[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20230009307A - Method for identification iot devices, and network management apparatus implementing the method - Google Patents

Method for identification iot devices, and network management apparatus implementing the method Download PDF

Info

Publication number
KR20230009307A
KR20230009307A KR1020220081832A KR20220081832A KR20230009307A KR 20230009307 A KR20230009307 A KR 20230009307A KR 1020220081832 A KR1020220081832 A KR 1020220081832A KR 20220081832 A KR20220081832 A KR 20220081832A KR 20230009307 A KR20230009307 A KR 20230009307A
Authority
KR
South Korea
Prior art keywords
iot
address
destination
iot device
identification
Prior art date
Application number
KR1020220081832A
Other languages
Korean (ko)
Other versions
KR102672651B1 (en
Inventor
김혁준
Original Assignee
(주)나루씨큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나루씨큐리티 filed Critical (주)나루씨큐리티
Publication of KR20230009307A publication Critical patent/KR20230009307A/en
Application granted granted Critical
Publication of KR102672651B1 publication Critical patent/KR102672651B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to an operation method of a network management device which comprises the steps of: extracting source IP addresses communicating with a specific destination IP address of an IoT management server from session data over a certain period of time as IoT device candidates; calculating a statistical value of a first IoT identification index for each IoT device candidate from the session data; and comparing the statistical value of the first IoT identification index for each IoT device candidate with a reference value to identify a candidate for a specific source IP address as an IoT device. The first IoT identification index comprises the number of destination IP addresses to which the corresponding IoT device candidate is connected and/or the number of uniform resource identifiers (URI) used in a request transmitted by the corresponding IoT device candidate. According to an embodiment, in a network in which large traffic of tens of Gbps occurs, the IoT device communicating with an IoT management server can be identified even without basic information on the session data.

Description

IoT 장치 식별 방법 및 이를 구현한 네트워크 관리 장치{METHOD FOR IDENTIFICATION IOT DEVICES, AND NETWORK MANAGEMENT APPARATUS IMPLEMENTING THE METHOD}IoT device identification method and network management device implementing the same

본 개시는 IoT 장치 식별에 관한 것이다.This disclosure relates to IoT device identification.

인터넷 데이터 센터(IDC) 등의 서버 플랫폼은 호스팅 서비스 등을 제공하면서 다양한 내부 서버들이 존재한다. 하지만, 모든 서버들을 관리하기가 어려워서 네트워크 위협 관련 사고를 예방하기 쉽지 않다. 또한, IDC와 같은 서버 플랫폼의 경우, 하루에도 수십억 건의 세션이 발생하기 때문에 패킷이나 세션의 로그를 모두 분석하는 것은 불가능하다.A server platform such as an Internet Data Center (IDC) provides hosting services and has various internal servers. However, it is difficult to prevent accidents related to network threats because it is difficult to manage all servers. In addition, in the case of a server platform such as IDC, it is impossible to analyze all packets or session logs because billions of sessions occur every day.

최근 IoT 서비스가 늘어나면서, 다양한 종류의 IoT 장치들이 서버에 연결되는데, IoT 장치를 보안이 필요한 장치로 인식하지 않는 실정이고, 보안 기능을 위해 사용할 수 있는 리소스도 적어서 해킹에 매우 취약하다. CCTV, 인공지능 스피커 등의 IoT 장치는 개인 정보를 포함할 수 있는데, DDoS 공격에 취약해서 개인정보가 유출될 위험성이 존재한다. 또한, IoT 장치를 통해 네트워크를 공격할 가능성이 있으므로, 서버에 연결된 IoT 장치들을 식별하고, 이들의 정상 동작을 모니터링함으로써, 네트워크 위협 관련 사고를 예방할 필요가 있다. Recently, as IoT services increase, various types of IoT devices are connected to servers, but IoT devices are not recognized as devices requiring security, and there are few resources available for security functions, so they are very vulnerable to hacking. IoT devices such as CCTVs and artificial intelligence speakers can contain personal information, but they are vulnerable to DDoS attacks, so there is a risk of personal information being leaked. In addition, since there is a possibility of attacking the network through the IoT device, it is necessary to prevent accidents related to network threats by identifying IoT devices connected to the server and monitoring their normal operation.

한편, 네트워크에 연결된 IoT 장비를 탐지하기 위해, IoT 장치의 특징(signature)이 활용되었다. 하지만 IoT 장치가 다양해지고 서비스의 종류도 다양해지면서, 특징 기반 탐지 방식을 통해 다양한 IoT 장치들의 특징을 일일이 파악하고 관리하는데 한계가 있다. 또한 네트워크 담당자가 새로운 IoT 장치를 알지 못하면 새로운 장치의 특징을 파악하는 행위도 할 수 없다. On the other hand, in order to detect the IoT equipment connected to the network, the signature of the IoT device is used. However, as IoT devices diversify and types of services diversify, there is a limit to identifying and managing the characteristics of various IoT devices individually through a feature-based detection method. Also, if network personnel do not know about the new IoT device, they cannot characterize the new device.

본 개시는 IoT 장치 식별 방법 및 이를 구현한 네트워크 관리 장치를 제공한다.The present disclosure provides an IoT device identification method and a network management device implementing the same.

한 실시예에 따른 네트워크 관리 장치의 동작 방법으로서, 일정 기간 동안의 세션 데이터에서, IoT 관리 서버의 특정 목적지 IP 주소와 통신한 출발지 IP 주소들을 IoT 장치 후보들로 추출하는 단계, 상기 세션 데이터에서, IoT 장치 후보별로 제1 IoT 식별 지표의 통계값을 계산하는 단계, 그리고 상기 IoT 장치 후보별 제1 IoT 식별 지표의 통계값과 기준값을 비교하여, 특정 출발지 IP 주소의 후보를 IoT 장치로 식별하는 단계를 포함한다. 상기 제1 IoT 식별 지표는 해당 IoT 장치 후보가 연결된 목적지 IP 주소 수 및/또는 해당 IoT 장치 후보가 전송한 요청에 사용된 URI(Uniform Resource Identifier) 수를 포함한다. A method of operating a network management device according to an embodiment, comprising extracting source IP addresses communicated with a specific destination IP address of an IoT management server as IoT device candidates from session data for a certain period of time, in the session data, IoT Calculating a statistical value of a first IoT identification indicator for each device candidate, and identifying a candidate of a specific source IP address as an IoT device by comparing the statistical value of the first IoT identification indicator for each IoT device candidate with a reference value include The first IoT identification index includes the number of destination IP addresses to which the corresponding IoT device candidate is connected and/or the number of Uniform Resource Identifiers (URIs) used in requests transmitted by the corresponding IoT device candidate.

상기 제1 IoT 식별 지표는 트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함할 수 있다.The first IoT identification index may further include at least one of a transaction depth average and the number of time intervals in which sessions occur.

상기 동작 방법은 상기 세션 데이터에서, 목적지 IP 주소별로 제2 IoT 식별 지표의 통계값을 계산하는 단계, 그리고 목적지 IP 주소별 IoT 식별 지표의 통계값과 기준값을 비교하여, 상기 특정 목적지 IP 주소를 상기 IoT 관리 서버의 주소로 결정하는 단계를 더 포함할 수 있다. 상기 제2 IoT 식별 지표는 해당 목적지 IP 주소에 연결된 출발지 IP 주소 수의 변동 계수를 포함할 수 있다.The operation method includes calculating a statistical value of a second IoT identification indicator for each destination IP address in the session data, and comparing the statistical value of the IoT identification indicator for each destination IP address with a reference value to obtain the specific destination IP address. The step of determining the address of the IoT management server may be further included. The second IoT identification indicator may include a coefficient of variation of the number of source IP addresses connected to the corresponding destination IP address.

상기 제2 IoT 식별 지표는 트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함할 수 있다.The second IoT identification index may further include at least one of a transaction depth average and the number of time intervals in which sessions occur.

상기 제2 IoT 식별 지표의 통계값을 계산하는 단계는 일정 시간 단위마다 수집한 세션 데이터를 목적지 IP 주소별로 분류하고, 각 목적지 IP 주소의 세션 데이터를 이용하여, 일정 시간 단위마다의 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 계산하는 단계, 그리고 상기 일정 시간 단위마다 목적지 IP 주소별로 계산한 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 상기 일정 기간 동안 집계하여, 목적지 IP 주소별로 상기 제2 IoT 식별 지표의 통계값을 계산하는 단계를 포함할 수 있다.The step of calculating the statistical value of the second IoT identification indicator classifies the session data collected for each predetermined time unit by destination IP address, and uses the session data of each destination IP address to determine the number of source IP addresses for each predetermined time unit. and calculating a transaction depth average, and a statistical value of the second IoT identification indicator for each destination IP address by aggregating the number of source IP addresses and the transaction depth average calculated for each destination IP address at each predetermined time unit for a predetermined period of time. It may include a step of calculating .

상기 세션 데이터는 각 세션의 HTTP 로그로부터 추출된 세션 발생 타임스탬프, 연결 식별자, 출발지 IP 주소, 목적지 IP 주소, 트랙잭션 깊이, URI(Uniform Resource Identifier)를 포함할 수 있다.The session data may include a session occurrence timestamp extracted from an HTTP log of each session, a connection identifier, a source IP address, a destination IP address, a transaction depth, and a Uniform Resource Identifier (URI).

다른 실시예에 따른 네트워크 관리 장치의 동작 방법으로서, 일정 기간 동안의 세션 데이터에서, IoT 관리 서버의 식별을 위한 목적지 IP 주소별 IoT 식별 지표의 통계값을 계산하는 단계, 상기 목적지 IP 주소별 IoT 식별 지표의 통계값을 기초로, 상기 IoT 관리 서버에 해당하는 목적지 IP 주소를 결정하는 단계, 상기 세션 데이터에서, 상기 IoT 관리 서버와 통신한 출발지 IP 주소들을 IoT 장치 후보들로 추출하는 단계, 상기 세션 데이터에서, IoT 장치의 식별을 위한 IoT 장치 후보별 IoT 식별 지표의 통계값을 계산하는 단계, 그리고 상기 IoT 장치 후보별 IoT 식별 지표의 통계값을 기초로, 상기 IoT 장치 후보들 중에서 상기 IoT 장치를 식별하는 단계를 포함한다A method of operating a network management device according to another embodiment, comprising: calculating a statistical value of an IoT identification indicator for each destination IP address for identification of an IoT management server in session data for a predetermined period of time, and IoT identification for each destination IP address. Determining a destination IP address corresponding to the IoT management server based on statistical values of indicators, extracting source IP addresses communicated with the IoT management server from the session data as IoT device candidates, the session data In, calculating a statistical value of an IoT identification index for each IoT device candidate for identification of the IoT device, and identifying the IoT device among the IoT device candidates based on the statistical value of the IoT identification index for each IoT device candidate contains steps

상기 목적지 IP 주소별 IoT 식별 지표는 해당 목적지 IP 주소에 연결된 출발지 IP 주소 수의 변동 계수를 포함할 수 있다.The IoT identification indicator for each destination IP address may include a coefficient of variation of the number of source IP addresses connected to the corresponding destination IP address.

상기 목적지 IP 주소별 IoT 식별 지표는 트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함할 수 있다.The IoT identification index for each destination IP address may further include at least one of a transaction depth average and the number of time intervals in which sessions occur.

상기 IoT 관리 서버에 해당하는 목적지 IP 주소를 결정하는 단계는 임의 목적지 IP 주소에 대해 계산된 각 IoT 식별 지표의 통계값 중에서, 상기 변동 계수가 제1 기준값 이하이고, 상기 트랜잭션 깊이 평균이 제2 기준값 이하이며, 상기 시간 구간 수가 제3 기준값 이상인 경우, 상기 임의 목적지 IP 주소를 상기 IoT 관리 서버의 주소로 결정할 수 있다.Determining the destination IP address corresponding to the IoT management server may include: among statistical values of each IoT identification index calculated for a destination IP address, the coefficient of variation is equal to or less than a first reference value, and the transaction depth average is a second reference value or less, and when the number of time intervals is greater than or equal to the third reference value, the arbitrary destination IP address may be determined as the address of the IoT management server.

상기 IoT 장치 후보별 IoT 식별 지표는 해당 IoT 장치 후보가 연결된 목적지 IP 주소 수 및/또는 해당 IoT 장치 후보가 전송한 요청에 사용된 URI(Uniform Resource Identifier) 수를 포함할 수 있다.The IoT identification indicator for each IoT device candidate may include the number of destination IP addresses to which the corresponding IoT device candidate is connected and/or the number of Uniform Resource Identifiers (URIs) used in requests transmitted by the corresponding IoT device candidate.

상기 IoT 장치 후보별 IoT 식별 지표는 트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함할 수 있다.The IoT identification index for each IoT device candidate may further include at least one of a transaction depth average and the number of time intervals in which sessions occur.

상기 IoT 장치를 식별하는 단계는 임의 IoT 장치 후보에 대해 계산된 각 IoT 식별 지표의 통계값 중에서, 상기 목적지 IP 주소 수 및/또는 상기 URI가 제1 기준값 이하이고, 상기 트랜잭션 깊이 평균이 제2 기준값 이하이며, 상기 시간 구간 수가 제3 기준값 이상인 경우, 상기 임의 IoT 장치 후보를 상기 IoT 장치로 식별할 수 있다.In the step of identifying the IoT device, the number of destination IP addresses and/or the URI are less than or equal to a first reference value, and the average transaction depth is a second reference value, among statistical values of each IoT identification indicator calculated for an arbitrary IoT device candidate. or less, and when the number of time intervals is greater than or equal to the third reference value, the arbitrary IoT device candidate may be identified as the IoT device.

상기 목적지 IP 주소별 IoT 식별 지표의 통계값을 계산하는 단계는 일정 시간 단위마다 수집한 세션 데이터를 목적지 IP 주소별로 분류하고, 각 목적지 IP 주소의 세션 데이터를 이용하여, 일정 시간 단위마다의 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 계산하는 단계, 그리고 상기 일정 시간 단위마다 목적지 IP 주소별로 계산한 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 상기 일정 기간 동안 집계하여, 상기 목적지 IP 주소별IoT 식별 지표의 통계값을 계산하는 단계를 포함할 수 있다.The step of calculating the statistical value of the IoT identification indicator for each destination IP address is to classify the session data collected for each predetermined time unit by destination IP address, and use the session data of each destination IP address to determine the source IP address for each predetermined time unit. Calculating the number of addresses and the average of the transaction depth, and a statistical value of the IoT identification index for each destination IP address by aggregating the number of source IP addresses and the average of the transaction depth calculated for each destination IP address at each predetermined time unit for the predetermined period of time It may include a step of calculating .

상기 세션 데이터는 각 세션의 HTTP 로그로부터 추출된 세션 발생 타임스탬프, 연결 식별자, 출발지 IP 주소, 목적지 IP 주소, 트랙잭션 깊이, URI(Uniform Resource Identifier)를 포함할 수 있다.The session data may include a session occurrence timestamp extracted from an HTTP log of each session, a connection identifier, a source IP address, a destination IP address, a transaction depth, and a Uniform Resource Identifier (URI).

실시예에 따르면, 수십 Gbps에 달하는 대량 트래픽이 발생하는 네트워크에서 세션 데이터에 대한 기초 정보가 주어지지 않아도 IoT 관리 서버와 통신하는 IoT 장치를 식별할 수 있다.According to the embodiment, it is possible to identify an IoT device communicating with an IoT management server even if basic information on session data is not given in a network where a large amount of traffic of several tens of Gbps occurs.

실시예에 따르면, 네트워크에 연결된 IoT 장치들을 식별할 수 있으므로, 식별한 IoT 장치들의 비정상 동작을 탐지할 수 있고, 감염 예방 조치를 취해 안정적인 네트워크를 유지할 수 있는 기반을 제공할 수 있다.According to the embodiment, since IoT devices connected to the network can be identified, abnormal operations of the identified IoT devices can be detected, and infection prevention measures can be taken to provide a basis for maintaining a stable network.

도 1은 한 실시예에 따른 IoT 네트워크 환경을 개념적으로 설명하는 도면이다.
도 2는 한 실시예에 따른 IoT 관리 서버 및 IoT 장치의 단계적 식별 방법을 설명하는 도면이다.
도 3은 한 실시예에 따른 IoT 장치 식별 방법의 흐름도이다.1 is a diagram conceptually illustrating an IoT network environment according to an embodiment.
2 is a diagram for explaining a step-by-step identification method of an IoT management server and an IoT device according to an embodiment.
3 is a flowchart of a method for identifying an IoT device according to an embodiment.

아래에서는 첨부한 도면을 참고로 하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, embodiments of the present disclosure will be described in detail so that those skilled in the art can easily carry out the present disclosure. However, the present disclosure may be embodied in many different forms and is not limited to the embodiments described herein. And in order to clearly describe the present disclosure in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

설명에서, 도면 부호 및 이름은 설명의 편의를 위해 붙인 것으로서, 장치들이 반드시 도면 부호나 이름으로 한정되는 것은 아니다.In the description, reference numerals and names are attached for convenience of explanation, and devices are not necessarily limited to reference numerals or names.

설명에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In the description, when a part is said to "include" a certain component, it means that it may further include other components without excluding other components unless otherwise stated. In addition, terms such as “… unit”, “… unit”, and “module” described in the specification mean a unit that processes at least one function or operation, which may be implemented as hardware or software or a combination of hardware and software. there is.

설명에서, 컴퓨팅 장치는 하나 이상의 프로세서, 프로세서에 의하여 수행되는 프로그램을 로드하는 메모리, 컴퓨터 프로그램 및 각종 데이터를 저장하는 스토리지를 포함할 수 있다. 이외에도, 컴퓨팅 장치는 다양한 구성 요소가 더 포함될 수 있다. 컴퓨터 프로그램은 메모리에 로드될 때 프로세서로 하여금 본 개시의 다양한 실시예에 따른 방법/동작을 수행하도록 하는 명령어들(instructions)을 포함할 수 있다. 즉, 프로세서는 명령어들을 실행함으로써, 본 개시의 다양한 실시예에 따른 방법/동작들을 수행할 수 있다. 명령어는 기능을 기준으로 묶인 일련의 컴퓨터 판독가능 명령어들로서 컴퓨터 프로그램의 구성 요소이자 프로세서에 의해 실행되는 것을 가리킨다.In the description, a computing device may include one or more processors, memory for loading programs executed by the processors, and storage for storing computer programs and various data. In addition, the computing device may further include various components. A computer program may include instructions that, when loaded into memory, cause a processor to perform methods/operations in accordance with various embodiments of the present disclosure. That is, the processor may perform methods/operations according to various embodiments of the present disclosure by executing instructions. An instruction refers to a set of computer readable instructions grouped on a functional basis that are the building blocks of a computer program and are executed by a processor.

프로세서는 컴퓨팅 장치의 각 구성의 전반적인 동작을 제어한다. 프로세서는 CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), GPU(Graphic Processing Unit) 또는 본 개시의 기술 분야에 잘 알려진 임의의 형태의 프로세서 중 적어도 하나를 포함하여 구성될 수 있다. 또한, 프로세서는 본 개시의 다양한 실시예들에 따른 방법/동작을 실행하기 위한 적어도 하나의 애플리케이션 또는 프로그램에 대한 연산을 수행할 수 있다. The processor controls the overall operation of each component of the computing device. The processor includes at least one of a Central Processing Unit (CPU), a Micro Processor Unit (MPU), a Micro Controller Unit (MCU), a Graphic Processing Unit (GPU), or any type of processor well known in the art of the present disclosure. It can be. Also, the processor may perform an operation for at least one application or program for executing a method/operation according to various embodiments of the present disclosure.

메모리는 각종 데이터, 명령 및/또는 정보를 저장한다. 메모리는 본 개시의 다양한 실시예들에 따른 방법/동작을 실행하기 위하여 스토리지로부터 하나 이상의 컴퓨터 프로그램을 로드할 수 있다. 메모리는 RAM과 같은 휘발성 메모리로 구현될 수 있을 것이나, 본 개시의 기술적 범위는 이에 한정되지 않는다.The memory stores various data, commands and/or information. The memory may load one or more computer programs from storage to execute methods/actions according to various embodiments of the present disclosure. The memory may be implemented as a volatile memory such as RAM, but the technical scope of the present disclosure is not limited thereto.

스토리지는 컴퓨터 프로그램을 비임시적으로 저장할 수 있다. 스토리지는 ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리 등과 같은 비휘발성 메모리, 하드 디스크, 착탈형 디스크, 또는 본 개시가 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함하여 구성될 수 있다.The storage may non-temporarily store the computer program. The storage may include non-volatile memory such as read only memory (ROM), erasable programmable ROM (EPROM), electrically erasable programmable ROM (EEPROM), flash memory, etc., a hard disk, a removable disk, or any well known in the art to which the present disclosure pertains. It may be configured to include a computer-readable recording medium in the form of.

도 1은 한 실시예에 따른 IoT 네트워크 환경을 개념적으로 설명하는 도면이고, 도 2는 한 실시예에 따른 IoT 관리 서버 및 IoT 장치의 단계적 식별 방법을 설명하는 도면이다.1 is a diagram conceptually illustrating an IoT network environment according to an embodiment, and FIG. 2 is a diagram illustrating a step-by-step identification method of an IoT management server and an IoT device according to an embodiment.

도 1을 참고하면, 네트워크 관리 장치(100)는 관리하는 네트워크에서 전송되는 트래픽에서, 연결된 서버와 클라이언트 간의 세션 데이터를 추출하고, 세션 데이터를 이용하여 적어도 하나의 IoT 관리 서버(200)에 연결된 복수의 IoT 장치들(300)을 식별할 수 있다. 여기서, IoT 관리 서버(200)는 일정 수의 IoT 장치들로부터 데이터를 수신하고, 이들을 관리하도록 설계될 수 있다. IoT 장치(300)는 주기적으로 서버에 연결되어 데이터를 전송하는 장치를 의미한다. IoT 서비스에 따라 IoT 장치(300)의 종류는 다양할 수 있다. 예를 들면, IoT 장치(300)는 태양광발전, 버스노선조회, 프린터 복사기 임대관리시스템, CCTV, 스마트홈 서비스 등의 Smart Home Service 등의 서비스에서 이용되는 단말일 수 있다.Referring to FIG. 1 , the network management device 100 extracts session data between a connected server and a client from traffic transmitted from a managed network, and uses the session data to extract a plurality of connected IoT management servers 200. The IoT devices 300 of can be identified. Here, the IoT management server 200 may be designed to receive data from a certain number of IoT devices and manage them. The IoT device 300 refers to a device that is periodically connected to a server and transmits data. The type of IoT device 300 may vary according to the IoT service. For example, the IoT device 300 may be a terminal used in services such as solar power generation, bus route inquiry, printer copier rental management system, CCTV, smart home service, and the like.

네트워크 관리 장치(100)는 적어도 하나의 프로세서에 의해 동작하는 컴퓨팅 장치로 구현될 수 있고, 예를 들면, 복수의 서버들이 구축된 인터넷 데이터 센터(IDC) 등의 서버 플랫폼의 네트워크를 관리할 수 있다.The network management device 100 may be implemented as a computing device operated by at least one processor, and may manage, for example, a network of server platforms such as an Internet Data Center (IDC) in which a plurality of servers are built. .

네트워크 관리 장치(100)는 세션 데이터로부터 IoT 관리 서버(200)를 식별하고, 식별한 IoT 관리 서버(200)에 연결된 IoT 장치(300)를 단계적으로 식별할 수 있다. 네트워크 관리 장치(100)는 일정 기간의 세션 데이터로부터 IoT 식별을 위한 지표의 통계값을 추출하고, IoT 식별 지표의 통계값을 기초로 IoT 관리 서버(200)를 먼저 식별할 수 있다. 그리고, 네트워크 관리 장치(100)는 IoT 관리 서버(200)로 식별된 서버와 통신하는 장치들 중에서 IoT 식별 지표의 통계값을 기초로 IoT 장치(300)를 식별할 수 있다. The network management device 100 may identify the IoT management server 200 from the session data and identify the IoT device 300 connected to the identified IoT management server 200 step by step. The network management device 100 may extract statistical values of indicators for IoT identification from session data of a certain period of time and first identify the IoT management server 200 based on the statistical values of the IoT identification indicators. And, the network management device 100 may identify the IoT device 300 based on the statistical value of the IoT identification indicator among devices communicating with the server identified as the IoT management server 200 .

네트워크 관리 장치(100)는 세션 데이터로부터 HTTP 프로토콜을 이용하는 IoT 장치를 식별할 수 있는데, 세션 데이터는 네트워크 트래픽 분석 툴을 이용하여 획득될 수 있다. 세션 데이터는 출발지 및 목적지를 기준으로 성사된 연결 과정 중에 발생되는 네트워크 패킷들을 조합하여 획득될 수 있다. 여기서, 세션 데이터는 HTTP 프로토콜에 따라 전송된 요청(request)/응답(response) 트랜잭션의 연결을 기록한 HTTP 로그로부터 획득될 수 있다. 세션 데이터는 표 1과 같이, HTTP 로그로부터 획득한 항목들을 포함할 수 있다.The network management device 100 may identify an IoT device using the HTTP protocol from session data, and the session data may be obtained using a network traffic analysis tool. Session data may be obtained by combining network packets generated during a connection process established based on a source and a destination. Here, the session data may be obtained from an HTTP log recording a connection of a request/response transaction transmitted according to the HTTP protocol. As shown in Table 1, the session data may include items obtained from the HTTP log.

항목Item 설명Described 세션 발생 타임스탬프(ts)Session Occurrence Timestamp (ts) 첫 번째 패킷(request)의 타임스탬프(Timestamp for when the request happened)Timestamp for when the request happened 연결 식별자(uid)connection identifier (uid) 연결의 고유한 식별자(unique identifier of the connection)unique identifier of the connection 출발지 IP 주소(id.orig_h)Source IP address (id.orig_h) 출발지 IP 주소source IP address 출발지 포트(id.orig_p)Origin port (id.orig_p) 출발지 포트port of departure 목적지 IP 주소(id.resp_h)Destination IP address (id.resp_h) 목적지 IP 주소destination IP address 목적지 포트(id.resp_p)destination port (id.resp_p) 목적지 포트destination port 트랜잭션 깊이(trans_depth)Transaction depth (trans_depth) HTTP 파프라이닝에서의 트랜잭션 깊이(Represents the pipelined depth into the connection of this request/response transaction)Represents the pipelined depth into the connection of this request/response transaction URIURI 요청(request)에서 사용된 통합 자원 식별자(Uniform Resource Identifier, URI)Uniform Resource Identifier (URI) used in the request

IoT 장치는 대체로 24시간 작동하고, IoT 관리 서버로 상태정보 등의 데이터를 규칙적으로 전송한다. 네트워크 관리 장치(100)는 서버와 클라이언트의 세션 데이터를 통계 처리하여, 이러한 IoT 특성을 가지는 IoT 관리 서버와 IoT 장치를 식별한다. 이때, 네트워크 관리 장치(100)는 일정 시간 단위마다 목적지 IP 주소(IoT 관리 서버 후보의 IP 주소)를 기준으로 세션 데이터를 그룹핑하고, 그룹핑된 세션 데이터에 포함된 출발지 IP 주소의 개수가 비슷하다면, 목적지 IP 주소의 서버를 IoT 관리 서버로 식별할 수 있다. 네트워크 관리 장치(100)는 식별된 IoT 관리 서버에 주로 연결되는 단말을 IoT 장치로 식별할 수 있다.The IoT device operates 24 hours a day and regularly transmits data such as status information to the IoT management server. The network management device 100 statistically processes session data of the server and the client to identify the IoT management server and IoT devices having these IoT characteristics. At this time, the network management device 100 groups the session data based on the destination IP address (IP address of the IoT management server candidate) every predetermined time unit, and if the number of source IP addresses included in the grouped session data is similar, The server of the destination IP address can be identified as the IoT management server. The network management device 100 may identify a terminal mainly connected to the identified IoT management server as an IoT device.

도 2를 참고하면, 네트워크 관리 장치(100)는 HTTP 로그로부터, 세션 데이터를 수집한다. 세션 데이터는, 세션 발생 타임스탬프(ts), 연결 식별자(uid), 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트, 트랙잭션 깊이, URI 등을 포함할 수 있다. Referring to FIG. 2 , the network management device 100 collects session data from HTTP logs. Session data may include a session occurrence timestamp (ts), connection identifier (uid), source IP address, source port, destination IP address, destination port, transaction depth, URI, and the like.

네트워크 관리 장치(100)는 일정 시간 단위(예를 들면, 1시간)마다 수집한 세션 데이터를 목적지 IP 주소를 기준으로 분류하고, 분류된 세션 데이터에서 고유한 출발지 IP 주소의 수, 그리고 트랜잭션 깊이의 평균을 계산한다. The network management device 100 classifies the session data collected every predetermined time unit (eg, 1 hour) based on the destination IP address, and determines the number of unique source IP addresses in the classified session data and the transaction depth. Calculate the average.

네트워크 관리 장치(100)는 일정 시간 단위(예를 들면, 1시간)마다 목적지 IP 주소별로 계산한 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 일정 기간(예를 들면, 하루) 동안 집계하여, 목적지 IP 주소별 IoT 식별 지표의 통계값을 계산한다. IoT 관리 서버의 식별을 위한 IoT 식별 지표는 출발지 IP 주소 수의 변동 계수(Coefficient variation, CV), 트랜잭션 깊이 평균, 세션 발생한 시간 구간 수(BIN 수)를 포함할 수 있다. The network management device 100 aggregates the number of source IP addresses calculated for each destination IP address and the average of the transaction depth for a certain period of time (for example, one day) per certain time unit (for example, one hour), so that the destination IP address Calculate the statistical value of each IoT identification index. The IoT identification index for identification of the IoT management server may include a coefficient of variation (CV) of the number of source IP addresses, an average transaction depth, and the number of session time intervals (number of BINs).

출발지 IP 주소 수의 변동 계수는 표준 편차를 평균으로 나눈 값으로서, 일정 시간 단위마다 비슷한 출발지 IP 주소 수가 수집될수록 변동 계수값은 작아진다. 출발지 IP 주소 수의 변동 계수가 작을수록, IoT 관리 서버일 가능성이 높다.The coefficient of variation of the number of source IP addresses is a value obtained by dividing the standard deviation by the average, and the coefficient of variation decreases as the number of similar source IP addresses is collected in a unit of time. The smaller the coefficient of variation of the number of source IP addresses is, the higher the possibility of being an IoT management server.

IoT 식별 지표로 사용되는 트랜잭션 깊이 평균은 시간당 트랜잭션 깊이 평균을 하루 동안의 평균으로 계산한 값으로서, 1에 가까울수록 IoT 관리 서버일 가능성이 높다. 웹 통신의 경우, 하나의 웹 페이지 로드에 대해 내부적으로 다수의 Request(script, img, css, XHR등)가 발생한다. 여기서 하나의 웹 페이지 로드를 하나의 트랜잭션이라고 할 때, 내부적으로 각각의 요청(Request)에 순서대로 깊이(depth)를 부여한다. 따라서 내부적인 요청이 많을수록 depth가 늘어나는데, IoT 장치는 주로 단일 요청을 하므로, 트랜잭션 깊이가 대부분 1이다. 트랜잭션 깊이 평균이 1에 가까울수록 IoT 관리 서버일 가능성이 높다고 볼 수 있다.The transaction depth average used as an IoT identification index is a value calculated by averaging transaction depth averages per hour for a day. The closer to 1, the more likely it is the IoT management server. In the case of web communication, multiple requests (script, img, css, XHR, etc.) are generated internally for one web page load. Here, when one web page load is referred to as one transaction, depth is internally assigned to each request in order. Therefore, the depth increases as the number of internal requests increases. Since IoT devices usually make a single request, the transaction depth is mostly 1. The closer the transaction depth average is to 1, the more likely it is the IoT management server.

세션 발생한 시간 구간 수(BIN 수)는 세션 발생 타임스탬프(ts)를 기초로, 일정 기간(예를 들면, 하루)을 나눈 시간 구간들 중에서, 세션이 발생한 시간 구간의 수를 계산한 값으로서, 세션 발생한 시간 구간 수가 클수록 시간마다 규칙적으로 연결된 것을 의미하므로 IoT 관리 서버일 가능성이 높다. 세션 발생한 시간 구간 수(BIN 수)는 예를 들어, 24시간을 1시간 단위의 시간 대 구간(BIN)으로 나누고, 24 구간 중 세션이 발생한 구간 수를 카운트한 값이다. The number of session occurrence time intervals (number of BINs) is a value obtained by calculating the number of time intervals in which sessions occur among time intervals divided by a certain period (eg, one day) based on the session occurrence timestamp (ts), The larger the number of time intervals in which sessions occur, the more likely it is the IoT management server, since it means regular connection every hour. The number of time intervals (number of BINs) in which sessions occur is, for example, a value obtained by dividing 24 hours by 1-hour time intervals (BINs) and counting the number of intervals in which sessions occur among the 24 intervals.

네트워크 관리 장치(100)는 목적지 IP 주소별 IoT 식별 지표와 기준값을 비교하여, 목적지 IP 주소를 IoT 관리 서버의 주소로 결정할 수 있다. 기준값은 IoT 장치 및 IoT 서비스의 특성에 다라 다양하게 설정될 수 있는데, 예를 들면, 출발지 IP 주소 수의 변동 계수가 0.2, 트랜잭션 깊이 평균이 1.2이하, 그리고 세션 발생한 시간 구간 수(BIN 수)가 20이상인 IoT 식별 지표를 가진 목적지 IP 주소A가, IoT 관리 서버의 주소로 결정할 수 있다. The network management device 100 may determine the destination IP address as the address of the IoT management server by comparing the IoT identification index for each destination IP address with a reference value. The reference value may be set in various ways depending on the characteristics of the IoT device and IoT service. For example, the coefficient of variation of the number of source IP addresses is 0.2, the average transaction depth is 1.2 or less, and the number of time intervals in which sessions occur (number of BINs) A destination IP address A having an IoT identification index of 20 or more may be determined as an address of an IoT management server.

네트워크 관리 장치(100)는 목적지 IP 주소A가 IoT 관리 서버로 식별된 경우, 목적지 IP 주소A와 통신한 출발지 IP 주소들을 추출한다. 이때, 네트워크 관리 장치(100)는 일정 시간 단위가 아니라, 목적지 IP 주소별 IoT 식별 지표의 통계값을 계산하는 기간(예를 들면, 하루) 동안의 세션 데이터에서, 목적지 IP 주소A와 통신한 출발지 IP 주소들을 IoT 장치 후보로 추출할 수 있다. When the destination IP address A is identified as the IoT management server, the network management device 100 extracts source IP addresses communicated with the destination IP address A. At this time, the network management device 100 is the starting point communicating with the destination IP address A in the session data for a period (eg, one day) for calculating the statistical value of the IoT identification index for each destination IP address, not a unit of a certain time. IP addresses can be extracted as IoT device candidates.

네트워크 관리 장치(100)는 IoT 장치 후보가 IoT 특성을 가지는지 판단하기 위해, 일정 기간(예를 들면, 하루) 동안의 세션 데이터에서, IoT 장치 후보에 해당하는 출발지 IP 주소별 IoT 식별 지표의 통계값을 계산한다. IoT 장치 식별을 위한 IoT 식별 지표는 목적지 IP 주소 수, URI 수, 트랜잭션 깊이 평균, 세션 발생한 시간 구간 수(BIN 수)를 포함할 수 있다. In order to determine whether the IoT device candidate has IoT characteristics, the network management device 100 uses statistics of IoT identification indicators for each source IP address corresponding to the IoT device candidate in session data for a certain period of time (eg, one day). Calculate the value. The IoT identification index for IoT device identification may include the number of destination IP addresses, the number of URIs, the average transaction depth, and the number of session time intervals (number of BINs).

IoT 장치는 지정된 서버와 통신하므로, 목적지 IP 주소 수나 URI 수가 적을수록 IoT 장치일 가능성이 높다. IoT 장치는 주로 단일 요청을 하므로, 트랜잭션 깊이 평균이 1에 가까울수록 IoT 장치일 가능성이 높다. 세션 발생한 시간 구간 수가 클수록 시간마다 규칙적으로 연결된 것을 의미하므로 IoT 장치일 가능성이 높다.Since an IoT device communicates with a designated server, the lower the number of destination IP addresses or URIs, the higher the probability of being an IoT device. Since an IoT device usually makes a single request, the closer the transaction depth average is to 1, the more likely it is an IoT device. The larger the number of time intervals in which sessions occur, the more likely it is an IoT device, since it means regular connection every hour.

네트워크 관리 장치(100)는 출발지 IP 주소별 IoT 식별 지표와 기준값을 비교하여, IoT 장치 후보인 출발지 IP 주소B를 IoT 단말의 주소로 결정할 수 있다. 기준값은 IoT 장치 및 IoT 서비스의 특성에 다라 다양하게 설정될 수 있는데, 예를 들면, 목적지 IP 주소 수/URI 수가 5이하, 트랜잭션 깊이 평균이 1.2이하, 그리고 세션 발생한 시간 구간 수(BIN 수)가 20이상인 IoT 식별 지표를 가진 출발지 IP 주소B가, IoT 관리 서버의 주소로 결정할 수 있다. IoT 장치 후보들 중에 일부는 일반 사용자가 사용하는 단말일 수 있다.The network management device 100 may compare the IoT identification index for each source IP address with a reference value to determine the source IP address B, which is an IoT device candidate, as the address of the IoT terminal. The reference value may be set in various ways depending on the characteristics of the IoT device and IoT service. For example, the number of destination IP addresses/URIs is 5 or less, the average transaction depth is 1.2 or less, and the number of session time intervals (number of BINs) is A source IP address B having an IoT identification index of 20 or more may be determined as an address of an IoT management server. Some of the IoT device candidates may be terminals used by general users.

한편, 네트워크 관리 장치(100)는 이미 자신이 관리하는 IoT 관리 서버의 IP 주소를 알 수 있다. 따라서, 네트워크 관리 장치(100)는 IoT 관리 서버를 식별하는 단계를 건너뛰고, 세션 데이터에서 알고 있는 IoT 관리 서버와 통신한 출발지 IP 주소들을 추출하고, 출발지 IP 주소별 IoT 식별 지표의 통계값을 계산할 수 있다. Meanwhile, the network management device 100 may already know the IP address of the IoT management server it manages. Therefore, the network management device 100 skips the step of identifying the IoT management server, extracts source IP addresses that have communicated with the known IoT management server from the session data, and calculates statistical values of IoT identification indicators for each source IP address. can

도 3은 한 실시예에 따른 IoT 장치 식별 방법의 흐름도이다.3 is a flowchart of a method for identifying an IoT device according to an embodiment.

도 3을 참고하면, 네트워크 관리 장치(100)는 네트워크를 통해 연결된 서버와 단말의 세션 데이터를 수집한다(S110). 네트워크 관리 장치(100)는 각 세션의 HTTP 로그로부터, 세션 발생 타임스탬프(ts), 연결 식별자(uid), 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트, 트랙잭션 깊이, URI 등을 포함하는 세션 데이터를 수집할 수 있다.Referring to FIG. 3 , the network management apparatus 100 collects session data of a server and a terminal connected through a network (S110). The network management device 100 includes, from the HTTP log of each session, a session occurrence timestamp (ts), a connection identifier (uid), a source IP address, a source port, a destination IP address, a destination port, a transaction depth, a URI, and the like. Session data can be collected.

네트워크 관리 장치(100)는 일정 시간 단위마다 수집한 세션 데이터를 목적지 IP 주소별로 분류하고, 각 목적지 IP 주소의 세션 데이터를 이용하여, 일정 시간 단위마다의 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 계산한다(S120).The network management device 100 classifies the session data collected per predetermined time unit by destination IP address, and calculates the average number of source IP addresses and transaction depth for each predetermined time unit using the session data of each destination IP address. (S120).

네트워크 관리 장치(100)는 일정 시간 단위마다 목적지 IP 주소별로 계산한 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 일정 기간 동안 집계하여, 목적지 IP 주소별로 IoT 관리 서버의 식별을 위한 IoT 식별 지표의 통계값을 계산한다(S130). IoT 관리 서버의 식별을 위한 IoT 식별 지표는 출발지 IP 주소 수의 변동 계수를 포함할 수 있다. IoT 관리 서버의 식별을 위한 IoT 식별 지표는 트랜잭션 깊이 평균, 세션 발생한 시간 구간 수(BIN 수)를 더 포함할 수 있다. The network management device 100 aggregates the number of source IP addresses calculated for each destination IP address and the average transaction depth for a predetermined period of time for each destination IP address, and the statistical value of the IoT identification index for identification of the IoT management server for each destination IP address. Calculate (S130). The IoT identification index for identification of the IoT management server may include a coefficient of variation of the number of source IP addresses. The IoT identification index for identification of the IoT management server may further include an average transaction depth and the number of session time intervals (number of BINs).

네트워크 관리 장치(100)는 목적지 IP 주소별 IoT 식별 지표의 통계값과 기준값을 비교하여, 특정 목적지 IP 주소를 IoT 관리 서버의 주소로 결정한다(S140).The network management device 100 compares the statistical value of the IoT identification index for each destination IP address with the reference value, and determines a specific destination IP address as the address of the IoT management server (S140).

네트워크 관리 장치(100)는 일정 기간 동안의 세션 데이터에서, 특정 목적지 IP 주소와 통신한 출발지 IP 주소들을 IoT 장치 후보들로 추출한다(S150).The network management device 100 extracts source IP addresses communicated with a specific destination IP address as IoT device candidates from session data for a certain period of time (S150).

네트워크 관리 장치(100)는 일정 기간 동안의 세션 데이터에서, IoT 장치 후보별로 IoT 장치의 식별을 위한 IoT 식별 지표의 통계값을 계산한다(S160). IoT 장치의 식별을 위한 IoT 식별 지표는 목적지 IP 주소 수 또는 URI 수를 포함할 수 있다. IoT 장치의 식별을 위한 IoT 식별 지표는 트랜잭션 깊이 평균, 세션 발생한 시간 구간 수(BIN 수)를 더 포함할 수 있다.The network management device 100 calculates statistical values of IoT identification indicators for IoT device identification for each IoT device candidate in session data for a certain period of time (S160). IoT identification indicators for identification of IoT devices may include the number of destination IP addresses or the number of URIs. The IoT identification index for identification of the IoT device may further include a transaction depth average and the number of session time intervals (number of BINs).

네트워크 관리 장치(100)는 IoT 장치 후보별 IoT 식별 지표의 통계값과 기준값을 비교하여, 특정 출발지 IP 주소의 후보를 IoT 장치로 식별한다(S170).The network management device 100 identifies a candidate for a specific source IP address as an IoT device by comparing the statistical value of the IoT identification indicator for each IoT device candidate with the reference value (S170).

이와 같이, 실시예에 따르면, 수십 Gbps에 달하는 대량 트래픽이 발생하는 네트워크에서 세션 데이터에 대한 기초 정보가 주어지지 않아도 IoT 관리 서버와 통신하는 IoT 장치를 식별할 수 있다.In this way, according to the embodiment, it is possible to identify an IoT device communicating with the IoT management server even if basic information on session data is not given in a network where a large amount of traffic of tens of Gbps occurs.

실시예에 따르면, 네트워크에 연결된 IoT 장치들을 식별할 수 있으므로, 식별한 IoT 장치들의 비정상 동작을 탐지할 수 있고, 감염 예방 조치를 취해 안정적인 네트워크를 유지할 수 있는 기반을 제공할 수 있다.According to the embodiment, since IoT devices connected to the network can be identified, abnormal operations of the identified IoT devices can be detected, and infection prevention measures can be taken to provide a basis for maintaining a stable network.

이상에서 설명한 본 개시의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 개시의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.The embodiments of the present disclosure described above are not implemented only through devices and methods, and may be implemented through a program that realizes functions corresponding to the configuration of the embodiments of the present disclosure or a recording medium on which the program is recorded.

이상에서 본 개시의 실시예에 대하여 상세하게 설명하였지만 본 개시의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 개시의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 개시의 권리범위에 속하는 것이다.Although the embodiments of the present disclosure have been described in detail above, the scope of the present disclosure is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present disclosure defined in the following claims are also included in the present disclosure. that fall within the scope of the right.

Claims (15)

네트워크 관리 장치의 동작 방법으로서,
일정 기간 동안의 세션 데이터에서, IoT 관리 서버의 특정 목적지 IP 주소와 통신한 출발지 IP 주소들을 IoT 장치 후보들로 추출하는 단계,
상기 세션 데이터에서, IoT 장치 후보별로 제1 IoT 식별 지표의 통계값을 계산하는 단계, 그리고
상기 IoT 장치 후보별 제1 IoT 식별 지표의 통계값과 기준값을 비교하여, 특정 출발지 IP 주소의 후보를 IoT 장치로 식별하는 단계를 포함하고,
상기 제1 IoT 식별 지표는
해당 IoT 장치 후보가 연결된 목적지 IP 주소 수 및/또는 해당 IoT 장치 후보가 전송한 요청에 사용된 URI(Uniform Resource Identifier) 수를 포함하는, 동작 방법.As a method of operating a network management device,
Extracting source IP addresses that have communicated with a specific destination IP address of the IoT management server as IoT device candidates from session data for a certain period of time;
Calculating a statistical value of a first IoT identification indicator for each IoT device candidate in the session data; and
Identifying a candidate of a specific source IP address as an IoT device by comparing a statistical value and a reference value of a first IoT identification index for each IoT device candidate,
The first IoT identification indicator is
An operation method comprising the number of destination IP addresses to which the corresponding IoT device candidate is connected and/or the number of Uniform Resource Identifiers (URIs) used in requests transmitted by the corresponding IoT device candidate. 제1항에서,
상기 제1 IoT 식별 지표는
트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함하는, 동작 방법.In paragraph 1,
The first IoT identification indicator is
Further comprising at least one of a transaction depth average and the number of time intervals in which a session occurred. 제1항에서,
상기 세션 데이터에서, 목적지 IP 주소별로 제2 IoT 식별 지표의 통계값을 계산하는 단계, 그리고
목적지 IP 주소별 IoT 식별 지표의 통계값과 기준값을 비교하여, 상기 특정 목적지 IP 주소를 상기 IoT 관리 서버의 주소로 결정하는 단계를 더 포함하고,
상기 제2 IoT 식별 지표는 해당 목적지 IP 주소에 연결된 출발지 IP 주소 수의 변동 계수를 포함하는, 동작 방법.In paragraph 1,
Calculating a statistical value of a second IoT identification indicator for each destination IP address in the session data; and
Further comprising determining the specific destination IP address as the address of the IoT management server by comparing a statistical value and a reference value of IoT identification indicators for each destination IP address,
The second IoT identification index includes a coefficient of variation of the number of source IP addresses connected to the corresponding destination IP address. 제3항에서,
상기 제2 IoT 식별 지표는
트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함하는, 동작 방법.In paragraph 3,
The second IoT identification indicator is
Further comprising at least one of a transaction depth average and the number of time intervals in which a session occurred. 제3항에서,
상기 제2 IoT 식별 지표의 통계값을 계산하는 단계는
일정 시간 단위마다 수집한 세션 데이터를 목적지 IP 주소별로 분류하고, 각 목적지 IP 주소의 세션 데이터를 이용하여, 일정 시간 단위마다의 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 계산하는 단계, 그리고
상기 일정 시간 단위마다 목적지 IP 주소별로 계산한 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 상기 일정 기간 동안 집계하여, 목적지 IP 주소별로 상기 제2 IoT 식별 지표의 통계값을 계산하는 단계
를 포함하는, 동작 방법.In paragraph 3,
Calculating the statistical value of the second IoT identification indicator
Classifying the session data collected per predetermined time unit by destination IP address, and calculating the number of source IP addresses and the average transaction depth for each predetermined time unit using the session data of each destination IP address; and
Calculating a statistical value of the second IoT identification index for each destination IP address by aggregating the number of source IP addresses and the average transaction depth calculated for each destination IP address at each predetermined time unit for the predetermined period of time
Including, operating method. 제1항에서,
상기 세션 데이터는 각 세션의 HTTP 로그로부터 추출된 세션 발생 타임스탬프, 연결 식별자, 출발지 IP 주소, 목적지 IP 주소, 트랙잭션 깊이, URI(Uniform Resource Identifier)를 포함하는, 동작 방법.In paragraph 1,
The session data includes a session occurrence timestamp, a connection identifier, a source IP address, a destination IP address, a transaction depth, and a Uniform Resource Identifier (URI) extracted from an HTTP log of each session. 네트워크 관리 장치의 동작 방법으로서,
일정 기간 동안의 세션 데이터에서, IoT 관리 서버의 식별을 위한 목적지 IP 주소별 IoT 식별 지표의 통계값을 계산하는 단계,
상기 목적지 IP 주소별 IoT 식별 지표의 통계값을 기초로, 상기 IoT 관리 서버에 해당하는 목적지 IP 주소를 결정하는 단계,
상기 세션 데이터에서, 상기 IoT 관리 서버와 통신한 출발지 IP 주소들을 IoT 장치 후보들로 추출하는 단계,
상기 세션 데이터에서, IoT 장치의 식별을 위한 IoT 장치 후보별 IoT 식별 지표의 통계값을 계산하는 단계, 그리고
상기 IoT 장치 후보별 IoT 식별 지표의 통계값을 기초로, 상기 IoT 장치 후보들 중에서 상기 IoT 장치를 식별하는 단계
를 포함하는 동작 방법.As a method of operating a network management device,
Calculating a statistical value of an IoT identification indicator for each destination IP address for identification of an IoT management server in session data for a period of time;
Determining a destination IP address corresponding to the IoT management server based on the statistical value of the IoT identification index for each destination IP address;
Extracting source IP addresses communicated with the IoT management server as IoT device candidates from the session data;
In the session data, calculating a statistical value of an IoT identification indicator for each IoT device candidate for IoT device identification, and
Identifying the IoT device among the IoT device candidates based on the statistical value of the IoT identification indicator for each IoT device candidate.
Operation method including. 제7항에서,
상기 목적지 IP 주소별 IoT 식별 지표는
해당 목적지 IP 주소에 연결된 출발지 IP 주소 수의 변동 계수를 포함하는, 동작 방법.In paragraph 7,
The IoT identification index for each destination IP address is
An operation method comprising a coefficient of variation of the number of source IP addresses connected to a corresponding destination IP address. 제8항에서,
상기 목적지 IP 주소별 IoT 식별 지표는
트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함하는, 동작 방법.In paragraph 8,
The IoT identification index for each destination IP address is
Further comprising at least one of a transaction depth average and the number of time intervals in which a session occurred. 제8항에서,
상기 IoT 관리 서버에 해당하는 목적지 IP 주소를 결정하는 단계는
임의 목적지 IP 주소에 대해 계산된 각 IoT 식별 지표의 통계값 중에서, 상기 변동 계수가 제1 기준값 이하이고, 상기 트랜잭션 깊이 평균이 제2 기준값 이하이며, 상기 시간 구간 수가 제3 기준값 이상인 경우, 상기 임의 목적지 IP 주소를 상기 IoT 관리 서버의 주소로 결정하는, 동작 방법.In paragraph 8,
Determining the destination IP address corresponding to the IoT management server
Among the statistical values of each IoT identification index calculated for an arbitrary destination IP address, when the coefficient of variation is less than or equal to a first reference value, the average transaction depth is less than or equal to a second reference value, and the number of time intervals is greater than or equal to a third reference value, the random An operation method of determining a destination IP address as an address of the IoT management server. 제7항에서,
상기 IoT 장치 후보별 IoT 식별 지표는
해당 IoT 장치 후보가 연결된 목적지 IP 주소 수 및/또는 해당 IoT 장치 후보가 전송한 요청에 사용된 URI(Uniform Resource Identifier) 수를 포함하는, 동작 방법.In paragraph 7,
The IoT identification index for each IoT device candidate is
An operation method comprising the number of destination IP addresses to which the corresponding IoT device candidate is connected and/or the number of Uniform Resource Identifiers (URIs) used in requests transmitted by the corresponding IoT device candidate. 제11항에서,
상기 IoT 장치 후보별 IoT 식별 지표는
트랜잭션 깊이 평균, 그리고 세션이 발생한 시간 구간 수 중 적어도 하나를 더 포함하는, 동작 방법.In paragraph 11,
The IoT identification index for each IoT device candidate is
Further comprising at least one of a transaction depth average and the number of time intervals in which a session occurred. 제12항에서,
상기 IoT 장치를 식별하는 단계는
임의 IoT 장치 후보에 대해 계산된 각 IoT 식별 지표의 통계값 중에서, 상기 목적지 IP 주소 수 및/또는 상기 URI가 제1 기준값 이하이고, 상기 트랜잭션 깊이 평균이 제2 기준값 이하이며, 상기 시간 구간 수가 제3 기준값 이상인 경우, 상기 임의 IoT 장치 후보를 상기 IoT 장치로 식별하는, 동작 방법.In paragraph 12,
Identifying the IoT device
Among the statistical values of each IoT identification index calculated for an arbitrary IoT device candidate, the number of destination IP addresses and/or the URI is less than or equal to a first reference value, the average transaction depth is less than or equal to a second reference value, and the number of time intervals is less than or equal to a first reference value. If it is equal to or greater than the reference value of 3, identifying the random IoT device candidate as the IoT device. 제7항에서,
상기 목적지 IP 주소별 IoT 식별 지표의 통계값을 계산하는 단계는
일정 시간 단위마다 수집한 세션 데이터를 목적지 IP 주소별로 분류하고, 각 목적지 IP 주소의 세션 데이터를 이용하여, 일정 시간 단위마다의 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 계산하는 단계, 그리고
상기 일정 시간 단위마다 목적지 IP 주소별로 계산한 출발지 IP 주소 수 및 트랜잭션 깊이 평균을 상기 일정 기간 동안 집계하여, 상기 목적지 IP 주소별IoT 식별 지표의 통계값을 계산하는 단계
를 포함하는, 동작 방법.In paragraph 7,
Calculating the statistical value of the IoT identification index for each destination IP address
Classifying the session data collected per predetermined time unit by destination IP address, and calculating the number of source IP addresses and the average transaction depth for each predetermined time unit using the session data of each destination IP address; and
Calculating a statistical value of the IoT identification indicator for each destination IP address by aggregating the number of source IP addresses and the average transaction depth calculated for each destination IP address at each predetermined time unit for the predetermined period of time
Including, operating method. 제7항에서,
상기 세션 데이터는 각 세션의 HTTP 로그로부터 추출된 세션 발생 타임스탬프, 연결 식별자, 출발지 IP 주소, 목적지 IP 주소, 트랙잭션 깊이, URI(Uniform Resource Identifier)를 포함하는, 동작 방법.

In paragraph 7,
The session data includes a session occurrence timestamp, a connection identifier, a source IP address, a destination IP address, a transaction depth, and a Uniform Resource Identifier (URI) extracted from an HTTP log of each session.
KR1020220081832A 2021-07-08 2022-07-04 Method for identification iot devices, and network management apparatus implementing the method KR102672651B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20210089526 2021-07-08
KR1020210089526 2021-07-08

Publications (2)

Publication Number Publication Date
KR20230009307A true KR20230009307A (en) 2023-01-17
KR102672651B1 KR102672651B1 (en) 2024-06-05

Family

ID=85111252

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220081832A KR102672651B1 (en) 2021-07-08 2022-07-04 Method for identification iot devices, and network management apparatus implementing the method

Country Status (1)

Country Link
KR (1) KR102672651B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101272670B1 (en) * 2011-11-28 2013-06-10 엔에이치엔(주) Apparatus, method and computer readable recording medium of distinguishing access network of a user terminal
KR101976162B1 (en) * 2017-08-23 2019-08-28 주식회사 수산아이앤티 Method and apparatus for identifying terminals

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101272670B1 (en) * 2011-11-28 2013-06-10 엔에이치엔(주) Apparatus, method and computer readable recording medium of distinguishing access network of a user terminal
KR101976162B1 (en) * 2017-08-23 2019-08-28 주식회사 수산아이앤티 Method and apparatus for identifying terminals

Also Published As

Publication number Publication date
KR102672651B1 (en) 2024-06-05

Similar Documents

Publication Publication Date Title
US8549645B2 (en) System and method for detection of denial of service attacks
US9900344B2 (en) Identifying a potential DDOS attack using statistical analysis
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
CN112769796A (en) Cloud network side collaborative defense method and system based on end side edge computing
CN109194680B (en) Network attack identification method, device and equipment
EP3068095B1 (en) Monitoring apparatus and method
JP2019501547A (en) Method, apparatus, server, and storage medium for detecting DoS / DDoS attack
US20170318037A1 (en) Distributed anomaly management
US11122143B2 (en) Comparison of behavioral populations for security and compliance monitoring
CN109428857B (en) Detection method and device for malicious detection behaviors
CN112839017A (en) Network attack detection method and device, equipment and storage medium thereof
CN110618977B (en) Login anomaly detection method, device, storage medium and computer equipment
RU2630415C2 (en) Method for detecting anomalous work of network server (options)
CN112839005B (en) DNS domain name abnormal access monitoring method and device
KR102672651B1 (en) Method for identification iot devices, and network management apparatus implementing the method
CN114221807B (en) Access request processing method, device, monitoring equipment and storage medium
CN112153011A (en) Detection method and device for machine scanning, electronic equipment and storage medium
CN115967542B (en) Intrusion detection method, device, equipment and medium based on human factor
CN114500123B (en) Network information analysis method and device
US11968222B2 (en) Supply chain attack detection
CN112333157B (en) Network security protection method and network security protection platform based on big data
CN113591076A (en) Method, system, equipment and computer program product for detecting database collision behavior
CN118694556A (en) Method and system for detecting denial of service attacks on a network
CN115664726A (en) Malicious beacon communication detection method and device
CN109474570A (en) It is a kind of to detect the method and system attacked at a slow speed

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right