• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2020년도 제62차 하계학술대회논문집 28권2호
• /
• pp.325-326
• /
• 2020

최근 5G의 영향으로 인터넷에 연결되는 사람과 기기가 더욱 증가하고 있고 새로운 사물인터넷(Internet of Things) 애플리케이션이 가능해짐에 따라 트래픽 양이 급증하고 있다. 그러나 국내의 많은 기업은 이러한 트래픽을 분석하기 위해 고비용의 외산 제품을 이용하고 있다. 그러나 이러한 제품은 네트워크상에서 처리되는 트래픽에 대한 통계 데이터를 저장하고 보여주는 것을 주된 목적으로 사용하고 있을 뿐 패킷을 자세하게 분석하기 어렵다는 단점이 있다. 따라서 본 논문에서는 대용량 트래픽 처리를 위한 효율적인 패킷 처리 엔진을 제안한다. 이 패킷 처리 엔진은 다수의 Core Process를 활용하여 시스템 자원을 최대한 활용할 수 있도록 하고, 멀티 프로세싱을 통하여 각 노드의 작업부하를 균등하게 유지함으로써 작업의 대기시간을 줄이고, 각 작업의 수행 시간을 최소화한다. 본 논문에서 제안하는 대용량 트래픽 처리를 위한 패킷 처리 엔진은 기존의 트래픽 처리를 수행하는 패킷 처리 엔진보다 고성능 컴퓨팅 시스템의 성능 향상 면에서 우수함을 보인다.

• 한국정보과학회논문지:정보통신
• /
• 제31권4호
• /
• pp.363-374
• /
• 2004

본 논문은 ASIC에 상응하는 성능을 가지며 일반 프로세서에 상응하는 유연성을 지닌 네트워크 프로세서(NP: Network Processor)를 사용하여 인-라인 모드 네트워크 기반 침입탐지시스템(NIDS: Network-based Intrusion Detection System)을 제안한다. NP를 이용한 다양한 네트워크 응용들이 제안되고 있으나, NIDS에 직접 적용한 예는 아직 없다. 제안된 NIDS는 패킷 차단과 트래픽 미터링 뿐만 아니라 공격을 검출하기 위해 패킷 내용을 검색한다. 특히, 2-레벨 탐색 기법은 패킷 차단과 트래픽 미터링 기능을 복잡하고 많은 시간을 요하는 패킷 내용 검색 기능과 분리시킴으로서 인-라인 모드 시스템의 성능, 안전성, 그리고 확장성을 향상시켰다. 한편 PC 플랫폼과 Agere PayloadPlus (APP) 2.5G NP를 사용한 프로토-타입을 구현하였고, APP NP에 적용될 패킷 내용 검색 알고리즘을 제안하였다.

• 한국컴퓨터정보학회논문지
• /
• 제17권4호
• /
• pp.11-18
• /
• 2012

침입 탐지에 가장 시간이 많이 소요되는 작업은 패킷 데이터에 침입 패턴이 있는지를 검사하는 심층 패킷검사이다. 고속 네트워크에서 이 작업을 실시간으로 처리하기 위해서는 하드웨어 기반 패턴매칭이 필요하다. 본 논문에서는 침입탐지 시스템 구현에 하드웨어 기반 패턴매칭을 사용할 수 있도록 네트워크의 패킷을 수집하여 Snort 패턴규칙에 따라서 패턴매칭을 수행하고 결과를 소프트웨어에게 제공할 수 있도록 하는 하드웨어를 Virtex-6 FPGA를 사용하여 Microblaze 기반의 SoC 형태로 설계하여 구현하였다. 구현된 시스템은 인위적인 트래픽 생성과 실제 트래픽을 사용하여 동작을 검증하였고 패킷이 네트워크 인터페이스에서 메모리로 복사되는 동안 패턴매칭 동작을 정확하게 수행하여 소프트웨어에게 결과를 제공하였다. 본 연구 결과는 실시간 처리가 가능하도록 침입탐지 시스템을 고속화 하기위한 하드웨어로 사용될 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제19권12호
• /
• pp.133-141
• /
• 2014

여러 네트워크 보안기술 중 가장 효과적이고 신뢰할 수 있는 기술인 DPI 시스템에 쓰이는 파이프라인형 AC-DFA 구조에서, 효율적으로 전력 소모를 줄이는 방법을 제안하였다. 이는 메모리 접근 횟수가 전력 소모에 가장 큰 영향을 끼친다는 것과, 파이프라인형 AC-DFA의 스테이지 사용 횟수가 뒤쪽 스테이지로 갈수록 급격하게 감소한다는 관찰결과에 따른 것이다. 이에, 사용되지 않는 스테이지의 동작 클럭을 감소시켜 불필요하게 소모되는 전력을 줄이는 시스템을 구현하였다. 제안하는 방법을 적용한 DPI 시스템에 여러 종류의 문자열이 입력될 때의 전력 소모를 측정한 결과, 기존의 DPI 시스템에 비해 약 25 %의 전력 절감 효과를 가져왔다. 제안한 방법은 파이프라인형 DPI 구조 및 다중 패턴 문자열 검색의 어떤 응용에도 손쉽게 적용될 수 있을 것이다.

• ETRI Journal
• /
• 제30권2호
• /
• pp.183-193
• /
• 2008

In this paper, we propose quality of service mechanisms for flow-based routers which have to handle several million flows at wire speed in high-speed networks. Traffic management mechanisms are proposed for guaranteed traffic and non-guaranteed traffic separately, and then the effective harmonization of the two mechanisms is introduced for real networks in which both traffic types are mixed together. A simple non-work-conserving fair queuing algorithm is proposed for guaranteed traffic, and an adaptive flow-based random early drop algorithm is proposed for non-guaranteed traffic. Based on that basic architecture, we propose a dynamic traffic identification method to dynamically prioritize traffic according to the traffic characteristics of applications. In a high-speed router system, the dynamic traffic identification method could be a good alternative to deep packet inspection, which requires handling of the IP packet header and payload. Through numerical analysis, simulation, and a real system experiment, we demonstrate the performance of the proposed mechanisms.

• 한국통신학회논문지
• /
• 제40권10호
• /
• pp.1994-2005
• /
• 2015

다양한 기술들이 하나로 융합된 VoIP(Voice over Internet Protocol) 서비스는 IP 망을 통해 음성뿐만 아니라 멀티미디어 서비스와 각종 부가서비스를 제공한다. 현재 대역폭 사용효율과 저비용성 등의 장점들 때문에 기존 PSTN 전화에서 VoIP 시스템으로 비즈니스가 전환되고 있다. 이러한 것이 가능한 이유는 기존의 회선교환 네트워크를 대신하여 디지털화된 정보가 IP 패킷 형태로 여러 계층의 컴퓨터로 구성된 패킷교환망을 통해 전달되기 때문이다. 반면에 이러한 형태의 시스템들이 기존 IP네트워크 환경에서의 취약점과 융합되어 발생되는 신규 취약점 등에 의해서 각종 Fraud가 발생하고 있다. 2012년 상반기 Fraud call의 46%가 VoIP 전화기에서 만들어지고 있다는 조사 결과도 있듯이 Fraud Call의 피해는 상당하다. 따라서 Fraud에 대한 손실예방을 위해 대책마련이 필요하다. 특히, Fraud Call의 피해는 주로 국제 통화를 이용할 때 과금 피해로 나타나고 있어, 이와 관련된 SIM Box에 의한 Toll Bypass Fraud에 대한 분석과 이를 검출할 수 있는 방안마련이 요구된다. 일반적으로는 DPI(Deep Packet Inspection)를 기반으로 주요 Signature 또는 통계정보를 이용한 다양한 검출 방안이 제안되었으나, Fraudster 역시 이를 회피하기 위해 다양한 방법을 사용하고 있다. 특히, VoIP에서 Call Setup과 Termination과정을 수행하는 SIP Signal을 암호화 하거나 여러 경로로 전송하는 방식을 사용함으로써 감지를 회피하고 있다. 본 논문은 Fraud call의 감지 회피를 효과적으로 방지할 수 있도록 VoIP 트래픽의 특성과 VoIP Fraud 중 SIM Box Fraud의 행위분석을 결합한 방법론을 제안한다. 또한 제안된 방법론을 적용하여 Toll Bypass Fraud와 관련된 VoIP 서비스 제공자의 장비를 검출하는 방법을 제시한다.

• 시스템엔지니어링학술지
• /
• 제12권2호
• /
• pp.101-114
• /
• 2016

A model-based systems engineering (MBSE) approach to implementing hardware-based network cybersecurity controls for APR1400 non-safety data network is presented in this work. The proposed design was developed by implementing packet filtering and deep packet inspection functions to control the unauthorized traffic and malicious contents. Denial-of-Service (DoS) attack was considered as a potential cybersecurity issue that may threaten the data availability and integrity of DCS gateway servers. Logical design architecture was developed to simulate the behavior of functions flow. HDL-based physical architecture was modelled and simulated using Xilinx ISE software to verify the design functionality. For effective modelling process, enhanced function flow block diagrams (EFFBDs) and schematic design based on FPGA technology were together developed and simulated to verify the performance and functional requirements of network security controls. Both logical and physical design architectures verified that hardware-based cybersecurity controls are capable to maintain the data availability and integrity. Further works focus on implementing the schematic design to an FPGA platform to accomplish the design verification and validation processes.

• 인터넷정보학회논문지
• /
• 제22권5호
• /
• pp.27-33
• /
• 2021

With the broad adoption of the Internet of Things (IoT) in a variety of scenarios and application services, management and orchestration entities require upgrading the traditional architecture and develop intelligent models with ultra-reliable methods. In a heterogeneous network environment, mission-critical IoT applications are significant to consider. With erroneous priorities and high failure rates, catastrophic losses in terms of human lives, great business assets, and privacy leakage will occur in emergent scenarios. In this paper, an efficient resource slicing scheme for optimizing federated learning in software-defined IoT (SDIoT) is proposed. The decentralized support vector regression (SVR) based controllers predict the IoT slices via packet inspection data during peak hour central congestion to achieve a time-sensitive condition. In off-peak hour intervals, a centralized deep neural networks (DNN) model is used within computation-intensive aspects on fine-grained slicing and remodified decentralized controller outputs. With known slice and prioritization, federated learning communications iteratively process through the adjusted resources by virtual network functions forwarding graph (VNFFG) descriptor set up in software-defined networking (SDN) and network functions virtualization (NFV) enabled architecture. To demonstrate the theoretical approach, Mininet emulator was conducted to evaluate between reference and proposed schemes by capturing the key Quality of Service (QoS) performance metrics.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 춘계학술발표대회
• /
• pp.180-181
• /
• 2014

서버 하드웨어 성능 향상과 가상화 소프트웨어 기술의 발달로 클라우드 컴퓨팅 환경은 꾸준히 확산되고 있으며, 이에 따라 인터넷 트래픽 또한 대용량화와 집중화가 진행 중이다. 이와 함께, 지속적인 DDoS 공격 및 사이버테러는 전자정부, 금융, 등 모든 조직을 대상으로 꾸준하게 일어나고 있다. 다양한 사이버테러 공격에 대응하고, 대용량 클라우드 서비스 트래픽을 정밀 분석 하는 정책서버 기반의 서비스별/사용자별/그룹별 트래픽 모니터링 및 제어 관리가 필요하다. 본 논문에서 이를 위한 오픈플로우 기반의 고성능 Open DPI(Deep Packet Inspection) 플랫폼 구조를 제안한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2012년도 추계학술발표대회
• /
• pp.1060-1063
• /
• 2012

기존의 네트워크 관문에서 트래픽을 검사하는 장치들은 Application 계층의 데이터를 검사할 수 없어 보안에 한계가 있다. 이를 보완하기 위해 Application 계층까지 패킷을 분석할 수 있는 Deep Packet Inspection (DPI)기술이 개발되어 보안 강화에 사용되고 있다. 하지만 기업에서 DPI 기술을 이용하여 고객의 개인정보를 무단으로 수집 및 이용하면서 DPI 기술에 따른 개인정보 침해가 우려된다, 본 논문에서는 DPI 기술을 통한 사용자 정보 수집 시 개별 사용자의 동의를 받을 수 있는 방안을 제안하며, 이를 통해 DPI 기술에 따른 사용자 개인정보 문제를 해결하고자 한다.