KR20140047221A - 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진 - Google Patents

네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진 Download PDF

Info

Publication number
KR20140047221A
KR20140047221A KR1020120111983A KR20120111983A KR20140047221A KR 20140047221 A KR20140047221 A KR 20140047221A KR 1020120111983 A KR1020120111983 A KR 1020120111983A KR 20120111983 A KR20120111983 A KR 20120111983A KR 20140047221 A KR20140047221 A KR 20140047221A
Authority
KR
South Korea
Prior art keywords
packet
session
matching
filter
engine
Prior art date
Application number
KR1020120111983A
Other languages
English (en)
Inventor
이상석
백승태
김태완
최일훈
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020120111983A priority Critical patent/KR20140047221A/ko
Priority to US14/048,686 priority patent/US20140101751A1/en
Publication of KR20140047221A publication Critical patent/KR20140047221A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 기반 정보유출방지 시스템에 대하여 개시한다. 본 발명의 일면에 따른 네트워크 기반 정보유출방지 시스템은, 인라인 또는 미러링 방식으로 입력되는 입력 패킷의 페이로드를 일정 크기 단위로 해쉬 처리하고, 기저장된 패턴과 비교하여 매칭되면, 매칭된 상기 기저장된 패턴에 대응하는 매칭 규칙 ID와 업로드 채널 ID를 확인하고, 상기 입력 패킷의 헤더에, 상기 매칭의 결과, 상기 매칭 규칙 ID 및 상기 업로드 채널 ID를 포함하는 태깅 정보를 추가하여 출력하는 패턴 매칭부를 포함하는 FPGA 엔진; 및 상기 태깅 정보가 추가된 패킷을 전달받아, 기등록된 세션의 패킷인지를 확인하고, 기등록된 세션의 패킷이면 상기 기등록된 세션에 대해 기등록된 처리를 수행하고, 그렇지 않으면 통과시키는 세션 리스트 필터, 및 상기 태깅 정보를 확인하여 매칭된 패킷이면, 상기 매칭 규칙 ID에 대응하여 업로드, 포워드 또는 폐기하는 처리부를 포함하는 MCP 엔진을 포함하는 것을 특징으로 한다.

Description

네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진{Hardward Engine for High-capacity Packet Processing of Network Data Loss Prevention Appliance}
본 발명은 네트워크 기반 정보유출방지(DLP) 솔루션에 관한 것으로서, 더 구체적으로는 유입되는 네트워크 트래픽을 분석하여 관심 대상 트래픽을 검색할 수 있는 네트워크 기반 정보유출방지 시스템에 관한 것이다.
일반적으로, 네트워크 기반 정보유출방지 시스템은 최종 관심대상 트래픽을 선별하기 위해서 각종 필터링을 통해 비관심 트래픽을 걸러내고, 네트워크의 메신저 등과 같이 관심 특정 응용 프로토콜을 식별하기 위해 패턴 매칭 기법 등을 이용한다.
그런데, 소프트웨어 방식의 패턴 매칭 엔진은 수백 Mbps급 정도의 패킷만을 처리할 수 있을 뿐이므로, 하드웨어 결합형 전용 하드웨어 패킷 처리 엔진을 구현하고 있다.
따라서, 네트워크 기반 정보유출 시스템은 1차 하드웨어 엔진에서 관심대상 트래픽의 범위를 상당히 좁힌 후, 2차 최종 소프트웨어엔진에서 차단 및 로깅 대상을 정밀 판별하고 있다.
종래의 MCP(Multi-Core Processor) 기반 패턴 매칭 하드웨어 엔진은 응용프로토콜 식별을 위한 세션 기반의 패턴 매칭이 용이하고, 비교적 구현이 쉬운 장점이 있다.
그런데, MCP 기반 하드웨어 엔진은 화이트 리스트 및 블랙 리스트 기반의 필터링에 시간이 많이 소요되고, 등록된 엔트리 수가 많고 적음에 따라, 성능 차이가 크며, 전체 패킷 처리시간의 불균일성과 패킷 입력 순서대로 처리하는 패킷 오더링을 보장하지 못하여, 최대 수십~수백 개의 엔트리만을 제공하는 제약이 있었다.
더욱이, 종래의 MCP 기반 하드웨어 엔진은 패킷을 일정 크기 단위로 해쉬 처리하여 기저장된 패턴과 매칭할 때, 페이로드 내 첫 바이트에서 임의 바이트를 지난 패턴의 그룹을 검색할 경우(즉, Offset 개념의 패턴 매칭일 경우)에는 소프트웨어 방식의 전수 매칭을 수행하였다. 이때, 종래의 MCP 기반 하드웨어 엔진은 이전 패킷의 패턴 매칭 결과가 도출되기 이전에는 이후 패킷의 패턴 매칭은 시도도 되지 않고, 대기 되므로, 과도한 트래픽이 입력되는 경우나, 연속적으로 고속 트래픽의 입력되는 경우에는 병목 현상이 발생할 뿐 아니라, 패킷을 놓치는 현상이 발생하였다. 이 경우, 칩셋다운 현상까지 발생할 수 있어, 종래의 MCP 기반 하드웨어 엔진은 10Gbps급 이하의 패킷의 패턴 매칭만을 수행하였다.
본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, FPGA 기반 하드웨어 엔진에 의해 패킷을 전수 매칭할 수 있는 네트워크 기반 정보유출방지 시스템을 제공하는 것을 그 목적으로 한다.
본 발명의 일면에 따른 네트워크 기반 정보유출방지 시스템은, 인라인 또는 미러링 방식으로 입력되는 입력 패킷의 페이로드를 일정 크기 단위로 해쉬 처리하고, 기저장된 패턴과 비교하여 매칭되면, 매칭된 상기 기저장된 패턴에 대응하는 매칭 규칙 ID와 업로드 채널 ID를 확인하고, 상기 입력 패킷의 헤더에, 상기 매칭의 결과, 상기 매칭 규칙 ID 및 상기 업로드 채널 ID를 포함하는 태깅 정보를 추가하여 출력하는 패턴 매칭부를 포함하는 FPGA 엔진; 및 상기 태깅 정보가 추가된 패킷을 전달받아, 기등록된 세션의 패킷인지를 확인하고, 기등록된 세션의 패킷이면 상기 기등록된 세션에 대해 기등록된 처리를 수행하고, 그렇지 않으면 통과시키는 세션 리스트 필터, 및 상기 태깅 정보를 확인하여 매칭된 패킷이면, 상기 매칭 규칙 ID에 대응하여 업로드, 포워드 또는 폐기하는 처리부를 포함하는 MCP 엔진을 포함하는 것을 특징으로 한다.
본 발명에 따르면, 10Gbps급 이상의 네트워크 트래픽이 송수신 되는 환경에서도 유연하고 안정적으로 패킷 필터링 및 세션 플로우 관리를 수행할 수 있다.
도 1은 본 발명의 네트워크 기반 정보유출방지 시스템을 도시한 구성도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 발명은 다수의 10Gbps급 포트를 수용하여 최소 40Gbps급 이상의 대용량 트래픽에 대한 패턴 매칭과 세션 플로우를 관리하여 패턴 매칭 효과를 증대할 수 있는 패턴 및 세션 기반의 네트워크 응용프로토콜을 식별할 수 있는 패킷 처리 엔진에 관한 것이다.
이제 본 발명의 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다. 도 1은 본 발명의 실시예에 따른 네트워크 기반 정보유출방지 시스템을 도시한 구성도이다.
도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 네트워크 기반 정보유출방지 시스템(10)은 제1 분석 엔진(100, 200), 메모리(300) 및 제2 분석 엔진(400)을 포함한다. 여기서, 제1 분석 엔진(100, 200)은 FPGA 엔진(100)과 MCP 엔진(200)을 포함한다.
본 발명의 실시예에 따른 네트워크 기반 정보유출방지 시스템(10)은 복수의(예컨대, 4개) 10GbE 포트를 통해 10GbE 인터넷 라인 상에, 인라인(In-Line) 모드, 또는 탭(TAP)이나 백본 스위치 장비의 포트 미러링을 통한 미러링(Mirroring) 모드로 구성될 수 있으며, 인라인 모드에서는 인라인 방식으로, 미러링 모드에서는 미러링 방식으로 유입되는 인/아웃(In/Out) 양방향의 모든 트래픽을 처리할 수 있다.
메모리(300)는 TCAM(Ternary Content Addressable Memory)로서, 소스 IP, 소스 포트(Port), 목적지(Dst) IP, 목적지 포트, 패킷 프로토콜 및 물리적인 입력포트번호(Physical Port)를 포함하는 6-튜플 화이트 리스트, 6-튜플 블랙 리스트, 패턴 매칭부(130)의 패턴 매칭시에 사용될 비교대상 패턴, 각 비교대상 패턴에 대응하는 비교대상 데이터, 매칭 규칙 ID 및 채널 ID 및 기등록된 5-튜플 세션 리스트 등을 저장한다. 여기서, 메모리(300)는 비교대상 패턴(해쉬값)에 대응하는 주소에 비교대상 데이터를 저장하며, 비교대상 데이터와 연관되는 위치에 매칭 규칙 ID 및 채널 ID를 저장한다.
FPGA 엔진(100)은 FPGA(Field-Programmable Gate Array) 기반의 하드 와이어(Hardwire) 로직으로서, 화이트 리스트 필터(110) 및 블랙 리스트 필터(120) 및 패턴 매칭부(130)를 포함한다.
화이트 리스트 필터(110)는 입력 패킷의 6-튜플(Tuple)을 확인하여 6-튜플 화이트 리스트에 대응하는 패킷은 통과시키고, 6-튜플 화이트 리스트에 대응하지 않는 패킷은 포워드(또는 폐기)한다. 이때, 화이트 리스트 필터(110)는 6-튜플 화이트 리스트에 대응하지 않는 패킷이 인라인 방식으로 입력된 경우, 반대 편의 포트로 포워드하여 목적지로 송신하며, 미러링 방식으로 입력된 경우, 폐기(Drop)한다. 이는 이하에서도 동일하다.
블랙 리스트 필터(120)는 화이트 리스트 필터(110)를 통과한 패킷 중에 6-튜플 블랙 리스트에 대응하는 패킷을 포워드(또는 폐기)하고, 6-튜플 블랙 리스트에 대응하지 않은 화이트 리스트 필터(110)를 통과한 패킷을 통과시킨다.
패턴 매칭부(130)는 전달받은 패킷의 페이로드를 일정 크기 단위로 해쉬 처리하고, 해쉬 처리된 패턴과 메모리(300)에 기저장된 패턴을 비교한다.
패턴 매칭부(130)는 해쉬 처리된 패턴이 기저장된 패턴과 동일하면, 매칭된 패턴에 대해 기등록된 매칭 규칙을 참조하여 매칭 규칙 ID(Rule ID) 및 업로드될 채널 ID를 결정한다.
패턴 매칭부(130)는 전달받은 패킷의 헤더에 패턴 매칭 결과(Result ID), 매칭 규칙 ID와, 채널 ID를 태깅하여 MCP 엔진(200)에 전달한다. 여기서, 패턴 매칭 결과는 패턴 매칭 여부를 나타내는 정보비트를 포함하며, 매칭 규칙 ID는 매칭 규칙의 고유 ID와 업로드 패턴인지 여부를 나타내는 정보비트를 포함하며, 업로드 채널 ID는 업로드될 채널을 나타내는 정보비트를 포함한다.
이때, 사전 정의된 패턴규칙의 엔트리 수는 임계개수(예컨대, 최대 2048개) 이하이나, 동시에 임계개수의 해쉬 처리를 수행하는 것은 무리가 있으므로, 패턴 매칭부(130)는 패킷을 임계개수 이하의 소수개의 패턴 그룹으로 분류하여, 소수개의 해쉬 처리를 동시에 실시한다.
예를 들어, 64Bytes의 패킷을 패턴 매칭할 때, 64Bytes에서 최초 몇 바이트는 관심 대상이고, 나머지는 확인하지 않는 룰 패턴 그룹의 경우, 패턴 매칭부(130)는 64Bytes의 패킷에서 확인하지 않을 위치의 정보들은 널 마스킹(Null masking; 00’h)한 다음, 해쉬 처리한다. 먼저, 패턴 매칭부(130)는, 64Bytes 패킷에서 대표적인 소수개의 패턴그룹에 대해 해쉬 처리를 동시에 수행하고, 일 해쉬값에 대응하는 메모리(300)의 어드레스에서 읽어드린 데이터를 해쉬 처리되지 않은 페이로드(널 마스킹된 값)값과 매칭되는지 여부를 확인한다. 패턴 매칭부(130)는 해쉬 처리되지 않은 데이터와 읽어드린 데이터가 매칭된 경우 패턴 매칭을 수행하고, 매칭되지 않으면 다음 해쉬값에 대응하는 메모리(300)의 어드레스에서 읽어드린 데이터와 해쉬 처리되지 않은 페이로드를 비교하여 다시 매칭 여부를 확인한다. 여기서, 각 해쉬값에 대한 패턴 매칭의 시도는 소수개의 패턴 그룹 수만큼 수행되며, 해당 패킷의 매칭 과정은 다음번 패킷이 패턴 매칭부(130)에 전달되기 이전에 끝나도록 보장된다.
MCP 엔진(200)은 MCP(Multi Chip Package) 기반의 하드웨어 엔진으로서, 세션 리스트 필터(210), 다중 필터(220) 및 처리부(230)를 포함한다.
세션 리스트 필터(210)는 FPGA 엔진(100)으로부터 전달받은 패킷이 기등록된 세션의 패킷인지를 확인한다. 이때, 세션 리스트 필터(210)는 전달받은 패킷의 5-튜플(소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜)을 기등록된 세션의 5-튜플과 비교하여, 전달받은 패킷이 기등록된 세션의 패킷인지 여부를 확인할 수 있다.
세션 리스트 필터(210)는 전달받은 패킷이 기등록된 세션의 패킷이면, 해당 세션의 정책에 따라 업로드할 채널로 업 로드하거나, 포워드(또는 폐기)한다.
세션 리스트 필터(210)는 FPGA 엔진(100)으로부터의 패킷이 기등록된 세션의 패킷이 아니면, 다중 필터(220)로 전달한다.
다중 필터(220)는 전달받은 패킷을 URI 확장자 필터, 콘텐츠 타입 필터 및 콘텐츠 정책 필터 중 적어도 하나의 필터로 필터링하고, 각 필터의 필터링 옵션에 따라 필터링된 패킷을 통과, 포워딩(또는 폐기)시킨다.
또한, 다중 필터(220)는 필터링된 패킷의 세션 및 매칭 결과를 메모리(300)에 등록하여 이후 세션 리스트 필터(210)가 해당 세션의 패킷을 포워딩(또는 폐기)하거나, 업로드하도록 한다.
예를 들어, 다중 필터(220)는 URL 확장자 필터링을 수행할 때, 입력된 패킷의 페이로드를 검사하여 URI를 추출하고, 해당 URI 내 콘텐츠의 속성인 확장자를 식별하여 기등록된 URI를 갖는 필요없는 패킷을 포워딩(또는 폐기)하고, 해당 패킷의 세션을 세션 리스트에 등록할 수 있다.
다른 예로서, 다중 필터(220)는 콘텐츠 타입 필터링을 수행할 때, 입력된 패킷 중에서 HTTP 응답 패킷의 페이로드에서 콘텐츠 타입 영역을 검색하고, 사전에 정의된 특정 콘텐츠 타입에 대응하는 패킷을 포워딩(또는 폐기)하고, 해당 패킷의 세션을 세션 리스트에 등록할 수 있다.
또 다른 예로서, 다중 필터(220)는 6-튜플 기반의 콘텐츠 정책 필터링을 수행할 때, 기정의된 필터링 대상의 6-튜플 정보 및 정책을 참조하여 입력된 패킷 중에서 필터링된 패킷을 포워딩(또는 폐기)하고, 필터링되지 않은 패킷을 출력한다.
처리부(230)는 다중 필터(220)로부터 전달받은 패킷의 헤더에 태깅된 매칭 결과를 참조하여 매칭 여부를 판단하고, 패턴 매칭되지 않았다면 포워드(또는 폐기)한다.
처리부(230)는 패턴 매칭된 패킷에 대해서는 그 헤더에 포함된 패턴 규칙 ID를 참조하여 해당 패킷을 포워드(또는 폐기) 해야할지 아니면, 업로드해야 할지를 확인한다.
처리부(230)는 패턴 매칭된 패킷을 업로드해야할 경우, 그 헤더에 포함된 업로드 채널 ID를 참조하여 해당 채널로 업로드하고, 포워드(또는 폐기)해야할 경우, 포워드(또는 폐기)한다.
한편, 처리부(230)는 매칭된 패킷을 세션 리스트에 등록하되, 업로드할지 포워드(또는, 폐기)할지에 대한 정보와 업로드될 채널 ID를 함께 등록한다. 이때, 처리부(230)는 매칭 규칙 ID에 따라 해당 패킷의 세션 중에서 요청(Syn) 방향의 세션 및 응답 방향의 세션 중 어느 방향의 세션을 등록할지를 결정하고, 결정된 방향의 세션을 채널 ID와 함께 세션 리스트에 등록한다.
제2 분석 엔진(400)은 MCP 엔진(200)으로부터 전달받은 패킷의 응용 프로토콜을 식별하여 해당 패킷에 의해 구성되는 콘텐츠를 분석하고, 콘텐츠에 대해 기설정된 보안 정책을 수행한다.
이와 같이, 본 발명은 10Gbps급 이상의 네트워크 환경에서도 유연하고 안정적으로 패킷 필터링 및 세션 플로우 관리를 수행할 수 있다.
또한, 본 발명은 FPGA와 MCP 기반 하드웨어 엔진을 활용하여 FPGA 기반 하드 와이어(Hard Wire) 엔진에서는 대용량 트래픽에 대한 전수 패턴 매칭 기능을 수행하여 막힘없이 트래픽을 처리하고, MCP에서는 FPGA에서 패턴 매칭한 결과를 넘겨받아 양방향 세션 기반, OutBound 세션 기반, 및 In-Bound 세션 기반의 정책을 적용하여 최종 세션 단위의 패턴 매칭 결과를 적용할 수 있다. 따라서, 본 발명은 패킷 처리 부하를 줄이고, 처리 속도를 향상시킬 수 있으며, 패턴 매칭 성능을 향상시킬 수 있다.
이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이 가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.

Claims (8)

  1. 인라인 또는 미러링 방식으로 입력되는 입력 패킷의 페이로드를 일정 크기 단위로 해쉬 처리하고, 기저장된 패턴과 비교하여 매칭되면, 매칭된 상기 기저장된 패턴에 대응하는 매칭 규칙 ID와 업로드 채널 ID를 확인하고, 상기 입력 패킷의 헤더에, 상기 매칭의 결과, 상기 매칭 규칙 ID 및 상기 업로드 채널 ID를 포함하는 태깅 정보를 추가하여 출력하는 패턴 매칭부를 포함하는 FPGA 엔진; 및
    상기 태깅 정보가 추가된 패킷을 전달받아, 기등록된 세션의 패킷인지를 확인하고, 기등록된 세션의 패킷이면 상기 기등록된 세션에 대해 기등록된 처리를 수행하고, 그렇지 않으면 통과시키는 세션 리스트 필터, 및 상기 태깅 정보를 확인하여 매칭된 패킷이면, 상기 매칭 규칙 ID에 대응하여 업로드, 포워드 또는 폐기하는 처리부를 포함하는 MCP 엔진
    을 포함하는 네트워크 기반 정보유출방지 시스템.
  2. 제1항에 있어서, 상기 FPGA 엔진은,
    상기 입력 패킷의 6-튜플(Tuple)을 확인하여 화이트리스트에 대응하면 통과시키며, 상기 입력 패킷의 6-튜플이 상기 화이트리스트의 6-튜플에 대응되지 않으면, 포워드 또는 폐기하는 화이트리스트 필터
    를 더 포함하는 것인 네트워크 기반 정보유출방지 시스템.
  3. 제1항에 있어서, 상기 FPGA 엔진은,
    상기 입력 패킷에서 블랙리스트에 대응하지 않는 패킷을 통과시키며, 상기 입력 패킷에서 상기 블랙리스트에 대응하는 패킷을 포워드 또는 폐기하는 블랙리스트 필터를 더 포함하는 것인 네트워크 기반 정보유출방지 시스템.
  4. 제1항에 있어서, 상기 세션 리스트 필터는,
    상기 태깅 정보가 추가된 패킷의 5-튜플과 상기 기등록된 세션의 5-튜플을 비교하여 상기 태깅 정보가 추가된 패킷이 상기 기등록된 세션의 패킷인지를 확인하는 것인 네트워크 기반 정보유출방지 시스템.
  5. 제1항에 있어서, 상기 처리부는,
    상기 태깅 정보의 상기 매칭의 결과를 확인하여 매칭된 패킷이면, 상기 매칭 규칙 ID에 따라 포워드, 폐기 또는 상기 채널 ID에 대응하는 채널로 업로드한 후 상기 매칭된 패킷에 대응하는 세션을 등록하는 것인 네트워크 기반 정보유출방지 시스템.
  6. 제1항에 있어서,
    각기 해쉬값으로 구분되는 주소에 상기 해쉬값으로 해쉬 처리되기 이전의 비교대상 데이터를 각기 저장하는 메모리를 더 포함하고,
    상기 패턴 매칭부는, 상기 입력 패킷의 페이로드를 상기 일정 크기 단위로 해쉬 처리한 해쉬값에 대응하는 상기 메모리의 주소에 저장된 상기 비교대상 데이터와 상기 페이로드의 일정 크기를 비교하여 일치하면, 패턴 매칭하는 것인 네트워크 기반 정보유출방지 시스템.
  7. 제6항에 있어서, 상기 패턴 매칭부는,
    상기 패턴 매칭 중인 입력 패킷의 다음번 입력 패킷이 전달되기 이전에, 상기 입력 패킷의 페이로드에 대한 상기 패턴 매칭을 종료하는 것인 네트워크 기반 정보유출방지 시스템.
  8. 제1항에 있어서, 상기 MCP 필터는,
    복수의 방식의 필터에 의해 상기 세션 리스트 필터를 통과한 패킷을 필터링하고, 필터링되지 않은 패킷을 통과시키고, 필터링된 상기 세션 리스트 필터를 통과한 패킷의 세션을 등록하는 다중 필터
    를 더 포함하는 네트워크 기반 정보유출방지 시스템.
KR1020120111983A 2012-10-09 2012-10-09 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진 KR20140047221A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120111983A KR20140047221A (ko) 2012-10-09 2012-10-09 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진
US14/048,686 US20140101751A1 (en) 2012-10-09 2013-10-08 Hardware engine for high-capacity packet processing of network based data loss prevention appliance

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120111983A KR20140047221A (ko) 2012-10-09 2012-10-09 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020140075504A Division KR101448549B1 (ko) 2014-06-20 2014-06-20 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진

Publications (1)

Publication Number Publication Date
KR20140047221A true KR20140047221A (ko) 2014-04-22

Family

ID=50433846

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120111983A KR20140047221A (ko) 2012-10-09 2012-10-09 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진

Country Status (2)

Country Link
US (1) US20140101751A1 (ko)
KR (1) KR20140047221A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111163236A (zh) * 2019-12-31 2020-05-15 中国银行股份有限公司 客服系统验密优化方法和装置

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2534563A (en) * 2015-01-26 2016-08-03 Telesoft Tech Ltd Data retention probes and related methods
GB2536681A (en) * 2015-03-25 2016-09-28 Telesoft Tech Ltd Methods and apparatus for processing data in a network
US10193797B2 (en) * 2015-05-08 2019-01-29 Oracle International Corporation Triggered-actions network processor
US9888095B2 (en) 2015-06-26 2018-02-06 Microsoft Technology Licensing, Llc Lightweight transport protocol
US9805204B1 (en) * 2015-08-25 2017-10-31 Symantec Corporation Systems and methods for determining that files found on client devices comprise sensitive information
US20240015139A1 (en) * 2022-07-07 2024-01-11 Fortinet, Inc. Systems and methods for preventing data leaks over rtp or sip

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6430184B1 (en) * 1998-04-10 2002-08-06 Top Layer Networks, Inc. System and process for GHIH-speed pattern matching for application-level switching of data packets
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US7624436B2 (en) * 2005-06-30 2009-11-24 Intel Corporation Multi-pattern packet content inspection mechanisms employing tagged values
US8103764B2 (en) * 2008-10-14 2012-01-24 CacheIQ, Inc. Method and apparatus for matching trigger pattern
CN101478551B (zh) * 2009-01-19 2011-12-28 清华大学 基于多核处理器的多域网包分类方法
US8520538B2 (en) * 2010-02-25 2013-08-27 Clearwire Ip Holdings Llc Method and system for managing traffic in a wireless communication system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111163236A (zh) * 2019-12-31 2020-05-15 中国银行股份有限公司 客服系统验密优化方法和装置

Also Published As

Publication number Publication date
US20140101751A1 (en) 2014-04-10

Similar Documents

Publication Publication Date Title
US10735221B2 (en) Flexible processor of a port extender device
US9866540B2 (en) System and method for rule matching in a processor
KR20140047221A (ko) 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진
US8149705B2 (en) Packet communications unit
US9258225B2 (en) System and method for efficient matching of regular expression patterns across multiple packets
US8724496B2 (en) System and method for integrating line-rate application recognition in a switch ASIC
US8638793B1 (en) Enhanced parsing and classification in a packet processor
US20140153435A1 (en) Tiered deep packet inspection in network devices
CN103312565B (zh) 一种基于自主学习的对等网络流量识别方法
EP2482497B1 (en) Data forwarding method, data processing method, system and device thereof
US9246930B2 (en) System and method for pattern matching in a network security device
US20140341019A1 (en) Communication system, control apparatus, and communication method
KR100723864B1 (ko) 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치
US8572759B2 (en) Communication management system and communication management method
CN111865996A (zh) 数据检测方法、装置和电子设备
KR101292873B1 (ko) 네트워크 인터페이스 카드장치 및 상기 네트워크 인터페이스 카드장치를 이용한 트래픽 처리 방법
KR101448549B1 (ko) 네트워크 정보유출방지 기기의 대용량 패킷 처리를 위한 하드웨어 엔진
KR101275709B1 (ko) 응용프로토콜별 분산처리기능을 제공하는 네트워크 기반의 ndlp용 패킷 처리 시스템 및 방법
US8463727B2 (en) Communication management system and communication management method
KR102014741B1 (ko) Fpga 기반 고속 스노트 룰과 야라 룰 매칭 방법
US9742699B2 (en) Network apparatus and selective information monitoring method using the same
CN113935430B (zh) 一种多样化识别私有加密数据的方法及系统
JP2019009702A (ja) パケット中継装置およびパケット中継方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
AMND Amendment
A107 Divisional application of patent