• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10d
• /
• pp.128-131
• /
• 2006

IPv6 프로토콜은 현재 인터넷 프로토콜로 사용되고 있는 IPv4 프로토콜이 가지고 있는 주소 부족 문제, 미흡한 QoS의 제공, 다양한 보안 문제 등을 해결하도록 설계된 차세대 인터넷 표준이다. IPv4에서 IPv6로의 전환이 이루어지고 있는 과정이지만, 아직까지 IPv6가 많이 사용되고 있지는 않고 있어 IPv6 트래픽 모니터링 도구 및 침입대응 장비도 많이 나와 있지 않다. 그러나, IPv6 네트워크가 점진적으로 등장하고 전환이 됨에 따라 IPv6에서 발생할 수 있는 각종 인터넷 침해사고에 대한 대비가 필요하다. 이미 IPv6 프로토콜의 허점을 이용한 서비스 거부공격, 디폴트 라우터 위장공격 등 IPv4에서 발생했던 이상트래픽, IPv6 확장헤더를 이용한 이상트래픽 및 IPv6-over-IPv4 터널링 등의 이상트래픽 발생이 보고되고 있다. 이에 본 논문은 IPv6 프로토콜에서 발생할 수 있는 이상트래픽에 대해 살펴보고, 이러한 이상트래픽의 탐지를 위해 IETF 표준인 IPFIX 템플릿을 이상 트래픽 탐지가 가능하게 제안한다. 제안된 IPFIX 플로우 메시지를 이용하여 간단하게 IPv6 이상 트래픽을 분류하는 방법도 제시하였다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.30 no.4C
• /
• pp.296-304
• /
• 2005

ATCoP(Abnormal traffic controller based on prediction) is presented to securely support reliable Internet service and to guarantee network survivability, which is deployed in Internet access point. ATCoP is a method to control abnormal traffic that is entering into the network When unknown attack generates excessive traffic, service survivability is guaranteed by giving the priority to normal traffic than abnormal traffic, that is reserving some channels for normal traffic. If the reserved channel number increases, abnormal traffic has lower quality service by ATCoP system and then its service survivability becomes worse. As an analytic result, the proposed scheme maintains the blocking probability of normal traffic on the predefined level in the specific interval of input traffic.

• Journal of KIISE:Information Networking
• /
• v.33 no.3
• /
• pp.201-217
• /
• 2006

In this paper, we collected the physical traces from high speed Internet backbone traffic and analyze the various characteristics of the underlying packet traces. Particularly, our work is focused on analyzing the characteristics of an anomalous traffic. It is found that in our data, the anomalous traffic is caused by UDP session traffic and we determined that it was one of the Denial of Service attacks. In this work, we adopted the unsupervised machine learning algorithm to classify the network flows. We apply the k-means clustering algorithm to train the learner. Via the Cramer-Yon-Misses test, we confirmed that the proposed classification method which is able to detect anomalous traffic within 1 second can accurately predict the class of a flow and can be effectively used in determining the anomalous flows.

• Journal of KIISE:Information Networking
• /
• v.37 no.4
• /
• pp.263-271
• /
• 2010

SIP/RTP-based VoIP services are being popular. Recently, however, VoIP anomaly traffic such as delay, interference and termination of call establishment, and degradation of voice quality has been reported. An attacker could intercept a packet, and obtain user and header information so as to generate an anomaly traffic, because most Korean VoIP applications do not use standard security protocols. In this paper, we propose three VoIP anomaly traffic generation methods for CANCEL;BYE DoS and RTP flooding, and a detection method through flow-based traffic measurement. From our experiments, we showed that 97% of anomaly traffic could be detected in real commercial VoIP networks in Korea.

• Journal of KIISE:Information Networking
• /
• v.36 no.2
• /
• pp.69-79
• /
• 2009

Today's Internet is one of the necessaries of our life. Anomalies of the Internet provoke social problems. For that reason, Internet Measurement which studies characteristics on Internet traffic attracts pubic attention. Recently, Traffic Dispersion Graph (TDG), a novel traffic analysis method, was proposed. The TDG is not a statistical analysis method but a graphical visualization method on interactions among network components. In this paper, we propose a new anomaly detection paradigm and its technique using TDG. The existing studies have focused on detecting anomalous packets of flows. On the other hand, we focus on detecting the sources of anomalous traffic. To realize our paradigm, we designed the TDG Clustering method. Through this method, we could classify anomalous hosts infected by various worm viruses. We obtained normal traffic through dropping traffic of the anomalous hosts. Especially, we expect that the TDG clustering method can be applied to real-time anomaly detection because calculations of the method are fast.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.33 no.5B
• /
• pp.304-309
• /
• 2008

This paper propose the traffic anomaly detection scheme based time series model. We apply ARIMA prediction model to this scheme and transform the value of the abnormal symptom into the probability value to maximize the traffic anomaly symptom detection. For this, we have evaluated the abnormal detection performance for the proposed model using total traffic and web traffic included the attack traffic. We will expect to have an great effect if this scheme is included in some network based intrusion detection system.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2003.11b
• /
• pp.529-532
• /
• 2003

침입 탐지를 위하여 수집되는 네트웍 트래픽은 보통 분석 처리 프로그램으로 입력되기 위해 수치적으로 표현된다. 이러한 데이터로부터 그 가운데 드러나는 경향을 한 눈에 발견하는 데에는 어려움이 있어, 이에 대해 프로토콜, 서비스 및 세션 등을 기준으로 분류하는 처리를 수행한 결과를 바탕으로 세세한 분석과정을 거치는 것이 일반적이다. 네트웍 트래픽 데이터를 도시하여 그 추이를 직관적으로 살필 수 있게 한다면 여러 기준에 따라 분류된 각 트래픽이 가지는 특징을 쉽게 발견할 수 있다. 이러한 트래픽 추이와 특징 파악의 용이함은 트래픽에서 비정상적인 부분을 식별해내는 것을 쉽게 한다 이것은 시스템 관리자가 현재 해당 시스템에 설치되어 작동되고 있는 침입탐지 시스템이나 방화벽 시스템에 대해 독립적으로 편리하게 네트웍 트래픽의 특징을 살피고 이상을 발견할 수 있도록 하며, 경고되거나 차단되지 않은 이상에 대해 신속히 대응할 기회를 준다. 이에 본 연구에서는 네트웍 트래픽들의 특징을 설명할 수 있는 요소들을 조합하여 표현함으로써 네트웍 트래픽의 특징과 이상 파악에 편리한 데이터 도시 방법을 제안한다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.30 no.1C
• /
• pp.107-115
• /
• 2005

ATC (Abnormal traffic controller) is presented as next generation security technology to securely support reliable Internet service and to guarantee network survivability, which is deployed in Internet access point. The key concept of the ATC is abnormal traffic monitoring and traffic control technology. When fault factors exist continuously and/or are repeated, abnormal traffic control guarantees service completeness as much as possible. The ATC with control policy on abnormal traffic is superior to the ATC with blocking policy as well as conventional network node, when the ratio of effective traffic to abnormal traffic is higher than $30{\%}.$ When traffic intended unknown attack occurs, network IDS is high false positive probability and so is limited to apply. In this environment, the ATC can be a key player to help the network node such as router to control abnormal traffic.

• KNOM Review
• /
• v.15 no.1
• /
• pp.31-39
• /
• 2012

오늘날 네트워크 환경은 다양한 응용의 등장으로 트래픽이 복잡 다양해지고 있다. 이러한 상황 속에서 정확한 네트워크의 상태 파악을 위한 트래픽의 응용 별 분류에 대한 중요성은 더욱더 증가하고 있다. 최근 트래픽 플로우의 통계 정보를 이용한 트래픽의 응용 별 분류 방법론에 대한 연구가 활발히 진행되고 있다. 하지만 대부분의 연구들은 TCP 세션의 이상 동작에 대한 고려가 없어 분류결과의 오분류 및 미분류가 발생할 수 있다. 따라서 본 논문에서는 TCP 세션의 이상동작의 문제점을 지적하고 이를 개선하는 방법론을 제안한다. 제안된 방법론을 통계적 응용 트래픽 분류방법에 적용함으로써 그 타당성을 증명한다.

• Information and Communications Magazine
• /
• v.30 no.7
• /
• pp.50-57
• /
• 2013

망관리성이란 다수의 이용자가 네트워크를 효율적으로 이용할 수 있도록 하기 위해 통신사업자가 네트워크를 합리적으로 관리할 수 있어야 한다는 것을 의미한다. 본고에서는 최근 증가하고 있는 대용량 비디오 트래픽에 대한 최적의 이용환경을 제공하고 망관리성을 제고하는 방안으로서 비디오 트래픽 대역폭 최적화 동향을 살펴보고 향후 방향을 제시하고자 한다. 비디오 트래픽 대역폭 최적화란 네트워크(3G/ LTE 등), 단말(휴대폰/태블릿 등), 콘텐츠(스포츠/드라마/영화 등) 유형별로 이용자의 동영상 품질 만족도와 네트워크 품질을 동시에 만족하는 최적 대역폭(비트레이트)의 비디오 트래픽을 전송하는 것이다. 비디오 트래픽 최적화에 있어서 최적대역폭 선정 기준의 정립은 다음과 같은 두 가지의 연구 결과를 기반으로 진행된다. 첫째, 일반적으로 동영상 대역폭이 증가할수록 영상 품질도 정비례로 증가할 것이라는 예상과는 달리, 무선 단말 이용자는 영상화질의 일정 임계치 이상에서 품질의 차이를 거의 느낄 수 없다. 둘째, 다량의 비디오 트래픽이 네트워크 총 대역폭의 일정 비율 이상을 차지하게 될 경우 네트워크 품질저하 요소가 발생하여 네트워크 품질이 급격히 악화된다. 비디오 트래픽 최적화는 이러한 요소를 고려하여 이용자의 영상 품질 만족도를 최대화하면서 네트워크 품질 유지비용을 최소화하고 트래픽 전송품질을 확보할 수 있는 최적대역폭을 설정하는 것이다. 비디오 트래픽 최적화의 목적은 트래픽을 통제하거나 차단하는 것이 아니며 최적대역폭에 대한 가이드라인을 제시하여 콘텐츠사업자(이하 CP)와 Over-The-Top 사업자(이하 OTT)가 자발적으로 준수하도록 유도하고자 하는 것이다. 비디오 트래픽 최적화는 ICT생태계 모든 이해관계자에게 편익을 제고할 것으로 기대된다. 첫째, 이용자에 대해서는 통신품질 안정화로 전체적인 이용자 만족도를 향상시킨다. 둘째, CP/OTT는 멀티미디어 서비스의 대중화와 서버 및 전송장비 비용을 절감할 수 있다. 마지막으로 통신사는 네트워크 품질저하 및 비용 급증을 방지할 수 있다.