• Journal of IKEEE
• /
• v.9 no.1 s.16
• /
• pp.19-30
• /
• 2005

Packet classification is defined as the action to match the packet with a set of predefined rules. One of classification is to use Ternary Content Addressable Memory hardware search engine that has faster than other algorithmic methods. However, TCAM has some limitations. One of them is that TCAM can not perform range matching efficiently. A range has to be expanded into prefixes to fit the boundary. In general, the number of expansion could be up to 2w-2, where w is the width of the field. For example, if two range fields with 16 bits are used, there could be up to $30\;{\times}\;30\;=\;900$ expansions for a single rule. In this paper, we describe the novel algorithm for converting range matching rules into TCAM entry efficiently. The number of maximum entry is 2w-4 when using the algorithm. Furthermore, it has also benefit about the negation range. In the result of experimentation, the new scheme practically reduces 14 percent in case that searched fields are source port and destination port number.

• Convergence Security Journal
• /
• v.7 no.4
• /
• pp.23-28
• /
• 2007

In this research, we suggest the unknown intrusion detection system with SVM(Support Vector Machines). At the system, at first, collected training-packets are processed through packet image creating module. And then, it is studied by the SVM module. Finally, the studied SVM module classifies the test-data unsing test-packet-image. This system's stability and efficient characteristic of security is far superior than the existing it.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.442-444
• /
• 2004

서비스 거부 공격은 그 피해의 규모에 비해 방어하기가 무척 어려우며 충분히 대비를 한다 해도 알려지지 않은 새로운 서비스 거부 공격 기법에 피해를 입을 위험성이 항상 존재한다. 또한 최근 나타나고 있는 서비스 거부 공격 기법은 시스템 자원을 고갈시키는 분산 서비스 거부 공격(DDoS)에서 네트워크의 대역폭을 고갈시킴으로서 주요 네트워크 장비를 다운시키는 분산 반사 서비스 거부 공격(DRDoS)으로 진화하고 있다 이러한 공격 기법은 네트워크 트래픽의 이상 징후로서만 탐지될 뿐 개별 패킷으로는 탐지가 불가능하여 공격 징후는 알 수 있으되 자동화된 대응이 어려운 특징이 있다. 본 논문에서는 이미 알려진 공격뿐 아니라 새로운 서비스 거부 공격 패킷을 탐지하기 위하여, 패턴 분류 문제에 있어서 우수한 성능을 보이는 것으로 알려져 있는 Support Vector Machine(SVM)을 사용한 실험을 진행하였다. 테스트 결과. 학습된 공격 패킷에 대해서는 정확한 구분이 가능했으며 학습되지 않은 새로운 공격에 대해서도 탐지가 가능함을 보여주었다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.409-412
• /
• 2015

사용자들을 인증하기 위한 대표적인 프로토콜 중에 RADIUS(Remote Authentication Dial-In User Service)가 있다. 기존 RADIUS 서버는 클라이언트가 전송하는 request packet의 크기가 일정크기 이상이면, silently discard하는 프로세스를 수행한다. 하지만, 보안관련 속성이 계속해서 추가될 수 있는 XML방식의 request packet은 Larger packet으로 분류가 되면서 자칫, 패킷 크기로 인해서 인증실패가 될 수 있는 문제가 있다. 본 논문에서는 RADIUS 프로토콜이 전송방식으로 TCP 프로토콜을 사용한다는 가정 아래, 4096옥텟 이상의 패킷(Larger Packets)을 처리하기 위한 방안을 제시하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2008.05a
• /
• pp.946-949
• /
• 2008

네트워크를 사용하는 응용프로그램의 종류가 다양해지면서 네트워크 트래픽의 응용별 분류는 효율적인 네트워크 관리에 있어 그 중요성이 커지고 있지만, 오늘날 응용프로그램의 특징인 유동적인 포트번호 사용 및 패킷의 암호화 등은 트래픽의 응용별 분류를 더욱 어렵게 하고 있다. Well-known 포트기반의 응용별 분류방법의 단점을 극복하기 위하여 머신러닝 알고리즘과 Signature 기반 분석 방법들이 연구되고는 있지만 주장하는 높은 분석률에 비하여 실제 네트워크 트래픽에 적용하기에는 신뢰성이 부족하다. 본 논문에서는 일부 종단 호스트에 설치된 TMA(Traffic Measurement Agent)로 부터 수집한 응용프로그램의 트래픽 사용 정보를 기초로 하여 전체 네트워크 트래픽의 응용프로그램을 판별하는 응용 트래픽 분류 방법론을 제안한다. 제안된 방법론은 트래픽 플로우들의 상관관계를 이용하여 TMA 호스트 트래픽으로부터 TMA가 설치되지 않은 호스트에서 발생한 트래픽들의 응용을 판단하며, 분류 된 결과에 대하여 높은 신뢰성을 보장한다. 제안된 방법론은 학내 네트워크에 적용하여 그 타당성을 검증하였다.

• 한국정보통신설비학회:학술대회논문집
• /
• 2007.08a
• /
• pp.104-110
• /
• 2007

FTTH상용화, IEEE802.11n 무선랜 기술의 상용화 등과 같은 초고속 전송기술의 발전에 따라 홈네트워킹 환경 또한 급격하게 변화하고 있다. 100Mbps를 초과하는 많은 홈네트워킹 기술들의 개발로 인해 홈게이트웨이에 보다 넓은 대역의 LAN 인터페이스를 요구하게 되었고, xDSL이나 케이블모뎀 기반의 가입자망과의 대역폭 차이는 고성능의 QoS 기능을 요구하게 되었다. 이러한 통신환경을 토대로 홈게이트웨이의 기능에 대한 요구사항을 분석하고 홈게이트웨이용 스위칭 칩의 개발규격을 도출하였다. 그리고 새로운 네트워크 기반의 비즈니스 모델을 개발하고자 하는 통신사업자의 요구사항과 QoS나 IPv6등의 다양한 네트워크 요구사항을 등을 유연하게 수용할 수 있으며, 칩의 기능과 성능을 수정하 또는 추가할 수 있는 네트워크 프로세서 기반의 기가빗 스위치 칩을 개발하였다. 개발 칩은 패킷 프로세서로 Layer 4까지 의 패킷헤드를 처리하고, 2기가빗이더넷 + 6패스트이더넷 포트를 갖도록 설계하였으며, FPGA를 이용하여 스위칭 칩의 기본적인 전송기능과 성능, Flow별 패킷 분류 및 패킷 필터링, 스케쥴링 기능 등의 시험을 통하여 설계한 칩의 기능과 성능을 확인하였다.

• Journal of Internet Computing and Services
• /
• v.7 no.5
• /
• pp.59-69
• /
• 2006

Generally, network attacks are based on a scenario composed of a series of single-attacks, scenario attacks are launched over a wide network environment and their targets are not apparent. it is required to analyze entire packets captured on the network. This method makes it difficult to detect accurate patterns of attacks because it unnecessarily analyzes even packets unrelated to attacks. In this paper, we design and implement a simulation system for attacks scenario, which helps packet classification connected with attacks. The proposed system constitutes a target network for analysis in a virtual simulation environment, and it simulates dumping TCPDUMP packets including scenario attacks under the constructed virtual environment, We believe that our proposed simulation system will be a useful tool when security administrators perform the analysis of patterns of attack scenarios.

• Journal of the Korea Society of Computer and Information
• /
• v.8 no.3
• /
• pp.100-106
• /
• 2003

This paper presents the design of a value-added ATM switch. The ATM switch ca perform CAC Processing and Firewall Processing Routine at packet-level (IP) at the ATM environment per port. The proposed two routine are integrated into the components of ATM switch. The Firewall switch employs a suggested two routine model to avoid or reduce the latency caused by filtering. Also, we suggest four classes are defined. namely, classes A, B, C, and D, which are orded from the safest to the most dangerous. The suggested model performance of ATM Firewall switch is estimated simulation in terms of the throught and latency by computer.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.1483-1486
• /
• 2002

MPLS(Multiprotocol Label Switching)에서 레이블은 패킷의 스위칭에 사용되는 중요한 인자이다. 할당되는 레이블 수에 따라 MPLS 네트워크의 성능에 큰 영향을 미친다. 본 논문에서는 할당되는 레이블 수를 최소화하기 위해 F/T 분류기를 이용하는 방법을 제안하였다. 이 방법은 기존의 방법에 T 시간만큼을 더 경과한 후에 유입된 플로우들을 하나의 레이블로 할당하는 방법으로, 기존의 방법 보다 할당되는 레이블 수가 감소함을 네트워크 시뮬레이션을 이용한 실험으로 확인하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2009.04a
• /
• pp.1210-1213
• /
• 2009

네트워크 트래픽의 응용 별 분류는 최근 학계의 중요한 이슈 중 하나이다. 기존의 전통적인 트래픽 분류 방법으로 대표되는 well-known 포트 기반 분류 방법 및 페이로드 시그니쳐 기반 분류 방법의 구조적 한계점을 극복하기 위한 새로운 대안으로써, 트래픽의 상관관계를 통한 분류 방법이 제안되었다. 본 논문에서는 트래픽 상관관계에 대한 정형화된 식이나 룰을 찾는데 유용한 정보를 제공하기 위해 인터넷 응용 별 트래픽을 동작형태의 관점에서 분석하였다. 학내 망에서 자주 사용되는 인터넷 응용을 선정하고, 이들이 실행 초기에 발생시키는 트래픽을 플로우와 패킷 단위로 분석한 내용을 기술하였다. 특히, 인터넷 응용이 발생시키는 플로우 중 페이로드가 존재하는 첫 플로우를 first talk 라 정의하였으며, 이에 대한 상세한 분석 내용을 기술하였다.