SDN 환경에서의 협력적 QoS를 이용한 엔트로피 기반의 DDoS Attack 방어 기법

Abstract

현대 IT 정보기술 산업사회에서의 IT 인프라 네트워크의 중요성은 초고층 빌딩이 붕괴되지 않도록 강도 높은 기초공사를 실시하는 것과 마찬가지로 매우 중요한 뼈대 역할을 담당하고 있다. 성능적인 측면에서 고가의 Software, Hardware 등 고비용을 통한 High Performance를 충족시킬 수 있다. 하지만, 인프라 네트워크 구성의 소실 또는 장애가 발생을 하게 되면 서로 간의 통신이 마비 또는 지연되므로 High Performance Software와 Hardware는 무용지물이 될 수밖에 없다.

SDN 시장 수요는 2018년 8.8 USD Billion에서 2023년 28.9 USD Billion으로 약 3.3배 상승할 것으로 수요예측이 되고 있다. 이처럼 SDN의 IT 정보기술 Market 수요 요구의 증가와 함께 마찬가지로 DDoS 공격의 Frequency Factor 또한 정비례하게 연평균 복합성장률(CAGR)이 증가하고 있다.

기본적인 Threshold Bandwidth(대역폭) 임계치 값을 초과하였을 경우 Traffic을 단순히 제어하는 것이 아닌, Traffic Flow 데이터 분석을 통한 일시적인 Flow를 log 저장하고 데이터 수집을 하여 분석과 조회를 할 수 있는 Database 테이블 자원을 생성한다. 동일 Source IP, Destination IP, Source Port, Destination Port로 초 단위의 Timestamp를 기준으로 Counter 하여 1차 분석 테이블로 구분한다. 그리고 2차 데이터 분석을 진행한다. 총 4 군대의 Source IP 10.0.0.3, 10.0.0.4, 10.0.0.5, 10.0.0.6으로 공격 시도를 하였지만, CNT 집계 테이블에서는 지속적으로 공격을 시도한 10.0.0.3, 10.0.0.4에 대해서만 Abnormal 분류 판정을 확인할 수 있었다. 왜냐하면, Normal 분류를 받은 10.0.0.5와 10.0.0.6의 경우는 처음 공격을 시도하다가 공격을 멈춘 경우이며, CNT 집계의 기준 50 이상인 경우를 Abnormal로 판단하는 기준 때문이다.

그리하여, 추가적인 데이터 분석이 필요하며, 단발적인 공격 또한 잠재적인 공격지로 Source IP를 분류 및 분석할 수 있도록 집계 테이블에서의 집계 초 단위의 CNT값에 대한 확률분포P(x)를 Information H(x) 정보량으로 엔트로피 기반의 2차 데이터분석을 한다.

정보량은 확률분포 데이터양의 정보 파급력 또는 놀람의 정도로 정의한다. 정보량의 평균을 기준으로 정보량 Avg보다 낮으면 Hot, 높으면 Cold로 Status를 분류하여, CNT 집계 50 이하의 집계에서 1차 분석에서 Normal 판정을 받은 일시적이고 공격 잠재 가능성에 대한 탐지/차단의 판단 기준을 강화한다.

SDN Controller에서 직접 Open vSwitch로 연계하는 단일 Mitigation 방식으로 탐지 및 방어를 하는 경우는 DDoS Attack 이벤트 발생 인지 후 Flow Rule을 추가하여 공격지에 대하여 즉시 차단하는 장점이 있다. 반면에 단순한 임계치 값 도달의 1차적인 판단으로 차단을 실시한다. 또한 차단과 방어 가 반복 동작하게 되므로, Traffic의 불안정성 증가하고, SDN Controller의 불필요한 Resource 소모가 불가피하다. 본 논문에서 제안하는 시스템의 경우는 추가로 QoS Shaping Mitigation을 협력적으로 사용하여, 차단과 방어의 반복성을 개선하고, TCP/UDP Throughput의 처리량 증가, Data Loss의 감소와 함께 2차 DDoS 재공격에 대한 대응이 가능하다.

SDN 환경에서의 엔트로피 기반의 DDoS Attack Incoming Traffic Volume 유해 Traffic에 대한 탐지와 원천데이터를 이용한 집계 데이터베이스를 구현하여 Abnormal/Normal 판단기준을 강화 및 완화를 구현하였다. DDoS Attack 기준대비 TCP Throughput 8.49Gbit/s, UDP Throughput 3.76Mbit/s 향상하였고 Jitter(지연속도)/Loss(손실률)의 경우 각 1.812ms, 37.39% 감소하였다. 그리고 QoS Shaping 적용 후 임계치 설정값 이상으로 상승하지 못하였으며 지속적 해서 감시를 해야 하는 SDN Controller의 불필요한 Resource 소모 감소효과와 QoS Shaping과 Mitigation Application으로 DDoS Attack에 대해 협동적 방어를 확인하였다.

DDoS Attack 유해 Traffic에 대한 1차 Bandwidth 임계치 탐지와 함께 일시적인 Flow 데이터를 엔트로피 기반의 분석으로 2차 판단 기준의 정확성, 잠재성을 강화 분석한다. Defense Application이 동작 차단을 실시 이후 QoS Shaping 적용을 통한 재차 공격 방어를 개선한다. Software Application으로 배치프로그램을 구현하여 일시적인 Flow 원천 데이터를 데이터베이스로 저장하고 데이터분석과 QoS Shaping의 활용을 이용한 SDN 환경에서의 엔트로피 기반의 DDoS Attack 방어 기법 연구의 본 논문을 진행한다.; The importance of IT infrastructure networks in the modern IT information technology industrial society plays a very important backbone role, as is the case with intensive basic construction to prevent skyscrapers from collapsing. In terms of performance, it can satisfy high performance through high cost such as expensive software and hardware. However, the loss or failure of the infrastructure network configuration will cause communication to be paralyzed or delayed, leaving the High Performance Software and Hardware useless. Demand for the SDN market is forecast to rise about 3.3 times from 8.8 USD Bill in 2018 to 28.9 USD Bill in 2023. Similarly, as SDN's demand for IT information technology markets increases, the Frequency Factor of the DDoS attack is increasing in a proportionally compound annual growth rate (CAGR). If the basic Threshold Bandwidth threshold is exceeded, temporary flow through Traffic Flow data analysis is stored and data collected to create a database table resource for analysis and query. The same Source IP, Destination IP, Source Port, and Destination Port are counters based on Timestamp in seconds and classified into the primary analysis table. Then, conduct a secondary data analysis. Although a total of 4 troops attempted to attack with Source IP 10.0.0.3, 10.0.0.4 and 10.0.0.5 and 10.0.0.6, the CNT aggregation table was only able to confirm Abnormal classification decisions for 10.0.0.3 and 10.0.0.4 which attempted to attack continuously. This is because in the case of 10.0.0.5 and 10.0.0.6 normal classifications, the attack was stopped during the first attempt, and the criterion for determining the CNT count was Abnormal.

Therefore, additional data analysis is required, and the probability distribution P(x) for CNT values in seconds of aggregation in the aggregate table is performed for secondary data analysis based on entropy as the amount of information in Information H(x) so that the source IP can be classified and analyzed as a potential attack site.

The amount of information is defined as the spread of information or the degree of surprise in the amount of probability distribution data. Based on the mean of the amount of information, the Status is classified as Hot or Cold if it is lower than Avg, and the CNT aggregates of 50 or lower to reinforce the criteria for the determination of detection/blocking of transient and attack potentials that are judged normal in the primary analysis.

When detecting and defending with a single Mitigation method that links directly from the SDN Controller to the Open vSwitch, it is advantageous to immediately block the attack site by adding Flow Rule after recognizing the occurrence of a DDoS Attack event. On the other hand, blockage is performed as a primary judgment of reaching a simple threshold value. Also, since blocking and defense are repeatedly operated, instability of traffic is increased, and unnecessary resource consumption of SDN Controller is inevitable. For the system proposed in this paper, further QoS Shaping Mitigation can be used cooperatively to improve the repeatability of blocking and defense, to respond to secondary DDoS re-attack with increased throughput of TCP/UDP Throughput, and reduction of Data Loss.

An aggregate database using detection and source data for entropy-based DDoS Attack Incoming Traffic Volume harmful traffic in SDN environments was implemented to reinforce and mitigate Abnormal/Normal judgment criteria. TCP Throughput 8.49 Gbit/s, UDP Throughput 3.76 Mbit/s improved compared to DDoS Attack criteria, and Jitter/Loss decreased 1.812ms, 37.39%, respectively. In addition, the effects of reducing unnecessary resource consumption of SDN Controller, which failed to rise above the threshold setting after QoS Shaping application, and cooperative defense against DDoS Attack was verified with QoS Shaping and Mitigation Application.

With primary Bandwidth threshold detection for DDoS Attack Hazard Traffic, transient flow data is analyzed based on entropy-based analysis to reinforce the accuracy and potential of secondary judgment criteria. Once again, the Defense Application improves attack defense by applying QoS Shaping after it performs a lockout. Implementing a deployment program with software application, save temporary flow source data into a database and conduct this paper on the study of entropy-based DDoS Attack defense techniques in SDN environment using data analysis and utilization of QoS Shaping.