KR20190049323A - SDN for preventing malware attack and controller including the same - Google Patents
SDN for preventing malware attack and controller including the same Download PDFInfo
- Publication number
- KR20190049323A KR20190049323A KR1020170181021A KR20170181021A KR20190049323A KR 20190049323 A KR20190049323 A KR 20190049323A KR 1020170181021 A KR1020170181021 A KR 1020170181021A KR 20170181021 A KR20170181021 A KR 20170181021A KR 20190049323 A KR20190049323 A KR 20190049323A
- Authority
- KR
- South Korea
- Prior art keywords
- host
- address information
- list
- transmitting
- connection request
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
Description
본 발명의 실시예들은 멀웨어 공격(malware attack)을 방지하는 소프트웨어 정의 네트워크(SDN: Software Defined Network) 및 이에 포함되는 컨트롤러(controller)에 관한 것이다. Embodiments of the present invention relate to a Software Defined Network (SDN) and a controller included therein to prevent malware attacks.
인터넷은 우리의 일상에서 이제 불가분의 중요한 역할을 하고 있으며 사물 인터넷이 본격적으로 일상에 적용될 시에는 이 역할은 더욱 커질 것이라 예상한다. 하지만 종래의 네트워크 장비는 미리 정해진 룰에 따라 작동이 되는 시스템으로서, 관리 시 어려움이 있으며, 새로운 기능을 추가 할 시에는 연관된 모든 장비를 업데이트 또는 교체해야 하는 불편함이 존재한다. 그리고, 각종 새로운 악성 공격으로부터도 보안 상의 취약성을 보이고 있다. The Internet plays an integral and important role in our daily lives, and we expect that this role will grow even more when the Internet of Things is applied to everyday life. However, the conventional network equipment operates in accordance with predetermined rules, which is difficult to manage, and when adding new functions, it is inconvenient to update or replace all related equipment. And it shows security vulnerabilities from various new malicious attacks.
따라서, 이를 해결하고자 등장한 것이 소프트웨어 정의 네트워크(SDN: Software Defined Network)이다. 소프트웨어 정의 네트워크는 기존의 네트워크 장비와는 달리 컨트롤 평면(control plane)과 데이터 평면(data plane)이 분리된다. Therefore, Software Defined Network (SDN) is emerging to solve this problem. A software defined network is separated from the control plane and the data plane unlike the existing network equipment.
이 때, 컨트롤 평면에는 컨트롤러(controller)가 위치하고, 데이터 평면에는 복수의 스위치(switch)가 위치하며, 복수의 스위치는 컨트롤러에 의해 제어되며, 스위치는 주기적으로 자신의 상태를 컨트롤러에게 보고한다. 즉, 컨트롤러는 하부 스위치에 라우팅 메커니즘을 구성하여 전체적으로 네트워크를 관리한다. 따라서, 네트워크 구조가 단순화되어 있고, 네트워크 관리를 유연하게 해준다. At this time, a controller is located on a control plane, a plurality of switches are located on a data plane, a plurality of switches are controlled by a controller, and the switch periodically reports its state to the controller. That is, the controller manages the network as a whole by configuring a routing mechanism in the sub-switch. Thus, the network structure is simplified, and the network management is flexible.
한편, 모바일 장치가 급속하게 발전하면서, 모바일 멀웨어 공격이 증가하고 있다. 모바일 멀웨어는 사용자 시스템에 침투하기 위해 설계되는 소프트웨어로써, 특히, 안드로이드 기반의 모바일 장치의 경우 APK(Android Application Package)를 통해 모바일 멀웨어가 무작위로 배포되고 있다. 모바일 멀웨어는 시스템을 파괴하는 데 그치지 않고 개인의 정보를 해킹할 수 있으며, 이에 따라 모바일 멀웨어의 위협성이 커지고 있다. On the other hand, with the rapid development of mobile devices, mobile malware attacks are increasing. Mobile malware is software designed to infiltrate user systems. In particular, mobile malware is distributed randomly through APK (Android Application Package) for Android-based mobile devices. Mobile malware can not only destroy the system but can also hack personal information, thus increasing the threat of mobile malware.
상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 본 발명에서는 멀웨어 공격을 효과적으로 방지할 수 있는 소프트웨어 정의 네트워크(SDN: Software Defined Network) 및 이에 포함되는 컨트롤러(controller)를 제공하고자 한다. In order to solve the problems of the related art as described above, the present invention provides a Software Defined Network (SDN) that can effectively prevent malware attacks and a controller included therein.
본 발명의 다른 목적들은 하기의 실시예를 통해 당업자에 의해 도출될 수 있을 것이다.Other objects of the invention will be apparent to those skilled in the art from the following examples.
상기한 목적을 달성하기 위해 본 발명의 바람직한 일 실시예에 따르면, 소프트웨어 정의 네트워크에 있어서, 적어도 하나의 호스트와 연결되는 복수의 스위치; 및 상기 복수의 스위치를 제어하는 컨트롤러;를 포함하되, 상기 컨트롤러는, 상기 복수의 스위치 중 어느 하나의 스위치로부터 수신된 연결 요청 메시지로부터 송신 호스트의 주소 정보 및 수신 호스트의 주소 정보를 추출하고, 상기 송신 호스트의 주소 정보를 이용하여 상기 송신 호스트에 대한 보류 연결 리스트 또는 최근 접속 수신 호스트 리스트를 검색하고, 상기 송신 호스트의 주소 정보 및 상기 보류 연결 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하거나, 상기 송신 호스트의 주소 정보 및 상기 수신 호스트의 주소 정보 및 상기 최근 접속 수신 호스트 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하는 것을 특징으로 하는 소프트웨어 정의 네트워크가 제공된다. According to a preferred embodiment of the present invention, there is provided a software defined network comprising: a plurality of switches connected to at least one host; And a controller for controlling the plurality of switches, wherein the controller extracts address information of a transmitting host and address information of a receiving host from a connection request message received from any one of the plurality of switches, And searches the pending connection list or the latest connection receiving host list for the transmitting host by using the address information of the transmitting host and determines whether the transmitting host is a malicious host by using the address information of the transmitting host and the pending connection list Or determines whether the transmitting host is a malicious host by using the address information of the transmitting host, the address information of the receiving host, and the latest connected receiving host list.
상기 컨트롤러는, 상기 송신 호스트의 주소 정보가 악의적인 호스트인지 여부를 판단하기 위한 미리 설정된 블랙 리스트에 포함되는 경우, 상기 송신 호스트를 악의적 호스트로 판단할 수 있다. If the address information of the transmitting host is included in a preset black list for determining whether the address information of the transmitting host is a malicious host, the controller can determine the transmitting host as a malicious host.
상기 송신 호스트의 주소 정보가 상기 블랙 리스트에 포함되어 있지 않는 경우, 상기 컨트롤러는, 상기 수신된 연결 요청 메시지에 따른 연결 요청을 상기 보류 연결 리스트에 추가하고, 상기 추가된 연결 요청이 포함된 상기 보류 연결 리스트의 총 연결 요청이 미리 설정된 제1 임계값을 초과하는 경우 상기 송신 호스트를 악의적 호스트로 판단할 수 있다. If the address information of the transmitting host is not included in the black list, the controller adds a connection request according to the received connection request message to the pending connection list, If the total connection request of the connection list exceeds a preset first threshold value, the transmission host can be determined as a malicious host.
상기 송신 호스트의 주소 정보가 상기 블랙 리스트에 포함되어 있지 않는 경우, 상기 컨트롤러는, 상기 추출된 수신 호스트의 주소 정보가 상기 최근 접속 수신 호스트 리스트에 포함되어 있지 않는 경우, 상기 수신된 연결 요청 메시지에 따른 연결 요청을 대기 큐(waiting queue)에 배치하고, 상기 배치된 연결 요청이 포함된 상기 대기 큐에 배치된 총 연결 요청이 미리 설정된 제2 임계값을 초과하는 경우 상기 송신 호스트를 악의적 호스트로 판단할 수 있다. If the address information of the transmitting host is not included in the black list, the controller, if the address information of the extracted receiving host is not included in the recent connection receiving host list, And if the total connection request placed in the waiting queue including the placed connection request exceeds a preset second threshold value, the transmitting host is determined to be a malicious host can do.
또한, 본 발명의 다른 실시예에 따르면, 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하는 컨트롤러에 있어서, 상기 복수의 스위치 중 어느 하나의 스위치로부터 연결 요청 메시지를 수신하는 통신부; 상기 수신된 연결 요청 메시지로부터 송신 호스트의 주소 정보 및 수신 호스트의 주소 정보를 추출하는 추출부; 상기 송신 호스트의 주소 정보를 이용하여 상기 송신 호스트에 대한 보류 연결 리스트 또는 최근 접속 수신 호스트 리스트를 검색하는 검색부; 및 상기 송신 호스트의 주소 정보 및 상기 보류 연결 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하거나, 상기 송신 호스트의 주소 정보 및 상기 수신 호스트의 주소 정보 및 상기 최근 접속 수신 호스트 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하는 제어부;를 포함하는 것을 특징으로 하는 컨트롤러가 제공된다. According to another embodiment of the present invention, there is provided a controller located in a control plane of a software defined network, the controller comprising: a communication unit for receiving a connection request message from any one of the plurality of switches; An extracting unit for extracting address information of a transmitting host and address information of a receiving host from the received connection request message; A searching unit searching for a pending connection list or a latest connection receiving host list for the transmitting host by using the address information of the transmitting host; And determining whether the transmitting host is a malicious host by using the address information of the transmitting host and the pending connection list, or by using the address information of the transmitting host, the address information of the receiving host, And a controller for determining whether the transmitting host is a malicious host.
본 발명에 따르면, 본 발명에 따른 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러는 멀웨어 공격을 효과적으로 방지할 수 있는 장점이 있다. According to the present invention, the software defined network and the controller included therein can advantageously prevent malware attacks.
또한, 본 발명의 효과는 상기한 효과로 한정되는 것은 아니며, 본 발명의 상세한 설명 또는 특허청구범위에 기재된 발명의 구성으로부터 추론 가능한 모든 효과를 포함하는 것으로 이해되어야 한다.
It should be understood that the effects of the present invention are not limited to the above effects and include all effects that can be deduced from the detailed description of the present invention or the configuration of the invention described in the claims.
도 1은 종래의 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 기본 구조를 도시한 도면이다.
도 2는 종래의 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크의 개략적인 구조를 도시한 도면이다.
도 4는 본 발명의 제1 실시예에 따른 컨트롤러의 멀웨어 공격의 방지 동작의 흐름도를 도시한 도면이다.
도 5는 본 발명의 제2 실시예에 따른 컨트롤러의 멀웨어 공격의 방지 동작의 흐름도를 도시한 도면이다.1 is a diagram showing a basic structure of a conventional Software Defined Network (SDN).
2 is a diagram showing a structure of OpenFlow used in a conventional software defined network.
3 is a diagram illustrating a schematic structure of a software defined network according to an embodiment of the present invention.
4 is a flowchart illustrating a malware attack prevention operation of the controller according to the first embodiment of the present invention.
5 is a flowchart illustrating a malware attack prevention operation of the controller according to the second embodiment of the present invention.
본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "구성된다" 또는 "포함한다" 등의 용어는 명세서상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise. In this specification, the terms " comprising ", or " comprising ", etc. should not be construed as necessarily including the various elements or steps described in the specification, Or may be further comprised of additional components or steps. Also, the terms " part, "" module, " and the like described in the specification mean units for processing at least one function or operation, which may be implemented in hardware or software or a combination of hardware and software .
이하, 본 발명의 대상이 되는 종래의 소프트웨어 정의 네트워크에 대해 간략하게 설명하기로 한다. Hereinafter, a conventional software defined network that is an object of the present invention will be briefly described.
도 1은 종래의 소프트웨어 정의 네트워크(SDN: Software Defined Network)의 기본 구조를 도시한 도면이고, 도 2는 종래의 소프트웨어 정의 네트워크에 사용되는 OpenFlow의 구조를 도시한 도면이다. FIG. 1 is a diagram showing a basic structure of a conventional software defined network (SDN), and FIG. 2 is a diagram illustrating a structure of OpenFlow used in a conventional software defined network.
도 1을 참조하면, 소프트웨어 정의 네트워크는 크게 데이터 평면(data plane)과 대응되는 인프라스트럭처 계층(infrastructure layer)과, 컨트롤 평면(control plane)과 대응되는 컨트롤 계층(control layer)과, 애플리케이션 계층(application layer)으로 나뉜다. Referring to FIG. 1, a software defined network includes an infrastructure layer corresponding to a data plane, a control layer corresponding to a control plane, an application layer layer.
데이터 계층은 소프트웨어 정의 네트워크의 특정 인터페이스를 통해 제어를 받는 계층으로서, 데이터 흐름의 전송을 담당한다. 컨트롤 계층은 데이터의 흐름을 제어하는 계층으로서 애플리케이션과 네트워크 서비스를 통하여 데이터 흐름을 라우팅 할 것인지, 전달을 할 것인지, 거절할 것인지를 결정한다. 또한 데이터 계층의 동작들을 정리하여 API(Application Programming Interface) 형태로 애플리케이션 계층에 전달한다. 마지막으로 애플리케이션 계층은 제어 계층에서 제공한 API들을 이용하여 네트워크의 다양한 기능들을 수행 할 수 있도록 한다.The data layer is a layer that receives control through a specific interface of a software defined network and is responsible for the transmission of the data flow. The control layer is the layer that controls the flow of data and determines whether to route, forward, or reject the data flow through applications and network services. In addition, the operations of the data layer are summarized and transmitted to the application layer in the form of API (Application Programming Interface). Finally, the application layer enables various functions of the network to be performed using APIs provided by the control layer.
한편, 전통적인 네트워크에서 라우터, 스위치와 같은 네트워크 장비는 트래픽 제어와 규칙을 담당한다. 그러므로 네트워크의 라우팅 정보는 스위치와 라우터에서 저장한다. 이와 같은 네트워크 구조는 네트워크가 변화할 때마다 관리자가 관련 인터넷 설비를 배치해야 한다는 문제가 있고, 데이터 센터나 그룹 네트워크 환경은 잦은 네트워크 변화로 자원을 낭비한다.On the other hand, in traditional networks, network devices such as routers and switches are responsible for traffic control and rules. Therefore, the routing information of the network is stored in the switch and the router. Such a network structure has a problem in that administrators have to place related Internet facilities whenever the network changes, and data center or group network environment wastes resources due to frequent network changes.
OpenFlow은 위와 같은 전통적인 네트워크의 단점을 보완하는 컨트롤러와 네트워크 장치간의 인터페이스 규격으로 사용되고 있는 기술이다. 도 2를 참조하면, OpenFlow는 제어 평면과 데이터 평면을 분리하여 네트워크를 운용할 수 있게 함으로써 네트워크 트래픽을 제어할 수 있는 기능과 전달할 수 있는 기능을 분리하며 소프트웨어를 제작하여 네트워크를 제어할 수 있도록 해준다. OpenFlow 프로토콜을 사용하면, 제어 및 데이터 평면을 하드웨어가 아닌 소프트웨어로도 구현할 수 있으며, 이 소프트웨어를 범용 서버에 설치하여 신속하게 새로운 기능을 구현할 수 있다.OpenFlow is a technology used as an interface specification between a controller and a network device that complements the disadvantages of the conventional network. Referring to FIG. 2, OpenFlow separates a control plane and a data plane from each other to operate a network, thereby separating a function for controlling network traffic from a function for delivering and controlling the network by creating software . Using the OpenFlow protocol, control and data planes can be implemented in software rather than hardware, and the software can be installed on a general-purpose server to quickly implement new functionality.
OpenFlow는 프로토콜 계층 1~4까지의 헤더 정보를 하나로 조합하여 패킷(프레임)의 동작을 지정할 수 있다. 제어 평면의 프로그램을 수정하면 계층 4까지의 범위에서 사용자가 자유롭게 새로운 프로토콜을 만들 수 있고, 특정 서비스나 애플리케이션에 최적화된 네트워크를 사용자가 구현할 수도 있다. 즉, OpenFlow는 패킷을 제어하는 기능과 전달하는 기능을 분리하고 프로그래밍을 통해 네트워크를 제어하는 기술이다. OpenFlow can specify the operation of a packet (frame) by combining header information from protocol layers 1 to 4 into one. By modifying the program in the control plane, the user can freely create a new protocol in a range up to layer 4, and the user can implement a network optimized for a specific service or application. In other words, OpenFlow is a technology that controls the network by programming and separating the function of controlling packet and the function of delivering.
상기에서 설명된 내용을 참조하여 멀웨어 공격(malware attack)을 방지하는 소프트웨어 정의 네트워크(SDN: Software Defined Network) 및 이에 포함되는 컨트롤러(controller)를 상세하게 설명한다.
A Software Defined Network (SDN) for preventing a malware attack and a controller included therein will be described in detail with reference to the above description.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크의 개략적인 구조를 도시한 도면이다. 3 is a diagram illustrating a schematic structure of a software defined network according to an embodiment of the present invention.
도 3을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 정의 네트워크(300)는, 컨트롤러(310), 복수의 스위치(320) 및 복수의 호스트(330)를 포함한다. 이 때, 복수의 호스트(330)는 PC, 서버, 스마트 기기 등과 같은 모바일 장치를 포함한다. 3, a software defined
컨트롤러(310)는 OpenFlow 인터페이스를 따르는 OF 컨트롤러일 수 있고, 컨트롤 평면에 위치하며, 네트워크의 모든 제어 명령, 데이터 트래픽의 전달을 수행하며, 전체 네트워크를 직접적으로 제어한다. The
복수의 스위치(320) 각각은 OpenFlow 인터페이스를 따르는 OF 스위치일 수 있고, 데이터 평면에 위치하며, 컨트롤러(310)에 의해 동작이 제어되며, 복수의 스위치(320) 각각은 주기적으로 자신의 상태를 컨트롤러에게 보고한다. 또한, 스위치(320) 각각에는 복수의 호스트(330)가 연결된다. Each of the plurality of
즉, 컨트롤러(310)는 복수의 스위치(320) 각각에 명령을 전송하고, 각각의 스위치(320)는 수신된 명령에 따라 패킷을 송신 호스트에서 수신 호스트로 전송하거나 수정, 폐기하는 등의 처리를 한다. 일례로, OpenFlow 프로토콜을 이용하여, 컨트롤러(310)는 패킷의 포워딩 방법이나 VLAN 우선순위 값 등을 스위치(320)에 전달하여 수행되도록 하며, 스위치(320)는 장애정보와 사전에 등록된 플로우 엔트리가 없는 패킷에 대한 정보를 컨트롤러(310)에 문의하고 그 결정을 받아 처리한다. That is, the
특히, 컨트롤러(310)는 경로 계산을 주 역할로 수행하는 것으로서, 패킷을 전송할 때 몇 가지 매개 변수를 기반으로 경로를 결정한다. 사용하는 매개 변수로는 최단경로(SPF)나 회선 속도 외에 사용자가 지정한 경로의 가중치나 부하 분산 조건 등이 있다. 컨트롤러(310)가 계산한 경로 정보는 TLS(Transport Layer Security) 또는 일반 TCP 연결을 통해 스위치(320)에 보내지며 플로우 테이블에 저장된다. 이후, 스위치(320)는 패킷을 수신할 때마다 플로우 테이블을 확인하고 그 프레임을 지정된 경로로 전송한다.In particular, the
한편, 본 발명에 따른 소프트웨어 정의 네트워크(300)는 앞서 언급한 바와 같이 멀웨어 공격을 효과적으로 방지하는 기능을 수행하는 것으로서, 호스트 A에서 연결 요청 메시지를 스위치 A를 통해 컨트롤러(310)로 전송하는 경우, 컨트롤러(310)는 연결 요청 메시지에 포함된 정보에 기초하여 호스트 A가 멀웨어 공격을 수행하는 악성 호스트인지 여부를 판단한다. As described above, the software defined
이 때, 호스트 A가 악성 호스트인 경우, 컨트롤러(310)는 호스트 A의 연결 요청을 불허하는 제1 명령을 호스트 A와 연결된 스위치 A로 전송하며, 스위치 A는 호스트 A의 모든 연결 요청을 차단한다. 반대로, 호스트 A가 악성 호스트가 아닌 경우, 컨트롤러(310)는 호스트 A의 연결 요청을 허가하는 제2 명령을 호스트 A와 연결된 스위치 A로 전송한다. At this time, if the host A is a malicious host, the
이를 위해, 컨트롤러(310)는 도 3에 도시된 바와 같이 통신부(311), 추출부(312), 검색부(313) 및 제어부(314)를 포함한다. 이하, 도 3의 컨트롤러(310)의 구성과, 도 4 및 도 5를 참조하여 소프트웨어 정의 네트워크(300)의 컨트롤러(310)에서 수행되는 멀웨어 공격의 방지 동작을 상세하게 설명하기로 한다. 3, the
도 4는 본 발명의 제1 실시예에 따른 컨트롤러(310)의 멀웨어 공격의 방지 동작의 흐름도를 도시한 도면이다. 이하, 각 단계 별로 수행되는 과정을 설명한다. 4 is a flowchart illustrating a malware attack prevention operation of the
먼저, 단계(402)에서, 통신부(311)는 복수의 스위치(320) 중 어느 하나의 스위치로부터 연결 요청 메시지를 수신한다. First, in
다음으로, 단계(404)에서, 추출부(312)는 수신된 연결 요청 메시지로부터 송신 호스트의 주소 정보를 추출한다. 이 때, 주소 정보는 IP 주소 정보일 수 있다. Next, in step S404, the extracting
계속하여, 단계(406)에서, 제어부(314)는 송신 호스트의 주소 정보가 미리 설정된 블랙 리스트에 포함되어 있는지 여부를 판단한다.Subsequently, in
이 때, 블랙 리스트는 악의적 호스트의 정보를 담고 있으며, 이는 공개적으로 사용 가능한 악의적 호스트에 관한 정보 및 컨트롤러(310)의 과거의 정보(경험) 중 적어도 하나를 통해 설정될 수 있다. At this time, the blacklist contains the information of the malicious host, which may be set through at least one of the information about the malicious host that is publicly available and the past information (experience) of the
만약, 송신 호스트의 주소 정보가 블랙 리스트에 포함되어 있는 경우, 단계(408)에서, 제어부(314)는 송신 호스트를 멀웨어를 유출시키는 악의적인 호스트로 판단한다. If the address information of the transmitting host is included in the black list, the
반대로, 송신 호스트의 주소 정보가 블랙 리스트에 포함되어 있지 않는 경우, 단계(410)에서, 검색부(313)는 송신 호스트의 주소 정보를 이용하여 송신 호스트에 대한 보류 연결 리스트를 검색한다. Conversely, if the address information of the transmitting host is not included in the black list, the searching
보류 연결 리스트는 복수의 호스트(330) 별로 설정되는 것으로서, 처리되지 않는 연결 요청, 즉 보류 중인 연결 요청에 대한 리스트가 저장되어 있다. 만약, 보류 연결 리스트에 포함된 하나의 연결 요청이 처리되는 경우, 처리된 연결 요청은 보류 연결 리스트에서 제거된다. The suspended connection list is set for each of the plurality of
그 후, 제어부(314)는, 단계(412)에서 수신된 연결 요청 메시지에 따른 연결 요청을 보류 연결 리스트에 추가하고, 단계(414)에서 추가된 연결 요청이 포함된 보류 연결 리스트의 총 연결 요청이 미리 설정된 제1 임계값을 초과하는지 여부를 판단한다. 제1 임계값은 실험적으로 결정될 수 있다. Thereafter, the
만약, 보류 연결 리스트의 총 연결 요청이 미리 설정된 제1 임계값을 초과하지 않는 경우, 단계(416)에서, 제어부(314)는 보류 연결 리스트의 총 연결 요청을 순차적으로 처리할 수 있다. 반대로, 보류 연결 리스트의 총 연결 요청이 미리 설정된 제1 임계값을 초과하는 경우, 단계(418)에서, 제어부(314)는 송신 호스트를 멀웨어를 유포시키는 악의적 호스트로 판단한다. If the total connection request of the pending connection list does not exceed the preset first threshold value, the
다시 말해, 정상적인 호스트가 악의적인 호스트에 비해 성공적으로 통신 연결이 될 확률이 높으므로, 처리가 되지 않는 연결 요청이 많은 호스트는 악의적인 호스트일 가능성이 높다. 따라서, 본 발명에 따른 컨트롤러(310)는 보류 연결 리스트의 총 연결 요청의 개수를 이용하여 악의적 호스트인지 여부를 판단한다.
In other words, since a normal host is more likely to successfully establish a communication connection than a malicious host, a host with many unconnected connection requests is likely to be a malicious host. Accordingly, the
도 5는 본 발명의 제2 실시예에 따른 컨트롤러(310)의 멀웨어 공격의 방지 동작의 흐름도를 도시한 도면이다. 이하, 각 단계 별로 수행되는 과정을 설명한다. 5 is a flowchart showing a malware attack prevention operation of the
먼저, 단계(502)에서, 통신부(311)는 복수의 스위치(320) 중 어느 하나의 스위치로부터 연결 요청 메시지를 수신한다. First, in
다음으로, 단계(504)에서, 추출부(312)는 수신된 연결 요청 메시지로부터 송신 호스트의 주소 정보 및 수신 호스트의 주소 정보를 추출한다. 이 때, 주소 정보는 IP 주소 정보일 수 있다. Next, in
계속하여, 단계(506)에서, 제어부(314)는 송신 호스트의 주소 정보가 미리 설정된 블랙 리스트에 포함되어 있는지 여부를 판단한다. Subsequently, in
만약, 송신 호스트의 주소 정보가 블랙 리스트에 포함되어 있는 경우, 단계(508)에서, 제어부(314)는 송신 호스트를 멀웨어를 유출시키는 악의적인 호스트로 판단한다. If the address information of the transmitting host is included in the black list, the
반대로, 송신 호스트의 주소 정보가 블랙 리스트에 포함되어 있지 않는 경우, 단계(510)에서 검색부(313)는 송신 호스트의 주소 정보를 이용하여 최근 접속 수신 호스트(RAD: Recently Accessed Destinations) 리스트를 검색한다. On the contrary, if the address information of the transmitting host is not included in the black list, the searching
최근 접속 수신 호스트 리스트는 복수의 호스트(330) 별로 미리 설정되는 것으로서, 호스트가 최근에 접속 내지 통신 연결된 수신 호스트의 리스트가 저장되어 있다. The latest connection receiving host list is preset for each of a plurality of
그 후, 단계(512)에서, 제어부(314)는 추출된 수신 호스트가 최근 접속 수신 호스트 리스트에 포함되어 있는지 여부를 판단한다. Thereafter, in
만약, 수신 호스트가 최근 접속 수신 호스트 리스트에 포함되어 있는 경우, 단계(514)에서, 제어부(314)는 연결 요청 메시지에 따른 연결 요청을 처리한다. If the receiving host is included in the list of recent receiving hosts, the
반대로, 수신 호스트가 최근 접속 수신 호스트 리스트에 포함되어 있지 않는 경우, 단계(516)에서, 제어부(314)는 연결 요청 메시지에 따른 연결 요청을 대기 큐(waiting queue)에 배치한다. 대기 큐는 최근 접속 수신 호스트 리스트에 포함되지 않는 연결 요청을 처리하기 위한 큐를 의미하며, 미리 정의된 시간 간격으로 연결 요청을 처리한다. Conversely, if the receiving host is not included in the recent connection receiving host list, the
계속하여, 단계(518)에서, 제어부(314)는 배치된 연결 요청이 포함된 대기 큐에 배치된 총 연결 요청이 미리 설정된 제2 임계값을 초과하는지 여 부를 판단한다. 제2 임계값은 실험적으로 결정될 수 있다. Then, in
만약, 대기 큐에 배치된 총 연결 요청이 미리 설정된 제2 임계값을 초과하지 않는 경우, 단계(520)에서, 제어부(314)는 대기 큐에 배치된 연결 요청을 순차적으로 처리할 수 있다. 반대로, 대기 큐에 배치된 총 연결 요청이 미리 설정된 제2 임계값을 초과하는 경우, 단계(522)에서, 제어부(314)는 송신 호스트를 멀웨어를 유포시키는 악의적 호스트로 판단한다. If the total connection request placed in the waiting queue does not exceed the predetermined second threshold value, the
다시 말해, 악의적인 호스트는 많은 수의 호스트에 멀웨어를 유포하므로, 다수의 수신 호스트로 통신 연결을 시도하는 송신 호스트는 악의적인 호스트일 가능성이 높다. 따라서, 본 발명에 따른 컨트롤러(310)는 대기 큐에 배치된 총 연결 요청의 개수를 이용하여 악의적 호스트인지 여부를 판단한다. In other words, a malicious host spreads malware to a large number of hosts, so a sending host that attempts to establish communication with multiple receiving hosts is likely to be a malicious host. Accordingly, the
한편, 본 발명의 다른 실시예에 따르면, 대기 큐에 배치된 총 연결 요청이 제2 임계값을 초과하지 않는 경우, 제어부(314)는 대기 큐에 배치된 총 연결 요청이 제1 임계값을 초과하는지 여부를 판단한다. 만약, 대기 큐에 배치된 총 연결 요청이 제1 임계값을 초과하는 경우, 제어부(314)는 송신 호스트를 멀웨어를 유포시키는 악의적 호스트로 판단한다. 반대로, 대기 큐에 배치된 총 연결 요청이 제1 임계값을 초과하지 않는 경우, 제어부(314)는 대기 큐에 배치된 연결 요청을 순차적으로 처리할 수 있다.
According to another embodiment of the present invention, when the total connection request placed in the waiting queue does not exceed the second threshold, the
또한, 본 발명의 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 일 실시예들의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.In addition, embodiments of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Examples of program instructions, such as magneto-optical and ROM, RAM, flash memory and the like, can be executed by a computer using an interpreter or the like, as well as machine code, Includes a high-level language code. The hardware devices described above may be configured to operate as one or more software modules to perform operations of one embodiment of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다. As described above, the present invention has been described with reference to particular embodiments, such as specific elements, and limited embodiments and drawings. However, it should be understood that the present invention is not limited to the above- Various modifications and variations may be made thereto by those skilled in the art to which the present invention pertains. Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .
Claims (5)
적어도 하나의 호스트와 연결되는 복수의 스위치; 및
상기 복수의 스위치를 제어하는 컨트롤러;를 포함하되,
상기 컨트롤러는,
상기 복수의 스위치 중 어느 하나의 스위치로부터 수신된 연결 요청 메시지로부터 송신 호스트의 주소 정보 및 수신 호스트의 주소 정보를 추출하고, 상기 송신 호스트의 주소 정보를 이용하여 상기 송신 호스트에 대한 보류 연결 리스트 또는 최근 접속 수신 호스트 리스트를 검색하고,
상기 송신 호스트의 주소 정보 및 상기 보류 연결 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하거나,
상기 송신 호스트의 주소 정보 및 상기 수신 호스트의 주소 정보 및 상기 최근 접속 수신 호스트 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하는 것을 특징으로 하는 소프트웨어 정의 네트워크. In a software defined network,
A plurality of switches coupled to at least one host; And
And a controller for controlling the plurality of switches,
The controller comprising:
Extracting the address information of the transmitting host and the address information of the receiving host from the connection request message received from any one of the plurality of switches and extracting a stored connection list for the transmitting host or a recent Searches the connection receiving host list,
Determining whether the transmitting host is a malicious host using the address information of the transmitting host and the pending connection list,
And determining whether the transmitting host is a malicious host by using the address information of the transmitting host, the address information of the receiving host, and the latest connected receiving host list.
상기 컨트롤러는,
상기 송신 호스트의 주소 정보가 악의적인 호스트인지 여부를 판단하기 위한 미리 설정된 블랙 리스트에 포함되는 경우, 상기 송신 호스트를 악의적 호스트로 판단하는 것을 특징으로 하는 소프트웨어 정의 네트워크.The method according to claim 1,
The controller comprising:
Wherein the determining step determines that the transmitting host is a malicious host when the address information of the transmitting host is included in a preset black list for determining whether the address information is malicious host.
상기 송신 호스트의 주소 정보가 상기 블랙 리스트에 포함되어 있지 않는 경우,
상기 컨트롤러는, 상기 수신된 연결 요청 메시지에 따른 연결 요청을 상기 보류 연결 리스트에 추가하고, 상기 추가된 연결 요청이 포함된 상기 보류 연결 리스트의 총 연결 요청이 미리 설정된 제1 임계값을 초과하는 경우 상기 송신 호스트를 악의적 호스트로 판단하는 것을 특징으로 하는 소프트웨어 정의 네트워크.3. The method of claim 2,
If the address information of the transmitting host is not included in the black list,
The controller adds a connection request according to the received connection request message to the pending connection list and if the total connection request of the pending connection list including the added connection request exceeds a preset first threshold value And determining that the transmitting host is a malicious host.
상기 송신 호스트의 주소 정보가 상기 블랙 리스트에 포함되어 있지 않는 경우,
상기 컨트롤러는, 상기 추출된 수신 호스트의 주소 정보가 상기 최근 접속 수신 호스트 리스트에 포함되어 있지 않는 경우, 상기 수신된 연결 요청 메시지에 따른 연결 요청을 대기 큐(waiting queue)에 배치하고, 상기 배치된 연결 요청이 포함된 상기 대기 큐에 배치된 총 연결 요청이 미리 설정된 제2 임계값을 초과하는 경우 상기 송신 호스트를 악의적 호스트로 판단하는 것을 특징으로 하는 소프트웨어 정의 네트워크.3. The method of claim 2,
If the address information of the transmitting host is not included in the black list,
Wherein the controller places a connection request in a waiting queue according to the received connection request message when address information of the extracted receiving host is not included in the list of recent connection receiving hosts, And determines that the transmitting host is a malicious host when the total connection request placed in the waiting queue including the connection request exceeds a preset second threshold value.
상기 복수의 스위치 중 어느 하나의 스위치로부터 연결 요청 메시지를 수신하는 통신부;
상기 수신된 연결 요청 메시지로부터 송신 호스트의 주소 정보 및 수신 호스트의 주소 정보를 추출하는 추출부;
상기 송신 호스트의 주소 정보를 이용하여 상기 송신 호스트에 대한 보류 연결 리스트 또는 최근 접속 수신 호스트 리스트를 검색하는 검색부; 및
상기 송신 호스트의 주소 정보 및 상기 보류 연결 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하거나, 상기 송신 호스트의 주소 정보 및 상기 수신 호스트의 주소 정보 및 상기 최근 접속 수신 호스트 리스트를 이용하여 상기 송신 호스트가 악의적 호스트인지 여부를 판단하는 제어부;를 포함하는 것을 특징으로 하는 컨트롤러.
A controller located in a control plane of a software defined network,
A communication unit for receiving a connection request message from any one of the plurality of switches;
An extracting unit for extracting address information of a transmitting host and address information of a receiving host from the received connection request message;
A searching unit searching for a pending connection list or a latest connection receiving host list for the transmitting host by using the address information of the transmitting host; And
Determining whether the transmitting host is a malicious host by using the address information of the transmitting host and the pending connection list, or determining whether the transmitting host is a malicious host by using the address information of the transmitting host, the address information of the receiving host, And a controller for determining whether the transmitting host is a malicious host.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20170144618 | 2017-11-01 | ||
KR1020170144618 | 2017-11-01 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190049323A true KR20190049323A (en) | 2019-05-09 |
KR102013044B1 KR102013044B1 (en) | 2019-08-21 |
Family
ID=66546794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170181021A KR102013044B1 (en) | 2017-11-01 | 2017-12-27 | SDN for preventing malware attack and controller including the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102013044B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978580A (en) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | Network detection method and device, storage medium and electronic equipment |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110037645A (en) * | 2009-10-07 | 2011-04-13 | 한국전자통신연구원 | Apparatus and method for protecting ddos |
KR20160143086A (en) * | 2015-06-04 | 2016-12-14 | 성균관대학교산학협력단 | Cyber inspection system and method using sdn |
KR101712168B1 (en) * | 2015-08-24 | 2017-03-03 | 주식회사 케이티 | Method for controling packet-in message, switch and controller thereof |
KR20170105844A (en) * | 2016-03-10 | 2017-09-20 | 주식회사 윈스 | Attack sensing system using user behavior analysis and method thereof |
-
2017
- 2017-12-27 KR KR1020170181021A patent/KR102013044B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110037645A (en) * | 2009-10-07 | 2011-04-13 | 한국전자통신연구원 | Apparatus and method for protecting ddos |
KR20160143086A (en) * | 2015-06-04 | 2016-12-14 | 성균관대학교산학협력단 | Cyber inspection system and method using sdn |
KR101712168B1 (en) * | 2015-08-24 | 2017-03-03 | 주식회사 케이티 | Method for controling packet-in message, switch and controller thereof |
KR20170105844A (en) * | 2016-03-10 | 2017-09-20 | 주식회사 윈스 | Attack sensing system using user behavior analysis and method thereof |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978580A (en) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | Network detection method and device, storage medium and electronic equipment |
CN114978580B (en) * | 2022-04-08 | 2023-09-29 | 中国电信股份有限公司 | Network detection method and device, storage medium and electronic equipment |
Also Published As
Publication number | Publication date |
---|---|
KR102013044B1 (en) | 2019-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10084751B2 (en) | Load balancing among a cluster of firewall security devices | |
KR101900154B1 (en) | SDN capable of detection DDoS attacks and switch including the same | |
US9288183B2 (en) | Load balancing among a cluster of firewall security devices | |
US10333827B2 (en) | Adaptive session forwarding following virtual machine migration detection | |
EP2685758B1 (en) | Method, device and system for scheduling data flow | |
US10148565B2 (en) | OPENFLOW communication method and system, controller, and service gateway | |
US20070118896A1 (en) | Network attack combating method, network attack combating device and network attack combating program | |
US10313238B2 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
US10536379B2 (en) | System and method for control traffic reduction between SDN controller and switch | |
KR102013044B1 (en) | SDN for preventing malware attack and controller including the same | |
US10257087B2 (en) | Communication device and communication method | |
KR101854996B1 (en) | SDN for preventing malicious application and Determination apparatus comprising the same | |
KR101914831B1 (en) | SDN to prevent an attack on the host tracking service and controller including the same | |
KR20180041977A (en) | SDN for supporting authentication for link discovery service and controller including the same | |
KR101948984B1 (en) | SDN for detecting switch damage and controller including the same | |
KR101538667B1 (en) | Network system and method for controlling network | |
CN109450794A (en) | A kind of communication means and equipment based on SDN network | |
KR102136923B1 (en) | System and method for providing security service of road traffic network using software defined networking and network function virtualization | |
CN113660199B (en) | Method, device and equipment for protecting flow attack and readable storage medium | |
KR20180045509A (en) | SDN for detecting ARP spoofing attack and controller including the same | |
KR101724922B1 (en) | Apparatus and Method for controlling middleboxs | |
CN116781308A (en) | Backbone network attack defense method and device, electronic equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |