Augmented Switch based Defense Mechanism against Flooding Attack in SDN driven CDNi

Abstract

A new trend of Content Delivery Networks is becoming more and more popular for their efficient content delivery capabilities to the users and is also proposed as an integral part of the Software Defined Network (SDN) to give it a central view and better monitoring of the whole system. These next generation networks are also vital for the future requirements of the much promised Internet of Things. However, besides the blessing of being able to control the network better, it also brings issues of becoming an attractive target for network attackers whose main goal is to exhaust the network resources. In this case a possible attack approach is to over-flood the OpenFlow Switch tables which contain the routing information. The most common approach to distinguish such flooding attacks is to match them against profiles created for different flooding attack types. However, a number of types of flooding attacks is increasing day by day and giving rise to new hybrid attacks which are difficult to be distinguished when evaluated on the basis of previously defined attack profiles. The objective of this thesis paper is to extract useful information on the attack pattern to propose a new model based on classifying and declassifying traffic into efficient dimensions in order to distinguish it from normal Flash Crowd traffic using some specialized functions of our model. Besides that our model, supported by a keen traffic insight of original DDoS and Flash Crowd, is also further verified against machine learning classification techniques and concepts of correlation. Our results illustrate that the outcome of our proposed model yields enhanced results with minimal false positives and false negatives filtered through a two-step test to provide the best results. For our detection model, the thesis introduces a unique architectural technique to defend DDoS flooding attacks in SDN driven CDNi by the extraction of OpenFlow switch traffic features from the OpenFlow switch of the OpenFlow enabled SDN driven CDNi network. Thus OpenFlow protocol is used to identify the flows that create the flood following the insertion of security rules via a security module housed in the Application plane of the Controller. The security rules, thus, are deployed to prevent any new forms of flooding attacks by placing them into our detection algorithm. To the best of our knowledge this is the first work done on SDN driven CDNi to detect and defend flooding attacks leveraging the concepts of segregation and aggregation.;CDN(Contents Delivery Networks)은사용자들에게 효율적으로 콘텐츠를 전달하기 위한 네트워크로 새로운 트렌드로서 그 인기가 점차 높아지고 있다.최근에는 CDN이 SDN(Software Defined Network)과결합되면서 전체적인 시스템을 SDN을 통해 관리하고 모니터링할 수 있다는 장점을 갖게 되어 IoT (Internet of Things) 환경에서도 매우 중요한 역할을 수행할 것으로 예상되고 있다.그러나 특정 관리 포인트에서 네트워크를 좀 더 효율적으로 관리할 수 있다는 것은 관리 측면에서 장점으로 작용하는 동시에 해당 포인트가 공격자들에게 DDoS 공격의 대상이 될 수 있다는 위험성을내포한다.대표적으로 가능한 공격은 라우팅 정보를 담고 있는 오픈플로우 (OpenFlow) 스위치를 플러딩 (flooding) 공격의 대상으로 삼는 것이다.이러한 플러딩 공격은 일반적으로 기존의 플러딩 트래픽의 특성과 비교하여 찾아낼 수 있는데, 문제는 점점 다양한 형태의 플러딩 공격이 등장하고 있으며 이들이 서로 결합함으로써 기존의 특성만으로 공격트래픽을 걸러내기 어렵다는 점이다. 본 연구의 목적은 공격 패턴에 대한 유용한 정보를 추출하여 효율적으로 공격 패턴을 분류할 수 있는 새로운 모델을 제시하고, 모델의 특정 함수를 이용하여 정상적인 플래시 크라우드 (Flash Crowd) 트래픽과 플러딩 공격을 구분해내는 것이다. 본연구에서 제시된 모델은 DDoS와 플래시 크라우드에 대한 효과적인 분석을 포함하고 있을 뿐 아니라 기계학습 분류 (Classification) 기술과 연관 (Correlation)기법에 의해 그효율성이입증되었다.분석 결과, 제안 모델을 통해얻은 결과는 두 단계의 필터링을 통해 최소의 미탐 (False positive)및 오탐(False Negative)을나타내어 최고의 결과를 도출할 수 있음을 확인하였다.제안된 탐지모델은 SDN 기반 CDNi (Contents Delivery Networks Inter-connection) 네트워크의 오픈플로우 스위치로부터 트래픽 특성을 도출하여 DDoS 플러딩 공격을 탐지하는 계층적 기술을 제안한 것으로,이를 위해 오픈플로우 프로토콜을 사용하여 제어기 (Controller)의 응용층에 포함된 보안 모듈에 의해 플러드를 만들어내는 플로우 (Flow)를 탐지하도록 하였다.또한해당 보안 규정을 제안된 탐지 알고리즘에 추가함으로써 새로운 형태의 플러딩 공격에도 대응할 수 있도록 하였다. 본 연구는 SDN 기반의 CDNi 서비스에서 플러딩 공격을 탐지하기 위한 방안을 제안한 최초의 연구이며, 분리 (Segregation)와 취합 (Aggregation)의 개념을 통합하여 적용함으로서 그 효율성을 극대화하였다.