KR20200031799A - SDN Controller, The system and the method for security enhancement in SDN environments - Google Patents

SDN Controller, The system and the method for security enhancement in SDN environments Download PDF

Info

Publication number
KR20200031799A
KR20200031799A KR1020180110689A KR20180110689A KR20200031799A KR 20200031799 A KR20200031799 A KR 20200031799A KR 1020180110689 A KR1020180110689 A KR 1020180110689A KR 20180110689 A KR20180110689 A KR 20180110689A KR 20200031799 A KR20200031799 A KR 20200031799A
Authority
KR
South Korea
Prior art keywords
switch
lldp
port
packet
sdn
Prior art date
Application number
KR1020180110689A
Other languages
Korean (ko)
Other versions
KR102170311B1 (en
Inventor
박민호
안성원
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020180110689A priority Critical patent/KR102170311B1/en
Publication of KR20200031799A publication Critical patent/KR20200031799A/en
Application granted granted Critical
Publication of KR102170311B1 publication Critical patent/KR102170311B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention is to provide a software defined network (SDN) controller, a security enhancement system in an SDN environment, and a security enhancement method in an SDN environment, in order to prevent LLDP link fabrication attack and flooding attack, which complement the integrity of link layer discovery protocol (LLDP) packet, make it difficult to force/modulate LLDP packets by calculating the number of LLDP packets per port, and prevent excessive LLDP packet reception.

Description

SDN 컨트롤러, SDN 환경에서의 보안 강화 시스템 및 SDN 환경에서의 보안 강화 방법{SDN Controller, The system and the method for security enhancement in SDN environments}SDN controller, security enhancement system in SDN environment, and security enhancement method in SDN environment {SDN Controller, The system and the method for security enhancement in SDN environments}

본 발명은 SDN 컨트롤러, SDN 환경에서의 보안 강화 시스템 및 SDN 환경에서의 보안 강화 방법에 관한 것이다. The present invention relates to an SDN controller, a security enhancement system in an SDN environment, and a security enhancement method in an SDN environment.

MAC(Media Access Control Layer) 계층에서의 연결성을 검색하는 프로토콜을 LLDP(Link Layer Discovery Protocol)이라 지칭하는데, LLDP 프로토콜은 자신의 정보를 주기적으로 주변 노드(node)에게 광고하는 단 방향 프로토콜이다. LLDP 프로토콜은 망 정보를 단순히 수집하여 활성화된 망의 현재 상태를 탐색하는 데에만 활용된다.The protocol for detecting connectivity in the Media Access Control Layer (MAC) layer is referred to as LLDP (Link Layer Discovery Protocol), which is a unidirectional protocol that periodically advertises its information to neighboring nodes. The LLDP protocol is only used to discover the current state of the active network by simply collecting network information.

OFDP(OpenFlow Discovery Protocol)는 SDN(Software-Defined Network) 환경에서 사용되는 LLDP로, 기존 네트워크에서 이웃하는 스위치들을 발견할 때 사용하는 간단한 프로토콜 종류이다. OFDP (OpenFlow Discovery Protocol) is an LLDP used in a software-defined network (SDN) environment. It is a simple protocol type used to discover neighboring switches in an existing network.

SDN 환경에서는 모든 스위치가 SDN 제어기(Controller)에 연결되어 있지만, 각각의 스위치들이 이웃하는 스위치간의 연결은 확인할 수 없다.따라서, 스위치들의 토폴로지(Topology)를 구성 할 때 LLDP를 사용한다.In the SDN environment, all switches are connected to the SDN controller, but each switch cannot confirm the connection between neighboring switches. Therefore, LLDP is used when configuring the topology of the switches.

도 1은 OFDP 프로토콜을 설명하기 위한 도면이다.1 is a diagram for explaining the OFDP protocol.

도 1을 참조하면, SDN 제어기(100)가 각각의 스위치들에게 스위치들이 이웃하는 노드가 어디에 있는지 요청한다. 각각의 스위치들은 SDN 제어기(100)의 요청에 응답하여, 주변 노드들을 탐색하고 연결된 노드에 대한 정보(LLDP 패킷)를 획득한다.Referring to FIG. 1, the SDN controller 100 requests each switch where the neighbor node of the switches is. Each of the switches responds to the request of the SDN controller 100 to search for neighboring nodes and obtain information (LLDP packets) about the connected nodes.

SDN 제어기(100)는 스위치로부터 상기 연결된 노드에 대한 정보를 포함하는 LLDP 패킷을 취합하여 스위치 토폴로지를 구성할 수 있다.The SDN controller 100 may configure a switch topology by collecting LLDP packets including information on the connected node from the switch.

예컨대, 스위치 1(201)이 스위치 2(202)에 전송하는 LLDP 패킷(12), 스위치 2(202)가 스위치 1(201)에전송하는 LLDP 패킷(11), 스위치2(202)가 스위치 3(203)에전송하는 LLDP 패킷(14) 및 스위치 3(203)이 스위치 2(202)에전송하는 LLDP 패킷(13)가 취합되어 스위치 토폴로지를 구성할 수 있다.For example, LLDP packet 12 that switch 1 201 transmits to switch 2 202, LLDP packet 11 switch 2 202 transmits to switch 1 201, and switch 2 202 switch 3 The LLDP packet 14 transmitted to the 203 and the LLDP packet 13 transmitted from the switch 3 203 to the switch 2 202 may be aggregated to form a switch topology.

그런데, OFDP의 문제점은 외부 호스트가 LLDP 패킷을 탈취할 가능성이 존재한다. SDN 제어기는 LLDP 패킷에만 의존하여 스위치의 토폴로지를 구성하기 때문에 LLDP 패킷은 위/변조에 취약한 문제점이 있다. 또한 LLDP 패킷을 이용하여 토폴로지 공격이 가능한 문제점이 있다.However, the problem with OFDP exists that there is a possibility that an external host steals LLDP packets. Since the SDN controller relies only on LLDP packets to configure the topology of the switch, LLDP packets are vulnerable to forgery / modulation. In addition, there is a problem that a topology attack is possible using an LLDP packet.

대표적으로 LLDP 링크 제작 공격(Link Fabrication Attack)과 LLDP 홍수 공격(Flooding Attack)이 있다.Typical examples are LLDP Link Fabrication Attack and LLDP Flooding Attack.

도 2는 LLDP 링크 제작 공격(Link Fabrication Attack)을 설명하기 위한 도면이다. 2 is a diagram for explaining an LLDP link fabrication attack.

도 2를 참조하면, 스위치 1(201)에 연결된 공격자 호스트 1(401)이 스위치1(201)로부터 LLDP 패킷(20)을 탈취하여 다른 공격자 호스트 2(402)에 전달할 수 있다.Referring to FIG. 2, the attacker host 1 401 connected to the switch 1 201 may take the LLDP packet 20 from the switch 1 201 and deliver it to the other attacker host 2 402.

공격자 호스트 2(402)는 전달받은 LLDP 패킷을 이용하여 특정 링크(Link)를 가짜로 생성하고, 스위치 3(203)을 통해 SDN 제어기(100)에 잘못된 토폴로지 정보를 전달할 수 있다.The attacker host 2 402 may spuriously generate a specific link using the received LLDP packet, and may transmit incorrect topology information to the SDN controller 100 through the switch 3 203.

예컨대, 공격자 호스트 1(401)이 스위치 1(201)로부터 탈취한 LLDP 패킷(20)을 공격자 호스트 2(402)로 전달하게 되면, 스위치 3(203)에 연결된 공격자 호스트 2(402)는 스위치 3(203)을 통해 탈취된 LLDP 패킷(20)을 SDN 제어기(100)로 전송하기 때문에, SDN 제어기(100)는스위치 1(201)과 스위치 3(203)이 연결된 것으로 잘못 인식할 수 있다.For example, when the attacker host 1 401 forwards the LLDP packet 20 taken from the switch 1 201 to the attacker host 2 402, the attacker host 2 402 connected to the switch 3 203 switches 3 Since the LLDP packet 20 captured through 203 is transmitted to the SDN controller 100, the SDN controller 100 may incorrectly recognize that the switch 1 201 and the switch 3 203 are connected.

도 3은 LLDP 홍수 공격(Flooding Attack)을 설명하기 위한 도면이다.3 is a diagram for explaining an LLDP flooding attack.

도 3을 참조하면, 공격자 호스트 1(401)은 스위치1(201)에서 나오는 LLDP 패킷(21)을 탈취하여 다시 스위치 1(201)에 LLDP 패킷(21)을 지속적으로 전달한다. 스위치 1(201)은 공격자 호스트 1(401)로부터 전달받은 LLDP 패킷(21)을 SDN 제어기(100)에 지속적으로 전달하는데, 이러한 경우 SDN 제어기(100)는 다량의 LLDP 패킷(21)을 확인함으로써 자원이 고갈될 수 있다.Referring to FIG. 3, the attacker host 1 401 steals the LLDP packet 21 from the switch 1 201 and continuously transmits the LLDP packet 21 to the switch 1 201 again. The switch 1 201 continuously delivers the LLDP packet 21 received from the attacker host 1 401 to the SDN controller 100. In this case, the SDN controller 100 checks the large amount of LLDP packets 21. Resources can be exhausted.

상술한 현상을 LLDP 홍수 공격이라 일컫는데, LLDP 홍수 공격은 네트워크의 대역폭에 악영향을 미치는 문제점을 갖고 있다. The above-described phenomenon is called an LLDP flood attack, and the LLDP flood attack has a problem of adversely affecting the bandwidth of the network.

(KR) 한국등록특허 제10-1665848호(KR) Korean Registered Patent No. 10-1665848

본 발명은 상술한 문제점인 LLDP 링크 제작 공격(Link Fabrication Attack)을 막기 위하여, LLDP 패킷의 무결성을 보완함으로써, LLDP 패킷의 위/변조를 어렵게 하는 SDN 컨트롤러, SDN 환경에서의 보안 강화 시스템 및 SDN 환경에서의 보안 강화 방법을 제공하고자 한다.The present invention complements the integrity of LLDP packets to prevent LLDP link fabrication attacks, which are the above-mentioned problems, by making SDN controllers difficult to forge / modulate LLDP packets, security enhancement systems in SDN environments, and SDN environments We would like to provide a method to strengthen security in.

또한, 본 발명은 LLDP 홍수 공격(Flooding Attack)을 막기 위하여, 각각의 스위치를 모니터링하고, 포트 계산부 및 포트 별 LLDP 패킷 개수를 계산함으로써,LLDP 홍수 공격을 막는 SDN 컨트롤러, SDN 환경에서의 보안 강화 시스템 및 SDN 환경에서의 보안 강화 방법을 제공하고자 한다.In addition, the present invention monitors each switch to prevent LLDP flooding attacks, and calculates the number of LLDP packets per port calculation unit and port, thereby enhancing security in SDN controllers and SDN environments that prevent LLDP flooding attacks. It is intended to provide a method for strengthening security in a system and SDN environment.

본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by a person skilled in the art from the following description.

본 발명의 일 실시예에 따른 SDN(Software Defined Network) 컨트롤러는 모니터링 모듈, 스위치 리스트 모듈 및감지 모듈을 포함할 수 있다.The software defined network (SDN) controller according to an embodiment of the present invention may include a monitoring module, a switch list module, and a detection module.

본 발명의 일 실시예에 따른 모니터링 모듈은, 스위치가 LLDP(Link Layer Discovery Protocol) 패킷을 생성하면 상기 스위치의 포트 번호에 기초하여 포트 개수를 계산하는 포트 계산부; 상기 LLDP 패킷에 대한 HMAC(Hash Message Authentication Code)을 검사하여 상기 LLDP 패킷의 무결성을 검증하는 HMAC 검증부; 및 상기 스위치가 LLDP 패킷을 생성하였는지 여부를 감지하는 LLDP 패킷 감지부를 포함할 수 있다.The monitoring module according to an embodiment of the present invention includes: a port calculating unit that calculates the number of ports based on the port number of the switch when the switch generates a link layer discovery protocol (LLDP) packet; An HMAC verification unit that verifies the integrity of the LLDP packet by examining a Hash Message Authentication Code (HMAC) for the LLDP packet; And an LLDP packet detector for detecting whether the switch has generated an LLDP packet.

본 발명의 일 실시예에 따른 스위치 리스트 모듈은 상기 스위치로부터 수신한 데이터를 저장하고, 상기 감지 모듈은 상기 스위치 리스트 모듈에 저장된 데이터에 기초하여 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 것일 수 있다.The switch list module according to an embodiment of the present invention stores data received from the switch, and the detection module may be configured to detect whether there is an attack by an external host based on the data stored in the switch list module. have.

본 발명의 일 실시예에 따른 LLDP 패킷은 상기 스위치의 식별번호, 상기 스위치의 포트 ID, 데이터 유효기간, HMAC에 기초한 해쉬 값을 포함할 수 있다.The LLDP packet according to an embodiment of the present invention may include an identification number of the switch, a port ID of the switch, a data validity period, and a hash value based on HMAC.

본 발명의 일 실시예에 따른 해쉬 값은 랜덤으로 생성될 수 있고, 기설정된 시간 간격으로 주기적으로 바뀔 수 있다.The hash value according to an embodiment of the present invention may be randomly generated and periodically changed at a predetermined time interval.

본 발명의 일 실시예에 따른 모니터링 모듈은 상기 스위치로부터 수신한 데이터에 기초하여 상기 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하는 포트 카운터부를 더 포함하고, 상기 스위치 리스트 모듈은 상기 포트 카운터부로부터 계산된 상기 LLDP 패킷 개수를 상기 스위치의 포트 별로 저장할 수 있다.The monitoring module according to an embodiment of the present invention further includes a port counter for calculating the number of LLDP packets received for each port of the switch based on the data received from the switch, and the switch list module from the port counter The calculated number of LLDP packets can be stored for each port of the switch.

본 발명의 일 실시예에 따른 감지 모듈이 상기 LLDP 패킷 개수의 평균이 기 설정된 범위 이상인 포트를 감지하면, SDN 컨트롤러는 상기 포트에서 수신하는 LLDP 패킷을 차단할 것을 요청할 수 있다.When the sensing module according to an embodiment of the present invention detects a port whose average of the number of LLDP packets is greater than or equal to a preset range, the SDN controller may request to block LLDP packets received at the port.

본 발명의 일 실시예에 따른 SDN 환경에서의 보안 강화 시스템은 다수의 스위치와 SDN(Software Defined Network) 컨트롤러로 구성될 수 있다.The security enhancement system in the SDN environment according to an embodiment of the present invention may include a plurality of switches and a software defined network (SDN) controller.

본 발명의 일 실시예에 따른 SDN 환경에서의 보안 강화 방법은 SDN 컨트롤러가 다수의 스위치로부터 LLDP 패킷을 수신하는 단계;SDN 컨트롤러가 상기 스위치로부터 수신한 데이터를 저장하고, 저장된 데이터에 기초하여 상기 스위치의 포트로부터 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계; 및상기 포트를 통해 수신하는 LLDP 패킷을 차단하는 단계를 포함할 수 있다.A method for strengthening security in an SDN environment according to an embodiment of the present invention includes: an SDN controller receiving LLDP packets from a plurality of switches; an SDN controller storing data received from the switch, and based on the stored data, the switch Detecting whether there was an attack by an external host from the port of the; And blocking the LLDP packet received through the port.

본 발명의 일 실시예에 따라 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계는,LLDP 패킷에 해쉬 값이 존재하지 않는 경우, 상기 LLDP 패킷을 공격으로 감지하는 것을 특징으로 할 수 있다.The step of detecting whether there is an attack by an external host according to an embodiment of the present invention may be characterized in that when the hash value does not exist in the LLDP packet, the LLDP packet is detected as an attack.

본 발명의 일 실시예에 따른 상기 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계는,상기 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하여 상기 LLDP 패킷 개수의 평균이 기 설정된 범위 이상인 포트를 감지하는 단계를 더 포함할 수 있다.The step of detecting whether or not there has been an attack by the external host according to an embodiment of the present invention is calculated by calculating the number of LLDP packets received for each port of the switch, and the average of the number of LLDP packets is greater than or equal to a preset range. It may further include the step of sensing.

본 발명의 일 실시예에 따른 SDN 컨트롤러, 보안 강화 시스템 및 보안 강화 방법에 의하면, LLDP 패킷의 무결성을 검증하여 LLDP 패킷을 차단함으로써 LLDP 링크 제작 공격을 방지할 수 있다.According to the SDN controller, the security enhancement system, and the security enhancement method according to an embodiment of the present invention, it is possible to prevent an LLDP link production attack by blocking the LLDP packet by verifying the integrity of the LLDP packet.

본 발명은 또한, 스위치의 포트를 모니터링하여 기하급수적으로 LLDP 패킷이 발생하는스위치의 포트를 찾아내고, 해당 포트를차단시킴으로써, LLDP 홍수 공격을 방지할 수 있다.The present invention can also prevent the LLDP flood attack by monitoring the port of the switch to find the port of the switch generating the LLDP packet exponentially, and blocking the port.

나아가, 본 발명은 상기 언급된 문제점인 LLDP 패킷의 위/변조와 LLDP 홍수 공격을 동시에 막을 수 있다. Furthermore, the present invention can prevent the above mentioned problems of LLDP packet forgery / modulation and LLDP flood attack.

따라서, 본 발명은 SDN 컨트롤러에 가해지는 CPU 부하(CPU 소모량)을 줄일 수 있는 효과를 달성할 수 있다. Therefore, the present invention can achieve the effect of reducing the CPU load (CPU consumption) applied to the SDN controller.

본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.

도 1은 OFDP 프로토콜을 설명하기 위한 도면이다.
도 2는 LLDP 링크 제작 공격(Link Fabrication Attack)을 설명하기 위한 도면이다.
도 3은 LLDP 홍수 공격(Flooding Attack)을 설명하기 위한 도면이다.
도 4a는 본 발명의 일 실시예에 따라 구성된 LLDP 패킷을 나타낸다.
도 4b는 본 발명의 일 실시예에 따라 위조/변조된LLDP 패킷을 나타낸다.
도 4c는 본 발명의 일 실시예에 따른 정상 LLDP 패킷을 나타낸다.
도 5a는 본 발명의 일 실시예에 따라 무결성이 인증된 LLDP 패킷의 결과를 나타낸다.
도 5b는 본 발명의 일 실시예에 따라 무결성이 인증되지 않은 LLDP 패킷의 결과를 나타낸다.
도 6은 본 발명의 일 실시예에 따라 LLDP 홍수 공격이 발생한 경우 스위치 리스트에 저장된 정보를 나타낸다.
도 7은 본 발명의 일 실시예에 따른 SDN 컨트롤러의 블록도이다.
도 8은 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 강화 방법의 순서도이다.
도 9는 본 발명의 다른 실시예에 따른 SDN 환경에서의 보안 강화 방법의 순서도이다. 1 is a diagram for explaining the OFDP protocol.
2 is a diagram for explaining an LLDP link fabrication attack.
3 is a diagram for explaining an LLDP flooding attack.
4A shows an LLDP packet constructed according to an embodiment of the present invention.
4B shows a forged / modulated LLDP packet according to an embodiment of the present invention.
4C shows a normal LLDP packet according to an embodiment of the present invention.
5A shows the result of an LLDP packet whose integrity is authenticated according to an embodiment of the present invention.
5B shows the result of an LLDP packet whose integrity is not authenticated according to an embodiment of the present invention.
6 shows information stored in a switch list when an LLDP flood attack occurs according to an embodiment of the present invention.
7 is a block diagram of an SDN controller according to an embodiment of the present invention.
8 is a flowchart of a method for enhancing security in an SDN environment according to an embodiment of the present invention.
9 is a flowchart of a method for strengthening security in an SDN environment according to another embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면을 참조하여 상세하게 설명하도록 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.The present invention can be applied to various changes and can have various embodiments, and specific embodiments will be described in detail with reference to the drawings. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. In describing each drawing, similar reference numerals are used for similar components.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재 항목들의 조합 또는 복수의 관련된 기재 항목들 중의 어느 항목을 포함한다.Terms such as first, second, A, and B may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from other components. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. The term and / or includes a combination of a plurality of related description items or any one of a plurality of related description items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급될 때에는 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is said to be "connected" to or "connected" to another component, it should be understood that other components may be directly connected to or connected to the other component, but may exist in the middle. something to do. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that no other component exists in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "include" or "have" are intended to indicate the presence of features, numbers, steps, actions, components, parts or combinations thereof described herein, one or more other features. It should be understood that the existence or addition possibilities of fields or numbers, steps, operations, components, parts or combinations thereof are not excluded in advance.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person skilled in the art to which the present invention pertains. Terms such as those defined in a commonly used dictionary should be interpreted as having meanings consistent with meanings in the context of related technologies, and should not be interpreted as ideal or excessively formal meanings unless explicitly defined in the present application. Does not.

명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다. Throughout the specification and claims, when a part includes a certain component, this means that other components may be further included rather than excluding other components unless specifically stated to the contrary.

명세서 전체에서 LLDP 패킷은 OFDP 패킷을 포함하는 용어로 지칭될 수 있고, SDN 컨트롤러는 SDN 제어기로도 지칭될 수 있다.Throughout the specification, the LLDP packet may be referred to as a term including the OFDP packet, and the SDN controller may also be referred to as an SDN controller.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 4a는 본 발명의 일 실시예에 따라 구성된 LLDP 패킷을 나타내고, 도 4b는 본 발명의 일 실시예에 따라 위조/변조된 LLDP 패킷을 나타내며, 도 4c는 본 발명의 일 실시예에 따른 정상 LLDP 패킷을 나타낸다.4A shows an LLDP packet constructed according to an embodiment of the present invention, FIG. 4B shows an LLDP packet forged / modulated according to an embodiment of the present invention, and FIG. 4C shows a normal LLDP according to an embodiment of the present invention. Represents a packet.

LLDP 패킷은 목적지 MAC 주소(20-1), 출발지 MAC 주소(20-2), 스위치의 식별번호(20-3), 스위치의 포트 ID(20-4), 데이터 유효기간(20-5), HMAC에 기초한 해쉬 값(20-6)을 포함할 수 있다.The LLDP packet includes the destination MAC address (20-1), source MAC address (20-2), switch identification number (20-3), switch port ID (20-4), data validity period (20-5), It may include a hash value (20-6) based on HMAC.

도 4a에 도시된 LLDP 패킷은 스위치 1(201)에서 나오는 LLDP 패킷으로 공격자 호스트 1에 전달된 것을 나타낸다. The LLDP packet illustrated in FIG. 4A indicates that the LLDP packet from the switch 1 201 is delivered to the attacker host 1.

공격자 호스트 1에 전달된 상기 LLDP 패킷은 공격자 호스트 2에 의하여 위조 또는 변조될 수 있다.The LLDP packet delivered to the attacker host 1 may be forged or falsified by the attacker host 2.

도 4b에 도시된 위조된 LLDP 패킷은 스위치 3(203)로부터 SDN 제어기(100)로 전달되기 때문에, 목적지 MAC 주소(20-1)는 제어기(Controller), 출발지 MAC 주소(20-2)는 스위치 3이다. 스위치의 식별번호는 스위치 1에서 나온 LLDP 패킷이므로, 스위치 1이 기재된다.Since the forged LLDP packet shown in FIG. 4B is transmitted from the switch 3 203 to the SDN controller 100, the destination MAC address 20-1 is the controller and the source MAC address 20-2 is the switch. It is 3. Since the switch identification number is an LLDP packet from switch 1, switch 1 is described.

도 4b에 도시된 위조된 LLDP 패킷은 도 4c에 도시된 정상 LLDP 패킷과 달리 해쉬 값이 존재하지 않는다. The forged LLDP packet shown in FIG. 4B has no hash value unlike the normal LLDP packet shown in FIG. 4C.

해시 값은 스위치의 식별번호, 스위치의 포트 ID, 데이터 유효기간(Time to live, TTL), 랜덤 값(Random Value)를 통해 만들고, 랜덤 값은 시간 별로 변화한다. 따라서, 시간 별로 변화하는 HMAC 키 값과 랜덤 값을 통해 LLDP 패킷의 무결성을 강화한다.The hash value is created through the identification number of the switch, the port ID of the switch, the time to live (TTL), and a random value, and the random value changes over time. Therefore, the integrity of the LLDP packet is enhanced through HMAC key values and random values that change over time.

SDN 제어기에서 발생한 LLDP 패킷은 스위치를 통해 전달되는데, 각 스위치에서 해시 값을 추가하여 양 스위치 간의 LLDP 패킷의 무결성을 입증한다. 또한 공격자가 LLDP 패킷을 위조하는 경우, 공격자는 해시 값을 만들 때 필요한 키 값을 알 수 없으며, 키 값은 OTP(One Time Password)형식으로 시간에 따라 변하기 때문에, 공격자는 해시 값을 추가 할 수 없다.The LLDP packets generated by the SDN controller are transmitted through the switches, and hash values are added to each switch to verify the integrity of the LLDP packets between the two switches. In addition, if an attacker forges an LLDP packet, the attacker cannot know the key value required to create the hash value, and since the key value changes over time in the form of one time password (OTP), the attacker can add a hash value. none.

도 5a는 본 발명의 일 실시예에 따라 무결성이 인증된 LLDP 패킷의 결과를 나타내고, 도 5b는 본 발명의 일 실시예에 따라 무결성이 인증되지 않은 LLDP 패킷의 결과를 나타낸다.5A shows a result of an LLDP packet whose integrity is authenticated according to an embodiment of the present invention, and FIG. 5B shows a result of an LLDP packet whose integrity is not authenticated according to an embodiment of the present invention.

도 5a 및 도 5b에 도시된 결과는 SDN 컨트롤러에서 LLDP 패킷에 대한 HMAC을 검사한 결과를 나타낸다. The results shown in FIGS. 5A and 5B show the results of examining the HMAC for the LLDP packet in the SDN controller.

정상 LLDP 패킷에서는 해쉬값이 존재하는데, LLDP 패킷의 무결성 검증 결과(50)에서 HMAC 입증 결과(51)가 존재한다. 반면, 위조/변조 LLDP 패킷에서는 해쉬값이 존재하지 않기 때문에, LLDP 패킷의 무결성 검증 결과(50)에서 HMAC 입증 결과(51)가 존재하지 않는다.In the normal LLDP packet, a hash value exists, and the HMAC verification result 51 is present in the integrity verification result 50 of the LLDP packet. On the other hand, since the hash value does not exist in the forged / modulated LLDP packet, the HMAC verification result 51 does not exist in the integrity verification result 50 of the LLDP packet.

상기 도 5b와 같은 결과가 나타난 스위치의 포트에 대해서는 상기 포트로부터 수신하는 LLDP 패킷을차단할 수 있다.The LLDP packet received from the port may be blocked for the port of the switch having the result as shown in FIG. 5B.

도 6은 본 발명의 일 실시예에 따라 LLDP 홍수 공격이 발생한 경우 스위치 리스트에 저장된 정보를 나타낸다.6 shows information stored in a switch list when an LLDP flood attack occurs according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 SDN 제어기의 모니터링 모듈은 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하는 카운터부를 더 포함하여, 포트 별로 수신하는 LLDP 패킷 개수를 계산할 수 있다. 계산된 LLDP 패킷은스위치 리스트에 저장될 수 있다.The monitoring module of the SDN controller according to an embodiment of the present invention may further include a counter for calculating the number of LLDP packets received for each port of the switch, and calculate the number of LLDP packets received for each port. The calculated LLDP packet can be stored in the switch list.

도 6을 참조하면, 각각의 스위치의 포트들로부터 수신하는 LLDP 패킷 개수의 평균은 17개인데, 스위치 1의 포트 1로부터 수신하는 LLDP 패킷은 97(61)로 평균보다 월등히 많은 수치를 나타낸다. Referring to FIG. 6, the average number of LLDP packets received from ports of each switch is 17, and the LLDP packets received from port 1 of switch 1 is 97 (61), which is significantly higher than the average.

도 6에 도시된 바와 같이 특정 포트로 수신하는 LLDP 패킷 개수가 평균보다 기 설정된 범위 이상인 경우, SDN 제어기는 상기 포트를 차단할 수 있다. As illustrated in FIG. 6, when the number of LLDP packets received through a specific port is greater than or equal to a preset range than the average, the SDN controller may block the port.

한편, 기 설정된 범위는 ±5일 수 있으나, 이에 한정되는 것은 아니다.Meanwhile, the preset range may be ± 5, but is not limited thereto.

도 7은 본 발명의 일 실시예에 따른 SDN 컨트롤러의 블록도이다.7 is a block diagram of an SDN controller according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 SDN(Software Defined Network) 컨트롤러(100)는 모니터링 모듈(110), 스위치 리스트 모듈(120) 및감지 모듈(130)을 포함할 수 있다.The software defined network (SDN) controller 100 according to an embodiment of the present invention may include a monitoring module 110, a switch list module 120 and a detection module 130.

본 발명의 일 실시예에 따른 모니터링 모듈(110)은, 스위치가 LLDP(Link Layer Discovery Protocol) 패킷을 생성하면 상기 스위치의 포트 번호에 기초하여 포트 개수를 계산하는 포트 계산부(111); 상기 LLDP 패킷에 대한 HMAC(Hash Message Authentication Code)을 검사하여 상기 LLDP 패킷의 무결성을 검증하는 HMAC 검증부(112); 및 상기 스위치가 LLDP 패킷을 생성하였는지 여부를 감지하는 LLDP 패킷 감지부(113)를 포함할 수 있다.The monitoring module 110 according to an embodiment of the present invention includes: a port calculating unit 111 for calculating the number of ports based on the port number of the switch when the switch generates a Link Layer Discovery Protocol (LLDP) packet; An HMAC verification unit 112 that verifies the integrity of the LLDP packet by inspecting a Hash Message Authentication Code (HMAC) for the LLDP packet; And an LLDP packet detector 113 that detects whether the switch has generated an LLDP packet.

모니터링 모듈(110)은 또한, 상기 스위치로부터 수신한 데이터에 기초하여 상기 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하는 포트 카운터부를 더 포함할 수 있다.The monitoring module 110 may further include a port counter unit for calculating the number of LLDP packets received for each port of the switch based on data received from the switch.

본 발명의 일 실시예에 따른 스위치 리스트 모듈(120)은 상기 스위치로부터 수신한 데이터를 저장하고, 상기 감지 모듈(130)은 상기 스위치 리스트 모듈에 저장된 데이터에 기초하여 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 것일 수 있다.The switch list module 120 according to an embodiment of the present invention stores data received from the switch, and the detection module 130 detects whether there is an attack by an external host based on the data stored in the switch list module. It may be to detect whether.

도 8은 본 발명의 일 실시예에 따른 SDN 환경에서의 보안 강화 방법의 순서도이다. 8 is a flowchart of a method for enhancing security in an SDN environment according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 SDN 환경에서의 보안 강화 방법은 SDN 컨트롤러가 다수의 스위치로부터 LLDP 패킷을 수신하는 단계(S801); SDN 컨트롤러가 상기 스위치로부터 수신한 데이터를 저장하고, 저장된 데이터에 기초하여 상기 스위치의 포트로부터 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계(S802); 및 외부 호스트에 의한 공격이 있었는지 감지되면, 상기 포트를 통해 수신하는 LLDP 패킷을 차단하는 단계(S803)를 포함할 수 있다.A method for enhancing security in an SDN environment according to an embodiment of the present invention includes: an SDN controller receiving LLDP packets from a plurality of switches (S801); SDN controller stores the data received from the switch, and detecting whether there is an attack by an external host from the port of the switch based on the stored data (S802); And if it is detected that there is an attack by an external host, blocking the LLDP packet received through the port (S803).

외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계(S802)는, LLDP 패킷에 해쉬 값이 존재하지 않는 경우, 상기 LLDP 패킷을 공격으로 감지하는 것을 특징으로 할 수 있다.In the step of detecting whether there is an attack by an external host (S802), when there is no hash value in the LLDP packet, the LLDP packet may be detected as an attack.

도 9는 본 발명의 다른 실시예에 따른 SDN 환경에서의 보안 강화 방법의 순서도이다. 9 is a flowchart of a method for strengthening security in an SDN environment according to another embodiment of the present invention.

SDN 환경에서의 보안 강화 방법의 또다른 실시예는 SDN 컨트롤러가 다수의 스위치로부터 LLDP 패킷을 수신하는 단계(S901), 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하여 상기 LLDP 패킷 개수의 평균이 기 설정된 범위 이상인 포트를 감지하는 단계(S902) 및 상기 포트로부터 공격이 있는 것으로 감지되면 상기 포트로 수신하는 LLDP 패킷을 차단하는 단계(S903)를 포함할 수 있다.Another embodiment of the method for strengthening security in an SDN environment is a step in which the SDN controller receives LLDP packets from multiple switches (S901), and calculates the number of LLDP packets received for each port of the switch to average the number of LLDP packets. It may include the step of detecting a port above the set range (S902) and blocking the LLDP packet received by the port when there is an attack from the port (S903).

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 사람이라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and variations without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments. The scope of protection of the present invention should be interpreted by the claims below, and all technical spirits within the scope equivalent thereto should be interpreted as being included in the scope of the present invention.

100 : SDN 제어기(컨트롤러)
201 : 스위치 1 202: 스위치 2 203: 스위치 3
301 : 호스트 1 302: 호스트 2 401 : 공격자 호스트 1
402: 공격자 호스트 2100: SDN controller (controller)
201: switch 1 202: switch 2 203: switch 3
301: host 1 302: host 2 401: attacker host 1
402: attacker host 2

Claims (11)

모니터링 모듈,스위치 리스트 모듈 및감지 모듈을 포함하는 SDN(Software Defined Network) 컨트롤러에 있어서,
상기 모니터링 모듈은,
스위치가 LLDP(Link Layer Discovery Protocol) 패킷을 생성하면 상기 스위치의 포트 번호에 기초하여 포트 개수를 계산하는 포트 계산부;
상기 LLDP 패킷에 대한 HMAC(Hash Message Authentication Code)을 검사하여 상기 LLDP 패킷의 무결성을 검증하는 HMAC 검증부; 및
상기 스위치가 LLDP 패킷을 생성하였는지 여부를 감지하는 LLDP 패킷 감지부를 포함하고,
상기 스위치 리스트 모듈은 상기 스위치로부터 수신한 데이터를 저장하고,
상기 감지 모듈은 상기 스위치 리스트 모듈에 저장된 데이터에 기초하여 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 것이되,
상기 LLDP 패킷은 상기 스위치의 식별번호, 상기 스위치의 포트 ID, 데이터 유효기간, HMAC에 기초한 해쉬 값을 포함하는 것인 SDN 컨트롤러.In the SDN (Software Defined Network) controller including a monitoring module, a switch list module and a detection module,
The monitoring module,
A port calculator configured to calculate the number of ports based on the port number of the switch when the switch generates an LLDP (Link Layer Discovery Protocol) packet;
An HMAC verification unit that verifies the integrity of the LLDP packet by examining a Hash Message Authentication Code (HMAC) for the LLDP packet; And
It includes an LLDP packet detection unit for detecting whether the switch generated the LLDP packet,
The switch list module stores data received from the switch,
The detection module is to detect whether there was an attack by an external host based on the data stored in the switch list module,
The LLDP packet includes an identification number of the switch, a port ID of the switch, a data validity period, and a hash value based on HMAC. 제1 항에 있어서,
상기 해쉬 값은 랜덤으로 생성되는 것을 특징으로 하는 SDN 컨트롤러.According to claim 1,
The hash value is SDN controller, characterized in that generated at random. 제2 항에 있어서,
상기 랜덤 값은 기설정된 시간 간격으로 주기적으로 바뀌는 것을 특징으로 하는 SDN 컨트롤러.According to claim 2,
SDN controller, characterized in that the random value is periodically changed at a predetermined time interval. 제1항에 있어서,
상기 모니터링 모듈은 상기 스위치로부터 수신한 데이터에 기초하여 상기 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하는 포트 카운터부를 더 포함하고,
상기 스위치 리스트 모듈은 상기 포트 카운터부로부터 계산된 상기 LLDP 패킷 개수를 상기 스위치의 포트별로 저장하는 SDN 컨트롤러.According to claim 1,
The monitoring module further includes a port counter for calculating the number of LLDP packets received for each port of the switch based on data received from the switch,
The switch list module is an SDN controller that stores the number of LLDP packets calculated from the port counter unit for each port of the switch. 제4항에 있어서,
상기 감지모듈이 상기 LLDP 패킷 개수의 평균이 기 설정된 범위 이상인 포트를 감지하면, 상기 포트에서 수신하는 LLDP 패킷을 차단할 것을 요청하는 SDN 컨트롤러.According to claim 4,
When the detection module detects a port whose average of the number of LLDP packets is greater than or equal to a preset range, an SDN controller requesting to block LLDP packets received from the port. 모니터링 모듈, 스위치 리스트 모듈 및감지 모듈을 포함하는 SDN(Software Defined Network) 컨트롤러에 있어서,
상기 모니터링 모듈은,
스위치가 LLDP(Link Layer Discovery Protocol) 패킷을 생성하면 상기 스위치의 포트 번호에 기초하여 포트 개수를 계산하는 포트 계산부;
상기 LLDP 패킷에 대한 HMAC(Hash Message Authentication Code)을 검사하여 상기 LLDP 패킷의 무결성을 검증하는 HMAC 검증부; 및
상기 스위치가 LLDP 패킷을 생성하였는지 여부를 감지하는 LLDP 패킷 감지부를 포함하고,
상기 스위치 리스트 모듈은 상기 스위치로부터 수신한 데이터를 저장하고,
상기 감지 모듈은 상기 스위치 리스트 모듈에 저장된 데이터에 기초하여 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 것이되,
상기 모니터링 모듈은 상기 스위치로부터 수신한 데이터에 기초하여 상기 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하는 포트 카운터부를 더 포함하고,
상기 스위치 리스트 모듈은 상기 포트 카운터부로부터 계산된 상기 LLDP 패킷 개수를 상기 스위치의 포트 별로 저장하는 SDN 컨트롤러.In the SDN (Software Defined Network) controller including a monitoring module, a switch list module and a detection module,
The monitoring module,
A port calculator configured to calculate the number of ports based on the port number of the switch when the switch generates an LLDP (Link Layer Discovery Protocol) packet;
An HMAC verification unit that verifies the integrity of the LLDP packet by examining a Hash Message Authentication Code (HMAC) for the LLDP packet; And
It includes an LLDP packet detection unit for detecting whether the switch generated the LLDP packet,
The switch list module stores data received from the switch,
The detection module is to detect whether there was an attack by an external host based on the data stored in the switch list module,
The monitoring module further includes a port counter for calculating the number of LLDP packets received for each port of the switch based on data received from the switch,
The switch list module is an SDN controller that stores the number of LLDP packets calculated from the port counter unit for each port of the switch. 제6항에 있어서,
상기 감지 모듈이 상기 LLDP 패킷 개수의 평균이 기 설정된 범위 이상인 포트를 감지하면, 상기 포트에서 수신하는 LLDP 패킷을 차단할 것을 요청하는 SDN 컨트롤러.The method of claim 6,
When the detection module detects a port whose average of the number of LLDP packets is greater than or equal to a preset range, an SDN controller requesting to block LLDP packets received from the port. 다수의 스위치와 SDN(Software Defined Network) 컨트롤러로 구성된 SDN 환경에서의 보안 강화 시스템에 있어서,
상기 SDN 컨트롤러는, 모니터링 모듈, 스위치 리스트 모듈 및감지 모듈을 포함하고,
상기 모니터링 모듈은,
상기 스위치가 LLDP(Link Layer Discovery Protocol) 패킷을 생성하면 상기 스위치의 포트 번호에 기초하여 포트 개수를 계산하는 포트 계산부;
상기 LLDP 패킷에 대한 HMAC(Hash Message Authentication Code)을 검사하여 상기 LLDP 패킷의 무결성을 검증하는 HMAC 검증부;
상기 스위치가 LLDP 패킷을 생성하였는지 여부를 감지하는 LLDP 패킷 감지부; 및
상기 스위치로부터 수신한 데이터에 기초하여 상기 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하는 포트 카운터부를 포함하고,
상기 스위치 리스트 모듈은,
상기 스위치로부터 수신한 데이터를 저장하고상기 포트 카운터부로부터 계산된 상기 LLDP 패킷 개수를 상기 스위치의 포트 별로 저장하며,
상기 감지 모듈은 상기 스위치 리스트 모듈에 저장된 데이터에 기초하여 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 것이되,
상기 LLDP 패킷은 상기 스위치의 식별번호, 상기 스위치의 포트 ID, 데이터 유효기간, HMAC에 기초한 해쉬 값을 포함하는 것인 SDN 환경에서의 보안 강화 시스템.In a security enhancement system in an SDN environment composed of a number of switches and a Software Defined Network (SDN) controller,
The SDN controller includes a monitoring module, a switch list module and a detection module,
The monitoring module,
A port calculator configured to calculate the number of ports based on the port number of the switch when the switch generates a link layer discovery protocol (LLDP) packet;
An HMAC verification unit that verifies the integrity of the LLDP packet by examining a Hash Message Authentication Code (HMAC) for the LLDP packet;
An LLDP packet detector for detecting whether the switch has generated an LLDP packet; And
And a port counter for calculating the number of LLDP packets received for each port of the switch based on the data received from the switch,
The switch list module,
Stores the data received from the switch and stores the number of LLDP packets calculated from the port counter for each port of the switch,
The detection module is to detect whether there was an attack by an external host based on the data stored in the switch list module,
The LLDP packet includes an identification number of the switch, a port ID of the switch, a data validity period, and a hash value based on HMAC. 제8항에 있어서,
상기 감지 모듈이 상기 LLDP 패킷 개수의 평균이 기 설정된 범위 이상인 포트를 감지하면, 상기 포트에서 수신하는 LLDP 패킷을 차단할 것을 요청하는 것을 특징으로 하는 SDN 환경에서의 보안 강화 시스템.The method of claim 8,
When the detection module detects a port having an average of the number of LLDP packets equal to or greater than a preset range, the security enhancement system in the SDN environment, characterized in that requesting to block the LLDP packet received from the port. SDN 컨트롤러가 다수의 스위치로부터 LLDP 패킷을 수신하는 단계;
SDN 컨트롤러가 상기 스위치로부터 수신한 데이터를 저장하고, 저장된 데이터에 기초하여 상기 스위치의 포트로부터 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계; 및
상기 포트를 통해 수신하는 LLDP 패킷을 차단하는 단계를 포함하고,
상기 LLDP 패킷은 상기 스위치의 식별번호, 상기 스위치의 포트 ID, 데이터 유효기간, HMAC에 기초한 해쉬 값을 포함하는 것이며,
상기 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계는,
상기 LLDP 패킷에 해쉬 값이 존재하지 않는 경우, 상기 LLDP 패킷을 공격으로 감지하는 것을 특징으로 하는 SDN 환경에서의 보안 강화 방법.The SDN controller receiving LLDP packets from multiple switches;
SDN controller stores the data received from the switch, and detecting whether there is an attack by an external host from the port of the switch based on the stored data; And
Blocking the LLDP packet received through the port,
The LLDP packet includes an identification number of the switch, a port ID of the switch, a data validity period, and a hash value based on HMAC,
The step of detecting whether there has been an attack by the external host,
If there is no hash value in the LLDP packet, the security enhancement method in the SDN environment, characterized in that detecting the LLDP packet as an attack. SDN 컨트롤러가 다수의 스위치로부터 LLDP 패킷을 수신하는 단계;
SDN 컨트롤러가 상기 스위치로부터 수신한 데이터를 저장하고, 저장된 데이터에 기초하여 상기 스위치의 포트로부터 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계; 및
상기 포트를 통해 수신하는 LLDP 패킷을 차단하는 단계를 포함하고,
상기 외부 호스트에 의한 공격이 있었는지 여부를 감지하는 단계는,
상기 스위치의 포트 별로 수신한 LLDP 패킷 개수를 계산하여 상기 LLDP 패킷 개수의 평균이 기 설정된 범위 이상인 포트를 감지하는 단계를 더 포함하는 SDN 환경에서의 보안 강화 방법.The SDN controller receiving LLDP packets from multiple switches;
SDN controller stores the data received from the switch, and detecting whether there is an attack by an external host from the port of the switch based on the stored data; And
Blocking the LLDP packet received through the port,
The step of detecting whether there has been an attack by the external host,
And calculating a number of LLDP packets received for each port of the switch and detecting a port having an average of the number of LLDP packets equal to or greater than a preset range.
KR1020180110689A 2018-09-17 2018-09-17 SDN Controller, The system and the method for security enhancement in SDN environments KR102170311B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180110689A KR102170311B1 (en) 2018-09-17 2018-09-17 SDN Controller, The system and the method for security enhancement in SDN environments

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180110689A KR102170311B1 (en) 2018-09-17 2018-09-17 SDN Controller, The system and the method for security enhancement in SDN environments

Publications (2)

Publication Number Publication Date
KR20200031799A true KR20200031799A (en) 2020-03-25
KR102170311B1 KR102170311B1 (en) 2020-10-26

Family

ID=70001896

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180110689A KR102170311B1 (en) 2018-09-17 2018-09-17 SDN Controller, The system and the method for security enhancement in SDN environments

Country Status (1)

Country Link
KR (1) KR102170311B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111585965A (en) * 2020-04-10 2020-08-25 华南理工大学 Method for defending LLDP relay attack in software defined network
KR20210145427A (en) * 2020-05-25 2021-12-02 한전케이디엔주식회사 Process bus network switch and digital substation network system including same
WO2022040273A1 (en) * 2020-08-20 2022-02-24 Intrusion, Inc. System and method for monitoring and securing communications networks and associated devices
CN114339929A (en) * 2021-11-26 2022-04-12 中国航空无线电电子研究所 Aviation cluster network routing method
US11838197B2 (en) 2020-10-29 2023-12-05 Samsung Electronics Co., Ltd. Methods and system for securing a SDN controller from denial of service attack

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101665848B1 (en) 2015-01-29 2016-10-14 한국과학기술원 Method and apparatus for effective intrusion detection in internal network
KR20180041977A (en) * 2016-10-17 2018-04-25 숭실대학교산학협력단 SDN for supporting authentication for link discovery service and controller including the same
KR20180041953A (en) * 2016-10-17 2018-04-25 숭실대학교산학협력단 SDN capable of detection DDoS attacks using artificial intelligence and controller including the same

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101665848B1 (en) 2015-01-29 2016-10-14 한국과학기술원 Method and apparatus for effective intrusion detection in internal network
KR20180041977A (en) * 2016-10-17 2018-04-25 숭실대학교산학협력단 SDN for supporting authentication for link discovery service and controller including the same
KR20180041953A (en) * 2016-10-17 2018-04-25 숭실대학교산학협력단 SDN capable of detection DDoS attacks using artificial intelligence and controller including the same

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111585965A (en) * 2020-04-10 2020-08-25 华南理工大学 Method for defending LLDP relay attack in software defined network
KR20210145427A (en) * 2020-05-25 2021-12-02 한전케이디엔주식회사 Process bus network switch and digital substation network system including same
WO2022040273A1 (en) * 2020-08-20 2022-02-24 Intrusion, Inc. System and method for monitoring and securing communications networks and associated devices
US11838197B2 (en) 2020-10-29 2023-12-05 Samsung Electronics Co., Ltd. Methods and system for securing a SDN controller from denial of service attack
CN114339929A (en) * 2021-11-26 2022-04-12 中国航空无线电电子研究所 Aviation cluster network routing method

Also Published As

Publication number Publication date
KR102170311B1 (en) 2020-10-26

Similar Documents

Publication Publication Date Title
KR20200031799A (en) SDN Controller, The system and the method for security enhancement in SDN environments
Alharbi et al. The (in) security of topology discovery in software defined networks
Satoh et al. Attacking the quantum internet
van der Heijden et al. Misbehavior detection in vehicular ad-hoc networks
CN103701700A (en) Node discovering method and system in communication network
Mohammad et al. Cluster based mutual authenticated key agreement based on chaotic maps for mobile ad hoc networks
Nikam et al. Opinion metric based intrusion detection mechanism for RPL protocol in IoT
Soni et al. A L-IDS against dropping attack to secure and improve RPL performance in WSN aided IoT
Moreau et al. CRAFT: A continuous remote attestation framework for IoT
KR20100083681A (en) Detection device and method for malicious node in wireless sensor network
Karande et al. Comprehensive assessment of security attack detection algorithms in internet of things
RU2684575C1 (en) METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS
Seth et al. DADCNF: Diagnoser design for duplicate address detection threat using conjunctive Normal form
Byun et al. Risk and avoidance strategy for blocking mechanism of SDN-based security service
Lisova et al. Risk evaluation of an ARP poisoning attack on clock synchronization for industrial applications
Simplicio Jr et al. Cryptanalysis of an efficient three‐party password‐based key exchange scheme
US20030233578A1 (en) Secure fault tolerant grouping wireless networks and network embedded systems
Vinayagam et al. A secure restricted identity-based proxy re-encryption based routing scheme for sybil attack detection in peer-to-peer networks
Bhuvaneswari et al. An improve performance, discovery and interruption of Sybil attack in MANET
Oberoi et al. ARCN: Authenticated routing on cloud network to mitigate insider attacks on infrastructure as a service
Jain et al. Detection techniques of blackhole attack in mobile adhoc network: A survey
US20160344717A1 (en) Communicating between a cluster and a node external to the cluster
Brooks An internet control device embedded sensor agent
Hadianto et al. A Simulation Study of SDN Defense Against Botnet Attack Based on Network Traffic Detection
ANDE et al. AN EFFICIENT TWO-FACTOR USER AUTHENTICATION PROTOCOL FOR AD-HOC WIRELESS SENSOR NETWORKS

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant