KR102552878B1 - 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치 - Google Patents
무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치 Download PDFInfo
- Publication number
- KR102552878B1 KR102552878B1 KR1020220183234A KR20220183234A KR102552878B1 KR 102552878 B1 KR102552878 B1 KR 102552878B1 KR 1020220183234 A KR1020220183234 A KR 1020220183234A KR 20220183234 A KR20220183234 A KR 20220183234A KR 102552878 B1 KR102552878 B1 KR 102552878B1
- Authority
- KR
- South Korea
- Prior art keywords
- invalid traffic
- traffic
- invalid
- data
- structuring
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000004458 analytical method Methods 0.000 claims abstract description 17
- 238000000605 extraction Methods 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000012544 monitoring process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004064 recycling Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 명세서는 저장 공간을 효율적으로 활용하여 위협 분석을 위한 특징을 추출할 수 있는 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치를 개시한다. 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법는, 전체 트래픽 중 무효 트래픽을 식별하고 IP 주소를 기반으로 무효 트래픽을 분류할 수 있다. 수집된 무효 트래픽에서 위협 분석에 필요한 특징 정보들을 추출 및 저장한다. 이렇게 특징이 추출된 무효 트래픽은 IP별로 분류가 되고 시간 정보를 담고 있는 포인터를 기반으로 하는 라운드 로빈 아카이브 기술을 활용하여 카운트 인터벌에 따라 압축 방식으로 저장된다.
Description
본 발명은 네트워크 보안 모니터링에 관한 것이며, 보다 상세하게는 커널 수준에서 소멸되는 무효 트래픽에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 명세서에 기재된 실시예에 대한 배경 정보를 제공할 뿐 반드시 종래 기술을 구성하는 것은 아니다.
네트워크 보안 모니터링은 예상하지 못한 악의적인 공격에 대한 네트워크 트래픽을 감시하고 검사하는 보안 솔루션의 필수적인 역할을 수행한다. 네트워크 보안 모니터링을 통해 감시되는 모든 데이터들은 저장 용량의 가용성으로 인해 수집할 수 있는 트래픽의 양과 유지할 수 있는 시간이 제한된다. 네트워크를 통과하는 모든 트래픽을 영구적으로 저장하는 것이 이상적일 수 있지만, 기술적 그리고 비용적인 측면에서 실현 가능하지 않다. 또한, 이런 영구적인 저장소는 엄청난 양의 물리적 메모리를 필요로 하고 데이터 분석을 어렵게 한다.
일반환경에서의 네트워크 보안 모니터링에서는 모든 트래픽을 수집 및 저장하는데 한계가 존재함에 따라 해당 IP로 유입되는 정상/안전한 트래픽만을 수집하고 저장한다. 이러한 데이터 수집 및 저장 방법은 네트워크 보안 시스템을 운용하는데 있어 높은 효율성을 제공한다. 하지만, 실제 네트워크에서는 정상/안전한 트래픽 뿐만 아니라 악의적인 트래픽을 포함한 다양한 형태의 트래픽들이 접속을 하게 된다. 구글에서는 이러한 정상/안전한 트래픽이 아닌 트래픽을 무효 트래픽(invalid traffic)으로 규정하고 있다. 이런 트래픽은 진정한 관심으로 접속하는 실제 사용자로부터 오지 않는 모든 트래픽을 말한다. 이것은 우발적인 클릭, 공격자의 행동, 취약점 탐식을 위한 접속, 악의적인 접근, 봇넷과 같은 자동화된 공격 형태등을 포함한다.
네트워크 보안 측면에서 실제 네트워크 보안 모니터링은 이런 무효 트래픽들을 먼저 차단하고 드롭(drop) 함으로써 네트워크 시스템을 보호한다. 하지만, 이렇게 버려진 무효 트래픽을 위협 및 악성 행위를 판별하는데 활용하고 이를 통해 신뢰할 수 없는 접속자의 행동 분석에 활용한다면 이는 위협 분석을 위한 효율적인 접근 방법이라 할 수 있다.
따라서, 이처럼 버려진 무효 트래픽을 재활용하고 이에 따라 급속도로 증가하는 저장소 및 전산 자원의 필요를 효율적으로 운영할 수 있는 기술의 개발이 요구되고 있다.
본 명세서는 저장 공간을 효율적으로 활용하여 위협 분석을 위한 특징을 추출할 수 있는 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치를 제공하는 것을 목적으로 한다.
본 명세서는 상기 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법은, 프로세서가 접속이 거부된 무효 트래픽을 메모리에 저장하는 무효 트래픽 수집 단계; 프로세서가 미리 설정된 분석 기준에 따라 상기 무효 트래픽의 특징을 추출하는 무효 트래픽 특징 추출 단계; 및 프로세서가 특징이 추출된 무효 트래픽을 발신자 IP 주소별로 분류하고 상기 메모리에 저장하는 무효 트래픽 데이터 구조화 단계;를 포함할 수 있다.
본 명세서의 일 실시예에 따르면, 상기 무효 트래픽 수집 단계는, 프로세서가 수신된 패킷 중 목적지 IP 주소가 기 할당된 IP 주소와 불일치하거나 오픈된 포트 또는 프로토콜과 불일치한 패킷을 무효 트래픽으로 식별하는 것을 더 포함할 수 있다.
본 명세서의 일 실시예에 따르면, 상기 무효 트래픽 특징 추출 단계는, 프로세서가 무효 트래픽의 BPS(Bit per second), PPS(Packet per Second), TPS(Target per Second) 및 VPS(Vector per Second) 중 적어도 어느 하나 이상의 특징을 추출하는 단계일 수 있다.
본 명세서의 일 실시예에 따르면, 상기 무효 트래픽 데이터 구조화 단계는, 상기 프로세서가 상기 메모리에 저장된 발신자 IP 주소별 무효 트래픽에 대하여 대표값을 더 산출하는 단계일 수 있다.
본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법은, 컴퓨터에서 무효 트래픽 특징 추출 및 데이터 구조화 방법의 각 단계들을 수행하도록 작성되어 컴퓨터로 독출 가능한 기록 매체에 기록된 컴퓨터프로그램의 형태로 구현될 수 있다.
상술한 과제를 해결하기 위한 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치는, 네트워크를 통해 접속된 트래픽 중 접속이 거부된 무효 트래픽을 메모리에 저장하는 무효 트래픽 수집부; 상기 메모리에 저장된 무효 트래픽을 미리 설정된 분석 기준에 따라 상기 무효 트래픽의 특징을 추출하는 무효 트래픽 특징 추출부; 및 상기 무효 트래픽 특징 추출부에서 생성된 무효 트래픽의 특징 데이터를 발신자 IP 주소별로 분류하고 상기 메모리에 저장하는 무효 트래픽 데이터 구조화부;를 포함할 수 있다.
본 명세서의 일 실시예에 따르면, 상기 무효 트래픽 수집부는, 네트워크를 통해 수신된 패킷 중 목적지 IP 주소가 기 할당된 IP 주소와 불일치하거나 오픈된 포트 또는 프로토콜과 불일치한 패킷을 무효 트래픽으로 식별할 수 있다.
본 명세서의 일 실시예에 따르면, 상기 무효 트래픽 특징 추출부는, 무효 트래픽의 BPS(Bit per second), PPS(Packet per Second), TPS(Target per Second) 및 VPS(Vector per Second) 중 적어도 어느 하나 이상의 특징을 추출할 수 있다.
본 명세서의 일 실시예에 따르면, 상기 무효 트래픽 데이터 구조화부는, 상기 메모리에 저장된 발신자 IP 주소별 무효 트래픽에 대하여 대표값을 더 산출할 수 있다.
본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치는, 무효 트래픽 특징 추출 및 데이터 구조화 장치; 및 네트워크를 통해 데이터를 송수신하는 통신부;를 포함하는 서버의 일 구성요소일 수 있다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 명세서의 일 측면에 따르면, 네트워크 보안 환경에서 무효 트래픽을 추가로 저장 및 분석을 수행한다면 정상/안전한 트래픽만으로 수행하는 것에 비해 더 많은 부하와 저장 공간을 필요로 하며 세션을 맺지 못하기 때문에 단방향성의 특성을 갖는 무효 트래픽에 대해서, 저장 공간을 효율적으로 활용하여 위협 분석을 위한 특징을 추출 시 정보 손실을 최소화하는 것이 가능하다.
본 명세서의 다른 측면에 따르면, 일반적으로 네트워크 보안 모니터링에서 버려지는 무효 트래픽을 재활용함으로써 사이버 위협 분석에 유용한 새로운 무효 트래픽 활용법을 제시할 수 있다. 이를 통해 위협 분석의 정확도를 향상시키고 공격자를 포함한 신뢰할 수 없는 접속자들의 동기, 성향, 활동성, 목적, 전략, 사용 도구들의 정보를 수집하고 학습하여 네트워크 보안 성능 향상과 추후 예측/예방에 막대한 기여를 할 수 있다.
본 명세서의 또 다른 측면에 따르면, 본 명세서에 따른 무효 트래픽의 특징 추출을 통해 대용량의 저장소와 많은 자원 비용의 절감을 실현하게 할 수 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치의 구성을 개략적으로 도시한 블럭도이다.
도 2는 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법의 흐름도이다.
도 2는 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법의 흐름도이다.
본 명세서에 개시된 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 명세서가 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 명세서의 개시가 완전하도록 하고, 본 명세서가 속하는 기술 분야의 통상의 기술자(이하 '당업자')에게 본 명세서의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 명세서의 권리 범위는 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 명세서의 권리 범위를 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 명세서가 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
일반적인 인터넷 작업 환경에서 무효 트래픽은 커널 수준에서 드롭(drop) 되어 소멸이 되지만, 이런 무효 트래픽은 위협 추이 분석을 위한 또 하나의 중요한 데이터로써 다양한 지표를 제공할 수 있고 이를 통해 분석의 정확도를 향상 시킬 수 있다. 전체 트래픽에서 무효 트래픽이 차지하는 비율이 대략 30%이상임을 감안한다면 무효 트래픽의 활용은 가히 중요하다 할 수 없다. 다만, 일반 인터넷 환경에서 무효 트래픽을 추가로 저장 및 분석을 수행한다면 일반 트래픽만으로 수행하는 것에 비해 더 많은 부하와 저장 공간이 필요하게 된다.
따라서, 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치는, 네트워크 보안 모니터링을 통한 무효 데이터의 저장에서 장기간의 트래픽 저장이 가능한 새로운 압축형 저장 방식을 통해 저장 공간을 효율적으로 활용하며 사이버 위협 분석을 위한 특징을 온전히 추출하고 저장함으로써 데이터 압축형 저장 방식에 따른 정보 손실 없이 무효 데이터를 잘 활용하고 보관할 수 있는 기능을 제공하는데 목적이 있다. 이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
도 1은 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치의 구성을 개략적으로 도시한 블럭도이다.
도 1을 참조하면, 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치(100)는, 무효 트래픽 수집부(110), 무효 트래픽 특징 추출부(120) 및 무효 트래픽 데이터 구조화부(130)를 포함할 수 있다. 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치(100)는 네트워크를 통해 데이터를 송수신하는 통신부를 포함하는 서버의 일 구성요소일 수 있다. 통신부는 본 명세서 출원시 공지의 다양한 유무선 통신 프로토콜을 사용하여 데이터를 송수신할 수 있는 장치라면 무엇이든 제한되지 않는다. 상기 네트워크를 통해 다양한 통신 트래픽이 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치(100)에 송수신될 수 있다.
상기 무효 트래픽 수집부(110)는 네트워크를 통해 접속된 트래픽 중 접속이 거부된 무효 트래픽을 메모리에 저장할 수 있다. 상기 무효 트래픽 특징 추출부(120)는 상기 메모리에 저장된 무효 트래픽을 미리 설정된 분석 기준에 따라 상기 무효 트래픽의 특징을 추출할 수 있다.
상기 무효 트래픽 데이터 구조화부(130)는 상기 무효 트래픽 특징 추출부(120)에서 생성된 무효 트래픽의 특징 데이터를 발신자 IP별로 분류하고 상기 메모리에 저장할 수 있다.
상기 무효 트래픽 수집부(110), 무효 트래픽 특징 추출부(120) 및 무효 트래픽 데이터 구조화부(130)는 산출 및 다양한 제어 로직을 실행하기 위해 본 발명이 속한 기술분야에 알려진 프로세서, ASIC(application-specific integrated circuit), 다른 칩셋, 논리 회로, 레지스터, 통신 모뎀, 데이터 처리 장치 등을 포함할 수 있다. 또한, 이하 설명될 제어 로직이 소프트웨어로 구현될 때, 상기 무효 트래픽 수집부(110), 무효 트래픽 특징 추출부(120) 및 무효 트래픽 데이터 구조화부(130)는 프로그램 모듈의 집합으로 구현될 수 있다. 이 때, 프로그램 모듈은 상기 메모리 장치에 저장되고, 프로세서에 의해 실행될 수 있다.
상기 메모리는 상기 무효 트래픽 수집부(110), 무효 트래픽 특징 추출부(120) 및 무효 트래픽 데이터 구조화부(130) 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 상기 무효 트래픽 수집부(110), 무효 트래픽 특징 추출부(120) 및 무효 트래픽 데이터 구조화부(130)와 연결될 수 있다. 상기 메모리는 RAM, ROM, EEPROM등 데이터를 기록하고 소거할 수 있다고 알려진 공지의 반도체 소자나 하드 디스크와 같은 대용량 저장매체로서, 디바이스의 종류에 상관 없이 정보가 저장되는 디바이스를 총칭하는 것으로서 특정 메모리 디바이스를 지칭하는 것은 아니다.
상기 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C/C++, C#, JAVA, Python, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.
상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.
이하, 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법을 설명함에 있어서, 프로세서에 의해 실행되는 것을 예시로 설명한다. 그러나 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법이 반드시 프로세서에 의해서만 실행되는 것으로 제한되는 것은 아니다.
도 2는 본 명세서에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법의 흐름도이다.
도 2를 참조하면, 먼저 단계 S110에서 프로세서는 접속이 거부된 무효 트래픽을 메모리에 저장할 수 있다. 일반 네트워크 환경에서 단말로 유입된 다양한 트래픽들이 수집되고 이러한 트래픽은 프로세서에 의해 신뢰할 수 있는 정상/안전한 트래픽들만 수집이 되고 여기서 접속이 거부된 모든 트래픽 즉, 무효 트래픽(invalid traffic)들은 메모리에 저장될 수 있다. 일 실시예에 따르면, 상기 프로세서는 스위치 또는 허브를 통해 유입된 패킷 중 목적지 IP 주소가 해당 네트워크 장비에 할당된 IP 주소와 불일치하는 패킷 또는 스위치 또는 허브를 통해 유입된 패킷 중 목적지 포트 및 프로토콜이 해당 장비에서 오픈(Open)되어있는 포트, 프로토콜과 불일치하는 패킷을 무효 트래픽으로 식별할 수 있다.
다음 단계 S120에서 프로세서는 미리 설정된 분석 기준에 따라 상기 무효 트래픽의 특징을 추출할 수 있다. 일 실시예에 따르면, 프로세서는 무효 트래픽의 BPS(Bit per second), PPS(Packet per Second), TPS(Target per Second) 및 VPS(Vector per Second) 중 적어도 어느 하나 이상의 특징을 추출할 수 있다. BPS(Bit per second) 및 PPS(Packet per Second)는 무효 트래픽 전송량 분석을 위한 지표로 사용될 수 있다. TPS(Target per Second)는 한 공격 IP가 초당 몇 개의 대상을 공격하는지 측정하여 공격 대상의 다양성 분석을 위한 지표로 사용될 수 있다. VPS(Vector per Second)는 공격자가 초당 몇 개의 공격 유형을 발생시키는지 측정하여 공격 유형의 다양성 분석을 위한 지표로 사용될 수 있다.
다음 단계 S130에서 프로세서는 특징이 추출된 무효 트래픽을 발신자 IP 주소별로 분류하고 상기 메모리에 저장할 수 있다. 만약, 메모리에 해당 IP 주소를 가진 무효 트래픽 데이터가 존재할 경우, 상기 특징이 추출된 무효 트래픽 데이터를 해당 데이터에 추가할 수 있다. 반면, 메모리에 해당 IP 주소를 가진 무효 트래픽 데이터가 존재하지 않는 경우, 상기 특징이 추출된 무효 트래픽 데이터를 신규 데이터로 저장할 수 있다.
의 데이터베이스가 존재하는 확인 후 존재하면 레코드를 추가하고 존재하지 않으면 데이터베이스를 생성 후 레코드를 추가한다. 이와 동시에 압축 계산부에서는 특정 기간 이상의 레코드가 존재하는지에 따라 대표값을 산출하거나 레코드가 존재하지 않으면 통과함으로써 invalid 트래픽을 압축하고 저장한다.
한편, 상기 무효 트래픽 특징 추출 단계 및 무효 트래픽 데이터 구조화 단계는 적어도 2이상의 무효 트래픽이 존재해야 한다. 따라서, 상기 무효 트래픽 특징 추출 단계 및 무효 트래픽 데이터 구조화 단계는 미리 설정된 시간동안 축적된 무효 트래픽 데이터를 이용하여, 반복적으로 실행될 수 있다. 예를 들어, 상기 무효 트래픽 특징 추출 단계 및 무효 트래픽 데이터 구조화 단계는 1시간마다 실행될 수 있다. 또 다른 예로, 상기 무효 트래픽 특징 추출 단계 및 무효 트래픽 데이터 구조화 단계는 장비의 종류에 따라 1분, 10분, 30분, 6시간, 12시간, 1일, 7일, 30일 등 다양하게 설정될 수도 있다.
본 명세서의 일 실시예에 따르면, 상기 프로세서는 상기 메모리에 저장된 발신자 IP 주소별 무효 트래픽에 대하여 대표값을 더 산출할 수 있다. 상기 프로세서는 산술평균, 최소값, 최대값, 최초값, 마지막값 등을 통해 대표값을 산출할 수 있다.
이상, 첨부된 도면을 참조로 하여 본 명세서의 실시예를 설명하였지만, 본 명세서가 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
100 : 무효 트래픽 특징 추출 및 데이터 구조화 장치
110 : 무효 트래픽 수집부 120 : 무효 트래픽 특징 추출부
130 : 무효 트래픽 데이터 구조화부
110 : 무효 트래픽 수집부 120 : 무효 트래픽 특징 추출부
130 : 무효 트래픽 데이터 구조화부
Claims (10)
- 프로세서가 접속이 거부된 무효 트래픽을 메모리에 저장하는 무효 트래픽 수집 단계;
프로세서가 미리 설정된 분석 기준에 따라 상기 무효 트래픽의 특징을 추출하는 무효 트래픽 특징 추출 단계; 및
프로세서가 특징이 추출된 무효 트래픽을 발신자 IP 주소별로 분류하고, 발신자 IP 주소별 무효 트래픽에 대하여 대표값을 산출하고 상기 메모리에 저장하는 무효 트래픽 데이터 구조화 단계;를 포함하는,
무효 트래픽 특징 추출 및 데이터 구조화 방법 - 청구항 1에 있어서,
상기 무효 트래픽 수집 단계는,
프로세서가 수신된 패킷 중 목적지 IP 주소가 기 할당된 IP 주소와 불일치하거나 오픈된 포트 또는 프로토콜과 불일치한 패킷을 무효 트래픽으로 식별하는 것을 더 포함하는, 무효 트래픽 특징 추출 및 데이터 구조화 방법. - 청구항 1에 있어서,
상기 무효 트래픽 특징 추출 단계는,
프로세서가 무효 트래픽의 BPS(Bit per second), PPS(Packet per Second), TPS(Target per Second) 및 VPS(Vector per Second) 중 적어도 어느 하나 이상의 특징을 추출하는 단계인, 무효 트래픽 특징 추출 및 데이터 구조화 방법. - 삭제
- 컴퓨터에서 청구항 1 내지 청구항 3 중 어느 한 청구항에 따른 무효 트래픽 특징 추출 및 데이터 구조화 방법의 각 단계들을 수행하도록 작성되어 컴퓨터로 독출 가능한 기록 매체에 기록된 컴퓨터프로그램.
- 네트워크를 통해 접속된 트래픽 중 접속이 거부된 무효 트래픽을 메모리에 저장하는 무효 트래픽 수집부;
상기 메모리에 저장된 무효 트래픽을 미리 설정된 분석 기준에 따라 상기 무효 트래픽의 특징을 추출하는 무효 트래픽 특징 추출부; 및
상기 무효 트래픽 특징 추출부에서 생성된 무효 트래픽의 특징 데이터를 발신자 IP 주소별로 분류하고, 발신자 IP 주소별 무효 트래픽에 대하여 대표값을 산출하고, 상기 메모리에 저장하는 무효 트래픽 데이터 구조화부;를 포함하는,
무효 트래픽 특징 추출 및 데이터 구조화 장치. - 청구항 6에 있어서,
상기 무효 트래픽 수집부는,
네트워크를 통해 수신된 패킷 중 목적지 IP 주소가 기 할당된 IP 주소와 불일치하거나 오픈된 포트 또는 프로토콜과 불일치한 패킷을 무효 트래픽으로 식별하는, 무효 트래픽 특징 추출 및 데이터 구조화 장치. - 청구항 6에 있어서,
상기 무효 트래픽 특징 추출부는,
무효 트래픽의 BPS(Bit per second), PPS(Packet per Second), TPS(Target per Second) 및 VPS(Vector per Second) 중 적어도 어느 하나 이상의 특징을 추출하는 것을 특징으로 하는, 무효 트래픽 특징 추출 및 데이터 구조화 장치. - 삭제
- 청구항 6 내지 청구항 8 중 어느 한 청구항에 따른 무효 트래픽 특징 추출 및 데이터 구조화 장치; 및
네트워크를 통해 데이터를 송수신하는 통신부;를 포함하는 서버.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220183234A KR102552878B1 (ko) | 2022-12-23 | 2022-12-23 | 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220183234A KR102552878B1 (ko) | 2022-12-23 | 2022-12-23 | 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102552878B1 true KR102552878B1 (ko) | 2023-07-10 |
Family
ID=87155906
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220183234A KR102552878B1 (ko) | 2022-12-23 | 2022-12-23 | 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102552878B1 (ko) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100040631A (ko) * | 2008-10-10 | 2010-04-20 | 플러스기술주식회사 | 트래픽을 분석하여 nat 사용 여부 판단 및 공유대수 분석 및 검출방법과 그에 따른 사설 네트워크 하에서 동시에 인터넷을 사용할 수 있는 사용자 pc를 선별적으로허용 및 차단하는 방법 |
KR20190088342A (ko) * | 2018-01-18 | 2019-07-26 | 주식회사맥데이타 | 네트워크 성능 진단 방법 및 장치, 및 시스템 |
KR102072700B1 (ko) * | 2019-07-31 | 2020-02-03 | (주)소울시스템즈 | 전수 패킷 처리 기반의 실시간 애플리케이션 성능 모니터링 장치 및 방법 |
KR102125966B1 (ko) | 2019-12-05 | 2020-06-23 | 엘에스웨어(주) | 사설 네트워크 및 가상머신을 이용한 토르 네트워크의 트래픽 및 특징점 수집 시스템 |
-
2022
- 2022-12-23 KR KR1020220183234A patent/KR102552878B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100040631A (ko) * | 2008-10-10 | 2010-04-20 | 플러스기술주식회사 | 트래픽을 분석하여 nat 사용 여부 판단 및 공유대수 분석 및 검출방법과 그에 따른 사설 네트워크 하에서 동시에 인터넷을 사용할 수 있는 사용자 pc를 선별적으로허용 및 차단하는 방법 |
KR20190088342A (ko) * | 2018-01-18 | 2019-07-26 | 주식회사맥데이타 | 네트워크 성능 진단 방법 및 장치, 및 시스템 |
KR102072700B1 (ko) * | 2019-07-31 | 2020-02-03 | (주)소울시스템즈 | 전수 패킷 처리 기반의 실시간 애플리케이션 성능 모니터링 장치 및 방법 |
KR102125966B1 (ko) | 2019-12-05 | 2020-06-23 | 엘에스웨어(주) | 사설 네트워크 및 가상머신을 이용한 토르 네트워크의 트래픽 및 특징점 수집 시스템 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
Sekar et al. | A high-performance network intrusion detection system | |
CN107465651A (zh) | 网络攻击检测方法及装置 | |
CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
US20090178140A1 (en) | Network intrusion detection system | |
KR102462128B1 (ko) | 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법 | |
KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
KR20080047261A (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
EP3623983A1 (en) | Method and device for identifying security threats, storage medium, processor and terminal | |
CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
CN107426196B (zh) | 一种识别web入侵的方法及系统 | |
CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
CN116055163A (zh) | 一种基于eBPF XDP的登录信息获取及阻断方法 | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
CN107426132A (zh) | 网络攻击的检测方法和装置 | |
KR102552878B1 (ko) | 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치 | |
JP4309102B2 (ja) | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム | |
CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
CN112769739B (zh) | 数据库操作违规处理方法、装置及设备 | |
CN113132393A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
CN114760083A (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
CN115086068B (zh) | 一种网络入侵检测方法和装置 | |
Choi et al. | Introduction to a network forensics system for cyber incidents analysis | |
KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant |