KR101023094B1 - 실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법 - Google Patents

실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법 Download PDF

Info

Publication number
KR101023094B1
KR101023094B1 KR1020090066708A KR20090066708A KR101023094B1 KR 101023094 B1 KR101023094 B1 KR 101023094B1 KR 1020090066708 A KR1020090066708 A KR 1020090066708A KR 20090066708 A KR20090066708 A KR 20090066708A KR 101023094 B1 KR101023094 B1 KR 101023094B1
Authority
KR
South Korea
Prior art keywords
packet
information
signal
normal
transmitted
Prior art date
Application number
KR1020090066708A
Other languages
English (en)
Other versions
KR20110009350A (ko
Inventor
김명하
송현호
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Priority to KR1020090066708A priority Critical patent/KR101023094B1/ko
Publication of KR20110009350A publication Critical patent/KR20110009350A/ko
Application granted granted Critical
Publication of KR101023094B1 publication Critical patent/KR101023094B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

본 발명은 티씨피프락시신호처리장치에 관한 것으로, 보다 상세하게는 서버에 대한 악의적 공격 중 티씨피(TCP) 프로토콜의 취약점을 이용한 Flooding 공격을 탐지 및 방어하기 위한 목적으로 보호하고자 하는 네트워크의 앞 단에 Proxy 기능을 가진 장치를 설치하여, 미리 검증된 Session 에 대해서만 Server 등의 내부 네트워크로 접속할 수 있도록 구비된 실시간 고속 티씨피프락시신호처리장치에 관한 것이다.
이와 같은 실시간 고속 티씨피프락시신호처리장치 발명의 특징은, 클라이언트(10)로부터 전송되는 연결요청신호(Synchronous) 패킷을 전송받는 패킷입력부(25); 상기 패킷입력부(25)에서 수신된 신호의 패킷에서 클라이언트(10)의 IP정보, TCP정보가 포함된 추출정보신호를 씨디엔진부(21)로 전송하도록 구비되는 패킷파서부(26); 상기 패킷파서부(26)로부터 추출정보신호를 수신받아 액크대기테이블(27)과 정상세션테이블(28)을 통하여 해당 패킷의 정보를 분석하고, 해당 패킷을 판별하도록 구비되는 씨디엔진부(21); 상기 씨디엔진부(21)를 통하여 정상 여부를 판별하기 위하여 클라이언트(10) 측으로 전송된 연결요청/응답확인(SYN/ACK) 신호가 포함된 해당 패킷의 정보가 저장되도록 하는 액크대기테이블(27); 상기 씨디엔진부(21)를 통하여 정상의 추출정보신호에 해당하는 해당 패킷의 정보가 저장되도록 하는 정상세션테이블(28)이 포함되어 구비되는 것을 특징으로 한다.
TCP, IP, PROXY, SYN, ACK, 클라이언트, 서버,

Description

실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법{REAL TIME HIGH SPEED TCP PROXY SIGNAL PROCESSOR AND REAL TIME HIGH SPEED TCP PROXY SIGNAL PROCESSING METHOD}
본 발명은 티씨피프락시신호처리장치에 관한 것으로, 보다 상세하게는 서버에 대한 악의적 공격 중 TCP 프로토콜의 취약점을 이용한 Flooding 공격을 탐지 및 방어하기 위한 목적으로 보호하고자 하는 네트워크의 앞 단에 Proxy 기능을 가진 장치를 설치하여, 미리 검증된 Session 에 대해서만 Server 등의 내부 네트워크로 접속할 수 있도록 구비된 실시간 고속 티씨피프락시신호처리장치에 관한 것이다.
근래 들어 인터넷의 발전은 인류에게 많은 생활의 편리성을 가져다주고 있다. 또한 인터넷 트래픽은 기하급수적으로 늘어나고 있으며, 인터넷에 연결된 서버와 클라이언트들도 상상을 초월하게 증가하고 있다.
이처럼 인터넷이 보편화 되어가고 있는 시대에 있어서, 부정적인 측면으로 금전 갈취나 경쟁상대 서비스방해 등, 악의적으로 인터넷에 연결된 서버나 다른 장치들의 서비스를 방해하고자 하는 목적으로 해킹 공격이 증가하고 있다. 그 중의 대표적인 공격방법이 Syn-Flooding과 같은 Flooding 공격에 의한 DoS(Denial of Service)나 DDoS(Distributed Denial of Service) 등이 있다.
이러한 공격들은 어떠한 공격코드로 계정을 얻어 정보를 얻어내고자 하는 공격 방법이 아닌, 서비스 제공자의 트래픽을 잠식하거나 서버 등의 장비를 무력화시켜, 정상적인 서비스 제공을 방해하는데 목적이 있는 것이다.
특히 이러한 공격을 받게 되면 TCP/IP 방식의 Network 를 이용한 패킷 처리 장치분야 및 Network를 이용한 공격 탐지 차단 분야에 있어서, Server를 Base로 하는 Software 방식으로 구현되는 구성이라서 실시간 고속으로 패킷을 처리하는데 제약이 있으며, 또한 서버 등의 CPU나 메모리 자원을 점유하기 때문에 공격 탐지기능, 방어기능 등 실제 서버 등이 원하는 서비스를 제공하는데 부담이 되는 문제점이 있는 것이다.
상기와 같은 문제점을 해소하기 위한 본 발명은 서버에 대한 악의적 공격 중 TCP 프로토콜의 취약점을 이용한 Flooding 공격을 탐지 및 방어하기 위한 목적으로 보호하고자 하는 네트워크의 앞 단에 Proxy 기능을 가진 장치를 설치하여, 미리 검증된 Session 에 대해서만 Server 등의 내부 네트워크로 접속할 수 있도록 하는 목적이 있다.
또한 급격히 증가하는 인터넷 트래픽을 고려하여 실시간 Wire-Speed 로 트래픽을 처리하여 실제 인터넷 사용에는 방해되지 않도록 하는 하드웨어방식으로 구현함으로써 고속 실시간 패킷처리를 할 수 있도록 하는 목적이 있다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치는, 클라이언트(10)로부터 전송되는 연결요청신호(Synchronous) 패킷을 전송받는 패킷입력부(25); 상기 패킷입력부(25)에서 수신된 신호의 패킷에서 클라이언트(10)의 IP정보, TCP정보가 포함된 추출정보신호를 씨디엔진부(21)로 전송하도록 구비되는 패킷파서부(26); 상기 패킷파서부(26)로부터 추출정보신호를 수신받아 액크대기테이블(27)과 정상세션테이블(28)을 통하여 해당 패킷의 정보를 분석하고, 해당 패킷을 판별하도록 구비되는 씨디엔진부(21); 상기 씨디엔진부(21)를 통하여 정상 여부를 판별하기 위하여 클라이언트(10) 측으로 전송된 연결요청/응답 확인(SYN/ACK) 신호가 포함된 해당 패킷의 정보가 저장되도록 하는 액크대기테이블(27); 상기 씨디엔진부(21)를 통하여 정상의 추출정보신호에 해당하는 해당 패킷의 정보가 저장되도록 하는 정상세션테이블(28)이 포함되어 구비되는 것을 특징으로 한다.
이에 상기 씨디엔진부(21)는, 상기 패킷파서부(26)로부터 전송되는 패킷에 대한 추출정보신호를 수신받아 씨디이컨트롤러(211)로 전송하는 패킷입력블럭(212); 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 액크대기테이블(27) 측과 송수신되는 신호를 처리하기 위한 액크대기데이터처리블럭(213); 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 정상세션테이블(28) 측과 송수신되는 신호를 처리하기 위한 정상세션데이터처리블럭(214); 상기 패킷입력블럭(212)을 통하여 전송된 패킷신호를 전송받고, 액크대기테이블(27) 또는 정상세션테이블(28) 측으로 데이터가 송수신되도록 하며, 해당 패킷에 대한 정보를 판별하도록 구비되는 씨디이컨트롤러(211)가 포함되어 구비될 수 있다.
그리고 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되거나 또는 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비될 수 있다.
이에 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 아이피 어 드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되어지되, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 의 데이터가 삭제되도록 하여 Handshaking 과정이 계속 수행되도록 구비될 수 있고, 또한 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되어지되, 여러 개의 Entry를 Group으로 묶어 Group 내 Full Entry 사용 시, 가장 오래된 Entry부터 갱신하여 사용되도록 구비될 수 있다.
그리고 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되어지되, 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신되도록 구비될 수 있다.
이에 더하여 상기의 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법에 있어서, 클라이언트(10)로부터 전송되는 연결요청신호를 패킷입력부(25)에서 수신받는 연결요청신호수신단계(S01); 상기 클라이언트(10)로부터 전송되는 연결요청신호(SYN)에 대하여 패킷파서부(26)에서 아이피(IP)정보, 티씨피(TCP)정보가 포함된 패킷에 대한 정보의 추출정보신호를 패킷파서부(26)에서 추출하여 씨디엔진부(21) 측으로 전송되도록 하는 패킷정보추출단계(S02); 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 정상세션테이블(28)로 전송하고, 정상세 션테이블(28)에서 해당 패킷의 정보가 포함되었는지 검색하며, 해당 패킷에 대해 검색한 검색정보신호가 정상세션테이블(28)에서 씨디엔진부(21) 측으로 전송되도록 하는 정상세션테이블 검색단계(S03); 상기 씨디엔진부(21)에서, 상기 정상세션테이블(28)을 통하여 검색된 검색정보신호 중, 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하는지 판별하고, 해당 패킷에 대한 정보가 상기 정상세션테이블(28)에 포함된 경우에는 해당 패킷에 해당하는 정보신호가 서버로 전송되도록 하는 정상세션판별단계(S04)가 포함되어 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리방법이 제공된다.
이에 상기 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 경우에는 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 액크대기테이블(27)로 전송하고, 액크대기테이블(27)에서 해당 패킷의 정보가 포함되었는지 검색하여 검색된 정보신호를 액크대기테이블(27)에서 씨디엔진부(21) 측으로 전송되도록 하는 액크대기테이블 검색단계(S05); 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하고 해당 패킷의 SYN 신호 데이터만 존재하는 경우에는 해당 패킷의 정보를 폐기하는 해킹진단단계(S06)가 포함되어 구비될 수 있다.
또한 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하지 않는 경우에는, 씨디엔진부(21)에서 해당 패킷 에 해당하는 클라이언트(10) 측으로 연결요청신호/응답확인(SYN/ACK), 응답확인시퀀스번호(Sequence Number)를 전송하고, 액크대기테이블(27) 측으로 해당 패킷에 대한 정보를 등록하도록 하는 응답확인정보 전송단계(S07)가 포함되어 구비될 수 있다.
그리고 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하고 해당 패킷에 정상적인 Acknowledge Number를 가진 Packet이 존재할 경우, 해당 패킷의 추출정보신호를 액크대기테이블(27)에서 정상세션테이블(28) 측으로 이동되도록 하고, 클라이언트(10) 측으로 리셋(RST) 신호가 전송되도록 하여 다시 새로운 세션이 이루어지도록 구비될 수 있다.
상기와 같이 구성되는 본 발명은 서버에 대한 악의적 공격 중 TCP 프로토콜의 취약점을 이용한 Flooding 공격을 탐지 및 방어하기 위한 목적으로 보호하고자 하는 네트워크의 앞 단에 Proxy 기능을 가진 장치를 설치하여, 미리 검증된 Session 에 대해서만 Server 등의 내부 네트워크로 접속할 수 있도록 하는 효과가 있다.
또한 급격히 증가하는 인터넷 트래픽을 고려하여 실시간 Wire-Speed 로 트래픽을 처리하여 실제 인터넷 사용에는 방해되지 않도록 하는 하드웨어방식으로 구현한 고속 실시간 패킷처리를 할 수 있도록 하는 장점이 있다.
이하 첨부되는 도면을 참조하여 상세히 설명한다.
도 1은 본 발명에 따른 티씨피프락시신호처리장치에 대한 개략적인 구성도, 도 2는 본 발명에 따른 티씨피프락시신호처리장치에서의 신호전송에 대한 개략적인 예시도, 도 3은 본 발명에 따른 티씨피프락시신호처리장치에서의 신호처리 순서도, 도 4는 본 발명에 따른 티씨피프락시신호처리장치에 대한 신호처리 흐름도, 도 5는 본 발명에 따른 티씨피프락시신호처리장치의 씨디엔진부에 대한 개략적인 구성도, 그리고 도 6 및 도 7은 본 발명에 따른 티씨피프락시신호처리장치의 액크대기테이블 또는 정상세션테이블의 메모리에 대한 개략적인 구성도가 각각 도시된 것이다.
즉 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)는 도 1 내지 도 7 등에 도시된 바와 같이, 인터넷(Internet), 네트워크 시설 등으로 연결되는 클라이언트(10)로부터 전송되는 신호를 수신받아 패킷을 처리하여, 함께 연결되는 서버(15) 측으로 전송하며, 이에 따라 콘텐츠 및 다양한 정보 등의 신호가 클라이언트(10)와 서버(15) 사이에 송수신되도록 하는 것이다.
이처럼 구비되는 클라이언트(10)와 티씨피프락시신호처리장치(A, TCP PROXY DATA PROCESSOR), 서버(15) 사이에는 IP정보 및 TCP 정보가 포함되는 네트워크 정보 패킷이 서로 Handshaking 방법에 의하여 송수신되는 것으로, 우선 클라이언트(10)에서 티씨피프락시신호처리장치(A), 서버(15) 등으로 연결요청신호(SYN, Synchronous)가 전송되고, 이에 대하여 티씨피프락시신호처리장치(A), 서버(15) 등에서는 응답신호로 연결요청신호/응답확인(SYN/ACK, Acknowledge)으로 하는 SYN/ACK 의 신호가 전송되고, 이에 대하여 클라이언트(10)에서 응답확인(ACK) 신호가 Handshaking 방법으로 전송되도록 하는 것이다. 이러한 일련의 과정을 거친 후에는 티씨피프락시신호처리장치(A), 서버(15) 등과 클라이언트(10) 사이에는 Establish가 되어 데이터가 서로 송수신되는 것이다.
이러한 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)의 세부 구성을 살펴보면 다음과 같다.
즉 도 1에서와 같이, 클라이언트(10)와 연결되어, 클라이언트(10)로부터 전송되는 연결요청신호(Synchronous) 패킷을 전송받는 패킷입력부(25, Packet Input)가 구비되고, 상기 패킷입력부(25)에서 수신된 신호의 패킷에서 클라이언트(10)의 IP정보, TCP정보가 포함된 추출정보신호를 씨디엔진부(21)로 전송하도록 구비되는 패킷파서부(26, Packet Parser)가 구비된 것이다. 이러한 패킷파서부(26)에서는 입력된 패킷의 IP 정보 및 TCP 정보 등으로 하는 클라이언트(10)와 관련된 정보를 추출하여, 씨디엔진부(21, CD Engine, Check and Decision Engine) 측으로 전송하게 되어 해당 클라이언트(10)와 관련된 정보를 활용할 수 있도록 하는 것이다.
이러한 씨디엔진부(21)에서는, 상기 패킷파서부(26)로부터 추출정보신호를 수신받아 액크대기테이블(27)과 정상세션테이블(28)을 통하여 해당 패킷의 정보를 분석(Checking)하고, 해당 패킷을 판별(Decision)하도록 구비되는 것이다. 즉 패킷파서부(26, Packet Parser)로부터 전송된 클라이언트(10)와 관련되는 IP정보, TCP 정보에 대하여, 도 3에서와 같은 플로챠트(Flow Chart)를 실행하는 엔진으로, 이후 설명되는 액크대기테이블(27, ACK 대기 Table)과 정상세션테이블(28, 정상 Session Table)을 통하여 해당 클라이언트(10)와 관련된 패킷(Packet) 정보를 파악하고, 해당 패킷(Packet)의 처리방향을 결정하게 되는 것이다.
따라서 상기 씨디엔진부(21)를 통하여 정상 패킷 여부를 판별하기 위하여 클라이언트(10) 측으로 전송된 연결요청/응답확인(SYN/ACK) 신호가 포함된 해당 패킷의 정보가 저장되도록 하는 액크대기테이블(27)이 구비되는 것이다.
또한 상기 씨디엔진부(21)를 통하여 정상의 추출정보신호에 해당하는 패킷의 정보가 저장되도록 하는 정상세션테이블(28)이 포함되어 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)가 구비되는 것이다.
이러한 정상세션테이블(28, 정상 Session Table)은 보호하고자 하는 내부네트워크에 대하여, 씨디엔진부(21, Check and Decision Engine)의 간섭없이 접근할 수 있는 IP Pool로 마련될 수 있는 것이다. 그리고 이러한 정상세션테이블(28)에 있어서, Entry 갱신 방법은 Circle Loop 방식을 이용할 수 있는 것으로, 먼저 등록된 IP 정보 등의 데이터는 먼저 삭제되는 대상이 되도록 하는 방식으로 하여 이용될 수 있는 것이다.
그리고 Time-Over 된 IP 정보는 Time Threshold 값을 지정하게 하여, 해당 Threshold 초과시 삭제되도록 하는 것이다. 이에 정상 IP Table에 없는 IP 정보에서 연결요청신호(SYN) Flag 수신 시, 액크대기테이블(ACK 대기 Table)을 통한 검증절차를 통과하여야 신규로 하여 정상세션테이블(28, 정상 Session Table)에 등록될 수 있을 것이다.
또한 이러한 액크대기테이블(27, ACK 대기 Table)은, 검증과정을 위하여 연결요청신호(SYN) 수신 후, SYN/ACK 응답을 송신한 IP 에 대하여, ACK 응답대기 중인 IP에 대한 IP Pool 인 것이다. 이러한 액크대기테이블(27)의 Entry 갱신 방법은 Circle Loop 방식을 사용할 수 있는 것으로, 먼저 등록된 IP는 먼저 삭제되는 방식으로 하여 이용되도록 할 수 있는 것이다. 그리고 Time - Over된 IP는 Time Threshold 값을 지정하게 하여, 해당 Threshold 초과시 삭제되도록 할 수 있다. 그리고 ACK 응답 대기중인 IP 에서 신규 SYN의 정보가 수신 시, 해당 SYN Packet이 폐기되도록 마련되는 것이다.
이에 더하여 도 1에서와 같이 마련되는 S/W Inspection Engine(23)은, 씨디엔진부(21, Check and Decision Engine)를 통과한 Packet에 대하여, Software적으로 Inspection 후, 공격여부를 판단하기 위한 Software 장치이다. 이러한 S/W Inspection Engine(23)은, 본 발명에 따른 씨디엔진부(21), 액크대기테이블(27), 정상세션테이블(28) 등에 의한 기능을 제외한 나머지 공격탐지 및 차단기능이 수행되도록 마련될 수도 있을 것이다.
그리고 상기 씨디엔진부(21)는 도 5에서와 같이, 상기 패킷파서부(26)로부터 전송되는 패킷에 대한 추출정보신호를 수신받아 씨디이컨트롤러(211)로 전송하는 패킷입력블럭(212)이 구비되는 것이다.
또한 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 액크대기테이블(27) 측과 송수신되는 신호를 처리하기 위한 액크대기데이터처리블럭(213)이 구비되고, 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 정상세션테이블(28) 측과 송수신되는 신호를 처리하기 위한 정상세션데이터처리블럭(214)이 구비되는 것이다.
그리하여 씨디이컨트롤러(211)에서는 상기 패킷입력블럭(212)을 통하여 전송된 패킷신호를 전송받고, 액크대기테이블(27) 또는 정상세션테이블(28) 측으로 데이터가 송수신되도록 하며, 해당 패킷에 대한 정보를 판별하도록 구비되는 것이다.
이와 같이 구비되는 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)는 DDoS 보안장비, IPS 등 네트워크 보안장비에서 Software Inspection 앞 단에 위치되어, DDoS 보안장비나 IPS 장비에서 Packet Inspection 을 진행하기 전에, Hardware 단으로 되어 관련된 기능을 수행하게 되는 것이다. 따라서 Software 처리 장치의 CPU나 메모리의 부담을 줄여 줄 수 있도록 마련되는 것이다.
그리고 클라이언트(10)와의 패킷 전송에 있어서, TCP/IP 정보데이터는 기본적으로 Handshaking 방법에 의하여 세션(Session)을 구성하도록 마련되는 것으로, Connection - Oriented Protocol인 것이다. 그리하여 본 발명의 실시간 고속 티씨피프락시신호처리장치(A)는 TCP/IP의 기본적인 Handshaking 방법을 이용하여, 이에 위반되는 공격자의 공격을 탐지하도록 마련되는 것이다.
즉 클라이언트(10)로부터 전송되는 연결요청신호(SYN)를 먼저 티씨피프락시신호처리장치(A)에서 수신받아 처리하는 Handshaking 과정이 진행되도록 하는 것으 로, 정상세션테이블(28)에서 해당 클라이언트(10)와 관련된 정보를 검색하고, 이후 다음으로 액크대기테이블(27)에서 클라이언트(10)와 관련된 정보를 검색하여, 해당 클라이언트(10)가 해킹과 관련되어 있는지를 판별하게 된다.
이에 의하여 정상일 경우에는 다시 클라이언트로(10) 연결요청신호(SYN)를 재요청하여 이후 과정은 서버(15)와 클라이언트(10) 사이에 Handshaking 방식에 의하여 연결되도록 하는 것이다.
이에 따른 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은 도 6 또는 도 7에서와 같이, 티씨에이엠 메모리(TCAM Memory)로 구비되거나 또는 아이피 어드레스 해쉬(IP Address Hash)를 이용하여 검색하도록 하는 에스램(SRAM) 또는 디램(DRAM)으로 구비될 수 있을 것이다.
이에 상기의 티씨피프락시신호처리장치(A)를 이용한 실시간 고속 티씨피프락시신호처리방법에 대해서 살펴보면 다음과 같다.
우선 클라이언트(10)로부터 전송되는 연결요청신호를 패킷입력부(25)에서 수신받는 연결요청신호수신단계(S01)가 수행된다. 즉 TCP/IP Protocol에서 TCP의 정상적 Session 으로 하여 클라이언트(10, Client)에서 서버(15, Server) 측으로 연결요청신호(SYN, Synchronous)가 발신되는 것으로, 이러한 연결요청신호(SYN)를 본 발명에 따른 티피시프락시신호처리장치(A)의 패킷입력부(25)에서 수신하게 되는 것이다.
그리고 상기 클라이언트(10)로부터 전송되는 연결요청신호(SYN)에 대하여 패 킷파서부(26)에서 아이피(IP)정보, 티씨피(TCP)정보가 포함된 패킷에 대한 정보의 추출정보신호를 패킷파서부(26)에서 추출하여 씨디엔진부(21) 측으로 전송되도록 하는 패킷정보추출단계(S02)가 수행되고, 또한 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 정상세션테이블(28)로 전송하고, 정상세션테이블(28)에서 해당 패킷의 정보가 포함되었는지 검색하며, 해당 패킷에 대해 검색한 검색정보신호가 정상세션테이블(28)에서 씨디엔진부(21) 측으로 전송되도록 하는 정상세션테이블 검색단계(S03)가 수행되는 것이다.
상기 씨디엔진부(21)에서, 상기 정상세션테이블(28)을 통하여 검색된 검색정보신호 중, 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하는지 판별하고, 해당 패킷에 대한 정보가 상기 정상세션테이블(28)에 포함된 경우에는 해당 패킷에 해당하는 정보신호가 서버로 전송되도록 하는 정상세션판별단계(S04)가 수행되는 것이다. 이는 이미 앞선 과정에 의하여 클라이언트(10)와 실시간 고속 티씨피프락시신호처리장치(A) 사이에서 Handshaking 방식으로, 'SYN' -> 'SYN/ACK' -> 'ACK' -> 'RST'의 과정을 거친 후, 다시 클라이언트(10)에서 정상적인 패킷을 통한 세션Session) 으로 하는 연결요청신호(SYN)가 전송되어, 서버(15)와 클라이언트(10) 사이의 Handshaking 신호가 전송되도록 하는 단계인 것이다. 이에 앞선 클라이언트(10)와 티씨피프락시신호처리장치(A) 사이에서의 Handshaking 과정에서, 해당 클라이언트(10)의 TCP/IP 정보에 대한 패킷 정보의 데이터는 정상세션테이블(28)에 저장된 상태이고, 이에 따라 새로 전개되는 클라이언트(10)와 서버(15) 사이의 Handshaking 에서는 해당 클라이언트(10)의 TCP/IP 정보에 대한 패킷 정보를 정상 세션테이블(28)에서 검색하여 판별하게 되는 것이다. 그리하여 수신된 해당 패킷의 정보가 정상세션테이블(28)에 존재하는 경우에는, 이미 해당 클라이언트(10)에 대하여 하드웨어(Hardware) 적으로 검증을 거친 것으로 하여, 해당 클라이언트(10)에 대한 패킷 정보는 서버(15)로 전송하게 되는 것이다.
그러나 이와 달리, 상기 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 경우에는 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 액크대기테이블(27)로 전송하고, 액크대기테이블(27)에서 해당 패킷의 정보가 포함되었는지 검색하여 검색된 정보신호를 액크대기테이블(27)에서 씨디엔진부(21) 측으로 전송되도록 하는 액크대기테이블 검색단계(S05)가 수행되는 것이다.
상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하는 경우에는 해당 패킷의 정보를 폐기하는 해킹진단단계(S06)가 수행되는 것이다.
또한 액크대기테이블 검색단계(S05)에 앞서, 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 것으로 하여 판별되는 경우에는, 씨디엔진부(21)에서는 해당 패킷에 SYN 신호가 포함되었는지 판별하고, 이러한 SYN 신호가 있을 경우, 이를 액크대기테이블 검색단계(S05)에서 해당 패킷의 SYN 신호 데이터가 액크대기테이블(27)에 존재하는가를 판별하게 된다. 그리하여 해당 패킷에 대한 패킷 정보 중 SYN 신호 데이터가 액크대기테이블(27)에 존재하는 경우에는 해당 클라이언트(10)가 계속해서 SYN 신호만 발신하는 일종의 DDoS에 해당되는 것으로 판단하여, 해당 패킷을 폐기하게 된다.
그리고 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하지 않는 경우에는, 씨디엔진부(21)에서 해당 패킷에 해당하는 클라이언트(10) 측으로 연결요청신호/응답확인(SYN/ACK), 응답확인시퀀스번호(Sequence Number)를 전송(도 3의 'D' 부분)하고, 액크대기테이블(27) 측으로 해당 패킷에 대한 정보를 등록하도록 하는 응답확인정보 전송단계(S07)가 수행된다.
그리고 이러한 정보로 하여 해당 클라이언트(10)의 해당 패킷 정보(IP 정보 등)가 액크대기테이블(27)에 등록되도록 하는 것이다.
이렇게 전송되는 Sequence Number는 검증엔진이 정한 임의의 값(예 : 0x00005000 등...)을 보내게 된다.
이러한 SYN/ACK 신호를 수신받은 클라이언트(10)에서는 정상적일 경우 ACK Flag를 포함한 Packet을 응답으로 전송하게 되며, 이에 Acknowledge Number를 검증엔진이 보낸 임의의 값(예 : 0x00005000 )으로 보내게 된다. 공격성 SYN Packet의 경우(SYN - Flooding) SYN-ACK에 대한 답신을 전송하지 않으므로 해당 패킷에 대한 데이터는 폐기하게 된다.
반면 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재할 경우, 해당 패킷의 추출정보신호를 액크대기테이블(27)에서 정상세션테이블(28) 측으로 이동되도록 하고, 클라이언트(10) 측으로 리셋(RST, Reset) 신호가 전송되도록 하여 다시 새로운 세션(Session)이 이루어지도록 구비되는 것이다.
즉 정상적인 Acknowledge Number를 가진 Packet이 수신될 경우에는, 액크대기테이블(27, ACK 대기 Table)에 등록여부를 확인하여 등록되었을 때에는, 해당 패킷(Packet)은 폐기시키고, 해당 IP 등으로 하는 해당 패킷의 정보는 정상세션테이블(28, 정상 Session Table)에 등록하게 된다. 이와 함께 클라이언트(10) 측으로도 해당 Session에 대한 RST(RESET) Flag를 보내게 되고, 이에 대응하여 클라이언트(10) 측에서는 새로운 Handshaking 과정의 Session 을 시작하게 되는 것이다. 그리고 해당 클라이언트(10)에 대한 해당 패킷의 정보는 액크대기테이블(27)에서 삭제되는 것이다.
이후 과정에서는 해당 클라이언트(10)에 대한 해당 패킷정보는 정상세션테이블(28)에 등록되어 있으므로, 별도의 검증엔진의 간섭없이 서버(15) 측으로 전송되게 되며, 이후의 Handshaking 과정을 거쳐 해당 클라이언트(10)와 서버(15)는 Establish로 되는 것이다.
따라서 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)에서는 클라이언트(10) 측으로부터 전송되는 해당 패킷 정보가 정상세션테이블(28) 또는 액크대기테이블(27)로 전송되도록 하여, 해당 패킷의 정보가 어느 곳에 저장되어 있는지, 또는 비정상적으로 전송된 것인지 판별하게 되는 것으로, TCP의 Proxy 구현을 하드웨어방식으로 구현하기 때문에, 서버(15)의 CPU나 Memory 등의 자원을 사용 하지 않고서도, 실시간으로 동작되도록 구현하는 것이다. 따라서 실제 망의 트래픽에는 영향을 주지않아 기존의 소프트웨어로 처리하던 방식에 비하여 고속으로 패킷처리가 가능한 것이다.
그리고 이러한 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등은 도 6 및 도 7 등에서와 같이, 티씨에이엠(TCAM) 메모리로 구비되거나 또는 아이피 어드레스 해쉬(IP ADDRESS HASH)를 이용하여 검색하도록 하는 에스램(SDRAM) 또는 디램(DRAM) 등으로 구비될 수도 있을 것이다.
이에 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등이, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되는 경우에, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 의 데이터가 삭제되도록 하여 Handshaking 과정이 계속 수행되도록 구비되도록 하는 Time Threshold Entry 관리방식으로 구비될 수 있을 것이다.
또한 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등이, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되는 경우에, 여러 개의 Entry를 Group으로 묶어 Group 내 Full Entry 사용 시, 가장 오래된 Entry부터 갱신하여 사용되게 구비되도록 하는 Group Entry 관리방식으로 구비될 수도 있을 것이다.
이에 더하여 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등이, 티씨에이엠 메모리로 구비되는 경우에는, 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신되도록 구비되는 TCAM Entry 갱신관리방식으로 구비될 수 있을 것이다.
그리하여 이에 이용되는 액크대기테이블(27)과 정상세션테이블(28) 등은 SYN을 전송한 클라이언트(10)의 IP Address 정보를 가지고 Table을 관리하는 것이다. 이러한 Table은 조회/갱신/삭제의 역할을 담당하는 Table Manager가 구성된다. 이러한 Table Manager는 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)의 Server Software를 통하여 초기화 되며, 씨디엔진부(21)에서 추출된 IP를 가지고 등록 및 갱신을 수행하고, 입력 패킷에 반응하여 동작되도록 할 수 있는 것이다. 그리고 Hardware에서는 이러한 Table의 관리를 위하여 메모리 디바이스의 종류에 따라 다양한 방식을 적용되어 이용될 수 있을 것이다.
그 일예로 제시되는 액크대기테이블(27) 또는 정상세션테이블(28) 등은 앞서 설명된 티씨에이엠메모리(TCAM Memory)를 사용할 수 있을 것이다. 이러한 티씨에이엠메모리의 한정된 Entry를 이용하여 제한적인 관리를 하고자 할 때 사용될 수 있는 것이다. 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신할 수 있도록 관리될 수 있을 것이다.
다음으로 액크대기테이블(27) 또는 정상세션테이블(28) 등이 아이피어드레스 해쉬(IP Address Hash)를 이용하여 검색하고 에스램(SRAM), 디램(DRAM) 등의 일반 메모리를 이용하여 관련 정보를 저장하고 관리하도록 수행될 수 있을 것이다. 이러 한 경우 티씨에이엠메모리 방식에 비하여 더 많은 동시 Entry를 관리할 수 있을 것이다. 다만 Hash 충돌 발생시 처리문제, DoS, DDoS의 특성상 Hash 충돌에 의한 Session 의 Open을 가지고 문제가 발생하지는 않으므로 구현에는 무리가 되지 않을 것이다. 또한 Hash 를 이용한 방식에서는 Full Entry 이용시 모든 Session 이 Open 될 위험이 있으므로, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 삭제를 시행하여, Handshaking 과정을 다시 거치도록 해야 한다.
그리하여 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 삭제를 진행하게 된다. 또한 메모리의 Data 영역에는 IP Address Matching 여부를 확인하기 위한 IP 확인 Hash Value를 두어 Hash 충돌 시 IP Address Matching을 확인하여 정확한 Matching 이 가능하도록 할 수 있을 것이다. 각 Entry 는 16개의 Group으로 묶어 16개 Entry 의 Full 사용시 신규 Entry 가 생성되면, Entry 내 Time 정보를 가지고, 가장 오래된 Entry부터 갱신하여 사용하도록 마련될 수 있을 것이다.
이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니된다.
도 1은 본 발명에 따른 티씨피프락시신호처리장치에 대한 개략적인 구성도.
도 2는 본 발명에 따른 티씨피프락시신호처리장치에서의 신호전송에 대한 개략적인 예시도.
도 3은 본 발명에 따른 티씨피프락시신호처리장치에서의 신호처리 순서도.
도 4는 본 발명에 따른 티씨피프락시신호처리장치에 대한 신호처리 흐름도.
도 5는 본 발명에 따른 티씨피프락시신호처리장치의 씨디엔진부에 대한 개략적인 구성도.
도 6 및 도 7은 본 발명에 따른 티씨피프락시신호처리장치의 액크대기테이블 또는 정상세션테이블의 메모리에 대한 개략적인 구성도.
<도면의 주요부분에 대한 부호의 설명>
A : 티씨피프락시신호처리장치
10 : 클라이언트 15 : 서버
21 : 씨디엔진부 25 : 패킷입력부
26 : 패킷 27 : 액크대기테이블
28 : 정상세션테이블 211 : 씨디이컨트롤러
212 : 패킷입력블럭 213 : 액크대기데이터처리블럭
214 : 정상세션데이터처리블럭

Claims (10)

  1. 클라이언트(10)로부터 전송되는 연결요청신호(Synchronous) 패킷을 전송받는 패킷입력부(25);
    상기 패킷입력부(25)에서 수신된 신호의 패킷에서 클라이언트(10)의 IP정보, TCP정보가 포함된 추출정보신호를 씨디엔진부(21)로 전송하도록 구비되는 패킷파서부(26);
    상기 패킷파서부(26)로부터 추출정보신호를 수신받아 액크대기테이블(27)과 정상세션테이블(28)을 통하여 해당 패킷의 정보를 분석하고, 해당 패킷을 판별하도록 구비되는 씨디엔진부(21);
    상기 씨디엔진부(21)를 통하여 정상 여부를 판별하기 위하여 클라이언트(10) 측으로 전송된 연결요청/응답확인(SYN/ACK) 신호가 포함된 해당 패킷의 정보가 저장되도록 하는 액크대기테이블(27);
    상기 씨디엔진부(21)를 통하여 정상의 추출정보신호에 해당하는 해당 패킷의 정보가 저장되도록 하는 정상세션테이블(28)이 포함되어 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.
  2. 제 1항에 있어서,
    상기 씨디엔진부(21)는,
    상기 패킷파서부(26)로부터 전송되는 패킷에 대한 추출정보신호를 수신받아 씨디이컨트롤러(211)로 전송하는 패킷입력블럭(212);
    상기 씨디이컨트롤러(211)의 제어에 의하여 상기 액크대기테이블(27) 측과 송수신되는 신호를 처리하기 위한 액크대기데이터처리블럭(213);
    상기 씨디이컨트롤러(211)의 제어에 의하여 상기 정상세션테이블(28) 측과 송수신되는 신호를 처리하기 위한 정상세션데이터처리블럭(214);
    상기 패킷입력블럭(212)을 통하여 전송된 패킷신호를 전송받고, 액크대기테이블(27) 또는 정상세션테이블(28) 측으로 데이터가 송수신되도록 하며, 해당 패킷에 대한 정보를 판별하도록 구비되는 씨디이컨트롤러(211)가 포함되어 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.
  3. 제 1항에 있어서,
    상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되거나 또는 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되고,
    상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되어지되, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 의 데이터가 삭제되도록 하여 Handshaking 과정이 계속 수행되도록 구비되거나 또는 여러 개의 Entry를 Group으로 묶어 Group 내 Full Entry 사용 시, 가장 오래된 Entry부터 갱신하여 사용되도록 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.
  4. 삭제
  5. 삭제
  6. 제 1항에 있어서,
    상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되어지되, 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신되도록 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.
  7. 클라이언트(10)로부터 전송되는 연결요청신호를 패킷입력부(25)에서 수신받는 연결요청신호수신단계(S01);
    상기 클라이언트(10)로부터 전송되는 연결요청신호(SYN)에 대하여 패킷파서부(26)에서 아이피(IP)정보, 티씨피(TCP)정보가 포함된 패킷에 대한 정보의 추출정보신호를 패킷파서부(26)에서 추출하여 씨디엔진부(21) 측으로 전송되도록 하는 패킷정보추출단계(S02);
    해당 패킷의 추출정보신호를 씨디엔진부(21)에서 정상세션테이블(28)로 전송하고, 정상세션테이블(28)에서 해당 패킷의 정보가 포함되었는지 검색하며, 해당 패킷에 대해 검색한 검색정보신호가 정상세션테이블(28)에서 씨디엔진부(21) 측으로 전송되도록 하는 정상세션테이블 검색단계(S03);
    상기 씨디엔진부(21)에서, 상기 정상세션테이블(28)을 통하여 검색된 검색정보신호 중, 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하는지 판별하고, 해당 패킷에 대한 정보가 상기 정상세션테이블(28)에 포함된 경우에는 해당 패킷에 해당하는 정보신호가 서버로 전송되도록 하는 정상세션판별단계(S04)가 포함되어 구비되는 것을 특징으로 하는 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법.
  8. 제 7항에 있어서,
    상기 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 경우에는 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 액크대기테이블(27)로 전송하고, 액크대기테이블(27)에서 해당 패킷의 정보가 포함되었는지 검색하여 검색된 정보신호를 액크대기테이블(27)에서 씨디엔진부(21) 측으로 전송되도록 하는 액크대기테이블 검색단계(S05);
    상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하고 해당 패킷의 SYN 신호 데이터만 존재하는 경우에는 해당 패킷의 정보를 폐기하는 해킹진단단계(S06)가 포함되어 구비되고,
    상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하지 않는 경우에는, 씨디엔진부(21)에서 해당 패킷에 해당하는 클라이언트(10) 측으로 연결요청신호/응답확인(SYN/ACK), 응답확인시퀀스번호(Sequence Number)를 전송하고, 액크대기테이블(27) 측으로 해당 패킷에 대한 정보를 등록하도록 하는 응답확인정보 전송단계(S07)가 포함되어 구비되며,
    상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하고 해당 패킷에 정상적인 Acknowledge Number를 가진 Packet이 존재할 경우, 해당 패킷의 추출정보신호를 액크대기테이블(27)에서 정상세션테이블(28) 측으로 이동되도록 하고, 클라이언트(10) 측으로 리셋(RST) 신호가 전송되도록 하여 다시 새로운 세션이 이루어지도록 구비되는 것을 특징으로 하는 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법.
  9. 삭제
  10. 삭제
KR1020090066708A 2009-07-22 2009-07-22 실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법 KR101023094B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090066708A KR101023094B1 (ko) 2009-07-22 2009-07-22 실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090066708A KR101023094B1 (ko) 2009-07-22 2009-07-22 실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법

Publications (2)

Publication Number Publication Date
KR20110009350A KR20110009350A (ko) 2011-01-28
KR101023094B1 true KR101023094B1 (ko) 2011-03-24

Family

ID=43615047

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090066708A KR101023094B1 (ko) 2009-07-22 2009-07-22 실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법

Country Status (1)

Country Link
KR (1) KR101023094B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014628A1 (en) * 2001-07-06 2003-01-16 Michael Freed Secure sockets layer proxy architecture
EP1469653A2 (en) * 2003-04-15 2004-10-20 Sun Microsystems, Inc. Object aware transport-layer network processing engine

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014628A1 (en) * 2001-07-06 2003-01-16 Michael Freed Secure sockets layer proxy architecture
EP1469653A2 (en) * 2003-04-15 2004-10-20 Sun Microsystems, Inc. Object aware transport-layer network processing engine

Also Published As

Publication number Publication date
KR20110009350A (ko) 2011-01-28

Similar Documents

Publication Publication Date Title
US7478429B2 (en) Network overload detection and mitigation system and method
US8943586B2 (en) Methods of detecting DNS flooding attack according to characteristics of type of attack traffic
US8434141B2 (en) System for preventing normal user being blocked in network address translation (NAT) based web service and method for controlling the same
US8561188B1 (en) Command and control channel detection with query string signature
US10270792B1 (en) Methods for detecting malicious smart bots to improve network security and devices thereof
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
KR101219796B1 (ko) 분산 서비스 거부 방어 장치 및 그 방법
US10757135B2 (en) Bot characteristic detection method and apparatus
KR101067781B1 (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
CN112751815B (zh) 报文处理方法、装置、设备及计算机可读存储介质
CA2548336A1 (en) Upper-level protocol authentication
CN110166480B (zh) 一种数据包的分析方法及装置
Nakibly et al. {Website-Targeted} False Content Injection by Network Operators
US11838319B2 (en) Hardware acceleration device for denial-of-service attack identification and mitigation
Quadir et al. An efficient algorithm to detect DDoS amplification attacks
KR101209214B1 (ko) 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법
KR101072981B1 (ko) 분산 서비스 거부 공격의 방어 시스템
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
CN112235329A (zh) 一种识别syn报文真实性的方法、装置及网络设备
KR101023094B1 (ko) 실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
Park et al. An effective defense mechanism against DoS/DDoS attacks in flow-based routers
US20230370482A1 (en) Method for identifying successful attack and protection device
CN114553452B (zh) 攻击防御方法及防护设备
Schcolnik False Content Injection Into Web Traffic by Network Operators

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150304

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160411

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170303

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180312

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190311

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200310

Year of fee payment: 10