JP2010148090A - パケット処理方法及びこれを用いたtoe装置 - Google Patents

パケット処理方法及びこれを用いたtoe装置 Download PDF

Info

Publication number
JP2010148090A
JP2010148090A JP2009208615A JP2009208615A JP2010148090A JP 2010148090 A JP2010148090 A JP 2010148090A JP 2009208615 A JP2009208615 A JP 2009208615A JP 2009208615 A JP2009208615 A JP 2009208615A JP 2010148090 A JP2010148090 A JP 2010148090A
Authority
JP
Japan
Prior art keywords
packet
payload
header
unit
tcp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009208615A
Other languages
English (en)
Inventor
Sun Wook Kim
キム、スン、ウク
Seong Woon Kim
キム、ソン、ウン
Namgoong Han
ナムグン、ハン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2010148090A publication Critical patent/JP2010148090A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】パケット処理方法及びこれを用いたTOE装置を提供する。
【解決手段】TCP/IPを迅速に処理するためにハードウェアを用いるTOE(TCP/IP Offload Engine)装置に、ネットワークトラフィックの静的/動的攻撃に対する検査及びリアルタイム遮断を目的とする侵入防止システムハードウェアを構築したTOE装置及びTOE装置におけるパケット処理方法に関するものであって、ネットワークプロトコル加速ハードウェアであるTOE装置を通じてネットワークを介した侵入を防止することができるため、ネットワークサーバなどのようなシステム内の装置に別途のアプリケーションプログラムなどを追加設置することなくネットワーク侵入防止システムを稼働することができる。
【選択図】図2

Description

本発明は、受信したネットワークパケットの処理方法に関するものであって、より詳しくは、TOE(TCP/IP Offload Engine)装置においてネットワークを介した侵入を防止するパケット処理方法に関する。
近年、LAN(Local Area Network)やWAN(Wide Area Network)において広く用いられるイーサネット技術は、ネットワーク技術の発展とインターネットの速い普及により、既に1Gbpsの帯域幅を超えて10Gbpsの帯域幅を提供する10ギガビットイーサネットに発展している。
イーサネットにおいて広く用いられるTCP/IPは、一般にホスト(Host)プロセッサーで処理するが、これに伴うホストプロセッサーの負荷はシステム全体の性能を劣化させる。
また、近年ネットワーク速度がギガビットイーサネットと10ギガビットイーサネットに発展するにつれてホストプロセッサーは実際業務を行うことより、TCP/IPスタックを処理することに一層多くのプロセッシングパワーを使用するようになった。
即ち、ネットワーク速度がプロセッサーで処理されるTCP/IPの処理能力を超えることにより、コンピューターの処理速度を劣化させ、ネットワークのボトルネック(bottle neck)を齎している。
この問題点を解決するために、ホストプロセッサーで処理されていたTCP/IPの処理をホストプロセッサーでない専用ハードウェアで処理することによって、ホストプロセッサーに加わる負荷を減らしシステムの性能を向上させようとTCP/IPオフロード技術が提案された。
TCP/IPオフロード技術が搭載されたハードウェア装置、即ちTOE装置は、現在開発初期の技術であって、インターネット分野だけでなくストレージ分野を中心に市場のニーズが持続的に増加することと予測される。
また、ネットワークの高速化及びインターネットの速い普及で電子商取引及び電子メールなど各種情報伝達及び情報提供サービス、そして電子取引が活性化し、これにつれてネットワークを介した侵入試みが段々増加している。また、不法侵入で獲得した情報を盗用したりウィルスのような有害データを流布するインターネットを利用した犯罪も急増している現実である。
従って、ネットワークの速度が急速に速まり、インターネットが広く普及され、TCP/IPを迅速に処理するようになるにつれて、ネットワークを介した侵入を効果的に防止するための方法が求められている。
大韓民国特許公開 第2007‐0008804号公報
本発明は、TOE装置を通じて、ネットワークパケットに対するTCP/IPを迅速に処理する方法を提供する。
また、本発明は、ネットワークを介した侵入を効果的に遮断する方法を提供する。
本発明は、TOE装置においてネットワークを介した侵入を効果的に遮断し、TCP/IPを迅速に処理する方法を提供する。
本発明は、TOE装置において、パケットを受信して、ヘッダーとペイロードを抽出し、ペイロードに対してパターンマッチング検査後、検査をパスしたペイロードをホストに伝達し、ヘッダーに対して、パケットが侵入パケットであるかどうかを判別するヘッダー検査及びTCP/IP処理を実行することを含む、パケット処理方法を提供する。
本発明によるパケット処理方法において、ペイロードに対するパターンマッチング検査は、ペイロードが単一のパケットのペイロードであるか、分割パケットのペイロードであるかを判断し、判断の結果、ペイロードが単一のパケットのペイロードであれば、パターンマッチング検査を実行し、ペイロードが分割パケットのペイロードであれば、パケットを再組合してパターンマッチング検査を実行する。
また、本発明によるパケット処理方法において、分割パケットに対するパケットの再組合は、分割パケットがIP分割パケットである場合には、IPプロトコル処理後にパケットを再組合し、分割パケットがTCP分割パケットである場合には、トランスポートプロトコル処理後にパケットを再組合する。
なお、本発明によるパケット処理方法において、TCP分割パケットのペイロードに対するパターンマッチング検査は、パケットの再組合によるペイロードの大きさが基準値以上の場合にのみ実行しても良い。
本発明によるパケット処理方法において、ペイロードのパターン検査の結果、パケットが侵入パケットと判断されれば、ペイロードを削除し、パケットの情報を保存し、保存したパケット情報を周期的にホストに伝送しても良い。
また、本発明によるパケット処理方法において、TOE装置はホストから周期的に新たなシグネチャーを受信することもできる。
また、本発明によるパケット処理方法のヘッダー検査において、パケットを伝送したノードがアクセス制御リストに含まれているかどうかを判断するアクセス制御リスト検査及び保存されている攻撃パケットのシグネチャーがヘッダーのパターンとマッチングされるかどうかを判断するシグネチャー検査を含み、TCP/IP処理は、アクセス制御リスト及びシグネチャー検査をパスしたヘッダーに対してIPプロトコル処理及びトランスポートプロトコル処理を実行するものであっても良い。
本発明によるパケット処理方法においてヘッダー検査は、IPプロトコル処理されたヘッダーに対するセッション検査をさらに含み、トランスポートプロトコル処理は、セッション検査をパスしたヘッダーに対して実行されることもできる。
また、本発明によるパケット処理方法において、セッション検査は、保存しているソケット情報と比較して、パケットが正常連結されたソケットから受信したパケットであるかどうかを検査するものであり得る。
なお、本発明によるパケット処理方法において、セッション検査は、パケットのセッション帯域幅が基準値以内であるかどうかを検査するものであっても良い。
本発明によるパケット処理方法において、ヘッダー検査の結果、受信したパケットが侵入パケットと判断されれば、該当パケットを削除し、パケットの情報を保存し、保存したパケット情報を周期的にホストに伝達することもできる。
また本発明によるパケット処理方法において、TOE装置はホストから周期的に新たなシグネチャーを受信することもできる。
本発明は、受信したパケットのヘッダーとペイロードを抽出するヘッダー抽出部、抽出されたペイロードを処理するペイロード処理部、抽出されたヘッダーを検査するヘッダー検査部及びヘッダーに対するTCP/IP処理を実行するTCP/IP処理部を含む、TOE装置を提供する。
本発明によるTOE装置において、ペイロード処理部は、ペイロードに対するパターンマッチング検査を実行するペイロードパターンマッチング部を含み、TCP/IP処理部は、受信したペイロードを保存するペイロード保存部及び侵入パケットと判断されたパケットの情報を保存する遮断パケット情報保存部を含み、パターンマッチング部は、ペイロード保存部に保存されたペイロードに対し、パターンマッチング検査を実行して、侵入パケットのペイロードと判断された場合は遮断パケット情報保存部に侵入パケットの情報を保存し、侵入パケットのペイロードでないものと判断された場合はペイロードをホストに伝達する。
また本発明によるTOE装置において、受信パケットがIP分割パケットである場合に、TCP/IP処理部は、ペイロード保存部に分割パケットのペイロードを保存し、分割パケットのヘッダーに対するIPプロトコール処理後に、分割パケットのペイロードを再組合し、ペイロード処理部は、再組合されたペイロードに対するパターンマッチング検査を実行する。
なお、本発明によるTOE装置において、受信パケットがTCP分割パケットである場合に、TCP/IP処理部は、ペイロード保存部に前記分割パケットのペイロードを保存し、分割パケットのヘッダーに対するトランスポートプロトコル処理後に、分割パケットのペイロードを再組合し、ペイロード処理部は、再組合されたペイロードに対するパターンマッチング検査を実行する。
本発明によるTOE装置において、ペイロード処理部は、再組合されたペイロードの大きさが基準値以上である場合にのみ、パターンマッチング検査を実行しても良い。
また本発明によるTOE装置において、TCP/IP処理部は、侵入パケットと判断されたパケットの情報を保存する遮断パケット情報保存部を含み、ヘッダー検査部は、アクセス制御リスト(Access Control List;ACL)を保存したACL保存部、ホストから周期的に受信したシグネチャーを保存したシグネチャー保存部、ヘッダーに対して、アクセス制御リストに含まれているかどうかを検査するACL検査部及びヘッダーに対して、シグネチャーとのマッチング有無を検査するシグネチャーマッチング検査部を含み、ACL検査部及びシグネチャーマッチング検査部は、検査した結果、ヘッダーが侵入パケットのヘッダーと判断した場合は、侵入パケットの情報を遮断パケット情報保存部に保存し、ヘッダーが侵入パケットのヘッダーでないと判断した場合は、ヘッダーをTCP/IP処理部に伝達しても良い。
なお、本発明によるTOE装置において、ヘッダー検査部は、ヘッダーに対するセッション検査を実行するセッション検査部をさらに含み、セッション検査部は、TCP/IP処理部でIPプロトコル処理されたヘッダーに対して、パケットが正常連結されたソケットから受信したパケットであるかどうか、またはパケットのセッション帯域幅が基準値以内であるかどうかを検査し、TCP/IP処理部は、セッション検査をパスしたヘッダーに対して、トランスポートプロトコル処理を実行することもできる。
また、本発明によるTOE装置において、遮断パケット情報保存部は、保存した遮断パケットの情報を周期的にホストに伝達することもできる。
本発明によると、ネットワークを介した侵入を検査して、効果的に侵入を遮断することができる。
本発明によると、ネットワークパケットのヘッダーとペイロードをそれぞれ並列的に検査及び処理することによって、ネットワーク侵入の有無を迅速に検査し、TCP/IPを処理することができる。
本発明によると、TOE装置を通じてネットワークプロトコル処理及びデータ伝送によるシステムの負荷を減少させることができる。
本発明によると、ネットワークに連結されたサーバにネットワークカードなどのような別途の追加装置やアプリケーションプログラム無しに、ネットワーク運用だけでなく、ネットワーク侵入防止の効果を同時に得ることができる。
TOE装置の構成を概略的に示したブロック図である。 本発明に係り、ネットワークを介した侵入を防止するTOE装置の構成を概略的に示したブロック図である。 本発明に係るTOE装置において受信したパケットを処理する方法を概略的に示したプローチャートである。
本発明は、ネットワークトラフィックの静的/動的攻撃に対する検査及びリアルタイム遮断を目的とする侵入防止システムハードウェアを構築したTOE装置とこれを用いたネットワークパケットの処理方法に関する。
本発明に係るTOE装置のパケット処理方法によると、ネットワーク侵入の防止だけでなく既存の運営体制基盤のネットワークプロトコル及びデータ伝送処理が迅速に行われる。従って、ネットワークに連結されたサーバにネットワークカード代わりに本発明によるTOE装置を装着してネットワークアプリケーションプログラムを運用できるだけでなく、ネットワークを介した侵入を防止することができる。
以下、添付した図面を参照し本発明について詳細に説明する。なお、本発明を説明するに当たり、関連した公知構成または機能に対する具体的な説明が本発明の要旨を薄めると判断される場合は、その詳細な説明を省略する。
TOE(TCP/IP Offload Engine)装置
図1に示された通り、TOE装置はギガビットイーサネットなどのような高速ネットワークとホストプロセッサーの間でTCP/IPの迅速な処理を図る。
このために、TEO装置は、MAC/PHY107及びMACインターフェイス106を含むMAC/PHYレイヤと、送信IP処理部、バッファー&キュー(Queue)、ARP処理部及び受信IP処理部を含むIPレイヤ105、送信ハードウェア、送信処理部、ソケットリソースプール&ソケット管理部、受信処理部及び受信ハードウェアを含むソケット及びトランスポートレイヤ104、そしてドアーベル(Doorbell)102、DMA(Direct Memory Access)部103及びホストインターフェイス101を含むホストI/Fを含む。
MAC/PHYレイヤを通じて受信したネットワークパケットは、TCP/IP処理されてホストに伝達される。
TCP/IP処理部
図2は、ネットワークを介した侵入を防止するために必要な構成が追加されたTOE装置を概略的に示したブロック図である。
ネットワークプロトコル処理、ソケットリソース制御命令及びTCP連結/解除命令の処理、それぞれの命令に対する処理結果情報の生成及び伝送、ネットワークパケットの受信制御、ソケット情報及びパケット伝送情報の保存などがTOE装置のTCP/IP処理部で処理される。
TCP/IP処理部は、送信処理部211、受信処理部213、命令/伝送/受信/完了ドアーベル(CMD/SND/RECV/CPL Doorbells、207)、受信ペイロード保存部215、ソケットリソースプール及びソケット管理部(Socket Resource Pool&Socket Management、212)、送信DMA(Direct Memory Access)部205、受信DMA部209、送信処理エンジン部210、受信処理エンジン部214、送信ペイロード保存部216、送信IPエンジン部219、受信IPエンジン部222、IP再組合部218、ARPエンジン部221, MACインターフェイス229及びギガバイトMAC/PHYモジュール230、遮断パケット情報保存部225などを含み、受信したパケットをTCP/IP処理してホストに伝達する。
ホスト(Host、201)は、ネットワークプロトコルスタックを駆動するネットワークアプリケーション(Network Applications)202とソケット及びデータ送受信命令を受信してTOE装置に伝達し、侵入防止のためのシグネチャーを生成し、ACL及び遮断されたパケット情報をTOE装置から収集して管理するシグネチャー及びACL管理部203を含んでいる。
TOE装置の送信処理部211は、ネットワーク送信プロトコルを処理して伝送データを分割し、受信処理部213は受信したパケットのプロトコルを処理し、受信パケットがTCP分割パケットである場合はこれを再組合する。
命令/伝送/受信/完了ドアーベル207は、ホスト201から伝達されたソケット生成または削除命令、属性変更命令、TCP連結/解除命令などの伝送及び生成されたソケットに対してネットワークアプリケーションプログラムの要求したネットワークプロトコル基盤メッセージ送受信命令伝送、そしてそれぞれの命令に対する処理結果の伝送を保存している。
受信ペイロード保存部215は、外部から受信されたパケットのペイロードデータが保存されている。
ソケットリソースプール及びソケット管理部212は、送受信処理部211、213の制御により生成されたソケットの情報を保存し管理する。
送信DMA部205と受信DMA部209は、それぞれネットワークアプリケーションの送信データを運営体制による複写無しに直ちにTOE装置に伝送し、TOE装置により受信した受信データを運営体制による複写無しにネットワークアプリケーションに伝送する。
送信処理エンジン部210と受信処理エンジン部214は、該当プロトコルのヘッダー及びデータの送受信を処理する。送信ペイロード保存部216は、ホスト201から伝送された送信ペイロードデータを保存する。送信IPエンジン部219と受信IPエンジン部222は、IPヘッダーを送受信して処理する。
IP再組合部218は、受信したパケットがIP分割パケットである場合に、IP分割パケットを再組合し、ARPエンジン部221は、ARP(Address Resolution Protocol)パケットを送受信して処理する。
MACインターフェイス229とMAC/PHYモジュール230を通じてギガビットイーサネットなどのような外部ネットワークとデータを送受信する。
遮断パケット情報保存部225は、侵入パケットと判明されて遮断されたパケットの情報を保存し、一定の周期毎に、該当情報をホストに伝送する。
ネットワークを介した侵入防止部
ネットワークを介した侵入を防止するための構成部分は、パケットからヘッダー(header)とペイロード(payload)を抽出するヘッダー抽出部、抽出したヘッダーを検査するヘッダー検査部、抽出されたペイロードを検査しホストに伝達するペイロード処理部を含む。
ヘッダー抽出部228は、受信したパケットをヘッダーとペイロードデータとに分類する。
ヘッダー検査部は、アクセス制御リスト検査部226、アクセス制御リスト保存部227、シグネチャーマッチング検査部223、シグネチャー保存部220及びセッション検査部217を含む。
ACL保存部227は、接続の許容されたノードと接続が許容されないノードのIPアドレスなどの情報が保存されたアクセス制御リスト(Access Control List;以下‘ACL’という)を保存し、アクセス制御リスト検査部226は、抽出されたヘッダーのIPアドレスに基づき、受信したパケットが、接続の許容されたノードからのパケットであるかどうかを検査する。
シグネチャー保存部220は、侵入パケットのシグネチャーを保存し、シグネチャーマッチング検査部223はヘッダーに基づいてシグネチャー保存部220に保存された侵入パケットのシグネチャーとマッチングすることによって、受信したパケットが侵入パケットであるかどうかを検査する。
セッション検査部217は、非正常セッションの検査、即ち受信したパケットが正常連結されたソケットから受信したものであるかどうかを検査する。また、セッション検査部217は、受信したパケットのセッション帯域幅が一定の基準値以内であるかどうかを検査する。セッションの正常有無及び帯域幅を検査して侵入パケットであるかどうかをより正確に判別することができる。
シグネチャー/ACL DMA部206は、ホスト1のシグネチャー及びACL管理部203によるシグネチャー及びACLを伝送し、遮断パケットDMA部208は、受信した侵入パケットの情報をシグネチャー及びACL管理部203に伝送する。
パケット処理方法
図3は、本発明によるTOE装置において受信したパケットを処理する方法を概略的に示したプローチャートである。
TOE装置は、MACインターフェイス229を通じて、ネットワークパケットを受信する(S301ステップ)。受信されたパケットは、ヘッダー抽出部228によってヘッダーとペイロードとが分けられて抽出される(S302ステップ)。
抽出されたヘッダーに対してACL及びシグネチャーマッチング検査を実施する(S303ステップ)。ACL検査ではACL検査部226が、ACL保存部227に保存されたACLに受信したパケットを伝送したノードが含まれているかどうかを検査して、該当パケットが侵入パケットであるかどうかを判断する。
シグネチャーマッチング検査ではシグネチャーマッチング検査部223が、シグネチャー保存部220に保存されている侵入パケットのシグネチャーを通じて、受信パケットのヘッダーに対するパターンマッチングを行なって、該当パケットが侵入パケットであるかどうかを判断する。
ACL検査及びシグネチャーマッチング検査を通じて、該当パケットの許容可否を決定する(S305ステップ)。
受信したパケットが侵入パケットと判断された場合、該当パケットを削除し、該当パケットの情報を遮断パケット情報保存部225に保存する(S321ステップ)。保存された遮断パケットの情報は、一定の周期毎にホストに伝送される(S322ステップ)。遮断パケットDMA部208は、遮断パケットの情報をホストインターフェイス204を通じて、シグネチャー及びACL管理部203に伝達する。
シグネチャー及びACL管理部203は、収集された侵入パケット情報に基づいて一定の周期毎に新たなシグネチャーを生成して、シグネチャー/ACL DMA部206を通じて、シグネチャー保存部220に伝送する。シグネチャー保存部220は、受信したシグネチャーを通じて、シグネチャー情報をアップデートし、管理する(S323ステップ)。
ACL検査及びシグネチャーマッチング検査を通じて、侵入パケットでないと判断されれば、抽出されたヘッダーを通じてTCP/IP処理を実施する。
ACL検査及びシグネチャー検査をパスしたヘッダーを通じて、受信IPエンジン部222でIPプロトコルが処理される(S306ステップ)。
この際、IPプロトコル処理済みのパケットのヘッダーに対して、ソケットリソースプール及びソケット管理部212に保存されているソケットの情報を通じて、セッション検査を実行することもできる(S307ステップ)。
セッション検査では、セッション検査部217が、該当パケットが正常的なセッション、即ち正常連結されたソケットから受信したパケットであるかどうかまたは該当セッションの帯域幅が基準以上に過度に使用されるかどうかを検査し、この2つの検査いずれも実行することもできる。
セッション検査の結果を通じて、該当パケットの許容可否を判断する(S308ステップ)。正常的なセッションでなかったり、基準値以上の帯域幅を使用したセッションの場合は、該当パケットを侵入パケットと判断する。
侵入パケットと判断されれば、遮断パケット情報の処理過程(S321ステップ〜S323ステップ)を行う。
侵入パケットでないと判断されれば、受信処理部213を通じて、該当パケットに対するトランスポートプロトコル処理を行う(S309ステップ)。
トランスポートプロトコル処理されたヘッダー情報をホスト1に伝達する(S310ステップ)。
ヘッダー抽出部228から抽出されたペイロードに関する処理は、ヘッダーに関する処理と並列的に行われる。これにより、TOE装置のパケット処理速度を向上させることができる。
抽出されたペイロードは受信ペイロード保存部215に保存され、該当ペイロードが分割パケットのペイロードであるかどうかを一先ず判断する(S304ステップ)。
ペイロードが分割パケットのペイロードでない場合、即ち単一のパケットのペイロードと判断された場合は、ペイロードパターンに対するマッチング検査を実行する(S317ステップ)。
万一、該当パケットが分割パケットであるなら、IP分割パケットであるかどうかを判断する(S311ステップ)。該当パケットがIP分割パケットと判断されれば、IPプロトコル処理(S306ステップ)後、IP再組合部218によりIP分割パケットを再組合する(S313ステップ)。
IP分割パケットは、侵入防止システムのパターンマッチングがパケット単位で行われるという点を利用して侵入用データを分割、伝送して該当エンジンにより遮断されずに伝送しようとするときに悪用される。
最後の分割パケットが受信された場合(S314ステップ)、IP再組合済みの該当ペイロードに対するペイロードパターン検査がペイロードパターンマッチング部224により行われる(S317ステップ)。
該当パケットがTCP分割過程を経たパケットである場合は、トランスポートプロトコル処理(S309ステップ)後、TCP再組合の処理が受信処理部213により行われ(S315ステップ)、ペイロードパターンマッチング部224によりペイロードパターンマッチング検査が実行される(S317ステップ)。
この際、再組合されたペイロードが一定の基準量以上であるかどうかを判断して(S316ステップ)、基準量以上のペイロードが組合された場合にのみ、ペイロードに対するパターン検査を実行することもできる。
ペイロードに対するパターンマッチング検査(S317ステップ)の結果に応じて、パケットを許容するかどうかを決定する(S318ステップ)。
侵入パケットのペイロードでないと判断されれば、ホスト1にペイロードを伝送する(S320ステップ)。受信DMA部209は、運営体制による複写無しに該当ペイロードをネットワークアプリケーションに伝送する。
ペイロードパターンマッチング検査(S317ステップ)の結果、該当パケットが侵入パケットと判断された場合は、該当ペイロードを受信ペイロード保存部215で削除し遮断パケット情報の処理過程(S321ステップ〜S322ステップ)を行う。
図面を参照して本発明の実施の形態を説明したが、図面を参照して説明した上記の実施の形態は、本発明の技術的範囲を限定しておらず、本発明の技術的思想の範囲内で十分変形または修正され得る。

Claims (20)

  1. パケットを受信して、ヘッダーとペイロードを抽出し、
    前記ペイロードに対してパターンマッチング検査後、検査をパスしたペイロードをホストに伝達し、
    前記ヘッダーに対して、前記パケットが侵入パケットであるかどうかを判別するヘッダー検査及びTCP/IP処理を実行することを含むTOE(TCP/IP Offload Engine)装置のパケット処理方法。
  2. 前記ペイロードに対するパターンマッチング検査は、前記ペイロードが単一のパケットのペイロードであるか、分割パケットのペイロードであるかを判断し、
    前記判断の結果、
    前記ペイロードが単一のパケットのペイロードであれば、パターンマッチング検査を実行し、
    前記ペイロードが分割パケットのペイロードであれば、パケットを再組合してパターンマッチング検査を実行する請求項1に記載のTOE装置のパケット処理方法。
  3. 前記分割パケットに対するパケット再組合は、
    前記分割パケットがIP分割パケットである場合は、IPプロトコル処理後にパケットを再組合し、
    前記分割パケットがTCP分割パケットである場合は、トランスポートプロトコル処理後にパケットを再組合する請求項2に記載のTOE装置のパケット処理方法。
  4. 前記TCP分割パケットのペイロードに対するパターンマッチング検査は、
    前記パケット再組合によるペイロードの大きさが基準値以上の場合にのみ実行する請求項3に記載のTOE装置のパケット処理方法。
  5. 前記ペイロードのパターン検査の結果、
    前記パケットが侵入パケットと判断されれば、前記ペイロードを削除し、前記パケットの情報を保存し、
    前記保存したパケット情報を周期的にホストに伝送する請求項2に記載のTOE装置のパケット処理方法。
  6. 前記ホストから周期的に新たなシグネチャーを受信する請求項5に記載のTOE装置のパケット処理方法。
  7. 前記ヘッダー検査では、前記パケットを伝送したノードがアクセス制御リストに含まれているかどうかを判断するアクセス制御リスト検査及び保存されている攻撃パケットのシグネチャーが前記ヘッダーのパターンとマッチングされるかどうかを判断するシグネチャー検査を含み、
    前記TCP/IP処理は、前記アクセス制御リスト及びシグネチャー検査をパスしたヘッダーに対してIPプロトコル処理及びトランスポートプロトコル処理を実行する請求項1に記載のTOE装置のパケット処理方法。
  8. 前記ヘッダー検査は、前記IPプロトコル処理されたヘッダーに対するセッション検査をさらに含み、
    前記トランスポートプロトコル処理は、前記セッション検査をパスしたヘッダーに対して実行される請求項7に記載のTOE装置のパケット処理方法。
  9. 前記セッション検査は、
    保存しているソケット情報と比較して、前記パケットが正常連結されたソケットから受信したパケットであるかどうかを検査する請求項8に記載のTOE装置のパケット処理方法。
  10. 前記セッション検査は、
    前記パケットのセッション帯域幅が基準値以内であるかどうかを検査する請求項8に記載のTOE装置のパケット処理方法。
  11. 前記ヘッダー検査の結果、
    受信したパケットが侵入パケットと判断されれば、前記パケットを削除し、前記パケットの情報を保存し、
    前記保存したパケット情報を周期的にホストに伝達する請求項7または8に記載のTOE装置のパケット処理方法。
  12. 前記ホストから周期的に新たなシグネチャーを受信する請求項11に記載のTOE装置のパケット処理方法。
  13. 受信したパケットのヘッダーとペイロードを抽出するヘッダー抽出部と、
    前記抽出されたペイロードを処理するペイロード処理部と、
    前記抽出されたヘッダーを検査するヘッダー検査部と、及び
    前記ヘッダーに対するTCP/IP処理を実行するTCP/IP処理部と、を含むTOE装置。
  14. 前記ペイロード処理部は、ペイロードに対するパターンマッチング検査を実行するペイロードパターンマッチング部を含み、
    前記TCP/IP処理部は、受信したペイロードを保存するペイロード保存部と、侵入パケットと判断されたパケットの情報を保存する遮断パケット情報保存部と、を含み、
    前記パターンマッチング部は、
    前記ペイロード保存部に保存されたペイロードに対して、パターンマッチング検査を実行して、侵入パケットのペイロードと判断された場合は、遮断パケット情報保存部に前記侵入パケットの情報を保存し、侵入パケットのペイロードでないと判断された場合は、前記ペイロードをホストに伝達する請求項13に記載のTOE装置。
  15. 前記受信パケットがIP分割パケットである場合に、
    前記TCP/IP処理部は、前記ペイロード保存部に前記分割パケットのペイロードを保存し、前記分割パケットのヘッダーに対するIPプロトコル処理後に、前記分割パケットのペイロードを再組合し、
    前記ペイロード処理部は、前記再組合されたペイロードに対するパターンマッチング検査を実行する請求項14に記載のTOE装置。
  16. 前記受信パケットがTCP分割パケットである場合に、
    前記TCP/IP処理部は、前記ペイロード保存部に前記分割パケットのペイロードを保存し、前記分割パケットのヘッダーに対するトランスポートプロトコル処理後に、前記分割パケットのペイロードを再組合し、
    前記ペイロード処理部は、前記再組合されたペイロードに対するパターンマッチング検査を実行する請求項14に記載のTOE装置。
  17. 前記ペイロード処理部は、
    前記再組合されたペイロードの大きさが基準値以上の場合にのみ、パターンマッチング検査を実行する請求項16に記載のTOE装置。
  18. 前記TCP/IP処理部は、侵入パケットと判断されたパケットの情報を保存する遮断パケット情報保存部を含み、
    前記ヘッダー検査部は、アクセス制御リスト(Access Control List;ACL)を保存したACL保存部と、ホストから周期的に受信したシグネチャーを保存したシグネチャー保存部と、前記ヘッダーに対して、前記アクセス制御リストに含まれているかどうかを検査するACL検査部と、前記ヘッダーに対して、前記シグネチャーとのマッチング有無を検査するシグネチャーマッチング検査部と、を含み、
    前記ACL検査部及びシグネチャーマッチング検査部は、前記検査の結果、前記ヘッダーが侵入パケットのヘッダーと判断した場合は、前記侵入パケットの情報を前記遮断パケット情報保存部に保存し、前記ヘッダーが侵入パケットのヘッダーでないと判断した場合は、前記ヘッダーをTCP/IP処理部に伝達する請求項13に記載のTOE装置。
  19. 前記ヘッダー検査部は、ヘッダーに対するセッション検査を実行するセッション検査部をさらに含み、
    前記セッション検査部は、前記TCP/IP処理部でIPプロトコル処理されたヘッダーに対して、前記パケットが正常連結されたソケットから受信したパケットであるかまたは前記パケットのセッション帯域幅が基準値以内であるかどうかを検査し、
    前記TCP/IP処理部は、前記セッション検査をパスしたヘッダーに対して、トランスポートプロトコル処理を実行する請求項18に記載のTOE装置。
  20. 前記遮断パケット情報保存部は、
    保存した遮断パケットの情報を周期的に前記ホストに伝達する請求項14ないし19のうちいずれか一つに記載のTOE装置。
JP2009208615A 2008-12-22 2009-09-09 パケット処理方法及びこれを用いたtoe装置 Pending JP2010148090A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131746A KR101221045B1 (ko) 2008-12-22 2008-12-22 패킷 처리 방법 및 이를 이용한 toe 장치

Publications (1)

Publication Number Publication Date
JP2010148090A true JP2010148090A (ja) 2010-07-01

Family

ID=42268109

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009208615A Pending JP2010148090A (ja) 2008-12-22 2009-09-09 パケット処理方法及びこれを用いたtoe装置

Country Status (3)

Country Link
US (1) US20100162382A1 (ja)
JP (1) JP2010148090A (ja)
KR (1) KR101221045B1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120020374A1 (en) * 2010-07-26 2012-01-26 Kenneth Jonsson Method and System for Merging Network Stacks
US8776243B2 (en) 2012-04-27 2014-07-08 Ixia Methods, systems, and computer readable media for combining IP fragmentation evasion techniques
CN102970329A (zh) * 2012-10-26 2013-03-13 广东石油化工学院 基于历史特征的fast tcp公平性改进算法
KR102280543B1 (ko) 2014-12-01 2021-07-26 삼성전자주식회사 전자 디바이스의 작업 수행 장치 및 방법
JP6598188B2 (ja) * 2015-02-27 2019-10-30 株式会社エヴリカ 情報処理装置、方法およびプログラム
KR101639428B1 (ko) * 2015-04-29 2016-07-13 한전케이디엔 주식회사 보드기반 단방향 통신제어 시스템
CN106302351B (zh) * 2015-06-03 2019-10-15 华为技术有限公司 收集访问控制列表的方法、装置及系统
TWI735585B (zh) * 2017-05-26 2021-08-11 瑞昱半導體股份有限公司 具有網路功能的資料管理電路及基於網路的資料管理方法
GB2559431B (en) * 2017-06-01 2020-09-02 Garrison Tech Ltd Web server security
CN110958213B (zh) * 2018-09-27 2021-10-22 华为技术有限公司 处理tcp报文的方法、toe组件以及网络设备
KR102151987B1 (ko) * 2018-11-23 2020-09-04 한국과학기술원 프록시 서버에서 프록시 서버 기능을 호스트에서 네트워크 어댑터로 동적으로 이양하는 방법 및 이를 수행하는 프록시 서버

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269486A (ja) * 2004-03-22 2005-09-29 Hitachi Ltd インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
JP2005354334A (ja) * 2004-06-10 2005-12-22 Mitsubishi Electric Corp データ列検索装置、不正侵入検知遮断装置、データ列検索方法およびデータ列検索プログラム
JP2006041969A (ja) * 2004-07-28 2006-02-09 Mitsubishi Electric Corp ネットワーク監視装置及びネットワーク監視方法及びプログラム
JP2006100874A (ja) * 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
WO2007027508A2 (en) * 2005-08-29 2007-03-08 Winnow Technologies, Inc. Method and system for reassembling packets prior to searching
WO2007079095A2 (en) * 2005-12-30 2007-07-12 Pandya Ashish A Runtime adaptable search processor
JP2008524970A (ja) * 2004-12-21 2008-07-10 クゥアルコム・インコーポレイテッド クライアント援用ファイヤウオール構造

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176298B2 (en) * 2002-10-08 2012-05-08 Netlogic Microsystems, Inc. Multi-core multi-threaded processing systems with instruction reordering in an in-order pipeline
KR100490729B1 (ko) * 2003-05-20 2005-05-24 한국전자통신연구원 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법
KR100558658B1 (ko) * 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
US6996070B2 (en) * 2003-12-05 2006-02-07 Alacritech, Inc. TCP/IP offload device with reduced sequential processing
US20060168273A1 (en) * 2004-11-03 2006-07-27 Ofir Michael Mechanism for removing data frames or packets from data communication links
KR100639996B1 (ko) * 2004-12-07 2006-10-31 한국전자통신연구원 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269486A (ja) * 2004-03-22 2005-09-29 Hitachi Ltd インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
JP2005354334A (ja) * 2004-06-10 2005-12-22 Mitsubishi Electric Corp データ列検索装置、不正侵入検知遮断装置、データ列検索方法およびデータ列検索プログラム
JP2006041969A (ja) * 2004-07-28 2006-02-09 Mitsubishi Electric Corp ネットワーク監視装置及びネットワーク監視方法及びプログラム
JP2006100874A (ja) * 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
JP2008524970A (ja) * 2004-12-21 2008-07-10 クゥアルコム・インコーポレイテッド クライアント援用ファイヤウオール構造
WO2007027508A2 (en) * 2005-08-29 2007-03-08 Winnow Technologies, Inc. Method and system for reassembling packets prior to searching
JP2009510815A (ja) * 2005-08-29 2009-03-12 株式会社コネクトテクノロジーズ サーチ前のパケットのリアセンブル方法及びシステム
WO2007079095A2 (en) * 2005-12-30 2007-07-12 Pandya Ashish A Runtime adaptable search processor
JP2009523275A (ja) * 2005-12-30 2009-06-18 アシシュ エイ パンドヤ ランタイム適応サーチプロセッサ

Also Published As

Publication number Publication date
US20100162382A1 (en) 2010-06-24
KR101221045B1 (ko) 2013-01-10
KR20100073153A (ko) 2010-07-01

Similar Documents

Publication Publication Date Title
JP2010148090A (ja) パケット処理方法及びこれを用いたtoe装置
US7797749B2 (en) Defending against worm or virus attacks on networks
US8121148B2 (en) Protocol stack using shared memory
US7440406B2 (en) Apparatus for displaying network status
JP4743894B2 (ja) データ・パケットを伝送しながらセキュリティを改良するための方法及び装置
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
US20090086736A1 (en) Notification of out of order packets
US20090055930A1 (en) Content Security by Network Switch
CN111800401B (zh) 业务报文的防护方法、装置、系统和计算机设备
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
JP6502902B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
US8687505B2 (en) Apparatus and method for controlling traffic
EP3948615A1 (en) Applying attestation to segment routing
US11252184B2 (en) Anti-attack data transmission method and device
CN113765849B (zh) 一种异常网络流量检测方法和装置
JP2008205954A (ja) 通信情報監査装置、方法及びプログラム
WO2019240054A1 (ja) 通信装置、パケット処理方法及びプログラム
EP3346663B1 (en) Apparatus, system, and method for accelerating security inspections using inline pattern matching
US20090285207A1 (en) System and method for routing packets using tags
CN101364895B (zh) 高性能宽带互联网网络行为实时分析及管理系统
CN108900383B (zh) 基于私有head的数据镜像方法
US8149709B2 (en) Serialization queue framework for transmitting packets
WO2020158896A1 (ja) 通信装置
CN113453278A (zh) 一种基于5g upf下的tcp包分段组包方法及终端
CN107277060B (zh) 一种数据包处理的方法及装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110318

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110617

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110621

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110622

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110816