• Journal of the Korea Society of Computer and Information
• /
• v.19 no.3
• /
• pp.45-54
• /
• 2014

In this paper, an improved two-step P2P traffic classification scheme is proposed to overcome the limitations of the existing methods. The first step is a signature-based classifier at the packet-level. The second step consists of pattern heuristic rules and a statistics-based classifier at the flow-level. With pattern heuristic rules, the accuracy can be improved and the amount of traffic to be classified by statistics-based classifier can be reduced. Based on the analysis of different decision tree algorithms, the statistics-based classifier is implemented with REPTree. In addition, the ensemble algorithm is used to improve the performance of statistics-based classifier Through the verification with the real datasets, it is shown that our hybrid scheme provides higher accuracy and lower overhead compared to other existing schemes.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.39B no.4
• /
• pp.191-199
• /
• 2014

Currently, HTTP traffic has been developed rapidly due to appearance of various applications and services based web. Accordingly, HTTP Traffic classification is necessary to effective network management. Among the various signature-based method, Payload signature-based classification method is effective to analyze various aspects of HTTP traffic. However, the payload signature-based method has a significant drawback in high-speed network environment due to the slow processing speed than other classification methods such as header, statistic signature-based. Therefore, we proposed various classification method of HTTP Traffic based HTTP signatures of hierarchical structure and to improve pattern matching speed reflect the hierarchical structure features. The proposed method achieved more performance than aho-corasick to applying real campus network traffic.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.1
• /
• pp.55-63
• /
• 2006

Recently, there is much abnormal traffic driven by several worms, such as Nimda, Code Red, SQL Stammer, and so on, making badly severe damage to networks. Meanwhile, diverse prevention schemes for defeating abnormal traffic have been studied in the academic and commercial worlds. In this paper, we present the structure of a stepwise intrusion prevention system that is designed with the feature of putting limitation on the network bandwidth of each network traffic and dropping abnormal traffic, and then compare the proposed scheme with a pre-existing scheme, which is a True/False based an anomaly prevention scheme for several worm-patterns. There are two criteria for comparison of the schemes, which are Normal Traffic Rate (NTR) and False Positive Rate (FPR). Assuming that the abnormal traffic rate of a specific network is $\beta$ during a predefined time window, it is known that the average NTR of our stepwise intrusion prevention scheme increases by the factor of (1+$\beta$)/2 than that of True/False based anomaly prevention scheme and the average FPR of our scheme decrease by the factor of (1+$\beta$)/2.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2000.10a
• /
• pp.272-277
• /
• 2000

The classical queuing analysis has been tremendously useful in doing capacity planning and performance prediction, However, in many real-world cases. it has found that the predicted results form a queuing analysis differ substantially hem the actual observed performance. Specially, in recent years, a number of studies have demonstrated that for some environments, the traffic pattern is self-similar rather than Poisson. In this paper, we study these self-similar traffic characteristics and the definition of self-similar stochastic processes. Then, we consider the examples of self-similar data traffic, which is reported from recent measurement studies. Finally, we wish you that it makes out about the characteristics of actual data traffic more easily.

• Proceedings of the Korean Information Science Society Conference
• /
• 2008.06d
• /
• pp.485-490
• /
• 2008

무선 인터넷의 구조적 특성상 한 셀에서 대역폭을 공유하고 그 안에서 각기 다른 QoS를 요구하는 서비스들이 한정된 자원을 사용한다. 트래픽의 변화와 패턴을 예측하기 위한 분석은 실제 서비스를 제공하기 전인 기획단계에서 매우 중요한 도구로 사용이 된다. 무선망의 트래픽을 예측하기 위해서는 유선망의 분석과는 다른 방법이 필요하기 때문에 정확한 분류를 위해서 본 연구에서는 세션의 단위로 분석할 것을 제안한다. 또한 Classification and Regression Tree(CART) 와 Support Vector Machine(SVM) 의 두 개의 판별 분류 기법을 서로 비교하고 그 성능을 평가한다. 두 개의 판별 기법의 오차는 CART의 경우 0.0094 그리고 SVM의 경우 0.0089로 둘 다 우수한 성능을 보였지만 쉬운 결과 해석이 가능한 CART가 사용하기 용이함을 보인다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2001.05a
• /
• pp.173-178
• /
• 2001

The classical queuing analysis has been tremendously useful in doing capacity planning and performance prediction. However, in many real-world cases. it has found that the predicted results form a queuing analysis differ substantially from the actual observed performance. Specially, in recent years, a number of studies have demonstrated that for some environments, the traffic pattern is self-similar rather than Poisson. In this paper, we study these self-similar traffic characteristics and the definition of self-similar stochastic processes. Then, we consider the examples of self-similar data traffic, which is reported from recent measurement studies. Finally, we wish you that it makes out about the characteristics of actual data traffic more easily.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.563-565
• /
• 1999

인터넷 서비스의 급속한 확산과 기술 발전으로 인하여 대량의 정보를 고속으로 전송하기 위해 고속의 링크 기술을 이용하고, ATM 인터넷 기간망을 수용하고 다양한 서비스 품질을 제공하는 등 다양한 차세대 인터넷 기술의 등장과 함께 네트워크 구조에 많은 변화가 이루어지고 있다. 또한, 다양한 인터넷 응용의 등장과 함께 인터넷 이용자의 네트워크 트래픽이 급속도로 증가하고 있다. 이에 따라 인터넷의 다양한 트래픽을 특성지울 수 있는 플로우 개념을 이용하여 이용자 네트워크 사용 패턴 및 망 관리 방안등을 제시할 수 있다. 이러한 데이터를 분석하여 인터넷의 성능 및 특성을 평가하는 것은 단기적, 중기적, 장기적인 네트워크 설계관점에서 매우 중요한 기초연구이다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2001.10a
• /
• pp.454-459
• /
• 2001

The classical queuing analysis has been tremendously useful in doing capacity planning and performance prediction. However, in many real-world cases. it has found that the predicted results form a queuing analysis differ substantially from the actual observed performance. Specially, in recent years, a number of studies have demonstrated that for some environments, the traffic pattern is self-similar rather than Poisson. In this paper, we study these self-similar traffic characteristics and the definition of self-similar stochastic processes. Then, we consider the examples of self-similar data traffic, which is reported from recent measurement studies. Finally, we wish you that it makes out about the characteristics of actual data traffic more easily.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.07a
• /
• pp.142-144
• /
• 2005

Distributed Denial of Service는 네트워크나 개인 호스트를 위협하는 대표적인 공격 트래픽이다. DDoS 공격은 특정한 패턴을 가지고 있지 않기 때문에 탐지가 어려울 뿐 아니라, TNF2K와 같은 간단한 tool로 공격이 가능하여 그 심각성은 실로 크다. 이러한 DDoS를 탐지하기 위한 메카니즘이나 알고리즘은 많이 개발되었다. 하지만 DDoS의 근원지를 판별하고 대응하는 것이 아닌, 단지 방어 지정에서 전체 threshold를 낮추거나 leaky bucket처럼 수용 능력 이상의 패킷을 폐기하는 방법으로 네트워크나 개인 호스트를 보호한다. 무분별하게 전체 트래픽을 줄이는 것은 네트워크의 resource를 고갈 시키지는 않지만, 정상적인 clients가 공격당하고 있는 호스트에 연결을 할 수가 없다. 이를 위해 여러 단계의 테스트를 통해 합법적인 검증 IP table을 만들고, 검증 IP table에 있는 source IP를 제외한 나머지 트래픽을 차단한다면, DDoS 공격에 대해서 대응을 하면서 정상적인 Clients의 연결을 보호 할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2021.11a
• /
• pp.93-94
• /
• 2021

다양한 서비스로부터 발생된 엄청난 양의 데이터는 대량의 네트워크 트래픽을 발생시켜 네트워크 환경의 복잡성을 증대시킨다. 이로 인하여 초고속, 저지연 서비스를 제공하기 위한 방법으로 네트워크 가상화 기술을 도입하였고 그중에서도 SDN 기반의 네트워크 슬라이싱 기법은 네트워크를 논리적으로 분리할 수 있으나 다양한 트래픽을 발생시키는 사용자의 요청에 동적인 대응이 어렵다. 본 논문에서는 LSTM에 사용자 요청의 트래픽 패턴을 학습시켜 네트워크 슬라이스가 자동으로 구성되는 모델을 제안한다.