[논문]하드웨어 기반 Anti-DDoS 대응 장비 고속 패킷 필터링을 위한 Hi-DPI 알고리즘 연구

김점구

초록
AI-Helper

인터넷 활용 범위의 폭발적인 증가는 점차적으로 네트워크 속도와 용량을 초고속화 하고 대용량화로 빠르게 진화해 가고 있다. 이에 따라 스위치 라우터 등 네트워크 장비들은 하드웨어에 기반 한 빠른 기술 진화로 대처를 하고 있으나 초연결사회에 가장 기본적이고 필수적인 네트워크 보안시스템의 기술 진화는 수만 가지의 보안 이슈와 시그니처(signature)에 대해서 수시 변경과 갱신을 필요로 하기 때문에 소프트웨어에 기반 한 기술적인 한계를 극복하기가 쉽지 않다. 본 논문은 이와 같은 DDoS 대응 장비를 설치 운영할 때의 패킷 필터링 속도 저하 문제점을 개선하고자 FPGA(Field Programmable Gate Array)의 하드웨어적인 특성과 병렬처리 특성을 최대한 반영한 DPI 알고리즘인 Hi-DPI를 제안하고 실용성을 검증하고자 한다.

Abstract ▼ AI-Helper

The explosive increase in the range of Internet usage gradually makes the speed and capacity of network high-speed, rapidly evolving it into mass storage. Accordingly, network equipment such as switch and router are coping with it through hardware-based rapid technological evolution, but as the tech...

The explosive increase in the range of Internet usage gradually makes the speed and capacity of network high-speed, rapidly evolving it into mass storage. Accordingly, network equipment such as switch and router are coping with it through hardware-based rapid technological evolution, but as the technological development of the most basic and essential network security system in the hyper-connected society requires frequent alterations and updates about the security issues and signatures of tens of thousands, so it is not easy to overcome the technical limitations based on the software. In this paper, to improve problems in installing and operating such anti-DDoS devices, we propose a Hi-DPI algorithm best reflecting the hardware characteristics and parallel processing characteristics of FPGA (Field Programmable Gate Array), and would verify the practicality.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문은 이와 같은 DDoS 대응 장비를 설치 운영할 때의 문제점을 개선하고자 FPGA(Field Programmable Gate Array)의 하드웨어적인 특성과 병렬처리 특성을 최대한 반영한 DPI 알고리즘인 Hi-DPI를 제안하고 실용성을 검증하고자 한다.
본 논문은 HW기반 고속의 패킷 필터링을 위한 Hi-DPI 알고리즘을 제안하고, 이 기슬을 DDoS 대응 장비에 장착하여 그 성능의 우수성을 검증하였다. 이 기술은 FPGA의 병렬성을 최대한 이용하였고, 시그니처의 갱신이 실시간으로 가능하므로 정보보안 제품에 적용하기에 적합함을 입증하였다.

제안 방법

(그림 7)은 시그니처 검색과 보고서 모듈을 구성하는 내부 모듈들 간의 관계를 그리고 있다. 시그니처 검색과 보고서 모듈은 데이터를 연속적으로 수신하여 Hi-DPI 블럭 모듈과 서브스트링 저장 기억 모듈 안에 저장되어 있는 시그니처와 비교한다. 시그니처 검색과 보고서 모듈은 수신되는 데이터를 시그니처 갱신 모듈에서 시그니처를 갱신하는 방식과 같이 처리하여 비교한다.
시그니처 검색과 보고서 모듈은 데이터를 연속적으로 수신하여 Hi-DPI 블럭 모듈과 서브스트링 저장 기억 모듈 안에 저장되어 있는 시그니처와 비교한다. 시그니처 검색과 보고서 모듈은 수신되는 데이터를 시그니처 갱신 모듈에서 시그니처를 갱신하는 방식과 같이 처리하여 비교한다.
국제공통평가 기준에 따라서 목표 평가 값을 성정하여 과 같은 장비를 이용하여 평가하였다.
① 처리량(Throughput)의 경우 최대치인 초당 10기가비트까지 전송하는 것을 목표로 하며, 측정은 계측장비(Ixia, BP)를 이용하여 CC 기준인 10분간 시험하여 측정하였다. 계측기 IXIA와 시료를 10G portX2(Tx, Rx)로 연결한 뒤, 각 패킷 길이(64, 128, 256, 1024, 1280, 1518 Byte)로 나눠서 측정한 결과 10Gbps의 결과를 얻었다.
② 지연시간(Latency)의 경우 패킷 처리 시 걸리는 시간으로 80㎲ 미만을 목표로 하며, 측정은 계측장비(Ixia, BP)를 이용하여 CC 기준인 10분간 테스트하여 지연시간을 측정하였다. [그림 2-30]은계측기 IXIA와 시료를 10G portX2(Tx, Rx)로 연결한 뒤, 각 패킷 길이(64, 128, 256, 1024, 1280, 1 518 Byte)로 나눠서 지연시간을 측정한 결과 평균 20㎲가 나왔다.
③ 초당 연결 생성율(CPS, Connections Per Second)의 경우 초당 신규 연결 수로 평균 1,000,000 cps를 목표로 하며, 측정은 계측장비(Ixia, BP)를 이용하여 CC 기준인 10분간 테스트하여 평균 신규 세션 연결 수를 측정하였다. HTTP 세션을 BP 장비에서 제공되는 최대값 20,000,000 세션까지 연결 후 400초간 유지하여 초당 연결 생성율을 측정하였다.
③ 초당 연결 생성율(CPS, Connections Per Second)의 경우 초당 신규 연결 수로 평균 1,000,000 cps를 목표로 하며, 측정은 계측장비(Ixia, BP)를 이용하여 CC 기준인 10분간 테스트하여 평균 신규 세션 연결 수를 측정하였다. HTTP 세션을 BP 장비에서 제공되는 최대값 20,000,000 세션까지 연결 후 400초간 유지하여 초당 연결 생성율을 측정하였다. 테스트 결과 L4의 CPS는 1,500,000 CPS로 목표 보다 좋은 결과를 나타냈다.
④ 초당 최대 패킷 처리량(PPS)의 경우 14,480, 000을 목표로 하며, 측정은 계측장비(Ixia, BP)를 이용하여 CC 기준인 10분간 테스트하여 평균 신규 세션 연결 수를 측정하였다. 계측기 IXIA와 시료를 10G portX2(Tx, Rx)로 연결한 뒤 초당 최대 패킷 처리량을 측정하였다.
④ 초당 최대 패킷 처리량(PPS)의 경우 14,480, 000을 목표로 하며, 측정은 계측장비(Ixia, BP)를 이용하여 CC 기준인 10분간 테스트하여 평균 신규 세션 연결 수를 측정하였다. 계측기 IXIA와 시료를 10G portX2(Tx, Rx)로 연결한 뒤 초당 최대 패킷 처리량을 측정하였다. 테스트 결과 64bytes 기준 단방향 14,880,950 pps, 양방향: 29,761,900pps로 목표치를 초과한 결과를 얻었다.

성능/효과

각 서브스트링 갱신 절차의 결과는 Hi-DPI 블럭 선정 모듈로 부터의 UFB_SSM 할당 결과 신호에 나타난다. N 개의 서브스트링 갱신 결과인 UFB_SSM 할당 경과 신호들을 기본으로 하여 서브스트링 갱신 결과 신호들이 생성되어 시그니처패턴 모듈과 시그니처 갱신 제어 모듈로 전달된다.
갱신 시그니처를 위한 처리가 진행이 되는 동안 각 처리 결과는 시그니처 갱신 제어 모듈에 전달이 된다. 시그니처 갱신 제어 모듈이 N 개의 positive SSM 할당 결과가 있었다는 것을 확인하면 UFB 갱신 제어 신호와 SSM 갱신 제어 신호들을 이용하여 Hi-DPI 블럭 모듈과 서브스트링 저장 모듈을 갱신 하게 된다. 만약 시그니처 갱신 제어 모듈이 갱신 시그니처가 Hi-DPI 블럭 모듈이나 서브스트링 저장 모듈에 갱신 될 수 없음을 알게 되면 Unable To 갱신 신호를 발생하게 된다.
메모리 공간이 있는 것으로 판단이 되면 서브스트링 저장 주소할당 모듈은 positive SSM 할당 결과를 발생하게 된다. 이러한 결과는 시그니처 갱신 제어 모듈에게 시그니처 서브스트링이 서브스트링 저장기억 모듈에 저장이 될 수 있는 것을 알려준다.
① 처리량(Throughput)의 경우 최대치인 초당 10기가비트까지 전송하는 것을 목표로 하며, 측정은 계측장비(Ixia, BP)를 이용하여 CC 기준인 10분간 시험하여 측정하였다. 계측기 IXIA와 시료를 10G portX2(Tx, Rx)로 연결한 뒤, 각 패킷 길이(64, 128, 256, 1024, 1280, 1518 Byte)로 나눠서 측정한 결과 10Gbps의 결과를 얻었다.
HTTP 세션을 BP 장비에서 제공되는 최대값 20,000,000 세션까지 연결 후 400초간 유지하여 초당 연결 생성율을 측정하였다. 테스트 결과 L4의 CPS는 1,500,000 CPS로 목표 보다 좋은 결과를 나타냈다.
계측기 IXIA와 시료를 10G portX2(Tx, Rx)로 연결한 뒤 초당 최대 패킷 처리량을 측정하였다. 테스트 결과 64bytes 기준 단방향 14,880,950 pps, 양방향: 29,761,900pps로 목표치를 초과한 결과를 얻었다.
본 논문은 HW기반 고속의 패킷 필터링을 위한 Hi-DPI 알고리즘을 제안하고, 이 기슬을 DDoS 대응 장비에 장착하여 그 성능의 우수성을 검증하였다. 이 기술은 FPGA의 병렬성을 최대한 이용하였고, 시그니처의 갱신이 실시간으로 가능하므로 정보보안 제품에 적용하기에 적합함을 입증하였다.
실험을 통해서 DDoS 대응 장비를 설치 운영할 때의 속도 저하의 문제점이 획기적으로 개선 되어짐을 검증하였고, FPGA의 하드웨어적인 특성과 병렬처리 특성을 확실하게 증명할 수 있는 Hi-DPI 알고리즘의 실용성을 검증하였다. 향후 Hi-DPI 알고리즘을 활용한 정보보호제품에 대한 연구에 진척이 있을 것으로 기대한다.

후속연구

실험을 통해서 DDoS 대응 장비를 설치 운영할 때의 속도 저하의 문제점이 획기적으로 개선 되어짐을 검증하였고, FPGA의 하드웨어적인 특성과 병렬처리 특성을 확실하게 증명할 수 있는 Hi-DPI 알고리즘의 실용성을 검증하였다. 향후 Hi-DPI 알고리즘을 활용한 정보보호제품에 대한 연구에 진척이 있을 것으로 기대한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	사이버테러의 형태가 좀 더 정밀해지고 복잡해짐에 따라 이를 해결하기 위해 정책을 수립하여야 하는데, 이로 인해 무엇이 갈수록 증가되는가?	25)에서도 볼 수 있듯이 공격의 형태가 좀 더 정밀해지고 복잡해짐에 따라 이를 탐지/차단하기 위해서는 Header lookup, L7 Pattern matching, Session status 등의 정보를 바탕으로 공격자의 행위를 분석하여 정책을 수립하여야 한다. 이로 인해 보안 기능은 좀 더 복잡해지고, 많은 기능이 필요해 짐에 따라 프로세스의 처리량은 갈수록 증가된다. 보안업체들은 멀티코어방식의 Intel/AMD의 클럭 속도를 높여 이를 해결하려고 노력하였으나 인텔은 이 시점에 클럭 속도 경쟁을 포기하여 3.
	Hi-DPI의 사용 목적은 무엇인가?	Hi-DPI는 연속적으로 흘러가는 데이터로부터 시그니처 서브스트링을 탐지하는 목적으로 사 된다. 시그니처들은 시그니처 갱신 모듈에서 처리(compile) 되어 그 결과 값들이 Hi-DPI 블럭 모듈과 서브스트링 저장 모듈에 저장된다.
	매니코어 방식의 기능은 무엇인가?	매니코어 방식은 병렬프로그램으로 재설계 없이 기존 코드를 사용하면 다수의 코어가 Round Robin 형태로 돌아가면서 처리 블럭을 처리함으로써 기존 단일 프로세서에서 순차적으로 처리하는 구조보다는 높은 성능 향상을 가져온다. 매니코어 방식도 멀티코어 방식과 마찬가지로 기존 코드(보안 개발 소스)로 이식하여 바로 운영하는 데에는 어려움 없이 가능하다.

참고문헌 (19)

Internet Security - Mission Critical, Techpress Inc, 2015.
W.Richard Stevens, "UNIX Networking Programming", Vol.1, 2nd Ed., 1998.
Robert L. Ziegler, "Linux Firewalls", New Riders, 2014.
Sean Walton, "Linux Socket Programming",SMS, 2011.
AnalyZ Demonstration Copy User Guide, Zergo Limited, June 2015.
Welcome to the World of BDSS, and OPA Inc. The Integrated Risk Management Group, OPA Inc., Janury 2016.
ZUM Strarten hier kicken, "IP VPN Solution for Service Provider" Cisco Systems, 2015.
Kent, S., and R. Atkinson, "IP Authentication Header", RFC 2402, November 2015.
Kent, S., and R. Atkinson, "IP Encapsulating Security Payload(ESP)" , RFC 2406,November 2015.
Zenkins, Buddy, Security Analysis and Management Manual, Countermeasures Inc, 2014.
Tom Olzak, Improve data protection processes with content discovery, monitoring and filtering, 2007.
Jay Heiser, Understanding data leakage, Gartner, 2007.
R. Erbacher, K. Christensen, and A. Sundberg, "Designing Visualization Capabilities for IDS Challenges," IEEE Symp. on Information Visualization's Workshop on Visualization for Computer Security (VizSEC), Oct. 2015.
Kim Jeom Goo, "A Study of Connection Maintenance Techniques using TCP Hijacking", 융합보안논문지, 2014.
김점구, 이도현, "리눅스 기반 침입 방지를 위한 로그 분석 방법 연구", 융합보안논문지, 2015.
김점구, 노시춘, "네트워크 보안 환경에서의 현장적용 중심 암호품질 만족도 평가 메트릭스 설계 프로세스", 융합보안논문지, 2015.
한국 전자통신 연구원, ESM 개발 동향, 2013.5.
한국정보보호진흥원, "국제공통평가기준(v.3.1)", 2015.
펜타 시큐리티 시스템(주), "자동화된 위험분석 툴의 구현", 2015.

이 논문을 인용한 문헌

저자의 다른 논문 :

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 하드웨어 기반 Anti-DDoS 대응 장비 고속 패킷 필터링을 위한 Hi-DPI 알고리즘 연구
Development Hi-DPI Algorithm for High Speed Packet Filtering of Anti-DDoS based on HW 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

Keyword

AI 본문요약
AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

질의응답

참고문헌 (19)

이 논문을 인용한 문헌

저자의 다른 논문 :

활용도 분석정보

활용도 Top5 논문

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 하드웨어 기반 Anti-DDoS 대응 장비 고속 패킷 필터링을 위한 Hi-DPI 알고리즘 연구 Development Hi-DPI Algorithm for High Speed Packet Filtering of Anti-DDoS based on HW 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

Keyword

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

질의응답

참고문헌 (19)

이 논문을 인용한 문헌

저자의 다른 논문 :

김점구 (48)

활용도 분석정보

활용도 Top5 논문 더보기

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 하드웨어 기반 Anti-DDoS 대응 장비 고속 패킷 필터링을 위한 Hi-DPI 알고리즘 연구
Development Hi-DPI Algorithm for High Speed Packet Filtering of Anti-DDoS based on HW 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

활용도 Top5 논문