• The Journal of the Korea Contents Association
• /
• v.4 no.4
• /
• pp.33-43
• /
• 2004

In this paper, a traffic trend analysis based SNMP algorithm is proposed for improving the problem of existing traffic analysis using SNMP. The existing traffic analysis method has a vulnerability that is taken much time In analyzing by using a threshold and not detected a harmful traffic at the point of transition. The method that is proposed in this paper can solve the problems that the existing method had, simultaneously using traffic trend analysis of the day, traffic trend analysis happening in each protocol and MIB object analysis responding to attacks instead of using the threshold. The algorithm proposed in this paper will analyze harmful traffic more quickly and more precisely; hence it can reduce the damage made by traffic flooding attacks. When traffic happens, it can detect the abnormality through the three analysis methods previously mentioned. After that, if abnormal traffic overlaps in at least two of the three methods, we can consider it as harmful traffic. The proposed algorithm will analyze harmful traffic more quickly and more precisely; hence it can reduce the damage made by traffic flooding attacks.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.10b
• /
• pp.1323-1326
• /
• 2001

서브네트워크에서 실시간으로 통신 트래픽을 감시하고, 트래픽 정보를 바탕으로 시계열 분석을 이용해 트래픽의 변화추이를 예측할 수 있는 시스템을 설계 및 구현한다. SNMP를 이용한 MIB-II 정보를 바탕으로 하는 분석 방법은 누적 데이터를 기본으로 하는 관리 방법으로 이상 징후의 판단이 실시간 감시에는 적합하지 않은 점이 있다. 따라서, 본 논문에서는 실시간 트래픽 감시를 위해 서브네트워크에 들어오거나 나가는 트래픽의 양을 측정하여 분석하고, 이 정보를 바탕으로 특정 시점 이후의 트래픽 추이를 시계열 분석 방법을 이용하여 미래의 트래픽 양을 예측하는 알고리즘을 시스템으로 구현한다. 예측 알고리즘으로는 AR, MA, ARMA, ARIMA 모델중에 평균 제곱 오차를 최소로 가지는 알고리즘을 선택하여 예측하도록 설계한다. 개발되는 시스템을 망 관리자가 전체 통신 네트워크의 부하 상태를 예상할 수 있게 하여 신속하고 예방적인 대응을 할 수 있다.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2003.11b
• /
• pp.529-532
• /
• 2003

침입 탐지를 위하여 수집되는 네트웍 트래픽은 보통 분석 처리 프로그램으로 입력되기 위해 수치적으로 표현된다. 이러한 데이터로부터 그 가운데 드러나는 경향을 한 눈에 발견하는 데에는 어려움이 있어, 이에 대해 프로토콜, 서비스 및 세션 등을 기준으로 분류하는 처리를 수행한 결과를 바탕으로 세세한 분석과정을 거치는 것이 일반적이다. 네트웍 트래픽 데이터를 도시하여 그 추이를 직관적으로 살필 수 있게 한다면 여러 기준에 따라 분류된 각 트래픽이 가지는 특징을 쉽게 발견할 수 있다. 이러한 트래픽 추이와 특징 파악의 용이함은 트래픽에서 비정상적인 부분을 식별해내는 것을 쉽게 한다 이것은 시스템 관리자가 현재 해당 시스템에 설치되어 작동되고 있는 침입탐지 시스템이나 방화벽 시스템에 대해 독립적으로 편리하게 네트웍 트래픽의 특징을 살피고 이상을 발견할 수 있도록 하며, 경고되거나 차단되지 않은 이상에 대해 신속히 대응할 기회를 준다. 이에 본 연구에서는 네트웍 트래픽들의 특징을 설명할 수 있는 요소들을 조합하여 표현함으로써 네트웍 트래픽의 특징과 이상 파악에 편리한 데이터 도시 방법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.1317-1320
• /
• 2002

네트워크에서 실시간으로 통신 트래픽의 변화량을 감시하고 시계열 분석을 이용해 변화량의 추이를 모형화한다. 트래픽의 변화량을 모형화하게 되면 트래픽에 대한 예측이 가능하게 되므로 트래픽 예측을 이용하여 성능관리를 수행할 수 있다. 본 연구에서는 실시간 트래픽을 이용한 성능관리 시스템에 대해 다룬다. 기존의 성능관리 시스템은 SNMP를 이용한 MIB-II 정보를 바탕으로 하는 분석 방법으로 이는 누적 데이터를 기본으로 하는 관리 방법으로 이상 징후의 판단이 즉각적이지 않았고 또한 모니터링을 수행하기 위해서는 통신 트래픽의 증가를 가져왔다. 대부분의 성능관리 시스템은 단순히 망에서의 트래픽이나 에러율 등을 관리자에게 보고하는 데 그치고 있어 능동적인 성능관리가 이루어지지 않는다. 따라서, 본 논문에서는 실시간 트래픽 감시를 위해 네트워크에 들어오거나 나가는 트래픽의 양을 측정하여 분석하고, 이 정보를 바탕으로 특정 시점 이후의 트래픽 추이를 모형화하여 미래의 트래픽 양을 예측하고, 예측된 정보를 바탕으로 하는 성능관리 시스템에 대해 연구한다. 예측 알고리즘으로는 시계열 분석을 통해 시계열 자료의 예측을 가능하게 하는 알고리즘으로 설계한다. 이 성능관리시스템을 바탕으로 망 관리자가 전체 통신 네트워크의 부하 상태를 예측하여 신속하게 대응을 할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.05a
• /
• pp.962-965
• /
• 2008

효율적인 네트워크 관리를 위해서는 해당 네트워크의 트래픽 분석 정보가 필요하다. 트래픽을 분석함에 있어 네트워크의 전체 트래픽에 대한 분석도 중요하지만, 총 호스트의 수, 호스트별 트래픽 현황, 호스트의 사용 중인 서비스 파악 등 호스트를 기반으로 한 트래픽 분석의 중요성이 날로 증가하고 있다. 본 논문에서는 호스트 트래픽 분석이 어떠한 정보를 제공해야 되는지 살펴보고, 해당 정보를 제공하는 Enterprise 네트워크 트래픽 분석 시스템을 설계하고 구현한 내용을 기술한다. 본 논문에서 설계 및 구현한 시스템은 기존의 Enterprise 네트워크에 적합한 Flow 기반의 실시간 트래픽 모니터링 시스템[1]을 확장시킨 형태로 호스트 트래픽 분석에 필요한 DB구성과 분석 정보 표현, 그리고 트래픽 추이 그래프 생성에 따른 유의 사항과 해결책을 제시한다. 본 논문에서 구축한 시스템은 학교 Campus 네트워크를 대상으로 구축되었다.

• The Journal of the Korea Contents Association
• /
• v.5 no.5
• /
• pp.172-181
• /
• 2005

The latest attack type against network traffic appeared by worm and bot that are advanced in DDoS. It is difficult to detect them because they are diversified, intelligent, concealed and automated. The exisiting traffic analysis method using SNMP has a vulnerable problem; it considers normal P2P and other application program to be harmful traffic. It also has limitation that does not analyze advanced programs such as worm and bot to harmful traffic. Therefore, we analyzed harmful traffic out Protocol and Port analysis. We also classified traffic by protocol, well-known port, P2P port, existing attack port, and specification port, apply singularity weight to detect, and analyze attack availability. As a result of simulation, it is proved that it can effectively detect P2P application, worm, bot, and DDoS attack.

• Proceedings of the KIEE Conference
• /
• 2004.07d
• /
• pp.2519-2521
• /
• 2004

현재 주로 사용되는 네트웍 침입 탐지 기법은, 사람의 이해를 바탕으로 분석되고 저장된 침입 시그너쳐를 기반으로 침입을 판별하는 것이다. 이러한 방법은 아직 알려지지 않은 침입에 대해 무력하다는 한계를 가진다. 이에 본 연구에서는 사람의 분석과 지식에 의존하지 않는 방법을 제안하여 그러한 한계를 극복하고자 하였다. 침입은 호스트의 컴퓨팅과 네트워킹 자원을 사용할 수 없게 되는 것이라고 볼 때, 네트웍 트래픽과 관련하여 호스트의 자원 사용 상태가 앞으로 어떻게 진행 할 지 알 수 있다면, 해당 침입에 대한 사전지식 없이도 위험에 대비할 수 있다. 본 논문에서는 자원의 가용성 측면에서 호스트 상태를 설명하는 모델을 설계하고, 이 모델이 네트웍 트래픽 진행에 따른 호스트 상태 변화 추이의 예측하고, 침입을 탐지하도록 하였다.

• Proceedings of the KIEE Conference
• /
• 2004.05a
• /
• pp.74-76
• /
• 2004

현재 주로 사용되는 네트웍 침입 탐지 기법은, 사람에 의해 분석되고 룰의 형태로 저장된 침입 시그너쳐를 기반으로 침입을 판별하는 것이다. 이러한 방법은 아직 알려지지 않은 침입에 대해 무력하다는 한계를 가진다. 이에 본 연구에서는 사람의 분석과 지식에 의존하지 않는 방법을 제안하여 그러한 한계를 극복하고자 하였다. 침입은 호스트의 컴퓨팅과 네트워킹 자원을 사용할 수 없게 되는 것이라고 볼 때, 네트웍 트래픽과 관련하여 호스트의 자원 사용 상태가 어떻게 변화하는지 미리 알 수 있다면, 해당 침입에 대한 사전지식 없이도 위험에 대비할 수 있다. 본 논문에서는 자원의 가용성 측면에서 호스트 상태를 설명하는 모델을 설계하여, 이 모델이 네트웍 트래픽의 진행에 따라 변화하는 추이를 예측하는 데 사통될 수 있도록 하였다.

• KIPS Transactions on Computer and Communication Systems
• /
• v.2 no.8
• /
• pp.327-334
• /
• 2013

Today's network traffic has become extremely complex and diverse since the speed of network became faster and a variety of application services appear. Moreover, many applications appear and disappear fast and continuously. However, the current traffic classification system does not give much attention to this dynamic change of applications. In this paper, we propose an application awareness system in order to solve this problem. The application awareness system can provide the information, such as the usage trend of conventional applications and the emergence of new applications by recognizing the application name in a rapidly changing network environment. In order to recognize the application name, the Host field of HTTP protocol has been utilized. The proposed mechanism consists of two steps. First, the system generates the candidates of application name by extracting the domain name from the Host field in HTTP packet. Second, the administrator confirms the name afterward. The validity of the proposed system has been proved through the experiments in campus network.

• Journal of the Korea Computer Industry Society
• /
• v.6 no.5
• /
• pp.715-724
• /
• 2005

Recently many important systems that used to be operated in a closed environment are now providing web services and these kinds of web-based services are often an easy and common target of attacks. In addition, the great variety of web content and applications cause the development of new various intrusion technologies, while the misuse-based intrusion detection technology cannot keep the peace with the attacks and it seems to lack the capability to deal with such various new security threats, As a result it is necessary to research and develop new types of detection technologies that can detect newly developed attacks and intrusions as well as to be able to deal with previous types of exploits. In this paper, a HTTP traffic model is tested for its anomaly by using a HTTP request traffic pattern analysis and the field information analysis of the HTTP packet. Consequently, the HTTP traffic models by applying anomaly tests is designed and established.