• KIPS Transactions on Computer and Communication Systems
• /
• v.2 no.8
• /
• pp.335-342
• /
• 2013

Nowadays, the traffic type and behavior are extremely diverse due to the growth of network speed and the appearance of various services on Internet. For efficient network operation and management, the importance of application-level traffic identification is more and more increasing in the area of traffic analysis. In recent years traffic identification methodology using statistical features of traffic flow has been broadly studied. However, there are several problems to be considered in the identification methodology base on statistical features of flow to improve the analysis accuracy. In this paper, we recognize these problems by analyzing the ground-truth traffic and propose the solution of these problems. The four problems considered in this paper are the distance measurement of features, the selection of the representative value of features, the abnormal behavior of TCP sessions, and the weight assignment to the feature. The proposed solutions were verified by showing the performance improvement through experiments in campus network.

• Journal of the Korea Society of Computer and Information
• /
• v.12 no.2 s.46
• /
• pp.221-229
• /
• 2007

Security of the port TCP/80 has been demanded by reason that the others besides web services have been rapidly increasing use of the port. Existing traffic analysis approaches can't distinguish web services traffic from application services when traffic passes though the port. monitoring method based on protocol and port analysis were weak in analyzing harmful traffic using the web port on account of being unable to distinguish payload. In this paper, we propose a method of detecting harmful traffic by web traffic analysis. To begin, traffic Capture by real time and classify by web traffic. Classed web traffic sorts each application service details and apply weight and detect harmful traffic. Finally, method propose and implement through coding. Therefore have a purpose of these paper to classify existing traffic analysis approaches was difficult web traffic classified normal traffic and harmful traffic and improved performance.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.283-285
• /
• 2005

인터넷 사용자의 증가와 항께 인터넷 트래픽 역시 기하급수적으로 증가하고 있다. 이에 따라 네트워크 보안, 트래픽의 특성 분석, 사용자별/응용별 과금, 및 트래픽 엔지니어링을 수행하기 위해서는 네트원크 모니터링 도구가 필수적이다. 그러나, 기존 연구에 많이 사용되고 있는 Cisco NetFlow v5는 포트번호를 기반으로 응용 트래픽을 분류하여 분석할 수 있지만, IPv6과 MPLS 등의 다양한 프로토콜에 대한 트래픽을 분석할 수는 없다. 따라서, IETF에서는 IPFIX표준을 제정하여 확장성 있고 SCTP/TCP 전송 프로토콜을 이용하여 신뢰성있는 플로우 측정 프레임워크를 제시하였다. 본 논문은 Cisco NetFlow v5와 NetFlow v9(IPFIX의 기본 프로토콜)를 모두 지원하여 IPv4/IPv6 트래픽을 실시간으로 분석할 수 있는 플로우 기반 트래픽 모니터링 도구를 구현하였고, 실험을 통하여 IPv6 트래픽을 신뢰성있게 분석할 수 있다는 것을 보였다.

• Proceedings of the KAIS Fall Conference
• /
• 2004.06a
• /
• pp.107-111
• /
• 2004

자기 유사적인 트래픽 성질이 차세대 고속 통신망의 성능에 미치는 영향을 예측 분석하기 위해서는 자기유사 트래픽을 정확하고 효율적으로 모델링하기 위한 연구 및 분석 결과는 인터넷 망이나 새롭게 구현될 시스템에서 반드시 고려하여야 할 사항이라고 판단된다. 이러한 관점에서 본 논문에서는 인터넷 데이터 트래픽이 갖는 통계적 특성인 자기유사 트래픽을 발생할 수 있는 시뮬레이션 모델을 제시하고 각 방식의 성능을 분석한 후 이를 기초로 데이터 트래픽이 입력되는 모듈들을 실험할 수 있는 트래픽 발생 방식을 제안하고 마지막으로 결론을 맺는다.

• Review of KIISC
• /
• v.17 no.2
• /
• pp.80-89
• /
• 2007

네트워크 트래픽에서 비정상(anomaly)을 탐지하는 것은 아주 중요하지만 아직 완전히 해결되지 않은 문제이다. 비정상 유형을 관찰하기 위하여 일반적으로 트래픽 플로(traffic flow)를 감시한다. 트래픽 플로는 여러 가지 네트워크 트래픽의 형태를 제시한다. 이런 트래픽 플로의 집합에 대한 분석은 매우 복잡한 문제이고, 또한 트래픽 플로 수집을 위해서는 많은 자원이 소요된다. 본 논문에서는 비정상 트래픽 유형을 공격 형태 및 트래픽 플로 두 가지의 다른 측면에서 제시하고 그 특성을 기술한다. 그리고 앞으로 나타날 새로운 웜 공격 유형에 대하여도 제시한다.

• KIPS Transactions on Computer and Communication Systems
• /
• v.3 no.2
• /
• pp.47-56
• /
• 2014

Internet traffic has rapidly increased due to the supplying wireless devices and the appearance of various applications and services. By increasing internet traffic rapidly, the need of Internet traffic classification becomes important for the effective use of network resource. However, the traffic classification scheme is not much studied comparing to the study for classification method. This paper proposes novel classification scheme for multilateral and hierarchical traffic identification. The proposed scheme can support multilateral identification with 4 classification criteria such as service, application, protocol, and function. In addition, the proposed scheme can support hierarchical analysis based on roll-up and drill-down operation. We prove the applicability and advantages of the proposed scheme by applying it to real campus network traffic.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2003.10a
• /
• pp.656-660
• /
• 2003

최근들어 네트워크 트래픽 폭주 공격에 의한 피해 사례가 속출하고 있다. 지난해 7월, 전세계적으로 많은 피해를 일으켰던 코드레드(CodeRed)공격뿐만 아니라 지난 1월 전국의 인터넷망을 마비시켰던 1.25대란 역시 트래픽 폭주 공격으로 국가적인 차원에서 많은 손실을 일으켰던 대표적인 사례이다. 흔히 인터넷 대란이라고 일컬어지는 트래픽 폭주 공격 및 웹해킹은 갈수록 경제적인 손실 및 피해규모가 커지고 기법도 다양해지도 있어, 트래픽 유형 분석 및 대응에 관한 연구가 필요하다. 본 고는 이러한 트래픽 폭주 공격의 개념을 정의하고 유형별로 분석하고자 한다. 또한 소규모 망에서 기존의 네트워크 장비 및 서버를 이용하여 이 공격들을 대응할 수 있는 방법을 제시하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.1323-1326
• /
• 2001

서브네트워크에서 실시간으로 통신 트래픽을 감시하고, 트래픽 정보를 바탕으로 시계열 분석을 이용해 트래픽의 변화추이를 예측할 수 있는 시스템을 설계 및 구현한다. SNMP를 이용한 MIB-II 정보를 바탕으로 하는 분석 방법은 누적 데이터를 기본으로 하는 관리 방법으로 이상 징후의 판단이 실시간 감시에는 적합하지 않은 점이 있다. 따라서, 본 논문에서는 실시간 트래픽 감시를 위해 서브네트워크에 들어오거나 나가는 트래픽의 양을 측정하여 분석하고, 이 정보를 바탕으로 특정 시점 이후의 트래픽 추이를 시계열 분석 방법을 이용하여 미래의 트래픽 양을 예측하는 알고리즘을 시스템으로 구현한다. 예측 알고리즘으로는 AR, MA, ARMA, ARIMA 모델중에 평균 제곱 오차를 최소로 가지는 알고리즘을 선택하여 예측하도록 설계한다. 개발되는 시스템을 망 관리자가 전체 통신 네트워크의 부하 상태를 예상할 수 있게 하여 신속하고 예방적인 대응을 할 수 있다.

• Journal of Internet Computing and Services
• /
• v.12 no.6
• /
• pp.19-33
• /
• 2011

The need for application traffic classification becomes important for the effective use of network resources. The header-based identification method uses the header signature {IP address, port number, transport layer protocol TCP/UDP)}extracted from Internet application server to overcome some limitations overhead, payload encryption, etc.) of previous methods. A lots signature is extracted because this method uses header information of server. So, we need a maintenance method to keep essential signatures. In this paper, we represent the signature maintenance method using properties of identified traffic and history of the signature. Also, we prove the feasibility and applicability of our proposed method by an acceptable experimental result.

• Journal of Korea Multimedia Society
• /
• v.9 no.5
• /
• pp.635-648
• /
• 2006

As the advances of Internet infra structure and the support of console and mobile for network games, the industry of online game has been growing rapidly, and the online game traffic in the Internet has been increasing steadily. For design and simulation of game network, the analysis of online game traffic have to be preceded. Therefore a number of papers have been proposed for the purpose of analyzing the traffic data of network games and providing the models. We make and use GameNet Analyzer as a dedicated tool for game traffic measurement and analysis in this paper. We measure the traffic of FPS Quake 3, RTS Starcraft and MMORPG World of Warcraft (WoW), and analyze the packet size, packet IAT(inter-arrival time), data rate and packet rate according to the number of players and in-game behaviors. We also present the traffic models using measured traffic data. These analysis and models of game traffic can be used for effective network simulation, performance evaluation of game network and the design of online games.