KR20170004052A - 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템 - Google Patents

네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템 Download PDF

Info

Publication number
KR20170004052A
KR20170004052A KR1020150093863A KR20150093863A KR20170004052A KR 20170004052 A KR20170004052 A KR 20170004052A KR 1020150093863 A KR1020150093863 A KR 1020150093863A KR 20150093863 A KR20150093863 A KR 20150093863A KR 20170004052 A KR20170004052 A KR 20170004052A
Authority
KR
South Korea
Prior art keywords
bandwidth
traffic
bandwidth management
management system
flow
Prior art date
Application number
KR1020150093863A
Other languages
English (en)
Inventor
김성수
한영태
구태환
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150093863A priority Critical patent/KR20170004052A/ko
Publication of KR20170004052A publication Critical patent/KR20170004052A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 트래픽 상태에 기반하여 대역폭을 관리하는 방법 및 장치에 관한 기술이 개시된다. 네트워크 트래픽 상태에 기반한 대역폭 관리 시스템은, 네트워크 상의 스위치로부터 공유 링크에 대한 트래픽 상태 정보를 수집하고, 트래픽 상태 정보에 기반하여 악성 트래픽 후보를 선별하여 포워딩 경로를 결정하는 트래픽 제어 장치와; 악성 트래픽 후보로부터 악성 트래픽을 추출하도록 악성 트래픽 후보로 선별된 플로우가 결정된 포워딩 경로를 거치도록 스위치를 제어하는 컨트롤러를 포함한다. 따라서, 대역폭 사용량을 고객별(개별 플로우 별)로 모니터링하여 동적으로 대역폭을 제어할 수 있다.

Description

네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템{METHOD AND SYSTEM FOR BANDWIDTH MANAGEMENT BASED ON NETWORK TRAFFIC CONDITION}
본 발명은 네트워크 대역폭 관리에 관한 것으로, 더욱 상세하게는 소프트웨어 정의 네트워킹 환경에서 네트워크 트래픽 상태에 기반하여 대역폭을 관리하는 방법 및 장치에 관한 것이다.
소프트웨어 정의 네트워킹(Software Defined Networking: SDN) 환경에서는 네트워크내의 스위치들은 데이터 평면(Data Plane)에서 단순히 플로우 테이블(Flow Table)에 명시된 대로 패킷(Packet)을 전달하는 기능만을 수행하고, 패킷을 원하는 경로로 전달하기 위한 제어는 제어 평면(Control Plane)에 위치한 SDN 컨트롤러(SDN Controller)에서 수행한다.
또한, 기존의 네트워크 서비스 또는 서비스 기능(Service Function, 예, NAT, DPI, Firewall)은 데이터가 지나가는 경로상에 위치해야 하는 제약이 있었으나, 최근에는 이러한 제약 사항 없는 서비스를 위한 Service Function Chaining(SFC) 기술에 대한 논의가 있다.
한편, 여러 고객들을 수용하는 상용 네트워크에서 분산 서비스 거부(Distributed Denial of Service - DDoS) 공격의 대상이 되거나 특정 호스트가 P2P, FTP 등의 서비스를 이용하여 데이터를 다운받는 경우, 네트워크 대역폭을 과다하게 점유하여 다른 고객들의 네트워크 서비스에 장애나 서비스 품질의 저하를 초래할 수 있다.
그러나, SDN 또는 SFC 환경에서 네트워크 대역폭에 대한 과다 점유 등에 의한 서비스 장애 및 서비스 품질 저하를 해소하기 위한 기술이 미흡한 실정이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, SDN 또는 SFC 환경에서 네트워크 트래픽 상태에 기반하여 대역폭을 관리하는 시스템을 제공하는데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, SDN 또는 SFC 환경에서 네트워크 트래픽 상태에 기반하여 대역폭을 관리하는 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 시스템은, 네트워크 상의 스위치로부터 공유 링크에 대한 트래픽 상태 정보를 수집하고, 트래픽 상태 정보에 기반하여 악성 트래픽 후보를 선별하여 포워딩 경로를 결정하는 트래픽 제어 장치와; 악성 트래픽 후보로부터 악성 트래픽을 추출하도록 악성 트래픽 후보로 선별된 플로우가 결정된 포워딩 경로를 거치도록 스위치를 제어하는 컨트롤러를 포함한다.
여기에서, 상기 트래픽 제어 장치는, 악성 트래픽 후보로 선별된 플로우에 DPI(Deep Packet Inspection), IDS(Intrusion Detection System) 및 IPS(Intrusion Prevention System) 중 적어도 하나가 수행되도록 포워딩 경로를 결정할 수 있다.
여기에서, 상기 트래픽 제어 장치는, 공유 링크에 포함된 플로우 별로 BPS(Bits Per Second) 및 PPS(Packet Per Second) 중 적어도 하나를 모니터링하고, 모니터링된 BPS 및 PPS 중 적어도 하나에 기반하여 악성 트래픽 후보를 선별할 수 있다.
여기에서, 상기 컨트롤러는, 결정된 포워딩 경로를 통하여 추출된 악성 트래픽이 차단되도록 스위치를 제어할 수 있다.
여기에서, 상기 컨트롤러는, Software Defined Networking(SDN) 또는 Service Function Chaining(SFC) 환경에서 동작할 수 있다.
여기에서, 상기 악성 트래픽은, 분산 서비스 거부(Distributed Denial of Service: DDoS)의 공격 대상일 수 있다.
상기 목적을 달성하기 위한 본 발명의 다른 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 시스템은, 네트워크 상의 스위치로부터 공유 링크에 대한 트래픽 상태 정보를 수집하고, 트래픽 상태 정보에 기반하여 대역폭 제어가 필요한 대상 플로우를 선별하는 트래픽 제어 장치와; 대상 플로우에 대역폭을 재할당하도록 스위치를 제어하는 컨트롤러를 포함한다.
여기에서, 상기 트래픽 제어 장치는, 공유 링크에 대한 사용 대역폭이 공유 링크에 할당된 대역폭을 초과한 경우에, 대상 플로우로 선별할 수 있다.
여기에서, 상기 트래픽 제어 장치는, 최소 보장 대역폭을 초과하는 플로우를 대상 플로우로 선별할 수 있다.
여기에서, 상기 최소 보장 대역폭은, 공유 링크에 할당된 대역폭을 공유 링크에 포함된 플로우 개수로 나눈 값일 수 있다.
여기에서, 상기 컨트롤러는, 미터링(metering) 기능에 기반하여 대상 플로우에 대역폭을 재할당할 수 있다.
상기 다른 목적을 달성하기 위한 본 발명의 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 방법은, 대역폭 관리 시스템에 의해 수행되는 대역폭 관리 방법에 있어서, 네트워크 상의 스위치로부터 공유 링크에 대한 트래픽 상태 정보를 수집하는 단계와; 트래픽 상태 정보에 기반하여 대역폭 제어가 필요한 대상 플로우를 선별하는 단계와; 대상 플로우가 악성 트래픽인지 여부에 따라 스위치를 제어하여 대상 플로우를 처리하는 단계를 포함한다.
여기에서, 상기 대상 플로우를 선별하는 단계는, 트래픽 상태 정보에 기반하여 공유 링크에 대한 사용 대역폭이 공유 링크에 할당된 대역폭을 초과한 경우에, 대상 플로우로 선별할 수 있다.
여기에서, 상기 대상 플로우를 처리하는 단계는, 대상 플로우가 악성 트래픽에 해당하는지 판단하는 단계와; 대상 플로우가 악성 트래픽에 해당하는 경우, 대상 플로우가 차단되도록 스위치를 제어하는 단계를 포함할 수 있다.
여기에서, 상기 대상 플로우가 악성 트래픽에 해당하는지 판단하는 단계는, 대상 플로우에 DPI(Deep Packet Inspection), IDS(Intrusion Detection System) 및 IPS(Intrusion Prevention System) 중 적어도 하나가 수행하도록 포워딩 경로를 제어함으로써 수행될 수 있다.
여기에서, 상기 대상 플로우를 처리하는 단계는, 대상 플로우가 악성 트래픽에 해당하지 않는 경우, 미터링(metering) 기능에 기반하여 대상 플로우에 대역폭을 재할당하도록 스위치를 제어하는 단계를 더 포함할 수 있다.
여기에서, 상기 방법은, Software Defined Networking(SDN) 또는 Service Function Chaining(SFC) 환경에서 동작하는 대역폭 관리 시스템 상에서 구동하는 스위치를 이용하여 공유 링크에 대한 대역폭을 관리할 수 있다.
상기와 같은 본 발명에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 시스템 및 방법은, 대역폭 사용량을 고객별(개별 플로우 별)로 모니터링하여 동적으로 대역폭을 제어할 수 있다.
또한, 본 발명은 트래픽이 급격하게 증가할 경우 선별적으로 해당 이용자의 트래픽이 DPI 또는 IPS 기능을 제공하는 SF를 거치도록 경로를 조정하거나 미러링하여 악성 트래픽으로 판별된 트래픽들을 선별적으로 차단하거나 트래픽을 조정함으로써 다른 이용자들에게 안정된 대역폭을 보장할 수 있다.
또한, 본 발명을 통해 트래픽을 선별적으로 DPI, IDS, IPS 장비로 검사함으로써 실시간 패킷 처리 용량에 따라 가격이 급등하는 DPI, IDS, IPS 장비의 운용 비용을 절감시킬 수 있다.
또한, 본 발명은 평상시에는 이용자들이 대역폭을 공유하여 제한없이 이용하다가 특정 이용자가 대용량 파일을 다운받거나 악성 공격으로 인해 대역폭을 과다 점유하는 경우에도 전체 이용자들의 최소 사용 가능 대역폭을 보장하며 악성 트래픽이 발생했을 경우에는 악성 트래픽만 선별적으로 차단하는 것이 가능하다.
도 1은 본 발명의 실시예에 따라 네트워크 트래픽 상태에 기반하여 대역폭을 관리하는 네트워크 환경을 설명하기 위한 개념도이다.
도 2는 본 발명의 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 시스템의 구성을 설명하기 위한 블록도이다.
도 3은 본 발명의 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 실시예에 따라 악성 코드를 선별적으로 차단하여 대역폭을 관리하는 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시예에 따라 공유 링크 대역폭을 관리하는 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 실시예에 따라 플로우 별로 대역폭을 관리하는 방법을 설명하기 위한 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따라 네트워크 트래픽 상태에 기반하여 대역폭을 관리하는 네트워크 환경을 설명하기 위한 개념도이다.
도 1을 참조하면, 본 발명의 실시예에 따르면, 네트워크 상의 복수의 스위치(200)는 대역폭 관리 시스템(100)에 의해 제어될 수 있다.
대역폭 관리 시스템(100)은 컨트롤러(110)와 트래픽 제어 장치(120)를 포함하여 구성될 수 있다. 다만, 대역폭 관리 시스템(100)은 컨트롤러(110)와 트래픽 제어 장치(120)로 구분되는 것을 도시되었으나, 컨트롤러(110)가 트래픽 제어 장치(120)의 기능을 동시에 수행할 수도 있다.
대역폭 관리 시스템(100)은 제어 평면(Control Plane)에 위치하여 데이터 평면(Data Plane)에 위치한 복수의 스위치(200)를 제어할 수 있다.
보다 상세하게는, 제어 평면 상의 컨트롤러(100)는 Software Defined Networking(SDN) 환경에서 정의되는 SDN 컨트롤러를 의미할 수 있다. 또한, 제어 평면 상의 컨트롤러(100)는 Service Function Chaining(SFC) 환경에서 정의되는 SFC 컨트롤러를 의미할 수도 있다.
예를 들어, 컨트롤러(100)가 SDN 환경에서 정의되는 SDN 컨트롤러인 경우에는, 컨트롤러(100)는 OpenFlow에 기반하여 복수의 SDN 스위치들을 제어할 수 있다.
컨트롤러(100)가 SFC 환경에서 정의되는 SFC 컨트롤러인 경우에는, 컨트롤러(100)는 네트워크 서비스에 대한 체이닝(chaining)을 위하여 Classifier, SFF(Service Function Forwarder)를 제어하는 기능을 수행할 수 있다. 여기서, Classifier는 네트워크 정책에 따라 플로우에 대한 Service Function Path(SFP)를 분류하는 기능을 수행하고, SFF는 Classifier의 설정에 따라 플로우에 대한 포워딩을 수행할 수 있다. 따라서, SFC 환경에서 스위치(200)는 SFF가 될 수 있으며, Classifier도 스위치의 기능을 할 수도 있다.
제1 이용자, 제2 이용자 및 제n 이용자와 같이 다수의 이용자가 공유 링크로 설정되어 대역폭이 공통으로 관리될 수 있다. 또한, 공유 링크 상의 네트워크에는 DPI(Deep Packet Inspection) 또는 방화벽(Firewall) 등이 위치하여 플로우 패킷에 대한 보안을 강화할 수 있다. 여기서, DPI(Deep Packet Inspection) 또는 방화벽(Firewall)은 SFC 환경에서 하나의 Service Function(SF)을 의미할 수 있고, SF는 SFP상에 위치하여 Service Function Chaining(SFC)이 구현될 수 있다.
트래픽 제어 장치(120)는 컨트롤러(110)와 연동하여 동작하는 것으로, 트래픽에 대한 모니터링, 대역폭 계산, 포워딩 경로 계산 및 대역폭 설정 등과 같은 기능을 수행할 수 있다.
보다 상세하게는, 트래픽 제어 장치(120)는 고객별 플로우 정보를 기반으로 고객들의 대역폭 사용량을 주기적으로 모니터링할 수 있고, 이를 통하여 악성 코드 감염이나 공격이 의심되는 고객사 트래픽의 경우 DPI(Deep Packet Inspection), IDS(Intrusion Detection System) 및 IPS(Intrusion Prevention System)등과 같이 패킷의 내용을 검사할 수 있는 Service Function(SF)을 거치도록 경로를 변경할 수 있다. 또한, 트래픽 제어 장치(120)는 악성 코드로 판별된 코드에 대하여 VLAN_ID, 수신지, 목적지 IP, TCP, UDP 포트의 조합을 통한 미러링을 수행하여 안정적인 네트워크를 제공할 수 있다.
예를 들어, 트래픽 제어 장치(120)는 특정 이용자의 트래픽의 사용량 급증(타 이용자의 서비스 영향), 일시적으로 급증하는 트래픽(악성코드 의심 트래픽)을 모니터링할 수 있다.
또한, 트래픽 제어 장치(120)는 대역폭 과다 점유 중인 이용자의 트래픽 대역폭 제한 및 트래픽의 악성 플로우 여부 확인하여 차단할 수 있도록 컨트롤러(110)와 연동할 수 있다.
또한, 대역폭 관리 시스템(100)은 데이터베이스(미도시)와 연동하거나 이를 포함하여 구성될 수 있다.
보다 상세하게는, 데이터베이스는 공유 링크, 이용자 ID, 이용자의 VLAN, 플로우 구성 정보(예, MAC 주소, IP 주소, TCP / UDP 포트, 프로토콜, 이더넷 타입) 등을 저장하며, 컨트롤러(110) 또는 트래픽 제어 장치(120)와 연동할 수 있다.
도 2는 본 발명의 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 시스템의 구성을 설명하기 위한 블록도이다.
도 2를 참조하면, 본 발명의 실시예에 따른 대역폭 관리 시스템(100)의 컨트롤러(110)는 토폴로지 관리 모듈(111), 라우팅 모듈(113) 및 스위치 연동 처리 모듈(115)을 포함한다.
토폴로지 관리 모듈(111)은 복수의 스위치(200)들의 기본 정보들을 획득하고 스위치(2000)들의 연결상태를 파악하여 액세스망에 대한 토폴로지 정보를 생성하여 데이터베이스에 저장 및 관리할 수 있다. 예를 들어, 데이터베이스는 고객별 플로우 구분을 위한 데이터(IP, VLAN ID, protocol. MAC 등의 조합), 각 고객이 이용하는 SF들(예, NAT, Firewall, DPI, IPS, IDS, VPN 등)에 대한 정보 등을 저장할 수 있다.
라우팅 모듈(113)은 토폴로지 상태 정보, 라우팅 정책(Policy) 및 고객들이 이용하는 SF에 대한 정보 등에 기반하여 고객들의 플로우 별로 필요한 SF를 거치도록 하는 포워딩 경로를 스위치(200)에 설정하는 역할을 수행할 수 있다.
예를 들어, 특정 고객의 플로우가 DPI 및 Firewall을 이용하는 경우라면 DPI 및 Firewall을 거쳐 고객에게 전달되도록 경로를 제어할 수 있다.
스위치 연동 처리 모듈(115)은 스위치(200)와 메시지 또는 데이터를 주고 받을 수 있는 네트워크 인터페이스를 제공한다. 예를 들어, 라우팅 모듈(113)에 의한 라우팅 설정 메시지는 스위치 연동 처리 모듈(115)을 통하여 스위치(200)로 전달될 수 있다. 또한, 트래픽 제어 장치(120)에 의해 생성된 대역폭 설정 메시지, 포트 별, 플로우 별 사용량 정보요청 메시지 및 이에 대한 응답 메시지도 스위치 연동 처리 모듈(115)을 통하여 전달 또는 수신될 수 있다.
다음으로, 트래픽 제어 장치(120)는 대역폭 모니터링 모듈(121), 대역폭 계산 모듈(123), 경로 결정 모듈(125) 및 대역폭 설정 모듈(127)을 포함한다.
대역폭 모니터링 모듈(121)은 복수의 스위치(200)의 포트 별, 플로우 별 사용량(Byte, Packet)을 모니터링할 수 있다.
예를 들어, 대역폭 모니터링 모듈(121)은 매 t 초마다 복수의 스위치(200)의 포트 별, 플로우 별 사용량을 폴링(polling)하여 고객별 대역폭 사용량, 총 대역폭 사용량을 모니터링할 수 있다.
대역폭 계산 모듈(123)은 공유 링크의 전체 트래픽 사용량이 일정 임계치 BWthr(예를 들어, BWthr = 공유 링크 총 대역폭 × threshold(%))를 초과하는 경우, 플로우별 대역폭 사용량을 확인하여 최소 보장 대역폭(예를 들어, BWthr /고객 수)을 초과하는 대상 플로우들을 검출할 수 있다. 또한, 대역폭 계산 모듈(123)은 대상 플로우들에 할당되는 대역폭 정보를 생성하고, 이를 대역폭 설정 모듈(127)로 전달할 수 있다.
대역폭 설정 모듈(127)은 대역폭 계산 모듈(123)에 의해 계산된 대역폭 정보에 기반하여 플로우별 대역폭을 컨트롤러(110) 및 스위치(200)를 통하여 설정할 수 있다. 예를 들어, 대역폭 설정 모듈(127)은 대역폭 계산 모듈(123)로부터 수신한 대상 플로우 및 그에 대한 대역폭 정보를 설정하기 위한 메시지를 컨트롤러(110)를 통해 스위치(200)에 보냄으로써 대상 플로우의 대역폭을 제어할 수 있다.
또한, 경로 결정 모듈(125)은 DDoS 등의 악성공격이 의심되는 트래픽 유입이라고 판단되는 경우(예를 들어, BPS/PPS < Lthr 및 BPS > Rthr, 순간적인 트래픽 볼륨 증가, 패킷 수 증가 등), DPI(Deep Packet Inspection), IPS(Intrusion Detection System)등으로 미러링하여 악성 트래픽 여부를 판별하도록 하는 포워딩 경로를 설정할 수 있다. 여기서, BPS는 Bits Per Second를, PPS는 Packet Per Second를 의미하고, Lthr 및 Rthr는 미리 설정된 임계값을 의미한다.
즉, 경로 결정 모듈(125)는 SFC 환경에서 DPI, IPS 등과 같은 SF를 포함하는 경로로 SFP를 재설정하도록 하는 기능을 수행할 수 있다.
예를 들어, 경로 결정 모듈(125)는 악성공격이 의심되는 악성 트래픽 후보에 대해서는 DPI, IDS, IPS 등이 포함되는 백업 SFP를 거치도록 포워딩 경로를 설정할 수 있다.
더 나아가, 경로 결정 모듈(125)는 악성 트래픽으로 판단될 경우, 해당 트래픽의 플로우를 추출하고(예, 목적지 IP, 목적지 TCP 포트, 목적지 UDP 포트, VLAN ID 등의 조합), 추출된 해당 플로우를 차단하는 플로우 엔트리를 생성하여 컨트롤러(110)를 통해 스위치(200)에 전달함으로써 악성 트래픽을 차단할 수 있다.
상술한 본 발명의 실시예에 따른 대역폭 관리 시스템의 구성을 설명의 편의상 각각의 구성부 또는 모듈로 나열하여 설명하였으나, 각 구성부 또는 모듈 중 적어도 두 개가 합쳐져 하나의 구성부 또는 모듈로 이루어지거나, 하나의 구성부 또는 모듈이 복수개의 구성부 또는 모듈로 나뉘어져 기능을 수행할 수 있고 이러한 각 구성부 또는 모듈의 통합 및 분리된 실시예의 경우도 본 발명의 본질에서 벋어나지 않는 한 본 발명의 권리범위에 포함된다.
또한, 본 발명의 실시예에 따른 대역폭 관리 시스템의 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.
도 3은 본 발명의 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 방법을 설명하기 위한 순서도이고, 도 4는 본 발명의 실시예에 따라 악성 코드를 선별적으로 차단하여 대역폭을 관리하는 방법을 설명하기 위한 흐름도이다
도 3을 참조하면, 트래픽 제어 장치(120)는 복수의 스위치(200)에게 트래픽 상태 정보를 요청할 수 있고(S310), 이에 대한 응답을 수신하여 네트워크의 트래픽 상태를 모니터링할 수 있다(S313).
트래픽 제어 장치(120)는 트래픽 상태 정보에 기반하여 악성 트래픽 후보를 선별할 수 있다(S320).
트래픽 제어 장치(120)는 악성 트래픽 후보에 대한 포워딩 경로를 결정할 수 있다(S330).
트래픽 제어 장치(120)는 악성 트래픽 후보에 대해 결정된 포워딩 경로를 컨트롤러(110)에 설정할 수 있고(S340), 컨트롤러(110)는 스위치(200)를 통해서 악성 트래픽 후보를 DPI 또는 IPS로 전달할 수 있다(S350, S360, S363).
예를 들어, 도 3을 SFC 환경에서 설명하면 다음과 같다.
트래픽 제어 장치(120)는 주기적으로 SFF에 트래픽 사용량에 대한 정보(BPS, PPS)를 요청할 수 있다. 트래픽 제어 장치(120)는 트래픽 사용량에 대한 정보에 기반으로 추출한 악성 트래픽 후보에 대해 IPS, IDS, DPI등과 같은 SF를 포함하는 SFP를 결정하여 적용할 수 있다. 여기서, IPS, IDS, DPI등과 같은 SF를 포함하는 SFP는 백업으로 미리 설정되어 적용될 수 있다.
또한, 컨트롤러(110)는 트래픽 제어 장치(120)로부터 수신한 설정 정보를 이용하여 Classifier 제어함으로써 Service Function Chaining을 구현할 수 있다. 예를 들어, 컨트롤러(110)는 악성 트래픽 후보로 선별된 플로우에 대하여 새로운 SPI(Stateful Packet Inspection) 정보를 포함한 헤더를 할당함으로써 SFF에 라우팅을 위한 룰을 설정할 수 있다.
컨트롤러(110)는 IPS, DPI 등을 통하여 악성 트래픽인 것이 확정된 플로우에 대해서는 자체적인 차단 또는 미러링과 같은 추가적인 처리가 수행되도록 제어할 수 있다.
도 4를 참조하여 대역폭 관리 시스템(100)에 의해 악성 트래픽을 처리하는 방법을 보다 상세히 설명하면 다음과 같다.
대역폭 관리 시스템(100)은 네트워크 상의 스위치(200)로부터 공유 링크에 대한 트래픽 상태 정보를 수집할 수 있다(S410).
대역폭 관리 시스템(100)은 트래픽 상태 정보에 기반하여 악성 트래픽 후보를 선별할 수 있다(S420, S430). 즉, 공유 링크에 포함된 플로우 별로 BPS(Bits Per Second) 및 PPS(Packet Per Second)를 모니터링하고, 모니터링된 BPS 및 PPS에 기반하여 악성 트래픽 후보를 선별할 수 있다. 예를 들어, 특정 플로우가 BPS > Rthr 및 BPS/PPS < Lthr 인 경우에 악성 트래픽 후보로 선별될 수 있다. 여기서, Rthr 및 Lthr는 미리 설정된 임계값이고, 플로우는 VLAN ID, IP, protocol등의 조합으로 구분될 수 있다.
대역폭 관리 시스템(100)은 악성 트래픽 후보가 거쳐야 할 포워딩 경로를 결정하여 이를 적용할 수 있다. 예를 들어, 대역폭 관리 시스템(100)은 악성 트래픽 후보로 선별된 플로우에 DPI(Deep Packet Inspection), IDS(Intrusion Detection System) 및 IPS(Intrusion Prevention System) 중 적어도 하나가 수행되도록 할 수 있고, 이를 통하여 악성 트래픽을 추출할 수 있다(S440).
따라서, 대역폭 관리 시스템(100)은 DPI, IDS또는 IPS를 통하여 추출된 악성 트래픽이 차단되도록 스위치(200)를 제어할 수 있다.
예를 들어, SDN 환경에서, 대역폭 관리 시스템(100)은 플로우를 {in_port=47, VLAN_ID=19, actions{group: group_id:a, group_id:’미러링 포트’}}로 변환하여 악성 트래픽 후보가 DPI(또는 IPS)를 거쳐 원래의 목적지로 전달되도록 설정할 수 있다.
또한, SFC 환경에서, 대역폭 관리 시스템(100)은 SFC Working Group에서 표준 진행 중인 NSH(Network Service Header)를 이용하여 악성 트래픽 후보의 Service Function Path(SFP)가 DPI(또는 IPS)를 거치도록 수정할 수 있다.
DPI(또는 IPS)에서는 해당 트래픽의 페이로드(payload)를 검사하여 실제 트래픽이 악성코드인지를 검사하고 악성코드임이 확정될 경우 악성 트래픽을 일반 트래픽과 구분하여 차단하기 위해 플로우를 추출할 수 있다.
또한, 대역폭 관리 시스템(100)은 IPS를 통하여 자체적으로 악성 트래픽을 차단할 수 있다. 예를 들어, IP 주소 211.210.44.5로부터 고객 a의 서버 121.134.209.135로 전송되는 플로우 {in_port=47, VLAN_ID=19, src_ip=211.210.44.5, dst_ip=121.134.209.135, VLAN_ID=19, actions{drop}, hard_timeout=t}를 스위치(200)에 추가하여 해당 플로우를 한시적으로 차단할 수 있다.
도 5는 본 발명의 실시예에 따라 공유 링크 대역폭을 관리하는 방법을 설명하기 위한 흐름도이다.
도 5를 참조하면, 본 발명의 실시예에 따른 대역폭 관리 시스템은 공유 링크 대역폭을 동적으로 관리할 수 있다.
대역폭 관리 시스템(100)은 네트워크 상의 스위치(200)로부터 공유 링크에 대한 트래픽 상태 정보를 수집할 수 있다(S510).
대역폭 관리 시스템(100)은 공유 링크에 대한 사용 대역폭이 공유 링크에 할당된 대역폭을 초과하는지 여부를 판단할 수 있다(S520). 대역폭 관리 시스템(100)은 공유 링크에 대한 사용 대역폭이 공유 링크에 할당된 대역폭을 초과한 경우에, 대상 플로우로 선별할 수 있다(S530).
대역폭 관리 시스템(100)은 대상 플로우에 대역폭을 (재)계산할 수 있고(S540), 계산된 대역폭을 대상 플로우에 재할당하도록 스위치(200)를 제어할 수 있다(S550).
본 발명의 실시예에 따른 대역폭 관리 시스템은 공유 링크 대역폭을 동적으로 관리하는 방법을 예를 들어 설명하면 다음과 같다.
공유 링크에 대한 사용 대역폭이 공유 링크에 할당된 대역폭(BWthr)을 초과할 경우, 현재 대역폭 사용량이 최소 보장 대역폭(BWthr / N(고객 수))을 초과하는 플로우를 대상 플로우로 선별할 수 있다.
본 발명의 실시예는 스위치(Switch)에 최소 대역폭을 보장하는 기능이 없거나, 최소 대역폭을 보장하기 위해 사용할 수 있는 Queue의 개수가 한정되어 있을 경우에 유용하게 사용될 수 있다. 예를 들어, 보통 상용스위치는 포트당 최소 대역폭을 지정해 사용할 수 있는 Queue의 개수가 8개 정도로 한정되어 있기 때문에 그 이상의 플로우에 대해서는 하드웨어상에서 처리가 불가능하므로 본 발명에 따른 기술을 이용하여 소프트웨어적으로 대역폭을 제어할 수 있다.
예를 들어, 공유 링크에 할당된 대역폭(BWthr)이 10Gbps이고, 고객 수가 9인 상황을 가정한다. 추출한 플로우들을 사용량이 큰 순서로 정렬해 가장 사용량이 큰 플로우부터 1/N의 공유 링크 대역폭으로 제한할 수 있다.
현재의 고객별 대역폭 사용량이 다음의 표 1과 같다고 할 때, 최소 보장 대역폭보다 큰 대역폭을 사용하고 있는 고객은 이용자 a와 이용자 b이다.
고객명 a B c D e f G H i
대역폭 사용량(Gbps) 3 1.5 0.7 0.7 0.3 0.7 0.7 0.7 0.7
이용자 a의 사용 가능 대역폭을 최소 보장 대역폭인 1Gbps로 제한하면, 전체 사용 대역폭이 7Gbps로 되고, 이는 공유 링크에 할당된 대역폭(BWthr)×(0.9)=9 보다 작아지므로 추가적인 대역폭 제한없이 최소 보장 대역폭이 확보 가능하다. 여기서, (BWthr)×(0.9) = 9는 대역폭 제한에 의한 QoS 저하가 없는 범위를 의미할 수 있다.
대역폭을 제한하는 방식은 대역폭을 가장 많이 사용하는 고객부터 순차적으로 제한하거나, 최소 보장 대역폭 이상의 대역폭을 사용하는 고객을 균등하게 제한하는 등 다양하게 구현할 수 있다.
이용자 a의 플로우를 추출하여(VLAN ID 19 이용), {in_port=47, VLAN_ID=19, actions{write: meter: 1, group: group_id:*}}의 플로우에 대해 미터링(Metering) 기능을 이용하여 대역폭을 제한할 수도 있다.
미터링 테이블(Metering table)의 ID=1, MAX Rate=1Gbps 엔트리를 추가하여 이용자 a의 대역폭을 한시적으로 제한할 수 있다.
또한, 일정 시간 t가 경과한 후에 플로우의 미터링 부분을 삭제함으로써, 다음과 같이 {in_port=47, VLAN_ID=19, actions{write: group: group_id:*}} 플로우를 교체하여 대역폭에 대한 제한을 원상 복구할 수 있다.
도 6은 본 발명의 실시예에 따라 플로우 별로 대역폭을 관리하는 방법을 설명하기 위한 흐름도이다.
도 6을 참조하면, 본 발명에 실시예에 따르면 악성 트래픽에 대한 추출 및 특정 플로우에 대한 대역폭 재할당을 통하여 대역폭을 관리하는 방법을 설명한다.
대역폭 관리 시스템(100)은 네트워크 상의 스위치(200)로부터 공유 링크에 대한 트래픽 상태 정보를 수집할 수 있다(S610).
대역폭 관리 시스템(100)은 공유 링크에 대한 사용 대역폭이 공유 링크에 할당된 대역폭을 초과하는지 여부를 판단할 수 있다(S620). 대역폭 관리 시스템(100)은 공유 링크에 대한 사용 대역폭이 공유 링크에 할당된 대역폭을 초과한 경우에, 해당 플로우를 대상 플로우로 선별할 수 있다(S630).
대역폭 관리 시스템(100)은 대상 플로우가 악성 트래픽에 해당하는지 판단할 수 있다(S640). 예를 들어, 대역폭 관리 시스템(100)은 대상 플로우에 DPI(Deep Packet Inspection) 및 IPS(Intrusion Detection System) 중 적어도 하나가 수행하도록 포워딩 경로를 제어함으로써 악성 트래픽을 판별할 수 있다.
대역폭 관리 시스템(100)은 대상 플로우가 악성 트래픽에 해당하는 경우, 대상 플로우가 차단되도록 스위치(200)를 제어할 수 있다(S650).
또한, 대역폭 관리 시스템(100)은 대상 플로우가 악성 트래픽에 해당하지 않는 경우, 대상 플로우에 대역폭을 재할당하도록 스위치(200)를 제어할 수 있다(S660).
상술한 본 발명의 실시예에 따른 네트워크 트래픽 상태에 기반한 대역폭 관리 시스템 및 방법은, 대역폭 사용량을 고객별(개별 플로우 별)로 모니터링하여 동적으로 대역폭을 제어할 수 있다.
또한, 본 발명은 트래픽이 급격하게 증가할 경우 선별적으로 해당 이용자의 트래픽이 DPI 또는 IPS 기능을 제공하는 SF를 거치도록 경로를 조정하거나 미러링하여 악성 트래픽으로 판별된 트래픽들을 선별적으로 차단하거나 트래픽을 조정함으로써 다른 이용자들에게 안정된 대역폭을 보장할 수 있다.
또한, 본 발명을 통해 트래픽을 선별적으로 DPI, IPS 장비로 검사함으로써 실시간 패킷 처리 용량에 따라 가격이 급등하는 DPI, IPS 장비의 운용 비용을 절감시킬 수 있다.
또한, 본 발명은 평상시에는 이용자들이 대역폭을 공유하여 제한없이 이용하다가 특정 이용자가 대용량 파일을 다운받거나 악성 공격으로 인해 대역폭을 과다 점유하는 경우에도 전체 이용자들의 최소 사용 가능 대역폭을 보장하며 악성 드래픽이 발생했을 경우에는 악성 트래픽만 선별적으로 차단하는 것이 가능하다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 대역폭 관리 시스템
110: 컨트롤러 111: 토폴로지 관리 모듈
113: 라우팅 모듈 115: 스위치 연동 처리 모듈
120: 트래픽 제어 장치 121: 대역폭 모니터링 모듈
123: 대역폭 계산 모듈 125: 경로 결정 모듈
127: 대역폭 설정 모듈 200: 스위치
300: DPI 400: 방화벽

Claims (18)

  1. 네트워크 상의 스위치로부터 공유 링크에 대한 트래픽 상태 정보를 수집하고, 상기 트래픽 상태 정보에 기반하여 악성 트래픽 후보를 선별하여 포워딩 경로를 결정하는 트래픽 제어 장치; 및
    상기 악성 트래픽 후보로부터 악성 트래픽을 추출하도록 상기 악성 트래픽 후보로 선별된 플로우가 상기 결정된 포워딩 경로를 거치도록 상기 스위치를 제어하는 컨트롤러를 포함하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  2. 청구항 1에 있어서,
    상기 트래픽 제어 장치는,
    상기 악성 트래픽 후보로 선별된 플로우에 DPI(Deep Packet Inspection), IDS(Intrusion Detection System) 및 IPS(Intrusion Prevention System) 중 적어도 하나가 수행되도록 상기 포워딩 경로를 결정하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  3. 청구항 1에 있어서,
    상기 트래픽 제어 장치는,
    상기 공유 링크에 포함된 플로우 별로 BPS(Bits Per Second) 및 PPS(Packet Per Second) 중 적어도 하나를 모니터링하고, 모니터링된 BPS 및 PPS 중 적어도 하나에 기반하여 상기 악성 트래픽 후보를 선별하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  4. 청구항 1에 있어서,
    상기 컨트롤러는,
    상기 결정된 포워딩 경로를 통하여 추출된 상기 악성 트래픽이 차단되도록 상기 스위치를 제어하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  5. 청구항 1에 있어서,
    상기 컨트롤러는,
    Software Defined Networking(SDN) 또는 Service Function Chaining(SFC) 환경에서 동작하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  6. 청구항 1에 있어서,
    상기 악성 트래픽은,
    분산 서비스 거부(Distributed Denial of Service: DDoS)의 공격 대상인 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  7. 네트워크 상의 스위치로부터 공유 링크에 대한 트래픽 상태 정보를 수집하고, 상기 트래픽 상태 정보에 기반하여 대역폭 제어가 필요한 대상 플로우를 선별하는 트래픽 제어 장치; 및
    상기 대상 플로우에 대역폭을 재할당하도록 상기 스위치를 제어하는 컨트롤러를 포함하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  8. 청구항 7에 있어서,
    상기 트래픽 제어 장치는,
    상기 공유 링크에 대한 사용 대역폭이 상기 공유 링크에 할당된 대역폭을 초과한 경우에, 상기 대상 플로우로 선별하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  9. 청구항 8에 있어서,
    상기 트래픽 제어 장치는,
    최소 보장 대역폭을 초과하는 플로우를 상기 대상 플로우로 선별하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  10. 청구항 9에 있어서,
    상기 최소 보장 대역폭은,
    상기 공유 링크에 할당된 대역폭을 상기 공유 링크에 포함된 플로우 개수로 나눈 값인 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  11. 청구항 7에 있어서,
    상기 컨트롤러는,
    미터링(metering) 기능에 기반하여 상기 대상 플로우에 대역폭을 재할당하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  12. 청구항 7에 있어서,
    상기 컨트롤러는,
    Software Defined Networking(SDN) 또는 Service Function Chaining(SFC) 환경에서 동작하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 시스템.
  13. 대역폭 관리 시스템에 의해 수행되는 대역폭 관리 방법에 있어서,
    네트워크 상의 스위치로부터 공유 링크에 대한 트래픽 상태 정보를 수집하는 단계;
    상기 트래픽 상태 정보에 기반하여 대역폭 제어가 필요한 대상 플로우를 선별하는 단계;
    상기 대상 플로우가 악성 트래픽인지 여부에 따라 상기 스위치를 제어하여 상기 대상 플로우를 처리하는 단계를 포함하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 방법.
  14. 청구항 13에 있어서,
    상기 대상 플로우를 선별하는 단계는,
    상기 트래픽 상태 정보에 기반하여 상기 공유 링크에 대한 사용 대역폭이 상기 공유 링크에 할당된 대역폭을 초과한 경우에, 상기 대상 플로우로 선별하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 방법.
  15. 청구항 13에 있어서,
    상기 대상 플로우를 처리하는 단계는,
    상기 대상 플로우가 악성 트래픽에 해당하는지 판단하는 단계; 및
    상기 대상 플로우가 악성 트래픽에 해당하는 경우, 상기 대상 플로우가 차단되도록 상기 스위치를 제어하는 단계를 포함하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 방법.
  16. 청구항 15에 있어서,
    상기 대상 플로우가 악성 트래픽에 해당하는지 판단하는 단계는,
    상기 대상 플로우에 DPI(Deep Packet Inspection), IDS(Intrusion Detection System) 및 IPS(Intrusion Prevention System) 중 적어도 하나가 수행하도록 포워딩 경로를 제어함으로써 수행되는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 방법.
  17. 청구항 15에 있어서,
    상기 대상 플로우를 처리하는 단계는,
    상기 대상 플로우가 악성 트래픽에 해당하지 않는 경우, 미터링(metering) 기능에 기반하여 상기 대상 플로우에 대역폭을 재할당하도록 상기 스위치를 제어하는 단계를 더 포함하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 방법.
  18. 청구항 13에 있어서,
    Software Defined Networking(SDN) 또는 Service Function Chaining(SFC) 환경에서 동작하는 상기 대역폭 관리 시스템 상에서 구동하는 상기 스위치를 이용하여 상기 공유 링크에 대한 대역폭을 관리하는 것을 특징으로 하는,
    네트워크 트래픽 상태에 기반한 대역폭 관리 방법.
KR1020150093863A 2015-07-01 2015-07-01 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템 KR20170004052A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150093863A KR20170004052A (ko) 2015-07-01 2015-07-01 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150093863A KR20170004052A (ko) 2015-07-01 2015-07-01 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20170004052A true KR20170004052A (ko) 2017-01-11

Family

ID=57833004

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150093863A KR20170004052A (ko) 2015-07-01 2015-07-01 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20170004052A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019035634A1 (ko) * 2017-08-16 2019-02-21 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
KR102025426B1 (ko) * 2018-05-11 2019-09-25 한국전자통신연구원 Sdn 기반의 통신 노드에서의 트래픽 과적에 따른 서비스 품질 저하를 해소하기 위한 대역폭 제어 방법 및 장치
KR20210155236A (ko) 2020-06-15 2021-12-22 재단법인 한국탄소산업진흥원 탄소섬유 유제 조성물, 이를 처리하여 제사한 탄소섬유 및 이의 제조방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019035634A1 (ko) * 2017-08-16 2019-02-21 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법
US11196764B2 (en) 2017-08-16 2021-12-07 Samsung Electronics Co., Ltd. Device and method for handling network attacks in software defined network
KR102025426B1 (ko) * 2018-05-11 2019-09-25 한국전자통신연구원 Sdn 기반의 통신 노드에서의 트래픽 과적에 따른 서비스 품질 저하를 해소하기 위한 대역폭 제어 방법 및 장치
KR20210155236A (ko) 2020-06-15 2021-12-22 재단법인 한국탄소산업진흥원 탄소섬유 유제 조성물, 이를 처리하여 제사한 탄소섬유 및 이의 제조방법

Similar Documents

Publication Publication Date Title
US10498612B2 (en) Multi-stage selective mirroring
US10574546B2 (en) Network monitoring using selective mirroring
CN104753828B (zh) 一种sdn控制器、数据中心系统和路由连接方法
US9231876B2 (en) User traffic accountability under congestion in flow-based multi-layer switches
WO2016155330A1 (zh) 基于sdn的idc网络出口流量均衡调整方法、设备及系统
CN111788803B (zh) 网络中的流管理
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
CN106961387B (zh) 一种基于转发路径自迁移的链路型DDoS防御方法及系统
US20110267952A1 (en) Dynamic latency-based rerouting
US9813448B2 (en) Secured network arrangement and methods thereof
US20150281085A1 (en) Method and system of large flow control in communication networks
US6801503B1 (en) Progressive and distributed regulation of selected network traffic destined for a network node
CN101106518B (zh) 为中央处理器提供负载保护的拒绝服务方法
JP2005508593A (ja) ネットワークで情報のルーティング制御を実現するためのシステム及び方法
CN108028828B (zh) 一种分布式拒绝服务DDoS攻击检测方法及相关设备
JP6007595B2 (ja) 伝送方法、装置及びプログラム
WO2012147909A1 (ja) ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム
Chou et al. Proactive surge protection: a defense mechanism for bandwidth-based attacks
EP3266174B1 (en) Uplink port oversubscription determination
KR20170004052A (ko) 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템
EP1946502A1 (en) Method for controlling congestion
WO2020040027A1 (ja) 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
CN108667804B (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
CN104135445A (zh) 一种基于流的链路汇聚负载均衡的方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J301 Trial decision

Free format text: TRIAL NUMBER: 2017101002658; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20170531

Effective date: 20190122