• ETRI Journal
• /
• 제27권1호
• /
• pp.22-42
• /
• 2005

Traditional traffic identification methods based on wellknown port numbers are not appropriate for the identification of new types of Internet applications. This paper proposes a new method to identify current Internet traffic, which is a preliminary but essential step toward traffic characterization. We categorized most current network-based applications into several classes according to their traffic patterns. Then, using this categorization, we developed a flow grouping method that determines the application name of traffic flows. We have incorporated our method into NG-MON, a traffic analysis system, to analyze Internet traffic between our enterprise network and the Internet, and characterized all the traffic according to their application types.

• 한국통신학회논문지
• /
• 제36권6B호
• /
• pp.600-607
• /
• 2011

인터넷의 대중화로 네트워크 트래픽은 지속적으로 증가하고 복잡해지고 있다. 따라서 네트워크 자원의 효율적인 사용을 위한 응용 트래픽 분석의 중요성은 더욱 강조되고 있다. 본 논문에서는 기존 시그니쳐 기반의 인터넷 트래픽 분석 방법의 한계점을 극복하고 분석 경과의 성능 향상(분석률)을 위해 플로우 상관관계를 이용한 트래픽 분석 방법을 제안한다. 본 논문에서 제안하는 방법은 시그니쳐 기반 분석기의 결과를 입력 받아 분석된 플로우와 그렇지 않은 플로우을 간의 상관관계를 파악하고 이를 통해 분석되지 않은 플로우를 분석한다. 총 4가지(서버-클라이언트 발생 시간, 호스트-호스트, 통계) 세부 분석 방법과 이를 통합한 플로우 상관관계 기반 분석기를 제안한다. 또한 실험과 검증을 통하여 플로우 상관관계 기반 응용 분석 방법의 타당성을 증명한다.

• 인터넷정보학회논문지
• /
• 제12권6호
• /
• pp.19-33
• /
• 2011

효율적인 네트워크 관리를 위한 응용 트래픽 분석의 중요성이 강조되고 있다. 헤더 기반 분석 방법론은 기존 분석 방법론의 한계점들분석 오버헤드, 페이로드 암호화 등)을 극복하기 위해 응용 트래픽의 헤더 정보를 시그니쳐로 추출{IP address, port number, transport layer protocol TCP/UDP)}하여 트래픽을 분석한다. 헤더 기반 트래픽 분석 방법론은 헤더 정보를 사용하기 때문에 많은 양의 시그니쳐가 추출된다. 따라서 최적의 시그니쳐를 유지할 수 있는 관리 방법이 필요하다. 본 논문에서는 시그니쳐로 분석된 트래픽의 특성과 시그니쳐의 분석이력을 이용하여 최적의 시그니쳐를 관리하는 방법론을 제안한다. 또한, 실험과 검증을 통하여 헤더 시그니쳐 관리 방법의 타당성을 증명한다.

• 한국통신학회논문지
• /
• 제38B권5호
• /
• pp.368-376
• /
• 2013

최근 급격한 인터넷의 발전으로 효율적인 네트워크관리를 위해 응용 트래픽 분석의 중요성이 강조되고 있다. 본 논문에서는 기존 분석 방법의 한계점을 보완하기 위하여 행위기반 시그니쳐를 이용한 응용 트래픽 분석 방법을 제안한다. 행위기반 시그니쳐는 기존에 제안된 다양한 트래픽 특징을 조합하여 사용할 뿐만 아니라, 복수 개 플로우들의 첫 질의 패킷을 분석 단위로 사용한다. 제안한 행위기반 시그니쳐의 타당성을 검증하기 위해 국내외 응용 5종을 대상으로 정확도를 측정결과, 모든 응용에서 100% Precision을 나타내었다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권8호
• /
• pp.335-342
• /
• 2013

네트워크의 고속화와 다양한 서비스의 등장으로 오늘날의 네트워크 트래픽은 복잡 다양해지고 있다. 효율적인 네트워크 관리를 위해서 QoS, SLA와 같은 정책을 적용하기 위해서는 트래픽 분석 중에서도 응용 트래픽 분류의 중요성이 크다. 현재까지 트래픽 분류에 관한 연구가 활발히 진행되어 왔는데 최근에는 플로우의 통계 정보를 이용한 트래픽 분류 방법론이 많이 연구되고 있다. 하지만 플로우의 통계 정보를 이용한 트래픽 분류 방법론에는 필히 고려해야 할 여러 문제점이 있다. 본 논문에서는 정답지 트래픽 분석을 통해 통계 정보 기반 트래픽 분석 방법론의 해결해야 하는 문제점들을 분석하고 그 해결방안에 대해 제안한다. 통계 정보 기반 트래픽 분석 방법론에서 필히 해결해야 할 문제점은 총 네 가지로 Feature들의 거리 측정 방법과 대표값 추출 방법, TCP 세션의 이상동작, 그리고 패킷 별 가중치이다. 제안하는 방법은 선정한 통계 시그니쳐 기반 트래픽 분석 시스템을 이용한 학내 망에서의 실험을 통해 그 성능을 검증한다.

• 한국통신학회논문지
• /
• 제41권10호
• /
• pp.1301-1308
• /
• 2016

인터넷 속도의 증가와 다양한 응용의 개발로 인해 인터넷 사용자와 이들이 발생시키는 인터넷 트래픽의 양이 급격히 증가하고 있다. 트래픽 분석에 있어서 트래픽 응용 식별 방법은 페이로드 시그니쳐에 의존적이기 때문에 시그니쳐의 구성이나 개수에 따라 높은 부하와 처리 속도가 느린 단점을 갖는다. 따라서 본 논문에서는 응용 식별을 위한 페이로드 시그니쳐의 중요도를 평가하는 방법과 이를 바탕으로 높은 효율의 시그니쳐를 탐색하는 방법을 제안한다. 각 시그니쳐 별로 3가지 기준을 바탕으로 가중치를 계산하고 계산된 가중치와 시그니쳐 맵을 통해 고효율의 시그니쳐 세트를 탐색한다. 제안하는 방법을 실제 트래픽에 적용했을 때 기존 대비 약 4배의 응용 식별 능력을 가진 높은 효율의 시그니쳐들을 정의할 수 있었다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권7호
• /
• pp.2261-2280
• /
• 2014

Recently, network traffic has become more complex and diverse due to the emergence of new applications and services. Therefore, the importance of application-level traffic classification is increasing rapidly, and it has become a very popular research area. Although a lot of methods for traffic classification have been introduced in literature, they have some limitations to achieve an acceptable level of performance in real-time application-level traffic classification. In this paper, we propose a novel application-level traffic classification method using payload size sequence (PSS) signature. The proposed method generates unique PSS signatures for each application using packet order, direction and payload size of the first N packets in a flow, and uses them to classify application traffic. The evaluation shows that this method can classify application traffic easily and quickly with high accuracy rates, over 99.97%. Furthermore, the method can also classify application traffic that uses the same application protocol or is encrypted.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권2호
• /
• pp.47-56
• /
• 2014

인터넷을 기반으로 하는 다양한 서비스 및 응용의 등장과 무선 디바이스의 보급은 인터넷 트래픽을 급격하게 증가시켰다. 인터넷 트래픽의 급격한 증가로 한정적인 네트워크 자원을 효율적으로 사용하기 위해 인터넷 트래픽 분석의 중요성이 증가하고 있다. 하지만 트래픽 분석 방법론에 비해 분석 결과를 체계적으로 관리하는 분류 체계에 대한 연구는 이루어지지 않고 있다. 본 논문에서는 다각적이고 계층적인 트래픽 분석을 위한 분류 체계를 제안한다. 제안하는 분류 체계는 서비스, 응용, 프로토콜, 기준의 4가지 분류 기준을 사용하여 다각적으로 분석이 가능하며, 분류 기준 별로 계층화된 속성을 가지고 있어 결과의 통합화 및 세분화가 가능하다. 논문에서는 제안한 분류 기준을 실제 학내 망에 적용하여 분석함으로 분류 체계의 장점과 활용성을 보인다.

• 한국통신학회논문지
• /
• 제36권2B호
• /
• pp.131-140
• /
• 2011

최근 인터넷 사용자의 증가와 고속 네트워크 망을 통한 네트워크 트래픽의 급증으로 효율적인 네트워크 트래픽 관리의 필요성이 더욱 커졌다. 효율적인 트래픽 관리를 위해서는 응용 프로그램 별 트래픽 분류의 연구가 선행되어야 하며 이미 많은 기존 논문에서 응용레벨 트래픽 분류에 대한 다양한 알고리즘을 제시하고 있다. 하지만 P2P기반의 Skype응용에 대해서는 분석율이 떨어져 이에 대한 연구가 더 필요한 실정이다. 본 논문에서는 payload 시그니쳐 기반 분석, 기계학습 기반 분석 등 기존의 방법론에 의존하지 않고 Skype응용의 트래픽 특성을 분석해 사용자들의 {IP, port} 리스트를 추출하고 이를 이용해 네트워크 내에 발생하는 Skype응용 프로그램의 트래픽을 정확하게 탐지하는 실시간 탐지 알고리즘을 제안한다 제안된 방법론은 학내 네트워크에 적용하여 그 타당성을 검증하였다.

• 정보처리학회논문지C
• /
• 제18C권4호
• /
• pp.243-250
• /
• 2011

네트워크의 고속화와 다양한 서비스의 등장으로 오늘날의 네트워크 트래픽은 복잡 다양해지고 있다. 효율적인 네트워크 관리를 위해서는 네트워크에서 발생하는 트래픽에 대한 다양한 분석이 필요하다. QoS, SLA와 같은 정책을 적용하기 위해서는 트래픽 분석 중에서도 트래픽 분류의 중요성이 크다. 현재까지 트래픽 분류에 관한 연구가 활발히 진행되어 왔는데 최근에는 플로우의 통계 정보를 이용한 트래픽 분류 방법론이 많이 연구되고 있다. 본 논문에서는 기존 연구에서 제안한 페이로드 크기 분포를 이용한 트래픽 분류 방법의 문제점인 낮은 분석률 및 정확도를 향상시키는 방법을 제안한다. 본 논문에서 제안하는 방법은 PSD 충돌로 인해 분류하지 못하는 트래픽을 IP와 port정보를 이용하여 추가적으로 분류하여 분석률을 향상시키고 기존 분류 방법에서 트래픽 분류를 위해 사용되던 플로우와 시그니쳐 사이의 거리 측정 방법을 벡터 거리 측정에서 패킷 별 거리 측정으로의 변경으로 통해 분류 방법의 정확도를 향상시킨다. 제안한 방법은 학내 망에서의 실험을 통해 기존 알고리즘에 비해 향상된 알고리즘의 성능을 검증한다.