• 정보와 통신
• /
• 제24권11호
• /
• pp.25-36
• /
• 2007

Deep packet inspection is widely recognized as a powerful way which is used for intrusion detection systems for inspecting, deterring and deflecting malicious attacks over the network. Fundamentally, almost intrusion detection systems have the ability to search through packets and identify contents that match with known attach. In this paper we survey the deep packet inspection implementations techniques, research challenges and algorithm. Finally, we provide a comparison between the different applied system.

• 정보처리학회논문지C
• /
• 제16C권4호
• /
• pp.417-422
• /
• 2009

특화된 하드웨어의 도움 없이 범용 다중 프로세서 플랫폼에서 DPI(Deep Packet Inspection) 시스템을 구현하는 방법은 비용 측면에서 매력적이다. 문제는 성능인데, 일반적으로 다중 프로세서 시스템에서는 작업들을 여러 프로세서에 적절하게 배분하는 로드밸런싱 방법과 DPI 프로세싱 전용 개별 프로세서를 지정하여 시스템의 성능을 향상 시킨다. 그러나, 우리는 DPI 시스템의 경우 위와 같은 단순한 프로세서 통제 방안이 반드시 최선책이 아니라고 생각한다. 본 논문에서는 작업의 종류에 따라 정해진 프로세서에 할당한 후, 프로세서 상태에 따라 역할을 변경하는 방식을 제안한다. 우리는 제안하는 방식을 리눅스 기반 듀얼 프로세서 시스템에 구현하고 실험을 통해 그 성능을 기존의 로드밸런싱 방식과 비교하였다. 제안된 방식에서는 하나의 프로세서는 인터럽트 처리를 포함한 일반적 패킷 프로세싱 역할만을 담당토록 하고 다른 프로세서는 DPI엔진을 전담하도록 역할로 분리시켜 캐시접근실패 (cache miss) 과 스핀락(spin lock) 발생빈도를 낮추었으며, DPI 전담 프로세서가 처리한계에 이르렀을 경우에는 두 프로세서 모두 DPI를 위해 자원을 사용토록 하여, 기존의 리눅스 로드 밸런싱 방식 DPI 시스템 대비 약 60%의 성능향상을 달성하였다.

• 한국통신학회논문지
• /
• 제39B권7호
• /
• pp.433-439
• /
• 2014

본 논문은 DPI (deep packet insepction)를 위한 CAM (content-addressable memory)과 병렬의 비트 분리(bit-split) 문자열 매처(matcher)를 이용한 2단의 문자열 매칭 엔진의 구조를 제안한다. 긴 타겟 패턴은 같은 길이의 서브 패턴으로 잘라지게 되고, 각 서브패턴은 1단의 CAM에 매핑된다. CAM으로부터의 매칭 인덱스의 시퀀스를 사용하여 2단에서 긴 패턴의 매칭 여부를 알 수 있다. CAM과 비트 분리 문자열 매처를 사용하여 이 기종의 메모리를 사용했을 경우에 메모리 요구량을 크게 줄일 수 있다.

• 인터넷정보학회논문지
• /
• 제22권6호
• /
• pp.1-8
• /
• 2021

With the rapid growth of intelligent devices and communication technologies, 5G network environment has become more heterogeneous and complex in terms of service management and orchestration. 5G architecture requires supportive technologies to handle the existing challenges for improving the Quality of Service (QoS) and the Quality of Experience (QoE) performances. Among many challenges, traffic steering is one of the key elements which requires critically developing an optimal solution for smart guidance, control, and reliable system. Mobile edge computing (MEC), software-defined networking (SDN), network functions virtualization (NFV), and deep learning (DL) play essential roles to complementary develop a flexible computation and extensible flow rules management in this potential aspect. In this proposed system, an accurate flow recommendation, a centralized control, and a reliable distributed connectivity based on the inspection of packet condition are provided. With the system deployment, the packet is classified separately and recommended to request from the optimal destination with matched preferences and conditions. To evaluate the proposed scheme outperformance, a network simulator software was used to conduct and capture the end-to-end QoS performance metrics. SDN flow rules installation was experimented to illustrate the post control function corresponding to DL-based output. The intelligent steering for network communication traffic is cooperatively configured in SDN controller and NFV-orchestrator to lead a variety of beneficial factors for improving massive real-time Internet of Things (IoT) performance.

• ETRI Journal
• /
• 제35권1호
• /
• pp.154-157
• /
• 2013

This letter proposes a memory-based parallel string matching engine using the compressed state transitions. In the finite-state machines of each string matcher, the pointers for representing the existence of state transitions are compressed. In addition, the bit fields for storing state transitions can be shared. Therefore, the total memory requirement can be minimized by reducing the memory size for storing state transitions.

• 한국정보통신학회논문지
• /
• 제22권5호
• /
• pp.794-804
• /
• 2018

컴퓨터에서 실행되는 다양한 응용들은 네트워크를 통해 패킷 형태로 정보를 전달하며 대부분의 패킷들은 TCP/IP 또는 UDP/IP 프로토콜을 따른다. 기업 및 기관의 네트워크 관리 담당자는 네트워크 트래픽 측정 및 감시, 네트워크 보안 등을 위해서 네트워크를 통해 전달되는 패킷들을 지속적으로 관리할 수 있어야 한다. 본 논문에서는 실제 전달되는 데이터를 면밀히 조사하는 DPI(Deep Packet Inspection)에서 페이로드의 특정 패턴을 검색하는 패킷 페이로드 분석 알고리즘들의 성능 분석하는 것을 목적으로 하고 있다. 페이로드를 조사하는 가장 기본적인 과정은 특정 패턴을 페이로드에서 신속하게 검색하는 것이다. 본 논문에서는 페이로드에 특정 패턴이 존재하는 경우, 그 패턴을 검출할 수 있는 여러 알고리즘들을 소개하고, 세 가지 관점에서 수학적으로 성능을 분석하고, 응용프로그램의 목적에 적합한 적용 방안을 제시한다.

• 정보처리학회논문지C
• /
• 제11C권3호
• /
• pp.319-326
• /
• 2004

많은 공격과 네트워크 데이터 처리량이 증가하는 오늘날의 네트워크 수요를 NIDS가 유지시키기 위해 하드웨어 및 소프트웨어 시스템 구조에서 급진적 새로운 접근이 필요하다. 본 논문에서는 패킷 필터링과 트래픽 측정 뿐아니라 고의행위를 검출하는 패킷 페이로드 검열을 지원하는 네트워크 프로세서 기반의 인라인 모드 NIS를 제안하고, 특히 2한계 경색구조를 사용하여 심층 패킷 정열기능으로부터 펄터링과 측정기능을 분리한다 그래서 심층 패킷 검열기능의 복잡하고 시간소비 곽이 인라인 모드 시스템의 기본 기능을 멈추게 하거나 방해하지 않게 했다. 프로토타입 NP 기반의 NIDS는 PC 플랫폼에서 구현하였으므로 실험결과는 제안한 구조가 첫 단계에서 두개의 기가비트 포트의 전체 트래픽을 측정과 필터가 신뢰할 수 있음을 보였다. 일반목적 프로세스 기만의 검열 성능과 비교 가능한 두 번째 단계에서 실시간으로 320Mbps까지 패킷 페이로드를 주사할 수 있었다. 그러나 시뮬레이션에서 100bps APP 해법을 선택할 때 선로상 속도가 2Gbps까지 가능한 심층 패킷 검색 결과를 얻었다.

• 한국컴퓨터정보학회논문지
• /
• 제16권5호
• /
• pp.13-22
• /
• 2011

최근의 네트워크 침입탐지 시스템들은 침입패턴을 나타내는 데 정규표현식을 사용하고 있으며 빠른 심층 패킷 검사를 위해서 하드웨어 기반의 패턴매칭이 필요하다. 하드웨어 기반 정규표현식 패턴매칭에 대한 많은 연구가 이루어졌으나 {10}과 같은 제한반복 연산자에 대한 구현은 제약이 있었다. 본 논문에서는 일반적인 정규표현식 서브패턴에 대한 제한반복을 더 낮은 하드웨어 복잡도로 구현할 수 있는 제한반복 블록 구조를 제시하였다. 제안된 제한반복 블록은 단일 문자, 고정길이 문자 뿐 만 아니라 일반적인 정규표현식 서브패턴의 제한반복 구현도 가능하다. 제안된 제한반복 블록 구조는 모든 제한반복을 펼치지 않고 구현할 수 있도록 하여 정규표현식 패턴매칭 하드웨어를 더 효율적으로 구현할 수 있도록 하였다.

• 전자통신동향분석
• /
• 제19권3호통권87호
• /
• pp.117-124
• /
• 2004

과거의 패킷 필터를 기반으로 하는 단순한 방화벽은 더 이상 지능적인 해커들을 방어할 수 없다. 가트너에 따르면 현재의 방화벽의 기술은 패킷 필터에서 Application Proxy, Stateful Inspection을 거쳐 DPI로 진화하고 있다고 한다. NIDS나 NIPS를 떠오르게 하는 DPI 방식은 차세대 방화벽의 기술로 인정 받고 많은 연구와 개발이 진행되고 있으며, 실제 제품으로도 선보이고 있다. 본 논문에서는 DPI 기술의 정의와 알고리듬, 그리고 발전 방향에 대해서 알아볼 것이다.

• IEIE Transactions on Smart Processing and Computing
• /
• 제5권3호
• /
• pp.169-177
• /
• 2016

To realize high-speed intrusion detection by accommodating many regular expression (regex)-based signatures and growing network link capacities, we propose the Service TimE-Aware Load-balancing (STEAL) algorithm. This work is motivated from the observation that utilization of a many-core network intrusion detection system (NIDS) is influenced by unfair computational distribution among many-core NIDS nodes. To avoid such unfair computational distribution, STEAL is designed to dynamically distribute a large volume of traffic among many-core NIDS nodes based on packet service time, which is represented by the deep packet time in many-core NIDS nodes. From experiments, we show that compared to the commonly used load-balancing algorithm based on arrival rate, STEAL increases the number of received packets (i.e., decreases the number of dropped packets) in many-core NIDS. Specifically, by integrating an open source NIDS (i.e. Bro) with STEAL, we show that even under attack-dominant traffic and with many signatures, STEAL can rapidly improve the performance of many-core NIDS to realize high-speed intrusion detection.