• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1993-1996
• /
• 2003

본 논문에서는 고속 네트워킹 환경을 위한 패킷 필터링 시스템 설계 기법을 제안한다. 제안하는 기법은 기존 리눅스 운영체제에서 동작하는 패킷 필터링 구조의 단점을 개선하기 위하여, 패킷 필터링 규칙 저장 시 특정 커널 메모리 영역을 할당하여 패킷 검사와 관련된 모든 규칙을 취합하여 저장하고, 패킷 검사 시에 할당된 메모리 영역에서 규칙을 한꺼번에 접근하여 검사하는 방법이다. 또한 규칙의 크기를 고정화하여 규칙 검색 시 규칙 저장 위치를 간단하게 계산할 수 있도록 하였다. 이로 인해 기존의 테이블 구조에서 지니고 있던 다단계 테이블 검색으로 인한 메모리 참조 시간을 줄이고, 가변 규칙으로 인한 계산의 번거로움을 해소할 수 있다. 이를 통하여 고속 네트워크 노드 환경에서의 패킷 필터링 기능을 효율적으로 지원할 수 있다.

• Convergence Security Journal
• /
• v.14 no.2
• /
• pp.65-72
• /
• 2014

This paper proposes multi-filtering method on the double firewall to prevent DDoS attack. In the first firewall, R-PA filtering algorithm and rigid hop counter filtering method are applied by analyzing packet paths. In the second firewall, packets are examined to be distinguished abnormal from normal packets. Security policy system monitors each user sessions and if the traffic is over the threshold value, the system blocks that session for an assigned time.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.905-908
• /
• 2002

기존의 브리지들은 여러 네트워크를 하나의 네트워크로 묶어주는 역할 만을 하였지만, 패킷을 검사하고 필터링하는 기능은 포함하지 않았다. 본 논문에서는 브리지상에서 패킷을 검사하고 필터링하는 기능을 포함하는 브리지에 대하여 구현하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.64-67
• /
• 2012

복잡한 구조를 가진 케이블의 빠르고 정확한 검사를 위해 다중 입출력 검사 장치가 사용된다. 기존의 검사 장치의 제어 방법은 한번에 여러 가지 회선 특성을 가진 케이블의 검사가 불가능하며, 장치 안정성 및 검사 성능에 있어서 개선의 여지가 있으므로 이를 해결하기 위해서 본 논문에서는 입출력 장치의 검사 시퀀스 및 하드웨어 개량을 통한 개선 방법을 제안한다. 제안된 방법은 검사 명령 및 검사 결과를 저장하는 데이터 패킷에서 검사 명령을 좀더 세분화하여 패킷을 최적화하고 중복 명령을 제거하였으며, 입출력 신호 충돌 가능성을 차단하였다. 또한, I2C 버스 양방향 회로를 사용하여 전압 레벨 차이를 극복하고 활용성을 높일 수 있었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.284-286
• /
• 2003

VPN을 고속화하기 위한 패킷처리 가속기롤 설계.구현하고 그 성능을 평가하였다. 본 논문에서 구현된 패킷처리 가속기는 IPIP처리, 암/복호 처리, HASH 처리, 무결성 검사 등의 IPsec 패킷처리 기능을 내장하고 있다. 기능 및 성능 시험을 통하여 최대 1Gbps이상의 속도로 패킷을 처리할 수 있다는 결과를 얻었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2008.06d
• /
• pp.57-61
• /
• 2008

대부분의 보안 장비들은 웜이나 DDoS 공격들을 탐지하거나 차단하기 위하여 시그너쳐(signature) 검사방법을 이용한다. 웜이나 DDoS 공격은 네트워크에 부하를 주기 때문에 정상 서비스의 이용을 제한하고 심지어 보안장비를 동작하지 못하게 함으로써 네트워크를 마비시킬 수 있다. 본 논문에서는 패킷 유입량이 보안장비가 처리할 수 있는 범위를 벗어나면, 간편 필터를 이용하여 패킷 검사 오버헤드를 줄여 보안장비들의 가용성을 높이는 기법을 제안한다. 그리고 기존의 대표적인 웜들과 DDoS 공격 성향을 조사하여 타당성을 보인다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.34 no.1B
• /
• pp.47-55
• /
• 2009

In recent network intrusion detection systems, regular expressions are used to represent malicious packets. In order to process incoming packets through high speed networks in real time, we should perform hardware-based pattern matching using the configurable device such as FPGAs. However, operating speed of FPGAs is slower than giga-bit speed network and so, multi-byte processing per clock cycle may be needed. In this paper, we propose a hardware architecture of multi-byte based regular expression pattern matching and implement the pattern matching circuit generator. The throughput improvements in four-byte based pattern matching circuit synthesized in FPGA for several Snort rules are $2.62{\sim}3.4$ times.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.32 no.2
• /
• pp.213-225
• /
• 2022

Containerization, a lightweight virtualization technology, enables agile deployments of enterprise-scale microservices in modern cloud environments. However, containerization also opens a new window for adversaries who aim to disrupt the cloud environments. Since microservices are composed of multiple containers connected through a virtual network, a single compromised container can carry out network-level attacks to hijack its neighboring containers. While existing solutions protect containers against such attacks by using network access controls, they still have severe limitations in terms of performance. More specifically, they significantly degrade network performance when processing packet payloads for L7 access controls (e.g., HTTP). To address this problem, we present BPFast, an eBPF/XDP-based payload inspection system for containers. BPFast inspects headers and payloads of packets at a kernel-level without any user-level components. We evaluate a prototype of BPFast on a Kubernetes environment. Our results show that BPFast outperforms state-of-the-art solutions by up to 7x in network latency and throughput.

• Proceedings of the Korean Information Science Society Conference
• /
• 2006.10c
• /
• pp.575-580
• /
• 2006

인터넷 네트워크에 존재하는 방화벽(Firewall) 또는 라우터(Router) 장비에서의 패킷 필터 기능은 모든 방화벽 장비의 기본적인 기능이 될 수 있다. 하지만 최근에 등장한 세션기반의 악의적 침입과 바이러스의 출현으로 패킷 필터기는 단순한 정적 패킷 필터 기능이 아닌 상태기반 패킷 필터의 동적 패킷 필터 기능을 요구하게 되었다. 또한 최근에 인터넷 속도가 급증하는 환경변화에 맞추어 방화벽 장비의 TCP 패킷 처리기능은 매우 빠른 처리속도를 요구하고 있다. 이에 우리는 매우 빠른 고속의 TCP 상태기반 패킷 필터 처리를 요구하는 에지(Edge)급 라우터의 방화벽 옵션카드를 만들기 위해 하드웨어 기반의 TCAM(Ternary CAM) 관리를 이용한 TCP 세션 상태기반 (Stateful) 패킷 필터기를 구현하였으며, TCAM 제어와 패킷의 상태기반 검사 등 모든 기능처리는 FPGA(Field Programmable Gate Array)를 이용한 하드웨어 로직(Logic) 및 상태기(State Machine)로 구현하였다. 그리고 본 논문의 구현방식을 적용한 방화벽 옵션카드는 인-라인(In-line) 모드로 구성될 경우 1GHz 이상의 Wire Speed를 만족하는 처리성능을 보여주었다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2006.05a
• /
• pp.709-712
• /
• 2006

일반적인 침입탐지 시스템의 원리를 보면 공격자가 공격 패킷을 보내면 침입탐지서버에 IDS 프로그램으로 공격자의 패킷을 기존의 공격패턴과 비교하여 탐지한다. 공격자가 일반적인 공격 패킷이 아닌 패킷을 가짜 패킷과 공격 패킷을 겸용한 진보된 방법을 사용할 경우 IDS는 이를 탐지하지 못하고 로그 파일에 기록하지 않는다. 이는 패턴 검사에 있어 공격자가 IDS를 속였기 때문이다. 따라서 공격자는 추적 당하지 않고서 안전하게 공격을 진행할 수 있다. 본 논문에서는 이러한 탐지를 응용프로그램 단계가 아닌 커널 단계에서 탐지함으로서 침입탐지뿐만 아니라 침입 방지까지 할 수 있도록 하였다.