KR102016626B1 - 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치 - Google Patents

점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치 Download PDF

Info

Publication number
KR102016626B1
KR102016626B1 KR1020180073570A KR20180073570A KR102016626B1 KR 102016626 B1 KR102016626 B1 KR 102016626B1 KR 1020180073570 A KR1020180073570 A KR 1020180073570A KR 20180073570 A KR20180073570 A KR 20180073570A KR 102016626 B1 KR102016626 B1 KR 102016626B1
Authority
KR
South Korea
Prior art keywords
packet
information
host
received
header
Prior art date
Application number
KR1020180073570A
Other languages
English (en)
Inventor
유인규
최간호
김창완
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020180073570A priority Critical patent/KR102016626B1/ko
Application granted granted Critical
Publication of KR102016626B1 publication Critical patent/KR102016626B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9057Arrangements for supporting packet reassembly or resequencing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9063Intermediate storage in different physical parts of a node or terminal
    • H04L49/9068Intermediate storage in different physical parts of a node or terminal in the network interface card
    • H04L61/20
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치가 개시된다. 일 실시 예에 따른 네트워크 인터페이스 장치는, 네트워크를 통해 패킷을 수신하는 패킷 수신부와, 수신 패킷 별로 패킷 ID를 생성하여 할당하는 ID 할당부와, 패킷 ID를 포함한 수신 패킷이 저장되는 메모리와, 수신 패킷들을 분석하여 패킷 분석정보를 생성하는 패킷 분석부와, 수신 패킷의 헤더에 패킷 분석정보를 포함 시키고 패킷 ID와 패킷 분석정보를 포함하는 수신 패킷들을 결합하여 하나의 점보 프레임을 생성하는 점보 프레임 생성부와, 호스트에 점보 프레임을 송신하는 호스트 송신부를 포함한다.

Description

점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치 {Network interface apparatus using jumbo frame with high speed and low delay}
본 발명은 트래픽 처리 및 관리기술에 관한 것이다.
정보통신 기술의 발전에 따라 정보 사용자들은 정보의 수집뿐 아니라 유통, 구매, 금융 등 생활 전반에 윤택함과 편리함을 제공받는 반면 정보의 해킹, 바이러스 침입, 네트워크 공격 및 유해정보의 무작위 살포와 같은 정보전달의 역기능이 정보 사회 전체에 영향을 주고 있다. 이와 같이 네트워크에서 사용자에게 전달되지 않아야 할 정보들을 사전에 점검하여 제거할 수 있도록 네트워크에서 전달되는 패킷 내에 포함되어 있는 정보를 분석하여 바이러스와 같은 침입정보나 사용자에게 유해한 정보를 포함하는 패킷을 검출하여 제거하는 기능을 수행한다.
일반적으로 네트워크 장치는 크게 호스트와 네트워크 인터페이스 장치를 포함한다. 이러한 서비스들을 안정적이고 고속으로 처리하기 위해 네트워크 장치들은 고속의 내부 버스와 고속의 메모리, 고속의 프로세서를 사용해야만 한다. 일반적인 네트워크 장치에서의 패킷 수신 및 송신 방법은, 네트워크 인터페이스 카드로 수신된 패킷을 곧바로 호스트의 메모리에 저장하고 이를 호스트의 프로세서가 처리한 후 호스트 메모리에서 읽어 네트워크 인터페이스 카드로 출력하여 네트워크 회선을 통해 외부로 송신하는 것이다.
그러나 네트워크 인터페이스의 고속화 정도가 네트워크 장치의 프로세서나 내부 버스의 고속화 속도보다 빠른 속도로 증가함으로써, 이전의 네트워크 장치의 패킷 수신 및 송신 방식에 의해서는 패킷 송신의 지연이 불가피하다. 결국, 이전의 네트워크 장치로는 고속의 인터페이스와 고용량의 서비스 제공이 어렵게 되었다.
일 실시 예에 따라, 네트워크 인터페이스 장치와 호스트 간 전송 효율을 높이고 고속으로 정보를 송수신할 수 있으며 호스트의 패킷 처리 부하를 경감시킬 수 있는 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치를 제안한다.
일 실시 예에 따른 네트워크 인터페이스 장치는, 네트워크를 통해 패킷을 수신하는 패킷 수신부와, 수신 패킷 별로 패킷 ID를 생성하여 할당하는 ID 할당부와, 패킷 ID를 포함한 수신 패킷이 저장되는 메모리와, 수신 패킷들을 분석하여 패킷 분석정보를 생성하는 패킷 분석부와, 수신 패킷의 헤더에 패킷 분석정보를 포함 시키고 패킷 ID와 패킷 분석정보를 포함하는 수신 패킷들을 결합하여 하나의 점보 프레임을 생성하는 점보 프레임 생성부와, 호스트에 점보 프레임을 송신하는 호스트 송신부를 포함한다.
패킷 분석정보는, 패킷 분류정보, 패턴매칭 정보 및 필터링 정보 중 어느 하나일 수 있다. 점보 프레임은 하나의 점보 헤더, 패킷 별 패킷 ID, 패킷 별 패킷 분석정보를 포함하는 헤더 및 패킷 별 데이터를 포함할 수 있다.
패킷 분석부는 패킷 분석을 통해 각 수신 패킷의 5-튜플 정보를 획득하고 5-튜플 정보로부터 해시 값을 계산하며, 점보 프레임 생성부는 계산된 해시 값을 점보 프레임을 구성하는 수신 패킷들의 헤더에 포함 시키고 헤더에 해시 값이 포함된 수신 패킷들을 결합하여 점보 프레임을 생성할 수 있다.
패킷 분석부는 수신 패킷의 정보와 미리 설정된 패턴을 비교 분석하여 소정의 패턴을 검색하는 패턴매칭을 수행하여 패턴매칭 정보를 얻고, 점보 프레임 생성부는 패턴매칭 정보를 수신 패킷의 헤더에 포함 시키고 헤더에 패턴매칭 정보가 포함된 수신 패킷들을 결합하여 점보 프레임을 생성할 수 있다. 패턴매칭 정보는 패턴매칭 유무와 패턴매칭 테이블 ID를 포함할 수 있다.
패킷 분석부는 수신 패킷의 정보와 미리 설정된 패턴과의 비교를 통해 소정의 수신 패킷의 정보를 필터링하는 보안 필터링을 수행하여 필터링 정보를 얻고, 점보 프레임 생성부는 필터링 정보를 수신 패킷의 헤더에 포함 시키고 헤더에 필터링 정보가 포함된 수신 패킷들을 결합하여 점보 프레임을 생성할 수 있다. 필터링 정보는 필터링 유무와 필터링 시의 패턴매칭 테이블 ID를 포함할 수 있다.
네트워크 인터페이스 장치는, 호스트로부터 패킷 ID를 수신하는 호스트 수신부와, 수신된 패킷 ID를 이용하여 해당 패킷 ID를 가진 패킷을 메모리에서 검색하는 패킷 검색부와, 검색된 패킷을 네트워크를 통해 송신하는 패킷 송신부를 더 포함할 수 있다. 네트워크 인터페이스 장치는 패킷 ID가 할당된 패킷의 메모리 주소를 생성하여 메모리의 해당 메모리 주소에 패킷이 저장되도록 메모리 주소를 할당하는 주소 할당부를 더 포함하며, 패킷 검색부는 주소 할당부의 패킷 ID 및 그 패킷 ID의 메모리 주소에 대한 정보를 가진 메모리 주소 리스트를 참조하여 호스트 수신부에 의해 수신된 패킷 ID를 가진 패킷을 메모리에서 검색하고, 검색된 패킷을 패킷 송신부에 제공할 수 있다.
호스트 송신부는 호스트의 호스트 메모리에 DMA(Direct Memory Access) 방식으로 점보 프레임을 전달할 수 있다.
네트워크 인터페이스 장치가 호스트에 패킷을 송신할 때 여러 패킷을 모아 하나의 점보 프레임 단위로 전송함에 따라, 네트워크 장비의 전송 효율을 높이고 패킷 처리 부하를 덜 수 있다. 하나의 점보 프레임 단위는 다수 개의 수신 패킷으로 구성되므로 한 번에 전송하는 패킷의 수를 늘려 전송할 수 있다. 또한, 수신 패킷 여러 개를 모아 점보 프레임을 만들면 대역폭을 줄일 수 있어 더 많은 정보를 호스트에 전송할 수 있다.
네트워크 인터페이스 장치가 점보 프레임을 호스트에 전송할 때, 호스트가 필요로 하는 정보를 포함 시켜 전송함에 따라 네트워크 패킷처리 성능부하를 줄일 수 있다. 예를 들어, 호스트로 패킷을 송신하기 이전에 미리 네트워크 인터페이스 장치에서 패턴매칭, 보안 필터링 등의 네트워크 보안 기능을 수행하고 그 수행결과를 수신 패킷의 헤더에 포함 시켜 호스트에 송신함에 따라, 호스트의 부하를 덜어주어 네트워크 장비의 성능을 향상시킬 수 있다.
네트워크 인터페이스 장치가 수신 패킷에 패킷 ID를 할당하고 패킷 ID를 점보 프레임에 포함 시켜 전송함에 따라, 네트워크 인터페이스 장치가 호스트로부터 수신할 때는 패킷 ID만을 수신하면 되므로, 송신 지연을 줄일 수 있다.
네트워크 인터페이스 장치가 호스트 메모리로 DMA 방식으로 패킷을 전송할 때 전송 효율을 높일 수 있다. 또한, 호스트 프로세서의 DMA 인터럽트 오버헤드를 줄여 부하(load)를 경감시킬 수 있다. 호스트 메모리로 DMA 방식으로 패킷을 전송할 때의 전송 효율이 높아지면 패킷 전송 지연(latency)을 줄일 수 있다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 장치의 구성을 도시한 도면,
도 2는 본 발명의 일 실시 예에 따른 네트워크 인터페이스 장치의 구성을 도시한 도면,
도 3은 네트워크 인터페이스 장치에서 수신 패킷 별로 호스트에 전송할 때의 패킷 전송시간을 설명하기 위한 패킷 구조,
도 4는 본 발명의 일 실시 예에 따른 네트워크 인터페이스 장치에서 일반 패킷을 결합한 하나의 점보 프레임으로 호스트에 전송할 때의 패킷 전송시간을 설명하기 위한 패킷 구조이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이며, 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.
이하, 첨부 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다. 그러나 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시 예에 한정되는 것은 아니다. 본 발명의 실시 예는 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공된다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 장치의 구성을 도시한 도면이다.
도 1을 참조하면, 네트워크 장치는 네트워크 인터페이스 장치(1)와 호스트(2)를 포함한다.
네트워크 인터페이스 장치(1)는 네트워크 인터페이스 카드(network interface care: NIC)일 수 있으며, 후술되는 설명에서는 편의를 위해 NIC라 칭한다. NIC(1)는 네트워크 인터페이스 컨트롤러(Network Interface Controller), 네트워크 어댑터(network adapter), 랜 카드(LAN card), 랜 어댑터(LAN adapter) 등으로 불리는 PC 하드웨어 구성품으로서, PC를 인터넷 또는 내부망에 연결 시키기 위한 통신기능을 제공한다. 최근 10기가급 이더넷 기술이 일반화됨에 따라 네트워킹 프로토콜은 이더넷 기반으로 통합되고 있다. NIC(1)는 호스트(2)에 장착될 수 있으며, 호스트 시스템이 PC인 경우 주로 PCI(peripheral component interconnect) 인터페이스 형식으로 장착될 것이다.
호스트(2)는 고속의 호스트 메모리(210)와 호스트 프로세서(220)를 포함한다. 호스트 프로세서(220)는 CPU로서, CPU가 하나인 단일 코어 프로세서일 수 있고, CPU가 여러 개인 멀티 코어 프로세서일 수 있다. 호스트(2)는 버스 중재부(BUS Arbiter)(230), 입출력 버스 컨트롤러(I/O BUS Controller)(240) 및 입출력 버스 인터페이스(I/O BUS Interface)(250)를 더 포함할 수 있는데, 이들은 신호 및 데이터의 입출력, 버스 사용권 제어 등을 수행한다.
전술한 구성들을 가진 네트워크 장치에서의 패킷 송수신 방식에 대해 설명하자면, 우선 NIC(1)가 네트워크 회선(network line)으로부터 수신된 패킷에 ID를 할당한 후 내부 메모리에 저장한다. 그리고 수신 패킷들을 모아서 하나의 점보 프레임(jumbo frame)을 생성하여 점보 프레임 단위로 패킷들을 호스트(2)에 전달한다. NIC(1)가 호스트(2)로 패킷을 전송할 때 점보 프레임 단위로 전송하면, 네트워크 장비의 전송 효율을 높이고 패킷 전송 지연(latency)을 줄일 수 있다. 하나의 점보 프레임 단위는 다수 개의 수신 패킷으로 구성되므로 한 번에 전송하는 패킷의 수를 늘려 전송할 수 있으며 패킷 전송시간이 절약된다. 또한, 수신 패킷 여러 개를 모아 점보 프레임을 만들면 대역폭(bandwidth)을 줄일 수 있어 더 많은 정보를 호스트(2)에 전송할 수 있다. 패킷 전송시간이 절약되면 고속으로 패킷을 NIC(1)와 호스트(2) 간에 전송할 수 있으며, 전체적으로 호스트(2)의 패킷 처리 능력을 향상시킬 수 있다.
점보 프레임을 수신한 호스트(2)는 호스트 프로세서(220)를 통해 호스트 메모리(210)에 저장된 패킷을 분석하여 패킷의 차단 또는 전달 여부를 포함하여 패킷을 어떻게 처리할지를 결정한다. 호스트(2)의 패킷 분석 및 패킷 처리 예를 들면, 수신 패킷에 대한 패킷 상세 분석을 수행하여 패킷의 악성 코드 감염 여부, 유해사이트 접근 여부 등을 판단하고, 판단 결과에 따라 패킷을 차단할지 전달할지를 결정한다. 이후, 전달 패킷에 할당된 ID만을 호스트 메모리(200)로부터 검색하여 검색된 ID를 NIC(1)에 송신한다. 패킷이 아닌 ID만을 NIC(1)에 송신하는 경우 데이터 전송량을 줄일 수 있고 전송시간을 절약하여 고속 처리가 가능하다. 침입 방지 시스템(Intrusion Protection System: IPS)을 예로 들어 설명하면, 호스트(2)의 호스트 프로세서(200)는 호스트 메모리(210)에 저장된 패킷을 분석하여 패킷을 어떻게 처리할지를 결정하고 패킷에 할당된 ID만을 NIC(1)로 송신한다. 이에 NIC(1)는 호스트(2)로부터 ID를 수신하고, 그 ID가 할당된 패킷을 내부 메모리에서 검색하여 검색된 패킷을 네트워크 회선(network line)으로 송신한다.
도 2는 본 발명의 일 실시 예에 따른 NIC의 구성을 도시한 도면이다.
도 1 및 도 2를 참조하면, NIC(1)는 패킷 수신부(100), ID 할당부(102), 패킷 분석부(104), 점보 프레임 생성부(106), 호스트 송신부(108), 메모리(110), 호스트 수신부(112), 패킷 검색부(114), 패킷 송신부(116) 및 주소 할당부(118)를 포함한다. ID 할당부(102), 패킷 분석부(104), 점보 프레임 생성부(106), 패킷 검색부(114) 및 주소 할당부(118)는 NIC(1)를 구성하는 프로세서에 임베디드될 수 있고, NIC 프로세서는 멀티 코어 프로세서일 수 있다.
패킷 수신부(100) 및 패킷 송신부(116)는 네트워크 회선을 통해 외부와 패킷을 송수신하는 네트워크 인터페이스 구성이다. 패킷 수신부(100)와 패킷 송신부(116)를 포함하는 네트워크 인터페이스는 네트워크와 인라인 연결되어 네트워크로부터 패킷을 송수신한다. 이때, 멀티 10기가(Gbps) 급 네트워크 인라인 회선을 수용할 수 있다. 예를 들어, 네트워크 인터페이스는 10Gbps 이더넷 2 회선(4 포트)을 가진다.
호스트 송신부(108) 및 호스트 수신부(112)는 호스트(2)에 접속하여 호스트(2)와 정보를 송수신하는 호스트 인터페이스 구성이다. 인터페이스 방식은 PCIe, USB 인터페이스 방식 등 호스트(2)에서 지원하는 인터페이스 방식을 따르게 된다.
패킷 수신부(100)가 네트워크를 통해 패킷을 수신하면, ID 할당부(102)는 수신 패킷 별로 고유의 패킷 ID를 생성하여 할당한다. ID 할당부(102)의 패킷 ID 생성방법에는 제한을 가지지 않는다. 예를 들어, 단순하게는 매 패킷이 수신됨에 따라 숫자가 연속적으로 증가하는 방식으로 ID를 생성할 수 있다. 다만, 수신 패킷별로 고유한 ID를 생성할 수 있는 방법이면 그 생성 방법에 제약이 없다.
메모리(110)에는 패킷 ID를 포함한 수신 패킷이 저장된다. 메모리(110)는 고속 메모리일 수 있다. 고속 메모리의 종류 제한은 없으며, 일 예로 SRAM을 사용할 수 있다.
패킷 분석부(104)는 수신 패킷들을 분석하여 패킷 분석정보를 생성한다. 패킷 분석정보는 패킷 분류정보, 패턴매칭 정보, 필터링 정보 등일 수 있다. 패킷 분석부(104)를 통해 1차적으로 패킷을 분석하고, 호스트(2)의 2차 패킷 분석에 도움되는 패킷 분석정보를 생성하여 이를 호스트(2)에 전송하면, 호스트(2)의 부하를 덜어줄 수 있어 네트워크 장치의 성능을 향상시킬 수 있다.
일 실시 예에 따른 패킷 분석부(104)는 고성능 네트워크 보안 및 정보보호 기능을 수행한다. 고성능 네트워크 보안 및 정보보호 기능의 예로서, 패턴매칭 기능, 보안 필터링 기능 등이 있다. 이를 위해, NIC(1)는 NIC 내 프로세서에 패턴매칭 기능 및 보안 필터링 기능을 가진 네트워크 보안 엔진을 임베디드 시킨다. 패턴매칭은 PCRE(Perl Compatible Regular Expressions)/YARA 패턴매칭 등이 있다. 보안 필터링은 ACL(Access Control List), URL(Uniform Resource Locator)/IP(Internet Protocol) 필터링 등이 있다. 패킷의 L2/L3/L4 및 L7 심층 패킷 분석 기술에 기반한 패턴매칭 및 보안 필터링 기능을 지원한다.
점보 프레임 생성부(106)는 수신 패킷의 헤더에 패킷 분석정보를 포함 시키고, 패킷 ID와 패킷 분석정보를 포함한 수신 패킷들을 결합하여 하나의 점보 프레임을 생성한다. 점보 프레임은 하나의 점보 헤더와, 패킷 별 패킷 ID, 패킷 별 패킷 분석정보를 포함하는 헤더 및 패킷 별 데이터를 포함한다. 점보 프레임의 구조는 도 4를 참조로 하여 후술한다.
호스트 송신부(108)는 호스트(2)와 연결될 때 호스트(2)에 점보 프레임을 송신한다. 점보 프레임 전송 시, 호스트(2)의 호스트 메모리(210)에 직접 메모리 접근(Direct Memory Access: DMA, 이하 'DMA'라 칭함) 방식으로 전송할 수 있다. DMA는 호스트 프로세서(220)에 의한 프로그램의 실행 없이 정보를 이동할 수 있도록 하는 것이다. NIC(1)가 호스트(2)의 호스트 메모리(210)로 DMA 방식으로 패킷을 전송할 때 전송 효율을 높일 수 있다. 또한, 호스트 프로세서(220)의 DMA 인터럽트 오버헤드를 줄여 부하(load)를 경감시킬 수 있다. 나아가, 호스트 메모리(210)로 DMA 방식으로 패킷을 전송할 때의 전송 효율이 높아지면 패킷 전송 지연을 줄일 수 있다.
이하, 패킷 분석부(104)가 수신 패킷을 분석하여 패킷 분석정보를 얻는 구성과, 점보 프레임 생성부(106)가 패킷 분석정보를 수신 패킷의 헤더에 추가하고 헤더에 패킷 분석정보가 추가된 수신 패킷들을 모아 하나의 점보 프레임을 생성하는 구성과, 호스트 송신부(108)가 점보 프레임을 호스트(2)에 전송하는 구성의 다양한 실시 예에 대해 구체적으로 후술한다.
일 실시 예에 따른 패킷 분석부(104)는 패킷 분석을 통해 각 수신 패킷의 5-튜플 정보를 획득하고 5-튜플(5-tuple) 정보로부터 해시 값을 계산한다. 5-튜플 정보는 출발지 주소(SIP), 목적지 주소(DIP), 프로토콜(Protocol), 목적지 포트(DP) 및 출발지 포트(SP)를 포함한다. 5-튜플의 패킷의 IP, 프로토콜, 포트 정보 등을 가지고 해시 값을 계산하며, 해시 값은 패킷을 구분하기 위해 사용된다. 점보 프레임 생성부(106)는 패킷 분석부(104)에 의해 계산된 해시 값을 수신 패킷의 헤더에 포함 시키고, 헤더에 해시 값이 포함된 수신 패킷들을 모아 하나로 결합하여 점보 프레임을 생성한다. 호스트 송신부(108)는 점보 프레임 생성부(106)를 통해 생성된 점보 프레임을 호스트(2)에 전송한다.
호스트 프로세서(220)가 멀티 코어 프로세서인 경우, 각 코어 프로세서 별로 동일한 세션의 패킷들을 처리하는 게 패킷 분석에 유리하다. 동일한 세션의 패킷은 동일한 해시 값을 갖은 세션일 수 있다. NIC(1)에서 점보 프레임을 호스트(2)에 전송할 때 해시 값을 수신 패킷의 헤더에 포함 시켜 호스트(2)에 전송하면, 호스트(2)에서 수신 패킷을 멀티 코어 프로세서에 분배할 때 해시 값을 보고 동일한 해시 값을 가진 패킷들은 동일한 코어 프로세서로 가도록 분배한다. 이에 따라, 호스트(2)는 호스트 프로세서(220)의 부하분산(load balancing)을 달성할 수 있고, 플로우 커넥션(flow connection)을 동일한 코어 프로세서에 유지할 수 있다. 부하분산은 여러 개의 코어 프로세서에 작업의 처리를 균등하게 배정하는 것을 의미한다.
호스트(2)는 멀티 코어 프로세서를 이용한 고속 병렬 패킷 처리를 위해, RSS(Receiver Side Scaling) 기능을 지원하여 NIC(1)로부터 수신된 패킷을 멀티 코어 프로세서로 분배할 수 있다. NIC(1)의 패킷 분석부(104)가 5-튜플 해시 값을 계산하면, RSS는 동일한 해시 값을 가진 패킷들을 동일한 코어 프로세서에 배분되도록 지정한다.
다른 실시 예에 따른 패킷 분석부(104)는 패턴매칭을 수행하여 패턴매칭 정보를 얻는다. 점보 프레임 생성부(106)는 패턴매칭 정보를 수신 패킷의 헤더에 포함 시키고, 헤더에 패턴매칭 정보가 포함된 수신 패킷들을 결합하여 하나의 점보 프레임을 생성한다. 호스트 송신부(108)는 점보 프레임 생성부(106)를 통해 생성된 점보 프레임을 호스트(2)에 전송한다. 패턴매칭 정보는 패턴매칭 유무와 패턴매칭 테이블 ID를 포함할 수 있다.
패턴매칭의 예를 들면, 패킷 분석부(104)는 수신 패킷의 정보과 미리 설정된 패턴을 비교 분석하여 소정의 패턴을 검색한다. 패턴매칭을 통해 패턴매칭 유무와 패턴 매칭 시의 패턴매칭 테이블 ID를 포함한 패턴매칭 정보를 얻을 수 있다. 점보 프레임 생성부(106)는 패턴매칭 정보를 점보 프레임을 구성하는 수신 패킷들의 헤더에 포함 시킨다.
이하, 패킷 분석부(104)의 패턴매칭에 대해 구체적으로 설명한다. 침입 탐지 시스템(IPS/IDS), 정보보호 또는 APT와 같은 네트워크 보안 시스템은 Zero-day 공격에 방어할 수 있도록 사용자 정의 시그니처 패턴을 실시간으로 탐지하는 기능이 필수적으로 요구되고 있다. 일 실시 예에 따른 NIC(1)는 사용자 정의 패턴을 10Gbps 속도로 실시간 검색할 수 있도록 PCRE/YARA 표준에 호환되는 패턴매칭 가속 기능을 제공한다. 일반적으로 패턴매칭 방법에는 DFA(Deterministic Finite Automata), NFA(Nondeterministic Finite Automata) 알고리즘이 사용되고 있다. 일 실시 예에 따른 패킷 분석부(104)는 HFA(Hyper Finite Automata) 패턴매칭 전용 프로세서를 이용하여 고속 실시간 PCRE/YARA 패턴매칭 성능을 지원한다. 패턴매칭의 예를 들면, 패킷 분석부(104)는 입력되는 SSL 암호화 패킷을 포함하여 TCP Stateful 플로우를 추적하고, 암복호화하여 전송되는 내용 중에 RegEx로 표현되는 PCRE/YARA 시그니처가 존재하는지를 실시간으로 찾아내는 패턴매칭 기능을 수행하여 고속의 패킷 처리 성능을 제공한다.
또 다른 실시 예에 따른 패킷 분석부(104)는 보안 필터링을 수행하여 필터링 정보를 얻는다. 점보 프레임 생성부(106)는 필터링 정보를 수신 패킷의 헤더에 포함 시키고, 헤더에 필터링 정보가 포함된 수신 패킷들을 결합하여 하나의 점보 프레임을 생성한다. 호스트 송신부(108)는 점보 프레임 생성부(106)를 통해 생성된 점보 프레임을 호스트(2)에 전송한다. 필터링 정보는 필터링 유무와 필터링 시의 패턴매칭 테이블 ID를 포함할 수 있다.
보안 필터링의 예를 들면, 패킷 분석부(104)는 수신 패킷의 정보과 미리 설정된 패턴과의 비교 분석을 통해 소정의 수신 패킷의 정보를 필터링한다. 필터링을 통해 필터링 유무와 필터링 시의 패턴매칭 테이블 ID를 포함한 필터링 정보를 얻을 수 있다. 점보 프레임 생성부(106)는 필터링 정보를 점보 프레임을 구성하는 수신 패킷들의 헤더에 포함 시킨다.
이하, 보안 필터링에 대해 구체적으로 후술한다. 보안 필터링의 예로는 ACL 및 URL/IP 필터링이 있다. 네트워크 보안 시스템은 외부에서 유입되는 패킷에 대한 L2/L3/L4/L7 계층으로 패킷 상세 분석을 수행하여 패킷의 악성 코드 감염 여부, 유해사이트 접근 여부를 판단해야 하며, 식별 결과에 따라 차단, 우회, 미러 등의 정책을 수행해야 한다. 일 실시 예에 따른 NIC(1)는 호스트(2)의 패킷 상세 분석의 부하를 경감시키기 위해 ACL 및 URL/IP 필터 기능을 제공한다. 예를 들어, 패킷 분석부(104)는 수신 패킷의 L7 주소로서 URL 정보를 검사하여 유해 트래픽 리스트에 포함되어 있는지를 판단하고, 유해 트래픽 리스트에 포함되는 경우 해당 패킷의 헤더에 유해 트래픽 여부를 표시한다.
호스트(2)로 패킷을 송신하기 이전에 미리 NIC(1)에서 패턴매칭, 보안 필터링 기능을 수행하고 그 수행결과를 수신 패킷의 헤더에 포함 시켜 호스트(2)로 송신하게 되면, 호스트 프로세서(220)의 부하를 덜어주어 네트워크 장비의 성능을 향상시킬 수 있다.
전술한 바와 같이, 점보 프레임 전송 시에 수신 패킷의 헤더에 추가되는 패킷 분석정보로서, 패킷 분류정보(해시 값), 패턴매칭 정보, 필터링 정보를 예로 들어 설명하였다. 그러나 패킷 분석정보는 이에 한정되지 않고, 호스트 프로세서(220)에서 필요한 정보면 어느 것이든 가능하다. 이러한 정보는 호스트 프로세서(220)의 패킷 처리 부하를 경감시킬 수 있는 정보가 될 수 있다. 예를 들어, 컬러링(Coloring) 정보, 샘플링(Sampling) 정보, TCP/IP 오프로드(TCP/IP offload) 정보, 고정밀 심층 패킷 분석(Deep Packet Inspection: DPI, 이하 'DPI'라 칭함) 오프로드(DPI offload) 정보 등이 될 수 있다.
전술한 바와 같이, 패킷 송신부(116)는 패킷 수신부(100)를 통해 수신된 패킷에, 패킷 분석부(104)에 의해 얻어진 분석 정보를 추가해서 이를 호스트(2)에 전송한다. 이 경우, 패킷 수신부(100)를 통해 패킷을 수신할 때보다 더 높은 전송 대역폭(bandwidth)이 요구될 수 있다. 그러나 일 실시 예에 따른 NIC(1)는 점보 프레임 생성부(106)를 통해 수신 패킷 여러 개를 모아 하나의 점보 프레임을 만들고 이를 호스트 송신부(108)를 통해 전송하면, 전송 대역폭을 크게 줄일 수 있다. 따라서, 패킷 수신부(100)가 패킷을 수신할 때와 동일한 속도로 더 많은 정보를 호스트(2)에 전송 가능하게 된다.
호스트(2)로 송신된 점보 프레임은 호스트(2)의 호스트 메모리(210)에 저장된다. 호스트(2)의 호스트 프로세서(220)는 호스트 메모리(210)에 저장된 패킷을 분석한 후 분석결과에 따라 어떻게 패킷을 처리할지를 결정하고 해당 패킷에 할당된 ID를 NIC(1)로 송신한다. 호스트 수신부(112)는 호스트(2)로부터 패킷 ID를 수신한다. 이때, 호스트(2)로부터 패킷 ID만을 수신하므로 패킷을 통째로 수신하지 않아도 되므로 전송 지연을 줄일 수 있다.
패킷 검색부(114)는 수신된 패킷 ID를 이용하여 해당 패킷 ID를 가진 패킷을 메모리(110)에서 검색한다. 패킷 검색부(114)는 호스트 수신부(112)에서 수신한 ID를 확인하고, 메모리(110)에 저장된 ID 중에서 수신 ID와 일치하는 ID를 검색한 후 검색된 ID와 함께 저장된 패킷을 검색한다. 일 실시 예에 따른 패킷 검색부(114)는 주소 할당부(118)로부터 메모리 주소 리스트를 전달받는다. 패킷 검색부(114)는 ID 별 메모리 주소 리스트를 참조하여 수신 ID와 일치하는 메모리 주소를 확인한다. 수신 ID와 일치하는 메모리 주소를 확인하는 방법에는 제한이 없으며, 단순하게는 CAM(Content Addressable Memory) 같은 룩업 메모리(Lookup Memory) 방법을 사용할 수 있다. 패킷 검색부(114)는 확인된 메모리 주소에 기록된 ID와 수신 ID가 일치하는지를 확인한다. 일치하면, 패킷 검색부(114)는 그 메모리 주소에 기록된 패킷을 검색하여 패킷 송신부(116)로 전달한다. 패킷 송신부(116)는 패킷 검색부(114)로부터 전달된 패킷을 받아 네트워크를 통해 외부로 송신한다.
주소 할당부(118)는 패킷 ID가 할당된 패킷의 메모리 주소를 생성하여 메모리(110)의 해당 메모리 주소에 패킷이 저장되도록 메모리 주소를 할당한다. 이때, 패킷 검색부(114)는 주소 할당부(118)의 패킷 ID 및 그 패킷 ID의 메모리 주소에 대한 정보를 가진 메모리 주소 리스트를 참조하여 호스트 수신부(112)에 의해 수신된 패킷 ID를 가진 패킷을 메모리(110)에서 검색하고, 검색된 패킷을 패킷 송신부(116)에 제공한다. 주소 할당부(118)는 ID 할당부(102)에서 생성한 고유 ID를 사용하여 메모리 주소를 생성할 수 있다. 그러나 이에 한정되는 것은 아니다. 또한, 주소 할당부(118)는 이후에 저장된 패킷을 용이하게 찾을 수 있도록 메모리 주소 리스트를 생성한다. 메모리 주소 리스트는 ID와 그 ID의 메모리 주소에 대한 정보를 가진다.
도 3은 NIC에서 수신 패킷 별로 호스트에 전송할 때의 패킷 전송시간을 설명하기 위한 패킷 구조이다.
도 3을 참조하면, 일반적으로 패킷 전송 시, 패킷 별로 패킷 간 간격(Interpacket Gap: IPG)과 프리앰블(preamble)이 붙어서 전송이 된다. 패킷 간 간격은 프레임 간 간격(Interframe Gap: IFG) 등으로 불리기도 하는데, 패킷 전송 시 패킷 사이에 특정 시간만큼의 간격을 의미한다. 패킷 전송 사이의 유휴기간을 두고, 패킷 간 짧은 복구시간을 통해 장치는 다음 패킷의 수신을 준비할 수 있다. 전송을 위한 표준 최소 패킷 간 간격은 12B(byte)이다. 프리앰블은 각 프레임에 앞서 송출하는 비트열로, 동기를 취한다든지 그 밖에 통신에 필요한 정보를 포함한다. 프리앰블의 크기는 8B(byte)이다. 따라서, 패킷 간 간격과 프리앰블을 합한 크기는 20B(byte)이고, N개의 패킷을 하나씩 전송할 때 20B × (N-1)의 패킷 전송시간이 추가로 발생한다.
도 4는 본 발명의 일 실시 예에 따른 NIC에서 일반 패킷을 결합한 하나의 점보 프레임으로 호스트에 전송할 때의 패킷 전송시간을 설명하기 위한 패킷 구조이다.
도 4를 참조하면, 점보 프레임은 하나의 점보 헤더와, 패킷 별 패킷 ID(ID 1, ID 2, …, ID N)와 패킷들(패킷 1, 패킷 2, …, 패킷 N)을 포함한다. 각 패킷(패킷 1, 패킷 2, …, 패킷 N)은 헤더와 데이터를 포함하며, 헤더에는 패킷 분석정보(PA 1, PA 2, …, PA N)가 포함된다. 패킷 분석정보(PA 1, PA 2, …, PA N)는 패킷 분류정보, 패턴매칭 정보 및 필터링 정보 등이 될 수 있다. 점보 헤더는 점보 프레임 당 하나씩 추가되는 것으로, DMAC, SMAC, Type 정보를 포함하며, 14B의 크기를 가질 수 있다.
도 3 및 도 4를 참조하여 패킷 별로 전송할 때의 패킷 전송시간(도 3)과 하나의 점보 프레임을 전송할 때의 패킷 전송시간(도 4)을 비교해 보면, 패킷 별로 전송할 때의 패킷 전송시간(도 3)보다 하나의 점보 프레임을 전송할 때의 절약되는 패킷 전송시간은, 20B × (N-1) - (점보 헤더 크기 + ID 크기×N)이다. 예를 들어, 64B 패킷 128개, 점보 헤더: 14B, ID: 4B인 경우, 절약되는 패킷 전송시간은 20B ×(128 - 1) - (14B + 4B × 128) = 2,014B 이다. 즉, 2,014B의 크기 시간이 절약됨을 알 수 있다. 64B 패킷은 46B의 데이터와 18B의 헤더로 구성되며, 18B의 헤더에 패킷 분석정보가 포함된다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (11)

  1. 네트워크를 통해 패킷을 수신하는 패킷 수신부;
    수신 패킷 별로 패킷 ID를 생성하여 할당하는 ID 할당부;
    패킷 ID를 포함한 수신 패킷이 저장되는 메모리;
    수신 패킷들을 1차적으로 분석하여 패킷 분석정보를 생성하는 패킷 분석부;
    수신 패킷의 헤더에 패킷 분석정보를 포함 시키고 패킷 ID와 패킷 분석정보를 포함하는 수신 패킷들을 결합하여 하나의 점보 프레임을 생성하는 점보 프레임 생성부; 및
    호스트에 점보 프레임을 송신하는 호스트 송신부; 를 포함하며,
    점보 프레임은 하나의 점보 헤더, 패킷 별 패킷 ID, 패킷 분석부를 통해 생성된 패킷 별 패킷 분석정보를 포함하는 헤더 및 패킷 별 데이터를 포함하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  2. 제 1 항에 있어서, 패킷 분석정보는
    패킷 분류정보, 패턴매칭 정보 및 필터링 정보 중 어느 하나인 것을 특징으로 하는 네트워크 인터페이스 장치.
  3. 삭제
  4. 제 1 항에 있어서, 상기 패킷 분석부는
    패킷 분석을 통해 각 수신 패킷의 5-튜플 정보를 획득하고 5-튜플 정보로부터 해시 값을 계산하며,
    상기 점보 프레임 생성부는
    계산된 해시 값을 점보 프레임을 구성하는 수신 패킷들의 헤더에 포함 시키고 헤더에 해시 값이 포함된 수신 패킷들을 결합하여 점보 프레임을 생성하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  5. 제 1 항에 있어서, 상기 패킷 분석부는
    수신 패킷의 정보와 미리 설정된 패턴을 비교 분석하여 소정의 패턴을 검색하는 패턴매칭을 수행하여 패턴매칭 정보를 얻고,
    상기 점보 프레임 생성부는
    패턴매칭 정보를 수신 패킷의 헤더에 포함 시키고 헤더에 패턴매칭 정보가 포함된 수신 패킷들을 결합하여 점보 프레임을 생성하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  6. 제 5 항에 있어서, 패턴매칭 정보는
    패턴매칭 유무와 패턴매칭 테이블 ID를 포함하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  7. 제 1 항에 있어서, 상기 패킷 분석부는
    수신 패킷의 정보와 미리 설정된 패턴과의 비교를 통해 소정의 수신 패킷의 정보를 필터링하는 보안 필터링을 수행하여 필터링 정보를 얻고,
    상기 점보 프레임 생성부는
    필터링 정보를 수신 패킷의 헤더에 포함 시키고 헤더에 필터링 정보가 포함된 수신 패킷들을 결합하여 점보 프레임을 생성하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  8. 제 7 항에 있어서, 필터링 정보는
    필터링 유무와 필터링 시의 패턴매칭 테이블 ID를 포함하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  9. 제 1 항에 있어서, 상기 네트워크 인터페이스 장치는
    호스트로부터 패킷 ID를 수신하는 호스트 수신부;
    수신된 패킷 ID를 이용하여 해당 패킷 ID를 가진 패킷을 상기 메모리에서 검색하는 패킷 검색부; 및
    검색된 패킷을 네트워크를 통해 송신하는 패킷 송신부;
    를 더 포함하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  10. 제 9 항에 있어서, 상기 네트워크 인터페이스 장치는
    패킷 ID가 할당된 패킷의 메모리 주소를 생성하여 상기 메모리의 해당 메모리 주소에 패킷이 저장되도록 메모리 주소를 할당하는 주소 할당부; 를 더 포함하며,
    패킷 검색부는
    상기 주소 할당부의 패킷 ID 및 그 패킷 ID의 메모리 주소에 대한 정보를 가진 메모리 주소 리스트를 참조하여 상기 호스트 수신부에 의해 수신된 패킷 ID를 가진 패킷을 상기 메모리에서 검색하고, 검색된 패킷을 상기 패킷 송신부에 제공하는 것을 특징으로 하는 네트워크 인터페이스 장치.
  11. 제 1 항에 있어서, 호스트 송신부는
    호스트의 호스트 메모리에 DMA(Direct Memory Access) 방식으로 점보 프레임을 전달하는 것을 특징으로 하는 네트워크 인터페이스 장치.
KR1020180073570A 2018-06-26 2018-06-26 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치 KR102016626B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180073570A KR102016626B1 (ko) 2018-06-26 2018-06-26 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180073570A KR102016626B1 (ko) 2018-06-26 2018-06-26 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치

Publications (1)

Publication Number Publication Date
KR102016626B1 true KR102016626B1 (ko) 2019-08-30

Family

ID=67776194

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180073570A KR102016626B1 (ko) 2018-06-26 2018-06-26 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치

Country Status (1)

Country Link
KR (1) KR102016626B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102403784B1 (ko) * 2021-12-03 2022-05-30 (주) 시스메이트 Mec-dp lbo 장치 및 이동통신망 네트워크 보안을 위한 메타 데이터 생성과 pfcp 정보를 이용한 gtp-u 패킷의 디캡슐레이션 및 ip 패킷의 인캡슐레이션 고속 처리방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100871731B1 (ko) * 2007-05-22 2008-12-05 (주) 시스메이트 네트워크 인터페이스 카드 및 그 카드에서 수행되는 트래픽 분할 처리 방법, 상기 네트워크 인터페이스 카드를 포함하는 다중처리 시스템
KR20090005866A (ko) * 2007-07-10 2009-01-14 (주) 시스메이트 패킷 송수신 방식을 개선한 네트워크 인터페이스 장치 및이를 포함하는 네트워크 장치
KR101679573B1 (ko) * 2015-06-16 2016-11-25 주식회사 윈스 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100871731B1 (ko) * 2007-05-22 2008-12-05 (주) 시스메이트 네트워크 인터페이스 카드 및 그 카드에서 수행되는 트래픽 분할 처리 방법, 상기 네트워크 인터페이스 카드를 포함하는 다중처리 시스템
KR20090005866A (ko) * 2007-07-10 2009-01-14 (주) 시스메이트 패킷 송수신 방식을 개선한 네트워크 인터페이스 장치 및이를 포함하는 네트워크 장치
KR101679573B1 (ko) * 2015-06-16 2016-11-25 주식회사 윈스 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102403784B1 (ko) * 2021-12-03 2022-05-30 (주) 시스메이트 Mec-dp lbo 장치 및 이동통신망 네트워크 보안을 위한 메타 데이터 생성과 pfcp 정보를 이용한 gtp-u 패킷의 디캡슐레이션 및 ip 패킷의 인캡슐레이션 고속 처리방법

Similar Documents

Publication Publication Date Title
US11032190B2 (en) Methods and systems for network security universal control point
US9356844B2 (en) Efficient application recognition in network traffic
Xinidis et al. An active splitter architecture for intrusion detection and prevention
CN101051891A (zh) 一种安全网关中进行安全策略统一处理的方法及装置
Mukkamala et al. A survey on the different firewall technologies
CN111865996A (zh) 数据检测方法、装置和电子设备
Khattak et al. Dofur: Ddos forensics using mapreduce
KR102016626B1 (ko) 점보 프레임을 이용하는 고속 저지연 네트워크 인터페이스 장치
KR100871731B1 (ko) 네트워크 인터페이스 카드 및 그 카드에서 수행되는 트래픽 분할 처리 방법, 상기 네트워크 인터페이스 카드를 포함하는 다중처리 시스템
KR20140047221A (ko) 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진
US10547532B2 (en) Parallelization of inline tool chaining
Pham-Quoc et al. Fpga-based multicore architecture for integrating multiple ddos defense mechanisms
KR102016627B1 (ko) 점보 프레임을 이용하는 네트워크 인터페이스 장치
Çelebi et al. A comprehensive survey on deep packet inspection for advanced network traffic analysis: issues and challenges
KR102078744B1 (ko) 멀티 코어 프로세서 및 범용 네트워크 컨트롤러 하이브리드 구조의 네트워크 인터페이스 카드
Alias et al. A study on packet capture mechanisms in real time network traffic
CN115150278A (zh) 使用数据处理单元(dpu)作为基于图形处理单元(gpu)的机器学习的预处理器
KR101615587B1 (ko) 전자전에서 사이버 공격 탐지와 분석을 위한 dpi 구현 시스템 및 이의 구현 방법
Qadeer et al. Towards an efficient intrusion detection system for high speed networks
KR101448549B1 (ko) 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진
KR101115098B1 (ko) 플로우 프로세싱 유닛 및 플로우 프로세싱 유닛 제어 방법
CN110581843B (zh) 一种拟态Web网关多应用流量定向分配方法
Hung et al. Fast parallel network packet filter system based on CUDA
US20230319078A1 (en) System and method for detecting and mitigating port scanning attacks
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant