KR20150037940A - 네트워크 트래픽 처리 시스템 - Google Patents

네트워크 트래픽 처리 시스템 Download PDF

Info

Publication number
KR20150037940A
KR20150037940A KR1020157002540A KR20157002540A KR20150037940A KR 20150037940 A KR20150037940 A KR 20150037940A KR 1020157002540 A KR1020157002540 A KR 1020157002540A KR 20157002540 A KR20157002540 A KR 20157002540A KR 20150037940 A KR20150037940 A KR 20150037940A
Authority
KR
South Korea
Prior art keywords
connection
software
network traffic
hardware acceleration
unit
Prior art date
Application number
KR1020157002540A
Other languages
English (en)
Inventor
데이먼 이 플레리
제임스 롤레트
Original Assignee
휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. filed Critical 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Publication of KR20150037940A publication Critical patent/KR20150037940A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/12Protocol engines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 트래픽 처리 시스템은 하드웨어 가속 검사 모드에서 네트워크 트래픽을 처리하는 하드웨어 가속 검사 유닛 및 소프트웨어 검사 모드에서 네트워크 트래픽을 처리하는 소프트웨어 검사 유닛을 포함한다. 소프트웨어 검사 유닛은 적어도 연속적인 미리 정해진 개수의 바이트 동안 소프트웨어 검사 모드에서 접속을 처리한다. 접속이 클린이라고 판단되면 접속은 하드웨어 가속 검사 모드로 전환될 수 있다.

Description

네트워크 트래픽 처리 시스템{NETWORK TRAFFIC PROCESSING SYSTEM}
인터넷 트래픽이 2015년까지 네 배가 될 것으로 예상된다는 점이 제기되었다. 또한, 보고서는 전세계의 평균 접속 속도(global average connection rate)가 매년 43%씩 증가되었으며 전세계의 평균 피크 속도가 매년 67%씩 증가되었다는 점을 보여주고 있다. 동시에, 모든 종류의 바이러스, 웜(worm) 및 악성코드 형태의 내부 및 외부 네트워크 공격의 정교함은 급격히 증가되었다.
네트워크 관리자에게는 네트워크 보안을 제공하라는 업무가 계속하여 맡겨지고 있고, 네트워크 관리자는 종종 네트워크 보안을 위한 다양한 시스템에 의존한다. 예를 들어, 침입 검출 시스템(Intrusion Detection System(IDS))은 네트워크 공격을 검출하기는 하지만, 일부 침입 검출 시스템은 단지 사후 공격 통지를 제공하는 수동적 시스템(passive system)으로 동작한다. 그에 반해, 침입 방지 시스템(Intrusion Prevention System(IPS))은 수신 트래픽 및 발신 트래픽을 스캐닝함으로써 네트워크 트래픽 흐름을 주도적으로 분석함으로써 방화벽과 같은 전통적인 보안 제품을 보완하도록 개발되었다. 그러나, IPS에 의한 심층 패킷 검사는 대체로 상당한 양의 자원을 이용하고 있고, IPS에 의한 심층 패킷 검사의 성능이 증가하는 접속 속도 및 처리량 대역폭과 발맞추지 않으면 심층 패킷 검사는 네트워크 병목이 될 수 있다.
실시예는 다음 도면에 도시된 예를 참조하여 상세하게 설명된다.
도 1은 네트워크 트래픽 처리 시스템을 도시한다.
도 2a 및 도 2b는 상이한 네트워크 환경에 있는 네트워크 트래픽 처리 시스템을 도시한다.
도 3 및 도 4는 네트워크 트래픽 처리를 도시한다.
간단함과 예시적 목적을 위해, 실시예의 원리는 주로 실시예의 예를 참조하여 설명된다. 다음 설명에서, 실시예의 완전한 이해를 제공하기 위해 다양한 구체적인 세부사항이 제시된다. 실시예는 모든 구체적인 세부사항에 대한 제한 없이 실시될 수 있다는 것이 명백하다. 또한, 실시예는 다양한 조합으로 함께 사용될 수 있다.
일 실시예에 따라, 네트워크 트래픽 처리 시스템은 잠재적인 서명 일치(signature match)를 식별하도록 네트워크 트래픽을 검사한다. 잠재적인 서명 일치를 갖는다고 간주되는 네트워크 트래픽은 네트워크 트래픽이 서명 일치를 갖는지 판단하도록 추가로 검사된다. 서명 일치가 검출되면, 네트워크 트래픽은 차단되거나, 보고되거나, 속도 제한될 수 있거나 또는 다른 교정 조치가 취해질 수 있다.
시스템은 패킷의 하드웨어 가속 검사를 수행하는 필드 프로그래밍 가능한 게이트 어레이(Field-Programmable Gate Array(FPGA)), 주문형 집적 회로(Application-Specific Integrated Circuit(ASIC)), 또는 또 다른 유형의 주문제작 가능 집적 회로 또는 프로세서와 같은 하드웨어 가속 검사 유닛(hardware-accelerated inspection unit)을 포함하고, 시스템은 패킷의 소프트웨어 검사를 수행하는 프로세서 또는 일종의 처리 회로에 의해 실행된 머신 판독 가능 명령어로 구성된 소프트웨어 검사 유닛을 포함한다. 하드웨어 가속 검사 유닛은 검사를 수행하는데 있어서 소프트웨어 검사 유닛보다 빠르고, 시스템은 검사 처리 속도를 개선하도록 하드웨어 가속 검사 유닛을 레버리징(leveraging)한다. 예를 들어, 접속의 시작 시에, 패킷 검사는 소프트웨어 검사 유닛에 의해 수행된다. 접속은 동일한 속성(attribute)을 갖는 패킷을 포함한다. 속성의 예는 출발지 IP 어드레스, 목적지 IP 어드레스, 출발지 IP 포트, 목적지 IP 포트, IP 프로토콜 등을 포함할 수 있다. 하나의 예에서, 접속은 전송 제어 프로토콜(Transmission Control Protocol(TCP)) 흐름이다. 또 다른 예에서, 접속은 동일한 속성을 갖는 패킷을 포함하는 의사 흐름(pseudoflow)이다. 예를 들어, 접속은 전송 채널 또는 데이터 경로를 설정하기 위해 사전 통신을 요구하지 않는 사용자 데이터그램 프로토콜(User Datagram Protocol(UDP)) 또는 또 다른 프로토콜에서의 의사 흐름일 수 있다. 접속이 문턱 개수의 비트(예를 들어, 8 킬로바이트(Kilobyte(KB))에 도달할 때까지 공격이 검출되지 않으면, 소프트웨어 검사 유닛은 성능을 향상시키기 위해 하드웨어 가속 검사 유닛에게 흐름을 하드웨어 가속 검사 모드에 위치시키도록 명령한다.
하드웨어 가속 검사 모드에서, 접속은 소프트웨어 검사 유닛을 이용하여 가능한 속도보다 빠른 속도로 하드웨어 가속 검사 유닛에 의해 검사된다. 하드웨어 가속 검사 유닛에 의해 수행된 처리는 소프트웨어 검사 유닛에 의해 소프트웨어 검사 유닛에 의해 수행된 처리보다 2배 또는 3배 빠를 수 있다. 하드웨어 가속 검사 모드에서, 접속이 잠재적인 서명 일치를 갖지 않는다고 판단되는 것과 같이 클린(clean)이면, 접속을 위한 패킷은 패킷에 대해 수행된 소프트웨어 검사 없이 전송된다. 하드웨어 가속 검사 모드에서, 접속을 위한 패킷은 처리 시간을 최소화하기 위해 하드웨어 가속 검사 유닛에 의해 처리되고 소프트웨어 검사 유닛에 의해 처리되지는 않는다. 그러나, 하드웨어 가속 검사 유닛이 접속 내에서 잠재적인 서명 일치를 검출하면, 접속은 서명 일치가 존재하는지를 판단하도록 소프트웨어 검사 유닛에 의한 추가 처리를 위해 소프트웨어 검사 모드로 이송된다. 소프트웨어 검사 모드에서, 접속은 소프트웨어 검사 유닛에 의해 처리되고 하드웨어 가속 검사 유닛에 의해서도 또한 처리된다. 하드웨어 가속 검사 모드와 소프트웨어 검사 모드 사이에서 접속의 검사를 전환함으로써, 보안을 유지하면서도 처리량이 증가된다.
소프트웨어 검사 유닛은 패킷 검사를 수행하는데, 패킷 검사는 하드웨어 가속 검사 모드에서 수행된 것보다 보다 상세한 패킷 검사 및 필터링을 포함할 수 있다. 따라서, 하드웨어 가속 검사 유닛에 의해 수행된 패킷 처리는 소프트웨어 검사 유닛에 의해 수행된 패킷 처리와 상이할 수 있다. 예를 들어, 소프트웨어 검사 유닛에 의해 수행된 패킷 처리는 심층 패킷 검사를 포함한다. 심층 패킷 검사는 접속 내의 패킷의 헤더(header)는 물론 페이로드(payload)를 검사하는 것을 포함한다. 심층 패킷 검사는 모든 7개의 개방형 시스템 상호접속(Open Systems Interconnection(OSI)) 계층 내의 접속으로부터 데이터를 검사하는 것을 포함할 수 있다. 하드웨어 가속 검사 유닛에 의해 수행된 패킷 처리는 모든 7개의 OSI 계층으로부터의 데이터를 포함하지 않을 수 있다. 예를 들어, 패킷 검사는 헤더로 제한될 수 있다.
잠재적인 서명 일치를 갖는 접속은 미리 정해진 구체적인 속성을 갖는다고 판단되는 접속이다. 예를 들어, 접속은 보안 위협을 대표하는 속성을 갖는 하나의 또는 복수의 패킷을 포함할 수 있다. 예를 들어, 접속 내의 패킷은 패킷이 순서대로 정리되어 있지 않거나 해체된 상태인지 판단하도록 또는 패킷이 페이로드 내에 소정의 바이트 패턴을 갖는지 판단하도록 하드웨어 가속 검사 유닛에 의해 검사된다.
접속은 또한 접속이 정책 또는 규칙에 기반하여 관심 대상이라고 판단된 데이터를 포함하면 잠재적인 서명 일치를 가질 수 있다. 예를 들어, 규칙은 특정 애플리케이션을 위해 패킷을 모니터링할 것을 명시한다. 접속이 그들 모든 애플리케이션으로부터의 패킷을 포함하면, 접속은 규칙에 기반하여 서명 일치로 간주된다. 예를 들어, 인스턴트 메시징 애플리케이션으로부터의 패킷이 모니터링되고, 시스템에 의해 근거리 통신망(LAN)을 벗어나지 못하게 차단될 수 있다.
잠재적인 서명 일치와 유사하게, 접속이 미리 정해진 속성을 갖고 있기는 하지만 미리 정해진 속성이 하드웨어 가속 검사 유닛이 아닌 소프트웨어 검사 유닛에 의해 식별되면, 접속은 서명 일치를 갖는다고 판단될 수 있다. 서명 일치를 위한 속성은 잠재적인 서명 일치를 위한 속성과 상이할 수 있다. 서명 일치를 위한 속성은 심층 패킷 검사에 의해 식별될 수 있다. 서명 일치는 패킷 및 패킷이 악성이거나 그렇지 않으면 관심 대상이라고 표시할 수 있는 패킷의 데이터에 대한 추가 정보를 검출하도록 정규 표현 일치 및/또는 다른 필터링 및 패킷 서명 검출 기법에 의해 판단된 일치를 포함할 수 있다. 악성 속성은 네트워크 대역폭 또는 서버 자원을 소모하여 정당한 패킷이 드롭되게 할 수 있는 피싱 공격, 스파이웨어 설치 기도, 패킷 플러딩을 대표할 수 있다.
네트워크 트래픽 처리 시스템은 네트워크에 접속되는 IPS를 포함할 수 있다. IPS는 접속을 검사하며, 접속이 서명 일치를 갖는다고 판단되면 접속은 표시(flagging)되고/되거나, 차단(blocking)되고/되거나, 폐기될 수 있다. 로그(log)는 유지되고, 경보 또는 다른 통지가 생성될 수 있으며, 경보 또는 다른 통지는 서명 일치의 결과로서 시스템 관리자로 송신될 수 있다. 접속이 클린이면, IPS는 접속을 접속의 목적지로 전송되도록 출력한다.
도 1은 네트워크 트래픽 처리 시스템(100)을 도시한다. 시스템(100)은 서명 일치를 갖는다고 판단된 네트워크 트래픽을 차단하는 IPS를 포함할 수 있다. 시스템(100)은 포트(102)를 포함하는 인터페이스(101)를 포함한다. 인터페이스(101)는 시스템(100)을 네트워크에 접속하는 네트워크 인터페이스이다. 패킷은 인터페이스(101)의 포트(102) 상에 송신되고 수신된다.
시스템(100)은 하드웨어 가속 검사 유닛(110) 및 소프트웨어 검사 유닛(120)을 포함한다. 시스템(100)의 컴포넌트는 버스(130)를 통해 접속될 수 있다. 소프트웨어 검사 유닛(120)은 머신 판독 가능 명령어 및 데이터를 저장하도록 동작 가능한 컴퓨터 판독 가능 저장 매체로 구성된 데이터 저장소(122a 내지 122n)를 포함하는 하나 이상의 프로세서(121a 내지 121n)를 포함할 수 있다. 머신 판독 가능 명령어는 본 명세서에서 설명된 접속 처리 기능을 수행하는 코드를 포함할 수 있다. 하드웨어 가속 검사 유닛(110)은 접속 처리도 또한 수행하지만 소프트웨어 검사 유닛(120)에 비해 가속된 속도로 접속 처리를 수행하는 FPGA, ASIC, 또는 또 다른 유형의 주문제작 가능한 집적 회로 또는 하드웨어와 같은 처리 유닛(111)을 포함한다. 하드웨어 가속 검사 유닛(110)도 또한 데이터 저장소(112)를 포함할 수 있다.
하드웨어 가속 검사 유닛(110) 및 소프트웨어 검사 유닛(120)은 접속이 잠재적인 서명 일치를 갖는지 판단하도록 네트워크로부터 수신된 접속을 처리한다. 이는 검사로서 지칭된다. 접속이 서명 일치를 갖는다고 판단되면, 접속은 접속의 목적지로 송신되지 않게 차단될 수 있다. 접속은 시스템(100)에 의해 표시되거나 폐기될 수 있다. 클린이라고 판단되는 접속은 인터페이스(101)를 통해 접속의 목적지로 전송된다. 클린 접속은 잠재적인 서명 일치 및/또는 서명 일치를 갖지 않는 접속이다.
하드웨어 가속 검사 유닛(110) 및 소프트웨어 검사 유닛(120)은 인라인 처리를 위해 구성될 수 있다. 예를 들어, 인터페이스(101)에 의해 수신된 접속은 하드웨어 가속 검사 유닛(110)에 의해 먼저 처리되고 그 다음에 소프트웨어 검사 유닛(120)에 의해 처리될 수 있다. 접속이 클린이라고 판단되면, 접속은 인터페이스(101)를 통해 접속의 목적지로 송신된다.
시스템(100)은, 접속이 하드웨어 가속 검사 유닛(110)에 의해 먼저 처리되고 그 다음에 소프트웨어 검사 유닛(120)에 의해 처리될 수 있는 인라인 구성에서와 같이, 접속이 하드웨어 가속 검사 유닛에 의해 검사되기는 하지만 소프트웨어 검사 유닛(120)에 의해 처리되지 않는 하드웨어 가속 검사 모드와 접속이 소프트웨어 검사 유닛에 의해 처리되고 하드웨어 가속 검사 유닛에 의해서도 또한 처리될 수 있는 소프트웨어 검사 모드 사이에서 스위칭될 수 있다.
시스템(100)은 일반적으로 패킷을 수신하고 검사하며 클린 패킷을 송신하도록 라우터 또는 방화벽 또는 네트워크에 접속될 수 있는 독립형 네트워크 기기(standalone network appliance)일 수 있다. 시스템(100)은 라우터, 방화벽, 또는 또 다른 유형의 스위치와 같은 기존의 네트워크 기기 내에 통합될 수 있다. 시스템(100)은 단일 디바이스 내의 IPS 및 방화벽과 같은 다기능 융합형 보안 기기 내에 존재할 수 있다. 시스템(100)은 블레이드 샤시(blade chassis) 또는 또 다른 유형의 기기 내에 존재할 수 있다.
도 2a 및 도 2b는 상이한 네트워크 환경에서 접속된 IPS(200)일 수 있는 시스템(100)을 도시한다. 도 2a는 "범프 인 더 와이어(bump-in-the-wire)" 구성으로 접속된 IPS(200)를 도시한다. 사용자 '1'(202) 내지 사용자 'n'(204)은 스위치(206)에 접속되고, 스위치(206)는 IPS(200)에 접속되며, IPS(200)는 결국 인터넷(213) 또는 네트워크 백본에 접속된다. IPS(200)는 보안 위협이 인터넷(213) 또는 네트워크 백본으로부터 수신되거나 인터넷(213) 또는 네트워크 백본으로 전송되지 않게 차단하도록 스위치와 네트워크 사이에서 통상적으로 구현된다.
도 2b는 또 다른 네트워크 환경에서 구현된 IPS(200a 내지 200c)를 도시한다. 이 도면에서, 내부 서브 네트워크 'A'(210)는 스위치 '1'(216)에 접속된 클라이언트 퍼스널 컴퓨터(PC) '1'(212) 내지 클라이언트 PC 'n'(214)으로 구성되고, 스위치 '1'(216)은 결국 IPS '1'(200a)에 접속된다. 내부 서브 네트워크 'B'(220)는 스위치 '2'(226)에 접속된 서버 '1'(222) 내지 서버 'n'(224)으로 구성되고, 스위치 '2'(226)는 결국 IPS '2'(200b)에 접속된다. 내부 서브 네트워크 'A'(210) 및 내부 서브 네트워크 'B'(220)는 라우터(230)에 접속되고, 라우터(230)는 IPS '3'(200c)에 접속되며, IPS '3'(200c)은 결국 외부 네트워크(234)에 접속된다. IPS '3'(200c)은 외부 네트워크(234)로부터 내부 서브 네트워크 'A'(210) 및 내부 서브 네트워크 'B'(220) 내로의 보안 위협의 침입을 방지하도록 통상적으로 구현된다.
IPS '1'(200a)은 내부 서브 네트워크 'A'(210)로부터 유래하는 보안 위협의 침입을 방지함으로써 추가 침입 보호를 제공한다. 마찬가지로, IPS '2'(200b)는 내부 서브 네트워크 'B'(220)로부터 유래하는 보안 위협의 침입을 방지함으로써 추가 침입 보호를 제공한다. 당업자에게 명백한 바와 같이, IPS '1'(200a)의 구현은 침입 이슈를 하나 이상의 클라이언트 PC(212 내지 214) 및 상응하는 스위치 '1'(216)로 구성된 내부 서브 네트워크(210)로 격리시킨다. 마찬가지로, IPS '2'(200b)의 구현은 침입 이슈를 하나 이상의 서버(222 내지 224) 및 상응하는 스위치 '1'(226)로 구성된 내부 서브 네트워크(220)로 격리시킨다.
도 3은 하드웨어 가속 검사 모드와 소프트웨어 검사 모드 사이에서 시간에 걸쳐 스위칭되는 접속 처리의 일 예를 도시한다. 접속의 시작 시에, 접속은 도 1에 도시된 소프트웨어 검사 유닛(120)에 의해 소프트웨어 검사 모드에서 처리된다. 접속은 지점 B까지 적어도 소정의 개수의 바이트 동안 소프트웨어 검사 모드에서 처리된다. 접속이 잠재적인 서명 일치를 갖는다고 판단되면, 소프트웨어 검사 모드에서 접속의 처리는 문턱값(예를 들어, 8KB)을 지나 계속된다. 예는 8KB를 도시하지만, 문턱값은 더 크거나 더 작을 수 있다.
접속이 지점 B까지 "클린"이면 접속의 처리는 지점 B로부터 지점 C까지 소프트웨어 검사 모드로부터 하드웨어 가속 검사 모드로 전환되고, 지점 D에서와 같이 접속이 하드웨어 가속 검사 유닛(110)에 의해 잠재적인 서명 일치를 갖는다고 판단될 때까지의 접속의 처리는 패킷이 소프트웨어 검사 모드보다 훨씬 빠른 속도로 처리되는 하드웨어 가속 검사 모드에서 유지된다. 그런 다음, 접속의 처리는 심층 패킷 검사를 포함할 수 있는 추가 검사를 위해 지점 D로부터 지점 E까지 소프트웨어 검사 모드로 전환되고, 접속이 "클린"이라고 판단될 때까지 소프트웨어 검사 모드에서 유지된다. 접속이 "클린"이면, 처리는 최대 성능을 위해 지점 F로부터 지점 G까지 하드웨어 가속 검사 모드로 다시 전환될 수 있다. 접속 처리 전환은 접속의 수명 동안 계속하여 생성될 수 있다. 접속은 별개로 처리되어, 상이한 접속은 잠재적인 서명 일치 또는 서명 일치가 접속 내에서 검출되는지에 따라 그리고 검출될 때에 따라 상이한 접속 처리 전환을 가질 수 있다.
도 4는 네트워크 트래픽 처리 방법(400)의 일 예를 도시한다. 방법(400)은 시스템(100)에 대하여 예시로서 그리고 비제한적으로 설명된다. 방법은 다른 시스템에서 실시될 수 있다.
401에서, 시스템은 신규 접속을 수신한다. 신규 접속은 접속을 정의하는 속성에 의해 식별될 수 있고, 엔트리(entry)는 접속 ID 및 접속 속성 그리고 접속을 위한 현재 모드의 표시를 포함하는 도 1에 도시된 하드웨어 가속 검사 유닛(110) 및/또는 소프트웨어 검사 유닛(120)에 저장된 접속표(connection table) 내에 생성될 수 있다. 현재 모드는 하드웨어 가속 검사 모드 또는 소프트웨어 검사 모드이다. 신규 접속은 소프트웨어 검사 모드에서 처리되고 있는 것으로 시작한다.
402에서, 접속은 적어도 소정의 개수의 바이트 동안 소프트웨어 검사 모드에서 처리된다. 예를 들어, 접속은 하드웨어 가속 검사 유닛(110)에 의해 처리되고, 접속은 적어도 문턱 개수의 바이트가 도달될 때까지 추가 처리를 위해 하드웨어 가속 검사 유닛(110)로부터 소프트웨어 검사 유닛(120)으로 송신된다. 하드웨어 가속 검사 유닛(110)은 접속이 소프트웨어 검사 모드에 있다고 하드웨어 가속 검사 유닛(110)의 접속표에 표시할 수 있다.
403에서, 접속이 적어도 소정의 바이트 동안 소프트웨어 검사 모드에서 처리되고 있는 동안, 접속이 잠재적인 서명 일치를 갖는지에 대한 판단이 소프트웨어 검사 유닛(120)에 의해 수행된다. 예라면, 404에서, 접속을 위한 패킷 처리는 소프트웨어 검사 모드에서 계속된다. 접속은 405에서 접속이 클린이라고 판단될 때까지 소프트웨어 검사 모드에서 계속된다. 접속이 클린이면, 407에서 접촉 처리는 하드웨어 가속 검사 모드로 전환된다. 접속 처리가 클린이 아니면, 404에서 소프트웨어 검사 모드에서의 접속 처리가 계속된다. 예를 들어, 서명 일치가 검출되면, 404에서 소프트웨어 검사 모드에서의 접속 처리가 계속된다. 예를 들어, 서명 일치를 통해 악성 패킷이 검출되고 접속이 차단되면, 소프트웨어 검사 모드에서의 접촉 처리가 계속된다. 접속 처리는 접속이 클린이 될 때까지 하드웨어 가속 검사 모드로 전환된다. 접속이 클린이고 406에서 접속이 소정의 개수의 바이트 동안 클린이면, 407에서 접속 처리는 하드웨어 가속 검사 모드로 전환된다. 예를 들어, 소프트웨어 검사 유닛(120)은 하드웨어 가속 검사 유닛(110)에게 접속을 하드웨어 가속 검사 모드에 위치시키라고 명령한다. 예를 들어, 하드웨어 가속 검사 유닛(110)은 접속이 이제 하드웨어 가속 검사 모드에 있다고 표시하도록 하드웨어 가속 검사 유닛(110)의 접속표를 갱신한다.
408에서, 접속이 종료될 때까지 또는 접속이 하드웨어 가속 검사 유닛(110)에 의해 잠재적인 서명 일치를 갖는다고 판단될 때까지 접속은 예를 들어 하드웨어 가속 검사 유닛(110)에 의해 하드웨어 가속 검사 모드에서 처리된다. 접속이 잠재적인 서명 일치를 갖는다고 판단되면, 처리는 소프트웨어 검사 모드로 전환되고, 409에서 접속은 소프트웨어 검사 모드에서 처리되며, 404에서의 처리가 계속될 수 있다. 그런 다음, 하드웨어 가속 검사 유닛(110)은 접속이 소프트웨어 검사 모드에 있다고 표시하도록 하드웨어 가속 검사 유닛(110)의 접속표를 갱신할 수 있어서, 모든 패킷이 접속을 위해 인터페이스(101) 상에 수신되면 하드웨어 가속 검사 유닛(110)은 처리 이후의 패킷을 소프트웨어 검사 유닛(110)으로 송신해야 하는 것을 알고 있다.
하드웨어 가속 검사 유닛(110) 내의 접속표가 접속이 하드웨어 가속 검사 모드에 있다고 표시하면, 하드웨어 가속 검사 유닛은 하드웨어 가속 검사 유닛(110)이 접속이 클린이라고 판단하면 패킷을 소프트웨어 검사 유닛(120)으로 송신하지 않아야 한다는 것을 알고 있다. 접속이 정책 규칙에 기반하여 관심 대상이 아니라고 판단되면 접속은 클린이라고 판단될 수 있다. 대신에, 패킷은 인터페이스(101)를 통해 송신된다. 또한, 패킷이 순서대로 정리되지 않거나 패킷이 악성이거나 관심 대상이라고 표시하는 의심스러운 바이트 패턴 또는 다른 속성을 갖는지와 같이 패킷이 의심스럽다는 정보가 하드웨어 가속 검사 유닛(110)에 의해 식별되면, 그러한 정보는 소프트웨어 검사 유닛(120)에 의해 수행된 패킷 검사에 도움이 되도록 소프트웨어 검사 유닛(120)으로 송신될 수 있다. 처리 모드의 표시 또는 상이한 모드로 전환시키는 명령어와 같은 다른 정보는 소프트웨어 검사 유닛(120)과 하드웨어 가속 검사 유닛(110) 사이에서 통신될 수 있다.
또한, 패킷이 소프트웨어 검사 유닛(120)에 의해 악성이거나 관심 대상이라고 판단되면, 시스템(100)은 접속을 차단할 수 있고 의심스러운 패킷 또는 접속을 위한 다른 패킷을 송신하지 않을 수 있다. 시스템(100)은 소프트웨어 검사 유닛(120)이 접속을 위한 하나의 패킷 또는 한 세트의 패킷이 악성이거나 관심 대상이라고 판단하면 패킷을 폐기시킬 수 있다. 또한, 이벤트 및 이벤트와 관련하여 송신된 통지에 대한 로그 파일이 갱신될 수 있다.
본 명세서에서 설명된 하나 이상의 단계 및 기능은 머신 판독 가능 명령어를 실행하도록 동작 가능한 프로세서 또는 또 다른 유형의 처리 유닛에 의해 실행되는 머신 판독 가능 명령어로서 구현될 수 있다. 머신 판독 가능 명령어는 비일시적인 저장 매체 내에 저장될 수 있고, 비일시적인 저장 매체는 도 1에 도시된 저장 디바이스 중 하나 이상의 저장 디바이스를 포함할 수 있다.
실시예는 예를 참조하여 설명되었지만, 설명된 실시예에 대한 다양한 변경이 청구된 실시예의 범위를 벗어나지 않으면서 수행될 수 있다.

Claims (15)

  1. 하드웨어 가속 검사 모드에서 네트워크 트래픽을 처리하는 하드웨어 가속 검사 유닛과,
    소프트웨어 검사 모드에서 상기 네트워크 트래픽을 처리하는 소프트웨어 검사 유닛을 포함하고,
    상기 소프트웨어 검사 유닛은 서명 일치를 검출하도록 상기 소프트웨어 검사 모드에서 상기 네트워크 트래픽 내의 접속을 처리하고, 상기 접속이 상기 접속의 적어도 연속적인 소정의 개수의 바이트 동안 상기 소프트웨어 검사 유닛에 의해 클린이라고 판단되면 상기 접속은 상기 하드웨어 가속 검사 유닛에 의한 처리를 위해 상기 하드웨어 가속 검사 모드로 전환되는
    네트워크 트래픽 처리 시스템.
  2. 제 1 항에 있어서,
    상기 하드웨어 가속 검사 유닛이 잠재적인 서명 일치를 검출하면, 상기 접속은 상기 접속에 대한 심층 패킷 검사를 수행하도록 상기 소프트웨어 검사 유닛으로 다시 전환되는
    네트워크 트래픽 처리 시스템.
  3. 제 2 항에 있어서,
    상기 소프트웨어 검사 유닛이 상기 접속이 서명 일치를 갖는다고 판단하면, 상기 서명 일치에 기반하여 조치가 취해지는
    네트워크 트래픽 처리 시스템.
  4. 제 1 항에 있어서,
    상기 하드웨어 가속 검사 유닛은 상기 소프트웨어 검사 유닛보다 빠른 속도로 상기 접속을 처리하는
    네트워크 트래픽 처리 시스템.
  5. 제 1 항에 있어서,
    상기 소프트웨어 검사 모드에서 상기 접속은 상기 하드웨어 가속 검사 유닛 및 상기 소프트웨어 검사 유닛에 의해 처리되는
    네트워크 트래픽 처리 시스템.
  6. 제 1 항에 있어서,
    상기 하드웨어 가속 검사 모드에서 상기 접속은 오직 상기 하드웨어 가속 검사 유닛에 의해서만 처리되는
    네트워크 트래픽 처리 시스템.
  7. 제 1 항에 있어서,
    상기 시스템에 의해 수신된 모든 상기 네트워크 트래픽은 적어도 상기 하드웨어 가속 검사 유닛에 의해 처리되는
    네트워크 트래픽 처리 시스템.
  8. 제 1 항에 있어서,
    상기 네트워크 트래픽 처리 시스템은 독립형(standalone) 네트워크 기기 내에 존재하는
    네트워크 트래픽 처리 시스템.
  9. 제 1 항에 있어서,
    상기 시스템은 네트워크 스위치, 방화벽 네트워크 기기, 융합형 보안 기기, 또는 블레이드 샤시(bladed chassis) 내로 통합되는
    네트워크 트래픽 처리 시스템.
  10. 침입 방지 시스템(IPS)으로서,
    네트워크 트래픽을 수신하고, 상기 네트워크 트래픽이 상기 침입 방지 시스템(IPS)에 의해 클린이라고 판단되면 상기 네트워크 트래픽을 상기 네트워크 트래픽의 목적지로 출력하는 인터페이스와,
    상기 네트워크 트래픽 내의 접속이 잠재적인 서명 일치를 갖는지 판단하기 위해 하드웨어 가속 검사 모드에서 상기 접속을 처리하는 하드웨어 가속 검사 유닛과,
    상기 접속이 서명 일치를 갖는지 판단하기 위해 소프트웨어 검사 모드에서 상기 접속을 처리하는 소프트웨어 검사 유닛을 포함하고,
    상기 소프트웨어 검사 유닛은 상기 소프트웨어 검사 모드에서 상기 접속을 처리하고, 상기 접속이 상기 접속의 연속적인 소정의 개수의 바이트 동안 클린이라고 판단되면 상기 접속은 상기 하드웨어 가속 검사 유닛에 의한 처리를 위해 상기 하드웨어 가속 검사 모드로 전환되는
    침입 방지 시스템.
  11. 제 10 항에 있어서,
    상기 하드웨어 가속 검사 유닛이 상기 접속이 잠재적인 서명 일치를 갖는다고 판단하면, 상기 접속은 상기 접속에 대한 추가 검사를 수행하도록 상기 소프트웨어 검사 유닛으로 다시 전환되는
    침입 방지 시스템.
  12. 제 11 항에 있어서,
    상기 소프트웨어 검사 유닛이 상기 접속이 서명 일치를 갖는다고 판단하면, 상기 접속은 상기 인터페이스로부터 송신되지 않도록 차단되는
    침입 방지 시스템.
  13. 제 10 항에 있어서,
    상기 하드웨어 가속 검사 유닛은 상기 소프트웨어 검사 유닛보다 빠른 속도로 상기 접속을 처리하는
    침입 방지 시스템.
  14. 네트워크 처리 시스템의 인터페이스 상에서 접속을 수신하는 단계와,
    상기 접속이 서명 일치를 갖는지 판단하도록 상기 접속의 소정의 개수의 바이트 동안 소프트웨어 검사 모드에서 상기 접속을 처리하는 단계와,
    상기 접속이 상기 소정의 개수의 바이트 동안 클린이라고 판단되면 상기 접속의 처리를 하드웨어 가속 검사 모드로 전환시키는 단계를 포함하고,
    상기 하드웨어 가속 검사 모드에서의 접속 처리는 상기 소프트웨어 검사 모드에서의 접속 처리보다 빠른
    네트워크 트래픽 처리 방법.
  15. 제 14 항에 있어서,
    상기 하드웨어 가속 검사 모드에서의 상기 처리가 상기 접속이 잠재적인 서명 일치를 갖는다고 판단하면, 상기 접속 처리는 상기 소프트웨어 검사 모드로 다시 전환되는
    네트워크 트래픽 처리 방법.
KR1020157002540A 2012-07-31 2012-07-31 네트워크 트래픽 처리 시스템 KR20150037940A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2012/049036 WO2014021863A1 (en) 2012-07-31 2012-07-31 Network traffic processing system

Publications (1)

Publication Number Publication Date
KR20150037940A true KR20150037940A (ko) 2015-04-08

Family

ID=50028377

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157002540A KR20150037940A (ko) 2012-07-31 2012-07-31 네트워크 트래픽 처리 시스템

Country Status (8)

Country Link
US (1) US9544273B2 (ko)
EP (1) EP2880819A4 (ko)
JP (1) JP2015528263A (ko)
KR (1) KR20150037940A (ko)
CN (1) CN104488229A (ko)
BR (1) BR112015002323A2 (ko)
TW (1) TWI528761B (ko)
WO (1) WO2014021863A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102011806B1 (ko) 2018-04-12 2019-08-19 주식회사 넷커스터마이즈 Udt 기반 트래픽 가속 방법

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8893113B1 (en) 2010-06-14 2014-11-18 Open Invention Network, Llc Simultaneous operation of a networked device using multiptle disparate networks
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
US8943587B2 (en) * 2012-09-13 2015-01-27 Symantec Corporation Systems and methods for performing selective deep packet inspection
US9444827B2 (en) * 2014-02-15 2016-09-13 Micron Technology, Inc. Multi-function, modular system for network security, secure communication, and malware protection
US10165004B1 (en) 2015-03-18 2018-12-25 Cequence Security, Inc. Passive detection of forged web browsers
US11418520B2 (en) 2015-06-15 2022-08-16 Cequence Security, Inc. Passive security analysis with inline active security device
US10931713B1 (en) 2016-02-17 2021-02-23 Cequence Security, Inc. Passive detection of genuine web browsers based on security parameters
US10608992B2 (en) 2016-02-26 2020-03-31 Microsoft Technology Licensing, Llc Hybrid hardware-software distributed threat analysis
US10084752B2 (en) 2016-02-26 2018-09-25 Microsoft Technology Licensing, Llc Hybrid hardware-software distributed threat analysis
CN107196776A (zh) * 2016-03-14 2017-09-22 中兴通讯股份有限公司 一种报文转发的方法和装置
US11349852B2 (en) * 2016-08-31 2022-05-31 Wedge Networks Inc. Apparatus and methods for network-based line-rate detection of unknown malware
WO2018097422A1 (ko) * 2016-11-24 2018-05-31 성균관대학교 산학협력단 네트워크 보안 기능에 의해 트리거되는 트래픽 스티어링을 위한 방법 및 시스템, 이를 위한 장치
US10841337B2 (en) * 2016-11-28 2020-11-17 Secureworks Corp. Computer implemented system and method, and computer program product for reversibly remediating a security risk
US10931686B1 (en) 2017-02-01 2021-02-23 Cequence Security, Inc. Detection of automated requests using session identifiers
CN107395573A (zh) * 2017-06-30 2017-11-24 北京航空航天大学 一种工业控制***的探测方法及装置
US10735470B2 (en) 2017-11-06 2020-08-04 Secureworks Corp. Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics
US10594713B2 (en) 2017-11-10 2020-03-17 Secureworks Corp. Systems and methods for secure propagation of statistical models within threat intelligence communities
CN108377223B (zh) * 2018-01-05 2019-12-06 网宿科技股份有限公司 一种多包识别方法、数据包识别方法及流量引导方法
US10785238B2 (en) 2018-06-12 2020-09-22 Secureworks Corp. Systems and methods for threat discovery across distinct organizations
US11003718B2 (en) 2018-06-12 2021-05-11 Secureworks Corp. Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity
EP3654606B1 (en) * 2018-11-15 2022-01-05 Ovh Method and data packet cleaning system for screening data packets received at a service infrastructure
US11310268B2 (en) 2019-05-06 2022-04-19 Secureworks Corp. Systems and methods using computer vision and machine learning for detection of malicious actions
US11418524B2 (en) 2019-05-07 2022-08-16 SecureworksCorp. Systems and methods of hierarchical behavior activity modeling and detection for systems-level security
US11652789B2 (en) * 2019-06-27 2023-05-16 Cisco Technology, Inc. Contextual engagement and disengagement of file inspection
US11381589B2 (en) 2019-10-11 2022-07-05 Secureworks Corp. Systems and methods for distributed extended common vulnerabilities and exposures data management
US11522877B2 (en) 2019-12-16 2022-12-06 Secureworks Corp. Systems and methods for identifying malicious actors or activities
WO2021171093A1 (en) * 2020-02-28 2021-09-02 Darktrace, Inc. Cyber security for a software-as-a-service factoring risk
US11588834B2 (en) 2020-09-03 2023-02-21 Secureworks Corp. Systems and methods for identifying attack patterns or suspicious activity in client networks
US11671437B2 (en) * 2020-10-13 2023-06-06 Cujo LLC Network traffic analysis
US11528294B2 (en) 2021-02-18 2022-12-13 SecureworksCorp. Systems and methods for automated threat detection
US12015623B2 (en) 2022-06-24 2024-06-18 Secureworks Corp. Systems and methods for consensus driven threat intelligence

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6904519B2 (en) * 1998-06-12 2005-06-07 Microsoft Corporation Method and computer program product for offloading processing tasks from software to hardware
JP3914757B2 (ja) * 2001-11-30 2007-05-16 デュアキシズ株式会社 ウィルス検査のための装置と方法とシステム
US7134143B2 (en) 2003-02-04 2006-11-07 Stellenberg Gerald S Method and apparatus for data packet pattern matching
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
GB2407730A (en) 2003-10-30 2005-05-04 Agilent Technologies Inc Programmable network monitoring element
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US20060288096A1 (en) * 2005-06-17 2006-12-21 Wai Yim Integrated monitoring for network and local internet protocol traffic
US20070266433A1 (en) * 2006-03-03 2007-11-15 Hezi Moore System and Method for Securing Information in a Virtual Computing Environment
KR101268104B1 (ko) * 2006-06-15 2013-05-29 주식회사 엘지씨엔에스 침입방지시스템 및 그 제어방법
US7773516B2 (en) 2006-11-16 2010-08-10 Breakingpoint Systems, Inc. Focused function network processor
US8756337B1 (en) * 2007-08-03 2014-06-17 Hewlett-Packard Development Company, L.P. Network packet inspection flow management
TW201010354A (en) 2008-08-27 2010-03-01 Inventec Corp A network interface card of packet filtering and method thereof
CN101668002A (zh) * 2008-09-03 2010-03-10 英业达股份有限公司 具有数据包过滤的网络接口卡及其过滤方法
KR101017015B1 (ko) * 2008-11-17 2011-02-23 (주)소만사 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법
JP5557623B2 (ja) * 2010-06-30 2014-07-23 三菱電機株式会社 感染検査システム及び感染検査方法及び記録媒体及びプログラム
CN103875214B (zh) * 2011-08-10 2017-05-03 马维尔国际贸易有限公司 用于以太网网络的具有安全检测的智能phy
US9407602B2 (en) * 2013-11-07 2016-08-02 Attivo Networks, Inc. Methods and apparatus for redirecting attacks on a network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102011806B1 (ko) 2018-04-12 2019-08-19 주식회사 넷커스터마이즈 Udt 기반 트래픽 가속 방법

Also Published As

Publication number Publication date
JP2015528263A (ja) 2015-09-24
WO2014021863A1 (en) 2014-02-06
BR112015002323A2 (pt) 2017-07-04
CN104488229A (zh) 2015-04-01
EP2880819A4 (en) 2016-03-09
US9544273B2 (en) 2017-01-10
TW201406106A (zh) 2014-02-01
TWI528761B (zh) 2016-04-01
EP2880819A1 (en) 2015-06-10
US20150215285A1 (en) 2015-07-30

Similar Documents

Publication Publication Date Title
US9544273B2 (en) Network traffic processing system
KR101045362B1 (ko) 능동 네트워크 방어 시스템 및 방법
US20210112091A1 (en) Denial-of-service detection and mitigation solution
Hoque et al. Network attacks: Taxonomy, tools and systems
US8656488B2 (en) Method and apparatus for securing a computer network by multi-layer protocol scanning
US9742732B2 (en) Distributed TCP SYN flood protection
Haris et al. Detecting TCP SYN flood attack based on anomaly detection
US20200137112A1 (en) Detection and mitigation solution using honeypots
EP3635929B1 (en) Defend against denial of service attack
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
US8443434B1 (en) High availability security device
KR20060116741A (ko) 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
Saad et al. A study on detecting ICMPv6 flooding attack based on IDS
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
Stanciu Technologies, methodologies and challenges in network intrusion detection and prevention systems.
Zeng Intrusion detection system of ipv6 based on protocol analysis
Mavani et al. Security implication and detection of threats due to manipulating IPv6 extension headers
CN113328976A (zh) 一种安全威胁事件识别方法、装置及设备
WO2024099078A1 (zh) 检测攻击流量的方法及相关设备
Kang et al. FPGA based intrusion detection system against unknown and known attacks
Haris et al. Packet analysis using packet filtering and traffic monitoring techniques
Kabila Network Based Intrusion Detection and Prevention Systems in IP-Level Security Protocols
Akhlaq Improved performance high speed network intrusion detection systems (NIDS). A high speed NIDS architectures to address limitations of Packet Loss and Low Detection Rate by adoption of Dynamic Cluster Architecture and Traffic Anomaly Filtration (IADF).

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid