[go: up one dir, main page]

KR101709922B1 - Method, system and computer readable medium for analysing application contents - Google Patents

Method, system and computer readable medium for analysing application contents Download PDF

Info

Publication number
KR101709922B1
KR101709922B1 KR1020150002686A KR20150002686A KR101709922B1 KR 101709922 B1 KR101709922 B1 KR 101709922B1 KR 1020150002686 A KR1020150002686 A KR 1020150002686A KR 20150002686 A KR20150002686 A KR 20150002686A KR 101709922 B1 KR101709922 B1 KR 101709922B1
Authority
KR
South Korea
Prior art keywords
flow
management system
content
information
statistical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020150002686A
Other languages
Korean (ko)
Other versions
KR20160085550A (en
Inventor
김남욱
최재형
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020150002686A priority Critical patent/KR101709922B1/en
Publication of KR20160085550A publication Critical patent/KR20160085550A/en
Application granted granted Critical
Publication of KR101709922B1 publication Critical patent/KR101709922B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

분산 처리 구조를 이용하여 패킷 처리 부하를 다수의 프로세스에 최적 분배하여 네트워크의 다량 고속 트래픽의 어플리케이션 컨텐츠를 효율적으로 분석하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체가 개시된다.
본 발명에 따르면, 분산 처리에 기반한 어플리케이션 컨텐츠 분석 시스템으로서, 수신된 패킷 데이터를 플로우 단위별로 통계 처리하는 플로우 관리 시스템; 및 상기 플로우 관리 시스템별로 상기 통계 처리가 되지 않은 신규 플로우를 전송받아 상기 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 분석하는 DPI(Deep Packet Inspection) 서비스 분석 시스템을 포함하여, 다수의 플로우 관리 시스템(FMS)을 효율적으로 수용함으로써 대용량 트래픽을 효율적으로 분산 처리하고 시스템의 확장성을 보장할 수 있다.Disclosed is a method, system, and computer readable recording medium for efficiently analyzing application contents of a large amount of high-speed traffic of a network by optimally distributing a packet processing load to a plurality of processes using a distributed processing structure.
According to the present invention, there is provided an application content analysis system based on distributed processing, comprising: a flow management system for statistically processing received packet data on a flow unit basis; And a DPI (Deep Packet Inspection) service analysis system for receiving a new flow not subjected to the statistical processing for each flow management system and analyzing application contents of a new flow for each new flow, wherein a plurality of flow management systems (FMS) It is possible to efficiently distribute a large amount of traffic and guarantee the scalability of the system.

Description

어플리케이션 컨텐츠를 분석하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체{METHOD, SYSTEM AND COMPUTER READABLE MEDIUM FOR ANALYSING APPLICATION CONTENTS}[0001] METHOD, SYSTEM AND COMPUTER READABLE MEDIUM FOR ANALYZING APPLICATION CONTENTS [0002]

본 발명은 어플리케이션 컨텐츠를 분석하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체에 관한 것으로서, 더욱 상세하게는 분산 처리 구조를 이용하여 패킷 처리 부하를 다수의 프로세스에 최적 분배하여 네트워크의 다량 고속 트래픽의 어플리케이션 컨텐츠를 효율적으로 분석하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method, system and computer-readable recording medium for analyzing application contents, and more particularly, To a method, system and computer-readable recording medium for efficiently analyzing content.

일반적으로 유,무선 인터넷망을 통해 전송되는 모든 데이터 패킷은 DPI(Deep Packet Inspection) 서비스 분석 시스템에서 수집되어 분석된다. 이러한 DPI(Deep Packet Inspection) 서비스 분석 시스템은 고성능 멀티코어프로세스 및 전용 네트워크 카드를 구비하고 있는데, 이러한 고성능 멀티코어프로세스 및 전용 네트워크 카드를 이용하여 분석패킷을 특정 비율로 샘플링하여 통계 처리함으로써 처리 부하를 감소시킬 수 있었다.In general, all data packets transmitted through wired and wireless Internet networks are collected and analyzed in a DPI (Deep Packet Inspection) service analysis system. Such a DPI (Deep Packet Inspection) service analysis system is equipped with a high-performance multicore process and a dedicated network card. By analyzing and packetizing analysis packets at a specific rate using such a high-performance multicore process and a dedicated network card, .

그러나, 위와 같이 모든 패킷을 전수 수집하여 분석하고 통계 처리하므로, DPI 서비스 분석 시스템의 용량이 실제 프로세스 처리 용량이 아닌 수집되는 트래픽 총량에 의해 전용 네트워크 카드단에서 제한되는 경우가 발생되는 문제점이 있었다.However, there is a problem that the capacity of the DPI service analysis system is limited at the dedicated network card end due to the total amount of collected traffic rather than the actual process processing capacity, because all the packets are collected, analyzed, and processed statistically.

이와 같이, 종래의 DPI(Deep Packet Inspection) 서비스 분석 시스템은 단일 장비에서 대용량 트래픽에 대한 분석 및 통계 관리를 동시에 수행함으로써, 처리 및 데이터베이스 용량 부족에 의해 확장성이 제한되는 문제점 있었다.As described above, the conventional DPI (Deep Packet Inspection) service analysis system has a problem that the scalability is limited due to the lack of processing and database capacity by simultaneously performing analysis and statistical management of large capacity traffic in a single equipment.

1. 한국공개특허 : 제2010-0116681호, 공개일자 : 2010년 11월 01일, 발명의 명칭 : 패킷 처리 방법, 트래픽 처리 장치 및 컴퓨터 판독가능 매체.1. A packet processing method, a traffic processing device, and a computer readable medium, which are disclosed in Korean Patent Publication No. 2010-0116681, published on November 1, 2010. 2. 한국공개특허 : 제2010-0116681호, 공개일자 : 2010년 11월 01일, 발명의 명칭 : 패킷 처리 방법, 트래픽 처리 장치 및 컴퓨터 판독가능 매체.2. Description of the Prior Art: Packet processing method, traffic processing device, and computer readable medium.

본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 패킷 플로우별 통계 처리하되 새로 유입되는 플로우에 할당되는 어플리케이션 컨텐츠에 대한 고유 식별자를 구분하고 이를 통계 처리된 플로우 통계와 통합하여 분산 처리하는 어플리케이션 컨텐츠를 분석하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체를 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been conceived to solve the above-mentioned problems, and it is an object of the present invention to provide a method and apparatus for statistical processing by packet flow, which distinguish unique identifiers of application contents allocated to newly- A system, and a computer-readable recording medium.

상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.The features of the present invention for achieving the objects of the present invention as described above and performing the characteristic functions of the present invention described below are as follows.

본 발명의 일 관점에 따르면, 분산 처리에 기반한 어플리케이션 컨텐츠 분석 시스템으로서, 수신된 패킷 데이터를 플로우 단위별로 통계 처리하는 플로우 관리 시스템; 및 상기 플로우 관리 시스템별로 상기 통계 처리가 되지 않은 신규 플로우를 전송받아 상기 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 분석하는 DPI(Deep Packet Inspection) 서비스 분석 시스템을 포함하는 어플리케이션 컨텐츠 분석 시스템이 제공된다.According to an aspect of the present invention, there is provided an application content analysis system based on distributed processing, comprising: a flow management system for statistically processing received packet data by flow units; And a DPI (Deep Packet Inspection) service analysis system for analyzing application contents of a new flow for each new flow by receiving a new flow not subjected to the statistical processing for each flow management system.

여기서, 본 발명의 일 관점에 따른 상기 플로우 관리 시스템은 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함한 상기 플로우 단위별로 통계 처리할 수 있다.Here, the flow management system according to an aspect of the present invention can statistically process each flow unit including packets having the same source IP, destination IP, source port, destination port and protocol.

또한, 본 발명의 일 관점에 따른 상기 플로우 관리 시스템은 상기 통계 처리가 완료된 플로우 패킷들은 통계 처리 완료 후, 삭제될 수 있다.Further, in the flow management system according to an aspect of the present invention, the flow packets for which the statistical processing has been completed may be deleted after completion of statistical processing.

또한, 본 발명의 일 관점에 따른 상기 DPI 서비스 분석 시스템은 상기 분석을 통해 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보를 추출할 수 있다.In addition, the DPI service analysis system according to an aspect of the present invention can extract unique identifier information that distinguishes application contents for each new flow through the analysis.

또한, 본 발명의 일 관점에 따른 상기 DPI 서비스 분석 시스템은 상기 신규 플로우별 고유 식별자 정보를 상기 플로우 관리 시스템으로 전송할 수 있다.In addition, the DPI service analysis system according to an aspect of the present invention may transmit the unique identifier information for each new flow to the flow management system.

또한, 본 발명의 일 관점에 따른 상기 플로우 관리 시스템은 상기 DPI 서비스 분석 시스템으로부터 전송받은 상기 신규 플로우별 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 통합하여 컨텐츠 통계 플로우 정보를 생성할 수 있다.The flow management system according to an aspect of the present invention may generate content statistics flow information by integrating the unique identifier information of each new flow received from the DPI service analysis system and the statistical processed flow statistics.

또한, 본 발명의 일 관점에 따른 상기 플로우 관리 시스템은 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID) 및 플로우 관리 시스템의 FMS 식별자를 포함한 상기 컨텐츠 통계 플로우 정보를 생성할 수 있다.In addition, the flow management system according to an aspect of the present invention is characterized in that the content statistics flow including basic flow information, statistical start / end time, number of received packets, number of received bytes, unique identifier (ACID), and FMS identifier of the flow management system Information can be generated.

또한, 본 발명의 일 관점에 따른 상기 플로우 관리 시스템은 생성된 상기 컨텐츠 통계 플로우 정보를 상기 DPI 서비스 분석 시스템으로 주기적으로 전송할 수 있다.In addition, the flow management system according to an aspect of the present invention may periodically transmit the generated content statistical flow information to the DPI service analysis system.

또한, 본 발명의 일 관점에 따른 상기 DPI 서비스 분석 시스템은 상기 컨텐츠 통계 플로우 정보를 이용하여 플로우별 컨텐츠 정보 및 컨텐츠 통계 정보를 일괄 관리할 수 있다.In addition, the DPI service analysis system according to an aspect of the present invention can collectively manage content information and content statistical information for each flow using the content statistical flow information.

또한, 본 발명의 일 관점에 따른 상기 DPI 서비스 분석 시스템은 상기 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석할 수 있다.In addition, the DPI service analysis system according to an aspect of the present invention can analyze unprocessed contents through association analysis between the contents statistics flow information.

또한, 본 발명의 다른 일 관점에 따르면, 분산 처리에 기반한 어플리케이션 컨텐츠 분석 시스템에서 어플리케이션 컨텐츠 분석 방법으로서, (a) 수신된 패킷 데이터를 플로우 관리 시스템에서 플로우 단위별로 통계 처리하는 단계; (b) 플로우 관리 시스템별로 상기 통계 처리가 되지 않은 신규 플로우를 DPI(Deep Packet Inspection) 서비스 분석 시스템으로 전송하는 단계; 및 (c) 전송받은 상기 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 DPI 서비스 분석 시스템에서 분석하는 단계를 포함하는 어플리케이션 컨텐츠 분석 방법이 제공된다.According to another aspect of the present invention, there is provided a method of analyzing application contents in an application content analysis system based on distributed processing, comprising the steps of: (a) statistically processing received packet data in a flow management system for each flow unit; (b) transmitting, to the DPI (Deep Packet Inspection) service analysis system, a new flow not subjected to the statistical processing for each flow management system; And (c) analyzing the application content of the new flow by the DPI service analysis system for each new flow received.

여기서, 본 발명의 다른 일 관점에 따르면, 상기 (a) 단계는 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함한 상기 플로우 단위별로 플로우 관리 시스템에서 통계 처리할 수 있다.According to another aspect of the present invention, the step (a) may perform statistical processing in the flow management system for each flow unit including packets having the same source IP, destination IP, source port, destination port and protocol.

또한, 본 발명의 다른 일 관점에 따른 상기 (a) 단계는 상기 통계 처리가 완료된 플로우 패킷들은 통계 처리 완료 후, 플로우 관리 시스템에서 삭제될 수 있다.Further, in the step (a) according to another aspect of the present invention, the flow packets for which the statistical processing is completed may be deleted from the flow management system after the statistical processing is completed.

또한, 본 발명의 다른 일 관점에 따른 상기 (c) 단계는 상기 분석을 통해 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보를 DPI 서비스 분석 시스템에서 추출할 수 있다.According to another aspect of the present invention, in the step (c), the DPI service analysis system may extract unique identifier information that distinguishes application contents for each new flow through the analysis.

또한, 본 발명의 다른 일 관점에 따른 상기 (c) 단계는 상기 신규 플로우별 고유 식별자 정보를 DPI 서비스 분석 시스템에서 플로우 관리 시스템으로 전송할 수 있다.According to another aspect of the present invention, in the step (c), the unique ID information for each new flow may be transmitted from the DPI service analysis system to the flow management system.

또한, 본 발명의 다른 일 관점에 따른 상기 (a) 단계는 상기 DPI 서비스 분석 시스템으로부터 전송받은 상기 신규 플로우별 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 플로우 관리 시스템에서 통합하여 컨텐츠 통계 플로우 정보를 생성할 수 있다.According to another aspect of the present invention, in the step (a), the flow management system integrates the unique identifier information for each new flow received from the DPI service analysis system and the statistically processed flow statistics, Can be generated.

또한, 본 발명의 다른 일 관점에 따른 상기 (a) 단계는 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID) 및 플로우 관리 시스템의 FMS 식별자를 포함한 상기 컨텐츠 통계 플로우 정보를 플로우 관리 시스템에서 생성할 수 있다.According to another aspect of the present invention, the step (a) includes the steps of: (a) receiving the content including the basic flow information, the statistics start / end time, the number of received packets, the number of received bytes, the unique identifier Statistical flow information can be generated in the flow management system.

또한, 본 발명의 다른 일 관점에 따른 상기 (a) 단계는 생성된 상기 컨텐츠 통계 플로우 정보를 플로우 관리 시스템에서 DPI 서비스 분석 시스템으로 주기적으로 전송할 수 있다.According to another aspect of the present invention, the step (a) may periodically transmit the generated content statistical flow information to the DPI service analysis system in the flow management system.

또한, 본 발명의 다른 일 관점에 따른 상기 (b) 단계는 상기 컨텐츠 통계 플로우 정보를 이용하여 플로우별 컨텐츠 정보 및 컨텐츠 통계 정보를 DPI 서비스 분석 시스템에서 일괄 관리할 수 있다.According to another aspect of the present invention, the step (b) may collectively manage content information and content statistical information for each flow using the content statistical flow information in a DPI service analysis system.

또한, 본 발명의 다른 일 관점에 따른 상기 (b) 단계는 DPI 서비스 분석 시스템에서 상기 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석할 수 있다.According to another aspect of the present invention, the step (b) may analyze the unprocessed content through the association analysis between the content statistics flow information in the DPI service analysis system.

또한, 본 발명의 또 다른 일 관점에 따르면, 수신된 패킷 데이터를 플로우 단위별로 통계 처리하는 복수의 플로우 관리 시스템과 통신하는 DPI(Deep Packet Inspection) 서비스 분석 시스템으로서, 상기 플로우 관리 시스템별로 상기 통계 처리가 되지 않은 신규 플로우를 수신하는 신규 플로우 수신부; 및 수신된 상기 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 분석하는 컨텐츠 분석부를 포함하는 DPI 서비스 분석 시스템이 제공된다.According to another aspect of the present invention, there is provided a DPI (Deep Packet Inspection) service analysis system communicating with a plurality of flow management systems for statistically processing received packet data on a flow unit basis, A new flow receiving unit for receiving a new flow that does not exist; And a content analyzer for analyzing the application content of the new flow for each new flow received.

여기서, 본 발명의 또 다른 일 관점에 따른 상기 신규 플로우 수신부는 처음의 N개 패킷을 포함한 상기 신규 플로우를 상기 플로우 관리 시스템으로부터 수신할 수 있다.Here, the new flow receiver according to another aspect of the present invention can receive the new flow including the first N packets from the flow management system.

또한, 본 발명의 또 다른 일 관점에 따른 DPI 서비스 분석 시스템은 상기 컨텐츠 분석부의 분석을 통해 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보(ACID)를 추출하는 고유 식별자 추출부를 더 포함하여 이루어질 수 있다.According to still another aspect of the present invention, a DPI service analysis system further includes a unique identifier extracting unit for extracting unique identifier information (ACID) that distinguishes application contents for each new flow by analyzing the content analyzing unit have.

또한, 본 발명의 또 다른 일 관점에 따른 DPI 서비스 분석 시스템은 상기 신규 플로우별 고유 식별자 정보를 상기 플로우 관리 시스템으로 전송하는 고유 식별자 전송부; 및 상기 고유 식별자 정보를 활용하여 생성된 컨텐츠 통계 플로우 정보를 상기 플로우 관리 시스템으로부터 수신하는 통계 플로우 수신부를 더 포함하여 이루어질 수 있다.According to another aspect of the present invention, there is provided a DPI service analysis system comprising: a unique identifier transmission unit for transmitting unique identifier information for each new flow to the flow management system; And a statistical flow receiving unit for receiving content statistical flow information generated using the unique identifier information from the flow management system.

또한, 본 발명의 또 다른 일 관점에 따른 상기 통계 플로우 수신부는 상기 신규 플로우별 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 통합한 상기 컨텐츠 통계 플로우 정보를 수신할 수 있다.In addition, the statistical flow receiving unit according to another aspect of the present invention may receive the content statistics flow information that integrates the unique identifier information for each new flow and the statistical processed flow statistics.

또한, 본 발명의 또 다른 일 관점에 따른 상기 통계 플로우 수신부는 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID) 및 플로우 관리 시스템의 FMS 식별자를 포함한 상기 컨텐츠 통계 플로우 정보를 수신할 수 있다.According to another aspect of the present invention, the statistical flow receiving unit receives the contents including the basic flow information, the statistics start / end time, the number of received packets, the number of received bytes, the unique identifier (ACID), and the FMS identifier of the flow management system And receive statistics flow information.

또한, 본 발명의 또 다른 일 관점에 따른 상기 통계 플로우 수신부는 상기 컨텐츠 통계 플로우 정보를 주기적으로 수신할 수 있다.In addition, the statistical flow receiving unit according to another aspect of the present invention may periodically receive the contents statistics flow information.

또한, 본 발명의 또 다른 일 관점에 따른 DPI 서비스 분석 시스템은 수신된 상기 컨텐츠 통계 플로우 정보를 이용하여 플로우별 컨텐츠 정보 및 컨텐츠 통계 정보를 일괄 관리하는 컨텐츠 플로우 통계부를 더 포함하여 이루어질 수 있다.The DPI service analysis system according to another aspect of the present invention may further include a content flow statistics unit for collectively managing content information and content statistical information for each flow using the received content statistical flow information.

또한, 본 발명의 또 다른 일 관점에 따른 상기 컨텐츠 플로우 통계부는 상기 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석할 수 있다.In addition, the content flow statistics unit according to another aspect of the present invention can analyze the unprocessed content through association analysis between the content statistics flow information.

또한, 본 발명의 또 다른 일 관점에 따르면, 네트워크 장치로부터 패킷 데이터를 수신하는 패킷 데이터 수신부; 수신된 상기 패킷 데이터를 플로우 단위 별로 통계 처리하는 통계 처리부; 상기 플로우 단위 별로 통계 처리후, 상기 패킷 데이터 수신부에 의해 새로이 수신되는 패킷 데이터에 대하여 적어도 하나 이상의 신규 플로우를 생성하는 신규 플로우 생성부; 생성된 상기 적어도 하나 이상의 신규 플로우를 DPI 서비스 분석 시스템으로 전송하는 신규 플로우 전송부; 및 상기 전송 후, 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별하여 추출된 고유 식별자 정보(ACID)를 상기 DPI 서비스 분석 시스템으로부터 수신하는 컨텐츠 식별자 수신부를 포함하는 플로우 관리 시스템이 제공된다.According to another aspect of the present invention, there is provided a packet data receiving apparatus including: a packet data receiving unit for receiving packet data from a network device; A statistical processor for statistically processing the received packet data on a flow unit basis; A new flow generating unit for generating at least one new flow for packet data newly received by the packet data receiving unit after statistical processing for each flow unit; A new flow transmission unit for transmitting the generated at least one or more new flows to the DPI service analysis system; And a content identifier receiving unit for receiving, from the DPI service analysis system, unique identifier information (ACID) extracted by distinguishing application content for each new flow after the transmission.

여기서, 본 발명의 또 다른 일 관점에 따른 상기 통계 처리부는 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함한 상기 플로우 단위별로 통계 처리할 수 있다.Here, the statistical processing unit according to another aspect of the present invention can statistically process each flow unit including packets having the same source IP, destination IP, source port, destination port and protocol.

또한, 본 발명의 또 다른 일 관점에 따른 상기 통계 처리부는 상기 통계 처리가 완료된 플로우 패킷들은 통계 처리 완료 후, 삭제할 수 있다.In addition, the statistical processing unit according to another aspect of the present invention may delete the flow packets after the statistical processing is completed after the statistical processing is completed.

또한, 본 발명의 또 다른 일 관점에 따른 상기 신규 플로우 전송부는 생성된 상기 신규 플로우별로 처음의 N개 패킷 데이터 혹은 전송 중단 명령이 접수될때까지 상기 적어도 하나 이상의 신규 플로우를 전송할 수 있다.According to another aspect of the present invention, the new flow transmitting unit may transmit the at least one new flow until receiving the first N packet data or a transmission stop command for the generated new flow.

또한, 본 발명의 또 다른 일 관점에 따른 상기 신규 플로우 전송부는 처음의 N개 패킷을 포함한 상기 신규 플로우를 상기 DPI 서비스 분석 시스템으로 전송할 수 있다.In addition, the new flow transmitter according to another aspect of the present invention may transmit the new flow including the first N packets to the DPI service analysis system.

또한, 본 발명의 또 다른 일 관점에 따른 플로우 관리 시스템은 상기 DPI 서비스 분석 시스템으로부터 전송받은 상기 신규 플로우별 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 통합하여 컨텐츠 통계 플로우 정보를 생성하는 컨텐츠 플로우 생성부를 더 포함하여 이루어질 수 있다.According to another aspect of the present invention, there is provided a flow management system for generating a content flow for generating content statistics flow information by integrating the unique identifier information for each new flow received from the DPI service analysis system and the statistical processed flow statistics And < / RTI >

또한, 본 발명의 또 다른 일 관점에 따른 상기 컨텐츠 플로우 생성부는 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID) 및 플로우 관리 시스템의 FMS 식별자를 포함한 상기 컨텐츠 통계 플로우 정보를 생성할 수 있다.According to another aspect of the present invention, the content flow generation unit generates the content flow including the basic flow information, the statistics start / end time, the number of received packets, the number of received bytes, the unique identifier (ACID), and the FMS identifier of the flow management system Statistics flow information can be generated.

또한, 본 발명의 또 다른 일 관점에 따른 플로우 관리 시스템은 생성된 상기 컨텐츠 통계 플로우 정보를 상기 DPI 서비스 분석 시스템으로 주기적으로 전송하는 컨텐츠 플로우 전송부를 더 포함하여 이루어질 수 있다.The flow management system according to another aspect of the present invention may further include a content flow transmitter for periodically transmitting the generated content statistical flow information to the DPI service analysis system.

이상과 같이, 본 발명에 따르면, 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 분석함으로써, 다수의 플로우 관리 시스템(FMS)을 효율적으로 수용함으로써 대용량 트래픽을 효율적으로 분산 처리하고 시스템의 확장성을 보장하는 효과가 있다.As described above, according to the present invention, application contents of a new flow for each new flow are analyzed to effectively distribute a large amount of traffic by efficiently accommodating a plurality of flow management systems (FMS) .

또한, 본 발명에 따르면, 다수의 플로우 관리 시스템에서 수신한 컨텐츠 통계 플로우를 활용하여 최종적인 플로우별 컨텐츠 정보 및 통계정보를 일괄 관리함으로써, 다수의 플로우 관리 시스템(FMS)을 효율적으로 수용함으로써 대용량 트래픽을 효율적으로 분산 처리하고 시스템적인 확장성을 더욱 안정적으로 보장할 수 있는 효과가 있다.According to the present invention, by collectively managing content information and statistical information for each flow by utilizing the content statistics flow received from a plurality of flow management systems, a large number of flow management systems (FMS) Can be efficiently distributed and the systematic scalability can be more stably guaranteed.

또한, 본 발명에 따르면, 다수의 플로우 관리 시스템에서 수신한 컨텐츠 통계 플로우를 활용하여 최종적인 플로우별 컨텐츠 정보 및 통계정보를 일괄 관리함으로써, FMS에서 수신된 정보들의 연관 분석이 가능하게 되어 비대칭 라우팅에 의한 컨텐츠 미분석 (동일 세션의 상/하향 플로우가 다른 장비/회선을 경유하여 상, 하향 중 한쪽 플로우의 ACID가 구분되지 않는 현상)을 최소화할 수 있는 효과가 있다.In addition, according to the present invention, it is possible to perform association analysis of the information received in the FMS by collectively managing the final content information and statistical information for each flow by utilizing the content statistics flow received from a plurality of flow management systems, (The phenomenon that the ACID of one of the upstream and downstream flows is not distinguished from the upstream / downstream flow of the same session via another equipment / line) can be minimized.

도 1은 본 발명의 제1 실시예에 따른 어플리케이션 컨텐츠 분석 시스템(100)을 예시적으로 나타낸 구성도이다.
도 2는 본 발명의 제1 실시예에 따른 어플리케이션 컨텐츠 분석 시스템(100)의 구성간 신호 처리 과정을 나타낸 도면이다.
도 3은 본 발명의 제2 실시예에 따른 어플리케이션 컨텐츠 분석 시스템(100)의 어플리케이션 컨텐츠 분석 방법(S100)을 예시적으로 나타낸 순서도이다.
도 4는 본 발명의 제2 실시예에 따른 제2 실시예에 따른 어플리케이션 컨텐츠 분석 방법(S100)을 처리하기 위한 컨텐츠 분석 시스템(100)의 처리 흐름을 나타낸 도면이다.
도 5는 본 발명의 제3 실시예에 따른 DPI 서비스 분석 시스템(120)을 보다 상세하게 나타낸 구성도이다.
도 6은 본 발명의 제4 실시예에 따른 플로우 관리 시스템(110)을 보다 상세하게 나타낸 구성도이다.FIG. 1 is a configuration diagram illustrating an application content analysis system 100 according to a first embodiment of the present invention.
FIG. 2 is a diagram illustrating a signal processing process between configurations of the application content analysis system 100 according to the first embodiment of the present invention.
FIG. 3 is a flowchart illustrating an application content analysis method (S100) of an application content analysis system 100 according to a second embodiment of the present invention.
FIG. 4 is a flowchart illustrating a process flow of a content analysis system 100 for processing an application content analysis method (S100) according to a second embodiment of the present invention.
FIG. 5 is a configuration diagram illustrating a DPI service analysis system 120 according to a third embodiment of the present invention in more detail.
FIG. 6 is a configuration diagram showing the flow management system 110 according to the fourth embodiment of the present invention in more detail.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, so that those skilled in the art can easily carry out the present invention. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

제1 실시예First Embodiment

도 1은 본 발명의 제1 실시예에 따른 어플리케이션 컨텐츠 분석 시스템(100)을 예시적으로 나타낸 구성도이고, 도 2는 본 발명의 제1 실시예에 따른 어플리케이션 컨텐츠 분석 시스템(100)의 구성간 신호 처리 과정을 나타낸 도면이다.FIG. 1 is a block diagram illustrating an exemplary application content analysis system 100 according to a first embodiment of the present invention. FIG. 2 is a block diagram illustrating an application content analysis system 100 according to a first embodiment of the present invention. And a signal processing process.

도시된 바와 같이, 본 발명의 제1 실시예에 따른 어플리케이션 컨텐츠 분석 시스템(100)은 분산 처리에 기반한 패킷 데이터를 효율적으로 처리하고자 플로우 관리 시스템(110) 및 DPI(Deep Packet Inspection) 서비스 분석 시스템(120)을 포함한다.As shown in the figure, the application content analysis system 100 according to the first embodiment of the present invention includes a flow management system 110 and a DPI (Deep Packet Inspection) service analysis system 100 for efficiently processing packet data based on distributed processing 120).

먼저, 본 발명에 따른 플로우 관리 시스템(110)은 유,무선 인터넷망을 통해 유입되는 패킷 데이터를 수집한다. 이때, 수집되는 패킷 데이터는 광분배기에 의한 태핑 (tapping) 방식 혹은 라우터 등의 네트워크 장치(101)에서의 미러링 등의 다양한 방식에 의해 수집된후, 유,무선 인터넷망을 통해 플로우 관리 시스템(110)으로 전송된다.First, the flow management system 110 according to the present invention collects packet data flowing through a wired and wireless Internet network. At this time, the collected packet data is collected by various methods such as a tapping method by an optical distributor or a mirroring in a network device 101 such as a router, and then the flow data is collected through a flow management system 110 .

이에 따라, 본 발명에 따른 플로우 관리 시스템(110)은 위와 같은 네트워크 장치(101)를 통해 패킷 데이터를 수신하게 되면 수신된 패킷 데이터를 플로우 단위(플로우 정보) 별로 통계 처리한다. Accordingly, when receiving the packet data through the network device 101, the flow management system 110 according to the present invention statistically processes the received packet data for each flow unit (flow information).

이때, 통계 처리되는 플로우 정보는 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함할 수 있다. 따라서, 이러한 정보들이 통계 처리되면, 통계 처리된 결과, 예컨대 플로우 통계 정보의 결과만 남기고 플로우 패킷들은 통계 처리 완료 후 삭제될 수 있다. 이렇게, 통계 처리 완료 후, 플로우 패킷(flow packets)들이 삭제되면 그 만큼의 불필요한 대역폭 낭비를 최소화할 수 있다.At this time, the flow information to be statistically processed may include packets having the same source IP, destination IP, source port, destination port, and protocol. Therefore, when such information is statistically processed, the flow packets can be deleted after completing the statistical processing, leaving only the result of the statistical processing, for example, the result of the flow statistical information. Thus, unnecessary waste of bandwidth can be minimized when flow packets are deleted after completion of statistical processing.

그러나, 본 발명에 따른 플로우 관리 시스템(110)은 유,무선 인터넷망을 통해 네트워크 장치(101)로부터 패킷 데이터를 새로이 수신하면, 통계 처리가 되지 않은 신규 플로우를 이후에 설명할 DPI(Deep Packet Inspection) 서비스 분석 시스템(120)으로 전송한다. 바람직하게는 신규 플로우의 최초 N개의 패킷을 DPI 서비스 분석 시스템(120)으로 전송할 수 있다. However, when the flow management system 110 according to the present invention newly receives the packet data from the network device 101 via the wired and wireless Internet network, the new flow that has not been statistically processed will be referred to as a Deep Packet Inspection (DPI) To the service analysis system 120. Preferably, the first N packets of the new flow may be transmitted to the DPI service analysis system 120.

이때, 위와 같은 신규 플로우 전송에 관여하는 플로우 관리 시스템(110)은 복수개로 구비될 수 있다. 예를 들면, 제1 플로우 관리 시스템(110)은 최초 N개의 패킷을 포함한 제1 신규 플로우를 DPI 서비스 분석 시스템(120)으로 전송할 수 있고, 다른 최초 N개의 패킷을 포함한 제2 신규 플로우를 DPI 서비스 분석 시스템(120)으로 전송할 수 있다.At this time, a plurality of flow management systems 110 involved in the new flow transmission may be provided. For example, the first flow management system 110 may send a first new flow containing the first N packets to the DPI service analysis system 120, and send a second new flow containing the other first N packets to the DPI service To the analysis system 120.

그러나, 신규 플로우가 생성될때마다 무한정 DPI 서비스 분석 시스템(120)으로 전송되진 않는다. 예를 들면, 본 발명에 따른 플로우 관리 시스템(110)은 생성된 신규 플로우별로 처음의 N개 패킷 데이터 전송 후 혹은 전송 중단 명령이 접수될때까지 신규 플로우를 전송하는 것이 바람직하다. 이는 데이터 부하량(통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다.However, every time a new flow is created, it is not transferred to the DPI service analysis system 120 indefinitely. For example, it is preferable that the flow management system 110 according to the present invention transmits a new flow until the first N pieces of packet data are transmitted for each new flow generated or a transmission stop command is received. This is to reduce the data load (including the statistical load) and distribute it according to the schedule.

이때, 전송 중단 명령은 플로우 관리 시스템(110)의 자체 판단, 예컨대 부하량 감소 알고리즘에 의해 발생되거나, DPI 서비스 분석 시스템(120)의 판단, 예컨대 부하량 감소 알고리즘에 의해 발생될 수 있다. 따라서, 이러한 전송 중단 명령을 감지하면, 신규 플로우를 전송을 중지시키게 된다.At this time, the transmission stop command may be generated by the flow management system 110 itself, for example, by a load reduction algorithm, or by a determination of the DPI service analysis system 120, e.g., a load reduction algorithm. Therefore, upon detecting such a transmission stop command, the transmission of the new flow is stopped.

반면, '처음의 N개 패킷 데이터 전송 후'의 경우에 대해 살펴보면, 본 발명에 따른 플로우 관리 시스템(110)은 최초 N개의 패킷을 포함한 적어도 하나 이상의 신규 플로우를 DPI 서비스 분석 시스템(120)으로 전송하게 되는데, 신규 플로우별로 최초 N개의 패킷을 보내게 되면 더 이상의 전송을 하지 않게 됨을 의미한다. 이와 같이 전송 중지하는 이유는 앞서 설명한 바와 같이 데이터 부하량(데이터 트래픽이라 지칭하기도 함, 통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다. 그러나, DPI 서비스 분석 시스템(120)의 요청이 있으면 다시 재개할 수 있다.The flow management system 110 according to an exemplary embodiment of the present invention transmits at least one new flow including the first N packets to the DPI service analysis system 120 , It means that if the first N packets are sent for each new flow, no further transmission is performed. The reason for stopping the transmission is to reduce the data load (which may be referred to as data traffic, including the statistical load) as described above, and distribute the data according to the schedule. However, if requested by the DPI service analysis system 120, it can be resumed again.

이에 따라, 본 발명에 따른 DPI 서비스 분석 시스템(120)은 앞서 설명한 플로우 관리 시스템(110) 별로 통계 처리가 되지 않은 신규 플로우들을 전송받아 신규 플로우별로 최초 N개의 패킷을 분석한다.Accordingly, the DPI service analysis system 120 according to the present invention receives the new flows that have not been statistically processed for each of the flow management systems 110 described above, and analyzes the first N packets for each new flow.

이때, 신규 플로우별로 최초 N개의 패킷을 분석하게 되면, 최종적인 신규 플로우의 어플리케이션 컨텐츠 정보를 추출해 낼 수 있다. 추출된 어플리케이션 컨텐츠 정보는 신규 플로우 별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보를 의미한다.At this time, if the first N packets are analyzed for each new flow, the application content information of the final new flow can be extracted. The extracted application content information means unique identifier information that distinguishes application content for each new flow.

이와 같이, 어플리케이션 컨텐츠 분석을 위해 최소의 패킷만을 전송하여 분석함으로써, DPI 서비스 분석시스템(120)으로 유입되는 트래픽 대역폭을 최소화 할 수 있는 장점을 준다.As described above, only the minimum packet is transmitted and analyzed for application content analysis, thereby minimizing the traffic bandwidth to the DPI service analysis system 120.

그러나, 본 발명에 따른 DPI 서비스 분석시스템(120)은 신규 플로우의 어플리케이션 컨텐츠가 플로우 관리 시스템(110)으로부터 전송받은 최초 N개의 패킷에 대한 분석을 통해 판정되지 않는 경우에는 해당 신규 플로우에 대해 추가적으로 패킷을 DPI 서비스 분석 시스템(120)으로 전송하도록 해당 플로우 관리 시스템(110)을 제어할 수도 있다. 이러한 과정을 통해 생성된 어플리케이션 컨텐츠에 대한 고유 식별자 정보는 이는 앞서 설명한 플로우 관리 시스템(110)으로 전송된다.However, when the application contents of the new flow are not determined through analysis of the first N packets received from the flow management system 110, the DPI service analysis system 120 according to the present invention additionally adds packets To the DPI service analysis system 120. The DPI service analysis system 120 may be configured to control the flow management system 110 and the DPI service analysis system 120, The unique identifier information for the application content generated through this process is transmitted to the flow management system 110 described above.

즉, 본 발명에 따른 플로우 관리 시스템(110)은 DPI 서비스 분석 시스템(120)으로부터 전송받은 신규 플로우별 고유 식별자 정보와 통계 처리된 플로우 통계를 통합하여 컨텐츠 통계 플로우 정보를 생성한다. That is, the flow management system 110 according to the present invention generates content statistics flow information by integrating the unique identifier information for each new flow received from the DPI service analysis system 120 and the statistical processed flow statistics.

이때, 생성되는 컨텐츠 통계 플로우 정보는 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID; Application Content Identifier) 및 플로우 관리 시스템의 FMS 식별자(Flow Management System Identifier)를 포함한다. At this time, the generated content statistics flow information includes basic flow information, statistics start / end time, received packet count, received byte count, ACID (Application Content Identifier), and FMS identifier (Flow Management System Identifier) .

이와 같이, 본 발명에 따른 플로우 관리 시스템(110)은 전달된 신규 플로우의 고유 식별자 정보를 기본 flow 통계 정보(미리 통계 처리된 플로우 통계)와 결합하여 기본 flow 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, ACID(Application Content Identifier), FMS 식별자(Flow Management System Identifier)로 구성된 최종적인 컨텐츠 통계 플로우 정보를 생성하게 된다. 생성된 컨텐츠 통계 플로우 정보는 주기적으로 DPI 서비스 분석 시스템(120)으로 전송된다.In this way, the flow management system 110 according to the present invention combines the unique identifier information of the new flow with the basic flow statistical information (the statistical processed flow statistic) to obtain basic flow information, statistical start / end time, The final content statistics flow information including the number of received bytes, the ACID (application content identifier), and the FMS identifier (Flow Management System Identifier). The generated content statistics flow information is periodically transmitted to the DPI service analysis system 120.

이에 따라, 본 발명에 따른 DPI 서비스 분석 시스템(120)은 다수의 플로우 관리 시스템(110)으로부터 전송된 컨텐츠 통계 플로우 정보를 활용하여 플로우 별 컨텐츠 정보 및 컨텐츠 통계 정보를 일괄 관리할 수 있다. Accordingly, the DPI service analysis system 120 according to the present invention can collectively manage the content information and the content statistical information for each flow using the content statistical flow information transmitted from the plurality of flow management systems 110.

아울러, 전송받은 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석하는데 사용될 수 있다. 이와 같이, 플로우 관리 시스템(110)으로부터 전송받은 컨텐츠 통계 플로우 정보간 연관 분석이 이루어지면, 비대칭 라우팅에 의한 컨텐츠 미분석 (동일 세션의 상/하향 플로우가 다른 장비/회선을 경유하여 상, 하향 중 한쪽 플로우의 ACID가 구분되지 않는 현상)을 최소할 수 있는 장점을 줄 수 있다.In addition, it can be used to analyze unprocessed contents through association analysis between the received contents statistics flow information. When the association analysis between the contents statistics flow information transmitted from the flow management system 110 is performed, the contents analysis by the asymmetric routing (the up / down flow of the same session is up / down via the other equipment / The phenomenon that the ACID of one flow is not distinguished) can be minimized.

제2 실시예Second Embodiment

도 3은 본 발명의 제2 실시예에 따른 어플리케이션 컨텐츠 분석 시스템(100)의 어플리케이션 컨텐츠 분석 방법(S100)을 예시적으로 나타낸 순서도이고, 도 4는 본 발명의 제2 실시예에 따른 제2 실시예에 따른 어플리케이션 컨텐츠 분석 방법(S100)을 처리하기 위한 컨텐츠 분석 시스템(100)의 처리 흐름을 나타낸 도면이다.FIG. 3 is a flowchart illustrating an application content analysis method (S100) of an application content analysis system 100 according to a second embodiment of the present invention. FIG. 5 is a flowchart illustrating a process flow of a content analysis system 100 for processing an application content analysis method (S100) according to an example.

도시된 바와 같이, 본 발명의 제2 실시예에 따른 어플리케이션 컨텐츠 분석 방법(S100)은 분산 처리에 기반한 패킷 데이터를 효율적으로 처리하고자 S110 단계 내지 S130 단계를 포함하여 이루어진다.As shown in the figure, the application content analysis method (S100) according to the second embodiment of the present invention includes steps S110 to S130 for efficiently processing packet data based on the distributed processing.

먼저, 본 발명에 따른 S110 단계에서는 유,무선 인터넷망을 통해 유입되는 패킷 데이터를 플로우 관리 시스템(110)에서 수집한다①. 이때, 수집되는 패킷 데이터는 광분배기에 의한 태핑 (tapping) 방식 혹은 라우터 등의 네트워크 장치(101)에서의 미러링 등의 다양한 방식에 의해 수집된후, 유,무선 인터넷망을 통해 플로우 관리 시스템(110)으로 전송된다.First, in step S110 according to the present invention, the flow management system 110 collects packet data flowing through a wired and wireless Internet network. At this time, the collected packet data is collected by various methods such as a tapping method by an optical distributor or a mirroring in a network device 101 such as a router, and then the flow data is collected through a flow management system 110 .

이후, 본 발명에 따른 S110 단계에서는 위와 같은 네트워크 장치(101)를 통해 패킷 데이터를 수신하게 되면 수신된 패킷 데이터를 플로우 단위(플로우 정보) 별로 플로우 관리 시스템(110)에서 통계 처리한다②.In step S110 according to the present invention, when the packet data is received through the network device 101, the flow management system 110 statistically processes the received packet data for each flow unit (flow information).

이때, 통계 처리되는 플로우 정보는 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함할 수 있다. 따라서, 이러한 정보들이 통계 처리되면, 통계 처리된 결과, 예컨대 플로우 통계 정보의 결과만 남기고 플로우 패킷들은 통계 처리 완료 후 삭제될 수 있다. 이렇게, 통계 처리가 완료 후, 플로우 패킷(flow packets)들을 삭제하게 되면 그 만큼의 불필요한 대역폭 낭비를 최소화할 수 있다.At this time, the flow information to be statistically processed may include packets having the same source IP, destination IP, source port, destination port, and protocol. Therefore, when such information is statistically processed, the flow packets can be deleted after completing the statistical processing, leaving only the result of the statistical processing, for example, the result of the flow statistical information. In this way, when the flow packets are deleted after the statistical processing is completed, unnecessary waste of bandwidth can be minimized.

이후, 본 발명에 따른 S120 단계에서는 유,무선 인터넷망을 통해 네트워크 장치(101)로부터 패킷 데이터를 플로우 관리 시스템(110)에서 새로이 수신하면, 통계 처리가 되지 않은 신규 플로우를 이후에 설명할 DPI(Deep Packet Inspection) 서비스 분석 시스템(120)으로 전송한다③. 바람직하게는 신규 플로우의 최초 N개의 패킷을 DPI 서비스 분석 시스템(120)으로 전송할 수 있다. In step S120 according to the present invention, when the flow management system 110 newly receives the packet data from the network device 101 through the wired and wireless Internet network, the new flow that has not been statistically processed is called the DPI Deep Packet Inspection service analysis system 120. Preferably, the first N packets of the new flow may be transmitted to the DPI service analysis system 120.

이때, 위와 같은 신규 플로우 전송에 관여하는 플로우 관리 시스템(110)이 복수개고 구비될 경우 최초 N개의 패킷을 포함한 복수개의 신규 플로우가 DPI 서비스 분석 시스템(120)으로 전송될 수 있다.In this case, when a plurality of flow management systems 110 involved in the new flow transmission are provided, a plurality of new flows including the first N packets can be transmitted to the DPI service analysis system 120.

예를 들면, 최초 N개의 패킷을 포함한 제1 신규 플로우를 제1 플로우 관리 시스템(111)에서 DPI 서비스 분석 시스템(120)으로 전송될 수 있고, 다른 최초 N개의 패킷을 포함한 제2 신규 플로우를 제2 플로우 관리 시스템(112)에서 DPI 서비스 분석 시스템(120)으로 전송될 수 있다.For example, a first new flow including the first N packets may be transmitted from the first flow management system 111 to the DPI service analysis system 120, and a second new flow including the other first N packets may be transmitted 2 flow management system 112 to the DPI service analysis system 120.

그러나, 신규 플로우가 생성될때마다 무한정 DPI 서비스 분석 시스템(120)으로 전송되진 않는다. 예를 들면, 본 발명에 따른 S120 단계에서는 생성된 신규 플로우별로 처음의 N개 패킷 데이터 전송 후 혹은 전송 중단 명령이 접수될때까지 신규 플로우를 플로우 관리 시스템(110)에서 전송하는 것이 바람직하다. 이는 데이터 부하량(통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다.However, every time a new flow is created, it is not transferred to the DPI service analysis system 120 indefinitely. For example, in step S120 according to the present invention, it is preferable that a new flow is transmitted from the flow management system 110 until a first N packet data transmission or a transmission stop command is received for each new flow generated. This is to reduce the data load (including the statistical load) and distribute it according to the schedule.

이때, 전송 중단 명령은 플로우 관리 시스템(110)의 자체 판단, 예컨대 부하량 감소 알고리즘에 의해 발생되거나, DPI 서비스 분석 시스템(120)의 판단, 예컨대 부하량 감소 알고리즘에 의해 발생될 수 있다. 따라서, 이러한 전송 중단 명령을 감지하면, 신규 플로우를 전송을 중지시키게 된다.At this time, the transmission stop command may be generated by the flow management system 110 itself, for example, by a load reduction algorithm, or by a determination of the DPI service analysis system 120, e.g., a load reduction algorithm. Therefore, upon detecting such a transmission stop command, the transmission of the new flow is stopped.

반면, '처음의 N개 패킷 데이터 전송 후'의 경우에 대해 살펴보면, 본 발명에 따른 S120 단계에서는 최초 N개의 패킷을 포함한 적어도 하나 이상의 신규 플로우를 플로우 관리 시스템(110)에서 DPI 서비스 분석 시스템(120)으로 전송하게 되는데, 신규 플로우별로 최초 N개의 패킷을 보내게 되면 더 이상의 전송을 하지 않게 됨을 의미한다. In step S120 according to the present invention, at least one new flow including the first N packets is transmitted from the flow management system 110 to the DPI service analysis system 120 (step < RTI ID = 0.0 > ), Which means that if the first N packets are sent for each new flow, no further transmission is performed.

이와 같이 전송 중지하는 이유는 앞서 설명한 바와 같이 데이터 부하량(데이터 트래픽이라 지칭하기도 함, 통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다. 그러나, DPI 서비스 분석 시스템(120)의 요청이 있으면 다시 재개할 수 있다.The reason for stopping the transmission is to reduce the data load (which may be referred to as data traffic, including the statistical load) as described above, and distribute the data according to the schedule. However, if requested by the DPI service analysis system 120, it can be resumed again.

이후, 본 발명에 따른 S130 단계에서는 앞서 설명한 플로우 관리 시스템(110) 별로 통계 처리가 되지 않은 신규 플로우들을 DPI 서비스 분석 시스템(120)에서 전송받아 신규 플로우 별로 최초 N개의 패킷(플로우의 어플리케이션 컨텐츠(ACID)를 분석한다④.Thereafter, in step S130 according to the present invention, the DPI service analysis system 120 receives new flows that have not been statistically processed for each of the flow management systems 110 described above, and receives the first N packets (ACID ) ④ Analyze.

이 처럼, 신규 플로우 별로 최초 N개의 패킷을 분석하게 되면, 최종적인 신규 플로우의 어플리케이션 컨텐츠 정보를 DPI 서비스 분석 시스템(120)에서 추출해 낼 수 있다⑤. 추출된 어플리케이션 컨텐츠 정보는 신규 플로우 별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보를 의미한다.As described above, if the first N packets are analyzed for each new flow, the DPI service analysis system 120 can extract the application content information of the final new flow [5]. The extracted application content information means unique identifier information that distinguishes application content for each new flow.

이와 같이, 어플리케이션 컨텐츠 분석을 위해 최소의 패킷만을 전송하여 분석함으로써, DPI 서비스 분석시스템(120)으로 유입되는 트래픽 대역폭을 최소화 할 수 있는 장점을 준다. As described above, only the minimum packet is transmitted and analyzed for application content analysis, thereby minimizing the traffic bandwidth to the DPI service analysis system 120.

그러나, 본 발명에 따른 S130 단계에서 신규 플로우의 어플리케이션 컨텐츠가 플로우 관리 시스템(110)으로부터 전송받은 최초 N개의 패킷에 대한 분석을 통해 판정되지 않는 경우에는 해당 신규 플로우에 대해 추가적으로 패킷을 DPI 서비스 분석 시스템(120)으로 전송하도록 해당 플로우 관리 시스템(110)을 DPI 서비스 분석 시스템(120)에서 제어할 수도 있다. 이러한 과정을 통해 생성된 어플리케이션 컨텐츠에 대한 고유 식별자 정보는 앞서 설명한 플로우 관리 시스템(110)으로 전송된다⑥.However, if the application content of the new flow is not determined through the analysis of the first N packets transmitted from the flow management system 110 in step S130 according to the present invention, the packet is further added to the DPI service analysis system The flow management system 110 may be controlled by the DPI service analysis system 120 so as to transmit the flow management system 110 to the flow control system 120. The unique identifier information of the application content generated through this process is transmitted to the flow management system 110 described above (6).

이러한 전송이 이루어지면, 본 발명에 따른 S120 단계에서는 DPI 서비스 분석 시스템(120)으로부터 전송받은 신규 플로우별 고유 식별자 정보와 통계 처리된 플로우 통계를 플로우 관리 시스템(110)에서 통합하여 컨텐츠 통계 플로우 정보를 생성한다⑦. In step S120 according to the present invention, the flow management system 110 integrates the unique identifier information for each new flow received from the DPI service analysis system 120 and the statistical processed flow statistics, ⑦ Generate.

이때, 생성되는 컨텐츠 통계 플로우 정보는 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID; Application Content Identifier) 및 플로우 관리 시스템의 FMS 식별자(Flow Management System Identifier)를 포함한다. At this time, the generated content statistics flow information includes basic flow information, statistics start / end time, received packet count, received byte count, ACID (Application Content Identifier), and FMS identifier (Flow Management System Identifier) .

이와 같이, 본 발명에 따른 S120 단계에서는 DPI 서비스 분석 시스템(120)으로부터 전달된 신규 플로우의 고유 식별자 정보를 기본 flow 통계 정보(미리 통계 처리된 플로우 통계)와 결합하여 기본 flow 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, ACID(Application Content Identifier), FMS 식별자(Flow Management System Identifier)로 구성된 최종적인 컨텐츠 통계 플로우 정보를 플로우 관리 시스템(110)에서 생성하게 된다.As described above, in step S120 according to the present invention, the unique identifier information of the new flow delivered from the DPI service analysis system 120 is combined with basic flow statistical information (pre-statistically processed flow statistics) to obtain basic flow information, The flow management system 110 generates final content statistics flow information including time, received packet count, received byte count, ACID (Application Content Identifier), and FMS identifier (Flow Management System Identifier).

생성된 컨텐츠 통계 플로우 정보는 주기적으로 DPI 서비스 분석 시스템(120)으로 전송된다⑧. 이에 따라, 본 발명에 따른 S130 단계에서는 다수의 플로우 관리 시스템(110)으로부터 전송된 컨텐츠 통계 플로우 정보를 DPI 서비스 분석 시스템(120)에서 활용하여 플로우 별 컨텐츠 정보 및 컨텐츠 통계 정보를 DPI 서비스 분석 시스템(120)에서 일괄 관리할 수 있게 된다⑨. The generated content statistical flow information is periodically transmitted to the DPI service analysis system 120. (8) Accordingly, in step S130 according to the present invention, content statistics flow information transmitted from a plurality of flow management systems 110 is utilized in the DPI service analysis system 120 to provide flow-specific content information and content statistical information to a DPI service analysis system 120).

아울러, 전송받은 컨텐츠 통계 플로우 정보는 DPI 서비스 분석 시스템(120)의 연관 분석에 이용될 수 있다. 즉, 플로우 관리 시스템(110)으로부터 전송받은 컨텐츠 통계 플로우 정보간 연관 분석이 DPI 서비스 분석 시스템(120)에서 이루어지면, 비대칭 라우팅에 의한 컨텐츠 미분석 (동일 세션의 상/하향 플로우가 다른 장비/회선을 경유하여 상, 하향 중 한쪽 플로우의 ACID(Application Content Identifier)가 구분되지 않는 현상)을 최소할 수 있는 장점을 줄 수 있을 것이다.In addition, the received content statistics flow information can be used for association analysis of the DPI service analysis system 120. That is, if the DPI service analysis system 120 performs the association analysis between the content statistics flow information received from the flow management system 110, it is possible to analyze the contents by asymmetric routing (the upstream / The ACID (application content identifier) of one of the upstream and downstream flows can not be distinguished).

제3 실시예Third Embodiment

도 5는 본 발명의 제3 실시예에 따른 DPI 서비스 분석 시스템(120)을 보다 상세하게 나타낸 구성도이다.FIG. 5 is a configuration diagram illustrating a DPI service analysis system 120 according to a third embodiment of the present invention in more detail.

도 5를 참조하면, 본 발명의 제3 실시예에 따른 DPI 서비스 분석 시스템(120)은 패킷 데이터를 플로우 단위별로 통계 처리하는 복수의 플로우 관리 시스템(110)과 통신하여 분산 처리에 기반한 패킷 데이터를 효율적으로 처리하고자 신규 플로우 수신부(121), 컨텐츠 분석부(122), 고유 식별자 추출부(123), 고유 식별자 전송부(124), 통계 플로우 수신부(125) 및 컨텐츠 플로우 통계부(126)를 포함하여 구성된다.Referring to FIG. 5, the DPI service analysis system 120 according to the third embodiment of the present invention communicates with a plurality of flow management systems 110 that statistically process packet data on a flow-by-flow basis, The content analyzer 122, the unique identifier extractor 123, the unique identifier transmitter 124, the statistical flow receiver 125 and the content flow statistics unit 126 to efficiently process .

먼저, 본 발명에 따른 신규 플로우 수신부(121)는 플로우 관리 시스템(110)별로 통계 처리가 되지 않은 신규 플로우를 수신한다. 이때, 수신되는 신규 플로우는 복수개의 플로우 관리 시스템(110)에서 통계 처리된 플로우 정보로부터 구별될 수 있다.First, the new flow receiving unit 121 according to the present invention receives a new flow that is not statistically processed for each flow management system 110. At this time, the received new flow can be distinguished from the flow information statistically processed in the plurality of flow management systems 110.

예를 들면, 플로우 관리 시스템(110)에서 통계 처리되는 플로우 정보는 네트워크 장치(101)로부터 수신된 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 모아 플로우 단위별로 이미 통계 처리된 데이터를 의미하지만, 플로우 관리 시스템(110)으로부터 수신된 신규 플로우는 이미 통계 처리된 플로우 정보 이후에 유입되어 통계 처리되지 않은 새로운 데이터를 지칭한다. For example, flow information that is statistically processed by the flow management system 110 may include packets having the same source IP, destination IP, source port, destination port, and protocol received from the network device 101, Data, but the new flow received from the flow management system 110 refers to new data that has been introduced after the statistically processed flow information and has not been statistically processed.

이와 같이, 본 발명에 따른 신규 플로우 수신부(121)는 통계 처리된 플로우 정보를 플로우 관리 시스템(110)으로부터 수신하지 않지 않고 통계 처리되지 않은 신규 플로우만을 플로우 관리 시스템(110)으로부터 수신하게 된다. In this manner, the new flow receiver 121 according to the present invention does not receive the statistical processed flow information from the flow management system 110, but receives only the new flow that has not been statistically processed from the flow management system 110.

이때, 수신되는 신규 플로우는 복수개일 수 있다. 즉, 최초 N개의 패킷을 포함한 제1 신규 플로우를 제1 플로우 관리 시스템(111)으로부터 수신하고, 다른 최초 N개의 패킷을 포함한 제2 신규 플로우를 제2 플로우 관리 시스템(112)으로부터 수신할 수 있다. At this time, a plurality of new flows may be received. That is, a first new flow including the first N packets can be received from the first flow management system 111, and a second new flow including other first N packets can be received from the second flow management system 112 .

이와 같이, 최소의 패킷만을 플로우 관리 시스템(110)으로부터 전송받음으로써, DPI 서비스 분석 시스템(120)으로 유입되는 트래픽 대역폭을 최소화 할 수 있다.In this manner, by receiving only the minimum packet from the flow management system 110, the traffic bandwidth flowing into the DPI service analysis system 120 can be minimized.

그러나, 신규 플로우가 생성될때마다 무한정 신규 플로우를 수신하지는 않는다. 예를 들면, 본 발명에 따른 신규 플로우 수신부(121)는 수신된 신규 플로우별로 처음의 N개 패킷 데이터 전송 후 혹은 전송 중단 명령이 접수될때까지 신규 플로우를 수신하는 것이 바람직하다. 이는 데이터 부하량(통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다. However, every time a new flow is created, the new flow is not received infinitely. For example, the new flow receiving unit 121 according to the present invention preferably receives a new flow after receiving the first N pieces of packet data for each new flow received or until a transmission stop command is received. This is to reduce the data load (including the statistical load) and distribute it according to the schedule.

이때, 전송 중단 명령은 플로우 관리 시스템(110)의 판단, 예컨대 부하량 감소 알고리즘에 의해 발생되거나, DPI 서비스 분석 시스템(120)의 자체 판단, 예컨대 부하량 감소 알고리즘에 의해 발생될 수 있다. 따라서, 이러한 전송 중단 명령을 감지하면, 더 이상의 신규 플로우 수신을 중지하게 된다.At this time, the transmission stop command may be generated by a judgment of the flow management system 110, for example, a load reduction algorithm, or may be generated by a self-determination of the DPI service analysis system 120, e.g., a load reduction algorithm. Therefore, upon detecting such a transmission stop command, further new flow reception is stopped.

반면, '처음의 N개 패킷 데이터 전송 후'의 경우에 대해 살펴보면, 본 발명에 따른 신규 플로우 수신부(121)는 최초 N개의 패킷을 포함한 적어도 하나 이상의 신규 플로우를 플로우 관리 시스템(110)으로부터 수신하게 되는데, 신규 플로우별로 최초 N개의 패킷을 수신하면 더 이상의 수신을 받지 않음을 의미한다. On the other hand, in the case of 'after the first N packet data transmission', the new flow receiving unit 121 according to the present invention receives at least one new flow including the first N packets from the flow management system 110 Which means that if the first N packets are received for each new flow, no further reception is received.

이와 같이 전송 중지하는 이유는 앞서 설명한 바와 같이 데이터 부하량(데이터 트래픽이라 지칭하기도 함, 통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다. 그러나, DPI 서비스 분석 시스템(120)의 자체 진단 또는 플로우 관리 시스템(110)의 요청이 있으면 다시 재개할 수 있다.The reason for stopping the transmission is to reduce the data load (which may be referred to as data traffic, including the statistical load) as described above, and distribute the data according to the schedule. However, if a request is made from the self-diagnosis or flow management system 110 of the DPI service analysis system 120, it can be resumed.

다음으로, 본 발명에 따른 컨텐츠 분석부(122)는 앞서 설명한 신규 플로우 수신부(121)에 의해 수신된 최초 N개의 패킷을 갖는 신규 플로우 별로 어플리케이션 컨텐츠를 분석한다.Next, the content analysis unit 122 analyzes the application content for each new flow having the first N packets received by the new flow receiving unit 121 described above.

다음으로 본 발명에 따른 고유 식별자 추출부(123)는 신규 플로우 별로 최초 N개의 패킷에 대한 어플리케이션 컨텐츠를 분석하면, 신규 플로우별로 최종적인 신규 플로우의 어플리케이션 컨텐츠를 구별한 고유 식별자 정보(ACID; Application Content Identifier)를 추출할 수 있다.Next, the unique identifier extracting unit 123 analyzes the application contents of the first N packets for each new flow, and generates unique identifier information (ACID) identifying the application content of the new flow for each new flow Identifier can be extracted.

예를 들면, 전달된 최초 N개의 패킷을 분석하여 해당 플로우의 어플리케이션 컨텐츠를 구별한 고유 식별자 정보(ACID), 예컨대 스카이프, P2P 등과 같은 고유 식별자 정보를 최종적으로 판정하여 추출해낼 수 있다. For example, it is possible to finally determine and extract unique identifier information such as unique identifier information (ACID) such as Skype, P2P, etc. that distinguishes application contents of the flow by analyzing the first N packets transmitted.

다음으로, 본 발명에 따른 고유 식별자 전송부(124)는 앞서 설명한 고유 식별자 추출부(123)에 의해 추출된 신규 플로우별 고유 식별자 정보를 해당하는 플로우 관리 시스템(110)으로 전송한다.Next, the unique identifier transmission unit 124 according to the present invention transmits the unique identifier information for each new flow extracted by the unique identifier extraction unit 123 to the corresponding flow management system 110.

다음으로, 본 발명에 따른 통계 플로우 수신부(125)는 앞서 설명한 고유 식별자 전송부(124)에 의해 고유 식별자 정보를 플로우 관리 시스템(110)으로 전송한 후 이에 대응하여 플로우 관리 시스템(110)으로부터 컨텐츠 통계 플로우 정보를 수신할 수 있다. Next, the statistical flow receiving unit 125 according to the present invention transmits the unique identifier information to the flow management system 110 by the unique identifier transmitting unit 124 described above, and then, from the flow management system 110, And receive statistics flow information.

이때, 수신되는 컨텐츠 통계 플로우 정보는 신규 플로우별 고유 식별자 정보와 통계 처리된 플로우 통계를 통합한 정보를 플로우 관리 시스템(110)에서 생성할 경우 이러한 통합된 정보를 수신한 결과를 의미한다. At this time, the received contents statistics flow information means the result of receiving the integrated information when the flow management system 110 generates information that integrates the unique identifier information for each new flow and the statistical processed flow statistics.

이러한 컨텐츠 통계 플로우 정보는 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID) 및 플로우 관리 시스템(110)의 FMS 식별자를 포함할 수 있다.The content statistics flow information may include basic flow information, statistics start / end time, received packet count, received byte count, unique identifier (ACID), and FMS identifier of the flow management system 110.

이에 따라, 본 발명에 따른 통계 플로우 수신부(125)는 신규 플로우의 고유 식별자 정보를 기본 flow 통계 정보(미리 통계 처리된 플로우 통계)와 결합하여 기본 flow 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, ACID, FMS 식별자(Flow Management System Identifier)로 구성된 최종적인 컨텐츠 통계 플로우 정보를 플로우 관리 시스템(110)로부터 수신하게 된다. Accordingly, the statistical flow receiving unit 125 according to the present invention combines the unique identifier information of the new flow with the basic flow statistical information (the statistical processed flow statistic) to calculate the basic flow information, the statistic start / end time, From the flow management system 110, the final content statistics flow information configured by the number of bytes received, the ACID, and the FMS identifier (Flow Management System Identifier).

이러한 컨텐츠 통계 플로우 정보는 주기적으로 플로우 관리 시스템(110)에서 통계 플로우 수신부(125)로 전송되는 것이 바람직하다. 이러한 주기적인 컨텐츠 통계 플로우 정보의 전송은 대용량 트래픽을 효율적으로 분산 처리할 수 있고, 시스템적인 확장성을 보장할 수 있다.The content statistics flow information is periodically transmitted from the flow management system 110 to the statistical flow receiving unit 125. The transmission of the periodical content statistics flow information can efficiently distribute a large amount of traffic and can guarantee system scalability.

마지막으로, 본 발명에 따른 컨텐츠 플로우 통계부(126)는 앞서 설명한 통계 플로우 수신부(125)에 의해 수신된 컨텐츠 통계 플로우 정보를 이용하여 플로우별 컨텐츠 정보 및 컨텐츠 통계 정보를 일괄 처리하여 관리할 수 있다.Finally, the content flow statistics unit 126 according to the present invention collectively manages the content information and the content statistical information for each flow by using the content statistical flow information received by the statistical flow receiving unit 125 described above .

더욱이, 본 발명에 따른 컨텐츠 플로우 통계부(126)는 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석할 수도 있다. 예를 들면, 플로우 관리 시스템(110)으로부터 전송받은 컨텐츠 통계 플로우 정보간 연관 분석을 통해 비대칭 라우팅에 의한 동일 세션의 상/하향 플로우가 다른 장비/회선을 경유하여 상, 하향 중 한쪽 플로우의 ACID가 구분되지 않는 현상과 같은 미처리 컨텐츠를 알수 있게 된다. 이로 인하여, 이미 처리된 컨텐츠뿐만 아니라 미처리된 컨텐츠까지도 분석이 이루어져 보다 정확한 컨텐츠 확인과 통계 처리가 이루어질 수 있을 것이다.Furthermore, the content flow statistics unit 126 according to the present invention may analyze the unprocessed content through association analysis between the content statistics flow information. For example, through the association analysis between the content statistical flow information received from the flow management system 110, the up / down flow of the same session by the asymmetric routing passes through the other equipment / line and the ACID of the flow It is possible to know unprocessed contents such as a phenomenon that is not distinguished. Accordingly, not only the already processed content but also the unprocessed content can be analyzed, so that accurate content confirmation and statistical processing can be performed.

제4 실시예Fourth Embodiment

도 6은 본 발명의 제4 실시예에 따른 플로우 관리 시스템(110)을 보다 상세하게 나타낸 구성도이다.FIG. 6 is a configuration diagram showing the flow management system 110 according to the fourth embodiment of the present invention in more detail.

도 6을 참조하면, 본 발명의 제4 실시예에 따른 플로우 관리 시스템(110)은 네트워크 장치(101)와 DPI(Deep Packet Inspection) 서비스 분석 시스템(120) 사이에 복수 개로 구비된다. 이때, DPI 서비스 분석 시스템(120)은 도 1 내지 도 5에서 충분히 설명하였기에 그 설명은 생략하지만 본 실시예에서 동일하게 적용됨은 물론이다.Referring to FIG. 6, a plurality of flow management systems 110 according to a fourth embodiment of the present invention are provided between the network device 101 and the DPI (Deep Packet Inspection) service analysis system 120. At this time, the DPI service analysis system 120 has been fully described in FIGS. 1 to 5, and therefore, the description thereof is omitted.

이러한 플로우 관리 시스템(110)은 패킷 데이터 수신부(111), 통계 처리부(112), 신규 플로우 생성부(113), 신규 플로우 전송부(114), 컨텐츠 식별자 수신부(115), 컨텐츠 플로우 생성부(116) 및 컨텐츠 플로우 전송부(117)를 포함하여 구성된다.The flow management system 110 includes a packet data receiving unit 111, a statistical processing unit 112, a new flow generating unit 113, a new flow transmitting unit 114, a content identifier receiving unit 115, a content flow generating unit 116 And a content flow transfer unit 117. [

먼저, 본 발명의 제4 실시예에 따른 패킷 데이터 수신부(111)는 유,무선 인터넷망을 통해 연결된 네트워크 장치(101)로부터 패킷 데이터를 수신한다. 이때, 네트워크 장치(101)는 광분배기에 의한 태핑 (tapping) 방식 혹은 라우터에 의한 미러링 방식과 같이 다양한 방식을 적용하여 패킷 데이터를 발생시킬 수 있다. 따라서, 패킷 데이터 수신부(111)는 위와 같은 다양한 방식이 적용된 패킷 데이터를 수집할 수 있게 된다.First, the packet data receiving unit 111 according to the fourth embodiment of the present invention receives packet data from a network device 101 connected via a wired and wireless Internet network. At this time, the network device 101 can generate packet data by applying various methods such as a tapping method using an optical splitter or a mirroring method using a router. Accordingly, the packet data receiving unit 111 can collect packet data using various methods as described above.

다음으로, 본 발명에 따른 통계 처리부(112)는 패킷 데이터 수신부(111)로부터 수신된 패킷 데이터를 제공받은 후, 제공받은 패킷 데이터를 플로우 단위(플로우 정보) 별로 통계 처리한다.Next, the statistical processing unit 112 according to the present invention receives the packet data received from the packet data receiving unit 111, and then statistically processes the received packet data for each flow unit (flow information).

이때, 통계 처리되는 플로우 정보는 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함할 수 있다. 따라서, 이러한 정보들이 통계 처리되면, 통계 처리된 결과, 예컨대 플로우 통계 정보의 결과만 남기고 플로우 패킷들은 통계 처리 완료 후 삭제될 수 있다. 이렇게, 통계 처리 완료 후, 플로우 패킷(flow packets)들이 삭제되면 그 만큼의 불필요한 대역폭 낭비를 최소화할 수 있다. At this time, the flow information to be statistically processed may include packets having the same source IP, destination IP, source port, destination port, and protocol. Therefore, when such information is statistically processed, the flow packets can be deleted after completing the statistical processing, leaving only the result of the statistical processing, for example, the result of the flow statistical information. Thus, unnecessary waste of bandwidth can be minimized when flow packets are deleted after completion of statistical processing.

다음으로, 본 발명에 따른 신규 플로우 생성부(113)는 플로우 단위 별로 통계 처리된 후, 앞서 설명한 패킷 데이터 수신부(111)에 의해 새로이 수신되는 패킷 데이터에 대하여 적어도 하나 이상의 신규 플로우를 생성한다.Next, the new flow generation unit 113 according to the present invention generates at least one new flow for the packet data newly received by the packet data reception unit 111 described above after being statistically processed for each flow unit.

이때, 생성되는 적어도 하나 이상의 신규 플로우는 유,무선 인터넷망을 통해 네트워크 장치(101)로부터 패킷 데이터를 새로이 수신하면, 통계 처리가 되지 않을뿐 앞서 설명한 플로우 정보를 가리킨다. 앞서 설명한 바와 같이 소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들로 이루어질 때 비로서 플로우 정보가 생성될 수 있다.At this time, the generated at least one new flow refers to the flow information described above only when the packet data is newly received from the network device 101 via the wired or wireless Internet network, the statistical processing is not performed. As described above, flow information can be generated when the source IP, the destination IP, the source port, the destination port, and the protocol are composed of the same packets.

다음으로, 본 발명에 따른 신규 플로우 전송부(114)는 앞서 설명한 신규 플로우 생성부(113)에 의해 생성된 적어도 하나 이상의 신규 플로우를 DPI 서비스 분석 시스템(120)으로 전송하는 역할을 한다.Next, the new flow transmitter 114 according to the present invention transmits at least one or more new flows generated by the new flow generator 113 described above to the DPI service analysis system 120.

그러나, 신규 플로우가 생성될때마다 무한정 DPI 서비스 분석 시스템(120)으로 전송되진 않는다. 예를 들면, 본 발명에 따른 신규 플로우 전송부(114)는 생성된 신규 플로우별로 처음의 N개 패킷 데이터 전송 후 혹은 전송 중단 명령이 접수될때까지 적어도 하나 이상의 신규 플로우를 전송하는 것이 바람직하다. 이는 데이터 부하량(통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다.However, every time a new flow is created, it is not transferred to the DPI service analysis system 120 indefinitely. For example, the new flow transmitter 114 according to the present invention preferably transmits at least one new flow until the first N packet data transmission or the transmission stop command is received for each new flow generated. This is to reduce the data load (including the statistical load) and distribute it according to the schedule.

이때, 전송 중단 명령은 플로우 관리 시스템(110)의 자체 판단에 따라, 예컨대 부하량 감소 알고리즘에 따라 발생되거나, DPI 서비스 분석 시스템(120)의 판단에 따라, 예컨대 부하량 감소 알고리즘에 따라 발생될 수 있다. 따라서, 이러한 전송 중단 명령을 감지하면, 신규 플로우를 전송을 중지시키게 된다.At this time, the transmission stop command may be generated according to the flow management system 110's own judgment, for example, according to a load reduction algorithm, or according to a judgment of the DPI service analysis system 120, for example, according to a load reduction algorithm. Therefore, upon detecting such a transmission stop command, the transmission of the new flow is stopped.

반면, '처음의 N개 패킷 데이터 전송 후'의 경우에 대해 살펴보면, 본 발명에 따른 신규 플로우 전송부(114)는 최초 N개의 패킷을 포함한 적어도 하나 이상의 신규 플로우를 DPI 서비스 분석 시스템(120)으로 전송하게 되는데, 신규 플로우별로 최초 N개의 패킷을 보내게 되면 더 이상의 전송을 하지 않게 됨을 의미한다. 이와 같이 전송 중지하는 이유는 앞서 설명한 바와 같이 데이터 부하량(데이터 트래픽이라 지칭하기도 함, 통계 부하량 포함)을 줄이고, 스케쥴에 따라 분산 처리하기 위함이다.The new flow transmitter 114 according to the present invention transmits at least one new flow including the first N packets to the DPI service analysis system 120 It means that if the first N packets are transmitted for each new flow, no further transmission is performed. The reason for stopping the transmission is to reduce the data load (which may be referred to as data traffic, including the statistical load) as described above, and distribute the data according to the schedule.

다음으로, 본 발명에 따른 컨텐츠 식별자 수신부(115)는 적어도 하나 이상의 신규 플로우를 포함한 신규 플로우 신호를 DPI 서비스 분석 시스템(120)으로 전송한 후, 이에 대응하여 신규 플로우별로 어플리케이션 컨텐츠를 구별하여 추출된 고유 식별자 정보를 DPI 서비스 분석 시스템(120)으로부터 수신한다.Next, the content identifier receiving unit 115 transmits a new flow signal including at least one new flow to the DPI service analyzing system 120, identifies application contents for each new flow corresponding thereto, And receives unique identifier information from the DPI service analysis system 120.

다음으로, 본 발명에 따른 컨텐츠 플로우 생성부(116)는 DPI 서비스 분석 시스템(120)으로부터 전송받은 신규 플로우별 고유 식별자 정보와 이미 통계 처리된 플로우 통계(플로우 통계 정보)를 통합하여 컨텐츠 통계 플로우 정보를 생성할 수 있다. Next, the content flow generation unit 116 integrates the unique identifier information for each new flow received from the DPI service analysis system 120 and the flow statistic (flow statistical information) Lt; / RTI >

이때, 신규 플로우별 고유 식별자 정보는 신규 플로우별로 추출된 어플리케이션 컨텐츠 정보(ACID)에 대한 고유 식별자(ACID; Application Content Identifier)를 가리킨다. 반면, 컨텐츠 플로우 생성부(116)에 의해 생성되는 컨텐츠 통계 플로우 정보는 기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID; Application Content Identifier) 및 플로우 관리 시스템의 FMS 식별자(Flow Management System Identifier)를 포함한다.At this time, the unique identifier information for each new flow indicates an application identifier (ACID) for the application content information (ACID) extracted for each new flow. On the other hand, the content statistics flow information generated by the content flow generation unit 116 includes basic flow information, statistics start / end time, received packet count, received byte count, ACID (Application Content Identifier) And an FMS identifier (Flow Management System Identifier).

이에 따라, 본 발명에 따른 컨텐츠 플로우 생성부(116)는 DPI 서비스 분석 시스템(120)으로부터 전송받은 신규 플로우의 고유 식별자 정보를 기본 flow 통계 정보(미리 통계 처리된 플로우 통계)와 결합하여 기본 flow 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, ACID(Application Content Identifier), FMS 식별자(Flow Management System Identifier)로 구성된 최종적인 컨텐츠 통계 플로우 정보를 생성할 수 있게 된다.Accordingly, the content flow generation unit 116 according to the present invention combines the unique identifier information of the new flow received from the DPI service analysis system 120 with basic flow statistical information (pre-statistically processed flow statistics) , Statistics start / end time, received packet count, received byte count, ACID (application content identifier), and FMS identifier (Flow Management System Identifier).

마지막으로 본 발명에 따른 컨텐츠 플로우 전송부(117)는 앞서 설명한 컨텐츠 플로우 생성부(116)에 의해 생성된 컨텐츠 통계 플로우 정보를 DPI 서비스 분석 시스템(120)으로 주기적으로 전송할 수 있다. 이로써, DPI 서비스 분석 시스템(120)은 컨텐츠 플로우 전송부(117)로부터 전송받은 컨텐츠 통계 플로우 정보를 이용하여 연관 분석 및 통계 관리 등 다양한 용도로 활용하게 된다.Finally, the content flow transmitter 117 according to the present invention can periodically transmit the content statistical flow information generated by the content flow generator 116 to the DPI service analysis system 120. FIG. Thus, the DPI service analysis system 120 utilizes the content statistics flow information received from the content flow transmission unit 117 for various purposes such as association analysis and statistical management.

이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭 티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The embodiments of the present invention described above can be implemented in the form of program instructions that can be executed through various computer components and recorded on a computer-readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer-readable recording medium may be those specially designed and constructed for the present invention or may be those known and used by those skilled in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.

이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the exemplary embodiments or constructions. You can understand that you can do it. The embodiments described above are therefore to be considered in all respects as illustrative and not restrictive.

100 : 어플리케이션 컨텐츠 분석 시스템 101 : 네트워크 장치
110 : 플로우 관리 시스템 111 : 패킷 데이터 수신부
112 : 통계 처리부 113 : 신규 플로우 생성부
114 : 신규 플로우 전송부 115 : 컨텐츠 식별자 수신부
116 : 컨텐츠 플로우 생성부 117 : 컨텐츠 플로우 전송부
120 : DPI 서비스 분석 시스템 121 : 신규 플로우 수신부
122 : 컨텐츠 분석부 123 : 고유 식별자 추출부
124 : 고유 식별자 전송부 125 : 통계 플로우 수신부
126 : 컨텐츠 플로우 통계부100: Application content analysis system 101: Network device
110: Flow Management System 111: Packet Data Receiving Unit
112: statistical processing unit 113: new flow generating unit
114: New flow transmitter 115: Content identifier receiver
116: Content flow generation unit 117: Content flow transmission unit
120: DPI service analysis system 121: New flow receiver
122: content analyzing unit 123: unique identifier extracting unit
124: unique identifier transmission unit 125: statistics flow receiver
126: Content flow statistics section

Claims (43)

분산 처리에 기반한 어플리케이션 컨텐츠 분석 시스템으로서,
수신된 패킷 데이터를 플로우 단위별로 통계 처리하는 플로우 관리 시스템; 및
상기 플로우 관리 시스템별로 상기 통계 처리가 되지 않은 신규 플로우를 전송받아 상기 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 분석하는 DPI(Deep Packet Inspection) 서비스 분석 시스템;
을 포함하며,
상기 플로우 관리 시스템은 처음의 N개 패킷을 포함한 상기 신규 플로우를 상기 DPI 서비스 분석 시스템으로 전송하며, 상기 신규 플로우 전송에 관여하는 상기 플로우 관리 시스템은 복수개로 구비되며,
상기 플로우 관리 시스템은 전송 중단 명령이 접수될 때까지 상기 신규 플로우를 전송하며,
상기 DPI 서비스 분석 시스템은 상기 플로우 관리 시스템으로부터 전송 받은 상기 처음의 N개의 패킷에 대한 분석을 통해 판정되지 않는 경우, 상기 신규 플로우에 대해 추가적으로 패킷을 전송하도록 상기 플로우 관리 시스템을 제어하는,
어플리케이션 컨텐츠 분석 시스템.An application content analysis system based on distributed processing,
A flow management system for statistically processing the received packet data on a flow unit basis; And
A DPI (Deep Packet Inspection) service analysis system for receiving a new flow that is not statistically processed for each flow management system and analyzing application contents of a new flow for each new flow;
/ RTI >
Wherein the flow management system transmits the new flow including the first N packets to the DPI service analysis system, wherein the flow management system involved in the new flow transmission is provided in plurality,
The flow management system transmits the new flow until a transmission stop command is received,
Wherein the DPI service analysis system controls the flow management system to additionally send packets for the new flow if it is not determined through analysis of the first N packets received from the flow management system,
Application content analysis system. 제1항에 있어서,
상기 플로우 관리 시스템은,
소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함한 상기 플로우 단위별로 통계 처리하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.The method according to claim 1,
The flow management system includes:
The source IP, the destination IP, the source port, the destination port, and the protocol. 제2항에 있어서,
상기 플로우 관리 시스템은,
상기 통계 처리가 완료된 플로우 패킷들은 통계 처리 완료 후, 삭제되는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.3. The method of claim 2,
The flow management system includes:
Wherein the flow packets having been subjected to the statistical processing are deleted after completion of statistical processing. 삭제delete 삭제delete 제3항에 있어서,
상기 DPI 서비스 분석 시스템은,
상기 분석을 통해 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보를 추출하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.The method of claim 3,
The DPI service analysis system comprises:
And extracts unique identifier information that distinguishes application contents for each new flow through the analysis. 제6항에 있어서,
상기 DPI 서비스 분석 시스템은,
상기 고유 식별자 정보를 상기 플로우 관리 시스템으로 전송하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.The method according to claim 6,
The DPI service analysis system comprises:
And transmits the unique identifier information to the flow management system. 제6항에 있어서,
상기 플로우 관리 시스템은,
상기 DPI 서비스 분석 시스템으로부터 전송받은 상기 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 통합하여 컨텐츠 통계 플로우 정보를 생성하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.The method according to claim 6,
The flow management system includes:
And generates content statistics flow information by integrating the unique identifier information received from the DPI service analysis system and the statistical processed flow statistics. 제8항에 있어서,
상기 플로우 관리 시스템은,
기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID; Application Content Identifier) 및 플로우 관리 시스템의 FMS 식별자(Flow Management System Identifier)를 포함한 상기 컨텐츠 통계 플로우 정보를 생성하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.9. The method of claim 8,
The flow management system includes:
The content statistics flow information including basic flow information, statistics start / end time, received packet count, received byte count, ACID (Application Content Identifier), and FMS identifier of the flow management system (Flow Management System Identifier) Wherein the application content analysis system comprises: 제9항에 있어서,
상기 플로우 관리 시스템은,
생성된 상기 컨텐츠 통계 플로우 정보를 상기 DPI 서비스 분석 시스템으로 주기적으로 전송하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.10. The method of claim 9,
The flow management system includes:
And transmits the generated content statistical flow information to the DPI service analysis system periodically. 제10항에 있어서,
상기 DPI 서비스 분석 시스템은,
상기 컨텐츠 통계 플로우 정보를 이용하여 플로우별 컨텐츠 정보 및 컨텐츠 통계 정보를 일괄 관리하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.11. The method of claim 10,
The DPI service analysis system comprises:
And collectively managing content information and content statistical information for each flow using the content statistical flow information. 제11항에 있어서,
상기 DPI 서비스 분석 시스템은,
상기 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 시스템.12. The method of claim 11,
The DPI service analysis system comprises:
And analyzes the unprocessed contents through association analysis between the contents statistics flow information. 분산 처리에 기반한 어플리케이션 컨텐츠 분석 시스템에서 어플리케이션 컨텐츠 분석 방법으로서,
(a) 수신된 패킷 데이터를 플로우 관리 시스템에서 플로우 단위별로 통계 처리하는 단계;
(b) 플로우 관리 시스템별로 상기 통계 처리가 되지 않은 신규 플로우를 DPI(Deep Packet Inspection) 서비스 분석 시스템으로 전송하는 단계; 및
(c) 전송받은 상기 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 DPI 서비스 분석 시스템에서 분석하는 단계;
를 포함하며,
상기 플로우 관리 시스템은 처음의 N개 패킷을 포함한 상기 신규 플로우를 상기 DPI 서비스 분석 시스템으로 전송하며, 상기 신규 플로우 전송에 관여하는 상기 플로우 관리 시스템은 복수개로 구비되며,
상기 플로우 관리 시스템은 전송 중단 명령이 접수될 때까지 상기 신규 플로우를 전송하며,
상기 DPI 서비스 분석 시스템은 상기 플로우 관리 시스템으로부터 전송 받은 상기 처음의 N개의 패킷에 대한 분석을 통해 판정되지 않는 경우, 상기 신규 플로우에 대해 추가적으로 패킷을 전송하도록 상기 플로우 관리 시스템을 제어하는,
어플리케이션 컨텐츠 분석 방법.A method for analyzing application content in an application content analysis system based on distributed processing,
(a) statistically processing the received packet data by a flow unit in a flow management system;
(b) transmitting, to the DPI (Deep Packet Inspection) service analysis system, a new flow not subjected to the statistical processing for each flow management system; And
(c) analyzing the application contents of the new flow by the DPI service analysis system for each new flow received;
/ RTI >
Wherein the flow management system transmits the new flow including the first N packets to the DPI service analysis system, wherein the flow management system involved in the new flow transmission is provided in plurality,
The flow management system transmits the new flow until a transmission stop command is received,
Wherein the DPI service analysis system controls the flow management system to additionally send packets for the new flow if it is not determined through analysis of the first N packets received from the flow management system,
Application content analysis method. 제13항에 있어서,
상기 (a) 단계는,
소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함한 상기 플로우 단위별로 플로우 관리 시스템에서 통계 처리하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.14. The method of claim 13,
The step (a)
Wherein the flow management system performs statistical processing for each flow unit including packets having the same source IP, destination IP, source port, destination port, and protocol. 제14항에 있어서,
상기 (a) 단계는,
상기 통계 처리가 완료된 플로우 패킷들은 통계 처리 완료 후, 플로우 관리 시스템에서 삭제되는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.15. The method of claim 14,
The step (a)
Wherein the flow packets having undergone the statistical processing are deleted from the flow management system after the statistical processing is completed. 삭제delete 삭제delete 제15항에 있어서,
상기 (c) 단계는,
상기 분석을 통해 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보를 DPI 서비스 분석 시스템에서 추출하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.16. The method of claim 15,
The step (c)
And extracting, from the DPI service analysis system, unique identifier information that distinguishes application content for each new flow through the analysis. 제18항에 있어서,
상기 (c) 단계는,
상기 신규 플로우별 고유 식별자 정보를 DPI 서비스 분석 시스템에서 플로우 관리 시스템으로 전송하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.19. The method of claim 18,
The step (c)
And the unique identifier information for each new flow is transmitted from the DPI service analysis system to the flow management system. 제19항에 있어서,
상기 (a) 단계는,
상기 DPI 서비스 분석 시스템으로부터 전송받은 상기 신규 플로우별 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 플로우 관리 시스템에서 통합하여 컨텐츠 통계 플로우 정보를 생성하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.20. The method of claim 19,
The step (a)
Wherein the flow statistics information is generated by integrating the unique identifier information for each new flow received from the DPI service analysis system and the statistically processed flow statistics in a flow management system. 제20항에 있어서,
상기 (a) 단계는,
기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID) 및 플로우 관리 시스템의 FMS 식별자(Flow Management System Identifier)를 포함한 상기 컨텐츠 통계 플로우 정보를 플로우 관리 시스템에서 생성하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.21. The method of claim 20,
The step (a)
The flow statistics management system generates the content statistics flow information including basic flow information, statistics start / end time, received packet count, received byte count, unique identifier (ACID), and FMS identifier of the flow management system (Flow Management System Identifier) And analyzing the contents of the application contents. 제21항에 있어서,
상기 (a) 단계는,
생성된 상기 컨텐츠 통계 플로우 정보를 플로우 관리 시스템에서 DPI 서비스 분석 시스템으로 주기적으로 전송하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.22. The method of claim 21,
The step (a)
And the generated content statistical flow information is periodically transmitted from the flow management system to the DPI service analysis system. 제22항에 있어서,
상기 (b) 단계는,
상기 컨텐츠 통계 플로우 정보를 이용하여 플로우별 컨텐츠 정보 및 컨텐츠 통계 정보를 DPI 서비스 분석 시스템에서 일괄 관리하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.23. The method of claim 22,
The step (b)
Wherein the DPI service analyzing system collectively manages the content information and the content statistical information for each flow by using the content statistical flow information. 제23항에 있어서,
상기 (b) 단계는,
DPI 서비스 분석 시스템에서 상기 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석하는 것을 특징으로 하는 어플리케이션 컨텐츠 분석 방법.24. The method of claim 23,
The step (b)
Wherein the DPI service analysis system analyzes the unprocessed contents through association analysis between the contents statistics flow information. 제13항 내지 제15항 및 제18항 내지 제24항 중 어느 한 항에 따른 어플리케이션 컨텐츠 분석 방법을 실행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium having recorded thereon a program for executing an application content analysis method according to any one of claims 13 to 15 and 18 to 24. 수신된 패킷 데이터를 플로우 단위별로 통계 처리하는 복수의 플로우 관리 시스템과 통신하는 DPI(Deep Packet Inspection) 서비스 분석 시스템으로서,
상기 플로우 관리 시스템별로 상기 통계 처리가 되지 않은 신규 플로우를 전송 중단 명령이 접수될때까지 신규 플로우를 수신하는 신규 플로우 수신부; 및
수신된 상기 신규 플로우별로 신규 플로우의 어플리케이션 컨텐츠를 분석하는 컨텐츠 분석부;
를 포함하며,
상기 DPI 서비스 분석 시스템은 상기 플로우 관리 시스템으로부터 처음의 N개 패킷을 포함한 상기 신규 플로우를 전송 받고,
상기 DPI 서비스 분석 시스템은 상기 플로우 관리 시스템으로부터 전송 받은 상기 처음의 N개의 패킷에 대한 분석을 통해 판정되지 않는 경우, 상기 신규 플로우에 대해 추가적으로 패킷을 전송하도록 상기 플로우 관리 시스템을 제어하는,
DPI 서비스 분석 시스템.
A DPI (Deep Packet Inspection) service analysis system for communicating with a plurality of flow management systems for statistically processing received packet data on a flow unit basis,
A new flow receiving unit for receiving a new flow until a transmission stop command is received for the new flow not subjected to the statistical processing for each flow management system; And
A content analyzer for analyzing application content of a new flow for each new flow received;
/ RTI >
Wherein the DPI service analysis system receives the new flow including the first N packets from the flow management system,
Wherein the DPI service analysis system controls the flow management system to additionally send packets for the new flow if it is not determined through analysis of the first N packets received from the flow management system,
DPI Service Analysis System.
삭제delete 삭제delete 제26항에 있어서,
상기 컨텐츠 분석부의 분석을 통해 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별한 고유 식별자 정보를 추출하는 고유 식별자 추출부;
를 더 포함하는 것을 특징으로 하는 DPI 서비스 분석 시스템.27. The method of claim 26,
A unique identifier extracting unit for extracting unique identifier information that distinguishes application contents for each new flow through the analysis of the content analyzing unit;
The DPI service analysis system comprising: 제29항에 있어서,
상기 신규 플로우별 고유 식별자 정보를 상기 플로우 관리 시스템으로 전송하는 고유 식별자 전송부; 및
상기 고유 식별자 정보를 활용하여 생성된 컨텐츠 통계 플로우 정보를 상기 플로우 관리 시스템으로부터 수신하는 통계 플로우 수신부;
를 더 포함하는 것을 특징으로 하는 DPI 서비스 분석 시스템.30. The method of claim 29,
A unique identifier transfer unit for transferring the unique identifier information for each new flow to the flow management system; And
A statistical flow receiving unit for receiving contents statistics flow information generated using the unique identifier information from the flow management system;
The DPI service analysis system comprising: 제30항에 있어서,
상기 통계 플로우 수신부는,
상기 신규 플로우별 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 통합한 상기 컨텐츠 통계 플로우 정보를 수신하는 것을 특징으로 하는 DPI 서비스 분석 시스템.31. The method of claim 30,
The statistical flow receiving unit,
And the content statistical flow information combining the unique identifier information for each new flow and the statistical processed flow statistics is received. 제30항 또는 제31항에 있어서,
상기 통계 플로우 수신부는,
기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID) 및 플로우 관리 시스템의 FMS 식별자를 포함한 상기 컨텐츠 통계 플로우 정보를 수신하는 것을 특징으로 하는 DPI 서비스 분석 시스템.32. The method according to claim 30 or 31,
The statistical flow receiving unit,
The content statistics flow information including basic flow information, statistics start / end time, received packet count, received byte count, unique identifier (ACID), and FMS identifier of the flow management system. 제32항에 있어서,
상기 통계 플로우 수신부는,
상기 컨텐츠 통계 플로우 정보를 주기적으로 수신하는 것을 특징으로 하는 DPI 서비스 분석 시스템.33. The method of claim 32,
The statistical flow receiving unit,
And the content statistics flow information is periodically received. 제32항에 있어서,
수신된 상기 컨텐츠 통계 플로우 정보를 이용하여 플로우별 컨텐츠 정보 및 컨텐츠 통계 정보를 일괄 관리하는 컨텐츠 플로우 통계부;
를 더 포함하는 것을 특징으로 하는 DPI 서비스 분석 시스템.33. The method of claim 32,
A content flow statistics unit for collectively managing content information and content statistical information for each flow using the received content statistical flow information;
The DPI service analysis system comprising: 제34항에 있어서,
상기 컨텐츠 플로우 통계부는,
상기 컨텐츠 통계 플로우 정보간 연관 분석을 통해 미처리된 컨텐츠를 분석하는 것을 특징으로 하는 DPI 서비스 분석 시스템.35. The method of claim 34,
The content-
And analyzing the unprocessed contents through association analysis between the contents statistics flow information. 수신된 패킷 데이터를 플로우 단위별로 통계 처리하는 복수의 플로우 관리 시스템에 있어서,
네트워크 장치로부터 패킷 데이터를 수신하는 패킷 데이터 수신부;
수신된 상기 패킷 데이터를 플로우 단위 별로 통계 처리하는 통계 처리부;
상기 플로우 단위 별로 통계 처리후, 상기 패킷 데이터 수신부에 의해 새로이 수신되는 패킷 데이터에 대하여 적어도 하나 이상의 신규 플로우를 생성하는 신규 플로우 생성부;
처음의 N개 패킷을 포함한 상기 신규 플로우를 DPI 서비스 분석 시스템으로 전송 중단 명령이 접수될 때까지 전송하는 신규 플로우 전송부; 및
상기 전송 후, 상기 신규 플로우별로 어플리케이션 컨텐츠를 구별하여 추출된 고유 식별자 정보를 상기 DPI 서비스 분석 시스템으로부터 수신하는 컨텐츠 식별자 수신부;
를 포함하며,
상기 플로우 관리 시스템은, 상기 DPI 서비스 분석 시스템이 상기 플로우 관리 시스템으로부터 전송 받은 상기 처음의 N개의 패킷에 대한 분석을 통해 판정되지 않는 경우, 상기 DPI 서비스 분석 시스템에 상기 신규 플로우에 대해 추가적으로 패킷을 전송하는,
플로우 관리 시스템.A plurality of flow management systems for statistically processing received packet data on a flow unit basis,
A packet data receiving unit for receiving packet data from a network device;
A statistical processor for statistically processing the received packet data on a flow unit basis;
A new flow generating unit for generating at least one new flow for packet data newly received by the packet data receiving unit after statistical processing for each flow unit;
A new flow transfer unit for transferring the new flow including the first N packets to the DPI service analysis system until a transmission stop command is received; And
A content identifier receiving unit for receiving, from the DPI service analysis system, unique identifier information extracted by distinguishing application content for each new flow after the transmission;
/ RTI >
Wherein the flow management system further sends a packet to the DPI service analysis system for the new flow when the DPI service analysis system is not determined through analysis of the first N packets received from the flow management system doing,
Flow management system. 제36항에 있어서,
상기 통계 처리부는,
소스 IP, 목적지 IP, 소스 Port, 목적지 Port 및 프로토콜이 동일한 패킷들을 포함한 상기 플로우 단위별로 통계 처리하는 것을 특징으로 하는 플로우 관리 시스템.37. The method of claim 36,
The statistical processing unit,
The source IP, the destination IP, the source port, the destination port, and the protocol. 제37항에 있어서,
상기 통계 처리부는,
상기 통계 처리가 완료된 플로우 패킷들은 통계 처리 완료 후, 삭제하는 것을 특징으로 하는 플로우 관리 시스템.39. The method of claim 37,
The statistical processing unit,
And the flow packets having been subjected to the statistical processing are deleted after completion of the statistical processing. 삭제delete 삭제delete 제37항에 있어서,
상기 DPI 서비스 분석 시스템으로부터 전송받은 상기 신규 플로우별 고유 식별자 정보와 상기 통계 처리된 플로우 통계를 통합하여 컨텐츠 통계 플로우 정보를 생성하는 컨텐츠 플로우 생성부;
를 더 포함하는 것을 특징으로 하는 플로우 관리 시스템.39. The method of claim 37,
A content flow generation unit for generating content statistics flow information by integrating the unique identifier information for each new flow received from the DPI service analysis system and the statistical processed flow statistics;
The flow management system further comprising: 제41항에 있어서,
상기 컨텐츠 플로우 생성부는,
기본 플로우 정보, 통계 시작/종료 시각, 수신 패킷 수, 수신 바이트 수, 고유 식별자(ACID; Application Content Identifier)) 및 플로우 관리 시스템의 FMS 식별자(Flow Management System Identifier)를 포함한 상기 컨텐츠 통계 플로우 정보를 생성하는 것을 특징으로 하는 플로우 관리 시스템.42. The method of claim 41,
Wherein the content-
The content statistics flow information including the basic flow information, the statistics start / end time, the number of received packets, the number of received bytes, the ACID (Application Content Identifier) and the FMS identifier of the flow management system The flow management system comprising: 제42항에 있어서,
생성된 상기 컨텐츠 통계 플로우 정보를 상기 DPI 서비스 분석 시스템으로 주기적으로 전송하는 컨텐츠 플로우 전송부;
를 더 포함하는 것을 특징으로 하는 플로우 관리 시스템.43. The method of claim 42,
A content flow transmitter for periodically transmitting the generated content statistical flow information to the DPI service analysis system;
The flow management system further comprising:
KR1020150002686A 2015-01-08 2015-01-08 Method, system and computer readable medium for analysing application contents Active KR101709922B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150002686A KR101709922B1 (en) 2015-01-08 2015-01-08 Method, system and computer readable medium for analysing application contents

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150002686A KR101709922B1 (en) 2015-01-08 2015-01-08 Method, system and computer readable medium for analysing application contents

Publications (2)

Publication Number Publication Date
KR20160085550A KR20160085550A (en) 2016-07-18
KR101709922B1 true KR101709922B1 (en) 2017-02-27

Family

ID=56679622

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150002686A Active KR101709922B1 (en) 2015-01-08 2015-01-08 Method, system and computer readable medium for analysing application contents

Country Status (1)

Country Link
KR (1) KR101709922B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102207786B1 (en) * 2019-10-02 2021-01-26 에스케이텔레콤 주식회사 User plane function and method for identifying application using the same

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12231487B2 (en) 2020-02-13 2025-02-18 Intel Corporation Hardware-assisted tracing schemes for distributed and scale-out applications

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100260048A1 (en) * 2009-04-14 2010-10-14 Alcatel-Lucent Canada Inc. Application-specific management of high-bandwidth transfers

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100548923B1 (en) * 2003-03-24 2006-02-02 학교법인 포항공과대학교 Multimedia service traffic monitoring system and method
KR100816503B1 (en) * 2006-06-29 2008-03-24 주식회사 케이티 Traffic analysis device and method using flow in IP network
US8264965B2 (en) 2008-03-21 2012-09-11 Alcatel Lucent In-band DPI application awareness propagation enhancements

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100260048A1 (en) * 2009-04-14 2010-10-14 Alcatel-Lucent Canada Inc. Application-specific management of high-bandwidth transfers

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102207786B1 (en) * 2019-10-02 2021-01-26 에스케이텔레콤 주식회사 User plane function and method for identifying application using the same

Also Published As

Publication number Publication date
KR20160085550A (en) 2016-07-18

Similar Documents

Publication Publication Date Title
US9705745B2 (en) System and method for virtualizing software defined network (SDN)-based network monitoring
JP5475744B2 (en) Distributed traffic analysis
CN104158753A (en) Dynamic flow dispatch method and system based on software definition network
CN104243237B (en) P2P flow detection method and device
JP2007241805A (en) System analysis apparatus and system analysis method
CN108377223B (en) A kind of multi-packet identification method, data packet identification method and flow guiding method
CN108900374A (en) A kind of data processing method and device applied to DPI equipment
JP2019047254A (en) INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING DEVICE, AND INFORMATION PROCESSING PROGRAM
CN110431807A (en) The method, apparatus and system of IPTV service quality testing
KR101438212B1 (en) Method for deep packet instection of software defined network and software defined networking system using the same
CN103414608A (en) Rapid web flow collection statistical system and method
KR20200116504A (en) Data processing methods, servers and data collection devices
KR101709922B1 (en) Method, system and computer readable medium for analysing application contents
CN105323116A (en) Internet characteristic service flow acquisition method, device and system
KR101484933B1 (en) A method, a system, a server, a device, a computer program and a computer program product for transmitting data in a computer network
CN104954165A (en) Link analysis method, device and system
CN103312621B (en) Flow control system and flow control methods
KR20220029142A (en) Sdn controller server and method for analysing sdn based network traffic usage thereof
CN111817917A (en) A method, device, server and storage medium for deep packet inspection
CN113448729B (en) Load balancing method, device, equipment and storage medium
CN102480503B (en) P2P (peer-to-peer) traffic identification method and P2P traffic identification device
CN108833304A (en) Message management method and device in cloud data system
CN101175038A (en) Method, communication system and equipment for data stream information transmission
CN111224891A (en) Traffic application identification system and method based on dynamic learning triples
KR102028756B1 (en) Apparatus and method for controlling a traffic in automatic meter reading system

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20150108

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20150915

Patent event code: PE09021S01D

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20160226

Patent event code: PE09021S01D

PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20160824

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20161122

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20170220

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20170221

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20200113

Start annual number: 4

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20230106

Start annual number: 7

End annual number: 9