KR101308086B1 - 향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치 - Google Patents

향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR101308086B1
KR101308086B1 KR1020120008294A KR20120008294A KR101308086B1 KR 101308086 B1 KR101308086 B1 KR 101308086B1 KR 1020120008294 A KR1020120008294 A KR 1020120008294A KR 20120008294 A KR20120008294 A KR 20120008294A KR 101308086 B1 KR101308086 B1 KR 101308086B1
Authority
KR
South Korea
Prior art keywords
dpi
payload
performance record
data packet
packet inspection
Prior art date
Application number
KR1020120008294A
Other languages
English (en)
Other versions
KR20130093846A (ko
Inventor
이민호
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120008294A priority Critical patent/KR101308086B1/ko
Publication of KR20130093846A publication Critical patent/KR20130093846A/ko
Application granted granted Critical
Publication of KR101308086B1 publication Critical patent/KR101308086B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

향상된 심층 패킷 조사(deep packet inspection, DPI)를 수행하기 위한 방법 및 장치가 개시된다. 상기 방법은 적어도 하나의 데이터 패킷을 수신하는 단계; 상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 여부를 검색하는 단계; 상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하지 않는 경우, 상기 데이터 패킷에 대해 DPI를 수행하는 단계; 상기 DPI를 수행한 후, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함하는, DPI 수행 기록을 저장하는 단계; 및 상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하는 경우, 상기 데이터 패킷의 헤더에 대해 DPI를 수행하는 단계를 포함할 수 있다.
본 발명은 DPI가 수행된 패킷의 페이로드와 동일한 페이로드를 포함하는 패킷이 전송되는 경우 DPI를 생략함으로써, DPI를 위한 자원과 노력을 절감하고, 나아가 전체적인 DPI의 성능을 향상시킬 수 있다.

Description

향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치{METHOD AND APPARATUS FOR PERFORMING IMPROVED DEEP PACKET INSPECTION}
본 발명은 네트워크 패킷 필터링에 관한 것으로서, 더 구체적으로는 반복되는 페이로드에 대한 심층 패킷 조사(deep packet inspection, DPI)를 생략함으로써, 심층 패킷 조사의 성능을 향상시키기 위한 기술에 대한 것이다.
도 1은 복수의 서버 및 복수의 사용자 단말을 포함하는 내부 네트워크, 상기 내부 네트워크를 보호하기 위한 방화벽 및 인터넷을 포함하는 네트워크 환경을 도시한다. 상기 방화벽은 네트워크 간의 허가받지 않은 접근을 방지하기 위한 것으로서, 실질적으로 외부 네트워크로부터 내부 네트워크를 보호하기 위한 것이다. 즉, 도시되는 바와 같이 인터넷을 통해, 내부 서버들 및 내부 사용자들을 포함하는, 내부 네트워크로 전송 또는 수신되는 데이터 패킷들은 방화벽을 통과해야 하는데, 상기 방화벽은 이러한 데이터 패킷들의 헤더에 대한 상태 조사(stateful inspection)를 통해 오직 적절하다고 판단되는 패킷에 대해서만 방화벽 통과를 허용한다.
한편, 네트워크 환경이 복잡해지고 네트워크에 대한 공격이 증가하면서 심층 패킷 조사(deep packet inspection, DPI)가 이용되고 있다. DPI는 패킷의 헤더뿐만이 아니라 페이로드(payload)에 대해서도 위험요소를 탐지하는 것으로서, 이러한 DPI는 IDS, IPS 등 많은 네트워크 보안 장치와 WAN 가속기 등에서 성능 최적화를 위해서 많이 사용되고 있는, 차세대 방화벽의 핵심 기술에 해당한다.
DPI는 패킷의 페이로드를 조사함으로써, 해당 트래픽의 종류 및 의도를 파악할 수 있기 때문에, 해킹 탐지 및 악성 코드들을 네트워크 단에서 원천적으로 막는데 매우 유용하다. 또한 트래픽의 종류를 세분화하여 QoS를 적용하기 위해 사용될 수 있다.
그러나, 이러한 DPI는 기존의 방화벽 등에 비해서 훨씬 많은 양의 데이터(즉, 헤더 및 페이로드)를 검사하기 때문에 더 많은 자원과 시간이 필요하게 된다. 따라서, 종래에 비해 자원과 시간을 절감하면서 DPI를 수행할 수 있는 기술이 요구된다.
본 발명은 상기 문제점을 해결하기 위한 것으로서, 본 발명은 반복되는 페이로드에 대한 DPI를 생략함으로써, DPI의 성능을 향상시키는 것을 목적으로 한다.
본 발명의 일 실시예는 향상된 DPI를 수행하기 위한 방법을 개시한다. 상기 방법은 적어도 하나의 데이터 패킷을 수신하는 단계; 상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 여부를 검색하는 단계; 상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하지 않는 경우, 상기 데이터 패킷에 대해 DPI를 수행하는 단계; 상기 DPI를 수행한 후, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함하는, DPI 수행 기록을 저장하는 단계; 및 상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하는 경우, 상기 데이터 패킷의 헤더에 대해 DPI를 수행하는 단계를 포함할 수 있다.
본 발명의 일 실시예는 DPI를 수행하기 위한 장치를 개시한다. 상기 장치는 적어도 하나의 데이터 패킷을 수신하기 위한 수신부; 상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 여부를 검색하기 위한 DPI 수행 기록 검색부; 상기 DPI 수행 기록 검색부의 검색 결과에 기초하여, 상기 DPI 수행 기록이 존재하지 않는 경우, 상기 데이터 패킷에 대해 DPI를 수행하고, 상기 DPI 수행 기록이 존재하는 경우, 상기 데이터 패킷의 헤더에 대해 DPI를 수행하기 위한 DPI 수행부; 상기 DPI 수행부가 상기 데이터 패킷에 대해 DPI를 수행한 경우, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함하는, DPI 수행 기록을 저장하기 위한 데이터베이스를 포함할 수 있다.
본 발명의 향상된 DPI를 수행하기 위한 방법 및 장치는, DPI가 수행된 패킷의 페이로드와 동일한 페이로드를 포함하는 패킷이 전송되는 경우 DPI를 생략함으로써, DPI를 위한 자원과 노력을 절감하고, 나아가 전체적인 DPI의 성능을 향상시킬 수 있다.
도 1은 내부 네트워크, 내부 네트워크를 보호하기 위한 방화벽 및 인터넷을 포함하는 네트워크 환경의 예시를 도시한다.
도 2는 데이터 패킷의 구조를 도시한다.
도 3은 본 발명에 따라 향상된 DPI를 수행하기 위한 방법을 도시한다.
도 4는 본 발명에 따라 향상된 DPI를 수행하기 위한 장치를 도시한다.
이하, 본 발명에 따른 실시예들을 첨부된 도면들을 참조하여 설명한다. 한편, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다. 또한, 이하에서 본 발명의 실시예들을 설명할 것이나, 본 발명의 기술적 사상은 이에 한정되거나 제한되지 않고 당업자에 의해 변형되어 다양하게 실시될 수 있다.
도 2는 도 1 과 같은 네트워크 환경에서 전송되는 데이터 패킷의 구조를 도시한다. 도시되는 바와 같이, 데이터 패킷은 MAC 헤더, IP 헤더, TCP 헤더, HTTP 헤더, 페이로드를 포함할 수 있다. 여기서 페이로드는 데이터 패킷의 컨텐츠, 즉 실질적인 내용 부분을 의미한다.
한편, 동일한 방화벽을 통하여 내부 네트워크로 또는 내부 네트워크로부터 다수의 데이터 패킷이 전송되는 경우, 상기 다수의 데이터 패킷 중 일부는 다른 데이터 패킷과 동일한 페이로드를 포함할 가능성이 있다. 예를 들어, 도 1의 사용자 단말 각각이 동일한 웹페이지에 접속하는 경우, 상기 웹페이지로부터 전송되는 데이터 패킷의 페이로드가 서로 동일할 수 있다.
이와 같이, 다수의 데이터 패킷에 걸쳐 동일한 페이로드가 반복되는 경우, 이러한 페이로드를 포함하고 있는 각각의 패킷 전체에 대해 반복해서 DPI를 수행하는 것은 무의미한 시스템의 자원 소모와 시간 지연을 야기할 수 있다. 따라서, 본 발명은 DPI가 수행된 패킷의 페이로드와 동일한 페이로드를 포함하는 패킷이 전송되는 경우 DPI를 생략함으로써, DPI를 위한 자원과 노력을 절감하고, 나아가 전체적인 DPI의 성능을 향상시킬 수 있다.
이와 관련하여, 도 3은 본 발명에 따라 향상된 심층 패킷 조사(deep packet inspection, DPI)를 수행하기 위한 방법(300)을 도시한다. 상기 방법(300)은 적어도 하나의 데이터 패킷을 수신하는 단계(301); 상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 여부를 검색하는 단계(302); 상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하지 않는 경우, 상기 데이터 패킷에 대해 DPI를 수행하는 단계(303); 상기 DPI를 수행한 후, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함하는, DPI 수행 기록을 저장하는 단계(304); 및 상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하는 경우, 상기 데이터 패킷의 헤더에 대해 DPI를 수행하는 단계(305)를 포함할 수 있다. 상기 방법(300)은 다양한 실시예들에 따라 방화벽에서 수행되거나, 방화벽 이외의 다른 컴포넌트에서 수행될 수 있다.
먼저, 단계(301)에서, 적어도 하나의 데이터 패킷을 수신할 수 있다. 상기 데이터 패킷은 방화벽을 통과하는 데이터 패킷을 의미한다. 따라서, 상기 데이터 패킷은 외부 네트워크(예를 들어, 인터넷)로부터 수신되는 데이터 패킷뿐만 아니라, 내부 네트워크로부터 외부 네트워크로 전송되는 데이터 패킷을 포함할 수 있다.
계속해서 단계(302)에서, 상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 검색할 수 있다. 본 발명은 다수의 데이터 패킷에 걸쳐 반복되는 페이로드에 대해서는 DPI를 생략함으로써, DPI 성능의 향상을 꾀하는 것으로서, 이를 위해 수신된 데이터 패킷의 페이로드와 동일한 페이로드에 대해 DPI가 수행된 적이 있는지, 즉, 수신된 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지를 여부를 검색한다.
일반적으로, DPI 엔진(engine)의 DPI 수행 방식에 따라, 하나의 데이터 패킷에 대해 DPI가 수행될 수 있고, 다수의 데이터 패킷을 조합하여 DPI가 수행될 수도 있다. 본 발명은 상기와 같은 DPI 방식을 모두 포함하는 것으로서, DPI 엔진이 하나의 데이터 패킷에 대해 DPI를 수행한다면, 상기 하나의 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지를 검색하고, 복수의 데이터 패킷을 조합하여 DPI를 수행한다면, 상기 복수의 데이터 패킷의 페이로드의 조합에 대한 DPI 수행 기록이 존재하는지 검색할 수 있다.
상기 검색은 상기 데이터 패킷의 페이로드와, DPI 수행 기록 내의 페이로드를 식별하기 위한 정보를 비교함으로써 수행될 수 있다. 여기서 패킷을 식별하기 위한 정보는 임의의 페이로드를 다른 페이로드와 구별하기 위한 고유의 식별 정보를 의미한다.
일 실시예에서, 상기 페이로드를 식별하기 위한 정보는 패킷의 페이로드 자체를 포함할 수 있다. 즉, 수신된 데이터 패킷의 페이로드와 DPI 수행 기록 내의 페이로드를 직접적으로 비교함으로써, 수신된 데이터 패킷의 페이로드와 동일한 페이로드에 대해 DPI가 수행된 적이 있는지를 검색할 수 있다.
다른 실시예에서, 상기 페이로드를 식별하기 위한 정보는 패킷의 페이로드의 압축 값을 포함할 수 있다. 여기서 압축은 정보의 저장이나 전송을 위해 데이터의 양을 줄이는 것으로서, 페이로드를 식별하기 위한 정보를 저장하기 위한 공간은 제한되어 있으므로, 페이로드를 압축한 결과를 저장함으로써, 저장 공간을 효율적으로 이용할 수 있다. 다양한 압축 알고리즘이 공지되어 있으며, 이러한 압축 알고리즘이 본 발명에서 데이터 패킷의 페이로드의 압축을 위해 이용될 수 있다.
다른 실시예에서, 페이로드를 식별하기 위한 정보는 패킷의 해시(hash) 값을 포함할 수 있다. 해시 함수는 임의의 데이터로부터 일종의 짧은 "전자 지문"을 만들어 내는 방법을 말하는데, 상기 해시 함수는 데이터를 자르고 치환하거나 위치를 바꾸는 등의 방법을 사용해 결과를 만들어 내며, 이러한 결과를 해시 값이라 한다.
두 개의 해시 값을 비교했을 때, 두 해시 값이 서로 상이하면, 원래의 데이터가 상이하다는 것을 의미한다는 점을 이용해서, 데이터 패킷의 페이로드와 동일한 페이로드에 대해 DPI가 수행된 적이 있는지를 검색할 수 있다. 다만, 동일한 해시 값을 가진다고 해서, 원래의 데이터가 동일하다는 것을 의미하지는 않지만, 데이터의 길이가 길수록 데이터가 동일할 확률이 증가한다. 실제 페이로드의 데이터 길이를 고려할 때, 해시 값을 이용한 결과에는 실질적으로 오차가 존재하지 않을 것이다.
계속해서 단계(303)에서, 상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하지 않는 경우, 데이터 패킷에 대한 DPI를 수행할 수 있다. 즉, 수신된 데이터 패킷의 페이로드와 동일한 페이로드에 대해 DPI가 수행된 적이 없으므로, 수신된 데이터 패킷에 대해 새롭게 DPI를 수행하게 된다. 여기서 데이터 패킷에 대해 DPI를 수행하는 것은 데이터 패킷의 헤더 및 페이로드 모두에 대해 DPI를 수행하는 것을 의미한다.
한편, DPI는 데이터 패킷의 헤더뿐만 아니라 페이로드까지 포함해서 위험요소를 탐지하는 것으로서, 구체적인 DPI 방식은 DPI 엔진에 따라 상이해질 수 있다. 예를 들어, DPI를 통해 패턴 매칭(pattern matching)이 이루어질 수 있다. 패턴 매칭이란 데이터 패킷의 데이터 중 적어도 일부가 일정한 스트링(string) 또는 정규식(regular expression)의 형태로 제공되는 패턴과 일치하는지 여부를 조사하는 것을 말한다. 패턴 매칭 알고리즘에 따라 패턴 매칭이 이루어지며, 오토마톤(automaton) 기반, 휴리스틱(heuristic) 기반 및 필터링 기반 등의 다양한 패턴 매칭 알고리즘이 당업자에게 이용될 수 있다. 또한, 데이터 패킷의 데이터가 포함하는 수치가 일정한 범위 내에 속하는지 여부를 조사할 수 있다. 정규 범위 내에 속하지 않는 수치는 악성 코드 등에서 이용될 가능성이 높기 때문이다. 상기 기술된 DPI 방식 이외에도 다양한 DPI 방식이 당해 기술 분야에서 활용되고 있으며, 이러한 다양한 DPI 방식이 당업자에게 용이하게 본 발명과 관련하여 이용될 수 있다.
계속해서 단계(304)에서, 상기 DPI를 수행한 후, DPI 수행 기록을 저장할 수 있다. 여기서 DPI 수행 기록은 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함할 수 있다. 예를 들어, DPI가 패턴 매칭과 관련하여 수행되었다면, 페이로드에 대해 DPI를 수행한 결과는, 특정한 패턴이 페이로드에 존재하는지 여부에 관한 정보일 수 있다.
일 실시예에서, DPI 수행 기록은 상기 데이터 패킷의 페이로드의 전송 빈도에 대한 정보를 더 포함할 수 있다. 이 경우, 단계(302)로부터 DPI 수행 기록이 존재하는 경우, 상기 전송 빈도를 증가시킴으로써, 동일한 내용의 페이로드의 전송 빈도에 계산할 수 있다.
일 실시예에서, 단계(302)에서의 DPI 수행 기록의 검색은 상기 전송 빈도를 이용하여 이루어질 수 있다. 즉, 전송 빈도가 높은 DPI 수행 기록부터 전송 빈도가 낮은 DPI 수행 기록의 순서로 검색이 이루어질 수 있다. 페이로드의 전송 빈도가 높을수록 동일한 페이로드가 이후에 다시 전송될 가능성이 높기 때문이다.
다시 단계(304)로 돌아가서, DPI 수행 기록을 저장하기 위한 저장 공간(예를 들어, 메모리)의 크기에 일정한 제한을 존재하기 때문에, 저장 공간에 저장되는 DPI 수행 기록을 관리할 필요가 있다.
일 실시예에서, DPI 수행 기록의 저장은 선입선출(first-in first out) 방식으로 수행될 수 있다. 여기서 선입선출 방식은 가장 먼저 발생하거나 도착한 데이터를 가장 먼저 처리하는 방식을 말한다. 따라서, 저장 공간이 부족한 경우, DPI 수행 기록의 저장은 가장 오래된 DPI 수행 기록(즉, 가장 먼저 저장된 DPI 수행 기록)를 삭제하고, 신규한 DPI 수행 기록을 저장하는 방식으로 수행될 수 있다.
다른 실시예에서, DPI 수행 기록의 저장은 전송 빈도에 기초하여 수행될 수 있다. 즉, 저장 공간이 부족한 경우, DPI 수행 기록의 저장은 신규한 DPI 수행 기록이 전송 빈도가 가장 작은 페이로드에 대한 이미 저장된 DPI 수행 기록 중 전송 빈도가 가장 작은 페이로드에 대한 DPI 수행 기록을 대체하는 방식으로 수행될 수 있다. 여기서, 상기 DPI 수행 기록을 대체하는 방식은 전송 빈도가 가장 작은 페이로드에 대한 복수의 DPI 수행 기록이 존재하는 경우, 선입선출 방식으로 수행될 수 있다.
제한된 저장 공간을 효율적으로 관리하기 위해 상기 기술된 저장 방식 이외의 다양한 저장 방식이 이용될 수 있으며, 이는 당해 기술 분야에서 통상의 지식을 가진 자에게 자명한 범위에 속할 것이다.
마지막으로 단계(305)에서, 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는 경우, 데이터 패킷의 헤더에 대해 DPI를 수행할 수 있다. 수신된 데이터 패킷의 페이로드와 동일한 페이로드에 대해 이미 DPI를 수행한 결과가 존재하므로, 데이터 패킷의 페이로드를 제외하고, 헤더에 대해서만 DPI를 수행하는 것이다. 이를 통해, 반복되는 페이로드에 대한 DPI 수행에 요구되는 자원 소모 및 시간 지연을 감소시킬 수 있다.
도 4는 본 발명에 따라 향상된 심층 패킷 조사를 수행하기 위한 장치(400)를 도시한다.
상기 장치(400)는 적어도 하나의 데이터 패킷을 수신하기 위한 수신부(401); 상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 여부를 검색하기 위한 DPI 수행 기록 검색부(402); 상기 DPI 수행 기록 검색부의 검색 결과에 기초하여, 상기 DPI 수행 기록이 존재하지 않는 경우, 상기 데이터 패킷에 대해 DPI를 수행하고, 상기 DPI 수행 기록이 존재하는 경우, 상기 데이터 패킷의 헤더에 대해 DPI를 수행하기 위한 DPI 수행부(403); 상기 DPI 수행부가 상기 데이터 패킷에 대해 DPI를 수행한 경우, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함하는, DPI 수행 기록을 저장하기 위한 데이터베이스(404)를 포함할 수 있다.
일 실시예에서, 상기 장치(400)는 상기 DPI 수행 기록 검색부의 검색 결과, 상기 DPI 수행 기록이 존재하는 경우, 전송 빈도를 증가시키기 위한 카운터(405)를 더 포함할 수 있다.
상기 장치(400)는 향상된 심층 패킷 조사를 수행하기 위한 방법(300)을 수행하기 위한 예시적인 실시예에 해당하며, 상기 실시예는 상기 방법을 수행하기 위한 이러한 모든 변형들 또는 수정들을 포함하는 것으로 의도된다.
본 발명의 향상된 DPI를 수행하기 위한 방법 및 장치는, DPI가 수행된 패킷의 페이로드와 동일한 페이로드를 포함하는 패킷이 전송되는 경우 DPI를 생략함으로써, DPI를 위한 자원과 노력을 절감하고, 나아가 전체적인 DPI의 성능을 향상시킬 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성으로부터 벗어나지 않는 범위 내에서 다양한 수정, 변경 및 치환이 가능할 것이다. 따라서, 본 발명에 개시된 실시예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예 및 첨부된 도면에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구 범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (14)

  1. 향상된 심층 패킷 조사(deep packet inspection, DPI)를 수행하기 위한 방법으로서,
    적어도 하나의 데이터 패킷을 수신하는 단계;
    상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 여부를 검색하는 단계;
    상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하지 않는 경우, 상기 데이터 패킷에 대해 DPI를 수행하는 단계;
    상기 DPI를 수행한 후, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함하는, DPI 수행 기록을 저장하는 단계; 및
    상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하는 경우, 상기 데이터 패킷의 헤더에 대해 DPI를 수행하는 단계
    를 포함하는, 향상된 심층 패킷 조사를 수행하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 검색하는 단계는 상기 데이터 패킷의 페이로드와, DPI 수행 기록 내의 페이로드를 식별하기 위한 정보를 비교함으로써 수행되는,
    향상된 심층 패킷 조사를 수행하기 위한 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 페이로드를 식별하기 위한 정보는 페이로드의 압축 값을 포함하는,
    향상된 심층 패킷 조사를 수행하기 위한 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 페이로드를 식별하기 위한 정보는 페이로드의 해시(hash) 값을 포함하는,
    향상된 심층 패킷 조사를 수행하기 위한 방법.
  5. 제 1 항에 있어서,
    상기 저장하는 단계는 선입선출(first-in first out) 방식으로 수행되는,
    향상된 심층 패킷 조사를 수행하기 위한 방법.
  6. 제 1 항에 있어서,
    상기 DPI 수행 기록은 상기 데이터 패킷의 페이로드의 전송 빈도에 대한 정보를 더 포함하고,
    상기 방법은,
    상기 검색하는 단계로부터 상기 DPI 수행 기록이 존재하는 경우, 상기 전송 빈도를 증가시키는 단계를 더 포함하는,
    향상된 심층 패킷 조사를 수행하기 위한 방법.
  7. 제 6 항에 있어서,
    상기 검색하는 단계는 데이터 베이스 상 상기 전송 빈도가 높은 DPI 수행 기록일수록 먼저 검색을 수행하는,
    향상된 심층 패킷 조사를 수행하기 위한 방법.
  8. 제 6 항에 있어서,
    상기 저장하는 단계는 상기 DPI 수행 기록을 저장할 수 있는 저장 공간이 부족한 경우, 상기 DPI 수행 기록이 상기 저장 공간에 이미 저장된 DPI 수행 기록 중 전송 빈도가 가장 작은 페이로드에 대한 DPI 수행 기록을 대체하는 방식으로 수행되는,
    향상된 심층 패킷 조사를 수행하기 위한 방법.
  9. 향상된 심층 패킷 조사(deep packet inspection, DPI)를 수행하기 위한 장치로서,
    적어도 하나의 데이터 패킷을 수신하기 위한 수신부;
    상기 데이터 패킷의 페이로드에 대한 DPI 수행 기록이 존재하는지 여부를 검색하기 위한 DPI 수행 기록 검색부;
    상기 DPI 수행 기록 검색부의 검색 결과에 기초하여, 상기 DPI 수행 기록이 존재하지 않는 경우, 상기 데이터 패킷에 대해 DPI를 수행하고, 상기 DPI 수행 기록이 존재하는 경우, 상기 데이터 패킷의 헤더에 대해 DPI를 수행하기 위한 DPI 수행부; 및
    상기 DPI 수행부가 상기 데이터 패킷에 대해 DPI를 수행한 경우, 상기 데이터 패킷의 페이로드를 식별하기 위한 정보 및 상기 페이로드에 대해 DPI를 수행한 결과를 포함하는, DPI 수행 기록을 저장하기 위한 데이터베이스
    를 포함하는, 향상된 심층 패킷 조사를 수행하기 위한 장치.
  10. 제 9 항에 있어서,
    상기 페이로드를 식별하기 위한 정보는 페이로드의 해시 값을 포함하는,
    향상된 심층 패킷 조사를 수행하기 위한 장치.
  11. 제 9 항에 있어서,
    상기 데이터베이스는 상기 DPI 수행 기록을 선입선출 방식으로 저장하는,
    향상된 심층 패킷 조사를 수행하기 위한 장치.
  12. 제 9 항에 있어서,
    상기 DPI 수행 기록은 상기 데이터 패킷의 페이로드의 전송 빈도에 대한 정보를 더 포함하고,
    상기 장치는, 상기 DPI 수행 기록 검색부의 검색 결과, 상기 DPI 수행 기록이 존재하는 경우, 상기 전송 빈도를 증가시키기 위한 카운터를 더 포함하는,
    향상된 심층 패킷 조사를 수행하기 위한 장치.
  13. 제 12 항에 있어서,
    상기 DPI 수행 기록 검색부는 상기 데이터 베이스 상에서 상기 전송 빈도가 높은 DPI 수행 기록일수록 먼저 검색을 수행하는,
    향상된 심층 패킷 조사를 수행하기 위한 장치.
  14. 제 12 항에 있어서,
    상기 데이터베이스는 상기 DPI 수행 기록을 저장할 수 있는 저장 공간이 부족한 경우, 상기 DPI 수행 기록으로 상기 데이터베이스에 이미 저장된 DPI 수행 기록 중 전송 빈도가 가장 작은 페이로드에 대한 DPI 수행 기록을 대체하는,
    향상된 심층 패킷 조사를 수행하기 위한 장치.
KR1020120008294A 2012-01-27 2012-01-27 향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치 KR101308086B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120008294A KR101308086B1 (ko) 2012-01-27 2012-01-27 향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120008294A KR101308086B1 (ko) 2012-01-27 2012-01-27 향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20130093846A KR20130093846A (ko) 2013-08-23
KR101308086B1 true KR101308086B1 (ko) 2013-09-12

Family

ID=49217867

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120008294A KR101308086B1 (ko) 2012-01-27 2012-01-27 향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101308086B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101522405B1 (ko) * 2013-12-30 2015-05-22 주식회사 케이티 접속망에서의 심층 패킷 조사 방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006031496A2 (en) 2004-09-10 2006-03-23 The Regents Of The University Of California Method and apparatus for deep packet inspection
US20090300153A1 (en) 2008-05-29 2009-12-03 Embarq Holdings Company, Llc Method, System and Apparatus for Identifying User Datagram Protocol Packets Using Deep Packet Inspection
US20110060851A1 (en) 2009-09-08 2011-03-10 Matteo Monchiero Deep Packet Inspection (DPI) Using A DPI Core

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006031496A2 (en) 2004-09-10 2006-03-23 The Regents Of The University Of California Method and apparatus for deep packet inspection
US20090300153A1 (en) 2008-05-29 2009-12-03 Embarq Holdings Company, Llc Method, System and Apparatus for Identifying User Datagram Protocol Packets Using Deep Packet Inspection
US20110060851A1 (en) 2009-09-08 2011-03-10 Matteo Monchiero Deep Packet Inspection (DPI) Using A DPI Core

Also Published As

Publication number Publication date
KR20130093846A (ko) 2013-08-23

Similar Documents

Publication Publication Date Title
US10735379B2 (en) Hybrid hardware-software distributed threat analysis
EP3420487B1 (en) Hybrid hardware-software distributed threat analysis
US7831822B2 (en) Real-time stateful packet inspection method and apparatus
US9798714B2 (en) System and method for keyword spotting using representative dictionary
WO2018107784A1 (zh) 检测网页后门的方法和装置
KR101484023B1 (ko) 평판 시스템을 통한 멀웨어 탐지
US8522348B2 (en) Matching with a large vulnerability signature ruleset for high performance network defense
US11539750B2 (en) Systems and methods for network security memory reduction via distributed rulesets
US9258289B2 (en) Authentication of IP source addresses
Zhou et al. Exploiting the vulnerability of flow table overflow in software-defined network: Attack model, evaluation, and defense
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
US20080313708A1 (en) Data content matching
KR20130014226A (ko) 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법
WO2018076697A1 (zh) 僵尸特征的检测方法和装置
CN114514727A (zh) 用于高效分组过滤的方法和系统
EP3618355B1 (en) Systems and methods for operating a networking device
US20150331808A1 (en) Packet capture deep packet inspection sensor
CN102893580A (zh) 反病毒方法和装置及防火墙设备
WO2022183794A1 (zh) 一种流量处理方法、及防护系统
KR102014741B1 (ko) Fpga 기반 고속 스노트 룰과 야라 룰 매칭 방법
KR101308086B1 (ko) 향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치
KR101420301B1 (ko) DDoS 공격 검출 방법 및 장치
KR102014736B1 (ko) Fpga 기반 고속 스노트 룰과 야라 룰 매칭 장치
Gutierrez et al. An attack-based filtering scheme for slow rate denial-of-service attack detection in cloud environment
Renukuntla et al. Optimization of excerpt query process for Packet Attribution System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160905

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180904

Year of fee payment: 6