KR100537905B1 - Apparatus for limiting bandwith of burst traffic and method thereof - Google Patents

Apparatus for limiting bandwith of burst traffic and method thereof Download PDF

Info

Publication number
KR100537905B1
KR100537905B1 KR10-2004-0026639A KR20040026639A KR100537905B1 KR 100537905 B1 KR100537905 B1 KR 100537905B1 KR 20040026639 A KR20040026639 A KR 20040026639A KR 100537905 B1 KR100537905 B1 KR 100537905B1
Authority
KR
South Korea
Prior art keywords
bandwidth
aggregate
flow
flows
congested
Prior art date
Application number
KR10-2004-0026639A
Other languages
Korean (ko)
Other versions
KR20050061259A (en
Inventor
안개일
김기영
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US10/934,545 priority Critical patent/US7417951B2/en
Publication of KR20050061259A publication Critical patent/KR20050061259A/en
Application granted granted Critical
Publication of KR100537905B1 publication Critical patent/KR100537905B1/en

Links

Classifications

    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63CSKATES; SKIS; ROLLER SKATES; DESIGN OR LAYOUT OF COURTS, RINKS OR THE LIKE
    • A63C17/00Roller skates; Skate-boards
    • A63C17/0006Accessories
    • A63C17/0013Devices used in combination with the skate but not fixed to it, e.g. supporting frames, sail, sticks, auxiliary wheel aid
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63CSKATES; SKIS; ROLLER SKATES; DESIGN OR LAYOUT OF COURTS, RINKS OR THE LIKE
    • A63C17/00Roller skates; Skate-boards
    • A63C17/26Roller skates; Skate-boards with special auxiliary arrangements, e.g. illuminating, marking, or push-off devices
    • A63C17/265Roller skates; Skate-boards with special auxiliary arrangements, e.g. illuminating, marking, or push-off devices with handles or hand supports

Abstract

본 발명에 의한 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치 및 그 방법은 입력되는 적어도 하나 이상의 집합 플로우들의 대역폭을 집합 플로우의 특징을 나타내는 소정의 정보를 기초로 측정하는 대역폭측정부; 상기 입력되는 집합 플로우들의 비정상 정도에 따라 등급을 결정하는 등급결정부; 상기 측정된 대역폭과 비정상 등급에 기초하여 제한을 가할 대역폭의 양과 집합 플로우를 결정하는 대역폭제한결정부; 상기 대역폭제한결정부의 결정 결과를 입력받아 상기 입력되는 집합 플로우들 중에서 선택된 집합 플로우의 대역폭을 제한하거나 해제하여 출력하는 대역폭제한부; 및 상기 입력 집합 플로우들의 사용 대역폭과 비정상 등급 그리고 제한된 대역폭 양을 포함하는 상태정보를 저장하는 상태정보저장부;를 포함하는 것을 특징으로 하며, 망의 접속단에 설치되어, 정상 집합 플로우들에게는 영향을 주지 않으면서도, DoS 공격 및 Worm 스캔 공격에 사용되는 비정상 과다 트래픽에 해당하는 공격 집합 플로우들을 차단하는 효과가 있다.An apparatus and method for determining bandwidth limitation of a congested aggregate flow according to the present invention may include: a bandwidth measuring unit configured to measure a bandwidth of at least one aggregate flow input based on predetermined information representing characteristics of the aggregate flow; A rating unit configured to determine a rating according to an abnormal degree of the input aggregate flows; A bandwidth limit determining unit which determines an amount of bandwidth to be restricted and an aggregation flow based on the measured bandwidth and an abnormal class; A bandwidth limiter configured to receive the determination result of the bandwidth limit determiner and limit or release the bandwidth of the selected aggregate flow among the input aggregate flows; And a state information storage unit for storing state information including a usage bandwidth, an abnormal level, and a limited bandwidth amount of the input set flows, and are installed at an access point of a network to affect normal aggregate flows. Without this, it is effective to block attack aggregation flows corresponding to abnormal excessive traffic used in DoS attack and Worm scan attack.

Description

폭주형 집합 플로우에 대한 대역폭 제한 결정 장치 및 그 방법{Apparatus for limiting bandwith of burst traffic and method thereof}Apparatus for limiting bandwith of burst traffic and method

본 발명은 서비스 거부 공격(DoS) 및 Worm 스캔 공격과 같이 비정상적이면서 과다 트래픽을 생성하여 네트워크의 서비스 질을 떨어뜨리는 공격 트래픽에 대하여 대역폭 제한을 결정하는 장치 및 그 방법에 대한 것이다.The present invention relates to an apparatus and method for determining a bandwidth limit for attack traffic that generates abnormal and excessive traffic such as a denial of service attack (DoS) and Worm scan attack, thereby degrading the service quality of the network.

과다 트래픽을 생성하는 공격 트래픽은 단시간에 많은 트래픽을 집중시킴으로써 네트워크 폭주를 유발하며, 따라서 정상 사용자들의 서비스 질을 떨어뜨리고 마침내는 네트워크까지도 마비시킬 수 있다. 네크워크 폭주를 방지하기 위한 종래의 기술은 다음과 같다. Attacking traffic that generates excessive traffic can cause network congestion by concentrating a lot of traffic in a short time, thus degrading the service quality of normal users and eventually paralyzing the network. Conventional techniques for preventing network congestion are as follows.

(1) 큐잉 기술(1) queuing technology

큐잉 기술은 네트워크가 폭주 시 또는 네트워크 폭주를 방지하기 위하여, 차단(drop)할 패킷을 결정하는 기술이다. 차단(drop)할 패킷을 결정하는 방법에 따라서 FIFO (First-In First-Out), FQ(Fair Queuing), RED(Random Early Detection) 등이 제안되었다. 이러한 종래의 큐잉 기술은 네트워크의 상태에 순응하는 트래픽, 즉 네트워크가 폭주라는 것을 감지하면 전송양을 줄이는 트래픽의 경우에는 네트워크 폭주를 차단하거나 방지하는 데에 큰 효과가 있지만, 폭주상태에서도 과다 트래픽 계속 생성하거나 또는 많은 종류의 인위적인 플로우를 생성하는 DoS 공격에서는 그 과다 트래픽을 근본적으로 차단할 수 없는 문제가 있다.Queuing is a technique for determining which packets to drop when the network is congested or to prevent network congestion. The first-in first-out (FIFO), fair queuing (FQ), and random early detection (RED) have been proposed according to the method of determining the packet to drop. This conventional queuing technique has a great effect on blocking or preventing network congestion in the case of traffic that conforms to the state of the network, that is, when the network detects that the network is congested, thereby reducing the amount of transmission. In DoS attacks that generate or generate many kinds of artificial flows, there is a problem that cannot fundamentally block the excessive traffic.

(2) 침입탐지 및 침입방지 기술(2) Intrusion detection and intrusion prevention technology

침입 탐지 시스템은 비정상적인 패킷을 생성하거나 비정상적인 플로우를 생성하여 목적지 시스템을 스캔, 해킹, 그리고 마비시키기는 등의 행위들을 네트워크상에서 탐지할 목적으로 제안되었다. 침입 탐지 시스템은 공격으로 판단된 트래픽들을 방화벽과 연계하여 차단하기도 하고 또는 침입 탐지 시스템자체가 직접 차단하기도 한다. 후자의 경우, 침입을 탐지하고 직접 차단하는 시스템을 침입 방지 시스템이라고 한다. 이러한 시스템은 공격 행위를 조기에 탐지 및 차단함으로써 목적지 시스템 및 네트워크를 보호할 수 있는 기술이지만, 현재 이러한 시스템의 가장 큰 문제는 정상 트래픽을 공격 트래픽으로 잘못 판단하여 정상 트래픽도 차단하는 false-positive문제이다. 이러한 문제 때문에 거의 모든 시스템들은 공격 탐지만 제공하고 차단 기능은 자동이 아닌 관리자가 직접 결정하여 차단하는 방식으로 운용하고 있다.Intrusion detection systems have been proposed to detect activities on the network, such as generating abnormal packets or generating abnormal flows to scan, hack, and paralyze the destination system. The intrusion detection system blocks the traffic determined to be in connection with the firewall or blocks the intrusion detection system itself. In the latter case, a system that detects and directly blocks intrusions is called an intrusion prevention system. These systems are technologies that can protect the destination system and network by detecting and blocking the attack early, but the biggest problem of these systems is false-positive problem which blocks normal traffic by mistaken normal traffic as attack traffic. to be. Because of this problem, almost all systems provide attack detection only, and the blocking function is operated by the administrator's decision and blocking.

(3) 트래픽 볼륨에 의한 서비스 거부 공격 차단 기술(3) denial of service attack blocking technology by traffic volume

이 기술은 측정한 트래픽 볼륨과 기준치를 비교하여 패킷을 전송하거나 폐기함으로써 DoS 공격을 차단한다. 기준치는 가입자의 트래픽을 직접 측정해서 통계치를 이용하여 얻는다. 이 기술은 어떠한 트래픽도 기준치를 초과할 수 없으므로 DoS 공격을 차단하는 효과가 있지만, 기준치를 정확하게 측정하는 것은 사실상 거의 불가능하며, 따라서 그 기준치가 부정확하게 측정된 경우에는 정상 트래픽도 차단될 수 있는 false-positive 문제를 일으킬 수 있다. This technology blocks DoS attacks by sending or dropping packets by comparing the measured traffic volume with a baseline. The baseline value is obtained by directly measuring the traffic of the subscriber and using the statistics. This technique has the effect of blocking DoS attacks because no traffic can exceed the threshold, but it is virtually impossible to accurately measure the threshold, so false if the threshold is measured incorrectly, even normal traffic can be blocked. can cause positive problems.

(4) ACC (Aggregate Congestion Control)(4) Aggregate Congestion Control (ACC)

라우터의 각 인터페이스상에 있는 패킷 전송큐의 상태를 모니터링하여 일정시간이상 전송큐가 full인경우에는 네트워크 폭주로 간주하여 패킷들을 패킷들의 목적지별 집합 플로우로 분류한 후, 사용 대역폭이 비교적 큰 집합 플로우들의 대역폭을 제한하여 네트워크 폭주를 해결하는 기술이다. 이 기술은 목적지별 집합 플로우의 대역폭을 차단하므로 일반적으로 특정 목적지를 향해 공격하는 DoS 공격을 효과적으로 차단할 수 있다. 그러나 이 기술은 Worm 스캔 공격처럼 서로 다른 많은 목적지를 동시에 공격하는 공격 유형에는 차단 효과가 반감되며, 또한 비정상인지에 대한 패킷 검사 없이 단지 트래픽의 볼륨만으로 대역폭을 결정하기 때문에 false-positive 문제를 완벽하게 해결하지는 못했다.Monitors the status of packet transmission queues on each interface of routers, and if the transmission queue is full for a certain period of time, it is regarded as network congestion and classified packets into aggregated flows for each destination of the packets. It is a technology to solve network congestion by limiting their bandwidth. This technique blocks the bandwidth of aggregated flows by destination, which effectively blocks DoS attacks that typically target a specific destination. However, this technique completely eliminates the false-positive problem because the blocking effect is halved for attack types that simultaneously attack many different destinations, such as Worm scan attacks, and because bandwidth is determined only by the volume of traffic without checking packets for abnormality. It did not solve.

상기에서 언급한 바와 같이 종래의 비정상 폭주형 공격 대응 기술들은 부분적인 효과는 있으나, DoS 및 Worm 스캔 공격과 같은 다양한 공격에 대한 근본적인 차단은 하지 못하고 있으며 또한 false-positive 문제가 발생할 소지도 떠안고 있다.As mentioned above, the conventional abnormal congestion-type attack countermeasures have partial effects, but do not fundamentally block various attacks such as DoS and Worm scan attacks, and also cause false-positive problems.

본 발명이 이루고자 하는 기술적 과제는 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 네트워크의 현재 상태, 집합 플로우의 사용 대역폭과 비정상 등급 등을 종합적으로 판단하여 얼마만큼의 대역폭을 제한할지 그리고 어떤 집합 플로우들의 대역폭을 제한할지를 정확히 결정하여, 정상인 집합 플로우들은 보호하면서 비정상적인 과다 트래픽을 생성하는 공격 집합 플로우들만을 조기에 차단하는 장치와 방법을 제공하는데 있다. The technical problem to be solved by the present invention is to solve the above problems, and to determine how much bandwidth to limit by comprehensively determining the current state of the network, the use bandwidth and abnormal class of the aggregate flow, and what aggregate flow To accurately determine whether to limit the bandwidth of the network, to provide a device and method for prematurely blocking only the attack aggregate flows that generate abnormal excessive traffic while protecting the normal aggregate flows.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치는 입력되는 적어도 하나 이상의 집합 플로우의 대역폭을 집합 플로우의 특징을 나타내는 소정의 정보를 기초로 측정하는 대역폭측정부; 상기 집합 플로우들의 비정상 정도를 결정하는 등급결정부; 상기 측정된 대역폭과 비정상 정도에 기초하여 제한을 가할 대역폭의 양과 집합 플로우를 결정하는 대역폭제한결정부; 상기 입력되는 적어도 하나 이상의 집합 플로우중에서 상기 대역폭제한결정부의 제어신호에 따라 특정 집합 플로우의 대역폭을 제한하거나 해제하여 출력하는 대역폭제한부; 및 상기 입력 집합 플로우들의 상태정보를 저장하는 상태정보저장부;를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a device for determining a bandwidth limit for a congestion type flow according to an embodiment of the present invention, including: a bandwidth measuring unit configured to measure a bandwidth of at least one set flow input based on predetermined information representing characteristics of the aggregation flow; A rating unit for determining an abnormal degree of the aggregation flows; A bandwidth limit determining unit which determines an amount of bandwidth to be restricted and an aggregation flow based on the measured bandwidth and the degree of abnormality; A bandwidth limiter configured to limit or release a bandwidth of a specific aggregate flow according to a control signal of the bandwidth limit determiner among at least one aggregate flow; And a state information storage unit for storing state information of the input set flows.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 폭주형 집합 플로우에 대한 대역폭 제한 방법은 입력되는 적어도 하나 이상의 집합 플로우의 대역폭정보를 획득하고 비정상등급을 결정한 후 저장하는 단계; 상기 입력되는 집합 플로우들의 총 대역폭을 상기 대역폭정보를 기초로 계산한 후 네트워크 서비스 대역폭을 비교하여 네트워크의 폭주 위험 여부를 결정하는 단계; 및 상기 폭주 위험 여부 결정 단계에서 네트워크가 폭주 위험 상태라고 판단되면, 제한을 가할 대역폭의 양과 대역폭에 제한을 가할 집합 플로우로서 상기 비정상등급이 가장 높은 집합 플로우를 결정하는 단계; 상기 폭주 위험 여부 결정 단계에서 네트워크가 정상 상태라고 판단되면, 대역폭이 제한된 집합 플로우들중에서 상기 비정상등급이 가장 낮은 집합 플로우를 선정하여 제한된 대역폭을 해제하는 단계;를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a bandwidth limiting method for a congested aggregate flow according to the present invention, the method comprising: obtaining bandwidth information of at least one aggregate flow input, determining and determining an abnormal level; Calculating a total bandwidth of the input aggregate flows based on the bandwidth information and comparing a network service bandwidth to determine whether a network is at risk of congestion; And when the network is determined to be at risk of congestion in the congestion risk determining step, determining an aggregation flow having the highest abnormality level as an aggregation flow to limit the amount of bandwidth to be restricted and the bandwidth; And determining that the network is in a normal state in the step of determining the congestion risk, releasing the limited bandwidth by selecting the aggregation flow having the lowest abnormal level among the bandwidth-limited aggregation flows.

이하 첨부된 도면을 참조하면서 본 발명의 바람직한 일 실시예를 상세하게 설명하도록 한다. 먼저 본 발명에 의한 집합 플로우에 대한 대역폭 제한 및 해제를 위한 장치 및 방법의 개요를 살펴보면, 원천지 IP 주소, 프로토콜, 그리고 목적지 포트번호를 포함하는 정보를 기초로 집합 플로우를 정의하여 그 대역폭을 측정하고 제한한다. 수신하는 패킷이 공격으로 판단되는 경우에는 그 공격 유형과 위험 정도를 종합하여 비정상 등급을 결정한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. First, an overview of the apparatus and method for limiting and releasing bandwidth for an aggregation flow according to the present invention will be described. The aggregation flow is defined based on information including a source IP address, a protocol, and a destination port number. And limit. If the received packet is determined to be an attack, the abnormal grade is determined by combining the attack type and the degree of risk.

네트워크가 위험 상태인지를 조사하는 것은 네트워크가 폭주가 되기 전에 폭주형 공격 집합 플로우를 미리 차단하고 정상 집합 플로우를 보호할 수 있다는 측면에서 매우 중요하다.Investigating whether the network is at risk is critical in that it can block the congested attack aggregation flow in advance and protect the normal aggregation flow before the network becomes congested.

그리고 폭주형 집합 플로우를 결정하는데 있어서, 집합 플로우의 대역폭 정보뿐만 아니라 비정상 정도 그리고 현재 네트워크의 상태(위험 또는 정상)도 포함하여 종합적으로 판단하여 결정하는 것이 정확도 향상 측면에서 바람직하다. In determining the congestion type flow, it is desirable to determine and determine not only the bandwidth information of the aggregation flow but also the degree of abnormality and the current network status (risk or normal).

따라서 비정상등급이 높으면서도 사용 대역폭이 큰 집합 플로우들을 폭주형 집합 플로우로 결정하는 것이 효과적이다.Therefore, it is effective to determine aggregate flows with high abnormality and high usage bandwidth as congested aggregate flows.

또한 네트워크가 위험 상태인 경우, 자원 효율성을 극대화시킬 수 있도록 정상 집합 플로우가 사용하고 남은 대역폭을 폭주형 집합 플로우에게 제공하는 것이 바람직하다. In addition, when the network is at risk, it is desirable to provide the congested aggregate flow the remaining bandwidth used by the normal aggregate flow to maximize resource efficiency.

도 1은 본 발명에 의한 비정상 폭주형 공격 집합 플로우를 차단하기 위하여 폭주형 집합 플로우에 대해서 대역폭을 제한하기 위한 결정 장치의 구성 블럭도이다. 도 1에 도시된 바와 같은 본 발명에 의한 폭주형 집합 플로우에 대한 대역폭 제한 장치는 집합 플로우를 구별할 수 있는 네트워크 장비라면 어떠한 것이라도 적용되어 운용될 수 있다.1 is a block diagram illustrating a configuration apparatus for limiting bandwidth to a congested aggregation flow in order to block an abnormal congestion attack aggregation flow according to the present invention. The bandwidth limiting device for the congested aggregation flow according to the present invention as shown in FIG. 1 may be applied to any network device capable of distinguishing the aggregation flow.

먼저 그 구성을 살펴보면, 본 발명에 의한 대역폭 제한 결정 장치는 네트워크의 현재 상태, 집합 플로우의 사용 대역폭과 비정상 등급 등을 종합적으로 판단하여 제한할 대역폭 양과 집합 플로우들을 결정하는 대역폭 제한부(101), 집합 플로우의 대역폭을 측정하는 대역폭 측정부(102), 플로우들의 비정상 정도를 결정하는 등급 결정부(103), 특정 집합 플로우의 대역폭을 제한할 수 있는 대역폭 제한부(104), 그리고 집합 플로우들의 상태 정보를 저장하고 있는 상태정보 저장부(105)를 포함하여 이루어진다.First, referring to the configuration, the bandwidth limiting determining apparatus according to the present invention is a bandwidth limiting unit 101 for determining the amount of bandwidth and aggregation flows to be limited by comprehensively determining the current state of the network, the use bandwidth and abnormal class of the aggregate flow, Bandwidth measuring unit 102 for measuring the bandwidth of the aggregate flow, rating determiner 103 for determining the degree of abnormality of the flow, bandwidth limiter 104 that can limit the bandwidth of a specific aggregate flow, and the status of the aggregate flows It comprises a state information storage unit 105 for storing information.

대역폭 측정부(102)는 네트워크로부터 수신한 패킷을 아래에서 설명하는 기준에 따라 집합 플로우로 분류하며, 또한 각 집합 플로우별로 사용 대역폭을 측정하여 주기적으로 또는 어떤 대역폭에 변동이 생길 때마다 대역폭 제한 결정부(101)로 대역폭 정보를 전달한다.The bandwidth measuring unit 102 classifies the packets received from the network into aggregate flows according to the criteria described below, and also measures the bandwidth used by each aggregate flow to determine the bandwidth limitation periodically or whenever a certain bandwidth is changed. The bandwidth information is transmitted to the unit 101.

본 발명에 따른 집합 플로우는 원천지 IP 주소, 프로토콜, 그리고 목적지 포트번호로 구별되며, 그 크기(granularity)는 관리자에 의해 조절될 수 있다. 프로토콜과 목적지 포트번호가 같은 집합 플로우들은 모두 하나의 집합 플로우 클래스에 해당된다. 예를 들어, 만약 관리자가 TCP 프로토콜과 80번 목적지 포트로 집합 플로우 클래스들을 정의한다면, 이때 집합 플로우 클래스는 2개가 되며, 즉 TCP 80번 목적지 포트를 사용하는 집합 플로우 클래스와 TCP 80번 목적지 포트를 사용하지 않는 집합 플로우 클래스로 정의된다. 또한 각 집합 플로우 클래스는 원천지 IP 주소에 따라서 하나 이상의 집합 플로우들로 구성된다. 예를 들어 관리자가 어떤 한 집합 플로우 클래스에서 원천지 IP 주소를 C 클래스로 정의한다면, 원천지 IP 주소 1.1.1.0부터 1.1.1.255에 해당하는 모든 플로우들은 1.1.1.0/24인 하나의 집합 플로우에 해당한다. 따라서 원천지 IP 주소를 C 클래스로 하여 집합 플로우 클래스를 정의한다면, 최대 224(약 1,000,000)개의 집합 플로우를 가질 수 있다.Aggregation flow according to the present invention is distinguished by source IP address, protocol, and destination port number, the granularity can be adjusted by the administrator. Aggregate flows with the same protocol and destination port number all belong to an aggregate flow class. For example, if an administrator defines aggregate flow classes with TCP protocol and destination port 80, then there are two aggregate flow classes, that is, aggregate flow class using destination port 80 and TCP destination port 80. Defined as an aggregate flow class that is not used. Each aggregate flow class also consists of one or more aggregate flows, depending on the source IP address. For example, if an administrator defines a source IP address as class C in one aggregate flow class, all flows corresponding to source IP addresses 1.1.1.0 through 1.1.1.255 are assigned to one aggregate flow of 1.1.1.0/24. Corresponding. Therefore, if the aggregate flow class is defined using the source IP address as the C class, the aggregate flow class may have a maximum of 2 24 (about 1,000,000) aggregate flows.

이하 도 2, 도 3, 그리고 도 4를 설명함에 있어서 집합 플로우 클래스는 하나라고 가정할 것이다. 즉, 프로토콜과 목적지 포트번호는 고려하지 않고 단지 원천지 IP 주소만으로 집합 플로우를 구분할 것이다. 이것은 본 기술을 간단하고 명확하게 설명하기 위함이지 본 발명을 제한하려는 것은 아니다. In the following description with reference to FIGS. 2, 3, and 4, it will be assumed that there is one aggregate flow class. That is, the aggregate flow will be distinguished only by the source IP address without considering the protocol and the destination port number. This is for the purpose of briefly and clearly describing the present technology, but is not intended to limit the invention.

비정상 등급 결정부(103)는 기본적으로 전형적인 시그니처 룰 기반의 침입 탐지 시스템을 이용하여 다음과 같은 기능을 수행한다. 본 발명에 따른 비정상 등급 결정부(103)는 수신하는 패킷이 공격으로 판단된 경우에, 그 공격 유형과 위험 정도를 종합하여 비정상 등급을 결정한 후 대역폭 제한 결정부(101)에게 그 비정상 등급 정보를 전달한다. 여기서 비정상 정도가 심할수록 비정상 등급은 높다. The abnormality class determining unit 103 basically performs the following functions using a typical signature rule-based intrusion detection system. When it is determined that the received packet is an attack, the abnormality rating determiner 103 determines the abnormality rating by combining the attack type and the degree of risk, and then transmits the abnormality rating information to the bandwidth limit determining unit 101. To pass. The more severe the abnormality, the higher the degree of abnormality.

대역폭 제한부(104)는 대역폭 제한 결정부(101)의 명령을 받아서 특정 집합 플로우에 대한 대역폭을 제한하거나 해제하는 기능을 수행한다. 상태정보 저장부(105)는 대역폭 측정부(102)에서 측정한 각 집합 플로우의 사용 대역폭, 그리고 등급결정부(103)에서 결정한 비정상 등급, 그리고 대역폭 제한 결정부(101)에서 해당 집합 플로우에 대하여 제한을 가한 대역폭 양 등을 저장하고 있다.The bandwidth limiter 104 receives a command of the bandwidth limit determiner 101 to perform a function of limiting or releasing a bandwidth for a specific aggregation flow. The state information storage unit 105 stores the bandwidth used by each aggregated flow measured by the bandwidth measuring unit 102, the abnormal grade determined by the grader 103, and the aggregated flow by the bandwidth limit determining unit 101. It stores the amount of bandwidth imposed.

대역폭 제한 결정부(101)는 현재 네트워크가 위험 상태인지 아닌지에 대한 네트워크 상태 정보와 집합 플로우의 상태 정보(사용 대역폭과 비정상 등급)를 고려하여 집합 플로우의 대역폭을 제한하거나 제한된 대역폭을 해제하는 기능을 수행하게 된다. The bandwidth limit determination unit 101 may limit the bandwidth of the aggregate flow or release the limited bandwidth in consideration of network state information on whether the current network is in a critical state and state information of the aggregate flow (used bandwidth and abnormal level). Will perform.

상기와 같은 구성하에서 대역폭 제한 결정부(101)이 수행하는 자세한 알고리즘을 도 2, 도3, 그리고 도 4를 참조하면서 상세하게 살펴보도록 한다. Detailed algorithms performed by the bandwidth limit determination unit 101 under the above configuration will be described in detail with reference to FIGS. 2, 3, and 4.

도 2는 도 1에서 대역폭제한 결정부의 집합 플로우에 대한 대역폭 제한 결정 과정을 도시한 흐름도이다.FIG. 2 is a flowchart illustrating a bandwidth limit determination process for the aggregation flow of the bandwidth limit determiner in FIG. 1.

도 2에서 대역폭 제한 결정부(101)는 대역폭 측정부(102)와 비정상 등급 결정부(103)로부터 각각 입력되는 집합 플로우들에 대한 대역폭 정보와 비정상 등급 정보를 수신한다(201단계). 수신한 특정 집합 플로우의 대역폭 정보와 비정상 등급 정보를 이용하여 평균 대역폭 및 비정상 등급을 결정한 후 상태정보 저장부(105)에 저장한다(202단계). 그리고 네트워크의 현재 상태(위험 또는 정상 상태)를 알기 위하여 모든 집합 플로우의 총 대역폭과 "정상 집합플로우들에게 할당된 총 대역폭"을 비교한다(203단계). 여기서, "정상 집합플로우들에게 할당된 총 대역폭"은 관리자에 의해 명시적으로 정의된다. 예를 들어, 이용가능한 총 대역폭이 100Mbps라고 할 때 관리자는 90Mbps를 "정상 집합플로우들에게 할당된 총 대역폭"으로 정할 수 있다. 나머지 10Mbps는 "폭주형 집합플로우들에게 할당된 총 대역폭"이다.In FIG. 2, the bandwidth limit determining unit 101 receives bandwidth information and abnormal class information on aggregate flows input from the bandwidth measuring unit 102 and the abnormal class determining unit 103, respectively (step 201). The average bandwidth and the abnormal grade are determined by using the received bandwidth information and the abnormal grade information of the specific aggregate flow and then stored in the state information storage 105 (step 202). The total bandwidth of all aggregate flows is compared with the "total bandwidth allocated to normal aggregate flows" in order to know the current state of the network (danger or steady state) (step 203). Here, the "total bandwidth allocated to normal aggregate flows" is explicitly defined by the administrator. For example, assuming that the total bandwidth available is 100 Mbps, the administrator may set 90 Mbps as "total bandwidth allocated to normal aggregate flows." The remaining 10 Mbps is the "total bandwidth allocated to congested aggregate flows."

만약 모든 집합 플로우의 총 대역폭이 "정상 집합플로우들에게 할당된 총 대역폭" 보다 크면, 네트워크 위험상태로 간주하여 대역폭을 제한할 집합 플로우들과 제한할 대역폭양을 결정한다(204단계). 그 결정에 따라서 폭주형 집합 플로우로 결정된 집합 플로우들의 대역폭을 제한하고, 또한 정상 집합 플로우로 결정된 집합 플로우에 적용된 대역폭 제한을 해제하기 위하여 대역폭 제한부(104)에게 특정 집합 플로우의 대역폭 제한 또한 해제를 명령한다(205단계).If the total bandwidth of all aggregate flows is greater than the "total bandwidth allocated to normal aggregate flows", it is regarded as a network risk state and the aggregate flows to limit bandwidth and the amount of bandwidth to restrict are determined (step 204). According to the determination, the bandwidth limiter 104 also releases the bandwidth restriction of a specific aggregation flow in order to limit the bandwidth of the aggregation flows determined as the congested aggregation flow and to release the bandwidth restriction applied to the aggregation flow determined as the normal aggregation flow. Command (step 205).

반대로 총 대역폭이 "정상 집합플로우들에게 할당된 총 대역폭"보다 작거나 같으면, 네트워크 정상상태로 간주하여 집합 플로우의 대역폭 제한을 해제시키기 위하여 대역폭 제한부(104)에게 특정 집합 플로우의 대역폭 제한 해제를 명령한다(206단계).On the contrary, if the total bandwidth is less than or equal to the "total bandwidth allocated to normal aggregate flows", the bandwidth limiter 104 releases the bandwidth restriction release of a specific aggregate flow to consider the network steady state and release the bandwidth limitation of the aggregate flow. Command (step 206).

마지막으로 상기 결정에 따라 변경된 집합 플로우의 대역폭 제한 정보(대역폭 제한 여부, 제한된 대역폭양)를 상태정보저장부(105)에 저장한다(207단계). Finally, the bandwidth limit information (whether bandwidth is limited or limited bandwidth) of the aggregate flow changed according to the determination is stored in the state information storage unit 105 (step 207).

도 2의 과정중에서 네트워크 위험 상태가 발생하여 대역폭 제한이 결정된 경우에, 대역폭 제한을 적용할 폭주형 집합 플로우를 결정하는 과정은 도 3을 참조하면서 살펴보도록 한다.When the bandwidth limit is determined due to the network risk condition occurring in the process of FIG. 2, the process of determining the congested aggregation flow to which the bandwidth limit is applied will be described with reference to FIG. 3.

도 3에서 폭주형 집합 플로우 결정에 관한 기본 원칙은 비정상 등급이 낮은 집합 플로우를, 그리고 비정상 등급이 같은 경우에는 사용 대역폭이 작은 집합 플로우를 정상 집합플로우로 간주하여, 정상 집합플로우에 속하지 않는 집합플로우를 폭주형 집합플로우로 결정하는 것이다.In FIG. 3, the basic principle for determining congestion-type aggregate flows is that aggregate flows having a low abnormal grade and aggregate flows having a low use bandwidth are considered normal aggregate flows when the abnormal grades are the same. Is determined as a congested set flow.

폭주형 집합 플로우를 결정하기 위한 초기화 과정으로써 <여유 대역폭> 변수는 "집합플로우들에게 할당된 대역폭"으로, <비정상등급> 변수는 최저 비정상등급으로, 그리고 <폭주형 집합플로우 리스트>는 모든 집합플로우로 설정한다(301단계). 그리고 <폭주형 집합플로우 리스트>에서 <비정상등급>에 해당하는 집합플로우중에서 대역폭이 가장 작은 집합플로우를 검색한다(302단계). 만약 그런 집합플로우가 없다면 <비정상 등급>을 한 단계 높여서(307단계) 다시 검색한다(302단계).As an initialization process to determine congested aggregate flows, the <Free Bandwidth> variable is the "bandwidth allocated to aggregate flows", the <Abnormal Class> variable is the lowest abnormal level, and <Congested Aggregate Flow List> is all sets. Set to flow (step 301). In step 302, a set flow having the smallest bandwidth is searched among the set flows corresponding to the abnormal level in the congested set flow list. If there is no such aggregate flow, the <abnormal grade> is increased by one level (step 307) and searched again (step 302).

만약 그런 집합플로우가 <폭주형 집합플로우 리스트>에 존재하고(303단계) 또한 <여유 대역폭>이 <그 집합플로우 대역폭>보다 크면(304단계), 이 집합플로우를 정상 집합플로우로 간주하여 <폭주형 집합플로우 리스트>에서 그 집합플로우를 삭제한다(305단계). 그리고나서 <여유 대역폭>에서 정상으로 간주된 <그 집합플로우 대역폭>을 뺌으로써 <여유 대역폭>을 재조정한다(306단계).If such an aggregate flow exists in the <congested aggregate flow list> (step 303) and <free bandwidth> is greater than <the aggregate flow bandwidth> (step 304), the aggregate flow is regarded as a normal aggregate flow Delete the set flow from the Type Set Flow List> (step 305). Then, the &quot; free bandwidth &gt; is readjusted by subtracting &quot; the aggregate flow bandwidth &quot; considered normal in &quot; free bandwidth &quot; (step 306).

이 작업은 정상 집합플로우에게 제공할 만큼의 <여유 대역폭>이 없거나(304단계) 또는 더 이상 검색할 집합 플로우가 없을 때까지 실행된다(308단계). 이때 <폭주형 집합플로우 리스트> 변수에 저장된 집합플로우들이 바로 대역폭을 제한할 폭주형 집합플로우들이다.This task is executed until there is no <free bandwidth> sufficient to provide a normal aggregate flow (step 304) or until there are no aggregate flows to retrieve (step 308). At this time, the set flows stored in the <congested set flow list> variable are congested set flows that will limit the bandwidth.

도 3에서 선정된 폭주형 집합플로우들에게 제한할 대역폭 양을 결정하는 과정은 도 4를 참조하면서 살펴보도록 한다.A process of determining the amount of bandwidth to limit to the congested set flows selected in FIG. 3 will be described with reference to FIG. 4.

자원 효율성을 극대화시키기 위하여 폭주형 집합플로우들에게 할당할 여유 대역폭은 폭주형 집합플로우들에게 할당된 총 대역폭과 도 3에서 남겨진 <여유 대역폭>을 더한 값으로 한다(401단계). 그리고 정책에 기반하여 비정상등급별 제한할 대역폭을 계산한다(402단계). 이때 비정상등급이 낮은 폭주형 집합플로우가 비정상등급이 높은 폭주형 집합플로우보다 더 많은 자원을 사용할 수 있도록 정책을 설정한다. 예를 들어, 최고비정상등급에 해당되는 폭주형 집합플로우에게는 <여유 대역폭>의 10%를 <제한 대역폭>으로 제공하며, 비정상등급이 그보다 낮은 폭주형 집합플로우에게는 <여유 대역폭>의 20%를 <제한 대역폭>으로 제공하는 정책을 관리자가 설정할 수 있다. 마지막으로 <폭주형 집합플로우 리스트>의 집합플로우를 <비정상 등급>별로 구분하여 각 비정상 등급에 해당하는 <제한 대역폭>으로 대역폭을 제한한다(403단계).In order to maximize resource efficiency, the free bandwidth to be allocated to the congested set flows is the sum of the total bandwidth allocated to the congested set flows and the <free bandwidth> left in FIG. 3 (step 401). Based on the policy, the bandwidth to be limited for each abnormal level is calculated (step 402). In this case, the policy is set so that congested low-flow aggregate flows use more resources than congested high-flow aggregation flows. For example, 10% of <free bandwidth> is given as <limited bandwidth> for congested set flows that fall under the highest abnormal class, and 20% of <free bandwidth> for congested set flows with lower abnormal levels is < The administrator can set the policy provided by Limited Bandwidth>. Finally, by dividing the set flows of the congested set flow list by <abnormal grade>, the bandwidth is limited to <limited bandwidth> corresponding to each abnormal grade (step 403).

본 발명에 의한 폭주형 집합 플로우에 대한 대역폭 제한 결정 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.The bandwidth limit determination method for the congested aggregate flow according to the present invention may also be implemented as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and also carrier wave (e.g. transmission over the Internet). It is also included to be implemented in the form of. The computer readable recording medium can also be distributed over computer systems connected over a computer network so that the computer readable code is stored and executed in a distributed fashion. Also, the font ROM data structure according to the present invention can be read by a computer on a recording medium such as a computer readable ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and the like. It can be implemented as code.

이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.The best embodiments have been disclosed in the drawings and specification above. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

이상에서 설명한 바와 같이 본 발명에 의한 폭주형 집합 플로우에 대한 대역폭 제한 결정 방법 및 장치는 망의 접속단에 설치되어, 정상 집합 플로우들에게는 영향을 주지 않으면서도, DoS 공격 및 Worm 스캔 공격에 사용되는 비정상 과다 트래픽에 해당하는 공격 집합 플로우들을 차단하는 효과가 있다.As described above, the method and apparatus for determining bandwidth limit for congested aggregate flows according to the present invention are installed at an access point of a network and are used for DoS attacks and Worm scan attacks without affecting normal aggregate flows. It is effective to block attack aggregation flows corresponding to abnormal excessive traffic.

특히 집합 플로우의 대역폭 정보뿐만 아니라 네트워크의 현재 상태와 집합 플로우의 비정상 등급등을 종합하여 제한할 대역폭 및 집합 플로우들을 결정하기 때문에 정상 트래픽이 차단되는 false-positive 문제를 최소화할 수 있다.In particular, since the bandwidth and aggregation flows to be restricted are determined by combining not only the bandwidth information of the aggregation flow but also the current status of the network and the abnormal grade of the aggregation flow, the false-positive problem of blocking normal traffic can be minimized.

도 1은 본 발명에 따른 비정상 폭주형 공격 집합 플로우를 차단하기 위한 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치의 구성 블럭도이다.1 is a block diagram illustrating an apparatus for determining a bandwidth limit for a congested aggregation flow for blocking an abnormal congestion attack aggregation flow according to the present invention.

도 2는 도 1에서 대역폭제한 결정부의 집합 플로우에 대한 대역폭 제한 결정 과정을 도시한 흐름도이다.FIG. 2 is a flowchart illustrating a bandwidth limit determination process for the aggregation flow of the bandwidth limit determiner in FIG. 1.

도 3은 도 2의 과정중에서 네트워크 폭주가 예상되어 대역폭 제한이 결정된 경우에, 대역폭 제한을 적용할 폭주형 집합 플로우를 결정하는 과정을 도시한 흐름도이다.FIG. 3 is a flowchart illustrating a process of determining a congested aggregation flow to which bandwidth limitation is applied when network congestion is expected in the process of FIG. 2.

도 4는 도 3의 과정중에서 결정된 폭주형 집합 플로우에 제한할 대역폭양을 결정하는 과정을 도시한 흐름도이다.4 is a flowchart illustrating a process of determining an amount of bandwidth to be limited to the congested aggregation flow determined in the process of FIG. 3.

<도면의 주요 부분에 대한 설명>Description of the main parts of the drawing

101: 대역폭 제한 결정부101: bandwidth limit determination unit

102: 대역폭 측정부102: bandwidth measurement unit

103: 등급 결정부103: grading unit

104: 대역폭 제한부104: bandwidth limitation

105: 상태정보 저장부105: status information storage unit

Claims (10)

입력되는 적어도 하나 이상의 집합 플로우들의 대역폭을 집합 플로우의 특징을 나타내는 소정의 정보를 기초로 측정하는 대역폭측정부;A bandwidth measuring unit configured to measure a bandwidth of at least one aggregate flow to be input based on predetermined information indicating characteristics of the aggregate flow; 상기 입력되는 집합 플로우들의 비정상 정도에 따라 등급을 결정하는 등급결정부;A rating unit configured to determine a rating according to an abnormal degree of the input aggregate flows; 상기 측정된 대역폭과 비정상 등급에 기초하여 제한을 가할 대역폭의 양과 집합 플로우를 결정하는 대역폭제한결정부;A bandwidth limit determining unit which determines an amount of bandwidth to be restricted and an aggregation flow based on the measured bandwidth and an abnormal class; 상기 대역폭제한결정부의 결정 결과를 입력받아 상기 입력되는 집합 플로우들 중에서 선택된 집합 플로우의 대역폭을 제한하거나 해제하여 출력하는 대역폭제한부; 및A bandwidth limiter configured to receive the determination result of the bandwidth limit determiner and limit or release the bandwidth of the selected aggregate flow among the input aggregate flows; And 상기 입력 집합 플로우들의 사용 대역폭과 비정상 등급 그리고 제한된 대역폭 양을 포함하는 상태정보를 저장하는 상태정보저장부;를 포함하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치.And a state information storage unit for storing state information including a usage bandwidth, an abnormal class, and a limited bandwidth amount of the input set flows. 제1항에 있어서, 상기 대역폭측정부는The method of claim 1, wherein the bandwidth measuring unit 원천지 IP주소, 프로토콜, 그리고 목적지의 포트번호를 포함하는 상기 소정의 정보를 기초로 상기 집합 플로우의 대역폭을 측정하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치.And a bandwidth of the aggregate flow is measured based on the predetermined information including a source IP address, a protocol, and a port number of a destination. 제2항에 있어서, 상기 대역폭측정부는The method of claim 2, wherein the bandwidth measuring unit 상기 대역폭을 주기적으로 혹은 상기 대역폭에 변동이 생길 때마다 그 측정된 결과를 상기 대역폭 결정부로 출력하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치.And outputting the measured result to the bandwidth determiner periodically or whenever the bandwidth fluctuates. 2. 제1항에 있어서, 상기 등급결정부는The method of claim 1, wherein the rating unit 상기 입력되는 집합 플로우가 공격으로 판단되는 경우에는 그 공격 유형과 위험 정도를 기초로 상기 등급을 결정하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치.And when the inputted aggregate flow is determined to be an attack, determining the class based on the attack type and the degree of danger. 제1항에 있어서, 상기 대역폭 결정부는The method of claim 1, wherein the bandwidth determination unit 상기 상태정보와 네트워크의 현재 상태를 기초로 제한할 대역폭과 대역폭을 제한할 집합 플로우 혹은 제한되어 있는 대역폭을 해제할 집합 플로우를 결정하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치.And determining the bandwidth to be limited and the aggregation flow to limit the bandwidth or the aggregation flow to release the limited bandwidth based on the state information and the current state of the network. (a) 입력되는 적어도 하나 이상의 집합 플로우의 대역폭정보를 획득하고 비정상등급을 결정한 후 저장하는 단계;(a) acquiring and storing bandwidth information of at least one aggregate flow to be input and determining an abnormal level; (b) 상기 입력되는 집합 플로우들의 총 대역폭을 정상 집합 플로우들에게 할당된 소정의 대역폭과 비교하여 네트워크 폭주 위험 여부를 결정하는 단계; 및(b) comparing the total bandwidth of the input aggregate flows with a predetermined bandwidth allocated to normal aggregate flows to determine whether there is a network congestion risk; And (c) 상기 (b)단계에서 네트워크 폭주 위험 상태로 판단되면, 대역폭에 제한을 가할 폭주형 집합 플로우를 결정하고 그 결과를 저장하는 단계; 및(c) if it is determined in step (b) that the network is at risk of congestion, determining a congestion type flow to limit the bandwidth and storing the result; And (d) 상기 대역폭에 제한을 가할 폭주형 집합 플로우에 대하여 제한을 가할 대역폭양을 결정하고 그 결과를 저장하는 단계;(d) determining an amount of bandwidth to impose a limit on the congested aggregation flow to impose the limit on and save the result; (e) 상기 (b)단계에서 네트워크가 정상상태라고 판단되면, 대역폭에 제한이 가해진 집합 플로우들을 해제하고 그 결과를 저장하는 단계;를 포함하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 방법.(e) if it is determined in step (b) that the network is in a normal state, releasing the aggregated flows for which the bandwidth is limited and storing the result; determining the bandwidth limitation for the congested aggregate flow Way. 제6항에 있어서, 상기 (b)단계는The method of claim 6, wherein step (b) 상기 총 대역폭이 상기 정상 집합 플로우들에게 할당된 대역폭보다 크면 상기 네트워크의 위험상태로 판단하고, 작으면 정상으로 판단하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 방법.If the total bandwidth is greater than the bandwidth allocated to the normal aggregate flows, determine that the network is at risk, and if the total bandwidth is small, determine the bandwidth limit for the congested aggregate flow. 제6항에 있어서, 상기 (c)단계는The method of claim 6, wherein step (c) (c1) 상기 정상 집합 플로우들에게 할당된 총 대역폭을 여유 대역폭으로, 상기 비정상 등급을 최저 비정상등급으로, 그리고 모든 집합 플로우로 폭주형 집합 플로우 리스트를 설정하는 단계;(c1) setting a congested aggregate flow list with the total bandwidth allocated to the normal aggregate flows as a spare bandwidth, the abnormality grade as the lowest abnormality grade, and all aggregate flows; (c2) 상기 폭주형 집합 플로우 리스트에서 상기 비정상 등급에 해당하며 대역폭이 가장 작은 집합 플로우를 검색하는 단계;(c2) retrieving the aggregate flows having the least bandwidth from the congested aggregate flow list and having the smallest bandwidth; (c3) 상기 (c2)단계에서 상기 조건을 만족하는 집합 플로우가 존재하지 않으면 상기 비정상 등급을 한 단계 높여서 상기 검색을 반복하는 단계;(c3) repeating the search by raising the abnormal level by one step if there is no aggregate flow that satisfies the condition in step (c2); (c4) 상기 (c2)단계에서 상기 조건을 만족하는 집합 플로우가 존재하고, 상기 여유 대역폭이 그 집합 플로우 대역폭보다 크면 이 집합 플로우를 정상 집합 플로우로 간주하여 상기 폭주형 집합 플로우 리스트에서 그 집합 플로우를 삭제한 후, 상기 여유 대역폭에서 상기 정장 집합 플로우의 대역폭을 차감하는 단계; 및 (c4) If there is an aggregate flow that satisfies the condition in step (c2) and the spare bandwidth is larger than the aggregate flow bandwidth, the aggregate flow is regarded as a normal aggregate flow and the aggregate flow in the congested aggregate flow list. Subtracting a bandwidth of the formal aggregation flow from the spare bandwidth; And (c5) 상기 정상 집합플로우에게 제공할 만큼의 여유 대역폭이 없거나 또는 더 이상 검색할 집합 플로우가 없을 때까지 상기 (c1) 내지 (c4)단계를 반복하면서 폭주형 집합 플로우를 선정하는 단계;를 포함하며,(c5) selecting congestion type flows by repeating steps (c1) to (c4) until there is no free bandwidth enough to provide the normal aggregation flow or there is no more aggregation flow to search for; , (c6) 상기 폭주형 집합 플로우들에게 할당된 총 대역폭과 상기 정상 집합 플로우들에게 할당된 총 대역폭을 합산하여 여유대역폭으로 치환하는 단계;(c6) summing the total bandwidth allocated to the congested aggregate flows and the total bandwidth allocated to the normal aggregate flows and substituting the free bandwidth; (c7) 상기 치환된 여유대역폭과 비정상등급 부여 정책에 기초하여 상기 비정상등급별 제한 대역폭을 계산하는 단계;(c7) calculating the limited bandwidth for each abnormal grade based on the substituted free bandwidth and the abnormal grade grant policy; (c8) 상기 폭주형 집합 플로우 리스트내의 집합 플로우를 비정상 등급별로 구분한 후 각 비정상 등급에 해당하는 제한대역폭을 할당하여 상기 폭주형 집합 플로우로 선정된 집합 플로우에 대한 대역폭양을 결정하는 단계;를 포함하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 방법.(c8) determining the amount of bandwidth for the aggregate flow selected as the congested aggregate flow by dividing the aggregate flow in the congested aggregate flow list by an abnormal grade and then allocating a limited bandwidth corresponding to each abnormal grade; Bandwidth limit determination method for congested aggregation flow comprising a. 제8항에 있어서, 상기 (c7)단계는The method of claim 8, wherein step (c7) 상기 치환된 여유대역폭에 대하여 소정의 비율을 곱하여 계산하는 것을 특징으로 하는 폭주형 집합 플로우에 대한 대역폭 제한 결정 방법.And calculating by multiplying the substituted free bandwidth by a predetermined ratio. 제6항의 폭주형 집합 플로우에 대한 대역폭 제한 결정 방법을 컴퓨터에서 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program capable of executing the method of determining the bandwidth limit for the congested aggregate flow of claim 6.
KR10-2004-0026639A 2003-12-17 2004-04-19 Apparatus for limiting bandwith of burst traffic and method thereof KR100537905B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US10/934,545 US7417951B2 (en) 2003-12-17 2004-09-03 Apparatus and method for limiting bandwidths of burst aggregate flows

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20030092569 2003-12-17
KR1020030092569 2003-12-17

Publications (2)

Publication Number Publication Date
KR20050061259A KR20050061259A (en) 2005-06-22
KR100537905B1 true KR100537905B1 (en) 2005-12-20

Family

ID=37253861

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2004-0026639A KR100537905B1 (en) 2003-12-17 2004-04-19 Apparatus for limiting bandwith of burst traffic and method thereof

Country Status (1)

Country Link
KR (1) KR100537905B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100705582B1 (en) * 2005-09-07 2007-04-09 삼성전자주식회사 apparatus and method of service providing in multitude network system

Also Published As

Publication number Publication date
KR20050061259A (en) 2005-06-22

Similar Documents

Publication Publication Date Title
US7092357B1 (en) Anti-flooding flow-control methods and apparatus
US9231876B2 (en) User traffic accountability under congestion in flow-based multi-layer switches
KR101519623B1 (en) DDoS detection apparatus and method, DDoS detection and prevention apparatus for reducing positive false
KR101111099B1 (en) Methods of and systems for network traffic security
US7903551B2 (en) Early traffic regulation techniques to protect against network flooding
US7417951B2 (en) Apparatus and method for limiting bandwidths of burst aggregate flows
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
US9191400B1 (en) Cyphertext (CT) analytic engine and method for network anomaly detection
US8201252B2 (en) Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
CA2543291C (en) Method and system for addressing intrusion attacks on a computer system
US10693890B2 (en) Packet relay apparatus
US7710887B2 (en) Network protection via embedded controls
US11128670B2 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
US10171492B2 (en) Denial-of-service (DoS) mitigation based on health of protected network device
KR100609684B1 (en) Apparatus for protecting DoS and Method thereof
CN112260899B (en) Network monitoring method and device based on MMU (memory management unit)
KR100639969B1 (en) Apparatus for abnormal traffic control and method thereof
KR100537905B1 (en) Apparatus for limiting bandwith of burst traffic and method thereof
KR20050065125A (en) Apparatus and method for sorting data flow based on bandwidth
JP2006148778A (en) Packet transfer control unit
KR100656340B1 (en) Apparatus for analyzing the information of abnormal traffic and Method thereof
US11601369B1 (en) Mitigation of network attacks by prioritizing network traffic
CN115987666A (en) Control plane protection method, device, exchange equipment and storage medium
Bianchi et al. Scalable and fast approximate excess rate detection

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081202

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee