| 1 |
1
인터넷 프로토콜(IP) 네트워크 환경에서의 트래픽 분석장치로서, 상기 네트워크 모니터링 지점을 지나는 패킷들을 수집하고, 상기 수집된 패킷에 해당하는 플로우 정보를 생성하는 플로우 정보 생성부와, 상기 수집된 패킷들로부터 서버 포트 정보를 생성하고, 상기 생성된 서버 포트 정보를 바탕으로, 상기 플로우 정보 중에서 TCP 플로우에 대한 서버 포트를 결정하는 플로우 중요 포트 결정부와, IP 트래픽을 발생시키는 응용들을 분석하며, 상기 분석된 각 응용들의 트래픽 타입 정보를 트래픽 타입 정보 테이블에 저장하는 응용별 트래픽 타입 관리부와, 상기 플로우 정보와 응용별 트래픽 타입 정보를 이용하여 플로우들 사이의 특성적 상관관계와 위치적 상관관계를 바탕으로 상기 플로우들의 응용 프로그램을 결정하여 응용별 플로우 정보 테이블에 저장하는 응용별 트래픽 분류 결정부 를 포함하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 2 |
2
제 1 항에 있어서, 상기 플로우 정보 생성부는, 상기 네트워크 모니터링 지점을 통해 수신되는 패킷의 헤더 정보를 추출하는 패킷 수집부와, 상기 추출된 패킷 헤더 정보를 이용하여 일정 시간동안 같은 근원지 IP주소, 목적지 IP 주소, 근원지 포트번호, 목적지 포트번호, 프로토콜 번호를 갖는 패킷별 정보를 통합시켜 플로우 정보를 생성하는 플로우 생성부와, 상기 생성된 플로우 정보를 저장하는 플로우 정보 테이블을 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 3 |
3
제 2 항에 있어서, 상기 패킷 수집부는, 상기 네트워크 모니터링 지점을 지나는 패킷을 캡쳐하여 수집하는 수집 필터부와, 상기 수집된 패킷이 단편화되지 않은 패킷일 경우, 상기 패킷의 헤더를 분석해 트래픽 분석에 필요한 패킷 헤더 정보를 추출하는 헤더 정보 추출부와, 상기 수집된 패킷이 단편화된 패킷일 경우, 상기 패킷을 재조립하는 패킷 재조립부를 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 4 |
4
제 2 항에 있어서, 상기 플로우 생성부는, 상기 수집된 패킷이 기존 플로우에 존재할 경우, 상기 플로우 정보 테이블에 해당 플로우의 패킷 수와 플로우 길이 정보를 갱신하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 5 |
5
제 4 항에 있어서, 상기 플로우 생성부는, 상기 수집된 패킷이 기존 플로우에 존재하지 않으면, 상기 수집된 패킷을 새로운 플로우로 생성시킨 플로우 정보를 상기 플로우 정보 테이블에 등록하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 6 |
6
제 5 항에 있어서, 상기 플로우 정보 테이블은, 상기 플로우 생성부에 의해 생성된 플로우별 플로우 시작 시간, 플로우 끝 시간, 근원지 IP 주소, 목적지 IP 주소, 근원지 포트 번호, 목적지 포트 번호, 프로토콜 번호, 패킷 갯수, 플로우 길이의 플로우 정보를 등록 저장하는 것을 특징으로 IP 네트워크 환경에서의 트래픽 분석장치
|
| 7 |
7
제 1 항에 있어서, 상기 플로우 중요 포트 결정부는, 상기 네트워크 모니터링 지점을 지나는 패킷들을 수집하여 서버 포트 정보를 추출하는 SYN 패킷 수집부와, 상기 추출된 서버 포트 정보를 저장하는 서버 포트 정보 테이블과, 상기 서버 포트 정보 및 기 세팅된 임의의 가정을 바탕으로 상기 플로우 정보 테이블의 플로우의 근원지 포트번호와 목적지 포트번호 중에서 응용 프로그램을 결정하기 위한 중요포트를 결정하는 TCP 플로우 서버 포트 결정부를 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 8 |
8
제 7 항에 있어서, 상기 SYN 패킷 수집부는, 상기 네트워크 모니터링 지점을 지나는 패킷 중 TCP SYN 패킷, 혹은 TCP SYN-ACK 패킷을 수집하는 SYN 수집 필터부와, 상기 SYN 수집 필터부로부터 인가되는 TCP SYN 패킷, 혹은 TCP SYN-ACK 패킷에서 서버 포트 정보를 추출하는 서버 포트 정보 추출부와, 상기 서버 포트 정보만을 유지하도록 측정하는 타이머와, 상기 서버 포트 정보를 검사하여 정해진 갱신 시간을 초과할 경우, 갱신 처리를 마치고 다음 서버 포트 정보를 검사하는 서버 포트 정보 갱신부를 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 9 |
9
제 7 항에 있어서, 상기 서버 포트 정보 테이블은, 자체 테이블내의 서버 포트 정보의 존재 여부에 따라, 기존 서버 포트 정보가 존재하면 상기 서버 포트 정보 중에 패킷 탐지 시간을 갱신하며, 기존 서버 포트 정보가 존재하지 않으면 새로운 서버 포트정보를 생성하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 10 |
10
제 7 항에 있어서, 상기 TCP 플로우 서버 포트 결정부는, 상기 서버 포트 정보에서 TCP 플로우들을 추출하는 TCP 플로우 추출부와, 상기 추출된 TCP 플로우의 포트를 상기 기 세팅된 임의의 가정, 즉 TCP 플로우(fa)의 근원지 IP 주소와 근원지 포트 번호가 서버 포트 정보 테이블에 존재하면 TCP 플로우(fa)의 근원지 포트 번호가 중요 포트 번호이고, TCP 플로우(fa)의 목적지 IP 주소와 목적지 포트 번호가 서버 포트 정보 테이블에 존재하면 TCP 플로우(fa)의 목적지 포트 번호가 중요 포트 번호이며, TCP 플로우(fa)의 중요포트가 결정되어 있으면, TCP 플로우(rfa)의 역방향 TCP 플로우의 중요포트도 결정되며, TCP 플로우(fa)의 중요 포트가 근원지 포트이며, TCP 플로우(fb)의 근원지 IP 주소와 근원지 포트 번호가 TCP 플로우(fa)의 근원지 IP 주소와 근원지 포트번호와 같다면 TCP 플로우의 중요포트는 근원지 포트이며, TCP 플로우(fa)의 중요 포트가 목적지 포트이고 TCP 플로우(fb)의 목적지 IP 주소와 목적지 포트 번호가 TCP 플로우(fa)의 목적지 IP 주소와 목적지 포트번호와 같다면 TCP 플로우의 중요포트는 목적지 포트이며, TCP 플로우(fa)의 근원지 IP 주소와 근원지 포트번호가 TCP 플로우(fb)의 근원지 IP 주소와 근원지 포트 번호와 같으면, TCP 플로우(fa)와 TCP 플로우(fb)의 중요포트는 근원지 포트이며, TCP 플로우(fa)의 목적지 IP 주소와 목적지 포트번호가 TCP 플로우(fb)의 목적지 IP 주소와 목적지 포트번호와 같다면, TCP 플로우(fa)와 TCP 플로우(fb)의 중요포트는 목적지 포트인 가정을 기준으로 판단하여 중요 포트를 결정하여 적용하는 가정 적용부와, 상기 적용된 TCP 플로우들을 검사하여 플로우들 사이에 플로우 내용이 중복된 경우, 상기 중복된 정보를 하나의 정보로 통합하여 상기 플로우 정보 테이블에 제공하는 중복성 검사 및 저장부를 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 11 |
11
제 1 항에 있어서, 상기 응용별 트래픽 타입 관리부는, 인터넷 기반의 응용 프로그램들이 트래픽을 발생시키는 타입을 분류하는 트래픽 타입 분류표와, 상기 응용 프로그램들이 고유의 서비스를 수행하기 위해 발생시키는 트래픽 타입 정보를 조사하는 응용별 트래픽 타입 조사부와, 상기 조사된 트래픽 타입 정보를 기록 저장하는 트래픽 타입 정보 테이블을 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 12 |
12
제 11 항에 있어서, 상기 트래픽 타입 분류표는, 고정된 포트 번호를 사용하여 하나의 상대 호스트 및 세션을 열어 서비스하는 응용 프로그램 타입인 Type S-F-2와, 고정된 포트번호를 사용하여 하나의 상태 호스트와 2개 이상의 세션을 열어 서비스하는 응용 프로그램 타입인 Type M-F-2와, 하나의 상대 호스트와 연결하여 두개 이상의 세션을 열고, 동적으로 생성된 포트 번호를 사용하여 서비스하는 응용 프로그램 타입인 Type M-D-2와, 둘 이상의 상대 호스트와 통신을 하고, 고정된 포트 번호를 사용하며, 둘 이상의 세션을 형성하는 응용 프로그램 타입인 Type M-F-3과, 둘 이상의 상태 호스트와 통신하고, 둘 이상의 세션을 형성하며, 동적으로 생성된 포트 번호를 사용하는 응용 프로그램 타입인 Type M-D-3으로 분류하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 13 |
13
제 11 항에 있어서, 상기 응용별 트래픽 타입 조사부는, 상기 트래픽 타입 분류표를 바탕으로, 인터넷 기반 응용 프로그램들의 동작 및 트래픽 발생 형태를 패킷 캡쳐 및 분석 도구를 이용하여 응용별 트래픽 타입 조사를 실시하여 트래픽 타입 정보 테이블에 기록하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 14 |
14
제 11 항에 있어서, 상기 트래픽 타입 정보는, 응용 프로그램 이름과, 상기 응용 프로그램을 대표하기 위한 포트번호인 대표 포트 번호와, 상기 응용 프로그램을 고정적으로 사용하기 위한 TCP 포트번호인 TCP 고정 포트 번호와, 상기 응용 프로그램을 고정적으로 사용하기 위한 UDP 포트번호인 UDP 고정 포트 번호와, 트래픽 타입으로 이루어진 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 15 |
15
제 1 항에 있어서, 상기 응용별 트래픽 분류 결정부는, 상기 플로우 정보 테이블에 저장된 플로우 정보와, 트래픽 타입 정보 테이블에 저장된 트래픽 타입 정보간의 플로우들의 특성적, 위치적 상관관계를 기반으로 응용 프로그램별로 플로우들을 분류하여 그룹화하는 플로우 특성 기반 그룹화 블록과, 상기 플로우 특성 기반 그룹화 블록에 의해 그룹화된 플로우 그룹과, 상기 트래픽 타입 정보 테이블로부터 제공받은 트래픽 타입 정보를 이용하여 동일한 응용 프로그램별로 플로우 그룹을 통합하는 플로우 위치 기반 그룹화 블록과, 상기 플로우 위치 기반 그룹화 블록에 의해 통합된 플로우 그룹의 플로우들을 응용 플로우 정보로 갱신하여 저장하는 응용별 플로우 정보 테이블을 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 16 |
16
제 15 항에 있어서, 상기 플로우 특성 기반 그룹화 블록은, 기 세팅된 임의의 제2가정, 즉 플로우(fa)가 어떤 응용 프로그램(Aa)에 속한다면, 그 플로우(fa)의 역방향 플로우(rfa) 역시 같은 응용 프로그램(Aa)에 속하는 가정이고, 플로우(fa)와 플로우(fb)가 서로 근원지 IP 주소, 근원지 포트번호, 트랜스포트 프로토콜이 같다면, 두 플로우(fa)(fb)는 같은 응용 프로그램에 속하는 가정이며, 플로우(fa)와 플로우(fb)가 서로 목적지 IP 주소, 목적지 포트번호, 트랜스포트 프로토콜이 같다면, 두 플로우(fa)(fb)는 같은 응용 프로그램에 속하는 가정을 기반으로 플로우들을 그룹화하며, 스택을 이용하여 반복적인 방식으로 그룹화하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 17 |
17
제 16 항에 있어서, 상기 플로우 특성 기반 그룹화 블록은, TCP 플로우의 경우, 변화된 임의의 제3가정, 즉 TCP 플로우(fa)가 어떤 응용 프로그램(Aa)에 속한다면, 그 TCP 플로우(fa)의 역방향 TCP 플로우(rfa) 역시 같은 응용 프로그램(Aa)에 속한다는 가정이고, TCP 플로우(fa)의 근원지 포트번호가 "0"이고, TCP 플로우(fa)와 TCP 플로우(fb)가 근원지 IP 주소, 근원지 포트번호, 목적지 포트번호가 같다면, 두 TCP 플로우(fa)(fb)는 같은 응용 프로그램에 속한다는 가정이며, TCP 플로우(fa)의 근원지 포트번호가 "0"이고, TCP 플로우(fa)와 TCP 플로우(fb)가 목적지 IP 주소, 근원지 포트번호, 목적지 포트번호가 같다면, 두 TCP 플로우(fa)(fb)는 같은 응용 프로그램에 속한다는 가정이며, TCP 플로우(fa)의 목적지 포트번호가 "0"이고, TCP 플로우(fa)와 TCP 플로우(fb)가 근원지 IP 주소, 근원지 포트번호, 목적지 포트번호가 같다면, 두 TCP 플로우(fa)(fb)는 같은 응용 프로그램에 속한다는 가정이며, TCP 플로우(fa)의 목적지 포트번호가 "0"이고, TCP 플로우(fa)와 TCP 플로우(fb)가 목적지 IP 주소, 근원지 포트번호, 목적지 포트번호가 같다면, 두 TCP 플로우(fa)(fb)는 같은 응용 프로그램에 속한다는 가정을 바탕으로 TCP 플로우들 사이의 그룹화를 실시하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 18 |
18
제 15 항에 있어서, 상기 플로우 위치 기반 그룹화 블록은, 상기 트래픽 타입 정보 중 Type S-F-2, Type M-F-2, Type M-F-3에 속하는 응용 프로그램 트래픽을 구분하여 응용 프로그램의 이름을 결정하는 고정 포트 응용 결정부와, 상기 고정 포트 응용 결정부에 의해 응용 프로그램이 결정되지 않은 플로우 그룹들과 기 세팅된 확률적 임의의 제4가정, 즉 같은 시간에 서로 다른 두 호스트에서 생성된 두 플로우는 같은 응용 프로그램에 의해 생성될 확률이 제일 높은 것으로 가정하며, 같은 시간에 하나의 호스트에서 생성된 두 플로우는 같은 응용 프로그램에 의해 생성될 확률이 제일 높은 것으로 가정하는 것을 적용하여 상기 트래픽 타입 정보 내 Type M-D-2 및 Type M-D-3의 내용을 바탕으로 응용 프로그램들의 플로우를 결정하는 변동 포트 응용 결정부를 포함하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 19 |
19
제 18 항에 있어서, 상기 변동 포트 응용 결정부는, 각 플로우 그룹들 사이의 그룹 가중치를 계산하고, 특정 임계치를 두어 그룹 가중치가 특정 임계치를 넘을 경우, 플로우 그룹들을 통합하는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 20 |
20
제 19 항에 있어서, 상기 그룹 가중치는, 두 그룹에 속한 플로우들 사이의 플로우 가중치를 기반으로 계산되는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 21 |
21
제 20 항에 있어서, 상기 플로우 가중치는, 의 수학식에 의해 계산되며, 상기 그룹 가중치는, 의 수학식에 의해 계산되는 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 22 |
22
제 15 항에 있어서, 상기 응용 플로우 정보는, 플로우 시작 시간, 플로우 끝 시간, 근원지 IP 주소, 목적지 IP 주소, 근원지 포트 번호, 목적지 포트 번호, 프로토콜 번호, 패킷 개수, 플로우 길이, 대표 포트 번호로 이루어진 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
| 23 |
22
제 15 항에 있어서, 상기 응용 플로우 정보는, 플로우 시작 시간, 플로우 끝 시간, 근원지 IP 주소, 목적지 IP 주소, 근원지 포트 번호, 목적지 포트 번호, 프로토콜 번호, 패킷 개수, 플로우 길이, 대표 포트 번호로 이루어진 것을 특징으로 하는 IP 네트워크 환경에서의 트래픽 분석장치
|
