[go: up one dir, main page]

KR101428573B1 - Network Apparatus and Method for Processing Traffic - Google Patents

Network Apparatus and Method for Processing Traffic Download PDF

Info

Publication number
KR101428573B1
KR101428573B1 KR1020130071096A KR20130071096A KR101428573B1 KR 101428573 B1 KR101428573 B1 KR 101428573B1 KR 1020130071096 A KR1020130071096 A KR 1020130071096A KR 20130071096 A KR20130071096 A KR 20130071096A KR 101428573 B1 KR101428573 B1 KR 101428573B1
Authority
KR
South Korea
Prior art keywords
flow
entropy
abnormal
generation amount
packet generation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020130071096A
Other languages
Korean (ko)
Inventor
김승호
김민준
전재현
위즈빈
Original Assignee
경북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경북대학교 산학협력단 filed Critical 경북대학교 산학협력단
Priority to KR1020130071096A priority Critical patent/KR101428573B1/en
Application granted granted Critical
Publication of KR101428573B1 publication Critical patent/KR101428573B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 장치 및 트래픽 처리 방법에 관한 것으로서, 본 발명의 실시예에 따른 네트워크 장치는 사용자가 원하지 않는 비정상적인 플로우가 포함되는 트래픽을 수신하며, 수신한 트래픽을 플로우별로 구분하는 플로우 구성부, 구분한 각 플로우의 엔트로피를 계산하고, 계산한 엔트로피들의 평균을 계산하는 엔트로피 계산부, 및 각 플로우의 엔트로피와 평균을 비교하고, 비교한 결과에 따라 비정상적인 플로우를 구분하는 플로우 분류부를 포함한다.The present invention relates to a network device and a traffic processing method, and a network device according to an embodiment of the present invention includes a flow unit for receiving traffic including an unusual flow that the user does not want and dividing received traffic by flow, An entropy calculation unit for calculating the entropy of each flow and calculating an average of the calculated entropy, and a flow classifying unit for comparing the entropy and the average of each flow and distinguishing the abnormal flow according to the comparison result.

Figure R1020130071096
Figure R1020130071096

Description

네트워크 장치 및 트래픽 처리 방법{Network Apparatus and Method for Processing Traffic}Technical Field [0001] The present invention relates to a network device,

본 발명은 네트워크 장치 및 트래픽 처리 방법에 관한 것으로서, 더 상세하게는 예컨대 라우터 등의 네트워크 장치에서 트래픽의 플로우(flow)에 대한 엔트로피와, 나아가 패킷 생성량 및 송신지 포트의 엔트로피와 같은 플로우의 특징을 추가로 이용하여 공격(DDoS) 또는 헤비(heavy) 플로우를 구분해 내는 네트워크 장치 및 트래픽 처리 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network device and a traffic processing method, and more particularly, to a network device and a traffic processing method, and more particularly, to a network device such as a router for entropy for a flow of traffic, And further relates to a network device and a traffic processing method for distinguishing between an attack (DDoS) or a heavy flow.

인터넷의 급속한 발전과 이를 이용하는 사용자의 수가 급증함에 따라, 보다 다양하고 새로운 네트워크 서비스들이 개발되어 상용화되고 있다. 특히 네트워크 서비스 중 P2P(Peer-to-Peer) 관련 트래픽은 2009년 독일 이포크(Ipoque) 사의 조사에 의하면, 지난 몇 년 동안 전체 인터넷 트래픽에서 60%이상을 차지하고 있으며 앞으로도 상당한 비중을 차지할 전망이라고 한다.As the rapid development of the Internet and the number of users using it have been rapidly increasing, more and more new network services have been developed and commercialized. In particular, peer-to-peer (P2P) traffic among network services is estimated to account for more than 60% of total Internet traffic over the past few years, .

컴퓨터에 저장하고 있는 자료에 대한 접근이 쉬워짐으로 사용자들에게 많은 편이성을 제공하고 있다. 그러나 컴퓨터 시스템에 대한 불법 접근 및 네트워크에 트래픽을 폭주시킴으로 인해 정보 유출 및 제대로 된 서비스를 제공하지 못하게 하여 많은 경제적 피해가 발생하고 있으며 해킹 및 인터넷 침해에 대한 사고 사례가 매년 증가하고 있다.It is easy for users to access the data stored on the computer. However, due to unauthorized access to the computer system and traffic to the network, information leakage and the failure to provide proper service have caused much economic damage, and cases of hacking and internet infringement have increased every year.

분산 서비스 거부(Distributed Denial of Service: DDoS) 공격은 인터넷상에서 가장 심각하고 발생 횟수도 잦으며 효과적으로 차단하기도 쉽지 않다. DDoS 공격은 처음 1990년대 말부터 발생하기 시작하였으며 지난 2000년 야후, 아마존 등 유명 웹사이트에 대한 대대적인 DDoS 공격이 발생하였으며, 최근에는 2009년 7월 7일 미국 및 한국 내 다수의 중요 웹사이트에 대한 DDoS 공격이 발생하였다. 공격이 꾸준히 발생함에 따라 트래픽 분석의 필요성 또한 점점 커지고 있다.Distributed Denial of Service (DDoS) attacks are the most severe, frequent and frequent occurrences on the Internet. DDoS attacks began to occur from the beginning of the 1990s, and in 2000, major DDoS attacks against popular websites such as Yahoo and Amazon occurred. Recently, on July 7, 2009, DDoS attack occurred. As attacks continue to occur, the need for traffic analysis is also increasing.

DDoS 공격에 대한 대응책의 필요성이 대두 되면서 다각적인 연구들이 진행되어 왔으며, 그 가운데 기계 학습(Machine learning) 방법에 대해 살펴본다. 기계 학습 방법은 크게 지도 학습(Supervised learning) 방법과 비지도(Unsupervised) 방법의 2가지로 나눌 수 있다. 지도 방법은 비지도 방법과 달리 처음에 학습하는 단계를 포함하고 있다. 이 학습단계에서는 트레이닝 데이터 집단을 가지고 DDoS 공격 상태와 같은 예외적인 상황과 일반적인 상황을 판단할 수 있는 기준을 세운다. 이후 데이터가 유입되면 기준을 이용하여 어떠한 데이터인지 분류할 수 있다. As the necessity of countermeasures against DDoS attacks has emerged, various studies have been conducted, and among them, machine learning methods are examined. Machine learning methods can be divided into two types: supervised learning method and unsupervised method. Unlike the non-mapping method, the mapping method includes a learning step at the beginning. In this learning phase, the training data set is used to establish standards for judging exceptional situations such as DDoS attacks and general situations. Then, when the data is inputted, it is possible to classify any data by using the reference.

비지도 방법은 지도 방법과 달리 처음에 학습하는 단계가 없다. 즉 데이터가 들어오면 각각의 방법으로 데이터를 클러스터(cluster)만 시키는 방법이다. 이렇게 클러스터링한 정보를 가지고 각각의 탐지 방법을 이용하여 DDoS 공격 같은 변칙적인 상황이 있었는지 검사하고 탐지할 수 있다. Unlike the map method, there is no learning step at first. In other words, when the data comes in, it is a method of clustering data only by each method. With this clustering information, each detection method can be used to detect and detect anomalous situations such as DDoS attacks.

이와 같은 방법에서는 5개의 튜플(5-tuple)을 이용하여 플로우를 구성하고 각 튜플에 대해 엔트로피를 이용한 클러스터를 형성한다. 여기서 목적지 IP 주소를 기반으로 송신지 IP 주소, 송신지 포트 넘버, 수신지 포트 넘버에 엔트로피 큐브를 구한다. 여기서 송신지 IP 에 대한 엔트로피 값과 송신지 포트 넘버의 엔트로피 값은 크고 목적지 포트 넘버의 엔트로피 값이 작다면 DDoS 공격이라 탐지한다.In this method, a flow is configured using five tuples and a cluster is formed using entropy for each tuple. Here, the entropy cube is obtained based on the destination IP address, the destination IP address, the destination port number, and the destination port number. Here, if the entropy value of the destination IP and the entropy value of the destination port number are large and the entropy value of the destination port number is small, the DDoS attack is detected.

그런데, 종래에는 헤비 트래픽의 엔트로피 값이 공격과 비슷한 엔트로피 값을 갖는다면 DDoS 공격으로 분류하는 문제점이 있다. 그 결과, 정상적인 헤비 트래픽이 공격 트래픽으로 분류됨으로써 서비스 효율이 저하되었다.However, in the past, if the entropy value of the heavy traffic has an entropy value similar to that of an attack, there is a problem of classification as a DDoS attack. As a result, the service efficiency is degraded because normal heavy traffic is classified as attack traffic.

본 발명의 실시예는 예컨대 라우터 등의 네트워크 장치에서 트래픽의 플로우에 대한 엔트로피와, 나아가 패킷 생성량 및 송신지 포트의 엔트로피와 같은 플로우의 특징(혹은 특성)을 추가로 이용하여 공격 또는 헤비 플로우를 구분해 내는 네트워크 장치 및 트래픽 처리 방법을 제공함에 그 목적이 있다.The embodiment of the present invention further distinguishes an attack or a heavy flow by additionally using the entropy for the flow of traffic in a network device such as a router and further the characteristics (or characteristics) of the flow such as the packet generation amount and entropy of the transmission destination port And a method for processing a traffic.

본 발명의 실시예에 따른 네트워크 장치는 사용자가 원하지 않는 비정상적인 플로우(flow)가 포함되는 트래픽을 수신하며, 상기 수신한 트래픽을 플로우별로 구분하는 플로우 구성부, 상기 구분한 각 플로우의 엔트로피(entropy)를 계산하고, 상기 계산한 엔트로피들의 평균을 계산하는 엔트로피 계산부, 및 상기 각 플로우의 엔트로피와 상기 평균을 비교하고, 상기 비교한 결과에 따라 상기 비정상적인 플로우를 구분하는 플로우 분류부를 포함한다.A network device according to an embodiment of the present invention includes a flow unit for receiving traffic including an unusual flow that the user desires and for classifying the received traffic by flow, An entropy calculation unit for calculating an average of the calculated entropy, and a flow classifier for comparing the entropy of each flow with the average, and classifying the abnormal flow according to the comparison result.

여기서, 상기 플로우 분류부는, 상기 각 플로우의 엔트로피가 상기 평균보다 클 때, 상기 비정상적인 플로우로 분류하는 것을 특징으로 한다.Here, the flow classifying unit classifies the flow into the abnormal flow when the entropy of each flow is larger than the average.

상기 플로우 분류부는, 상기 구분한 후보군의 비정상적인 플로우에 대하여 초당 패킷 생성량을 추가로 검사하여, 정상적인 플로우를 선별하는 것을 특징으로 한다.The flow classifying unit further checks a packet generation amount per second for an abnormal flow of the candidate group, and selects a normal flow.

또한 상기 플로우 분류부는, 상기 후보군의 비정상적인 플로우에 대한 초당 패킷 생성량을 패킷 생성량 임계치와 비교하여, 임계치보다 클 때 상기 비정상적인 플로우로 최종 분류하고, 임계치보다 작을 때 정상 플로우로 분류하는 것을 특징으로 한다.The flow classifying unit compares a packet generation amount per second with respect to an abnormal flow of the candidate group with a packet generation amount threshold, and finally classifies the packet into an abnormal flow when it is larger than a threshold value and classifies it into a normal flow when it is smaller than a threshold value.

상기 플로우 분류부는, 상기 패킷 생성량의 비교에 의해 분류된 상기 비정상적인 플로우에 대하여 송신지 포트 엔트로피를 추가로 검사하여, 서로 다른 종류의 상기 비정상적인 플로우를 구분하는 것을 특징으로 한다.The flow classifying unit further checks the transmission destination port entropy for the abnormal flows classified by the comparison of the packet generation amounts to distinguish the abnormal flows of different kinds.

상기 플로우 분류부는, 상기 비정상적인 플로우의 송신 포트 엔트로피를 송신지 포트 임계치와 비교하여, 임계치보다 클 때 분산서비스거부(DDoS) 공격의 공격 플로우(DDoS flow)로 분류하고, 임계치보다 작을 때 데이터 용량이 큰 헤비 플로우(heavy flow)로 분류하는 것을 특징으로 한다.The flow classifying unit compares a transmission port entropy of the abnormal flow with a transmission destination port threshold and classifies it into a DDoS flow of a distributed denial of service attack when the threshold is greater than a threshold value. And is classified into a large heavy flow.

한편, 상기 네트워크 장치는 상기 패킷 생성량 임계치 및 상기 송신지 포트 임계치에 대한 정보를 저장하는 저장부를 더 포함하는 것을 특징으로 한다.The network device may further include a storage unit for storing information on the packet generation amount threshold and the transmission destination port threshold.

또한 상기 네트워크 장치는 상기 공격 플로우가 제거된 상기 헤비 플로우 및 상기 정상적인 플로우들을 결합하거나, 상기 비정상적인 플로우가 제거된 상기 정상적인 플로우들만을 결합하여 출력하는 플로우 결합부를 더 포함하는 것을 특징으로 한다.The network device may further include a flow combining unit for combining the heavy flows and the normal flows from which the attack flow has been removed, or for combining and outputting only the normal flows from which the abnormal flow has been removed.

본 발명의 실시예에 따른 트래픽 처리 방법은 네트워크 장치의 트래픽 처리 방법에 있어서, 사용자가 원하지 않는 비정상적인 플로우가 포함되는 트래픽을 수신하며, 상기 수신한 트래픽을 플로우별로 구분하는 단계, 상기 구분한 각 플로우의 엔트로피를 계산하고, 상기 계산한 엔트로피들의 평균을 계산하는 단계, 및 상기 각 플로우의 엔트로피와 상기 평균을 비교하고, 상기 비교한 결과에 따라 상기 비정상적인 플로우를 구분하는 단계를 포함한다.A traffic processing method according to an exemplary embodiment of the present invention is a traffic processing method for a network device, the method comprising: receiving traffic including an unusual flow that the user does not desire, and classifying the received traffic by flow; Calculating an entropy of each flow and comparing the entropy of each flow with the average and distinguishing the abnormal flow according to the comparison result.

여기서, 상기 비정상적인 플로우를 구분하는 단계는, 상기 각 플로우의 엔트로피가 상기 평균보다 클 때, 상기 비정상적인 플로우로 분류하는 것을 특징으로 한다.Here, the step of classifying the abnormal flows may be classified into the abnormal flow when the entropy of each flow is greater than the average.

상기 비정상적인 플로우를 구분하는 단계는, 상기 구분한 후보군의 비정상적인 플로우에 대하여 초당 패킷 생성량을 추가로 검사하여, 정상적인 플로우를 선별하는 것을 특징으로 한다.The step of distinguishing the abnormal flow may further include inspecting a normal flow by inspecting a packet generation amount per second for an abnormal flow of the classified candidate group.

또한 상기 비정상적인 플로우를 구분하는 단계는, 상기 후보군의 비정상적인 플로우에 대한 초당 패킷 생성량을 패킷 생성량 임계치와 비교하여, 임계치보다 클 때 상기 비정상적인 플로우로 최종 분류하고, 임계치보다 작을 때 정상 플로우로 분류하는 것을 특징으로 한다.The step of classifying the abnormal flows may further include comparing the packet generation amount per second with respect to the abnormal flow of the candidate group to the packet generation amount threshold, finally classifying the abnormal flow into the abnormal flow when it is larger than the threshold value, .

상기 비정상적인 플로우를 구분하는 단계는, 상기 패킷 생성량의 비교에 의해 분류된 상기 비정상적인 플로우에 대하여 송신지 포트 엔트로피를 추가로 검사하여, 서로 다른 종류의 상기 비정상적인 플로우를 구분하는 것을 특징으로 한다.The distinguishing the abnormal flows may further include inspecting the transmission destination port entropy for the abnormal flows classified by the comparison of the packet generation amounts to distinguish the abnormal flows of different kinds.

상기 비정상적인 플로우를 구분하는 단계는, 상기 비정상적인 플로우의 송신 포트 엔트로피를 송신지 포트 임계치와 비교하여, 임계치보다 클 때 분산서비스거부(DDoS) 공격의 공격 플로우(DDoS flow)로 분류하고, 임계치보다 작을 때 데이터 용량이 큰 헤비 플로우(heavy flow)로 분류하는 것을 특징으로 한다.The step of distinguishing the abnormal flow includes comparing a transmission port entropy of the abnormal flow with a transmission destination port threshold and classifying the result into an attack flow of a distributed denial of service (DDoS) attack when the abnormal port flow is larger than a threshold value, The data is classified into a heavy flow having a large data capacity.

한편 상기 트래픽 처리 방법은 상기 패킷 생성량 임계치 및 상기 송신지 포트 임계치에 대한 정보를 저장하는 단계를 더 포함하는 것을 특징으로 한다.The traffic processing method may further include storing information on the packet generation amount threshold and the transmission destination port threshold.

또한 상기 트래픽 처리 방법은 상기 공격 플로우가 제거된 상기 헤비 플로우 및 상기 정상적인 플로우들을 결합하거나, 상기 비정상적인 플로우가 제거된 상기 정상적인 플로우들만을 결합하여 출력하는 단계를 더 포함하는 것을 특징으로 한다.The traffic processing method may further include combining the heavy flows and the normal flows from which the attack flow has been removed, or outputting the combined only normal flows from which the abnormal flow has been removed.

본 발명의 실시예에 따르면, 가령 서비스 서버에서 DDoS와 같은 공격을 받는다 할지라도 일반 트래픽과 헤비 트래픽의 정상적인 또는 안정적인 서비스 제공이 가능할 것이다.According to the embodiment of the present invention, even if the service server receives an attack such as DDoS, normal or stable service of general traffic and heavy traffic can be provided.

도 1은 본 발명의 실시예에 따른 트래픽 처리 시스템을 나타내는 도면,
도 2는 도 1의 네트워크 장치의 구조를 나타내는 블록다이어그램,
도 3은 본 발명의 제1 실시예에 따른 트래픽 처리 과정을 나타내는 흐름도,
도 4는 본 발명의 제2 실시예에 따른 트래픽 처리 과정을 나타내는 흐름도,
도 5는 Behavior를 적용했을 때의 트래픽 처리를 보여주는 도면, 그리고
도 6은 본 발명의 제안 방법을 이용한 트래픽 처리를 보여주는 도면이다.1 is a diagram illustrating a traffic processing system according to an embodiment of the present invention;
2 is a block diagram illustrating the structure of the network device of FIG. 1;
FIG. 3 is a flowchart illustrating a traffic processing procedure according to the first embodiment of the present invention.
4 is a flowchart illustrating a traffic processing procedure according to a second embodiment of the present invention.
5 is a diagram showing traffic processing when a behavior is applied, and
6 is a diagram illustrating traffic processing using the proposed method of the present invention.

이하, 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

도 1은 본 발명의 실시예에 따른 트래픽 처리 시스템을 나타내는 도면이다.1 is a diagram illustrating a traffic processing system according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 트래픽 처리 시스템(90)은 사용자 장치(100_1, 100_2), 통신망(110), 서비스 제공 장치(120) 및 관리자 장치(130)의 일부 또는 전부를 포함할 수 있다.1, the traffic processing system 90 according to the embodiment of the present invention may include a part of the user devices 100_1 and 100_2, the communication network 110, the service providing device 120 and the manager device 130, It can include everything.

여기서, 일부 또는 전부를 포함한다는 것은 사용자 장치(100_1, 100_2) 중 하나가 생략되어 구성되거나, 서비스 제공 장치(120) 및 관리자 장치(130) 중 적어도 하나가 생략되어 구성될 수 있음을 의미하는 것으로서, 본 발명의 충분한 이해를 돕기 위하여 전부 포함하는 것으로 설명한다.Including some or all of them means that one of the user devices 100_1 and 100_2 may be omitted or at least one of the service providing device 120 and the administrator device 130 may be omitted. , And to fully understand the present invention.

사용자 장치(100_1, 100_2)는 유무선 통신을 수행하기 위한 스마트폰 등의 휴대폰, 노트북, PDA(Personal Digital Assistants) 및 데스크 탑 컴퓨터 등을 모두 포함하는 의미이다. 이러한 사용자 장치(100_1, 100_2)는 음성 통화 및 데이터 통신과 같은 기본적인 통신 서비스 이외에도 멀티미디어 서비스의 이용이 가능하여 동영상이나 이미지와 같은 멀티미디어 컨텐츠를 서비스받을 수도 있을 것이다. 또한 사용자 장치(100_1, 100_2)는 통신망(110)을 구성하는 액세스포인트(AP), 즉 소형 기지국에 접속하여 위의 서비스들을 제공받을 수 있다.The user devices 100_1 and 100_2 include a mobile phone such as a smart phone for performing wired / wireless communication, a notebook computer, a personal digital assistant (PDA), and a desktop computer. These user devices 100_1 and 100_2 may use multimedia services in addition to basic communication services such as voice communication and data communication, and may receive multimedia contents such as moving pictures and images. Also, the user equipments 100_1 and 100_2 may be connected to an access point (AP) constituting the communication network 110, that is, a small base station, and receive the above services.

본 발명의 실시예에 따라 사용자 장치(100_1, 100_2) 중 하나는 다른 하나의 사용자 장치나 서비스 제공 장치(120), 또는 관리자 장치(130)와 같은 컴퓨터 시스템에 대한 불법 접근 및 네트워크 트래픽을 폭주시켜 정보를 유출하거나, 제대로 된 서비스를 제공하지 못하도록 하는 공격 장치가 될 수도 있을 것이다.According to an embodiment of the present invention, one of the user equipments 100_1 and 100_2 may cause illegal access to a computer system such as another user apparatus, the service providing apparatus 120, or the manager apparatus 130, It may be an attacking device that can leak information or prevent it from providing proper service.

통신망(110)은 유무선 통신망을 모두 포함한다. 여기서 유선망은 케이블망이나 공중 전화망(PSTN)과 같은 인터넷망을 포함하는 것이고, 무선 통신망은 CDMA, WCDMA, GSM, EPC(Evolved Packet Core), LTE(Long Term Evolution), 와이브로 망 등을 포함하는 의미이다. 따라서 통신망(110)이 유선 통신망인 경우 액세스포인트는 전화국의 교환국 등에 접속할 수 있지만, 무선 통신망인 경우에는 통신사에서 운용하는 SGSN 또는 GGSN(Gateway GPRS Support Node)에 접속하여 데이터를 처리하거나, BTS(Base Station Transmission), NodeB, e-NodeB 등의 다양한 중계기에 접속하여 데이터를 처리할 수 있다.The communication network 110 includes both wired and wireless communication networks. Here, the wired network includes an Internet network such as a cable network or a public switched telephone network (PSTN), and the wireless communication network includes means such as CDMA, WCDMA, GSM, Evolved Packet Core (EPC), Long Term Evolution (LTE) to be. Therefore, when the communication network 110 is a wired communication network, the access point can access the exchange of a telephone office. In the case of a wireless communication network, the access point can access the SGSN or GGSN (Gateway GPRS Support Node) Station Transmission), NodeB, e-NodeB, and the like.

또한 통신망(110)은 건물 내에 많이 설치되는 펨토(femto) 또는 피코(pico) 기지국과 같은 소형 기지국을 포함한다. 여기서, 펨토 또는 피코 기지국은 소형 기지국의 분류상 사용자 장치(100_1, 100_2)를 최대 몇 대까지 접속할 수 있느냐에 따라 구분된다. 물론 AP는 사용자 장치(100_1, 100_2)와 지그비 및 와이파이(Wi-Fi) 등의 근거리 통신을 수행하기 위한 근거리 통신 모듈을 포함한다. 본 발명의 실시예에서 근거리 통신은 와이파이 이외에 블루투스, 지그비, 적외선(IrDA), UHF(Ultra High Frequency) 및 VHF(Very High Frequency)와 같은 RF(Radio Frequency) 및 초광대역 통신(UWB) 등의 다양한 규격으로 수행될 수 있다. 이에 따라 AP는 데이터 패킷의 위치를 추출하고, 추출된 위치에 대한 최상의 통신 경로를 지정하며, 지정된 통신 경로를 따라 데이터 패킷을 다음 장치, 예컨대 사용자 장치(100_1, 100_2)로 전달할 수 있다.Also, the communication network 110 includes a small base station such as a femto or pico base station installed in a large number of buildings. Here, the femto or pico base station is classified according to the maximum number of user devices 100_1 and 100_2 that can be connected on the classification of the small base stations. Of course, the AP includes a user equipment (100_1, 100_2) and a short-range communication module for performing short-range communication such as ZigBee and Wi-Fi. In the embodiment of the present invention, the short-range communication includes a wide variety of radio frequency (RF) and ultra wideband (UWB) communications such as Bluetooth, Zigbee, IrDA, UHF and VHF Standard. Accordingly, the AP can extract the location of the data packet, specify the best communication path for the extracted location, and forward the data packet along the designated communication path to the next device, e.g., user device 100_1, 100_2.

또한 통신망(110)은 사용자 장치(100_1, 100_2)가 접속할 때, 트래픽(혹은 트래픽 내의 플로우)을 분류하기 위한 예컨대 라우터(router), 리피터(repeater) 및 중계기 등의 네트워크 장치(110_1)를 포함할 수 있다. 여기서 네트워크 장치(110_1)는 일반적인 네트워크 환경에서 여러 회선을 공유할 수 있는 것으로 볼 수 있는데, 본 발명의 실시예에 따라 트래픽 처리 장치라 명명될 수 있다. 본 발명의 실시예에 따른 네트워크 장치(110_1)는 공격 장치에 의한 비정상적인 플로우(혹은 패킷 데이터)를 구분하여, 정상적인 플로우만이 처리될 수 있도록 한다. 이를 위하여 네트워크 장치(110_1)는 데이터 트래픽을 구성하는 각각의 플로우에 대하여 엔트로피 즉 복잡도를 구하고, 각각의 엔트로피들을 이용하여 평균 엔트로피를 구한다. 그 후, 각각의 엔트로피와 평균 엔트로피를 비교하여 비교 결과에 따라 비정상적인 플로우를 구분해 낸다. 일종의 필터링 과정인 것이다. 이러한 과정은 본 발명의 실시예에 따라 비정상적인 플로우의 후보군을 선정하는 과정에 해당될 수 있다. 이에 더하여, 네트워크 장치(110_1)는 좀더 정밀한 플로우 분류를 위하여 플로우의 특성인 초당 패킷 생성량을 이용하여 가령 위의 후보군 중에서 정상적인 일반 플로우를 다시 선별해 낼 수 있다. 그 후, 송신지 포트의 엔트로피와 같은 플로우 특성을 다시 이용하여 비정상적인 플로우를 헤비 플로우와 공격 플로우로 구분하게 된다. 이에 따라, 네트워크 장치(110_1)는 입력된 트래픽에서 공격 플로우만을 제거한 후 일반 플로우와 헤비 플로우를 결합하여 출력할 수 있으며, 또는 일반 플로우만을 출력할 수도 있을 것이다. 본 발명의 실시예에서는 어떠한 방식으로 플로우를 출력하느냐에 특별히 한정하지는 않을 것이다.The communication network 110 also includes a network device 110_1 such as a router, a repeater, and a repeater for classifying traffic (or traffic flow) when the user devices 100_1 and 100_2 are connected . Here, the network device 110_1 can be viewed as being able to share a plurality of lines in a general network environment, and may be referred to as a traffic processing device according to an embodiment of the present invention. The network device 110_1 according to the embodiment of the present invention distinguishes an abnormal flow (or packet data) caused by an attack device so that only a normal flow can be processed. To this end, the network device 110_1 obtains the entropy, i.e., the complexity, of each flow constituting the data traffic, and obtains the average entropy using each entropy. Then, each entropy is compared with the average entropy, and the abnormal flow is classified according to the comparison result. It is a kind of filtering process. This process may correspond to a process of selecting a candidate group of an abnormal flow according to an embodiment of the present invention. In addition, the network device 110_1 can re-select the normal flow among the above candidates using the packet generation amount per second, which is a characteristic of the flow, for more accurate flow classification. Then, the flow characteristics such as the entropy of the transmission port are reused to distinguish the abnormal flow into the heavy flow and the attack flow. Accordingly, the network device 110_1 may remove the attack flow only from the input traffic, combine the general flow and the heavy flow, or may output only the general flow. In the embodiment of the present invention, there is no particular limitation on how the flow is outputted.

서비스 제공 장치(120)는 사용자 장치(100_1, 100_2)에서 요청하는 서비스를 제공하기 위한 장치로서, 예를 들어 방송국이나 야후(Yahoo)와 같은 전문 포털 사이트의 운용사에서 구비하는 일종의 서버일 수 있다. 물론 서비스 제공 장치(120)는 관공서에서 구비하는 서버도 포함할 수 있다. 이와 같은 서비스 제공 장치(120), 나아가 사용자 장치(100_1, 100_2) 및 관리자 장치(130)는 본 발명의 실시예에 따른 네트워크 장치(110_1)에 연결되어 운용됨으로써 가령 DDoS 공격이 있다 하더라도 안전하게 서비스를 제공하거나, 서비스를 제공받을 수 있다.The service providing apparatus 120 is a device for providing a service requested by the user apparatuses 100_1 and 100_2 and may be a kind of server provided by a management company of a specialized portal site such as a broadcasting station or Yahoo. Of course, the service providing apparatus 120 may also include a server provided in a government office. The service providing apparatus 120, and further the user apparatuses 100_1 and 100_2 and the administrator apparatus 130 are connected to the network apparatus 110_1 according to the embodiment of the present invention so that even if a DDoS attack occurs, Or provide services.

관리자 장치(130)는 가령 컴퓨터 장치로서 서비스 제공 장치(120)의 상태를 모니터링하는 장치에 해당된다고 볼 수 있다. 이를 통해 관리자 장치(130)는 서비스 제공 장치(120)의 데이터베이스(DB)를 관리하거나, 프로그램의 관리, 업데이트 등 서비스에 대한 전반적인 동작을 관리할 수 있을 것이다.The manager device 130 may be regarded as a computer device, for example, as a device for monitoring the status of the service providing device 120. [ Accordingly, the administrator device 130 can manage the database (DB) of the service providing apparatus 120, and manage the overall operation of the service, such as management and updating of the program.

도 2는 도 1의 네트워크 장치의 구조를 나타내는 블록다이어그램이다.2 is a block diagram illustrating the structure of the network device of FIG.

도 2를 도 1과 함께 참조하면, 본 발명의 실시예에 따른 네트워크 장치(110_1)는 플로우 구성부(200), 엔트로피 계산부(210), 플로우 분류부(220), 저장부(230) 및 합성부(240)의 일부 또는 전부를 포함하며, 패킷 생성량 계산부(미도시) 및 포트 엔트로피 계산부(미도시)의 일부 또는 전부를 더 포함할 수 있다. 나아가 제어부(미도시)를 더 포함할 수도 있을 것이다.2, a network device 110_1 according to an exemplary embodiment of the present invention includes a flow configuration unit 200, an entropy calculation unit 210, a flow classification unit 220, a storage unit 230, And may further include a part or all of the packet generation amount calculation unit (not shown) and a port entropy calculation unit (not shown). And may further include a control unit (not shown).

여기서, 일부 또는 전부를 포함한다는 것은 저장부(230)나 합성부(240)와 같은 일부 구성요소가 생략되어 구성되거나, 저장부(230), 패킷 생성량 계산부(미도시) 및 포트 엔트로피 계산부(미도시) 중 적어도 하나의 구성요소가 플로우 분류부(220)와 같은 다른 구성요소에 통합되어 구성될 수 있음을 의미하는 것으로서, 발명의 충분한 이해를 돕기 위하여 전부 포함하는 것으로 설명한다.Here, the part or all of them includes the storage part 230, the packet generation amount calculation part (not shown) and the port entropy calculation part (Not shown) may be configured to be integrated with other components, such as flow classifier 220, to fully understand the invention.

플로우 구성부(200)는 비정상적인 플로우를 갖는 트래픽이 입력되면 예를 들어 5개의 튜플을 이용하여 플로우를 구성한다. 다시 말해, 플로우 구성부(200)는 입력된 트래픽을 플로우 단위로 구분하여 재구성한다고 볼 수 있다. 이때 플로우 구성부(200)는 위의 5개의 튜플로서 송신지 주소, 목적지 주소, 송신지 포트 번호, 목적지 포트 번호, 프로토콜을 이용할 수 있다. 이에 따라 하나의 송신지 주소는 하나의 포트가 된다고 볼 수 있다. 다시 말해, 가령, 공격 플로우와 같은 비정상적인 플로우는 하나의 목적지 주소에 대하여 다수의 송신지 주소를 가질 수 있기 때문에 하나의 포트가 되는 것이다.The flow configuration unit 200 constructs a flow using, for example, five tuples when traffic having an abnormal flow is input. In other words, it can be seen that the flow configuration unit 200 classifies input traffic into flow units and reconstructs them. At this time, the flow configuration unit 200 can use the transmission destination address, the destination address, the destination port number, the destination port number, and the protocol as the above five tuples. Accordingly, one destination address can be regarded as one port. In other words, an unusual flow, such as an attack flow, is a port because it can have multiple destination addresses for a destination address.

이와 같은 플로우 구성 즉 플로우별 분류가 완료되면, 엔트로피 계산부(210)는 각 플로우에 대한 엔트로피를 계산하고, 각각 계산한 엔트로피들을 이용하여 평균 엔트로피를 계산할 수 있다. 각각의 엔트로피는 <수학식 1>로 표현될 수 있다.When the classification of each flow is completed, the entropy calculation unit 210 calculates the entropy of each flow, and calculates the average entropy using the calculated entropy. Each entropy can be expressed by Equation (1).

Figure 112013055183662-pat00001
Figure 112013055183662-pat00001

여기서, Pi는 전체 패킷 중에 플로우에 해당하는 패킷의 확률을 나타낸다.Here, Pi represents the probability of a packet corresponding to the flow in the entire packet.

이어, 엔트로피 계산부(210)는 많은 패킷을 가진 플로우를 고려하기 위하여 <수학식 1>에서 구한 각 플로우의 엔트로피를 이용해 엔트로피의 평균을 구한다. 이는 <수학식 2>와 같이 표현된다.Next, the entropy calculation unit 210 obtains an entropy average by using the entropy of each flow obtained in Equation (1) to consider a flow having many packets. This is expressed as Equation (2).

Figure 112013055183662-pat00002
Figure 112013055183662-pat00002

여기서, N(Xi)는 플로우의 수를 나타낸다.Here, N (Xi) represents the number of flows.

또한 플로우 분류부(220)는 각 플로우의 엔트로피와 엔트로피의 평균을 비교하여 비교 결과에 따라 헤비 플로우 및 공격 플로우와 같은 비정상적인 플로우들을 분류해 낼 수 있다. 이에 대하여, 플로우 분류부(220)는 가령 후보군으로서 비정상적인 플로우가 분류되었다면, 초당 패킷 생성량과 송신지 포트의 엔트로피를 추가로 이용함으로써 플로우 구분에 정밀성을 가할 수 있다.Also, the flow classifier 220 compares the entropy of each flow with the average of entropy, and classifies abnormal flows such as heavy flow and attack flow according to the comparison result. On the other hand, if the abnormal flow is classified as the candidate group, the flow classifying unit 220 can add precision to the flow classification by additionally using the packet generation amount per second and the entropy of the transmission destination port.

이하에서는 발명의 충분한 이해를 돕기 위하여 플로우의 엔트로피와 특성을 모두 이용하는 것을 예로 들어 설명하도록 한다.Hereinafter, in order to facilitate a sufficient understanding of the present invention, it is exemplified that both the entropy and the characteristics of the flow are used.

플로우 분류부(220)는 헤비 플로우와 공격 플로우의 후보군을 선발하기 위하여 <수학식 3>을 이용한다.The flow classifier 220 uses Equation (3) to select candidates for heavy flow and attack flow.

Figure 112013055183662-pat00003
Figure 112013055183662-pat00003

<수학식 3>에 근거해 볼 때, 각 플로우의 엔트로피 H(Xi)가 H(Xavg)보다 크다면 후보군으로 선택하고, 작거나 같다면 일반 플로우로 분류한다.Based on Equation (3), if the entropy H (Xi) of each flow is larger than H (Xavg), it is selected as a candidate group, and if it is smaller or equal, it is classified as a general flow.

또한 플로우 분류부(220)는 <수학식 3>에서 구한 후보군 C(Xi)에 대해 각 초당 패킷 생성량을 검사하여 패킷 생성량 임계치보다 작다면 일반 플로우로 구분한다. Also, the flow classifying unit 220 checks the packet generation amount per second for the candidate group C (Xi) obtained in Equation (3) and classifies it as a general flow if it is smaller than the packet generation amount threshold.

또한 패킷 생성량 임계치보다 큰 후보군은 다시 송신지 포트 임계치와 비교하여 송신지 포트 임계치보다 크면 공격 플로우, 작으면 헤비 플로우로 분류한다. 헤비 플로우와 공격 플로우의 분류는 <수학식 4>와 같이 표현될 수 있다.In addition, the candidate group larger than the packet generation amount threshold is classified as an attack flow if it is larger than the transmission port threshold and a heavy flow if it is smaller than the transmission port threshold. The classification of the heavy flow and the attack flow can be expressed as Equation (4).

Figure 112013055183662-pat00004
Figure 112013055183662-pat00004

이의 내용에 근거해 볼 때, 플로우 분류부(220)는 초당 패킷 생성량 및 송신지 포트의 엔트로피를 계산하거나, 패킷 생성량 계산부 및 포트 엔트로피 계산부에서 결과 제공받아 이용할 수 있다. 만약 이러한 초당 패킷 생성량 및 송신 포트의 엔트로피가 트래픽이 입력된 시점에서 판단되어야 하는 것이라면 플로우 구성부(200)로부터 측정 결과를 제공받아 이용할 수도 있으므로 본 발명의 실시예에서는 어떠한 방식으로 이용하느냐에 특별히 한정하지는 않을 것이다.Based on the contents, the flow classifying unit 220 may calculate the packet generation amount per second and the entropy of the transmission destination port, or may use the result by providing the result in the packet generation amount calculation unit and the port entropy calculation unit. If the entropy of the packet per second and the entropy of the transmission port are to be determined at the time when the traffic is input, the measurement result may be received from the flow generator 200, so that it is not particularly limited as to how to use the measurement result in the embodiment of the present invention I will not.

또한 상기의 내용들에 근거해 볼 때, 본 발명의 실시예에 따른 플로우 분류부(220)는 대소 비교와 결과 판단을 위한 판단부 또는 비교부를 포함할 수도 있다.Also, based on the above, the flow classifying unit 220 according to the embodiment of the present invention may include a judging unit or a comparing unit for comparing and comparing results.

저장부(230)는 플로우 분류부(220)에서 이용하기 위한 패킷 생성량 및 송신지 포트 임계치에 대한 임계치 정보를 저장할 수 있다. 다시 말해, 시스템 설계자는 가령 특정 실험 또는 경험칙에 의해 임계치에 대한 정보를 얻고, 이를 저장부(230)에 저장하였다가 플로우 분류부(220)의 요청시 제공할 수 있다. 물론 알고리즘 형태로 구현되는 경우에는 저장부(230)가 필요하지 않을 수 있으므로 본 발명의 실시예에서의 위의 구성에 특별히 한정하지는 않을 것이다.The storage unit 230 may store threshold information on a packet generation amount and a transmission destination port threshold for use in the flow classifier 220. [ In other words, the system designer can obtain information on the threshold value, for example, by a specific experiment or empirical rule, store it in the storage unit 230, and provide the information to the flow classifying unit 220 upon request. Of course, in the case of an implementation in the form of an algorithm, the storage unit 230 may not be necessary, and therefore, the present invention is not limited to the above configuration.

플로우 결합부(240)는 플로우 분류부(220)에서 분류되어 출력되는 일반 플로우들을 결합하여 출력할 수 있다. 다시 말해, 플로우 구성부(200)에서 분리된 플로우들이 플로우 결합부(240)를 통해 다시 결합된다고 볼 수 있다. 예를 들어, 플로우 결합부(240)는 가령 헤비 플로우와 공격 플로우를 비정상적인 플로우로 판단하였다면 일반 플로우들을 결합하여 출력할 것이고, 공격 플로우만을 비정상적인 플로우로 판단하였다면 일반 플로우와 헤비 플로우들을 결합하여 출력할 것이다.The flow combining unit 240 may combine and output general flows that are classified and output by the flow classifying unit 220. In other words, it can be seen that the flows separated by the flow forming unit 200 are coupled again through the flow combining unit 240. For example, if the heavy flow and the attack flow are determined to be abnormal flows, the flow combining unit 240 may combine and output the general flows. If the attack flow is determined to be an abnormal flow, the flow combining unit 240 outputs the combined general flow and heavy flows will be.

이에 따라 플로우 결합부(240)는 공격 플로우를 제거해 낸다는 점에서 필터링부라 명명될 수 있으며, 위의 기능을 수행하기 위하여 가산기 및 감산기 중 적어도 하나를 포함할 수 있을 것이다.Accordingly, the flow combining unit 240 may be called a filtering unit in that the attacking flow is eliminated, and may include at least one of an adder and a subtracter to perform the above function.

제어부는 본 발명의 실시예에서 반드시 필요하다고 볼 수는 없지만, 시스템 설계자의 의도에 따라 가령 네트워크 장치(110_1) 내의 플로우 구성부(200), 엔트로피 계산부(210), 플로우 분류부(220), 저장부(230) 및 합성부(240) 등의 전반적인 동작을 제어하도록 설계될 수도 있을 것이다.Although not necessarily required in the exemplary embodiment of the present invention, the control unit may be implemented by a flow designer 200, an entropy calculator 210, a flow classifier 220, The storage unit 230, the synthesis unit 240, and the like.

한편, 위의 네트워크 장치(110_1)를 구성하는 플로우 구성부(200), 엔트로피 계산부(210), 플로우 분류부(220), 저장부(230) 및 합성부(240)의 각각은 알고리즘 형태로 구현되거나, 일부 또는 전부가 하나로 통합되어 알고리즘의 형태로 구현될 수도 있을 것이다.The flow configuration unit 200, the entropy calculation unit 210, the flow classification unit 220, the storage unit 230, and the composition unit 240 constituting the above network device 110_1 may be implemented in an algorithm form Or some or all of them may be integrated into one and implemented in the form of an algorithm.

도 3은 본 발명의 제1 실시예에 따른 트래픽 처리 과정을 나타내는 흐름도이다.3 is a flowchart illustrating a traffic processing process according to the first embodiment of the present invention.

설명의 편의상 도 3을 도 1과 함께 참조하면, 본 발명의 실시예에 따른 네트워크 장치(110_1)는 비정상적인 플로우를 갖는 트래픽을 플로우별로 구분할 수 있다(S300). 예를 들어, 송신지 주소, 목적지 주소, 송신지 포트 번호, 목적지 포트 번호, 프로토콜과 같은 5개의 튜플을 이용하여 입력된 트래픽을 플로우 단위로 구분하여 재구성한다고 볼 수 있다. 여기서, 각 플로우는 하나의 사용자 장치(100_1, 100_2)를 위한 데이터 패키지가 될 수 있으며, 각각의 플로우는 5개의 튜플에 대한 각각의 패킷을 가진다고 볼 수 있다.Referring to FIG. 3, for convenience of description, FIG. 1 illustrates a network device 110_1 according to an exemplary embodiment of the present invention. The network device 110_1 may classify traffic having an abnormal flow by a flow (S300). For example, it can be seen that the input traffic is divided into flow units and reconstructed using five tuples such as a destination address, a destination address, a destination port number, a destination port number, and a protocol. Here, each flow may be a data package for one user device 100_1, 100_2, and each flow may have a respective packet for five tuples.

이어 네트워크 장치(110_1)는 구분한 각 플로우의 엔트로피를 계산하고, 각각 계산한 엔트로피들의 평균을 계산한다(S310). 이러한 엔트로피의 계산을 위하여 네트워크 장치(110_1)는 플로우 내 패킷의 수를 계산하거나, 전체 패킷을 구성하는 총 데이터량을 등을 계산할 수 있다.Next, the network device 110_1 calculates the entropy of each flow and calculates an average of the calculated entropy (S310). For calculation of such entropy, the network device 110_1 may calculate the number of packets in the flow, calculate the total amount of data constituting the entire packet, and the like.

이후 네트워크 장치(110_1)는 각각의 엔트로피와 평균을 비교하여 비교 결과에 따라 비정상적인 플로우를 분류할 수 있다(S320). 가령, 비교 결과 평균보다 작거나 같으면 정상적인 일반 플로우로 분류하고, 평균보다 크면 비정상적인 플로우로 분류할 수 있다. 즉 헤비 플로우나 공격 플로우로 판단하는 것이다.Thereafter, the network device 110_1 can compare the entropy with the average and classify the abnormal flow according to the comparison result (S320). For example, if the comparison result is less than or equal to the average, it is classified as a normal flow, and if it is larger than the average, the flow can be classified as an abnormal flow. That is, it is judged as a heavy flow or an attack flow.

이의 과정에서, 네트워크 장치(110_1)는 분류, 즉 비정상적인 플로우가 제거된 일반 플로우들만을 결합하여 출력할 수 있을 것이다.In the course of this, the network device 110_1 will be able to combine and output only the general flows for which classification, i.e., abnormal flow has been removed.

도 4는 본 발명의 제2 실시예에 따른 트래픽 처리 과정을 나타내는 흐름도이다.4 is a flowchart illustrating a traffic processing process according to a second embodiment of the present invention.

도 4를 도 1과 함께 참조하면, 본 발명의 실시예에 따른 네트워크 장치(110_1)는 도 3을 참조한 본 발명의 제1 실시예에서와 마찬가지로 플로우 구성 및 엔트로피를 계산하는 과정을 수행할 수 있다(S400, S410). 자세한 내용은 제1 실시예에서의 내용으로 대신하고자 한다.Referring to FIG. 4, with reference to FIG. 1, a network device 110_1 according to an embodiment of the present invention can perform a process of calculating a flow configuration and entropy as in the first embodiment of the present invention with reference to FIG. 3 (S400, S410). The details are the same as those in the first embodiment.

이어 네트워크 장치(110_1)는 각 플로우에 대한 엔트로피와 엔트로피의 평균을 비교하고, 비교 결과 각 플로우의 엔트로피가 크면 해당 플로우를 비정상적인 플로우의 후보군으로 선택하고, 작으면 일반 플로우로 구분한다(S420, S420').Then, the network device 110_1 compares the entropy of each flow and the average of the entropy. When the entropy of each flow is large as a result of the comparison, the network device 110_1 selects the flow as a candidate group of an abnormal flow, ').

또한 네트워크 장치(110_1)는 S420 단계에서, 후보군으로 선택된 비정상적인 각 플로우에 대하여 초당 패킷 생성량을 임계치와 비교하여, 비교 결과 임계치보다 크면 비정상적인 플로우로 구분하고, 작으면 일반 플로우로 다시 구분한다(S430, S430'). 이때 임계치 즉 패킷 생성량 임계치는 설계자의 실험 또는 경험칙에 의해 가령 메모리 등에 기저장되는 정보일 수 있다.In step S420, the network device 110_1 compares the packet generation amount per second with respect to each abnormal flow selected as the candidate group. If the packet generation amount is larger than the comparison result threshold, the network device 110_1 distinguishes the abnormal flow, S430 '). At this time, the threshold value, that is, the packet generation amount threshold value may be information stored in the memory or the like, for example, by an experiment or an empirical rule of the designer.

이어 네트워크 장치(110_1)는 비정상적인 플로우들에 대하여 송신지 포트의 엔트로피를 임계치와 비교함으로써 공격 플로우와 헤비 플로우를 구분해 낼 수 있다(S440, S440', S440"). 가령, 계산된 송신지 포트의 엔트로피와 기저장된 임계치를 비교한 결과, 임계치보다 크면 공격 플로우로 판단하고, 작으면 헤비 플로우로 판단할 수 있다. 이는 통상적으로 공격 플로우가 헤비 플로우에 비하여 더 많은 송신지 포트를 갖는다고 판단한 것에 기인하고 있다.Then, the network device 110_1 can distinguish the attack flow from the heavy flow by comparing the entropy of the sender port with the threshold value for abnormal flows (S440, S440 ', S440 "). For example, It is determined that the attack flow is larger than the threshold value and the heavy flow is determined to be smaller than the threshold value as a result of comparison between the entropy of the attack flow and the previously stored threshold value. .

나아가, 네트워크 장치(110_1)는 분류된 일반 플로우들만을 결합하여 출력하거나, 공격 플로우만을 제거하여 일반 플로우와 헤비 플로우를 결합하여 출력할 수 있을 것이다(S450).Furthermore, the network device 110_1 may combine and output only the classified general flows, or may combine the general flow and the heavy flow by removing only the attack flow (S450).

이하, 본 발명의 실시예에서 제안한 방법의 시뮬레이션 과정을 살펴보고자 한다. Hereinafter, a simulation process of the method proposed in the embodiment of the present invention will be described.

도 5는 Behavior를 적용했을 때의 트래픽 처리를 보여주는 도면이고, 도 6은 본 발명의 제안 방법을 이용한 트래픽 처리를 보여주는 도면이다.FIG. 5 is a diagram illustrating traffic processing when a behavior is applied, and FIG. 6 is a diagram illustrating traffic processing using a proposed method of the present invention.

본 발명의 실시예에서는 제안한 방법의 성능을 분석하기 위해 OPNET를 이용하여 실험하였다. 실험 토폴로지 구성은 7개의 노드와 1개의 서버, 그리고 3개의 라우터로 스타망을 구성하였다.In the embodiment of the present invention, OPNET was used to analyze the performance of the proposed method. Experimental topology consisted of 7 nodes, 1 server and 3 routers.

각 노드의 역할로는 DDoS 공격 트래픽(280 packets/sec)을 생성하는 노드(0, 1, 2, 5, 6)와 웹 서비스, 전자 메일 등에 사용하는 일반 트래픽(40 paceket/sec)을 생성하는 노드(3, 4) 그리고 P2P 또는 FTP 등에 사용하는 헤비 트래픽(100 packet/sec)을 생성하는 노드(7)가 있다. 각 노드에서 생성한 트래픽은 서버로 향하며 서버와 가까운 라우터에서 트래픽을 수집하였다.The role of each node is to generate general traffic (40 pace / sec) used for nodes (0, 1, 2, 5, 6) generating DDoS attack traffic (280 packets / Nodes 3 and 4, and a node 7 for generating heavy traffic (100 packets / sec) used for P2P, FTP, or the like. The traffic generated by each node is directed to the server and collected traffic from the router close to the server.

실험에 이용된 임계값으로 초당 패킷 생성량은 50이고, 송신 포트의 임계값은 30이며 트래픽을 분류할 때 공격 트래픽이면 전달하지 않게 설정하였다.The threshold value used in the experiments is 50 packets per second and the threshold value of the send port is 30,

도 5 및 도 6은 DDoS 공격 상황일 때 서버와 가까운 라우터에서 트래픽을 분류하는 것을 보여주고 있다. 도 5는 behavior를 적용했을 때 트래픽을 분류하는 것을 보여주는 것으로, 도 5는 목적지 IP 엔트로피를 기반으로 송신지 포트의 엔트로피와 송신지 IP의 엔트로피가 크고 목적지 포트의 엔트로피가 적으면 공격 트래픽으로 분류하는 것을 보여준다.5 and 6 show traffic classification in the router near the server when the DDoS attack situation is present. FIG. 5 shows classification of traffic when the behavior is applied. FIG. 5 shows classification of the traffic based on the destination IP entropy and the entropy of the destination port and the entropy of the destination IP and the entropy of the destination port is small. .

여기서 입력 트래픽이 공격 트래픽과 같은 특징을 가지면 공격으로 판단하고 모두 차단하는 것을 볼 수 있다.If the input traffic has the same characteristics as the attack traffic, it is judged as an attack and all the traffic is blocked.

반면, 도 6은 제안한 방법을 적용했을 때 트래픽을 분류하는 것을 보여주는 것으로, 도 5에서는 엔트로피만을 이용하여 공격을 탐지하였지만 제안한 방법은 엔트로피와 초당 패킷 생성량, 그리고 송신 포트의 임계치를 이용함으로써 공격 트래픽을 정확하게 탐지하고 차단하며, 일반 플로우와 헤비 플로우 또한 잘 분류하여 서비스가 이루어지고 있음을 보여주고 있다.In contrast, FIG. 6 shows classification of traffic when the proposed method is applied. In FIG. 5, although the attack is detected using only entropy, the proposed method uses the entropy, the packet generation amount per second, It accurately detects and blocks them, and it shows that the general flow and heavy flow are also categorized into services.

결론적으로, 본 발명의 실시예에서 제안한 방법은 엔트로피와 플로우의 특성을 이용하여 공격 트래픽, 헤비 트래픽, 일반 트래픽을 분류하는 것을 제안하였다. 사회적으로 문제가 되는 공격 트래픽과 많은 대역폭을 차지하고 있는 헤비 트래픽을 분류해 냄으로써, 제어 방법에 따라 각 트래픽을 조절하는 것이 가능하게 된다. 이를 통하여 서버에서는 공격을 받는 중에도 일반 트래픽과 헤비 트래픽의 정상적인 서비스 제공이 가능하다. 제안한 방법의 탐지 성능은 실험 결과를 통해 제시하였다. 성능을 분석하기 위하여 실험적으로 결정된 임계값을 사용하였는데 이러한 값은 추후 알고리즘의 효율을 위해 충분히 수정될 여지가 있다.In conclusion, the proposed method of the present invention classifies attack traffic, heavy traffic, and general traffic using entropy and flow characteristics. It is possible to control each traffic according to the control method by classifying the attack traffic which is a problem in society and the heavy traffic which occupies a lot of bandwidth. Through this, it is possible to provide normal service of normal traffic and heavy traffic while receiving attack. The detection performance of the proposed method is presented through experimental results. Experimentally determined thresholds were used to analyze the performance, and these values could be modified enough for future algorithm efficiency.

한편 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(computer readable media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.While the present invention has been described in connection with what is presently considered to be the most practical and preferred embodiment, it is to be understood that the invention is not limited to the disclosed embodiments. That is, within the scope of the present invention, all of the components may be selectively coupled to one or more of them. In addition, although all of the components may be implemented as one independent hardware, some or all of the components may be selectively combined to perform a part or all of the functions in one or a plurality of hardware. As shown in FIG. The codes and code segments constituting the computer program may be easily deduced by those skilled in the art. Such a computer program may be stored in a computer readable medium and read and executed by a computer to implement an embodiment of the present invention. As the storage medium of the computer program, a magnetic recording medium, an optical recording medium, a carrier wave medium, or the like may be included.

이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어서는 안 될 것이다.While the invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the present invention.

100_1, 100_2: 사용자 장치 110: 통신망
110_1: 네트워크 장치 120: 서비스 제공 장치
130: 관리자 장치 200: 플로우 구성부
210: 엔트로피 계산부 220: 플로우 분류부
230: 저장부 240: 플로우 결합부100_1, 100_2: user equipment 110: communication network
110_1: Network device 120: Service providing device
130: Manager device 200: Flow component
210: entropy calculation unit 220: flow classification unit
230: storage part 240: flow coupling part

Claims (16)

사용자가 원하지 않는 비정상적인 플로우(flow)가 포함되는 트래픽을 수신하며, 상기 수신한 트래픽을 플로우별로 구분하는 플로우 구성부;
상기 구분한 각 플로우의 엔트로피(entropy)를 계산하고, 상기 계산한 엔트로피들의 평균을 계산하는 엔트로피 계산부; 및
상기 각 플로우의 엔트로피와 상기 평균을 비교하고, 상기 비교한 결과에 따라 상기 비정상적인 플로우를 구분하는 플로우 분류부;를
포함하고,
상기 플로우 분류부는,
상기 비정상적인 플로우의 송신 포트 엔트로피를 기저장된 송신지 포트 임계치와 비교하여, 임계치보다 클 때 분산 서비스 거부(DDoS) 공격의 공격 플로우(DDoS flow)로 분류하고, 임계치보다 작을 때 데이터 용량이 큰 헤비 플로우(heavy flow)로 분류하는 것을 특징으로 하는 네트워크 장치.A flow configuration unit for receiving traffic including an unusual flow that the user desires and for classifying the received traffic by flow;
An entropy calculation unit for calculating an entropy of each of the divided flows and calculating an average of the calculated entropy; And
A flow classifying unit for comparing the entropy of each flow with the average and classifying the abnormal flow according to the comparison result;
Including,
The flow classifying unit,
(DDoS) attack when the transmission port entropy of the abnormal flow is larger than a threshold value and classifies the DDoS flow into a DDoS flow when the threshold is greater than a threshold value, (heavy flow). &lt; / RTI &gt; 제1항에 있어서,
상기 플로우 분류부는,
상기 각 플로우의 엔트로피가 상기 평균보다 클 때, 상기 비정상적인 플로우로 분류하는 것을 특징으로 하는 네트워크 장치.The method according to claim 1,
The flow classifying unit,
And when the entropy of each flow is larger than the average, classifies the flow into the abnormal flow. 제1항에 있어서,
상기 플로우 분류부는,
상기 구분된 비정상적인 플로우에 대하여 초당 패킷 생성량을 추가로 검사하여, 정상적인 플로우를 선별하는 것을 특징으로 하는 네트워크 장치.The method according to claim 1,
The flow classifying unit,
Further checks the packet generation amount per second for the distinguished abnormal flow, and selects a normal flow. 제3항에 있어서,
상기 플로우 분류부는,
상기 비정상적인 플로우에 대한 초당 패킷 생성량을 패킷 생성량 임계치와 비교하여, 임계치보다 클 때 상기 비정상적인 플로우로 최종 분류하고, 임계치보다 작을 때 정상 플로우로 분류하는 것을 특징으로 하는 네트워크 장치.The method of claim 3,
The flow classifying unit,
Comparing the packet generation amount per second with respect to the abnormal flow with a packet generation amount threshold, finally classifying the packet into an abnormal flow when the packet generation amount is larger than a threshold value, and classifying the packet into a normal flow when the packet generation amount is smaller than a threshold value. 제4항에 있어서,
상기 플로우 분류부는,
상기 패킷 생성량의 비교에 의해 분류된 상기 비정상적인 플로우에 대하여 송신지 포트 엔트로피를 추가로 검사하여, 서로 다른 종류의 상기 비정상적인 플로우를 구분하는 것을 특징으로 하는 네트워크 장치.5. The method of claim 4,
The flow classifying unit,
And further checks the transmission destination port entropy for the abnormal flows classified by the comparison of the packet generation amounts to distinguish the abnormal flows of different kinds. 삭제delete 제5항에 있어서,
상기 패킷 생성량 임계치 및 상기 송신지 포트 임계치에 대한 정보를 저장하는 저장부;를 더 포함하는 것을 특징으로 하는 네트워크 장치.6. The method of claim 5,
And a storage unit for storing information on the packet generation amount threshold and the transmission destination port threshold. 제5항에 있어서,
상기 공격 플로우가 제거된 상기 헤비 플로우 및 상기 정상적인 플로우들을 결합하거나, 상기 비정상적인 플로우가 제거된 상기 정상적인 플로우들만을 결합하여 출력하는 플로우 결합부;를 더 포함하는 것을 특징으로 하는 네트워크 장치.6. The method of claim 5,
Further comprising: a flow combining unit for combining the heavy flows and the normal flows from which the attack flow has been removed, or for combining and outputting only the normal flows from which the abnormal flow has been removed. 네트워크 장치의 트래픽 처리 방법에 있어서,
사용자가 원하지 않는 비정상적인 플로우(flow)가 포함되는 트래픽을 수신하며, 상기 수신한 트래픽을 플로우별로 구분하는 단계;
상기 구분한 각 플로우의 엔트로피(entropy)를 계산하고, 상기 계산한 엔트로피들의 평균을 계산하는 단계; 및
상기 각 플로우의 엔트로피와 상기 평균을 비교하고, 상기 비교한 결과에 따라 상기 비정상적인 플로우를 구분하는 단계;를 포함하고,
상기 비정상적인 플로우를 구분하는 단계는,
상기 비정상적인 플로우의 송신 포트 엔트로피를 송신지 포트 임계치와 비교하여, 임계치보다 클 때 분산 서비스 거부(DDoS) 공격의 공격 플로우(DDoS flow)로 분류하고, 임계치보다 작을 때 데이터 용량이 큰 헤비 플로우(heavy flow)로 분류하는 것을 특징으로 하는 트래픽 처리 방법.A traffic processing method for a network device,
The method comprising the steps of: receiving traffic including an unexpected flow that is not desired by a user, and classifying the received traffic by flow;
Calculating entropy of each of the divided flows and calculating an average of the calculated entropy; And
Comparing the entropy of each flow with the average, and classifying the abnormal flow according to the comparison result;
The step of distinguishing the abnormal flow includes:
The transmission port entropy of the abnormal flow is compared with the transmission destination port threshold. If the transmission port entropy of the abnormal flow is greater than the threshold value, it is classified as a DDoS flow of the DDoS attack. When the threshold is smaller than the threshold value, flow). &lt; / RTI &gt; 제9항에 있어서,
상기 비정상적인 플로우를 구분하는 단계는,
상기 각 플로우의 엔트로피가 상기 평균보다 클 때, 상기 비정상적인 플로우로 분류하는 것을 특징으로 하는 트래픽 처리 방법.10. The method of claim 9,
The step of distinguishing the abnormal flow includes:
And when the entropy of each flow is greater than the average, classifies the traffic into the abnormal flow. 제9항에 있어서,
상기 비정상적인 플로우를 구분하는 단계는,
상기 구분한 비정상적인 플로우에 대하여 초당 패킷 생성량을 추가로 검사하여, 정상적인 플로우를 선별하는 것을 특징으로 하는 트래픽 처리 방법.10. The method of claim 9,
The step of distinguishing the abnormal flow includes:
And further checks the packet generation amount per second for the abnormal flow, and selects a normal flow. 제11항에 있어서,
상기 비정상적인 플로우를 구분하는 단계는,
상기 비정상적인 플로우에 대한 초당 패킷 생성량을 패킷 생성량 임계치와 비교하여, 임계치보다 클 때 상기 비정상적인 플로우로 최종 분류하고, 임계치보다 작을 때 정상 플로우로 분류하는 것을 특징으로 하는 트래픽 처리 방법.12. The method of claim 11,
The step of distinguishing the abnormal flow includes:
Comparing a packet generation amount per second with respect to the abnormal flow with a packet generation amount threshold, finally classifying the packet into an abnormal flow when the packet generation amount is larger than a threshold value, and classifying the packet into a normal flow when the packet generation amount is smaller than a threshold value. 제12항에 있어서,
상기 비정상적인 플로우를 구분하는 단계는,
상기 패킷 생성량의 비교에 의해 분류된 상기 비정상적인 플로우에 대하여 송신지 포트 엔트로피를 추가로 검사하여, 서로 다른 종류의 상기 비정상적인 플로우를 구분하는 것을 특징으로 하는 트래픽 처리 방법.13. The method of claim 12,
The step of distinguishing the abnormal flow includes:
And further examining a destination port entropy for the abnormal flow classified by the comparison of the packet generation amount to distinguish the abnormal flows of different kinds. 삭제delete 제13항에 있어서,
상기 패킷 생성량 임계치 및 상기 송신지 포트 임계치에 대한 정보를 저장하는 단계;를 더 포함하는 것을 특징으로 하는 트래픽 처리 방법.14. The method of claim 13,
And storing information on the packet generation amount threshold and the transmission destination port threshold. 제13항에 있어서,
상기 공격 플로우가 제거된 상기 헤비 플로우 및 상기 정상적인 플로우들을 결합하거나, 상기 비정상적인 플로우가 제거된 상기 정상적인 플로우들만을 결합하여 출력하는 단계;를 더 포함하는 것을 특징으로 하는 트래픽 처리 방법.14. The method of claim 13,
Combining the heavy flows and the normal flows from which the attack flow has been removed, or combining only the normal flows from which the abnormal flow has been removed, and outputting.
KR1020130071096A 2013-06-20 2013-06-20 Network Apparatus and Method for Processing Traffic Active KR101428573B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130071096A KR101428573B1 (en) 2013-06-20 2013-06-20 Network Apparatus and Method for Processing Traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130071096A KR101428573B1 (en) 2013-06-20 2013-06-20 Network Apparatus and Method for Processing Traffic

Publications (1)

Publication Number Publication Date
KR101428573B1 true KR101428573B1 (en) 2014-08-11

Family

ID=51750012

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130071096A Active KR101428573B1 (en) 2013-06-20 2013-06-20 Network Apparatus and Method for Processing Traffic

Country Status (1)

Country Link
KR (1) KR101428573B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000501899A (en) 1995-07-14 2000-02-15 テレフオンアクチーボラゲツト エル エム エリクソン(パブル) System and method for optimal virtual path capacity allocation with broadband traffic
KR20050098603A (en) * 2004-04-08 2005-10-12 홍충선 Method for defending distributed denial of service using active router
KR101326804B1 (en) 2012-11-19 2013-11-11 서울대학교산학협력단 Distributed denial of service detection method and system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000501899A (en) 1995-07-14 2000-02-15 テレフオンアクチーボラゲツト エル エム エリクソン(パブル) System and method for optimal virtual path capacity allocation with broadband traffic
KR20050098603A (en) * 2004-04-08 2005-10-12 홍충선 Method for defending distributed denial of service using active router
KR101326804B1 (en) 2012-11-19 2013-11-11 서울대학교산학협력단 Distributed denial of service detection method and system

Similar Documents

Publication Publication Date Title
US9769190B2 (en) Methods and apparatus to identify malicious activity in a network
EP2832040B1 (en) System and method for root cause analysis of mobile network performance problems
EP3507960B1 (en) Clustering approach for detecting ddos botnets on the cloud from ipfix data
Kholidy et al. 5g core security in edge networks: A vulnerability assessment approach
US8065731B1 (en) System and method for malware containment in communication networks
CN104954376B (en) A kind of adaptive anti-attack method and device
Papadopoulos et al. A novel graph-based descriptor for the detection of billing-related anomalies in cellular mobile networks
US11972334B2 (en) Method and apparatus for generating a combined isolation forest model for detecting anomalies in data
CN113821793A (en) A method and system for constructing multi-stage attack scenarios based on graph convolutional neural network
Trabelsi et al. Dynamic rule and rule‐field optimisation for improving firewall performance and security
Yuan et al. Insight of Anomaly Detection with NWDAF in 5G
US8806002B2 (en) P2P activity detection and management
CN103957547B (en) Node reputation evaluation method and system for wireless sensor network
CN113452676A (en) Detector allocation method and Internet of things detection system
CN103488657B (en) A kind of data table correlation method and device
CN116471196A (en) Operation and maintenance monitoring network maintenance method, system and equipment
US9742769B2 (en) Method and system for determining trusted wireless access points
KR101428573B1 (en) Network Apparatus and Method for Processing Traffic
CN117914914B (en) Method and system for rapidly probing large IPv6 network asset
CN112633353A (en) Internet of things equipment identification method based on packet length probability distribution and k nearest neighbor algorithm
CN110912933A (en) A device identification method based on passive measurement
US7995595B1 (en) Method for efficiently detecting node addresses
CN110995696B (en) Method and device for discovering forged MAC group
Atayero et al. Neural-encoded fuzzy models for load balancing in 3GPP LTE
KR101503718B1 (en) Apparatus and Method for Traffic Classification, Apparatus and Method for Building Traffic Classification Program, Computer Readable Media

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20130620

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20140430

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140722

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140804

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140805

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20170725

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20170725

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20180724

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20180724

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190725

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20190725

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20220727

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20240729

Start annual number: 11

End annual number: 11