패킷이 기 정해진 임계 시간 동안에 증가된 수가 임계 값보다 큰 경우, 비 정상적 아이피 패킷으로 판단하여 필터링을 수행하였다.In the above method. If the IP address has been previously accepted for the IP packet, and if the number of packets having the IP address increased during the predetermined threshold time is greater than the threshold value, the filtering is determined as an abnormal IP packet. It was.
하지만, 이러한 방식은 아이피 주소만을 참조하여, 해당 시간 내의 같은 주 소의 아이피 패킷 수를 검사하므로, 트랜스포트 계층 패킷의 정보를 이용하지 못하는 문제점이 있다.However, this method refers to only the IP address, and thus checks the number of IP packets of the same address within a corresponding time, and thus there is a problem in that information of a transport layer packet cannot be used.
특히, IP-BSS 시스템에서는 UDP(User Datagram Potocol) 포트가 중요한 파라미터가 되는데, 이를 고려하지 않는 문제점이 있다.In particular, in the IP-BSS system, UDP (User Datagram Potocol) port becomes an important parameter, there is a problem that does not consider this.
본 발명의 목적은 아이피 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치 및 방법을 제공함에 있다.An object of the present invention is to provide an apparatus and method for detecting abnormal operation IP packet in IP communication system.
본 발명의 다른 목적은 아이피 통신 시스템에서 아이피 패킷의 길이와 트랜스포트 계층의 포트 수를 파라미터로 이용하여 1 그램 모델(gram model)을 기반으로 이의 측정을 위한 마하라노비스(Mahalanobis) 거리를 적용하여 계속적인 학습 과정을 수행하여 비정상적인 아이피 패킷을 검출하는 장치 및 방법을 제공함에 있다.Another object of the present invention is to apply the Maharanobis distance for the measurement based on the 1 gram model using the IP packet length and the number of ports of the transport layer in the IP communication system as parameters An apparatus and method for detecting an abnormal IP packet by performing a continuous learning process are provided.
본 발명의 또 다른 목적은 아이피 통신 시스템에서 UDP 포트 및 해당 포트의 패킷의 길이를 파라미터로 이용하고, 여기에 마하라노비스 거리를 적용하여 계속적인 학습 과정을 수행하여 비 정상적인 아이피 패킷을 검출하여 비 정상적인 패킷의 유입을 막는 장치 및 방법을 제공함에 있다.Another object of the present invention is to use the UDP port and the packet length of the corresponding port as a parameter in the IP communication system, and to apply the Maharanobis distance to the continuous learning process to detect abnormal IP packets An apparatus and method for preventing the inflow of a normal packet is provided.
본 발명의 목적을 달성하기 위한 본 발명의 제 1 견지에 따르면, 아이피 패킷 통신 시스템에서 비정상적인 아이피 패킷 검출 방법에 있어서 캡쳐한 아이피 패킷의 정보에 대한 표본 집합을 생성하는 과정과 상기 표본 집합의 정보와 모니터링한 현재의 아이피 패킷의 정보를 입력 변수로하여 마하라노비스(Mahalanobis) 거리를 계산하는 과정과 상기 마하라노비스 거리가 임계값보다 큰 경우, 상기 현재의 아이피 패킷을 비정상 아이피 패킷으로 판단하는 과정을 포함하는 것을 특징으로 한다.According to a first aspect of the present invention for achieving the object of the present invention, the process of generating a sample set for the information of the IP packet captured in the abnormal IP packet detection method in the IP packet communication system and the information of the sample set and Calculating a Mahalanobis distance using the monitored IP packet information as an input variable and determining the current IP packet as an abnormal IP packet when the Mahalanobis distance is larger than a threshold value Characterized in that it comprises a.
본 발명의 목적을 달성하기 위한 본 발명의 제 2 견지에 따르면, 아이피 패킷 통신 시스템에서 비정상적인 아이피 패킷을 검출하는 장치에 있어서 다른 노드와 통신하기 위한 통신부와 상기 통신부를 통해 캡쳐한 아이피 패킷의 정보에 대한 표본 집합을 생성하고, 상기 표본 집합의 정보와 모니터링한 현재의 아이피 패킷의 정보를 입력 변수로하여 마하라노비스(Mahalanobis) 거리를 계산하고, 상기 마하라노비스 거리가 임계값보다 큰 경우, 상기 현재의 아이피 패킷을 비정상 아이피 패킷으로 판단하는 네트워크 모니터링부를 포함하는 것을 특징으로 한다.According to a second aspect of the present invention for achieving the object of the present invention, in the apparatus for detecting abnormal IP packet in the IP packet communication system, the communication unit for communicating with other nodes and the information of the IP packet captured through the communication unit Generating a sample set, calculating the Mahalanobis distance using the information of the sample set and information of the current IP packet monitored as input variables, and if the Mahalanobis distance is greater than a threshold, And a network monitoring unit for determining the current IP packet as an abnormal IP packet.
본 발명은 아이피 통신 시스템에서 비정상적인 아이피 패킷을 정확히 보다 빨리 검출할 수 있는 이점이 있다.The present invention has the advantage of detecting the abnormal IP packet more quickly than the IP communication system.
이하 본 발명의 바람직한 실시 예를 첨부된 도면의 참조와 함께 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In describing the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.
이하, 본 발명은 아이피 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치 및 방법에 대해 설명할 것이다.Hereinafter, the present invention will be described an apparatus and method for detecting abnormal operation IP packet in the IP communication system.
도 1은 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 블록 구성을 도시한 도면이다.1 is a block diagram illustrating an apparatus for detecting an abnormal operation IP packet in a communication system according to an exemplary embodiment of the present invention.
상기 도 1을 참조하면, ATM(Asynchronous Transfer Mode)수신부(110), IP 진출부(115), PPP진출부(120), 큐 관리부(125), 네트워크 처리 엔진 송신부(130)는 상기 장치에서 하나의 아이피 패킷의 흐름 상의 처리 블록을 나타낸다. 그리고, ATM 송신부(150), IP 진출부(155), PPP 진입부(160), 네트워크 처리 엔진 수신부(165)는 상기 장치에서 하나의 아이피 패킷의 흐름 상의 처리 블록을 나타낸다. 즉, 상기 장치는 다른 두 네트워크를 연결는 장치가 될 수 있다. 이하에서, 본 발명은 상기에서 기술한 블록들을 통신부로 칭할 것이다. 그리고, 상기의 장치가 IP-BSS 일 경우, 상기 통신부는 무선 통신을 위한 무선 통신 인터페이스를 포함한다.Referring to FIG. 1, an Asynchronous Transfer Mode (ATM)
네트워크 모니터링 부(140)는 상기 IP 진출부(115, 116) 전 또는 후의 아이피 패킷이 비 정상적인지 아닌지 모니터링하여 비 정상적인 경우는 해당 아이피 패킷을 드롭한다.The network monitoring unit 140 monitors whether the IP packets before or after the
여기서, 상기 해당 아이피 패킷은 상위 계층(kernel 단)에서 처리되지 않고 통신부에서 처리된다. In this case, the IP packet is processed in the communication unit, not in the upper layer (kernel stage).
상기 네트워크 모니터링 부(140)는 상기 해당 아이피 패킷을 송수신 경로 상에서 모니터링하여 처리하므로, ADS(Abnormal behavior detector system)로서는 좀더 안정적인 구조라 할 수 있다.The network monitoring unit 140 monitors and processes the corresponding IP packet on a transmission / reception path, and thus may be a more stable structure as an Abnormal Behavior Detector system (ADS).
상기 네트워크 모니터링 부(140)는 상기 아이피 패킷의 헤더 정보(주소, time to live 정보 등), 상기 아이피 패킷에서 256 바이트의 페이로드, 상기 아이피 패킷의 크기, 상기 아이피 패킷의 페이로드에 포함된 UDP 포트 번호 등을 이용하여, 1 그램 모델을 생성하며, 마하라노비스 거리(Mahalanobis distance)를 구한다. The network monitoring unit 140 includes UDP information included in header information (address, time to live information, etc.) of the IP packet, a 256-byte payload in the IP packet, a size of the IP packet, and a payload of the IP packet. Using a port number or the like, a 1 gram model is generated and the Mahalanobis distance is obtained.
이후, 상기 네트워크 모니터링 부(140)는 임계값으로 정한 마하라노비스 거리 보다 큰 거리 값이 구해 질 경우, 비 정상적인 패킷으로 분류하여 경보를 발생하여 관리자에게 알리고, 해당 아이피 패킷은 드롭한다. 상기 임계값을 실험적으로 구해 질 수 있고, 그 값은 구현 상황에 따라 달라질 수 있다.Then, when the distance value larger than the Mahalanobis distance determined as the threshold value is obtained, the network monitoring unit 140 generates an alarm by notifying an administrator by classifying it as an abnormal packet and dropping the IP packet. The threshold can be obtained experimentally, and the value can vary depending on the implementation situation.
도 2는 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 동작 과정을 도시한 흐름도이다.2 is a flowchart illustrating an operation process of an apparatus for detecting an abnormal operation IP packet in a communication system according to an exemplary embodiment of the present invention.
상기 도 2를 참조하면, 네트워크 모니터링부는 네트워크 상의 아이피 패킷을 캡쳐하고(210 단계), 해당 정보를 이용하여 정상적 또는 비정상적인 1 그램 모델을 생성할 수 있도록 시그너쳐를 생성하고(215 단계), 생성된 시그니처 저장 과정을 수행한다(220 단계).Referring to FIG. 2, the network monitoring unit captures an IP packet on a network (step 210), generates a signature to generate a normal or abnormal 1-gram model using the corresponding information (step 215), and generates the generated signature. The storage process is performed (step 220).
여기서, 상기 시그니처를 생성하는 이유는 현재 네트워크 상의 아이피 패킷의 표본 집합(1 그램 모델링)을 만들기 위해서이다. Here, the reason for generating the signature is to make a sample set (1 gram modeling) of the IP packet on the current network.
상기 표본 집합에는 현재 네트워크 상의 아이피 패킷에 대한 헤더 정보(주소, time to live 정보 등), 상기 아이피 패킷에서 256 바이트의 페이로드, 상기 아이피 패킷의 크기, 상기 아이피 패킷의 페이로드에 포함된 UDP 포트 번호 등에 대한 빈도 수 및 이에 대한 평균 및 표준 편차를 포함한다.The sample set may include header information (address, time to live information, etc.) for an IP packet on a current network, a 256-byte payload in the IP packet, a size of the IP packet, and a UDP port included in the payload of the IP packet. Frequency counts for numbers, etc., and their mean and standard deviations.
이후, 네트워크 상의 트래픽에서, 본 발명에 따른 UDP 포트, IP 주소, 길이 등과 같은 데이터를 모니터링하면서(225 단계), 검출 및 학습 과정을 수행한다(230 단계). Then, in the traffic on the network, while detecting data such as UDP port, IP address, length, etc. according to the present invention (step 225), the detection and learning process is performed (step 230).
상기 검출 과정은 마하라노비스 거리 측정 과정을 포함한다. 상기 마하라노비스 측정과정은 상기 표본 집합(1 그램 모델) 및 현재 입력을 같이 고려하여 비 정상적인 패킷을 검출한다.The detection process includes a Mahalanobis distance measurement process. The Mahalanobis measurement process detects abnormal packets in consideration of the sample set (1 gram model) and the current input.
마하라노비스 거리 측정 과정에서. 비 정상적인 아이피 패킷이 검출된 경우는(235 단계), 비 정상적인 아이피 패킷 처리 과정을 수행한다(240 단계). Maharanobis in the distance measurement process. If abnormal IP packet is detected (step 235), abnormal IP packet processing is performed (step 240).
상기 비 정상적인 아이피 패킷 처리 과정은 해당 아이피 패킷의 드롭)및 관리자에게로의 보고 등을 포함한다.The abnormal IP packet processing includes dropping of the corresponding IP packet) and reporting to the administrator.
상기 마하라노비스 거리 측정과정에서. 정상적인 아이피 패킷이 검출된 경우는(235 단계), 시그너처 갱신 과정을 수행하는 단계(245 단계) 및 이후의 과정을 수행한다. 상기 갱신 과정은 상기 패킷에 대한 표본 집합의 갱신 과정을 나타낸다.In the Mahalanobis distance measurement process. When the normal IP packet is detected (step 235), the signature update process is performed (step 245) and the subsequent process is performed. The update process represents an update process of a sample set for the packet.
이후, 본 발명에 따른 알고리즘을 종료한다.Then, the algorithm according to the present invention is terminated.
아이피 패킷 헤더는 특정 형식이 있지만, 아이피 패킷의 페이로드는 단지 바이트 스트림들이다. 페이로드는 키 워드 라든지, 예상되는 토큰(token)들 이라든지 제한된 범위의 값들과 같은 고정 형식이 존재하지 않는다. 따라서, 어떤 문자 또는 바이트 값이든지 데이터그램 스트림의 어디에도 위치할 수 있다.The IP packet header has a specific format, but the payload of the IP packet is just byte streams. Payloads do not have a fixed format, such as keywords, expected tokens, or a limited range of values. Thus, any character or byte value can be placed anywhere in the datagram stream.
상기 페이로드를 모델링하는 방법에 있어서, 유사한 스트림들을로 모델링하기 위해서는 스트림을 작은 클러스터 또는 그룹들로 나눌 필요가 있다. 그리고, 스트림의 방향에 따라, 각각의 모델의 생성이 가능하다. 여기에서 포트 번호와 길이는 아주 많이 필요한 사항이다. In the method of modeling the payload, it is necessary to divide the stream into small clusters or groups in order to model similar streams. Each model can be generated according to the direction of the stream. Port numbers and lengths are very necessary here.
대개 표준 네트워크 서비스들은 고정된 미리 할당된 포트 번호를 가진다. 예를 들어, FTP 데이터 전송의 경우에는 포트 번호 20을 사용하고, FTP 명령어 전송의 경우에는 포트 번호 21을 사용하고, SSH(Secure SHell)의 경우에는 포트번호 22번을, 그리고 Telnet의 경우는 포트번호 23번, 그리고 SMTP(Simple Mail Transfer Protocol)의 경우에는 포트번호 25 번을 Web의 경우에는 포트번호 80번을 사용한다.Usually standard network services have a fixed pre-assigned port number. For example, use port number 20 for FTP data transfer, port number 21 for FTP command transfer, port number 22 for SSH (Secure SHell), and port for Telnet. Use port number 23 and port number 25 for SMTP (Simple Mail Transfer Protocol) and port number 80 for Web.
이러한 응용 프로그램은 각각의 특정 프로토콜을 사용하고, 응용 프로그램에 맞는 페이로드가 있다. 예를 들면, 포트 번호 22의 SSH 같은 경우는 암호화된 유니폼 분산형태의 데이터가 페이로드에 포함된다. 그리고, 포트 번호 21 번의 FTP 명령어 같은 경우는 프린트 가능한 문자들이 포함된다. These applications use each specific protocol and have a payload specific to the application. For example, in the case of port number 22, the encrypted uniform distribution data is included in the payload. In the case of the FTP command on port 21, printable characters are included.
그리고, 페이로드의 길이는 응용 프로그램에 따라 다양하다. 예를 들면, TCP 패킷들은 0~1460 바이트의 길이를 가질 수 있고, 응용 프로그램에 따라 다른 페이로드 길이를 가진다. 일반적으로 페이로드의 길이가 길수록 이진 데이터일 빈도가 높아진다. And, the payload length varies depending on the application. For example, TCP packets can be between 0 and 1460 bytes in length and have different payload lengths depending on the application. In general, the longer the payload, the higher the frequency of binary data.
1 그램 모델링의 가장 단순한 경우는 아스키(ASCII) 문자(번호 0~255)의 평균 빈도수를 구하는 것이다. 여기에서 각각의 아스키 문자에 대한 상대 빈도수를 변수로 잡고 그 평균과 표준편차를 페이로드 모델로 삼는다.The simplest case of 1-gram modeling is to find the average frequency of ASCII characters (numbers 0-255). Here, the relative frequency for each ASCII character is taken as a variable, and the mean and standard deviation are used as payload models.
이제 마하라노비스 거리 측정에 대해 설명하면 하기와 같다. 마하라노비스 거리는 2 개의 통계적인 분산들을 비교하기 위한 표준의 거리 메트릭이다.Now, the Mahalanobis distance measurement will be described. The Mahalanobis distance is the standard distance metric for comparing two statistical variances.
여기서, x 와 y 는 두 입력 벡터이고, 각각의 벡터의 원소는 변수이다. x 는 새로운 입력에 대한 벡터이고, y 는 표본 집합으로부터의 평균 벡터이다. 즉, x는 새로운 패킷에 대한 시그니처이고, y 는 표본 집합(1 그램 모델)에서의 평균을 나타낸다. 그리고, C-1 은 인버스 코베리언스(inverse covariance) 이고, 하기와 같이 정의된다. Where x and y are two input vectors, and the elements of each vector are variables. x is the vector for the new input and y is the mean vector from the sample set. That is, x is the signature for the new packet and y is the mean in the sample set (1 gram model). And C -1 is inverse covariance and is defined as follows.
여기서, yi, yj 는 표본 집합에서의 i와 j 번째 원소이다.Where yi and yj are the i and j th elements in the sample set.
마하라노비스 거리는 표본 집합의 평균뿐만이 아니라, 측정된 아이피 패킷의 분산 및 공분산을 고려한다. The Mahalanobis distance takes into account not only the mean of the sample set, but also the variance and covariance of the measured IP packets.
전술한 설명에서, 표본 집합으로부터의 입력 변수는 UDP 포트 번호에 따른 데이터 크기가 될 수 있고, 이 경우, 상기 UDP 포트 번호에 따른 데이터 크기를 다른 입력 변수로 하였을 때, 이 때의 마하라노비스 거리가 임계 값보다 클 경우, 비 정상적인 패킷으로 간주할 수 있다. In the above description, the input variable from the sample set may be the data size according to the UDP port number. In this case, when the data size according to the UDP port number is another input variable, the Maharanobis distance at this time If is greater than the threshold value can be considered as an abnormal packet.
여기서, 상기 UDP 포트 번호 대신, 아이피 주소가 입력 변수가 될 수 있고, 본 발명에서의 입력 변수의 제한은 없다.Here, the IP address may be an input variable instead of the UDP port number, and there is no limitation of the input variable in the present invention.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined not only by the scope of the following claims, but also by the equivalents of the claims.
도 1은 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 블록 구성을 도시한 도면, 및,1 is a block diagram of an apparatus for detecting an abnormal operation IP packet in a communication system according to an embodiment of the present invention; and
도 2는 본 발명의 실시 예에 따른 통신 시스템에서 비정상동작 아이피 패킷 검출을 위한 장치의 동작 과정을 도시한 흐름도.2 is a flowchart illustrating an operation of an apparatus for detecting an abnormal IP packet in a communication system according to an exemplary embodiment of the present invention.
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080014355A KR20090089034A (en) | 2008-02-18 | 2008-02-18 | Apparatus and method for abnormal behaviored ip packets detection in ip communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080014355A KR20090089034A (en) | 2008-02-18 | 2008-02-18 | Apparatus and method for abnormal behaviored ip packets detection in ip communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20090089034A true KR20090089034A (en) | 2009-08-21 |
Family
ID=41207402
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080014355A KR20090089034A (en) | 2008-02-18 | 2008-02-18 | Apparatus and method for abnormal behaviored ip packets detection in ip communication system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20090089034A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103081407A (en) * | 2011-03-03 | 2013-05-01 | 株式会社日立制作所 | Failure analysis device, and system and method for same |
-
2008
- 2008-02-18 KR KR1020080014355A patent/KR20090089034A/en active Search and Examination
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103081407A (en) * | 2011-03-03 | 2013-05-01 | 株式会社日立制作所 | Failure analysis device, and system and method for same |
CN103081407B (en) * | 2011-03-03 | 2015-11-25 | 株式会社日立制作所 | Fail analysis device, trouble analysis system and failure analysis methods |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11451578B2 (en) | Analyzing encrypted traffic behavior using contextual traffic data | |
Santos et al. | Machine learning algorithms to detect DDoS attacks in SDN | |
US11201882B2 (en) | Detection of malicious network activity | |
EP3701699B1 (en) | Leveraging point inferences on http transactions for https malware detection | |
US11748477B2 (en) | OS start event detection, OS fingerprinting, and device tracking using enhanced data features | |
US10616267B2 (en) | Using repetitive behavioral patterns to detect malware | |
US10375096B2 (en) | Filtering onion routing traffic from malicious domain generation algorithm (DGA)-based traffic classification | |
US11570166B2 (en) | Semi-active probing framework to gather threat intelligence for encrypted traffic and learn about devices | |
US11038900B2 (en) | Structural command and control detection of polymorphic malware | |
US20230129786A1 (en) | Correlating endpoint and network views to identify evasive applications | |
WO2011119436A1 (en) | Adaptive distinct counting for network-traffic monitoring and other applications | |
US20180152466A1 (en) | Estimating feature confidence for online anomaly detection | |
US20200092306A1 (en) | Automated creation of lightweight behavioral indicators of compromise (iocs) | |
Li et al. | Detecting saturation attacks based on self-similarity of OpenFlow traffic | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
WO2012147909A1 (en) | Network device, communication system, method for detecting abnormal traffic, and program | |
KR101980901B1 (en) | SYSTEM AND METHOD FOR DDoS DETECTION BASED ON SVM-SOM COMBINATION | |
WO2020027250A1 (en) | Infection spread attack detection device, attack origin specification method, and program | |
WO2019235403A1 (en) | Infection-spreading attack detection system and method, and program | |
KR20090089034A (en) | Apparatus and method for abnormal behaviored ip packets detection in ip communication system | |
Revathi et al. | RMCARTAM For DDoS Attack Mitigation in SDN Using Machine Learning. | |
CN115442060A (en) | User-defined encryption protocol flow processing method and device and electronic equipment | |
Anbarsu et al. | Software-Defined Networking for the Internet of Things: Securing home networks using SDN | |
Xu et al. | Comparative studies of router-based observation schemes for anomaly detection in TCP/UDP networks | |
Lee et al. | Mobile device-centric approach for identifying problem spot in network using deep learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
J201 | Request for trial against refusal decision | ||
AMND | Amendment | ||
B601 | Maintenance of original decision after re-examination before a trial |