KR100757076B1 - Network device having flow-rate management function - Google Patents
Network device having flow-rate management function Download PDFInfo
- Publication number
- KR100757076B1 KR100757076B1 KR1020060027380A KR20060027380A KR100757076B1 KR 100757076 B1 KR100757076 B1 KR 100757076B1 KR 1020060027380 A KR1020060027380 A KR 1020060027380A KR 20060027380 A KR20060027380 A KR 20060027380A KR 100757076 B1 KR100757076 B1 KR 100757076B1
- Authority
- KR
- South Korea
- Prior art keywords
- flow
- hosts
- amount
- threshold
- flows
- Prior art date
Links
Images
Classifications
-
- A—HUMAN NECESSITIES
- A01—AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
- A01K—ANIMAL HUSBANDRY; CARE OF BIRDS, FISHES, INSECTS; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
- A01K63/00—Receptacles for live fish, e.g. aquaria; Terraria
- A01K63/04—Arrangements for treating water specially adapted to receptacles for live fish
- A01K63/042—Introducing gases into the water, e.g. aerators, air pumps
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B01—PHYSICAL OR CHEMICAL PROCESSES OR APPARATUS IN GENERAL
- B01F—MIXING, e.g. DISSOLVING, EMULSIFYING OR DISPERSING
- B01F23/00—Mixing according to the phases to be mixed, e.g. dispersing or emulsifying
- B01F23/20—Mixing gases with liquids
- B01F23/23—Mixing gases with liquids by introducing gases into liquid media, e.g. for producing aerated liquids
Abstract
Description
도 1은 본 발명의 실시예에 따른 네트워크 장비 및 호스트들의 연결상태를 보여주는 도면,1 is a view showing a connection state of network equipment and hosts according to an embodiment of the present invention,
도 2는 본 발명의 실시예에 따른 네트워크 장비의 구성을 보여주는 도면,2 is a view showing the configuration of network equipment according to an embodiment of the present invention;
도 3은 본 발명의 실시예에 따른 플로우량 제어기능을 갖는 네트워크 장비에 의해 플로우량을 조절하는 방법을 설명하기 위한 신호흐름도이다.3 is a signal flow diagram illustrating a method of adjusting a flow amount by a network equipment having a flow amount control function according to an embodiment of the present invention.
본 발명에 따른 도면들에서 실질적으로 동일한 구성과 기능을 가진 구성요소들에 대하여는 동일한 참조부호를 사용한다.In the drawings according to the present invention, the same reference numerals are used for components having substantially the same configuration and function.
*도면의 주요부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *
110 : 플로우량 임계값 설정부110: flow amount threshold setting unit
120 : 플로우량 모니터링부120: flow rate monitoring unit
130 : 플로우량 조절부130 flow rate control unit
본 발명은 플로우량 조절기능을 갖는 네트워크 장비에 관한 것으로, 더욱 상세하게는 일정 주기동안 네트워크 장비에 유입되는 플로우의 양을 조절함으로써 해커들의 공격으로부터 보호가 가능한 네트워크 장비에 관한 것이다.The present invention relates to a network equipment having a flow amount control function, and more particularly to a network equipment that can be protected from attack by hackers by adjusting the amount of flow flowing into the network equipment for a certain period.
인터넷은 1990년대 초 월드 와이드 웹(World wide web : www)의 등장 이후로 일반인들에게 개방되었으며, 인터넷 이용자들의 폭발적인 증가로 인터넷 트래픽이 급속도로 팽창되고 있으며, 지속적으로 다양한 서비스들이 출현하고 있다.The Internet has been open to the public since the advent of the World Wide Web in the early 1990s, and the explosive growth of Internet users has led to the rapid expansion of Internet traffic and the continued emergence of various services.
또한, 최근의 네트워크는 과거와 달리 대용량의 이미지, 동영상, 시간지연에 민감한 멀티미디어 데이터, 보안과 기밀성이 요구되는 데이터 등 다양하고, 복잡한 유형의 트래픽이 혼재하여 대역폭의 양적 증가를 가중시키고 있다.In addition, unlike the past, the recent network has increased the amount of bandwidth due to the mixing of various and complex types of traffic such as large images, video, time-sensitive multimedia data, and data requiring security and confidentiality.
인터넷 사용이 급속히 팽창하면서 네트워크 환경에서 특히 문제가 될 수 있는 것은 외부로부터의 해킹을 막을 수 있는 네트워크 보안의 문제이다.As the use of the Internet expands rapidly, a particular problem in the network environment is the problem of network security that can prevent hacking from the outside.
해커들에 의해 가장 많이 사용되고 있는 해킹방법 중의 하나가 DoS(Denial of Service) 공격방법이다. DoS 공격방법은 네트워크(Network)에 과도한 트래픽(Traffic)을 발생시킴으로써 서버(Server)나 웹사이트(Web Site) 등의 중요한 자원들을 점유하게 되며, 해당 DoS 공격을 받게 되면 시스템이 정지하거나 시스템이 네트워크로 트래픽을 발생시키므로 네트워크가 과부하에 걸려 정지되기도 한다.One of the most frequently used hacking methods by hackers is the DoS (Denial of Service) attack method. DoS attack method generates excessive traffic on the network and occupies important resources such as server or web site, and when the DoS attack is received, the system is stopped or the system is This can cause heavy traffic, causing the network to become overloaded and shut down.
DoS 공격은 다양한 방법으로 공격이 가능하며, 그 중에서도 많은 양의 패킷을 계속적으로 보내어 패킷들을 네트워크가 수용하지 못할 정도로 넘치게 하는 패킷 플러딩 방법이 많이 사용하고 있다.DoS attacks can be attacked in a variety of ways, many of which use packet flooding, which continuously sends a large amount of packets, causing the packets to overflow beyond the network's capacity.
특히, 플로우 기반 네트워크 장비에서는 DoS 공격에 의해 짧은 시간 내에 과 도한 플로우를 관리하게 됨으로써 장비 성능의 하락을 유발할 수 있기 때문에 네트워크 장비로 특정 사용자 호스트나 네트워크를 향하여 과도한 플로우가 유입하는 경우 이를 주기적으로 탐지하고 사용자들의 호스트로 전달되지 않도록 할 수 있는 네트워크 장비의 개발이 절실히 요구된다.In particular, flow-based network equipment manages excessive flows in a short time due to DoS attacks, which can lead to deterioration of the equipment's performance. Therefore, it periodically detects excessive flows to a specific user host or network. There is an urgent need for the development of network equipment that can be used and not delivered to a host of users.
본 발명은 상기의 요구를 고려하여 창안된 것으로, 본 발명의 목적은 네트워크 장비로 유입되는 플로우들을 이를 주기적으로 탐지하고 과도한 플로우가 유입될 경우 사용자들의 호스트로 전달되지 않도록 막을 수 있는 네트워크 장비를 제공하는데 있다.The present invention was devised in consideration of the above requirements, and an object of the present invention is to provide a network device that can detect flows flowing into the network equipment periodically and prevent them from being delivered to a host of users when excessive flows are introduced. It is.
상기의 목적을 달성하기 위한 본 발명의 구성은 복수의 호스트들에 연결되는 네트워크 장비에 있어서, 외부로부터 상기 호스트들 각각에 소정 주기동안 유입되는 플로우의 양에 대한 임계값을 설정하는 플로우량 임계값 설정부; 상기 호스트들 각각에 소정 주기동안 유입되는 플로우의 양이 상기 임계값 설정부에서 설정된 임계값을 상회하는지 여부를 모니터링하는 플로우량 모니터링부; 상기 호스트들 각각에 유입되는 플로우의 양을 조절하는 플로우량 조절부;를 포함하는 것을 특징으로 한다.In order to achieve the above object, a configuration of the present invention provides a network amount connected to a plurality of hosts, the flow amount threshold setting the threshold value for the amount of flow flowing into each of the hosts from the outside for a predetermined period Setting unit; A flow amount monitoring unit configured to monitor whether the amount of flow flowing into each of the hosts for a predetermined period exceeds a threshold set by the threshold setting unit; It characterized in that it comprises a; flow amount adjusting unit for adjusting the amount of flow flowing into each of the hosts.
바람직할 실시예에 있어서, 상기 플로우량 조절부는 상기 호스트들 각각에 유입되는 플로우량이 상기 임계값을 초과하는 경우 임계값을 초과하는 호스트에 유입되는 플로우를 차단한다.In a preferred embodiment, the flow rate adjusting unit blocks the flow flowing into the host that exceeds the threshold value when the flow amount flowing into each of the hosts exceeds the threshold.
바람직할 실시예에 있어서, 상기 플로우량 조절부는 상기 네트워크 장비에 연결되는 호스트들로부터 외부로 나가는 플로우들은 상기 임계값에 관계없이 처리한다.In a preferred embodiment, the flow rate adjusting unit processes outgoing flows from hosts connected to the network equipment regardless of the threshold value.
상기의 목적을 달성하기 위한 본 발명의 방법은 복수의 호스트들에 연결되는 네트워크 장비에 유입되는 플로우들을 제어하는 방법에 있어서, 외부로부터 상기 호스트들 각각에 소정 주기동안 유입되는 플로우의 양에 대한 임계값을 설정하는 플로우량 임계값 설정하는 단계; 상기 호스트들 각각에 소정 주기동안 유입되는 플로우의 양이 상기 설정된 임계값을 상회하는지 여부를 주기적으로 모니터링하는 단계; 상기 호스트들 각각에 유입되는 플로우의 양을 조절하는 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a method for controlling flows flowing into network equipment connected to a plurality of hosts, the method comprising: a threshold for an amount of flows flowing from the outside to each of the hosts for a predetermined period; Setting a flow amount threshold for setting a value; Periodically monitoring whether the amount of flow flowing into each of the hosts for a predetermined period exceeds the set threshold; And adjusting the amount of flow flowing into each of the hosts.
바람직할 실시예에 있어서, 상기 플로우량 조절단계는 상기 호스트들 각각에 유입되는 플로우량이 상기 임계값을 초과하는 경우 임계값을 초과하는 호스트에 유입되는 플로우를 차단하며, 다만, 상기 네트워크 장비에 연결되는 호스트들로부터 외부로 나가는 플로우들은 상기 임계값에 관계없이 처리하지 않고 정상적으로 처리되도록 한다.In a preferred embodiment, the step of adjusting the flow rate blocks the flow flowing into the host that exceeds the threshold when the flow amount flowing into each of the hosts exceeds the threshold, but connects to the network equipment. Outgoing flows from the hosts become processed normally without processing regardless of the threshold value.
이하 첨부한 도면을 참조하여 본 발명의 실시예를 상세히 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
네트워크장비에 연결되는 각 호스트에 입력되는 플로우량을 제어하기 위하여 본 발명의 실시예에 따른 네트워크장비에서는 상기 호스트들 각각에 입력되는 플로우량 임계값을 설정할 수 있도록 하고, 각 호스트에 입력되는 플로우량을 모니터링하면서 미리 설정한 플로우량 임계값을 초과하여 플로우가 입력되는지 여부를 감시하여 설정된 플로우량을 초과하는 경우에는 각 호스트별로 설정된 플로우량 임계값 이내로 플로우의 개수가 줄어들도록 입력되는 플로우를 차단하거나 또는 감소시키는 방법을 사용한다.In order to control the flow amount input to each host connected to the network equipment, the network equipment according to an embodiment of the present invention enables to set a flow amount threshold value input to each of the hosts, and the flow amount input to each host. Monitors whether the flow is input by exceeding the preset flow rate threshold, and if the flow rate is exceeded, the input flow is blocked to reduce the number of flows within the flow rate threshold set for each host, or Or a reduction method.
도 1은 본 발명의 실시예에 따른 네트워크 장비 및 호스트들의 연결상태를 보여주는 도면이고, 도 2는 본 발명의 실시예에 따른 네트워크 장비의 구성을 보여주는 도면이며, 도 3은 본 발명의 실시예에 따른 플로우량 제어기능을 갖는 네트워크 장비에 의해 플로우량을 조절하는 방법을 설명하기 위한 신호흐름도이다.1 is a view showing a connection state of the network equipment and the host according to an embodiment of the present invention, Figure 2 is a view showing the configuration of the network equipment according to an embodiment of the present invention, Figure 3 is an embodiment of the present invention Signal flow diagram for explaining a method for adjusting the flow rate by the network equipment having a flow rate control function according to the.
도면들을 참조하면, 각 호스트들(210, 220, 230, 240)은 네트워크 장비(100)에 연결되고, 상기 네트워크 장비(100)는 인터넷망을 통하여 외부의 호스트들(301~306)에 연결된다.Referring to the drawings, each of the
상기 네트워크 장비(100)는 플로우량 임계값 설정부(110), 플로우량 모니터링부(120) 및 플로우량 조절부(130)를 포함하여 구성된다.The
상기 플로우량 설정부(110)에서는 상기 네트워크 장비(100)를 통해 상기 각 호스트들(210, 220, 230, 240)에 유입되는 플로우량에 대한 임계값을 설정한다(S110).The flow amount setting unit 110 sets a threshold value for the flow amount flowing into each of the
각 호스트들(210, 220, 230, 240)에 대한 임계값은 호스트들의 특성에 따라 서로 다르게 설정될 수 있다.Thresholds for the
예를 들면, 상기 호스트1(210)은 초당 플로우 임계값을 100개로 하고, 상기 호스트2(220)는 초당 플로우 임계값을 110개로 하고, 상기 호스트3(230)은 초당 플로우 임계값을 90개로 하고, 상기 호스트4(240)는 초당 플로우 임계값을 100개로 하는 등 각 호스트들(210, 220, 230, 240)의 초당 플로우 임계값을 서로 다르게 또는 동일하게 설정한다.For example, Host 1 210 sets the flow threshold per second to 100, Host 2 220 sets the flow threshold to 110 per second, and Host 3 230 sets the flow threshold to 90 per second. The host 4 240 sets the flow thresholds per second of the
상기 플로우량 모니터링부(120)는 상기 네트워크 장비(100)를 통해 유입되는 상기 각 호스트들(210, 220, 230, 240)을 목적지로 하는 플로우들이 상기 플로우량 임계값 설정부(110)에서 설정된 임계값을 초과하는지 여부를 모니터링한다(S120). 상기 플로우량 모니터링부(120)는 초당 상기 호스트1(210)을 목적지로 하여 유입되는 플로우들의 수를 카운트하여, 초당 플로우들의 수가 임계값인 100을 초과하는지 여부를 모니터링하며, 나머지 호스트들에 대해서도 동일한 방법으로 플로우량을 모니터링한다.The flow
상기 플로우량 조절부(130)는 상기 호스트들(210, 220, 230, 240) 각각에 유입되는 플로우량이 상기 임계값을 초과하는 경우 임계값을 초과하는 호스트에 유입되는 플로우를 차단하여 유입되는 플로우량이 감소되도록 한다(S130, S131). 이때 상기 플로우량 조절부(130)는 상기 각 호스트들(210, 220, 230, 240)에서 네트워크 장비(100)를 통해 외부의 호스트들(301~306)로 나가는 플로우들은 상기 임계값이 초과된 상태라 하더라도 플로우들은 차단하지 않고 상기 네트워크 장비를 통해 외 부의 호스트들로 정상적으로 전달되도록 한다. 상기 임계값은 상기 네트워크 장비(100)를 통해 외부로부터 상기 각 호스트들(210, 220, 230, 240)로 유입되는 플로우들의 개수에 대한 임계값이지 상기 각 호스트들(210, 220, 230, 240)로부터 상기 네트워크 장비(100)를 통해 외부로 나가는 플로우들의 개수에 대한 임계값이 아니기 때문이다. 또한, 본 발명에서 유입되는 플로우들에 대한 임계값을 설정하고 임계값을 초과하는지 여부를 모니터링하는 것은 외부로부터의 DoS공격을 막고자하는 것이므로, 외부로부터 유입되는 플로우가 아닌 상기 네트워크 장비에 연결되어 있는 호스트들로부터 외부로 나가는 플로우는 해당 호스트를 공격하기 위한 플로우라고 볼 수 없기 때문에 대해서는 차단할 필요가 없다.The flow
상기 호스트1(210)에 입력되는 플로우들의 수가 설정된 임계값인 100을 초과할 경우 100을 초과하여 입력되는 플로우들은 상기 호스트1(210)에 입력되지 못하도록 차단하며, 이때 상기 각 호스트1(210)에서 네트워크 장비(100)를 통해 외부의 호스트들(301~306)로 나가는 플로우들은 차단하지 않는다.When the number of flows input to the host 1 210 exceeds 100, which is a set threshold value, flows that are inputted above 100 are blocked from being input to the host 1 210, and each host 1 210 is blocked. Flows to the
이상에서, 본 발명의 구성 및 동작을 상기한 설명 및 도면에 따라 도시하였지만, 이는 예를 들어 설명한 것에 불과하며 본 발명의 기술적 사상 및 범위를 벗어나지 않는 범위 내에서 다양한 변화 및 변경이 가능함은 물론이다.In the above, the configuration and operation of the present invention has been shown in accordance with the above description and drawings, but this is merely described, for example, and various changes and modifications are possible without departing from the spirit and scope of the present invention. .
상술한 바와 같이 본 발명에 의하면, 플로우 기반 네트워크 장비에서 네트워 크 장비로 유입되는 플로우들을 주기적으로 탐지하고 설정된 임계치를 초과하는 과도한 플로우가 유입될 경우 사용자들의 호스트로 전달되지 않도록 차단함으로써 DoS 공격으로부터 호스트들을 보호할 수 있다는 장점이 있다. As described above, according to the present invention, a host from a DoS attack is detected by periodically detecting flows flowing from the flow-based network equipment to the network equipment and blocking the flow of excessive flows exceeding a set threshold to be delivered to the host of users. There is an advantage to protect them.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060027380A KR100757076B1 (en) | 2006-03-27 | 2006-03-27 | Network device having flow-rate management function |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060027380A KR100757076B1 (en) | 2006-03-27 | 2006-03-27 | Network device having flow-rate management function |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100757076B1 true KR100757076B1 (en) | 2007-09-10 |
Family
ID=38737145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060027380A KR100757076B1 (en) | 2006-03-27 | 2006-03-27 | Network device having flow-rate management function |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100757076B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101042291B1 (en) | 2009-11-04 | 2011-06-17 | 주식회사 컴트루테크놀로지 | System and method for detecting and blocking to distributed denial of service attack |
WO2015080525A1 (en) * | 2013-11-28 | 2015-06-04 | 주식회사 케이티 | Method and apparatus for dynamic traffic control in sdn environment |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030235209A1 (en) | 2002-06-25 | 2003-12-25 | Sachin Garg | System and method for providing bandwidth management for VPNs |
KR20040063494A (en) * | 2003-01-08 | 2004-07-14 | 주식회사 케이티 | Device for diagnosing stability of link using a feature of traffic in internet protocol network and method therof |
KR20050066049A (en) * | 2003-12-26 | 2005-06-30 | 한국전자통신연구원 | Apparatus for protecting dos and method thereof |
KR20060012134A (en) * | 2004-08-02 | 2006-02-07 | 주식회사 케이티 | Realtime service management system for enterprise and a method thereof |
-
2006
- 2006-03-27 KR KR1020060027380A patent/KR100757076B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030235209A1 (en) | 2002-06-25 | 2003-12-25 | Sachin Garg | System and method for providing bandwidth management for VPNs |
KR20040063494A (en) * | 2003-01-08 | 2004-07-14 | 주식회사 케이티 | Device for diagnosing stability of link using a feature of traffic in internet protocol network and method therof |
KR20050066049A (en) * | 2003-12-26 | 2005-06-30 | 한국전자통신연구원 | Apparatus for protecting dos and method thereof |
KR20060012134A (en) * | 2004-08-02 | 2006-02-07 | 주식회사 케이티 | Realtime service management system for enterprise and a method thereof |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101042291B1 (en) | 2009-11-04 | 2011-06-17 | 주식회사 컴트루테크놀로지 | System and method for detecting and blocking to distributed denial of service attack |
WO2015080525A1 (en) * | 2013-11-28 | 2015-06-04 | 주식회사 케이티 | Method and apparatus for dynamic traffic control in sdn environment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20070140275A1 (en) | Method of preventing denial of service attacks in a cellular network | |
US7457965B2 (en) | Unauthorized access blocking apparatus, method, program and system | |
EP1592197B1 (en) | Network amplification attack mitigation | |
US20110119761A1 (en) | Mitigating Low-Rate Denial-of-Service Attacks in Packet-Switched Networks | |
US9253153B2 (en) | Anti-cyber hacking defense system | |
CA2540802A1 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
WO2008148106A1 (en) | Proactive test-based differentiation method and system to mitigate low rate dos attacks | |
KR100858271B1 (en) | Method and system for defensing distributed denial of service | |
JP2007060379A (en) | Defense method, system, and program against attack in sip server | |
CN102577240B (en) | The method and apparatus carrying out virus for adopting rate limit and control | |
KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
US20060120284A1 (en) | Apparatus and method for controlling abnormal traffic | |
CN107438066B (en) | DoS/DDoS attack defense module and method based on SDN controller | |
WO2016139910A1 (en) | Communication system, communication method, and non-transitory computer readable medium storing program | |
US8203941B2 (en) | Virus/worm throttle threshold settings | |
KR100757076B1 (en) | Network device having flow-rate management function | |
US20070140121A1 (en) | Method of preventing denial of service attacks in a network | |
KR100609684B1 (en) | Apparatus for protecting DoS and Method thereof | |
JP2006067078A (en) | Network system and attack defense method | |
Zhu et al. | Research and survey of low-rate denial of service attacks | |
KR100756462B1 (en) | Method for management a self-learning data in Intrusion prevention system and Method for handling a malicious traffic using the same | |
Hayashi et al. | Method for detecting low-rate attacks on basis of burst-state duration using quick packet-matching function | |
KR100671044B1 (en) | A system and method for analyzing malicious traffic in internal network | |
KR20010082018A (en) | Technique of defending against network flooding attacks using a connectionless protocol | |
KR20080040257A (en) | Method and apparatus for early detecting unknown worm and virus in network level |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
G170 | Publication of correction | ||
FPAY | Annual fee payment |
Payment date: 20120918 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20130827 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140829 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150825 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20160826 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20180827 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190829 Year of fee payment: 13 |