Piggybacking Network Functions on SDN Reactive Routing: A Feasibility Study

tags: paper

Abstract

實現並評估 基於 piggybacking 入侵防禦系統: SDN-Defense

經由 university WiFi traffic traces 發現

• 在 flow中 的前3個封包 可以偵測到 高達 73% 的惡意流量
• 在 flow中 的前4個封包 可以偵測到 高達 90% 的惡意流量

再由 經驗的觀察
提出 當 flow 進來時 Forward(轉送) 前K個封包到增強版SDN Controller
進行 安全檢查

PS: K 為動態配置的參數

使用真實的 Wireless traces 表徵 SDN-Defense 的 cost-benefit trade-offs 並且 討論 潛在的可擴展性問題

最後 討論 藉由 提出的 piggybacking 方法 可以 enhance 其他哪些應用

三個貢獻

1. 分析 296 GB
   1. 前3個封包 可以偵測到 高達 73% 的惡意流量
   2. 前4個封包 可以偵測到 高達 90% 的惡意流量
2. 使用 Snort rules 執行 first K-packet inspection 並 評估
3. 其他應用 : application identification & dynamic Traffic Dispersion Graph (TDG) generation 可被 piggybacking 給 enhance

Related Work

• Network intrusion detection
  • Why Use Snort ?
    • A widely deployed , open-source , signatured based IDS
  • limitations of an IDS operating in the traditional network
    • ex: IDS only sees traffic from local links
• Intrusion detection in SDN
  • 其他人做的
    • Syed : 有效率偵測 家用或是辦公網路的 網路異常
    • Giotis: 綜合 OpenFlow 與 sFlow 實現異常偵測 和 緩解
  • 與 論文提出不一樣之處
    • 類型侷限性
      • Others:
        • limited and narrow set of synthetically generated attack traffic (port scan,DoS)
      • Proposed Method
        • detailed analysis
          • 使用真實惡意流量
          • 44 種 威脅 類型 根據 wifi trace
  • 類似其他人的
    • Yoon:檢測第一個封包來判斷 並 決定 flow 是否需更進一步檢測以及 安裝 不同 forwarding rule 給 flow
      • 沒有 trace-based 的評估
      • 單一封包 對於 判斷 malicious 還不夠充足
  • More general and not tied to a particular deployment scenario

CASE STUDY: PIGGYBACKING IDS/IPS ON SDN REACTIVE ROUTING

• base case : SDN controller/switches 沒有加入安全措施
  而 IDS/IPS 以 傳統方式 運行 <-- only monitor local link
• SDN controller 裡其中一個功能就是 IPS (VNF) and co-located with the controller(?)
  • 如果 把所有流量丟Controller會導致 overhead
    • 盡量減少(?)

System Overview

Kth 被 檢查完 才會進行 forwarding rule 在 edge switch/router 的安裝

• 由 幾個 挑選的 IDS/IPS rule 來檢查
• 三個 IF
  • 如果封包是 善良的 還沒收集完 所有 flow 的 封包
    • 則 藉由 packet out 送到 對應 output port
      • 他想送到哪個 destination 就造正常送
  • 如果封包被偵測到是 惡意的
    • 則 丟掉封包 並 set up blocking rule
      • 以便 之後的封包 都丟掉
  • 如果 全部 packet(s) in flow 都被檢查完 發現是善良的
    • 則 安裝 rule 給 這類 flow 的
      • 由 switch level 處理

Feasibility Study

how K parameter affects the detection performance

• 定義 flow 唯一單方向 5-tuples
  • protocol
  • source IP
  • source port
  • destination IP
  • destination port

• 1a : dataset 中 flow size 分布
  • 有 96 % 的 flows 不超過 100 packets
  • average flow size = 53 packets
• 1b :
  • trace 產生 1770 TCP alerts from 44 不同的 rules
    • triggerd by 1145 flows
  • rank rule
    • by 多少 flow(s) 觸發
  • 由 1b
    • top 4 most-frequently triggered rules
      • 偵測 超過 75 % 的惡意流量

        --- 接下來 專注於 4 rules --- 
        

重點提要:

截自: https://p4.org/assets/07-piggybacking-network-functions.pdf

Reference:

• https://github.com/cchliu/SDN-Defense
• http://conferences.sigcomm.org/sosr/2017/papers/sosr17-piggybacking.pdf