• Journal of Communications and Networks
• /
• 제18권5호
• /
• pp.818-825
• /
• 2016

Network management and anomaly detection are challenges in high-speed networks due to the high volume of packets that has to be analysed. Flow-based analysis is a scalable method which reduces the high volume of network traffic by dividing it into flows. As sampling methods are extensively used in flow generators such as NetFlow, the impact of sampling on the performance of flow-based analysis needs to be investigated. Monitoring using sampled traffic is a well-studied research area, however, the impact of sampling on flow-based anomaly detection is a poorly researched area. This paper investigates flow sampling methods and shows that these methods have negative impact on flow-based anomaly detection. Therefore, we propose an efficient probabilistic flow sampling method that can preserve flow traffic distribution. The proposed sampling method takes into account two flow features: Destination IP address and octet. The destination IP addresses are sampled based on the number of received bytes. Our method provides efficient sampled traffic which has the required traffic features for both flow-based anomaly detection and monitoring. The proposed sampling method is evaluated using a number of generated flow-based datasets. The results show improvement in preserved malicious flows.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제8권4호
• /
• pp.1307-1323
• /
• 2014

With the exhaustion of global IPv4 addresses, IPv6 technologies have attracted increasing attentions, and have been deployed widely. Meanwhile, new applications running over IPv6 networks will change the traditional traffic characteristics obtained from IPv4 networks. Traditional models obtained from IPv4 cannot be used for IPv6 network monitoring directly and there is a need to investigate those changes. In this paper, we explore the flow features of IPv6 traffic and compare its difference with that of IPv4 traffic from flow level. Firstly, we analyze the differences of the general flow statistical characteristics and users' behavior between IPv4 and IPv6 networks. We find that there are more elephant flows in IPv6, which is critical for traffic engineering. Secondly, we find that there exist many one-way flows both in the IPv4 and IPv6 traffic, which are important information sources for abnormal behavior detection. Finally, in light of the challenges of analyzing massive data of large-scale network monitoring, we propose a group flow model which can greatly reduce the number of flows while capturing the primary traffic features, and perform a comparative measurement analysis of group users' behavior dynamic characteristics. We find there are less sharp changes caused by abnormity compared with IPv4, which shows there are less large-scale malicious activities in IPv6 currently. All the evaluation experiments are carried out based on the traffic traces collected from the Northwest Regional Center of CERNET (China Education and Research Network), and the results reveal the detailed flow characteristics of IPv6, which are useful for traffic management and anomaly detection in IPv6.

• 인터넷정보학회논문지
• /
• 제6권6호
• /
• pp.85-97
• /
• 2005

본 논문은 도로상에 설치된 각종 교통정보 기기로부터 수집된 정보를 이용하여 교통정보 데이터베이스를 구축하고 이를 이용하여 교차로를 기점으로 도로의 구간별 실시간 교통흐름을 동적으로 관리할 수 있는 교차로 시뮬레이션 시스템을 제안한다. 본 시스템은 계층적인 3 부분으로 구성된다. 하위계층은 실제 도로 상에서 교통정보가 수집되는 물리계층이다. 중간계층은 하위계층의 교통정보를 이용하여 교차로들의 그룹, 실시간 교통흐름 정보의 수집, 원격 모니터링 및 제어를 지원하는 교통흐름 제어 프레임워크가 존재한다. 본 계층은 분산객체그룹 프레임워크를 확장하여 설계됐다. 상위계층에는 교차로들의 그룹화로 교통흐름을 제어하는 교차로 시뮬레이터 응용들이 존재한다. 교차로 응용은 TMO(Time-triggered Message-triggered Object) 스킴 기반의 구현객체들로 이루어진다. 교차로 시뮬레이션 시스템에서는 도로상의 각 교차로를 하나의 응용 그룹으로 고려하며, 교차로들 간에 상호통신으로 수집된 실시간 도로소통 상태정보를 이용하여 주어진 도로상황에 따라 동적인 교통흐름 제어기법들의 적용이 가능하도록 하였다. 본 시스템 구축을 위해 TMO 스킴과 TMOSM(TMO Support Middleware) 지원교통흐름 제어 프레임워크 기반에서 시스템 구조와 구성요소의 상호작용을 정의했으며, 교통흐름 모니터링 및 제어를 위한 응용 시뮬레이터와 사용자 인터페이스를 설계했다.

• 한국공간정보시스템학회 논문지
• /
• 제11권2호
• /
• pp.45-53
• /
• 2009

The fast progress on multimedia data acquisition technologies has enabled collecting vast amount of videos in real time. Although the amount of information gathered from these videos could be high in terms of quantity and quality, the use of the collected data is very limited typically by human-centric monitoring systems. In this paper, we propose a framework for analyzing long traffic video using series of content-based analyses tools. Our framework suggests a method to integrate theses analyses tools to extract highly informative features specific to a traffic video analysis. Our analytical framework provides (1) re-sampling tools for efficient and precise analysis, (2) foreground extraction methods for unbiased traffic flow analysis, (3) frame property analyses tools using variety of frame characteristics including brightness, entropy, Harris corners, and variance of traffic flow, and (4) a visualization tool that summarizes the entire video sequence and automatically highlight a collection of frames based on some metrics defined by semi-automated or fully automated techniques. Based on the proposed framework, we developed an automated traffic flow analysis system, and in our experiments, we show results from two example traffic videos taken from different monitoring angles.

• 한국정보과학회논문지:정보통신
• /
• 제36권5호
• /
• pp.397-404
• /
• 2009

본 논문에서는 모바일 IPv6 망에서 트래픽을 모니터링하고 사용자의 이동성 정보를 분석하는 방법을 제안한다. 제안하는 방법에서는 트래픽 모니터 링을 위한 별도의 소프트웨어를 단말에 설치하지 않고 라우터에서 패킷들을 모니터링하여 핸드오버 지연시간을 분석한다. 라우터에서 플로우 기반 트래픽 모니터링을 수행하기 위하여 표준 플로우 기반 트래픽 모니터링 방법인 IPFIX를 사용한다. 따라서, 단말과 상관없이 라우터에서의 모니터링만으로 사용자의 이동성에 대한 정보를 분석할 수 있는 장점을 가진다. 제안한 방법을 검증하기 위하여 실제 구축된 802.11 기반의 모바일 IPv6 망에서 이동성 실험을 수행하여 핸드오버를 측정하고 분석하였다. 실험을 통하여 분석된 결과 다운로드의 핸드오버 지연시간 측정 결과는 약간의 오차를 포함하였지만, 업로드의 핸드오버 지연시간 측정은 정확한 결과를 보여주었다.

• 융합보안논문지
• /
• 제16권5호
• /
• pp.41-48
• /
• 2016

본 논문은 플로우 시각화 기반의 네트워크 보안 상황 감시 방법인 VisFlow를 제안하며, 기존 트래픽 플로우 시각화 기술의 단점인 대량 트래픽 발생 시의 직관성 상실 문제, 대칭적 주소 공간에 의한 반사현상 문제, 종단간 연결 의미의 상실 문제를 해결하고자 한다. VisFlow는 단순하고 효율적인 보안 시각화 인터페이스로써 플로우 시각화 기술을 활용하여 개별적인 트래픽 데이터들에서는 볼 수 없었던 다양한 네트워크 현상들을 패턴으로 형상화하고 관리 네트워크 내의 보안 상황을 실시간으로 분석 및 감시하는 방법이다. 트래픽 플로우의 포트 역할 분석 방법을 이용하여 노드 유형과 중요 정보를 식별 분류하고, 분류된 정보는 중요도에 따라 2D/3D 공간 상에 단순화 및 강조하여 표시함으로써 직관성과 실용성을 높인다. 또한, IP주소값에 기반한 비대칭적 노드 배치를 통해 반사현상 문제를 해결하고 노드간의 연결선을 활용하여 종단간의 세션 의미를 유지함으로써 정보성은 높인다. 관리자는 VisFlow를 통해 방대한 트래픽 데이터를 쉽게 탐색하고 전체 네트워크 상황을 직관적으로 파악함으로써 네트워크 보안 상황을 효과적으로 감시할 수 있다.

• ETRI Journal
• /
• 제30권2호
• /
• pp.205-215
• /
• 2008

Many control schemes have been proposed for flow-level traffic control. However, flow-level traffic control is implemented only in limited areas such as traffic monitoring and traffic control at edge nodes. No clear solution for end-to-end architecture has been proposed. Scalability and the lack of a business model are major problems for deploying end-to-end flow-level control architecture. This paper introduces an end-to-end transport architecture and a scalable control mechanism to support the various flow-level QoS requests from applications.

• 한국ITS학회 논문지
• /
• 제8권2호
• /
• pp.60-66
• /
• 2009

Acceleration Noise는 교통류의 안정성을 진단하는데 중요한 지표이다. 하지만, 기존의 연구에서는 개별차량의 Acceleration Noise에 대해서만 수행되었고, 거시적 관점에서의 Acceleration Noise에 대해서는 연구가 이루어지지 않은 실정이다. 본 논문에서는 거시적 교통류 모니터링 지표인 Network Acceleration Noise를 제안하고, 이를 분석하여 거시 교통류 모니터링 활용방안에 대한 연구를 수행하였다.

• ETRI Journal
• /
• 제27권1호
• /
• pp.22-42
• /
• 2005

Traditional traffic identification methods based on wellknown port numbers are not appropriate for the identification of new types of Internet applications. This paper proposes a new method to identify current Internet traffic, which is a preliminary but essential step toward traffic characterization. We categorized most current network-based applications into several classes according to their traffic patterns. Then, using this categorization, we developed a flow grouping method that determines the application name of traffic flows. We have incorporated our method into NG-MON, a traffic analysis system, to analyze Internet traffic between our enterprise network and the Internet, and characterized all the traffic according to their application types.

• 한국통신학회논문지
• /
• 제33권8B호
• /
• pp.707-718
• /
• 2008

Traffic classification의 방법은 동적으로 변하는 application의 변화에 대처하기 위하여 페이로드나 port를 기반으로 하는 것에서 ML 알고리즘을 기반으로 하는 것으로 변하여 가고 있다. 그러나 현재의 ML 알고리즘을 이용한 traffic classification 연구는 offline 환경에 맞추어 진행되고 있다. 특히, 현재의 기존 연구들은 testing 방법으로 cross validation을 이용하여 traffic classification을 수행하고 있으며, traffic flow를 기반으로 classification 결과를 제시하고 있다. 본 논문에서는 testing방법으로 cross validation과 split validation을 이용했을 때, traffic classification의 정확도 결과를 비교한다. 또한 바이트를 기반으로 한 classification의 결과와 flow를 기반으로 한 classification의 결과를 비교해 본다. 본 논문에서는 J48, REPTree, RBFNetwork, Multilayer perceptron, BayesNet, NaiveBayes와 같은 ML 알고리즘과 다양한 feature set을 이용하여 트래픽을 분류한다. 그리고 split validation을 이용한 traffic classification에 적합한 최적의 ML 알고리즘과 feature set을 제시한다.