KR102587055B1 - 인공지능 기반 컴퓨터 이상 탐지 시스템 - Google Patents

인공지능 기반 컴퓨터 이상 탐지 시스템 Download PDF

Info

Publication number
KR102587055B1
KR102587055B1 KR1020210143619A KR20210143619A KR102587055B1 KR 102587055 B1 KR102587055 B1 KR 102587055B1 KR 1020210143619 A KR1020210143619 A KR 1020210143619A KR 20210143619 A KR20210143619 A KR 20210143619A KR 102587055 B1 KR102587055 B1 KR 102587055B1
Authority
KR
South Korea
Prior art keywords
packet
switch
sdn
information
controller
Prior art date
Application number
KR1020210143619A
Other languages
English (en)
Other versions
KR20230059429A (ko
Inventor
전광길
Original Assignee
인천대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인천대학교 산학협력단 filed Critical 인천대학교 산학협력단
Priority to KR1020210143619A priority Critical patent/KR102587055B1/ko
Publication of KR20230059429A publication Critical patent/KR20230059429A/ko
Application granted granted Critical
Publication of KR102587055B1 publication Critical patent/KR102587055B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • H04L41/122Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/56Queue scheduling implementing delay-aware scheduling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • H04L47/625Queue scheduling characterised by scheduling criteria for service slots or service orders
    • H04L47/6275Queue scheduling characterised by scheduling criteria for service slots or service orders based on priority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

인공지능 기반 컴퓨터 이상 탐지 시스템은 SDN 네트워크와 인공지능을 기반으로 한 엣지 컴퓨팅 네트워크에서의 링크 실패와 같은 악성 활동 및 보안 공격을 주기적으로 모니터링하여 알려줌으로써 IoT 네트워크용 엣지 컴퓨팅 기반 시스템 아키텍처의 신뢰성을 보장할 수 있다.
본 발명은 SDN 네트워크 및 엣지 네트워크의 연동 시 다양한 보안 문제를 해결하여 시스템 성능이 저하되는 문제점을 예방하고, 이에 따라 운영, 보증, 운영에 중요한 위협, 취약성 평가 표준 서비스 측면에서의 손상을 방지할 수 있는 효과가 있다.

Description

인공지능 기반 컴퓨터 이상 탐지 시스템{System for Detecting Anomaly Computing Based on Artificial Intelligence}
본 발명은 인공지능 기반 컴퓨터 이상 탐지 시스템에 관한 것으로서, 더욱 상세하게는 SDN 및 인공지능을 기반으로 한 엣지 컴퓨팅 네트워크에서 악성 스위치, 악성 패킷의 동작 이상을 감지하는 인공지능 기반 컴퓨터 이상 탐지 시스템에 관한 것이다.
기존의 클라우드 및 엣지 컴퓨팅 플랫폼과 함께 스마트 사물 인터넷(IoT) 및 멀티미디어 애플리케이션의 급속한 발전은 중앙 집중식 네트워크의 기능을 전환하는 새로운 추세를 주도하고 있다. 이러한 중앙 집중식 클라우드 및 엣지 컴퓨팅 네트워크는 다양한 새로운 라우팅 및 보안 문제에 직면하고 있다. 이러한 네트워크는 다양한 악성 활동 및 보안 공격으로 인해 취약한 문제점이 있다.
기존의 클라우드 및 엣지 컴퓨팅은 통신 지연, 불균형한 리소스 할당 및 안전하지 않은 프레임워크의 제약으로 인해 제한된다. 따라서, 기존 IoT 네트워크는 현재 사용자의 요구를 충족시키는 데 어려움을 겪고 있다.
보안은 다양한 변동성과 보안 위협으로 인해 항상 모든 영역에서 중요한 연구 영역 중 하나이다. 클라우드 컴퓨팅, SDN 네트워크 및 엣지 네트워크는 다양한 보안 문제와 위협에 시달리고 있다. 이러한 영역은 보안 위협으로 인해 성능이 저하되고 운영, 보증, 운영에 중요한 위협, 취약성 평가 표준 서비스 측면에서 손상되는 문제점이 있다.
한국 등록특허번호 제10-1692155호
이와 같은 문제점을 해결하기 위하여, 본 발명은 SDN 네트워크와 인공지능을 기반으로 한 엣지 컴퓨팅 네트워크에서의 링크 실패와 같은 악성 활동 및 보안 공격을 주기적으로 모니터링하여 알려줌으로써 IoT 네트워크용 엣지 컴퓨팅 기반 시스템 아키텍처의 신뢰성을 보장할 수 있는 인공지능 기반 컴퓨터 이상 탐지 시스템을 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 특징에 따른 인공지능 기반 컴퓨터 이상 탐지 시스템은,
플로우 엔트리의 집합으로 구성되는 플로우 테이블을 구비하고, 유입되는 패킷을 처리하는 복수의 SDN(Software Defined Network) 스위치;
상기 SDN 스위치로부터 모든 패킷을 수신하고, 상기 플로우 엔트리를 생성하여 상기 SDN 스위치에 전송하고, 네트워크 진단을 수행하는 LLDP(Link Layer Discovery Protocol) 패킷을 가진 패킷 아웃 메시지(Packet Out)를 생성하여 상기 복수의 SDN 스위치로 전송하고, 상기 복수의 SDN 스위치로부터 수신한 패킷 정보를 포함한 패킷 인 메시지(Packet In)를 통해 비정상적인 패킷 동작과 관련된 스위치 정보를 수신하는 컨트롤러;
상기 컨트롤러로부터 상기 플로우 테이블을 수신하고, 상기 수신한 플로우 테이블에 포함된 플로우 정보를 기초로 패킷 카운터 정보, 연결 엔트리, 이전 SDN 스위치 엔트리로 이루어진 스위치 정보를 생성하는 플로우 정보 감지부; 및
상기 플로우 정보 감지부로부터 스위치 정보를 수집하고, 패킷을 미리 정의된 경로를 이용하여 전송하고, 상기 패킷을 수신한 SDN 스위치로부터 플로우 엔트리를 포함한 플로우 테이블을 수신하고, 상기 수신한 플로우 테이블과, 상기 수집한 스위치 정보의 패킷 카운터 정보, 연결 엔트리, 이전 SDN 스위치 엔트리가 모두 일치하지 않는 경우, 해당 스위치를 악성 스위치로 판단하는 악성 트래픽 감지부를 포함한다.
전술한 구성에 의하여, 본 발명은 SDN 네트워크 및 엣지 네트워크의 연동 시 다양한 보안 문제를 해결하여 시스템 성능이 저하되는 문제점을 예방하고, 이에 따라 운영, 보증, 운영에 중요한 위협, 취약성 평가 표준 서비스 측면에서의 손상을 방지할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 IoT 네트워크용 엣지 컴퓨팅 기반 시스템 아키텍처를 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 SDN 기반 이상 감지 시스템의 내부 구성을 간략하게 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 토폴로지 검색 방법을 설명하기 위한 도면이다.
도 4는 본 발명의 실시예에 따른 악성 트래픽 감지부의 악성 스위치, 패킷 탐지 알고리즘을 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 TA-Edge 모델의 작업 다이어그램을 나타낸 도면이다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본 발명은 IoT 네트워크용 엣지 컴퓨팅 기반 시스템 아키텍처를 위한 소프트웨어 정의 네트워크 기반 이상 탐지 시스템(Software-Defined Network Based Anomaly Detection System, SDN-ADS)을 제공한다.
본 발명은 데이터 포워딩을 위한 엣지 장치의 신뢰를 보장하기 위해 TA-Edge(Trusted Authority for Edge Computing) 모델을 제공한다. 엣지 장치는 지정된 신뢰할 수 있는 도메인에 대한 인증 기관 역할을 한다. 엣지 장치의 오버헤드를 극복하기 위해 본 발명에서 제안된 TA-Edge 모델에서는 엣지 노드가 한 번만 인증서를 확인하고 신뢰가 설정되면 모든 통신이 로컬 인증서를 통해 수행될 수 있다.
시뮬레이션 결과는 다양한 성능 매개변수 측면에서 제안된 시스템의 더 나은 성능을 보여준다.
도 1은 본 발명의 실시예에 따른 IoT 네트워크용 엣지 컴퓨팅 기반 시스템 아키텍처를 나타낸 도면이다.
본 발명의 실시예에 따른 IoT 네트워크용 엣지 컴퓨팅 기반 시스템 아키텍처(100)는 SDN 기반 이상 감지 시스템(110), 엣지 컴퓨팅 서버(200), 클라우드 컴퓨팅(300) 및 IoT 네트워크(400)를 포함한다.
SDN 기반 이상 감지 시스템(110)은 SDN 기반 네트워크로서 수직 통합을 중단하고 제어 평면에서 데이터 평면을 분리하는 중앙 집중식 컨트롤러이다.
SDN 네트워크의 중요한 역할은 네트워크 정책 및 구현에서 데이터 트래픽 및 하드웨어와 분리된다. 스위치와 컨트롤러 사이의 데이터 평면 및 제어 평면의 이러한 격리는 정의된 프로그래밍 인터페이스에 의해 실현된다. 데이터 플레인 장치는 OpenFlow와 같이 정의된 API를 사용하여 컨트롤러에 의해 처리된다.
엣지 컴퓨팅 서버(200)는 데이터 트래픽 부하가 완화되는 IoT 네트워크 근처에 컴퓨팅 리소스를 배포하는데 사용된다.
엣지 컴퓨팅 서버(200)는 중앙 집중식 클라우드 컴퓨팅 네트워크로 전송하는 대신 엣지에서 IoT 데이터를 처리하는 네트워크를 제공한다. 이러한 서비스는 클라우드 컴퓨팅(300)보다 더 빠르게 방대한 양의 데이터를 처리하고 더 효율적인 서비스를 제공한다.
엣지 컴퓨팅 서버(200)는 인공지능 소프트웨어를 통해 데이터를 소스와 최대한 가까운 곳에서 수집 처리하는 장치이며, 데이터 수집 및 실시간 계산에 중점을 두고, 이를 구현하기 위해서 인공지능(Artificial Intelligence)과 머신 러닝을 데이터 소스에서 가까운 곳에 더 효율적으로 실행할 수 있다.
IoT 네트워크(400)와 엣지 컴퓨팅 서버(200)와 연동되어야 하는 이유는 IoT 처리 및 분석이 필요한 대량의 데이터를 생성하여 사용한다. 엣지 컴퓨팅은 컴퓨팅 서비스를 최종 사용자 또는 IoT 기기와 같은 데이터 소스에서 가까운 곳으로 이동시킨다.
엣지 컴퓨팅 서버(200)는 IoT 기기에 필요한 데이터 및 컴퓨팅 성능을 위한 프로세싱 및 스토리지의 로컬 소스 역할을 하며, IoT 기기와 이러한 기기가 연결된 중앙 IT 네트워크 사이의 통신 대기 시간을 줄여준다.
엣지 컴퓨팅을 구현하면 연결된 IoT 기기에서 생성된 대규모 데이터를 활용할 수 있습니다. 분석 알고리즘과 머신 러닝 모델을 엣지에 배포하면 로컬에서 데이터를 처리하여 신속한 의사 결정을 내릴 수 있다.
엣지 컴퓨팅 서버(200)는 프레임워크를 사용하여 전반적인 서비스 품질을 향상시키고 방대한 데이터 통신을 지원한다.
클라우드 컴퓨팅(300)은 중앙 집중식으로 컴퓨팅, 스토리지, 네트워크 관리 기능을 제공한다.
클라우드 컴퓨팅(300)은 플랫폼 계층에서 운영 체제와 애플리케이션 네트워크는 그 위에 구축된다.
클라우드 컴퓨팅(300)은 스토리지, 비즈니스 로직 및 데이터베이스 웹 애플리케이션에 대한 API 지원과 같은 배포된 애플리케이션의 부담을 최소화한다.
최상위 계층은 다양한 클라우드 애플리케이션이 가용성, 성능 및 저렴한 솔루션을 제공하기 위해 작업하는 애플리케이션 계층이다.
IoT 네트워크(400)는 네트워크 성능을 향상시키려면 IoT 네트워크(400)를 위한 보다 확장 가능하고 유연하며 안전한 아키텍처를 설계해야 한다. 엣지 컴퓨팅과 클라우드 컴퓨팅(300)이 통합되어 IoT 네트워크(400)에 보다 실현 가능한 아키텍처를 형성할 수 있다.
SDN 기반 네트워크는 인프라, 제어 및 응용 프로그램 계층을 포함한 세 가지 주요 기능 계층으로 나눈다. 인프라 계층은 일반적으로 모든 매체(유선, 무선)와 상호 연결된 스위치와 같은 전달 장치를 기반으로 하는 데이터 평면 계층이라 한다.
두 번째 계층은 SDN 컨트롤러 집합을 기반으로 하는 제어 계층이다. 이러한 컨트롤러는 공개 인터페이스를 사용하여 네트워크 전달 동작을 관리하기 위해 개방형 API(응용 프로그래밍 인터페이스)의 기능과 함께 작동한다.
도 2는 본 발명의 실시예에 따른 SDN 기반 이상 감지 시스템의 내부 구성을 간략하게 나타낸 도면이다.
본 발명의 실시예에 따른 SDN 기반 이상 감지 시스템(110)은 SDN 스위치(111)(111), 네트워크 토폴로지 검색부(112), 플로우 정보 감지부(113), 컨트롤러(114), 악성 트래픽 감지부(115), 분리 모듈(116) 및 저장부(117)를 포함한다.
SDN은 일정한 룰으로 정의할 수 있는 패킷의 집합을 플로우(Flow)로 정의하고, 플로우의 처리 방법을 결정하여 플로우 룰(Flow Rule) 형태로 알리는 컨트롤 플레인(Control Plane)과 플로우 룰을 플로우 테이블에 저장하여 플로우 룰에 따라 패킷을 처리하는 데이터 플레인(Data Plane)으로 나뉜다.
SDN은 컨트롤 플레인과 데이터 플레인이 서로 메시지를 교환하여 동작한다. 이 메시지의 표준 프로토콜을 오픈플로우 프로토콜이라고 한다. 오픈플로우 프로토콜은 오픈소스로 공개되어 있으며, 대부분의 SDN에서 해당 프로토콜을 사용하여 메시지를 교환한다.
네트워크는 플로우(Flow)를 이용하여 통신 가능하다. 플로우는 패킷의 수신부터 송신까지 패킷에 대한 일련의 흐름을 의미한다.
SDN 스위치(111)는 패킷 처리에 필요한 모든 결정을 컨트롤러(114)로 질의하고, 컨트롤러(114)는 네트워크 구성 및 SDN 스위치(111)를 통한 패킷 처리를 제어한다.
이러한 특징을 가진 네트워크를 소프트웨어 정의 네트워크(Software Defined Network, 이하 'SDN'이라 칭함)라 한다.
컨트롤러(114)는 SDN 스위치(111)를 중앙 집중 방식으로 관리한다. SDN 스위치(111)는 컨트롤러(114)의 제어를 받는 에지 스위치 또는 코어 스위치일 수 있다.
SDN에서 입력 측 SDN 스위치(111)에 의한 패킷 수신으로부터 출력 측 SDN 스위치(111)에 의한 패킷 송신까지 패킷에 대한 일련의 흐름이 플로우가 된다.
플로우는 오픈플로우(OpenFlow) 아키텍처의 특정 애플리케이션에 의해 정의될 수 있다.
호스트들(미도시)은 SDN 스위치(111)에 연결되며, SDN 스위치(111)는 컨트롤러(114)에 연결되고, 플로우 테이블(Flow Table)을 가진다. 플로우 테이블은 플로우 룰(매칭 조건)에 따라 패킷이 처리되어야 할 액션(처리 내용)을 정의한 플로우 엔트리(Flow Entry)를 가진 테이블이다.
컨트롤러(114)에서 정한 플로우 룰은 플로우 테이블에 저장된다. 플로우 테이블은 플로우 엔트리의 집합으로 구성되며, 플로우 엔트리는 매칭 필드(Matching Field), 액션(Action), 스탯(Stats)으로 구성된다.
플로우 엔트리의 플로우 룰은 플로우 엔트리 단위로 저장되고 관리된다.
매칭 필드는 패킷의 정보를 저장하고, 액션은 해당 룰에 매칭될 경우, 어떠한 행동을 해야 하는지 정의되며, 스탯은 패킷이 매칭된 개수에 대한 정보를 저장한다.
플로우 엔트리에는 오픈플로우 아키텍처에서 정의한 룰과 액션이 정의된다.
플로우 엔트리의 플로우 룰은 오픈플로우에서 정의한 바와 같이 패킷의 각 프로토콜 계층의 헤더(header) 영역에 포함되는 수신처 주소(Destination Address), 송신처 주소(Source Address), 수신처 포트(Destination Port), 송신처 포트(Source Port) 등에 기초하여 정의되고 식별 가능하다.
플로우 엔트리의 액션은 오픈플로우에서 정의한 바와 같이 "특정한 포트에 출력한다(OUT)", "폐기한다(DROP)" 등과 같은 동작을 나타낸다. 예를 들어, SDN 스위치(111)는 플로우 엔트리의 액션에 출력 포트의 식별 데이터가 나타나 있으면 이 식별 데이터에 대응하는 포트에 패킷을 출력하고, 출력 포트의 식별 데이터가 나타나 있지 않으면 패킷을 폐기한다. SDN 스위치(111)는 플로우 테이블에 등록된 플로우 엔트리의 룰에 따른 패킷 군에 플로우 엔트리의 액션을 수행한다.
컨트롤러(114)는 플로우 엔트리를 생성하여 SDN 스위치(111)에 전송하고, SDN 스위치(111)는 전송받은 플로우 엔트리를 이용하여 플로우 테이블을 구성한다.
SDN 스위치(111)의 플로우 테이블은 TCAM(Ternary Content Addressable Memory) 등과 같은 메모리의 크기 제약 또는 버퍼 오버플로우를 방지하기 위하여 최대 크기가 정해져 있다고 가정한다.
SDN 스위치(111)는 패킷이 수신되면, 패킷 인(Packet-in) 메시지를 패킷 정보와 함께 컨트롤러(114)로 전송한다.
SDN 스위치(111)는 모든 패킷을 컨트롤러(114)로 전송하고, 다시 컨트롤러(114)에서 SDN 스위치(111)의 플로우 테이블에 전송 정보가 저장(기록)된다.
컨트롤러(114)는 수신된 패킷에 대한 플로우 룰을 정의하여 Flow-mod 메시지에 포함시켜 패킷 아웃(Packet-out) 메시지와 함께 SDN 스위치(111)로 전송한다.
SDN 스위치(111)는 Flow-mod 메시지의 내용을 분석하여 플로우 테이블에 저장하게 되고, 유입되는 패킷을 처리한다.
컨트롤러(114)는 컨트롤러(114)가 관리하는 SDN 스위치(111)에 패킷이 수신되면, 해당 패킷의 헤더를 분석하여 패킷을 위한 플로우 엔트리가 플로우 테이블에 존재하는 경우, 해당 패킷을 플로우 엔트리에 따라 전송한다. 하지만, 해당 패킷에 대한 플로우 엔트리가 플로우 테이블에 존재하지 않으면, SDN 스위치(111)는 컨트롤러(114)에 해당 패킷의 처리를 요청한다.
컨트롤러(114)는 새로운 플로우 셋업 요청에 대해 SDN 스위치(111)에 플로우 엔트리 설치 시 엔트리의 타임아웃을 조절할 수 있다.
컨트롤러(114)는 SDN 스위치(111)의 플로우 테이블을 추출하여 플로우 정보 감지부(113)와 악성 트래픽 감지부(115)로 전송한다.
네트워크 토폴로지 감지부는 토폴로지를 검색하고, 경로를 선택한다. 또한, 검색부는 토폴로지를 검색하고, 백업 경로를 설정한 다음, 패킷 전달에 가장 적합한 경로를 선택한다.
네트워크 토폴로지 감지부에서의 네트워크 토폴로지는 활성 및 백업 경로가 시스템을 사용하여 결정하는 위치를 검색하는 컨트롤러(114)를 포함한다.
컨트롤러(114)는 소스에서 목적지까지 최적의 경로로 데이터 패킷을 전송한 후, 패킷을 삭제하고, 목적지에 패킷을 도달시키기 위해 패킷을 교환하는 SDN 스위치(111)를 감지한다.
컨트롤러(114)는 네트워크 토폴로지를 검색한 다음, 패킷을 미리 정의된 경로로 보낸다.
컨트롤러(114)는 네트워크 토폴로지 검색의 경우, 입력으로 토폴로지 그래프와 포트를 설정한다. 정점 V 및 E를 갖는 토폴로지 그래프 G=(V, E)는 N개의 노드가 있는 에지들을 나타낸다. 에지는 이전 노드, 인접 SDN 스위치(111)들을 나타낸다.
와 E로 표시된 복수의 에지들은 non-negative 딜레이 d와 관련이 있다.
컨트롤러(114)는 더 적은 계산 시간으로 목적을 달성하기 위해 우선 순위 큐(Check Priority Queue)를 체크하기 시작하고, 이전 노드들에 대한 파라미터를 설정하고, SDN 스위치(111)에서 컨트롤러(114)까지의 거리를 설정한다.
최적의 경로와 선택된 노드들은 경로를 선택할 때까지 Null이다.
컨트롤러(114)는 송신 규칙을 설정하고, 패킷 전달에 가장 적합한 경로를 선택하기 위해 우선 순위 큐를 생성한다.
컨트롤러(114)는 토폴로지 데이터를 전송한 SDN 스위치(111)들을 선택하여 소스에서 목적지까지 최적의 경로를 선택한다.
컨트롤러(114)는 네트워크 토폴로지 검색이 시작될 때마다 연결된 SDN 스위치(111)에 링크 레이어에 대한 검색 메시지(Discovery Message, DM)를 생성하여 브로드캐스팅한다.
컨트롤러(114)는 패킷 아웃(Packet Out, P-O) 메시지가 SDN 스위치(111)로 전송한 후, SDN 스위치(111)는 패킷 정보를 포함한 패킷 인(Packet In, P-I) 메시지를 생성하여 컨트롤러(114)에 응답한다.
SDN 스위치(111)는 동일한 메시지를 이전 노드에 전송하고, 동일한 경로가 패킷 인 메시지와, 패킷 아웃 메시지들을 응답으로 사용한다.
노드 n이 컨트롤러(114)에 직접 연결되어 있고, 우선 순위 큐가 비어 있으면, 해당 노드를 컨트롤러(114)에 설정한다.
컨트롤러(114)는 우선 순위 큐가 비어 있지 않은 네트워크 토폴로지 검색 단계 이후에 최소 비용으로 노드를 검색한다.
모든 인접 노드에 대해서 검색 메시지를 수신한다면, 컨트롤러(114)는 인접 노드의 거리가 링크 지연보다 크면, 현재 계산된 거리를 가진 우선 순위 큐를 업데이트하고, n은 인접 노드가 이전 노드로 설정된다.
컨트롤러(114)는 토폴로지 그래프와 포트를 설정한 후, 루프를 계산하고 인접 노드에 루프가 없으면 경로(P)를 선택하고, 선택한 경로를 사용하여 데이터를 전송한다.
수학식 1은 메시지의 복잡성을 찾기 위해 제시된다.
여기서, PN은 이전 노드를 나타내고, n은 노드들의 개수를 나타낸다.
복잡성은 우선 순위 큐를 향상되고, 0 (L+ n.logN)으로 표시되고, L은 SDN SDN 스위치(111) 간의 링크이다.
PN이 최대값에 도달하면 보낸 메시지의 전체 점근적 복잡도가 0 (N_2)로 간주된다. n은 컨트롤러(114)에 직접 연결된다.
EN이 빈 노드이고, log N이 기본적으로 n이 기하급수적으로 증가하는 동안 시간이 선형적으로 증가하는 것을 의미한다.
컨트롤러(114) 부하 모니터링은 DM P-O 메시지의 개수 및 DM P-I 메시지의 개수를 보내거나 받아야 할 필요가 있다.
목적지 MD 메시지의 MAC 주소는 다음의 수학식 2와 같이 멀티캐스트 주소 중 하나이다.
여기서, Swithches(n)은 링크와 연결된 SDN 스위치(111) 세트를 나타내며, 컨트롤러(114)가 네트워크 토폴리지를 검색하고, 컨트롤러(114)에 의해 전송한 전체 P-O 메시지들은 Pi로서 SDN 스위치(111) i에 대한 활성 포트 P를 가진 SDN 스위치(111)들 간의 네트워크와 링크를 검색한다.
본 발명은 네트워크의 포트들의 개수가 많기 때문에 더 효율적이다.
도 3은 본 발명의 실시예에 따른 토폴로지 검색 방법을 설명하기 위한 도면이다.
컨트롤러(114)는 토폴로지 검색 모드를 시작하고, 컨트롤러(114)의 IP 주소와 TCP 포트를 설정한다(S100, S101).
다음 단계는 컨트롤러(114)는 활성 포트를 검색하여 활성 포트 유무를 판단하고(S102), 활성 포트인 경우, 다음 단계로 진행하고, 활성 포트가 아닌 경우, S101 단계로 이동한다.
컨트롤러(114)는 활성 포트를 검색한 후, 우선 순위가 높은 목록(새롭게 추가된 포트들)을 기초로 패킷을 검색한다(S103).
컨트롤러(114)는 LLDP(Link Layer Discovery Protocol) 패킷을 가진 패킷 아웃 메시지(Packet Out 메시지)를 생성한다(S104). LLDP 패킷은 네트워크 진단을 수행하는 기능을 수행하고, 시스템 구성 및 관리 정보를 교환하는데 사용된다.
LLDP를 사용하는 경우, 복잡한 네트워크에서 결함이 있는 시스템 구성을 쉽게 감지하고, 시스템이 네트워크의 다른 시스템에 연결 및 관리 정보를 알릴 수 있으며, 서버, SDN 스위치(111) 및 기타 네트워크 구성 장치 간 물리적 연결을 추적할 필요 없이 네트워크 토폴로지에 대한 정보를 쉽게 얻을 수 있다.
컨트롤러(114)는 검색 전송을 중단하라는 중단 신호를 수신했는지 주기적으로 체크하고(S105), 중단 신호를 수신한 경우, 토폴로지 검색 알고리즘을 수행하는 토폴로지 검색 모드를 종료한다(S106).
컨트롤러(114)는 중단 신호를 수신하지 않은 경우, 패킷 아웃 메시지(Packet Out 메시지)를 반복적으로 생성하고, SDN 스위치(111)는 패킷 인 메시지(Packet In 메시지)를 생성하여 컨트롤러(114)로 전송한다(S107).
SDN 스위치(111)는 패킷 아웃 메시지(Packet Out 메시지)를 생성하여 인접 SDN 스위치(111)로 전송한다(S108). 컨트롤러(114)는 오프 SDN 스위치(111) 사이의 링크를 검색한다(S109).
컨트롤러(114)는 SDN 스위치(111)로부터 모든 패킷을 수신하고, 플로우 엔트리를 생성하여 SDN 스위치(111)에 전송하고, 네트워크 진단을 수행하는 LLDP(Link Layer Discovery Protocol) 패킷을 가진 패킷 아웃 메시지(Packet Out)를 생성하여 복수의 SDN 스위치(111)로 전송하고, 복수의 SDN 스위치(111)로부터 수신한 패킷 정보를 포함한 패킷 인 메시지(Packet In)를 통해 비정상적인 패킷 동작과 관련된 스위치 정보를 수신한다.
플로우 정보 감지부(Flow Information Detector, FID)
플로우 정보 감지부(113)는 플로우 정보를 수집하고, 패킷 카운터 관련 정보가 있는 SDN 스위치(111)와, 모든 연결 항목 및 보고 또는 이전 노드의 SDN 스위치(111) 항목을 보고하는데 사용된다. 플로우 정보 감지부(113)는 이러한 정보들을 저장부(117)에 저장한다.
컨트롤러(114)는 프로세스 및 비정상적인 패킷 동작과 관련된 SDN 스위치(111)에 대한 모든 정보를 수신한다.
악성 SDN 스위치(111)는 경로를 변경하고 패킷을 삭제한다. 데이터 패킷이 잘못된 경로로 시작하면, 이전 노드의 SDN 스위치(111)는 엔트리들(Entries)과 일치한다. 엔트리가 없으면, SDN 스위치(111)는 컨트롤러(114)로 이상 상태를 보고한다.
플로우 정보 감지부(113)는 컨트롤러(114)로부터 플로우 테이블을 수신하고, 수신한 플로우 테이블에 포함된 플로우 정보를 기초로 패킷 카운터 정보, 연결 엔트리, 이전 SDN 스위치 엔트리로 이루어진 스위치 정보를 생성한다.
악성 트래픽 감지부(Malicious Traffic Detector, MTD)
악성 트래픽 감지부(115)는 토폴로지 검색과 활성 및 백업 경로를 계산한 후, 다음 단계로 악성 노드를 검색하는 기능을 수행한다.
악성 트래픽 감지부(115)는 악성 노드를 검사하기 위해 전체 네트워크의 패킷 흐름, SDN 스위치(111), 링크 장애 정보를 사용한다.
컨트롤러(114)는 IDS 역할을 하며 활성 및 백업 경로를 계산하고 규칙을 처리하고 모든 SDN 스위치(111)에 대해 초기화한다. SDN 스위치(111) 간의 링크는 공격자가 데이터 플레인과 컨트롤러(114)에서 도청을 사용하여 규칙을 변경하여 전환하는 공격의 주요 지점이다.
이러한 변경은 데이터 삭제 또는 잘못된 데이터 전달에 대한 사기성 삽입으로 이어진다. SDN 스위치(111)에서 패킷을 수신하면 플로우 버퍼에 배치되고 플로우 테이블에 대해 엔트리와 일치하는 규칙을 적용한다.
규칙이 일치하면 패킷이 버퍼에서 제거되고, SDN 스위치(111)는 우선 순위와 시간 초과 값이 있는 포트에서 패킷을 내보내는 역할을 수행한다.
패킷은 링크가 실패할 때마다 올바른 목적지에 도달하기 위해 대체 경로를 사용한다.
악성 트래픽 감지부(115)는 링크 장애나 공격에 의해 경로를 변경하는 패킷을 탐지한다. 호스트가 패킷 플로우 전달에 대한 요청을 보낼 때마다 컨트롤러(114)는 경로를 시작하고 대체 경로와 함께 연결 엔트리를 설치한다.
SDN 스위치(111)가 패킷 플로우를 수신하면 플로우 버퍼에 배치되고 플로우 엔트리와 일치하고 포트에 대한 작업을 시작하며 타임아웃 값을 배치한다.
SDN 스위치(111)는 시간이 다 되지 않은 상태에서 Pi 패킷을 수신하면 Pi 패킷이 플로우 엔트리와 일치하는지 여부를 확인한다.
SDN 스위치(111)는 엔트리들이 일치하면 패킷을 다음 SDN 스위치(111)로 전달하고 증가량을 추가한다.
SDN 스위치(111)는 엔트리가 일치하지 않으면 이상 탐지 시스템(110)에 보고하고 패킷을 어디로 보낼지 문의 요청한다.
악성 트래픽 감지부(115)는 패킷 카운터 정보, 연결 엔트리 및 이전 SDN 스위치 엔트리를 포함하여 보고된 SDN 스위치(111)에 대한 모든 일치 엔트리를 수집한다. 모든 정보가 일치하지 않으면, SDN 스위치(111)는 악성 SDN 스위치(111)로 판단하고, 추가 트래픽 포워딩을 위해 제외된다.
링크 장애의 경우 패킷 플로우는 대체 경로를 선택하고, SDN 스위치(111) 카운트 변수 값을 확인하고 각 SDN 스위치(111)에서 업데이트한다.
각 SDN 스위치(111)는 패킷이 경로를 변경하면, 카운트 변수를 이상 탐지 시스템(110)으로 전송하고 Hello 메시지를 생성하여 이전 노드의 SDN 스위치(111)로 전송하고 패킷이 경로를 변경하면, 다음의 S=1+1이 계산되는 위치에서 업데이트한다.
SDN 스위치(111)는 Hello 메시지를 생성하여 컨트롤러(114)에 응답한다.
악성 트래픽 감지부(115)에서의 알고리즘은 미리 정의된 경로를 사용하여 목적지로 패킷을 초기화한다. 초기화한 후 플로우 테이블에서 수행된 알고리즘과 일치하면, 패킷의 개수를 업데이트하고 플로우 테이블을 전달하고 작업을 실행한다.
플로우 테이블에서 수행된 알고리즘과 일치하지 않은 경우, 플로우 정보 감지부(113)로 전송하고 패킷 통계를 수집하고 검증을 시작하고 공격을 감지하거나 Hello 메시지를 SDN 스위치(111)에 전송하고 응답을 수신하고 링크 실패 상태로 이동한다.
악성 트래픽 감지부(115)는 플로우 정보 감지부(113)로부터 스위치 정보를 수집하고, 패킷을 미리 정의된 경로를 이용하여 전송하고, 패킷을 수신한 SDN 스위치(111)로부터 플로우 엔트리를 포함한 플로우 테이블을 수신하고, 수신한 플로우 테이블과, 수집한 스위치 정보의 패킷 카운터 정보, 연결 엔트리, 이전 SDN 스위치 엔트리가 모두 일치하지 않는 경우, 해당 스위치를 악성 스위치로 판단한다.
도 4는 본 발명의 실시예에 따른 악성 트래픽 감지부의 악성 스위치, 패킷 탐지 알고리즘을 설명하기 위한 도면이다.
악성 트래픽 감지부(115)는 미리 정의된 경로를 이용하여 목적지로 패킷들을 전송한다(S200).
악성 트래픽 감지부(115)는 패킷이 복수의 플로우 테이블 n에서 매칭되는지 판단하고(S201), 매칭되는 패킷이 플로우 테이블에 존재하는 경우, 패킷 카운트와, 작업(Action), 패킷 세트 필드들을 업데이트한다(S202).
악성 트래픽 감지부(115)는 업데이트된 복수의 플로우 테이블 n을 SDN 스위치(111)로 전송할 지 여부를 판단하고(S203), 전송하지 않는 경우, 작업을 수행하고(Execute Action)(S204), 전송하는 경우, S201 단계로 이동한다.
악성 트래픽 감지부(115)는 매칭되는 패킷이 플로우 테이블에 존재하지 않는 경우, 목적지로 전송할 패킷들을 플로우 정보 감지부(113)로 전송하고, 패킷 상태 정보를 수집한다(S205, S206).
악성 트래픽 감지부(115)는 스위치 정보를 플로우 테이블에서 검색하여 검색 여부를 판단하고(S207), 스위치 정보가 플로우 테이블에서 검색되는 경우, 패킷 공격이 감지되었다고 판단하고(S208), 스위치 정보가 플로우 테이블에서 검색되지 않는 경우, Hello 메시지를 생성하여 SDN 스위치(111)로 전송한다(S209).
악성 트래픽 감지부(115)는 Hello 메시지를 수신한 SDN 스위치(111)로부터 응답 신호의 수신 여부를 판단하고(S210), 응답 신호를 수신하는 경우, 패킷 공격이 감지되었다고 판단하며(S208), 응답 신호를 수신하지 못하는 경우, 링크 실패 상태로 판단한다(S211).
분리 모듈(116)은 다음 네트워크 토폴로지 탐지기 프로세스에서 저장부(117)와 일치시켜 악성 탐지된 스위치를 격리한다.
컨트롤러(114)는 패킷이 잘못된 경로를 시작할 때마다 SDN 스위치(111)의 개수를 계산하고 악의적인 동작으로 판단할 수 있다. 컨트롤러(114)는 링크가 실패하면 패킷이 잘못된 경로를 시작하지만 올바른 목적지에 도달하여 패킷 지연이 발생하고 때때로 시간 초과로 인해 삭제된다.
저장부(117)는 수집 및 계산된 모든 정보가 저장되는 곳으로 컨트롤러(114)에서 보고된 오류의 경우 저장부(117)에 저장되고 설치된 엔트로와 일치한다.
도 5는 본 발명의 실시예에 따른 TA-Edge 모델의 작업 다이어그램을 나타낸 도면이다.
엣지 컴퓨팅의 신뢰할 수 있는 기관
TA-Edge(Trusted Authority for Edge Computing) 모델을 구현하기 위해서는 엣지 컴퓨팅 서버(200), 데이터베이스(210), 엣지 인증기관(220)을 포함한다.
SDN 및 클라우드 네트워크와의 신뢰 기반 데이터 통신을 제공한다.
엣지 인증기관(220)은 지정된 신뢰할 수 있는 도메인에 대한 인증 기관 역할을 한다.
엣지 장치의 오버헤드를 극복하기 위해 제안된 TA-Edge 모델에서는 1회용 엣지 노드(10)만 인증서를 확인하고 신뢰가 설정되면 모든 통신이 로컬 인증서를 통해 수행될 수 있다.
엣지 노드(10)는 엣지 컴퓨팅 서버(200)와 연결을 요청한다(S300).
엣지 컴퓨팅 서버(200)는 엣지 인증기관(220)으로 인증을 요청한다(S301).
엣지 인증기관(220)은 CA로부터 서명을 응답하고(S302), CRL을 발급한다.
데이터베이스(210)는 CRL(인증서 해지 목록)에 대한 정보를 저장한다.
CRL은 예정된 만료 날짜 이전에 발급 CA에서 해지한 인증서이다. IoT 장치는 엣지 컴퓨팅 서버(200)와 연결을 설정하고 일반 OCSP(온라인 인증서 상태 프로토콜)를 사용하여 인증서를 확인한다.
엣지 컴퓨팅 서버(200)는 엣지 노드(10)에 의해 서명된 SLC를 엣지 노드(10)로 전송한다. 이로 인하여 엣지 노드(10)와 엣지 컴퓨텅 서버(200)가 연결된다.
IoT 장치는 CA의 공개 키를 사용하여 엣지 노드(10)에서 인증서를 확인한다. 그 후 엣지 노드(10)가 신뢰되면 중간 CA로 작동하여 SLC를 발행할 수 있다.
SLC는 엣지 노드(10)와 IoT device의 개인 키로 서명된다.
도 5는 TA-Edge 모델의 작업 다이어그램을 보여준다.
TA-Edge 모델에서 CA는 데이터베이스(210)에 저장하는 엣지 노드(10)와 모든 CRL 정보를 공유한다.
IoT 노드가 셀룰러 타워를 이용하여 엣지 노드(10)와 연결하고자 할 때마다 엣지 노드(10)는 CA 노드에 검증 요청 신호를 전송하여 노드를 검증한다.
CA는 요청과 노드를 확인하고 응답을 엣지 노드(10)로 다시 보낸다.
엣지 노드(10)는 SLC를 IoT 노드로 전송하고, IoT 노드와 엣지 노드(10) 간에 연결이 설정된다. TA-Edge 모델은 신뢰할 수 있는 데이터 통신을 위한 엣지 컴퓨팅 노드인 IoT 네트워크 노드 간의 신뢰 관계를 개선한다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100: IoT 네트워크용 엣지 컴퓨팅 기반 시스템 아키텍처
110: SDN 기반 이상 감지 시스템
200: 엣지 컴퓨팅 서버
300: 클라우드 컴퓨팅
400: IoT 네트워크

Claims (8)

  1. 플로우 엔트리의 집합으로 구성되는 플로우 테이블을 구비하고, 유입되는 패킷을 처리하는 복수의 SDN(Software Defined Network) 스위치;
    상기 SDN 스위치로부터 모든 패킷을 수신하고, 상기 플로우 엔트리를 생성하여 상기 SDN 스위치에 전송하고, 네트워크 진단을 수행하는 LLDP(Link Layer Discovery Protocol) 패킷을 가진 패킷 아웃 메시지(Packet Out)를 생성하여 상기 복수의 SDN 스위치로 전송하고, 상기 복수의 SDN 스위치로부터 수신한 패킷 정보를 포함한 패킷 인 메시지(Packet In)를 통해 비정상적인 패킷 동작과 관련된 스위치 정보를 수신하는 컨트롤러;
    상기 컨트롤러로부터 상기 플로우 테이블을 수신하고, 상기 수신한 플로우 테이블에 포함된 플로우 정보를 기초로 패킷 카운터 정보, 연결 엔트리, 이전 SDN 스위치 엔트리로 이루어진 스위치 정보를 생성하는 플로우 정보 감지부; 및
    상기 플로우 정보 감지부로부터 스위치 정보를 수집하고, 패킷을 미리 정의된 경로를 이용하여 전송하고, 상기 패킷을 수신한 SDN 스위치로부터 플로우 엔트리를 포함한 플로우 테이블을 수신하고, 상기 수신한 플로우 테이블과, 상기 수집한 스위치 정보의 패킷 카운터 정보, 연결 엔트리, 이전 SDN 스위치 엔트리가 모두 일치하지 않는 경우, 해당 스위치를 악성 스위치로 판단하는 악성 트래픽 감지부를 포함하며,
    상기 악성 트래픽 감지부는 미리 정의된 경로를 이용하여 목적지로 패킷들을 전송하고, 상기 패킷이 복수의 플로우 테이블에서 매칭되는지 판단하고, 매칭되는 패킷이 플로우 테이블에 존재하는 경우, 패킷 카운트와, 작업(Action), 패킷 세트 필드들을 업데이트하고, 상기 업데이트된 플로우 테이블을 상기 SDN 스위치로 전송할 지 여부를 판단하는 인공지능 기반 컴퓨터 이상 탐지 시스템.
  2. 청구항 1에 있어서,
    상기 컨트롤러는 소스에서 목적지까지 최적의 경로로 데이터 패킷을 전송한 후, 패킷을 삭제하고, 목적지에 패킷을 도달시키기 위해 패킷을 교환하는 상기 SDN 스위치를 감지하고, 네트워크 토폴로지를 검색한 다음, 패킷을 미리 정의된 경로로 보내며, 네트워크 토폴로지 검색의 경우, 입력으로 토폴로지 그래프와 포트를 설정하고, 정점 V 및 E를 갖는 그래프 G=(V, E)는 N개의 노드가 있는 에지들을 나타내는 인공지능 기반 컴퓨터 이상 탐지 시스템.
  3. 청구항 1에 있어서,
    상기 컨트롤러는 네트워크 토폴로지 검색이 시작될 때마다 연결된 SDN 스위치에 링크 레이어에 대한 검색 메시지(Discovery Message, DM)를 생성하여 브로드캐스팅하고, 상기 패킷 아웃 메시지가 상기 복수의 SDN 스위치로 전송한 후, 상기 복수의 SDN 스위치는 상기 패킷 정보를 포함한 패킷 인 메시지를 생성하여 상기 컨트롤러에 응답하는 인공지능 기반 컴퓨터 이상 탐지 시스템.
  4. 청구항 1에 있어서,
    상기 컨트롤러는 송신 규칙을 설정하고, 패킷 전달에 가장 적합한 경로를 선택하기 위해 우선 순위 큐를 생성하고, 상기 우선 순위 큐가 비어 있지 않은 네트워크 토폴로지 검색 단계 이후에 최소 비용으로 노드를 검색하고, 모든 인접 노드에 대해서 검색 메시지를 수신한다면, 상기 컨트롤러는 상기 인접 노드의 거리가 링크 지연보다 크면, 현재 계산된 거리를 가진 우선 순위 큐를 업데이트하는 인공지능 기반 컴퓨터 이상 탐지 시스템.
  5. 청구항 1에 있어서,
    상기 컨트롤러가 네트워크 토폴리지를 검색하고, 상기 컨트롤러에 의해 전송한 전체 패킷 아웃 메시지들은 SDN 스위치 i에 대한 활성 포트 P를 가진 SDN 스위치들 간의 네트워크와 링크를 검색하는 인공지능 기반 컴퓨터 이상 탐지 시스템.
  6. 삭제
  7. 청구항 1에 있어서,
    상기 악성 트래픽 감지부는 상기 매칭되는 패킷이 상기 플로우 테이블에 존재하지 않는 경우, 목적지로 전송할 패킷들을 상기 플로우 정보 감지부로 전송하고, 패킷 상태 정보를 수집하고, 상기 스위치 정보를 상기 플로우 테이블에서 검색하여 검색 여부를 판단하고, 상기 스위치 정보가 상기 플로우 테이블에서 검색되는 경우, 패킷 공격이 감지되었다고 판단하는 인공지능 기반 컴퓨터 이상 탐지 시스템.
  8. 청구항 7에 있어서,
    상기 악성 트래픽 감지부는 상기 스위치 정보가 상기 플로우 테이블에서 검색되지 않는 경우, Hello 메시지를 생성하여 상기 SDN 스위치로 전송하고, 상기 Hello 메시지를 수신한 SDN 스위치로부터 응답 신호의 수신 여부를 판단하고, 응답 신호를 수신하는 경우, 패킷 공격이 감지되었다고 판단하며, 상기 응답 신호를 수신하지 못하는 경우, 링크 실패 상태로 판단하는 인공지능 기반 컴퓨터 이상 탐지 시스템.
KR1020210143619A 2021-10-26 2021-10-26 인공지능 기반 컴퓨터 이상 탐지 시스템 KR102587055B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210143619A KR102587055B1 (ko) 2021-10-26 2021-10-26 인공지능 기반 컴퓨터 이상 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210143619A KR102587055B1 (ko) 2021-10-26 2021-10-26 인공지능 기반 컴퓨터 이상 탐지 시스템

Publications (2)

Publication Number Publication Date
KR20230059429A KR20230059429A (ko) 2023-05-03
KR102587055B1 true KR102587055B1 (ko) 2023-10-11

Family

ID=86380535

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210143619A KR102587055B1 (ko) 2021-10-26 2021-10-26 인공지능 기반 컴퓨터 이상 탐지 시스템

Country Status (1)

Country Link
KR (1) KR102587055B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278423A (zh) * 2023-11-07 2023-12-22 国家工业信息安全发展研究中心 模型构建方法、测试平台、计算机设备和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102118687B1 (ko) * 2013-11-15 2020-06-03 삼성전자주식회사 SDN(Software-defined networking)에서 네트워크 장애 해소를 위한 컨트롤러 및 스위치의 동작 방법과, 이를 위한 컨트롤러 및 스위치
CN105993149B (zh) * 2013-11-28 2019-10-08 Kt株式会社 Sdn环境中动态流量控制的方法及设备
KR101692155B1 (ko) 2015-06-10 2017-01-02 한국과학기술원 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램
KR20210015704A (ko) * 2019-07-31 2021-02-10 고려대학교 산학협력단 차량 내부 네트워크에 대한 sdn 기반의 침입 대응 방법 및 이를 이용한 시스템

Also Published As

Publication number Publication date
KR20230059429A (ko) 2023-05-03

Similar Documents

Publication Publication Date Title
Singh et al. Detection and mitigation of DDoS attacks in SDN: A comprehensive review, research challenges and future directions
Qureshi et al. Anomaly detection and trust authority in artificial intelligence and cloud computing
Rawat et al. Software defined networking architecture, security and energy efficiency: A survey
Wibowo et al. Multi-domain software defined networking: research status and challenges
Ahmad et al. Security in software defined networks: A survey
US20200374127A1 (en) Blockchain-powered cloud management system
Han et al. A comprehensive survey of security threats and their mitigation techniques for next‐generation SDN controllers
Alimohammadifar et al. Stealthy probing-based verification (SPV): An active approach to defending software defined networks against topology poisoning attacks
US20150312215A1 (en) Generating optimal pathways in software-defined networking (sdn)
Fernando et al. Blockchain-powered software defined network-enabled networking infrastructure for cloud management
Gillani et al. In-design resilient SDN control plane and elastic forwarding against aggressive DDoS attacks
KR102587055B1 (ko) 인공지능 기반 컴퓨터 이상 탐지 시스템
Ren et al. Multipath resilient routing for endogenous secure software defined networks
Chaudhary et al. A comprehensive survey on software‐defined networking for smart communities
Goud et al. Security challenges and related solutions in software defined networks: a survey
Cao et al. A security‐driven network architecture for routing in industrial Internet of Things
JPWO2014069502A1 (ja) 通信システム、経路情報交換装置、通信ノード、経路情報の転送方法及びプログラム
CN116601928A (zh) 用于分布式网络验证的方法和系统
Desgeorges et al. A technique to monitor threats in sdn data plane computation
Sharathkumar et al. Distributed Clustering based Denial of Service Attack Prevention Mechanism using a Fault Tolerant Self Configured Controller in a Software Defined Network
Nowak et al. Cognitive packet networks for the secure internet of things
Adjou et al. Topotrust: A blockchain-based trustless and secure topology discovery in sdns
Alqallaf Software defined secure ad hoc wireless networks
EP2698961A1 (en) A method for securing traffic on a traffic path in a computer network
KARAKUŞ Implementation of blockchain-assisted source routing for traffic management in software-defined networks

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant