[논문]소프트웨어-정의 네트워크에서 분산형 서비스 거부(DDoS) 공격에 대한 탐지 기술 연구

김순곤

doi:10.17661/jkiiect.2020.13.1.81

[국내논문] 소프트웨어-정의 네트워크에서 분산형 서비스 거부(DDoS) 공격에 대한 탐지 기술 연구
A Study on the Detection Technique of DDoS Attacks on the Software-Defined Networks 원문보기

한국정보전자통신기술학회논문지 = Journal of Korea institute of information, electronics, and communication technology, v.13 no.1, 2020년, pp.81 - 87

김순곤 (School of Software Engineering, Joongbu University)

초록
AI-Helper

최근 네트워크 구성은 SDN/NFV 기반으로 쉽고 자유로운 네트워크 서비스 구성이 가능하도록 빠르게 전환중이다. SDN의 많은 장점과 적용에도 불구하고 분산형 서비스 거부(Distributed Denial of Service: DDoS) 공격과 같은 많은 보안 문제가 연구 이슈로 지속적으로 제기되고 있다. 특히, DDoS 공격의 효과는 훨씬 더 신속하게 나타나며 기존의 네트워크에 비하여 SDN에서는 더욱더 치명적인 피해를 발생시키고 있다. 본 논문에서는 SDN에서 DDoS 공격을 감지하고 완화하기 위해 엔트로피 기반 기법을 제안하고 실험을 통해 입증하였다. 본 논문에서 제안하는 기법은 단일 시스템에 대한 DDoS 공격을 탐지하고 시간 특성 기법을 활용하여 이러한 공격을 완화하도록 설계하였으며, 제안한 기법을 적용했을때 3.21%의 네트워크 혼잡도를 발생시키지만, 20(19.86)%의 패킷 분실률을 줄이는 효과를 실험을 통해 확인하였다.

Abstract ▼ AI-Helper

Recently, the network configuration is being rapidly changed to enable easy and free network service configuration based on SDN/NFV. Despite the many advantages and applications of SDN, many security issues such as Distributed Denial of Service (DDoS) attacks are being constantly raised as research issues. In particular, the effectiveness of DDoS attacks is much faster, SDN is causing more and more fatal damage. In this paper, we propose an entropy-based technique to detect and mitigate DDoS attacks in SDN, and prove it through experiments. The proposed scheme is designed to mitigate these attacks by detecting DDoS attacks on single and multiple victim systems and using time - specific techniques. We confirmed the effectiveness of the proposed scheme to reduce packet loss rate by 20(19.86)% while generating 3.21% network congestion.

주제어

표/그림 (6)

그림 그림 1. SDN 컨트롤 플레인과 데이터 플레인 Fig. 1. SDN Control plane and Data plane
그림 그림 2. 오픈플로우 프로토콜을 이용한 데이터 수집 과정 및 단계 Fig. 2. Data Collection Prodedure and Stage using OpenFlow Protocol
그림 그림 3. 감지 동작 알고리즘 Fig. 3. Detection Algorithm
그림 그림 4. 하향식 완화 과정 Fig. 4. Top-down Mitigation Process
그림 그림 5. 완화 단계 알고리즘 Fig. 5. Mitigation Process Algorithm
그림 그림 6. 링크 성능 Fig. 6. Link Throughput

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이러한 이유는 엔트로피 기반 기 법이 공격의 시간적인 특성을 고려하지 않아 공격 초기 에 공격을 완화하지 못하기 때문이다. 따라서 본 논문 에서는 SDN에서 DDoS 공격을 감지하고 완화하기 위 해 엔트로피 기반 기법을 제안하고 실험을 통해 입증하 는 것이다. 본 논문에서 제안하는 기법은 단일 및 다수 피해 시스템에 대한 DDoS 공격을 탐지하고 시간 특성 기법을 활용하여 이러한 공격을 완화하도록 설계되어 있다.
공격자는 SDN 네트워크의 취약성을 쉽게 악용하여 다양한 유형의 공격을 시작할 수 있으며 이를 완화하고 방어하기 위한 많은 기법들이 제안되었지만 공격 속도 가 매우 낮을 때 공격을 완화 할 수 있는 방안이 미흡한 상태이다. 본 논문에서는 SDN 컨트롤러에 대한 DDoS 공격을 탐지하고 완화하기 위해 시간 특성 기법을 적용 한 엔트로피 기반 기술을 제안하고 실험을 통해 검증하 였다. 본 논문에서 제안한 기법은 다양한 공격 시나리 오에서 SDN 네트워크의 단일 시스템에 대한 DDoS 공 격을 탐지할 수 있으며 제안된 기술을 적용하여 정상적 인 트래픽과 공격적인 트래픽을 효율적으로 구분할 수 있다.

가설 설정

최대 엔트로피는 각 수신 패킷이 서로 다른 호스트로 향할 때(공격이 없는 경우) 발생하며, 최소 엔트로피는 모든 패킷이 동일한 목적지로 향할 때(공격이 있는 경 우) 발생한다. 엔트로피 기반 기법에서는 해당 네트워크 내 모든 호스트가 비교적 동일한 트래픽 비율을 가진다 고 가정하며, 하나의 호스트에 트래픽이 증가할 때만 공격을 감지할 수 있다. 그러나 사실상, 악의적인 공격 자들은 쉽게 상이한 IP를 향해 다수의 트래픽 플로우를 발생시켜 여러 호스트들이 컨트롤러를 과부하 시킬 수 있다.

제안 방법

침입 테스트 툴인 Scapy[11]가 악성 및 정당한 두 가지 유형의 트래픽에 대한 UDP 패킷 생성을 위해 사용된 다. 7개 스위치와 8개 호스트를 포함하고 있는 트리 타 입 토폴로지가 적용되었으며, 본 실험 환경의 네트워크 구조상 루트 노드가 필요하므로 이 노드는 POX 컨트롤 러로 대변되었다. 실험을 위해 1부터 8까지의 호스트에 는 각각 xx.
첫 번째 조건에 서는 네트워크에 공격 트래픽 없이 운영하였으며, 본 논문에서 제안된 기법이 네트워크에 영향을 미치는지 여부를 확인하게 된다. 두 번째 조건에서는 정상 및 공 격 트래픽이 동시에 생성되는데 공격 트래픽은 총 트래 픽의 25% 정도에서 생성하여 본 논문에서 제안된 기법 이 이 비율을 식별해 낼 수 있는지 확인하는 실험을 진 행하였다. 두 번째 조건에서, 공격 트래픽은 0.
마지막으로 세 번째 카 운터는 윈도우 크기를 계산하는데 사용하며 실제 실험 과정에서는 윈도우 크기를 100 패킷 크기로 고정하여 엔트로피를 계산하였으며 감지 동작은 5개의 연속적인 윈도우 다음에 동작하도록 지정하였다. 따라서 최종적 으로 500개 이상의 패킷을 통해 감지하는 동작을 실험 하였다. 실제적인 감지 동작은 그림 3과 같이 패킷이 컨 트롤러에 도착했을 때, 타이머가 동작되며 타이머는 감 지 동작과 100개의 패킷을 모으는데 필요한 시간을 계 산하는데 필요하다.
1번부터 8까지 지정하여 실험하였으며 탄력적 으로 조정할 수 있도록 하였다. 마지막으로 세 번째 카 운터는 윈도우 크기를 계산하는데 사용하며 실제 실험 과정에서는 윈도우 크기를 100 패킷 크기로 고정하여 엔트로피를 계산하였으며 감지 동작은 5개의 연속적인 윈도우 다음에 동작하도록 지정하였다. 따라서 최종적 으로 500개 이상의 패킷을 통해 감지하는 동작을 실험 하였다.
따라서 본 논문 에서는 SDN에서 DDoS 공격을 감지하고 완화하기 위 해 엔트로피 기반 기법을 제안하고 실험을 통해 입증하 는 것이다. 본 논문에서 제안하는 기법은 단일 및 다수 피해 시스템에 대한 DDoS 공격을 탐지하고 시간 특성 기법을 활용하여 이러한 공격을 완화하도록 설계되어 있다.
본 논문에서 제안한 SDN 환경에서 엔트로피 기반의 DDoS 공격에 대한 감지 및 완화 기법은 데이터 수집, 감지, 완화 단계로 구성되어 있다.
본 논문에서 제안한 기법은 Mininet[9] 가상 네트워 크 환경을 활용하여 구현하였으며 Mininet은 가상 머 신 관련된 어플리케이션, 커널, 스위치를 제공하는 현실 적인 가상 네트워크를 지원한다. 추가적으로 POX가 네 트워크 컨트롤러로 이용되는 이유는 파이썬 기반 SDN 컨트롤 어플리케이션에 대한 오픈 소스 개발 플랫폼이 기 때문이다.
이 비교 결과에 따라서 공격여부를 결 정하고 감지한다. 이 연구에서는 수신되는 패킷을 측정 하는 무작위성을 활용하였으며, 무작위성을 측정하는 좋은 방법으로 엔트로피를 활용하였다. 엔트로피는 총 이벤트 수에 대하여 하나의 이벤트가 발생할 확률을 도 출하며 무작위성이 감소하면 엔트로피가 감소한다는 것 을 의미하고 있다.
이 과정을 별도로 두 번 이상 진행하였으며 첫 번째는 본 연구에서 제안된 기법을 적용하였다. 첫 번째 조건에 서는 네트워크에 공격 트래픽 없이 운영하였으며, 본 논문에서 제안된 기법이 네트워크에 영향을 미치는지 여부를 확인하게 된다. 두 번째 조건에서는 정상 및 공 격 트래픽이 동시에 생성되는데 공격 트래픽은 총 트래 픽의 25% 정도에서 생성하여 본 논문에서 제안된 기법 이 이 비율을 식별해 낼 수 있는지 확인하는 실험을 진 행하였다.
첫 번째 조건에서는 어떠한 악의적인 트래픽이 없이 UDP 패킷이 소스로부터 목적지에 전송하였다. 평균적 인 성능 비교는 본 연구에서 제안된 방법을 적용한 경 우의 성능이 94.
73 Mbits/sec 성능 값의 검증은 본 연구 방법을 적용했을 경우와 적 용하지 않았을 경우를 2회 이상 적용한 후의 평균값이 다. 특히, 발생되는 오버헤드 값의 실질적인 근거는 스 위치 노드에서 공격 감지에 소요되는 시간 비용과 감지 된 경우 완화 기술을 적용하기 위해 콘트롤 플레인에서 지연되는 값으로 실험과정에서 확인하였다.
본 논문에서 제안한 기법은 다양한 공격 시나리 오에서 SDN 네트워크의 단일 시스템에 대한 DDoS 공 격을 탐지할 수 있으며 제안된 기술을 적용하여 정상적 인 트래픽과 공격적인 트래픽을 효율적으로 구분할 수 있다. 특히, 완화 단계에서는 정상적인 트래픽에 미치는 요소를 제거하였고 공격 특성을 식별하기 위해 지속 시 간 매개 변수를 추출하여 시간 특성 기술을 사용하여 구현하였으며, 트래픽이 악성 트래픽으로 탐지 된 경우 트래픽을 삭제하도록 네트워크 스위치에 요청하는 모듈 을 추가하였다. 향후 지속적인 연구 진행을 위해 실제 적이고 확장 가능한 네트워크에서 본 연구에서 제안한 기술을 적용하여 UDP 플러딩 DDoS 공격으로부터 네 트워크를 처리하고 보호하기 위해 동적 네트워크에 적 용하는 연구를 진행하고자 한다.

대상 데이터

공격자들이 대량의 위조 IP 주소 출처로부터 네트워크를 공격할 수 있으므로 플로우 정보를 분석하는 감지 메커니즘이 견고하게 유 지되는 것이 필수적이다. 본 논문에서는 감지 동작을 위해 3개의 카운터를 이용한다. 첫 번째 카운터는 목적 지 IP 주소를 계산하기 위해 사용한다.
이 정보는 보안 커 뮤니케이션을 위한 보안 전송 계층 프로토콜을 통해 수 집된다. 실제 실험과정에서 수집되는 통계 자료들은 100 패킷의 고정된 윈도우 사이즈를 사용하여 컨트롤러 에 수집되도록 하였다. 100 패킷으로 설정한 근본적인 이유는 컨트롤러의 연산 오버헤드를 줄일 수 있으며 보 다 큰 윈도우 사이즈보다 더 정확한 결과를 제공하기 때 문이다.
실험에서 공격자는 도용 IP 주소 UDP 플러딩 공 격을 네트워크 내 여러 호스트를 대상으로 생성한다. 각 IP 주소가 xx.
엔트로피 기반으로 공격 탐지 스키마를 이용한 연구 가 [4]에서 제시되었다. 이 연구에서 스키마는 소스 포 트, 착신 포트, 소스 IP, 착신 IP 주소와 같은 4개 요소 에 근거하고 있다. 먼저, 작동 중인 로컬 IP 주소가 모 니터링 인터벌에 해당되는 특정 시간에 계산된다.

이론/모형

DDoS 공격 탐지를 위한 엔트로피 기반 기법은 [5] 에서 진행되었다. 이 방법은 무작위성을 활용하여 특정 호스트로 가는 수신 패킷의 수를 계산한 후, 이를 기준 값과 비교한다.
POX는 신속한 개발 및 프로토타이핑을 가능하게 하며 다른 타입의 컨트롤러보다 더 보편적으 로 사용되었다. 본 논문에서는 OpenFlow[10] 버전 1.1.0을 사용하였으며, 이러한 이유는 POX 컨트롤러 와 가장 호환성이 높은 버전이기 때문이다. 또한 오픈 가상 스위치(OVS)를 네트워크 스위치로 사용하였다.

성능/효과

SDN의 핵심인 컨트롤러가 공격을 받아 심각한 상황 을 유발하는 손실에 비해 충분히 감수할 수 있는 성능 감소로 판단된다.
58%이다. 그러므로, 제안 기법 실행 시 총 패킷 손실은 디폴트 기법보다 20(19.86)% 낮다. 본 논 문에서 제안된 기술에 적용된 POX 컨트롤러와 디폴트 POX 컨트롤로에 대한 평균적인 링크 성능은 그림 6과 같다.
실제로 본 논문에서 제안된 기법이 구현된 경우, 데이 터 수집 단계에서 일정 부분 오버헤드를 가지고 있으며 실제 네트워크상에서 네트워크의 혼잡을 발생시키는 요 인임을 확인하였다. 따라서, 본 논문에서 제안된 기술을 적용한 경우 기술을 적용하지 않은 경우에 비해 평균적 으로 3.21%의 네트워크 혼잡 오버헤드가 발생하는 것 을 확인하였다. 이러한 이유는 DDos의 공격을 감지하 고 완화 동작을 위해 일정한 오버헤드가 발생되지만, 이로 인해 예상 공격을 탐지하고 완화시키는 효과가 기대되므로 소비되는 trade-off로 간주하고 있다.
본 논문에서는 SDN 컨트롤러에 대한 DDoS 공격을 탐지하고 완화하기 위해 시간 특성 기법을 적용 한 엔트로피 기반 기술을 제안하고 실험을 통해 검증하 였다. 본 논문에서 제안한 기법은 다양한 공격 시나리 오에서 SDN 네트워크의 단일 시스템에 대한 DDoS 공 격을 탐지할 수 있으며 제안된 기술을 적용하여 정상적 인 트래픽과 공격적인 트래픽을 효율적으로 구분할 수 있다. 특히, 완화 단계에서는 정상적인 트래픽에 미치는 요소를 제거하였고 공격 특성을 식별하기 위해 지속 시 간 매개 변수를 추출하여 시간 특성 기술을 사용하여 구현하였으며, 트래픽이 악성 트래픽으로 탐지 된 경우 트래픽을 삭제하도록 네트워크 스위치에 요청하는 모듈 을 추가하였다.
실제로 본 논문에서 제안된 기법이 구현된 경우, 데이 터 수집 단계에서 일정 부분 오버헤드를 가지고 있으며 실제 네트워크상에서 네트워크의 혼잡을 발생시키는 요 인임을 확인하였다. 따라서, 본 논문에서 제안된 기술을 적용한 경우 기술을 적용하지 않은 경우에 비해 평균적 으로 3.
033의 속도(초당 30패킷)로 생성된다. 정상 트래픽은 9개 터 미널로부터 0.099초 간격으로 생성되어 25% 공격률이 달성되었다. 세 번째 조건에서는 정상 및 공격 트래픽 이 다시 생성하지만 공격 트래픽은 50% 속도로 생성되 었다.
첫 번째 조건에서는 어떠한 악의적인 트래픽이 없이 UDP 패킷이 소스로부터 목적지에 전송하였다. 평균적 인 성능 비교는 본 연구에서 제안된 방법을 적용한 경 우의 성능이 94.73 Mbits/sec 반면, 제안된 기술이 적 용되지 않은 경우 97.57 Mbits/sec 임을 확인하였다.

후속연구

특히, 완화 단계에서는 정상적인 트래픽에 미치는 요소를 제거하였고 공격 특성을 식별하기 위해 지속 시 간 매개 변수를 추출하여 시간 특성 기술을 사용하여 구현하였으며, 트래픽이 악성 트래픽으로 탐지 된 경우 트래픽을 삭제하도록 네트워크 스위치에 요청하는 모듈 을 추가하였다. 향후 지속적인 연구 진행을 위해 실제 적이고 확장 가능한 네트워크에서 본 연구에서 제안한 기술을 적용하여 UDP 플러딩 DDoS 공격으로부터 네 트워크를 처리하고 보호하기 위해 동적 네트워크에 적 용하는 연구를 진행하고자 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	SDN에서 발생되는 공격 방식엔 어떤 것들이 있는가?	일반적으로 SDN에서 발생되는 공격은 첫째,호스트 에 새로운 패킷이 도착하고 이 패킷이 스위치의 플로우 테이블에서 매칭되지 않는 경우, 둘째, 컨트롤러로 전송 되어 플로우 테이블에 플로우 입력 규칙을 생성하게 되 고 스위치 디바이스 테이블이 업데이트 된다. 이런 방 식으로 최종 사용자에게 높은 트래픽을 전송하고 다시 이 트래픽을 스위치 디바이스를 통해 컨트롤러로 전송 함으로써, 호스트를 통해 컨트롤러와 스위칭 디바이스 를 다운시킬 수 있다. 공격자들은 이를 악용하여 새로 운 패킷들로 구성된 높은 트래픽을 보내 SDN 컨트롤러 에까지 이르도록 하는 것이다.
	SDN 은 무엇인가?	또한 네트워크 정책 변경 및 확장에 대한 어려움으 로 인해 구조적 한계성을 가지고 있으므로 이러한 환경 변화와 다양한 요구에 따라 최근 네트워크 구성은 SDN/NFV 기반으로 쉽고 자유로운 네트워크 서비스 구성이 가능하도록 빠르게 급속하게 전환중이다. SDN(Software Defined Network)은 트래픽 경로를 지정하는 컨트롤 플레인과 트래픽 전송을 수행하는 데 이터 플레인으로 분리하고 OpenFlow 프로토콜과 같 은 개방형 API를 통해 네트워크의 트래픽 전달 동작을 소프트웨어 기반 컨트롤러에서 제어하는 접근 방식으로 서 스위치, 라우터와 같은 네트워크 장비 내에 해당 단 말의 동작을 제어하는 기능과 데이터를 전송하는 기능 을 모두 포함하는 기존 방식과 차별성을 가지고 있다 [1]. 하지만, SDN의 많은 장점과 적용에도 불구하고 분 산형 서비스 거부(Distributed Denial of Service; DDoS) 공격과 같은 많은 보안 문제가 연구 이슈로 제 기되고 있다.
	SDN에서 DDoS 공격을 감지하고 완화하기 위해 엔트로피 기반 기법을 사용한 결과는 어떻게 나타나는가?	본 논문에서는 SDN에서 DDoS 공격을 감지하고 완화하기 위해 엔트로피 기반 기법을 제안하고 실험을 통해 입증하였다. 본 논문에서 제안하는 기법은 단일 시스템에 대한 DDoS 공격을 탐지하고 시간 특성 기법을 활용하여 이러한 공격을 완화하도록 설계하였으며, 제안한 기법을 적용했을때 3.21%의 네트워크 혼잡도를 발생시키지만, 20(19.86)%의 패킷 분실률을 줄이는 효과를 실험을 통해 확인하였다.

참고문헌 (11)

Akhunzada A., Ahmed E., Gani A., Khan M. K., Imran M., and Guizani, S., "Securing software defined networks: taxonomy, requirements, and open issues", IEEE Communications Magazine, Vol. 53, No. 4, pp. 36-44, 2015.

상세보기
Scott-Hayward S., Natarajan S., and Sezer S., "A survey of security in software defined networks", IEEE Communications Surveys & Tutorials, Vol. 18, No. 1, pp. 623-654, 2016.

상세보기
Scott-Hayward S., O'Callaghan G., and Sezer, S, "SDN security: A survey. In Future Networks and Services (SDN4FNS)", 2013 IEEE SDN, pp. 1-7, 2013.
Wang R., Jia Z., and Ju, L., "An Entropy-Based Distributed DDoS Detection Mechanism in SDN", In Trustcom/BigDataSE/ISPA, 2015 IEEE, Vol. 1, pp. 310-317, 2015.
Mousavi S.M. and St-Hilaire M., "Early detection of DDoS attacks against SDN controllers", In Computing Networking and Communications (ICNC) International Conference, pp. 77-81, 2015.
Muhammad Nugraha, Isyana Paramita, Ardiansyah Musa, Deokjai Choi, Buseung Cho, "Utilizing OpenFlow and sFlow to Detect and Mitigate SYN Flooding Attack," Journal of Korea Multimedia Society, Vol. 17, No. 8, pp.988-994, Aug. 2014.

원문보기 상세보기
Dharma N. G., Muthohar M. F., Prayuda J. A., Priagung K., Choi, D., "Time-based DDoS detection and mitigation for SDN controller,". In Network Operations and Management Symposium (APNOMS 2015), pp. 550-553, Aug. 2015.
sFlow Version 5. [Online]. http://sflow.org/sflowversion5.txt, May 2017.
Mininet, http://mininet.org/, 2018, May.
Openflow, https://openflow.stanford.edu/display/Beacon/Home, 2018. May
Scapy. http://www.secdev.org/projects/scapy/, 2018, May.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증