Smart Media Journal (스마트미디어저널)

THE KOREAN INSTITUTE OF SMART MEDIA (한국스마트미디어학회)
권호 표지

Sampling based Network Flooding Attack Detection/Prevention System for SDN

SDN을 위한 샘플링 기반 네트워크 플러딩 공격 탐지/방어 시스템

  • 이윤기 (전남대학교 전자컴퓨터공학부) ;
  • 김승욱 (전남대학교 전자컴퓨터공학부) ;
  • 부 둑 티엡 (전남대학교 전자컴퓨터공학부) ;
  • 김경백 (전남대학교 전자컴퓨터공학부)
  • Received : 2015.12.02
  • Accepted : 2015.12.28
  • Published : 2015.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, SDN is actively used as datacenter networks and gradually increase its applied areas. Along with this change of networking environment, research of deploying network security systems on SDN becomes highlighted. Especially, systems for detecting network flooding attacks by monitoring every packets through ports of OpenFlow switches have been proposed. However, because of the centralized management of a SDN controller which manage multiple switches, it may be substantial overhead that the attack detection system continuously monitors all the flows. In this paper, a sampling based network flooding attack detection and prevention system is proposed to reduce the overhead of monitoring packets and to achieve reasonable functionality of attack detection and prevention. The proposed system periodically takes sample packets of network flows with the given sampling conditions, analyzes the sampled packets to detect network flooding attacks, and block the attack flows actively by managing the flow entries in OpenFlow switches. As network traffic sampler, sFlow agent is used, and snort, an opensource IDS, is used to detect network flooding attack from the sampled packets. For active prevention of the detected attacks, an OpenDaylight application is developed and applied. The proposed system is evaluated on the local testbed composed with multiple OVSes (Open Virtual Switch), and the performance and overhead of the proposed system under various sampling condition is analyzed.

최근 SDN은 데이터센터 네트워크로 활발히 사용되고 있으며, 그 사용범위를 점진적으로 늘려나가고 있다. 이러한 새로운 네트워크 환경 변화와 함께, 네트워크 보안시스템을 SDN 환경 상에서 구축하는 연구들이 진행되고 있다. 특히 OpenFlow Switch의 포트를 통과하는 패킷들을 지속적으로 관찰함으로써 네트워크 플러딩 공격 등을 탐지하기 위한 시스템들이 제안되었다. 하지만 다수의 스위치를 중앙집중형 컨트롤러에서 관리하는 SDN의 특성상 지속적인 네트워크 트래픽 관찰은 상당한 오버헤드로 작용할 수 있다. 이 논문에서는 이러한 지속적인 네트워크 트래픽 관찰에 따른 오버헤드를 줄이면서도 네트워크 플러딩 공격을 효과적으로 탐지 및 방어 할 수 있는, 샘플링 기반 네트워크 플러딩 공격 탐지 및 방어 시스템을 제안한다. 제안된 시스템은 네트워크 트래픽을 주어진 샘플링 조건에 맞추어 주기적으로 관찰하고, 샘플링 패킷들을 분석하여 네트워크 플러딩 공격을 탐지하며, 탐지된 공격을 OpenFlow Switch의 플로우 엔트리관리를 통해 능동적으로 차단하다. 네트워크 트래픽 샘플링을 위해 sFlow agent를 활용하고, 샘플링된 패킷 정보를 소프트웨어적으로 분석하여 공격을 탐지하기 위해 오픈소스 기반 IDS인 snort을 사용하였다. 탐지된 공격의 자동화된 방어 기작의 구현을 위해 OpenDaylight SDN 컨트롤러용 어플리케이션을 개발하여 적용하였다. 제안된 시스템은 OVS (Open Virtual Switch)를 활용한 로컬 테스트베드 상에서 그 동작을 검증하였고, 다양한 샘플링 조건에 따른 제안된 시스템의 성능 및 오버헤드를 분석하였다.

Keywords

References

  1. 신명기, "ICT 전문가 인터뷰" 한국정보통신기술협회 TTA저널, 제 15호, pp. 14-15, 2014
  2. 이광수, 김광조, "SDN에서 Flow 기반 침입 탐지 시스템의 탐지 성능 개선 방법", 2014년 한국정보보호학회 동계학술대회, 2014
  3. R. Braga, E. Mota, and A. Passito, "Lightweight DDoS Flooding Attack Detection using NOX/OpenFlow", Proceeding of the 35th Annual IEEE Conference on Local Computer Networks, pp. 408-415, 2010.
  4. 하태진, 정치욱, Jargalsaikhan Narantuya, 안남원, 임 혁, 김종원, "sFlow를 이용한 네트워크 공격 탐지 시스템", 2014년 한국통신학회 하계학술대회, 2014.
  5. M. Nugraha, I. Paramita, A. Musa, D. Choi, and B, Cho, "Utilizing OpenFlow and sFlow to Detect and nMitigates SYN Flooding Attack", Journal of Korea Multimedia Society, Vol. 17, No, 8, pp. 988-994, 2014 https://doi.org/10.9717/kmms.2014.17.8.988
  6. 방기현, 최덕재, 방상원, "SDN 환경에서의 목적지 주소별 패킷 샘플링을 이용한 SYN Flooding 공격 방어기법", 멀티미디어학회 논문지, 18권, 1호, pp. 35-41, 2015
  7. 이종엽, 윤미선, 이 훈, "DoS 공격의 유형 분석 및 탐지 방법", in KNOM Review, 2004.
  8. Nhu-Ngoc Dao, Junho Park, Minho Park, and Sung rae Cho, "A Feasible Method to combat against DDoS Attact in SDN Network", in Proceedings of ICON 2015, 2015
  9. Zhengyang Xiong, "An SDN-based IPS Development Framework in Cloud Networking Environment", master thesis, 2014
  10. Martin Andreoli Lopez, Otto Carlos M. B. Duarte. "Providing Elasticity to Intrusion Detection Systems in Virtualized Software Defined Networks," ICC 2015, 2015
  11. 이윤기, 김승욱, 김경백, "SDN환경에서 네트워크 플러딩 공격 탐지 및 방어 시스템 구현", 2015년 한국스마트미디어학회 추계학술대회, pp. 294-297, 2015.