Improving detection capability of flow-based IDS in SDN

Abstract

Intrusion Detection System (IDS)은 네트워크나 시스템에서 원하지 않은 행동이나 공격을 확인하고 보고하는 시스템이다. 일반적인 침입탐지 시스템은 네트워크 경계에 설치되어 외부망과 내부망 사이의 패킷 데이터를 모두 검사하는 방식을 사용하고 있다.

네트워크의 발달로 네트워크의 기능들이 통합되고, 넓은 범위의 네트워크를 통합하여 관리하는 과정에서 네트워크의 구조가 복잡해지고 있어, 기존의 외부망 탐지뿐만 아니라 내부망의 탐지 또한 요구된다. 그러나 내부망의 침입 탐지를 기존 방법인 packet-based IDS로 수행할 경우, 네트워크의 가용 대역폭의 감소를 유발하기 때문에 침입 탐지가 어려운 점이 있다.

sFlow, NetFlow와 같은 flow 기반 자료를 통한 flow-based IDS는 거대한 네트워크에서도 위와 같은 flow 기반 모니터링 툴에서 추출된 정보만을 이용해 공격 탐지가 가능해, 대규모 네트워크에서도 비교적 손쉽게 IDS를 구성할 수 있게 되었다.

그러나, flow-based detection은 공격을 분석하는 데 한계가 있다. 알려지지 않은 worm virus가 침입하고 있을 경우, IDS로 새로운 공격으로 탐지할 수 있으나, packet의 정보가 기록되기 않기 때문에, 새로운 공격에 대해서 내성을 갖기 어렵고, Honeypot과 같이 공격 정보를 수집하는 다른 시스템에 의존해야만 한다.

따라서, 본 논문에서는 기반 네트워크로서 Software Defined Network (SDN)를 이용하여 적은 네트워크 자원을 사용하면서, 탐지한 공격에 대해서 자세히 분석이 가능한 자료를 보관할 수 있도록 하는 방법을 제안한다. flow-based IDS를 이용하여 적은 오버헤드로 침입 탐지를 수행하고, 침입이 탐지될 경우 이후의 packet을 packet-based IDS로 보내 침입에 대해서 상세한 결과를 얻어, 공격에 대한 분석이 가능하도록 한다. 또한, 수동적인 대응만 할 수 있는 IDS 역할 뿐만 아니라 탐지한 침입의 차단이 가능한 IPS로서도 운용 이 가능하다.

제안한 방식의 실증을 위하여 SDN 컨트롤러로써 POX를 사용하였고, Mininet를 이용해 1,300개의 노드가 연결된 테스트베드를 구성하였다. 구현한 테스트 베드에 공개된 Dataset의 packet dump를 이용하여 제안한 방식이 정상적으로 동작하는 것을 확인하였다.