KR101665848B1 - Method and apparatus for effective intrusion detection in internal network - Google Patents

Method and apparatus for effective intrusion detection in internal network Download PDF

Info

Publication number
KR101665848B1
KR101665848B1 KR1020150014383A KR20150014383A KR101665848B1 KR 101665848 B1 KR101665848 B1 KR 101665848B1 KR 1020150014383 A KR1020150014383 A KR 1020150014383A KR 20150014383 A KR20150014383 A KR 20150014383A KR 101665848 B1 KR101665848 B1 KR 101665848B1
Authority
KR
South Korea
Prior art keywords
packet
attack
flow
intrusion
information
Prior art date
Application number
KR1020150014383A
Other languages
Korean (ko)
Other versions
KR20160093791A (en
Inventor
김광조
이동수
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR1020150014383A priority Critical patent/KR101665848B1/en
Publication of KR20160093791A publication Critical patent/KR20160093791A/en
Application granted granted Critical
Publication of KR101665848B1 publication Critical patent/KR101665848B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일 실시예에 따른 침입을 탐지하는 방법은, SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 단계; 상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계; 및 상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계를 포함할 수 있다.According to an embodiment of the present invention, there is provided a method for detecting an intrusion, the method comprising: receiving a flow periodically from an SDN switch in a SDN (Software Defined Network) environment; receiving flow statistics as an attack is detected; Transmitting flow information to the flow-based first IDS operating as an SDN Application upon receipt of the flow statistics, and detecting an intrusion based on the flow information; And transmitting the packet to the second IDS upon receipt of the packet including the IP address and port number from the flow information, and re-detecting the intrusion based on the information on the packet.

Description

내부망에서 효율적인 침입탐지 방법 및 장치{METHOD AND APPARATUS FOR EFFECTIVE INTRUSION DETECTION IN INTERNAL NETWORK}METHOD AND APPARATUS FOR EFFECTIVE INTRUSION DETECTION IN INTERNATIONAL NETWORK [

아래의 설명은 IDS(Intrusion Detection System)에 관한 것으로, 네트워크 내에서 침입 및 공격을 탐지하는 방법 및 장치에 관한 것이다.
The following description relates to an IDS (Intrusion Detection System) and relates to a method and apparatus for detecting intrusions and attacks in a network.

일반적인 상업 IDS에서는 패킷(Packet)의 내용에 기반한 IDS가 많이 설치되며, 외부 네트워크 경계에 설치되어 네트워크를 오가는 트래픽에 대한 침입 탐지를 수행할 수 있다. 하지만 패킷의 내용에 기반한 IDS는 오버헤드가 발생할 수 있다는 문제점이 있기 때문에 오버헤드를 줄이고자 할 경우, 패킷이 아닌 플로우(Flow)를 이용한 IDS를 보조적으로 활용하고 있다.In commercial commercial IDS, a lot of IDSs based on the contents of packets are installed, and it can be installed at the boundary of an external network to perform intrusion detection on the traffic passing through the network. However, since the IDS based on the contents of the packet has a problem that overhead may occur, the IDS using the flow instead of the packet is supplementarily used to reduce the overhead.

IDS에 많이 사용되고 있는 패킷 기반의 IDS는 네트워크에서 수집된 모든 패킷 정보를 분석 가능하다는 장점이 있지만, 내부망을 탐지할 경우에는 탐지하고자 하는 패킷이 모두 IDS를 거쳐 전송되어야 하므로 많은 부하가 발생한다는 단점이 있다. 또한, 모든 데이터를 탐지하고자 할 경우, 패킷 기반의 IDS는 네트워크 트래픽 또는 그 이상의 오버헤드를 차지하고, 일부 데이터만 탐지하고자 할 경우에는 탐지 대상의 누락이 발생한다는 단점이 있다.The packet-based IDS, which is widely used in IDS, has an advantage in that it can analyze all the packet information collected in the network. However, when detecting the internal network, all the packets to be detected are transmitted through IDS, . In addition, when all data are to be detected, the packet-based IDS occupies overhead of the network traffic or more, and when it is desired to detect only a part of the data, the detection object is missing.

내부망의 탐지를 위해 플로우 기반의 IDS를 사용할 경우, 패킷 기반의 IDS와 비교하여 매우 적은 오버헤드로 침입 탐지 수행이 가능하나, 플로우에 담긴 정보가 IP, Port, 전송량 정도에 그쳐 실제 공격에 대한 정확한 분석에는 한계가 있다. 더욱 상세하게는, 공격을 탐지하였을 때 진짜로 공격이 발생하였는지 검증할만한 수단이 부족하고, 알려지지 않은 공격의 경우 분석이 필요하나 정보가 부족하여 추후 분석에 어려움이 있다.When using flow-based IDS for internal network detection, it is possible to perform intrusion detection with very little overhead compared with packet-based IDS. However, since the information contained in the flow is only about IP, port, and transmission amount, There is a limit to accurate analysis. More specifically, when an attack is detected, there is not enough means to verify whether an attack actually occurred, and analysis of an unknown attack is necessary, but there is a lack of information, which makes it difficult to analyze it later.

한국공개특허 제10-2014-0106235호는 외부로부터 수신되는 패킷을 처리하는 오픈플로우 스위치 및 패킷 처리 방법에 관하여 개시하고 있다.
Korean Patent Laid-Open No. 10-2014-0106235 discloses an open flow switch for processing a packet received from the outside and a packet processing method.

본 발명의 실시예들에 따르면, 침입 탐지 시스템은 네트워크 내부망의 침입 탐지를 수행할 때, 플로우 기반의 기술을 통해 적은 오버헤드로 침입 탐지를 수행할 수 있도록 제안한다. 또한, 침입 탐지 시스템은 공격을 탐지한 이후 공격에 대한 자세한 정보를 수집하기 위하여 네트워크의 라우팅 경로 등을 수정하여 공격 패킷에 대한 정보만을 따로 수집 및 분석이 가능하도록 제공한다.According to embodiments of the present invention, the intrusion detection system proposes to perform intrusion detection with a small overhead through flow-based technology when intrusion detection of a network internal network is performed. In addition, the intrusion detection system modifies the routing path of the network in order to collect detailed information about the attack after detecting the attack, so that only the information about the attack packet can be collected and analyzed separately.

본 발명의 실시예들에 따르면, 플로우 기반의 IDS의 결과물에 패킷 기반의 IDS를 추가적으로 적용하여 탐지 결과를 상세하게 제공함으로써 보안 대책을 수립할 수 있도록 하고, 상기 IDS의 오버헤드를 낮게 유지하기 위하여 SDN 상에서 복합 동작하는 IDS를 제안한다.
According to embodiments of the present invention, it is possible to establish a security measure by providing a detection result in detail by applying a packet-based IDS to the result of a flow-based IDS, and to keep the overhead of the IDS low We propose an IDS that operates in the SDN.

일 실시예에 따른 침입을 탐지하는 방법은, SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 단계; 상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계; 및 상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계를 포함할 수 있다.According to an embodiment of the present invention, there is provided a method for detecting an intrusion, the method comprising: receiving a flow periodically from an SDN switch in a SDN (Software Defined Network) environment; receiving flow statistics as an attack is detected; Transmitting flow information to the flow-based first IDS operating as an SDN Application upon receipt of the flow statistics, and detecting an intrusion based on the flow information; And transmitting the packet to the second IDS upon receipt of the packet including the IP address and port number from the flow information, and re-detecting the intrusion based on the information on the packet.

일측에 따르면, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계는, 비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단하는 단계를 포함할 수 있다.According to an aspect of the present invention, the step of detecting an intrusion based on the flow information may include determining whether an attack packet is a general packet from the flow information using anomaly detection.

또 다른 일측에 따르면, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계는, 상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시하는 단계를 포함할 수 있다.According to another aspect of the present invention, the step of detecting an intrusion based on the flow information includes the steps of: identifying an IP address and a port number from the flow information according to the determination that the flow information is an attack packet; Address, and forwarding the attack packet for the port number to instruct the packet to be transmitted to the second IDS.

또 다른 일측에 따르면, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계는, 상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청하는 단계를 포함할 수 있다.According to another aspect of the present invention, the step of re-detecting the intrusion based on the information on the packet may include analyzing the packet by forwarding the packet for the IP address and the port number, And requesting the SDN switch to block the attack packet if it is determined.

또 다른 일측에 따르면, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계는, 상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집하는 단계를 포함할 수 있다.According to another aspect of the present invention, the step of re-detecting the intrusion based on the information on the packet may include stopping the forwarding if the packet is an already attacked attack packet, And collecting information on the attack packet for a predetermined time.

또 다른 일측에 따르면, 상기 침입을 탐지하는 방법은, 상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는 단계 더 포함할 수 있다.According to another aspect of the present invention, there is provided a method of detecting an intrusion, the method comprising: determining whether a packet is false or not, analyzing a new attack from the packet, and maintaining information on the packet to supplement a system for an attack .

일 실시예에 따른 침입 탐지 시스템은, SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신하는 수신부; 상기 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 제1 탐지부; 및 상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 제2 탐지부를 포함할 수 있다.The intrusion detection system according to an embodiment includes: a receiving unit that receives a flow periodically from an SDN switch in a SDN (Software Defined Network) environment and receives flow statistics as an attack is detected; A first detection unit for transmitting the flow information to the flow-based first IDS operating as an SDN Application upon receipt of the flow statistics, and detecting an intrusion based on the flow information; And a second detection unit for transmitting the packet to the second IDS upon receipt of the packet including the IP address and the port number from the flow information, and re-detecting the intrusion based on the information about the packet.

일측에 따르면, 상기 제1 탐지부는, 비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단할 수 있다.According to an aspect of the present invention, the first detection unit may determine whether an attack packet is a general packet or not from the flow information using anomaly detection.

또 다른 일측에 따르면, 상기 제1 탐지부는, 상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시할 수 있다.According to another aspect of the present invention, the first detecting unit checks an IP address and a port number from the flow information according to the determination that the flow information is an attack packet, and notifies the SDN switch of the confirmed IP address and the port number To forward the attack packet to the second IDS.

또 다른 일측에 따르면, 상기 제2 탐지부는, 상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청할 수 있다.According to another aspect of the present invention, the second detecting unit analyzes the packet by forwarding a packet for the IP address and the port number, and transmits the attack packet to the SDN switch when the packet is determined to be an attack packet You can ask them to block.

또 다른 일측에 따르면, 상기 제2 탐지부는, 상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집할 수 있다.According to another aspect of the present invention, the second detection unit stops forwarding if the packet is an attack packet that has already been attacked, and when the packet is a new attack packet that has never been attacked, Information can be collected.

또 다른 일측에 따르면, 상기 침입 탐지 시스템은, 상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 상기 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는 것을 더 포함할 수 있다.
According to another aspect, the intrusion detection system may further include determining whether the packet is false or not, analyzing a new attack from the packet, and maintaining information about the packet for future system upgrades .

본 발명의 실시예들에 따르면 내부망의 침입을 탐지하는데 모든 Packet payload를 요구하지 않아 적은 오버헤드로 침입 탐지를 수행할 수 있다. 침입 탐지 시스템은 지속되는 공격 패킷에 대해 분석 및 저장이 가능하며, 추후 새로운 공격 패킷에 대한 분석을 통하여 알려지지 않은 공격에 대해 일시적인 방어 및 영구적인 내성을 지닐 수 있다. 또한, 침입 탐지 시스템은 플로우의 조절이 자유롭기 때문에 침입 차단 및 경감 정책을 유동적으로 구성할 수 있다. According to the embodiments of the present invention, since all packet payloads are not required to detect an intrusion of an internal network, intrusion detection can be performed with a small overhead. The intrusion detection system is capable of analyzing and storing persistent attack packets, and can analyze the new attack packets in the future to provide temporary protection and permanent immunity against unknown attacks. Also, since the intrusion detection system is free to control the flow, the intrusion blocking and mitigation policies can be flexibly configured.

본 발명의 실시예들에 따르면 상기 제안한 기법을 통하여 침입 탐지 및 분석이 완료된 경우, 침입 방지(Prevention) 또는 경감(Mitigation)을 위해 추가적인 공격 트래픽이 발생하지 않도록 할 수 있다.
According to embodiments of the present invention, when the intrusion detection and analysis is completed through the proposed technique, additional attack traffic can be prevented from occurring in order to prevent or mitigate the intrusion.

도 1은 일 실시예에 따른 침입 탐지 시스템의 개략적인 구조를 나타낸 것이다.
도 2는 일 실시예에 따른 침입 탐지 시스템의 동작을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 침입 탐지 시스템의 구조를 나타낸 블록도이다.
도 4는 일 실시예에 따른 침입 탐지 시스템의 단계별 패킷을 분류한 것을 나타낸 도면이다.
도 5는 일 실시예에 따른 침입 탐지 시스템의 IDS 기능을 비교한 것을 나타낸 표이다.
도 6은 일 실시예에 따른 침입 탐지 시스템의 침입 탐지 방법을 나타낸 흐름도이다.
도 7은 일 실시예에 따른 침입 탐지 시스템을 구현하기 위하여 간략하게 프로그래밍한 것을 나타낸 것이다.FIG. 1 shows a schematic structure of an intrusion detection system according to an embodiment.
2 is a view for explaining an operation of the intrusion detection system according to an embodiment.
3 is a block diagram illustrating a structure of an intrusion detection system according to an exemplary embodiment of the present invention.
FIG. 4 is a diagram illustrating classification of packets according to an embodiment of the intrusion detection system.
FIG. 5 is a table comparing IDS functions of an intrusion detection system according to an embodiment.
FIG. 6 is a flowchart illustrating an intrusion detection method of an intrusion detection system according to an embodiment.
FIG. 7 is a simplified program for implementing an intrusion detection system according to an embodiment.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.
Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.

도 1은 일 실시예에 따른 침입 탐지 시스템의 개략적인 구조를 나타낸 것이다.FIG. 1 shows a schematic structure of an intrusion detection system according to an embodiment.

침입 탐지 시스템은 플로우 기반의 IDS의 장점과 패킷 기반의 IDS의 장점을 접목시키는 IDS 방식을 제안한다. 침입 탐지 시스템은 SDN(Software Defined Network)에서 라우팅 테이블을 동적으로 관리할 수 있기 때문에, 패킷 기반 IDS로 보낼 데이터 또한 동적으로 관리할 수 있으며, 침입 탐지 후 차단 또한 가능한 이점이 있다. The intrusion detection system proposes the IDS method that combines the advantages of flow-based IDS and the advantages of packet-based IDS. Since the intrusion detection system can manage the routing table dynamically in the SDN (Software Defined Network), the data to be sent to the packet based IDS can also be managed dynamically, and the intrusion detection can also be blocked.

침입 탐지 시스템은 SDN환경에서, SDN Switches(110), Flow based IDS with SDN Controller(120) 및 Packet based IDS(130)으로 구성될 수 있으며, 사용자 단말(140, 141)의 동작을 통하여 침입을 탐지할 수 있다. 이러한 구성을 위해 침입 탐지 시스템은 플로우 기반의 IDS(120)와 패킷 기반의 IDS(130)는 도 1과 같이 설치될 수 있다.The intrusion detection system may include an SDN switch 110, a flow based IDS with SDN controller 120 and a packet based IDS 130 in the SDN environment. The intrusion detection system may detect an intrusion through operation of the user terminals 140 and 141 can do. For this configuration, the intrusion detection system may be installed with a flow-based IDS 120 and a packet-based IDS 130 as shown in FIG.

플로우 기반의 IDS(120)는 Braga 등의 구성과 같이 SDN Application으로서 동작하고, 패킷 기반의 IDS(130)는 구성에 따라 SDN Controller와 통합하거나, 분리될 수 있다. 각각의 경우 IDS 관리의 용이성, 자원의 분리 등의 이점이 있다.The flow-based IDS 120 operates as an SDN application as in the configuration of Braga, and the packet-based IDS 130 can be integrated with the SDN controller or can be separated according to the configuration. In each case, there are advantages such as ease of IDS management and separation of resources.

이 중 실질적인 침입 탐지로는 플로우 기반의 IDS(120)를 사용하며, 패킷 기반의 IDS(130)는 플로우 기반의 IDS(120)의 탐지 결과를 보조하는데 사용될 수 있다.The actual intrusion detection uses a flow-based IDS 120, and the packet-based IDS 130 can be used to assist in the detection result of the flow-based IDS 120.

예를 들면, 침입 탐지 시스템은 다음과 같이 구현될 수 있다. Mininet을 이용하여 가상 SDN 네트워크를 구성하고, POX나 다른 SDN Controller 툴을 이용하여 기본적인 테스트가 가능한 SDN 가상 네트워크를 구성할 수 있다. POX는 Logical Port 기능이 없는 OpenFlow 1.0버전만 지원하므로, 실제 구현시에는 Flow 기반 IDS, SDN Controller, Packet 기반 IDS를 같은 위치에 설치할 수 있다. For example, the intrusion detection system can be implemented as follows. You can configure a virtual SDN network using Mininet and configure an SDN virtual network for basic testing using POX or other SDN controller tools. POX supports OpenFlow 1.0 version without Logical Port function, so Flow-based IDS, SDN Controller, and Packet-based IDS can be installed in the same place.

또한, IDS의 탐지 알고리즘은 Flow 기반 IDS와 Packet 기반 IDS에 각각 다른 알고리즘을 적용하였다. Flow 기반 IDS에서는 scikit-learn에서 제공하는 기계 학습 알고리즘 중 생체 모방 알고리즘인 PSO를 적용할 수 있고, Packet 기반 IDS에서는 테스트에 사용할 Dataset을 수작업으로 signature를 입력할 수 있다. In addition, IDS detection algorithms are applied to flow - based IDS and packet - based IDS, respectively. In the flow-based IDS, PSO, a biomimetic algorithm among the machine learning algorithms provided by scikit-learn, can be applied. In the packet-based IDS, a signature can be manually input into a dataset to be used for testing.

도 2는 일 실시예에 따른 침입 탐지 시스템의 동작을 설명하기 위한 도면이다.2 is a view for explaining an operation of the intrusion detection system according to an embodiment.

OpenFlow는 SDN 프로토콜 중 가장 널이 쓰이는 프로토콜 중 하나이며, 도 2에서는 OpenFlow를 예를 들어 설명하기로 한다. OpenFlow Controller(220)에서 IDS의 각 모듈들은 OpenFlow Application으로 동작될 수 있다.OpenFlow is one of the most widely used protocols among the SDN protocols. In FIG. 2, OpenFlow will be described as an example. In the OpenFlow Controller 220, each module of the IDS can be operated as an OpenFlow Application.

OpenFlow Controller(220)는 Flow Information Logger(230), 플로우 기반의 IDS모듈(240), 패킷 기반의 IDS 모듈(250) 및 Packet Information Logger(260)로 구성될 수 있다.The OpenFlow Controller 220 may include a Flow Information Logger 230, a flow-based IDS module 240, a packet-based IDS module 250, and a Packet Information Logger 260.

Flow Information Logger(230)는 OpenFlow로부터 플로우 정보를 수집할 수 있고, 플로우 기반의 탐지를 위하여 feature를 가공하고 저장할 수 있다. 이때, Flow Information Logger(230)는 플로우당 패킷(Packet) 수, 플로우당 바이트(Byte) 수, 플로우당 연결 시간, Pair-Flow의 비율 등을 저장할 수 있다. Flow Information Logger 230 can collect flow information from OpenFlow and process and store features for flow-based detection. At this time, the Flow Information Logger 230 may store the number of packets per flow, the number of bytes per flow, the connection time per flow, the ratio of pair flows, and the like.

플로우 기반의 IDS모듈(240)은 플로우 정보로부터 이상치를 탐지할 수 있고, 가공된 플로우 feature를 이용하여 침입을 탐지할 수 있다. 또한, 플로우 기반의 IDS모듈(240)은 침입 탐지시 패킷 기반의 IDS로 패킷을 전송할 것을 요청할 수 있다. The flow-based IDS module 240 can detect anomalies from flow information and detect intrusions using the processed flow features. In addition, the flow-based IDS module 240 may request the packet-based IDS to transmit a packet upon intrusion detection.

패킷 기반의 IDS 모듈(250)은 시그니처 기반의 탐지를 수행할 수 있다. 패킷 기반의 IDS 모듈(250)은 플로우 기반의 IDS모듈(240)에 의하여 전송 요청된 패킷을 이용한 2차 탐지 및 분석을 수행할 수 있다. 이때, 패킷 기반의 IDS 모듈(250)에서 수행되는 탐지 결과는 플로우 기반의 IDS 탐지 결과에 영향을 주지 않는다.The packet based IDS module 250 may perform signature based detection. The packet-based IDS module 250 may perform the secondary detection and analysis using the packet requested to be transmitted by the flow-based IDS module 240. [ At this time, the detection result performed in the packet-based IDS module 250 does not affect the flow-based IDS detection result.

Packet Information Logger(260)는 플로우 기반의 IDS모듈(240)에서 수행된 탐지 결과 및 패킷 기반의 IDS 모듈(250)에서 수행된 탐지 결과를 취합하여 저장할 수 있다. 이때, Packet Information Logger(260)에서 상기 저장된 탐지 결과는 전문가에 의하여 분석이 가능하도록 제공될 수 있다. The Packet Information Logger 260 may collect and store the detection results performed in the flow-based IDS module 240 and the detection results performed in the packet-based IDS module 250. At this time, the stored detection result in the Packet Information Logger 260 may be provided to enable analysis by a specialist.

일 실시예에 따른 침입 탐지 시스템은 플로우 기반의 IDS를 통한 침입을 탐지할 수 있고, 침입 탐지 시 공격 패킷을 패킷 기반의 IDS로 우회시킬 수 있다. 또한, 침입 탐지 시스템은 패킷 기반의 IDS로 상세한 분석을 수행할 수 있게 된다. The intrusion detection system according to an embodiment can detect the intrusion through the flow-based IDS and can bypass the attack packet to the packet-based IDS when the intrusion is detected. In addition, intrusion detection systems can perform detailed analysis with packet-based IDS.

침입 탐지 시스템에서 각각의 IDS 모듈을 OpenFlow Application으로 설치할 수 있고, 도 7을 참고하면, 침입 탐지 시스템을 구현하기 위하여 프로그래밍한 것을 나타낸 것으로, Flow_removed 이벤트를 Flow 기반의 IDS로 연결시킬 수 있다. 이때, 침입 탐지 시스템은 플로우 정보를 지속적으로 수집할 수 있다(710). Each IDS module in the intrusion detection system can be installed as an OpenFlow Application. Referring to FIG. 7, the IDS module is programmed to implement an intrusion detection system. The flow_removed event can be connected to a flow-based IDS. At this time, the intrusion detection system can continuously collect flow information (710).

SDN 네트워크 내의 한 악의적인 노드가 공격을 시도하고자 한다고 가정하자. 침입 탐지 시스템에서 OpenFlow Switch는 통신 중인 플로우가 종료될 때, OpenFlow Controller를 통해 플로우 정보를 전송할 수 있다. 이때, Hard timeout이 있어 통신이 지속되더라도 플로우 종료는 지속적으로 발생할 수 있다. 플로우 기반의 IDS는 플로우 정보를 분석하여 공격을 탐지할 수 있다(720).Suppose a malicious node in the SDN network wants to attempt an attack. In the intrusion detection system, the OpenFlow Switch can transmit flow information through the OpenFlow Controller when the flow under communication is terminated. At this time, there is a hard timeout, and even if the communication continues, the flow termination may continuously occur. The flow-based IDS may analyze the flow information to detect an attack (720).

플로우 기반의 IDS는 공격이 발생함을 확인함에 따라 OpenFlow Switch에게 상기 공격 패킷을 포워딩하도록 요청할 수 있다. 이때, 공격에 대한 탐지와 관계없이 플로우 기반의 IDS는 침입 탐지를 계속적으로 수행하게 된다.The flow-based IDS may ask the OpenFlow Switch to forward the attack packet upon confirming that an attack has occurred. At this time, regardless of the detection of the attack, the flow-based IDS continuously performs the intrusion detection.

이후, 공격 패킷은 패킷 기반의 IDS로 포워딩되며, 패킷 기반의 IDS는 공격에 대한 상세 분석을 수행할 수 있다(730). 이때, 분석을 수행한 자료는 분석이 가능하도록 보관될 수 있다. Thereafter, the attack packet is forwarded to the packet-based IDS, and the packet-based IDS can perform the detailed analysis of the attack (730). At this time, the analysis data can be saved for analysis.

패킷 기반의 IDS는 분석이 충분이 수행됨에 따라 분석 및 보관을 중지하고, OpenFlow Switch에게 상기 공격에 대하여 차단을 요청할 수 있다. 후에 동일한 공격이 발생하였을 경우 침입 탐지 시스템에 의하여 영구적 혹은 일시적으로 차단이 가능하다. 또한, 보관된 자료는 공격을 분석하고 시스템을 보완하기 위하여 사용될 수 있다. The packet-based IDS can stop the analysis and archiving as the analysis is performed sufficiently and request the OpenFlow Switch to block the attack. If the same attack occurs later, it can be permanently or temporarily blocked by the intrusion detection system. Archived data can also be used to analyze attacks and supplement the system.

도 3은 일 실시예에 따른 침입 탐지 시스템의 구조를 나타낸 블록도이다.3 is a block diagram illustrating a structure of an intrusion detection system according to an exemplary embodiment of the present invention.

침입 탐지 시스템(300)은 SDN 환경에서 침입을 탐지하기 위한 시스템으로서, 수신부(310), 제1 탐지부(320) 및 제2 탐지부(330)를 포함할 수 있다. The intrusion detection system 300 may include a receiving unit 310, a first detecting unit 320, and a second detecting unit 330, for detecting an intrusion in an SDN environment.

수신부(310)는 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 통계(Flow Statistics)를 수신할 수 있다. The receiving unit 310 receives the flow periodically from the SDN switch and receives the flow statistics as it detects the attack.

제1 탐지부(320)는 플로우 통계를 수신함에 따라 플로우 통계를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 플로우 정보에 기반하여 침입을 탐지할 수 있다. 제1 탐지부(320)는 비정상적인 탐지를 이용하여 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단할 수 있다. 이때, 제1 탐지부(320)는 플로우 정보가 공격 패킷임에 판단됨에 따라 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, SDN 스위치에게 확인된 IP 주소 및 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 패킷을 제2 IDS로 전송하도록 지시할 수 있다. Upon receipt of the flow statistics, the first detection unit 320 may transmit the flow statistics to the first IDS based on the flow operating in the SDN Application, and may detect the intrusion based on the flow information. The first detection unit 320 can determine whether the packet is an attack packet or a general packet based on the flow information using abnormal detection. At this time, the first detecting unit 320 checks the IP address and the port number from the flow information according to the determination that the flow information is the attack packet, and requests the SDN switch to forward the attack packet for the confirmed IP address and port number To direct the packet to the second IDS.

제2 탐지부(330)는 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 패킷을 제2 IDS로 전송하고, 패킷에 대한 정보에 기반하여 침입을 재탐지할 수 있다. 제2 탐지부(330)는 IP 주소 및 포트 번호에 대한 패킷을 포워딩하여 패킷에 대한 분석을 수행할 수 있다. 제2 탐지부(330)는 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 공격 패킷을 차단할 것을 요청할 수 있다. 제2 탐지부(330)는 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 공격 패킷에 대한 정보를 수집할 수 있다. Upon receiving the packet including the IP address and the port number from the flow information, the second detection unit 330 may transmit the packet to the second IDS and re-detect the intrusion based on the information on the packet. The second detection unit 330 can perform packet analysis by forwarding a packet with respect to an IP address and a port number. The second detection unit 330 may request the SDN switch to block the attack packet if the packet is determined to be an attack packet. The second detection unit 330 stops the forwarding if the packet is an attack packet that has already been attacked, and collects information about the attack packet for a predetermined time when the packet is a new attack packet that has never been attacked.

도 4는 일 실시예에 따른 침입 탐지 시스템의 단계별 패킷을 분류한 것을 나타낸 도면이다.FIG. 4 is a diagram illustrating classification of packets according to an embodiment of the intrusion detection system.

침입 탐지 시스템은 초기 단계(Initial Step)(410), 플로우 기반의 IDS 단계(Flow-based IDS Step)(420), 패킷 기반의 IDS 단계(Packet-based IDS Step)(430) 및 정리 단계(Security Expert)(440)로 이루어질 수 있다. The intrusion detection system includes an initial step 410, a flow-based IDS step 420, a packet-based IDS step 430, and a security step (Expert) 440.

침입 탐지 시스템은 초기 단계(410)에서 SDN 스위치로부터 플로우를 주기적으로 전달받을 수 있다. 이때, 악의적인 사용자가 네트워크의 다른 사용자에게 공격을 시도하는 것이 판단된 경우, 플로우 통계(Flow Statistics)를 수신할 수 있다. The intrusion detection system may periodically receive the flow from the SDN switch in an initial step 410. At this time, if it is determined that a malicious user attempts to attack another user of the network, the flow statistics can be received.

플로우 기반의 IDS 단계(420)에서 침입 탐지 시스템은 플로우 통계를 수신함에 따라 SDN Application으로 동작 중인 플로우 기반의 IDS로 플로우 정보를 송신할 수 있다. 이때, 플로우 기반의 IDS는 비정상적 탐지(Anomaly detection)를 이용하여 공격 패킷인지 일반 패킷인지 여부를 확인할 수 있다. 이때, 침입 탐지 시스템은 패킷이 공격 패킷임이 판단됨에 따라 패킷의 IP 주소 및 포트 번호 등을 확인하여 SDN 스위치에게 확인된 IP 주소 및 목적지 포트 번호에 해당하는 정보를 갖는 패킷을 패킷 기반의 IDS에 전송하도록 요청할 수 있다. In the flow-based IDS step 420, the intrusion detection system can transmit the flow information to the flow-based IDS operating in the SDN application upon receiving the flow statistics. At this time, the flow-based IDS can confirm whether it is an attack packet or a general packet by using anomaly detection. Since the intrusion detection system determines that the packet is an attack packet, the intrusion detection system checks the IP address and port number of the packet, and transmits a packet having information corresponding to the IP address and the destination port number confirmed to the SDN switch to the packet-based IDS .

패킷 기반의 IDS 단계(430)에서 침입 탐지 시스템은 IP 주소 및 포트 번호에 해당하는 정보를 갖는 패킷을 수신할 수 있고, 패킷 기반 IDS를 이용하여 알려진 공격 여부, 사용된 공격 툴(Tool) 등의 정보로 분류하여 패킷 payload와 플로우 기반의 IDS 및 패킷 기반의 IDS의 결과를 PCAP 포맷 등의 분석 가능한 형태로 저장할 수 있다. 이때, 충분한 정보를 전달받은 경우, 예를 들면, 패킷이 이미 공격된 적 있는 공격 패킷일 경우, 포워딩을 중지할 수 있고, 패킷이 공격된 적 없는 새로운 공격 패킷일 경우, 상기 패턴의 패킷을 일정기간 동안 공격 패킷에 대한 정보를 수집하고 차단할 수 있다. In the packet-based IDS step 430, the intrusion detection system can receive a packet having information corresponding to an IP address and a port number, and use a packet-based IDS to detect a known attack, Information, and store the packet payload, flow-based IDS, and packet-based IDS results in an analytical form such as PCAP format. In this case, if sufficient information is received, for example, if the packet is an attack packet that has already been attacked, the forwarding can be stopped, and if the packet is a new attack packet never attacked, During the period, information about attack packets can be collected and blocked.

정리 단계(440)에서 침입 탐지 시스템은 보관된 탐지 결과를 전문가에 의하여 상세한 분석이 수행될 수 있으며, 분석 결과의 오탐지 여부 확인, 새로운 공격의 분석 등을 수행하도록 제공할 수 있다. 또한, 정리 단계에서는 결과에 따라 해당 노드의 연구 차단, 분석 결과에 따른 IDS의 재학습 등의 작업이 가능하다.In the clean up step 440, the intrusion detection system can provide a detailed analysis of the archived detection result by an expert, and can be provided to perform the verification of the false detection of the analysis result and the analysis of the new attack. Also, in the cleanup phase, it is possible to work such as study blocking of the node and re-learning of IDS according to the analysis result according to the result.

단계(410)에서 단계(440)의 과정을 통하여 침입 탐지 시스템은 IDS가 낮은 오버헤드로 플로우 기반의 IDS의 결과물을 보완하고 탐지 결과를 보관하면서 IPS의 역할 또한 수행할 수 있다. Through the process from step 410 to step 440, the intrusion detection system can perform the role of the IPS while supplementing the result of the flow-based IDS with low overhead of the IDS and preserving the detection result.

도 5는 일 실시예에 따른 침입 탐지 시스템의 IDS 기능을 비교한 것을 나타낸 표이다. FIG. 5 is a table comparing IDS functions of an intrusion detection system according to an embodiment.

도 5에서 종래의 패킷 기반의 IDS(510), 종래의 플로우 기반의 IDS(520) 및 제안한 IDS(530)의 기능을 비교한 것을 표로 나타낸 것이다. FIG. 5 shows a comparison of the functions of the conventional packet-based IDS 510, the conventional flow-based IDS 520, and the proposed IDS 530.

종래의 패킷 기반의 IDS(510)의 오버헤드는 매우 많고, 종래의 플로우 기반의 IDS(520)의 오버헤드는 적다. 종래의 패킷 기반의 IDS(510) 및 종래의 플로우 기반의 IDS(520)의 침입 탐지율은 높다. 이에 따라 종래의 패킷 기반의 IDS(510)는 공격 툴 등 상세하게 분류할 수 있고, 종래의 플로우 기반의 IDS(520)는 대략적인 공격을 분류할 수 있다. The overhead of the conventional packet-based IDS 510 is very large, and the overhead of the conventional flow-based IDS 520 is small. The intrusion detection rate of the conventional packet-based IDS 510 and the conventional flow-based IDS 520 is high. Accordingly, the conventional packet-based IDS 510 can be classified into an attack tool or the like in detail, and the conventional flow-based IDS 520 can classify an approximate attack.

이에 따라 본 발명의 침입 탐지 시스템은 패킷 기반의 IDS 및 플로우 기반의 IDS의 장점을 접목시킴으로써 오버헤드는 비교적 적고, 침입 탐지율은 높아 공격 툴 등 상세하게 분류할 수 있다Accordingly, the intrusion detection system of the present invention combines the advantages of the packet-based IDS and the flow-based IDS, so that the overhead is relatively small and the intrusion detection rate is high,

일 실시예에 따른 IDS는 오버헤드는 플로우 기반의 IDS에 바탕을 두기 때문에 적은 오버헤드로 운용이 가능하며, 패킷 기반의 IDS를 추가 적용함으로써 탐지 성능을 높일 수 있다. Since the overhead is based on a flow-based IDS according to an exemplary embodiment, the overhead can be operated with a small overhead, and detection performance can be improved by further applying a packet-based IDS.

도 6은 일 실시예에 따른 침입 탐지 시스템의 침입 탐지 방법을 나타낸 흐름도이다.FIG. 6 is a flowchart illustrating an intrusion detection method of an intrusion detection system according to an embodiment.

침입 탐지 시스템은 SDN 스위치로부터 플로우를 주기적으로 수신할 수 있고(610), 공격을 감지함에 따라 플로우 통계를 수신할 수 있다(620).The intrusion detection system may periodically receive (610) flow from the SDN switch and receive flow statistics as it detects an attack (620).

단계(630)에서 침입 탐지 시스템은 플로우 통계를 수신함에 따라 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지할 수 있다. 침입 탐지 시스템은 비정상적 탐지를 이용하여 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단할 수 있다. 침입 탐지 시스템은 플로우 정보가 공격 패킷임이 판단됨에 따라 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, SDN 스위치에게 확인된 IP 주소 및 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 패킷을 제2 IDS로 전송하도록 지시할 수 있다.In step 630, the intrusion detection system may transmit flow information to the flow-based first IDS operating as an SDN Application upon receiving the flow statistics, and may detect an intrusion based on the flow information. The intrusion detection system can determine whether it is an attack packet or a general packet from the flow information by using abnormal detection. As the flow information is determined to be the attack packet, the intrusion detection system checks the IP address and the port number from the flow information, and requests the SDN switch to forward the attack packet for the confirmed IP address and port number, and transmits the packet to the second IDS To be transmitted.

단계(640)에서 침입 탐지 시스템은 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 패킷을 패킷 기반의 제2 IDS로 전송하고, 패킷에 대한 정보에 기반하여 침입을 재탐지를 수행할 수 있다. 침입 탐지 시스템은 IP 주소 및 포트 번호에 대한 패킷을 포워딩하여 패킷에 대한 분석을 수행할 수 있다. 침입 탐지 시스템은 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 공격 패킷을 차단할 것을 요청할 수 있다. 또한, 침입 탐지 시스템은 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 공격 패킷에 대한 정보를 수집할 수 있다.In step 640, the intrusion detection system transmits the packet including the IP address and the port number from the flow information to the second IDS based on the packet, and re-detects the intrusion based on the information about the packet can do. The intrusion detection system can perform packet analysis by forwarding packets for the IP address and port number. The intrusion detection system may request the SDN switch to block the attack packet if the packet is determined to be an attack packet. Also, the intrusion detection system can stop the forwarding if the packet is an attack packet that has already been attacked, and collect information about the attack packet for a predetermined time if the packet is a new attack packet that has never been attacked.

단계(650)에서 침입 탐지 시스템은 탐지 결과를 저장할 수 있다. 이때, 침입 탐지 시스템은 패킷에 대한 오탐지 여부를 판단하고, 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 시스템 보완을 위하여 패킷에 대한 정보를 유지할 수 있다. In step 650, the intrusion detection system may store the detection results. In this case, the intrusion detection system can determine whether a packet is false or not, analyze a new attack from the packet, and maintain information about the packet to supplement the system for a subsequent attack.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. For example, the apparatus and components described in the embodiments may be implemented within a computer system, such as, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA) A programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (12)

침입을 탐지하는 방법에 있어서,
침입 탐지 시스템이 SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 정보를 수신하는 단계;
상기 침입 탐지 시스템이 상기 플로우 정보를 수신함에 따라 상기 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 단계; 및
상기 침입 탐지 시스템이 상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계
를 포함하고,
상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 단계는,
상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청하고,
상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집하는 단계
를 포함하고,
상기 플로우 정보에 기반하여 침입을 탐지하는 단계는,
비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단하고, 상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시하는 단계
를 포함하는 침입 탐지 방법.In a method for detecting an intrusion,
Receiving intrusion detection system periodically from a SDN switch in a SDN (Software Defined Network) environment and receiving flow information as an attack is detected;
Transmitting the flow information to a flow-based first IDS operating as an SDN Application as the intrusion detection system receives the flow information, and detecting an intrusion based on the flow information; And
Transmitting the packet to the second IDS as the intrusion detection system receives the packet including the IP address and the port number from the flow information, and re-detecting the intrusion based on the information about the packet
Lt; / RTI >
Wherein the step of re-detecting an intrusion based on information on the packet comprises:
Requesting the SDN switch to block the attack packet when the packet is determined to be an attack packet, and transmitting the packet to the SDN switch,
Stopping the forwarding if the packet is an already attacked attacked packet and collecting information about the attacked packet for a preset time when the packet is a new attacked packet that has never been attacked
Lt; / RTI >
Wherein the step of detecting an intrusion based on the flow information comprises:
Determining whether the packet is an attack packet or a general packet from the flow information using anomaly detection, checking an IP address and a port number from the flow information according to the determination that the flow information is an attack packet, To forward the attack packet to the identified IP address and the port number, and to transmit the packet to the second IDS
Wherein the intrusion detection method comprises the steps of: 삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 침입 탐지 시스템이 상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는 단계
더 포함하는 침입 탐지 방법.The method according to claim 1,
Determining whether the intrusion detection system is false for the packet, analyzing a new attack from the packet, and maintaining information about the packet to supplement a system for a subsequent attack
Further comprising an intrusion detection method. 침입 탐지 시스템에 있어서,
SDN(Software Defined Network) 환경에서 SDN 스위치로부터 플로우를 주기적으로 전달받고, 공격을 감지함에 따라 플로우 정보를 수신하는 수신부;
상기 플로우 정보를 수신함에 따라 상기 플로우 정보를 SDN Application으로 동작중인 플로우 기반의 제1 IDS로 전송하고, 상기 플로우 정보에 기반하여 침입을 탐지하는 제1 탐지부; 및
상기 플로우 정보로부터 IP 주소 및 포트 번호를 포함하는 패킷을 수신함에 따라 상기 패킷을 제2 IDS로 전송하고, 상기 패킷에 대한 정보에 기반하여 침입을 재탐지하는 제2 탐지부
를 포함하고,
상기 제2 탐지부는,
상기 IP 주소 및 상기 포트 번호에 대한 패킷을 포워딩하여 상기 패킷에 대한 분석을 수행하고, 상기 패킷이 공격 패킷으로 판단된 경우 SDN 스위치에게 상기 공격 패킷을 차단할 것을 요청하고,
상기 패킷이 이미 공격된 적 있는 공격 패킷일 경우 포워딩을 중지하고, 상기 패킷이 공격된 적 없는 새로운 공격 패킷일 경우 기설정된 시간동안 상기 공격 패킷에 대한 정보를 수집하는
것을 포함하고,
상기 제1 탐지부는,
비정상적 탐지(Anomaly Detection)를 이용하여 상기 플로우 정보로부터 공격 패킷인지 일반 패킷인지 여부를 판단하고, 상기 플로우 정보가 공격 패킷임이 판단됨에 따라 상기 플로우 정보로부터 IP 주소 및 포트 번호를 확인하고, 상기 SDN 스위치에게 상기 확인된 IP 주소 및 상기 포트 번호에 대한 공격 패킷을 포워딩하도록 요청하여 상기 패킷을 제2 IDS로 전송하도록 지시하는
것을 특징으로 하는 침입 탐지 시스템.In an intrusion detection system,
A receiver periodically receiving a flow from an SDN switch in an SDN (Software Defined Network) environment and receiving flow information as an attack is detected;
A first detection unit for transmitting the flow information to the flow-based first IDS operating as an SDN Application upon receipt of the flow information, and detecting an intrusion based on the flow information; And
A second detection unit for transmitting the packet to the second IDS upon receipt of the packet including the IP address and the port number from the flow information and re-detecting the intrusion based on the information about the packet,
Lt; / RTI >
The second detection unit detects,
Requesting the SDN switch to block the attack packet when the packet is determined to be an attack packet, and transmitting the packet to the SDN switch,
If the packet is an already attacked attack packet, forwarding is stopped. If the packet is a new attack packet that has never been attacked, information on the attack packet is collected for a preset time
≪ / RTI >
Wherein the first detection unit comprises:
Determining whether the packet is an attack packet or a general packet from the flow information using anomaly detection, checking an IP address and a port number from the flow information according to the determination that the flow information is an attack packet, To forward the attack packet for the identified IP address and the port number to the second IDS
The intrusion detection system comprising: 삭제delete 삭제delete 삭제delete 삭제delete 제7항에 있어서,
상기 침입 탐지 시스템은,
상기 패킷에 대한 오탐지 여부를 판단하고, 상기 패킷으로부터 새로운 공격을 분석 및 추후 공격에 대한 상기 시스템 보완을 위하여 상기 패킷에 대한 정보를 유지하는
침입 탐지 시스템.
8. The method of claim 7,
The intrusion detection system comprises:
It is determined whether the packet is false or not, and a new attack is analyzed from the packet and information about the packet is maintained for supplementing the system for a subsequent attack
Intrusion detection system.
KR1020150014383A 2015-01-29 2015-01-29 Method and apparatus for effective intrusion detection in internal network KR101665848B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150014383A KR101665848B1 (en) 2015-01-29 2015-01-29 Method and apparatus for effective intrusion detection in internal network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150014383A KR101665848B1 (en) 2015-01-29 2015-01-29 Method and apparatus for effective intrusion detection in internal network

Publications (2)

Publication Number Publication Date
KR20160093791A KR20160093791A (en) 2016-08-09
KR101665848B1 true KR101665848B1 (en) 2016-10-14

Family

ID=56712212

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150014383A KR101665848B1 (en) 2015-01-29 2015-01-29 Method and apparatus for effective intrusion detection in internal network

Country Status (1)

Country Link
KR (1) KR101665848B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200031799A (en) 2018-09-17 2020-03-25 숭실대학교산학협력단 SDN Controller, The system and the method for security enhancement in SDN environments
KR20200061997A (en) 2018-11-26 2020-06-03 숭실대학교산학협력단 Method of establishing tcp session for sdn-based network and sdn network thereof

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101907752B1 (en) * 2016-10-17 2018-10-12 숭실대학교산학협력단 SDN capable of detection DDoS attacks using artificial intelligence and controller including the same
KR102373874B1 (en) * 2017-08-16 2022-03-14 삼성전자주식회사 Apparatus and method for handling a network attack in a software defined network
KR102024267B1 (en) * 2017-09-11 2019-09-23 숭실대학교산학협력단 Elastic intrusion detection system and method for managing the same
CN112583763B (en) * 2019-09-27 2022-09-09 财团法人资讯工业策进会 Intrusion detection device and intrusion detection method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100938647B1 (en) * 2007-12-13 2010-01-25 한국전자통신연구원 Apparatus and method for storing flow data according to results of analysis of flow data
KR101280910B1 (en) * 2011-12-15 2013-07-02 한국전자통신연구원 Two-stage intrusion detection system for high speed packet process using network processor and method thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200031799A (en) 2018-09-17 2020-03-25 숭실대학교산학협력단 SDN Controller, The system and the method for security enhancement in SDN environments
KR20200061997A (en) 2018-11-26 2020-06-03 숭실대학교산학협력단 Method of establishing tcp session for sdn-based network and sdn network thereof

Also Published As

Publication number Publication date
KR20160093791A (en) 2016-08-09

Similar Documents

Publication Publication Date Title
KR101665848B1 (en) Method and apparatus for effective intrusion detection in internal network
US9800592B2 (en) Data center architecture that supports attack detection and mitigation
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
US9680728B2 (en) Arrangements for monitoring network traffic on a cloud-computing environment and methods thereof
US8595817B2 (en) Dynamic authenticated perimeter defense
US20180234454A1 (en) Securing devices using network traffic analysis and software-defined networking (sdn)
CN108293039B (en) Computing device, method and storage medium for handling cyber threats
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
US8826437B2 (en) Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network
CN108353068B (en) SDN controller assisted intrusion prevention system
US11012327B2 (en) Drop detection and protection for network packet monitoring in virtual processing environments
US10701076B2 (en) Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources
US9019863B2 (en) Ibypass high density device and methods thereof
WO2016139910A1 (en) Communication system, communication method, and non-transitory computer readable medium storing program
CN103997439A (en) Flow monitoring method, device and system
US10715353B2 (en) Virtual local area network identifiers for service function chaining fault detection and isolation
US11159485B2 (en) Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections
KR101598187B1 (en) Method and apparatus for blocking distributed denial of service
US20210136103A1 (en) Control device, communication system, control method, and computer program
KR101624075B1 (en) Method and apparatus of adaptive and flexible intrusion detection system for p2p botnet
KR101800145B1 (en) Software switch for providng network service and method for operating software switch
US9313224B1 (en) Connectivity protector
KR20150073625A (en) Method and apparatus for controlling application

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 4