TCP 세션의이상동작으로인한트래픽분석방법론의한계와 해결방안 A Method to resolve the Limit of Traffic Classification caused by Abnormal TCP Session 안현민, 최지혁, 함재현, 김명섭 고려대학교컴퓨터정보학과 {queen26, jihyeok_choi, jaehyun_ham, tmskim}@korea.ac.kr 요 약 오늘날네트워크환경은다양한응용의등장으로트래픽이복잡다양해지고있다. 이러한상황속에서정확한네트워크의상태파악을위한트래픽의응용별분류에대한중요성은더욱더증가하고있다. 최근트래픽플로우의통계정보를이용한트래픽의응용별분류방법론에대한연구가활발히진행되고있다. 하지만대부분의연구들은 TCP 세션의이상동작에대한고려가없어분류결과의오분류및미분류가발생할수있다. 따라서본논문에서는 TCP 세션의이상동작의문제점을지적하고이를개선하는방법론을제안한다. 제안된방법론을통계적응용트래픽분류방법에적용함으로써그타당성을증명한다. Keywords: Network Management, Configuration Management 1. 서론 1 오늘날의네트워크는다양한응용의등장으로인해트래픽이복잡다양해지고있다. 이러한상황속에서네트워크의효과적인운용과관리를위해네트워크트래픽분석은필수적인요소이다. 응용트래픽분류는네트워크트래픽분석의중요한요소이다. 응용트래픽분류란네트워크패킷을수집하여해당패킷을발생시킨응용계층의정체를알아내고이를기준으로트래픽을분류하는것을말한다. 최근에는트래픽의여러가지통계정보를이용해트래픽을분류하는방법이많이연구되었는데 [5 7] 트래픽의통계정보로는패킷의크기와전송방향, 전송순서, 그리고캡쳐시간등이있다. 이러한 Feature 를사용하는트래픽분류방법론 [12, 13] 에는네트워크환경에서의한계가있는데바로 TCP 세션의이상동작인 Retransmission 과 Out-of-order 가그것이다. TCP 는두종점호스트사이에신뢰성있는스트림형의채널을제공함으로써상위계층 ( 응용프로그램 ) 사이에투명한데이터전달을제공한다. 통신중에수신된패킷에에러를발견하면수신측은이데이터를버리고송신측은해당패킷을 Retransmission 하게되고수신측은 Retransmission 한패킷을저장한다. 이처럼데이터에서에러가발생하면 ( 또는데이터그램이분실되면 ) 수신측에서는해당데이터를버리는등의동작을하여 TCP 의신뢰성있는전송을보장받을수있지만, 트래픽을분석하기위해캡쳐하는지점에서는이러한이상동작을확인하는과정이없으므로모든패킷을캡쳐하게되고패킷 Retransmission 이나 Out-of-order 등으로인해분석기에이상동작이발생하게된다. 이로인해패킷의크기와전송순서등을 Feature 로사용하는모든트래픽분석방법론에영향을끼치게된다. 본논문에서는이러한문제가실제로얼마나빈번히발생하는지를 TCP 패킷의 SYN 넘버와 ACK 넘버를비교하여확인하고이를개선하기위한방법론을제안한다. 제안하는방법은 4-tuple(source IP, source Port, destination IP, destination Port) 이같은 TCP 트래픽을양방향플로우로수집하며플로우내패킷들의 SYN 넘버와 ACK 넘버를비교하여에러를확인한뒤패킷 Retransmission 이발견되었을경우보다후에전송된패킷을보다이전에전송된패킷대신저장하고 Out-of-order 가발견되었을경우엔패킷 이논문은 2010 년도정부 ( 교육과학기술부 ) 의재원으로한국연구재단 - 차세대정보컴퓨팅기술개발사업 (20100020728) 과 2012 년정부 ( 교육과학기술부 ) 의재원으로한국연구재단 (2012R1A1A2007483) 의지원을받아수행된연구임 31
Reordering 을수행하는것이다. 학내망에서수집한트래픽으로확인한결과무시할수없는양의이상동작이감지되었고실험을통해패킷의크기와전송순서등을 Feature 로사용하는트래픽분석방법론에영향을끼침을알수있었다. 또한제안하는방법론을사용하여이를해결한결과분석률이향상되었다. 본논문의구성은 2 장에서관련연구에대해서기술하고, 3 장에서는이러한이상동작이발생하는이유에대해자세히설명한다. 4 장에서본논문에서제안하는방법에대해서기술하고 5 장에서는실험환경과결과에대해서기술한다. 마지막으로 6 장에서결론과향후연구방향에대해서기술한다. 2. 관련연구 인터넷트래픽의응용프로그램별분류는이전방법론들의어려운점을해결하기위해여러가지방법들이제시되고있다. 기존의방법론들은크게 3 가지로구분할수있는데, 이들은시그니쳐기반분석 [11], 트래픽상관관계기반분석 [1, 4], 머신러닝기반의분석 [2-3,14-15] 이다. 시그니쳐기반분석방법 [11] 은특정응용프로그램에서발생시킨트래픽을분석하여다른응용프로그램과구분지을수있는시그니쳐라하는특정응용만의특징을추출하고이를통해트래픽을분류하는방법이다. 두번째트래픽상관관계기반분석방법 [1, 4] 은주소체계 (IP 주소, 포트번호, 프로토콜 ), 트래픽의발생시점, 발생형태등의특성을바탕으로트래픽플로우들사이에연관성을가중치로표현하고가중치의임계값을적용하여트래픽을분류하는방법이다. 마지막머신러닝기반의분석방법 [2-3, 14-15] 은응용별인터넷트래픽의특징이될수있는항목 ( 포트번호, 플로우 duration, 패킷간시간간격, 패킷크기, 전송순서등 ) 들을머신러닝의 classification, clustering 기법을이용하여트래픽을분류하는방법이다. Classification 기법에서는 Bayesian Network, Decision Tree 가주로사용되고 [3], clustering 기법에서는 EM(Expectation Maximization)[2] 을활용한연구가발표되었다. 본논문의대상은첫번째시그니쳐기반분석방법중통계시그니쳐기반분석방법과세번째머신러닝기반의분석방법이다. 통계시그니쳐기반분석방법은플로우의통계정보를이용하여응용별시그니쳐를추출하고이를이용하여트래픽을응용별로분류하는것인데이때사용되는플로우의통계정보로는패킷의헤더에서찾을수있는정보 ( 패킷크기, 윈도우크기등 ) 와패킷간시간간격, 전송순서등이있다. 두방법론은모두패킷크기, 패킷간시간간격, 전송순서등을사용하기때문에 TCP 세션의이상동작인패킷 Retransmission 과 Out-of-order 에제약을받는다. 이는논문 [8] 에서도기존의통계기반트래픽분류방법론 [9] 의한계로서 Out-of-order 를지목했을만큼널리알려진사실이다. 본논문에서제안하는방법론의성능평가를위한실험에사용하는트래픽분류방법론은통계시그니쳐기반트래픽분류방법론이다.[10] 해당방법론은 TCP, UDP 를전송프로토콜로사용하는플로우들을입력으로받는다. 플로우내의컨트롤패킷을제외한페이로드가있는패킷만을 Feature 로사용한다. 먼저플로우의첫 N 개패킷의페이로드크기와전송방향, 순서를이용하여 N 차원의플로우벡터로표현한다. 플로우벡터에서패킷의페이로드크기는정수로표현되고전송방향은 +/-로표현되며전송순서는플로우벡터요소의순서가된다. 다음의식 1 은플로우벡터를표현한것으로 V( f) 는플로우 f 의벡터, s 는 i 번째패킷의페이로드크기를의미하며각 d i 는플로우 f 내 i 번째패킷의전송방향 (+/-), i 요소의순서는플로우내패킷의전송순서이다. V( f) = { d s, d s,..., d s } - 식 1 1 1 2 2 n n 예를들어두종단호스트 A 와 B 가통신을하는데 A 가먼저 B 에게데이터크기가 30 인패킷을두개연달아보내고 B 에서 A 로데이터크기 40 인패킷을하나전송한다면두종단호스트를연결하는플로우 f 의벡터 V( f) 는식 2 와같이표현할수있다. V( f ) = { + 30, + 30, 40} - 식 2 그후플로우벡터들을응용별로나눈뒤응용내플로우들중플로우벡터의요소별로전송방향이같고크기의차이가일정임계값보다작은플로우들을모아그룹핑한다. 그후그룹내의플로우벡터들을평균내어그룹벡터를만든다. 다음식 3 는그룹벡터를표현한것이다. VG ( ) 는그룹 G 의벡터, K 는 그룹내의플로우개수, i 는그룹내플로우의순서, di 1 는 i 번째플로우의첫번째패킷의전송방향, si 1 32
은 i 번째플로우의첫번째패킷의페이로드크기이며각요소의순서는그룹내패킷의전송순서이다. K K K 1 1 1 VG ( ) = { di 1 si 1, di 2 si 2,, di n si n} - 식 3 K K K i= 1 i= 1 i= 1 식 2 와같은각그룹의그룹벡터들이시그니쳐로추출된다. 트래픽분류시에도마찬가지로먼저플로우들을 N 차원의플로우벡터로표현한뒤추출된시그니쳐와비교, 분석한다. 3. TCP 세션의이상동작분석 본장에서는 TCP 세션의이상동작에대해 TCP 프로토콜의패킷전송시동작순서와이상동작발생이유, 그리고이상동작발생비율을살펴본다. 3.1 TCP 의데이터전달의신뢰성보장 TCP/IP 의트랜스포트계층프로토콜인 TCP 를사용하여종점호스트사이에연결이설정되면연속된바이트전송을보장하는스트림이제공된다. TCP 는종점호스트사이에신뢰성있는스트림형의채널을제공함으로써상위계층 ( 응용프로그램 ) 사이에투명한데이터전달을제공한다. 신뢰성있는종점간데이터송수신보장을위해 TCP 는 Ack( 확인응답 ) 의사용, 책섬, 재전송, 흐름제어등을사용한다. Ack(Acknowledge) 란데이터가목적지즉, 상대방 TCP 에게잘전달되었는지를확인하기위해사용하는데데이터를수신한상대방은데이터가에러없이, 순서에맞게도착하는지를확인하여문제가없으면송신측으로 Ack 를보낸다. 에러를확인하기위해첵섬을사용하고데이터의전달순서를확인하기위해 Sqeuence Number( 순서번호 ) 를사용한다. 수신측에서에러를발견하면에러가발견된데이터를버리고 Ack 를하지않음으로써송신측에에러가났음을알리거나최근정상적으로수신한데이터에대한 Ack 를반복하여보냄으로써송신측이 Ack 이후의데이터에서에러가발생한것 ( 또는데이터그램이분실된것 ) 을알수있도록하여해당데이터를 Retransmission( 재전송 ) 하도록한다. 이처럼데이터에서에러가발생하면 ( 또는데이터그램이분실되면 ) 수신측에서는해당데이터를버리는등의동작을하여 TCP 의바이트스트림을보장받는다. 또한패킷이여러가지이유로순서가뒤바뀌어오는경우가있다. 하나의호스트에서상대호스트로패킷을전송할때패킷이거치는라우터는무작위이므로뒤에전송된패킷이앞의것보다더적게거치게되는경우가있는데이때에도패킷의순서가뒤바뀔수있다. 이를 Out-of-order 라칭하는데예를들어 1 번부터 5 번까지의패킷이순서대로전송되어야할때 2 번패킷보다 3 번패킷이먼저도착하였다면 TCP 는올바른순서로온것이아님을파악하여 3 번패킷을버퍼에쌓아두고 2 번패킷이도착하였을때순서에맞춰 2 번패킷을먼저저장한뒤 3 번패킷을저장한다. 이를 Reordering 이라칭하는데이러한 TCP Reordering 은보통패킷을 3 개까지만버퍼에저장하고이를넘어가면데이터그램분실로간주하여재전송을요청하게된다. 3.2 TCP 세션의이상동작본연구에서칭하는 TCP 세션의이상동작은크게두가지로하나는패킷 Retransmission 이고다른하나는패킷의 Out-of-order 이다. 패킷 Retransmission 은패킷전송과정에서에러가발생하였거나데이터그램이분실되었기때문에 TCP 에서데이터전달의신뢰성을보장하기위해송신측에서같은데이터를재전송 (Retransmission) 하기때문에발생한다. 그리고패킷의 Out-of-order 발생은여러이유가있을수있는데예를들면연속되는패킷중중간의패킷에서에러가발생하였거나데이터그램이분실되어서정상인그뒤의패킷을버퍼에저장하고이후패킷이 Retransmission 되어저장하게되는경우와패킷이한종점호스트에서상대종점호스트로전송되며라우터를거치는경로가항상일정하지않기때문에패킷을연속으로전송할때그이전의패킷보다이후의패킷이거치는라우터수가더적기때문에먼저도착하게되어일어나는경우가있다. 하나의종점호스트에서패킷을발생시킬때다른호스트에서이를기다리지않고같이패킷을발생시킬때도캡쳐지점의문제로 Out-of-order 가발생할수있다. TCP 에서데이터전달의신뢰성을보장하는데도이러한이상동작이트래픽을분석하는캡쳐한트래픽에서발견되는이유는, 수신측에서는 3.1 에서언급한방법으로데이터전달의신뢰성을보장받지만트래픽분석을위해트래픽을캡쳐하는지점에서는다르기때문이다. 수신측에서는에러가난패킷을버리고 Retransmission 한패킷만을저장하지만트래픽캡쳐지점에서는에러를확인하는과정을행하지않으므로모든패킷을저장하게되고이때 Retransmission 된패킷도포함하게된다. 또한 TCP 의 Reordering 도트래픽캡쳐지점에서는행하지않으므로저장된트래픽에는 Out-of-order 가발생하게되는것이다. 33
표 1. 비정상플로우분석 State Flow Packet 패킷 Retransmission 10.64% 5.05% Abnormal 패킷 Out-of-order 0.15% 0.12% 패킷 Retransmission & Out-of-order 0.06% - Normal - 89.15% 94.83% 3.3 TCP 세션의이상동작발생비율 TCP 세션의이상동작의발생비율을확인하기위해필자의연구실에서수집한트래픽을이용하여패킷 Retransmission 과 Out-of-order 가발생한플로우를조사하였다. 해당실험에서사용한트래픽데이터는연구실에서 2012 년 09 월 10 일 00 시 00 분부터 ~ 2012 년 09 월 11 일 00 시 00 분까지 24 시간동안발생한트래픽중 TCP 플로우의각플로우당처음 20 개의패킷을수집한것이다. 플로우는일반적으로사용되는 5- tuple(source IP, destination IP, source port, destination port, protocol) 을기준으로양방향의같은세션내의모든패킷들의집합으로정의한다. 표 1 은 TCP 계층에서이상동작이발생한비정상플로우를분석한것이다. 패킷 Retransmission 이나 Out-of-order 가발생한플로우는전체플로우대비 10.85% 이고정상세션은 89.15% 이다. 실제 Retransmission 이나 Out-of-order 가발생한패킷은전체대비 5.17% 이고정상패킷은 94.83% 이다. 다음의표 2 는플로우내패킷순서별이상동작의발생비율을분석한것이다. Index 컬럼은플로우내패킷의순서를의미하며 Total 은 Index 에해당하는순서의패킷개수, 즉플로우내에서 Index 번째전송된패킷의개수이다. State 는본연구에서칭하는 TCP 세션의이상동작인 Retransmission, Out-oforder 가있으며각각의하부컬럼은해당순서에전송된패킷중이상동작이발생한패킷의개수이다. 마지막 Rate 컬럼은전체패킷대비이상동작이발생한패킷의비율로써 Retransmission 발생패킷수와 Out-of-order 발생패킷수를합한값을전체패킷수에대비한백분율값이다. 표 2 에따르면 Out-of-order 는순서에상관없이비슷한비율로나오나패킷 Retransmission 은처음패킷들이더높은비율을나타냄으로써이상동작전체의비율이순서가빠른패킷에더높게분석되었다. Index Total (Packet Count) 표 2. 패킷순서별이상동작분석 Retransmission (Packet Count) State Out-of-order (Packet Count) Rate (Ret.+Out.)/Total 100 1 724,928 - - - 2 650,600 103,646 67 15.94% 3 484,319 69,147 941 14.47% 4 304,744 31,500 606 10.54% 5 256,069 24,549 585 9.82% 6 218,592 14,856 481 7.02% 7 186,597 10,296 484 5.78% 8 167,858 8,072 421 5.06% 9 147,605 4,785 444 3.54% 10 130,608 3,449 600 3.10% 이처럼이상동작은전체트래픽의 10% 가넘는플로우에서발생하기때문에플로우의통계적인특징을이용하여트래픽을분류하는방법론에영향을끼친다. 또한, 첫 N 개의패킷만을트래픽분석시스템의 Feature 로사용하는방법론도플로우초반에더많이발생하는패킷 Retransmission 때문에반드시해당문제를해결하여야한다. 34
4. TCP 의이상동작개선방법론 본논문에서성능평가에사용하는통계적특징기반시그니쳐추출시스템은 ( 그림 1) 과같은환경하에동작한다. 먼저 TCS(Traffic Capture System) 에서 Validation Network 의트래픽을수집하고 TMS(Traffic Measurement Server) 에서 TMA 로그 (Traffic Measurement Agent) 를추출및이용하여 Ground Truth 를생성한뒤 SGS(Signature Generation System) 에서시그니쳐를추출한다. 제안하는 TCP 세션의이상동작의개선은시그니쳐를추출하기전단계인붉은점선사각형으로표시한 TCS 에서행해야한다. 그림 1. 통계적특징기반시그니쳐추출시스템구성도 ( 그림 2) 는본논문에서성능평가에사용하는트래픽분류시스템이동작하는환경이다. 먼저 TCS 에서 Validation Network 의트래픽을수집하고 TAS(Traffic Analysis System) 에서시그니쳐를이용하여수집된트래픽을응용별로분류한다. 시그니쳐추출시스템과마찬가지로제안하는 TCP 세션의이상동작의개선은점선으로된사각형이쳐져있는트래픽캡쳐시스템에서행해야한다. 그림 2. 트래픽분석시스템구성도 ( 그림 3) 은 TCP 세션의이상동작을개선하는알고리즘의순서도이다. 해당알고리즘은 TCS(Traffic Capture System) 에서패킷을포함한플로우를생성할때적용되는것이다. 패킷하나가자신이속한플로우에저장될때까지의흐름이다. Pre-stored Packet 은플로우에이미저장되어있는다른패킷들을의미하고 Direction 은패킷의전송방향을의미한다. Seq number 는패킷의 Sequence 번호를의미하며 Ack Number 은패킷의 Acknowledge 번호를의미한다. 패킷이입력되면입력된패킷을포함할수있는플로우를찾는다. 해당플로우의이전패킷들과방향을비교한뒤같은방향이면 Sequence 번호를비교하고, 다른방향이면 Acknowledge 번호와 Sequence 번호를교차비교한다. Out-of-order 는두패킷의방향이같을때뒤에입력된패킷의 Sequence 번호가먼저입력된패킷의 Sequence 번호보다작을때를의미하며, 두패킷의순서를바꿔 Sequence 번호순으로저장한다. 방향이다를때엔뒤에입력된패킷의 Acknowledge 번호와먼저입력된패킷의 Sequence 번호를비교하여뒤에입력된패킷의 Acknowledge 번호가더작거나같은경우를의미하며, 이또한 Acknowledge 넘버와 Sequence 번호의순서에맞게저장한다. 이로써 Out-of-order 는해결된다. Retransmission 은연속으로전송된방향이같은패킷들의 Sequence 번호를서로비교하는데같은 Sequence 번호를가진패킷이입력으로들어오는것이패킷 Retransmission 이다. 패킷 Retransmission 이감지되었다면새로입력된패킷을먼저입력된패킷과교환한다. 새로입력된패킷과기존패킷을교환하는이유는에러로인해패킷 Retransmission 이일어났을경우를대비하기위함이다. 35
Start Packet Input Packet Data Find Flow include Packet Data Compare with Pre-stored Packet s Direction N Is same Direction? Compare with Pre-stored Packet s Ack Number Y Compare with Pre-stored Packet s Seq Number Y Is Out of Order? Fix Out of Order N N Is Same? Y Fix Retransmission Is last Packet? N Y End 그림 3. TCP 세션의이상동작개선순서도 5. 실험및결과분석 본장에서는 4 장에서제안된 TCP 세션의이상동작처리방법의성능을평가하기위해두가지실험을하였다. 첫번째실험에서는제안된 TCP 세션의이상동작처리방법을실제트래픽에적용하여 TCP 세션의이상동작개선정도를살펴성능을평가한다. 두번째실험에서는이상동작의처리후통계적특징기반트래픽분류시스템의성능이향상되는지검증하기위해이상동작의처리전후의데이터를통계시그니쳐기반트래픽분류시스템에적용실험하여성능을비교평가한다. 두번째실험에서사용하는통계시그니쳐기반트래픽분류시스템 [10] 은앞서 2 장에서언급했던것으로플로우의첫 N 개패킷의페이로드크기와전송방향, 순서를이용하여 N 차원의플로우벡터로표현한뒤그룹화하여시그니쳐를추출하고, 마찬가지로플로우의첫 N 개패킷을플로우벡터로표현한뒤추출된시그니쳐를적용해트래픽을분류하는시스템이다. 제안하는방법론의성능평가를위해필자의연구실에서수집한트래픽을대상으로실험하였다. 트래픽수집은 KU-MON[16, 17, 18] 을이용하여 2012-09-10 일 ~ 2012-09-17 일총 7 일간의데이터를수집하였다. TCP 세션의이상동작처리성능평가실험은 2012-09-10 일 ~ 2012-09-17 일데이터중 TCP 세션만을사용해실험하였고이상동작처리전후통계시그니쳐기반트래픽분류시스템의성능평가실험에서는 2012-09-10 일 ~ 2012-09-13 일 3 일간의전체트래픽을이용해시그니쳐를추출하고추출된시그니쳐를 2012-09-13 일 ~ 2012-09-17 일 4 일간의전체데이터에적용하였다. 표 3. TCP 세션의이상동작개선결과 State 처리전처리후 Flow Packet Flow Packet 패킷 Retransmission 9.7003% 3.6775% 0.0005% 0.0001% Abnormal 패킷 Out-of-order 0.1702% 0.1279% 0.1701% 0.0842% 패킷 Retransmission & Out-of-order 0.0876% - 0.0001% - Normal - 90.0419% 96.1946% 99.6491% 99.9163% 36
표 3 은 TCP 세션의이상동작처리를실제트래픽에적용하기전과후의이상동작비율이다. 처리전과비교하여처리후의패킷 Retransmission 은거의사라졌지만패킷 Out-or-order 의감소는미미하였다. 그러한이유중의하나로두종단호스트간통신시항상상대방의다음패킷을기다렸다받고난뒤자신의패킷을전송하는것이아니라동시에전송을하는경우가있는데이럴경우캡쳐지점이어디냐에따라패킷의순서가뒤바뀌어수집될수있음을확인하였다. 이는패킷의 Out-of-order 와는다른문제이기때문에이를해결하기위한연구가필요하다. 다른이유는 TCP 프로토콜을따르지않는 Outlier 이다. TCP 프로토콜은신뢰성있는종점간데이터송수신순서보장을위해 Sequence Number(Seq-Number) 와 Acknowledge Number(Ack-Number) 를사용한다. Seq-Number 는송신측에서수신측으로전송하고자하는데이터의첫번째바이트순서를기재하고 Ack-Number 에는받고자하는상대방의첫번째바이트순서를기재한다. 즉 Seq-Number 에는바로이전에전송했던패킷의 Seq-Number 값에그패킷의데이터의크기를더한값을기재하고 Ack-Number 에는상대방이전송했던마지막패킷의 Seq-Number 에그패킷의데이터크기를더한값을기재한다. 예를들어종단호스트 A 와 B 가통신중일때 A 가 B 에게 40 바이트의데이터를가진패킷을전송하며 Seq-Number 와 Ack-Number 에각각 100 과 1 을기재하였다. 그후 B 가 A 에게 30 바이트의데이터를가진패킷을전송하게되면 Seq-Number 는 1 이며 Ack-Number 는 141 이된다. 만약 B 가 A 에게한번더 30 바이트를가진패킷을전송한다면해당패킷의 Seq-Number 는 31 이고 Ack-Number 는여전히 141 이다. 하지만결과분석중발견한 Outlier 는 Seq-Number, Ack-Number 모두만족하지못하였다. A 에서 B 로패킷전송시 Seq-Number 는이전에전송된패킷보단컸으나이전전송된패킷의 Seq-Number 와데이터크기를합한값보다는작았고, Ack-Number 도마찬가지로상대방의이전 Seq-Number 보다는컸으나데이터크기까지더한값보다는작았다. 패킷 Retransmission 이완전히제거되지않은이유와제거방법, 패킷캡쳐지점이다름으로인해발생하는캡쳐된패킷순서의문제, 그리고 Out-of-order Outlier 의처리를위해연구가필요하다. 구분 표 4. 제안된방법론적용전후성능 Flow Packet Byte 적용전적용후적용전적용후적용전적용후 전체 1,159,302 1,159,302 9,261,111 9,261,111 3,268,300,091 3,268,300,091 분석량 747,782 748,465 2,284,283 2,295,142 684,838,864 687,423,022 정상분석량 747,778 748,461 2,284,275 2,295,134 684,837,954 687,422,112 표 4 는각각제안된방법론의적용전과후의트래픽분석량을비교한표이다. 많은양은아니지만플로우, 패킷, 바이트각각분석량이상승한것을확인할수있었다. 적용전, 후모두높은정확도를나타내었으나적용전트래픽의분석된양이적어이상동작이발생한플로우들이미분류되었다는것을알수있다. 다시말해서제안된방법론을적용함으로써이상동작이발생한플로우들을정상탐지해낼수있다는것이다. 6. 결론및향후연구 본논문에서는 TCP 세션의이상동작의발생비율을조사하고이상동작의발생원인과이로인해야기되는플로우의통계정보기반트래픽분류방법론의한계점에대해기술하였다. 그리고해결방안에대해제안하였으며실제트래픽을대상으로한이상동작개선실험을통해이상동작처리방법론의성능을증명하였고이상동작의처리전후의데이터를통계시그니쳐기반트래픽분류시스템에적용실험하여해당방법론의타당성을검증하였다. TCP 세션의이상동작은플로우기준으로전체트래픽의 10% 가넘는비율을차지하여미탐및오탐의가능성을가진다. 따라서플로우의통계적특징을기반으로트래픽을분류하는방법론에서는필히 TCP 세션의이상동작을개선하여야한다. 향후연구로는완전히제거되지않은패킷 Retransmission 문제와패킷 Out-of-order Outlier 처리문제, 그리고패킷캡쳐지점의차이로인해발생하는캡쳐된패킷의순서이상문제를해결하기위해 TCP 세션의이상동작에대한다양하고구체적인연구를진행하고비정상적인세션의다양한분석을제안하고자한다. 37
7. 참고문헌 [1] Myung-Sup Kim, Young J. Won, and James Won-Ki Hong, Application-Level Traffic Monitoring and an Analysis on IP Networks, ETRI Journal, Vol.27, No.1, pp.22-42, Feb., 2005. [2] Jeffrey Erman, Martin Arlitt, Anirban Mahanti, Traffic Classification Using Clustering Algorithms, Proc. of SIGCOMM Workshop on Mining network data, Pisa, Italy, pp.281-286, Sep., 2006. [3] Andrew W. Moore and Denis Zuev, Internet Traffic Classification Using Bayesian Analysis Techniques, Proc. of the ACM SIGMETRICS, Banff, Canada, Jun., 2005. [4] Thomas Karagiannis, Konstantina Papagiannaki, and Michalis Faloutsos. BLINC: Multilevel Traffic Classification in the Dark, Proc. of SIGCOMM 2005, Philadelphia, PA, Aug., 22-26, 2005 [5] Rentao Gu, Minhuo Hong, Hongxiang Wang, and Yuefeng Ji, "Fast Traffic Classification in High Speed Networks," Proc. of the Asia-Pacific Network Operations and Management Symposium (APNOMS) 2008, LNCS 5297, Beijing, China, Oct., 22-24, 2008, pp.429 432 [6] Ying-Dar Lina, Chun-Nan Lua, Yuan-Cheng Laib, Wei-Hao Penga and Po-Ching Lina, "Application classification using packet size distribution and port association" Proc. of the Journal of Network and Computer Applications, In Press, Corrected Proof, Available online, March, 20. 2009. [7] Huifang Feng and Yantai Shu, "Statistical Analysis of Packet Interarrival Times in Wireless LAN," Proc. of the Wireless Communications, Networking and Mobile Computing, 2007. WiCom 2007. International Conference, Shanghai, China, Sept. 21-25, 2007, pp.1888-1891. [8] SUN Mei-feng, CHEN Jing-tao, Research of the traffic characteristics for the real time online traffic classification, The Journal of China Universities of Posts and Telecommunications, June 2011, 18(3): 92 98 [9] Bernaille L, Teixeira R. Akodkenou I, et al. Traffic classification on the fly Computer Communication Review, 2006, 36(2): 23-26 [10] 박진완, 김명섭, 통계시그니쳐기반트래픽분석시스템의성능향상, 정보처리학회논문지 C 제 18-C 권제 4 호 2011. 8 [11] Liu, Hui Feng, Wenfeng Huang, Yongfeng Li, Xing Accurate Traffic Classification, Networking, Architecture, and Storage, 2007. International Conference [12] L.Bernaille, R. Teixeira, and K. Salamatian, "Early Application Identification," In: CoNext 2006. Conference on Future Networking Technologies., 2006. [13] Young-Tae Han and Hong-Shik Park, "Game Traffic Classification Using Statistical Characteristics at the Transport Layer," ETRI Journal, Vol.32, No.1, Feb., 2010, pp.22-32. [14] Gerhard Munz, Hui Dai, Lothar Braun, and Georg Carle, "TCP Traffic Classification Using Markov Models," In Proc. Of Traffic Monitoring and Analysis Workshop (TMA) 2010, Zurich, Switzerland, April, 2010. [15] Valentin Carela-Espanol, Pere Barlet-Ros, Marc Sole-Simo, Alberto Dainotti, Walter de Donato, and Antonio Pescape, "K-dimensional trees for continuous traffic classification," In Proc. of Traffic Monitoring and Analysis Workshop (TMA) 2010, Zurich, Switzerland, April, 2010. [16] 오영석, 박준상, 윤성호, 박진완, 이상우, 김명섭, " 멀티레벨기반의응용트래픽분석방법 ", 통신학회논문지 Vol.35 No.8, pp.1170-1178, 2010 년 8 월. [17] 박상훈, 박진완, 김명섭, "Flow 기반실시간트래픽수집및분석시스템 ", 정보처리학회추계학술대회, 목포대학교, pp. 1061, 2007 년 11 월. [18] 윤성호, 노현구, 김명섭, "TMA(Traffic Measurement Agent) 를이용한인터넷응용트래픽분류 ", 통신학회하계종합학술발표회, 라마다플라자호텔, pp. 618, 2008 년 6 월. 38
안현민 2012 년고려대학교컴퓨터정보학과학사 2012 년 ~ 현재고려대학교컴퓨터정보학과석사과정 < 관심분야 > 네트워크관리및보안, 트래픽모니터링및분석 최지혁 2012 년고려대학교컴퓨터정보학과학사 2012 년 ~ 현재고려대학교컴퓨터정보학과석사과정 < 관심분야 > 네트워크관리및보안, 트래픽모니터링및분석 함재현 1999 년동국대학교컴퓨터공학과학사 1999 년 ~ 2001 년포항공과대학교컴퓨터공학과석사 2001 년 ~ 현재국방과학연구소선임연구원 2012 년 ~ 현재고려대학교컴퓨터정보학과박사과정 < 관심분야 > 전술통신망관리, 네트워크관리, 트래픽모니터링및분석 김명섭 1998 년포항공과대학교전자계산학과학사 1998 년 ~2000 년포항공과대학교컴퓨터공학과석사 2000 년 ~2004 년포항공과대학교컴퓨터공학과박사 2004 년 ~2006 년 Post-Doc., Dept. of ECE, Univ. of Toronto, Canada. 2006 년 ~ 현재고려대학교컴퓨터정보학과조교수 < 관심분야 > 네트워크관리및보안, 트래픽모니터링및분석, 멀티미디어네트워크 39