정보통신부의 지원을 받아 한국정보통신연구원(ETRI)이 개발한 네트워크에서의 이상 트래픽 분석 기술 ‘플로아이(FlowEye)’는 네트워크상에 발생하는 트래픽을 분석해 네트워크 성능 저하를 유발할 수 있는 이상 트래픽을 탐지하는 기술이다.
이 기술은 기존의 탐지법인 공격 패턴을 비교 분석하는 것과는 달리 정상상태에서 벗어난 패턴을 찾는 기법(Anomaly Detection)을 적용했다.
이에 따라 새롭게 등장하는 공격으로 인해 유발되는 이상 트래픽에 대한 감지가 가능하고 응용별로 발생 트래픽을 분석함으로써 전체 트래픽 증가량에 미치는 효과는 미미할지라도 네트워크에 미치는 영향이 큰 응용의 소규모 이상의 트래픽을 감지할 수 있다.
이와 함께 수학적 모델을 개발해 적용함으로써 변동성이 심한 실 트래픽에 적용할 때의 정확성을 높였고, 탐지 기능을 자동화할 수 있는 방법을 제공함으로써 타 보안 시스템과의 연동, 공격에 대한 대응 기능의 자동화 등이 용이한 장점이 있다.
이 ‘플로아이’기술은 소규모 엔터프라이즈 도메인 또는 대규모 백본 네트워크상에서 트래픽 상태를 보안측면에서 분석하기 때문에 기존의 엔터프라이즈 도메인을 대상으로 하는 네트워크 보안 시스템, 그와 연동하는 보안관리시스템인 ESM과 더불어 백본 네트워크상의 보안 관리 시스템 또는 기존 망관리 시스템의 보안 관리 기능에 적용이 가능하다.
연구진은 앞으로 트래픽의 상대적 비율의 증감 정도에 따른 분석 기능을 개발하고 이를 이미 개발한 기능과 상호 결합함으로써 탐지의 정확성을 높일 계획이다. 문의 능동보안기술연구팀 (042)860-1261
관련 통계자료 다운로드 네트워크 이상트래픽 분석 구조도