KR20120136506A - 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 - Google Patents

네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 Download PDF

Info

Publication number
KR20120136506A
KR20120136506A KR1020110055480A KR20110055480A KR20120136506A KR 20120136506 A KR20120136506 A KR 20120136506A KR 1020110055480 A KR1020110055480 A KR 1020110055480A KR 20110055480 A KR20110055480 A KR 20110055480A KR 20120136506 A KR20120136506 A KR 20120136506A
Authority
KR
South Korea
Prior art keywords
flow control
pending
message
identified
unit
Prior art date
Application number
KR1020110055480A
Other languages
English (en)
Other versions
KR101715080B1 (ko
Inventor
김대엽
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020110055480A priority Critical patent/KR101715080B1/ko
Priority to EP12171164.2A priority patent/EP2533495B1/en
Priority to US13/491,683 priority patent/US9143527B2/en
Priority to JP2012132321A priority patent/JP6026789B2/ja
Priority to CN201210191863.2A priority patent/CN102821039B/zh
Publication of KR20120136506A publication Critical patent/KR20120136506A/ko
Application granted granted Critical
Publication of KR101715080B1 publication Critical patent/KR101715080B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법이 제공된다. 일 측면에 따른 펜딩 테이블의 오버플로우를 방지하는 노드 장치는 펜딩 테이블의 수를 인터페이스부의 수만큼 늘려서 서로 매칭 시키고, 인터페이스부 별로 유입되는 요청메시지를 매칭된 펜딩 테이블에 저장한다. 또한, 노드 장치는 펜딩 테이블들 별로 저장용량이 임계값을 초과하면 유입 양을 조절하는 흐름제어 메시지를 매칭된 인터페이스부를 통해 전송하도록 하여 펜딩 테이블의 오버플로우를 방지한다.

Description

네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법{Node apparatus and method that prevent overflow of pending Interest table in network system of name base}
기술분야는 네임(name) 기반의 네트워크 시스템의 노드 장치에서 라우팅하는 기술에 관한 것이다.
CCN(Content Centric Network)/NDN(Named Data Network)과 같은 네임(name) 기반의 네트워크 라우팅 기술은 요청 메시지(request message)에 대한 응답 메시지(response message)를 처리하기 위하여 응답 메시지가 리턴(return)되었을 때, 해당 응답 메시지를 어디로 재전송해야 되는지를 알고 있어야 한다. 네임(name) 기반의 네트워크에서 요청 메시지는 리퀘스트(request), 인터레스트(interest) 또는 데이터 리퀘스트(Data Request)로 칭하기도 한다. 그리고, 네임(name) 기반의 네트워크에서 응답 메시지(response message)는 리스판스(response) 또는 데이터(data)로 칭하기도 한다.
펜딩 테이블(PIT; Pending Interest Table)는 수신한 요청 메시지의 목록을 저장한 테이블이다. 즉, 요청 메시지가 유입되면 해당 노드 장치는 요청 메시지의 정보와 함께 유입경로를 펜딩 테이블에 기입한 후, 대응되는 응답 메시지가 리턴되면 펜딩 테이블에 저장된 요청 메시지의 유입경로로 해당 응답 메시지를 재전송한다.
그러나 이와 같은 펜딩 테이블은 DDoS(Distributed Denial of Service)의 공격 대상이 될 수 있다. 즉, 노드 장치의 펜딩 테이블이 수용할 수 있는 용량 이상의 요청 메시지가 유입되어 요청 메시지를 저장하는 펜딩 테이블의 용량을 초과하면 해당 노드 장치는 펜딩 테이블에 기록된 정보를 일부 삭제하거나 새로 유입되는 요청 메시지를 포기(discard) 해야 된다. 어떤 방법을 택하든지 DDoS 공격자는 노드가 정상적인 요청 메시지를 처리하지 못하도록 하게 한다는 점에서 DDoS 공격이 성공적으로 수행되었다고 할 수 있다.
일반적인 IP 라우터는 트래픽(traffic)에 대한 히스토리(history)를 관리할 필요가 없기 때문에 상술한 것과 같은 DDoS 공격 시나리오가 성공할 수 없다. 그러나 CCN/NDS과 같이 장치의 식별을 사용하지 않는 네트워킹에서 펜딩 테이블은 네트워킹을 위한 필수 정보라 할 수 있다. 그러므로 네임 기반의 네트워크 시스템에서 라우터에 해당하는 노드 장치는 DDoS 공격에 취약한 구조를 가진다.
일 측면에 있어서, 네임(name) 기반의 네트워크에서 발생되는 요청 메시지를 수신하는 복수개의 인터페이스부들; 상기 요청 메시지를 저장하고, 상기 복수개의 인터페이스부들 각각에 매칭되는 복수개의 펜딩 테이블들; 및 상기 복수개의 인터페이스부들 중 하나로 상기 요청 메시지를 수신하면, 상기 요청 메시지를 수신한 인터페이스부를 식별하고, 식별한 인터페이스부에 매칭된 펜딩 테이블을 식별해서, 식별한 펜딩 테이블에 상기 요청 메시지를 저장하도록 상기 식별한 펜딩 테이블을 제어하는 제어부를 포함하는 노드 장치가 제공된다.
이때, 상기 펜딩 테이블들 각각의 크기는, 매칭된 인터페이스부들로 유입되는 트래픽을 고려해서 설정될 수 있다.
한편, 상기 식별한 펜딩 테이블에 저장된 용량을 확인하고, 상기 저장된 용량이 기설정된 임계값을 초과하는지 여부를 감지하는 공격 감지부; 및 상기 공격 감지부에서 상기 식별한 펜딩 테이블의 상기 저장된 용량이 상기 기설정된 임계값을 초과함을 감지하면, 상기 식별한 인터페이스부로 흐름제어 메시지를 송신하는 흐름제어 요청부를 더 포함할 수 있다.
여기서, 상기 흐름제어 메시지는 상기 요청 메시지를 송신하는 간격을 제어하도록 요청하는 메시지이다.
이때, 상기 흐름제어 메시지는, 상기 노드 장치를 식별하고 인증할 수 있는 인증정보를 포함할 수 있다.
또한, 상기 흐름제어 메시지는, 상기 흐름제어 메시지를 전파되는 노드의 수를 나타내는 홉(hop)수 정보, 상기 흐름제어 메시지에 의한 흐름제어가 유지되는 시간을 나타내는 유지시간 정보 및 상기 요청 메시지를 송신하는 간격을 나타내는 송신간격 정보 중에서 적어도 하나를 더 포함할 수 있다.
한편, 상기 흐름제어 메시지를 송신한 후에, 상기 식별한 인터페이스부로부터 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 상기 요청한 송신간격을 제외한 요청 메시지들을 폐기하는 공격 대응부를 더 포함할 수 있다.
한편, 상기 흐름제어 요청부는, 상기 복수개의 인터페이스부들 모두로 상기 흐름제어 메시지를 송신할 수 있다.
여기서, 상기 흐름제어 메시지를 상기 복수개의 인터페이스부들 별로 송신한 후에, 상기 복수개의 인터페이스부들 별로 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 상기 요청한 송신간격을 제외한 요청 메시지들을 폐기하는 공격 대응부를 더 포함할 수 있다.
일 측면에 있어서, 네임(name) 기반의 네트워크에서 발생되는 요청 메시지를 복수개의 인터페이스부들 중 하나를 통해 수신하는 단계; 상기 요청 메시지를 수신한 인터페이스부를 식별하는 단계; 상기 복수개의 인터페이스부들 각각에 매칭되는 복수개의 펜딩 테이블들 중에서 식별한 인터페이스부에 매칭된 펜딩 테이블을 식별하는 단계; 및 식별한 펜딩 테이블에 상기 요청 메시지를 저장하는 단계를 포함하는 노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법이 제공된다.
여기서, 상기 펜딩 테이블들은, 각기 하나의 인터페이스부와 매칭된다.
이때, 상기 펜딩 테이블들 각각의 크기는, 매칭된 인터페이스부들로 유입되는 트래픽을 고려해서 설정될 수 있다.
한편, 상기 식별한 펜딩 테이블에 저장된 용량을 확인하고, 상기 저장된 용량이 기설정된 임계값을 초과하는지 여부를 감지하는 공격감지 단계; 및 상기 공격감지 단계에서 상기 식별한 펜딩 테이블의 상기 저장된 용량이 상기 기설정된 임계값을 초과함을 감지하면, 상기 식별한 인터페이스부로 흐름제어 메시지를 송신하는 더 단계를 포함할 수 있다.
그리고, 상기 흐름제어 메시지를 송신하는 단계 이후에, 상기 식별한 인터페이스부로부터 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 상기 요청한 송신간격을 제외한 요청 메시지들을 폐기하는 단계를 더 포함할 수 있다.
펜딩 테이블의 오버플로우의 방지를 위해서 펜딩 테이블의 수를 인터페이스부의 수만큼 늘려서 서로 매칭 시키고, 인터페이스부 별로 유입되는 요청메시지를 매칭된 펜딩 테이블에 저장하도록 하는 노드 장치에 관한 것으로, 인터페이스부 별로 매칭된 펜딩 테이블에 요청 메시지를 저장하기 때문에 공격을 받더라도 피해를 최소화할 수 있다. 또한, 노드 장치는 펜딩 테이블들 별로 저장용량이 임계값을 초과하면 매칭된 인터페이스를 통해 흐름제어 메시지를 전송하기 때문에 유입되는 요청 메시지의 양을 조절할 수 있다.
도 1은 펜딩 테이블의 오버플로우를 방지하는 노드 장치의 구성 예를 나타낸다.
도 2는 복수개로 구성된 펜딩 테이블들의 구조 예를 나타낸다.
도 3은 노드 장치에서 요청 메시지를 복수개의 펜딩 테이블에 분산해서 저장하고, 흐름도를 나타낸다.
도 4는 노드 장치에서 펜딩 테이블의 오버플로우를 공격에 대응하는 흐름도를 나타낸다.
이하, 본 발명의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 펜딩 테이블의 오버플로우를 방지하는 노드 장치의 구성 예를 나타낸다.
도 1을 참조하면, 노드 장치(100)는 제어부(110), 공격 감지부(111), 흐름제어 요청부(112), 공격 대응부(113), 복수의 인터페이스부들(121, 122, 123), 복수의 펜딩 테이블들(131, 132, 133), FIB(Forwarding information Base) 테이블(140) 및 저장부(150)를 포함한다.
복수의 인터페이스부들(121, 122, 123)은 제어부(110)의 제어에 따라 요청 메시지를 수신하고, 수신한 요청 메시지를 전달한다. 또한, 인터페이스부들(121, 122, 123)은 제어부(110)의 제어에 따라 흐름제어 메시지(Traffic control message)를 송신한다.
인터페이스부들(121, 122, 123) 각각은 논리적(가상적) 인터페이스 일 수도 있고, 물리적인 인터페이스 일 수도 있다.
복수의 펜딩 테이블들(131, 132, 133)은 제어부(110)의 제어에 따라 각각에 대응하는 인터페이스부들(121, 122, 123)로부터 수신한 요청 메시지를 저장한다.
도 2는 복수개로 구성된 펜딩 테이블들의 구조 예를 나타낸다.
도 2를 참조하면, 복수의 펜딩 테이블들(131, 132, 133)은 요청 메시지의 네임(name)과 요청 메시지를 수신한 인터페이스 정보를 함께 저장한다. 복수의 펜딩 테이블들(131, 132, 133)은 각각은 하나의 인터페이스부와 매칭함으로 수신한 인터페이스 정보는 생략 가능하다.
이때, 펜딩 테이블들(131, 132, 133)의 크기는 모두 같은 크기로 설정될 수도 있고, 서로 다른 크기로 설정될 수도 있다. 펜딩 테이블들(131, 132, 133) 각각의 크기는 각기 매칭된 인터페이스부들로 유입되는 트래픽을 고려해서 설정될 수 있다.
한편, 펜딩 테이블들(131, 132, 133)은 물리적으로 서로 다른 테이블일수도 있고, 적어도 하나의 테이블이 논리적(가상적) 분할된 테이블 일 수도 있다. 예를들어, 하나의 펜딩 테이블은 인터페이스부들(121, 122, 123)별 카운터를 이용해서 논리적으로 구분될 수도 있다.
FIB(Forwarding information Base) 테이블(140)은 네임과 대응하는 인터페이스 정보를 함께 저장하는 테이블이다.
저장부(150)는 노드 장치(100)의 전반적인 동작을 제어하기 위한 운영체제 및 응용 프로그램을 저장한다. 또한, 저장부(150)는 노드 장치(100)를 인증하기 위한 노드 장치(100)의 인증정보를 저장 할 수 있다.
제어부(110)는 인터페이스부들(121, 122, 123)를 통해 요청 메시지를 수신하면, 펜딩 테이블(130)에 저장하도록 하고, 복수개의 인터페이스부들(121, 122, 123)들 중 하나로 요청 메시지를 수신하면, 요청 메시지를 수신한 인터페이스부를 식별한다. 그리고, 제어부(110)는 복수의 펜딩 테이블들(131, 132, 133) 중에서 식별한 인터페이스부에 매칭된 펜딩 테이블을 식별해서, 식별한 펜딩 테이블에 상기 요청 메시지를 저장하도록 펜딩 테이블을 제어한다. 예를 들어, 제어부(110)는 제1 인터페이스부(121) 로 유입되는 요청 메시지를 제1 펜딩 테이블(131)에 저장하도록 페딩 테이블(131)을 제어한다.
그리고, 제어부(110)는 FIB 테이블(140)에서 요청 메시지와 유사도가 높은 이름을 검색해서 검색된 이름에 대응하는 인터페이스부를 확인한다. 그리고, 제어부(110)는 FIB 테이블(140)를 통해 확인된 인터페이스부를 통해서 수신한 요청 메시지를 송신하도록 한다.
공격 감지부(111)는 식별한 펜딩 테이블에 저장된 용량을 확인하고, 저장된 용량이 기설정된 임계값을 초과하는지 여부를 감지한다. 공격 감지부(111)는 식별한 펜딩 테이블에 저장된 용량이 기설정된 임계값을 초과하면 식별한 펜딩 테이블과 매칭된 인터페이스부를 통해 공격을 받고 있다고 감지한다. 이때, 임계값은 펜딩 테이블들(131, 132, 133) 별로 모두 같은 값으로 설정될 수도 있고, 서로 다른 값으로 설정될 수도 있다. 임계값은 펜딩 테이블들(131, 132, 133)과 각각 각기 매칭된 인터페이스부들로 유입되는 트래픽을 고려해서 설정될 수 있다.
또한, 임계값은 네트워크 토플로지에서의 노드 장치의 위치에 따라 다르게 설정될 수도 있다. 예를들어 네트워크의 말단에 위치한 노드 장치는 중심부에 위치한 노드 장치에 비해 상대적으로 적은 트래픽(traffic)이 전달받는다. 따라서, 네트워크의 말단에 위치한 노드 장치의 임계값은 중심부에 위치한 노드 장치에 비해 상대적으로 낮게 설정될 수 있다.
흐름제어 요청부(112)는 공격 감지부(111)를 통해 감지된 인터페이스부로 흐름제어 메시지를 송신한다. 이때, 흐름제어 메시지는 요청 메시지를 송신하는 간격을 제어하도록 요청하는 메시지를 나타낸다.
흐름제어 메시지는 노드 장치(100)를 식별하고 인증할 수 있는 인증정보를 포함한다. 그리고, 흐름제어 메시지는 추가로 홉(hop)수 정보, 유지시간 정보 및 송신간격 정보 중에서 일부 또는 전체를 더 포함할 수도 있다. 여기서, 홉(hop)수 정보는 흐름제어 메시지를 전파될 노드의 수를 나타낸다. 그리고, 송신간격 정보는 요청 메시지를 송신하는 간격을 나타낸다. 그리고, 유지시간 정보는 흐름제어 메시지에 의한 흐름제어가 유지되는 시간을 나타낸다.
공격 대응부(113)는 흐름제어 요청부(112)에서 흐름제어 메시지를 송신한 후에, 공격이 감지된 인터페이스부를 통해 흐름제어 메시지를 통해 설정한 송신간격보다 더 짧은 간격으로 요청 메시지들을 수신하면, 설정한 송신간격보다 더 짧은 간격으로 수신되는 요청 메시지를 폐기한다. 즉, 공격 대응부(113)는 흐름 제어중인 인터페이스부를 통해 설정한 흐름 이상의 요청 메시지가 수신되면 설정한 흐름 이상의 요청메시지를 버린다.
한편, 흐름제어 요청부(112)는 복수개의 인터페이스부들(121, 122, 123) 모두로 흐름제어 메시지를 송신할 수도 있다.
흐름제어 요청부(112)에서 인터페이스부들(121, 122, 123) 모두로 흐름제어 메시지를 송신하는 경우 공격 대응부(113)는 복수개의 인터페이스부들(121, 122, 123) 별로 요청한 송신간격보다 더 짧은 간격으로 수신되는 요청 메시지들을 폐기한다.
한편, 제어부(110)는 노드 장치(100)의 전반적인 동작을 제어할 수 있다. 그리고, 제어부(110)는 공격 감지부(111), 흐름제어 요청부(112) 및 공격 대응부(113)의 기능을 수행할 수 있다. 제어부(110), 공격 감지부(111), 흐름제어 요청부(112) 및 공격 대응부(113)를 구분하여 도시한 것은 각 기능들을 구별하여 설명하기 위함이다. 따라서 제어부(110)는 공격 감지부(111), 흐름제어 요청부(112) 및 공격 대응부(113) 각각의 기능을 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함할 수 있다. 또한, 제어부(110)는 공격 감지부(111), 흐름제어 요청부(112) 및 공격 대응부(113) 각각의 기능 중 일부를 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함할 수 있다.
이하, 상기와 같이 구성된 본 발명에 따른 네임 기반의 네트워크 시스템의 노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법을 아래에서 도면을 참조하여 설명한다.
도 3은 노드 장치에서 요청 메시지를 복수개의 펜딩 테이블에 분산해서 저장하고, 흐름도를 나타낸다.
도 3을 참조하면, 노드 장치는 310단계에서 요청 메시지를 수신하면, 312단계에서 요청 메시지를 수신한 인터페이스부를 식별한다. 그리고, 노드 장치는 314단계에서 식별한 인터페이스부에 대응하는 펜딩 테이블을 식별한다.
그리고, 노드 장치는 316단계에서 식별한 펜딩 테이블의 저장된 용량을 확인한다. 그리고, 노드 장치는 318단계에서 식별한 펜딩 테이블의 저장된 용량이 기설정된 임계값을 초과하는지 확인한다.
318단계의 확인결과 식별한 펜딩 테이블의 저장된 용량이 기설정된 임계값을 초과하지 않으면, 노드 장치는 320단계에서 수신한 요청 메시지를 식별한 펜딩 테이블에 저장한다.
그리고, 노드 장치는 322단계에서 전달(FIB: Forwarding information Base) 테이블에서 수신한 요청 메시지와 유사도가 높은 이름을 검색해서 검색된 이름에 대응하는 인터페이스부를 확인하고, 확인한 인터페이스부를 통해서 수신한 요청 메시지를 전달한다.
318단계의 확인결과 식별한 펜딩 테이블의 저장된 용량이 기설정된 임계값을 초과하면, 노드 장치는 324단계에서 기설정한 임계값을 초과하는 인터페이스부로 흐름제어 메시지를 송신한다. 이때, 흐름제어 메시지는 상기 요청 메시지를 송신하는 간격을 제어하도록 요청하는 메시지를 나타낸다. 흐름제어 메시지는 노드 장치를 식별하고 인증할 수 있는 인증정보를 포함한다. 그리고, 흐름제어 메시지는 추가로 홉(hop)수 정보, 유지시간 정보 및 송신간격 정보 중에서 일부 또는 전체를 더 포함할 수도 있다.
도 4는 노드 장치에서 펜딩 테이블의 오버플로우를 공격에 대응하는 흐름도를 나타낸다.
도 4를 참조하면, 노드 장치는 410단계에서 흐름제어 메시지를 송신한다. 그리고, 노드 장치는 412단계에서 요청 메시지를 수신하면, 414단계에서 요청 메시지를 수신한 인터페이스부를 식별한다.
그리고, 노드 장치는 416단계에서 식별한 인터페이스부가 흐름제어 대상인 인터페이스부인지 확인한다. 416단계의 확인결과 식별한 인터페이스부가 흐름제어 대상이 아니면 도 3의 314단계로 진행한다.
416단계의 확인결과 식별한 인터페이스부가 흐름제어 대상이면, 노드 장치는 418단계에서 흐름제어 메시지에서 요청한 흐름을 준수하는지 여부를 확인한다. 이때, 노드 장치는 흐름제어 메시지를 송신한 인터페이스부로부터 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 요청한 흐름을 준수하지 않는다고 판단한다.
418단계의 확인결과 요청한 흐름을 준수하면, 노드 장치는 420단계에서 수신한 요청 메시지를 식별한 인터페이스부와 매칭된 펜딩 테이블에 저장한다.
그리고, 노드 장치는 422단계에서 전달 테이블에서 수신한 요청 메시지와 유사도가 높은 이름을 검색해서 검색된 이름에 대응하는 인터페이스부를 확인하고, 확인한 인터페이스부를 통해서 수신한 요청 메시지를 전달한다.
418단계의 확인결과 요청한 흐름을 준수하지 않으면, 노드 장치는 424단계에서 요청한 송신간격을 제외한 요청 메시지들을 폐기한다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims (17)

  1. 네임(name) 기반의 네트워크에서 발생되는 요청 메시지를 수신하는 복수개의 인터페이스부들;
    상기 요청 메시지를 저장하고, 상기 복수개의 인터페이스부들 각각에 매칭되는 복수개의 펜딩 테이블들; 및
    상기 복수개의 인터페이스부들 중 하나로 상기 요청 메시지를 수신하면, 상기 요청 메시지를 수신한 인터페이스부를 식별하고, 식별한 인터페이스부에 매칭된 펜딩 테이블을 식별해서, 식별한 펜딩 테이블에 상기 요청 메시지를 저장하도록 상기 식별한 펜딩 테이블을 제어하는 제어부를 포함하는
    노드 장치.
  2. 제1항에 있어서,
    상기 펜딩 테이블들 각각의 크기는,
    매칭된 인터페이스부들로 유입되는 트래픽을 고려해서 설정되는
    노드 장치.
  3. 제1항에 있어서,
    상기 식별한 펜딩 테이블에 저장된 용량을 확인하고, 상기 저장된 용량이 기설정된 임계값을 초과하는지 여부를 감지하는 공격 감지부; 및
    상기 공격 감지부에서 상기 식별한 펜딩 테이블의 상기 저장된 용량이 상기 기설정된 임계값을 초과함을 감지하면, 상기 식별한 인터페이스부로 흐름제어 메시지를 송신하는 흐름제어 요청부를 더 포함하고,
    상기 흐름제어 메시지는 상기 요청 메시지를 송신하는 간격을 제어하도록 요청하는 메시지인
    노드 장치.
  4. 제3항에 있어서,
    상기 흐름제어 메시지는,
    상기 노드 장치를 식별하고 인증할 수 있는 인증정보를 포함하는
    노드 장치.
  5. 제4항에 있어서,
    상기 흐름제어 메시지는,
    상기 흐름제어 메시지를 전파되는 노드의 수를 나타내는 홉(hop)수 정보,
    상기 흐름제어 메시지에 의한 흐름제어가 유지되는 시간을 나타내는 유지시간 정보 및,
    상기 요청 메시지를 송신하는 간격을 나타내는 송신간격 정보 중에서 적어도 하나를 더 포함하는
    노드 장치.
  6. 제3항에 있어서,
    상기 흐름제어 메시지를 송신한 후에, 상기 식별한 인터페이스부로부터 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 상기 요청한 송신간격을 제외한 요청 메시지들을 폐기하는 공격 대응부를 더 포함하는
    노드 장치.
  7. 제3항에 있어서,
    상기 흐름제어 요청부는,
    상기 복수개의 인터페이스부들 모두로 상기 흐름제어 메시지를 송신하는
    노드 장치.
  8. 제7항에 있어서,
    상기 흐름제어 메시지를 상기 복수개의 인터페이스부들 별로 송신한 후에, 상기 복수개의 인터페이스부들 별로 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 상기 요청한 송신간격을 제외한 요청 메시지들을 폐기하는 공격 대응부를 더 포함하는
    노드 장치.
  9. 네임(name) 기반의 네트워크에서 발생되는 요청 메시지를 복수개의 인터페이스부들 중 하나를 통해 수신하는 단계;
    상기 요청 메시지를 수신한 인터페이스부를 식별하는 단계;
    상기 복수개의 인터페이스부들 각각에 매칭되는 복수개의 펜딩 테이블들 중에서 식별한 인터페이스부에 매칭된 펜딩 테이블을 식별하는 단계; 및
    식별한 펜딩 테이블에 상기 요청 메시지를 저장하는 단계를 포함하는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  10. 제9항에 있어서,
    상기 펜딩 테이블들은,
    각기 하나의 인터페이스부와 매칭되는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  11. 제9항에 있어서,
    상기 펜딩 테이블들 각각의 크기는,
    매칭된 인터페이스부들로 유입되는 트래픽을 고려해서 설정되는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  12. 제9항에 있어서,
    상기 식별한 펜딩 테이블에 저장된 용량을 확인하고, 상기 저장된 용량이 기설정된 임계값을 초과하는지 여부를 감지하는 공격감지 단계; 및
    상기 공격감지 단계에서 상기 식별한 펜딩 테이블의 상기 저장된 용량이 상기 기설정된 임계값을 초과함을 감지하면, 상기 식별한 인터페이스부로 흐름제어 메시지를 송신하는 단계를 더 포함하고,
    상기 흐름제어 메시지는 상기 요청 메시지를 송신하는 간격을 제어하도록 요청하는 메시지인
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  13. 제12항에 있어서,
    상기 흐름제어 메시지는,
    상기 노드 장치를 식별하고 인증할 수 있는 인증정보를 포함하는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  14. 제13항에 있어서,
    상기 흐름제어 메시지는,
    상기 흐름제어 메시지를 전파되는 노드의 수를 나타내는 홉(hop)수 정보,
    상기 흐름제어 메시지에 의한 흐름제어가 유지되는 시간을 나타내는 유지시간 정보 및,
    상기 요청 메시지를 송신하는 간격을 나타내는 송신간격 정보 중에서 적어도 하나를 더 포함하는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  15. 제12항에 있어서,
    상기 흐름제어 메시지를 송신하는 단계 이후에,
    상기 식별한 인터페이스부로부터 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 상기 요청한 송신간격을 제외한 요청 메시지들을 폐기하는 단계를 더 포함하는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  16. 제12항에 있어서,
    상기 흐름제어 메시지를 송신하는 단계는,
    상기 복수개의 인터페이스부들 모두로 상기 흐름제어 메시지를 송신하는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
  17. 제16항에 있어서,
    상기 흐름제어 메시지를 송신하는 단계 이후에,
    상기 복수개의 인터페이스부들 별로 요청한 송신간격보다 더 짧은 간격으로 요청 메시지들이 수신되면, 상기 요청한 송신간격을 제외한 요청 메시지들을 폐기하는 단계를 더 포함하는
    노드 장치에서 펜딩 테이블의 오버플로우를 방지하는 방법.
KR1020110055480A 2011-06-09 2011-06-09 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 KR101715080B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020110055480A KR101715080B1 (ko) 2011-06-09 2011-06-09 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
EP12171164.2A EP2533495B1 (en) 2011-06-09 2012-06-07 Apparatus and method preventing overflow of pending interest table in name based network system
US13/491,683 US9143527B2 (en) 2011-06-09 2012-06-08 Apparatus and method preventing overflow of pending interest table in name based network system
JP2012132321A JP6026789B2 (ja) 2011-06-09 2012-06-11 ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法
CN201210191863.2A CN102821039B (zh) 2011-06-09 2012-06-11 基于名称的网络系统中防止待定兴趣表溢出的设备和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110055480A KR101715080B1 (ko) 2011-06-09 2011-06-09 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20120136506A true KR20120136506A (ko) 2012-12-20
KR101715080B1 KR101715080B1 (ko) 2017-03-13

Family

ID=46229307

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110055480A KR101715080B1 (ko) 2011-06-09 2011-06-09 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법

Country Status (5)

Country Link
US (1) US9143527B2 (ko)
EP (1) EP2533495B1 (ko)
JP (1) JP6026789B2 (ko)
KR (1) KR101715080B1 (ko)
CN (1) CN102821039B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140081025A (ko) * 2012-12-21 2014-07-01 삼성전자주식회사 컨텐트 중심 네트워크에서의 통신 방법 및 장치

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120136507A (ko) * 2011-06-09 2012-12-20 삼성전자주식회사 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
CN103179037B (zh) * 2012-12-13 2015-12-09 清华大学 基于内容的数据中心网络的数据传输方法
CN104737505B (zh) * 2013-02-05 2017-07-14 华为技术有限公司 基于缓存的路由方法及路由节点
US20140280823A1 (en) * 2013-03-14 2014-09-18 Alcatel-Lucent Wire-speed pending interest table
CN104052667B (zh) * 2013-03-15 2017-05-31 华为技术有限公司 报文处理方法及设备
CN104283808B (zh) 2013-07-03 2019-03-26 华为技术有限公司 拥塞控制方法、设备及系统
CN103747083B (zh) * 2014-01-02 2015-10-14 北京邮电大学 一种基于ccn的内容推送方法
KR102185350B1 (ko) * 2014-06-10 2020-12-01 삼성전자주식회사 네트워크 노드 및 네트워크 노드의 동작 방법
US10397066B2 (en) 2014-10-27 2019-08-27 Telefonaktiebolaget Lm Ericsson (Publ) Content filtering for information centric networks
US9762490B2 (en) * 2014-10-27 2017-09-12 Telefonaktiebolaget L M Ericsson (Publ) Content filtering for information centric networks
CN104537091B (zh) * 2015-01-06 2018-08-10 湖南科技大学 一种基于层次标识路由的网络化关系数据查询方法
US10425503B2 (en) 2016-04-07 2019-09-24 Cisco Technology, Inc. Shared pending interest table in a content centric network
CN107369319B (zh) * 2017-06-06 2019-12-10 中国科学院信息工程研究所 一种路况信息的获取方法及装置
CN108924055B (zh) * 2018-08-23 2019-06-14 北京理工大学 一种基于斯坦纳树的命名数据网络多播路由方法
CN110035377B (zh) * 2019-03-19 2020-08-14 南开大学 一种基于动态方向接口模型的车载命名数据网络传输方法
CN110753123B (zh) * 2019-10-28 2020-10-23 北京理工大学 一种面向连接的命名数据网络数据传输方法
CN113132238A (zh) * 2019-12-31 2021-07-16 华为技术有限公司 一种通信方法及设备
CN111786976B (zh) * 2020-06-22 2021-05-25 上海交通大学 一种ndn网络中基于路径聚合的兴趣包泛洪攻击检测系统
KR102651987B1 (ko) * 2021-10-08 2024-03-27 한국전자통신연구원 NDN 네트워크에서 DDoS 공격 대응 방법 및 장치

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19845331A1 (de) 1998-10-01 2000-04-06 Siemens Ag Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem Kommunikations- oder Datennetz oder einem Netz aus Kommunikations- und Datennetz
US8204082B2 (en) 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
JP3861625B2 (ja) 2001-06-13 2006-12-20 ソニー株式会社 データ転送システム、データ転送装置、記録装置、データ転送方法
KR20090037962A (ko) 2001-08-15 2009-04-16 프리캐시 인크. 게시-가입 네트워크에서의 페이로드 조사 및 가입 처리를 통한 패킷 라우팅
US7656840B2 (en) * 2003-02-26 2010-02-02 Nokia Corporation Method of reducing denial-of-service attacks and a system as well as an access router therefor
US20060130140A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation System and method for protecting a server against denial of service attacks
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US20090291685A1 (en) * 2005-10-31 2009-11-26 Matsushita Electric Industrial Co., Ltd. Radio communication system, communication device, and relay device
US8161549B2 (en) * 2005-11-17 2012-04-17 Patrik Lahti Method for defending against denial-of-service attack on the IPV6 neighbor cache
US20070115828A1 (en) * 2005-11-18 2007-05-24 Ramandeep Ahuja Method for sending requests in a network
US7607041B2 (en) * 2005-12-16 2009-10-20 Cisco Technology, Inc. Methods and apparatus providing recovery from computer and network security attacks
US20070156594A1 (en) 2006-01-03 2007-07-05 Mcgucken Elliot System and method for allowing creators, artsists, and owners to protect and profit from content
JP4837378B2 (ja) * 2006-01-04 2011-12-14 株式会社日立製作所 データの改竄を防止する記憶装置
JP2007266850A (ja) * 2006-03-28 2007-10-11 Fujitsu Ltd 伝送装置
JP2009147569A (ja) * 2007-12-12 2009-07-02 Fujitsu Ltd フレーム送信装置およびフレーム受信装置
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network
US20100063873A1 (en) 2008-09-08 2010-03-11 Elliot McGucken Method for providing creator-centric region on displays, devices, and social networks where content owners can define rights and creating a novel rights and content repositor
US8204060B2 (en) 2009-01-30 2012-06-19 Palo Alto Research Center Incorporated Method and system for facilitating forwarding a packet in a content-centric network
US8121135B2 (en) * 2009-06-23 2012-02-21 Juniper Networks, Inc. Discovering path maximum transmission unit size
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
KR101688857B1 (ko) * 2010-05-13 2016-12-23 삼성전자주식회사 컨텐츠 중심 네트워크(ccn)에서 단말 및 허브의 통신 방법 및 컨텐츠 중심 네트워크를 위한 단말
US8837499B2 (en) * 2011-05-14 2014-09-16 International Business Machines Corporation Distributed fabric protocol (DFP) switching network architecture
US8667172B2 (en) * 2011-06-07 2014-03-04 Futurewei Technologies, Inc. Method and apparatus for content identifier based radius constrained cache flooding to enable efficient content routing
KR20120136507A (ko) * 2011-06-09 2012-12-20 삼성전자주식회사 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
US8694675B2 (en) * 2011-09-01 2014-04-08 Futurewei Technologies, Inc. Generalized dual-mode data forwarding plane for information-centric network
KR101474320B1 (ko) * 2013-02-04 2014-12-18 아주대학교산학협력단 위치기반 컨텐츠를 위한 위치기반 컨텐츠 중심 네트워킹 방법
US9185120B2 (en) * 2013-05-23 2015-11-10 Palo Alto Research Center Incorporated Method and system for mitigating interest flooding attacks in content-centric networks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Junho Suh et al., "Implementation of Content-oriented Networking Architecture(CONA): A Focus on DDoS Countermeasure"(2010.09.10.)* *
Lixia Zhang et al., "Named Data Networking (NDN) Project NDN-0001"(2010.10.31.)* *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140081025A (ko) * 2012-12-21 2014-07-01 삼성전자주식회사 컨텐트 중심 네트워크에서의 통신 방법 및 장치

Also Published As

Publication number Publication date
EP2533495A2 (en) 2012-12-12
CN102821039B (zh) 2017-06-16
KR101715080B1 (ko) 2017-03-13
EP2533495B1 (en) 2014-03-12
JP2012257251A (ja) 2012-12-27
US20120317643A1 (en) 2012-12-13
JP6026789B2 (ja) 2016-11-16
US9143527B2 (en) 2015-09-22
EP2533495A3 (en) 2013-01-16
CN102821039A (zh) 2012-12-12

Similar Documents

Publication Publication Date Title
KR20120136506A (ko) 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
KR20120136507A (ko) 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
US7434262B2 (en) Methods and systems that selectively resurrect blocked communications between devices
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US10135785B2 (en) Network security system to intercept inline domain name system requests
US8990573B2 (en) System and method for using variable security tag location in network communications
KR101067781B1 (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
WO2016191232A1 (en) Mitigation of computer network attacks
CN107690004B (zh) 地址解析协议报文的处理方法及装置
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
US20190028479A1 (en) Relay apparatus
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
KR20210066432A (ko) 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법
WO2023060881A1 (zh) 报文源地址识别方法及装置
JP2005229234A (ja) ネットワーク攻撃検出方法、ネットワーク攻撃元識別方法、ネットワーク装置、ネットワーク攻撃検出プログラムおよびネットワーク攻撃元識別プログラム
US20240146762A1 (en) Intelligent manipulation of denial-of-service attack traffic
KR20110061217A (ko) 플로우 패턴 정보를 이용한 분산 서비스 거부 공격 검출 시스템 및 그 방법
KR101959440B1 (ko) 네트워크 보안 장치 및 그의 트래픽 처리 방법
JP2006050081A (ja) 不正アクセス防御システム
CN117955690A (zh) 一种蜜庭防御方法、系统、装置及存储介质
CN117896173A (zh) 一种服务器ddos攻击防御方法及存储介质
CN116633633A (zh) 数据传输方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200225

Year of fee payment: 4