KR20080079272A - 통신 네트워크에서 인커밍 패킷을 처리하기 위한 방법 및시스템 - Google Patents

통신 네트워크에서 인커밍 패킷을 처리하기 위한 방법 및시스템 Download PDF

Info

Publication number
KR20080079272A
KR20080079272A KR1020087014960A KR20087014960A KR20080079272A KR 20080079272 A KR20080079272 A KR 20080079272A KR 1020087014960 A KR1020087014960 A KR 1020087014960A KR 20087014960 A KR20087014960 A KR 20087014960A KR 20080079272 A KR20080079272 A KR 20080079272A
Authority
KR
South Korea
Prior art keywords
packet
source address
list
recent
incoming
Prior art date
Application number
KR1020087014960A
Other languages
English (en)
Other versions
KR101010095B1 (ko
Inventor
칼 이. 밀러
Original Assignee
모토로라 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 모토로라 인코포레이티드 filed Critical 모토로라 인코포레이티드
Publication of KR20080079272A publication Critical patent/KR20080079272A/ko
Application granted granted Critical
Publication of KR101010095B1 publication Critical patent/KR101010095B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

통신 네트워크(100)에서 인커밍 패킷을 처리하기 위한 방법 및 전자 디바이스(104)가 개시된다. 방법은 최근 위반자 리스트(212)를 이용하여 인커밍 패킷을 실시간으로 필터링하는 단계(302)를 포함한다. 방법은 또한 인커밍 패킷을 위반 패킷 및 비-위반 패킷으로 비-실시간으로 분류하는 단계(304)를 포함한다.
통신 네트워크, 인커밍 패킷, 전자 디바이스, 위반자 리스트, 보안

Description

통신 네트워크에서 인커밍 패킷을 처리하기 위한 방법 및 시스템{METHOD AND SYSTEM FOR PROCESSING INCOMING PACKETS IN A COMMUNICATION NETWORK}
본 발명은 일반적으로는 통신 네트워크에 관한 것으로, 특히 통신 네트워크에서 패킷을 필터링하기 위한 방법 및 시스템에 관한 것이다.
최근, 통신 네트워크, 예를 들면 셀룰러 무선 액세스 네트워크가 광범위하게 성장되었다. 통신 네트워크에 접속된 전자 디바이스, 예를 들면 모바일 폰은 예를 들면 패킷을 전송하고 수신함으로써 서로 통신한다. 패킷은 예를 들면, 통신 네트워크에서 패킷의 소스에 대응하는 소스 어드레스, 및 네트워크에서 패킷의 목적지에 대응하는 목적지 어드레스를 포함한다.
통신 네트워크는 통신 네트워크 및 그 사용자들에게 악영향을 미칠 수 있는 IP 어드레스 스캐닝과 같은 문제들에 취약할 수 있다. IP 어드레스 스캐닝 동안에, 전자 디바이스는 통신 네트워크에서 복수의 패킷을 전송하여 다른 전자 디바이스의 어드레스를 스캐닝한다. 다른 전자 디바이스의 어드레스를 스캐닝하도록 전자 디바이스에 의해 전송되고 있는 패킷들은 위반(offending) 패킷으로 알려져 있다. 일단 전자 디바이스의 어드레스가 IP 어드레스 스캐닝의 프로세스에 의해 검증되면, 전자 디바이스는 다양한 수단에 의해 불법 목적을 위해 액세스될 수 있다. 결과적으로, 위반 패킷은 통신 네트워크에서 차단될 필요가 있다.
어드레스 스캐닝 동안에, 통신 네트워크 트래픽에 급격한 증가가 있을 수 있다. 대규모의 위반 패킷들이 처리될 필요가 있으므로, 이것은 통신 네트워크의 성능에 악영향을 미친다. 또한, 어드레스 스캐닝은 통신 네트워크에서 전자 디바이스에 대한 보안 위반이다.
통신 네트워크에서 위반 패킷을 차단하기 위해 가용한 다양한 방법들이 있다. 하나의 그러한 방법에서, 방화벽은 위반 패킷을 식별하고 차단한다. 종래의 방화벽은 복잡한 기술들을 채용하고, 결과적으로 다량의 처리 전력 및 시간을 필요로 한다. 결과적으로, 이들 방화벽들은 더 적은 처리 전력 및 처리 시간이 가용한 셀룰러 네트워크에서와 같은, 임베디드 환경에서 효율적으로 이용될 수 없다.
본 발명의 대표적 구성요소, 동작 특징, 어플리케이션 및/또는 장점들은 특히 이하에 더 완전하게 도시되고, 기재되며 청구되는 구성 및 동작의 세부사항에 있다 - 유사한 참조부호가 그 전체에 걸쳐 유사한 부분들을 지칭하는, 본 발명의 일부를 형성하는 첨부된 도면을 참조한다. 다른 구성요소, 동작 특징, 어플리케이션 및/또는 장점들은 상세한 설명에 인용된 특정 예로 든 실시예를 감안하면 명백하게 될 것이다.
도 1은 본 발명의 다양한 실시예들이 실시되는 통신 네트워크의 블록도를 대표적으로 도시하고 있다.
도 2는 본 발명의 실시에에 따라, 방화벽 시스템의 블록도를 대표적으로 도 시하고 있다.
도 3은 본 발명의 제1 실시예에 따라 인커밍 패킷을 처리하기 위한 방법을 묘사하는 플로우차트를 대표적으로 도시하고 있다.
도 4는 본 발명의 제2 실시예에 따라 인커밍 패킷을 처리하기 위한 방법을 묘사하는 플로우차트를 대표적으로 도시하고 있다.
도 5는 본 발명의 실시예에 따라 인커밍 패킷을 필터링하기 위한 방법을 묘사하는 플로우차트를 대표적으로 도시하고 있다.
도 6 및 7은 본 발명의 실시예에 따라 인커밍 패킷을 분류하기 위한 방법을 묘사하는 플로우차트를 대표적으로 도시하고 있다.
도 8은 본 발명의 다양한 실시예에 따라 인커밍 패킷의 분류를 대표적으로 도시하고 있다.
도면들의 구성요소들은 단순화 및 명료함을 위해 예시되어 있고 반드시 스케일링되어 그려질 필요는 없다. 예를 들면, 도면에서 일부 구성요소들의 치수는 다른 구성요소들에 비해 과장되어 본 발명의 다양한 실시예의 이해를 개선하는데 도움을 준다. 또한, 용어 "제1", "제2" 등은 여기에서, 특히 유사한 구성요소들을 구별하는데 이용되고, 반드시 순차적 또는 연대적 순서를 기재하기 위한 것은 아니다. 그렇게 이용되는 상기 용어들 중 어느 것이든 적절한 환경하에서 상호교환될 수 있어, 여기에 기재된 본 발명의 다양한 실시예들이 명시적으로 예시되거나 다르게는 기재된 것과는 다른 구성 및/또는 방향으로 동작할 있다.
본 발명의 이하의 대표적인 설명은 일반적으로는 예로 든 실시예 및 최상 모드의 발명자의 개념에 관한 것이고, 본 발명의 적용가능성 또는 구성을 어느 방식으로든 제한하려는 것이 아니다. 오히려, 이하의 설명은 본 발명의 다양한 실시예들을 구현하기 위한 간편한 예시를 제공하려는 것이다. 명백한 바와 같이, 본 발명의 사상 및 범주에서 벗어나지 않고서도 개시된 실시예에 기재된 임의의 구성요소의 기능 및/또는 배열에서 변경이 가해질 수 있다.
예시적인 어플리케이션, 즉 '통신 네트워크에서 인커밍 패킷(incoming packet)을 처리하기 위한 방법 및 시스템'의 상세한 설명은 본 발명의 다양한 실시예에 따라 인커밍 패킷을 처리하기 위한 개시된 시스템, 방법 및 디바이스의 임의의 어플리케이션으로 일반화되는 특정 인에이블링 개시로서 제공된다.
본 발명의 다양한 실시예들은 통신 네트워크에서 인커밍 패킷을 처리하기 위한 방법 및 방화벽 시스템을 제공한다. 각 인커밍 패킷은 소스 어드레스 및 목적지 어드레스와 연관된다. 방법은 최근 공격자 리스트를 이용하여 인커밍 패킷을 실시간으로 필터링하는 단계, 인커밍 패킷을 위반 패킷 및 비-위반 패킷으로 비실시간으로 분류하는 단계를 포함한다. 방화벽 시스템은 프로세서 및 메모리 유닛을 포함한다. 메모리 유닛은 프로세서와 동작가능하게 결합될 수 있다. 프로세서는 인커밍 패킷으로부터 위반 패킷을 실시간으로 필터링할 수 있고, 인커밍 패킷을 비실시간으로 위반 패킷 또는 비-위반 패킷으로 분류할 수 있다.
도 1은 본 발명의 다양한 실시예들이 실시되는 통신 네트워크(100)의 블록도를 대표적으로 도시하고 있다. 통신 네트워크(100)는 복수의 전자 디바이스, 예를 들면 전자 디바이스(102), 전자 디바이스(104), 전자 디바이스(106), 및 전자 디바이스(108)를 포함한다. 통신 네트워크(100)의 예들은 로컬 영역 네트워크(LAN), 대도시 영역 네트워크(Metropolita Area Network; MAN), 와이드 영역 네트워크(WAN), 인터넷, 모바일 통신 네트워크, 셀룰러 무선 액세스 네트워크, 및 셀룰러 코어 네트워크를 포함하고, 이들로 제한되지 않는다. 실시예에서, 통신 네트워크(100)는 상호링크되는 복수의 그러한 통신 네트워크를 포함한다. 예를 들면, 모바일 폰의 사용자가 모바일 폰을 통해 인터넷에 액세스하는 경우, 모바일 통신 네트워크 및 인터넷은 통신 네트워크(100)를 형성할 수 있다. 전자 디바이스(102, 104, 106 및 108)의 예들은 퍼스널 컴퓨터(PC), 모바일 폰, 랩탑, 네트워크 라우터, 및 네트워크 서버를 포함하고, 이들로 제한되지 않는다.
일 실시예에서, 전자 디바이스는 서비스를 다른 전자 디바이스, 예를 들면 사용자 디바이스들에게 공급하는 네트워크 전자 디바이스일 수 있다. 네트워크 전자 디바이스는 네트워크 라우터, 네트워크 서버, 무선 액세스 네트워크(RAN) 기능, 게이트웨이 기능, 패킷 제어 기능 등을 포함한다. 그러한 것으로, 일 실시예에서, 네트워크 서빙 기능은 전자 디바이스(102, 104, 106, 108)와 네트워크 사이에서 결합된다. 일 실시예에서, 전자 디바이스는 네트워크 디바이스로부터 서비스를 수신하도록 결합되는 사용자 디바이스를 포함한다. 사용자 디바이스는 PC, 셀룰러 폰, 개인휴대단말기(PDA), PC를 위한 무선 인터페이스, PDA를 위한 무선 인터페이스, 등을 포함한다.
통신 네트워크(100)의 전자 디바이스(102, 104, 106 및 108)는 패킷을 전송 하고 수신하여 서로 통신한다. 예를 들면, 전자 디바이스(102)는 패킷을 전자 디바이스(106)에 전송한다. 패킷은 예를 들면 소스 어드레스 및 목적지 어드레스를 포함한다. 이러한 예에서, 소스 어드레스는 전자 디바이스(102)의 어드레스를 포함하고, 목적지 어드레스는 전자 디바이스(106)의 어드레스를 포함한다. 본 발명의 실시예에서, 전자 디바이스, 예를 들면 전자 디바이스(102)는 패킷을 복수의 목적지들에게 전송할 수 있다. 다수의 네트워크 환경에 대해, 특히 무선 액세스 네트워크에 대해, 예를 들면 멀티캐스트 또는 단문 서비스에 대한 네트워크를 지원하는 어플리케이션 서버와 같이, 공지되어 있는 일부 개수의 디바이스들을 제외하고, 어떠한 디바이스들도 패킷을 하나의 주어진 기간 동안에 다수의 목적지에 전송하지 않을 것이다. 이러한 환경 특성으로 인해, 전자 디바이스(102)의 소스 어드레스와 연관된 목적지의 개수가 미리 정의된 임계값을 초과하는 경우에 위반 패킷으로 패킷을 분류할 수 있다. 미리 정의된 임계는 알려져 있는 기간에 전자 디바이스에 의해 전송될 수 있는 최대 허용가능한 패킷의 개수이다. 이러한 실시예에서, 미리 정의된 임계를 초과하는 전자 디바이스(102)에 의해 전송된 패킷은 위반 패킷으로 식별된다.
도 2는 본 발명의 실시예에 따라 방화벽 시스템(200)의 블록도를 대표적으로 예시하고 있다. 방화벽 시스템(200)은 메모리 유닛(202) 및 프로세서(204)를 포함한다. 프로세서(204)는 메모리 유닛(202)과 동작가능하게 결합된다. 메모리 유닛(202)은 배경 헤더 처리 큐(background header processing queue)(206), 주지된 양호한 멀티-연관 리스트(208), 최근 히스토리 리스트(210), 및 최근 위반자 리스 트(212)를 포함한다. 배경 헤더 처리 큐(206)는 인커밍 패킷을 분류하기 위해 인커밍 패킷의 소스 어드레스 및 목적지 어드레스를 포함한다. 주지된 양호한 멀티-연관 리스트(208)는 통신 네트워크(100), 예를 들면 셀룰러 코어 네트워크의 푸시-투-토크 서버에서 미리 정의된 임계값보다 더 많은 복수의 패킷을 유효한 이유로 전송하도록 허용되는 양호한 비-위반 전자 디바이스의 소스 어드레스를 포함한다. 최근 히스토리 리스트(210)는 소스 어드레스 및, 최근 인커밍 패킷의 소스 어드레스와 연관된 대응하는 목적지 어드레스를 포함한다. 최근 위반자 리스트(212)는 최근에 위반 패킷으로 식별된 패킷의 소스 어드레스를 포함한다. 프로세서(204)는 배경 헤더 처리 큐(206), 주지된 양호한 멀티-연관 리스트(208), 최근 히스토리 리스트(210) 및 최근 위반자 리스트(212)로부터 검색된 정보에 기초하여, 인커밍 패킷을 처리한다.
본 발명의 일 실시예에서, 인커밍 패킷을 처리하는 것은 2개의 페이즈, 예를 들면 낮은 처리 집중 페이즈 및 높은 처리 집중 페이즈로 분할될 수 있다. 낮은 처리-집중 페이즈(low processing intensive phase)에서, 위반 패킷은 최근 위반자 리스트(212)로부터 검색된 정보에 기초하여 프로세서(204)에 의해 차단된다. 높은 처리 집중 페이즈에서, 프로세서(204)는 주지된 양호한 멀티-연관 리스트(208) 및 최근 히스토리 리스트(210)를 이용하여, 위반 패킷 및 비-위반 패킷으로 인커밍 패킷을 분류한다. 본 발명의 또 다른 실시예에서, 낮은 처리 집중 페이즈는 실시간으로 구현되고, 높은 처리 집중 페이즈는 비-실시간으로 구현된다.
도 3은 본 발명의 제1 실시예에 따라, 인커밍 패킷을 처리하기 위한 방법을 묘사하는 플로우차트를 대표적으로 도시하고 있다. 단계 302에서, 인커밍 패킷은 최근 위반자 리스트(212)를 이용함으로써 실시간으로 필터링된다. 인커밍 패킷은 필요한 경우에, 하나 이상의 패킷을 차단함으로써 필터링된다. 이들 패킷들의 소스 어드레스들은 최근 위반자 리스트(212)에 존재한다. 이것은 인커밍 패킷의 위반 패킷의 검출을 필요로 한다. 단계 304에서, 이전 인커밍 패킷에 관한 정보는 위반 패킷 및 비-위반 패킷과 연관된 어드레스들을 비-실시간으로 분류하는데 이용된다. 본 발명의 일 실시예에서, 인커밍 패킷은 각 인커밍 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수에 기초하여 분류된다. 이러한 실시예에서, 최근 히스토리 리스트(210)는 각 인커밍 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수를 저장하는데 이용된다.
도 4는 본 발명의 제2 실시예에 따라, 인커밍 패킷을 처리하기 위한 방법을 묘사하는 플로우차트를 대표적으로 도시하고 있다. 단계 402에서, 인커밍 패킷은 최근 위반자 리스트(212)를 이용함으로써 실시간으로 필터링된다. 인커밍 패킷은, 필요한 경우에, 하나 이상의 패킷을 차단함으로써 필터링된다. 이들 패킷들의 소스 어드레스들은 최근 위반자 리스트(212)에 존재한다. 이것은 인커밍 패킷의 위반 패킷의 검출을 필요로 한다. 본 발명의 실시예에서, 위반 패킷은 각 인커밍 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수에 기초하여 인커밍 패킷을 분류함으로써 검출될 수 있다. 단계 404에서, 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수는 비-실시간으로 결정된다. 본 발명의 일 실시예에서, 인커밍 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수는 최근 히스토리 리스 트(210)를 이용함으로써 결정된다. 본 발명의 일 실시예에서, 인커밍 패킷은, 인커밍 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수가 미리 정의된 임계값을 초과하는 경우에, 위반 패킷으로 식별된다. 인커밍 패킷이 위반 패킷으로 식별된 후, 단계 406이 수행된다. 단계 406에서, 인커밍 패킷의 소스 어드레스는 최근 위반자 리스트(202)에 비-실시간으로 부착된다.
도 5는 본 발명의 실시예에 따라 인커밍 패킷을 필터링하기 위한 방법을 도시하는 플로우차트를 대표적으로 예시하고 있다. 인커밍 패킷을 필터링하는 프로세스는 실시간으로 구현된다. 인커밍 패킷을 필터링하는 것은 최근 위반자 리스트(212)를 이용하여 인커밍 패킷에 존재하는 위반 패킷을 차단하는 것을 포함한다. 단계 502에서, 인커밍 패킷의 소스 및 목적지 어드레스가 배경 헤더 처리 큐(206)에 저장된다. 저장된 소스 및 목적지 어드레스는 원하는 경우에 시간상으로 나중 포인트에서, 인커밍 패킷이 위반 패킷인지 또는 비-위반 패킷인지 여부를 식별하는데 이용된다. 또한, 단계 504에서, 인커밍 패킷의 소스 어드레스가 최근 위반자 리스트(212)에 존재하는지 여부가 결정된다. 최근 위반자 리스트(212)는 이미 위반 패킷으로 식별되었던 패킷의 소스 어드레스의 리스트를 포함한다. 단계 504에서, 인커밍 패킷의 소스 어드레스가 최근 위반자 리스트(212)에 존재하지 않는 것으로 결정된 경우, 인커밍 패킷은 단계 506에서 인커밍 패킷의 목적지 어드레스에 대응하는 전자 디바이스에 포워딩된다. 단계 504에서, 인커밍 패킷의 소스 어드레스가 최근 위반자 리스트(212)에 존재하는 것으로 결정되는 경우, 단계 508에서 인커밍 패킷이 폐기된다.
도 6 및 7은 본 발명의 실시예에 따라 인커밍 패킷을 분류하기 위한 방법을 도시하는 플로우차트를 대표적으로 예시하고 있다. 인커밍 패킷을 위반 패킷 및 비-위반 패킷으로 분류하는 프로세스는 비-실시간으로 구현된다. 인커밍 패킷을 분류하는 것은 최근 히스토리 리스트(210)를 이용함으로써 인커밍 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수를 결정하는 것을 포함한다. 단계 602에서, 인커밍 패킷의 소스 및 목적지 어드레스가 배경 헤더 처리 큐(206)로부터 검색된다. 단계 604에서, 인커밍 패킷의 소스 어드레스가 주지된 양호한 멀티-연관 리스트(208)에 존재하는지 여부가 결정된다. 소스 어드레스가 주지된 양호한 멀티-연관 리스트(208)에 존재하는 경우, 단계 710이 수행된다. 단계 710에서, 만료된 엔트리들이 최근 히스토리 리스트(210) 및 최근 위반자 리스트(212)로부터 제거된다. 일 실시예에서, 만료된 엔트리를 제거하는 것은 주지된 기간 이상 동안에 최근 히스토리 리스트(210) 또는 최근 위반자 리스트(212)에 존재하는 하나 이상의 소스 어드레스 또는 하나 이상의 목적지 어드레스를 삭제하는 것을 포함한다. 이것은, 예를 들면 제한 없이, 각 엔트리가 테이블에 들어옴에 따라 각 엔트리를 시간 태깅(time tagging)하고, 그리고나서 그 시간 태그가 지정된 시간 양(허용된 엔트리 나이일 수 있음)보다 더 오래된 임의의 패킷을 폐기함으로써 수행될 수 있다. 이것은 IP 어드레스 또는 MAC 어드레스들이 라우팅 테이블 또는 캐시로부터 "타임 아웃"되는 방식과 유사하다. 소스 어드레스가 주지된 양호한 멀티-연관 리스트(208)에 존재하지 않는 경우, 단계 606이 수행된다. 단계 606에서, 소스 어드레스가 최근 히스토리 리스트(210)에 존재하는지 여부가 결정된다. 소스 어드레스가 최근 히스토리 리스트(210)에 존재하지 않는 경우, 단계 608에서, 패킷의 소스 어드레스 및 목적지 어드레스가 최근 히스토리 리스트(210)에 추가된다. 또한, 단계 710이 수행되고, 단계 710에서, 만료된 엔트리들이 최근 히스토리 리스트(210) 및 최근 위반자 리스트(212)로부터 제거된다. 소스 어드레스가 최근 히스토리 리스트(210)에 존재하는 경우, 단계 702에서, 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수가 미리 정의된 임계값보다 큰 지 여부가 결정된다. 그렇다면, 단계 704에서, 패킷의 소스 어드레스가 최근 위반자 리스트(212)에 추가된다. 또한, 단계 710이 수행되고, 단계 710에서, 만료된 엔트리들이 최근 히스토리 리스트(210) 및 최근 위반자 리스트(212)로부터 제거된다. 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수가 미리 정의된 임계값보다 작은 경우, 단계 706이 수행된다. 단계 706에서, 패킷의 목적지 어드레스가 최근 히스토리 리스트(210)에 존재하는지 여부가 결정된다. 패킷의 목적지 어드레스가 최근 히스토리 리스트(210)에 존재하는 경우, 단계 710에서, 만료된 엔트리가 최근 히스토리 리스트(210) 및 최근 위반자 리스트(212)로부터 제거된다. 패킷의 목적지 어드레스가 최근 히스토리 리스트(210)에 존재하지 않는 경우, 단계 708이 수행된다. 단계 708에서, 패킷의 목적지 어드레스가 최근 히스토리 리스트(210)에 추가된다. 일 실시예에서, 최근 히스토리 리스트에 추가된 목적지 어드레스는 리스트의 특정 소스 어드레스와 연관되어, 어느 복수의 목적지 어드레스가 어느 소스 어드레스와 연관되어 있는지의 구별을 가능하게 한다. 단계 710에서, 만료된 엔트리들이 최근 히스토리 리스트(210) 및 최근 위반자 리스트(212)로부터 제거된다.
도 8은 본 발명의 다양한 실시예에 따라 인커밍 패킷의 분류를 대표적으로 예시하고 있다. 일 실시예에서, 인커밍 패킷은 인커밍 패킷 레이트, 예를 들면 높은-레이트 패킷 또는 낮은-레이트 패킷, 및 인커밍 패킷의 타입, 예를 들면 위반 패킷 또는 비-위반 패킷에 기초하여 4가지 주요 카테고리로 분할될 수 있다. 이들 인커밍 패킷들은 이하의 클래스들, 낮은-레이트 비-위반 패킷(802), 낮은-레이트 위반 패킷(804), 높은-레이트 비-위반 패킷(806), 및 높은-레이트 위반 패킷(808)으로 분류될 수 있다. 일 실시예에서, 낮은-레이트 비-위반 패킷(802) 및 낮은-레이트 위반 패킷(804)은 무시되어 그 각각의 목적지로 포워딩될 수 있다. 또한, 높은-레이트 비-위반 패킷(806)은 검출될 수 있지만, 일단 비-위반 패킷으로 식별되면, 최근 히스토리 리스트 및/또는 주지된 양호한 멀티-연관 리스트(208)를 이용함으로써, 그 각각의 목적지로 포워딩 될 수 있다. 높은-레이트 위반 패킷(808)들만이 어드레스 스캐닝과 같은 프로세스와 주로 관련되므로, 식별되어 필터링된다.
본 발명의 다양한 실시예들은 인커밍 패킷을 필터링하는데 필요한 처리 전력 및 시간을 감소하기 위한 방법 및 시스템을 제공한다. 본 발명의 일 실시예에서, 인커밍 패킷은 실시간으로 필터링되고 비-실시간으로 위반 패킷 및 비-위반 패킷으로 분류된다. 프로세서 집중도(processor intensive)가 약한 패킷의 필터링은 레이턴시(latency) 및 용량에 거의 영향을 미치지 않고 실시간으로 구현될 수 있다. 프로세서 집중도가 강한 패킷의 분류는 다른 아이들(idle) 처리 리소스가 활용될 수 있는 경우에 비-실시간으로 구현된다. 이것은 레이턴시 및 용량에 대한 충격을 최소화시킨다.
본 발명의 다양한 실시예들은 통신 네트워크, 예를 들면 코드 분할 다중 액세스(CDMA) 네트워크에 이용될 수 있다. 일 실시예에서, 본 발명은 CDMA 네트워크의 패킷 제어 함수(PCF)로 구현될 수 있고, 여기에서는 처리 용량이 제한되고 더 적은 처리 시간이 요구된다. 다른 실시예에서, 본 발명은 통신 네트워크(100)에 접속된 하나 이상의 전자 디바이스들로 구현될 수 있다.
여기에 기재된 방화벽 시스템은 하나 이상의 종래 프로세서, 및 하나 이상의 프로세서들이 특정 비-프로세서 회로와 조합하여 여기에 기재된 방화벽 시스템의 일부, 대부분 또는 모든 기능을 구현하도록 제어하는 고유 저장된 프로그램 명령으로 구성될 수 있다는 것은 자명하다. 비-프로세서 회로는 신호 드라이버, 클럭 회로, 전원 회로, 및 사용자 입력 디바이스를 포함하고 이들로 제한되지 않는다. 그러한 것으로서, 이들 기능들은 통신 네트워크에서 인커밍 패킷의 처리를 수행하는 방법의 단계들로서 해석될 수 있다. 다르게는, 일부 또는 모든 기능들은 저장된 프로그램 명령을 전혀 가지지 않는 상태 머신에 의해, 또는 각 기능 또는 특정 기능들의 일부 조합들이 관례적인 로직으로 구현되는 하나 이상의 어플리케이션 특정 집적 회로(ASIC)로 구현될 수 있다. 물론, 2가지 접근법의 조합이 이용될 수 있다. 그러므로, 이들 기능들에 대한 방법 및 수단들이 여기에 기재되었다.
당업자라면, 예를 들면 가용 시간, 현재 기술 및 경제적 고려에 의해 동기화되는 가능한 상당한 노력 및 다수의 설계 선택에도 불구하고, 여기에 개시된 개념 및 원리에 의해 유도될 때, 그러한 소프트웨어 명령 및 프로그램 및 IC를 최소의 실험으로 용이하게 생성할 수 있을 것으로 예상된다.
상기 명세서에서, 본 발명은 특정 실시예를 참조하여 기재되었다. 그러나, 이하의 청구의 범위에 제시된 바와 같은 본 발명의 범주에서 벗어나지 않고서도 다양한 변형 및 변경이 만들어질 수 있다는 것은 자명하다. 명세서 및 도면들은 제한적이라기보다는 예시적으로 간주되어야 하고, 모든 그러한 변형은 본 발명의 범주내에 포함된다고 할 것이다. 따라서, 본 발명의 범주는 상기 설명된 단지 예들에 의해서만이라기 보다는 여기에 첨부된 청구의 범위 및 그 법적 등가물에 의해서 결정되어야 한다.
예를 들면, 임의의 방법 또는 프로세스 청구의 범위에 인용된 단계들은 임의의 순서로 실행될 수 있고 청구의 범위에 제시된 특정 순서로 제한되지 않는다. 부가적으로, 임의의 장치 청구의 범위에 인용된 컴포넌트 및/또는 구성요소들은 다양한 조합으로 조립되거나 다르게는 동작가능하게 구성되어, 본 발명과 거의 동일한 결과를 도출해내고, 따라서 청구의 범위에 인용된 특정 구성으로 제한되지 않는다.
이점, 다른 장점 및 문제에 대한 해결책은 특정 실시예와 관련하여 상기 설명되었다. 그러나, 임의의 이점, 장점, 문제에 대한 해결책, 또는 임의의 이점, 장점, 문제에 대한 해결책 또는 임의의 특정 이점, 장점 또는 솔루션이 발생하거나 더 현저하게 하도록 유발하는 임의의 구성요소는 임의의 하나 또는 모든 청구의 범위의 핵심적이고, 요구되거나 실질적인 특징 또는 컴포넌트로서 간주되어서는 안된다.
본 명세서에 이용된 바와 같이, 용어 "포함한다(comprise, comprises)", "가 지는(having)", "포함하는(including), "포함하다(includes)" 또는 그 임의의 변동은 비-배타적 포괄을 참조하려는 것으로서, 구성요소들의 리스트를 포함하는 프로세스, 방법, 제품, 조성 또는 장치가 인용된 구성요소들만을 포함하는 것이 아니라 명시적으로 리스트되지 않거나 그러한 프로세스, 방법, 제품, 조성 또는 장치에 본질적인 다른 구성요소들을 포함할 수 있다. 여기에 구체적으로 인용되지 않은 것들뿐만 아니라, 본 발명의 실시에 이용되는 상기 기재된 구조, 배열, 어플리케이션, 비율, 구성요소, 재료 또는 컴포넌트의 다른 조합 및/또는 변형은 본 발명의 일반적인 원리에서 벗어나지 않고서도 가변되거나, 다르게는 특정 환경, 제조 스펙, 설계 파라미터 또는 다른 동작 요구조건에 특별히 적응될 수 있다.

Claims (10)

  1. 통신 네트워크에서 인커밍(incoming) 패킷을 처리하는 방법으로서, 각 패킷은 소스 어드레스 및 목적지 어드레스를 가지며,
    최근 위반자 리스트(offender list)를 이용하여 상기 인커밍 패킷을 실시간으로 필터링하는 단계와,
    상기 인커밍 패킷을 위반 패킷 및 비-위반 패킷으로 비-실시간으로 분류하는 단계
    를 포함하는 인커밍 패킷 처리 방법.
  2. 제1항에 있어서,
    상기 인커밍 패킷을 필터링하는 단계는, 상기 최근 위반자 리스트가 하나 이상의 패킷의 소스 어드레스를 가지고 있는 경우에 상기 하나 이상의 패킷을 차단하는 단계를 포함하는 인커밍 패킷 처리 방법.
  3. 제1항에 있어서,
    상기 인커밍 패킷을 분류하기 위해, 상기 인커밍 패킷의 소스 어드레스 및 목적지 어드레스를 배경 헤더 처리 큐(background header processing queue)에 실시간으로 저장하는 단계를 더 포함하는 인커밍 패킷 처리 방법.
  4. 제3항에 있어서,
    상기 인커밍 패킷을 분류하는 단계는,
    상기 배경 헤더 처리 큐로부터 패킷의 소스 어드레스 및 목적지 어드레스를 검색하는 단계와,
    상기 패킷의 소스 어드레스가 주지된 양호한 멀티-연관 리스트(known good multi-association list)내에 존재하는지를 체크하는 단계와,
    상기 소스 어드레스가 상기 주지된 양호한 멀티-연관 리스트에 존재하는 경우에 상기 소스 어드레스에 대한 임의의 추가 처리를 종료하는 단계와,
    상기 소스 어드레스가 최근 히스토리 리스트에 존재하는지를 체크하는 단계와,
    상기 소스 어드레스가 상기 최근 히스토리 리스트에 존재하지 않은 경우에 상기 소스 어드레스를 상기 최근 히스토리 리스트에 추가하는 단계와,
    최근 히스토리 리스트에서 상기 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수가 미리 정의된 임계값보다 큰지를 체크하는 단계와,
    상기 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수가 상기 미리 정의된 임계값보다 큰 경우에 상기 패킷의 소스 어드레스를 상기 최근 위반자 리스트에 추가하는 단계와,
    상기 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수가 상기 미리 정의된 임계값보다 작고 상기 소스 어드레스와 연관된 목적지 어드레스가 상기 최근 히스토리 리스트내에 이미 존재하지 않은 경우에, 상기 패킷의 소스 어드레스 및 목적지 어드레스로 상기 최근 히스토리 리스트를 업데이트하는 단계
    를 포함하는 인커밍 패킷 처리 방법.
  5. 제1항에 있어서,
    다수의 목적지 어드레스와 연관된 비-위반 패킷의 소스 어드레스의 주지된 양호한 멀티-연관 리스트를 유지하는 단계를 더 포함하는 인커밍 패킷 처리 방법.
  6. 제5항에 있어서,
    상기 패킷의 소스 어드레스가 상기 주지된 양호한 멀티-연관 리스트에 포함되는 경우에 패킷이 통과할 수 있도록 허용하는 단계를 더 포함하는 인커밍 패킷 처리 방법.
  7. 제1항에 있어서,
    상기 인커밍 패킷을 분류하는 단계는,
    패킷의 소스 어드레스 및 목적지 어드레스로 최근 히스토리 리스트를 파퓰레이팅(populating)하는 단계와,
    상기 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수와, 미리 정의된 임계값을 비교하는 단계와,
    상기 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수가 상기 미리 정의된 임계값을 초과하는 경우에 상기 패킷의 소스 어드레스를 상기 최근 위반자 리스트에 추가하는 단계
    를 포함하는 인커밍 패킷 처리 방법.
  8. 제7항에 있어서,
    상기 최근 위반자 리스트 및 최근 히스토리 리스트를 주기적으로 업데이트하는 단계를 더 포함하는 인커밍 패킷 처리 방법.
  9. 제8항에 있어서,
    상기 최근 위반자 리스트 및 최근 히스토리 리스트를 주기적으로 업데이트하는 단계는, 상기 최근 위반자 리스트 및 최근 히스토리 리스트에서 임의의 만료된 엔트리(expired entry)를 제거하는 단계를 포함하는 인커밍 패킷 처리 방법.
  10. 통신 네트워크에서 패킷을 처리하는 방법으로서, 상기 각 패킷은 소스 어드레스 및 목적지 어드레스를 가지며,
    상기 패킷을 최근 위반자 리스트를 이용하여 실시간으로 필터링하는 단계와,
    상기 패킷을 위반 패킷 및 비-위반 패킷으로 비-실시간으로 분류하는 단계를 포함하고,
    상기 패킷을 분류하는 단계는,
    최근 히스토리 리스트를 이용하여 상기 패킷의 소스 어드레스와 연관된 목적지 어드레스의 개수를 결정하는 단계와,
    상기 소스 어드레스와 연관된 목적지 어드레스의 개수가 미리 정의된 임계값을 초과하는 경우에 상기 패킷의 소스 어드레스를 상기 최근 위반자 리스트에 첨부하는(appending) 단계
    를 포함하는 패킷 처리 방법.
KR1020087014960A 2005-11-21 2006-11-13 통신 네트워크에서 인커밍 패킷을 처리하기 위한 방법 및시스템 KR101010095B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/284,072 US7649886B2 (en) 2005-11-21 2005-11-21 Method and system for processing incoming packets in a communication network
US11/284,072 2005-11-21

Publications (2)

Publication Number Publication Date
KR20080079272A true KR20080079272A (ko) 2008-08-29
KR101010095B1 KR101010095B1 (ko) 2011-01-24

Family

ID=38053432

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087014960A KR101010095B1 (ko) 2005-11-21 2006-11-13 통신 네트워크에서 인커밍 패킷을 처리하기 위한 방법 및시스템

Country Status (4)

Country Link
US (1) US7649886B2 (ko)
KR (1) KR101010095B1 (ko)
CN (1) CN101351781B (ko)
WO (1) WO2007061659A2 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10327545B4 (de) * 2003-06-18 2005-12-01 Infineon Technologies Ag Verfahren und Vorrichtung zur Verarbeitung von Echtzeitdaten
US11226947B1 (en) * 2007-10-10 2022-01-18 United Services Automobile Association (Usaa) Systems and methods for storing time-series data
CN102098227B (zh) * 2011-03-03 2012-11-21 成都市华为赛门铁克科技有限公司 报文捕获方法及内核模块
US20140181172A1 (en) * 2012-12-20 2014-06-26 Brent J. Elliott Offloading tethering-related communication processing
US20140198648A1 (en) * 2013-01-15 2014-07-17 Cisco Technology, Inc. Identification of data flows based on actions of quality of service policies
JP6105163B2 (ja) * 2013-06-27 2017-03-29 徐 正 煥SEO, Jeong Hoan インターネットプロトコルを利用したサービスのための多重連結システム及びその方法
JP6252254B2 (ja) * 2014-02-28 2017-12-27 富士通株式会社 監視プログラム、監視方法および監視装置
US10116698B1 (en) * 2016-04-06 2018-10-30 Amazon Technologies, Inc. Managing network firewall configuration utilizing source lists
JP6898846B2 (ja) * 2017-12-28 2021-07-07 株式会社日立製作所 異常原因特定支援システムおよび異常原因特定支援方法
US11184363B2 (en) * 2018-12-31 2021-11-23 Microsoft Technology Licensing, Llc Securing network-based compute resources using tags

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU3969093A (en) * 1992-04-30 1993-11-29 Apple Computer, Inc. Method and apparatus for organizing information in a computer system
US20020023174A1 (en) * 2000-03-20 2002-02-21 Garrett John W. Service selection in a shared access network using dynamic host configuration protocol
US20020165947A1 (en) * 2000-09-25 2002-11-07 Crossbeam Systems, Inc. Network application apparatus
US6888806B1 (en) * 2000-11-22 2005-05-03 Motorola, Inc. Method and system for scheduling packets for transmission from a wireless communication platform
KR100351306B1 (ko) 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US6633835B1 (en) * 2002-01-10 2003-10-14 Networks Associates Technology, Inc. Prioritized data capture, classification and filtering in a network monitoring environment
AU2003303131A1 (en) * 2002-07-26 2004-07-29 Network General Technology Network analyzer co-processor system and method
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack

Also Published As

Publication number Publication date
WO2007061659A2 (en) 2007-05-31
US7649886B2 (en) 2010-01-19
KR101010095B1 (ko) 2011-01-24
US20070115988A1 (en) 2007-05-24
CN101351781A (zh) 2009-01-21
CN101351781B (zh) 2010-06-09
WO2007061659A3 (en) 2008-01-17

Similar Documents

Publication Publication Date Title
KR101010095B1 (ko) 통신 네트워크에서 인커밍 패킷을 처리하기 위한 방법 및시스템
US7558266B2 (en) System and method for restricting network access using forwarding databases
KR101425107B1 (ko) 네트워크 도메인간 보안정보 공유 장치 및 방법
JP4554671B2 (ja) 通信制御装置
US8589503B2 (en) Prioritizing network traffic
US8005012B1 (en) Traffic analysis of data flows
US9270643B2 (en) State-transition based network intrusion detection
US7930413B2 (en) System and method for controlling access to a network resource
US20070245417A1 (en) Malicious Attack Detection System and An Associated Method of Use
KR20080021677A (ko) 데이터 프로세싱 시스템
JPWO2006103743A1 (ja) 通信制御装置及び通信制御システム
US20140032591A1 (en) System and method for improving hardware utilization for a bidirectional access control list in a low latency high-throughput network
US20230412591A1 (en) Traffic processing method and protection system
Noh et al. Protection against flow table overflow attack in software defined networks
WO2008062542A1 (fr) Appareil de commande de communication
CN110365667B (zh) 攻击报文防护方法、装置、电子设备
JPWO2008075426A1 (ja) 通信制御装置及び通信制御方法
CN112866031B (zh) 路由配置方法、装置、设备及计算机可读存储介质
CN112134838B (zh) 防止网络攻击的方法及装置
US20230164149A1 (en) Causing or preventing an update to a network address translation table
CN111901248B (zh) 一种负载均衡方法、装置、设备及机器可读存储介质
Che et al. Improvement of LRU cache for the detection and control of long-lived high bandwidth flows
JP5156892B2 (ja) ログ出力制御装置及びログ出力制御方法
KR20090012568A (ko) 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및제어 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131227

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151228

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170103

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 9