To ensure network reliability and maintain network performance, an anomaly detection which detects abnormal behaviors in network traffic and manages them is needed. But current network-based IDSs mostly focus on end-to-end behavior and are barely capable of real-time traffic analysis on large-scale backbone networks at the ISP level. A simple method which focuses on a traffic property is adequate for real-time anomaly detection in Gigabits backbone network. In this paper, we propose a traffic volume-based anomaly detection methodology using a statistical approach. We claim that the anomaly detection which observes the traffic flows having same destination port can find anomalies earlier and more precisely than the method using merged traffic since anomalies may be hidden in a large amount of merged traffic. The proposed scheme uses concept of a traffic volume ratio per port which considers abnormal increases in the traffic volume at the port compared with the total traffic volume. Experimental results on real network data demonstrate that our algorithm performs well in detecting extreme changes of the traffic volume.
네트워크의 성능과 신뢰성을 보장하기 위해서는, 네트워크 트래픽의 비정상 행위을 탐지하고 대처하는 기술이 요구된다. 그러나 기존의 네트워크 기반 침입탐지 시스템은 종단 노드에서의 탐지에만 초점을 맞추고 있으며 ISP 망과 같은 대규모 기간망에서의 실시간 트래픽 분석에는 적합하지 않았다. 초고속 네트워크에서는 트래픽의 단일 특성에 기반한 단순한 방법이 실시간 이상탐지를 위해 효과적이다. 이 논문에서는 트래픽 볼륨을 기반으로 한 통계적 이상탐지 방법을 제안하였다. 네트워크 트래픽의 이상을 빠르고 정확하게 탐지하기 위해서는 이상 트래픽이 드러나지 않을 수 있는 전체 트래픽의 볼륨을 관찰하는 것보다 포트 별로 트래픽을 관찰하는 것이 더욱 효과적이다. 제안된 기법에서는 포트 별 트래픽 비율의 개념을 도입하여 전체 트래픽 중 특정 포트에서의 트래픽 볼륨이 차지하는 비율의 비정상적인 증가를 고려하였다. 실제 트래픽 데이터를 대상으로 한 실험 결과는 제안된 기법이 트래픽 볼륨의 급격한 변화를 탐지하는데 우수한 성능을 만족함을 보여주었다.