요약 |
본 발명은 TCP 연결의 스테이트풀 인스펙션에 있어서의 보안성능 향상방법에 관한 것으로서, TCP 연결(TCP connection)이 형성된 제1 호스트와 제2 호스트 간에 존재하는 스테이트풀 인스펙션 컴퓨터에서, 제1 호스트와 제2 호스트 간에 발생하는 새로운 TCP SYN 패킷마다 이에 대응하는 하나의 세션 엔트리를 만드는 제1단계와; 제1 호스트와 제2 호스트 간의 플로우에 대한 패킷이 스테이트풀 인스펙션 컴퓨터에 도착할 때마다 연결 진행의 상태를 갱신하는 제2단계와; 제2단계에서 갱신된 연결 진행의 소요시간이 소정의 타임아웃을 경과하였는지 여부를 판단하는 제3단계와; 제3단계에서 소정의 타임아웃(timeout)을 경과한 미완성(embryonic) 연결단계의 세션 엔트리를 제거하는 제4단계를 포함하여 이루어지며, 스테이트풀 인스펙션 컴퓨터의 메모리를 효율적으로 사용하고, 룩업 성능을 유지하며, 네트워크 공격 하에서도 스테이트풀 인스펙션이 계속 기능할 수 있게 됨으로써 스테이트풀 인스펙션 컴퓨터의 보안성능이 향상되는 효과를 얻을 수 있다.패킷 인스펙션, 세션 테이블 관리, TCP 재전송 시간 계산 알고리듬, 타임아웃
|