-
公开(公告)号:KR100816521B1
公开(公告)日:2008-03-24
申请号:KR1020070072587
申请日:2007-07-20
Applicant: 충남대학교산학협력단
IPC: H04L12/22
Abstract: 본 발명은 차입 윈도우에 의한 고속 패킷 검색 시스템 및 그 방법에 관한 것으로, 인터넷으로부터 수신되는 직렬 패킷 데이터를 병렬 데이터 형태인 입력 패킷으로 변환하는 입력망 정합부와, 상기 입력 패킷 인입에 따라 패킷 인입 신호를 발생시키고 상기 입력 패킷을 버퍼링하여 출력하는 입력 패킷 버퍼부와, 적어도 하나의 공격 패턴 정보를 저장하고 있는 메모리와, 상기 입력 패킷 검색시 부분일치상태(Partial Match State) 기반의 바이트 슬라이딩 방식 또는 부분일치상태 기반의 점핑 윈도우 방식을 사용하여 상기 메모리에 저장된 적어도 하나의 공격패턴과 비교하여 검사하고, 공격패턴의 전체 또는 일부가 검출되면 공격패턴 추출신호를 출력하는 패킷 검색부와, 상기 공격패턴 추출신호에 따라 공격패턴이 속한 패킷흐름 제어신호를 출력하는 패킷 출력 제어부 및 상기 패킷흐름 제어신호에 따라 출력 패킷을 네트워크로 출력하지 않고 제거하는 출력망 정합부로 구성된다.
인터넷 해킹, NIDS, 바이트 슬라이딩 윈도우, 점핑 윈도우, 차입 윈도우-
公开(公告)号:KR100770643B1
公开(公告)日:2007-10-29
申请号:KR1020060028088
申请日:2006-03-28
Applicant: 충남대학교산학협력단
IPC: H04L12/743 , H04L12/26
Abstract: 본 발명은 개별 트래픽뿐 아니라 패킷 분류 규칙에 의해 기술된 복합 트래픽에 대하여 공통의 플로우 정보를 갖도록 함으로써 개별 플로우 정보를 취합하여 통합하는 추가적인 절차 없이 고속의 패킷 분류가 가능하도록 하는 TCAM을 이용한 고성능 패킷 분류 방법 및 그 장치에 관한 것이다. 본 발명은 기가비트 이상의 속도를 갖는 고속 인터넷 망에서 통신 장치가 패킷을 고속으로 분류하는 방법에 있어서, 패킷의 헤더에서 추출된 플로우 식별을 위한 5-투플값을 해시하는 단계와, TCAM을 사용하여 복합 트래픽을 분류하는 단계; 상기 단계에 해당하는 플로우에서 직접 해시값을 취하는 단계를 포함하는 것을 특징으로 한다. 또한, 패킷 송신부를 통해 전달된 패킷 분류를 위하여 패킷 버퍼로부터 트래픽 분류를 위한 5-투플을 추출하고, TCAM 저장부에 저장된 분류 규칙에 따라 패킷을 분류하여 패킷 수신부로 전달하는 것을 특징으로 한다.
트래픽, 패킷, 분류, 플로우, 정보, 고속, TCAM, 헤더, 5-투플, 해시값-
公开(公告)号:KR1020070071124A
公开(公告)日:2007-07-04
申请号:KR1020050134314
申请日:2005-12-29
Applicant: 충남대학교산학협력단
CPC classification number: H04L63/1416 , H04L47/32
Abstract: A borrow window and partial match state-based pattern searching system and a method thereof are provided to be applicable to a high-capacity fast NIDS(Network Intrusion Detection System), thereby searching and extracting attack patterns in real time without deteriorating network bandwidths. An input network interface(100) converts serial packet data received from the Internet into parallel-type input packets. An input packet buffer(200) generates a packet ingress signal as the input packets are incoming, and stores the input packets to output the stored packets. A memory(400) stores at least one piece of attack pattern information. A packet searcher(300) checks the patterns by comparing the input packets with at least one attack pattern by using a partial match state-based byte sliding type or a partial match state-based jumping window type, and outputs an attack pattern extraction signal if entire or some of the attack patterns are detected. A packet output controller(500) outputs a packet flow control signal to which the attack patterns belong according to the attack pattern extraction signal. An output network interface(600) removes output packets without outputting the packets to a network according to the packet flow control signal.
Abstract translation: 提供借用窗口和部分匹配状态模式搜索系统及其方法适用于大容量快速NIDS(网络入侵检测系统),从而实时地搜索和提取攻击模式,而不会降低网络带宽。 输入网络接口(100)将从因特网接收的串行分组数据转换成并行类型的输入分组。 当输入分组进入时,输入分组缓冲器(200)生成分组进入信号,并存储输入分组以输出所存储的分组。 存储器(400)存储至少一个攻击模式信息。 分组搜索器(300)通过使用基于部分匹配状态的字节滑动类型或部分匹配状态的跳跃窗口类型将输入分组与至少一个攻击模式进行比较来检查模式,并输出攻击模式提取信号,如果 检测到整个或一些攻击模式。 分组输出控制器(500)根据攻击模式提取信号输出攻击模式所属的分组流控制信号。 输出网络接口(600)根据分组流控制信号去除输出分组而不将分组输出到网络。
-
公开(公告)号:KR1020070003488A
公开(公告)日:2007-01-05
申请号:KR1020050059502
申请日:2005-07-02
Applicant: 충남대학교산학협력단
CPC classification number: G06F17/30982 , G06F2221/0788 , Y10S707/99936
Abstract: A method for representing a regular expression in a TCAM(Ternary Content Addressable Memory) for efficient pattern search and a pattern searching method using the same are provided to improve search performance by efficiently describing representation for character classes/repetition of the regular expression difficult to be represented in the TCAM and reducing a search frequency of the TCAM. A previous identifier for starting of a pattern is inserted into a front side of an entry and is searched from the TCAM. If the matched TCAM is present, TCAM-related data corresponding to the entry is read and the next identifier is checked. If the pattern is continued, a remained quantity is calculated by using a difference between a repeated quantity and a movement value, a search position is adjusted to a right side as much as the movement value, and the next identifier is replaced with the previous identifier of a next search target. In case of an end of the pattern, match is finally checked by checking whether the search position is within a repeated range or not by checking whether a minimum number among the remained quantity is equal or smaller than zero, or the maximum number is equal or bigger than zero.
Abstract translation: 提供了一种用于表示用于高效模式搜索的TCAM(三元内容可寻址存储器)中的正则表达式的方法和使用该正则表达式的模式搜索方法,以通过有效地描述用于字符类别/正常表达式的重复的表示,以改善搜索性能 在TCAM中表示并减少TCAM的搜索频率。 将用于启动图案的先前标识符插入入口的前侧,并从TCAM搜索。 如果存在匹配的TCAM,则读取对应于条目的TCAM相关数据,并检查下一个标识符。 如果模式继续,则通过使用重复量和移动值之间的差来计算剩余量,将搜索位置调整到右侧与移动值一样多,并且将下一个标识符替换为先前的标识符 的下一个搜索目标。 在模式结束的情况下,通过检查剩余量中的最小数量是否等于或小于零,或者最大数目相等或者最大数目相等或者最大数目相等,最终检查匹配是否通过检查搜索位置是否处于重复范围内 大于零。
-
Patent Agency Ranking
公开(公告)号:KR1020070097207A
公开(公告)日:2007-10-04
申请号:KR1020060028088
申请日:2006-03-28
Applicant: 충남대학교산학협력단
IPC: H04L12/743 , H04L12/26
CPC classification number: H04L47/2441 , H04L43/028 , H04L69/22
Abstract: A high-performance packet classification method using A TCAM(Ternary Content Addressable Memory) and an apparatus thereof are provided to achieve high-speed flow control by classifying composite traffic through a TCAM, appointing a hash value to associated data, and managing it as single flow information. A packet classification apparatus comprises a packet receiving part(10), a 5-tuple(11), a packet buffer(12), packets(13), a TCAM storage part(14), and a packet transmitting part(15). The packet classification apparatus extracts the 5-tuple(11) for traffic classification from the packet buffer(12) in order to classify the packets delivered through the packet transmitting part(15). The packet classification apparatus classifies the packets(13) according to the classification rules stored in the TCAM storage part(14) and transfers them to the packet receiving part(10).
Abstract translation: 提供了使用A TCAM(三元内容可寻址存储器)及其装置的高性能分组分类方法,以通过TCAM对复合业务进行分类来实现高速流量控制,将哈希值指定给相关数据,并将其作为单个管理 流量信息。 分组分类装置包括分组接收部分(10),5元组(11),分组缓冲器(12),分组(13),TCAM存储部分(14)和分组发送部分(15)。 分组分类装置从分组缓冲器(12)提取用于流分类的5元组(11),以便对通过分组发送部分(15)传送的分组进行分类。 分组分类装置根据存储在TCAM存储部分(14)中的分类规则对分组(13)进行分类,并将它们传送到分组接收部分(10)。
-
公开(公告)号:KR1020070003487A
公开(公告)日:2007-01-05
申请号:KR1020050059501
申请日:2005-07-02
Applicant: 충남대학교산학협력단
Abstract: A classification method of packets by using dual TCAM(Ternary Content Addressable Memory) tables is provided to be capable of storing packet classification rules at two TCAM tables by dividing the rules, according to expression types of the packet classification rules, thus required size of a TCAM is reduced. When packets are received, information is extracted(401). A general table is searched(402). If the searching is successful, associative additional information of searched results is read to find out a matched list and to find out whether an additional searching process is conducted(404). If the additional searching process is interrupted, the currently matched rules are determined as final results(406).
Abstract translation: 提供了通过使用双TCAM(三进制内容可寻址存储器)表的分组的分类方法,以便能够根据分组分类规则的表达类型划分规则来存储两个TCAM表中的分组分类规则,从而所需的大小 TCAM减少。 当接收到分组时,提取信息(401)。 搜索一般表(402)。 如果搜索成功,则读取搜索结果的关联附加信息以找出匹配列表,并找出是否进行附加搜索处理(404)。 如果附加搜索过程中断,则将当前匹配的规则确定为最终结果(406)。
-
公开(公告)号:KR100786639B1
公开(公告)日:2007-12-21
申请号:KR1020050134314
申请日:2005-12-29
Applicant: 충남대학교산학협력단
Abstract: 본 발명은 차입 윈도우에 의한 고속 패킷 검색 시스템 및 그 방법에 관한 것으로, 인터넷으로부터 수신되는 직렬 패킷 데이터를 병렬 데이터 형태인 입력 패킷으로 변환하는 입력망 정합부와, 상기 입력 패킷 인입에 따라 패킷 인입 신호를 발생시키고 상기 입력 패킷을 버퍼링하여 출력하는 입력 패킷 버퍼부와, 적어도 하나의 공격 패턴 정보를 저장하고 있는 메모리와, 상기 입력 패킷 검색시 부분일치상태(Partial Match State) 기반의 바이트 슬라이딩 방식 또는 부분일치상태 기반의 점핑 윈도우 방식을 사용하여 상기 메모리에 저장된 적어도 하나의 공격패턴과 비교하여 검사하고, 공격패턴의 전체 또는 일부가 검출되면 공격패턴 추출신호를 출력하는 패킷 검색부와, 상기 공격패턴 추출신호에 따라 공격패턴이 속한 패킷흐름 제어신호를 출력하는 패킷 출력 제어부 및 상기 패킷흐름 제어신호에 따라 출력 패킷을 네트워크로 출력하지 않고 제거하는 출력망 정합부로 구성된다.
인터넷 해킹, NIDS, 바이트 슬라이딩 윈도우, 점핑 윈도우, 차입 윈도우-
公开(公告)号:KR1020070078106A
公开(公告)日:2007-07-30
申请号:KR1020070072587
申请日:2007-07-20
Applicant: 충남대학교산학협력단
IPC: H04L12/22
CPC classification number: H04L63/1416 , H04L47/32
Abstract: A borrow window and partial match state-based pattern searching method is provided to be suitable for a large capacity high speed NIDS(Network Intrusion Detection System) because a supplementary memory is not necessary for packet re-assembling. Serial packet data received from the Internet is converted into an input packet in the form of parallel data. As the input packet is received, a packet lead-in signal is generated, and the input packet is buffered and outputted. When the input packet is searched, it is checked by being compared with at least one attack pattern stored in a memory by using a partial match state-based byte sliding method or a partial match state-based jumping window method, and when the entirety of a portion of an attack pattern is detected, an attack pattern extract signal is outputted. A packet flow control signal to which the attack pattern belongs is outputted according to the attack pattern extraction signal. An output packet is not outputted to a network but removed according to the packet flow control signal.
Abstract translation: 提供借用窗口和部分匹配状态模式搜索方法适合于大容量高速NIDS(网络入侵检测系统),因为对于分组重新组装不需要补充存储器。 从互联网接收的串行分组数据以并行数据的形式被转换为输入分组。 当接收到输入分组时,产生分组引入信号,并且缓冲并输出输入分组。 当搜索输入分组时,通过使用部分匹配状态的字节滑动方法或部分匹配状态的跳跃窗口方法与存储在存储器中的至少一个攻击模式进行比较来检查它,并且当整个 检测到攻击模式的一部分,输出攻击模式提取信号。 根据攻击模式提取信号输出攻击模式所属的分组流控制信号。 输出分组不输出到网络,而是根据分组流控制信号去除。
-
公开(公告)号:KR100705545B1
公开(公告)日:2007-04-09
申请号:KR1020050059501
申请日:2005-07-02
Applicant: 충남대학교산학협력단
Abstract: 본 발명은 일반적인 규칙을 저장하는 일반 TCAM 테이블과 상기 일반적인 규칙의 반전 형태의 규칙을 저장하는 반전 TCAM 테이블을 이중으로 생성시켜 패킷이 수신될 때 수신된 패킷으로부터 추출된 정보를 일반 TCAM 테이블과 상기 일반 TCAM 테이블과 연계된 반전 TCAM 테이블로부터 검색하는 것을 특징으로 하는 이중 TCAM을 이용한 패킷의 분류방법에 관한 것이다. 본 발명은 패킷 분류 규칙의 표현 형태에 따라 두 개의 TCAM 테이블에 나누어 저장함으로써 TCAM의 필요 크기를 줄이는 장점이 있으며, 그로 인해 하드웨어 패킷 분류 기법에서 고가의 하드웨어인 TCAM을 보다 효율적으로 사용할 수 있는 효과가 있다.
TCAM, 반전 테이블, 반전 TCAM, 이중 TCAM, 패킷
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.022 seconds)
