KR20180041952A - DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 - Google Patents

DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 Download PDF

Info

Publication number
KR20180041952A
KR20180041952A KR1020160134382A KR20160134382A KR20180041952A KR 20180041952 A KR20180041952 A KR 20180041952A KR 1020160134382 A KR1020160134382 A KR 1020160134382A KR 20160134382 A KR20160134382 A KR 20160134382A KR 20180041952 A KR20180041952 A KR 20180041952A
Authority
KR
South Korea
Prior art keywords
packets
network
ddos attack
switches
software defined
Prior art date
Application number
KR1020160134382A
Other languages
English (en)
Other versions
KR101900154B1 (ko
Inventor
유명식
응웬트리하이
최진석
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020160134382A priority Critical patent/KR101900154B1/ko
Priority to US15/692,271 priority patent/US10637886B2/en
Publication of KR20180041952A publication Critical patent/KR20180041952A/ko
Application granted granted Critical
Publication of KR101900154B1 publication Critical patent/KR101900154B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치가 개시된다. 개시된 소프트웨어 정의 네트워크는 상기 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하는 컨트롤러; 및 상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치;를 포함하되, 상기 복수의 스위치 각각은, 대응되는 외부의 네트워크에서 수신되는 패킷들을 수집하고, 상기 수집된 패킷들을 이용하여 DDoS 공격을 탐지한다.

Description

DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치{SDN capable of detection DDoS attacks and switch including the same}
본 발명의 실시예들은 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크(SDN: Software Defined Network) 및 이에 포함되는 스위치(switch)에 관한 것이다.
인터넷은 우리의 일상에서 이제 불가분의 중요한 역할을 하고 있으며 사물 인터넷이 본격적으로 일상에 적용될 시에는 이 역할은 더욱 커질 것이라 예상한다. 하지만 종래의 네트워크 장비는 미리 정해진 룰에 따라 작동이 되는 시스템으로서, 관리 시 어려움이 있으며, 새로운 기능을 추가 할 시에는 연관된 모든 장비를 업데이트 또는 교체해야 하는 불편함이 존재한다. 그리고, 각종 새로운 악성 공격으로부터도 보안 상의 취약성을 보이고 있다.
따라서, 이를 해결하고자 등장한 것이 소프트웨어 정의 네트워크(SDN: Software Defined Network)이다. 소프트웨어 정의 네트워크는 기존의 네트워크 장비와는 달리 컨트롤 평면(control plane)과 데이터 평면(data plane)이 분리된다. 따라서, 네트워크 구조가 단순화되어 있고, 네트워크 관리를 유연하게 해주며, 기존 네트워크보다 악성 공격에 대하여 일부 강점이 있다. 하지만, 소프트웨어 정의 네트워크도 보안에 관하여는 완벽한 해결책이 없으며 여전히 취약한 면이 있는 것도 사실이다.
특히, DDoS 공격은 여러 대의 공격자를 분산 배치하여 각 공격자들이 동시에 서비스 거부 공격(DoS: Denial of Service attack)을 수행함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 하는 공격을 의미한다. 즉, 소프트웨어 정의 네트워크에서, 컨트롤 평면과 데이터 평면 사이에서 DDoS 공격이 수행되는 경우 컨트롤러가 정상적으로 데이터 계층에 지시를 내리지 못하여 할 수 있으며, 만약 이러한 공격을 통해 스위치에 위조된 패킷을 대량으로 전달한다면 소프트웨어 정의 네트워크는 과부하가 걸려 정상적인 작동이 제한된다.
최근 들어, 많은 연구자들이 소프트웨어 정의 네트워크에서의 DDoS 공격 탐지 및 완화에 대한 연구를 수행하고 있으나, 아직까지 소프트웨어 정의 네트워크의 컨트롤러에 가해지는 DDoS 공격을 완전하게 탐지하여 막아내는 방법이 존재하지 않는 문제점이 있다.
상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 본 발명에서는 분산된 방식으로 DDoS 공격을 탐지하기 위한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치를 제안하고자 한다.
본 발명의 다른 목적들은 하기의 실시예를 통해 당업자에 의해 도출될 수 있을 것이다.
상기한 목적을 달성하기 위해 본 발명의 바람직한 일 실시예에 따르면, 소프트웨어 정의 네트워크에 있어서, 상기 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하는 컨트롤러; 및 상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치;를 포함하되, 상기 복수의 스위치 각각은, 대응되는 외부의 네트워크에서 수신되는 패킷들을 수집하고, 상기 수집된 패킷들을 이용하여 DDoS 공격을 탐지하는 것을 특징으로 하는 소프트웨어 정의 네트워크가 제공된다.
상기 복수의 스위치 각각은, 상기 DDoS 공격이 탐지되는 경우 경고 메시지를 상기 컨트롤러로 전송할 수 있다.
상기 복수의 스위치 각각은, 하기의 수학식과 같이 정의되는 엔트로피가 기 설정된 임계값보다 작은 경우 DDoS 공격이 탐지된 것으로 판단할 수 있다.
Figure pat00001
여기서, H는 상기 엔트로피, n는 윈도우 W 내의 패킷의 개수, 상기 pi는 윈도우 W 내의 각각의 패킷들의 IP 주소의 확률, x는 패킷들의 목적지의 IP 주소, y는 패킷들이 발생되는 시간의 개수를 각각 의미함.
또한, 본 발명의 다른 실시예에 따르면, 소프트웨어 정의 네트워크에 포함되는 스위치에 있어서, 대응되는 외부의 네트워크에서 수신되는 패킷들을 수집하는 수집부; 및 상기 수집된 패킷들을 이용하여 DDoS 공격을 탐지하는 탐지부;를 포함하는 것을 특징으로 하는 스위치가 제공된다.
본 발명에 따른 소프트웨어 정의 네트워크는 적은 오버헤드로 DDoS 공격을 정확하게 탐지하는 장점이 있다.
도 1은 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 기본 구조를 도시한 도면이다.
도 2는 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 개략적인 구조를 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 스위치의 개략적인 구성을 도시한 도면이다.
본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
이하, 본 발명의 대상이 되는 소프트웨어 정의 네트워크에 대해 간략하게 설명하기로 한다.
도 1은 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 기본 구조를 도시한 도면이고, 도 2는 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 1을 참조하면, 소프트웨어 정의 네트워크는 크게 데이터 평면(data plane)과 대응되는 인프라스트럭처 계층(infrastructure layer)과, 컨트롤 평면(control plane)과 대응되는 컨트롤 계층(control layer)과, 애플리케이션 계층(application layer)으로 나뉜다. 데이터 계층은 소프트웨어 정의 네트워크의 특정 인터페이스를 통해 제어를 받는 계층으로서, 데이터 흐름의 전송을 담당한다. 컨트롤 계층은 데이터의 흐름을 제어하는 계층으로서 애플리케이션과 네트워크 서비스를 통하여 데이터 흐름을 라우팅 할 것인지, 전달을 할 것인지, 거절할 것인지를 결정한다. 또한 데이터 계층의 동작들을 정리하여 API(Application Programming Interface) 형태로 애플리케이션 계층에 전달한다. 마지막으로 애플리케이션 계층은 제어 계층에서 제공한 API들을 이용하여 네트워크의 다양한 기능들을 수행 할 수 있도록 한다.
한편, 전통적인 네트워크에서 라우터, 스위치와 같은 네트워크 장비는 트래픽 제어와 규칙을 담당한다. 그러므로 네트워크의 라우팅 정보는 스위치와 라우터에서 저장한다. 이와 같은 네트워크 구조는 네트워크가 변화할 때마다 관리자가 관련 인터넷 설비를 배치해야 한다는 문제가 있고, 데이터 센터나 그룹 네트워크 환경은 잦은 네트워크 변화로 자원을 낭비한다.
OpenFlow은 위와 같은 전통적인 네트워크의 단점을 보완하는 컨트롤러와 네트워크 장치간의 인터페이스 규격으로 사용되고 있는 기술이다. 도 2를 참조하면, OpenFlow는 제어 평면과 데이터 평면을 분리하여 네트워크를 운용할 수 있게 함으로써 네트워크 트래픽을 제어할 수 있는 기능과 전달할 수 있는 기능을 분리하며 소프트웨어를 제작하여 네트워크를 제어할 수 있도록 해준다. OpenFlow 프로토콜을 사용하면, 제어 및 데이터 평면을 하드웨어가 아닌 소프트웨어로도 구현할 수 있으며, 이 소프트웨어를 범용 서버에 설치하여 신속하게 새로운 기능을 구현할 수 있다.
OpenFlow는 프로토콜 계층 1~4까지의 헤더 정보를 하나로 조합하여 패킷(프레임)의 동작을 지정할 수 있다. 제어 평면의 프로그램을 수정하면 계층 4까지의 범위에서 사용자가 자유롭게 새로운 프로토콜을 만들 수 있고, 특정 서비스나 애플리케이션에 최적화된 네트워크를 사용자가 구현할 수도 있다. 즉, OpenFlow는 패킷을 제어하는 기능과 전달하는 기능을 분리하고 프로그래밍을 통해 네트워크를 제어하는 기술이다.
상기에서 설명된 내용을 참조하여 본 발명의 일 실시예에 따른 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크를 상세하게 설명한다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 개략적인 구조를 도시한 도면이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(300)는, 일례로 OpenFlow(OF) 인터페이스를 사용하며, 컨트롤러(310) 및 복수의 스위치(320)를 포함한다.
컨트롤러(310)는 OpenFlow 인터페이스를 따르는 OF 컨트롤러로서, 컨트롤 평면에 위치한다. 컨트롤러(310)는 네트워크의 모든 제어 명령, 데이터 트래픽의 전달을 수행하며, 전체 네트워크를 직접적으로 제어한다.
복수의 스위치(320) 각각은 OpenFlow 인터페이스를 따르는 OF 스위치로서, 데이터 평면에 위치하며, 대응되는 외부 네트워크와 연결된다.
즉, 컨트롤러(310)는 복수의 스위치(320) 각각에 명령을 전송하고, 각각의 스위치(320)는 수신된 명령에 따라 패킷을 목적지로 전송하거나 수정, 폐기하는 등의 처리를 한다. OpenFlow 프로토콜을 이용하여, 컨트롤러(310)는 패킷의 포워딩 방법이나 VLAN 우선순위 값 등을 스위치(320)에 전달하여 수행되도록 하며, 스위치(320)는 장애정보와 사전에 등록된 플로우 엔트리가 없는 패킷에 대한 정보를 컨트롤러에 문의하고 그 결정을 받아 처리한다.
특히, 컨트롤러(310)는 경로 계산을 주 역할로 수행하는 것으로서, 패킷을 전송할 때 몇 가지 매개 변수를 기반으로 경로를 결정한다. 사용하는 매개 변수로는 최단경로(SPF)나 회선 속도 외에 사용자가 지정한 경로의 가중치나 부하 분산 조건 등이 있다. 컨트롤러(310)가 계산한 경로 정보는 TLS(Transport Layer Security) 또는 일반 TCP 연결을 통해 스위치(320)에 보내지며 플로우 테이블에 저장된다. 이후 스위치(320)는 패킷을 수신할 때마다 플로우 테이블을 확인하고 그 프레임을 지정된 경로로 전송한다.
한편, 복수의 스위치(320) 각각은 외부의 네트워크에서 수신되는 패킷들을 수집하고, 수집된 패킷들을 이용하여 DDoS 공격을 탐지할 수 있다. 즉, 본 발명에 따르면, 소프트웨어 정의 네트워크에 대한 DDoS 공격은 복수의 스위치(320)에서 분산되어 탐지할 수 있다.
보다 상세하게, 컨트롤러(310)에서 DDoS 공격을 탐지하는 것으로 가정하는 경우, 복수의 스위치(320) 각각은 플로우 테이블을 컨트롤러(310)로 주기적으로 전송하고 컨트롤러(310)는 각각의 플로우 테이블을 통해 전체적인 플로우의 정보를 수집한 후 이를 분석하여 DDoS 공격이 있었는지의 여부를 감지할 수 있다. 그러나, 컨트롤러(310)에서 모든 DDoS 공격의 탐지가 수행되는바 플로우 수집 및 프로세싱이 컨트롤 평면에 집중되어 과부하(오버로드)가 큰 단점이 있다.
따라서, 본 발명은 이와 같은 문제점을 해결하기 위해 복수의 스위치(320) 각각에서 분산적으로 DDoS 공격의 탐지를 수행하며, 특히 컨트롤러(310)의 명령을 받지 않고 자체적으로 DDoS 공격의 탐지를 수행한다. 이에 따라 컨트롤러(310) 및 스위치(320) 사이에 빈번한 플로우 수집에 의한 과부하가 발생되지 않는 장점이 있다.
이하, 도 4를 참조하여 본 발명의 일 실시예에 따른 스위치(320)을 설명하기로 한다.
도 4는 본 발명의 일 실시예에 따른 스위치(320)의 개략적인 구성을 도시한 도면이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 스위치(320)는 수집부(321), 탐지부(322) 및 통신부(323)를 포함한다.
수집부(321)는 외부의 네트워크에서 수신되는 패킷들을 수집한다. 이 때, 패킷들은 통신부(323)를 통해 수신될 수 있다.
즉, 수집부(321)는 스위치(31) 내의 플로우 테이블을 활용하여 각 플로우 항목의 패킷 수의 카운터의 복사본을 추가하여 확장하여 패킷들을 수집할 수 있다. 그 결과 모니터링 기간 동안 플로우 정보를 용이하게 수집한다.
그리고, 탐지부(322)는 수집된 패킷들을 이용하여 DDoS 공격을 탐지한다.
보다 상세하게, 탐지부(322)는 하기의 수학식 1과 같이 정의되는 엔트로피가 기 설정된 임계값보다 작은 경우 DDoS 공격이 탐지된 것으로 판단할 수 있다. 이에 따라, 탐지부(322)는 실시간으로 대용량의 트래픽을 처리할 수 있다.
Figure pat00002
여기서, H는 엔트로피, n는 윈도우 W 내의 패킷의 개수, pi는 윈도우 W 내의 각각의 패킷들의 IP 주소의 확률, x는 패킷들의 목적지의 IP 주소, y는 패킷들이 발생되는 시간의 개수를 각각 의미한다.
또한, 통신부(330)는 DDoS 공격이 탐지되는 경우 경고 메시지를 컨트롤러(310)로 전송한다. 이 후, 컨트롤러(310)는 스위치(320)의 ID를 가진 모든 패킷을 표시하여 공격자가 포함된 외부 네트워크를 다시 추적할 수 있다.
요컨대, 본 발명의 일 실시예에 따른 스위치(320)는 컨트롤러(310)에 가해지는 DDoS 공격을 효과적으로 탐지 및 완화할 수 있다. 또한, 확장성 측면에서 하나의 스위치(320)는 로컬 네트워크에서의 DDoS 공격을 검출할 수 있었지만 모든 스위치(320)를 분산 실행하여 DDoS 공격을 탐지하는 경우 전체 네트워크의 공격을 탐지할 수 있다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (5)

  1. 소프트웨어 정의 네트워크에 있어서,
    상기 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하는 컨트롤러; 및
    상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하는 복수의 스위치;를 포함하되,
    상기 복수의 스위치 각각은, 대응되는 외부의 네트워크에서 수신되는 패킷들을 수집하고, 상기 수집된 패킷들을 이용하여 DDoS 공격을 탐지하는 것을 특징으로 하는 소프트웨어 정의 네트워크.
  2. 제1항에 있어서,
    상기 복수의 스위치 각각은,
    상기 DDoS 공격이 탐지되는 경우 경고 메시지를 상기 컨트롤러로 전송하는 것을 특징으로 하는 소프트웨어 정의 네트워크.
  3. 제1항에 있어서,
    상기 복수의 스위치 각각은, 하기의 수학식과 같이 정의되는 엔트로피가 기 설정된 임계값보다 작은 경우 DDoS 공격이 탐지된 것으로 판단하는 것을 특징으로 하는 소프트웨어 정의 네트워크.

    Figure pat00003


    여기서, H는 상기 엔트로피, n는 윈도우 W 내의 패킷의 개수, 상기 pi는 윈도우 W 내의 각각의 패킷들의 IP 주소의 확률, x는 패킷들의 목적지의 IP 주소, y는 패킷들이 발생되는 시간의 개수를 각각 의미함.
  4. 소프트웨어 정의 네트워크에 포함되는 스위치에 있어서,
    대응되는 외부의 네트워크에서 수신되는 패킷들을 수집하는 수집부; 및
    상기 수집된 패킷들을 이용하여 DDoS 공격을 탐지하는 탐지부;를 포함하는 것을 특징으로 하는 스위치.
  5. 제4항에 있어서,
    상기 탐지부는 하기의 수학식과 같이 정의되는 엔트로피가 기 설정된 임계값보다 작은 경우 DDoS 공격이 탐지된 것으로 판단하는 것을 특징으로 하는 스위치.

    Figure pat00004


    여기서, H는 상기 엔트로피, n는 윈도우 W 내의 패킷의 개수, 상기 pi는 윈도우 W 내의 각각의 패킷들의 IP 주소의 확률, x는 패킷들의 목적지의 IP 주소, y는 패킷들이 발생되는 시간의 개수를 각각 의미함.
KR1020160134382A 2016-10-17 2016-10-17 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 KR101900154B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160134382A KR101900154B1 (ko) 2016-10-17 2016-10-17 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
US15/692,271 US10637886B2 (en) 2016-10-17 2017-08-31 Software defined network capable of detecting DDoS attacks and switch included in the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160134382A KR101900154B1 (ko) 2016-10-17 2016-10-17 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치

Publications (2)

Publication Number Publication Date
KR20180041952A true KR20180041952A (ko) 2018-04-25
KR101900154B1 KR101900154B1 (ko) 2018-11-08

Family

ID=61904877

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160134382A KR101900154B1 (ko) 2016-10-17 2016-10-17 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치

Country Status (2)

Country Link
US (1) US10637886B2 (ko)
KR (1) KR101900154B1 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101900154B1 (ko) * 2016-10-17 2018-11-08 숭실대학교산학협력단 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
US11750622B1 (en) * 2017-09-05 2023-09-05 Barefoot Networks, Inc. Forwarding element with a data plane DDoS attack detector
DE102017219770B4 (de) * 2017-11-07 2019-06-19 Continental Automotive Gmbh Verfahren zum Betreiben einer Ethernet-Kommunikationseinrichtung und Ethernet-Kommunikationseinrichtung
CN108289104B (zh) * 2018-02-05 2020-07-17 重庆邮电大学 一种工业SDN网络DDoS攻击检测与缓解方法
US11108812B1 (en) 2018-04-16 2021-08-31 Barefoot Networks, Inc. Data plane with connection validation circuits
CN109005157B (zh) * 2018-07-09 2020-07-10 华中科技大学 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN109617931B (zh) * 2019-02-20 2020-11-06 电子科技大学 一种SDN控制器的DDoS攻击防御方法及防御系统
CN110798442B (zh) * 2019-09-10 2023-01-20 广州西麦科技股份有限公司 数据注入攻击检测方法及相关装置
CN111294328A (zh) * 2019-10-23 2020-06-16 上海科技网络通信有限公司 基于信息熵计算对sdn网络主动安全防御的方法
CN111490989A (zh) * 2020-04-10 2020-08-04 全球能源互联网研究院有限公司 一种网络系统、攻击检测方法、装置及电子设备
CN111740950A (zh) * 2020-05-13 2020-10-02 南京邮电大学 一种SDN环境DDoS攻击检测防御方法
US11848959B2 (en) * 2020-05-13 2023-12-19 Nanjing University Of Posts And Telecommunications Method for detecting and defending DDoS attack in SDN environment
US11405418B2 (en) 2020-06-16 2022-08-02 Bank Of America Corporation Automated distributed denial of service attack detection and prevention
CN113378168B (zh) * 2021-07-04 2022-05-31 昆明理工大学 一种基于Renyi熵和BiGRU算法实现SDN环境下的DDoS攻击检测方法
CN114513340B (zh) * 2022-01-21 2023-02-07 华中科技大学 一种软件定义网络中的两级DDoS攻击检测与防御方法
CN114422276A (zh) * 2022-03-30 2022-04-29 南京邮电大学 基于区块链技术的DDoS攻击检测和威胁信息共享方法
CN114422277B (zh) * 2022-04-01 2022-07-01 中国人民解放军战略支援部队航天工程大学 防御网络攻击的方法、装置、电子设备和计算机可读介质
CN114866350B (zh) * 2022-07-06 2022-09-27 南京明博互联网安全创新研究院有限公司 Sdn数据平面低速率攻击检测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140088340A (ko) * 2013-01-02 2014-07-10 한국전자통신연구원 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
KR20160036182A (ko) * 2014-09-24 2016-04-04 (주)유비쿼스 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법
US20160269432A1 (en) * 2013-11-22 2016-09-15 Huawei Technologies Co.,Ltd. Malicious attack detection method and apparatus
US20160294871A1 (en) * 2015-03-31 2016-10-06 Arbor Networks, Inc. System and method for mitigating against denial of service attacks

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7522521B2 (en) * 2005-07-12 2009-04-21 Cisco Technology, Inc. Route processor adjusting of line card admission control parameters for packets destined for the route processor
US9038151B1 (en) * 2012-09-20 2015-05-19 Wiretap Ventures, LLC Authentication for software defined networks
US9306840B2 (en) * 2012-09-26 2016-04-05 Alcatel Lucent Securing software defined networks via flow deflection
KR101900154B1 (ko) * 2016-10-17 2018-11-08 숭실대학교산학협력단 DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140088340A (ko) * 2013-01-02 2014-07-10 한국전자통신연구원 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
US20160269432A1 (en) * 2013-11-22 2016-09-15 Huawei Technologies Co.,Ltd. Malicious attack detection method and apparatus
KR20160036182A (ko) * 2014-09-24 2016-04-04 (주)유비쿼스 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법
US20160294871A1 (en) * 2015-03-31 2016-10-06 Arbor Networks, Inc. System and method for mitigating against denial of service attacks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Seyed Mohammad Mousavi, Marc St-Hilaire, "Early Detection of DDoS Attacks against SDN Controllers", IEEE, 2015 International Conference (2015.02.19.) *

Also Published As

Publication number Publication date
KR101900154B1 (ko) 2018-11-08
US10637886B2 (en) 2020-04-28
US20180109556A1 (en) 2018-04-19

Similar Documents

Publication Publication Date Title
KR101900154B1 (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
KR101907752B1 (ko) 인공지능을 이용하여 DDoS 공격을 탐지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
US10404555B2 (en) System and method for dynamic management of network device data
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
CN112615818B (zh) 基于sdn的ddos攻击防护方法、装置及系统
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US8089871B2 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
US20190297017A1 (en) Managing network congestion using segment routing
EP3366020B1 (en) Sdn controller assisted intrusion prevention systems
US10986018B2 (en) Reducing traffic overload in software defined network
KR101615045B1 (ko) 지능형 보안 네트워킹 시스템 및 그 방법
Dridi et al. A holistic approach to mitigating DoS attacks in SDN networks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Singh et al. Prevention mechanism for infrastructure based denial-of-service attack over software defined network
KR20060130892A (ko) 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR101914831B1 (ko) 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR102013044B1 (ko) 멀웨어 공격을 방지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR101854996B1 (ko) 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치
KR20180045509A (ko) Arp 스푸핑 공격을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR101948984B1 (ko) 스위치 손상을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
US20190230115A1 (en) Fatigue-based segment routing
JP2008206115A (ja) ネットワーク制御方法
JP6509143B2 (ja) 帯域制御装置及び方法
KR20180041977A (ko) 링크 검출 서비스에 대한 인증을 지원하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR101147483B1 (ko) 하이브리드 DDoS 차단 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right