iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 29
1
Software Development

菸酒生 - Software Defined Network系列 第 29

SDN-Defense #Paper

Piggybacking Network Functions on SDN Reactive Routing: A Feasibility Study

tags: paper

Abstract

實現並評估 基於 piggybacking 入侵防禦系統: SDN-Defense

經由 university WiFi traffic traces 發現

  • 在 flow中 的前3個封包 可以偵測到 高達 73% 的惡意流量
  • 在 flow中 的前4個封包 可以偵測到 高達 90% 的惡意流量

再由 經驗的觀察
提出 當 flow 進來時 Forward(轉送) 前K個封包到增強版SDN Controller
進行 安全檢查

PS: K 為動態配置的參數

使用真實的 Wireless traces 表徵 SDN-Defense 的 cost-benefit trade-offs 並且 討論 潛在的可擴展性問題

最後 討論 藉由 提出的 piggybacking 方法 可以 enhance 其他哪些應用


三個貢獻

  1. 分析 296 GB
    1. 前3個封包 可以偵測到 高達 73% 的惡意流量
    2. 前4個封包 可以偵測到 高達 90% 的惡意流量
  2. 使用 Snort rules 執行 first K-packet inspection 並 評估
  3. 其他應用 : application identification & dynamic Traffic Dispersion Graph (TDG) generation 可被 piggybacking 給 enhance

Related Work

  • Network intrusion detection
    • Why Use Snort ?
      • A widely deployed , open-source , signatured based IDS
    • limitations of an IDS operating in the traditional network
      • ex: IDS only sees traffic from local links
  • Intrusion detection in SDN
    • 其他人做的
      • Syed : 有效率偵測 家用或是辦公網路的 網路異常
      • Giotis: 綜合 OpenFlow 與 sFlow 實現異常偵測 和 緩解
    • 與 論文提出不一樣之處
      • 類型侷限性
        • Others:
          • limited and narrow set of synthetically generated attack traffic (port scan,DoS)
        • Proposed Method
          • detailed analysis
            • 使用真實惡意流量
            • 44 種 威脅 類型 根據 wifi trace
    • 類似其他人的
      • Yoon:檢測第一個封包來判斷 並 決定 flow 是否需更進一步檢測以及 安裝 不同 forwarding rule 給 flow
        • 沒有 trace-based 的評估
        • 單一封包 對於 判斷 malicious 還不夠充足
    • More general and not tied to a particular deployment scenario

CASE STUDY: PIGGYBACKING IDS/IPS ON SDN REACTIVE ROUTING

  • base case : SDN controller/switches 沒有加入安全措施
    而 IDS/IPS 以 傳統方式 運行 <-- only monitor local link
  • SDN controller 裡其中一個功能就是 IPS (VNF) and co-located with the controller(?)
    • 如果 把所有流量丟Controller會導致 overhead
      • 盡量減少(?)

System Overview

Kth 被 檢查完 才會進行 forwarding rule 在 edge switch/router 的安裝

  • 由 幾個 挑選的 IDS/IPS rule 來檢查
  • 三個 IF
    • 如果封包是 善良的 還沒收集完 所有 flow 的 封包
      • 則 藉由 packet out 送到 對應 output port
        • 他想送到哪個 destination 就造正常送
    • 如果封包被偵測到是 惡意的
      • 則 丟掉封包 並 set up blocking rule
        • 以便 之後的封包 都丟掉
    • 如果 全部 packet(s) in flow 都被檢查完 發現是善良的
      • 則 安裝 rule 給 這類 flow 的
        • 由 switch level 處理

Feasibility Study

how K parameter affects the detection performance

  • 定義 flow 唯一單方向 5-tuples
    • protocol
    • source IP
    • source port
    • destination IP
    • destination port

  • 1a : dataset 中 flow size 分布
    • 有 96 % 的 flows 不超過 100 packets
    • average flow size = 53 packets
  • 1b :
    • trace 產生 1770 TCP alerts from 44 不同的 rules
      • triggerd by 1145 flows
    • rank rule
      • by 多少 flow(s) 觸發
    • 由 1b
      • top 4 most-frequently triggered rules
        • 偵測 超過 75 % 的惡意流量

        --- 接下來 專注於 4 rules --- 
        

重點提要:

截自: https://p4.org/assets/07-piggybacking-network-functions.pdf


Reference:


上一篇
一Ryu大師: REST API
下一篇
SDN-Defense + Snort 初步介紹
系列文
菸酒生 - Software Defined Network30

尚未有邦友留言

立即登入留言