[논문]인공지능 기술을 이용한 NFV 환경에서의 DDoS 공격 탐지 연구

김현진; 박상호; 류재철

doi:10.9728/dcs.2018.19.4.837

[국내논문] 인공지능 기술을 이용한 NFV 환경에서의 DDoS 공격 탐지 연구
Research on DDoS Detection using AI in NFV 원문보기

디지털콘텐츠학회 논문지 = Journal of Digital Contents Society, v.19 no.4, 2018년, pp.837 - 844

김현진 (충남대학교 컴퓨터공학과) , 박상호 (지란지교소프트) , 류재철 (충남대학교 컴퓨터공학과)

초록
AI-Helper

최근 클라우드 기술은 물리적인 네트워크를 구축하지 않고, 동적으로 논리적인 네트워크를 구축할 수 있게 만들 수 있다는 특징으로 인해 각광받고 있다. 최근의 클라우드 분야의 연구에도 불구하고, 가입자가 공개적으로 VNF를 이용한 서비스를 제공 받을 수 있는 NFV 환경의 특성으로 공격의 타겟이 될 수 있기 때문에 가짜 VNF에 대한 식별과 개체 간의 통신 암호화에 대한 연구가 필요하다. 따라서 본 논문에서는 가짜 VNF를 탐지하고, VNF 간의 상호 인증을 통해서 통신 구간의 보안성을 향상시킬 수 있는 Virtual PKI를 이용한 보안 메커니즘을 제안한다. 그리고 NFV 환경에서 DDoS 공격에 대한 공격의 탐지율을 향상시키기 위한 다수의 인공지능 알고리즘을 비교 분석함으로써 공격탐지에 효과적인 인공지능 알고리즘을 도출하였다.

Abstract ▼ AI-Helper

Recently, the cloud technology has made dynamical network changes by enabling the construction of a logical network without building a physical network. Despite recent research on the cloud, it is necessary to study security functions for the identification of fake virtual network functions and the encryption of communication between entities. Because the VNFs are open to subscribers and able to implement service directly, which can make them an attack target. In this paper, we propose a virtual public key infrastructure mechanism that detects a fake VNFs and guarantees data security through mutual authentication between VNFs. To evaluate the virtual PKI, we built a management and orchestration environment to test the performance of authentication and key generation for data security. And we test the detection of a distributed denial of service by using several AI algorithms to enhance the security in NFV.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 위의 보안위협을 방지하기 위해서 가상환경을 고려한 Virtual PKI(Public Key Infrastructure), 즉 vPKI를 기반으로 EM과 VNF, VNF 간의 상호인증과 VNF 간의 데이터 전송 과정에 서의 암호화를 수행하는 보안 메커니즘을 제안한다.
따라서 가상화된 환경에서는 기존의 PKI가 경량화한 형태로 설치되어야 한다. 본 논문에서는 MANO 기반의 가상환 경에 적합한 가상화된 vPKI (Virtual PKI)를 제안하여 기존의 MANO 기능을 변경하지 않으면서 상호인증 및 데이터 통신 암호화를 보장할 수 있다.
가상화 기술의 발달로 많은 NFV에 대한 연구가 진행되고 있다. 본 논문에서는 NFV 환경에서 VNF의 인증 및 데이터 보안을 위한 vPKI를 제안했다. vPKI는 가상환경에 적합한 PKI로 인증서 기반의 상호인증을 수행하고, 보안 키를 이용하여 데이터 유출을 방지할 수 있는 메커니즘이다.

제안 방법

본 논문에서는 위의 보안위협을 방지하기 위해서 가상환경을 고려한 Virtual PKI(Public Key Infrastructure), 즉 vPKI를 기반으로 EM과 VNF, VNF 간의 상호인증과 VNF 간의 데이터 전송 과정에 서의 암호화를 수행하는 보안 메커니즘을 제안한다. 그리고 다수의 인공지능(AI, Artificial Intelligence) 알고리즘을 보안 메커니즘에 적용 및 비교․분석함으로써 효과적으로 DDoS 행위를 방지하는 알고리즘을 도출한다. 본 논문의 구성은 2장에서 관련연구로 PKI, 악성행위 및 다양한 인공지능기술을 알아보고, 3장에서 본 논문에서 제안하는 vPKI를 소개한다.
VNF A가 VNF B에게 랜덤 값과 A의 식별자를 전송하면, VNF B는 자신이 생성한 임의의 값과 자신의 식별자에게 서명을 하여 자신의 인증서와 함께 VNFM에게 전송한다. VNFM은 전송된 서명 SigA(rA,rB,B)과 인증서 CertB를 이용하여 VIM 내 인증서와의 일치 여부를 확인하다. 그리고 VM(Verification Module) 내 등록된 인증서인지 확인하여 서명 및 인증서를 검증한다.
VNFM은 전송된 서명 SigA(rA,rB,B)과 인증서 CertB를 이용하여 VIM 내 인증서와의 일치 여부를 확인하다. 그리고 VM(Verification Module) 내 등록된 인증서인지 확인하여 서명 및 인증서를 검증한다. B 과정은 VNF B를 인증하는 과정으로 A 과정과 동일하게 B에 대한 인증을 수행한다.
본 4 장에서는 2가지 시험을 통해서 vPKI의 성능을 시험하 였다. 첫 번째 시험에서는 PKI와 vPKI를 이용하여 VNF 인증에 소요되는 시간과 시스템 자원을 측정하였으며, 두 번째 시험에서는 DDoS 공격을 탐지하기 위해서 다양한 인공지능 알고리즘을 적용하고, 알고리즘 별 성능을 비교․분석하였다. 시험을 위해서 각 테넌트 별로 1개의 CPU와 2GB의 메모리를 할당한 가상머신 10개를 구동하였으며, 각 VM 당 한 개의 VNF를 구동했다.
첫 번째 시험에서는 PKI와 vPKI를 이용하여 VNF 인증에 소요되는 시간과 시스템 자원을 측정하였으며, 두 번째 시험에서는 DDoS 공격을 탐지하기 위해서 다양한 인공지능 알고리즘을 적용하고, 알고리즘 별 성능을 비교․분석하였다. 시험을 위해서 각 테넌트 별로 1개의 CPU와 2GB의 메모리를 할당한 가상머신 10개를 구동하였으며, 각 VM 당 한 개의 VNF를 구동했다.
테넌트 내 인증은 Sec_EM과 VNF간 인증, VNF들간의 인증을 수행한다. 인증 수단으로는 PKI 기반 인증서를 이용하였으며, 인증서 기반 인증에 소요되는 시간은 다음과 같다.인프라 외부에서 PKI 시스템을 위치시키고, 인증을 수행했을 때와 가상 환경에서 인프라 내부에 vPKI 시스템을 이용하여 인증을 수행했을 때, 인증에 소요되는 시간을 비교하였다.
인증 수단으로는 PKI 기반 인증서를 이용하였으며, 인증서 기반 인증에 소요되는 시간은 다음과 같다.인프라 외부에서 PKI 시스템을 위치시키고, 인증을 수행했을 때와 가상 환경에서 인프라 내부에 vPKI 시스템을 이용하여 인증을 수행했을 때, 인증에 소요되는 시간을 비교하였다. 인프라 외부에서는 인증 소요시간이 평균 0.
VNF 간에 발생할 수 있는 대표적인 DDoS 공격인 ICMP Flooding, SYN Flooding, UDP Flooding 공격의 탐지율을 측정 하기 위해서 테넌트 내 VNF 간 전송되는 트래픽의 통계 정보를 데이터 집합으로 활용하여 인공지능 알고리즘에 적용했다. 시험에 사용되는 알고리즘은 FarthestFirst, HierarchicalCluster, LVQ(Learning Vector Quantization)이며, 시험에 사용되는 트래픽은 다음의 표와 같다.
시험 트래픽은 한국에서 2009년에 발생한 7.7 DDoS 공격의 트래픽 정보[15]를 기반으로 시험에 사용할 트래픽에 대한 데이터 집합을 작성했다. 트래픽에 포함된 프로토콜은 ICMP, SYN, UDP이며, bps는 최대 200Kbps, pps는 최대 3Kpps이다.

데이터처리

해당 시험 트래픽의 DDoS 여부를 판별하고, 판별 결과가 실제 결과와 동일한지를 비교하는 방식으로 탐지율을 계산했으며, 데이터 셋의 개수를 증가시키면서 각 알고리즘 별로 계산된 탐지 오차를 비교했다.

이론/모형

Hierarchical Cluster 알고리즘은 분류할 그룹의 개수를 지정하지 않고, 데이터 분류를 수행하는 알고리즘이다. 즉, 특정 데이터들을 지정하고, 해당 데이터로부터 가까운 그룹과 병합(Agglomeration)하여 그룹을 확장하는 병합적 방법(Agglomerative Method)과 하나의 큰 그룹으로부터 기준에 따라 소규모 그룹으로 분류하는 분할적 방법 (Divisive Method)을 사용한다[13]. LVQ 알고리즘은 경쟁학습(Competitive learning) 방식을 이용하여 초기 가중치에 따라 입력 벡터를 군집화하는 지도학습(Supervised learning) 알고리즘이다.

성능/효과

첫 번째는 가상 엔터티 간의 상호 인증 과정이 확립되지 않았기 때문에 VNF와 EM 또는 VNF간간의 통신과정에서 가짜 VNF와 가짜 EM이 테넌트 내에 등록되어 멀웨어 및 봇넷을 이용하여 내부 인프라를 위협할 수 있다. 두번째로 VNF 간의 데이터 통신 과정에서 암호화가 수행되지 않기 때문에 가짜 VNF 및 위협으로부터 오염된 VNF로부터 통신 상 전송되는 데이터가 탈취될 수 있다. 마지막으로 다수의 VNF가 공격으로 인해 봇넷으로 감염된 경우, 다수의 트래픽을 일으키는 DDoS 공격과 같은 악성 행위로 인해 전체 서비스가 마비되는 피해를 입을 수 있다.
두번째로 VNF 간의 데이터 통신 과정에서 암호화가 수행되지 않기 때문에 가짜 VNF 및 위협으로부터 오염된 VNF로부터 통신 상 전송되는 데이터가 탈취될 수 있다. 마지막으로 다수의 VNF가 공격으로 인해 봇넷으로 감염된 경우, 다수의 트래픽을 일으키는 DDoS 공격과 같은 악성 행위로 인해 전체 서비스가 마비되는 피해를 입을 수 있다. 본 논문에서는 위의 보안위협을 방지하기 위해서 가상환경을 고려한 Virtual PKI(Public Key Infrastructure), 즉 vPKI를 기반으로 EM과 VNF, VNF 간의 상호인증과 VNF 간의 데이터 전송 과정에 서의 암호화를 수행하는 보안 메커니즘을 제안한다.
그리고 Farthest First 알고리즘이 Hierarchical cluster 알고리즘과 LVQ 알고리즘의 탐지율 오차보다 0.7%, 10.8% 우수했다.
그리고 인프라 외부와 가상환경에서 인증서 기반 인증을 수행할 때 소요되는 시스템 자원의 사용률을 비교한 결과, 인프라 외부에서 PKI 기반 인증을 수행할 때는 평균적으로 전체 시스템 자원 중 4.2%가 소요되었으며, 가상 환경에서도 마찬가지로 4.2%가 소요되었다. 즉, 정리하자면 외부에 PKI 시스템을 위치시키고, 인증을 수행하는 기존의 인증 시스템에 비해서 가상 환경의 인프라 내에 vPKI를 위치시키고 인증을 수행했을 경우 인증에 소요되는 시간은 0.
2%가 소요되었다. 즉, 정리하자면 외부에 PKI 시스템을 위치시키고, 인증을 수행하는 기존의 인증 시스템에 비해서 가상 환경의 인프라 내에 vPKI를 위치시키고 인증을 수행했을 경우 인증에 소요되는 시간은 0.31s가 더 소요되었으며, 시스템 자원 사용률은 두 가지 경우 동일했다.
각 알고리즘은 공통적으로 데이터 셋의 수가 많아질수록 탐지 정확도가 상승되었다. 알고리즘 별 탐지 오차 평균을 비교하면, Farthest First 알고리즘은 11.
각 알고리즘은 공통적으로 데이터 셋의 수가 많아질수록 탐지 정확도가 상승되었다. 알고리즘 별 탐지 오차 평균을 비교하면, Farthest First 알고리즘은 11.3%, Hierarchical cluster 알고리 즘은 12.0%, LVQ 알고리즘은 22.1%로 측정되었다. 그리고 Farthest First 알고리즘이 Hierarchical cluster 알고리즘과 LVQ 알고리즘의 탐지율 오차보다 0.
8% 우수했다. 그리고 각 알고리즘을 동작시켰을 때의 자원 점유율을 비교한 결과, 공통적으로 시스템 자원 1% 이내를 소모했다. Farthest First 알고리즘은 0.
따라서 종합하면 세가지 알고리즘 중 Farthest First 알고리즘이 Hierarichical clustering 알고리즘, LVQ 알고리즘보다 높은 탐지율을 가지면서 더 적은 CPU 자원을 소모한 것을 확인할 수있었다.
인증 소요시간은 기존 시스템에 비해 길었지만 테너트 별로 VNF가 제공하는 서비스에 따라서 동적으로 정책을 변경해야하는 NFV 특징상, vKI를 이용하면 서비스 별로 동적으로 적용되는 정책에 유연하게 대응할 수 있다. 그리고 오염된 VNF가 수행할 수 있는 VNF의 DDoS 공격을 탐지하기 위해서 적용한 알고리즘 중 Farthest First 알고리즘을 적용하면 그 외 알고리즘보다 적은 시스템 자원을 사용하여 높은 공격 탐지율을 얻을 수 있었다. 즉, vPKI를 이용하여 NFV 내 엔터티를 상호 인증 및 VNF 통신 과정 내 메시지를 암호화하고 , VNF에 대한 인공지능 기술을 이용하여 DDoS 공격을 탐지한다면 NFV 환경에서의 보안성을 향상시킬 수 있을 것이다.

후속연구

즉, vPKI를 이용하여 NFV 내 엔터티를 상호 인증 및 VNF 통신 과정 내 메시지를 암호화하고 , VNF에 대한 인공지능 기술을 이용하여 DDoS 공격을 탐지한다면 NFV 환경에서의 보안성을 향상시킬 수 있을 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	DDos공격 중 하나인 대역폭 고갈 공격에는 어떤 종류가 있는가?	같은 네트워크에 있는 다른 시스템까지 접속장애를 유발시킬 수 있기 때문에 파급효과가 큰 공격이다. 이 공격은 대량의 UDP 패킷을 전송하는 UDP Flooding, 대량의 ICMP 패킷을 이용한 ICMP Flooding 공격이 대표적이다[7]. 자원 고갈 공격은 TCP 패킷을 이용하여 초당 패킷 처리량을 증가시킴으로써 시스템의 CPU 부하를 증가시키는 공격이다.
	PKI란 무엇인가?	PKI는 인터넷과 같이 안전하지 않은 공중망 환경에서, 사용자들이 신뢰 기관으로부터 받은 공개키와 개인키 상을 사용하여 안전한 데이터 교환을 보장할 수 있는 프레임워크이다. PKI 는 인증기관인 CA(Certificate Authority), 등록기관인 RA(Registration Authority), 검증기관인 VA(Validation Authority)로 구성된다[1].
	PKI 기반 인증시 주의할 점은 무엇인가?	또한 개체 인증으로 획득한 상대방의 공개키는 데이터통신에 암호화 키로 활용될 수 있다[2]. PKI 기반 인증은 신뢰할 수 있는 인증기관으로부터 인증을 받아 상대방과의 안전한 통신을 보장받을 수 있는 기술이지만, PKI 구성 요소인 RA, CA, VA를 인프라 외부에 위치하는 기존의 시스템을 가상인프라 내 VNF 인증에 적용한다면 가상 인프라 내 공유자원의 소모와 함께 인증에 소요되는 오버헤드가 발생할 수있다[3]. 따라서 가상화된 환경에서는 기존의 PKI가 경량화한 형태로 설치되어야 한다.

참고문헌 (15)

Sanjeet Kumar Nayak, Sujata Mohanty and Banshidhar Majhi. "CLB-ECC: Certificateless Blind Signature Using ECC", Journal of Information Processing Systems(JIPS), Vol. 13, pp. 392-397, 2017.
Mihir Bellare, Anand Desai, David Pointcheval; Phillip Rogaway, "Lecture Notes in Computer Science", CRYPTO: Annual International Cryptology Conference, Vol. 1462, pp. 26-45, 1998.
Ki-Woong Park, Jaesun Han, JaeWoong Chun and Kyu Ho Park, "THEMIS: A mutually Verifiable Billing System for the Cloud Computing Environment", IEEE Transactions on Services Computing, Vol. 6, Issue 3, pp. 300-313, 2013.

상세보기
Saket Acharya and Namita Tiwari, "Survey Of DDoS Attacks Based On TCP/IP Protocol Vulnerabilities", IOSR Journal of Computer Engineering (IOSR-JCE), Vol. 18, Issue 3, pp. 68-76, 2016.
Won Min Kang, Seo Yeon Moon and Jong Hyuk Park, "An enhanced security framework for home applicances in smart home", Human-centric Computing and Information Sciences(HCIS), 2017.
Syed Mujtiba Hussain and Ghulam Rasool Beigh, "Impact of DDoS attack (UDP Flooding) on queuing models", 4th International Conference on Computer and Communication Technology (ICCCT), pp.210-216, 2013.
Neha Gupta, Ankur Jain, Pranav Saini and Vaibhav Gupta, "DDoS attack algorithm using ICMP flood", Computing for Sustainable Global Development(INDIACom), pp. 4082-4084, 2016.
Dimitrios Moustis and Panayiotis Kotzanikolaou, "Evaluating security controls against HTTP-based DDoS attacks", 4th International Conference on Information Intelligence, Systems and Applications (IISA), 2013.
Wei Chen and Dit-Yan Yeung, "Defending Against TCP SYN Flooding Attacks Under Different Types of IP Spoofing", Networking, International Conference on Systems and International Conference on Mobile Communications and Learning Technologies, 2006.
Nathan Keegan, Soo-Yeon Ji, Aastha Chaudhary, Claude Concolate and Byunggu Yu, "A survey of cloud-based network intrusion detection analysis", Human-centric Computing and Information Sciences, 2016.
U. Maulik and S. Bandyopadhyay, "Performance evaluation of some clustering algorithms and validity indices", IEEE Transactions on Pattern Analysis and Machine Intelligence, Vol. 24, Issue 12, pp.1650-1654, 2002.

상세보기
Sharmila and Mukesh Kumar, "An optimized farthest first clustering algorithm", Nirma University International Conference on Engineering (NUiCONE), 2013.
Seema Bandyopadhyay and E. J. Coyle, "An energy efficient hierarchical clustering algorithm for wireless sensor networks", INFOCOM, Vol. 3, pp.1713-1723, 2003.
R.Inokuchi and S. Miyamoto, "LVQ clustering and SOM using a kernel function", International Conference on Fuzzy System, Vol. 3, pp.1497-1500, 2004.
Sin-seok Seo, Young J. Won and James Won-Ki Hong, "Witnessing Distributed Denial-of-Service traffic from an attacker's network", Network and Service Management (CNSM), pp. 241-247, 2011.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증