Abstract
Internet traffic volume has been increasing rapidly due to popularization of various smart devices and Internet development. In particular, HTTP-based traffic volume of smart devices is increasing rapidly in addition to desktop traffic volume. The increased mobile traffic can cause serious problems such as network overload, web security, and QoS. In order to solve these problems of the Internet overload and security, it is necessary to accurately detect applications. Traditionally, well-known port based method is utilized in traffic classification. However, this method shows low accuracy since P2P applications exploit a TCP/80 port, which is used for the HTTP protocol; to avoid firewall or IDS. Signature-based method is proposed to solve the lower accuracy problem. This method shows higher analysis rate but it has overhead of signature generation. Also, previous signature-based study only analyzes applications in HTTP protocol-level not application-level. That is, it is difficult to identify application name. Therefore, previous study only performs protocol-level analysis. In this paper, we propose a signature generation method to classify HTTP-based traffics in application-level using the characteristics of typical semi HTTP header. By applying our proposed method to campus network traffic, we validate feasibility of our method.
오늘날 인터넷의 발달과 더불어 다양한 스마트 기기들의 증가로 인하여 많은 양의 트래픽이 발생하고 있다. 특히 기존의 데스크탑 이외의 다양한 모바일 기기와 스마트 디바이스에서는 HTTP 기반의 응용 트래픽이 많이 증가하고 있다. 이렇게 증가하는 모바일 트래픽은 인터넷에 망 과부하, 웹보안과 같은 다양한 문제들을 발생시키고 있다. 인터넷 망의 과부하 및 보안 문제를 해결하기 위해서는 우선적으로 응용의 정확한 탐지가 필요하다. 이를 위하여 전통적으로는 잘 알려진 포트 기반의 분석 방법이 사용되었다. 그러나 과도한 트래픽을 발생시켜 방화벽이나 IDS 장비에서 포트를 제한한 P2P 응용 프로그램들이 포트를 변경하여 사용하기 때문에 포트 기반의 분석은 정확성이 떨어진다. 이를 보안하기 위하여 제안된 시그니쳐 기반의 분석 방법의 경우 잘 알려진 포트 기반 분석 방법에 비해 비교적 높은 분석률과 정확성을 가지지만 분석에 필요한 시그니쳐를 생성해야 하는 오버헤드를 가지고 있다. 또한 기존의 시그니쳐에 생성에 관한 연구는 각각의 응용에 대해 분류하고 분석하지만 HTTP를 이용하는 트래픽에 대해서는 프로토콜 레벨의 분석만 가능할 뿐 HTTP를 전송 프로토콜로 사용하는 응용 프로그램의 분류와 같은 깊이 있는 분석이 이루어지지 않고 있다. 본 논문에서는 HTTP 헤더의 반정형적인 특성을 바탕으로 HTTP 기반 응용을 정확히 탐지하기 위한 시그니쳐 생성 방법에 대하여 제시하고 있다. 이를 학내망 트래픽에 실제 적용함으로써 본 논문의 타당성을 보인다.