KR100643215B1 - Network device analysis system - Google Patents
Network device analysis system Download PDFInfo
- Publication number
- KR100643215B1 KR100643215B1 KR1020040040024A KR20040040024A KR100643215B1 KR 100643215 B1 KR100643215 B1 KR 100643215B1 KR 1020040040024 A KR1020040040024 A KR 1020040040024A KR 20040040024 A KR20040040024 A KR 20040040024A KR 100643215 B1 KR100643215 B1 KR 100643215B1
- Authority
- KR
- South Korea
- Prior art keywords
- isn
- value
- list
- linearity
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims abstract description 5
- 238000000034 method Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
Images
Classifications
- 
        - H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
 
- 
        - H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
 
- 
        - H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
 
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크장치 분석시스템에 관한 것으로서, 복수의 사용자 단말들의 외부에 존재하며, 복수의 사용자 단말들이 외부망과 송수신하는 TCP/IP 트래픽을 모니터링하는 트래픽 미러닝 수단, 모니터링된 TCP/IP 트래픽에서 ISN(시퀀스 넘버 초기값)을 해당 IP별로 독출하는 ISN 독출수단, 독출된 ISN값들을 리스트화하여, 해당 IP별로 시간에 따른 선형성을 갖는지 조사하고, 하나의 IP에서 적어도 하나이상의 복수개의 선형성을 갖는 ISN 리스트가 존재하면, 존재하는 ISN리스트의 수 만큼 해당 IP를 공유하는 공유 사용자 단말이 있는 것으로 판별하는 선형성 판별수단 및 IP공유 사용자 단말 검출 결과를 주기적으로 로깅 및 저장하는 저장매체를 구비한다. 본 발명에 의하면, IP 공유기 사용 여부를 외부의 망에서 원격으로 파악하고 IP 공유기에 연결된 사용자 단말수를 파악할 수 있다.The present invention relates to a network device analysis system, which exists outside of a plurality of user terminals, traffic mirroring means for monitoring the TCP / IP traffic transmitted and received by the plurality of user terminals with the external network, in the monitored TCP / IP traffic ISN reading means for reading an ISN (sequence number initial value) for each IP, and listing the read ISN values to investigate whether the IP has linearity over time according to the corresponding IPs, and at least one or more plurality of linearities in one IP. If there is a list of ISNs, linearity determination means for determining that there is a shared user terminal sharing the corresponding IP as many as the number of ISN list and a storage medium for periodically logging and storing the IP sharing user terminal detection results. According to the present invention, it is possible to remotely determine whether to use an IP router from an external network and to determine the number of user terminals connected to the IP router.
IP공유기, TCP, SYN, ACK, ISN, 패킷미러닝Broadband Router, TCP, SYN, ACK, ISN, Packet Learning
Description
도 1은 본 발명의 실시 예에 따른 네트워크장치 분석시스템이 네트워크에 적용된 네트워크 시스템 구성도이다.1 is a block diagram illustrating a network system in which a network device analysis system according to an embodiment of the present invention is applied to a network.
도2는 TCP/IP 패킷의 구조를 나타내는 구성도이다.2 is a block diagram showing the structure of a TCP / IP packet.
도 3은 IP공유기 검출 시스템의 내부 블록도이다.3 is an internal block diagram of the IP router detection system.
도 4는 도 3에 도시된 네트워크장치 분석시스템의 동작원리를 설명하는 도면이다.4 is a view for explaining the operation principle of the network device analysis system shown in FIG.
도 5는 본 발명에 따른 네트워크장치 분석시스템의 검출과정을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a detection process of a network device analysis system according to the present invention.
본 발명은 네트워크장치 분석시스템에 관한 것으로, 더욱 상세하게는 TCP의 시퀀스 넘버가 시간에 따라 한 IP에서 발생하는 커넥션 마다 선형적으로 초기화되는 특성의 값을 모니터링하여 이를 이용하여 공유기 검출과 IP 공유 사용자 단말 수를 판별하는 네트워크장치 분석시스템에 관한 것이다.The present invention relates to a network device analysis system, and more particularly, by detecting a value of a router and using an IP sharing user by monitoring a value of a property in which a sequence number of TCP is linearly initialized for each connection occurring in one IP according to time. A network device analysis system for determining the number of terminals.
최근에는 가입자가 저렴한 비용으로 네트워크를 사용하기 위해서 IP 공유기를 사용하는 경우가 매우 빈번하게 발생하고 있으며. 이들에 의해 네트워크 트래픽 증가가 심각한 문제를 들어내고 있다.Recently, subscribers use IP routers very often to use the network at low cost. These are causing serious network traffic increase.
이러한 IP 공유기 사용자에 대한 검출 및 차단이 이루어져야 하나 종래의 공유 IP를 찾아내는 방법은 구체적으로 제시되어 실용화되지 못했다.The detection and blocking of the user of the IP router should be performed, but the conventional method of finding a shared IP has not been specifically proposed and put into practical use.
따라서 이러한 어려움으로 인해 관리자가 직접 가입자를 찾아다니면서 공유기 사용 유, 무를 확인하는 방법으로 검출 및 차단을 하고 있다.Therefore, due to these difficulties, administrators are searching for subscribers and detecting and blocking by checking whether the router is used or not.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 본 발명이 이루고자 하는 기술적 과제는, IP 공유기 사용 여부를 외부의 망에서 원격으로 파악하고 IP 공유기에 연결된 사용자 단말수를 파악할 수 있는 네트워크장치 분석시스템을 제공하는데 있다.The present invention is to solve the above-mentioned problems, the technical problem to be achieved by the present invention, the network device analysis that can determine whether to use the IP router remotely from the external network and the number of user terminals connected to the IP router To provide a system.
상기 과제를 달성하기 위해, 자신의 IP를 가지고 통신하는 정상 사용자단말과 IP공유수단을 통해 네트워크에 연결된 공유 사용자 단말을 검출하는 네트워크장치 분석시스템에 있어서,In order to achieve the above object, in the network device analysis system for detecting a normal user terminal communicating with its own IP and a shared user terminal connected to the network through the IP sharing means,
복수의 사용자 단말들의 외부에 존재하며, 상기 복수의 사용자 단말들이 외부망과 송수신하는 TCP/IP 트래픽을 모니터링하는 트래픽 미러닝 수단;Traffic mirroring means existing outside the plurality of user terminals and monitoring TCP / IP traffic transmitted and received by the plurality of user terminals with an external network;
상기 모니터링된 TCP/IP 트래픽에서 ISN(시퀀스 넘버 초기값)을 해당 IP별로 독출하는 ISN 독출수단;ISN reading means for reading an ISN (sequence number initial value) for each IP in the monitored TCP / IP traffic;
상기 독출된 ISN값들을 리스트화하여, 해당 IP별로 시간에 따른 선형성을 갖는지 조사하고, 하나의 IP에서 적어도 하나이상의 복수개의 선형성을 갖는 ISN 리스트가 존재하면, 존재하는 ISN리스트의 수 만큼 해당 IP를 공유하는 공유 사용자 단말이 있는 것으로 판별하는 선형성 판별수단 및 Lists the read ISN values and checks linearity with time for each IP, and if there is an ISN list having at least one linearity in one IP, the corresponding IPs are provided as many as the number of ISN lists present. Linearity determination means for determining that there is a shared user terminal to share;
상기 IP공유 사용자 단말 검출 결과를 주기적으로 로깅 및 저장하는 저장매체를 구비하는 것을 특징으로 하는 네트워크장치 분석시스템이 제공된다.Provided is a network device analysis system comprising a storage medium for periodically logging and storing the IP sharing user terminal detection result.
이하, 본 발명의 바람직한 실시예를 도면을 참고하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings.
           도 1은 본 발명의 실시 예에 따른 네트워크장치 분석시스템(50)이 네트워크에 적용된 네트워크 시스템 구성도이다.1 is a diagram illustrating a network system in which a network 
           도 1을 참조하면, 본 발명에 따른 네트워크장치 분석시스템(50)은 복수의 사설 네트워크(10)의 외부에 존재하고 있다.    여기서, 사설 네트워크(10)는 복수의 사용자 단말이 예를 들면 IP 어드레스를 라우팅하는 라우터와 연결되어 구성되어 있다.Referring to FIG. 1, the network 
           그런데, 사설 네트워크(10)를 구성하고 있는 사용자단말들중에는 IP 공유 기능을 수행하는 라우터나 소프트웨어로 구현된 IP 공유 솔루션을 이용한 IP공유기(11)를 이용하여 IP 어드레스를 공유하는 단말들도 존재한다.However, among the user terminals constituting the 
           네트워크장치 분석시스템(50)은 복수의 IP공유 사설 네트워크(10)에 소속된 사용자 단말과 IP 공유를 하지 않는 정상 사용자(20)의 사용자 단말이 TCP/IP 프로토콜에 기반하여 광역 네트워크 망(WAN: Wide Area Network, 30)에 연결되어 인터넷과 통신을 할 수 있도록 네트워크 연결관리를 수행하며 상기 사용자 단말들로부터 TCP/IP 패킷을 수집하는 패킷 미러닝장치(40)와 연결되어 있다.In the network 
           네트워크장치 분석시스템(50)은 패킷 미러닝 장치(40)로부터 수집된 TCP/IP 패킷의 각각의 IP별 ISN값을 독출하고, IP 어드레스 별로 시간에 따라 연속적으로 증가하는 ISN값의 증가세트의 수를 찾아내어 IP 어드레스를 사용하고 있는 사용자 단말의 수를 검출한다.The network 
본 실시예에서 IP공유 클라언트 검출을 위해 독출되는 ISN(Initialize Sequence Number)값은 TCP를 기반으로 하는 초기 연결을 수행할 때, 즉 CODEBIT가 SYN인 경우 사용되는 시퀀스넘버의 초기 값 또는 초기 연결을 수행한 후 수신측의 응답 및 연결 설정을 수행하는 패킷(CODEBIT가 SYN과 ACK인 경우)의 애크날리지먼트넘버(acknowledgement number)의 값 또는 그 값에 일정한 값을 증감한 값이 된다.In this embodiment, an Initialize Sequence Number (ISN) value read for IP-sharing client detection indicates an initial value or initial connection of a sequence number used when performing an initial connection based on TCP, that is, when CODEBIT is SYN. After execution, the packet is a value of an acknowledgment number or a constant value is increased or decreased in the packet (when CODEBIT is SYN and ACK) that performs response and connection establishment at the receiving end.
도2는 TCP/IP 패킷의 구조를 나타내는 구성도이다.2 is a block diagram showing the structure of a TCP / IP packet.
           도 2의 TCP헤더 포맷에서 (11)은 시퀀스 넘버로써 처음에 초기화 되는 ISN값을 기본 설정값으로 하고, 전송되는 데이터량의 크기에 따라서 수신측에서는 에크날리지먼트넘버에 값을 증가시켜 분할되어 전송되는 데이터의 재조합, 흐름제어와 에러 검출을 위해 사용되는 필드이다.In the TCP header format of FIG. 2, 
또한, (12)는 SYN이며 TCP 플래그로서 TCP 세그먼트의 속성을 나타내는 필드이다.In addition, (12) is SYN and is a field which shows the attribute of a TCP segment as a TCP flag.
도 3은 네트워크장치 분석시스템의 내부 블록도이다.3 is an internal block diagram of a network device analysis system.
           본 발명에 따르는 네트워크장치 분석시스템(50)은 네트워크 인터페이스(53), 패킷필터 및 헤더검출수단(54), IP별 ISN 독출수단(55), 정상 IP 사용자 단말인가 IP공유 사용자 단말인가 판단하는 판단수단(56) 및 외부 저장 매체(57)를 구비한다.In the network 
           네트워크 인터페이스(53)는 네트워크를 통해 송수신되는 TCP/IP 트래픽을 모니터링한다.The 
           패킷필터(54)는 모니터링 된 트래픽에서 TCP의 SYN패킷과 ACK|SYN 패킷의 헤더를 검출한다.The 
           ISN 독출 엔진(55)은 필터링된 패킷을 IP별로 ISN을 리스팅한다.The ISN read 
           ISN 독출 엔진(55)은 TCP/IP 프로토콜에서 TCP의 연결 설정을 위해 수행되는 3-Way Handshaking 패킷 중 TCP 플래그의 SYN bit가 1로 설정 된 패킷의 시퀀스 넘버를 ISN 값으로 독출하는 방식, TCP의 연결 설정(3-Way Handshaking) 패킷 중 SYN 패킷 전송 후 수신측에서 응답하는 패킷으로 TCP플래그가 ACK|SYN 비트가 모두 1로 설정 된 패킷의 응답번호 (Acknowledgement Number)나 응답번호에 일정한 값을 증감한 값을 ISN값으로 독출하는 방식을 모두 사용한다.The 
판단수단(56)은 독출된 ISN 결과에 의거하여 IP공유 사용자 단말인지 정상 IP 사용자 단말인지를 판단한다.The judging means 56 judges whether it is an IP sharing user terminal or a normal IP user terminal based on the read ISN result.
           특히, 판단수단(56)은 TCP/IP 트래픽에서 IP별 ISN값을 독출해서, IP별로 증가되는 상호 인접 ISN값을 서로 비교하다가 시간의 흐름과 ISN값의 증가치가 서로 기존의 증가치 보다 비정상적으로 증가하는 이벤트 또는 연속된 ISN값에서 현재 ISN값보다 신규 ISN값이 더 작은 감소 이벤트가 발생하게 되면, 해당 IP 어드레스에 ISN증가 셋트수에 반영하여 공유 IP 사용자로서 판단한다.In particular, the 
또한, 정상 사용자의 경우 IP별 증가 셋트수는 하나로써, 다수개의 IP별 ISN 증가 셋트 수를 가지고 있는 단말을 공유IP 사용자 단말로 구분한다.In addition, in the case of a normal user, the number of increase sets for each IP is one, and a terminal having a plurality of ISN increase sets for each IP is classified as a shared IP user terminal.
           또한, 네트워크장치 분석시스템(50)은 외부 저장 매체(57)에 검출된 IP공유 사용자 단말의 리스트에 대한 주기적인 로깅과 저장을 행한다.In addition, the network 
           도 4는 도 3에 도시된 네트워크장치 분석시스템(50)의 동작원리를 설명하는 도면이다.4 is a view for explaining the principle of operation of the network 
           도 4에 도시된 것같이, IP공유 사용자 단말(15)과 정상 IP 사용자 단말(22)이 인터넷이나 통신을 하기위해 WAN을 통하여 데이터를 전송한다.As shown in FIG. 4, the IP 
           정상 IP 사용자 단말(20)의 경우 TCP를 이용하여 데이터 전송 시 ISN값은 TCP의 각 커넥션간의 중복으로 ISN값이 형성되는 것을 방지하기 위해 t1,t2,... 의 시간의 경과에 동일하게 최초 형성되는 ISN값을 기준으로 90001000, 90002000, 90003000,...과 같이 증가 시켜 하나의 ISN 증가셋트 만을 가지고 TCP 통신을 행한다.In case of the normal 
           반면, IP 공유사용자단말(10)의 경우는 (13a),(13b),(13c)와 같이 각 사설 IP 사용자 단말별로 최초 초기화된 ISN값을 기준으로 일정한 증가치를 가지게 된다.    이와 같이 서로 다른 최초 초기값과 증가치는 IP 공유 수단(11)을 거치게 될 경우 하나의 IP 사용자단말에서는 시간의 흐름에 따라 복수개의 ISN 증가 셋트(51a)가 검출된다.On the other hand, in the case of the IP 
           이렇게, 복수개의 증가 셋트(51a)가 검출된 IP 어드레스는 IP별로 증가되는 상호 인접 ISN값을 서로 비교하다가 시간의 흐름과 ISN값의 증가치가 서로 기존의  증가치 보다 비정상적으로 증가하는 이벤트가 있거나, 연속된 ISN값에서 현재 ISN값보다 신규 ISN값이 더 작은 감소 이벤트가 발생하게 되면, 해당 IP 어드레스에 ISN증가 셋트수에 반영하여 공유 IP 사용자로서 검출 할 수 있다.As described above, an IP address in which a plurality of 
           내부적으로 리스팅 된 IP공유 사용자 단말의 검출 결과는 IP공유기 검출 시스템(50)의 외부 저장 매체(57)를 통해 주기적으로 로깅하고 저장된다.The detection result of the internally-listed IP sharing user terminal is periodically logged and stored through the 
도 5는 본 발명에 따른 네트워크장치 분석시스템의 검출과정을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a detection process of a network device analysis system according to the present invention.
           먼저, TCP/IP방식으로 패킷이 전송될 때, 본 발명에 따른 IP공유기 검출장치에 네트워크 인터페이스(53)를 통하여 연결된 패킷미러닝 장치(40)로부터 모니터링(58)된 패킷들 중 필요 패킷만을 필터링한다(단계 S51).First, when a packet is transmitted in a TCP / IP method, filtering only necessary packets among the packets monitored 58 from the 
IP별 ISN값 독출수단(55)은 TCP/IP 트래픽에서 TCP의 연결 설정을 위해 수행되는 3-Way Handshaking 패킷 중 TCP 플래그의 SYN bit가 1로 설정 된 패킷의 시퀀스 넘버를 ISN 값으로 독출할 수 있다.The ISN value reading means 55 for each IP may read the sequence number of the packet in which the SYN bit of the TCP flag is set to 1 in the 3-Way Handshaking packet performed for TCP connection establishment in the TCP / IP traffic as the ISN value. have.
또한, TCP의 연결 설정(3-Way Handshaking) 패킷 중 SYN 패킷 전송 후 수신측에서 응답하는 패킷으로 TCP플래그가 ACK | SYN 비트가 모두 1로 설정 된 패킷의 응답번호(Acknowledgement Number)나 응답번호에 일정한 값을 증감한 값을 ISN값으로 독출할 수도 있다.Also, among the 3-Way Handshaking packets of TCP, the TCP flag shows ACK | ACK | An ISN value may be read as an acknowledgment number of a packet in which all of the SYN bits are set to 1, or a value obtained by incrementing or decreasing a constant value in the response number.
이와 같이, IP별로 ISN값을 수집한 후(단계 S52), ISN값을 판별 할 수 있는 IP어드레스 리스트가 있는지 판단한다(단계 S53).In this way, after collecting the ISN value for each IP (step S52), it is determined whether there is an IP address list for determining the ISN value (step S53).
만약, ISN값을 판별 할 수 있는 IP어드레스 리스트가 없으면 새로운 IP리스 트와 ISN리스트를 생성한다(단계 S54).If there is no IP address list capable of determining the ISN value, a new IP list and ISN list are generated (step S54).
그러나, 기존의 IP어드레스 리스트가 존재한다면, 해당 IP리스트의 처음 ISN리스트에 ISN값을 삽입한다(단계 S55).However, if there is an existing IP address list, an ISN value is inserted into the first ISN list of the IP list (step S55).
그 다음, 삽입된 ISN값이 기존 ISN 값과 시간별 선형성이 있는지 여부를 판단한다(단계 S56). 기존의 ISN값과 선형성이 유지되면 기존 ISN 리스트에 정보를 삽입하여 정보를 갱신한다(단계 S57).Then, it is determined whether the inserted ISN value is linear with the existing ISN value over time (step S56). If the existing ISN value and linearity are maintained, the information is updated by inserting the information into the existing ISN list (step S57).
그러나, 삽입된 ISN값이 기존 ISN 값과 시간별 선형성이 유지 되지 않으면, 해당 IP에 처음 ISN 리스트 이외에 새롭게 삽입된 ISN값과 선형성을 갖는 다른 ISN 리스트들이 있는지 검색한다(단계 S58).However, if the inserted ISN value does not maintain linearity with the existing ISN value over time, it is searched for other ISN lists having linearity with the newly inserted ISN value in addition to the first ISN list in the corresponding IP (step S58).
만약, 새롭게 삽입된 ISN값과 선형성을 갖는 다른 ISN리스트가 있으면, 해당 ISN 리스트에 ISN값을 삽입한다(단계 S59). 그러나, 새롭게 삽입된 ISN값과 선형성을 갖는 ISN 리스트가 존재하지 않으면, 해당 IP 리스트에 새로운 ISN 리스트를 생성한다(단계 S60).If there is another ISN list having linearity with the newly inserted ISN value, the ISN value is inserted into the corresponding ISN list (step S59). However, if there is no ISN list having linearity with the newly inserted ISN value, a new ISN list is generated in the corresponding IP list (step S60).
이렇게 하여 생성 및 갱신된 IP별 ISN 리스트 정보들을 기반으로 하나의 IP 어드레스에 선형성이 다른 다수개의 ISN리스트들이 존재하게 된다면, 존재하는 ISN리스트의 수 만큼 IP 공유기 사용자단말이 있는 것으로 판단하고(단계 S61), 저장매체에 IP공유 사용자 단말 검출 결과를 주기적으로 로깅 및 저장한다(단계 S62).If a plurality of ISN lists having different linearities exist in one IP address based on the IP-specific ISN list information generated and updated in this way, it is determined that there are as many IP router user terminals as there are ISN lists (step S61). In step S62, the IP sharing user terminal detection result is periodically logged and stored in the storage medium.
이하, 선형성의 판단에 대하여 상세히 설명한다.Hereinafter, the determination of linearity will be described in detail.
새롭게 삽입된 ISN값을 ISNnew, 기존에 유지되고 있는 ISN리스트의 마지막값 을 ISNold, ISNold가 수신된 시간부터 ISNnew가 수신된 시간까지의 경과시간을 Eisn, 그리고 ISN리스트간의 일정한 증가계수를 T라고 지정한다.The newly inserted ISN value ISN new, the final value of the ISN list which is held by the existing ISN old, ISN old is the elapsed time from the received time to the ISN new receives time E isn, and a constant increase between ISN list Specify the coefficient as T.
여기서, ISN리스트에 3개 이상의 ISN리스트가 수집되었을 때 ISN값들 1초당 평균증가치, 일반적으로 Fast Ethernet 네트워크 인터페이스를 사용하는 사용자 단말은 약 250,000의 1초당 증가치를 갖는다.Here, when three or more ISN lists are collected in the ISN list, the average increase value per second of ISN values, generally, a user terminal using a Fast Ethernet network interface has an increase value of about 250,000 per second.
이때, 이 두 ISN수치 간의 선형성판단은 아래의 수식이 참이면, 선형성을 가지고 있다고 판단하고, 거짓일 경우, 선형성이 없는 ISN값으로 판단한다.At this time, the linearity determination between the two ISN values is determined to have linearity if the following expression is true, and to be determined as ISN value without linearity if false.
          
본 발명에 따른 효과는 다음과 같다.Effects according to the present invention are as follows.
첫째, IP 어드레스를 공유하고 있는 사설 네트워크 내부에 인입하지 않더라도 IP 어드레스를 공유하는 사용자 단말의 수를 모니터링 할 수가 있다.First, it is possible to monitor the number of user terminals sharing an IP address without having to enter the private network sharing the IP address.
둘째, 본 발명의 특성상 인터넷이나 통신 시 시작 지점에서 공유기의 사용 여부가 판단되기 때문에 패킷 블록킹과 같은 TCP세션 차단 기술을 접목하기 용이하다.Second, it is easy to incorporate TCP session blocking techniques such as packet blocking because it is determined whether the router is used at the start point when the Internet or communication is used.
셋째, IP 어드레스를 공유하는 사설 네트워크 내의 사용자 단말 수를 모니터링 함으로써, IP 어드레스 사용에 대해 허가되지 않은 불법 사용자들의 숫자 및 공유하고 있는 가입자의 공인 IP 어드레스를 정확하게 산출함으로써, 이를 기초로 IP 어드레스가 불법으로 공유되는 것을 차단시킬 수 있게 된다.Third, by accurately counting the number of illegal users who are not allowed to use the IP address and the public IP address of the sharing subscriber by monitoring the number of user terminals in the private network sharing the IP address, on the basis of which the IP address is illegal Can be shared with others.
넷째, 정당하게 사용 허가를 받은 사용자만이 IP 어드레스를 사용한다는 문화가 정착되게 함으로써 인터넷 산업의 발전에 기여할 수 있게 됨은 물론, 초고속 인터넷 사업의 해외진출 시 사업의 안정화를 이루는데 기여할 수 있게 된다.Fourth, by establishing a culture in which only users who are duly authorized to use IP addresses are established, they can contribute to the development of the Internet industry, and also contribute to stabilization of business when entering the high-speed Internet business overseas.
이상에서는 본 발명의 특정의 바람직한 실시예에 대하여 도시하고 또한 설명하였다. 그러나, 본 발명은 상술한 실시예에 한정되지 아니하며, 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형실시가 가능할 것이다.In the above, certain preferred embodiments of the present invention have been illustrated and described. However, the present invention is not limited to the above-described embodiment, and various modifications can be made by those skilled in the art without departing from the gist of the present invention as claimed in the claims. will be.
Claims (5)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title | 
|---|---|---|---|
| KR1020040040024A KR100643215B1 (en) | 2004-06-02 | 2004-06-02 | Network device analysis system | 
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title | 
|---|---|---|---|
| KR1020040040024A KR100643215B1 (en) | 2004-06-02 | 2004-06-02 | Network device analysis system | 
Publications (2)
| Publication Number | Publication Date | 
|---|---|
| KR20050114917A KR20050114917A (en) | 2005-12-07 | 
| KR100643215B1 true KR100643215B1 (en) | 2006-11-10 | 
Family
ID=37289022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date | 
|---|---|---|---|
| KR1020040040024A Expired - Lifetime KR100643215B1 (en) | 2004-06-02 | 2004-06-02 | Network device analysis system | 
Country Status (1)
| Country | Link | 
|---|---|
| KR (1) | KR100643215B1 (en) | 
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| KR101047997B1 (en) * | 2010-12-07 | 2011-07-13 | 플러스기술주식회사 | Shared terminal classification system and processing method using network packet | 
| KR101049924B1 (en) | 2011-02-08 | 2011-07-15 | 플러스기술주식회사 | Shared terminal detection method using unstructured data pattern analysis | 
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| CN101299727B (en) * | 2008-06-30 | 2010-09-29 | 中兴通讯股份有限公司 | Traffic mirroring method and system based on user | 
| CN115967523A (en) * | 2022-10-20 | 2023-04-14 | 天翼数字生活科技有限公司 | A black product user identification method and device | 
| KR20250069012A (en) | 2023-11-10 | 2025-05-19 | 주식회사 수산아이앤티 | Analyzing system for network device | 
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| US5708654A (en) | 1996-11-27 | 1998-01-13 | Arndt; Manfred R. | Method for detecting proxy ARP replies from devices in a local area network | 
| JPH11146003A (en) | 1997-11-10 | 1999-05-28 | Mitsubishi Electric Corp | Network monitoring device and method for recognizing connected terminal of repeater hub | 
| KR20020085301A (en) * | 2001-05-07 | 2002-11-16 | (주)아이티테크 | Method of Intercepting IP Sharer | 
| KR20030057269A (en) * | 2001-12-27 | 2003-07-04 | 스콥정보통신 주식회사 | IP Public ownership flag detection system and the method | 
- 
        2004
        - 2004-06-02 KR KR1020040040024A patent/KR100643215B1/en not_active Expired - Lifetime
 
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| US5708654A (en) | 1996-11-27 | 1998-01-13 | Arndt; Manfred R. | Method for detecting proxy ARP replies from devices in a local area network | 
| JPH11146003A (en) | 1997-11-10 | 1999-05-28 | Mitsubishi Electric Corp | Network monitoring device and method for recognizing connected terminal of repeater hub | 
| KR20020085301A (en) * | 2001-05-07 | 2002-11-16 | (주)아이티테크 | Method of Intercepting IP Sharer | 
| KR20030057269A (en) * | 2001-12-27 | 2003-07-04 | 스콥정보통신 주식회사 | IP Public ownership flag detection system and the method | 
| KR100504389B1 (en) * | 2001-12-27 | 2005-07-27 | 스콥정보통신 주식회사 | IP Public ownership flag detection system and the method | 
Non-Patent Citations (2)
| Title | 
|---|
| 1020020085301 | 
| 1020030057269 | 
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| KR101047997B1 (en) * | 2010-12-07 | 2011-07-13 | 플러스기술주식회사 | Shared terminal classification system and processing method using network packet | 
| US9270567B2 (en) | 2010-12-07 | 2016-02-23 | Plustech Inc. | Shared terminal identification system using a network packet and processing method thereof | 
| KR101049924B1 (en) | 2011-02-08 | 2011-07-15 | 플러스기술주식회사 | Shared terminal detection method using unstructured data pattern analysis | 
Also Published As
| Publication number | Publication date | 
|---|---|
| KR20050114917A (en) | 2005-12-07 | 
Similar Documents
| Publication | Publication Date | Title | 
|---|---|---|
| US7706296B2 (en) | Lightweight packet-drop detection for ad hoc networks | |
| CN1316369C (en) | Secret hashing for SYN/FIN correspondence | |
| US8397284B2 (en) | Detection of distributed denial of service attacks in autonomous system domains | |
| EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
| US8369229B2 (en) | Methods for monitoring delivery performance of a packet flow between reference nodes | |
| US7099284B2 (en) | Data transmission control and performance monitoring method of an IPSec link in a virtual private network | |
| US7010592B2 (en) | Method for collecting statistical traffic data | |
| US20210400073A1 (en) | Malicious port scan detection using source profiles | |
| US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
| EP1876758A2 (en) | Peer-to-Peer method of quality of service (QoS) probing and analysis and infrastructure employing same | |
| JP2019134484A (en) | System and method for regulating access request | |
| US11711389B2 (en) | Scanner probe detection | |
| CN109040140B (en) | Slow attack detection method and device | |
| US20250097257A1 (en) | Malicious C&C channel to fixed IP detection using ping packets | |
| CN108810008B (en) | Transmission control protocol flow filtering method, device, server and storage medium | |
| US20110197282A1 (en) | Method and apparatus for detecting scans in real-time | |
| US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
| KR100643215B1 (en) | Network device analysis system | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| Völker et al. | The Search of the Path MTU with QUIC | |
| Muraleedharan | Analysis of TCP flow data for traffic anomaly and scan detection | |
| Kawahara et al. | Detection accuracy of network anomalies using sampled flow statistics | |
| GB2414907A (en) | Deleting Security Associations according to traffic levels | |
| KR20250069012A (en) | Analyzing system for network device | |
| JP4489714B2 (en) | Packet aggregation method, apparatus, and program | 
Legal Events
| Date | Code | Title | Description | 
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application | Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20040602 | |
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection | Comment text: Notification of reason for refusal Patent event date: 20060131 Patent event code: PE09021S01D | |
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration | Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20060829 | |
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment | Comment text: Registration of Establishment Patent event date: 20061031 Patent event code: PR07011E01D | |
| PR1002 | Payment of registration fee | Payment date: 20061101 End annual number: 3 Start annual number: 1 | |
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee | Payment date: 20091029 Start annual number: 4 End annual number: 4 | |
| PR1001 | Payment of annual fee | Payment date: 20100908 Start annual number: 5 End annual number: 5 | |
| PR1001 | Payment of annual fee | Payment date: 20110804 Start annual number: 6 End annual number: 6 | |
| FPAY | Annual fee payment | Payment date: 20120821 Year of fee payment: 7 | |
| PR1001 | Payment of annual fee | Payment date: 20120821 Start annual number: 7 End annual number: 7 | |
| FPAY | Annual fee payment | Payment date: 20130814 Year of fee payment: 8 | |
| PR1001 | Payment of annual fee | Payment date: 20130814 Start annual number: 8 End annual number: 8 | |
| FPAY | Annual fee payment | Payment date: 20140813 Year of fee payment: 9 | |
| PR1001 | Payment of annual fee | Payment date: 20140813 Start annual number: 9 End annual number: 9 | |
| FPAY | Annual fee payment | Payment date: 20150727 Year of fee payment: 10 | |
| PR1001 | Payment of annual fee | Payment date: 20150727 Start annual number: 10 End annual number: 10 | |
| FPAY | Annual fee payment | Payment date: 20160722 Year of fee payment: 11 | |
| PR1001 | Payment of annual fee | Payment date: 20160722 Start annual number: 11 End annual number: 11 | |
| FPAY | Annual fee payment | Payment date: 20170928 Year of fee payment: 12 | |
| PR1001 | Payment of annual fee | Payment date: 20170928 Start annual number: 12 End annual number: 12 | |
| FPAY | Annual fee payment | Payment date: 20181024 Year of fee payment: 13 | |
| PR1001 | Payment of annual fee | Payment date: 20181024 Start annual number: 13 End annual number: 13 | |
| FPAY | Annual fee payment | Payment date: 20191018 Year of fee payment: 14 | |
| PR1001 | Payment of annual fee | Payment date: 20191018 Start annual number: 14 End annual number: 14 | |
| PR1001 | Payment of annual fee | Payment date: 20200902 Start annual number: 15 End annual number: 15 | |
| PR1001 | Payment of annual fee | Payment date: 20210916 Start annual number: 16 End annual number: 16 | |
| PR1001 | Payment of annual fee | Payment date: 20220927 Start annual number: 17 End annual number: 17 | |
| PR1001 | Payment of annual fee | Payment date: 20231005 Start annual number: 18 End annual number: 18 | |
| PC1801 | Expiration of term | Termination date: 20241202 Termination category: Expiration of duration |