• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2006년도 가을 학술발표논문집 Vol.33 No.2 (D)
• /
• pp.128-131
• /
• 2006

IPv6 프로토콜은 현재 인터넷 프로토콜로 사용되고 있는 IPv4 프로토콜이 가지고 있는 주소 부족 문제, 미흡한 QoS의 제공, 다양한 보안 문제 등을 해결하도록 설계된 차세대 인터넷 표준이다. IPv4에서 IPv6로의 전환이 이루어지고 있는 과정이지만, 아직까지 IPv6가 많이 사용되고 있지는 않고 있어 IPv6 트래픽 모니터링 도구 및 침입대응 장비도 많이 나와 있지 않다. 그러나, IPv6 네트워크가 점진적으로 등장하고 전환이 됨에 따라 IPv6에서 발생할 수 있는 각종 인터넷 침해사고에 대한 대비가 필요하다. 이미 IPv6 프로토콜의 허점을 이용한 서비스 거부공격, 디폴트 라우터 위장공격 등 IPv4에서 발생했던 이상트래픽, IPv6 확장헤더를 이용한 이상트래픽 및 IPv6-over-IPv4 터널링 등의 이상트래픽 발생이 보고되고 있다. 이에 본 논문은 IPv6 프로토콜에서 발생할 수 있는 이상트래픽에 대해 살펴보고, 이러한 이상트래픽의 탐지를 위해 IETF 표준인 IPFIX 템플릿을 이상 트래픽 탐지가 가능하게 제안한다. 제안된 IPFIX 플로우 메시지를 이용하여 간단하게 IPv6 이상 트래픽을 분류하는 방법도 제시하였다.

• 한국통신학회논문지
• /
• 제30권4C호
• /
• pp.296-304
• /
• 2005

본 논문에서는 네트워크의 생존성을 보장하고 신뢰성 높은 인터넷 서비스를 제공하기 위해 인터넷의 액세스점에 위치하는 예측기반 이상 트래픽 제어기(ATCoP, Abnormal Traffic Controller based on Prediction)를 제안한다. ATCoP는 네트워크로 유입되는 트래픽 중 이상 트래픽을 제어하는 방법으로서, 알려지지 않은 공격에 의해 트래픽이 과다하게 발생하는 경우에, 정상 트래픽에 우선권을 주기 위해 서비스 성공률을 측정하고 그 결과를 기준으로 정상 트래픽용 예약 채널의 수를 결정하여 정상 트래픽의 서비스 수준을 보장함으로써 서비스 생존성을 높히는 방법이다. 만일 예약 채널의 수가 증가하면, 이상트래픽에 할당되는 채널의 수가 감소하게 되어 이상트래픽의 서비스 생존율은 감소하게 된다. 분석결과, 제안 방식은 입력트래픽의 특정 범위에서는 정상트래픽의 블록킹율을 일정 수준으로 유지시켜주는 효과가 있음을 알 수 있었다.

• 한국정보과학회논문지:정보통신
• /
• 제33권3호
• /
• pp.201-217
• /
• 2006

본 논문에서는 실제 인터넷 백본으로부터 일주일간 캡쳐한 트래픽을 대상으로 기초 통계 분석을 하고, 여기서 발생한 이상트래픽을 분석한다. 이상트래픽은 국외에서 국내로 유입되는 UDP 기반 트래픽에서 나타났다. 트래픽 자료에 대한 탐색적 분석 결과 packets/sec 분포와 bytes/sec 분포에서 이상트래픽이 발생할 경우에 나타나는 새로운 형태의 특성이 발견되었다. 본 연구에서는 이러한 이상트래픽의 원인이 되는 플로우를 분류하기 위하여 자율학습(unsupervised learning) 방법의 하나인 분류분석(k-means clustering)을 이용하였으며, 분류된 플로우의 특성분석을 토대로 발생한 이상트래픽은 DoS 공격의 일종에 의한 것으로 결론지었다. 또한 본 연구에서는 이상트래픽의 원인이 되는 플로우의 존재 시점을 탐지하기 위하여 새로운 기법을 제시한다. 제시된 기법은 분포적합검정(goodness of fit test)의 한 방법인 Cramer-Von-Misses 검정에서 쓰이는 통계량에 바탕을 두고 있으며 1초 단위의 탐지기법이다. 제시된 기법의 응용 결과, 이상트래픽의 존재 시점으로 판단된 시점과 DoS 공격으로 판단된 플로우들의 시점이 일치함을 확인할 수 있었다.

• 한국정보과학회논문지:정보통신
• /
• 제37권4호
• /
• pp.263-271
• /
• 2010

SIP와 RTP를 기반으로 한 인터넷 전화 서비스가 널리 보급되고 있다. 이와 함께 VoIP 전화연결 지연, 방해, 종료 및 음성 통화 품질 감소 등의 피해를 주는 VoIP 이상 트래픽들이 등장하기 시작했다. 국내 대부분의 VoIP 응용들은 현재 표준으로 정의되어 있는 보안 프로토콜을 사용하지 않고 있어 공격자가 패킷을 쉽게 스니핑하고 사용자의 정보 및 헤더 정보를 얻을 수 있을 뿐만 아니라 이상 트래픽을 쉽게 생성시킬 수 있다. 본 논문에서는 무선랜 상에서 SIP/RTP 패킷 스니핑을 통하여 CANCEL, BYE DoS 및 RTP 플러딩 이상 트래픽의 생성 방법과 플로우 기반 트래픽 모니터링을 통하여 VoIP 응용 이상 트래픽 탐지 방법을 제시한다. 실제 상용 VoIP 망에서 실험한 결과 이들 이상 트래픽을 97% 탐지하였다.

• 한국정보과학회논문지:정보통신
• /
• 제36권2호
• /
• pp.69-79
• /
• 2009

오늘날의 인터넷은 일상생활에서 필수적인 요소가 되었으며, 인터넷의 이상 현상은 사회적 문제가 되고 있다. 이 때문에 인터넷 트래픽의 특성을 연구하기 위한 인터넷 측정 연구가 주목을 받고 있다. 특히 최근에는 트래픽 분산 그래프(TDG, Traffic Dispersion Graph)라는 새로운 트래픽 분석 기법이 제안되었다. TDG는 기존의 트래픽의 통계적 표현과 분석이 아닌, 그래프를 이용하여 네트워크 요소들의 상호작용을 표현하는 기법이다. 본 연구에서는 새로운 이상 탐지 기법의 패러다임과 TDG를 활용한 이상 탐지 기법을 제시한다. 기존의 이상 탐지 패러다임은 "비정상 패킷이나 플로우(Abnormal Packets or Flows)를 탐지하여 제거하자"는 것이지만, 본 연구에서는 "이상 트래픽의 근원이 되는 이상 호스트(Anomalous Hosts)를 탐지하여 이상 현상에 대응할 것"을 제안한다. 이를 위해서 TDG 클러스터링 기법(TDG Clustering Technique)을 고안하였다. 제안한 기법에 대한 실험에서 짧은 시간 안에 웜 바이러스(Worm Virus)에 감염된 호스트들을 찾아낼 수 있었고, 그 호스트들이 발생하는 이상 트래픽을 제거하여 정상적인 트래픽을 얻을 수 있었다. TDG 클러스터링 기법은 연산 속도가 빠르므로 실시간 이상 탐지에 적용될 수 있을 것으로 기대된다.

• 한국통신학회논문지
• /
• 제33권5B호
• /
• pp.304-309
• /
• 2008

본 논문에서는 시계열 예측 모델을 이용하여 웡 또는 바이러스 등과 같은 공격 트래픽에 의해 네트워크상에 발생할 수 있는 트래픽 이상 징후를 탐지할 수 있는 예측 모델 기반 트래픽 이상 징후 탐지 기법을 제안한다. 제안 기법은 비교적 정확한 예측모델로 알려져 있는 ARIMA 모델을 이용하였고 이상 징후 여부를 확률값으로 변화하여 확률 임계값에 따라 이상 징후를 탐지하도록 하여 그 성능을 극대화할 수 있도록 하였다. 이를 위해 제안 기법을 네트워크상에 발생시킨 웜과 같은 비정상 공격 트래픽을 포함한 전체 트래픽과 웹 트래픽에 적용하여 트래픽의 이상 징후를 신뢰성 있는 수준에서 탐지함을 보여주었다. 이 기법을 네트워크 기반의 침입탐지시스템에 적용할 강제 큰 효과 가져올 수 있을 것이다.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2003년도 추계학술발표대회(하)
• /
• pp.529-532
• /
• 2003

침입 탐지를 위하여 수집되는 네트웍 트래픽은 보통 분석 처리 프로그램으로 입력되기 위해 수치적으로 표현된다. 이러한 데이터로부터 그 가운데 드러나는 경향을 한 눈에 발견하는 데에는 어려움이 있어, 이에 대해 프로토콜, 서비스 및 세션 등을 기준으로 분류하는 처리를 수행한 결과를 바탕으로 세세한 분석과정을 거치는 것이 일반적이다. 네트웍 트래픽 데이터를 도시하여 그 추이를 직관적으로 살필 수 있게 한다면 여러 기준에 따라 분류된 각 트래픽이 가지는 특징을 쉽게 발견할 수 있다. 이러한 트래픽 추이와 특징 파악의 용이함은 트래픽에서 비정상적인 부분을 식별해내는 것을 쉽게 한다 이것은 시스템 관리자가 현재 해당 시스템에 설치되어 작동되고 있는 침입탐지 시스템이나 방화벽 시스템에 대해 독립적으로 편리하게 네트웍 트래픽의 특징을 살피고 이상을 발견할 수 있도록 하며, 경고되거나 차단되지 않은 이상에 대해 신속히 대응할 기회를 준다. 이에 본 연구에서는 네트웍 트래픽들의 특징을 설명할 수 있는 요소들을 조합하여 표현함으로써 네트웍 트래픽의 특징과 이상 파악에 편리한 데이터 도시 방법을 제안한다.

• 한국통신학회논문지
• /
• 제30권1C호
• /
• pp.107-115
• /
• 2005

본 논문에서는 네트워크의 생존성을 보장하고 신뢰성 높은 인터넷 서비스를 제공하기 위한 차세대 보안기술로서 인터넷의 액세스점에 위치하는 이상 트래픽 제어기(ATC, Abnormal Traffic Controller)를 제안한다. ATC의 주요 개념은 이상 트래픽 감지와 트래픽 제어기술에 있는데, 네트워크에서 에러의 요인이 계속 존재하거나 반복되는 경우 이상 트래픽 제어를 통해 서비스 완료성을 가능한 보장하는 것을 그 목적으로 한다. 분석결과, 이상 트래픽 중 유효 트래픽의 비율이 $30{\%}$를 초과하는 경우에는 이상 트래픽에 대한 제어정책을 사용하는 ATC는 기존의 네트워크 노드 뿐만 아니라 차단정책을 사용하는 ATC보다 우수한 성능을 나타내었다. 과다 트래픽의 알려지지 않은 공격이 발생하는 경우, 높은 오탐지율로 인해 기존의 네트워크 IDS로는 한계가 있는데, 이러한 환경에서 ATC는 네트워크 노드를 도와서 이상 트래픽을 제어하는데 주요한 역할을 수행하게 된다.

• KNOM Review
• /
• 제15권1호
• /
• pp.31-39
• /
• 2012

오늘날 네트워크 환경은 다양한 응용의 등장으로 트래픽이 복잡 다양해지고 있다. 이러한 상황 속에서 정확한 네트워크의 상태 파악을 위한 트래픽의 응용 별 분류에 대한 중요성은 더욱더 증가하고 있다. 최근 트래픽 플로우의 통계 정보를 이용한 트래픽의 응용 별 분류 방법론에 대한 연구가 활발히 진행되고 있다. 하지만 대부분의 연구들은 TCP 세션의 이상 동작에 대한 고려가 없어 분류결과의 오분류 및 미분류가 발생할 수 있다. 따라서 본 논문에서는 TCP 세션의 이상동작의 문제점을 지적하고 이를 개선하는 방법론을 제안한다. 제안된 방법론을 통계적 응용 트래픽 분류방법에 적용함으로써 그 타당성을 증명한다.

• 정보와 통신
• /
• 제30권7호
• /
• pp.50-57
• /
• 2013

망관리성이란 다수의 이용자가 네트워크를 효율적으로 이용할 수 있도록 하기 위해 통신사업자가 네트워크를 합리적으로 관리할 수 있어야 한다는 것을 의미한다. 본고에서는 최근 증가하고 있는 대용량 비디오 트래픽에 대한 최적의 이용환경을 제공하고 망관리성을 제고하는 방안으로서 비디오 트래픽 대역폭 최적화 동향을 살펴보고 향후 방향을 제시하고자 한다. 비디오 트래픽 대역폭 최적화란 네트워크(3G/ LTE 등), 단말(휴대폰/태블릿 등), 콘텐츠(스포츠/드라마/영화 등) 유형별로 이용자의 동영상 품질 만족도와 네트워크 품질을 동시에 만족하는 최적 대역폭(비트레이트)의 비디오 트래픽을 전송하는 것이다. 비디오 트래픽 최적화에 있어서 최적대역폭 선정 기준의 정립은 다음과 같은 두 가지의 연구 결과를 기반으로 진행된다. 첫째, 일반적으로 동영상 대역폭이 증가할수록 영상 품질도 정비례로 증가할 것이라는 예상과는 달리, 무선 단말 이용자는 영상화질의 일정 임계치 이상에서 품질의 차이를 거의 느낄 수 없다. 둘째, 다량의 비디오 트래픽이 네트워크 총 대역폭의 일정 비율 이상을 차지하게 될 경우 네트워크 품질저하 요소가 발생하여 네트워크 품질이 급격히 악화된다. 비디오 트래픽 최적화는 이러한 요소를 고려하여 이용자의 영상 품질 만족도를 최대화하면서 네트워크 품질 유지비용을 최소화하고 트래픽 전송품질을 확보할 수 있는 최적대역폭을 설정하는 것이다. 비디오 트래픽 최적화의 목적은 트래픽을 통제하거나 차단하는 것이 아니며 최적대역폭에 대한 가이드라인을 제시하여 콘텐츠사업자(이하 CP)와 Over-The-Top 사업자(이하 OTT)가 자발적으로 준수하도록 유도하고자 하는 것이다. 비디오 트래픽 최적화는 ICT생태계 모든 이해관계자에게 편익을 제고할 것으로 기대된다. 첫째, 이용자에 대해서는 통신품질 안정화로 전체적인 이용자 만족도를 향상시킨다. 둘째, CP/OTT는 멀티미디어 서비스의 대중화와 서버 및 전송장비 비용을 절감할 수 있다. 마지막으로 통신사는 네트워크 품질저하 및 비용 급증을 방지할 수 있다.