Modern network environments are constantly changing due to various reasons such as migration of virtualized hosts, movements of mobile devices, and changes in application / service lifecycle. In order to provide appropriate network security for these environments, security services must also be able to accommodate such changes in the network. To achieve this, security services typically adopt software-defined networking (SDN) and network function virtualization (NFV) techniques. Unfortunately, these approaches result in significant performance losses as follows. First, network bandwidth is greatly wasted due to redundant traffic routing. Second, since security services are processed in software, their performance is insufficient for handling advanced features such as DPI. Third, traffic is concentrated on specific nodes or links where security services are located, resulting in performance loss due to processing overhead and resource imbalance. This dissertation focuses on such performance issues found in the provision of security services in a dynamic network environment. As a solution to each problem, we propose 1) an architecture that integrates security services into a data plane (DPX), 2) a real-time programmable hardware regular expression processor (Reinhardt), and 3) a system for network resource and traffic distribution by traffic engineering (QoSE), and present their implementation and design. We expect this dissertation to contribute to the establishment of more secure and improved network infrastructure by presenting practical solutions for high-performance security services with modern network characteristics and increasing network traffic in mind.

최신 네트워크 환경은 가상화 호스트, 각종 모바일 장치의 등장, 그리고 서비스 라이프 사이클의 변화 등 여러가지의 이유로 그 위상이 더이상 고정적인 것이 아니라, 지속적으로 변화하는 형태가 되었다. 이러한 환 경에 부합하여 네트워크 보안을 적절하게 제공하기 위해서는 보안 서비스들 역시 네트워크의 변화를 수용할 수 있어야 한다. 이를 위해서 동적 네트워크 환경에서는 주로 소프트웨어 정의 네트워킹 (Software-defined networking) 및 네트워크 기능 가상화 (Network function virtualization) 기술을 응용하여 보안 서비스를 제공하는데, 이러한 방법은 다음과 같은 큰 성능상의 손실을 내포하고 있다. 첫째, 불필요한 트래픽 라우팅으로 인하여 네트워크 대역폭이 크게 낭비된다. 둘째, 소프트웨어 기반으로 작동됨으로서 DPI등과 같은 기능을 처리하기에는 성능이 불충분하다. 셋째, 보안 서비스가 위치한 일부 회선에 트래픽이 집중됨으로써, 트래픽간의 충돌 및 자원 불균형으로 인한 성능 손실이 발생하게 된다. 본 학위논문에서는 동적 네트워크 환경에서의 보안 서비스 제공에 있어서 발생하는 이러한 성능상의 문제점에 집중하여, 그에 대한 해결책으로서 1) 보안 서비스들을 데이터 평면에 통합한 아키텍쳐 (DPX), 2) 실시간으로 프로그래밍 가능한 하드웨어 정 규표현식 프로세서 (Reinhardt), 그리고 3) 트래픽 엔지니어링을 통한 네트워크 자원 및 트래픽 분산 시스템 (QoSE) 을 제안하고, 그 디자인과 구현에 대해서 제시하고자 한다. 우리는 본 학위논문이 오늘날 증가하는 네트워크 트래픽에 최신 네트워크 환경을 고려한 고성능 보안 서비스에 대한 실질적인 솔루션을 제시함에 따라 보다 안전하고 발전된 네트워크 인프라 구축에 기여할 수 있을 것이라 기대한다.