악성 IP 차단을 위한 최적 필터링

본 논문은 네트워크 운영자가 제한된 TCAM 자원을 활용해 악성 트래픽을 차단하고자 할 때, 어떤 필터를 선택하고 어떻게 배치해야 최적의 방어 효과를 얻을 수 있는지를 체계적으로 연구한다. 먼저, 악성 IP 주소 집합 BL 과 정상 주소 집합 G 을 정의하고, 각 주소 i 에 가중치 wi 를 부여한다. 악성 주소는 wi < 0 (차단 시 이득), 정상 주소는 wi > 0 (차단 시 손실) 로 모델링한다. 필터는 IP 프리픽스 p/l 을 차단하는 ACL 규칙이며, 하나의 필터는 해당 프리픽스에 포함된 모든 주소를 차단한다. 제한된 필터 수 Fmax 와 중복 차단을 방지하는 제약을 두고, 전체 비용 ∑ wi·x_{p/l} 을 최소화하는 최적화 문제를 수식화한다. 이 일반형은 다차원 배낭 문제와 동형이며, NP‑hard인 경우가 많지만 실제 네트워크 상황에 맞는 다섯 가지 특수 케이스를 도출한다. 1) **BLOCK‑ALL**: 모든 악성 주소를 차단해야 하는 경우. 목표는 정상 트래픽 손실을 최소화하는 것이다. 저자들은 LCP 트리(Longest Common Prefix Tree)를 구축해, 각 리프(악성 주소)에서 시작해 상위 프리픽스로 올라가면서 차단 효과와 손실을 비교한다. 가장 큰 이득을 주는 프리픽스를 선택하고, 필터 수가 Fmax 에 도달하면 종료한다. 이 알고리즘은 O(N) 시간에 최적해를 보장한다. 2) **BLOCK‑SOME**: 모든 악성을 차단할 필요가 없고, 비용 대비 효과가 큰 악성만 차단하고자 할 때. 여기서는 wi 의 절대값을 이용해 악성 주소의 “가치”와 정상 주소의 “비용”을 정량화한다. LCP 트리를 이용해 프리픽스별 b_{p/l} (차단된 악성 트래픽)와 g_{p/l} (차단된 정상 트래픽)를 계산하고, b_{p/l}·|w_{bad}| − g_{p/l}·w_{good} 가 최대가 되는 프리픽스를 선택한다. 동일하게 O(N) 시간에 최적해를 얻는다. 3) **TIME‑VARYING BLOCK‑ALL/SOME**: 블랙리스트가 시간에 따라 변하는 상황을 다룬다. 매 시점 Ti 에 새로운 블랙리스트 BL_{Ti} 가 주어지면, 이전 시점의 최적 해를 기반으로 LCP 트리에서 추가·삭제된 주소만 업데이트한다. 이 방식은 전체 문제를 다시 풀 필요 없이 ΔN (변화된 주소 수)만큼의 연산으로 해결 가능하게 만든다. 4) **FLOODING**: 대규모 DDoS 플러딩 공격을 방어한다. 각 주소 i 에 발생 트래픽 양을 wi (음수) 로 모델링하고, 차단되지 않은 트래픽 총합이 링크 용량 C 이하가 되도록 해야 한다. 이는 0‑1 배낭 문제와 동일해 NP‑hard임을 증명한다. 저자들은 pseudo‑polynomial DP를 설계해, 상태 DP