KR20100041533A - 네트워크 관리 방법 - Google Patents
네트워크 관리 방법 Download PDFInfo
- Publication number
- KR20100041533A KR20100041533A KR1020080100769A KR20080100769A KR20100041533A KR 20100041533 A KR20100041533 A KR 20100041533A KR 1020080100769 A KR1020080100769 A KR 1020080100769A KR 20080100769 A KR20080100769 A KR 20080100769A KR 20100041533 A KR20100041533 A KR 20100041533A
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- network
- analysis
- present
- abnormal
- Prior art date
Links
- 238000007726 management method Methods 0.000 title claims abstract description 13
- 238000004458 analytical method Methods 0.000 claims abstract description 33
- 230000002159 abnormal effect Effects 0.000 claims abstract description 17
- 230000000903 blocking effect Effects 0.000 claims abstract description 3
- 238000000034 method Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 외부 네트워크로부터 내부 네트워크로 유입되는 전체 트래픽 볼륨에 대해 IP 정보 및 프로토콜(포트)별 트래픽 내역을 대비하여 이상 트래픽을 감시하는 네트워크 관리 방법에 관한 것이다. 본 발명의 네트워크 관리 방법은 외부 네트워크에서 내부 네트워크로 유입되는 트래픽을 수집하는 단계와, 상기 수집된 트래픽에 대해 IP 및 포트에 따라 분석을 수행하는 단계와, 상기 분석 결과 이상 트래픽이 감지되는 경우 상기 이상 트래픽의 상세 원인을 분석하는 단계를 구비한다.
네트워크, 트래픽, IP, 프로토콜
Description
본 발명은 네트워크 관리 방법에 관한 것으로서, 특히 외부 네트워크로부터 내부 네트워크로 유입되는 전체 트래픽 볼륨에 대해 IP 정보 및 프로토콜(포트)별 트래픽 내역을 대비하여 이상 트래픽을 감시하는 네트워크 관리 방법에 관한 것이다.
컴퓨터와 기타 컴퓨팅 장치들이 인터넷과 같은 각종 네트워크를 통해 점점 더 많이 상호 접속할수록, 특히 네트워크를 통해 또는 정보 스트림을 통해 전달되는 침입 또는 공격으로부터 컴퓨터 보안이 더 중요해지고 있다. 당업자들은 이러한 공격들이 컴퓨터 바이러스, 컴퓨터 웜(worm), 시스템 컴포넌트에 대체, 시스템 공격의 부정, 정보 훔치기, 심지어 합법적인 컴퓨터 시스템 특징의 오용/남용을 포함하는 많은 상이한 형태를 취하지만, 이에 제한되지 않으며, 이러한 것 모두는 비합법적인 목적을 위해 하나 이상의 컴퓨터 시스템의 취약성을 부당하게 이용한다.
이러한 공격으로부터 내부 네트워크를 방어하기 위해 종래에 사용하던 트래 픽 감시 툴은 단순 트래픽 감시 기능만을 사용하는 형편이며, 특정 트래픽 패턴에 대한 상세 분석이 불가능하여 장애 감지를 통한 분석에 한계가 있다. 따라서 특정 트래픽 패턴에 대한 상세 분석이 불가능하여 장애 원인을 파악하거나 장애를 예방할 수 없다.
또한 종래의 트래픽 감시 툴은 수행 작업에 따라 별도의 툴을 사용하므로 한 화면에서 전체 네트워크 인프라를 감시 또는 분석하는 것이 불가능하여 빠른 분석을 기대할 수 없다. 따라서 갑작스런 트래픽 증가시 해당 트래픽에서 많이 사용되는 IP 및 프로토콜에 대한 분석이 불가능하다.
따라서 본 발명은 네트워크에 대한 공격이 어떤 원인에 의해 이루어지는지 용이하게 파악할 수 있도록 함으로써 내부에 존재하는 네트워크 장비 및 시스템을 보호하는 것을 목적으로 한다.
본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
이러한 목적을 달성하기 위해 도출된 본 발명은 네트워크 관리 방법에 있어서, 외부 네트워크에서 내부 네트워크로 유입되는 트래픽을 수집하는 단계와, 상기 수집된 트래픽에 대해 IP 및 포트에 따라 분석을 수행하는 단계와, 상기 분석 결과 이상 트래픽이 감지되는 경우 상기 이상 트래픽의 상세 원인을 분석하는 단계를 구비하는 것을 특징으로 한다.
상기 분석 수행 단계는 소정 시간 단위로 전체 트래픽 볼륨에 대한 IP 및 포트의 트래픽 내역을 정량화함으로써 수행되는 것이 바람직하다. 또한 상기 분석 수행 단계는 상기 이상 트래픽의 소오스 IP, 목적지 IP, 서비스 포트를 판정하는 것 이 바람직하다. 상기 이상 트래픽의 상세 원인에 따른 차단 솔루션을 상기 내부 네트워크의 보안 장비에 제공하는 단계를 추가하는 것이 바람직하다.
이러한 본 발명에 의하면, 단순 트래픽 감시 기능에 포함된 트래픽 현황을 근거로 전체 트래픽에 대해 단위(일간/분/초)로 구별하여 데이터 내역을 DB화 해서 특정 시간, 분 단위로 정보를 IP 정보 및 프로토콜(포트)별로 트래픽 볼륨에 대해 정량화된 수치로 보여줌으로써 특정하게 증가된 아날로그에 대한 트래픽 내역에 대해 분석이 가능하다. 이로써 네트워크에 대한 공격이 어디서(Source_IP), 어디로(Destination_IP), 어떤 정보(PORT) 형태로 이루어지는지 용이하게 파악할 수 있고, 해당 내역을 방화벽이나 기타 보안 장비에서 차단하여 내부에 존재하는 네트워크 장비 및 시스템을 효과적으로 보호할 수 있다.
전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 의한 네트워크 관리 방법이 적용되는 네트워크의 구성을 설명하는 도면이다.
외부 네트워크인 인터넷(1020)은 스위치(또는 라우터)(104a 내지 104d)를 통해 내부 네트워크에 연결된다. 본 발명의 일 실시예에 의한 네트워크 관리 시스템(100)은 수집서버(106), 분석서버(108), 데이터베이스(DB)서버(110)를 포함하여 구성된다.
도 2는 본 발명의 일 실시예에 의한 네트워크 관리 방법의 흐름도이다.
수집서버(106)는 스위치(104a 내지 104d)를 통해 외부 네트워크로부터 내부 네크워크로 유입되는 모든 트래픽을 수집한다(202). 수집서버(106)는 외부 네트워크(또는 인터넷)(102)로부터 내부 네트워크로 트래픽이 유입되는 모든 구간에서의 네트워크 장비로부터 트래픽 데이터를 수집한다.
분석서버(108)는 수집서버(106)를 통해 수집된 트래픽 데이터에 대한 분석을 수행한다(204). 분석서버(108)는 수집된 트래픽에 대해 IP별 내역을 구분하여 트래픽 데이터를 분석한 후에, 특정 포트(Port), 특정 IP에 대한 심화 분석을 수행한다. 또한 분석서버(108)는 특정 서버 혹은 서버군에 대한 트래픽 심화 분석을 수행한다.
이러한 분석 결과로 외부에서 내부로 유입되는 트래픽에 이상이 감지되는 경우, 분석서버(108)는 이상 트래픽의 상세 원인을 분석한다.(206) 그리고 이러한 분석 결과를 이용해 분석서버(108)는 외부 공격에 대해 내부 서비스를 보호하고 조기에 복구를 수행하기 위한 솔루션을 생성하여 방화벽 등의 보안장비에 제공한 다(208). 분석서버(108)는 TCP/UDP/ICMP 플러딩(flooding) 공격, 기존/신종 인터넷 웜 바이러스, 또는 정상 트래픽 대비 이상 징후를 감지할 수 있다.
또한 분석서버(108)는 트래픽 분석 결과에 대해 보고서 템플릿 기능을 통해 다양한 보고서를 생성하고, 분석 결과를 DB서버(110)에 저장한다.
도 3은 본 발명에 따라 회선별 장애 징후를 조기 감지하고 이에 대응하는 과정을 설명하는 도면이다.
"A" 단계는 초기 징후 단계로서 가변 임계치를 이용하여 트래픽 이상을 감지한다. 평소 트래픽에 대비하여 트래픽이 갑자기 증가하면 트래픽에 대한 실시간 감시를 진행한다. "B" 단계는 원인 분석 단계로서 임계치보다 월등히 증가한 트래픽은 이상 징후로 보고 해당 트래픽에 대한 상세 분석을 진행한다. 트래픽 분석은 일/시간별로 IP 내역 및 서비스 포트별로 구분하여 수행하며, 이로써 트래픽 이상의 원인이 되는 네트워크 공격이 어디서 어떤 경로를 통해 최종 목적지까지 전달되는지 파악할 수 있고, 문제점 및 해결방안을 동시에 제시할 수 있다. "C" 단계는 원인 제거 단계로서 트래픽 이상의 상세 원인을 분석한 결과에 따라 조치 방안(또는 해결 솔루션)을 마련하고 방화벽 등의 보안장비에 제공함으로써 트래픽 이상의 원인을 제거한다. "D" 단계는 보고 단계로서 마련된 조치 방안에 따라 네트워크가 정상 상태에 도달하면 트래픽 이상의 원인과 조치 방안의 내용에 대한 보고서를 작성한다.
도 4는 본 발명에 따라 트래픽 증가로 인한 이벤트의 상세 원인을 분석한 결과를 표시하는 화면을 도시한다. 도 4의 (a)는 굵은 선으로 표시된 사각형 안에서 아웃바운즈 트래픽(outbounds traffic)이 급격히 증가한 것을 보이며, 도 4의 (b)는 이러한 트래픽 증가의 상세 원인을 분석한 결과를 표시하는 화면으로서 외부 네트워크에서 내부 네트워크로 요청한 트래픽의 건수가 증가함에 따라 포트 80을 이용한 서비스가 증가하였음을 보이고 있다.
도 5는 본 발명에 따라 트래픽 상세 분석을 통해 네트워크 서비스의 성능을 제고하는 것을 표시하는 화면을 도시한다. 도시된 바와 같이, 외부에서 내부로 유입되는 트래픽에 대해 서비스별, IP_Block별, IP별 트래픽 사용량을 분석함으로써 현재 어디서(Source) 어디로(Destination) 트래픽을 전달하고 있는지 실시간 검색이 가능하다.
도 6은 본 발명에 따라 회선별 이상 트래픽을 자동 탐지하는 것을 표시하는 화면을 도시한다. 예를 들어, 사이버테러, DoS/DDoS 공격, 인터넷 웜 등의 회선별 이상 트래픽을 자동 탐지한다. 이러한 본 발명에 의하면 공격 패턴을 자동 감지함으로써 내부 네트워크를 통해 수행되는 서비스를 외부 공격으로부터 보호할 수 있다. 표 1은 본 발명에 따른 회선별 이상 트래픽 감지 기능을 정리한 것이다.
도 7은 본 발명에 따라 생성한 분석 보고서를 표시하는 화면이다. 본 발명의 일 실시예에 의해 보고서는 템플릿 기능을 이용하여 다양한 양식으로 생성될 수 있다. 주기별 보고서를 자동 생성하고 메일을 통해 자동 송부할 수 있다. 본 발명에 의해 웹 기반 보고서, MS-WORD 기반 보고서, HWP 형식의 보고서 등의 보고서 생성을 지원할 수 있다. 별도의 보고서 작성을 위한 에디팅이 필요 없다. 표 2는 본 발명에 의한 보고서 생성 기능을 정리한 것이다.
전술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체 (씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
도 1은 본 발명의 일 실시예에 의한 네트워크 관리 방법이 적용되는 네트워크의 구성을 설명하는 도면이다.
도 2는 본 발명의 일 실시예에 의한 네트워크 관리 방법의 흐름도이다.
도 3은 본 발명에 따라 회선별 장애 징후를 조기 감지하는 원리를 설명하는 도면이다.
도 4는 본 발명에 따라 트래픽 증가로 인한 이벤트의 상세 원인을 분석한 결과를 표시하는 화면을 도시한다.
도 5는 본 발명에 따라 트래픽 상세 분석을 통해 네트워크 서비스의 성능을제고하는 것을 표시하는 화면을 도시한다.
도 6은 본 발명에 따라 회선별 이상 트래픽을 자동 탐지하는 것을 표시하는 화면을 도시한다.
도 7은 본 발명에 따라 생성한 분석 보고서를 표시하는 화면이다.
Claims (7)
- 네트워크 관리 방법에 있어서,외부 네트워크에서 내부 네트워크로 유입되는 트래픽을 수집하는 단계와,상기 수집된 트래픽에 대해 IP 및 포트에 따라 분석을 수행하는 단계와,상기 분석 결과 이상 트래픽이 감지되는 경우 상기 이상 트래픽의 상세 원인을 분석하는 단계를구비하는 것을 특징으로 하는 네트워크 관리 방법.
- 제 1 항에 있어서,상기 분석 수행 단계는 소정 시간 단위로 전체 트래픽 볼륨에 대한 IP 및 포트의 트래픽 내역을 정량화함으로써 수행되는 것을 특징으로 하는 네트워크 관리 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 트래픽 수집 단계는 상기 외부 네트워크에서 상기 내부 네트워크로 트래픽을 전달하는 네트워크 장비를 통해 트래픽을 수집하는 것을 특징으로 하는 네트워크 관리 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 분석 수행 단계는 상기 이상 트래픽의 소오스 IP, 목적지 IP, 서비스 포트를 판정하는 것을 특징으로 하는 네트워크 관리 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 IP 및 포트의 트래픽 내역이 소정 임계치보다 증가한 경우 이상 트래픽으로 감지하는 것을 특징으로 하는 네트워크 관리 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 분석 수행 단계는 정상 트래픽과의 대비를 통해 수행되는 것을 특징으로 하는 네트워크 관리 방법.
- 제 1 항 또는 제 2 항에 있어서,상기 이상 트래픽의 상세 원인에 따른 차단 솔루션을 상기 내부 네트워크의 보안 장비에 제공하는 단계를 추가로 포함하는 것을 특징으로 하는 네트워크 관리 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080100769A KR20100041533A (ko) | 2008-10-14 | 2008-10-14 | 네트워크 관리 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080100769A KR20100041533A (ko) | 2008-10-14 | 2008-10-14 | 네트워크 관리 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20100041533A true KR20100041533A (ko) | 2010-04-22 |
Family
ID=42217245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080100769A KR20100041533A (ko) | 2008-10-14 | 2008-10-14 | 네트워크 관리 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20100041533A (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101371902B1 (ko) * | 2012-12-12 | 2014-03-10 | 현대자동차주식회사 | 차량 네트워크 공격 탐지 장치 및 그 방법 |
| KR101638613B1 (ko) * | 2015-04-17 | 2016-07-11 | 현대자동차주식회사 | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 |
-
2008
- 2008-10-14 KR KR1020080100769A patent/KR20100041533A/ko not_active Application Discontinuation
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101371902B1 (ko) * | 2012-12-12 | 2014-03-10 | 현대자동차주식회사 | 차량 네트워크 공격 탐지 장치 및 그 방법 |
| US9231967B2 (en) | 2012-12-12 | 2016-01-05 | Hyundai Motor Company | Apparatus and method for detecting in-vehicle network attack |
| KR101638613B1 (ko) * | 2015-04-17 | 2016-07-11 | 현대자동차주식회사 | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5844938B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| CN110495138B (zh) | 工业控制***及其网络安全的监视方法 | |
| US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
| US9621544B2 (en) | Computer implemented method of analyzing X.509 certificates in SSL/TLS communications and the data-processing system | |
| CN100435513C (zh) | 网络设备与入侵检测***联动的方法 | |
| JPWO2014119669A1 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| CN113839935B (zh) | 网络态势感知方法、装置及*** | |
| CN110224970B (zh) | 一种工业控制***的安全监视方法和装置 | |
| Nitin et al. | Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas) | |
| JP2004030286A (ja) | 侵入検知システムおよび侵入検知プログラム | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全*** | |
| CN114006723A (zh) | 基于威胁情报的网络安全预测方法、装置及*** | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及*** | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及*** | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| JP5752020B2 (ja) | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム | |
| KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 | |
| KR20100041533A (ko) | 네트워크 관리 방법 | |
| KR100651749B1 (ko) | 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치 | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
| Liu et al. | Research on Network Attack Detection Technology based on Reverse Detection and Protocol Analysis | |
| Kumar et al. | Recent advances in intrusion detection systems: An analytical evaluation and comparative study | |
| Hajdarevic et al. | A new method for the identification of proactive information security management system metrics | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及*** | |
| Hsiao et al. | Behavior profiling for robust anomaly detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| N231 | Notification of change of applicant | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |