KR102006553B1 - 소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법 - Google Patents

소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법 Download PDF

Info

Publication number
KR102006553B1
KR102006553B1 KR1020170181020A KR20170181020A KR102006553B1 KR 102006553 B1 KR102006553 B1 KR 102006553B1 KR 1020170181020 A KR1020170181020 A KR 1020170181020A KR 20170181020 A KR20170181020 A KR 20170181020A KR 102006553 B1 KR102006553 B1 KR 102006553B1
Authority
KR
South Korea
Prior art keywords
information
log
switch
controller
extracted
Prior art date
Application number
KR1020170181020A
Other languages
English (en)
Other versions
KR20190049322A (ko
Inventor
유명식
응웬트리하이
최진석
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20190049322A publication Critical patent/KR20190049322A/ko
Application granted granted Critical
Publication of KR102006553B1 publication Critical patent/KR102006553B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법이 개시된다. 개시된 포렌식 서버는 소프트웨어 정의 네트워크에 존재하는 증거 데이터를 수집하는 수집부; 상기 수집된 증거 데이터로부터 애플리케이션 로그의 실행 이벤트 정보, 호스트 프로파일 정보, 링크 데이터베이스 정보, API 로그의 이벤트 정보, 스위치 플로우 규칙 정보 및 스위치 런타임 로그 정보를 포함하는 정보들을 추출하는 추출부; 및 상기 추출된 정보들을 머신 러닝 알고리즘에 입력하여 네트워크 공격을 수행한 호스트를 검색하는 검색부;를 포함한다.

Description

소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법{Forensic server and Method for identifying the cause of attack on software defined network}
본 발명의 실시예들은 소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법에 관한 것이다.
인터넷은 우리의 일상에서 이제 불가분의 중요한 역할을 하고 있으며 사물 인터넷이 본격적으로 일상에 적용될 시에는 이 역할은 더욱 커질 것이라 예상한다. 하지만 종래의 네트워크 장비는 미리 정해진 룰에 따라 작동이 되는 시스템으로서, 관리 시 어려움이 있으며, 새로운 기능을 추가 할 시에는 연관된 모든 장비를 업데이트 또는 교체해야 하는 불편함이 존재한다. 그리고, 각종 새로운 악성 공격으로부터도 보안 상의 취약성을 보이고 있다.
따라서, 이를 해결하고자 등장한 것이 소프트웨어 정의 네트워크(SDN: Software Defined Network)이다. 소프트웨어 정의 네트워크는 기존의 네트워크 장비와는 달리 컨트롤 평면(control plane)과 데이터 평면(data plane)이 분리된다.
이 때, 컨트롤 평면에는 컨트롤러(controller)가 위치하고, 데이터 평면에는 복수의 스위치(switch)가 위치하며, 복수의 스위치는 컨트롤러에 의해 제어되며, 스위치는 주기적으로 자신의 상태를 컨트롤러에게 보고한다. 즉, 컨트롤러는 하부 스위치에 라우팅 메커니즘을 구성하여 전체적으로 네트워크를 관리한다. 따라서, 네트워크 구조가 단순화되어 있고, 네트워크 관리를 유연하게 해준다.
하지만, 이러한 소프트웨어 정의 네트워크의 특징을 이용하여 수많은 보안 공격들이 가해지고 있는 실정이며, 잠재적인 보안 공격들 또한 존재한다. 소프트웨어 정의 네트워크의 개방성과 유연성은 특히 클라우드 서비스 및 데이터 센터에 대한 네트워크에 큰 변화를 가져오지만, 단일 실패 지점과 같은 문제가 발생하여 southbound와 northbound에 인접한 인터페이스 프로토콜의 보안을 제어할 수 없다.
상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 본 발명에서는 소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법을 제안하고자 한다.
본 발명의 다른 목적들은 하기의 실시예를 통해 당업자에 의해 도출될 수 있을 것이다.
상기한 목적을 달성하기 위해 본 발명의 바람직한 일 실시예에 따르면, 소프트웨어 정의 네트워크에 존재하는 증거 데이터를 수집하는 수집부; 상기 수집된 증거 데이터로부터 애플리케이션 로그의 실행 이벤트 정보, 호스트 프로파일 정보, 링크 데이터베이스 정보, API 로그의 이벤트 정보, 스위치 플로우 규칙 정보 및 스위치 런타임 로그 정보를 포함하는 정보들을 추출하는 추출부; 및 상기 추출된 정보들을 머신 러닝 알고리즘에 입력하여 네트워크 공격을 수행한 호스트를 검색하는 검색부;를 포함하는 것을 특징으로 하는 포렌식 서버가 제공된다.
상기 수집된 증거 데이터는, 상기 애플리케이션 로그, 컨트롤러 서비스 로그, northbound API 로그, southbound API 로그, 스위치 플로우 규칙, 및 스위치 런타임 로그를 포함할 수 있다.
상기 애플리케이션 로그의 실행 이벤트 정보는 상기 애플리케이션 로그에서 추출되고, 상기 호스트 프로파일 정보 및 상기 링크 데이터베이스 정보는 상기 컨트롤러 서비스 로그에서 추출되고, API 로그의 이벤트 정보는 상기 northbound API 로그 및 상기 southbound API 로그에서 추출되고, 상기 스위치의 플로우 규칙 정보는 상기 스위치 플로우 규칙에서 추출되고, 상기 스위치 런타임 로그 정보는 상기 스위치 런타임 로그에서 추출될 수 있다.
상기 머신 러닝 알고리즘은 SVM(Support Vector Machine) 알고리즘이고, 상기 추출된 정보들이 상기 SVM 알고리즘의 특징들(features)로 입력될 수 있다.
상기 포렌식 서버는, 상기 소프트웨어 정의 네트워크의 비정상 동작 데이터 및 정상 동작 데이터를 포함하는 기록 데이터를 저장하는 데이터베이스;를 더 포함하되, 상기 검색부는 상기 데이터베이스에 저장된 기록 데이터를 더 이용하여 상기 네트워크 공격을 수행한 호스트를 검색할 수 있다.
또한 본 발명의 다른 실시예에 따르면, 프로세서가 포함된 장치에서 수행되는 포렌식 방법에 있어서, 소프트웨어 정의 네트워크에 존재하는 증거 데이터를 수집하는 단계; 상기 수집된 증거 데이터로부터 애플리케이션 로그의 실행 이벤트 정보, 호스트 프로파일 정보, 링크 데이터베이스 정보, API 로그의 이벤트 정보, 스위치 플로우 규칙 정보 및 스위치 런타임 로그 정보를 포함하는 정보들을 추출하는 단계; 및 상기 추출된 정보들을 머신 러닝 알고리즘에 입력하여 네트워크 공격을 수행한 호스트를 검색하는 단계;를 포함하는 것을 특징으로 하는 포렌식 방법이 제공된다.
본 발명에 따르면, 소프트웨어 정의 네트워크에 수행된 공격의 원인을 정확하게 파악하는 장점이 있다.
또한, 본 발명의 효과는 상기한 효과로 한정되는 것은 아니며, 본 발명의 상세한 설명 또는 특허청구범위에 기재된 발명의 구성으로부터 추론 가능한 모든 효과를 포함하는 것으로 이해되어야 한다.
도 1은 소프트웨어 정의 네트워크의 기본 구조를 도시한 도면이다.
도 2는 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 포렌식 서버의 개략적인 구성을 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 포렌식 방법의 흐름도를 도시한 도면이다.
도 5는 SVM 알고리즘의 개념을 설명하기 위한 도면이다.
본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
이하, 본 발명의 대상이 되는 소프트웨어 정의 네트워크(SDN: Software Defined Network)에 대해 간략하게 설명하기로 한다.
도 1은 소프트웨어 정의 네트워크의 기본 구조를 도시한 도면이고, 도 2는 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 1을 참조하면, 소프트웨어 정의 네트워크는 크게 데이터 평면(data plane)과 대응되는 인프라스트럭처 계층(infrastructure layer)과, 컨트롤 평면(control plane)과 대응되는 컨트롤 계층(control layer)과, 애플리케이션 계층(application layer)으로 나뉜다. 데이터 계층은 소프트웨어 정의 네트워크의 특정 인터페이스를 통해 제어를 받는 계층으로서, 데이터 흐름의 전송을 담당한다. 컨트롤 계층은 데이터의 흐름을 제어하는 계층으로서 애플리케이션과 네트워크 서비스를 통하여 데이터 흐름을 라우팅 할 것인지, 전달을 할 것인지, 거절할 것인지를 결정한다. 또한 데이터 계층의 동작들을 정리하여 API(Application Programming Interface) 형태로 애플리케이션 계층에 전달한다. 마지막으로 애플리케이션 계층은 제어 계층에서 제공한 API들을 이용하여 네트워크의 다양한 기능들을 수행 할 수 있도록 한다.
한편, 전통적인 네트워크에서 라우터, 스위치와 같은 네트워크 장비는 트래픽 제어와 규칙을 담당한다. 그러므로 네트워크의 라우팅 정보는 스위치와 라우터에서 저장한다. 이와 같은 네트워크 구조는 네트워크가 변화할 때마다 관리자가 관련 인터넷 설비를 배치해야 한다는 문제가 있고, 데이터 센터나 그룹 네트워크 환경은 잦은 네트워크 변화로 자원을 낭비한다.
OpenFlow은 위와 같은 전통적인 네트워크의 단점을 보완하는 컨트롤러와 네트워크 장치간의 인터페이스 규격으로 사용되고 있는 기술이다. 도 2를 참조하면, OpenFlow는 제어 평면과 데이터 평면을 분리하여 네트워크를 운용할 수 있게 함으로써 네트워크 트래픽을 제어할 수 있는 기능과 전달할 수 있는 기능을 분리하며 소프트웨어를 제작하여 네트워크를 제어할 수 있도록 해준다. OpenFlow 프로토콜을 사용하면, 제어 및 데이터 평면을 하드웨어가 아닌 소프트웨어로도 구현할 수 있으며, 이 소프트웨어를 범용 서버에 설치하여 신속하게 새로운 기능을 구현할 수 있다.
OpenFlow는 프로토콜 계층 1~4까지의 헤더 정보를 하나로 조합하여 패킷(프레임)의 동작을 지정할 수 있다. 제어 평면의 프로그램을 수정하면 계층 4까지의 범위에서 사용자가 자유롭게 새로운 프로토콜을 만들 수 있고, 특정 서비스나 애플리케이션에 최적화된 네트워크를 사용자가 구현할 수도 있다. 즉, OpenFlow는 패킷을 제어하는 기능과 전달하는 기능을 분리하고 프로그래밍을 통해 네트워크를 제어하는 기술이다.
상기에서 설명된 내용을 참조하여, 본 발명이 일 실시예에 따른 포렌식 서버 및 방법을 설명하기로 한다.
도 3은 본 발명의 일 실시예에 따른 포렌식 서버의 개략적인 구성을 도시한 도면이다.
도 3을 참조하면, 포렌식 서버(300)는 소프트웨어 정의 네트워크에 가해진 공격의 원인을 분석 내지 파악하여 공격자를 검색하는 기능을 수행하는 장치로서, 소프트웨어 정의 네트워크에서 디지털 증거 내지 증거 데이터를 수집하고, 이를 통해 공격의 원인을 분석한다. 이를 위해, 포렌식 서버(300)는 수집부(310), 추출부(320), 검색부(330) 및 데이터베이스(340)를 포함한다.
그리고, 도 4는 본 발명의 일 실시예에 따른 포렌식 서버(300)의 동작인 포렌식 방법의 흐름도를 도시한 도면이다.
이하, 각 구성 요소 별로 그 기능 및 각 단계 별로 수행되는 과정을 상세하게 설명하기로 한다.
단계(410)에서, 수집부(310)는 소프트웨어 정의 네트워크에 존재하는 증거 데이터를 수집한다.
본 발명의 일 실시예에 따르면, 증거 데이터는 애플리케이션 로그(application logs), 컨트롤러 서비스 로그(controller service logs), northbound API 로그(Northbound API logs), southbound API 로그(southbound API logs), 스위치 플로우 규칙(switch flow rules) 및 스위치 런타임 로그(switch runtime logs)를 포함한다.
애플리케이션 로그는 애플리케이션으로부터 전송된 요청에 대한 정보가 포함한다. 즉, 애플리케이션이 실행되는 경우 수행되는 이벤트들의 정보가 포함된다. 여기서, 이벤트는 애플리케이션이 실행되거나 중지되거나 호스트가 소프트웨어 정의 네트워크에 연결되거나 끊어지는 등과 같이 소프트웨어 정의 네트워크에서 일어나는 동작을 의미한다.
일례로서, 애플리케이션 로그는 엑세스 로그(access logs) 및 오류 로그(error logs)를 포함한다. 엑세스 로그는 누구 또는 어디로부터 액세스가 제공되었는지 여부, 요청의 성공 상태, 요청 응답 시간에 대한 정보를 포함하고, 오류 로그는 요청을 처리할 때 애플리케이션에서 발생한 오류에 대한 정보를 포함한다.
컨트롤러 서비스 로그는 컨트롤러에서 실행되는 서비스 정보가 포함된다. 일례로, 상기 정보에는 호스트 추적 서비스의 정보, 링크 검색 서비스의 정보, 토폴로지 관리자 정보가 포함된다.
northbound API 로그는 northbound 인터페이스에 대한 호출 이벤트를 포함하고, southbound API 로그는 southbound 인터페이스에 대한 호출 이벤트를 포함한다. 즉, northbound 인터페이스 및 southbound 인터페이스는 컨트롤러와 연결되는 두 개의 기본 채널이며, 두 인터페이스는 모두 API 로그와 관련하여 통신 기록(communication record)을 유지함으로써 조사 프로세스(investigation process)를 지원할 수 있다. 또한, API 로그에는 액세스(일례로, 삽입(insertion), 삭제(deletion), 수정(editing), 보기(viewing)), 시간 및 오류와 같은 호출 이벤트가 포함된다.
스위치 플로우 규칙은 openflow 기반의 스위치의 openflow 플로우 엔트리로서, 매치 필드(match fields), 우선 순위(priority), 카운터(counters), 명령(instructions), 쿠키(cookie)를 포함한다. 이 때, 매치 필드는 진입 포트(ingress ports), 패킷 헤더 필드(packet header fields), 이전 플로우 테이블의 메타 데이터(metadata from a previous flow table)로 구성되고, 우선 순위는 엔트리의 일치 우선 순위이며, 카운터는 매칭 패킷의 통계이고, 명령은 세트 또는 파이프 라인의 처리와 대응되고, 쿠키는 컨트롤러가 전송한 Opaque 데이터를 포함한다.
스위치 런타임 로그는 설정한 데이터 경로, 구성 업데이트, 컨트롤러 연결 상태로의 전환 및 포트 정보에 대한 정보를 포함한다.
다음으로, 단계(420)에서, 추출부(320)는 수집된 증거 데이터로부터 애플리케이션 로그의 실행 이벤트 정보, 호스트 프로파일 정보, 링크 데이터베이스 정보, API 로그의 이벤트 정보, 스위치 플로우 규칙 정보 및 스위치 런타임 로그 정보를 포함하는 정보들을 추출한다.
이 때, 애플리케이션 로그의 실행 이벤트 정보는 애플리케이션 로그에서 추출되는 것으로서, 액세스 로그 및 오류 로그를 포함할 수 있다.
또한, 호스트 프로파일 정보 및 링크 데이터베이스 정보는 컨트롤러 서비스 로그에서 추출될 수 있다. 이 때, 호스트 프로파일 정보는 IP 주소, MAC 주소, 연결된 스위치 포트, 마지막 활성 타임 스탬프와 같은 호스트의 정보를 포함하고, 링크 데이터베이스 정보는 소프트웨어 정의 네트워크 내의 호스트 간 연결 정보(포트-인(port-in) 정보 및 포트-아웃(port-out) 정보)를 포함한다.
또한, API 로그의 이벤트 정보는 northbound API 로그 및 southbound API 로그에서 추출되는 정보이다.
그리고, 스위치 플로우 규칙 정보는 스위치 플로우 규칙에서 추출되는 정보이고, 스위치 런타임 로그 정보는 스위치 런타임 로그에서 추출되는 정보로서, OpenFlow 스위치의 테이블에 있는 플로우 및 플로우 규칙이 설정되는 시간과 대응된다.
다음으로, 단계(430)에서, 검색부(330)는 추출된 정보들을 머신 러닝 알고리즘에 입력하여 네트워크 공격을 수행한 호스트를 검색한다. 즉, 검색부(330)는 추출된 증거 데이터를 분석하여 소프트웨어 정의 네트워크에서 수행된 공격의 근본 원인을 찾으며, 이상 징후를 감지할 수 있다.
이 때, 검색부(330)는 데이터베이스(340)에 저장되어 있는 기록 데이터를 더 이용하여 네트워크 공격을 수행한 호스트를 검색할 수 있다. 이 때, 기록 데이터는 비정상 동작 데이터 및 정상 동작 데이터를 포함한다.
또한, 본 발명의 일 실시예에 따르면, 머신 러닝 알고리즘은 SVM(Support Vector Machine) 알고리즘이고, 상기 추출된 정보들이 SVM 알고리즘의 특징들(features)로 입력될 수 있다.
도 5는 SVM 알고리즘의 개념을 설명하기 위한 도면이다.
도 5를 참조하면, SVM 알고리즘은 감독된 학습 기법(supervised learning technique)으로서, 분류된 데이터(labeled data) 또는 기록 데이터 (historical data)가 필요하다. 이 때, 기록 데이터는 예측 모델을 구축하기 위한 트레이닝 데이터이다.
그리고, 데이터베이스(340)는 SVM에 대한 기록 데이터를 제공하며, 기록 데이터에는 앞서 언급한 바와 같이 네트워크 비정상 동작 데이터 및 정상 동작 데이터가 포함된다.
이 때, 데이터베이스(340)는 특징들을 포함하는 벡터 형태의 데이터로 저장된다. 여기서, 특징들은 상기 추출된 정보와 대응된다. 벡터 데이터 세트를 기반으로 하여, SVM은 예측 모델을 구축하기 위해 두 경우, 즉, 비정상적이고 정상적인 행동 사이의 분리 평면(또는 하이퍼 플레인)을 정의한다. 벡터가 예측 모델에 도달하면 SVM은 새로운 데이터가 비정상적인 동작인지 여부를 판단할 수 있다.
요컨대, 본 발명에 따른 포렌식 서버(300) 및 방법은 소프트웨어 정의 네트워크에 가해진 공격의 근본 원인을 파악하는 것으로서, 포렌식 서버(300)는 소프트웨어 정의 네트워크와 구분되는 별도의 장치로 구성될 수 있다.
또한, 본 발명의 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 일 실시예들의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (6)

  1. 소프트웨어 정의 네트워크의 비정상 동작 데이터 및 정상 동작 데이터를 포함하는 기록 데이터를 저장하는 데이터베이스;
    상기 소프트웨어 정의 네트워크에 존재하는 증거 데이터를 수집하는 수집부 - 상기 증거 데이터는 애플리케이션의 액세스와 관련된 애플리케이션 로그, 컨트롤러와 관련된 컨트롤러 서비스 로그, 상기 컨트롤러와 연결되는 기본 채널과 관련된 northbound API 로그, southbound API 로그, 스위치와 관련된 스위치 플로우 규칙 및 스위치 런타임 로그를 포함함 -;
    상기 수집된 증거 데이터로부터 애플리케이션 로그의 실행 이벤트 정보, 호스트 프로파일 정보, 링크 데이터베이스 정보, API 로그의 이벤트 정보, 스위치 플로우 규칙 정보 및 스위치 런타임 로그 정보를 포함하는 정보들을 추출하는 추출부; 및
    상기 추출된 정보들을 학습된 SVM 알고리즘의 특징들로 입력하여 네트워크 공격을 수행한 호스트를 검색하는 검색부;를 포함하되,
    상기 SVM 알고리즘은 상기 기록 데이터를 트레이닝 데이터로 사용하여 학습되고,
    상기 애플리케이션 로그는 엑세스 로그 및 오류 로그를 포함하되, 상기 엑세스 로그는 액세스의 제공 출처와 관련된 정보, 액세스의 요청의 성공 상태에 대한 정보 및 액세스의 요청 응답 시간에 대한 정보를 포함하고, 상기 오류 로그는 액세스의 요청을 처리할 때 상기 애플리케이션에서 발생한 오류에 대한 정보를 포함하고,
    상기 컨트롤러 서비스 로그는 상기 소프트웨어 정의 네트워크 내의 컨트롤러에서 실행되는 호스트 추적 서비스 및 링크 검색 서비스의 정보와, 토폴로지 관리자 정보를 포함하고, 상기 northbound API 로그는 northbound 인터페이스에 대한 호출 이벤트의 정보를 포함하고, 상기 southbound API 로그는 southbound 인터페이스에 대한 호출 이벤트 정보를 포함하고, 상기 스위치 런타임 로그는 설정된 데이터 경로 정보, 구성 업데이트 정보, 상기 컨트롤러 연결 상태로의 전환 및 포트 정보에 대한 정보를 포함하며,
    상기 스위치 플로우 규칙은 openflow 기반의 스위치의 openflow 플로우 엔트리로서, 매치 필드 정보, 우선 순위 정보, 카운터 정보, 명령 정보 및 쿠키 정보를 포함하되, 상기 매치 필드 정보는 진입 포트 정보, 패킷 헤더 필드 정보, 이전 플로우 테이블의 메타 데이터로 구성되고, 상기 우선 순위 정보는 상기 엔트리의 일치 우선 순위 정보이고, 상기 카운터 정보는 매칭 패킷의 통계의 정보이고, 상기 명령 정보는 세트 또는 파이프 라인의 처리의 정보이고, 상기 쿠키 정보는 상기 컨트롤러가 전송한 Opaque 데이터이고,
    상기 애플리케이션 로그의 실행 이벤트 정보는 상기 애플리케이션 로그에서 추출되고, 상기 호스트 프로파일 정보 및 상기 링크 데이터베이스 정보는 상기 컨트롤러 서비스 로그에서 추출되며, API 로그의 이벤트 정보는 상기 northbound API 로그 및 상기 southbound API 로그에서 추출되고, 상기 스위치의 플로우 규칙 정보는 상기 스위치 플로우 규칙에서 추출되고, 상기 스위치 런타임 로그 정보는 상기 스위치 런타임 로그에서 추출되는 것을 특징으로 하는 포렌식 서버.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 프로세서가 포함된 장치에서 수행되는 포렌식 방법에 있어서,
    소프트웨어 정의 네트워크의 비정상 동작 데이터 및 정상 동작 데이터를 포함하는 기록 데이터를 저장하는 단계;
    상기 기록 데이터를 트레이닝 데이터로 사용하여 SVM 알고리즘을 학습하는 단계;
    상기 소프트웨어 정의 네트워크에 존재하는 증거 데이터를 수집하는 단계 - 상기 증거 데이터는 애플리케이션의 액세스와 관련된 애플리케이션 로그, 컨트롤러와 관련된 컨트롤러 서비스 로그, 상기 컨트롤러와 연결되는 기본 채널과 관련된 northbound API 로그, southbound API 로그, 스위치와 관련된 스위치 플로우 규칙 및 스위치 런타임 로그를 포함함 -;
    상기 수집된 증거 데이터로부터 애플리케이션 로그의 실행 이벤트 정보, 호스트 프로파일 정보, 링크 데이터베이스 정보, API 로그의 이벤트 정보, 스위치 플로우 규칙 정보 및 스위치 런타임 로그 정보를 포함하는 정보들을 추출하는 단계; 및
    상기 추출된 정보들을 상기 학습된 SVM 알고리즘의 특징들로 입력하여 네트워크 공격을 수행한 호스트를 검색하는 단계;를 포함하되,
    상기 애플리케이션 로그는 엑세스 로그 및 오류 로그를 포함하되, 상기 엑세스 로그는 액세스의 제공 출처와 관련된 정보, 액세스의 요청의 성공 상태에 대한 정보 및 액세스의 요청 응답 시간에 대한 정보를 포함하고, 상기 오류 로그는 액세스의 요청을 처리할 때 상기 애플리케이션에서 발생한 오류에 대한 정보를 포함하고,
    상기 컨트롤러 서비스 로그는 상기 소프트웨어 정의 네트워크 내의 컨트롤러에서 실행되는 호스트 추적 서비스 및 링크 검색 서비스의 정보와, 토폴로지 관리자 정보를 포함하고, 상기 northbound API 로그는 northbound 인터페이스에 대한 호출 이벤트의 정보를 포함하고, 상기 southbound API 로그는 southbound 인터페이스에 대한 호출 이벤트 정보를 포함하고, 상기 스위치 런타임 로그는 설정된 데이터 경로 정보, 구성 업데이트 정보, 상기 컨트롤러 연결 상태로의 전환 및 포트 정보에 대한 정보를 포함하며,
    상기 스위치 플로우 규칙은 openflow 기반의 스위치의 openflow 플로우 엔트리로서, 매치 필드 정보, 우선 순위 정보, 카운터 정보, 명령 정보 및 쿠키 정보를 포함하되, 상기 매치 필드 정보는 진입 포트 정보, 패킷 헤더 필드 정보, 이전 플로우 테이블의 메타 데이터로 구성되고, 상기 우선 순위 정보는 상기 엔트리의 일치 우선 순위 정보이고, 상기 카운터 정보는 매칭 패킷의 통계의 정보이고, 상기 명령 정보는 세트 또는 파이프 라인의 처리의 정보이고, 상기 쿠키 정보는 상기 컨트롤러가 전송한 Opaque 데이터이고,
    상기 애플리케이션 로그의 실행 이벤트 정보는 상기 애플리케이션 로그에서 추출되고, 상기 호스트 프로파일 정보 및 상기 링크 데이터베이스 정보는 상기 컨트롤러 서비스 로그에서 추출되며, API 로그의 이벤트 정보는 상기 northbound API 로그 및 상기 southbound API 로그에서 추출되고, 상기 스위치의 플로우 규칙 정보는 상기 스위치 플로우 규칙에서 추출되고, 상기 스위치 런타임 로그 정보는 상기 스위치 런타임 로그에서 추출되는 것을 특징으로 하는 포렌식 방법.
KR1020170181020A 2017-11-01 2017-12-27 소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법 KR102006553B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170144617 2017-11-01
KR1020170144617 2017-11-01

Publications (2)

Publication Number Publication Date
KR20190049322A KR20190049322A (ko) 2019-05-09
KR102006553B1 true KR102006553B1 (ko) 2019-08-01

Family

ID=66546793

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170181020A KR102006553B1 (ko) 2017-11-01 2017-12-27 소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법

Country Status (1)

Country Link
KR (1) KR102006553B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11997128B2 (en) 2020-08-06 2024-05-28 Electronics And Telecommunications Research Institute Method and apparatus for predicting attack vulnerability of computer network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006178521A (ja) * 2004-12-20 2006-07-06 Ubic:Kk デジタル・フォレンジックの方法及びフォレンジックitセキュリティシステム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101692155B1 (ko) * 2015-06-10 2017-01-02 한국과학기술원 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램
KR101772292B1 (ko) * 2015-12-07 2017-08-29 전남대학교산학협력단 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템
KR101779036B1 (ko) * 2016-01-08 2017-09-15 한국인터넷진흥원 머신러닝을 이용하여 이상거래를 탐지하기 위한 장치 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006178521A (ja) * 2004-12-20 2006-07-06 Ubic:Kk デジタル・フォレンジックの方法及びフォレンジックitセキュリティシステム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11997128B2 (en) 2020-08-06 2024-05-28 Electronics And Telecommunications Research Institute Method and apparatus for predicting attack vulnerability of computer network

Also Published As

Publication number Publication date
KR20190049322A (ko) 2019-05-09

Similar Documents

Publication Publication Date Title
US20230040556A1 (en) System and method for network policy simulation
US11528283B2 (en) System for monitoring and managing datacenters
US11770408B2 (en) Method and system of mitigating network attacks
EP3304822B1 (en) Method and apparatus for grouping features into classes with selected class boundaries for use in anomaly detection
KR101900154B1 (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
WO2022083540A1 (zh) 故障恢复预案确定方法、装置及系统、计算机存储介质
WO2016195985A1 (en) Network behavior data collection and analytics for anomaly detection
KR20150105436A (ko) 향상된 스트리밍 방법과 네트워크 메타데이터를 처리하기 위한 시스템
KR102132539B1 (ko) 블록체인 기반의 안전한 소프트웨어 정의 네트워킹 시스템 및 그 방법
US20220052916A1 (en) Orchestration of Activities of Entities Operating in a Network Cloud
US20230064625A1 (en) Method and system for recommending runbooks for detected events
EP3565184B1 (en) Data monitoring for network switch resource
KR102006553B1 (ko) 소프트웨어 정의 네트워크에 수행된 공격의 원인을 파악하는 포렌식 서버 및 그 방법
Čisar et al. Implementation of software-defined networks using open-source environment
US20230060758A1 (en) Orchestration of Activities of Entities Operating in a Network Cloud
Tiloca et al. Performance and security evaluation of SDN networks in OMNeT++/INET
JP4400868B2 (ja) 不正通信の自動設定侵入検知装置、方法および記録媒体
KR20180005554A (ko) 플로우 관제 시스템, 컨트롤러 및 장애 검출 방법
KR102411941B1 (ko) 방화벽 이중화 시스템
Lotlikar et al. A Defense Mechanism for DoS Attacks in SDN (Software Defined Network)
US11477069B2 (en) Inserting replay events in network production flows
EP3474489B1 (en) A method and a system to enable a (re-)configuration of a telecommunications network
JP2016181802A (ja) 制御装置、制御方法及びプログラム
Takiddin Firewalling in SDN: Proposal, Analysis, Implementation and Experiment
Vílchez Cross-layer self-diagnosis for services over programmable networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)