한국컴퓨터정보학회논문지 (Journal of the Korea Society of Computer and Information)

  • 제17권5호
  • /
  • Pages.21-28
  • /
  • 2012
  • /
  • 1598-849X(pISSN)
  • /
  • 2383-9945(eISSN)
한국컴퓨터정보학회 (Korean Society of Computer Information)
권호 표지
DOI QR코드

DOI QR Code

선형패턴과 명암 특징을 이용한 네트워크 트래픽의 이상현상 감지

Detecting Abnormal Patterns of Network Traffic by Analyzing Linear Patterns and Intensity Features

  • 투고 : 2012.01.17
  • 심사 : 2012.02.10
  • 발행 : 2012.05.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 들어, 네트워크 트래픽 공격에 대한 탐지 기술의 필요성이 꾸준히 증가되고 있는 실정이다. 본 논문에서는 네트워크 트래픽 데이터의 헤더파일에서 송신자의 IP와 포트, 그리고 수신자의 IP와 포트 정보를 2차원의 영상으로 시각화하고 분석하여 이상패턴을 효과적으로 분석하는 새로운 방법을 제안한다. 제안된 방법에서는 먼저 송신자와 수신자의 IP 정보를 받아들여 4개의 2차원 영상을 생성하고, 포트 정보를 받아들여 1개의 2차원 영상을 생성한다. 그런 다음, 각 영상 내의 트래픽 데이터를 분석하여 패턴의 주요 특징을 추출하는데, 트래픽의 공격을 나타내는 선형 패턴과 높은 명암값을 가지는 패턴을 추출하여 트래픽의 유형이 정상 트래픽, DDoS, 그리고 DoS인지를 자동으로 검출한다. 성능을 비교 분석하기 위한 실험에서는 제안된 네트워크 트래픽의 이상현상 검출 방법이 기존의 방법에 비해서 보다 우수하다는 것을 보여준다.

Recently, the necessity for good techniques of detecting network traffic attack has increased. In this paper, we suggest a new method of detecting abnormal patterns of network traffic data by visualizing their IP and port information into two dimensional images. The proposed approach first generates four 2D images from IP data of transmitters and receivers, and makes one 2D image from port data. Analyzing those images, it then extracts their major features such as linear patterns or high intensity values, and determines if traffic data contain DDoS or DoS Attacks. To comparatively evaluate the performance of the proposed algorithm, we show that our abnormal pattern detection method outperforms the existing algorithm in terms of accuracy and speed.

키워드

참고문헌

  1. S. M. Lee, D. S. Kim, J. H. Lee, and J. S. Park, "Detection of DDoS Attacks Using Optimized Traffic Matrix," Computers and Mathematics with Applications, Vol. 63, No. 2, pp. 501-510, 2012. https://doi.org/10.1016/j.camwa.2011.08.020
  2. E. Corchado and Á. Herrero, "Neural Visualization of Network Traffic Data for Intrusion Detection," Applied Soft Computing, Vol. 11, No. 2, pp. 2042-2056, 2011. https://doi.org/10.1016/j.asoc.2010.07.002
  3. M.-T. Kim, Y.-W. Choi, K.-H. Kwon, S.-H. Kim, "Network Attack Detection based on Multiple Entropies," Journal of Korea Institute of Information Security and Cryptology, Vol. 16, No. 1, pp. 71-77, 2006.
  4. S.-H. Park, J.-W. Park, and M.-S. Kim, "Flow-based Real-time Traffic Monitoring and Analysis System," In Proceedings of the Fall Conference of the Korea Information Processing Society, Vol. 14, No. 2, pp. 1061-1064, 2007.
  5. L. P. Gaspary, R. N. Sanchez, D. W. Antunes and E. Meneghetti, "A SNMP-based Platform for Distributed Stateful Intrusion Detection in Enterprise Networks," IEEE Journal on Selected Areas in Communications, Vol. 23, No. 10, pp. 1973-1982, 2005. https://doi.org/10.1109/JSAC.2005.854116
  6. A. Shiravi, H. Shiravi, M. Tavallaee, and A. A. Ghorbani, "A Comparative Study of Related Technologies of Intrusion Detection and Prevention Systems," Computers and Security, No. 01, 2012.
  7. Y. Xie and S.-Z. Yu, "Monitoring the Application-Layer DDoS Attacks for Popular Websites," IEEE/ACM Transactions on Networking, Vol. 17, No. 1, pp. 54-65, 2009. https://doi.org/10.1109/TNET.2008.923716
  8. R. Mathew and Vijay Katkar, "Software-based Low Rate DoS Attack Detection Mechanism," International Journal of Computer Applicatiosns," Vol. 20, No. 6, pp. 14-18, 2011. https://doi.org/10.5120/2439-3285
  9. B. Li, K. Peng, X. Ying, and H. Zha, "Vanishing Point Detection Using Cascaded 1D Hough Transform from Single Images," Pattern Recognition Letters, Vol. 33, No. 1, pp. 1-8, 2012 https://doi.org/10.1016/j.patrec.2011.09.027
  10. D.-S. Yoo, H.-O. Koo, C.-S. Oh, "Noxious Traffic Analysis Using SNTP," In Proceedings of the Fall Conference of the Korea Contents Association, Vol. 2, No. 2, pp. 215-219, 2004.

피인용 문헌

  1. 다중 클래스 SVM을 이용한 트래픽의 이상패턴 검출 vol.14, pp.4, 2012, https://doi.org/10.5762/kais.2013.14.4.1942