[go: up one dir, main page]

KR20170066907A - Software Defined Network based Network Flooding Attack Detection/Protection Method and System - Google Patents

Software Defined Network based Network Flooding Attack Detection/Protection Method and System

Info

Publication number
KR20170066907A
KR20170066907A KR1020150173129A KR20150173129A KR20170066907A KR 20170066907 A KR20170066907 A KR 20170066907A KR 1020150173129 A KR1020150173129 A KR 1020150173129A KR 20150173129 A KR20150173129 A KR 20150173129A KR 20170066907 A KR20170066907 A KR 20170066907A
Authority
KR
South Korea
Prior art keywords
attack
network
sdn
packet
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020150173129A
Other languages
Korean (ko)
Other versions
KR101772292B1 (en
Inventor
김경백
최덕재
Original Assignee
전남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전남대학교산학협력단 filed Critical 전남대학교산학협력단
Priority to KR1020150173129A priority Critical patent/KR101772292B1/en
Publication of KR20170066907A publication Critical patent/KR20170066907A/en
Application granted granted Critical
Publication of KR101772292B1 publication Critical patent/KR101772292B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템이 제공된다. 본 발명의 실시예에 따른 네트워크 플러딩 공격 탐지 및 방어 시스템은, SDN에 가해지는 네트워크 플러딩 공격 패킷을 샘플링하고, 샘플 패킷을 기반으로 네트워크 플러딩 공격을 탐지한다. 이에 의해, 패킷 샘플링 기반의 선택적 스위치 모니터링을 통해 모니터링 오버헤드를 감소시킬 수 있게 되고, 소프트웨어 공격 탐지 기반의 다양한 네트워크 플러딩 공격/공격자 탐지에 따른 확장이 용이하다.A software defined network based network flooding attack detection / prevention method and system is provided. The network flooding attack detection and defense system according to the embodiment of the present invention samples a network flooding attack packet applied to the SDN and detects a network flooding attack based on a sample packet. As a result, monitoring overhead can be reduced through optional switch monitoring based on packet sampling, and it is easy to expand due to various network flooding attacks based on software attack detection / attacker detection.

Description

소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템{Software Defined Network based Network Flooding Attack Detection/Protection Method and System}Software Defined Network Based Network Flooding Attack Detection / Protection Method and System

본 발명은 소프트웨어 정의 네트워크에 관한 것으로, 더욱 상세하게는 이 네트워크에 대한 플러딩 공격을 자동으로 탐지하고 방어하기 위한 방법 및 시스템에 관한 것이다.FIELD OF THE INVENTION The present invention relates to software defined networks, and more particularly to a method and system for automatically detecting and defending a flooding attack on this network.

SDN(Software Defined Network : 소프트웨어 정의 네트워크)는 OpenFlow에서 제공하는 개방형 API를 활용하는 네트워크 제어기를 이용하여, 네트워크의 구성 및 운영을 동적으로 자동 제어함으로써 고수준의 유연성을 제공하는 네트워크이다.SDN (Software Defined Network) is a network that provides high level of flexibility by dynamically controlling the configuration and operation of the network using a network controller that utilizes the open API provided by OpenFlow.

SDN의 높은 유연성을 통해, 네트워크 기반시설 구축에 필요한 고 비용 및 복잡성 문제를 해결하여 새로운 서비스를 시장에 제공하는 시간을 단축시킬 뿐만 아니라 혁신적인 네트워크 서비스를 제공하는데 큰 도움을 줄 것으로 기대되어, 다양한 미래 네트워크 솔루션을 위한 많은 연구가 진행되고 있다.With the high flexibility of SDN, it is expected to solve the high cost and complexity problems required to build a network infrastructure, helping to shorten the time to deliver new services to the market, as well as to provide innovative network services. Much research is under way for network solutions.

보안은 네트워크 운영에 있어 매우 중요한 요소로, 특히 서비스 거부 공격 (Denial of Service : DoS) 공격은 간단한 조작으로 네트워크에 대규모 트래픽을 발생시켜 공격을 당하는 컴퓨터 뿐만 아니라 전체 네트워크의 운용에 심각한 위협을 줄 수 있다.Security is a very important factor in network operation, especially Denial of Service (DoS) attacks can cause serious traffic to the network, have.

대표적인 네트워크 레벨의 서비스 거부 공격으로는 TCP SYN Flooding 공격, UDP Flooding 공격, ICMP Flooding 공격 등이 있다.Typical network-level denial-of-service attacks include TCP SYN flooding attacks, UDP flooding attacks, and ICMP flooding attacks.

TCP SYN Flooding 공격의 경우, TCP의 3-way handshake와 half-open 상태를 유지해야 하는 허점을 악용하여 공격당하는 컴퓨터의 네트워크 및 컴퓨팅 자원을 소모시키는 공격이다.In the case of TCP SYN Flooding attack, it consumes network and computing resources of attacked computer by exploiting TCP's 3-way handshake and loophole which must maintain half-open state.

UDP Flooding 공격과 ICMP Flooding 공격은 비 연결형 서비스인 UDP(User Datagram Protocol)와 ICMP(Internet Control Message Protocol) 패킷을 대량으로 생성하여 공격 대상 컴퓨터에게 전공하여 네트워크의 부하를 높이는 공격이다.UDP Flooding and ICMP Flooding attacks are attacks that increase the load on the network by creating large quantities of User Datagram Protocol (UDP) and Internet Control Message Protocol (ICMP) packets, which are connectionless services.

DoS 공격은 SDN 환경에도 치명적일 수 있다. SDN에서는, 현재 네트워크 스위치에서 이해하지 못하는 패킷이 감지될 경우, 해당 패킷은 네트워크 제어기에게 전달되어 처리 방법을 스위치에 설정하도록 한다. 따라서, 패킷의 정보를 변경시키는 IP Spoofing 기법을 혼용한 DoS 공격이 SDN에서 발생할 경우, 공격당하는 호스트 뿐만 아니라, SDN 네트워크 제어기의 컴퓨팅 자원을 소모시켜 전체 SDN 네트워크 운영에 악영향을 미칠 수 있다.DoS attacks can also be fatal to the SDN environment. In SDN, when a packet that is not understood by the current network switch is detected, the packet is transmitted to the network controller to set the processing method to the switch. Therefore, if a DoS attack using the IP spoofing technique that modifies information of a packet occurs in the SDN, the SDN network controller may consume computing resources as well as attacked hosts, thereby adversely affecting the operation of the entire SDN network.

기존의 네트워크 기반 시설에서 DoS 공격을 탐지하기 위해서는 스위치, 라우터 또는 서버를 지나는 패킷들을 수집하여 수집된 트래픽을 분석해야 한다. 패킷 수집이 어려울 경우 서버 측의 서비스 접근 로그를 수집하고 이를 통해 DoS 공격을 유추한다.In order to detect DoS attacks in existing network infrastructure, it is necessary to collect packets passing through a switch, router or server and analyze the collected traffic. If it is difficult to collect packets, it collects the service access log on the server side and deduce a DoS attack through it.

이러한 탐지 작업은 기존의 시스템에서 자동으로 수행될 수 있지만, 탐지된 DoS 공격의 방어를 위해서는 스위치나 라우터를 운용하는 ISP(Internet Service Provider)의 도움을 받아 해당 공격을 발생시키는 것으로 추정되는 호스트 또는 스위치 인터페이스의 트래픽을 접근 제어를 통해 막아주어야 하는 번거로움이 있다.Although this detection can be performed automatically in the existing system, it is necessary to protect the detected DoS attack by using a host or a switch that is estimated to generate the attack with the help of an ISP (Internet Service Provider) It is troublesome to prevent the interface traffic through access control.

SDN 환경에서 네트워크 제어기는 OpenFlow 개방형 API를 통해 네트워크 스위치의 정보 및 트래픽 정보를 상시 모니터링 할 수 있다. 이렇게 수집된 정보를 활용해 DoS 공격을 탐지하고, 탐지된 DoS 공격과 관련된 네트워크 플로우 트래픽의 접근을 자동으로 제어할 수 있다.In the SDN environment, the network controller can constantly monitor the information and traffic information of the network switch through the OpenFlow open API. The collected information can be used to detect DoS attacks and automatically control access to network flow traffic associated with detected DoS attacks.

하지만, 이러한 상시 모니터링을 수행할 경우, SDN 네트워크 제어기의 자원이 모니터링으로 소모됨에 따라, SDN 운영을 방해할 수 있다. However, when performing such on-the-fly monitoring, as the resources of the SDN network controller are consumed by the monitoring, it may interfere with the operation of the SDN.

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 모니터링을 위한 SDN 제어기의 자원 소모를 줄이고, 네트워크 공격 탐지 및 방어를 자동화하기 위한 샘플링 기반의 네트워크 플러딩 공격 탐지/방어 방법 및 시스템을 제공함에 있다.SUMMARY OF THE INVENTION The present invention has been made in order to solve the above problems, and it is an object of the present invention to provide a sampling-based network flooding attack detection / defense system for reducing resource consumption of an SDN controller for monitoring, Method and system.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, 네트워크 플러딩 공격 탐지 및 방어 시스템은, SDN(Software Defined Network)에 가해지는 네트워크 플러딩 공격 패킷을 샘플링하기 위한 패킷 샘플러; 및 샘플 패킷을 기반으로 네트워크 플러딩 공격을 탐지하는 IDS(Intrusion Detection System);를 포함한다.According to an aspect of the present invention, there is provided a network flooding attack detection and defense system, including: a packet sampler for sampling a network flooding attack packet applied to an SDN (Software Defined Network); And an IDS (Intrusion Detection System) for detecting a network flooding attack based on the sample packet.

그리고, 상기 패킷 샘플러는, 상기 SDN을 구성하는 스위치들에 설치된 패킷 샘플링 에이전트들로부터 패킷 샘플들을 수신할 수 있다.The packet sampler may receive packet samples from packet sampling agents installed in the switches constituting the SDN.

또한, 샘플링 주기는, 설정 및 조정 가능할 수 있다.Also, the sampling period can be set and adjusted.

그리고, 상기 IDS는, 네트워크 플러딩을 감지하기 위한 룰을 설정하고, 수집된 샘플 패킷을 기반으로 공격 이벤트를 생성할 수 있다.The IDS may set a rule for detecting network flooding and generate an attack event based on the collected sample packets.

또한, 본 발명의 일 실시예에 따른 네트워크 플러딩 공격 탐지 및 방어 시스템은, SDN을 제어하는 제어기; 및 네트워크 플러딩 공격을 자동으로 차단하기 위한 정책을 상기 제어기를 통해 상기 SDN에 적용하는 공격 자동 방어부;를 포함할 수 있다.Also, a network flooding attack detection and defense system according to an embodiment of the present invention includes: a controller for controlling an SDN; And an attack automatic defense unit for applying a policy for automatically blocking a network flooding attack to the SDN through the controller.

그리고, 본 발명의 일 실시예에 따른 네트워크 플러딩 공격 탐지 및 방어 시스템은, 탐지된 공격 이벤트를 저장하는 공격 이벤트 DB;를 더 포함하고, 상기 공격 자동 방어부는, 상기 공격 이벤트 DB에 공격 이벤트가 저장되었음을 인지하면, 자동으로 공격과 관련된 상기 SDN의 스위치에 네트워크 플로우를 차단할 수 있는 정책을 적용할 수 있다.The network flooding attack detection and defense system according to an embodiment of the present invention may further include an attack event DB for storing a detected attack event, and the attack automatic defense unit may include an attack event storage unit It is possible to apply a policy to automatically block the network flow to the switch of the SDN associated with the attack.

또한, 상기 공격 자동 방어부는, 공격 이벤트에서 정책을 생성하는데 필요한 파라미터들을 추출하고, 추출한 파라미터들과 SDN 토폴로지 정보를 분석하여, 탐지된 공격을 방어하기 위한 네트워크 플로우 차단 정책을 생성할 수 있다.In addition, the attack automatic defense unit may extract parameters necessary for generating a policy in an attack event, analyze the extracted parameters and SDN topology information, and generate a network flow blocking policy for defending the detected attack.

그리고, 상기 정책은, 상기 SDN을 구성하는 스위치들 중 차단될 스위치를 선택하는데 적용될 수 있다.The policy may be applied to select switches to be blocked among the switches constituting the SDN.

또한, 상기 공격 자동 방어부는, 상기 정책의 유효기간을 설정하고, 상기 정책에 의해 선택된 스위치들에 대해 네트워크 플로우 차단 정책을 적용할 수 있다.Also, the attack automatic defense unit may set the valid period of the policy, and apply the network flow blocking policy to the switches selected by the policy.

한편, 본 발명의 다른 실시예에 따른, 네트워크 플러딩 공격 탐지 및 방어 방법은, SDN(Software Defined Network)에 가해지는 네트워크 플러딩 공격 패킷을 샘플링하는 단계; 및 샘플 패킷을 기반으로 네트워크 플러딩 공격을 탐지하는 단계;를 포함한다.According to another aspect of the present invention, there is provided a network flooding attack detection and prevention method comprising the steps of: sampling a network flooding attack packet applied to an SDN (Software Defined Network); And detecting a network flooding attack based on the sample packet.

이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, 패킷 샘플링 기반의 선택적 스위치 모니터링을 통해 모니터링 오버헤드를 감소시킬 수 있게 되고, 소프트웨어 공격 탐지 기반의 다양한 네트워크 플러딩 공격/공격자 탐지에 따른 확장이 용이하다.As described above, according to the embodiments of the present invention, monitoring overhead can be reduced through selective monitoring of switches based on packet sampling, and various network flooding attacks based on software attack detection / easy expansion due to attacker detection Do.

또한, 본 발명의 실시예들에 따르면, 공격 이벤트 DB를 이용한 효과적 공격 이벤트 정보 관리 및 조회가 가능하고, 소프트웨어 정의 네트워크용 공격 자동 방어 소프트웨어를 이용한 자동 공격 방어가 가능하다.In addition, according to the embodiments of the present invention, it is possible to manage and inquire effective attack information using an attack event database, and to enable automatic attack defense using attack defense automatic defense software for software defined networks.

아울러, 본 발명의 실시예들에 따르면, 선택적 공격 차단 정책 적용에 따라, 스위치의 플로우 테이블 사용 효율을 높일 수 있고, 네트워크 정책 관리자를 이용해 IP Spoofing의 영향을 줄일 수 있다.In addition, according to embodiments of the present invention, it is possible to increase the use efficiency of the flow table of the switch according to the application of the selective attack blocking policy, and reduce the influence of IP spoofing using the network policy manager.

도 1은 본 발명의 일 실시예에 따른 SDN 기반 네트워크 플러딩 공격 탐지/방어 시스템을 도시한 도면,
도 2는 SDN용 공격 자동 방어 소프트웨어의 상세 구성을 도시한 도면, 그리고,
도 3은 SDN용 공격 자동 방어 소프트웨어가 탐지된 공격을 자동으로 방어하기 위해 수행하는 과정의 설명에 제공되는 흐름도이다.FIG. 1 illustrates an SDN-based network flooding attack detection / defense system according to an embodiment of the present invention; FIG.
FIG. 2 shows a detailed configuration of attack defense automatic defense software for SDN,
Figure 3 is a flow chart provided in the description of the process performed by the attack automatic defense software for SDN to automatically defend the detected attack.

이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.Hereinafter, the present invention will be described in detail with reference to the drawings.

도 1은 본 발명의 일 실시예에 따른 SDN(Software Defined Network) 기반 네트워크 플러딩 공격 탐지/방어 시스템을 도시한 도면이다.FIG. 1 is a diagram illustrating a Software Defined Network (SDN) based network flooding attack detection / defense system according to an embodiment of the present invention.

모니터링에 소요되는 SDN 제어기의 자원 소모를 줄이기 위해, 본 발명의 실시예에 따른 네트워크 플러딩 공격 탐지/방어 시스템은, 샘플링 기반으로 네트워크 플러딩 공격을 탐지한다. 또한, 본 발명의 실시예에 따른 네트워크 플러딩 공격 탐지/방어 시스템은, 네트워크 플러딩 공격의 탐지와 방어를 자동화하기 위한 구성을 갖추고 있다.In order to reduce resource consumption of the SDN controller required for monitoring, the network flooding attack detection / defense system according to the embodiment of the present invention detects a network flooding attack based on sampling. In addition, the network flooding attack detection / defense system according to the embodiment of the present invention has a configuration for automating the detection and defense of a network flooding attack.

이와 같은, 기능을 수행하는 본 발명의 실시예에 따른 네트워크 플러딩 공격 탐지/방어 시스템은, 도 1에 도시된 바와 같이, 패킷 샘플러(110), 소프트웨어 IDS(Intrusion Detection System)(120), 공격 이벤트 DB(130), SDN용 공격 자동 방어 소프트웨어(140) 및 SDN 제어기(SDN Controller)(150)를 포함한다.1, the network flooding attack detection / defense system according to an exemplary embodiment of the present invention includes a packet sampler 110, a software IDS (Intrusion Detection System) 120, DB 130, attack defense automatic defense software 140 for SDN, and SDN controller (SDN Controller)

이해와 설명의 편의를 위해, 도 1에는 본 발명의 실시예에 따른 네트워크 플러딩 공격 탐지/방어 시스템 외에, 하부에 SDN을 더 도시하였다. SDN은, OpenFlow 스위치(10)들로 구성되며, SDN 제어기(150)를 통해 운영된다.For ease of understanding and explanation, FIG. 1 shows SDN in addition to the network flooding attack detection / defense system according to an embodiment of the present invention. The SDN consists of OpenFlow switches 10 and is operated through the SDN controller 150. [

SDN 제어기(150)는 소프트웨어로 구현하며, 네트워크 운영자는 SDN 제어기(150)에서 제공하는 Web UI 또는 Consol UI를 활용해 네트워크를 운영할 수 있다.The SDN controller 150 is implemented in software, and the network operator can operate the network using the Web UI or Consol UI provided by the SDN controller 150.

전술한 바 있듯이, 본 발명의 실시예에 따른 네트워크 플러딩 공격 탐지/방어 시스템은, 스위치(10)를 통과하는 모든 패킷들을 모니터링 하지 않고, 주어진 조건에 따라 패킷을 샘플링한다.As described above, the network flooding attack detection / defense system according to the embodiment of the present invention does not monitor all the packets passing through the switch 10, but samples packets according to a given condition.

이를 위해, 모니터링 하고자 하는 스위치(10)에 선택적으로 패킷 샘플링 에이전트를 설치하여, 패킷 샘플들을 패킷 샘플러(110)에게 전달하도록 한다. 샘플링 주기는 필요와 요청에 따라 설정가능하며, 동적으로 설정하는 것도 가능하다.To this end, a packet sampling agent is selectively installed in the switch 10 to be monitored, and packet samples are transmitted to the packet sampler 110. The sampling period can be set according to need and demand, or it can be set dynamically.

소프트웨어 IDS(120)는 패킷 샘플러(110)에 수집된 패킷 샘플들을 분석하여, TCP SYN, ICMP, UDP를 악용한 네트워크 플러딩 공격이 있는지를 탐지한다. 구체적으로, 소프트웨어 IDS(120)는 TCP SYN, ICMP, UDP 네트워크 플러딩을 감지하기 위한 룰을 설정하여 놓고, 수집된 패킷을 기반으로 이벤트 메시지를 생성하는 방식으로 공격을 탐지한다.The software IDS 120 analyzes the packet samples collected in the packet sampler 110 to detect whether there is a network flooding attack that exploits TCP SYN, ICMP, or UDP. Specifically, the software IDS 120 sets up a rule for detecting TCP SYN, ICMP, and UDP network flooding, and detects an attack by generating an event message based on the collected packets.

탐지된 공격의 정보를 저장 및 관리하기 위해, 공격 이벤트 DB(130)를 운용한다. 소프트웨어 IDS(120)는 탐지된 공격의 정보를 공격 이벤트 DB(130)에 저장함으로써, 향후 보다 효율적인 공격 로그 관리 및 공격 대응을 가능하게 한다.In order to store and manage the information of the detected attack, the attack event DB 130 is operated. The software IDS 120 stores the information of the detected attack in the attack event DB 130, thereby enabling more efficient attack log management and attack countermeasure in the future.

탐지된 공격의 자동 방어를 위해 SDN용 공격 자동 방어 소프트웨어(140)을 이용한다. SDN용 공격 자동 방어 소프트웨어(140)는 공격 이벤트 DB(130)에 새로운 공격 이벤트가 저장되었음을 인지하면, 자동으로 공격과 관련된 스위치(10)에 관련 네트워크 플로우를 차단할 수 있는 플로우 정책을 적용한다.Attack defense automatic defense software (140) for automatic defense of the detected attack. The SDN attack defense automatic defense software 140 automatically applies a flow policy that can block the related network flow to the switch 10 related to the attack when it recognizes that a new attack event is stored in the attack event DB 130. [

이를 위해, SDN용 공격 자동 방어 소프트웨어(140)는 SDN 제어기(150)에서 제공하는 서비스 및 어플리케이션 인터페이스를 활용한다. SDN용 공격 자동 방어 소프트웨어(140)의 상세 구성을 도 2에 도시하였다.For this purpose, the attack defense automatic defense software 140 for SDN utilizes the service and application interface provided by the SDN controller 150. The detailed configuration of the attack defense automatic defense software 140 for SDN is shown in FIG.

도 2에 도시된 바와 같이, SDN용 공격 자동 방어 소프트웨어(140)는, 네트워크 플로우 정책 생성기(141), SDN 토폴로지 관리자(142), 네트워크 플로우 정책 관리자(143), 샘플링 에이전트 관리자(144), 공격 이벤트 DB 연결 관리자(145), SDN 제어기 연결 관리자(146) 및 사용자 인터페이스(147)를 포함한다.2, attack defense automatic defense software 140 for SDN includes a network flow policy generator 141, an SDN topology manager 142, a network flow policy manager 143, a sampling agent manager 144, An event DB connection manager 145, an SDN controller connection manager 146, and a user interface 147.

공격 이벤트 DB 연결 관리자(145)는 새로 탐지된 공격 정보를 공격 이벤트 DB(130)로부터 확보하기 위한 구성으로, 공격 이벤트 DB(130)에 새로이 저장된 공격 이벤트를 읽어들이기 위한 연결을 관리한다.The attack event DB connection manager 145 is configured to secure newly detected attack information from the attack event database 130 and manages the connection for reading the newly stored attack event in the attack event DB 130. [

SDN 제어기 연결 관리자(146)는 SDN 제어기(150)로부터 토폴로지 정보와 정책 정보를 가져오거나, 전달하기 위해 필요한 연결을 관리한다.The SDN controller connection manager 146 manages the connections needed to obtain or transfer topology information and policy information from the SDN controller 150.

SDN 토폴로지 관리자(142)는 SDN 제어기(150)로부터 수집한 OpenFlow 스위치(10)들의 정보와 사용자 호스트들의 정보를 수집하여, 전체 SDN에 대한 토폴로지 정보를 생성/관리한다.The SDN topology manager 142 collects the information of the OpenFlow switches 10 and the user hosts collected from the SDN controller 150 and generates / manages topology information for the entire SDN.

네트워크 플로우 정책 생성기(141)는 새로 탐지된 공격이 있을 경우 SDN 토폴로지 정보와 공격 이벤트 정보를 분석하여 공격을 방어하기 위한 네트워크 플로우 차단 정책을 생성한다.The network flow policy generator 141 analyzes the SDN topology information and the attack event information in the case of a newly detected attack, and creates a network flow blocking policy for protecting the attack.

네트워크 플로우 정책 생성기(141)에 의해 생성되는 정책은 모든 네트워크 스위치(10)들에 적용되는 것이 아니라, 네트워크 토폴로지 정보를 토대로 공격을 차단하기 위한 최적의 스위치(10) 만을 선택적으로 차단하기 위한 정책이다.The policy generated by the network flow policy generator 141 is not applied to all the network switches 10 but is a policy for selectively blocking only the optimal switch 10 for blocking an attack based on the network topology information .

네트워크 플로우 정책 관리자(143)는 공격 차단을 위해 생성된 네트워크 플로우 정책들을 관리한다. 특히, 네트워크 플로우 정책의 유효기간 및 정책이 적용된 스위치 정보들을 관리한다.The network flow policy manager 143 manages the network flow policies created for blocking the attack. In particular, the validity period of the network flow policy and the switch information to which the policy is applied are managed.

또한, IP Spoofing을 영향을 줄이기 위해, 네트워크 플로우 정책 관리자(143)는 SDN 제어기(150)에서 관리하는 홈 네트워크 도메인을 설정하여 해당 네트워크에서 생성되는 패킷들의 Source IP가 위조되었을 경우 해당 네트워크 플로우를 차단하는 네트워크 정책들을 관리한다.Also, in order to reduce the influence of IP spoofing, the network flow policy manager 143 sets a home network domain managed by the SDN controller 150, and when the source IP of the packets generated in the corresponding network is forged, To manage network policies.

샘플링 에이전트 관리자(144)는 공격 탐지 및 방어를 수행하고자 하는 네트워크 스위치(10)를 선별하고, 선별된 네트워크 스위치(10)에 패킷 샘플링 에이전트를 설치하는 작업을 관리한다.The sampling agent manager 144 manages the operation of selecting a network switch 10 to perform attack detection and defense and installing a packet sampling agent in the selected network switch 10.

사용자 인터페이스(147)는 SDN용 공격 자동 방어 소프트웨어(140)의 환경 설정과 조회 등을 수행하기 위한 수단이다.The user interface 147 is a means for performing environment setting, inquiry, and the like of the attack defense automatic defense software 140 for SDN.

도 3은 SDN용 공격 자동 방어 소프트웨어(140)가 탐지된 공격을 자동으로 방어하기 위해 수행하는 과정의 설명에 제공되는 흐름도이다.FIG. 3 is a flowchart provided for explaining a process performed by the SDN attack automatic defense software 140 to automatically defend the detected attack.

도 3에 도시된 바와 같이, 먼저, SDN용 공격 자동 방어 소프트웨어(140)의 공격 이벤트 DB 연결 관리자(145)가 공격 이벤트 DB(130)를 주기적으로 체크하여, 새로운 공격 이벤트가 발생하였는지 판단한다(S210).3, the attack event DB connection manager 145 of the SDN attack automatic defense software 140 periodically checks the attack event DB 130 to determine whether a new attack event has occurred S210).

S210단계에서 새로운 공격 이벤트가 발생한 것으로 판단되면(S220-Y), 네트워크 플로우 정책 생성기(141)는 공격 이벤트 정보에서 네트워크 정책을 세우기 위해서 필요한 MAC address, IP address, Port number들과 같은 파라미터들을 추출한다(S230).If it is determined in step S210 that a new attack event has occurred (S220-Y), the network flow policy generator 141 extracts parameters such as a MAC address, an IP address, and Port numbers necessary for establishing a network policy in the attack event information (S230).

그리고, 네트워크 플로우 정책 생성기(141)는, S230단계에서 추출한 파라미터들과 SDN 토폴로지 정보를 분석하여, 탐지된 공격을 방어하기 위한 네트워크 플로우 차단 정책을 생성한다(S240).Then, the network flow policy generator 141 analyzes the parameters extracted in step S230 and the SDN topology information, and creates a network flow blocking policy for defending the detected attack (S240).

차단 정책 생성 이후, 네트워크 플로우 정책 생성기(141)는 생성된 차단 정책이 적용될 스위치(10)들을 선택한다(S250). S250단계에서의 선택은, SDN 토폴로지 관리자(142)에 의해 생성/관리되는 SDN 토폴로지 정보를 참조로 이루어진다.After generating the blocking policy, the network flow policy generator 141 selects the switches 10 to which the blocking policy is to be applied (S250). The selection in step S250 is made with reference to the SDN topology information generated / managed by the SDN topology manager 142.

그리고, 네트워크 플로우 정책 관리자(143)는 차단 정책의 유효기간을 설정하고(S260), S250단계에서 선택된 스위치들에 대해 네트워크 플로우 차단 정책을 적용한다(S270).Then, the network flow policy manager 143 sets the valid period of the blocking policy (S260), and applies the network flow blocking policy to the switches selected in operation S250 (S270).

지금까지, SDN 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템에 대해 바람직한 실시예를 들어 상세히 설명하였다.So far, a preferred embodiment of the SDN-based network flooding attack detection / prevention method and system has been described in detail.

본 발명의 실시예에 따른 SDN 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템에 따르면, 패킷 샘플링 기반의 선택적 스위치 모니터링을 통해 모니터링 오버헤드를 감소시킬 수 있으며, 소프트웨어 공격 탐지 기반으로 다양한 네트워크 플러딩 공격/공격자 탐지에 따른 확장이 용이하다.According to the SDN-based network flooding attack detection / defense method and system according to the embodiment of the present invention, monitoring overhead can be reduced through optional switch monitoring based on packet sampling, and various network flooding attack / Extension by detection is easy.

또한, 공격 이벤트 DB(130)를 이용한 효과적 공격 이벤트 정보 관리 및 조회가 가능하고, SDN용 공격 자동 방어 소프트웨어를 이용한 자동 공격 방어가 가능하다.In addition, effective attack information management and inquiry using the attack event DB 130 can be performed, and automatic attack defense using the attack automatic defense software for SDN is possible.

나아가, 스위치를 선택적 공격 차단 정책 적용에 따라, 스위치의 플로우 테이블 사용 효율이 높으며, 네트워크 플로우 정책 관리자를 이용하여 IP Spoofing의 영향을 줄일 수 있다.Furthermore, according to the selective attack blocking policy of the switch, the use efficiency of the flow table of the switch is high, and the influence of IP spoofing can be reduced by using the network flow policy manager.

본 발명의 실시예에 따른 SDN 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템은, 클라우드 데이터 센터 등에서 활용될 수 있고, 인터넷 서비스 및 통신 서비스 등에도 활용가능하다.The SDN-based network flooding attack detection / defense method and system according to an embodiment of the present invention can be utilized in a cloud data center or the like, and can be utilized for an Internet service, a communication service, and the like.

SDN에서 보안 공격, 특히 네트워크 플러딩과 같은 간단하면서도 파급력이 높은 공격은 네트워크를 활용하는데 있어 반드시 해결해야할 문제 중 하나이며, 본 발명의 실시예에 따른 SDN 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템은 네트워크 플러딩을 자동으로 탐지하고 방어하는 기술로 로컬 네트워크 및 클라우드용 소프트웨어 방화벽 제품에 이용될 수 있다.A simple and high impact attack such as a network attack in the SDN is one of the problems to be solved in utilizing the network. The SDN-based network flooding attack detection / It is a technology that automatically detects and defends flooding, and can be used in software firewall products for local networks and in the cloud.

또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안 될 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes and modifications may be made by those skilled in the art without departing from the spirit and scope of the present invention.

110 : 패킷 샘플러
120 : 소프트웨어 IDS(Intrusion Detection System)
130 : 공격 이벤트 DB
140 : SDN용 공격 자동 방어 소프트웨어
150 : SDN 제어기110: packet sampler
120: Software Intrusion Detection System (IDS)
130: Attack event DB
140: Attack automatic defense software for SDN
150: SDN controller

Claims (10)

SDN(Software Defined Network)에 가해지는 네트워크 플러딩 공격 패킷을 샘플링하기 위한 패킷 샘플러; 및
샘플 패킷을 기반으로 네트워크 플러딩 공격을 탐지하는 IDS(Intrusion Detection System);를 포함하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
A packet sampler for sampling a network flooding attack packet applied to an SDN (Software Defined Network); And
And an IDS (Intrusion Detection System) for detecting a network flooding attack based on a sample packet.
청구항 1에 있어서,
상기 패킷 샘플러는,
상기 SDN을 구성하는 스위치들에 설치된 패킷 샘플링 에이전트들로부터 패킷 샘플들을 수신하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method according to claim 1,
Wherein the packet sampler comprises:
And receives packet samples from packet sampling agents installed in the switches constituting the SDN.
청구항 2에 있어서,
샘플링 주기는,
설정 및 조정 가능한 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method of claim 2,
In the sampling period,
Wherein the network flooding attack detection and defense system is configured and adjustable.
청구항 1에 있어서,
상기 IDS는,
네트워크 플러딩을 감지하기 위한 룰을 설정하고, 수집된 샘플 패킷을 기반으로 공격 이벤트를 생성하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method according to claim 1,
The IDS,
Setting a rule for detecting network flooding, and generating an attack event based on the collected sample packet.
청구항 4에 있어서,
SDN을 제어하는 제어기; 및
네트워크 플러딩 공격을 자동으로 차단하기 위한 정책을 상기 제어기를 통해 상기 SDN에 적용하는 공격 자동 방어부;를 포함하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method of claim 4,
A controller for controlling the SDN; And
And an attack automatic defense unit for applying a policy for automatically blocking a network flooding attack to the SDN through the controller.
청구항 5에 있어서,
탐지된 공격 이벤트를 저장하는 공격 이벤트 DB;를 더 포함하고,
상기 공격 자동 방어부는,
상기 공격 이벤트 DB에 공격 이벤트가 저장되었음을 인지하면, 자동으로 공격과 관련된 상기 SDN의 스위치에 네트워크 플로우를 차단할 수 있는 정책을 적용하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method of claim 5,
And an attack event DB for storing the detected attack event,
The attack auto-
Wherein a policy for blocking a network flow is automatically applied to a switch of the SDN related to an attack when it is recognized that an attack event has been stored in the attack event database.
청구항 6에 있어서,
상기 공격 자동 방어부는,
공격 이벤트에서 정책을 생성하는데 필요한 파라미터들을 추출하고, 추출한 파라미터들과 SDN 토폴로지 정보를 분석하여, 탐지된 공격을 방어하기 위한 네트워크 플로우 차단 정책을 생성하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method of claim 6,
The attack auto-
A network flow blocking policy for protecting a detected attack is generated by extracting parameters necessary for creating a policy in an attack event and analyzing extracted parameters and SDN topology information.
청구항 6에 있어서,
상기 정책은,
상기 SDN을 구성하는 스위치들 중 차단될 스위치를 선택하는데 적용되는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method of claim 6,
The policy includes:
Wherein the network flooding attack detection and defense system is applied to select a switch to be blocked among the switches constituting the SDN.
청구항 8에 있어서,
상기 공격 자동 방어부는,
상기 정책의 유효기간을 설정하고, 상기 정책에 의해 선택된 스위치들에 대해 네트워크 플로우 차단 정책을 적용하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 시스템.
The method of claim 8,
The attack auto-
Setting a valid period of the policy, and applying a network flow blocking policy to the switches selected by the policy.
SDN(Software Defined Network)에 가해지는 네트워크 플러딩 공격 패킷을 샘플링하는 단계; 및
샘플 패킷을 기반으로 네트워크 플러딩 공격을 탐지하는 단계;를 포함하는 것을 특징으로 하는 네트워크 플러딩 공격 탐지 및 방어 방법.
Sampling a network flooding attack packet applied to an SDN (Software Defined Network); And
Detecting a network flooding attack based on the sample packet; and detecting a network flooding attack based on the sample packet.
KR1020150173129A 2015-12-07 2015-12-07 Software Defined Network based Network Flooding Attack Detection/Protection Method and System Active KR101772292B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150173129A KR101772292B1 (en) 2015-12-07 2015-12-07 Software Defined Network based Network Flooding Attack Detection/Protection Method and System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150173129A KR101772292B1 (en) 2015-12-07 2015-12-07 Software Defined Network based Network Flooding Attack Detection/Protection Method and System

Publications (2)

Publication Number Publication Date
KR20170066907A true KR20170066907A (en) 2017-06-15
KR101772292B1 KR101772292B1 (en) 2017-08-29

Family

ID=59217752

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150173129A Active KR101772292B1 (en) 2015-12-07 2015-12-07 Software Defined Network based Network Flooding Attack Detection/Protection Method and System

Country Status (1)

Country Link
KR (1) KR101772292B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190029487A (en) * 2017-09-11 2019-03-20 숭실대학교산학협력단 Elastic intrusion detection system and method for managing the same
KR20190049322A (en) * 2017-11-01 2019-05-09 숭실대학교산학협력단 Forensic server and Method for identifying the cause of attack on software defined network
CN119276638A (en) * 2024-12-09 2025-01-07 之江实验室 A method and device for identifying bait hosts under link flooding attacks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104426731B (en) * 2013-08-23 2018-01-12 新华三技术有限公司 The method and apparatus that a kind of spanning tree calculates

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190029487A (en) * 2017-09-11 2019-03-20 숭실대학교산학협력단 Elastic intrusion detection system and method for managing the same
KR20190049322A (en) * 2017-11-01 2019-05-09 숭실대학교산학협력단 Forensic server and Method for identifying the cause of attack on software defined network
CN119276638A (en) * 2024-12-09 2025-01-07 之江实验室 A method and device for identifying bait hosts under link flooding attacks

Also Published As

Publication number Publication date
KR101772292B1 (en) 2017-08-29

Similar Documents

Publication Publication Date Title
US11563772B2 (en) Detection and mitigation DDoS attacks performed over QUIC communication protocol
US11729209B2 (en) Distributed denial-of-service attack mitigation with reduced latency
Giotis et al. Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments
Fadlullah et al. DTRAB: Combating against attacks on encrypted protocols through traffic-feature analysis
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US20180367566A1 (en) Prevention and control method, apparatus and system for network attack
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US12069092B2 (en) Network security attack detection and mitigation solution using honeypots
KR101156005B1 (en) System and method for network attack detection and analysis
KR20180052324A (en) Apparatus and method for detecting drdos
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Schehlmann et al. COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes
Sanjeetha et al. Mitigating HTTP GET FLOOD DDoS attack using an SDN controller
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
Saad et al. A study on detecting ICMPv6 flooding attack based on IDS
Munther et al. Scalable and secure SDN based ethernet architecture by suppressing broadcast traffic
KR101772292B1 (en) Software Defined Network based Network Flooding Attack Detection/Protection Method and System
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
Toprak et al. Detection of DHCP starvation attacks in software defined networks: A case study
Wibowo et al. Smart Home Security Analysis Using Arduino Based Virtual Private Network
Mohammadi et al. Practical extensions to countermeasure dos attacks in software defined networking
JP2006067078A (en) Network system and attack prevention method
Khellah Control plane packet-in arrival rate analysis for denial-of-service saturation attacks detection and mitigation in software-defined networks
Chang A proactive approach to detect IoT based flooding attacks by using software defined networks and manufacturer usage descriptions
Sinha et al. Synflowatch: An entropy-based live defense system against SYN spoofing DDoS attacks in hybrid SDN

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20151207

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20170113

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20170714

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20170822

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20170822

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20200729

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20210727

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20220726

Start annual number: 6

End annual number: 6