• 대한전자공학회논문지TC
• /
• 제41권7호
• /
• pp.63-73
• /
• 2004

본 논문은 고속의 병렬 패킷 여과를 위한 다중프로세서 시스템이 가지는 단일 버퍼에서 단일 버퍼의 판독을 위한 다중프로세서 간의 경합을 중재하기 위한 효율적인 단일 버퍼 관리 방안을 제안하고 이를 실제의 다중 프로세서 시스템에 적용하여 실험함으로써 제안한 방안이 납득할 만한 성능을 제공함을 증명하였다. 병렬 패킷 여과시스템으로는 처리의 고속화를 위하여 패킷 여과규칙을 다중의 프로세서에 걸쳐 분산 처리하는 경우를 모델로 정하였다. 실제의 실험은 다중 프로세서를 가지는 네트워크 프로세서에서 이루어졌으며 100Mbps 의 통신망을 배경으로 하였다. 제안한 방안의 성능을 고찰하기 위하여 프로세서 수의 변화 및 여과 규칙의 처리 시간의 변화 등에 따르는 실제 패킷 전송률을 측정하였다.

• 정보보호학회논문지
• /
• 제17권6호
• /
• pp.77-87
• /
• 2007

IPv6가 현재의 IPv4 프로토콜을 완전히 대치하기 위해서는 상당한 시일이 소요될 것으로 예상된다. 이 기간 동안 인터넷은 두 개의 IP 프로토콜이 함께 사용될 것이다. 이 두 프로토콜의 공존을 위해 IETF에서는 여러 가지 IPv4/IPv6 전이기법을 표준화하였다. 하지만 전이 기법에 주로 사용되는 터널링 때문에, IPsec 적용과 IPv6 패킷 필터링에 관한 보안 문제가 발생할 수 있다. 본 논문에서는 이러한 보안 문제 해결을 위해, 내부 헤더 필터링과 전이 기법 전용 필터링의 두 가지 패킷 필터링 개선 기법을 제안하였다. 또한 제안한 기법을 리눅스 넷필터(Netfilter) 프레임워크에서 구현하였으며, IPv4/IPv6 전이 기법 테스트 환경에서 구현 기능을 테스트하고, 시험적인 성능 평가를 수행하였다. 이러한 기능 시험과 성능 평가를 통해, 주 논문의 패킷 필터링 개선 기능이 시스템의 큰 성능 저하 없이, IPv4/IPv6 전이 기법의 패킷 필터링 문제들을 해결할 수 있음을 보였다.

• 한국산업정보학회논문지
• /
• 제12권3호
• /
• pp.47-59
• /
• 2007

IPv6 보급을 지연시키는 요소 중의 하나가 가정이나 SOHO 환경에서 많이 사용하는 IPv4 NAT이다. IPv4 NAT는 IPv6-in-IPv4 터널링 형태로 동작하는 전환기법인 ISATAP이나 6to4 환경에서는 제대로 동작하지 못하기 때문에 Microsoft에서는 이런 문제를 해결하기 위한 방안으로 Teredo를 제안하였다. 그러나 Teredo와 같은 터널링 기반의 전환 기법에서는 터널링 패킷의 이중 헤더 때문에 일반적인 방화벽의 패킷 필터링 방식에서는 내부 패킷 헤더에 대한 필터링이 전혀 수행되지 않는 보안 문제가 발생한다. 또한 Teredo에서는 등록되지 않은 서버와 릴레이를 이용한 공격이 발생할 수 있다. 본 논문에서는 Teredo 터널링에서 발생하는 이중 헤더 문제와 서버와 릴레이 공격을 해결하는 Teredo 전용 필터링 메커니즘을 제안하였다. 제안된 패킷 필터링 메커니즘은 리눅스 시스템의 넷필터(netfilter)와 ip6tables를 이용하여 설계 구현하였으며, 테스트베드 터널링 환경에서 기능 시험과 성능 평가를 통해 패킷 필터링 기능이 방화벽의 큰 성능 저하 없이 Teredo 전환 기법의 패킷 필터링 문제를 해결할 수 있음을 확인하였다.

• 대한전자공학회:학술대회논문집
• /
• 대한전자공학회 2003년도 컴퓨터소사이어티 추계학술대회논문집
• /
• pp.77-80
• /
• 2003

Complying with highly demand of information through internet. the utility of computer and network is rapidly provided with to schools. This situation brings about many problems. For example, the stolen information through false identification(Hacking) is the most greatest concern. In this paper it tells that the efficient way of preservating computer use is by using operating system of Open Source, which is Linux system. Further more, it shows the system which was organized by IP-Tabling (offered service-Packet Filtering method from the Linux system) functions well as a security system.

• 정보처리학회논문지C
• /
• 제13C권7호
• /
• pp.813-820
• /
• 2006

통신 기술과 컴퓨터의 발전으로 임베디드 시스템에 네트워크 통신 인터페이스가 포함되었다. 이로써, 임베디드 시스템에서도 네트워크 기술의 사용으로 보안 이슈가 나타나게 되었다. 이러한 보안문제 해결 방법으로 일반 컴퓨터에서 사용하고 있는 패킷필터를 임베디드 시스템에 적용하는 것이다. 하지만, 호스트용으로 개발된 패킷필터는 기능이 복잡하여 임베디드 시스템에 부적합하다. 본 논문에서는 경량의 임베디드 패킷필터를 제안한다. 경량의 패킷필터는 커널의 코어 수준에서 구현되었다. 그리고 유저가 원격에서 쉽게 보안정책을 세울 수 있도록 Web GUI 인터페이스를 추가하였다. 실험 결과로 제안된 패킷필터는 호스트용으로 설계된 패킷필터보다 패킷 전달 시간이 향상되었고 패킷필터가 포함되지 않은 시스템과 대등한 성능을 보였다.

• Journal of Communications and Networks
• /
• 제5권1호
• /
• pp.82-89
• /
• 2003

In this paper, an efficient threshold-based filtering (TF) buffer management scheme is proposed. The TF is capable of minimizing the overall loss performance and improving the fairness of buffer usage in a shared buffer packet switch. The TF consists of two mechanisms. One mechanism is to classify the output ports as sctive or inactive by comparing their queue lengths with a dedicated buffer allocation factor. The other mechanism is to filter the arrival packets of inactive output ports when the total queue length exceeds a threshold value. A theoretical queuing model of TF is formulated and resolved for the overall packet loss probability. Computer simulations are used to compare the overall loss performance of TF, dynamic threshold (DT), static threshold (ST) and pushout (PO). We find that TF scheme is more robust against dynamic traffic variations than DT and ST. Also, although the over-all loss performance between TF and PO are close to each other, the implementation of TF is much simpler than the PO.

• 융합보안논문지
• /
• 제14권2호
• /
• pp.65-72
• /
• 2014

본 논문에서는 DDoS 탐지를 위해 기존의 이중 방화벽에 다중 필터링 방법을 적용한다. 1차 방화벽에서는 외부에서 유입되는 패킷 경로를 분석하여 R-PA(Router Path Anlaysis) 패킷 필터링 알고리즘과 엄격한 홉 카운터 필터링을 적용한다. 2차 방화벽에서는 1차 방화벽을 거쳐서 온 패킷의 데이터를 검사하여 정상적인 패킷과 비정상적인 패킷을 구분하고, 패킷 트래픽이 사용자에게 할당 된 임계치를 초과하는지를 검사하여 DDoS 공격을 차단한다.

• 한국통신학회논문지
• /
• 제31권8B호
• /
• pp.745-756
• /
• 2006

본 논문에서는 TCAM을 이용해 패킷 필터링 시스템을 구현하는 경우 범위 규칙과 부정 규칙을 검색하는데 있어 기존의 방법보다 효율적으로 검색할 수 있는 방안을 제시하였다. 범위 규칙의 경우 그레이코드를 이용한 CRG(Converting Range rules using Gray code) 알고리즘을 제안하였으며, 부정 규칙을 효율적으로 검색하기 위한 방안으로는 nTCAM(TCAM with negation) 구조를 제안하였다. 또한 시뮬레이션을 통해 CRG 알고리즘과 nTCAM의 기능을 검증하였다. 성능 평가를 위해 제안 방안을 SNORT 규칙에 적용시킨 결과 IPv4와 IPv6 환경에서 기존의 방법과 비교할 때 각각 93%와 98%의 TCAM 엔트리를 절감하였다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제13권2호
• /
• pp.86-99
• /
• 2007

패킷 필터링이란 악의적인 네트워크 패킷들을 거르는 작업을 말한다. 패킷 필터링의 기능을 테스트하기 위해서는 구축된 보안 정책이 의도했던 대로 정확하게 동작하는가를 검증하여야 한다. 그러나 이런 기능을 테스트하기 위한 도구들은 많지 않으며, 테스트 과정에서 많은 사용자의 노력을 요구한다. 대부분의 보안 관리자들은 보안 정책을 새로 수립하거나 기존의 보안 정책을 수정할 때에 새로운 보안 정책을 체계적으로 테스트하는 것에 부담을 느낀다. 이런 부담을 경감해주기 위해 우리는 사용자의 참여를 최소화하는 새로운 테스트 방법을 제안한다. 제안하는 방법은 테스트 케이스와 테스트 오라클의 생성을 자동화한다. 자동으로 생성된 테스트 케이스는 테스팅 과정의 입력 요소를 선택해야 하는 고민을 덜어주며, 자동으로 생성된 테스트 오라클은 사용자의 도움 없이 테스트 결과에 대한 판단을 가능하게 한다. 우리의 테스트 방법을 구현한 테스트 도구는 테스트 수행의 전체 4단계 중 테스트 준비, 테스트 실행, 테스트 평가의 3단계에 걸쳐 테스트 자동화를 실현하고 있다. 이런 테스트 도구 위에서 테스팅을 수행하게 된다면 결과적으로 테스트 활동의 신뢰도를 보다 높게 향상시킬 수 있다. 이 논문은 우리의 테스트 방법과 테스트 도구의 설계 및 구현에 관한 내용을 기술한다.

• Journal of Communications and Networks
• /
• 제18권6호
• /
• pp.948-961
• /
• 2016

Internet protocol (IP) spoofing is a serious problem on the Internet. It is an attractive technique for adversaries who wish to amplify their network attacks and retain anonymity. Many approaches have been proposed to prevent IP spoofing attacks; however, they do not address a significant deployment issue, i.e., filtering inefficiency caused by a lack of deployment incentives for adopters. To defeat attacks effectively, one mechanism must be widely deployed on the network; however, the majority of the anti-spoofing mechanisms are unsuitable to solve the deployment issue by themselves. Each mechanism can work separately; however, their defensive power is considerably weak when insufficiently deployed. If we coordinate partially deployed mechanisms such that they work together, they demonstrate considerably superior performance by creating a synergy effect that overcomes their limited deployment. Therefore, we propose a universal anti-spoofing (UAS) mechanism that incorporates existing mechanisms to thwart IP spoofing attacks. In the proposed mechanism, intermediate routers utilize any existing anti-spoofing mechanism that can ascertain if a packet is spoofed and records this decision in the packet header. The edge routers of a victim network can estimate the forgery of a packet based on this information sent by the upstream routers. The results of experiments conducted with real Internet topologies indicate that UAS reduces false alarms up to 84.5% compared to the case where each mechanism operates individually.