인터넷을 기반으로 하는 다양한 서비스 및 응용의 등장과 무선 디바이스의 보급은 인터넷 트래픽을 급격하게 증가시켰다. 인터넷 트래픽의 급격한 증가로 한정적인 네트워크 자원을 효율적으로 사용하기 위해 인터넷 트래픽 분석의 중요성이 증가하고 있다. 하지만 트래픽 분석 방법론에 비해 분석 결과를 체계적으로 관리하는 분류 체계에 대한 연구는 이루어지지 않고 있다. 본 논문에서는 다각적이고 계층적인 트래픽 분석을 위한 분류 체계를 제안한다. 제안하는 분류 체계는 서비스, 응용, 프로토콜, 기준의 4가지 분류 기준을 사용하여 다각적으로 분석이 가능하며, 분류 기준 별로 계층화된 속성을 가지고 있어 결과의 통합화 및 세분화가 가능하다. 논문에서는 제안한 분류 기준을 실제 학내 망에 적용하여 분석함으로 분류 체계의 장점과 활용성을 보인다.
인터넷을 기반으로 하는 다양한 서비스 및 응용의 등장과 무선 디바이스의 보급은 인터넷 트래픽을 급격하게 증가시켰다. 인터넷 트래픽의 급격한 증가로 한정적인 네트워크 자원을 효율적으로 사용하기 위해 인터넷 트래픽 분석의 중요성이 증가하고 있다. 하지만 트래픽 분석 방법론에 비해 분석 결과를 체계적으로 관리하는 분류 체계에 대한 연구는 이루어지지 않고 있다. 본 논문에서는 다각적이고 계층적인 트래픽 분석을 위한 분류 체계를 제안한다. 제안하는 분류 체계는 서비스, 응용, 프로토콜, 기준의 4가지 분류 기준을 사용하여 다각적으로 분석이 가능하며, 분류 기준 별로 계층화된 속성을 가지고 있어 결과의 통합화 및 세분화가 가능하다. 논문에서는 제안한 분류 기준을 실제 학내 망에 적용하여 분석함으로 분류 체계의 장점과 활용성을 보인다.
Internet traffic has rapidly increased due to the supplying wireless devices and the appearance of various applications and services. By increasing internet traffic rapidly, the need of Internet traffic classification becomes important for the effective use of network resource. However, the traffic ...
Internet traffic has rapidly increased due to the supplying wireless devices and the appearance of various applications and services. By increasing internet traffic rapidly, the need of Internet traffic classification becomes important for the effective use of network resource. However, the traffic classification scheme is not much studied comparing to the study for classification method. This paper proposes novel classification scheme for multilateral and hierarchical traffic identification. The proposed scheme can support multilateral identification with 4 classification criteria such as service, application, protocol, and function. In addition, the proposed scheme can support hierarchical analysis based on roll-up and drill-down operation. We prove the applicability and advantages of the proposed scheme by applying it to real campus network traffic.
Internet traffic has rapidly increased due to the supplying wireless devices and the appearance of various applications and services. By increasing internet traffic rapidly, the need of Internet traffic classification becomes important for the effective use of network resource. However, the traffic classification scheme is not much studied comparing to the study for classification method. This paper proposes novel classification scheme for multilateral and hierarchical traffic identification. The proposed scheme can support multilateral identification with 4 classification criteria such as service, application, protocol, and function. In addition, the proposed scheme can support hierarchical analysis based on roll-up and drill-down operation. We prove the applicability and advantages of the proposed scheme by applying it to real campus network traffic.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
또한, 계층화되어 분류 결과가 관리되므로, 결과의 관리가 쉽다는 장점이 있다. 본 논문에서는 기준별로 표 3과 같은 계층화된 속성을 제안한다.
본 논문에서는 다각적이고 계층적으로 트래픽 분류가 가능한 분류 체계의 구조와 기준, 기준별 계층화 속성에 대해 제안하였다. 또한, 실제 트래픽에 적용을 통하여 각 기준별 트래픽 분류가 가능함과 계층적으로 분류한 결과의 활용이 사용자의 다양한 필요와 요구에 따른 결과를 제공할 수 있음을 보였다.
본 논문에서는 분류 체계(Scheme)의 구조를 정의하고, 정의된 분류 체계 구조에 분류 기준(Dimension)과 요소(Attribute)들을 제안한다. 또한, 제안하는 분류 체계를 실제 분석 결과에 적용하여 그 활용성을 보인다.
본 장에서는 다각적으로 트래픽을 분석할 수 있는 트래픽 분류 체계의 기본 구조와, 효과적으로 트래픽을 분석/분류할 수 있는 분류 기준 및 속성에 대해 제안하고, 제안하는 분류 기준에 대한 타당성 및 적용 시 얻을 수 있는 효과에 대해 기술한다.
본 장에서는 다양한 목적의 트래픽 분류에 적용가능하며, 트래픽 분류 결과를 다각적 측면과 계층적으로 활용할 수 있는 분류 체계를 제안한다.
가설 설정
첫째, 계층 N의 분류 속성 노드들의 원자 값의 합은 계층 N-1의 분류 속성 노드들의 원자 값의 합과 동일해야 한다. 둘째, 계층 1의 분류 속성 노드들의 원자 값의 합은 분석 대상으로 입력된 데이터의 본 값과 동일해야 한다.
제안 방법
또한, 제안하는 분류 체계를 실제 분석 결과에 적용하여 그 활용성을 보인다. 본 논문에서 제안하는 분류 체계는 계층화된 분류 속성을 가지는 다양한 분류 기준을 사용하여 다각적 측면의 분석을 가능하게 하여 분석 결과의 활용도를 높인다.
본 장에서는 다양한 목적의 다각적 트래픽 분류에 효과적으로 사용될 수 있는 4가지 분류 기준을 제안하며 각 기준별 타당성을 보인다.
본 장에서는 제안하는 트래픽 분류 체계를 실제 학내 망트래픽에 적용하여 분석하고 실제 사용 가능함을 입증하였다. 실험에 사용된 트래픽은 학내 망에서 발생한 24시간 트래픽(2012년 3월 7일 00시부터 23시 59분까지)을 제안하는 분류 기준별로 분석하였다. 전체 트래픽의 양은 표 6과 같다.
Paloalto[5]는 응용(Application)과 기능(Function)이 혼합된 단일 기준을 사용하여 트래픽을 분류한다. 응용 형식을 2계층으로 구성하고 3계층에 응용과 기능의 혼합 요소를 사용하였다. 응용과 기능의 혼합 요소는 예를 들어, NateOn이 하나의 요소가 되는 것이 아니라, NateOn이 제공하는 다른 기능들과 혼합되어 NateOn-Chat, NateOn-File Transfer 등의 여러 요소로 나누어져 사용되는 형식이다.
이러한 문제를 해결하기 위해 패킷의 페이로드 내에서 응용마다 가지는 특정 스트링(시그니쳐)의 포함 유무를 통해 트래픽을 분석하는 페이로드기반 분석 방법이 제안되었다. 트래픽의 내용을 확인하기 때문에 분석 성능(분석률, 정확도)이 매우 높지만, 시그니쳐 생성 및 관리, 암호화 트래픽, 높은 계산 복잡도, 패킷 단편화, 사생활 침해 등과 같은 많은 한계점을 가지고 있다[14].
선행 연구[2]에서는 네트워크 관리 분야에서 많이 사용되는 몇몇 상용 네트워크 트래픽 분석 장비(CheckPoint, Fortinet, Paloalto)의 분류 체계(Scheme)를 정리하고 분석하여 요구사항을 도출하였다. 정확한 분류 체계를 위해 분류 기준(Dimension)과 요소(Attribute)를 정의하였다.
제안하는 분류 기준은 그림 2에서 표현한 것과 같이 응용(Application), 서비스(Service), 프로토콜(Protocol), 기능(Function)의 4가지의 다각적 분류 기준이다. 각 기준의 정의는 표 1과 같다.
제안하는 분류 체계는 그림 1과 같은 트리 구조로 이루어져 있다. 제안하는 분류 체계의 구조는 분류 체계라는 root(Scheme) 노드를 중심으로 구성된다. 분류 체계의 분류기준(Dimension)을 기준으로 root 노드의 자식 노드 개수가 정해진다.
트래픽 암호화 및 사생활 침해 문제를 해결하기 위해 트래픽 내용을 보지 않고 패킷 및 윈도우 크기, 패킷 간 시간 간격 등과 같은 통계적 특징만을 이용한 통계 기반 분석 방법이 제안되었다. 이 방법론은 패킷의 헤더 정보를 통해 통계 정보를 생성하므로 기존 트래픽 분류 방법론들의 한계점들을 보완할 수 있다.
플로우는 5-tuple(SrcIP, SrcPort, DstIP, DstPort, Transport Layer Protocol)이 동일한 패킷의 집합을 의미한다. 플로우의 크기, 기간 등과 같은 통계 정보와 플로우들 간의 연결 형태를 이용하여 트래픽을 분석한다. 패킷기반 분석 방법 보다 다양한 특징을 사용할 수 있기 때문에 다양한 분석이 가능하지만, 플로우 생성이 완료될 때까지 분석하지 못하며, 플로우의 통계 정보를 계산하는 오버헤드가 발생한다.
대상 데이터
본 장에서는 제안하는 분류 체계의 기준 및 속성에 실제적으로 분석에 사용되는 시그니쳐를 적용한 분류 체계 적용 결과에 대해 언급한다. 본 분석에서 사용한 시그니쳐는 페이로드 시그니쳐[8]와 헤더 시그니쳐[15] 그리고 통계 시그니쳐[12]를 사용하여 분석하였다. 사용된 시그니쳐는 현재 본 연구실에서 실제 분석기에 적용되고 있다.
포트기반 분석은 Internet Assigned Number Authority(IANA)[6]에서 지정한 포트 정보를 이용한다. 포트 번호와 대응하는 서비스를 기준으로 분석하기 때문에 시스템 구현시 오버헤드가 작다는 장점이 있다.
성능/효과
NateOn 서비스는 NateOn을 통해서 사용된 양이 가장 많았고, 대부분은 NateOn 자체 프로토콜을 사용하였고, collaboration 기능을 제공하였다. Collaboration은 기능의 1계층으로 분석된 트래픽은 대부분 collaboration의 chat 기능 트래픽으로 예상이 되지만, 실제 분석 결과 chat 기능 보다는 file transfer 기능을 사용할 때 더 많은 트래픽을 발생하는 것을 확인하였다. 특히, 파일 전송 시 발생하는 트래픽의 비율은 전체 트래픽 대비 76%를 기록 하였다.
현재 보유 시그니쳐로는 collaboration 까지만 분석 가능하였으므로 추출된다. NateOn 서비스로 분류된 트래픽 중에서 가장 많은 Byte양을 차지한 트래픽은 NateOn응용과 NateOn 프로토콜을 통해 File transfer 기능을 사용한 트래픽으로 전체 NateOn 서비스 트래픽 양 중에서 76%를 차지하였다.
넷째, 기능 기준으로 트래픽 분류를 수행할 경우에는, 동일 서비스나 응용 내의 특정 기능만을 분류할 수 있어, 특히 제어 측면에서 트래픽 분류 결과의 활용을 높일 수 있다. 예를 들어, NateOn 응용 안에서 파일 전송 기능을 수행할 경우 서비스나 응용 기준으로만 트래픽을 분류한다면, 다른 파일 전송 기능이 다른 기능들과 구분 없이 NateOn 응용이나 서비스로만 분류가 된다.
본 논문에서는 다각적이고 계층적으로 트래픽 분류가 가능한 분류 체계의 구조와 기준, 기준별 계층화 속성에 대해 제안하였다. 또한, 실제 트래픽에 적용을 통하여 각 기준별 트래픽 분류가 가능함과 계층적으로 분류한 결과의 활용이 사용자의 다양한 필요와 요구에 따른 결과를 제공할 수 있음을 보였다.
실험 결과, 실험을 통해 실제 트래픽 분류 결과에 제안하는 분류 체계를 적용할 수 있음을 입증하였다 또한, 제안하는 기준별 분류가 가능함과, 제안하는 계층 속성에 따라 결과 값의 통합화(Roll-up)와 세분화(Drill-down)가 가능함을 보이며 트래픽 분류 결과의 활용이 사용자의 필요에 따라 자유롭게 사용될 수 있음을 입증하였다. 또한, 하나의 트래픽에 대한 4가지 분류 결과의 다각적 분석 결과를 가능하게 함으로써 트래픽에 대한 이해를 높이고 분석 결과의 활용이 가능함을 증명하였다.
본 논문에서 실험한 결과에서는 전체적으로는 byte 기준으로 약 99%의 분석률을 보였지만, 기능 기준의 분류 결과가 20%에 그치는 것으로 분석되었다. 이는 기능 기준으로 트래픽을 분류 할 수 있는 정교한 시그니쳐의 부재 때문으로 판단된다.
본 논문에서 제안하는 분류기준을 정리해 보면, 서비스는 응용을 제공하는 서버의 관점에서, 응용은 서비스를 제공받는 사용자의 관점에서, 그리고 프로토콜과 기능은 트래픽 발생 과정과 발생 목적 관점에서의 분류 결과를 나타낸다. 이처럼 4가지 분류 기준을 사용하여 분류를 수행할 경우, 위와 같은 장점들을 가지고 있지만, 4가지 분류 기준 모두를 적용하여 다각적인 분석을 할 경우에는 더욱 정확하고 세밀한 분석 결과를 제공할 수 있다는 장점이 있다.
본 장에서는 제안하는 트래픽 분류 체계를 실제 학내 망트래픽에 적용하여 분석하고 실제 사용 가능함을 입증하였다. 실험에 사용된 트래픽은 학내 망에서 발생한 24시간 트래픽(2012년 3월 7일 00시부터 23시 59분까지)을 제안하는 분류 기준별로 분석하였다.
또한 사용자의 요구에 따라 다양한 측면의 결과 활용이 가능해진다. 셋째, 결과를 활용하는 사람과 관리하는 사람 모두에게 정확한 이해와 사용의 편리성을 제공할 수 있다.
셋째, 프로토콜 기준으로 트래픽 분류를 수행할 경우에는, 동일한 특정 프로토콜을 사용하여 동일 성격의 서비스나 응용의 추가적 개발 시에 추가 분석의 필요성을 줄일 수 있다. eDonkey 프로토콜은 당나귀, 프루나, eMule 등 다양한 P2P 서비스에 사용되는 프로토콜로써, 파일 공유 프로그램의 특성상 eDonkey 프로토콜을 사용하는 프로그램들은 업데이트 및 새로운 응용의 개발이 자주 일어난다.
실험 결과, 실험을 통해 실제 트래픽 분류 결과에 제안하는 분류 체계를 적용할 수 있음을 입증하였다 또한, 제안하는 기준별 분류가 가능함과, 제안하는 계층 속성에 따라 결과 값의 통합화(Roll-up)와 세분화(Drill-down)가 가능함을 보이며 트래픽 분류 결과의 활용이 사용자의 필요에 따라 자유롭게 사용될 수 있음을 입증하였다. 또한, 하나의 트래픽에 대한 4가지 분류 결과의 다각적 분석 결과를 가능하게 함으로써 트래픽에 대한 이해를 높이고 분석 결과의 활용이 가능함을 증명하였다.
제안하는 서비스, 응용, 프로토콜, 기능의 4가지 분류 기준의 사용은 다양한 목적의 트래픽 분석에 대해 다각적 분석 결과를 제공하므로 활용도가 높고, 트래픽에 대해 정확한 정보를 제공할 수 있다. 또한 제안하는 각각의 기준별로 트래픽 분류가 이루어질 경우에는 다음과 같은 효과를 얻을 수 있다.
또한, 각 분류 기준에 속하는 속성들에 아래와 같은 규칙을 적용하므로 분석 결과의 충돌 및 중복을 허용하지 않는다. 첫째, 계층 N의 분류 속성 노드들의 원자 값의 합은 계층 N-1의 분류 속성 노드들의 원자 값의 합과 동일해야 한다. 둘째, 계층 1의 분류 속성 노드들의 원자 값의 합은 분석 대상으로 입력된 데이터의 본 값과 동일해야 한다.
첫째, 서비스 기준으로 트래픽 분류를 수행할 경우, 다른 응용을 통해 동일한 서비스가 제공되어 분류가 모호해 지는 경우를 방지할 수 있다. 예를 들어, NateOn 메신저는 NateOn 자체 응용뿐 아니라 인터넷 브라우저를 통해 자체 응용에서 제공받는 동일한 서비스를 제공 받을 수 있다.
명확하지 않은 분류 체계는 다음과 같은 문제점들을 야기한다. 첫째, 트래픽 분석 방법론의 객관적 평가와 각 방법론 간의 비교 평가가 불가능하다. 심지어 동일한 분석 방법론일지라도 적용되는 분류 체계에 따라 평가가 달라질 수 있다.
Collaboration은 기능의 1계층으로 분석된 트래픽은 대부분 collaboration의 chat 기능 트래픽으로 예상이 되지만, 실제 분석 결과 chat 기능 보다는 file transfer 기능을 사용할 때 더 많은 트래픽을 발생하는 것을 확인하였다. 특히, 파일 전송 시 발생하는 트래픽의 비율은 전체 트래픽 대비 76%를 기록 하였다. 이와 같이 기존의 단일 응용 기준 트래픽 분석에서는 단순히 Nateon으로만 분석되던 트래픽들이 다양한 관점에서 분석됨으로써, 해당 트래픽의 충분한 정보를 제공할 수 있게 된다.
기존 분석 결과가 전달하는 정보는 불충분할 뿐 아니라 정확하지 않은 분석이라고 할 수 있다. 하지만 본 논문에서 제안하는 4가지 분류 기준을 통해 다각적 분석을 수행하므로 표 2와 같은 결과를 제시하므로 정확하고 세밀한 분류 결과를 얻을 수 있다.
후속연구
다양한 분류 기준으로 분석된 분류 결과를 한눈에 파악할 수 있는 분류 결과 시각화에 대한 연구를 진행할 계획이다.
이는 기능 기준으로 트래픽을 분류 할 수 있는 정교한 시그니쳐의 부재 때문으로 판단된다. 따라서, 분류 체계에 적용하여 분류할 수 있는 정교하고 정확한 시그니쳐에 대한 정의 및 추출 작업이 이루어져야 할 것이다.
첫째, 분석 방법론의 정교한 개발을 가능하게 한다. 명확한 분류 체계를 분석 방법론에 적용할 경우, 객관적인 결과를 얻을 수 있고, 더 정교한 분석 방법론의 개발이 가능해진다. 둘째, 다각적인 트래픽 분석을 가능하게 한다.
eDonkey 프로토콜은 당나귀, 프루나, eMule 등 다양한 P2P 서비스에 사용되는 프로토콜로써, 파일 공유 프로그램의 특성상 eDonkey 프로토콜을 사용하는 프로그램들은 업데이트 및 새로운 응용의 개발이 자주 일어난다. 이러한 경우, eDonkey 프로토콜에 대한 분석이 이루어지지 않는다면, 새로운 응용이 추가되거나 기존 응용이 업데이트 될 때마다 새로운 응용에 대한 추가적 분석이 계속적으로 요구될 것이다. 따라서 프로토콜 기준으로 트래픽을 분류할 경우, 특정 프로토콜을 사용하는 응용들의 등장에 대한 추가적 시그니쳐 생성 및 응용에 대한 분석 필요성을 줄일 수 있다는 장점이 있다.
이와 같이 기존의 단일 응용 기준 트래픽 분석에서는 단순히 Nateon으로만 분석되던 트래픽들이 다양한 관점에서 분석됨으로써, 해당 트래픽의 충분한 정보를 제공할 수 있게 된다. 이러한 분석 결과는 향후 다양한 분야에서 활용될 수 있다.
트래픽 분석의 필요성이 높아지고 분류 결과가 다양한 분야에서 적용됨에 따라 분류 결과를 효과적으로 활용할 수 있는 분류 체계의 필요성이 요구되었다.
질의응답
핵심어
질문
논문에서 추출한 답변
포트기반 분석의 장점은 무엇인가?
포트기반 분석은 Internet Assigned Number Authority(IANA)[6]에서 지정한 포트 정보를 이용한다. 포트 번호와 대응하는 서비스를 기준으로 분석하기 때문에 시스템 구현 시 오버헤드가 작다는 장점이 있다. 하지만, 최근 사용되는 응용들은 방화벽 및 IPS 장비를 통과하기 위해 포트 번호를 임의 또는 동적으로 설정하여 트래픽을 발생시키므로 더 이상 포트 번호가 특정 서비스, 프로토콜을 의미하지 않는다.
트래픽 분석 방법들은 어떻게 구분되는가?
트래픽 분석 방법론은 그 중요성이 증가함에 따라 지속적으로 연구가 진행되고 있다. 트래픽 분석 방법들은 트래픽 분석 시 사용하는 트래픽 특징을 기준으로 포트기반 분석[6,7], 페이로드기반 분석[8, 9], 통계정보기반 분석[10-12], 상관관계기반 분석[13] 등으로 구분된다.
트래픽 분석의 대표적인 실제 활용 예는 무엇인가?
트래픽 분석의 결과는 네트워크 관리 분야에서 네트워크 사용 현황 파악과 확장 계획 수립 등의 다양한 분야에서 활용될 수 있다. 대표적인 실제 활용 예는 QoS(Quality of Service) 정책 설정이다. 실시간 음성 및 영상 데이터 트래픽은 기존 일반 데이터와 달리 일정 수준 이상의 대역폭을 확보하여야 한다.
참고문헌 (15)
F. C. VNI, "Cisco Visual Networking Index: Global Mobile data Traffic Forecast Update 2009-2014," Cisco Public Information, February, Vol.9, 2010.
J.-h. Kim, S.-H. Yoon, and M.-S. Kim, "Research on traffic taxonomy for Internet traffic classification," in Network Operations and Management Symposium (APNOMS), 2011 13th Asia-Pacific, 2011, pp.1-4.
Check Point AppWiki. [Internet], http://appwiki.checkpoint.com/appwikisdb/public.htm
FortiGuard Center App Control. [Internet], http://www.fortiguard.com/encyclopedia/applications/
IANA port number list. [Internet], http://www.iana.org/assignments/service-names-port-nu mbers/service-names-port-numbers.xml
Z. Jian and A. Moore, "Traffic Trace Artifacts due to Monitoring Via Port Mirroring," in End-to-End Monitoring Techniques and Services, 2007. E2EMON '07. Workshop on, 2007, pp.1-8.
F. Risso, M. Baldi, O. Morandi, A. Baldini, and P. Monclus, "Lightweight, Payload-Based Traffic Classification: An Experimental Evaluation," in Communications, 2008. ICC '08. IEEE International Conference on, 2008, pp.5869-5875.
J.-S. Park, S.-H. Yoon, and M.-S. Kim, "Software Architecture for a Lightweight Payload Signature-Based Traffic Classification System," in Traffic Monitoring and Analysis. Vol. 6613, J. Domingo-Pascual, Y. Shavitt, and S. Uhlig, Eds., ed: Springer Berlin Heidelberg, 2011, pp.136-149.
A. W. Moore and D. Zuev, "Internet traffic classification using bayesian analysis techniques," SIGMETRICS Perform. Eval. Rev., Vol.33, pp.50-60, 2005.
K. Xu, Z.-L. Zhang, and S. Bhattacharyya, "Profiling internet backbone traffic: behavior models and applications," in ACM SIGCOMM Computer Communication Review, 2005, pp.169-180.
J.-W. Park, S.-H. Yoon, J.-S. Park, S.-W. Lee, and M.-S. Kim, "Statistic Signature based Application Traffic Classification," KICS, Vol.34, pp.1234-1244, 2009.
T. Karagiannis, K. Papagiannaki, and M. Faloutsos, "BLINC: multilevel traffic classification in the dark," in ACM SIGCOMM Computer Communication Review, 2005, pp.229-240.
A. Callado, C. Kamienski, G. Szabo, B. Gero, J. Kelner, S. Fernandes, et al., "A Survey on Internet Traffic Identification," Communications Surveys & Tutorials, IEEE, Vol.11, pp.37-52, 2009.
S.-H. Yoon, J.-W. Park, J.-S. Park, Y.-S. Oh, and M.-S. Kim, "Internet Application Traffic Classification Using Fixed IP-Port," in Management Enabling the Future Internet for Changing Business and New Computing Services, 2009, pp.21-30.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.