• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.21 no.2
• /
• pp.119-129
• /
• 2011

TCP-related Flooding attacks still dominate Distributed Denial of Service Attack. It is a great challenge to accurately detect the TCP flood attack in hish speed network. In this paper, we propose the NIC_Cookie logic implementation, which is a kind of security offload engine against TCP-related DDoS attacks, on network interface card. NIC_Cookie has robustness against DDoS attack itself and it is independent on server OS and external network configuration. It supports not IP-based response method but packet-level response, therefore it can handle attacks of NAT-based user group. We evaluate that the latency time of NIC_Cookie logics is $7{\times}10^{-6}$ seconds and we show 2Gbps wire-speed performance through a benchmark test.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.32 no.2
• /
• pp.213-225
• /
• 2022

Containerization, a lightweight virtualization technology, enables agile deployments of enterprise-scale microservices in modern cloud environments. However, containerization also opens a new window for adversaries who aim to disrupt the cloud environments. Since microservices are composed of multiple containers connected through a virtual network, a single compromised container can carry out network-level attacks to hijack its neighboring containers. While existing solutions protect containers against such attacks by using network access controls, they still have severe limitations in terms of performance. More specifically, they significantly degrade network performance when processing packet payloads for L7 access controls (e.g., HTTP). To address this problem, we present BPFast, an eBPF/XDP-based payload inspection system for containers. BPFast inspects headers and payloads of packets at a kernel-level without any user-level components. We evaluate a prototype of BPFast on a Kubernetes environment. Our results show that BPFast outperforms state-of-the-art solutions by up to 7x in network latency and throughput.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.34 no.11B
• /
• pp.1151-1168
• /
• 2009

Improving packet loss does not necessarily coincide with the improvement in user perceivable QoS because each frame carries different degree of importance. We propose Significance-aware packet scheduling (SAPS) to maximize user perceivable QoS. SAPS carries out two fundamental issues of packet scheduling: "What to transmit" and "When to transmit?" To adapt to the available bandwidth, it is necessarily to transmit the subset of the data packets if the entire set of packets can not be transmitted. "Packet Significance" quantifies the importance of the frame by elaborately incorporating frames' dependency. Greedy approach is used in selecting packets and transmission schedule is determined based on the Packet Significance. The proposed scheme is tested using publicly available MPEG-4 video clips. Decoding engine is embedded in the simulation software and user perceivable QoS is exposeed in termstermiSNR. Throughout the simulation based experiment, the performance of the proposed scheme is compared two other schemes: Size-based packet scheduling and Bit-rate based best effort packet scheduling. SAPS successfully incorporates the semantics of a packet and improves user perceivable QoS significantly. It successfully provides unequal protection to more important packets.

• Proceedings of the Korean Information Science Society Conference
• /
• 2007.06d
• /
• pp.489-494
• /
• 2007

침입방지 시스템(IPS, Intrusion Prevention System)은 인라인모드(in-line mode)로 네트워크에 설치되어, 네트워크를 지나는 패킷 또는 세션을 검사하여 만일 그 패킷에서 공격이 감지되면 해당 패킷을 폐기하거나 세션을 종료시킴으로서 외부의 침입으로부터 네트워크를 보호하는 시스템을 의미한다. 침입방지 시스템은 크게 두 가지 종류의 동작을 수행한다. 하나는 이미 알려진 공격으로부터 방어하는 시그너처 기반 필터링(signature based filtering)이고 다른 하나는 알려지지 않은 공격이나 비정상 세션으로부터 방어하는 자기 학습 기반의 변칙 탐지 및 방지(anomaly detection and prevention based on selflearning)이다. 시그너처 기반 필터링에서는 침입방지시스템을 통과하는 패킷의 페이로드와 시그너처라고 불리는 공격 패턴들과 비교하여 같으면 그 패킷을 폐기한다. 시그너처의 개수가 증가함에 따라 하나의 들어온 패킷에 대하여 요구되는 패턴 매칭 시간은 증가하게 되어 패킷지연 없이 동작하는 고성능 침입탐지시스템을 개발하는 것이 어렵게 되었다. 공개 침입방지 소프트웨어인 SNORT를 위한 여러 개의 효율적인 패턴 매칭 방식들이 제안되었는데 시그너처들의 공통된 부분에 대해 한번만 매칭을 수행하거나 한 바이트 단위 비교대신 여러 바이트 비교 동작을 수행함으로써 불필요한 매칭동작을 줄이려고 하였다. 본 논문에서는 패턴 매칭 시간을 시그너처의 개수와 무관하게 하기 위하여 시그너처 해싱 기반에 기반한 고성능 침입방지시스템을 제안한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.18 no.3
• /
• pp.79-88
• /
• 2008

On the internet, the NIDS(Network Intrusion Detection System) has been widely deployed to protect the internal network. The NIDS builds a set of rules with analysis results on illegal packets and filters them using the rules, thus protecting the internal system. The number of rules is ever increasing as the attacks are becoming more widespread and well organized these days. As a result, the performance degradation has been found severe in the rule application fer the NIDS. In this paper, we propose a multiple pattern matching scheme to improve rule application performance. Then we compare our algorithm with Wu-Mantel algorithm which is known to do high performance multi-pattern matching.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2020.01a
• /
• pp.241-242
• /
• 2020

홈/개인 IoT 환경에서 모바일 기기나 유무선 공유기는 IoT 기기의 트래픽을 중계하는 경우가 많다. 본 논문에서는, 홈/개인 IoT 환경에서 IoT 기기들이 서버로 전송한 패킷들을 프라이버시 보호 측면에서 더 안전하게 상류로 전송하는 기능을 제공하는 트래픽 자동 분류기반의 상류 프라이버시 보호 계층을 제안한다. 트래픽의 목적지 주소를 기반으로, 직접 연결, 프락시를 통한 연결, VPN을 통한 연결, Tor 익명 네트워크를 통한 연결 방식 중 하나를 선택하고, 선택된 연결 방식으로 상류로 패킷을 전달한다. 별도의 사용자 인터페이스를 통해 목적지 주소 및 적합한 연결 방식을 설정할 수 있다. 제안 계층은 모바일 기기 및 유무선 공유기에 적용 가능하며, 현재 모바일 기기용 개념 증명 예제를 구현하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.17 no.6
• /
• pp.77-87
• /
• 2007

It will need a quite long time to replace IPv4 protocol, which currently used, with IPv6 protocol completely, thus we will use both IPv4 and IPv6 together in the Internet during the period. For coexisting protocols, IETF standardized various IPv4/IPv6 transition mechanisms. However, new security problems of IPsec adaptation and IPv6 packet filtering can be raised by tunneling mechanism which mainly used in transition mechanisms. To resolve these problems, we suggested two improved schemes for packet filtering functions, which consists of an inner header filtering scheme and a dedicated filtering scheme for IPv4/IPv6 transition mechanisms. Also we implemented our proposed schemes based on Linux Netfilter framework, and we tested their filtering functions and evaluated experimental performance of our implementation on IPv4/IPv6 transition testbed. These evaluation tests indicated that our improved packet filtering functions can solve packet filtering problems of IPv4/IPv6 transition mechanisms without severely affecting system performance.

• Annual Conference of KIPS
• /
• 2001.04a
• /
• pp.581-584
• /
• 2001

오늘날 매우 널리 사용되는 TCP/IP 프로토콜은 많은 보안적 흠을 가지고 있다. 시퀸스 번호를 스푸핑, 소스 번호를 스푸핑, 인증 공격 등 많은 류의 공격이 이런 흠을 통해서 행해지고 있다. 또한 근원적으로 패킷의 TCP헤더 필드의 포트 번호와 IP 헤더 필드의 주소 번호를 분석하여 포트번호와 IP번호를 알아내어 상대방을 공격한다. 이에 상대방으로부터 어드레스 번호를 은닉하거나 생략하여 전송가능하여 상대방이 패킷을 분석하기 어렵게 만들어 TCP/IP 패킷의 정보를 보호하고자 한다. 이에 본 논문은 MPLS 영역에서 IP 패킷의 헤더의 주소 필드 영역을 LER에서 임의의 매핑 변수에 의해 대체함으로써 MPLS 영역에서의 IP 패킷은 IP 주소 번호를 생략할 수 있다. 이에 본 논문에서는 IP 헤더의 Address field를 제거하기위한 LER을 제안하고 LER-to-LER의 메커니즘을 제시한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2006.06a
• /
• pp.749-753
• /
• 2006

최근 Mobile Ad-hoc Networks(MANET)에서 보안 요소를 추가한 라우팅 연구가 활발히 진행되어 왔다. 하지만 기존 연구들은 대부분 secure 라우팅 또는 패킷 자체에 대한 악의적인 행위가 이루어지는 부분 중 어느 한 측면에 대해서만 연구되어져 왔다. 이와 같은 방법들은 악의적인 노드를 확인하더라도 라우팅 경로 설정과정에서 악의적인 행위가 이루어지거나 라우팅 경로 설정에 대한 공격은 차단하더라고 패킷에 대한 악의적인 행위가 이루어지면 네트워크 내 보안 측면에서 큰 효율성을 기대할 수 없다. 따라서 본 논문에서는 일정기간 악의저인 행위가 이루어지는 노드를 확인하여 각 노드에 대한 신뢰단계를 구성 후, 획득한 각 노드의 신뢰레벨에 따라 라우팅 경로를 설정함으로써 패킷 및 라우팅 경로 설정에 대해 이루어질 수 있는 악의적인 행위를 효율적으로 대응 할 수 있는 방안인 IMSec(A identification of malicious node and secure communications in MANET)을 제안한다. IMSec은 AODV(Ad-hoc On-demand Distance Vector Routing)를 기반으로 하였다. NS-2 네트워크 시뮬레이션 결과를 통해, 제안된 IMSec은 기존 프로토콜보다 네트워크의 부하를 감소시킨 상태에서 악의적인 노드를 더 정확하고 신속하게 찾아냄을 보였다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.28 no.6C
• /
• pp.659-667
• /
• 2003

IPsec refers to a standardized set of security protocols and algorithms which can provide the integrity, the authentication and the confidentiality services for IP packets in the Internet. Between two security gateways, IPsec provides the access control, the connectionless Integrity, data origin authentication, the anti-replay, and the confidentiality services, not only to the IP layer but also to the upper layers. In this paper, we describe a VPN (Virtual Private Network) testbed configuration using the FreeS/WAN and analyze the ISAKMP messages exchanged between the linux security gateway during the IKE SA setup. Also, we describe our development of an IPSEC encryption verification tool which can be used conveniently by VPN administrators.