KR101522405B1 - Method and apparatus of deep packet inspection in access network - Google Patents

Method and apparatus of deep packet inspection in access network Download PDF

Info

Publication number
KR101522405B1
KR101522405B1 KR1020130167791A KR20130167791A KR101522405B1 KR 101522405 B1 KR101522405 B1 KR 101522405B1 KR 1020130167791 A KR1020130167791 A KR 1020130167791A KR 20130167791 A KR20130167791 A KR 20130167791A KR 101522405 B1 KR101522405 B1 KR 101522405B1
Authority
KR
South Korea
Prior art keywords
packet
flow
deep
information
deep packet
Prior art date
Application number
KR1020130167791A
Other languages
Korean (ko)
Inventor
김종학
박형진
윤광열
이경주
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020130167791A priority Critical patent/KR101522405B1/en
Application granted granted Critical
Publication of KR101522405B1 publication Critical patent/KR101522405B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention discloses a method of a deep packet inspection and an access switch that works on the access network. A deep packet inspection method according to an embodiment of the invention includes the following steps: the step to receive policy data on the deep packet inspection decision from a network controller; the step to receive packet flows from a terminal connected with a core network through the access switch; the step to decide packets to be analyzed in depth out of the packet flows received based on the policy data; the step to transmit the packets to be analyzed to the deep packet inspection device; and the step to receive the analysis results on the packets from the deep packet inspection device.

Description

접속망에서의 심층 패킷 조사 방법 및 장치 {Method and apparatus of deep packet inspection in access network}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001]

본 발명은 네트워크 통신에 관한 것으로서, 보다 상세하게는 접속망에서의 심층 패킷 조사 방법 및 장치에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to network communication, and more particularly, to a method and apparatus for deep packet inspection in an access network.

심층 패킷 검사(deep packet inspection, DPI)는 네트워크 트래픽을 조정하기 쓰이는 기술이다. DPI는 패킷의 헤더뿐만이 아니라 페이로드(payload)에 대한 검사가 가능하며, 이러한 특징으로 인해 QoS 조정, 네트워크 보안 장치와 WAN 가속기 등에서 성능 최적화 등 다양한 목적을 위해 서 적용되고 있다. DPI는 패킷의 페이로드를 조사함으로써, 해당 트래픽의 종류 및 의도를 파악할 수 있기 때문에, 해킹 탐지 및 악성 코드들을 네트워크 단에서 원천적으로 막는데 매우 유용하다. 또한 트래픽의 종류를 세분화하여 QoS를 적용하기 위해 사용될 수 있다.Deep packet inspection (DPI) is a technique used to coordinate network traffic. DPI can be checked not only for the header of the packet but also for the payload. Due to this feature, DPI is applied for various purposes such as QoS adjustment, performance optimization in network security device and WAN accelerator. By examining the payload of a packet, DPI can identify the type and intent of the traffic, which is very useful for blocking hacking detection and malicious codes at the network end. It can also be used to apply QoS by segmenting traffic types.

그러나, 이러한 DPI는 많은 양의 데이터(즉, 헤더 및 페이로드)를 검사하기 때문에 더 많은 자원과 시간이 필요하게 된다. 따라서, 종래에 비해 자원과 시간을 절감하면서 DPI를 수행할 수 있는 기술이 요구된다.However, these DPIs require more resources and time because they inspect large amounts of data (i.e., headers and payloads). Therefore, there is a need for a technique capable of performing DPI while saving resources and time compared with the conventional technique.

본 발명이 해결하고자 하는 과제는, 접속망(access network)에서 동작하는 소프트웨어 정의 네트워크(software defined network, SDN) 기반의 DPI 장치 및 방법을 제공하는 것이다. A problem to be solved by the present invention is to provide a software defined network (SDN) based DPI device and method operating in an access network.

본 발명이 해결하고자 하는 다른 과제는, DPI 대상 트래픽을 선별하여 트래픽 분석 용량을 줄이고 장치의 구현 비용을 절감할 수 있는 DPI 장치 및 방법을 제공하는 것이다.Another problem to be solved by the present invention is to provide a DPI apparatus and method that can reduce the traffic analysis capacity and reduce the implementation cost of the apparatus by screening the DPI target traffic.

본 발명의 일 양태에 있어서, 본 발명의 실시예에 따른 액세스 스위치에 의해 수행되는 심층 패킷 조사 방법은 심층 패킷 조사의 대상 패킷 결정에 관한 정책 정보를 네트워크 컨트롤러로부터 수신하는 단계, 상기 액세스 스위치에 의해 코어 네트워크와 연결되는 단말로부터 패킷 플로우를 수신하는 단계, 상기 정책 정보에 기반하여 상기 패킷 플로우 중 심층 패킷 분석의 대상 패킷을 결정하는 단계, 상기 대상 패킷을 심층 패킷 조사 장치로 전송하는 단계 및 상기 심층 패킷 조사 장치로부터 상기 대상 패킷에 대한 분석 결과를 수신하는 단계를 포함한다.In one aspect of the present invention, a method for inspecting an in-depth packet performed by an access switch according to an embodiment of the present invention includes receiving policy information regarding a packet determination for a deep packet inspection from a network controller, Receiving a packet flow from a terminal connected to a core network, determining a packet to be subjected to in-depth packet analysis among the packet flows based on the policy information, transmitting the object packet to a deep packet inspection device, And receiving an analysis result of the target packet from the packet inspection device.

상기 분석 결과는 상기 대상 패킷의 유형을 지시하는 어플리케이션 코드와 상기 대상 패킷의 플로우 제어 설정 정보를 포함할 수 있다.The analysis result may include application code indicating the type of the target packet and flow control setting information of the target packet.

상기 플로우 제어 설정 정보는 상기 대상 패킷의 전송 우선순위, 상기 대상 패킷의 전송에 있어서 보장할 대역폭의 범위를 포함할 수 있다.The flow control setting information may include a transmission priority of the target packet and a bandwidth range to be guaranteed in transmission of the target packet.

상기 어플리케이션 코드는 상기 심층 패킷 조사 장치에 구비된 플로우 패턴 DB의 정보를 기반으로 결정될 수 있다.The application code may be determined based on information of a flow pattern DB provided in the deep packet inspection device.

상기 정책 정보는 트래픽 플로우의 유형별 최소 필요 패킷 수 정보를 포함할 수 있으며, 상기 대상 패킷은 상기 최소 필요 패킷 수로 결정될 수 있다.The policy information may include information on a minimum required packet number for each type of traffic flow, and the target packet may be determined as the minimum required packet number.

상기 트래픽 플로우의 유형은 상기 패킷 플로우로부터 얻어지는 상기 단말의 MAC 주소와 상기 패킷 플로우의 목적지 MAC 주소 및 입력 포트 정보에 의하여 결정될 수 있다.The type of the traffic flow can be determined by the MAC address of the terminal obtained from the packet flow, the destination MAC address of the packet flow, and the input port information.

상기 심층 패킷 조사 장치는 소프트웨어 정의 네트워크(software defined network)에서 네트워크의 관리/제어 기능을 수행하는 SDN 컨트롤러(SDN controller)이며, 상기 액세스 스위치는 상기 SDN 컨트롤러와의 통신 인터페이스를 제공하는 SDN 클라이언트를 포함할 수 있다.The deep packet inspection apparatus is an SDN controller (SDN controller) performing a network management / control function in a software defined network, and the access switch includes an SDN client providing a communication interface with the SDN controller can do.

상기 SDN 클라이언트와 상기 SDN 컨트롤러는 오픈플로우(openflow) 프로토콜을 이용하는 통신할 수 있다.The SDN client and the SDN controller may communicate using an open flow protocol.

본 발명의 다른 양태에 있어서, 본 발명의 실시례에 따른 접속망에서 동작하는 액세스 스위치는 네트워크에 접속 가능한 단말로부터 패킷 플로우를 수신하는 패킷 수신부, 상기 패킷 수신부로부터 상기 패킷 플로우를 전달받고, 심층 패킷 조사 대상 패킷을 선택하여 심층 패킷 조사 장치에 분석을 요청하는 패킷 분류부, 상기 심층 패킷 조사 장치의 분석 결과를 기반으로 상기 패킷 플로우를 제어하는 플로우 제어부, 상기 플로우 제어부의 제어에 따라 패킷 플로우를 코어 네트워크로 전송하는 패킷 전송부를 포함한다.In another aspect of the present invention, an access switch operating in an access network according to an embodiment of the present invention includes a packet receiving unit for receiving a packet flow from a terminal connectable to a network, a receiving unit for receiving the packet flow from the packet receiving unit, A packet classifying unit for selecting an object packet and requesting the deep packet inspection apparatus for analysis; a flow control unit for controlling the packet flow based on the analysis result of the deep packet inspection apparatus; And a packet transmission unit for transmitting the packet.

본 발명의 실시례에 따른 DPI 장치 및 방법은 접속망에서 동작하여 접속망에서만 존재하는 로컬 트래픽의 분석/미터링/제어를 수행할 수 있으며, 가입자 회선과 시설 회선간의 매핑 정확도 제고가 용이하다. SDN에서 제공되는 액세스 스위치 기능을 활용하여 DPI기능을 액세스 스위치와 SDN 컨트롤러에 분산시켜 저사양의 DPI 제공 액세스 스위치는 장치에서 제공되는 플로우 분류 및 제어 기능만 수행하고 고사양을 필요로 하는 트래픽 분석 및 제어 결정은 SDN 컨트롤러에서 수행하여 구현 비용을 절감할 수 있다.The DPI apparatus and method according to an embodiment of the present invention can perform analysis / metering / control of local traffic existing in an access network only in an access network, and it is easy to improve the accuracy of mapping between a subscriber line and a facility line. By utilizing the access switch function provided by SDN, the DPI function is distributed to the access switch and the SDN controller, and the low-level DPI access switch performs only the flow classification and control function provided by the device, and the traffic analysis and control decision Can be implemented in the SDN controller to reduce the implementation cost.

SDN과의 연동을 통해 L1 ~ L7 전 범위의 트래픽 분류 및 제어가 가능하며 SDN 프로토콜 사용하여 과금 정보인 트래픽 사용량에 대한 보안 채널을 통한 신뢰성 있는 전송이 가능하다.Through the interworking with SDN, it is possible to classify and control traffic of the entire range of L1 ~ L7, and it is possible to reliably transmit the traffic using the SDN protocol.

도 1은 본 발명의 실시례에 따른 접속망에서 동작하는 DPI 장치를 포함하는 네트워크 구조를 간략히 나타낸 것이다.
도 2는 본 발명의 실시례에 따른 액세스 스위치의 구조를 개략적으로 나타낸 블록도이다.
도 3은 본 발명의 실시례에 따른 SDN 컨트롤러의 구조를 개략적으로 나타낸 블록도이다.
도 4는 본 발명의 실시례에 따른 패킷 플로우의 심층 조사 방법을 나타낸 메시지 흐름도이다.
도 5는 본 발명의 다른 실시례에서 플로우 미터링 과정을 나타낸 메시지 흐름도이다.
도 6은 액세스 스위치가 생성하는 플로우 엔트리 필드의 구성을 예시한 블록도이다.
도 7은 SDN 컨트롤러의 플로우 패턴 DB 구성의 일례를 나타낸 것이다.
도 8은 SDN 컨트롤러의 QoS 정책 DB 구성의 일례를 나타낸 것이다.
도 9는 각각 SDN 컨트롤러의 플로우 저장 DB 구성의 일례를 나타낸 것이다.1 schematically illustrates a network structure including a DPI device operating in an access network according to an embodiment of the present invention.
2 is a block diagram schematically showing the structure of an access switch according to an embodiment of the present invention.
3 is a block diagram schematically illustrating the structure of an SDN controller according to an embodiment of the present invention.
4 is a message flow diagram illustrating a method for in-depth investigation of a packet flow according to an embodiment of the present invention.
5 is a message flow diagram illustrating a flow metering process in another embodiment of the present invention.
6 is a block diagram illustrating a configuration of a flow entry field generated by an access switch.
7 shows an example of the flow pattern DB configuration of the SDN controller.
8 shows an example of the QoS policy DB configuration of the SDN controller.
9 shows an example of the flow storage DB configuration of the SDN controller.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the present invention has been described in connection with certain exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and similarities. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings. In addition, numerals (e.g., first, second, etc.) used in the description of the present invention are merely an identifier for distinguishing one component from another.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.Also, in this specification, when an element is referred to as being "connected" or "connected" with another element, the element may be directly connected or directly connected to the other element, It should be understood that, unless an opposite description is present, it may be connected or connected via another element in the middle.

이하, 본 발명의 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate a thorough understanding of the present invention, the same reference numerals are used for the same means regardless of the number of the drawings.

도 1은 본 발명의 실시례에 따른 접속망에서 동작하는 DPI 장치를 포함하는 네트워크 구조를 간략히 나타낸 것이다.1 schematically illustrates a network structure including a DPI device operating in an access network according to an embodiment of the present invention.

도 1에서 인터넷 단말(10)은 서비스 사용자에게 인터넷 접근하여 관련 서비스를 제공받을 수 있도록 하는 장치로서 접속망을 통한 네트워크 접근 인터페이스를 구비한 네트워크 장비이다. WEB, IPTV, VOIP, 클라우드, P2P 등의 인터넷 서비스를 이용하는 셋톱박스, 노트북, PC, 스마트폰 단말 등 실시례에 따라 다양한 형태의 단말이 될 수 있으며 접속망을 통해 네트워크 접근이 가능한 장치이면 본 발명의 실시례에서 언급하는 사용자 단말이 될 수 있다. 이하에서 설명이 편의를 위하여 특정 형태의 단말을 예시하여 실시례를 기술할 수 있으나, 특별히 언급이 없는 한 특정 형태의 단말에 대해 적용되는 실시례로 한정하려는 것은 아니며 상술한 다양한 형태의 네트워크 접근 가능한 단말에도 적용될 수 있다.In FIG. 1, the Internet terminal 10 is a network device having a network access interface through an access network, which is a device that allows a service user to access the Internet and receive related services. A set-top box, a laptop, a PC, and a smart phone terminal using internet services such as Internet, WEB, IPTV, VOIP, cloud, P2P, etc. If the device can access the network through the access network, It can be a user terminal mentioned in the embodiment. Hereinafter, for convenience of description, a specific type of terminal may be exemplified to describe an embodiment. However, unless otherwise stated, the present invention is not limited to the specific example of the terminal, It can also be applied to terminals.

본 발명의 실시례에 따른 액세스 스위치(20)는 기존의 접속망의 액세스 스위치(20)로서의 기능을 수행함에 더하여 ASIC기반의 저사양으로 가능한 플로우 생성 및 제어를 수행할 수 있으며, SDN 클라이언트 기능을 탑재하여 SDN 컨트롤러(30)에 플로우 분석 요청, 미터링 전보 전달하고, SDN 컨트롤러(30)가 요청한 플로우 제어 처리를 수행할 수 있다.The access switch 20 according to the embodiment of the present invention can perform flow creation and control as low as possible based on the ASIC in addition to performing the function as the access switch 20 of the existing access network, The flow analysis request, the metering telegram, and the flow control processing requested by the SDN controller 30 to the SDN controller 30.

SDN 컨트롤러(30)는 액세스 스위치(20)에서 수행하기 어려운 고사양을 필요로 하는 패킷 플로우를 분석하는 기능을 수행할 수 있으며. 분석한 정보를 기반으로 어플리케이션 속성을 구분해서 유해 트래픽 여부 판별하거나 QoS 제어 관련 정책을 결정할 수 있으며, 이에 따라 액세스 스위치(20)를 설정할 수 있다. 실시례에 따라서 플로우 별로 수집된 미터링 정보를 기반으로 총량 제어 여부를 판별 할 수 있다. SDN 컨트롤러는 심층 패킷 조사 장치로 기능하며, SDN 컨트롤러 본연의 기능과 심층 패킷 조사 장치로서의 기능은 논리적으로 구별되는 개체로 구성될 있다. 이하에서 SDN 컨트롤러라 하면 특별한 언급이 없는 한, SDN 컨트롤러로서의 기능과 심층 패킷 조사 장치로서의 기능을 모두 수행할 수 있는 네트워크 개체를 의미한다. The SDN controller 30 can perform a function of analyzing a packet flow that requires a high-grade, which is difficult to perform in the access switch 20. [ It is possible to distinguish the application attributes based on the analyzed information to determine whether there is harmful traffic or to determine the QoS control related policy, and thereby, the access switch 20 can be set. According to the embodiment, it is possible to determine whether the total amount is controlled based on the metering information collected for each flow. The SDN controller functions as a deep packet inspection device, and the functions of the SDN controller and the functions as a deep packet inspection device are made up of logically distinct entities. Hereinafter, the SDN controller means a network entity capable of performing both a function as an SDN controller and a function as a deep packet inspection device, unless otherwise specified.

도 1과 같은 네트워크 구조에서 DPI 기능은 액세스 스위치(20)와 SDN 컨트롤러(30)에 분산 배치되어 액세스 스위치(20)와 SDN 컨트롤러(30)의 협업에 의하여 수행될 수 있다. DPI 분석을 통하여 단말이 사용하는 인터넷 서비스별 총량 미터링 및 제어, IPTV/클라우드/VOD 등의 유료 서비스에 대한 QoS 제공, 유해트래픽 발생시 해당 유해 트래픽 제어 기능을 접속망 계위에서 제공할 수 있다.1, the DPI function may be distributed to the access switch 20 and the SDN controller 30 and may be performed by cooperation of the access switch 20 and the SDN controller 30. [ Through the DPI analysis, it is possible to provide metering and control of total amount by internet service used by terminal, QoS provision for paid service such as IPTV / cloud / VOD, and harmful traffic control function in case of harmful traffic.

DPI 기능을 액세스 스위치(20)와 SDN 컨트롤러(30)에 분산시켜 플로우 분류(flow classification), 플로우 제어(flow control) 기능을 저사양으로 구현하고, 상대적으로 고사양이 필요한 트래픽 분석과 제어 결정은 SDN 컨트롤러(30)에서 수행하여 중앙 집중적이고 통일적인 트래픽 제어가 가능하다. The flow classification and flow control functions are distributed at a low level by distributing the DPI function to the access switch 20 and the SDN controller 30 and the traffic analysis and control decisions requiring relatively high- (30), thereby enabling centralized and unified traffic control.

본 발명의 실시례에서 플로우 분석은 기본 유형에 따라서 필요한 패킷에 대하여 제한적으로 수행될 수 있으며, 액세스 스위치(20)가 플로우 유형별로 최소 패킷 만을 수집하여 SDN 컨트롤러(30)에 제공하고, 분석 대상 패킷을 제외한 패킷은 미터링 정보만을 수집할 수 있다. SDN 컨트롤러(30)는 액세스 스위치(20)에 의해 제공된 패킷을 기반으로 플로우 분석하고, 그 결과에 따라 유해 트래픽 차단, QoS 제어 등을 수행할 수 있다. 더불어 실시례에 따라서는 주기적으로 수집된 미터링 정보를 기반으로 서비스별 사용량 산출 및 총량 제어를 수행할 수 있다. 이하에서 상술한 방법을 구현하기 위한 액세스 스위치(20)의 구조 및 시그널링 절차를 도면을 참조하여 보다 구체적으로 설명하기로 한다.In the embodiment of the present invention, the flow analysis can be limited to necessary packets according to the basic type. The access switch 20 collects only the minimum packets for each flow type and provides them to the SDN controller 30, Can only collect metering information. The SDN controller 30 may perform flow analysis based on the packet provided by the access switch 20, and may perform harmful traffic blocking, QoS control, etc. according to the result. In addition, according to the embodiment, it is possible to calculate usage amount and total amount control for each service based on the metering information collected periodically. Hereinafter, the structure and signaling procedure of the access switch 20 for implementing the above-described method will be described in more detail with reference to the drawings.

도 2는 본 발명의 실시례에 따른 액세스 스위치(20)의 구조를 개략적으로 나타낸 블록도이다.2 is a block diagram schematically showing the structure of the access switch 20 according to the embodiment of the present invention.

본 발명의 실시례에 따른 액세스 스위치(20)는 패킷 수신부(21), 플루우 분류부(22), 플로우 제어부(23), 패킷 전송부(24) 및 SDN 클라이언트(25)를 포함한다. The access switch 20 according to the embodiment of the present invention includes a packet receiving unit 21, a flow classification unit 22, a flow control unit 23, a packet transfer unit 24, and an SDN client 25.

패킷 수신부(21)는 단말(10)과 SDN 컨트롤러(30)로부터 데이터 패킷을 수신할 수 있다. 단말(10)이 전송하는 데이터 패킷과 SDN 컨트롤러(30)로부터 제어 메시지(e.g. OAM(Operations, Administration and Maintenance) 메시지, QoS 정책 등의 설정 메시지)를 수신하며, 단말(10)로부터 수신한 데이터 패킷은 플로우 분류부(22)로 전송하여 플로우 분류가 이루어질 수 있도록 한다. The packet receiving unit 21 can receive the data packet from the terminal 10 and the SDN controller 30. [ And receives a data packet transmitted from the terminal 10 and a control message from the SDN controller 30 (for example, a configuration message such as an Operations, Administration and Maintenance (OAM) message and a QoS policy) To the flow classifying unit 22 so that flow classification can be performed.

플로우 분류부(22)는 OAM 메시지를 SDN 클라이언트(25)에 전달하고, 단말(10)로부터 수신한 데이터 패킷은 해당 데이터 패킷이 신규 플로우인지 여부를 판별한다. 신규 플로우로 판정되는 경우 플로우 테이블에 플로우 엔트리(entry)를 생성하고 해당 패킷을 수집하여 심층 패킷 분석을 요청할 수 있다. 신규 플로우가 아닌 기존 플로우로 판정되는 경우 미터링 정보만을 갱신할 수 있다. 즉, 플로우 분류부(22)는 데이터 패킷이 수신한 데이터 패킷이 신규 플로우인지 여부를 판단하고 그 결과에 따라 DPI 요청 여부를 결정한다.The flow classifying unit 22 delivers the OAM message to the SDN client 25, and the data packet received from the terminal 10 determines whether the corresponding data packet is a new flow. If it is determined as a new flow, a flow entry may be created in the flow table and the packet may be collected to request deep packet analysis. If it is determined that the flow is an existing flow other than the new flow, only the metering information can be updated. That is, the flow classifying unit 22 determines whether the data packet received by the data packet is a new flow, and determines whether or not to request a DPI according to the result.

플로우 제어부(23)는 SDN 컨트롤러(30)로부터 SDN 클라이언트(25)에 전달된 유해 트래픽 차단, QoS 설정, 총량제어 OAM 메시지는 플로우 테이블에 수신 정보를 갱신하고, 플로우 제어부(23)에서 플로우 테이블 정보를 기반으로 데이터 패킷의 제어를 수행한다.The flow control unit 23 updates reception information in the flow table of the harmful traffic interception, QoS setting, and total amount control OAM message transmitted from the SDN controller 30 to the SDN client 25, and the flow control unit 23 updates the flow table information Lt; RTI ID = 0.0 > a < / RTI > data packet.

패킷 전송부(24) 데이터 패킷과 제어 메시지(OAM 메시지)를 전송한다.The packet transmission unit 24 transmits a data packet and a control message (OAM message).

도 3은 본 발명의 실시례에 따른 SDN 컨트롤러(30)의 구조를 개략적으로 나타낸 블록도이다.3 is a block diagram schematically illustrating the structure of an SDN controller 30 according to an embodiment of the present invention.

본 발명의 실시례에 따른 SDN 컨트롤러(30)는 SDN 서버 OAM 수신부(31), 플로우 분석부(32), 플로우 제어정책 관리부(33), 플로우 정보 저장 DB(34), SDN 서버 OAM 전송부(35), 플로우 패턴(pattern) DB(36), 플로우 QoS DB(37), 플로우 미터링 관리부(38)를 포함한다. The SDN controller 30 according to the embodiment of the present invention includes an SDN server OAM receiving unit 31, a flow analyzing unit 32, a flow control policy managing unit 33, a flow information storing DB 34, an SDN server OAM transmitting unit 35, a flow pattern DB 36, a flow QoS DB 37, and a flow metering management unit 38. [

SDN 서버 OAM 수신부(31)는 SDN 컨트롤러(30)의 제어를 받는 개별 액세스 스위치(20)에서 전송된 OAM 메시지를 수신한다.The SDN server OAM receiving section 31 receives the OAM message transmitted from the individual access switch 20 under the control of the SDN controller 30.

플로우 분석부(32)는 SDN 클라이언트(25)로부터 플로우 분석 요청시 수집/ 전달된 패킷을 플로우 패턴 DB(36)의 정보를 기반으로 분석을 수행하여 어플리케이션 속성을 검출하고 코드를 결정한다.The flow analyzer 32 analyzes packets based on the information of the flow pattern DB 36 when the flow analysis request is received from the SDN client 25 to detect application attributes and determine codes.

플로우 제어정책 관리부(33)는 플로우 분석부(32)에 의해서 결정된 어플리케이션 코드와 플로우 QoS 정책 DB를 기반으로 유해 트래픽 차단, QoS 설정 여부를 결정한다. 실시례에 따라서 플로우 미터링 관리부에 의해서 결정된 총량제어 여부에 따라서 총량제어 과정을 더 수행할 수 있다.The flow control policy management unit 33 determines whether to block harmful traffic and set QoS based on the application code determined by the flow analysis unit 32 and the flow QoS policy DB. The total amount control process may be further performed according to whether the total amount is determined by the flow metering management unit according to the embodiment.

플로우 정보 저장 DB(34)는 플로우 제어 정책 관리부에서 결정된 플로우 제어 정책과 미터링 관리부에서 전달된 미터링 정보를 저장한다.The flow information DB 34 stores the flow control policy determined by the flow control policy management unit and the metering information transmitted from the metric management unit.

SDN 서버 OAM 전송부(35)는 접속된 SDN 클라이언트(25)에 OAM 메시지를 전송한다.The SDN server OAM transmission unit 35 transmits an OAM message to the SDN client 25 connected thereto.

플로우 패턴 DB(36)는 패킷 플로우 분석을 위한 패턴 정보 데이터베이스로서 관리자에 의해서 설정/갱신 될 수 있다. The flow pattern DB 36 can be set / updated by the administrator as a pattern information database for packet flow analysis.

플로우 QoS DB(37)는 어플리케이션 속성별 QoS 정책 데이터 베이스로서 관리자에 의해서 설정/갱신 될 수 있다.The flow QoS DB 37 can be set / updated by the administrator as a QoS policy database for each application attribute.

도 4는 본 발명의 실시례에 따른 패킷 플로우의 심층 조사 방법을 나타낸 메시지 흐름도이다.4 is a message flow diagram illustrating a method for in-depth investigation of a packet flow according to an embodiment of the present invention.

액세스 스위치(20)는 SDN 컨트롤러(30)로부터 패킷 유형별로 패킷 심층 조사에 필요한 필요 패킷 수 설정 정보를 수신한다(S105). 액세스 스위치(20)는 단말(10)로부터 수신하는 패킷에 대하여 패킷 유형을 판단하고 패킷 유형에 따라 유형별 최소 필요 패킷 수 설정 정보에 따라 해당 패킷 수를 바탕으로 신규 플로우 여부를 결정하게 된다. The access switch 20 receives, from the SDN controller 30, necessary packet number setting information necessary for packet depth investigation for each packet type (S105). The access switch 20 determines a packet type for a packet received from the terminal 10 and determines whether to perform a new flow based on the number of packets according to the minimum required packet number setting information according to the packet type.

이후 단말(10)로부터 패킷 플로우가 발생되어 액세스 스위가 이를 수신하면(S107), 수신한 해당 패킷 플로우가 신규 패킷 플로우인지 판별하여 신규 플로우를 검출한다(S110). 액세스 스위치(20)의 구조와 함께 설명된 바와 같이 본 발명의 실시례에 따른 심층 패킷 조사 방법은 모든 데이터 패킷에 대하여 심층 패킷 조사를 수행하지 아니하고 신규 플로우에 한하여 심층 패킷 조사를 수행하여 심층 패킷 조사 대상 패킷을 줄일 수 있다. Thereafter, when a packet flow is generated from the terminal 10 and the access switch receives the packet flow (S107), it is determined whether the received packet flow is a new packet flow and a new flow is detected (S110). As explained in conjunction with the structure of the access switch 20, the depth packet inspection method according to the embodiment of the present invention does not perform deep packet inspection for all data packets, but performs deep packet inspection for new flows only, The target packet can be reduced.

신규 플로우가 검출되면 플로우 엔트리를 생성하고(S120), 분석 요청 패킷을 수집한다(S130). 이때, 수집되는 분석 요청 패킷은 S105에서 획득한 최소 필요 패킷 수를 참조하여 최소 필요 패킷 수만큼 수집한다. When a new flow is detected, a flow entry is created (S120) and an analysis request packet is collected (S130). At this time, the collected analysis request packet refers to the minimum required packet number acquired in S105 and collects the minimum number of required packets.

수집된 분석 요청 패킷이 SDN 컨트롤러(30)로 전송되면(S135), SDN 컨트롤러(30)에 의해 플로우 분석(S140), 플로우 어플리케이션 코드 결정(S150), 유해 트래픽 및 QoS 제어 결정(S160), 플로우 관리 테이블 저장(S170) 절차가 이루어질 수 있다. When the collected analysis request packet is transmitted to the SDN controller 30 in step S135, the SDN controller 30 performs the flow analysis S140, the flow application code determination S150, the harmful traffic and QoS control decision S160, Management table storage (S170) may be performed.

S150, S160, S170의 절차는 SDN 컨트롤러(30)에 의해 이루어진 플로우 분석에 따른 SDN 컨트롤러(30)의 동작으로 실시례에 따라 일부 생략되거나 관련 절차가 추가될 수 있다. 플로우 분석(S140)은 상술한 바와 같이 플로우 패턴 DB(36)를 참조하여 분석 대상 플로우의 유형을 결정하는 과정일 수 있으며, 그 결과에 따라 해당 플로우의 유형을 지시하는 플로우 어플리케이션 코드를 결정(S150)할 수 있다. The procedures of S150, S160, and S170 are operations of the SDN controller 30 according to the flow analysis performed by the SDN controller 30, and some of them may be omitted or related procedures may be added according to the embodiment. The flow analysis S140 may be a process of determining the type of a flow to be analyzed with reference to the flow pattern DB 36 as described above and determines a flow application code indicating the type of the flow according to the result )can do.

SDN 컨트롤러(30)는 플로우 분석이 완료되면, 플로우 분석 결과 응답을 액세스 스위치(20)로 전송한다(S175). 플로우 분석 결과 응답은 S150에서 결정된 어플리케이션 코드와 플로우 제어 설정 정보를 포함할 수 있다.When the flow analysis is completed, the SDN controller 30 transmits a flow analysis result response to the access switch 20 (S175). The flow analysis result response may include the application code determined in S150 and the flow control setting information.

액세스 스위치(20)는 플로우 분석 결과를 수신하면 플로우 앤트리 어플리케이션 코드를 설정(S180)하고 플로우 엔트리 제어 필드를 설정한다(S190). 어플리케이션 코드와 플로우 엔트리 제어 필드와 관련하여 이 후 보다 상세히 설명하기로 한다.Upon receiving the flow analysis result, the access switch 20 sets the flow-and-tree application code (S180) and sets the flow entry control field (S190). The application code and the flow entry control field will be described in more detail below.

도 5는 본 발명의 다른 실시례에서 플로우 미터링 과정을 나타낸 메시지 흐름도이다.5 is a message flow diagram illustrating a flow metering process in another embodiment of the present invention.

도 5의 미터링 절차는 도 4에서 설명한 신규 플로우에 대한 심층 패킷 조사 절차와 병행하여 이루어 질 수 있다. 상술한 바와 같이 도 5의 미터링 절차는 도 4의 절차가 신규 플로우에 대하여 이루어지는 것임에 반하여 신규 플로우인지 여부와 무관하게 모든 패킷에 대하여 미터링이 이루어질 수 있다. The metering procedure of FIG. 5 may be performed in parallel with the in-depth packet inspection procedure for the new flow described in FIG. As described above, the metering procedure of FIG. 5 may be metered for all packets regardless of whether they are new flows, whereas the procedure of FIG. 4 is for a new flow.

단말(10)로부터 패킷 플로우가 발생(S205)하여 액세스 스위치(20)가 이를 수신하면 플로우 엔트리를 생성한다(S210). 플로우 엔트리에는 시작 시간(start time) 정보가 포함될 수 있다. 단말(10)로부터 전송되는 패킷의 양에 따라 플로우 미터링 정보는 갱신될 수 있다(S220). 액세스 스위치(20)는 SDN 컨트롤러(30)로 플로우 미터링 현황을 전달한다(S225). 플로우 미터링 현황 전달은 주기적으로 이루어지거나 실시례에 따라서는 SDN 컨트롤러(30)의 요청에 대한 응답으로 이루어질 수 있다. 다른 실시례로 플로우 미터링 정보 갱신 과정에서 미리 설정된 임계치를 초과하는 경우 SDN 컨트롤러(30)로 전달할 수 있다. 이때 미리 설정된 임계치는 단말(10)에 따라 설정될 수 있다. 본 발명의 실시례에서 플로우 미터링 정보의 갱신은 액세스 스위치(20)에 의해 수행되므로 단말(10)별(가입자별) 플로우 미터링이 가능하다. When a packet flow is generated from the terminal 10 (S205) and the access switch 20 receives it, a flow entry is generated (S210). The flow entry may include start time information. The flow metering information may be updated according to the amount of packets transmitted from the terminal 10 (S220). The access switch 20 transmits the flow metering status to the SDN controller 30 (S225). The flow metering status delivery may be periodic or, in some embodiments, in response to a request from the SDN controller 30. In another embodiment, when the flow metering information updating process exceeds a predetermined threshold value, it may be transmitted to the SDN controller 30. At this time, a predetermined threshold value may be set according to the terminal 10. In the embodiment of the present invention, updating of the flow metering information is performed by the access switch 20, so that flow metering for each terminal 10 (per subscriber) is possible.

플로우 미터링 현황이 액세스 스위치(20)로부터 전달되면, SDN 컨트롤러(30)는 총량 초과 여부를 판단(S230)하고, 설정된 총량을 초과한 경우 플로우 제어 설정 정보를 액세스 스위치(20)로 전송(S232)한다. When the flow metering status is transmitted from the access switch 20, the SDN controller 30 determines whether the total amount is exceeded (S230). If the flow metering status is exceeded, the flow control setting information is transmitted to the access switch 20 (S232) do.

단말(10)에 의해 전송되는 패킷 플로우가 종료되면(S235) 액세스 스위치(20)는 플로우 미터링 정보를 갱신한다(S240). 플로우 미터링 정보는 단말(10)에 의해 패킷 플로우 발생이 종료된 시간(end time) 정보가 포함될 수 있다.When the packet flow transmitted by the terminal 10 ends (S235), the access switch 20 updates the flow metering information (S240). The flow metering information may include information on an end time at which the packet flow has been completed by the terminal 10.

액세스 스위치는 플로우 엔트리 파일을 생성하여 저장(S250)하고 플로우 엔트리는 삭제(S260)한다. S250에서 생성된 플로우 엔트리 파일은 SDN 컨트롤러(30)에 전달(S265)되어 SDN 컨트롤러(30)의 플로우 미터링 관리부를 거쳐 플로우 정보 저장 DB(34)에 저장될 수 있다.The access switch creates and stores a flow entry file (S250) and deletes the flow entry (S260). The flow entry file created in S250 is transferred to the SDN controller 30 (S265) and can be stored in the flow information storage DB 34 via the flow metering management unit of the SDN controller 30. [

도 6은 액세스 스위치(20)가 생성하는 플로우 엔트리 필드(600)의 구성을 예시한 블록도이다.6 is a block diagram illustrating the configuration of the flow entry field 600 generated by the access switch 20. As shown in FIG.

플로우 엔트리 필드는 유형(classification) 필드(610), 미터(meter) 필드(620), 액션(action) 필드(630)를 포함할 수 있다.The flow entry field may include a classification field 610, a meter field 620, and an action field 630.

유형 필드(610)에는 패킷의 소스 MAC 주소, 즉 단말(10)의 MAC 주소와 해당 패킷의 목적지 MAC 주소, 입력 포트 정보를 포함할 수 있다. 종래의 핵심망의 라우터에서 이루어지는 DPI 방법과 달리 본 발명의 실시례에 따른 심층 패킷 조사 방법은 단말(10)과 인접한 액세스 스위치(20)단에서 이루어지므로 단말(10)의 MAC 주소와 해당 패킷의 목적지 MAC 주소, 입력 포트 정보를 기반으로 패킷을 분류할 수 있다.The type field 610 may include a source MAC address of the packet, that is, a MAC address of the terminal 10, a destination MAC address of the packet, and input port information. The in-depth packet inspection method according to the embodiment of the present invention is performed at the terminal of the access switch 20 adjacent to the terminal 10, so that the MAC address of the terminal 10 and the destination of the packet MAC address, and input port information.

유형 필드(610)에는 어플리케이션 코드가 더 포함될 수 있다. 어플리케이션 코드는 도 4에서 설명한 바와 같이 심층 패킷 조사 의뢰된 신규 플로우에 대하여 SDN 컨트롤러(30)가 부여한 코드로서 해당 플로우의 유형을 지시(indication)한다.The type field 610 may further include application code. The application code indicates the type of the flow as a code given by the SDN controller 30 for the new flow requested to conduct the deep packet inspection as described in Fig.

미터 필드(620)는 단말(10)의 패킷 전송량을 미터링한 결과를 그 설정 값으로 하며, 제어 필드(630)는 해당 플로우에 대한 QoS 제어를 위한 정보, 일례로 우선순위, 허용할 대역폭의 범위, 해당 플로우의 폐기 여부 등의 정보를 포함할 수 있다.The Meter field 620 sets the result of metering the packet transmission amount of the UE 10 as its set value. The control field 630 stores information for QoS control for the flow, for example, priority, , Whether or not the flow is discarded, and the like.

도 7 내지 도 9는 각각 SDN 컨트롤러(30)의 플로우 패턴 DB(36), QoS 정책 DB, 플로우 저장 DB 구성의 일례를 나타낸 것이다.7 to 9 show an example of the flow pattern DB 36, QoS policy DB, and flow storage DB configuration of the SDN controller 30, respectively.

도 7의 플로우 패턴 DB는 플로우의 유형에 따라 심층 패킷 조사에 사용되는 최소 필요 패킷 수가 설정되며, 플로우의 패턴과 해당 패턴에 대응되는 어플리케이션 코드가 설정되어 저장된다. SDN 컨트롤러(30)는 도 4의 S105에서 플로우 패턴 DB(36)를 참조하여 유형별 최소 필요 패킷 수 설정 정보를 액세스 스위치(20)로 전송할 수 있음은 앞서 설명한 바와 같다.In the flow pattern DB in FIG. 7, the minimum number of necessary packets to be used for the deep packet inspection is set according to the type of the flow, and the flow pattern and the application code corresponding to the pattern are set and stored. The SDN controller 30 can transmit the minimum required packet number setting information to the access switch 20 by referring to the flow pattern DB 36 in S105 of FIG. 4 as described above.

도 8의 QoS 정책 DB는 각 어플리케이션 코드별 QoS 설정 값을 저장한다. 즉, 어플리케이션 코드 별 우선순위, 허용 대역폭의 범위(최소 대역폭, 최대 대역폭), 해당 패킷의 처리 동작(일례로 폐기 또는 포워딩) 설정 정보를 포함한다. 도 4의 절차에서 SDN 컨트롤러(30)가 심층 패킷 조사를 통해 플로우에 어플리케이션을 부여하면, 부여된 어플리케이션 코드와 QoS 정책 DB에 기초하여 플로우에 대한 QoS 제어가 이루어질 수 있다.The QoS policy DB of FIG. 8 stores QoS setting values for each application code. That is, the priority information includes application code priority, a range of allowable bandwidth (minimum bandwidth, maximum bandwidth), and processing operation (for example, discarding or forwarding) of the packet. In the procedure of FIG. 4, when the SDN controller 30 assigns the application to the flow through the deep packet inspection, the QoS control for the flow can be performed based on the applied application code and the QoS policy DB.

도 9를 참조하면, 플로우 저장 DB에는 액세스 장치의 식별 정보, 입력 포트, 단말(10) 식별자와 도 6의 플로우 엔트리 필드가 매핑되어 저장될 수 있다. Referring to FIG. 9, the flow storage DB may be mapped with the identification information of the access device, the input port, the identifier of the terminal 10, and the flow entry field of FIG.

한편, 본 발명의 실시례를 구현함에 있어서 상술한 각 개체의 동작/기능은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조등을 단독으로 또는 조합하여 포함할 수 있다. Meanwhile, in implementing the embodiment of the present invention, the operation / function of each entity described above may be implemented in the form of a program command that can be executed through various electronic means for processing information, and may be recorded in a storage medium. The storage medium may include program instructions, data files, data structures, and the like, alone or in combination.

저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 상술한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. Program instructions to be recorded on the storage medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of software. Examples of storage media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, magneto-optical media and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. The above-mentioned medium may also be a transmission medium such as a light or metal wire, wave guide, etc., including a carrier wave for transmitting a signal designating a program command, a data structure and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as devices for processing information electronically using an interpreter or the like, for example, a high-level language code that can be executed by a computer.

상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

상술한 실시예들은 다양한 양태의 예시들을 포함한다. 다양한 양태들을 나타내기 위한 모든 가능한 조합을 기술할 수는 없지만, 해당 기술 분야의 통상의 지식을 가진 자는 다른 조합이 가능함을 인식할 수 있을 것이다. 따라서, 본 발명은 이하의 특허청구범위 내에 속하는 모든 다른 교체, 수정 및 변경을 포함한다고 할 것이다.The above-described embodiments include examples of various aspects. While it is not possible to describe every possible combination for expressing various aspects, one of ordinary skill in the art will recognize that other combinations are possible. Accordingly, it is intended that the invention include all alternatives, modifications and variations that fall within the scope of the following claims.

Claims (14)

액세스 스위치에 의해 수행되는 심층 패킷 조사 방법에 있어서,
심층 패킷 조사의 대상 패킷 결정에 관한 정책 정보를 네트워크 컨트롤러로부터 수신하는 단계;
상기 액세스 스위치에 의해 코어 네트워크와 연결되는 단말로부터 패킷 플로우를 수신하는 단계;
상기 정책 정보에 기반하여 상기 패킷 플로우 중 심층 패킷 분석의 대상 패킷을 결정하는 단계;
상기 대상 패킷을 심층 패킷 조사 장치로 전송하는 단계; 및
상기 심층 패킷 조사 장치로부터 상기 대상 패킷에 대한 분석 결과를 수신하는 단계;를 포함하는 방법.In a deep packet inspection method performed by an access switch,
Receiving policy information on a packet determination of a deep packet inspection from a network controller;
Receiving a packet flow from a terminal connected to the core network by the access switch;
Determining a packet to be analyzed for the deep packet analysis among the packet flows based on the policy information;
Transmitting the object packet to a deep packet inspection device; And
And receiving an analysis result of the target packet from the deep packet inspection device. 제1 항에 있어서,
상기 분석 결과는 상기 대상 패킷의 유형을 지시하는 어플리케이션 코드와 상기 대상 패킷의 플로우 제어 설정 정보를 포함하는 방법.The method according to claim 1,
Wherein the analysis result includes application code indicating a type of the target packet and flow control setting information of the target packet. 제2 항에 있어서,
상기 플로우 제어 설정 정보는 상기 대상 패킷의 전송 우선순위, 상기 대상 패킷의 전송에 있어서 보장할 대역폭의 범위를 포함하는 방법.3. The method of claim 2,
Wherein the flow control setting information includes a transmission priority of the target packet and a bandwidth range to be guaranteed in transmission of the target packet. 제2 항에 있어서,
상기 어플리케이션 코드는 상기 심층 패킷 조사 장치에 구비된 플로우 패턴 DB의 정보를 기반으로 결정되는 방법.3. The method of claim 2,
Wherein the application code is determined based on information of a flow pattern DB provided in the deep packet inspection device. 제1 항에 있어서,
상기 정책 정보는 트래픽 플로우의 유형별 최소 필요 패킷 수 정보를 포함하고,
상기 최소 필요 패킷 수에 따라 상기 대상 패킷의 수가 결정되는 방법.The method according to claim 1,
Wherein the policy information includes minimum required packet number information for each type of traffic flow,
Wherein the number of the target packets is determined according to the minimum required number of packets. 제5 항에 있어서,
상기 트래픽 플로우의 유형은 상기 패킷 플로우로부터 얻어지는 상기 단말의 MAC 주소와 상기 패킷 플로우의 목적지 MAC 주소 및 입력 포트 정보에 의하여 결정되는 방법.6. The method of claim 5,
Wherein the type of the traffic flow is determined by the MAC address of the terminal obtained from the packet flow and the destination MAC address and input port information of the packet flow. 제1 항에 있어서,
상기 심층 패킷 조사 장치는 소프트웨어 정의 네트워크(software defined network)에서 네트워크의 관리/제어 기능을 수행하는 SDN 컨트롤러(SDN controller)이며,
상기 액세스 스위치는 상기 SDN 컨트롤러와의 통신 인터페이스를 제공하는 SDN 클라이언트를 포함하는 방법.The method according to claim 1,
The deep packet inspection device is an SDN controller that performs network management / control functions in a software defined network,
Wherein the access switch comprises an SDN client providing a communication interface with the SDN controller. 제7 항에 있어서,
상기 SDN 클라이언트와 상기 SDN 컨트롤러는 오픈플로우(openflow) 프로토콜을 이용하는 통신하는 방법.8. The method of claim 7,
Wherein the SDN client and the SDN controller communicate using an open flow protocol. 네트워크에 접속 가능한 단말로부터 패킷 플로우를 수신하는 패킷 수신부;
상기 패킷 수신부로부터 상기 패킷 플로우를 전달받고, 심층 패킷 조사 대상 패킷을 선택하여 심층 패킷 조사 장치에 분석을 요청하는 패킷 분류부;
상기 심층 패킷 조사 장치의 분석 결과를 기반으로 상기 패킷 플로우를 제어하는 플로우 제어부;
상기 플로우 제어부의 제어에 따라 패킷 플로우를 코어 네트워크로 전송하는 패킷 전송부 포함하되,
상기 심층 패킷 조사 장치의 분석 결과는 상기 대상 패킷의 유형을 지시하는 어플리케이션 코드와 상기 대상 패킷의 플로우 제어 설정 정보를 포함하는
액세스 스위치.A packet receiving unit for receiving a packet flow from a terminal connectable to a network;
A packet classifying unit for receiving the packet flow from the packet receiving unit, selecting a packet to be subjected to deep packet inspection and requesting the deep packet inspection apparatus for analysis;
A flow controller for controlling the packet flow based on an analysis result of the deep packet inspection device;
And a packet transfer unit for transferring the packet flow to the core network under the control of the flow control unit,
Wherein the analysis result of the deep packet inspection device includes application code indicating the type of the target packet and flow control setting information of the target packet
Access switch. 삭제delete 제9 항에 있어서,
상기 어플리케이션 코드는 상기 심층 패킷 조사 장치에 구비된 플로우 패턴 DB의 정보를 기반으로 결정되는 액세스 스위치.10. The method of claim 9,
Wherein the application code is determined based on information of a flow pattern DB provided in the deep packet inspection device. 제9 항에 있어서,
상기 심층 패킷 조사 대상 패킷은 상기 패킷 플로우 유형에 따라 결정되는 액세스 스위치.10. The method of claim 9,
Wherein the deep packet inspection target packet is determined according to the packet flow type. 제12 항에 있어서,
상기 패킷 플로우의 유형은 상기 단말의 MAC 주소와 상기 패킷 플로우의 목적지 MAC 주소 및 입력 포트 정보에 의하여 결정되는 액세스 스위치.13. The method of claim 12,
Wherein the type of the packet flow is determined by a MAC address of the terminal and a destination MAC address and input port information of the packet flow. 제12 항에 있어서,
상기 심층 패킷 조사 대상 패킷은 상기 패킷 플로우의 유형에 따라 결정되는 패킷의 수만큼 선택되는 액세스 스위치.13. The method of claim 12,
Wherein the deep packet inspection target packet is selected by the number of packets determined according to the type of the packet flow.
KR1020130167791A 2013-12-30 2013-12-30 Method and apparatus of deep packet inspection in access network KR101522405B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130167791A KR101522405B1 (en) 2013-12-30 2013-12-30 Method and apparatus of deep packet inspection in access network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130167791A KR101522405B1 (en) 2013-12-30 2013-12-30 Method and apparatus of deep packet inspection in access network

Publications (1)

Publication Number Publication Date
KR101522405B1 true KR101522405B1 (en) 2015-05-22

Family

ID=53395323

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130167791A KR101522405B1 (en) 2013-12-30 2013-12-30 Method and apparatus of deep packet inspection in access network

Country Status (1)

Country Link
KR (1) KR101522405B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100072975A (en) * 2008-12-22 2010-07-01 주식회사 케이티 Apparatus and method for managing network traffic based on flow and session
KR20110094132A (en) * 2008-12-09 2011-08-19 콸콤 인코포레이티드 Performing packet flow optimization with policy and charging control
KR20120028745A (en) * 2010-09-15 2012-03-23 한국전자통신연구원 Method and apparatus for inspecting packet by using meta-data classification
KR20130093846A (en) * 2012-01-27 2013-08-23 주식회사 시큐아이 Method and apparatus for performing improved deep packet inspection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110094132A (en) * 2008-12-09 2011-08-19 콸콤 인코포레이티드 Performing packet flow optimization with policy and charging control
KR20100072975A (en) * 2008-12-22 2010-07-01 주식회사 케이티 Apparatus and method for managing network traffic based on flow and session
KR20120028745A (en) * 2010-09-15 2012-03-23 한국전자통신연구원 Method and apparatus for inspecting packet by using meta-data classification
KR20130093846A (en) * 2012-01-27 2013-08-23 주식회사 시큐아이 Method and apparatus for performing improved deep packet inspection

Similar Documents

Publication Publication Date Title
CN111770028B (en) Method and network device for computer network
CN111193666B (en) Applying quality of experience metrics using adaptive machine learning sounding prediction
US9860154B2 (en) Streaming method and system for processing network metadata
US20190190808A1 (en) Bidirectional data traffic control
CN105580318B (en) For analyzing the method and system for passing through the data traffic of network
Da Silva et al. Identification and selection of flow features for accurate traffic classification in SDN
US7554983B1 (en) Probing hosts against network application profiles to facilitate classification of network traffic
EP1764951B1 (en) Statistical trace-based method, apparatus, node and system for real-time traffic classification
US7013342B2 (en) Dynamic tunnel probing in a communications network
JP4774357B2 (en) Statistical information collection system and statistical information collection device
KR101234326B1 (en) Distributed traffic analysis
RU2571377C2 (en) System and method of control of services, advanced nodeb and data packet network gateway
US20130294449A1 (en) Efficient application recognition in network traffic
KR101106878B1 (en) In-bound mechanism that verifies end-to-end service configuration with application awareness
CA2897664A1 (en) An improved streaming method and system for processing network metadata
CN116545936B (en) Congestion control method, system, device, communication equipment and storage medium
CN109005126B (en) Data stream processing method, device and computer readable storage medium
CN111245740A (en) Service quality strategy method and device for configuration service and computing equipment
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
KR20220029142A (en) Sdn controller server and method for analysing sdn based network traffic usage thereof
CN102164182A (en) Device and method for identifying network protocol
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
US11451443B2 (en) Communications network performance
CN101854366A (en) Peer-to-peer network flow-rate identification method and device
KR101522405B1 (en) Method and apparatus of deep packet inspection in access network

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180503

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190502

Year of fee payment: 5