KR20110009350A - Real time high speed tcp proxy signal processor and real time high speed tcp proxy signal processing method - Google Patents

Real time high speed tcp proxy signal processor and real time high speed tcp proxy signal processing method Download PDF

Info

Publication number
KR20110009350A
KR20110009350A KR1020090066708A KR20090066708A KR20110009350A KR 20110009350 A KR20110009350 A KR 20110009350A KR 1020090066708 A KR1020090066708 A KR 1020090066708A KR 20090066708 A KR20090066708 A KR 20090066708A KR 20110009350 A KR20110009350 A KR 20110009350A
Authority
KR
South Korea
Prior art keywords
packet
information
signal
transmitted
normal
Prior art date
Application number
KR1020090066708A
Other languages
Korean (ko)
Other versions
KR101023094B1 (en
Inventor
김명하
송현호
Original Assignee
주식회사 나우콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나우콤 filed Critical 주식회사 나우콤
Priority to KR1020090066708A priority Critical patent/KR101023094B1/en
Publication of KR20110009350A publication Critical patent/KR20110009350A/en
Application granted granted Critical
Publication of KR101023094B1 publication Critical patent/KR101023094B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

PURPOSE: A real time high speed tcp proxy signal process apparatus and a real time tcp proxy signal processing method are provided to implement the high speed real time packet process by processing the traffic with real time wire speed. CONSTITUTION: A packet input unit is transmitted with the connect request signal packet being transmitted from a client(S01). A packet parser transmits the extraction information signal including the IP information and the TCP information of the client to a CD engine unit. The CD engine unit analyzes the information of the corresponding packet through an ACK standby table and a normal session table.

Description

실시간 고속 티씨피프락시신호처리장치 및 실시간 고속 티씨피프락시신호처리방법{REAL TIME HIGH SPEED TCP PROXY SIGNAL PROCESSOR AND REAL TIME HIGH SPEED TCP PROXY SIGNAL PROCESSING METHOD}REAL TIME HIGH SPEED TCP PROXY SIGNAL PROCESSOR AND REAL TIME HIGH SPEED TCP PROXY SIGNAL PROCESSING METHOD}

본 발명은 티씨피프락시신호처리장치에 관한 것으로, 보다 상세하게는 서버에 대한 악의적 공격 중 TCP 프로토콜의 취약점을 이용한 Flooding 공격을 탐지 및 방어하기 위한 목적으로 보호하고자 하는 네트워크의 앞 단에 Proxy 기능을 가진 장치를 설치하여, 미리 검증된 Session 에 대해서만 Server 등의 내부 네트워크로 접속할 수 있도록 해 주는 실시간 고속 티씨피프락시신호처리장치에 관한 것이다.The present invention relates to a PCP proxy signal processing apparatus, and more particularly, Proxy function to the front end of the network to protect and detect the flooding attack using the weakness of the TCP protocol among malicious attacks on the server The present invention relates to a real-time high-speed PCP proxy signal processing apparatus that installs an excitation device so that only a pre-verified session can be connected to an internal network such as a server.

근래 들어 인터넷의 발전은 인류에게 많은 생활의 편리성을 가져다주고 있다. 또한 인터넷 트래픽은 기하급수적으로 늘어나고 있으며, 인터넷에 연결된 서버와 클라이언트들도 상상을 초월하게 증가하고 있다.In recent years, the development of the Internet has brought much convenience to humankind. Internet traffic is also growing exponentially, and servers and clients connected to the Internet are growing beyond imagination.

이러한 인터넷이 보편화 되어가고 있는 시대에 부정적인 측면에서 금전 갈취나 경쟁상대 서비스방해 등, 악의적으로 인터넷에 연결된 서버나 다른 장치들의 서 비스를 방해하고자 하는 목적으로 해킹 공격이 증가하고 있다. 그 중의 대표적인 공격방법이 Syn-Flooding과 같은 Flooding 공격에 의한 DoS(Denial of Service)나 DDoS(Distributed Denial of Service) 등이다.In this age of the Internet, hacking attacks are increasing in an attempt to negatively disrupt the services of servers or other devices connected to the Internet, such as extortion of money or interference with competing services. The typical attack methods are DoS (Denial of Service) or DDoS (Distributed Denial of Service) by flooding attacks such as Syn-Flooding.

이러한 공격들은 어떠한 공격코드로 계정을 얻어 정보를 얻어내고자 하는 공격 방법이 아닌, 서비스 제공자의 트래픽을 잠식하거나 서버 등의 장비를 무력화시켜, 정상적인 서비스 제공을 방해하는데 목적이 있는 것이다.These attacks are not intended to obtain information by obtaining an account with any attack code, but are intended to prevent normal service provision by encroaching on a service provider's traffic or incapacitating equipment such as a server.

특히 TCP/IP 방식의 Network 를 이용한 패킷 처리 장치분야 및 Network를 이용한 공격 탐지 차단 분야에 있어서, Server를 Base로 하는 Software 방식으로 구현되어 있으나, 이는 실시간 고속으로 패킷을 처리하는데 제약이 있으며, 또한 서버 등의 CPU나 메모리 자원을 점유하여 공격 탐지기능, 방어기능 등으로 인하여 실제 서버 등이 원하는 서비스를 제공하는데 부담이 되는 문제점이 있는 것이다.Especially in the field of packet processing device using TCP / IP type network and attack detection blocking using network, it is implemented by software method based on Server, but this is limited in processing packets in real time and high speed, and also in server By occupying the CPU or memory resources, such as the attack detection function, the defense function is a problem that the burden on providing the desired service, such as the real server.

상기와 같은 문제점을 해소하기 위한 본 발명은 서버에 대한 악의적 공격 중 TCP 프로토콜의 취약점을 이용한 Flooding 공격을 탐지 및 방어하기 위한 목적으로 보호하고자 하는 네트워크의 앞 단에 Proxy 기능을 가진 장치를 설치하여, 미리 검증된 Session 에 대해서만 Server 등의 내부 네트워크로 접속할 수 있도록 해 주도록 하는 목적이 있다.The present invention for solving the above problems by installing a device having a proxy function in the front of the network to protect for the purpose of detecting and defending the flooding attack using the vulnerability of the TCP protocol among malicious attacks on the server, The purpose is to allow only the verified session to be connected to the internal network such as the server.

또한 급격히 증가하는 인터넷 트래픽을 고려하여 실시간 Wire-Speed 로 트래픽을 처리하여 실제 인터넷 사용에는 방해되지 않도록 하는 하드웨어방식으로 구현함으로써 고속 실시간 패킷처리를 할 수 있도록 하는 목적이 있다.In addition, in consideration of the rapidly increasing Internet traffic, the real-time wire-speed is used to process the traffic by realizing the hardware method so that it does not interfere with the actual use of the Internet to enable high-speed real-time packet processing.

상기와 같은 목적을 달성하기 위한 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치는, 클라이언트(10)로부터 전송되는 연결요청신호(Synchronous) 패킷을 전송받는 패킷입력부(25); 상기 패킷입력부(25)에서 수신된 신호의 패킷에서 클라이언트(10)의 IP정보, TCP정보가 포함된 추출정보신호를 씨디엔진부(21)로 전송하도록 구비되는 패킷파서부(26); 상기 패킷파서부(26)로부터 추출정보신호를 수신받아 액크대기테이블(27)과 정상세션테이블(28)을 통하여 해당 패킷의 정보를 분석하고, 해당 패킷을 판별하도록 구비되는 씨디엔진부(21); 상기 씨디엔진부(21)를 통하여 정상 여부를 판별하기 위하여 클라이언트(10) 측으로 전송된 연결요청/응답 확인(SYN/ACK) 신호가 포함된 해당 패킷의 정보가 저장되도록 하는 액크대기테이블(27); 상기 씨디엔진부(21)를 통하여 정상의 추출정보신호에 해당하는 해당 패킷의 정보가 저장되도록 하는 정상세션테이블(28)이 포함되어 구비되는 것을 특징으로 한다.Real time high speed PCP signal processing apparatus according to the present invention for achieving the above object, the packet input unit 25 for receiving a connection request signal (Synchronous) packet transmitted from the client 10; A packet parser unit 26 configured to transmit the extracted information signal including the IP information and TCP information of the client 10 to the CD engine unit 21 from the packet of the signal received by the packet input unit 25; The CD engine unit 21 receives the extraction information signal from the packet parser unit 26 and analyzes the information of the packet through the Ack standby table 27 and the normal session table 28, and determines the packet. ; Ack standby table 27 to store the information of the packet including the connection request / response confirmation (SYN / ACK) signal transmitted to the client 10 to determine whether the normal through the CD engine 21 ; A normal session table 28 for storing information of a corresponding packet corresponding to a normal extraction information signal through the CD engine unit 21 is included.

이에 상기 씨디엔진부(21)는, 상기 패킷파서부(26)로부터 전송되는 패킷에 대한 추출정보신호를 수신받아 씨디이컨트롤러(211)로 전송하는 패킷입력블럭(212); 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 액크대기테이블(27) 측과 송수신되는 신호를 처리하기 위한 액크대기데이터처리블럭(213); 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 정상세션테이블(28) 측과 송수신되는 신호를 처리하기 위한 정상세션데이터처리블럭(214); 상기 패킷입력블럭(212)을 통하여 전송된 패킷신호를 전송받고, 액크대기테이블(27) 또는 정상세션테이블(28) 측으로 데이터가 송수신되도록 하며, 해당 패킷에 대한 정보를 판별하도록 구비되는 씨디이컨트롤러(211)가 포함되어 구비될 수 있다.The CD engine unit 21 includes: a packet input block 212 which receives an extraction information signal for a packet transmitted from the packet parser unit 26 and transmits it to a CD controller 211; An ack standby data processing block 213 for processing signals transmitted and received with the ack standby table 27 under the control of the CD controller 211; A normal session data processing block (214) for processing signals transmitted and received with the normal session table (28) by the control of the CD controller (211); Receives the packet signal transmitted through the packet input block 212, the data transmission and reception to the standby table 27 or the normal session table 28, the CD controller is provided to determine the information about the packet ( 211) may be included.

그리고 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되거나 또는 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비될 수 있다.In addition, the Ack standby table 27 or the normal session table 28 may be provided with a TMS memory or may be provided with an SRAM or DRAM to search using an IP address hash.

이에 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 아이피 어 드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되어지되, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 의 데이터가 삭제되도록 하여 Handshaking 과정이 계속 수행되도록 구비될 수 있고, 또한 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되어지되, 여러 개의 Entry를 Group으로 묶어 Group 내 Full Entry 사용 시, 가장 오래된 Entry부터 갱신하여 사용되도록 구비될 수 있다.The Ack standby table 27 or the normal session table 28 is provided with an SRAM or DRAM to search by using the eye dress hash, but has a Time Threshold for the Session that has exceeded the Threshold. The data may be deleted so that the handshaking process may be continuously performed. Also, the waiting table 27 or the normal session table 28 may be provided as an SRAM or DRAM for searching using an IP address hash. However, when multiple entries are grouped into a group and a full entry in the group is used, the oldest entry may be updated to be used.

그리고 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되어지되, 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신되도록 구비될 수 있다.In addition, the Ack standby table 27 or the normal session table 28 is provided with a TMC memory, for the Session exceeding the number of entries of the TMC memory to be updated from the oldest entry using the registration time information It may be provided.

이에 더하여 상기의 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법에 있어서, 클라이언트(10)로부터 전송되는 연결요청신호를 패킷입력부(25)에서 수신받는 연결요청신호수신단계(S01); 상기 클라이언트(10)로부터 전송되는 연결요청신호(SYN)에 대하여 패킷파서부(26)에서 아이피(IP)정보, 티씨피(TCP)정보가 포함된 패킷에 대한 정보의 추출정보신호를 패킷파서부(26)에서 추출하여 씨디엔진부(21) 측으로 전송되도록 하는 패킷정보추출단계(S02); 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 정상세션테이블(28)로 전송하고, 정상세 션테이블(28)에서 해당 패킷의 정보가 포함되었는지 검색하며, 해당 패킷에 대해 검색한 검색정보신호가 정상세션테이블(28)에서 씨디엔진부(21) 측으로 전송되도록 하는 정상세션테이블 검색단계(S03); 상기 씨디엔진부(21)에서, 상기 정상세션테이블(28)을 통하여 검색된 검색정보신호 중, 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하는지 판별하고, 해당 패킷에 대한 정보가 상기 정상세션테이블(28)에 포함된 경우에는 해당 패킷에 해당하는 정보신호가 서버로 전송되도록 하는 정상세션판별단계(S04)가 포함되어 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리방법이 제공된다.In addition, in the real-time high-speed PCP proxy signal processing method using the PCP proxy signal processing apparatus, a connection request signal receiving step of receiving a connection request signal transmitted from the client 10 from the packet input unit 25 (S01). ; The packet parser 26 extracts an information signal for extracting information on a packet including IP information and TCP information from the packet parser 26 with respect to the connection request signal SYN transmitted from the client 10. A packet information extraction step (S02) which is extracted at 26 and transmitted to the CD engine unit 21; The extracted information signal of the packet is transmitted from the CD engine unit 21 to the normal session table 28, the normal session table 28 searches whether the information of the packet is included, and the search information searched for the packet. A normal session table retrieving step (S03) for causing a signal to be transmitted from the normal session table 28 to the CD engine unit 21; The CD engine 21 determines whether the information on the packet exists in the normal session table 28 among the search information signals searched through the normal session table 28, and the information on the packet is normal. If included in the session table 28, there is provided a real-time high speed PCP proxy signal processing method characterized in that it comprises a normal session discrimination step (S04) for transmitting the information signal corresponding to the packet to the server. .

이에 상기 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 경우에는 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 액크대기테이블(27)로 전송하고, 액크대기테이블(27)에서 해당 패킷의 정보가 포함되었는지 검색하여 검색된 정보신호를 액크대기테이블(27)에서 씨디엔진부(21) 측으로 전송되도록 하는 액크대기테이블 검색단계(S05); 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하는 경우에는 해당 패킷의 정보를 폐기하는 해킹진단단계(S06)가 포함되어 구비될 수 있다.In the normal session discrimination step (S04), if the information on the packet does not exist in the normal session table 28, the extracted information signal of the packet is transmitted from the CD engine 21 to the wait table 27. And a waiting table search step (S05) of searching for whether information of a corresponding packet is included in the waiting table 27 and transmitting the retrieved information signal from the waiting table 27 to the CD engine unit 21 (S05); When the information on the packet is present in the waiting table 27, the hack diagnosis step S06 may be included to discard the information of the packet.

또한 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하지 않는 경우에는, 씨디엔진부(21)에서 해당 패킷 에 해당하는 클라이언트(10) 측으로 연결요청신호/응답확인(SYN/ACK), 응답확인시퀀스번호(Sequence Number)를 전송하고, 액크대기테이블(27) 측으로 해당 패킷에 대한 정보를 등록하도록 하는 응답확인정보 전송단계(S07)가 포함되어 구비될 수 있다.In addition, when the information on the packet does not exist in the waiting table 27, the CD engine 21 connects to the client 10 corresponding to the packet. A request acknowledgment (SYN / ACK), a response acknowledgment sequence number (Sequence Number) is transmitted, and the acknowledgment information transmitting step (S07) for registering information on the corresponding packet to the standby table 27 is included. It may be provided.

그리고 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재할 경우, 해당 패킷의 추출정보신호를 액크대기테이블(27)에서 정상세션테이블(28) 측으로 이동되도록 하고, 클라이언트(10) 측으로 리셋(RESET) 신호가 전송되도록 하여 다시 새로운 세션이 이뤄지도록 구비될 수 있다.When the information on the packet exists in the waiting table 27, the extracting information signal of the corresponding packet is transferred from the waiting table 27 to the normal session table 28. And a reset signal is transmitted to the client 10 side so that a new session can be made again.

상기와 같이 구성되는 본 발명은 서버에 대한 악의적 공격 중 TCP 프로토콜의 취약점을 이용한 Flooding 공격을 탐지 및 방어하기 위한 목적으로 보호하고자 하는 네트워크의 앞 단에 Proxy 기능을 가진 장치를 설치하여, 미리 검증된 Session 에 대해서만 Server 등의 내부 네트워크로 접속할 수 있도록 하는 효과가 있다.The present invention configured as described above has been verified in advance by installing a device having a proxy function in front of a network to be protected for the purpose of detecting and defending a flooding attack using a vulnerability of a TCP protocol among malicious attacks on a server. The effect is that only the session can be connected to the internal network such as a server.

또한 급격히 증가하는 인터넷 트래픽을 고려하여 실시간 Wire-Speed 로 트래픽을 처리하여 실제 인터넷 사용에는 방해되지 않도록 하는 하드웨어방식으로 구현한 고속 실시간 패킷처리를 할 수 있도록 하는 장점이 있다.In addition, considering the rapidly increasing Internet traffic, it has the advantage of enabling high-speed real-time packet processing implemented by hardware method that processes traffic with real-time wire-speed so that it does not interfere with actual internet use.

이하 첨부되는 도면을 참조하여 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail.

도 1은 본 발명에 따른 티씨피프락시신호처리장치에 대한 개략적인 구성도, 도 2는 본 발명에 따른 티씨피프락시신호처리장치에서의 신호전송에 대한 개략적인 예시도, 도 3은 본 발명에 따른 티씨피프락시신호처리장치에서의 신호처리 순서도, 도 4는 본 발명에 따른 티씨피프락시신호처리장치에 대한 신호처리 흐름도, 도 5는 본 발명에 따른 티씨피프락시신호처리장치의 씨디엔진부에 대한 개략적인 구성도, 그리고 도 6 및 도 7은 본 발명에 따른 티씨피프락시신호처리장치의 액크대기테이블 또는 정상세션테이블의 메모리에 대한 개략적인 구성도가 각각 도시된 것이다.1 is a schematic configuration diagram of a PCP proxy signal processing apparatus according to the present invention, Figure 2 is a schematic illustration of the signal transmission in the PCP proxy signal processing apparatus according to the present invention, Figure 3 4 is a signal processing flowchart of a PCP signal processing apparatus according to the present invention, FIG. 4 is a signal processing flowchart of a PCP signal processing apparatus according to the present invention, and FIG. 5 is a CD engine part of the PC signal processing apparatus according to the present invention. 6 and 7 show schematic diagrams of the memory of the Ack standby table or the normal session table of the PCC proxy signal processing apparatus according to the present invention, respectively.

즉 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)는 도 1 내지 도 7 등에 도시된 바와 같이, 인터넷(Internet), 네트워크 시설 등으로 연결되는 클라이언트(10)로부터 전송되는 신호를 수신받아 패킷을 처리하여, 함께 연결되는 서버(15) 측으로 전송하며, 이에 따라 콘텐츠 및 다양한 정보 등의 신호가 클라이언트(10)와 서버(15) 사이에 송수신되도록 하는 것이다.That is, the real-time high speed PCP proxy signal processing apparatus A according to the present invention receives a signal transmitted from the client 10 connected to the Internet (Internet), a network facility, etc. as shown in Figs. The packet is processed and transmitted to the server 15 connected to each other, so that signals such as content and various information are transmitted and received between the client 10 and the server 15.

이처럼 구비되는 클라이언트(10)와 티씨피프락시신호처리장치(A, TCP PROXY DATA PROCESSOR), 서버(15) 사이에는 IP정보 및 TCP 정보가 포함되는 네트워크 정보 패킷이 서로 Handshaking 방법에 의하여 송수신되는 것으로, 우선 클라이언트(10)에서 티씨피프락시신호처리장치(A), 서버(15) 등으로 연결요청신호(SYN, Synchronous)가 전송되고, 이에 대하여 티씨피프락시신호처리장치(A), 서버(15) 등에서는 응답신호로 연결요청신호/응답확인(SYN/ACK, Acknowledge)으로 하는 SYN/ACK 의 신호가 전송되고, 이에 대하여 클라이언트(10)에서 응답확인(ACK) 신호가 Handshaking 방법으로 전송되도록 하는 것이다. 이러한 일련의 과정을 거친 후에는 티씨피프락시신호처리장치(A), 서버(15) 등과 클라이언트(10) 사이에는 Establish가 되어 데이터가 서로 송수신되는 것이다.The network information packet including the IP information and the TCP information is transmitted and received between the client 10, the TCP PROXY DATA PROCESSOR, and the server 15, which are provided as described above, by a handshaking method. First, the connection request signal (SYN, Synchronous) is transmitted from the client 10 to the PCP proxy signal processing apparatus A, the server 15, and the like, and the PCP proxy signal processing apparatus A and the server 15 are transmitted. For example, a SYN / ACK signal, which is a connection request signal / response acknowledgment (SYN / ACK, Acknowledge), is transmitted as a response signal, and a response acknowledgment (ACK) signal is transmitted from the client 10 by a handshaking method. . After such a series of processes, the PCP proxy signal processing apparatus A, the server 15, and the client 10 are established to transmit and receive data.

이러한 본 발명에 따른 실시간 고송 티씨피프락시신호처리장치(A)의 세부 구성을 살펴보면 다음과 같다.Looking at the detailed configuration of the real-time high-speed transmission PCC signal processing apparatus (A) according to the present invention as follows.

즉 도 1에서와 같이, 클라이언트(10)와 연결되어, 클라이언트(10)로부터 전송되는 연결요청신호(Synchronous) 패킷을 전송받는 패킷입력부(25, Packet Input)가 구비되고, 상기 패킷입력부(25)에서 수신된 신호의 패킷에서 클라이언트(10)의 IP정보, TCP정보가 포함된 추출정보신호를 씨디엔진부(21)로 전송하도록 구비되는 패킷파서부(26, Packet Parser)가 구비된 것이다. 이러한 패킷파서부(26)에서는 입력된 패킷의 IP 정보 및 TCP 정보 등으로 하는 클라이언트(10)와 관련된 정보를 추출하여, 씨디엔진부(21, CD Engine, Check and Decision Engine) 측으로 전송하게 되어 해당 클라이언트(10)와 관련된 정보를 활용할 수 있도록 하는 것이다.That is, as shown in FIG. 1, a packet input unit 25 connected to the client 10 and receiving a synchronous packet transmitted from the client 10 is provided, and the packet input unit 25 is provided. The packet parser 26 is provided to transmit the extracted information signal including the IP information and the TCP information of the client 10 to the CD engine 21 in the packet of the signal received by the. The packet parser 26 extracts information related to the client 10 including IP information and TCP information of the input packet, and transmits the information to the CD engine 21 (CD engine, check and decision engine). The information related to the client 10 is to be utilized.

이러한 씨디엔진부(21)에서는, 상기 패킷파서부(26)로부터 추출정보신호를 수신받아 액크대기테이블(27)과 정상세션테이블(28)을 통하여 해당 패킷의 정보를 분석(Checking)하고, 해당 패킷을 판별(Decision)하도록 구비되는 것이다. 즉 패킷파서부(26, Packet Parser)로부터 전송된 클라이언트(10)와 관련되는 IP정보, TCP 정보에 대하여, 도 3에서와 같은 플로챠트(Flow Chart)를 실행하는 엔진으로, 이후 설명되는 액크대기테이블(27, ACK 대기 Table)과 정상세션테이블(28, 정상 Session Table)을 통하여 해당 클라이언트(10)와 관련된 패킷(Packet) 정보를 파악하고, 해당 패킷(Packet)의 처리방향을 결정하게 되는 것이다.The CD engine unit 21 receives the extraction information signal from the packet parser unit 26 and analyzes the information of the packet through the Ack standby table 27 and the normal session table 28, and checks the corresponding information. It is provided to determine the packet (Decision). That is, the engine that executes the flow chart as shown in FIG. 3 with respect to the IP information and the TCP information related to the client 10 transmitted from the packet parser 26, the queuing will be described later. The packet information related to the client 10 is identified through the table 27 (ACK waiting table) and the normal session table 28 (normal session table), and the processing direction of the packet is determined. .

따라서 상기 씨디엔진부(21)를 통하여 정상 패킷 여부를 판별하기 위하여 클라이언트(10) 측으로 전송된 연결요청/응답확인(SYN/ACK) 신호가 포함된 해당 패킷의 정보가 저장되도록 하는 액크대기테이블(27)이 구비되는 것이다.Therefore, the wait table for storing the information of the packet including the connection request / response confirmation (SYN / ACK) signal transmitted to the client 10 to determine whether the normal packet through the CD engine 21 ( 27) is provided.

또한 상기 씨디엔진부(21)를 통하여 정상의 추출정보신호에 해당하는 패킷의 정보가 저장되도록 하는 정상세션테이블(28)이 포함되어 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)가 구비되는 것이다.In addition, the CD engine 21 includes a normal session table 28 for storing the information of the packet corresponding to the normal extraction information signal, the real-time high-speed PCP proxy signal processing apparatus (A) according to the present invention It is provided.

이러한 정상세션테이블(28, 정상 Session Table)은 보호하고자 하는 내부네트워크에 대하여, 씨디엔진부(21, Check and Decision Engine)의 간섭없이 접근할 수 있는 IP Pool로 마련될 수 있는 것이다. 그리고 이러한 정상세션테이블(28)에 있어서, Entry 갱신 방법은 Circle Loop 방식을 이용할 수 있는 것으로, 먼저 등록된 IP 정보 등의 데이터는 먼저 삭제되는 대상이 되도록 하는 방식으로 하여 이용될 수 있는 것이다.The normal session table 28 may be provided as an IP pool that can access the internal network to be protected without interference of the CD engine unit 21 (Check and Decision Engine). In the normal session table 28, the entry update method may use a circle loop method, and data such as IP information registered first may be used in such a manner as to be a target to be deleted first.

그리고 Time-Over 된 IP 정보는 Time Threshold 값을 지정하게 하여, 해당 Threshold 초과시 삭제되도록 하는 것이다. 이에 정상 IP Table에 없는 IP 정보에서 연결요청신호(SYN) Flag 수신 시, 액크대기테이블(ACK 대기 Table)을 통한 검증절차를 통과하여야 신규로 하여 정상세션테이블(28, 정상 Session Table)에 등록될 수 있을 것이다.In addition, the time-over IP information is assigned a Time Threshold value so that it is deleted when the corresponding Threshold is exceeded. Therefore, when receiving the SYN flag from the IP information that is not in the normal IP table, the verification procedure must be passed through the ACK waiting table to be newly registered in the normal session table. Could be.

또한 이러한 액크대기테이블(27, ACK 대기 Table)은, 검증과정을 위하여 연결요청신호(SYN) 수신 후, SYN/ACK 응답을 송신한 IP 에 대하여, ACK 응답대기 중인 IP에 대한 IP Pool 인 것이다. 이러한 액크대기테이블(27)의 Entry 갱신 방법은 Circle Loop 방식을 사용할 수 있는 것으로, 먼저 등록된 IP는 먼저 삭제되는 방식으로 하여 이용되도록 할 수 있는 것이다. 그리고 Time - Over된 IP는 Time Threshold 값을 지정하게 하여, 해당 Threshold 초과시 삭제되도록 할 수 있다. 그리고 ACK 응답 대기중인 IP 에서 신규 SYN의 정보가 수신 시, 해당 SYN Packet이 폐기되도록 마련되는 것이다.The ACK wait table 27 is an IP pool for the IP waiting for the ACK response, for the IP transmitting the SYN / ACK response after receiving the connection request signal SYN for the verification process. The entry update method of the waiting table 27 may use the Circle Loop method, and the IP registered first may be used in such a manner as to be deleted first. And Time-Over IP can set Time Threshold value so that it can be deleted when the threshold is exceeded. When the new SYN information is received from the IP waiting for the ACK response, the corresponding SYN packet is discarded.

이에 더하여 도 1에서와 같이 마련되는 S/W Inspection Engine(23)은, 씨디엔진부(21, Check and Decision Engine)를 통과한 Packet에 대하여, Software적으로 Inspection 후, 공격여부를 판단하기 위한 Software 장치이다. 이러한 S/W Inspection Engine(23)은, 본 발명에 따른 씨디엔진부(21), 액크대기테이블(27), 정상세션테이블(28) 등에 의한 기능을 제외한 나머지 공격탐지 및 차단기능이 수행되도록 마련될 수도 있을 것이다.In addition, the S / W Inspection Engine 23 provided as shown in FIG. 1 is a software for determining whether an attack is made after software inspection of a packet that has passed through the CD engine unit 21 (Check and Decision Engine). Device. The S / W Inspection Engine 23 is provided such that the remaining attack detection and blocking functions are performed except for functions by the CD engine unit 21, the standby table 27, and the normal session table 28 according to the present invention. It could be.

그리고 상기 씨디엔진부(21)는 도 5에서와 같이, 상기 패킷파서부(26)로부터 전송되는 패킷에 대한 추출정보신호를 수신받아 씨디이컨트롤러(211)로 전송하는 패킷입력블럭(212)이 구비되는 것이다.The CD engine unit 21 includes a packet input block 212 that receives the extraction information signal for the packet transmitted from the packet parser unit 26 and transmits it to the CD controller 211 as shown in FIG. 5. Will be.

또한 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 액크대기테이블(27) 측과 송수신되는 신호를 처리하기 위한 액크대기데이터처리블럭(213)이 구비되고, 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 정상세션테이블(28) 측과 송수신되는 신호를 처리하기 위한 정상세션데이터처리블럭(214)이 구비되는 것이다.In addition, an Ack standby data processing block 213 for processing signals transmitted and received with the Ack standby table 27 side by the control of the CD controller 211 is provided, and by the control of the CD controller 211 The normal session data processing block 214 is provided for processing signals transmitted and received with the normal session table 28 side.

그리하여 씨디이컨트롤러(211)에서는 상기 패킷입력블럭(212)을 통하여 전송된 패킷신호를 전송받고, 액크대기테이블(27) 또는 정상세션테이블(28) 측으로 데이터가 송수신되도록 하며, 해당 패킷에 대한 정보를 판별하도록 구비되는 것이다.Thus, the CD controller 211 receives the packet signal transmitted through the packet input block 212, transmits and receives data to the standby table 27 or the normal session table 28, and transmits information on the packet. It is provided to determine.

이와 같이 구비되는 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)는 DDoS 보안장비, IPS 등 네트워크 보안장비에서 Software Inspection 앞 단에 위치되어, DDoS 보안장비나 IPS 장비에서 Packet Inspection 을 진행하기 전에, Hardware 단으로 되어 관련된 기능을 수행하게 되는 것이다. 따라서 Software 처리 장치의 CPU나 메모리의 부담을 줄여 줄 수 있도록 마련되는 것이다.The real-time high-speed PCP proxy signal processing apparatus (A) according to the present invention provided in this way is located in front of the software inspection in the network security equipment such as DDoS security equipment and IPS, and performs packet inspection in the DDoS security equipment or IPS equipment. Previously, the hardware stage was performed to perform the related functions. Therefore, it is provided to reduce the burden on the CPU or memory of the software processing unit.

그리고 클라이언트(10)와의 패킷 전송에 있어서, TCP/IP 정보데이터는 기본적으로 Handshaking 방법에 의하여 세션(Session)을 구성하도록 마련되는 것으로, Connection - Oriented Protocol인 것이다. 그리하여 본 발명의 실시간 고속 티씨피프락시신호처리장치(A)는 TCP/IP의 기본적인 Handshaking 방법을 이용하여, 이에 위반되는 공격자의 공격을 탐지하도록 마련되는 것이다.In the packet transmission with the client 10, the TCP / IP information data is basically configured to form a session by a handshaking method, which is a Connection-Oriented Protocol. Thus, the real-time high-speed PCP proxy signal processing apparatus (A) of the present invention is provided to detect an attack of an attacker who violates this by using a basic handshaking method of TCP / IP.

즉 클라이언트(10)로부터 전송되는 연결요청신호(SYN)를 먼저 티씨피프락시신호처리장치(A)에서 수신받아 처리하는 Handshaking 과정이 진행되도록 하는 것으 로, 정상세션테이블(28)에서 해당 클라이언트(10)와 관련된 정보를 검색하고, 이후 다음으로 액크대기테이블(27)에서 클라이언트(10)와 관련된 정보를 검색하여, 해당 클라이언트(10)가 해킹과 관련되어 있는지를 판별하게 된다.That is, the handshaking process of first receiving and processing the connection request signal SYN transmitted from the client 10 in the PCP proxy signal processing apparatus A is performed. The client 10 in the normal session table 28 is processed. ), And then search the information associated with the client 10 in the wait table 27 to determine whether the client 10 is related to hacking.

이에 의하여 정상일 경우에는 다시 클라이언트로(10) 연결요청신호(SYN)를 재요청하여 이후 과정은 서버(15)와 클라이언트(10) 사이에 Handshaking 방식에 의하여 연결되도록 하는 것이다.In this case, when the connection is normal, the client 10 re-requests the connection request signal SYN so that the subsequent process may be connected by the handshaking method between the server 15 and the client 10.

이에 따른 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은 도 6 또는 도 7에서와 같이, 티씨에이엠 메모리(TCAM Memory)로 구비되거나 또는 아이피 어드레스 해쉬(IP Address Hash)를 이용하여 검색하도록 하는 에스램(SRAM) 또는 디램(DRAM)으로 구비될 수 있을 것이다.Accordingly, the Ack standby table 27 or the normal session table 28 is provided as a TCAM memory (TCAM Memory), as shown in Figure 6 or 7 or search using an IP Address Hash (IP Address Hash) It may be provided with an SRAM or a DRAM.

이에 상기의 티씨피프락시신호처리장치(A)를 이용한 실시간 고속 티씨피프락시신호처리방법에 대해서 살펴보면 다음과 같다.Thus, the real-time high-speed TPC pipe signal processing method using the TPC proxy signal processing device A will be described below.

우선 클라이언트(10)로부터 전송되는 연결요청신호를 패킷입력부(25)에서 수신받는 연결요청신호수신단계(S01)가 수행된다. 즉 TCP/IP Protocol에서 TCP의 정상적 Session 으로 하여 클라이언트(10, Client)에서 서버(15, Server) 측으로 연결요청신호(SYN, Synchronous)가 발신되는 것으로, 이러한 연결요청신호(SYN)를 본 발명에 따른 티피시프락시신호처리장치(A)의 패킷입력부(25)에서 수신하게 되는 것이다.First, a connection request signal receiving step (S01) of receiving a connection request signal transmitted from the client 10 at the packet input unit 25 is performed. That is, the connection request signal (SYN, Synchronous) is sent from the client (10, Client) to the server (15, Server) side as a normal session of TCP in the TCP / IP Protocol, such a connection request signal (SYN) in the present invention The packet input unit 25 of the PD proxy signal processing apparatus A according to the present invention.

그리고 상기 클라이언트(10)로부터 전송되는 연결요청신호(SYN)에 대하여 패 킷파서부(26)에서 아이피(IP)정보, 티씨피(TCP)정보가 포함된 패킷에 대한 정보의 추출정보신호를 패킷파서부(26)에서 추출하여 씨디엔진부(21) 측으로 전송되도록 하는 패킷정보추출단계(S02)가 수행되고, 또한 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 정상세션테이블(28)로 전송하고, 정상세션테이블(28)에서 해당 패킷의 정보가 포함되었는지 검색하며, 해당 패킷에 대해 검색한 검색정보신호가 정상세션테이블(28)에서 씨디엔진부(21) 측으로 전송되도록 하는 정상세션테이블 검색단계(S03)가 수행되는 것이다.In addition, the packet parser 26 extracts an information signal for extracting information about a packet including IP information and TCP information from a packet request unit SYN transmitted from the client 10. A packet information extraction step (S02) for extracting from the western part 26 to be transmitted to the CD engine part 21 is performed, and extracting the extracted information signal of the packet from the CD engine part 21 to the normal session table 28. A normal session table which transmits and searches whether the information of the packet is included in the normal session table 28, and the search information signal searched for the packet is transmitted from the normal session table 28 to the CD engine 21 side. The search step S03 is performed.

상기 씨디엔진부(21)에서, 상기 정상세션테이블(28)을 통하여 검색된 검색정보신호 중, 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하는지 판별하고, 해당 패킷에 대한 정보가 상기 정상세션테이블(28)에 포함된 경우에는 해당 패킷에 해당하는 정보신호가 서버로 전송되도록 하는 정상세션판별단계(S04)가 수행되는 것이다. 이는 이미 앞선 과정에 의하여 클라이언트(10)와 실시간 고속 티씨피프락시신호처리장치(A) 사이에서 Handshaking 방식으로, 'SYN' -> 'SYN/ACK' -> 'ACK' -> 'RST'의 과정을 거친 후, 다시 클라이언트(10)에서 정상적인 패킷을 통한 세션Session) 으로 하는 연결요청신호(SYN)가 전송되어, 서버(15)와 클라이언트(10) 사이의 Handshaking 신호가 전송되도록 하는 단계인 것이다. 이에 앞선 클라이언트(10)와 티씨피프락시신호처리장치(A) 사이에서의 Handshaking 과정에서, 해당 클라이언트(10)의 TCP/IP 정보에 대한 패킷 정보의 데이터는 정상세션테이블(28)에 저장된 상태이고, 이에 따라 새로 전개되는 클라이언트(10)와 서버(15) 사이의 Handshaking 에서는 해당 클라이언트(10)의 TCP/IP 정보에 대한 패킷 정보를 정상 세션테이블(28)에서 검색하여 판별하게 되는 것이다. 그리하여 수신된 해당 패킷의 정보가 정상세션테이블(28)에 존재하는 경우에는, 이미 해당 클라이언트(10)에 대하여 하드웨어(Hardware) 적으로 검증을 거친 것으로 하여, 해당 클라이언트(10)에 대한 패킷 정보는 서버(15)로 전송하게 되는 것이다.The CD engine 21 determines whether the information on the packet exists in the normal session table 28 among the search information signals searched through the normal session table 28, and the information on the packet is normal. When included in the session table 28, the normal session discrimination step S04 is performed to transmit the information signal corresponding to the packet to the server. This is the process of 'SYN'-> 'SYN / ACK'-> 'ACK'-> 'RST' between the client 10 and the real-time high speed PCP proxy signal processing device A by the above process. After passing through, the connection request signal SYN is transmitted from the client 10 to the session through the normal packet, so that the handshaking signal between the server 15 and the client 10 is transmitted. In the handshaking process between the client 10 and the PCP proxy signal processing device A, the data of the packet information regarding the TCP / IP information of the client 10 is stored in the normal session table 28. Accordingly, in the handshaking between the newly developed client 10 and the server 15, packet information regarding the TCP / IP information of the client 10 is retrieved from the normal session table 28 and determined. Thus, when the information of the received packet exists in the normal session table 28, the client 10 has already been hardware verified, and the packet information for the client 10 It is to be transmitted to the server (15).

그러나 이와 달리, 상기 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 경우에는 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 액크대기테이블(27)로 전송하고, 액크대기테이블(27)에서 해당 패킷의 정보가 포함되었는지 검색하여 검색된 정보신호를 액크대기테이블(27)에서 씨디엔진부(21) 측으로 전송되도록 하는 액크대기테이블 검색단계(S05)가 수행되는 것이다.However, in contrast, when the information on the packet does not exist in the normal session table 28 in the normal session determination step (S04), the extracting information signal of the packet is sent from the CD engine unit 21 to the standby table 27. Ack standby table retrieval step (S05) to search whether the information in the packet is included in the standby table 27, and transmits the retrieved information signal to the CD engine 21 from the standby table 27 (S05) Will be performed.

상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하는 경우에는 해당 패킷의 정보를 폐기하는 해킹진단단계(S06)가 수행되는 것이다.When the information on the packet exists in the waiting table 27, the hack diagnosis step S06 is performed to discard the information of the packet.

또한 액크대기테이블 검색단계(S05)에 앞서, 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 것으로 하여 판별되는 경우에는, 씨디엔진부(21)에서는 해당 패킷에 SYN 신호가 포함되었는지 판별하고, 이러한 SYN 신호가 있을 경우, 이를 액크대기테이블 검색단계(S05)에서 해당 패킷의 SYN 신호 데이터가 액크대기테이블(27)에 존재하는가를 판별하게 된다. 그리하여 해당 패킷에 대한 패킷 정보가 액크대기테이블(27)에 존재하는 경우에는 해당 클라이언트(10)가 계속해서 SYN 신호만 발신하는 일종의 DDoS에 해당되는 것으로 판단하여, 해당 패킷을 폐기하게 된다.In addition, in the case where it is determined that the information on the packet does not exist in the normal session table 28 in the normal session discrimination step S04 before the acknowledgment table search step S05, the CD engine unit 21 It is determined whether the SYN signal is included in the packet, and if such a SYN signal is present, it is determined whether SYN signal data of the packet exists in the Ack standby table 27 in the Ack standby table search step S05. Thus, if the packet information for the packet exists in the wait table 27, the client 10 determines that it corresponds to a kind of DDoS that only sends a SYN signal, and discards the packet.

그리고 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하지 않는 경우에는, 씨디엔진부(21)에서 해당 패킷에 해당하는 클라이언트(10) 측으로 연결요청신호/응답확인(SYN/ACK), 응답확인시퀀스번호(Sequence Number)를 전송(도 3의 'D' 부분)하고, 액크대기테이블(27) 측으로 해당 패킷에 대한 정보를 등록하도록 하는 응답확인정보 전송단계(S07)가 수행된다.When the information on the packet does not exist in the waiting table 27, the CD engine 21 connects to the client 10 corresponding to the corresponding packet. Send a request signal / response acknowledgment (SYN / ACK), a response acknowledgment sequence number (D 'part of FIG. 3), and confirm acknowledgment to register the information on the packet to the wait queue table 27 side. The information transmission step S07 is performed.

그리고 이러한 정보로 하여 해당 클라이언트(10)의 해당 패킷 정보(IP 정보 등)가 액크대기테이블(27)에 등록되도록 하는 것이다.With this information, the packet information (IP information, etc.) of the client 10 is registered in the waiting table 27.

이렇게 전송되는 Sequence Number는 검증엔진이 정한 임의의 값(예 : 0x00005000 등...)을 보내게 된다.The sequence number transmitted in this way sends an arbitrary value (eg 0x00005000, etc.) determined by the verification engine.

이러한 SYN/ACK 신호를 수신받은 클라이언트(10)에서는 정상적일 경우 ACK Flag를 포함한 Packet을 응답으로 전송하게 되며, 이에 Acknowledge Number를 검증엔진이 보낸 임의의 값(예 : 0x00005000 )으로 보내게 된다. 공격성 SYN Packet의 경우(SYN - Flooding) SYN-ACK에 대한 답신을 전송하지 않으므로 해당 패킷에 대한 데이터는 폐기하게 된다.When receiving the SYN / ACK signal, the client 10 normally transmits a packet including an ACK flag as a response, and transmits an acknowledgment number as an arbitrary value (eg, 0x00005000) sent by the verification engine. In the case of an aggressive SYN Packet (SYN-Flooding), it does not transmit an acknowledgment for the SYN-ACK, so the data for the packet is discarded.

반면 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재할 경우, 해당 패킷의 추출정보신호를 액크대기테이 블(27)에서 정상세션테이블(28) 측으로 이동되도록 하고, 클라이언트(10) 측으로 리셋(RST, Reset) 신호가 전송되도록 하여 다시 새로운 세션(Session)이 이뤄지도록 구비되는 것이다.On the other hand, if the information on the packet exists in the waiting table 27 by the step of searching for the standby table S05, the normal information table 28 extracts the extracted information signal of the corresponding packet from the waiting table 27. It is to be moved to the side, and the reset (RST, Reset) signal is transmitted to the client 10 side is provided so that a new session (Session) is made again.

즉 정상적인 Acknowledge Number를 가진 Packet이 수신될 경우에는, 액크대기테이블(27, ACK 대기 Table)에 등록여부를 확인하여 등록되었을 때에는, 해당 패킷(Packet)은 폐기시키고, 해당 IP 등으로 하는 해당 패킷의 정보는 정상세션테이블(28, 정상 Session Table)에 등록하게 된다. 이와 함께 클라이언트(10) 측으로도 해당 Session에 대한 RST(RESET) Flag를 보내게 되고, 이에 대응하여 클라이언트(10) 측에서는 새로운 Handshaking 과정의 Session 을 시작하게 되는 것이다. 그리고 해당 클라이언트(10)에 대한 해당 패킷의 정보는 액크대기테이블(27)에서 삭제되는 것이다.That is, when a packet having a normal acknowledgment number is received, the packet is discarded and the packet is discarded when the packet is registered in the ACK wait table 27 (ACK wait table). Information is registered in the normal session table 28. In addition, the client 10 also sends an RST (RESET) Flag for the corresponding session. In response, the client 10 starts a session of a new handshaking process. And the information of the packet for the client 10 is to be deleted from the wait table 27.

이후 과정에서는 해당 클라이언트(10)에 대한 해당 패킷정보는 정상세션테이블(28)에 등록되어 있으므로, 별도의 검증엔진의 간섭없이 서버(15) 측으로 전송되게 되며, 이후의 Handshaking 과정을 거쳐 해당 클라이언트(10)와 서버(15)는 Establish로 되는 것이다.In the subsequent process, since the corresponding packet information for the client 10 is registered in the normal session table 28, the packet information is transmitted to the server 15 without any separate verification engine, and the client (after the handshaking process) 10) and server 15 are to be established.

따라서 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)에서는 클라이언트(10) 측으로부터 전송되는 해당 패킷 정보가 정상세션테이블(28) 또는 액크대기테이블(27)로 전송되도록 하여, 해당 패킷의 정보가 어느 곳에 저장되어 있는지, 또는 비정상적으로 전송된 것인지 판별하게 되는 것으로, TCP의 Proxy 구현을 하드웨어방식으로 구현하기 때문에, 서버(15)의 CPU나 Memory 등의 자원을 사용 하지 않고서도, 실시간으로 동작되도록 구현하는 것이다. 따라서 실제 망의 트래픽에는 영향을 주지않아 기존의 소프트웨어로 처리하던 방식에 비하여 고속으로 패킷처리가 가능한 것이다.Therefore, in the real-time high-speed PCC proxy signal processing apparatus A according to the present invention, the packet information transmitted from the client 10 side is transmitted to the normal session table 28 or the Ack standby table 27, and thus By determining where the information is stored or whether it is transmitted abnormally, the TCP proxy implementation is implemented in a hardware manner, and in real time without using resources such as CPU and memory of the server 15. To make it work. Therefore, it does not affect the traffic of the actual network, and it is possible to process the packet at a higher speed than the conventional software.

그리고 이러한 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등은 도 6 및 도 7 등에서와 같이, 티씨에이엠(TCAM) 메모리로 구비되거나 또는 아이피 어드레스 해쉬(IP ADDRESS HASH)를 이용하여 검색하도록 하는 에스램(SDRAM) 또는 디램(DRAM) 등으로 구비될 수도 있을 것이다.The actuation standby table 27 or the normal session table 28 may be provided as a TCAM memory or searched using an IP address hash as shown in FIGS. 6 and 7. It may be provided with such as SRAM (SDRAM) or DRAM (DRAM).

이에 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등이, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되는 경우에, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 의 데이터가 삭제되도록 하여 Handshaking 과정이 계속 수행되도록 구비되도록 하는 Time Threshold Entry 관리방식으로 구비될 수 있을 것이다.Accordingly, when the Ack standby table 27 or the normal session table 28 is provided with an SRAM or DRAM for searching by using an IP address hash, a Session for a Session whose Threshold has been exceeded by setting a Time Threshold It may be provided with a time threshold entry management method so that the data of the data is deleted so that the handshaking process is continuously performed.

또한 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등이, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되는 경우에, 여러 개의 Entry를 Group으로 묶어 Group 내 Full Entry 사용 시, 가장 오래된 Entry부터 갱신하여 사용되게 구비되도록 하는 Group Entry 관리방식으로 구비될 수도 있을 것이다.In addition, when the Ack standby table 27 or the normal session table 28 is provided with an SRAM or DRAM for searching using an IP address hash, grouping multiple entries into a group to use a full entry in the group City, it may be provided in a group entry management system to be provided to be used to update from the oldest entry.

이에 더하여 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28) 등이, 티씨에이엠 메모리로 구비되는 경우에는, 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신되도록 구비되는 TCAM Entry 갱신관리방식으로 구비될 수 있을 것이다.In addition, when the Ack standby table 27 or the normal session table 28 is provided as a TMC memory, for the Session exceeding the number of entries in the TMC memory, the oldest entry is registered using the registration time information. It may be provided in the TCAM Entry update management method provided to be updated from.

그리하여 이에 이용되는 액크대기테이블(27)과 정상세션테이블(28) 등은 SYN을 전송한 클라이언트(10)의 IP Address 정보를 가지고 Table을 관리하는 것이다. 이러한 Table은 조회/갱신/삭제의 역할을 담당하는 Table Manager가 구성된다. 이러한 Table Manager는 본 발명에 따른 실시간 고속 티씨피프락시신호처리장치(A)의 Server Software를 통하여 초기화 되며, 씨디엔진부(21)에서 추출된 IP를 가지고 등록 및 갱신을 수행하고, 입력 패킷에 반응하여 동작되도록 할 수 있는 것이다. 그리고 Hardware에서는 이러한 Table의 관리를 위하여 메모리 디바이스의 종류에 따라 다양한 방식을 적용되어 이용될 수 있을 것이다.Thus, the Ack standby table 27, the normal session table 28, and the like used to manage the table with the IP address information of the client 10 that sent the SYN. Such a table is composed of a table manager that plays the role of inquiry / update / delete. The Table Manager is initialized through the Server Software of the real-time high-speed PCP proxy signal processing apparatus A according to the present invention, performs registration and update with the IP extracted from the CD engine 21, and responds to the input packet. To work. In hardware, various methods may be applied to manage the table according to the type of memory device.

그 일예로 제시되는 액크대기테이블(27) 또는 정상세션테이블(28) 등은 앞서 설명된 티씨에이엠메모리(TCAM Memory)를 사용할 수 있을 것이다. 이러한 티씨에이엠메모리의 한정된 Entry를 이용하여 제한적인 관리를 하고자 할 때 사용될 수 있는 것이다. 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신할 수 있도록 관리될 수 있을 것이다.As an example, the Ack standby table 27 or the normal session table 28 may use the TCAM memory described above. This can be used when you want to limit the management by using a limited entry of the TMC memory. Sessions exceeding the number of entries in the TMC memory may be managed to be updated from the oldest entry using the registration time information.

다음으로 액크대기테이블(27) 또는 정상세션테이블(28) 등이 아이피어드레스 해쉬(IP Address Hash)를 이용하여 검색하고 에스램(SRAM), 디램(DRAM) 등의 일반 메모리를 이용하여 관련 정보를 저장하고 관리하도록 수행될 수 있을 것이다. 이러 한 경우 티씨에이엠메모리 방식에 비하여 더 많은 동시 Entry를 관리할 수 있을 것이다. 다만 Hash 충돌 발생시 처리문제, DoS, DDoS의 특성상 Hash 충돌에 의한 Session 의 Open을 가지고 문제가 발생하지는 않으므로 구현에는 무리가 되지 않을 것이다. 또한 Hash 를 이용한 방식에서는 Full Entry 이용시 모든 Session 이 Open 될 위험이 있으므로, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 삭제를 시행하여, Handshaking 과정을 다시 거치도록 해야 한다.Next, the Ack Wait Table 27 or the Normal Session Table 28 searches for the IP address hash using IP address hash, and retrieves relevant information using general memory such as SRAM and DRAM. It may be performed to store and manage. In this case, more simultaneous entries can be managed than TMC's. However, when Hash collision occurs, the problem of DoS and DDoS does not cause any problem with the opening of Session due to Hash collision. In addition, in the method using Hash, all sessions are opened when full entry is used. Therefore, it is necessary to set a time threshold and delete the session for the session that has exceeded the threshold, and then go through the handshaking process again.

그리하여 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 삭제를 진행하게 된다. 또한 메모리의 Data 영역에는 IP Address Matching 여부를 확인하기 위한 IP 확인 Hash Value를 두어 Hash 충돌 시 IP Address Matching을 확인하여 정확한 Matching 이 가능하도록 할 수 있을 것이다. 각 Entry 는 16개의 Group으로 묶어 16개 Entry 의 Full 사용시 신규 Entry 가 생성되면, Entry 내 Time 정보를 가지고, 가장 오래된 Entry부터 갱신하여 사용하도록 마련될 수 있을 것이다.Thus, the oldest entry is deleted using the registration time information. In addition, the IP address hash value for checking whether the IP address is matched can be placed in the data area of the memory so that accurate matching can be performed by checking the IP address matching in case of a hash collision. Each entry is grouped into 16 groups, and when a new entry is created when full use of 16 entries is made, it may be prepared to update and use the oldest entry with time information in the entry.

이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니된다.The embodiments of the present invention have been described in detail above, but since the embodiments have been described so that those skilled in the art to which the present invention pertains can easily carry out the present invention, The technical spirit of the present invention should not be interpreted limitedly.

도 1은 본 발명에 따른 티씨피프락시신호처리장치에 대한 개략적인 구성도.1 is a schematic configuration diagram of a PCP proxy signal processing apparatus according to the present invention.

도 2는 본 발명에 따른 티씨피프락시신호처리장치에서의 신호전송에 대한 개략적인 예시도.Figure 2 is a schematic illustration of the signal transmission in the PCP proxy signal processing apparatus according to the present invention.

도 3은 본 발명에 따른 티씨피프락시신호처리장치에서의 신호처리 순서도.3 is a signal processing flowchart in a PCP proxy signal processing apparatus according to the present invention.

도 4는 본 발명에 따른 티씨피프락시신호처리장치에 대한 신호처리 흐름도.Figure 4 is a signal processing flowchart for the PCP proxy signal processing apparatus according to the present invention.

도 5는 본 발명에 따른 티씨피프락시신호처리장치의 씨디엔진부에 대한 개략적인 구성도.5 is a schematic configuration diagram of a CD engine unit of a PCP proxy signal processing apparatus according to the present invention;

도 6 및 도 7은 본 발명에 따른 티씨피프락시신호처리장치의 액크대기테이블 또는 정상세션테이블의 메모리에 대한 개략적인 구성도.6 and 7 are schematic configuration diagrams of the memory of the Ack standby table or the normal session table of the PCP proxy signal processing apparatus according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

A : 티씨피프락시신호처리장치A: TPC proxy signal processing device

10 : 클라이언트 15 : 서버10: client 15: server

21 : 씨디엔진부 25 : 패킷입력부21: CD engine 25: packet input

26 : 패킷 27 : 액크대기테이블26: Packet 27: Ack standby table

28 : 정상세션테이블 211 : 씨디이컨트롤러28: normal session table 211: CD controller

212 : 패킷입력블럭 213 : 액크대기데이터처리블럭212: Packet input block 213: Ack standby data processing block

214 : 정상세션데이터처리블럭214: normal session data processing block

Claims (10)

클라이언트(10)로부터 전송되는 연결요청신호(Synchronous) 패킷을 전송받는 패킷입력부(25);A packet input unit 25 for receiving a connection request signal (Synchronous) packet transmitted from the client 10; 상기 패킷입력부(25)에서 수신된 신호의 패킷에서 클라이언트(10)의 IP정보, TCP정보가 포함된 추출정보신호를 씨디엔진부(21)로 전송하도록 구비되는 패킷파서부(26);A packet parser unit 26 configured to transmit the extracted information signal including the IP information and TCP information of the client 10 to the CD engine unit 21 from the packet of the signal received by the packet input unit 25; 상기 패킷파서부(26)로부터 추출정보신호를 수신받아 액크대기테이블(27)과 정상세션테이블(28)을 통하여 해당 패킷의 정보를 분석하고, 해당 패킷을 판별하도록 구비되는 씨디엔진부(21);The CD engine unit 21 receives the extraction information signal from the packet parser unit 26 and analyzes the information of the packet through the Ack standby table 27 and the normal session table 28, and determines the packet. ; 상기 씨디엔진부(21)를 통하여 정상 여부를 판별하기 위하여 클라이언트(10) 측으로 전송된 연결요청/응답확인(SYN/ACK) 신호가 포함된 해당 패킷의 정보가 저장되도록 하는 액크대기테이블(27);Ack standby table 27 to store the information of the packet including the connection request / response confirmation (SYN / ACK) signal transmitted to the client 10 to determine whether the normal through the CD engine 21 ; 상기 씨디엔진부(21)를 통하여 정상의 추출정보신호에 해당하는 해당 패킷의 정보가 저장되도록 하는 정상세션테이블(28)이 포함되어 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.And a normal session table (28) for storing information of a corresponding packet corresponding to a normal extraction information signal through the CD engine unit (21). 제 1항에 있어서,The method of claim 1, 상기 씨디엔진부(21)는,The CD engine unit 21, 상기 패킷파서부(26)로부터 전송되는 패킷에 대한 추출정보신호를 수신받아 씨디이컨트롤러(211)로 전송하는 패킷입력블럭(212);A packet input block 212 which receives the extraction information signal for the packet transmitted from the packet parser 26 and transmits it to the CD controller 211; 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 액크대기테이블(27) 측과 송수신되는 신호를 처리하기 위한 액크대기데이터처리블럭(213);An ack standby data processing block 213 for processing signals transmitted and received with the ack standby table 27 under the control of the CD controller 211; 상기 씨디이컨트롤러(211)의 제어에 의하여 상기 정상세션테이블(28) 측과 송수신되는 신호를 처리하기 위한 정상세션데이터처리블럭(214);A normal session data processing block (214) for processing signals transmitted and received with the normal session table (28) by the control of the CD controller (211); 상기 패킷입력블럭(212)을 통하여 전송된 패킷신호를 전송받고, 액크대기테이블(27) 또는 정상세션테이블(28) 측으로 데이터가 송수신되도록 하며, 해당 패킷에 대한 정보를 판별하도록 구비되는 씨디이컨트롤러(211)가 포함되어 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.Receives the packet signal transmitted through the packet input block 212, the data transmission and reception to the standby table 27 or the normal session table 28, the CD controller is provided to determine the information about the packet ( 211) is included, the real-time high-speed PCP proxy signal processing apparatus characterized in that it is provided. 제 1항에 있어서,The method of claim 1, 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되거나 또는 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.The Ack standby table 27 or the normal session table 28 is a real-time high-speed PCPI signal, characterized in that provided with the TMS memory or SRAM or DRAM to search using the IP address hash Processing unit. 제 1항에 있어서,The method of claim 1, 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되어지되, Time Threshold 를 두어 Threshold가 초과된 Session 에 대해서 Session 의 데이터가 삭제되도록 하여 Handshaking 과정이 계속 수행되도록 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.The Ack standby table 27 or the normal session table 28 is provided with an SRAM or DRAM for searching by using an IP address hash, and the data of the session is stored for a session in which a threshold is exceeded by setting a time threshold. Real-time high-speed PCP proxy signal processing apparatus characterized in that the handshaking process is to be carried out to be deleted. 제 1항에 있어서,The method of claim 1, 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 아이피 어드레스 해쉬를 이용하여 검색하도록 하는 에스램 또는 디램으로 구비되어지되, 여러 개의 Entry를 Group으로 묶어 Group 내 Full Entry 사용 시, 가장 오래된 Entry부터 갱신하여 사용되도록 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.The Ack standby table 27 or the normal session table 28 is provided with an SRAM or DRAM for searching by using an IP address hash, and when multiple entries are grouped into groups, a full entry in a group is used. Real-time high-speed PCP proxy signal processing apparatus characterized in that it is provided to be used to update from the old entry. 제 1항에 있어서,The method of claim 1, 상기 액크대기테이블(27) 또는 상기 정상세션테이블(28)은, 티씨에이엠 메모리로 구비되어지되, 티씨에이엠메모리의 Entry 개수를 초과한 Session 에 대해서는 등록 시간 정보를 이용하여 가장 오래된 Entry 부터 갱신되도록 구비되는 것을 특징으로 하는 실시간 고속 티씨피프락시신호처리장치.The Ack standby table 27 or the normal session table 28 is provided with a TMC memory, but for the Session exceeding the number of entries in the TMC memory is provided to be updated from the oldest entry using the registration time information Real-time high-speed PCP proxy signal processing apparatus characterized in that the. 제 1항 내지 제 6항 중 어느 한 항의 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법에 있어서,In the real-time high-speed TPC pipe signal processing method using the TPC pipe signal processing apparatus of any one of claims 1 to 6, 클라이언트(10)로부터 전송되는 연결요청신호를 패킷입력부(25)에서 수신받는 연결요청신호수신단계(S01);A connection request signal receiving step of receiving the connection request signal transmitted from the client 10 at the packet input unit 25 (S01); 상기 클라이언트(10)로부터 전송되는 연결요청신호(SYN)에 대하여 패킷파서부(26)에서 아이피(IP)정보, 티씨피(TCP)정보가 포함된 패킷에 대한 정보의 추출정보신호를 패킷파서부(26)에서 추출하여 씨디엔진부(21) 측으로 전송되도록 하는 패킷정보추출단계(S02);The packet parser 26 extracts an information signal for extracting information on a packet including IP information and TCP information from the packet parser 26 with respect to the connection request signal SYN transmitted from the client 10. A packet information extraction step (S02) which is extracted at 26 and transmitted to the CD engine unit 21; 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 정상세션테이블(28)로 전송하고, 정상세션테이블(28)에서 해당 패킷의 정보가 포함되었는지 검색하며, 해당 패킷에 대해 검색한 검색정보신호가 정상세션테이블(28)에서 씨디엔진부(21) 측으로 전송되도록 하는 정상세션테이블 검색단계(S03);The extracted information signal of the packet is transmitted from the CD engine unit 21 to the normal session table 28, the normal session table 28 searches whether the information of the packet is included, and the search information signal searched for the packet. A normal session table retrieving step (S03) in which the normal session table 28 is transmitted from the normal session table 28 to the CD engine unit 21; 상기 씨디엔진부(21)에서, 상기 정상세션테이블(28)을 통하여 검색된 검색정보신호 중, 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하는지 판별하고, 해당 패킷에 대한 정보가 상기 정상세션테이블(28)에 포함된 경우에는 해당 패킷에 해당하는 정보신호가 서버로 전송되도록 하는 정상세션판별단계(S04)가 포함되어 구비되는 것을 특징으로 하는 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법.The CD engine 21 determines whether the information on the packet exists in the normal session table 28 among the search information signals searched through the normal session table 28, and the information on the packet is normal. When included in the session table 28, a real-time high-speed tee using a PCP proxy signal processing apparatus, characterized in that the normal session discrimination step (S04) is provided to ensure that the information signal corresponding to the packet is transmitted to the server. CPM proxy signal processing method. 제 7항에 있어서,The method of claim 7, wherein 상기 정상세션판별단계(S04)에서 해당 패킷에 대한 정보가 정상세션테이블(28)에 존재하지 않는 경우에는 해당 패킷의 추출정보신호를 씨디엔진부(21)에서 액크대기테이블(27)로 전송하고, 액크대기테이블(27)에서 해당 패킷의 정보가 포함되었는지 검색하여 검색된 정보신호를 액크대기테이블(27)에서 씨디엔진부(21) 측으로 전송되도록 하는 액크대기테이블 검색단계(S05);If the information on the packet does not exist in the normal session table 28 in the normal session determination step (S04), the extracted information signal of the packet is transmitted from the CD engine 21 to the standby table 27. A standby table search step (S05) of searching for whether information of a corresponding packet is included in the standby table 27 and transmitting the retrieved information signal from the standby table 27 to the CD engine unit 21; 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하는 경우에는 해당 패킷의 정보를 폐기하는 해킹진단단계(S06)가 포함되어 구비되는 것을 특징으로 하는 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법.In the waiting table search step (S05), if the information on the packet is present in the waiting table 27, the hacking diagnostic step (S06) for discarding the information of the packet is included, characterized in that it is provided Real-time high-speed PCP proxy signal processing method using a PCP proxy signal processing apparatus. 제 8항에 있어서,The method of claim 8, 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재하지 않는 경우에는, 씨디엔진부(21)에서 해당 패킷에 해당하는 클라이언트(10) 측으로 연결요청신호/응답확인(SYN/ACK), 응답확인시퀀스번호(Sequence Number)를 전송하고, 액크대기테이블(27) 측으로 해당 패킷에 대한 정보를 등록하도록 하는 응답확인정보 전송단계(S07)가 포함되어 구비되는 것을 특징 으로 하는 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법.If the information on the packet does not exist in the wait table 27 by the acknowledgment table search step (S05), the CD engine 21 connects to the client 10 corresponding to the packet. A signal / response acknowledgment (SYN / ACK), a response acknowledgment sequence number (Sequence Number) is transmitted, and the acknowledgment information transmitting step (S07) for registering information on the packet to the wait table 27 is provided. Real-time high-speed PCP proxy signal processing method using a PCP proxy signal processing apparatus, characterized in that. 제 8항에 있어서,The method of claim 8, 상기 액크대기테이블 검색단계(S05)에 의하여, 해당 패킷에 대한 정보가 액크대기테이블(27)에 존재할 경우, 해당 패킷의 추출정보신호를 액크대기테이블(27)에서 정상세션테이블(28) 측으로 이동되도록 하고, 클라이언트(10) 측으로 리셋(RST) 신호가 전송되도록 하여 다시 새로운 세션이 이뤄지도록 구비되는 것을 특징으로 하는 티씨피프락시신호처리장치를 이용한 실시간 고속 티씨피프락시신호처리방법.When the information on the packet exists in the waiting table 27, the extracting information signal of the corresponding packet is moved from the waiting table 27 to the normal session table 28. And a reset (RST) signal is transmitted to the client 10 so that a new session is made again.
KR1020090066708A 2009-07-22 2009-07-22 Real time high speed tcp proxy signal processor and real time high speed tcp proxy signal processing method KR101023094B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090066708A KR101023094B1 (en) 2009-07-22 2009-07-22 Real time high speed tcp proxy signal processor and real time high speed tcp proxy signal processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090066708A KR101023094B1 (en) 2009-07-22 2009-07-22 Real time high speed tcp proxy signal processor and real time high speed tcp proxy signal processing method

Publications (2)

Publication Number Publication Date
KR20110009350A true KR20110009350A (en) 2011-01-28
KR101023094B1 KR101023094B1 (en) 2011-03-24

Family

ID=43615047

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090066708A KR101023094B1 (en) 2009-07-22 2009-07-22 Real time high speed tcp proxy signal processor and real time high speed tcp proxy signal processing method

Country Status (1)

Country Link
KR (1) KR101023094B1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7149892B2 (en) * 2001-07-06 2006-12-12 Juniper Networks, Inc. Secure sockets layer proxy architecture
US20040210663A1 (en) * 2003-04-15 2004-10-21 Paul Phillips Object-aware transport-layer network processing engine

Also Published As

Publication number Publication date
KR101023094B1 (en) 2011-03-24

Similar Documents

Publication Publication Date Title
US9756017B2 (en) Data leak protection in upper layer protocols
US7478429B2 (en) Network overload detection and mitigation system and method
JP6097849B2 (en) Information processing apparatus, fraudulent activity determination method and fraudulent activity determination program, information processing apparatus, activity determination method and activity determination program
US8943586B2 (en) Methods of detecting DNS flooding attack according to characteristics of type of attack traffic
US8561188B1 (en) Command and control channel detection with query string signature
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US10270792B1 (en) Methods for detecting malicious smart bots to improve network security and devices thereof
Weaver et al. Detecting Forged TCP Reset Packets.
US10757135B2 (en) Bot characteristic detection method and apparatus
KR101067781B1 (en) Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control
CA2548336A1 (en) Upper-level protocol authentication
KR101219796B1 (en) Apparatus and Method for protecting DDoS
JP7388613B2 (en) Packet processing method and apparatus, device, and computer readable storage medium
CN110166480B (en) Data packet analysis method and device
US11838319B2 (en) Hardware acceleration device for denial-of-service attack identification and mitigation
Nakibly et al. {Website-Targeted} False Content Injection by Network Operators
KR20140122044A (en) Apparatus and method for detecting slow read dos
KR101045331B1 (en) Method for analyzing behavior of irc and http botnet based on network
KR101045330B1 (en) Method for detecting http botnet based on network
CN112235329A (en) Method, device and network equipment for identifying authenticity of SYN message
KR101023094B1 (en) Real time high speed tcp proxy signal processor and real time high speed tcp proxy signal processing method
Park et al. An effective defense mechanism against DoS/DDoS attacks in flow-based routers
KR101511474B1 (en) Method for blocking internet access using agent program
Schcolnik False Content Injection Into Web Traffic by Network Operators
CN114553452A (en) Attack defense method and protection equipment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150304

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160411

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170303

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180312

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190311

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200310

Year of fee payment: 10