• KIPS Transactions on Computer and Communication Systems
• /
• v.2 no.8
• /
• pp.335-342
• /
• 2013

Nowadays, the traffic type and behavior are extremely diverse due to the growth of network speed and the appearance of various services on Internet. For efficient network operation and management, the importance of application-level traffic identification is more and more increasing in the area of traffic analysis. In recent years traffic identification methodology using statistical features of traffic flow has been broadly studied. However, there are several problems to be considered in the identification methodology base on statistical features of flow to improve the analysis accuracy. In this paper, we recognize these problems by analyzing the ground-truth traffic and propose the solution of these problems. The four problems considered in this paper are the distance measurement of features, the selection of the representative value of features, the abnormal behavior of TCP sessions, and the weight assignment to the feature. The proposed solutions were verified by showing the performance improvement through experiments in campus network.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.901-904
• /
• 2006

인터넷 사용자들의 무선 네트워크의 활용빈도가 점차 높아지고 무선 네트워크의 보안시스템도 요구되면서 무선 네트워크의 안정적이고 원활한 활용과 사용자의 정보 노출의 위험을 줄이고자 유무선 통합형 IDS/IPS도 개발되고 있는 단계다. 본 논문에서는 무선랜 환경을 지원하는 유무선 IPS시스템을 구현하고, 비정상적인 트래픽 탐지의 효율성을 높여 IPS 시스템의 성능향상에 기여정도를 파악 및 분석하였다. 본 논문에서 구축한 IPS시스템은 하이브리드 형태로 구현하였으며 Snort-inline[11]과 Snort-wireless[12] 모듈을 사용하여 무선 랜 이상탐지 기능을 구현하였다. 네트워크 모니터링 시스템으로 네트워크의 트래픽 상황을 파악하여 비정상적인 트래픽이 증가되었을 경우, 제안한 IPS시스템에서 비정상 트래픽의 탐지 및 차단 기능을 기존 IPS와 성능을 비교/분석하였다.

• Electronics and Telecommunications Trends
• /
• v.30 no.4
• /
• pp.181-190
• /
• 2015

요즘 3.20 대란이나 한수원 침해사고 같은 각종 사이버 공격이 빈번하게 발생하고 있다. 이러한 사이버 공격에 대응하기 위하여 네트워크 트래픽을 수집 저장하고 사이버 공격분석에 사용하려는 다양한 노력이 행해지고 있다. 그러나 일반적으로 10Gbps 같은 고속 네트워크에서 네트워크 트래픽을 수집 저장하는 것은 쉬운 일이 아니다. 그래서 이 문건에서는 10Gbps 네트워크 트래픽 수집 저장에 관한 기술동향을 다루고 이어서 수집된 대용량 트래픽을 효율적으로 검색하기 위하여 비트맵 인덱스를 생성하는 다양한 방법을 소개하고 마지막으로 비트맵 인덱스를 사용한 효율적인 검색방법에 대해 소개한다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2003.10a
• /
• pp.656-660
• /
• 2003

최근들어 네트워크 트래픽 폭주 공격에 의한 피해 사례가 속출하고 있다. 지난해 7월, 전세계적으로 많은 피해를 일으켰던 코드레드(CodeRed)공격뿐만 아니라 지난 1월 전국의 인터넷망을 마비시켰던 1.25대란 역시 트래픽 폭주 공격으로 국가적인 차원에서 많은 손실을 일으켰던 대표적인 사례이다. 흔히 인터넷 대란이라고 일컬어지는 트래픽 폭주 공격 및 웹해킹은 갈수록 경제적인 손실 및 피해규모가 커지고 기법도 다양해지도 있어, 트래픽 유형 분석 및 대응에 관한 연구가 필요하다. 본 고는 이러한 트래픽 폭주 공격의 개념을 정의하고 유형별로 분석하고자 한다. 또한 소규모 망에서 기존의 네트워크 장비 및 서버를 이용하여 이 공격들을 대응할 수 있는 방법을 제시하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2013.05a
• /
• pp.407-410
• /
• 2013

전 세계적으로 초고속 인터넷이 보급화 되고 대중화 되는 현재 컴퓨터 온라인 게임 산업뿐만 아니라 스마트폰 모바일 게임 산업이 빠르게 성장하면서 고정된 장소에서 게임하는 시대는 가고 이동 중 게임하는 시대가 열렸다. 이와 동시에 모바일 게임 트래픽 또한 점차 증가되고 있는 실정이다. 본 논문은 모바일 게임의 트래픽 분석을 위해 서로 다른 특성의 게임인 애니팡과 드래곤 플라이트를 이용하여 모바일 속도 측정 프로그램인 벤치비로 트래픽 변동 상황을 정리하고 tPacketCapture 프로그램과 네트워크 측정 분석기인 Wireshark로 일정한 시간 간격을 두고 총 패킷의 수와 전송되는 패킷의 크기 등에 대한 체계적인 네트워크 데이터를 분석하여 시간적 제한이 있는 보드 퍼즐 게임의 특성을 지닌 애니팡은 게임 진행상에서 빈번하게 데이터 패킷이 송 수신 되고 시간적 제한이 없는 슛팅 게임의 특성을 지닌 드래곤 플라이트는 게임 시작과 종료 지점에서만 주로 데이터 패킷이 송 수신 된다는 것을 알 수 있었다. 이러한 스마트폰 모바일 게임의 트래픽 분석은 향후 모바일 게임 네트워크의 성능 평가나 다른 모바일 게임의 설계 및 개발 등에 활용 될 수 있을 것이다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• v.9 no.1
• /
• pp.848-851
• /
• 2005

The BcN is applying from public networks to local networks and each terminal step by step until 2007. By IPv6 network introduction, IP address lack problem can be solved. However, the threats that network attacks of another method can be caused with new problem of network security in IPv6 networks. In this paper, we suggest the traffic analysis tool which analyze IPv6 traffic efficiently to detect/response network attack in IPv6 environment. The implemented IPv6 traffic analysis tool uses IPv6 header to analyze traffic and detect network attacks. Also, we also propose detection algorithm to detect network attacks in IPv6 networks.

• Journal of IKEEE
• /
• v.13 no.2
• /
• pp.140-149
• /
• 2009

Traffic anomaly detection is one of important technology that should be considered in network security and administration. In this paper, we propose an abnormal traffic detection mechanism that includes traffic monitoring and traffic analysis. We develop analytical passive monitoring system called WISE-Mon which can inspect traffic behavior. We establish a criterion by analyzing the characteristics of a traffic training set. To detect abnormal traffic, we derive a hyperplane by using Fisher linear discriminant and chi-square distribution as well as the analyzed characteristics of traffic. Our mechanism can support reliable results for traffic anomaly detection and is compatible to real-time detection. In addition, since the trend of traffic can be changed as time passes, the hyperplane has to be updated periodically to reflect the changes. Accordingly, we consider the self-learning algorithm which reflects the trend of the traffic and so enables to increase the pliability of detection probability. Numerical results are presented to validate the accuracy of proposed mechanism. It shows that the proposed mechanism is reliable and relevant for traffic anomaly detection.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.04b
• /
• pp.1077-1080
• /
• 2001

본 논문에서는 트래픽 상태를 기반으로 네트워크 패킷의 상호관계에 따라 트래픽을 제어하는 방화벽 모델을 제시한다. 기존의 방화벽은 단순한 필터링 메커니즘과 보안 정책으로 복잡하고 다양해진 네트워크 트래픽 패턴에 효과적으로 대응할 수 없었다. 그러나, 본 논문에서는 네트워크 트래픽의 정보를 정적인 상태 정보와 동적인 상태 정보로 구분하여 수집하고 이러한 정보를 보안 정책에 의하여 생성된 상태 그래프의 의사 결정에 반영함으로서 트래픽의 미세한 변화에도 효과적이고 다양한 대응을 할 수 있도록 하였다. 그리고, 트래픽 분석기, 네트워크 에이전트, 관리자 인터페이스로 구분함으로서 관리자 인터페이스의 형태와 위치의 독립성을 높임으로서 보다 효과적인 사용환경을 제공하도록 하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2020.05a
• /
• pp.203-206
• /
• 2020

소프트웨어 정의 네트워크(Software-Defined Networking; SDN) 기술은 기존 네트워크 기술의 폐쇄성과 복잡성의 한계를 극복하고, 중앙 집중적 관리 및 프로그래밍 기반의 네트워크 서비스를 제공할 수 있는 장점이 있다. 그러나 SDN 환경에서도 다른 네트워크 환경처럼 악의적인 DDoS 공격으로 인해 전체 네트워크 서비스가 마비될 수도 있는 문제가 있다. 이러한 문제를 해결하기 위한 기존의 연구들은 공격이 인입되는 스위치 포트를 차단하거나, 공격자의 출발지 주소 자체를 차단하는 기법 등이 있으나 공격 트래픽과 함께 정상 트래픽까지 차단하는 문제가 있다. 본 논문에서는 SDN 환경에서 DDoS 공격 발생 시 악의적인 트래픽만 방어하고, 정상적인 트래픽은 최대한 허용하는 서비스 Flow 기반의 방어 기법을 제안한다. 제안 기법은 SDN 환경에서 Flow 분석을 통해 DDoS 공격을 탐지한 후 이를 접근제어 리스트 방식을 통해 공격 트래픽만을 차단하는 것이 가능하다. 실험 결과를 통해 공격자의 악의적인 트래픽은 차단하고, 정상적인 트래픽은 허용하는 것이 확인되었다.

• The KIPS Transactions:PartC
• /
• v.8C no.3
• /
• pp.327-334
• /
• 2001

네트워크를 설계하고 서비스를 구현하는데 있어서 중요한 변수중의 하나는 트래픽의 특성을 파악하는 것이다. 기존의 트래픽 예측과 분석은 포아송(Poisson) 또는 마코비안(Markovian)을 기본으로 하는 모델을 사용하였다. LAN, WAN 및 VBR(Variable Bit Rate) 트래픽 특성에 관한 최근의 실험적 연구들은 기존의 포아송 가정에 의한 모델들이 네트워크 트래픽의 장기간 의존성 및 self-similar 특성들을 과소평가 함으로써 실제 트래픽의 특성을 제대로 나타낼 수 없다는 것을 지적해 왔다. 따라서 최근 실제 트래픽 모델과 유사한 모델로서 self-similarity 특성을 이용한 접근법이 대두되고 있다. 본 논문에서는 self-similarity 트래픽의 정의에 대해서 논한다. 그리고 실제 트래픽을 수집하고, 인위적으로 self-similarity한 트래픽과 포아송 모델을 적용시킨 트래픽을 발생시켜 비교한 다음 ATM 스위치의 큐(Queue)에 적용하였다. 본 논문에서는 ATM 스위치의 큐에 self-similarity 트래픽을 적용했을 경우 low bound상에서 버퍼 오버플로우 확률 및 셀 손실 확률에 대해 평가하였다.