• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.36 no.8B
• /
• pp.921-928
• /
• 2011

The increase of Internet users and services has caused the upsurge of data traffic over the network. Nowadays, variety of Internet applications has emerged which generates complicated and diverse data traffic. For the efficient management of Internet traffic, many traffic classification methods have been proposed. But most of the methods focused on the application-level classification, not the function-level classification or state changes of applications. The functional classification of application traffic makes possible the in-detail understanding of application behavior as well as the fine-grained control of applications traffic. In this paper we proposed automata based functional classification method of IM application traffic. We verified the feasibility of the proposed method with function-level control experiment of IM application traffic.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.30 no.11B
• /
• pp.750-757
• /
• 2005

This paper reports on the study of P2P traffic behaviors in a high-speed campus network under a simple firewall which drops packets with default port numbers for the well-blown P2P applications. Among several ways of detecting P2P traffic, the easiest method is to filter out packets with the default port number of each P2P application. After deploying the port-based firewall against P2P-traffic, it is expected that the amount of P2P traffic will be decreased. However, during the eight-month measurement period, three new commercial P2P applications have been identified and their traffic usages have reached up to $30/5.6\%$ of the total outbound/inbound traffic volumes at the end of the measurement period. In addition, the most famous P2P application, eDonkey, has adapted and has escaped detection through port hopping. The measurement result shows that the amount of eDonkey traffic is around $6.7/4.0\%$ of the total outbound/inbound traffic volume. From the measurement results, it is observed that the port-based firewall is not effective to limit the usage of P2P applications and that the P2P traffic is steadily growing due to not only the evolution of existing P2P applications such as port hopping but also appearances of new P2P applications.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.04a
• /
• pp.1174-1177
• /
• 2009

인터넷의 대중화로 인해 네트워크 트래픽이 급증하였다. 따라서 효과적인 네트워크 관리를 위한 트래픽 응용 별 분석의 중요성은 매우 커지고 있다. 효과적인 트래픽 응용 별 분석을 위하여 여러 방법론이 제안 되었지만, 아직 완벽하게 트래픽을 분석하는 방법론은 존재하지 않는다. 본 논문에서는 기존의 여러 트래픽 분석 방법론의 단점을 보완한 고정 IP-port을 이용한 인터넷 트래픽 분석 방법론을 제안한다. 하나의 서비스를 고정적으로 제공하는 고정 IP-port을 찾아 낸다면 효과적으로 트래픽을 분석 할 수 있다. 본 논문에서는 고정 IP-port를 효과적으로 추출하는 방법론을 제시하며, 실제 학내 트래픽에 적용한 결과를 보인다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.07a
• /
• pp.760-762
• /
• 2005

본 논문은 TCP 기반의 인터렉티브 응용 프로그램을 대상으로 무선 네트워크 인터페이스 카드의 전력 소모를 최소화할 수 있는 기법을 제안한다. 네트워크를 사용하는 응용 프로그램은 각각 다른 트래픽 특성을 보이기 때문에 최적의 동작 모드를 결정하는 데 동일한 판단 기준을 적용하기 어렵다. 인터렉티브 응용 프로그램은 사용자의 요청에 따라 트래픽이 발생하는 특징이 있기 때문에 트래픽 발생 주기 및 트래픽의 과다한 정도를 측정하고 이를 기준으로 최적의 동작 모드를 결정할 수 있다. 본 논문에서는 인터렉티브 응용 프로그램의 특성을 구별하는 기준을 제시하고 이를 기반으로 최적의 동작 모드를 결정하는 알고리즘을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.04a
• /
• pp.1288-1291
• /
• 2009

네트워크 트래픽 모니터링과 분석은 엔터프라이즈 네트워크의 효율적인 운영과 안정적 서비스를 제공하기 위한 필수적인 요소이다. 다양한 트래픽 분석 방법 중 시그니쳐 기반의 분석 방법은 가장 높은 분석률을 보이지만 모든 시그니쳐를 수작업으로 추출하기 때문에 응용프로그램의 변화와 출현에 유연하게 대응하지 못한다. 따라서 본 논문에서는 응용프로그램 시그니쳐 생성 과정의 단점을 보완할 수 있는 시그니쳐 자동 생성 시스템을 제안한다. 응용프로그램 시그니쳐는 페이로드 내의 고유한 바이트 시퀀스로 정의하며 응용프로그램이 발생시키는 모든 트래픽을 대상으로 추출한다. 또한 생성 시스템의 실효성을 증명할 수 있는 검증 시스템 및 검증 네트워크를 제시한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.283-285
• /
• 2005

인터넷 사용자의 증가와 항께 인터넷 트래픽 역시 기하급수적으로 증가하고 있다. 이에 따라 네트워크 보안, 트래픽의 특성 분석, 사용자별/응용별 과금, 및 트래픽 엔지니어링을 수행하기 위해서는 네트원크 모니터링 도구가 필수적이다. 그러나, 기존 연구에 많이 사용되고 있는 Cisco NetFlow v5는 포트번호를 기반으로 응용 트래픽을 분류하여 분석할 수 있지만, IPv6과 MPLS 등의 다양한 프로토콜에 대한 트래픽을 분석할 수는 없다. 따라서, IETF에서는 IPFIX표준을 제정하여 확장성 있고 SCTP/TCP 전송 프로토콜을 이용하여 신뢰성있는 플로우 측정 프레임워크를 제시하였다. 본 논문은 Cisco NetFlow v5와 NetFlow v9(IPFIX의 기본 프로토콜)를 모두 지원하여 IPv4/IPv6 트래픽을 실시간으로 분석할 수 있는 플로우 기반 트래픽 모니터링 도구를 구현하였고, 실험을 통하여 IPv6 트래픽을 신뢰성있게 분석할 수 있다는 것을 보였다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.34 no.11B
• /
• pp.1234-1244
• /
• 2009

Nowadays, the traffic type and behavior are extremely diverse due to the appearance of various services and applications on Internet, which makes the need of application-level traffic classification important for the efficient management and control of network resources. Although lots of methods for traffic classification have been introduced in literature, they have some limitations to achieve an acceptable level of performance in terms of accuracy and completeness. In this paper we propose an application traffic classification method using statistic signatures, defined as a directional sequence of packet size in a flow, which is unique for each application. The statistic signatures of each application are collected by our automatic grouping and extracting mechanism which is mainly described in this paper. By matching to the statistic signatures we can easily and quickly identify the application name of traffic flows with high accuracy, which is also shown by comprehensive excrement with our campus traffic data.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.37 no.5B
• /
• pp.348-356
• /
• 2012

The application traffic analysis is getting more and more challenging due to the huge amount of traffic from high-speed network link and variety of applications running on wired and wireless Internet devices. Multi-level combination of various analysis methods is desired to achieve high completeness and accuracy of analysis results for a real-time analysis system, while requires much of processing burden on the contrary. This paper proposes a novel architecture for a real-time traffic analysis system which improves the processing performance on multi-core CPU environment. The main contribution of the proposed architecture is an efficient parallel processing mechanism with multiple threads of various analysis methods. The feasibility of the proposed architecture was proved by implementing and deploying it on our campus network.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.40 no.3
• /
• pp.575-585
• /
• 2015

The traffic classification is a preliminary and essential step for stable network service provision and efficient network resource management. However, the payload signature-based method has significant drawbacks in high-speed network environment that the processing speed is much slower than other methods such as header-based and statistical methods. In addition, as signature numbers are increasing, traffic analysis speed also declines because of signature matching method that does not consider analytic efficiency of each signature and traffic occurrence feature. In this paper, we propose a signature list reordering method in order by analytic value of each signature. When we reordered the signature list by the proposed method, we achieved about 30% improvement in speed of the traffic analysis compared with random signature list.

• Proceedings of the Korean Information Science Society Conference
• /
• 2007.06d
• /
• pp.477-482
• /
• 2007

최근 다양한 P2P 프로그램을 많이 사용함에 따라 네트워크에서 생겨나는 트래픽의 상당 부분이 P2P가 발생시키는 트래픽으로 이미 HTTP, FTP의 양을 훨씬 뛰어넘고 있다. 현재 인터넷 환경에서 방화벽을 통과하기 위해 포트번호를 변경하여 통신을 하는 새로운 P2P응용들의 행동들은 전통적인 well-known port 기반의 응용프로그램을 구분하는 단순한 분석 방법만으로 신뢰하기가 어렵다. 새로운 P2P 응용들과 같은 트래픽 모니터링의 정확도를 높이기 위해서는 TCP/IP 헤더만이 아니라 패킷이 담고 있는 페이로드 내용에 대한 조사 차원의 모니터링 방법이 필요하다. 본 논문에서는 TCP/IP 헤더 정보와 더불어 패킷의 페이로드 내용을 조사하여 P2P 트래픽을 탐지하는 모니터링 기법을 제안한다. 이어 탐지되는 P2P 트래픽에 대하여 Linux Netfilter Framework의 Queuing Discipline에서 제공하는 계층적인 우선순위 큐를 사용하여 일정한 양의 대역폭을 할당하는 정책을 적용함으로써 안정적이면서 효율적인 네트워크 운용 방안을 제시한다.