맞춤기술찾기

이전대상기술

SDN을 위한 플로우 테이블 오버플로우 공격 방어 시스템 및 방법

  • 기술번호 : KST2022003934
  • 담당센터 : 서울서부기술혁신센터
  • 전화번호 : 02-6124-6930
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 SDN을 위한 플로우 테이블 오버플로우 공격 방어 시스템 및 방법은 패킷 개수인 히스토리를 기반으로 플로우 룰이 플로우 테이블 내에서 잔류하는 시간인 타임아웃을 동적으로 조절함으로써 공격 플로우가 플로우 테이블에서 더 빨리 지워지도록 하여 플로우 룰의 재설치로 인한 오버헤드를 줄이는 효과가 있다.
Int. CL H04L 49/00 (2022.01.01) H04L 47/00 (2022.01.01) H04L 47/00 (2022.01.01) H04L 49/00 (2022.01.01) H04L 9/40 (2022.01.01)
CPC H04L 49/9084(2013.01) H04L 47/2441(2013.01) H04L 47/28(2013.01) H04L 49/103(2013.01) H04L 63/1441(2013.01)
출원번호/일자 1020200151881 (2020.11.13)
출원인 숭실대학교산학협력단
등록번호/일자 10-2387102-0000 (2022.04.12)
공개번호/일자
공고번호/일자 (20220414) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 등록
심사진행상태 수리
심판사항
구분 국내출원/신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2020.11.13)
심사청구항수 12

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 숭실대학교산학협력단 대한민국 서울특별시 동작구

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 박민호 경기도 화성시 수노을*로 ***,
2 노시철 서울특별시 동작구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 윤귀상 대한민국 서울특별시 금천구 디지털로*길 ** ***호 (가산동, 한신IT타워*차)(디앤특허법률사무소)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 숭실대학교 산학협력단 서울특별시 동작구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application
2020.11.13 수리 (Accepted) 1-1-2020-1217884-63
2 선행기술조사의뢰서
Request for Prior Art Search
2021.02.02 수리 (Accepted) 9-1-9999-9999999-89
3 선행기술조사보고서
Report of Prior Art Search
2021.05.12 발송처리완료 (Completion of Transmission) 9-6-2021-0180092-99
4 의견제출통지서
Notification of reason for refusal
2021.10.08 발송처리완료 (Completion of Transmission) 9-5-2021-0791912-19
5 특허고객번호 정보변경(경정)신고서·정정신고서
2021.10.28 수리 (Accepted) 4-1-2021-5282132-58
6 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment
2021.12.07 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2021-1418588-02
7 [거절이유 등 통지에 따른 의견]의견서·답변서·소명서
2021.12.07 수리 (Accepted) 1-1-2021-1418586-11
8 등록결정서
Decision to grant
2022.04.08 발송처리완료 (Completion of Transmission) 9-5-2022-0266403-56
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
플로우 엔트리의 집합으로 구성되는 플로우 테이블을 구비하고, 유입되는 패킷을 처리하는 복수의 SDN(Software Defined Network) 스위치;상기 SDN 스위치로부터 모든 패킷을 수신하고, 상기 플로우 엔트리를 생성하여 SDN 스위치에 전송하며, 상기 SDN 스위치로부터 패킷의 각 플로우의 플로우 테이블을 수신하는 SDN 컨트롤러;상기 SDN 컨트롤러로부터 플로우 테이블을 수신하고, 상기 수신한 플로우 테이블에서 플로우 엔트리의 스탯을 분석하여 그 분석 정보를 생성하는 상태 모듈;상기 상태 모듈로부터 수신한 분석 정보를 이용하여 각 플로우의 패킷 개수를 카운팅하는 2D 카운팅 블룸 필터; 및상기 카운팅한 패킷 개수인 히스토리를 기반으로 상기 각 플로우가 일정 시간동안 플로우 테이블에 잔류하는 시간인 타임아웃을 동적으로 조절하는 타임아웃 계산 모듈을 포함하고,상기 2D 카운팅 블룸 필터는 송신자 MAC(Media Access Control)과 수신자 MAC을 행과 열의 2차원으로 구성하여 플로우를 나타내고, 패킷 개수를 카운트하여 저장하기 위해 각각의 하나의 셀이 1bit 이상의 메모리로 형성하고,상기 2D 카운팅 블룸 필터는,네트워크 플로우에 대한 패킷 개수 기록을 저장하기 위해, k개의 해시 함수와 길이 m을 갖는 배열로 형성되며, 삽입 연산과 체크 연산을 포함하고,상기 삽입 연산은,상기 상태 모듈에서의 플로우에 포함된 송신자 MAC 주소와 수신자 MAC 주소를 해시함수의 입력으로 사용하여 상기 해시함수의 결과 값을 산출하고, 상기 해시함수의 결과 값을 이용하여 상기 2D 카운팅 블룸 필터의 셀을 특정하는 연산이고,상기 체크 연산은,상기 삽입 연산과 동일하게 주어진 플로우에 해당하는 상기 2D 카운팅 블룸 필터의 셀을 찾아 셀에 저장된 값을 읽는 연산인 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 시스템
2 2
제1항에 있어서,상기 타임아웃은 절대 타임아웃(Hard Timeout) 또는 유휴 타임아웃(Idle Timeout)인 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 시스템
3 3
삭제
4 4
제2항에 있어서,상기 타임아웃 계산 모듈은 상기 절대 타임아웃을 플로우 엔트리가 삭제되는 평균적인 타임아웃의 시간을 나타내는 평균 타임아웃 + ceil(log2(패킷 개수)) + 1로 설정하고, 상기 유휴 타임아웃을 ceil(log2(패킷 개수 / 평균 타임아웃)로 설정하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 시스템
5 5
제4항에 있어서,상기 타임아웃 계산 모듈은 상기 2D 카운팅 블룸 필터에 저장된 플로우의 패킷 개수의 존재 유무에 따라 패킷 히스토리를 판단하고, 상기 패킷 히스토리가 존재하지 않는 경우, 모든 플로우에 대하여 상기 절대 타임아웃을 평균 타임아웃으로 설정하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 시스템
6 6
제4항에 있어서,상기 타임아웃 계산 모듈은 상기 2D 카운팅 블룸 필터에 저장된 플로우의 패킷 개수의 존재 유무에 따라 패킷 히스토리를 판단하고, 상기 패킷 히스토리가 존재하는 경우, 해당 플로우를 평균 타임아웃 + 플로우 룰에 매칭된 패킷 개수(히스토리)에 비례한 값으로 절대 타임아웃을 설정하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 시스템
7 7
제6항에 있어서,상기 타임아웃 계산 모듈은 플로우 룰에 매칭된 패킷 개수(히스토리)를 평균 타임아웃으로 나눈 값이 003e#= 1인 경우, 해당 플로우를 (플로우 룰에 매칭된 패킷 개수(히스토리)/평균 타임아웃)에 비례한 값으로 유휴 타임아웃을 설정하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 시스템
8 8
복수의 SDN(Software Defined Network) 스위치와 이를 제어하는 SDN 컨트롤러를 구비한 SDN를 위한 플로우 테이블 오버플로우 공격 방어 방법에 있어서,상기 SDN 컨트롤러는 상기 SDN 스위치로부터 모든 패킷을 수신하고, 플로우 엔트리를 생성하여 SDN 스위치에 전송하며, 상기 SDN 스위치로부터 패킷의 각 플로우의 플로우 테이블을 수신하여 상태 모듈로 전송하는 단계;상기 상태 모듈은 상기 수신한 플로우 테이블에서 플로우 엔트리의 스탯을 분석하여 그 분석 정보를 생성하여 2D 카운팅 블룸 필터로 전송하는 단계;상기 2D 카운팅 블룸 필터는 상기 상태 모듈로부터 수신한 분석 정보를 이용하여 각 플로우의 패킷 개수를 카운팅하는 단계; 및상기 카운팅한 패킷 개수인 히스토리를 기반으로 상기 각 플로우가 일정 시간동안 플로우 테이블에 잔류하는 시간인 절대 타임아웃(Hard Timeout) 또는 유휴 타임아웃(Idle Timeout)을 타임아웃 계산 모듈을 통해 동적으로 설정하는 단계를 포함하고,상기 2D 카운팅 블룸 필터는 송신자 MAC(Media Access Control)과 수신자 MAC을 행과 열의 2차원으로 구성하여 플로우를 나타내고, 패킷 개수를 카운트하여 저장하기 위해 각각의 하나의 셀이 1bit 이상의 메모리로 형성하고,상기 2D 카운팅 블룸 필터를 이용하여 패킷 개수인 히스토리를 저장하여 검색할 수 있는 단계를 더 포함하고,상기 2D 카운팅 블룸 필터는,네트워크 플로우에 대한 패킷 개수 기록을 저장하기 위해, k개의 해시 함수와 길이 m을 갖는 배열로 형성되며, 삽입 연산과 체크 연산을 포함하고,상기 삽입 연산은,상기 상태 모듈에서의 플로우에 포함된 송신자 MAC 주소와 수신자 MAC 주소를 해시함수의 입력으로 사용하여 상기 해시함수의 결과 값을 산출하고, 상기 해시함수의 결과 값을 이용하여 상기 2D 카운팅 블룸 필터의 셀을 특정하는 연산이고,상기 체크 연산은,상기 삽입 연산과 동일하게 주어진 플로우에 해당하는 상기 2D 카운팅 블룸 필터의 셀을 찾아 셀에 저장된 값을 읽는 연산인 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 방법
9 9
삭제
10 10
제8항에 있어서,상기 타임아웃 계산 모듈은 상기 절대 타임아웃을 플로우 엔트리가 삭제되는 평균적인 타임아웃의 시간을 나타내는 평균 타임아웃 + ceil(log2(패킷 개수)) + 1로 설정하고, 상기 유휴 타임아웃을 ceil(log2(패킷 개수 / 평균 타임아웃)로 설정하는 단계를 더 포함하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 방법
11 11
제10항에 있어서,상기 타임아웃 계산 모듈은 상기 2D 카운팅 블룸 필터에 저장된 플로우의 패킷 개수의 존재 유무에 따라 패킷 히스토리를 판단하는 단계; 및상기 패킷 히스토리가 존재하지 않는 경우, 모든 플로우에 대하여 상기 절대 타임아웃을 평균 타임아웃으로 설정하는 단계를 더 포함하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 방법
12 12
제10항에 있어서,상기 타임아웃 계산 모듈은 상기 2D 카운팅 블룸 필터에 저장된 플로우의 패킷 개수의 존재 유무에 따라 패킷 히스토리를 판단하는 단계; 및상기 패킷 히스토리가 존재하는 경우, 해당 플로우를 평균 타임아웃 + 플로우 룰에 매칭된 패킷 개수(히스토리)에 비례한 값으로 절대 타임아웃을 설정하는 단계를 더 포함하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 방법
13 13
제12항에 있어서,상기 타임아웃 계산 모듈은 플로우 룰에 매칭된 패킷 개수(히스토리)를 평균 타임아웃으로 나눈 값이 003e#= 1인 경우, 해당 플로우를 (플로우 룰에 매칭된 패킷 개수(히스토리)/평균 타임아웃)에 비례한 값으로 유휴 타임아웃을 설정하는 단계를 더 포함하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 방법
14 14
제10항에 있어서,상기 SDN 컨트롤러는 상기 평균 타임아웃이 존재하지 않는 경우, 해당 플로우를 상기 절대 타임아웃으로 설정하는 단계를 더 포함하는 것을 특징으로 하는 SDN를 위한 플로우 테이블 오버플로우 공격 방어 방법
지정국 정보가 없습니다
패밀리정보가 없습니다
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 과학기술정보통신부 한국과학기술원 정보보호핵심원천기술개발(R&D) SDN 보안 기술개발