KR101679573B1 - 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치 - Google Patents

멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치 Download PDF

Info

Publication number
KR101679573B1
KR101679573B1 KR1020150085119A KR20150085119A KR101679573B1 KR 101679573 B1 KR101679573 B1 KR 101679573B1 KR 1020150085119 A KR1020150085119 A KR 1020150085119A KR 20150085119 A KR20150085119 A KR 20150085119A KR 101679573 B1 KR101679573 B1 KR 101679573B1
Authority
KR
South Korea
Prior art keywords
packet
unit
jumbo
jumbo frame
dimm
Prior art date
Application number
KR1020150085119A
Other languages
English (en)
Inventor
노영국
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020150085119A priority Critical patent/KR101679573B1/ko
Priority to US15/157,410 priority patent/US10091226B2/en
Application granted granted Critical
Publication of KR101679573B1 publication Critical patent/KR101679573B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4063Device-to-bus coupling
    • G06F13/4068Electrical coupling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/061Improving I/O performance
    • G06F3/0613Improving I/O performance in relation to throughput
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0623Securing storage systems in relation to content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0653Monitoring storage devices or systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mathematical Physics (AREA)

Abstract

본 발명은 멀티코어 통신 처리 서비스에 관한 것으로, 더욱 상세하게는 복수 개의 단위의 데이터 패킷들을 1개의 점보프레임 단위로 변환하여 변환된 점보프레임을 논리적으로 분산하여 복수의 DIMM(Dual in-line memory)으로 복사하고, 상기 복수의 DIMM 채널별 대응하는 멀티코어로 구성된 각 CPU를 통해 연산 처리함으로써 초당 패킷 처리 수가 감소되어 효율적인 메모리 및 CPU 자원의 효율 개선을 지향하고, 점보프레임의 NIC(Network Interface Card)로부터 송신 혹은 수신 경로에 따라 상기 점보프레임에 포함된 데이터 패킷별 필드 헤더를 추가/삭제하거나 혹은 필드 헤더만을 이용해 해당 데이터 패킷을 처리함으로써 패킷 수신 이벤트를 최소화하여 상기 패킷 수신 이벤트 발생 시 발생하는 컨텍스트 스위칭을 줄여 점보프레임 처리 성능을 개선 가능한 기술을 제공한다.

Description

멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치{METHOD AND APPARATUS FOR SERVICE TRAFFIC SECURITY USING DIMM CHANNEL DISTRIBUTION MULTICORE PROCESSING SYSTEM}
본 발명은 멀티코어 통신 처리 서비스에 관한 것이다.
인터넷 속도는 모바일 사용자의 폭발적인 증가와 인터넷 사용의 급증하게 따라 과거 1메가에서 현재는 1기가 까지 약 1000배 가까이 급격한 발전을 이루어냈으며, 이러한 네트워크 속도와 함께 네트워크카드 역시 100기가 속도가 지원 가능한 하드웨어 역시 개발되어 있다. 하지만 컴퓨터의 처리 속도는 현재의 인터넷 속도와 수치로 비교했을 때 컴퓨터는 네트워크 속도를 따라가지 못하고 있다. 현재 최고의 사양의 CPU도 4기가 클럭을 넘지 못하고 있으며 수냉쿨러 구성과 인위적인 오버 클럭을 통한 방법을 통해서만 일부 사용할 수 있을 뿐 일반적인 방법으로 CPU에서 4기가 동작을 유지하는 것은 현재 기술로는 불가능하다. 메모리 또한 DDR3에서 DDR4 로 발전 되었지만 1333Mhz 에서 2900Mhz로 기존대비 2배정도만 메모리 클럭속도가 향상되었을 뿐이다.
물리적인 기술의 한계로 컴퓨터는 이러한 네트워크 속도를 처리한다는 것은 불가능하다. 물리적인 기술의 한계로 인하여 클럭 속도와 같은 수치로 발전한 것이 아니라 현대의 컴퓨터 발전 방향은 1개의 CPU 내에 최대한 넣을 수 있는 여러 개의 물리적인 CPU코어를 멀티코어로 개발하거나, CPU와 연결되는 여러 장치들간의 병목을 제거하거나 개선하거나, 메모리 채널을 1채널에서 4채널까지 메모리 대역을 확장하여 성능을 개선하는 형태로 속도를 높이고 있다. 하지만 네트워크의 속도가 1000배 빨라지고 많아진 트래픽 중에 비정상 패킷을 검사하기에는 한 대의 컴퓨터로 처리하기에는 한계가 있다. 한 대의 컴퓨터에서 100기가 트래픽을 처리하기 위해서는 특화된 네트워크카드와, 멀티코어시스템과 네트워크카드 간의 효율적인 데이터 처리, 멀티코어시스템의 비정상 패킷 검사는 CPU 연산을 적게 처리하도록 오프로드하고, 보안엔진에서는 메모리 접근이 효과적으로 분산하도록 설계하는 것이 필요하다.
네트워크 처리 속도에 비해 컴퓨터의 처리가 느린 부분은 초당 수신되는 패킷 이벤트, 이벤트를 확인하고 이벤트가 발생하면 빈번하게 운영체제의 문맥교환이 발생하게 되고 이러한 패킷 개수에 의한 이벤트는 현재의 처리중인 연산을 정지하고 패킷 연산을 하는 과정에서 많은 CPU 연산을 요구하게 된다. 10 기가는 64바이트 1천4백만개, 100 기가는 1억 4천만개의 초당 패킷 수신이 발생한다. DIMM의 패킷 수신 저장 위치가 효율적으로 지정하지 않는 경우는 100기가 트래픽을 처리하는 것은 어려운 기술이다.
대한민국 공개특허공보 제10-2014-0098390호(2014. 08. 08)
따라서 본 발명은 데이터 패킷 처리 시 발생하는 CPU의 자원을 절약하여 프로그램이 동작하는 데 필요한 CPU 자원의 효율성을 높이기 위한 통신 시스템에서 효율이 개선된 자원 제어 방법 및 장치를 제공하고자 한다.
또한, 본 발명은 1개의 메모리에 CPU 접근이 집중될 경우는 대역폭이 넓어도 1개의 물리적인 메모리가 처리할 수 있는 성능은 제한되어 있기 때문에 점보프레임을 저장하는 위치를 물리적으로 다른 위치의 메모리에 분산하여 저장하는 효과적인 하드웨어 분산 처리와 패킷 수신 이벤트를 줄이는 기술을 제공하고자 한다.
본 발명의 일 견지에 따르면, 멀티코어 플랫폼 기반 하에 기설정된 수준으로 데이터 패킷의 입출력을 제어하는 NIC(Network Interface Card)에서 포트로부터 수신된 복수의 단위 데이터 패킷을 결합하여 할당된 자원을 기반으로 단위 점보프레임으로 생성하는 과정과, 생성된 상기 단위 점보프레임을 논리적으로 채널 분산하여 PCI(Peripheral Component Interconnect)인터페이스부를 통해 복수의 DIMM(dual in-line memory module)으로 복사하는 과정과, 복수의 DIMM 채널을 호스트 내 복수의 멀티코어 프로세서로 구성된 CPU별로 그룹핑하고, 그룹핑된 복수의 DIMM 채널별로 수신된 점보프레임이 상기 각 CPU로부터 연산 처리되는 과정과, 연산 처리된 상기 점보프레임의 기설정된 항목을 체크하여 비정상 행위 여부를 탐지하는 보안 엔진부를 통해 상기 점보프레임에 대응하는 패킷별 차단 여부를 분석하여 분석 결과를 상기 패킷별 필드 헤더 영역에 표시하는 과정과, 상기 점보프레임의 패킷별 해당 필드 헤더를 추출하여 기설정된 정책 기반으로 표시된 분석 결과를 PCI 인터페이스부를 통해 상기 NIC로 전달하여 분석 결과에 따라 패킷을 처리하는 과정을 포함함을 특징으로 한다.
본 발명의 다른 견지에 따르면, 멀티코어 플랫폼 기반 하에 기설정된 수준으로 데이터 패킷의 입출력을 제어하고, 포트로부터 수신된 복수의 단위 데이터 패킷을 결합하여 할당된 자원을 기반으로 단위 점보프레임으로 생성하여 생성된 단위 점보프레임을 PCI(Peripheral Component Interconnect)인터페이스부를 통해 논리적으로 채널 분산하여 호스트 내 복수의 DIMM(dual in-line memory module)으로 복사하는 NIC(Network Interface Card)부와, 복수의 DIMM 채널을 복수의 멀티코어 프로세서로 구성된 CPU별로 그룹핑하고, 그룹핑된 복수의 DIMM 채널별로 수신된 점보프레임이 상기 각 CPU로부터 연산 처리되게 제어하고, 연산 처리된 상기 점보프레임의 기설정된 항목을 체크하여 비정상 행위 여부를 탐지하는 보안 엔진부를 통해 상기 점보프레임에 대응하는 패킷별 차단 여부를 분석하여 분석 결과를 상기 패킷별 필드 헤더 영역에 표시하고, 상기 점보프레임의 패킷별 해당 필드 헤더를 추출하여 기설정된 정책 기반으로 표시된 분석 결과를 PCI 인터페이스부를 통해 상기 NIC부로 전달하는 호스트를 포함함을 특징으로 한다.
본 발명은 복수의 멀티코어로 구성된 CPU에 존재하는 하드웨어 병렬성과, 복수의 데이터 패킷을 한번에 처리 가능한 점보프레임 기반의 일괄처리 방식을 활용하여 패킷 수신 이벤트를 최소화하여 상기 패킷 수신 이벤트 발생 시 발생하는 컨텍스트 스위칭을 줄여 점보프레임 처리 성능을 개선 가능한 효과가 있다.
또한, 본 발명은 n개의 단위의 패킷들을 1개의 점보프레임 단위로 변환하여 64바이트 기준 초당 1억 4천만 개의 패킷 수신 이벤트를 약 1억 4천만/n 번으로 최소화하여 패킷 수신 이벤트 발생시 발생하는 컨텍스트스위칭을 줄여 점보프레임 처리 성능을 개선하는 효과가 있다.
그리고 본 발명에서 네트워크 카드는 물리적으로 다른 메모리 위치에 점보프레임을 전달하여 보안엔진이 여러 개의 메모리에 분산 접근하도록 하여 여러 개의 채널을 분산하도록 하여 효과적으로 메모리 자원을 사용하기 때문에 100기가 트래픽에 대해서 네트워크 보안 서비스가 제공 가능하며, 한 대의 시스템으로 네트워크 보안이 가능한 100기가 인라인 구성이기 때문에 비용과 관리 부분에서 효율적인 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법에 관한 전체 흐름도.
도 2는 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 장치에 관한 상세 블록도.
도 3은 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법이 적용된 점보프레임의 구조도.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 멀티코어 통신 처리 서비스에 관한 것으로, 더욱 상세하게는 복수 개의 단위의 데이터 패킷들을 1개의 점보프레임 단위로 변환하여 변환된 점보프레임을 논리적으로 분산하여 복수의 DIMM(Dual in-line memory)으로 복사하고, 상기 복수의 DIMM 채널별 대응하는 멀티코어로 구성된 각 CPU를 통해 연산 처리함으로써 초당 패킷 처리 수가 감소되어 효율적인 메모리 및 CPU 자원의 효율 개선을 지향하고, 점보프레임의 NIC(Network Interface Card)로부터 송신 혹은 수신 경로에 따라 상기 점보프레임에 포함된 데이터 패킷별 필드 헤더를 추가/삭제하거나 혹은 필드 헤더만을 이용해 해당 데이터 패킷을 처리함으로써 패킷 수신 이벤트를 최소화하여 상기 패킷 수신 이벤트 발생 시 발생하는 컨텍스트 스위칭을 줄여 점보프레임 처리 성능을 개선 가능한 기술을 제공하고자 한다.
이하, 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법에 관해 도 1을 참조하여 자세히 살펴보기로 한다.
도 1은 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법에 관한 전체 흐름도이다.
도 1을 참조하면, 110 과정에서는 멀티코어 플랫폼 기반 하에 기설정된 수준으로 데이터 패킷의 입출력을 제어하는 NIC(Network Interface Card)에서 포트로부터 수신된 복수의 단위 데이터 패킷을 결합하여 멀티코어 처리 시스템에 할당된 자원을 기반으로 단위 점보프레임으로 생성한다.
여기서, 상기 기설정된 수준은 100기가바이트(GB) 속도를 의미하는 것으로, 상기 110 과정의 동작을 통해 기설정된 수준의 100GB NIC로 수신된 n개 단위의 패킷들을 1개의 최대 8킬로바이트(KB) 크기를 갖는 점보프레임 단위로 변환한다.
상기 점보프레임은 데이터 패킷에 필드 영역을 추가로 생성하여 해당 데이터 패킷의 크기를 확장하는 필드 생성부를 통해 상기 포트로부터 수신된 복수의 데이터 패킷별로 필드 헤더를 추가로 해당 데이터 패킷 앞에 확장하여 생성된다.
본 발명의 일 실시 예에 따른 점보프레임은 GB 네트워크의 속도 향상으로 일반적인 소정 바이트(64, 128 byte.....)크기의 데이터 패킷을 8 KB(킬로바이트) 크기로 확장하여 한번에 많은 데이터 패킷을 전송하고자 하기 위한 것으로, 복수의 데이터 패킷이 수신되면 본 발명이 적용된 멀티코어 처리 시스템은 점보프레임 생성을 위한 자원을 할애하고 데이터 패킷별 붙는 필드 헤더로 인해 전송되는 데이터 패킷의 크기도 줄어들게 되어 멀티코어 처리 시스템의 자원절약 및 전송속도의 향상을 위한 것이다.
여기서, 도 3을 참조하여 점보프레임의 구조를 살펴보도록 한다.
도 3은 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법이 적용된 점보프레임의 구조도로서, 도 3에 도시된 바와 같이, 상기 점보프레임(310)은 복수의 데이터 패킷(32, 33)으로 구성되고, 상기 데이터 패킷별 고정 헤더 이전에 순차적으로 카운팅(0, 1, 2, 3, 4)되어 분류된 필드 헤더 영역(필드헤더#1 30, 필드헤더#n 33)이 추가되어 디코딩을 위한 기정의된 항목별 대응하는 데이터 패킷의 정보가 표시된다.
상기 복수의 데이터 패킷(32, 33)은 이더넷 헤더, 아이피헤더, 프로토콜헤더, 페이로드 수신 패킷으로 저장될 수 있다.
이때, 상기 필드 헤더 영역은, 대응하는 패킷의 디코딩 수행을 위해 0: 점보프레임 수신 이벤트, 1: 점보프레임 저장부에 저장된 해당 점보프레임의 위치, 2: 패킷 길이, 3: 패턴매칭 프로세서부에서 갱신한 패턴매칭 ID, 4: 정책 항목(1: 통과, 0: 차단)으로 분류되어 후술되는 동작을 기반으로 NIC로부터 송신되는 혹은 수신되는 경로에 따라 점보프레임으로부터 추가 혹은 제거된다.
또한, 상기 점보프레임은 NIC에 연계된 패턴매칭 프로세서부를 이용하여 기설정된 패킷 처리규칙에 기반한 패턴매칭을 통해 상기 점보프레임에 포함된 패킷별 패턴매칭 결과를 3번 항목을 통해 상기 패킷별 필드 헤더별로 업데이트 받고, 상기 패킷별 패턴매칭 결과가 업데이트된 각 데이터 패킷을 재조합하여 생성된다.
계속해서, 112 과정에서는 생성된 상기 단위 점보프레임을 논리적으로 채널 분산하여 PCI(Peripheral Component Interconnect)인터페이스부를 통해 복수의 DIMM(dual in-line memory module)으로 카피(copy)한다.
더욱 상세하게는, 우선 본 발명이 적용된 시스템의 외부 혹은 내부의 네트워크로부터 데이터 패킷을 매체접근제어(Medium Access Control)방식으로 데이터를 패킷을 송수신하는 NIC(Network Interface Card)에서는 포트로부터 수신된 복수의 단위 데이터 패킷을 결합하여 점보프레임으로 생성하고, 생성된 점보프레임을 점보프레임부에 임시 저장한 후 분산처리부를 통해 물리적으로 다른 위치의 DIMM(dual in-line memory) 즉, 상기 NIC와 호스트 시스템을 연결하는 PCI(Peripheral Component Interconnect)버스와 인터페이스를 수행하는 PCI 인터페이스부를 통해 호스트 시스템에 위치하는 복수의 DIMM으로 상기 복수의 DIMM에 대응되게 논리적으로 분산하여 카피하여 전달한다.
114 과정에서는 복수의 DIMM 채널을 호스트 내 복수의 멀티코어 프로세서로 구성된 CPU별로 그룹핑하고, 116 과정에서 그룹핑된 복수의 DIMM 채널별로 수신된 점보프레임이 상기 각 CPU로부터 연산 처리된다.
환언하여, 본 발명의 실시 예에 따라 112 과정 내지 116 과정의 동작에서 점보프레임은 NIC의 분산 처리부로부터 순차적으로 선택되는 각 PCI 인터페이스부를 통해 최대 16개의 DIMM 선택을 통해 논리적으로 분산 처리된다.
이때, NIC의 분산 처리부의 동작에 따라 각 PCI 인터페이스부의 제1 PCI 인터페이스부를 통해 복수의 DIMM에 대응되게 8개의 채널을 통해 논리적으로 분산되는 점보프레임을 카피하고, 제2 PCI 인터페이스부를 통해 또다른 복수의 DIMM에 대응되게 8개의 채널을 통해 논리적으로 분산되는 점보프레임을 각각 카피하여 전달한다. 이후, 복수의 DIMM은 호스트 시스템의 CPU 수에 따라 각각 그룹핑된다. 즉, 본 발명의 실시 예에서는 4개의 CPU가 멀티코어 처리 시스템의 호스트에 각각 존재하므로 각 CPU로 DIMM으로부터의 채널을 4개씩 그룹핑하고, 각 CPU별로 그룹핑된 DIMM 채널별 해당하는 점보프레임을 대응하는 CPU로 전달되어 연산 처리된다.
본 발명은 멀티코어 플랫폼에 기반하는 멀티코어 프로세서 환경에서 많은 연산량을 필요로 하는 데이터 패킷 처리에 있어서 시스템 자원을 보다 효과적으로 사용하고자 각 CPU별 복수 개의 물리적인 코어가 구성되며, 이러한 CPU별로 구성되는 복수의 멀티코어 프로세서는 보다 강력한 성능과 소비 전력 절감, 그리고 여러 개의 작업을 보다 효율적으로 한 번에 처리 가능하다.
이어서, 118 과정에서는 연산 처리된 상기 점보프레임의 기설정된 항목을 체크하여 비정상 행위 여부를 탐지하는 보안 엔진부를 통해 상기 점보프레임에 포함된 패킷별 비정상 행위 여부를 탐지하여 패킷별 차단 여부를 분석한다.
상기 118 과정의 동작을 통해 보안 엔진부에서는 탐지규칙 정책에 따른 기설정된 패킷 차단 규칙에 따라 점보프레임의 기설정된 항목 체크 즉, 패킷별 필드와 패킷을 분석하여 비정상 행위 기반 차단해야 할 패킷의 정보를 확인한다.
상기 보안엔진부는 IPS(Intrusion Prevention System) 기반의 정책을 통해 네트워크 공격에 주로 쓰이는 악성 문자열의 패턴을 패킷별로 탐지하는 것으로, 상기 보안 엔진부는 CPU 내의 M개의 코어 X CPU#0~#3의 4, M X 4개의 실행이 가능하다.
이러한, 각 보안 엔진부는 점보프레임의 패킷별 필드 헤더 영역으로부터 수신 이벤트를 실시간으로 확인하고, 점보프레임 내의 여러 패킷을 검사한다.
120 과정에서는 탐지 결과 즉, 패킷별 차단 여부 분석 결과를 상기 패킷별 필드 헤더 영역에 표시한다. 즉, 해당 패킷은 통과인지 혹은 차단인지 여부를 1과 0을 구분하도록 설정하여 필드 헤더 영역의 4의 정책 항목에 표시한다.
122 과정에서 상기 점보프레임의 패킷별 해당 필드 헤더를 추출하여 기설정된 정책 기반으로 표시된 분석 결과를 PCI 인터페이스부를 통해 상기 NIC로 송신하여, 124 과정에서 수신된 필드 헤더로부터 분석 결과에 대응하는 차단 여부를 확인한다. 이때, 상기 보안 엔진부에서는 처리한 분석 결과에 대해서 필드 헤더 영역의 4번 정책 항목을 이용하여 표시하며, 상기 4번 정책 항목은 해당 패킷을 차단할 경우 0을 저장하고, 통과하길 원할 경우 1로 값을 설정하는데 사용된다.
126 과정의 동작을 통해 분석 결과에 따라 패킷을 처리한다.
상세하게는 호스트로부터 상기 PCI 인터페이스부를 통해 수신된 패킷별 필드 헤더의 정보를 검사하여 정상 패킷으로 판단된 해당 패킷이 포함된 점보프레임을 상기 NIC에 기저장된 점보프레임들에서 탐색하고 탐색된 점보프레임으로부터 상기 정상 패킷을 추출하여 패킷 단위로 분리하여 송신하는 것이다.
이러한 126 과정의 동작은 다수의 데이터 패킷이 하나의 점보프레임으로 결합되어 상기 데이터 패킷별로 추가 확장되는 필드 헤더로 인해 전송되는 데이터의 크기도 줄어들어 멀티코어 처리 시스템 내부에서의 자원 절약 및 전송속도의 향상을 위해 사용된 점보프레임이 다시 외부로 송신되는 경우 외부 네트워크와의 호환성을 위해 정상 패킷으로 판단된 데이터 패킷이 포함된 점보프레임으로부터 해당 패킷들을 다시 패킷 단위로 분리하여 내보내기 위한 동작이다.
이상에서는, 도 1 및 도 3을 참조하여 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 방법에 대해 살펴보았다.
이하, 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 장치에 대해 살펴보도록 한다.
도 2는 본 발명의 일 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 장치에 관한 상세 블록도이다.
도 2를 참조하면, 본 발명이 적용된 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 장치(200)은 NIC(Network Interface Card, 205)부, PCI 인터페이스부(228, 229) 및 호스트(230)를 포함한다.
상기 NIC(205)는 패킷 수신부(210), 필드 생성부(212), 패턴매칭 프로세서부(214), 점보프레임 생성부(216), 분산 처리부(218), 점보프레임 저장부(220), 정책 수신부(222), 패킷 추출부(224) 및 패킷 송신부(226)로 구성되어 멀티코어 플랫폼 기반 하에 기설정된 수준으로 데이터 패킷의 입출력을 제어하고, 포트로부터 수신된 복수의 단위 데이터 패킷을 결합하여 할당된 자원을 기반으로 단위 점보프레임으로 생성하여 생성된 단위 점보프레임을 PCI(Peripheral Component Interconnect)인터페이스부(228)를 통해 논리적으로 채널 분산하여 호스트(230) 내 복수의 DIMM(dual in-line memory module)으로 복사한다.
보다 상세하게 NIC부(205)의 각 구성을 자세히 살펴보도록 한다.
상기 패킷 수신부(210)은 트래픽 입력을 받는 것으로, 멀티코어 플랫폼 기반 하에 기설정된 수준(100기가)의 데이터 패킷(P1, P2...Pn)을 수신한다.
상기 필드 생성부(212)는 데이터 패킷 정보와 패턴매칭 결과를 포함하는 정보로 확장하는 것으로, 패킷 수신부(210)로부터 수신된 데이터 패킷에 필드 영역을 추가로 생성하여 해당 데이터 패킷의 크기를 확장한다. 이러한 필드 생성부(212)는 패킷 길이, 저장위치, 패턴 매칭 ID 정보 등을 저장할 수 있는 필드 헤더를 각 데이터 패킷 앞에 확장하여 S1P1, S2P2, SnPn을 생성한다.
이때, 상기 필드 헤더 영역은 대응하는 패킷의 디코딩 수행을 위해 점보프레임 수신 이벤트, 점보프레임 저장부에 저장된 해당 점보프레임의 위치, 패킷 길이, 패턴매칭 프로세서부(214)에서 갱신한 패턴매칭 ID, 정책 항목으로 분류되어 상기 NIC부로부터 송신되는 혹은 수신되는 경로에 따라 점보프레임으로부터 추가 혹은 제거된다.
상기 점보프레임 생성부(216)는 n개의 필드 헤더와 데이터 패킷들을 1개의 최대 8킬로바이트 점보프레임으로 변환한다.
즉, 상기 점보프레임 생성부(216)에서는 필드 생성부(212)로부터 필드 영역이 추가된 데이터 패킷을 1개의 점보프레임 패킷(20)으로 결합하고, 상기 데이터 패킷별 고정 헤더 이전에 순차적으로 카운팅되어 분류된 필드 헤더 영역에 디코딩을 위한 정보인 기정의된 항목별 대응하는 데이터 패킷의 정보가 표시되는 복수의 데이터 패킷이 결합된 단위 점보프레임을 생성한다.
상기 패턴매칭 프로세서부(214)는 필드 헤더에 각각의 패턴매칭 결과를 갱신하기 위한 것으로, 본 발명이 적용된 멀티코어 처리 시스템의 NIC부(205)에서는 점보프레임을 연계된 패턴매칭 프로세서부(214)를 이용하여 기설정된 패킷 처리규칙에 기반한 패턴매칭을 통해 상기 점보프레임에 포함된 패킷별 패턴매칭 결과를 상기 패킷별 필드 헤더별로 업데이트 받고, 상기 패킷별 패턴매칭 결과가 업데이트된 각 데이터 패킷을 재조합하여 생성되도록 한다.
본 발명의 실시 예에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 장치에서는 호스트(230)의 각 CPU별 연산을 최소화하기 위해 외부의 패턴 매칭 프로세서부(214)로 1개의 점보프레임 패킷을 전송하면, 상기 외부의 패턴 매칭 프로세서부(214)는 S1,S2,Sn 필드 헤더에 패턴매칭 결과를 갱신하여 S1P1S2P2SnPn 패킷(20)을 점보프레임 생성부(216)로 다시 전달되게 된다.
상기 분산처리부(218)은 점보프레임을 PCI(Peripheral Component Interconnect)인터페이스부(228)를 통해 복수 개의 물리적으로 상이한 위치의 DIMM(dual in-line memory module, 24, 25, 26, 27)으로 분산 전송한다.
더욱 상세하게는, 본 발명의 실시 예에 따른 분산처리부(218)는 점보프레임 패킷을 PCI-E 연결부(228)를 통하여, 여러 개의 물리적으로 다른 위치의 DIMM(24, 25, 26, 27)으로 분산 전송한다. 이러한 분산처리부(218)는 2개의 PCI-E 연결부(228)로 구성되며, PCIE 표준3 8레인처리 성능은 64기가 속도만 제공이 가능하기 때문에 100기가 속도를 처리하기 위해서 2개의 PCIE연결부(228)로 구성한다. 또한, 분산처리부(218)는 2개의 PCIE연결부(228)를 순차적으로 선택하고, 복수의 DIMM(24, 25, 26, 27)으로 분산하여 선택하는 알고리즘의 예는 최대 16개의 DIMM 선택은 점보 프레임에서 추출한 (해싱값) % (DIMM / PCIE연결부개수)를 하여 얻은 DIMM 위치에 저장하거나, DIMM0, DIMM#1...DIMM#7, DIMM#0....으로 순차적으로 라운드로빈 알고리즘을 통하여 분산할 수 있다.
상기 점보프레임 저장부(220)는 점보프레임 생성부(216)로부터 생성된 점보프레임을 임시 저장한다.
상기 정책 수신부(222)는 호스트로부터 패킷의 비정상 행위 기반 차단 패킷의 정보를 수신한다.
상기 패킷 추출부(224)는 점보프레임 저장부(220)에 저장된 점보프레임들을 탐색하여 해당 점보프레임으로부터 정상 패킷을 추출하는 것으로, PCI 인터페이스부(229)를 통해 수신된 패킷별 필드 헤더의 정보를 검사하여 정상 패킷으로 판단된 해당 패킷이 포함된 점보프레임을 상기 NIC부(205)에 기저장된 점보프레임들에서 탐색하고 탐색된 점보프레임으로부터 상기 정상 패킷을 추출하여 패킷 단위로 분리하여 패킷 송신부(226)을 통해 송신한다.
계속해서, 도 2에 개시된 호스트(230)은 복수의 DIMM(24, 25, 26, 27)로부터 의 채널을 복수의 멀티코어 프로세서로 구성된 CPU별(232, 234, 236, 238)로 그룹핑하고, 그룹핑된 복수의 DIMM(24, 25, 26, 27) 채널별로 수신된 점보프레임이 상기 각 CPU(232, 234, 236, 238)로부터 연산 처리되게 제어하고, 연산 처리된 상기 점보프레임의 기설정된 항목(필드와 패킷)을 체크하여 비정상 행위 여부를 탐지하는 보안 엔진부(240)를 통해 상기 점보프레임에 대응하는 패킷별 차단 여부를 분석하여 분석 결과를 상기 패킷별 필드 헤더 영역에 표시하고, 상기 점보프레임의 패킷별 해당 필드 헤더를 추출하여 기설정된 정책 기반으로 표시된 분석 결과를 PCI 인터페이스부(229)를 통해 상기 NIC부(205)로 전달한다.
이때, 보안엔진부(240)은 CPU(232, 234, 236, 238)내의 M개의 코어 x CPU#0~#3의 4, Mx4 개의 보안엔진 실행이 가능하며, 각각의 보안엔진부는 점보프레임의 수신이벤트를 실시간으로 확인하고 점보프레임 내의 여러 패킷을 검사한다.
결과는 S1,S2,Sn(23)에 4번을 1,1,0 결과를 저장하여 NIC부(205)의 정책 수신부(222)로 전달한다. NIC부(205)는 점보프레임 패킷 사이즈만큼 전송되지만 호스트(230)에서 NIC부(205)로는 필드 헤더만 전송하면 되기 때문에 적은 데이터만으로 패킷 처리가 가능하다. 패킷추출부(224)는 정책수신부(205)로 결과를 받아 NIC부(224)에 저장된 점보프레임 저장부(220)에서 PASS 인 패킷만을 추출하고, 점보프레임을 패킷 단위로 분리하여 패킷 송신부(226)로 송신한다.
상기와 같이 본 발명에 따른 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
210: 패킷 수신부 212: 필드생성부
214: 패턴매칭 프로세서부 216: 점보프레임 생성부
218: 분산처리부 210: 점보프레임 저장부
222: 정책 수신부 224: 패킷추출부
226: 패킷 송신부

Claims (10)

  1. 멀티코어 플랫폼 기반 하에 기설정된 수준으로 데이터 패킷의 입출력을 제어하는 NIC(Network Interface Card)에서 포트로부터 수신된 복수의 단위 데이터 패킷을 결합하여 할당된 자원을 기반으로 단위 점보프레임으로 생성하는 과정과,
    생성된 상기 단위 점보프레임을 논리적으로 채널 분산하여 PCI(Peripheral Component Interconnect)인터페이스부를 통해 복수의 DIMM(dual in-line memory module)으로 복사하는 과정과,
    복수의 DIMM 채널을 호스트 내 복수의 멀티코어 프로세서로 구성된 CPU별로 그룹핑하고, 그룹핑된 복수의 DIMM 채널별로 수신된 점보프레임이 상기 각 CPU로부터 연산 처리되는 과정과,
    연산 처리된 상기 점보프레임의 기설정된 항목을 체크하여 악성 문자열의 패턴을 패킷별로 탐지하여 비정상 행위 여부를 탐지하는 보안 엔진부를 통해 상기 점보프레임에 대응하는 패킷별 차단 여부를 분석하여 분석 결과를 패킷별 필드 헤더 영역에 표시하는 과정과,
    상기 점보프레임의 패킷별 해당 필드 헤더를 추출하여 기설정된 정책 기반으로 표시된 분석 결과를 PCI 인터페이스부를 통해 상기 NIC로 전달하여 분석 결과에 따라 패킷을 처리하는 과정을 포함함을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법.
  2. 제1항에 있어서, 상기 점보프레임은,
    복수의 데이터 패킷으로 구성되고, 상기 데이터 패킷별 고정 헤더 이전에 순차적으로 카운팅되어 분류된 필드 헤더 영역이 추가되어 기정의된 항목별 대응하는 데이터 패킷의 정보가 표시됨을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법.
  3. 제2항에 있어서, 상기 필드 헤더 영역은,
    대응하는 패킷의 디코딩 수행을 위해 점보프레임 수신 이벤트, 점보프레임 저장부에 저장된 해당 점보프레임의 위치, 패킷 길이, 패턴매칭 프로세서부에서 갱신한 패턴매칭 ID, 정책 항목으로 분류되어 NIC로부터 송신되는 혹은 수신되는 경로에 따라 점보프레임으로부터 추가 혹은 제거됨을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법.
  4. 제1항에 있어서, 상기 분석 결과에 따라 패킷을 처리하는 과정은,
    상기 PCI 인터페이스부를 통해 수신된 패킷별 필드 헤더의 정보를 검사하여 정상 패킷으로 판단된 해당 패킷이 포함된 점보프레임을 상기 NIC에 기저장된 점보프레임들에서 탐색하고 탐색된 점보프레임으로부터 상기 정상 패킷을 추출하여 패킷 단위로 분리하여 송신함을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법.
  5. 제1항에 있어서,
    데이터 패킷에 필드 영역을 추가로 생성하여 해당 데이터 패킷의 크기를 확장하는 필드 생성부를 통해 상기 포트로부터 수신된 복수의 데이터 패킷별로 필드 헤더를 추가로 해당 데이터 패킷 앞에 확장하는 과정을 더 포함함을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법.
  6. 제1항에 있어서, 상기 점보프레임은,
    연계된 패턴매칭 프로세서부를 이용하여 기설정된 패킷 처리규칙에 기반한 패턴매칭을 통해 상기 점보프레임에 포함된 패킷별 패턴매칭 결과를 상기 패킷별 필드 헤더별로 업데이트 받고, 상기 패킷별 패턴매칭 결과가 업데이트된 각 데이터 패킷을 재조합하여 생성됨을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 방법.
  7. 멀티코어 플랫폼 기반 하에 기설정된 수준으로 데이터 패킷의 입출력을 제어하고, 포트로부터 수신된 복수의 단위 데이터 패킷을 결합하여 할당된 자원을 기반으로 단위 점보프레임으로 생성하여 생성된 단위 점보프레임을 PCI(Peripheral Component Interconnect)인터페이스부를 통해 논리적으로 채널 분산하여 호스트 내 복수의 DIMM(dual in-line memory module)으로 복사하는 NIC(Network Interface Card)부와,
    복수의 DIMM 채널을 복수의 멀티코어 프로세서로 구성된 CPU별로 그룹핑하고, 그룹핑된 복수의 DIMM 채널별로 수신된 점보프레임이 상기 각 CPU로부터 연산 처리되게 제어하고, 연산 처리된 상기 점보프레임의 기설정된 항목을 체크하여 악성 문자열의 패턴을 패킷별로 탐지하여 비정상 행위 여부를 탐지하는 보안 엔진부를 통해 상기 점보프레임에 대응하는 패킷별 차단 여부를 분석하여 분석 결과를 패킷별 필드 헤더 영역에 표시하고, 상기 점보프레임의 패킷별 해당 필드 헤더를 추출하여 기설정된 정책 기반으로 표시된 분석 결과를 PCI 인터페이스부를 통해 상기 NIC부로 전달하는 호스트를 포함하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 장치.
  8. 제7항에 있어서, 상기 NIC부는,
    멀티코어 플랫폼 기반 하에 기설정된 수준의 데이터 패킷을 수신하는 패킷 수신부와,
    상기 패킷 수신부로부터 수신된 데이터 패킷에 필드 영역을 추가로 생성하여 해당 데이터 패킷의 크기를 확장하는 필드 생성부와,
    상기 필드 생성부로부터 필드 영역이 추가된 데이터 패킷을 결합하고, 상기 데이터 패킷별 고정 헤더 이전에 순차적으로 카운팅되어 분류된 필드 헤더 영역에 기정의된 항목별 대응하는 데이터 패킷의 정보가 표시되는 복수의 데이터 패킷이 결합된 단위 점보프레임을 생성하는 점보프레임 생성부와,
    점보프레임을 PCI(Peripheral Component Interconnect)인터페이스부를 통해 복수개의 물리적으로 상이한 위치의 DIMM(dual in-line memory module)으로 분산 전송하는 분산처리부와,
    상기 점보프레임으로부터 생성된 점보프레임을 임시 저장하는 점보프레임 저장부와,
    상기 호스트로부터 패킷의 비정상 행위 기반 차단 패킷의 정보를 수신하는 정책 수신부와,
    상기 점보프레임 저장부에 저장된 점보프레임들을 탐색하여 해당 점보프레임으로부터 정상 패킷을 추출하는 패킷 추출부를 포함함을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 장치.
  9. 제7항에 있어서, 상기 필드 헤더 영역은,
    대응하는 패킷의 디코딩 수행을 위해 점보프레임 수신 이벤트, 점보프레임 저장부에 저장된 해당 점보프레임의 위치, 패킷 길이, 패턴매칭 프로세서부에서 갱신한 패턴매칭 ID, 정책 항목으로 분류되어 상기 NIC부로부터 송신되는 혹은 수신되는 경로에 따라 점보프레임으로부터 추가 혹은 제거됨을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 장치.
  10. 제8항에 있어서, 상기 패킷 추출부는,
    상기 PCI 인터페이스부를 통해 수신된 패킷별 필드 헤더의 정보를 검사하여 정상 패킷으로 판단된 해당 패킷이 포함된 점보프레임을 상기 NIC에 기저장된 점보프레임들에서 탐색하고 탐색된 점보프레임으로부터 상기 정상 패킷을 추출하여 패킷 단위로 분리하여 송신함을 특징으로 하는 멀티코어 처리 시스템에서 DIMM 채널 분산을 이용한 트래픽 보안 서비스 제공 장치.
KR1020150085119A 2015-06-16 2015-06-16 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치 KR101679573B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150085119A KR101679573B1 (ko) 2015-06-16 2015-06-16 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치
US15/157,410 US10091226B2 (en) 2015-06-16 2016-05-18 Method and apparatus for service traffic security using DIMM channel distribution in multicore processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150085119A KR101679573B1 (ko) 2015-06-16 2015-06-16 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101679573B1 true KR101679573B1 (ko) 2016-11-25

Family

ID=57588628

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150085119A KR101679573B1 (ko) 2015-06-16 2015-06-16 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치

Country Status (2)

Country Link
US (1) US10091226B2 (ko)
KR (1) KR101679573B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102016626B1 (ko) * 2018-06-26 2019-08-30 (주) 시스메이트 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치
KR102016627B1 (ko) * 2018-06-26 2019-08-30 (주) 시스메이트 점보 프레임을 이용하는 네트워크 인터페이스 장치
KR20200010708A (ko) 2018-07-20 2020-01-31 (주)메리테크 듀얼 인 라인 메모리 모듈 안정성 및 테스트 효율 향상을 위한 분산 시스템
KR102070643B1 (ko) 2018-07-20 2020-04-02 주식회사 메리테크 듀얼 인 라인 메모리 모듈 안정성 및 테스트 효율 향상을 위한 분산 시스템

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113176950B (zh) * 2021-04-09 2023-10-27 杭州迪普科技股份有限公司 报文处理方法、装置、设备及计算机可读存储介质
CN117061638B (zh) * 2023-10-11 2024-01-05 腾讯科技(深圳)有限公司 一种报文传输方法、装置、存储介质、设备及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008073824A1 (en) * 2006-12-08 2008-06-19 Pandya Ashish A Dynamic programmable intelligent search memory
KR20140098390A (ko) 2013-01-31 2014-08-08 삼성전자주식회사 네트워크 시스템의 공격 탐지 장치 및 방법
KR101583325B1 (ko) * 2014-08-12 2016-01-07 주식회사 구버넷 가상 패킷을 처리하는 네트워크 인터페이스 장치 및 그 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102016626B1 (ko) * 2018-06-26 2019-08-30 (주) 시스메이트 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치
KR102016627B1 (ko) * 2018-06-26 2019-08-30 (주) 시스메이트 점보 프레임을 이용하는 네트워크 인터페이스 장치
KR20200010708A (ko) 2018-07-20 2020-01-31 (주)메리테크 듀얼 인 라인 메모리 모듈 안정성 및 테스트 효율 향상을 위한 분산 시스템
KR102070643B1 (ko) 2018-07-20 2020-04-02 주식회사 메리테크 듀얼 인 라인 메모리 모듈 안정성 및 테스트 효율 향상을 위한 분산 시스템

Also Published As

Publication number Publication date
US10091226B2 (en) 2018-10-02
US20160373475A1 (en) 2016-12-22

Similar Documents

Publication Publication Date Title
KR101679573B1 (ko) 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치
EP3353997B1 (en) Technologies for offloading data object replication and service function chain management
US9866479B2 (en) Technologies for concurrency of cuckoo hashing flow lookup
US9910687B2 (en) Data flow affinity for heterogenous virtual machines
US20160149821A1 (en) Autonomic Ingress Traffic Load Balancing in Link Aggregation Groups by Modification of Switch Routing
CN106576099A (zh) 支持攻击检测和缓解的数据中心架构
WO2016115831A1 (zh) 一种虚拟机容错的方法、装置及系统
US20120311295A1 (en) System and method of optimization of in-memory data grid placement
JP2008512797A (ja) 決定性有限オートマトン(dfa)処理
CN108965148B (zh) 一种处理器及报文处理方法
CN103404081A (zh) 对网络业务进行采样
US20120236756A1 (en) Processing network traffic
CN104021069A (zh) 基于分布式虚拟机系统的软件性能测试的管理方法和系统
US20210303477A1 (en) Management of distributed shared memory
KR101200906B1 (ko) 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법
Shin et al. A grand spread estimator using a graphics processing unit
Li et al. Designing virtual network functions for 100 gbe network using multicore processors
CN106301992B (zh) 一种攻击报文检测方法及设备
CN107896196B (zh) 一种分配报文的方法和装置
US10243988B2 (en) Configurable network security
Tang et al. Towards high-performance packet processing on commodity multi-cores: current issues and future directions
Jung et al. Gpu-ether: Gpu-native packet i/o for gpu applications on commodity ethernet
US7324438B1 (en) Technique for nondisruptively recovering from a processor failure in a multi-processor flow device
EP2328315A1 (en) Processing network traffic
US10291693B2 (en) Reducing data in a network device

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191121

Year of fee payment: 4