KR20170021063A - Sdn 기반의 트래픽 처리 장치 및 그 방법 - Google Patents

Sdn 기반의 트래픽 처리 장치 및 그 방법 Download PDF

Info

Publication number
KR20170021063A
KR20170021063A KR1020150115393A KR20150115393A KR20170021063A KR 20170021063 A KR20170021063 A KR 20170021063A KR 1020150115393 A KR1020150115393 A KR 1020150115393A KR 20150115393 A KR20150115393 A KR 20150115393A KR 20170021063 A KR20170021063 A KR 20170021063A
Authority
KR
South Korea
Prior art keywords
traffic
dns
domain
message
response message
Prior art date
Application number
KR1020150115393A
Other languages
English (en)
Other versions
KR102157682B1 (ko
Inventor
박민철
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020150115393A priority Critical patent/KR102157682B1/ko
Publication of KR20170021063A publication Critical patent/KR20170021063A/ko
Application granted granted Critical
Publication of KR102157682B1 publication Critical patent/KR102157682B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/50Overload detection or protection within a single switching element
    • H04L49/501Overload detection
    • H04L49/503Policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/50Overload detection or protection within a single switching element
    • H04L49/505Corrective measures
    • H04L49/506Backpressure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches

Abstract

본 발명에 따른 SDN 기반의 트래픽 처리 장치는, 오픈플로우 스위치로부터 출발지 호스트의 DNS 요청 메시지를 수신하고, 상기 DNS 요청 메시지에 상응하는 DNS 응답 메시지를 상기 오픈플로우 스위치로 전송하는 메시지 송수신부와, 상기 수신된 DNS 요청 메시지를 DNS 서버로 전송하여 상기 DNS 응답 메시지를 획득하는 응답 획득부와, 상기 획득된 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적하는 트래픽 정보 관리부와, 네트워크에서의 트래픽 과부하가 발생될 때, 누적된 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상 트래픽으로 결정하는 트래픽 제어부와, 상기 오픈플로우 스위치로부터 상기 결정된 차단 대상 트래픽에 대한 DNS 요청 메시지가 수신될 때 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 생성하여 상기 메시지 송수신부로 전달하는 응답 생성부를 포함할 수 있다.

Description

SDN 기반의 트래픽 처리 장치 및 그 방법{APPARATUS AND METHOD FOR PROCESSING TRAFFIC BASED ON SDN}
본 발명은 네트워크의 트래픽을 처리하는 기법에 관한 것으로, 더욱 상세하게는 통신 단말에 다양한 부가 서비스를 선택적으로 제공하는데 적합한 소프트웨어 정의 네트워크(SDN : Software Defined Network) 기반으로 트래픽 과부하를 해소하는데 적합한 SDN 기반의 트래픽 처리 장치 및 그 방법에 관한 것이다.
최근 들어, IoT(사물 인터넷)가 다양한 산업 관련, 사무 관련, 가정 관련 등의 각 분야 등에서 광범위하게 적용 및 확대되고 있는 상황이며, 이러한 상황으로 인해 네트워크에서의 트래픽이 폭발적으로 증가하고 있는 추세이다.
따라서, 각 서브넷과 인터넷을 연결하는 위치 등에, 예컨대 패킷들을 누적하는 방식으로 트래픽의 과부하를 모니터링 및 관제하는 별도의 장비, 예컨대 트래픽 관제 장비들이 다수 구축되어 운영되고 있다.
그러나, 트래픽의 모니터링 및 관제를 위해 네트워크에 구축되는 트래픽 관제 장비들은, 예컨대 수억 내지 수십억원의 고가 장비이기 때문에 이러한 트래픽 관제 장비들로 인해 네트워크의 전체 구축비용이 상승하게 되는 요인이 되고 있으며, 또한 네트워크의 유지 관리비용을 추가적으로 증가시키는 원인을 제공하고 있다.
대한민국 공개특허 제10-2015-0058087호, 공개일자 2015년 05월 28일
본 발명은, SDN 제어기를 통해 DNS 요청 메시지에 대응하여 획득되는 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적하고, 트래픽 과부하가 발생할 때 그 누적 결과에 의거하여 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상으로 결정하여 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 응답으로 제공할 수 있는 SDN 기반의 트래픽 처리 기법을 제안한다.
본 발명이 해결하고자 하는 과제는 상기에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재들로부터 본 발명이 속하는 통상의 지식을 가진 자에 의해 명확하게 이해될 수 있을 것이다.
본 발명은, 일 관점에 따라, 오픈플로우 스위치로부터 출발지 호스트의 DNS 요청 메시지를 수신하고, 상기 DNS 요청 메시지에 상응하는 DNS 응답 메시지를 상기 오픈플로우 스위치로 전송하는 메시지 송수신부와, 상기 수신된 DNS 요청 메시지를 DNS 서버로 전송하여 상기 DNS 응답 메시지를 획득하는 응답 획득부와, 상기 획득된 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적하는 트래픽 정보 관리부와, 네트워크에서의 트래픽 과부하가 발생될 때, 누적된 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상 트래픽으로 결정하는 트래픽 제어부와, 상기 오픈플로우 스위치로부터 상기 결정된 차단 대상 트래픽에 대한 DNS 요청 메시지가 수신될 때 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 생성하여 상기 메시지 송수신부로 전달하는 응답 생성부를 포함하는 SDN 기반의 트래픽 처리 장치를 제공한다.
본 발명은, 다른 관점에 따라, 오픈플로우 스위치로부터 출발지 호스트의 DNS 요청 메시지를 수신될 때, DNS 서버로 전송하여 DNS 응답 메시지를 획득하는 과정과, 상기 출발지 호스트로의 전송을 위해, 상기 획득된 DNS 응답 메시지를 상기 오픈플로우 스위치로 전송하는 과정과, 상기 획득된 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적하는 과정과, 네트워크에서의 트래픽 과부하가 발생될 때, 누적된 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상 트래픽으로 결정하는 과정과, 상기 오픈플로우 스위치로부터 상기 결정된 차단 대상 트래픽에 대한 DNS 요청 메시지가 수신될 때 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 생성하여 상기 오픈플로우 스위치로 전송하는 과정을 포함하는 SDN 기반의 트래픽 처리 방법을 제공한다.
본 발명은, 트래픽 과부하가 발생할 때 DNS 요청 메시지에 대응하여 획득되는 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적한 값에 의거하여 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상으로 결정하여 루프백 주소를 DNS 응답으로 제공하기 때문에 해당 호스트에서 차단 대상으로 결정된 도메인에 대한 트래픽이 발생하는 것을 원천적으로 차단할 수 있으며, 이를 통해 트래픽 과부하의 발생을 효과적으로 방지할 수 있다.
도 1은 본 발명에 따른 SDN 기반의 트래픽 처리 기법을 적용하는데 적합한 네트워크 시스템의 구성도이다.
도 2는 본 발명에 따른 SDN 기반의 트래픽 처리 장치의 블록구성도이다.
도 3은 본 발명에 따라 SDN 기반으로 루프백 주소를 이용하여 트래픽의 발생을 선택적으로 차단하는 주요 과정을 도시한 순서도이다.
먼저, 본 발명의 장점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되는 실시 예들을 참조하면 명확해질 것이다. 여기에서, 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 발명의 범주를 명확하게 이해할 수 있도록 하기 위해 예시적으로 제공되는 것이므로, 본 발명의 기술적 범위는 청구항들에 의해 정의되어야 할 것이다.
아울러, 아래의 본 발명을 설명함에 있어서 공지 기능 또는 구성 등에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들인 것으로, 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있음은 물론이다. 그러므로, 그 정의는 본 명세서의 전반에 걸쳐 기술되는 기술사상을 토대로 이루어져야 할 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대하여 상세하게 설명한다.
도 1은 본 발명에 따른 SDN 기반의 트래픽 처리 기법을 적용하는데 적합한 네트워크 시스템의 구성도이다.
도 1을 참조하면, 네트워크 시스템은 적어도 2개의 서버(110, 120), SDN(Software Defined Network) 제어기(130), DNS 서버(140) 및 트래픽 관제 장비(150) 등을 포함할 수 있으며, 서버(110)는, 예컨대 하나의 오픈플로우 스위치(OVS#1)와 다수의 VM(VM1 내지 VM9)들을 포함할 수 있고, 서버(120)는, 예컨대 하나의 오픈플로우 스위치(OVS#2)와 다수의 VM(VM10 내지 VMn)들을 포함할 수 있다. 여기에서, 각 오픈플로우 스위치는, 예컨대 리눅스 내에 깔리는 가상 스위치로서 정의될 수 있다.
그리고, 각 서버에 포함되는 VM들은 가상화된 장치로서 자신을 서버 또는 컴퓨터로 인식할 수 있는데, 이러한 각 VM들은, 예컨대 호스트로서 정의될 수 있으며, 다른 호스트 또는 서버와의 통신 접속을 위해 DNS 요청 메시지(DNS 요청 패킷) 등을 생성하여 대응하는 오픈플로우 스위치로 전달하거나 혹은 이에 대응하여 오픈플로우 스위치가 제공하는 DNS 응답 메시지(DNS 응답 패킷) 등을 수신하여 처리할 수 있다.
다음에, 각 오픈플로우 스위치(OVS#1, OVS#2)는 SDN 제어기(130)가 제공하는 트래픽별 또는 서비스별의 정책에 기반하여 각 호스트로부터 수신되는 패킷들(메시지들)을 처리하는데, 본 발명을 위해, 출발지 호스트(출발지 VM)로부터 수신되는 메시지로부터 DNS 요청 메시지(DNS 요청 패킷)를 추출하여 SDN 제어기(130)로 전송하고, 이에 응답하여 SDN 제어기(130)로부터 DNS 응답 메시지가 수신될 때 이 수신된 DNS 응답 메시지를 출발지 호스트(출발지 VM)로 전달하는 등의 기능을 제공할 수 있다.
한편, SDN 제어기(130)는, 본 발명을 위해, 오픈플로우 스위치(예컨대, OVS#1)로부터 DNS 요청 메시지(DNS 요청 패킷)가 전달될 때, 이를 DNS 서버(140)로 전송하여 DNS 응답 메시지를 획득하고, 이 획득된 DNS 응답 메시지를 오픈플로우 스위치(OVS#1)로 전송하는 등의 기능을 제공할 수 있다. 즉, SDN 제어기(130)는 DNS 프록시(Proxy) 서버로서 기능할 수 있는데, 이를 위해 후술하는 도 2에 도시된 바와 같은 구성을 가질 수 있다.
그리고, DNS 서버(140)는, 전형적인 도메인 네임 서비스 서버로서, SDN 제어기(130)로부터 DNS 요청 메시지가 수신될 때 그에 상응하는 DNS 응답 메시지를 생성하여 SDN 제어기(130)로 전송하는 등의 기능을 제공할 수 있다.
또한, 트래픽 관제 장비(150)는 네트워크상의 트래픽을 모니터링 및 관제하는 장치로서, 네트워크상에서의 과부하 상태가 발생될 때, 이를 SDN 제어기(130)로 통지하는 등의 기능을 제공할 수 있다. 여기에서, 트래픽 과부하의 발생 통지는 트래픽의 과부하 정도가 기 설정된 임계 레벨이 될 때마다 비주기적으로 발생될 수 있다.
더욱이, 트래픽 관제 장비(150)는 네트워크상의 트래픽 모니터링을 통해 과부하 상태가 해소된 것으로 판단될 때 그에 상응하는 트래픽 과부하 해지를 SDN 제어기(130)로 통지하는 등의 기능을 제공할 수 있다.
도 2는 본 발명에 따른 SDN 기반의 트래픽 처리 장치의 블록구성도로서, 메시지 송수신부(202), 응답 획득부(204), 트래픽 정보 관리부(206), 트래픽 제어부(208), 응답 생성부(210) 및 정보 저장소(212) 등을 포함할 수 있다.
도 2를 참조하면, 메시지 송수신부(202)는 오픈플로우 스위치(OVS#1)로부터 전달되는 출발지 호스트(출발지 VM)의 DNS 요청 메시지(DNS 요청 패킷)를 수신하여 응답 획득부(206)로 전달하고, 응답 획득부(206)로부터 전달되는 DNS 응답 메시지(DNS 응답 패킷)를 오픈플로우 스위치(OVS#1)로 전송하거나 혹은 후술하는 응답 생성부(210)로부터 전달되는 특정의 DNS 응답 메시지(즉, 루프백 주소(Loopback address)를 포함하는 DNS 응답 메시지)를 오픈플로우 스위치(OVS#1)로 전송하는 등의 기능을 제공할 수 있다.
그리고, 응답 획득부(204)는 메시지 송수신부(202)로부터 전달되는 DNS 요청 메시지를 DNS 서버(140)로 전송하여 DNS 응답을 요청하고, 이 요청에 따라 DNS 서버(140)로부터 제공되는 DNS 응답 메시지를 획득하여 메시지 송수신부(202)와 트래픽 정보 관리부(206)로 각각 전달하는 등의 기능을 제공할 수 있다.
다음에, 트래픽 정보 관리부(206)는 응답 획득부(204)를 통해 DNS 응답 메시지가 획득될 때마다 도메인별(예컨대, 네이버, 다음, 구글, 유튜브 등) IP로 구분 및 카운트하여 정보 저장소(212)에 누적하는 등의 기능을 제공할 수 있다.
여기에서, 각 도메인별로 수 내지 수십 개의 IP가 존재할 수 있는데, 본 발명에서는, 일례로서 도 4에 도시된 바와 같이, 도메인별 IP로 구분 및 누적 카운트되어 최종 업데이트 일시 정보가 함께 기록될 수 있으며, DNS 응답 메시지의 발생 횟수를 카운트한 카운트 횟수와 각 IP별의 최종 업레이트 일시 정보를 저장하는 정보 저장소(212)는, 예컨대 L7 리포지터리(repository)를 의미할 수 있다.
또한, 트래픽 제어부(208)는, 예컨대 도 1의 트래픽 관제 장비(150)로부터 네트워크에서의 트래픽 과부하 상태가 통지될 때, 정보 저장소(212)를 탐색함으로써, 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상 트래픽으로 결정하고, 이러한 차단 대상 트래픽의 결정을 응답 생성부(210)로 통지하는 등의 기능을 제공할 수 있다.
여기에서, SDN 제어기(130)로 전달되는 트래픽 과부하 상태 정보는, 예컨대 기 설정된 다수의 과부하 레벨 값들 중 어느 한 레벨 값이 포함될 수 있다. 예컨대, 네트워크 대응 가능 용량의 50% 초과가 1레벨로, 40% 초과가 2레벨로, 30% 초과가 3레벨로, 20% 초과가 4레벨로, 10% 초과가 1레벨로 설정될 수 있을 것이다.
따라서, 트래픽 제어부(208)는 트래픽 과부하 상태 정보에 포함된 과부하 레벨 값에 의거하여 차단 대상 트래픽을 적응적으로 결정할 수 있다.
예컨대, 과부하 레벨 값이 1레벨일 때 카운트 횟수 상위 10개를 차단 대상 트래픽으로, 2레벨일 때 카운트 횟수 상위 8개를 차단 대상 트래픽으로, 3레벨일 때 카운트 횟수 상위 6개를 차단 대상 트래픽으로, 4레벨일 때 카운트 횟수 상위 4개를 차단 대상 트래픽으로, 5레벨일 때 카운트 횟수 상위 2개를 차단 대상 트래픽으로 각각 결정할 수 있을 것이다.
그리고, 트래픽 제어부(208)는 트래픽 과부하 상태가 통지될 때 이를 메시지 송수신부(202)로 통지함으로써 수신되는 DNS 요청 메시지가 응답 생성부(210)를 경유하여 응답 획득부(204)로 선택 전달되도록 기능할 수 있다.
한편, 트래픽 제어부(208)는 기 설정된 도메인별 서비스 정책을 반영시켜 차단 대상 트래픽을 결정할 수 있다. 예컨대, 서비스 계약을 통해 A포털과 B포털에 대해서는 어떠한 트래픽 차단도 적용하지 않기로 서비스 정책이 규정(차단 대상 트래픽의 적용 예외 규정)되어 있는 경우라고 가정할 때, 트래픽 제어부(208)에서는 어떠한 경우라도 A포털의 IP들과 B포털의 IP들에 대해서는 차단 대상 트래픽에서 제외시키게 될 것이다.
즉, 응답 생성부(210)는 메시지 송수신부(202)를 통해 DNS 요청 메시지가 전달될 때 정보 저장소(212)를 탐색함으로써, 해당 DNS 요청 메시지가 차단 대상 트래픽에 대한 메시지인지를 체크하고, 체크 결과 차단 대상 트래픽에 대한 DNS 요청 메시지인 것으로 판단될 때 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 생성하여 메시지 송수신부(202)로 전달하는 등의 기능을 제공할 수 있다. 여기에서, 해당 DNS 요청 메시지가 차단 대상 트래픽에 대한 메시지가 아닌 것으로 판단될 때, 응답 생성부(210)는 수신된 DNS 요청 메시지를 응답 획득부(204)로 전달한다.
그 결과, 메시지 송수신부(202)에서는 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 오픈플로우 스위치(OVS#1)로 전송하게 될 것이며, 이를 통해 DNS 요청 메시지를 전송하였던 출발지 호스트가 자기 자신에게 패킷 전송을 시도하는 프로세스를 진행하게 됨으로써, 네트워크에서의 트래픽 발생을 선택적으로 차단할 수 있다.
물론, 트래픽 제어부(208)는 도 1의 트래픽 관제 장비(150)로부터 트래픽 과부하 해지가 통지될 때, 차단 대상 트래픽의 차단을 해제함과 동시에 이를 메시지 송수신부(202)로 통지함으로써 정상적인 DNS 처리 프로세스로 복귀시키는 등의 기능을 제공할 수 있다.
다음에, 상술한 바와 같은 구성을 갖는 본 실시 예에 따른 SDN 기반의 트래픽 처리 장치를 통해 트래픽의 발생을 선택적으로 차단하는 일련의 과정들에 대하여 상세하게 설명한다.
도 3은 본 발명에 따라 SDN 기반으로 루프백 주소를 이용하여 트래픽의 발생을 선택적으로 차단하는 주요 과정을 도시한 순서도이다.
도 3을 참조하면, 오픈플로우 스위치(OVS#1)에서는 출발지 호스트(출발지 VM)로부터 메시지들(패킷들)이 수신될 때(단계 302), 수신 메시지들로부터 DNS 요청 메시지(DNS 요청 패킷)를 추출한 후 SDN 제어기(130) 내의 메시지 송수신부(202)로 전송한다(단계 304).
그리고, SDN 제어기(130) 내 응답 획득부(204)에서는 수신된 DNS 요청 메시지를 DNS 서버(140)로 전송하여 DNS 응답을 요청하고(단계 306), 이 요청에 따라 DNS 서버(140)로부터 제공되는 DNS 응답 메시지를 획득하여 메시지 송수신부(202)와 트래픽 정보 관리부(206)로 각각 전달한다(단계 308).
이에 대응하여, 메시지 송수신부(202)에서는 DNS 응답 메시지를 오픈플로우 스위치(OVS#1)로 전송하고(단계 310), 트래픽 정보 관리부(206)에서는 획득된 DNS 응답 메시지를 도메인별(예컨대, 네이버, 다음, 구글, 유튜브 등) IP로 구분 및 카운트하여 정보 저장소(212)에 누적한다(단계 312).
다음에, 트래픽 제어부(208)에서는 트래픽 관제 장비(150)로부터 네트워크에서의 트래픽 과부하 상태가 통지되는지의 여부를 체크하는데(단계 314), 여기에서의 체크 결과 트래픽 과부하 상태가 통지되면 정보 저장소(212)를 탐색함으로써, 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상 트래픽으로 결정한다(단계 316).
예컨대, 트래픽 과부하 상태 정보에 포함된 과부하 레벨 값에 따라 카운트 횟수 상위 10개를 차단 대상 트래픽으로 결정하거나 혹은 카운트 횟수 상위 8개를 차단 대상 트래픽으로 결정할 수 있을 것이다.
이후, 응답 생성부(210)에서는 메시지 송수신부(202)를 통해 DNS 요청 메시지가 수신될 때(단계 318), 정보 저장소(212)를 탐색함으로써 수신된 DNS 요청 메시지가 차단 대상 트래픽에 대한 메시지인지의 여부를 체크한다(단계 320).
상기 단계(320)에서의 체크 결과, 수신된 DNS 요청 메시지가 차단 대상 트래픽에 대한 메시지인 것으로 판단될 때, 응답 생성부(210)에서는 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 생성한 후 메시지 송수신부(202)를 통해 오픈플로우 스위치(OVS#1)로 전송한다(단계 322).
그 결과, 오픈플로우 스위치(OVS#1)가 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 출발지 호스트로 전송함으로써, 출발지 호스트는 DNS 응답을 요청한 해당 도메인과 관련하여 자기 자신에게 패킷 전송을 시도하는 프로세스(트래픽을 발생시키지 않는 프로세스)를 진행하게 될 것이다.
한편, 상술한 바와 같이 실시 예를 제시하고 있는 본 발명에 따른 SDN 기반의 트래픽 처리 방법은 컴퓨터(또는 휴대용 컴퓨터)로 판독 가능한 기록 매체에 컴퓨터가 실행할 수 있는 코드(컴퓨터 프로그램 코드)로서 구현될 수 있는데, 컴퓨터로 판독 가능한 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함할 수 있다. 이러한 컴퓨터 판독 가능의 기록매체의 예로는 ROM, RAM, CD-ROM, 자기테이프, 플로피디스크, 광 데이터 저장장치, 모바일 앱 등이 있다.
그리고, 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
또한, 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리 등에 저장되는 것도 가능하므로, 그 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
여기에서, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 적어도 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경 등이 가능함을 쉽게 알 수 있을 것이다. 즉, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것으로서, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다.
따라서, 본 발명의 보호 범위는 후술되는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명의 실시 예에 의하면, DNS 요청 메시지에 대응하여 획득되는 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적하고, 트래픽 과부하가 발생할 때 그 누적 결과에 의거하여 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상으로 결정하여 루프백 주소를 포함하는 DNS 응답 메시지를 응답으로 제공할 수 있는 SDN 기반의 트래픽 처리 기법을 제공할 수 있다.
이러한 기술적 구성을 포함하는 본 발명은, 트래픽 과부하가 발생할 때 DNS 요청 메시지에 대응하여 획득되는 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적한 값에 의거하여 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상으로 결정하여 루프백 주소를 DNS 응답으로 제공하기 때문에 해당 호스트에서 차단 대상으로 결정된 도메인에 대한 트래픽이 발생하는 것을 원천적으로 차단할 수 있다.
130 : SDN 제어기 202 : 메시지 송수신부
204 : 응답 획득부 206 : 트래픽 정보 관리부
208 : 트래픽 제어부 210 : 응답 생성부
212 : 정보 저장소

Claims (8)

  1. 오픈플로우 스위치로부터 출발지 호스트의 DNS 요청 메시지를 수신하고, 상기 DNS 요청 메시지에 상응하는 DNS 응답 메시지를 상기 오픈플로우 스위치로 전송하는 메시지 송수신부와,
    상기 수신된 DNS 요청 메시지를 DNS 서버로 전송하여 상기 DNS 응답 메시지를 획득하는 응답 획득부와,
    상기 획득된 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적하는 트래픽 정보 관리부와,
    네트워크에서의 트래픽 과부하가 발생될 때, 누적된 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상 트래픽으로 결정하는 트래픽 제어부와,
    상기 오픈플로우 스위치로부터 상기 결정된 차단 대상 트래픽에 대한 DNS 요청 메시지가 수신될 때 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 생성하여 상기 메시지 송수신부로 전달하는 응답 생성부
    를 포함하는 SDN 기반의 트래픽 처리 장치.
  2. 제 1 항에 있어서,
    상기 트래픽 제어부는,
    기 설정된 도메인별 서비스 정책을 반영시켜 상기 차단 대상 트래픽을 결정하는
    SDN 기반의 트래픽 처리 장치.
  3. 제 1 항에 있어서,
    상기 트래픽 정보 관리부는,
    상기 도메인별 IP에 대한 누적 카운트 횟수 및 최종 업데이트 일시 정보를 L7 리포지터리(repository)에 저장하는
    SDN 기반의 트래픽 처리 장치.
  4. 오픈플로우 스위치로부터 출발지 호스트의 DNS 요청 메시지를 수신될 때, DNS 서버로 전송하여 DNS 응답 메시지를 획득하는 과정과,
    상기 출발지 호스트로의 전송을 위해, 상기 획득된 DNS 응답 메시지를 상기 오픈플로우 스위치로 전송하는 과정과,
    상기 획득된 DNS 응답 메시지를 도메인별 IP로 구분 및 카운트하여 누적하는 과정과,
    네트워크에서의 트래픽 과부하가 발생될 때, 누적된 적어도 하나 이상의 도메인 또는 도메인별 IP를 차단 대상 트래픽으로 결정하는 과정과,
    상기 오픈플로우 스위치로부터 상기 결정된 차단 대상 트래픽에 대한 DNS 요청 메시지가 수신될 때 루프백 주소를 포함하는 특정의 DNS 응답 메시지를 생성하여 상기 오픈플로우 스위치로 전송하는 과정
    을 포함하는 SDN 기반의 트래픽 처리 방법.
  5. 제 4 항에 있어서,
    상기 결정하는 과정은,
    기 설정된 도메인별 서비스 정책을 상기 차단 대상 트래픽의 결정에 반영시키는
    SDN 기반의 트래픽 처리 방법.
  6. 제 4 항에 있어서,
    상기 도메인별 IP는,
    누적 카운트 횟수 및 최종 업데이트 일시 정보와 함께 L7 리포지터리(repository)에 저장되는
    SDN 기반의 트래픽 처리 방법.
  7. 제 4 항에 있어서,
    상기 트래픽 과부하는,
    트래픽 관제 장비로부터 통지되는
    SDN 기반의 트래픽 처리 방법.
  8. 제 7 항에 있어서,
    상기 차단 대상 트래픽은,
    상기 트래픽 관제 장비로부터의 과부하 해지 통지에 따라 차단 해제되는
    SDN 기반의 트래픽 처리 방법.
KR1020150115393A 2015-08-17 2015-08-17 Sdn 기반의 트래픽 처리 장치 및 그 방법 KR102157682B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150115393A KR102157682B1 (ko) 2015-08-17 2015-08-17 Sdn 기반의 트래픽 처리 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150115393A KR102157682B1 (ko) 2015-08-17 2015-08-17 Sdn 기반의 트래픽 처리 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20170021063A true KR20170021063A (ko) 2017-02-27
KR102157682B1 KR102157682B1 (ko) 2020-09-18

Family

ID=58315935

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150115393A KR102157682B1 (ko) 2015-08-17 2015-08-17 Sdn 기반의 트래픽 처리 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR102157682B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102046612B1 (ko) * 2018-08-22 2019-11-19 숭실대학교산학협력단 Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110049311A (ko) * 2009-11-05 2011-05-12 삼성에스디에스 주식회사 유해 트래픽 차단 장치 및 방법
KR101075234B1 (ko) * 2008-11-13 2011-10-19 주식회사 케이티 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버
KR20140035678A (ko) * 2012-09-14 2014-03-24 한국전자통신연구원 학습 가능한 dns 분석기 및 분석 방법
KR20150058087A (ko) 2013-11-20 2015-05-28 주식회사 케이티 Sdn 환경에서 서비스 트래픽을 관리하는 방법 및 장치
KR101535381B1 (ko) * 2014-04-30 2015-07-08 플러스기술주식회사 Ip 주소 및 url를 이용한 인터넷 접속 차단 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101075234B1 (ko) * 2008-11-13 2011-10-19 주식회사 케이티 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버
KR20110049311A (ko) * 2009-11-05 2011-05-12 삼성에스디에스 주식회사 유해 트래픽 차단 장치 및 방법
KR20140035678A (ko) * 2012-09-14 2014-03-24 한국전자통신연구원 학습 가능한 dns 분석기 및 분석 방법
KR20150058087A (ko) 2013-11-20 2015-05-28 주식회사 케이티 Sdn 환경에서 서비스 트래픽을 관리하는 방법 및 장치
KR101535381B1 (ko) * 2014-04-30 2015-07-08 플러스기술주식회사 Ip 주소 및 url를 이용한 인터넷 접속 차단 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102046612B1 (ko) * 2018-08-22 2019-11-19 숭실대학교산학협력단 Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법

Also Published As

Publication number Publication date
KR102157682B1 (ko) 2020-09-18

Similar Documents

Publication Publication Date Title
US8953479B2 (en) System and method for license enforcement for data center monitoring applications
CN108768926B (zh) 受感染主机设备的跟踪和缓解
US9948667B2 (en) Signature rule processing method, server, and intrusion prevention system
CN100421086C (zh) 基于策略的网络安全管理
KR102039842B1 (ko) 네트워크 공격 방지 방법, 장치 및 시스템
JP6037016B2 (ja) 仮想マシン・マイグレーションを決定するための方法および装置
US20160173452A1 (en) Multi-connection system and method for service using internet protocol
JP2013191199A (ja) ネットワーク接続装置を侵入から保護するための方法およびシステム
CN108293039B (zh) 处理网络威胁的计算设备、方法和存储介质
KR101541350B1 (ko) 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법 및 시스템
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
US11233816B2 (en) User-determined network traffic filtering
CN105991617B (zh) 使用网络评分来选择安全路径的计算机实施系统及方法
US9847970B1 (en) Dynamic traffic regulation
KR101522139B1 (ko) DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법
KR102275065B1 (ko) 보안 통제 장치 및 방법
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
CN107241297B (zh) 通信拦截方法及装置、服务器
KR20170021063A (ko) Sdn 기반의 트래픽 처리 장치 및 그 방법
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
CN105721334B (zh) 确定传输路径和更新acl的方法及设备
US10320751B2 (en) DNS server selective block and DNS address modification method using proxy
KR101070522B1 (ko) 스푸핑 공격 탐지 및 차단 시스템 및 방법
CN111492621B (zh) 用于控制分组传输的服务器和方法
US8924547B1 (en) Systems and methods for managing network devices based on server capacity

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant