KR20240042765A - 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법 - Google Patents

모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법 Download PDF

Info

Publication number
KR20240042765A
KR20240042765A KR1020220121448A KR20220121448A KR20240042765A KR 20240042765 A KR20240042765 A KR 20240042765A KR 1020220121448 A KR1020220121448 A KR 1020220121448A KR 20220121448 A KR20220121448 A KR 20220121448A KR 20240042765 A KR20240042765 A KR 20240042765A
Authority
KR
South Korea
Prior art keywords
packet
data set
edge computing
computing system
mobile edge
Prior art date
Application number
KR1020220121448A
Other languages
English (en)
Inventor
송병곤
김준성
이유경
최간호
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020220121448A priority Critical patent/KR20240042765A/ko
Priority to US17/980,500 priority patent/US20240106845A1/en
Publication of KR20240042765A publication Critical patent/KR20240042765A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/289Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)

Abstract

모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법이 개시된다. 일 실시 예에 따른 MEC 환경에서의 모바일 망 시스템은, 입력 패킷의 전단부를 복사하는 스위치와, 스위치로부터 전단부가 복사된 패킷을 수신하여 모바일 망 트래픽의 데이터 셋을 추출하는 MEC 장치와, MEC 장치로부터 추출된 트래픽 데이터 셋을 수신하여 보안 서비스를 수행하는 호스트를 포함한다.

Description

모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법 {Mobile Edge Computing system and method for constructing traffic data feature set using the same}
본 발명은 패킷 처리기술에 관한 것이다.
모마일 망에서 사용자 패킷을 로컬 서버(Local Server)로 전송하는 경우, 패킷 저 지연(Low delay)을 실현하고 고속으로 패킷을 처리하기 위하여 모바일 엣지 컴퓨팅(Mobile Edge Computing: MEC, 이하 'MEC'라 칭함)과 로컬 브레이크 아웃(Local Break OUT: LBO, 이하 'LBO'라 칭함) 개념이 도입되어 적용되고 있다.
모바일 망의 MEC은 스마트 공장, 스마트 카, 실시간 IoT 서비스 등을 위하여 고속, 저지연의 실시간 데이터 전송의 효과적 실현이 요구되는 클라우드 엣지 망 스위칭 및 컴퓨팅 기술이다. MEC 및 LBO 기능은 새로운 서비스에서 필요한 저 지연 및 고 성능 패킷 처리를 위해 매우 유용하다.
일 실시 예에 따라, 하드웨어적으로 트래픽 데이터 셋을 실시간 추출할 수 있는 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법을 제안한다.
일 실시 예에 따른 MEC 환경에서의 모바일 망 시스템은, 입력 패킷의 전단부를 복사하는 스위치와, 스위치로부터 전단부가 복사된 패킷을 수신하여 모바일 망 트래픽의 데이터 셋을 추출하는 MEC 장치와, MEC 장치로부터 추출된 트래픽 데이터 셋을 수신하여 보안 서비스를 수행하는 호스트를 포함한다.
스위치는, 입력 패킷을 대상으로 미리 설정된 크기의 전단부를 복사하고, 입력 패킷의 크기가 미리 설정된 크기보다 작을 경우는 패킷 크기만큼 복사하며, 미리 설정된 크기는 사용자 조작에 의해 설정되거나, 기본값으로 설정될 수 있다.
MEC 장치는, 필드 프로그래머블 게이트 어레이(Field Programmable Gate Array: FPGA) 기반의 하드웨어 모듈일 수 있다.
MEC 장치는, 스위치로부터 전단부가 복사된 패킷을 수신하는 패킷 수신부와, 패킷 수신부를 통해 수신된 복사 패킷을 대상으로 해쉬 값을 계산하는 해쉬 값 계산부를 포함할 수 있으며, 해쉬 값은 패킷의 커넥션이나 플로우를 인식하는 식별자로 사용될 수 있다.
MEC 장치는, 복사 패킷에서 메타 데이터를 추출하고 패킷 종류별 카운트를 계산하여 트래픽 데이터 셋을 생성하는 메타 데이터 추출 및 패킷 카운트부와, 커넥션 수를 카운트하여 TCP 커넥션에 대한 데이터 셋을 생성하는 커넥션 데이터 카운트부를 포함할 수 있다.
커넥션 데이터 카운트부는, 커넥션이 비정상적으로 종료되는 경우, 타임아웃 시간을 설정하여 커넥션의 종료를 판단하고, 비정상 커넥션의 통계 데이터를 추출하며, 타임아웃 시간은 사용자 조작에 의해 설정되거나, 기본값으로 설정될 수 있다.
MEC 장치는, 추출된 트래픽 데이터 셋을 IP 패킷 형태로 재구성한 후 호스트에 전송하는 패킷 재구성부를 포함할 수 있다.
패킷 재구성부는, TLV(Type Length Value) 구성 방법에 따라 IP 패킷 형태로 재구성할 수 있다.
트래픽 데이터 셋은, 플로우 식별자, 5-튜플 정보, GTP 정보, 플로우 별 통계정보 및 TCP 커넥션 정보 중 적어도 하나를 포함할 수 있다.
호스트는, 수신된 데이터 셋을 이용하여 딥러닝 기반 비정상 행위를 검출하고 침입을 방지할 수 있다.
다른 실시 예에 따른 MEC 환경에서의 MEC 장치를 이용한 데이터 셋 구성방법은, 입력 패킷의 전단부가 복사된 패킷을 스위치로부터 수신하는 단계와, 수신된 복사 패킷으로부터 모바일 망 트래픽의 데이터 셋을 추출하는 단계와, 추출된 트래픽 데이터 셋을 호스트로 전송하는 단계를 포함한다.
데이터 셋을 추출하는 단계는, 수신된 복사 패킷을 대상으로 해쉬 값을 계산하는 단계와, 복사 패킷에서 메타 데이터를 추출하고 패킷 종류별 카운트를 계산하여 트래픽 데이터 셋을 생성하는 단계와, 커넥션 수를 카운트하여 TCP 커넥션에 대한 데이터 셋을 생성하는 단계를 포함할 수 있다.
호스트로 전송하는 단계에서, 추출된 트래픽 데이터 셋을 TLV(Type Length Value) 구성 방법에 따라 IP 패킷 형태로 재구성한 후 호스트에 전송할 수 있다.
본 발명의 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법에 따르면, MEC 시스템은 모바일 에지 망에서, 스위치가 입력 패킷의 전단부만을 복사하여 MEC 장치에 전송하고, MEC 장치가 하드웨어적으로 트래픽 데이터 셋을 추출한 후 이를 호스트에 전송하며, 호스트가 트래픽 데이터 셋을 이용하여 딥러닝을 이용한 망 비정상 행위 검출을 포함한 보안 서비스를 수행한다.
트래픽 데이터 셋의 추출을 위한 방법으로서 오프라인(Offline) 방식이나, 트래픽을 캡처하고 소프트웨어로 처리하는 방식은 지연이 발생하며 비효율적이다. 이에 비해, 본 발명의 방식은 MEC 장치가 하드웨어적으로 트래픽 데이터 셋을 추출하므로 실시간 처리가 가능하다. MEC 장치에서 추출하는 트래픽 데이터 셋은 호스트의 실시간 딥러닝 분석에 효과적으로 활용될 수 있다.
나아가, 모바일 에지 망 환경에서 망 비정상 행위 검출 등의 보안 서비스를 수행하기 위해서는 추가의 플랫폼과 비용이 소요되었으나, MEC 시스템을 통한 단일 플랫폼 내에서 통합적으로 구성하여 효과적이고 저 비용이며 고성능으로 구현할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 모바일 망 시스템의 구성을 도시한 도면,
도 2는 본 발명의 일 실시 예에 따른 MEC 장치의 구성을 도시한 도면,
도 3은 본 발명의 일 실시 예에 따른 스위치의 패킷 전단 복사 방법을 도시한 도면,
도 4는 본 발명의 일 실시 예에 따른 전단 복사 패킷으로부터 데이터 셋의 TLV 형태로 재구성하는 과정을 도시한 도면,
도 5는 본 발명의 일 실시 예에 따른 데이터 셋 구성방법의 흐름을 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이며, 후술되는 용어들은 본 발명의 실시 예에서의 기능을 반영하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 첨부 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다. 그러나 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시 예에 한정되는 것은 아니다. 본 발명의 실시 예는 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공된다.
도 1은 본 발명의 일 실시 예에 따른 모바일 망 시스템의 구성을 도시한 도면이다.
도 1을 참조하면, 모바일 망 시스템(1)은 모바일 엣지 컴퓨팅(Mobile Edge Computing: MEC) 시스템(2), 모바일 코어 망(Mobile Core Network)(3), 기지국(gNodeB: gNB, 이하 'gNB'라 칭함)(4), 사용자 평면 기능(User Plane Function: UPF, 이하 'UPF'라 칭함)(5) 및 로컬 망(6)을 포함한다.
MEC 시스템(2)은 MEC 장치(20), 호스트(Host)(22) 및 스위치(24)를 포함한다.
MEC 시스템(2)은 모바일 코어 망(3)과는 N4로 연결되고, gNB(4)와는 N3로 연결되며, UPF(5)와는 N3 또는 N9으로 연결되어 동작된다. 또한, 인터넷 또는 내부 로컬 망(6)과 연결되는 이더넷 링크는 N6로 연결되어 로컬 브레이크 아웃(Local Break OUT: LBO, 이하 'LBO'라 칭함)이 이루어진다. N4, N3, N9, N6는 레퍼런스 모델에서 표시되는 레퍼런스 인터페이스(Reference Interface)이다.
MEC 시스템(2)은 모바일 망 엣지(Mobile Network Edge)에서 클라우드 컴퓨팅 능력과 IT 서비스 환경을 제공함에 따라, 모바일 코어 망(3)의 혼잡을 완화하고 새로운 로컬 서비스를 창출한다. 일 실시 예에 따른 MEC 시스템(2)은 모바일 코어 망과는 독립적으로 LBO를 고속 처리한다. LBO는 모바일 망 사업자(Mobile Network Operator: MNO)가 사용자에게 모바일 망에서 직접 데이터 주문 기능을 제공할 수 있도록 하는 서비스 연결 경로(Path)이다. LBO를 통해 사용자는 방문한 모바일 망에서 직접 데이터 서비스를 제공받을 수 있다. LBO 서비스는 사용자의 데이터가 코어 망을 통하지 않고, 직접 LBO 경로로 전달되는 서비스를 의미한다.
일 실시 예에 따른 MEC 장치(20)는 모바일 코어 망(3)과는 독립적으로 일반 패킷 무선 서비스(General Packet Radio Service: GPRS, 이하 'GPRS'라 칭함) 터널링 프로토콜 사용자 평면(GPRS Tunneling Protocol User Plane: GTP-U, 이하 'GTP-U'라 칭함) 패킷에 대해 LBO를 고속 및 저 지연으로 처리한다. GTP-U 패킷은 모바일 망 내에서 GPRS를 전달하는 데 사용되는 IP 기반 통신 프로토콜 패킷이다.
호스트(22)에서 딥러닝 기반으로 망 비정상 행위 검출(Anomaly Detection)을 실시간 수행하기 위해, MEC 장치(20)는 모바일 망 트래픽에서 데이터 셋(Data Feature Set)을 추출하고, 추출된 데이터 셋을 호스트(22)에 전송한다. MEC 장치(20)에서 데이터 셋을 실시간으로 추출하고 이를 호스트(22)에 전송하면, 호스트(22)는 MEC 장치(20)로부터 수신된 데이터 셋을 이용하여 망 침해 대응을 위한 비정상 행위 검출을 딥러닝 방식으로 실시간 수행할 수 있다.
호스트(22)는 MEC 장치(20)로부터 수신한 메타 데이터를 통해 통계 처리, 제어 및 내부망에 악성코드 및 해킹 등과 같은 유해 트래픽의 침입을 차단하는 보안 서비스를 수행한다. 호스트(22)는 IPS(Intrusion Protection System) 서버일 수 있으며, CPU를 통해 기능을 수행할 수 있다.
일 실시 예에 따른 호스트(22)는 딥러닝 분석을 통해 망에서의 비정상 행위를 검출한다. 호스트(22)는 MEC 장치(20)로부터 수신된 트래픽 데이터 셋을 참조하여 딥러닝 분석, 특히, 망 침해 대응을 위한 비정상 행위 검출을 실시간으로 수행할 수 있다. 호스트(22)가 가공되지 않은 원(raw) 패킷을 전달받아 딥러닝 분석을 수행하는 방법에 비해, 하드웨어 기반의 MEC 장치(20)를 이용하여 추출된 트래픽 데이터 셋을 수신하여 이용함으로써, 호스트(22)가 보다 고속으로 딥러닝 분석을 수행할 수 있다.
MEC 장치(20)에서 고속으로 모바일 망 트래픽의 데이터 셋을 추출할 수 있도록, 스위치(24)는 입력 패킷의 미리 설정된 크기(예를 들어, 80 바이트 크기 전단부)를 복사하여 이를 MEC 장치(20)로 송신할 수 있다.
스위치(24)는 GTP-U 패킷의 인캡슐레이션(Encapsulation) 및 디캡슐레이션(Decapsulation)을 수행할 수 있다. 인캡슐레이션은 IP 패킷을 GTP-U 패킷으로 캡슐화 하는 것이고, 디캡슐레이션은 GTP-U 패킷을 IP 패킷으로 역캡슐화 하는 것이다.
고성능 GTP-U 패킷의 인캡슐레이션 및 디캡슐레이션 처리를 위하여, 스위치(24)는 복수 개의 멀티코어 프로세서(Multi core processor)로 구성될 수 있고, 10G, 40G 이더넷 인터페이스를 위한 MAC(Media Access Control) 기능을 포함하며, 메모리 인터페이스와, 호스트(22)와 IPC(Inter Processor Communication)를 위한 PCIe 인터페이스를 포함할 수 있다.
스위치(24)는 MEC 장치(20)의 고속 데이터 셋 추출을 위하여, 입력 패킷에서 미리 설정된 길이의 전단부 패킷을 복사하고 복사된 패킷을 MEC 장치(20)에 전송한다. 여기서 미리 설정된 길이는 사용자 입력에 의해 설정할 수도 있고, GTP-U 패킷 또는 IP 패킷의 구조를 고려하여 기본값(예를 들어, 80 바이트)으로 설정할 수도 있다. 패킷의 전단부만을 복사하여 전달하는 이유는, 전체(Full) 패킷을 복사하여 전송하면 성능과 속도가 떨어지고, 전단부만을 분석하여도 유효한 데이터 셋 추출이 가능하기 때문이다.
스위치(24)는 인캡슐레이션 또는 디캡슐레이션 된 패킷을 N3 인터페이스 또는 N6 인터페이스로 전달(Forwarding) 하고, 전단부를 복사한 패킷을 MEC 장치(20)로 전송하여, 데이터 셋이 추출되도록 한다. MEC 장치(20)와 스위치(24) 간의 인터페이스는 XLAUI로 구성하여, 40Gbps 트래픽이 전송될 수 있도록 한다.
MEC 장치(20)는 스위치(24)로부터 전단 복사 패킷을 수신하고 이를 분석하여 이동 망 트래픽의 데이터 셋을 추출한다. 그리고 추출된 데이터 셋을 PCIe 버스를 통하여 호스트(22)로 송신한다.
호스트(22)는 MEC 장치(20)에서 추출된 데이터 셋을 이용하여 딥러닝 기반 망 비정상 행위를 검출한다. 비정상 행위 검출은 호스트(22)의 응용 서비스 소프트웨어 모듈에서 수행될 수 있다. 이러한 응용 서비스 소프트웨어는 딥러닝 기반 망 이상징후 검출 및 침입방지 응용 서비스 프로그램이 될 수 있다.
MEC 장치(20)는 필드 프로그래머블 게이트 어레이(Field Programmable Gate Array: FPGA) 기반의 하드웨어 모듈일 수 있다. 예를 들어, MEC 장치(20)는 40Gbps급 이상의 GTP 패킷 처리 및 100usec 이하의 패킷 지연(delay)을 달성하기 위하여 하드웨어로 구현된다. 소프트웨어 구현 방식은 CPU에 의존하므로 CPU 처리 성능에 따라 큰 영향을 받으나, 하드웨어 구현 방식은 CPU로부터 자유로울 수 있다.
MEC 장치(20)는 고속 데이터 처리용 메모리를 포함할 수 있는데, 예를 들어, 삼분 내용 주소화 기억장치(Ternary Content-addressable memory: TCAM, 이하 'TCAM '라 칭함)일 수 있다. TCAM은 일반 상용 칩을 이용할 수 있다.
도 2는 본 발명의 일 실시 예에 따른 MEC 장치의 구성을 도시한 도면이다.
도 1 및 도 2를 참조하면, MEC 장치(20)는 패킷 수신부(201)와 프로세서 및 및 TCAM(206)을 포함한다. 프로세서는 해쉬 값 계산부(202), 메타 데이터 추출 및 패킷 카운트부(203), 커넥션 데이터 카운트부(204) 및 패킷 재구성부(205)를 포함한다.
패킷 수신부(201)는 스위치(24)로부터 전단부(예를 들어, 80 바이트)가 복사된 패킷을 XLAUI 인터페이스를 통해 수신한다.
해쉬 값 계산부(202)는 패킷 수신부(201)을 통하여 수신된 복사 패킷을 대상으로 미리 설정된 해쉬 필드로부터 해쉬 값(Hash value)을 계산한다. 이 해쉬 값은 GTP-U 패킷이나 IP 패킷의 커넥션(connection)이나 플로우(flow)를 인식하는 식별자(ID)로 사용될 수 있고, TCAM(206)에 저장되어 검색 키로 사용될 수 있다.
메타 데이터 추출 및 패킷 카운트부(203)는 수신 패킷에서 메타 데이터를 추출하고, 데이터 셋 생성을 위해 패킷의 수신 바이트 수, 총 패킷 수, 커넥션 수, 커넥션 바이트 수, 커넥션 시간, 단위시간당 패킷 종류별 카운트(count)를 계산하여 해쉬 값으로 연결된 TCAM(206)에 저장하며, 주기적으로 트래픽 데이터 셋을 생성한다. 패킷의 종류는 IP 프로토콜 타입을 기준으로 구분한다. 패킷의 메타 데이터는 IP 패킷의 5-튜플(5-Tuple)과 GTP-U 패킷의 TEID(Termination Endpoint Identification), GTP 패킷 타입들이다.
커넥션 데이터 카운트부(204)는 TCP 커넥션에 대한 데이터 셋을 생성한다. TCP 커넥션은 TCP 프로토콜에서 Sync 패킷으로 커넥션이 시작되고 Fin 패킷으로 커넥션이 종료되는데, 커넥션 데이터 카운트부(204)는 이를 검출하여 단위 시간당 커넥션 수, 커넥션별 총 바이트 수, 시간의 통계 값을 포함한 TCP 커넥션 정보를 추출한다. 또한, TCP 커넥션이 비정상적으로 종료되는 경우, 예를 들어 Fin 패킷 없이 TCP 커넥션이 종료되는 경우, 커넥션 데이터 카운트부(204)는 타임아웃 시간을 설정하여 설정된 타임아웃 시간 내에 Fin 패킷이 없으면 TCP 커넥션의 종료로 판단한다. 타임아웃 시간은 사용자 조작에 의해 설정 가능하나, 기본값(예를 들어, 300초)로 설정될 수도 있다. TCP 커넥션은 정상적인 프로토콜 핸드쉐이크에서 뿐만 아니라 비정상적인 상태로 종료되는 경우도 많으므로, 커넥션 데이터 카운트부(204)가 각각의 비정상 커넥션의 통계 데이터도 추출할 수 있다.
패킷 재구성부(205)는 메타 데이터 추출 및 패킷 카운트부(203) 및 커넥션 데이터 카운트부(204)를 통해 추출된 트래픽 데이터 셋을 IP 패킷 형태로 제구성한 후, PCIe 버스를 통해 호스트(22)에 전달한다. 호스트(22)로 전달된 데이터 셋의 활용방법은 본 발명에서 특정하지 않는다.
도 3은 본 발명의 일 실시 예에 따른 스위치의 패킷 전단 복사 방법을 도시한 도면이다.
도 1 및 도 3을 참조하면, 스위치(24)는 MEC 장치(20)에서의 모바일 망 트래픽 데이터 셋 추출을 위하여 패킷의 전단 일부만을 복사한다.
입력되는 패킷은 2가지 종류로, (a)는 gNB(4)로부터 N3 인터페이스를 통하여 입력되는 패킷으로 GTP-U 구조의 패킷이며, (b)는 로컬 망(6)으로부터 N6 인터페이스를 통하여 입력되는 IP 패킷 형태이다. 2가지 타입 모두 미리 설정된 크기(예를 들어, 80 바이트)의 전단부를 복사한다. 패킷 크기가 미리 설정된 크기보다 작을 경우는 패킷 크기만큼 복사한다. N3 인터페이스를 통하여 입력되는 GTP-U 패킷은 크기가 일반적으로 크며, SSH와 같이 보안을 위한 커넥션일 경우는 1,000 바이트 이상인 경우가 대부분이다. 따라서, 스위치(24)가 패킷의 전단부만을 복사하는 방법은 성능을 높이는데 상당한 효과가 있다.
스위치(24)는 복사된 패킷을 XLAUI 인터페이스를 통하여 MEC 장치(20)로 전송한다. XLAUI 인터페이스는 40Gbps까지 지원되는 표준 인터페이스로, 복사 패킷을 전송하는데 충분한 여유가 있는 전송 링크이다.
패킷 복사는 입력 패킷에만 적용하고 출력 패킷에는 적용하지 않기 때문에 중복해서 복사되지는 않는다.
트래픽 데이터 셋은 플로우 식별자, 5-튜플 정보, GTP 정보, 플로우 별 통계정보 및 TCP 커넥션 정보 중 적어도 하나를 포함할 수 있다. 플로우는 해쉬 식별자가 동일한 것을 동일한 플로우로 가정하고, TCP 패킷인 경우는 해쉬 식별자가 동일한 것을 동일 커넥션으로 가정한다. 플로우 식별자는 5-튜플 및 지정된 필드를 조합하여 생성된 해쉬 값으로 구분된다. 5-튜플 정보는 Source IP Address, Destination IP Address, Source Port, Destination Port, Protocol 정보를 포함한다. GTP 정보는 TEID, GTP 패킷 타입 정보를 포함한다. 플로우별 통계정보는 수신 바이트 수, 플로우 지속 시간 정보를 포함한다. TCP 정보는 TCP 패킷 타입별 통계, 단위 시간당 TCP 정보를 포함한다. TCP 커넥션 정보는 수신 바이트 수, 커넥션 지속 시간, 커넥션 에러 수 정보를 포함한다.
도 4는 본 발명의 일 실시 예에 따른 전단 복사 패킷으로부터 데이터 셋의 TLV 형태로 재구성하는 과정을 도시한 도면이다.
도 1 및 도 4를 참조하면, MEC 장치(20)는 추출된 데이터 셋을 재구성하여 IP 패킷으로 만들고, 이를 호스트(22)로 전송한다. 데이터 셋을 재구성하여 IP 패킷으로 만드는 방법은 TLV(Type Length Value) 구성 방법을 이용할 수 있다. TLV 세부 구성 방법은 다음과 같다.
Type(1 바이트): 1 바이트의 정보로, 데이터 셋 종류에 따른 고유 값을 갖는다.
Length(1 바이트): Value의 길이(n)
Value(n 바이트): 특정 타입에 해당되는 값의 길이
도 5는 본 발명의 일 실시 예에 따른 데이터 셋 구성방법의 흐름을 도시한 도면이다.
도 1 및 도 5를 참조하면, MEC 장치(20)는 입력 패킷의 전단부가 복사된 패킷을 스위치(24)로부터 수신한다(510).
이어서, MEC 장치(20)는 수신된 복사 패킷으로부터 모바일 망 트래픽의 데이터 셋을 추출한다(520). 데이터 셋 추출 단계(520)에서, MEC 장치(20)는 수신된 복사 패킷을 대상으로 해쉬 값을 계산하고, 복사 패킷에서 메타 데이터를 추출하고 패킷 종류별 카운트를 계산하여 트래픽 데이터 셋을 생성하며, 커넥션 수를 카운트하여 TCP 커넥션에 대한 데이터 셋을 생성할 수 있다. 트래픽 데이터 셋은 플로우 식별자, 5-튜플 정보, GTP 정보, 플로우 별 통계정보 및 TCP 커넥션 정보 중 적어도 하나를 포함할 수 있다.
이어서, MEC 장치(20)는 추출된 트래픽 데이터 셋을 호스트(22)로 전송한다(530). 호스트로 전송하는 단계(530)에서, MEC 장치(20)는 추출된 트래픽 데이터 셋을 TLV(Type Length Value) 구성 방법에 따라 IP 패킷 형태로 재구성한 후 호스트(22)에 전송할 수 있다.
도 1 및 도 5를 참조로 하여 전술한 바와 같이, MEC 시스템(2)은 모바일 에지 망에서, 스위치(24)가 입력 패킷의 전단부만을 복사하여 MEC 장치(20)에 전송하고, MEC 장치(20)가 하드웨어적으로 트래픽 데이터 셋을 추출한 후 이를 호스트(22)에 전송하며, 호스트(22)가 트래픽 데이터 셋을 이용하여 딥러닝을 이용한 망 비정상 행위 검출을 포함한 보안 서비스를 수행한다.
트래픽 데이터 셋의 추출을 위한 방법으로서 오프라인(Offline) 방식이나, 트래픽을 캡처하고 소프트웨어로 처리하는 방식은 지연이 발생하며 비효율적이다. 이에 비해, 본 발명의 방식은 MEC 장치(20)가 하드웨어적으로 트래픽 데이터 셋을 추출하므로 실시간 처리가 가능하다. MEC 장치(20)에서 추출하는 트래픽 데이터 셋은 호스트(22)의 실시간 딥러닝 분석에 효과적으로 활용될 수 있다.
나아가, 모바일 에지 망 환경에서 망 비정상 행위 검출 등의 보안 서비스를 수행하기 위해서는 추가의 플랫폼과 비용이 소요되었으나, MEC 시스템(2)을 통한 단일 플랫폼 내에서 통합적으로 구성하여 효과적이고 저 비용이며 고성능으로 구현할 수 있다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (13)

  1. 모바일 엣지 컴퓨팅(Mobile Edge Computing: MEC, 이하 'MEC'이라 칭함) 환경에서의 모바일 망 시스템에 있어서,
    입력 패킷의 전단부를 복사하는 스위치;
    스위치로부터 전단부가 복사된 패킷을 수신하여 모바일 망 트래픽의 데이터 셋을 추출하는 MEC 장치; 및
    MEC 장치로부터 추출된 트래픽 데이터 셋을 수신하여 보안 서비스를 수행하는 호스트;
    를 포함하는 모바일 에지 컴퓨팅 시스템.
  2. 제 1 항에 있어서, 스위치는
    입력 패킷을 대상으로 미리 설정된 크기의 전단부를 복사하고,
    입력 패킷의 크기가 미리 설정된 크기보다 작을 경우는 패킷 크기만큼 복사하며,
    미리 설정된 크기는 사용자 조작에 의해 설정되거나, 기본값으로 설정되는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  3. 제 1 항에 있어서, MEC 장치는
    필드 프로그래머블 게이트 어레이(Field Programmable Gate Array: FPGA) 기반의 하드웨어 모듈인 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  4. 제 1 항에 있어서, MEC 장치는
    스위치로부터 전단부가 복사된 패킷을 수신하는 패킷 수신부; 및
    패킷 수신부를 통해 수신된 복사 패킷을 대상으로 해쉬 값을 계산하는 해쉬 값 계산부; 를 포함하며,
    해쉬 값은 패킷의 커넥션이나 플로우를 인식하는 식별자로 사용되는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  5. 제 1 항에 있어서, MEC 장치는
    복사 패킷에서 메타 데이터를 추출하고 패킷 종류별 카운트를 계산하여 트래픽 데이터 셋을 생성하는 메타 데이터 추출 및 패킷 카운트부; 및
    커넥션 수를 카운트하여 TCP 커넥션에 대한 데이터 셋을 생성하는 커넥션 데이터 카운트부;
    를 포함하는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  6. 제 5 항에 있어서, 커넥션 데이터 카운트부는
    커넥션이 비정상적으로 종료되는 경우, 타임아웃 시간을 설정하여 커넥션의 종료를 판단하고, 비정상 커넥션의 통계 데이터를 추출하며,
    타임아웃 시간은 사용자 조작에 의해 설정되거나, 기본값으로 설정되는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  7. 제 1 항에 있어서, MEC 장치는
    추출된 트래픽 데이터 셋을 IP 패킷 형태로 재구성한 후 호스트에 전송하는 패킷 재구성부;
    를 포함하는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  8. 제 7 항에 있어서, 패킷 재구성부는
    TLV(Type Length Value) 구성 방법에 따라 IP 패킷 형태로 재구성하는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  9. 제 1 항에 있어서, 트래픽 데이터 셋은
    플로우 식별자, 5-튜플 정보, GTP 정보, 플로우 별 통계정보 및 TCP 커넥션 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  10. 제 1 항에 있어서, 호스트는
    수신된 데이터 셋을 이용하여 딥러닝 기반 비정상 행위를 검출하고 침입을 방지하는 것을 특징으로 하는 모바일 에지 컴퓨팅 시스템.
  11. MEC 환경에서의 MEC 장치를 이용한 데이터 셋 구성방법에 있어서,
    입력 패킷의 전단부가 복사된 패킷을 스위치로부터 수신하는 단계;
    수신된 복사 패킷으로부터 모바일 망 트래픽의 데이터 셋을 추출하는 단계; 및
    추출된 트래픽 데이터 셋을 호스트로 전송하는 단계;
    를 포함하는 것을 특징으로 하는 데이터 셋 구성방법.
  12. 제 11 항에 있어서, 데이터 셋을 추출하는 단계는
    수신된 복사 패킷을 대상으로 해쉬 값을 계산하는 단계;
    복사 패킷에서 메타 데이터를 추출하고 패킷 종류별 카운트를 계산하여 트래픽 데이터 셋을 생성하는 단계;
    커넥션 수를 카운트하여 TCP 커넥션에 대한 데이터 셋을 생성하는 단계;
    를 포함하는 것을 특징으로 하는 데이터 셋 구성방법.
  13. 제 11 항에 있어서, 호스트로 전송하는 단계는
    추출된 트래픽 데이터 셋을 TLV(Type Length Value) 구성 방법에 따라 IP 패킷 형태로 재구성한 후 호스트에 전송하는 것을 특징으로 하는 데이터 셋 구성방법.
KR1020220121448A 2022-09-26 2022-09-26 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법 KR20240042765A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220121448A KR20240042765A (ko) 2022-09-26 2022-09-26 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법
US17/980,500 US20240106845A1 (en) 2022-09-26 2022-11-03 Mobile edge computing system and method of constructing traffic data feature set using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220121448A KR20240042765A (ko) 2022-09-26 2022-09-26 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법

Publications (1)

Publication Number Publication Date
KR20240042765A true KR20240042765A (ko) 2024-04-02

Family

ID=90358879

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220121448A KR20240042765A (ko) 2022-09-26 2022-09-26 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법

Country Status (2)

Country Link
US (1) US20240106845A1 (ko)
KR (1) KR20240042765A (ko)

Also Published As

Publication number Publication date
US20240106845A1 (en) 2024-03-28

Similar Documents

Publication Publication Date Title
US10778464B2 (en) NSH encapsulation for traffic steering establishing a tunnel between virtual extensible local area network (VxLAN) tunnel end points (VTEPS) using a NSH encapsulation header comprising a VxLAN header whose VNI field has been replaced by an NSH shim
US20230041916A1 (en) Packet Transmission Method, Apparatus, and System
US8149705B2 (en) Packet communications unit
US8908704B2 (en) Switch with dual-function management port
CN111988369B (zh) 智能控制器及传感器网络总线、系统和方法
US10084647B2 (en) Data forwarding to server via virtual network card or to external network via network interface, based on fusion descriptor
US11689501B2 (en) Data transfer method and virtual switch
US8073966B2 (en) Virtual interface
US9356844B2 (en) Efficient application recognition in network traffic
CN113326228B (zh) 基于远程直接数据存储的报文转发方法、装置及设备
US11089140B2 (en) Intelligent controller and sensor network bus, system and method including generic encapsulation mode
US20220263823A1 (en) Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium
US11588665B2 (en) VXLAN packet encapsulation and policy execution method, and VXLAN device and system
KR102383782B1 (ko) 데이터 통신에서의 터널 데이터 업데이트 처리방법
JP2023543831A (ja) マイクロサービスベースのサービスメッシュシステムおよびサービス指向アーキテクチャ管理方法
CN115174676A (zh) 汇聚分流方法及其相关设备
WO2019238002A1 (zh) 传输报文的方法、网络边缘设备与报文传输系统
KR20240042765A (ko) 모바일 에지 컴퓨팅 시스템 및 이를 이용한 데이터 셋 구성방법
CN107612848B (zh) 一种调试方法及装置、以及计算机可读存储介质
KR102261758B1 (ko) 모바일 네트워크에서 일반 패킷 무선 서비스 터널링 프로토콜 사용자 평면 패킷의 고속 처리방법 및 그 장치
CN115567260A (zh) 一种基于fpga的网络安全探测处理方法
CN114422617A (zh) 一种报文处理方法、系统及计算机可读存储介质
CN108900383B (zh) 基于私有head的数据镜像方法
JP2023531034A (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
CN112912809A (zh) 包括通用封装模式的智能控制器及传感器网络总线、系统和方法