KR20240086508A - 암호화된 제어 트래픽 분석을 통한 sd-wan의 제어 평면 구조 정보 생성 장치 및 방법 - Google Patents

암호화된 제어 트래픽 분석을 통한 sd-wan의 제어 평면 구조 정보 생성 장치 및 방법 Download PDF

Info

Publication number
KR20240086508A
KR20240086508A KR1020230027261A KR20230027261A KR20240086508A KR 20240086508 A KR20240086508 A KR 20240086508A KR 1020230027261 A KR1020230027261 A KR 1020230027261A KR 20230027261 A KR20230027261 A KR 20230027261A KR 20240086508 A KR20240086508 A KR 20240086508A
Authority
KR
South Korea
Prior art keywords
information
traffic
wan
control plane
generating
Prior art date
Application number
KR1020230027261A
Other languages
English (en)
Inventor
신승원
서민재
김재한
김진우
Original Assignee
광운대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 광운대학교 산학협력단 filed Critical 광운대학교 산학협력단
Publication of KR20240086508A publication Critical patent/KR20240086508A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 다양한 실시예에 따르면, 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법을 적용함으로써 최근 널리 도입되고 있는 SD-WAN 환경의 취약점을 사전 점검할 수 있다.

Description

암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법{APPARATUS AND METHOD FOR GENERATING CONTROL PLANE STRUCTURE INFORMATION OF SD-WAN THROUGH ANALYSIS OF ENCRYPTED CONTROL TRAFFIC}
본 발명은 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
오늘날 많은 대규모 기업, 통신사 및 클라우드 제공업체들은 전 세계에 분산된 데이터 센터 및 원격 사이트를 연결하기 위해 전용 와이드 에어리어 네트워크(WAN)를 운영하고 있다. 마이크로소프트, 구글, 페이스북은 자체 WAN을 구축한 기업 중 대표적인 예시이다.
이러한 WAN은 일반적으로 수십 개에서 수백 개의 위치를 연결하며, 전 세계적인 범위를 갖고 있으며, 저 지연 시간, 고 처리량의 데이터 센터간 통신을 제공한다. 이러한 네트워크의 규모와 복잡성이 증가함에 따라, 네트워크 운영자들은 WAN을 구축할 때 소프트웨어 정의 네트워킹(SDN)을 적용하고 있다.
SD-WAN(Software-Defined Wide Area Network)은 소프트웨어 정의 네트워킹 기술을 WAN에 도입한 것이다. SDN은 하드웨어 장비의 제어 평면을 데이터 평면으로 분리하고, 컨트롤러라는 스프트웨어로 가상화하여 전체 네트워크를 운용하는 기술이다.
기존의 WAN과 달리, SD-WAN은 사이트 간 연결을 구축하고 관리하는 과정을 간소화하며, 더 많은 유연성, 프로그래밍 가능성, 중앙 집중화된 제어 및 개선된 모니터링을 제공하면서 운영 비용을 낮출 수 있다.
SD-WAN 내의 서로 다른 사이트들은 민감한 대역폭 및 데이터 트래픽을 주고 받기 때문에 WAN은 외부인들이 공격을 수행하기에 매우 유력한 대상이다. 실제로, 최근의 발표들은 정부 기관 및 비슷한 조직이 여러 사이트 간의 대륙간 광섬유 링크에 대해 SD-WAN 트래픽을 도청당할 수 있음을 보여주었다.
구글과 같은 주요 기업들은 이러한 위협의 심각성(사이트간 연결뿐만 아니라 사이트 내에서 발생하는 정보 교환에도 해당)을 최근 인식하고, MACsec 및 IPSec와 같은 프로토콜을 사용하여 SD-WAN 트래픽을 애플리케이션뿐만 아니라 네트워크 및 링크 계층에서도 암호화하도록 하고 있다.
트래픽이 암호화될 때 보존되는 정보, 예를 들어 트래픽 볼륨, 패킷 크기 및 패킷 타이밍은 네트워크 트래픽에 대한 많은 정보를 제공할 수 있다.
SD-WAN의 경우, 공격자들은 암호화된 트래픽 패턴을 분석하여 제어 평면 토폴로지 또는 사용 중인 클러스터 관리 프로토콜과 같은 이전에 알려지지 않은 정보를 얻을 수 있다.
제어 평면 토폴로지 또는 사용 중인 클러스터 관리 프로토콜은 모두 민감한 정보로 간주되며, 공격자의 손에 들어가면 가치 있는 대상을 찾거나 취약점이 있는 프로토콜의 존재를 발견하는데 사용될 수 있다.
SD-WAN 환경의 취약점을 사전 점검할 수 있는 기술의 연구 개발이 필요한 실정이다.
대한민국 공개특허공보 제10-2022-0142523호(2022.10.21.)
본 발명이 이루고자 하는 목적은, 최근 널리 도입되고 있는 SD-WAN 환경의 취약점을 사전 점검할 수 있는 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법을 제공하는데 있다.
본 발명의 명시되지 않은 또 다른 목적들은 하기의 상세한 설명 및 그 효과로부터 용이하게 추론할 수 있는 범위 내에서 추가적으로 고려될 수 있다.
상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN(Software Defined-Wide Area Networking)의 제어 평면 구조 정보 생성 장치는, 상기 제어 평면 구조 정보를 생성하기 위한 하나 이상의 프로그램을 저장하는 메모리; 및 상기 하나 이상의 프로그램에 따라 상기 제어 평면 구조 정보를 생성하기 위한 동작들을 수행하는 하나 이상의 프로세서;를 포함하고, 상기 프로세서에 의하여 수행되는 동작들은, 외부로부터 트래픽 정보를 입력받고, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계; 상기 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계; 상기 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성하는 단계; 상기 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계; 및 상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하고, 상기 분류된 프로토콜과 상기 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성하는 단계;를 포함한다.
상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계는, 상기 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 상기 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성하는 것을 특징으로 한다.
상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계는, 송수신 플로우를 많은 노드들과 이루는 순서대로 복수의 노드를 상위 미리 결정된 기준 개수만큼 선택하고, 상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하고, 상기 인코딩된 벡터를 기반으로 상기 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 것을 특징으로 한다.
상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하는 것은, 상기 출발지 아이피 주소로부터 상기 선택된 노드로 플로우가 존재하는 경우, 제1 값을 적용하고, 상기 출발지 아이피 주소로부터 상기 선택된 노드로 플로우가 존재하지 않고, 상기 선택된 노드로부터 상기 출발지 아이피 주소로 플로우가 존재하는 경우, 제2 값을 적용하고, 상기 출발지 아이피 주소와 상기 선택된 노드 사이에 플로우가 존재하지 않는 경우, 제3 값을 적용하는 것을 특징으로 한다.
상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는, 상기 제2 튜플 플로우를 시계열적으로 나타낸 시퀀스 표현 벡터를 생성하고, 상기 시퀀스 표현 벡터, 소프트맥스(softmax) 함수 또는 크로스-엔트로피 손실 함수를 기반으로 하는 것을 특징으로 한다.
상기 크로스-엔트로피 손실 함수는, 분류할 프로토콜의 총 수를 변수로 가지는 함수이고, 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는, 상기 크로스-엔트로피 손실 함수를 최소화하는 방향으로 동작하는 것을 특징으로 한다.
상기 제어 평면 구조 정보는, 노드 간의 연결 구조, 노드가 이용하는 프로토콜 정보 또는 각각의 프로토콜을 이용하는 노드가 프라이머리 노드인지 또는 세컨더리 노드인지에 대한 정보가 포함되는 기하학적인 토폴로지 정보인 것을 특징으로 한다.
상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하는 것은, 노드가 전송한 패킷 수를 기반으로 결정되는 관측값을 기반으로 각각의 노드에 대한 Z-점수를 산출하고, 상기 Z-점수가 미리 결정된 임계값을 초과하는 노드를 프라이머리(Primary) 노드로 결정하고, 상기 Z-점수가 미리 결정된 임계값 이하인 노드를 세컨더리(Secondary) 노드로 결정하는 것을 특징으로 한다.
상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는, 합의(Consensus) 프로토콜, 사우스바운드(Southbound) 프로토콜 또는 멤버쉽(Membership) 프로토콜 중 어느 하나로 분류하는 것을 특징으로 한다.
상기 제1 튜플은, 출발지 아이피 주소 및 목적지 아이피 주소에 대한 정보를 포함하는 2-튜플인 것을 특징으로 한다.
상기 제2 튜플은, 출발지 아이피 주소, 출발지 포트, 목적지 아이피 주소, 목적지 포트 및 전송 계층 프로토콜에 대한 정보를 포함하는, 5-튜플인 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN(Software Defined-Wide Area Networking)의 제어 평면 구조 정보 생성 장치에서 수행하는 SD-WAN의 제어 평면 구조 정보 생성 방법은, 외부로부터 트래픽 정보를 입력받고, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계; 상기 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계; 상기 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성하는 단계; 상기 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계; 및 상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하고, 상기 분류된 프로토콜과 상기 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성하는 단계;를 포함한다.
상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계는, 상기 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 상기 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성하는 것을 특징으로 한다.
상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계는, 송수신 플로우를 많은 노드들과 이루는 순서대로 복수의 노드를 상위 미리 결정된 기준 개수만큼 선택하고, 상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하고, 상기 인코딩된 벡터를 기반으로 상기 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 컴퓨터 프로그램은 컴퓨터로 읽을 수 있는 기록 매체에 저장되어 상기한 SD-WAN의 제어 평면 구조 정보 생성 방법 중 어느 하나를 컴퓨터에서 실행시킨다.
이상에서 설명한 바와 같이 본 발명의 일 실시예에 따르면, 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법을 적용함으로써 최근 널리 도입되고 있는 SD-WAN 환경의 취약점을 사전 점검할 수 있다.
여기에서 명시적으로 언급되지 않은 효과라 하더라도, 본 발명의 기술적 특징에 의해 기대되는 이하의 명세서에서 기재된 효과 및 그 잠정적인 효과는 본 발명의 명세서에 기재된 것과 같이 취급된다.
도 1 은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다.
도 2는 여러 사이트에 배치된 컨트롤러로 구성된 SD-WAN의 개념을 설명하기 위한 도면이다.
도 3은 SD-WAN에서 제어 평면(Topology)을 예시적으로 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다.
도 5의 a는 합의 프로토콜을 이용하는 노드 간의 플로우 흐름을 나타내는 도면이다.
도 5의 b는 사우스바운드 프로토콜을 이용하는 노드 간의 플로우 흐름을 나타내는 도면이다.
도 6은 SD-WAN 내의 노드의 역할에 따른 플로우 패턴을 예시적으로 나타내는 도면이다.
도 7은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 방법을 설명하기 위한 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, “가진다”, “가질 수 있다”, “포함한다” 또는 “포함할 수 있다” 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. 제2, 제1 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소 들은 상기 용어들에 의해 한정되지는 않는다.
상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
본 명세서에서 각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
또한, 본 명세서에 기재된 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미할 수 있으며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터 구조들 및 변수들을 포함할 수 있다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다.
이하에서 첨부한 도면을 참조하여 본 발명에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법(이하에서, SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법이라고 함)의 다양한 실시예에 대해 상세하게 설명한다.
본 명세서에 기재된 실시예들은 ONOS(Open Network Operating System) SD-WAN 컨트롤러, OpenDaylight SD-WAN 컨트롤러 등 SD-WAN으로부터 정보를 획득하기 위한 기술 또는 SD-WAN의 보안을 위한 다양한 분야에 적용될 수 있다.
도 1 은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다.
도 1을 참조하면, SD-WAN의 제어 평면 구조 정보 생성 장치(100)는 패킷 전처리부(110), 특징 추출부(120), 트래픽 및 프로토콜 분류부(130) 및 역할 탐지부(140)를 포함할 수 있다.
패킷 전처리부(110)는 외부로부터 트래픽 정보를 입력받고, 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성할 수 있다.
패킷 전처리부(110)는 트래픽 및 프로토콜 분류부(130)로부터 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성할 수 있다.
특징 추출부(120)는 제1 분류 모델에 입력하기 위하여, 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 SD-WAN 내의 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성할 수 있다.
특징 추출부(120)는 제2 분류 모델에 입력하기 위하여, 제2 튜플 플로우를 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 SD-WAN 내의 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 프로토콜 특성 정보를 생성할 수 있다.
트래픽 및 프로토콜 분류부(130)는 제1 분류 모델 및 제2 분류 모델을 포함할 수 있다.
제1 분류 모델은 제1 튜플 또는 SD-WAN 특성 정보를 기반으로 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하기 위한 제1 인공신경망을 기반으로 할 수 있다.
SD-WAN 네트워크에서는 일반적으로 제어 트래픽과 데이터 트래픽이 별도로 처리된다.
제1 인공신경망은 입력되는 정보로부터 제어 트래픽과 일반 트래픽을 분류하기 위하여 학습될 수 있다.
제2 분류 모델은 제2 튜플 플로우 또는 프로토콜 특성 정보를 기반으로 프로토콜의 종류를 분류하기 위한 제2 인공신경망을 기반으로 할 수 있다.
제2 인공신경망은 입력되는 정보로부터 노드가 이용하는 프로토콜을 분류하기 위하여 학습될 수 있다. 예를 들어, 제2 인공신경망은 입력되는 정보로부터 제어 트래픽 또는 노드가 이용하는 프로토콜이 합의(Consensus) 프로토콜, 사우스바운드(Southbound) 프로토콜, 멤버쉽(Membership) 프로토콜 또는 상기 3개의 프로토콜 중 어느 하나에 해당하지 않는다는 결과값을 출력할 수 있다.
트래픽 및 프로토콜 분류부(130)는 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류할 수 있다.
트래픽 및 프로토콜 분류부(130)는 분류한 제어 트래픽에 대한 정보를 패킷 전처리부(110)로 전송할 수 있고, 패킷 전처리부(110)는 수신한 제어 트래픽에 대한 정보를 기반으로 제2 튜플 플로우를 생성할 수 있다.
트래픽 및 프로토콜 분류부(130)는 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류할 수 있다.
역할 탐지부(140)는 분류된 프로토콜을 기반으로 SD-WAN 내의 복수의 노드의 역할을 결정하고, 분류된 프로토콜과 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성할 수 있다.
제어 평면 구조 정보는 노드 간의 연결 구조, 노드가 이용하는 프로토콜 정보 또는 각각의 프로토콜을 이용하는 노드가 프라이머리 노드인지 또는 세컨더리 노드인지에 대한 정보가 포함되는 기하학적인 토폴로지 정보일 수 있다.
SD-WAN 네트워크에서는 여러 개의 SD-WAN 장비가 클러스터를 형성하여 동작한다. 클러스터 내에서는 클러스터 프로토콜을 사용하여 서로 통신한다. 클러스터 프로토콜을 식별하면 제어 평면에서 사용되는 토폴로지 정보를 분석할 수 있다.
제어 평면 구조 정보를 통해서 제어 평면 내에서의 논리적인 구성 및 네트워크 구성을 이해할 수 있다.
패킷 전처리부(110), 특징 추출부(120), 트래픽 및 프로토콜 분류부(130) 및 역할 탐지부(140)의 동작에 대해서는 도 4, 도 7 및 도 8을 통하여 보다 상세하게 설명한다.
이하에서, 도 2 및 도 3을 통하여 SD-WAN과 클러스터 관리 프로토콜의 필수적인 배경에 대하여 설명한다.
도 2는 여러 사이트에 배치된 컨트롤러로 구성된 SD-WAN의 개념을 설명하기 위한 도면이다.
소프트웨어 정의 네트워킹(SDN)은 네트워크 운영자들에 의하여 데이터 센터, 전화, 기업 네트워크 등에서 사용되고 있다.
SDN는 네트워크의 지능(제어 평면)을 네트워크 장치의 전달 기능(데이터 평면)과 분리함으로써 네트워크의 지능을 논리적으로 중앙 집중화 된 컨트롤러로 배치하고, 일련의 표준 API를 사용하여 응용 프로그램을 통해 기능을 확장 할 수 있도록 한다. 이는 일반적으로 노스바운드(Northbound)와 사우스바운드(Southbound) 인터페이스로 알려져 있다. 이러한 방식 덕분에 네트워크 관리자는 전체 네트워크를 효율적으로 제어 할 수 있으며 관리 작업을 단순화할 수 있다.
보다 최근에는 SDN 기술이 원격 지역에서 응용 프로그램 인식 트래픽 공학을 실현하기 위해 WAN에 적용되었다. 네트워크가 커지고 사이트가 먼 거리에 위치하면 단일 SDN 컨트롤러는 커버리지와 확장성 문제가 발생한다. 이러한 이 문제를 해결하기 위해 분산 컨트롤러를 채택함으로써 SD-WAN을 효과적이고 안전하게 운영할 수 있다.
컨트롤러는 이스트(East) 및 웨스트(West) 인터페이스를 사용하여 WAN을 통해 암호화된 제어 트래픽을 교환하여 컨트롤러 간 통신을 지원할 수 있다.
도 3은 SD-WAN에서 제어 평면(Topology)을 예시적으로 나타내는 도면이다.
SD-WAN에서는 WAN 환경의 많은 트래픽을 처리하고 넓은 지역을 관리하기 위해 분산 컨트롤러 구조를 채택하고 있다. 분산 컨트롤러는 관리하고 있는 네트워크의 정보를 동기화하기 위해 컨트롤러간 제어 트래픽을 정기적으로 교환한다.
제어 트래픽은 SD-WAN에 관한 기밀 정보를 포함하고 있기 때문에 TLS/SSL 같은 보안 프로토콜을 이용해 암호화된다. 제어 트래픽은 SD-WAN을 관리하는 컨트롤러들이 생성하는 트래픽일 수 있다. 제어 트래픽에는 주로 합의 알고리즘, 멤버쉽 검사 등 SD-WAN을 운용할 때 필수적인 클러스터 프로토콜 패킷이 포함되어 있다.
대부분의 분산 컨트롤러는 클러스터의 유연성과 확장성을 높이기 위해 계층 구조를 사용한다. 일반적으로 두 가지 유형의 노드를 구분할 수 있는데, 첫번째 노드는 모든 노드 간에 상태를 동기화하는 데 사용되는 저장 노드 및 두번째 노드는 스위치와 상호 작용하고 네트워크 정책을 시행하는 데 사용되는 컨트롤러 노드이다.
이러한 노드는 클러스터 관리 프로토콜을 실행하며, 이것은 SD-WAN의 올바른 기능을 위해 필수적이다. 이 프로토콜에는 (i) 멤버십 프로토콜, (ii) 합의 프로토콜 및 (iii) 사우스바운드 프로토콜이 포함될 수 있다.
(i) 멤버십 프로토콜은 클러스터 노드의 상태를 주기적으로 확인하여 활성화 여부를 확인할 수 있다. 이 정보는 현재 사용 가능한 노드 목록을 최신 상태로 유지하는데 필수적이다. 이를 위해 노드는 주기적으로 (i) 브로드캐스트 또는 (ii) 유니캐스트를 통하여 서로 프로브 메시지를 교환할 수 있다.
예를 들어, ONOS SDN 컨트롤러는 SWIM 프로토콜을 사용할 수 있다. 이 프로토콜은 모든 노드를 하나씩 유니캐스트 프로브로 확인한다.
반면에 OpenDaylight는 Raft 프로토콜의 하트비트 메커니즘을 사용하여 하나의 노드에서 다른 노드로 브로드캐스트 전송할 수 있다.
(ii) 합의 프로토콜은 저장 노드 간 일관성을 유지하기 위한 상태 동기화를 관리할 수 있다. 합의 프로토콜에서 관찰되는 공통 패턴은 하나의 노드(예: 발행자, 리더)가 현재 상태를 포함한 메시지를 생성하고 다른 노드(예: 구독자, 팔로워)가 이를 사용하는 것이다. 그런 다음 다른 노드는 상태를 업데이트하고 메시지를 수신할 때 확인 응답을 반환한다.
(iii) 사우스바운드(Southbound) 프로토콜은 컨트롤러와 스위치 간 통신을 가능하게 하여 전달 상태를 채우고 네트워크 통계를 수집한다. 분산 환경에 적합한 오픈 플로우 기능은 마스터쉽이다.
스위치가 연결되면 컨트롤러가 스위치에 대한 쓰기 권한을 가진 마스터 역할을 얻기 위해 경쟁한다. 마스터쉽을 얻지 못한 노드는 읽기 전용 권한을 가진 슬레이브 역할이 된다.
전반적으로, 클러스터 관리 프로토콜은 두 가지 두드러진 기능을 가지고 있다. 첫째, 노드는 기본 및 보조 두 가지 다른 역할로 구분된다. 전자는 모든 다른 노드와 통신을 담당하고 후자는 기본 노드와만 통신한다. 둘째, 프로토콜은 각각의 프로토콜이 다른 구성 요소 간 상호 작용을 담당하기 때문에 복잡한 종속성이 있는 것으로 나타난다.
도 3은 클러스터 내의 역할과 종속성을 예시적으로 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다.
제어 평면 구조 정보를 생성하기 위해서는 먼저 제어 트래픽 추적에서 데이터 트래픽 잡음을 제거해야 한다. SD-WAN 제어 트래픽이 노드 간 다중 방향 관계와 함께 주기적인 시계열 패턴을 나타내기 때문이다.
패킷 전처리부(110)는 트래픽 추적을 기반으로 제1 튜플을 생성할 수 있다.
제1 튜플은 2-튜플(SrcIP, DstIP) 플로우일 수 있다.
2-튜플(SrcIP, DstIP)는 출발지(Source) IP 주소와 목적지(Destination) IP 주소 두 개의 요소로 구성될 수 있다.
패킷 전처리부(110)는 트래픽 정보를 기반으로 제2 튜플을 생성할 수 있다.
패킷 전처리부(110)는 SD-WAN 트래픽들을 이용하여 제2 튜플을 생성할 수 있고, 제2 튜플 플로우를 생성할 수 있다.
제2 튜플은 5-튜플(SrcIP, SrcPort, DstIP, DstPort, Proto)일 수 있다.
SrcIP(Source IP Address)는 데이터 패킷의 출발지 IP 주소를 나타낼 수 있다.
SrcPort(Source Port)는 데이터 패킷의 출발지 포트 번호를 나타낼 수 있다. 포트 번호는 송신하는 프로그램이나 서비스를 식별하는 데 사용될 수 있다.
DstIP(Destination IP Address)는 데이터 패킷의 목적지 IP 주소를 나타낼 수 있다.
DstPort(Destination Port)는 데이터 패킷의 목적지 포트 번호를 나타낼 수 있다.
Proto(Protocol)은 데이터 패킷이 사용하는 프로토콜(Protocol)을 나타낼 수 있다. 데이터 패킷이 사용하는 프로토콜은 예를 들어, TCP, UDP, ICMP 등이 있을 수 있다.
패킷 전처리부(110)는 5-튜플(SrcIP, SrcPort, DstIP, DstPort, Proto)에 기반하여 SD-WAN 제어 트래픽 플로우를 구성할 수 있다.
특징 추출부(120)는 주어진 2-튜플 플로우의 시계열 특징, 다중 방향 특징 및 세션 정보를 생성할 수 있다. 특징 추출부는 5-튜플 플로우에서 시계열 특징 및 다중 방향 특징을 추출할 수 있다.
모든 노드 간 다중 방향은 예측된 SD-WAN 제어 트래픽의 운영 특성을 이해하는 데 사용된다.
본 발명은 클러스터 관리 프로토콜의 고유한 트래픽 패턴을 중심으로, 여러 제어 트래픽과 비교하여 SD-WAN 제어 트래픽과 데이터 트래픽 간의 트래픽 패턴이 어떻게 다른지 파악하기 위해 분석한다. 또한, SD-WAN 구조 때문에 주로 관측될 수 있는 다방향 관계를 분석한다. 결과적으로, 본 발명은 SD-WAN 제어 트래픽 흐름이 유지하는 독특한 패턴에 대한 정보를 획득할 수 있다.
특징 추출부(120)는 네트워크 트래픽 지문(fingerprint) 생성 시 일반적으로 사용되는 패킷 수(예를 들어, PPS) 및 패킷 크기(예를 들어, BPS)와 같은 특징을 기반으로 동작할 수 있다.
SD-WAN 제어 트래픽이 레이어-7에서 전달되므로, 특징 추출부(120)는 페이로드 길이와 생성된 세션 수도 측정할 수 있다.
이 두 가지 특징은 SD-WAN 운영 중에 나타나는 독특한 특성을 나타낼 수 있다. 이러한 순차적 특징을 분석하여, 클러스터 관리 프로토콜은 상태 일관성 및 멤버십 검사를 위해 주기적으로 패킷을 생성한다.
도 5의 a는 합의 프로토콜을 이용하는 노드 간의 플로우 흐름을 나타내는 도면이다.
도 5의 b는 사우스바운드 프로토콜을 이용하는 노드 간의 플로우 흐름을 나타내는 도면이다.
특징 추출부(120)는 SD-WAN 클러스터 노드들이 할당된 역할에서 파생된 방향성 패턴에 대한 정보를 획득할 수 있다.
예를 들어, 합의 프로토콜은 도 5의 a에서 보여지는 것처럼 주 노드 중심의 트래픽 교환 패턴을 보여준다. 주 노드가 보조 노드보다 훨씬 더 많은 제어 패킷을 받는 것을 알 수 있다.
도 5의 b는 사우스바운드 프로토콜이 마스터쉽 작업을 통해 컨트롤러와 스위치 사이에 방향성 패턴을 보여준다. 오직 주 노드만 스위치로 쓰기 작업을 전송할 수 있는 우선권을 가지는 것을 볼 수 있다. 이러한 패턴을 관찰함으로써, 특징 추출부(120)는 어떤 컨트롤러가 마스터쉽을 소유하는지 밝힐 수 있으며, 컨트롤러 인스턴스 중에서 가장 중요한 것을 나타낼 수 있다.
이와 관련하여 모든 노드 쌍 간에 전송되는 흐름의 전방향(즉, 요청) 및 후방향(즉, 응답)을 다중 방향 특징으로 간주하여, SD-WAN 제어 트래픽의 운영 측면을 추적할 수 있다.
트래픽 및 프로토콜 분류부(130)는 2-튜플 플로우의 특징을 기반으로 2 클래스 분류(즉, SD-WAN 제어 트래픽 또는 데이터 트래픽)를 수행할 수 있다.
트래픽 및 프로토콜 분류부(130)는 특징 추출부(120)에서 추출된 시계열 시퀀스 기능, 다중 방향 기능 및 세션 정보를 종합적으로 사용하여 SD-WAN 제어 트래픽을 식별하고 관련 없는(데이터)트래픽을 제거할 수 있다.
트래픽 및 프로토콜 분류부(130)는 제1 튜플 또는 제1 튜플을 기반으로 생성된 SD-WAN의 특징 정보를 윈도우 사이즈를 설정하여 시퀀스 형태로 만들고, 제1 분류 모델의 딥러닝 레이어로 임베딩하여 출력값을 획득하는 방식으로 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류할 수 있다.
트래픽 및 프로토콜 분류부(130)는 먼저, 데이터 포인트(즉, 단일 2-튜플 플로우)의 시계열 피쳐를 먼저 개의 타임 스텝으로 나눌 수 있다.
t의 시계열 피쳐 벡터는 다음과 같이 구성될 수 있다: Vt = [xt bps, xt pps, xt len], 여기서, t ∈ {1, 2, ... ,T}은 각 타임 스텝을 나타내며, xt <·>은 해당 시간t에서의 주어진 시계열 피쳐의 값이다.
주어진 2-튜플 플로우의 입력 시퀀스는 S = [v1, v2, ... , vT]로 정의될 수 있다.
LSTM은 순차 데이터의 장기 의존성을 학습할 수 있는 효과적인 순환 신경망으로 입증되었기 때문에, 트래픽 및 프로토콜 분류부(130)의 제1 분류 모델은 시퀀스 처리 신경망인 양방향 LSTM(Bi-LSTM, Bidirectional-Long Short-Term Memory)으로 구성될 수 있다.
입력 시퀀스는 Bi-LSTM 레이어에 입력되며, 순방향과 역방향 방향의 마지막 은닉 상태 벡터들의 결합인 [hf T, hb T]을 시퀀스 표현 벡터 es∈Rm으로 취할 수 있다.
생성된 세션의 수는 벡터 eσ에 포함될 수 있다. eσ= xσ X Ω는 학습 가능한 임베딩 벡터 Ω ∈ Rt를 이용하고, 여기서 xσ는 특정 기간 내에 두 노드 간에 생성된 세션 번호일 수 있다.
생성된 세션 수는 생성된 세션의 수를 나타내는 xσ가 특정 시간 기간 내에 두 노드 간에 생성된 경우, 학습 가능한 임베딩 벡터 Ω ∈ Rt을 사용하여 벡터 eσ로 임베드될 수 있다.
트래픽 및 프로토콜 분류부(130)는 가장 많은 노드들과의 플로우를 가진 상위 개의 노드들을 선택할 수 있다. 왜냐하면 SD-WAN 클러스터 노드들은 지속적으로 세션을 생성하고 많은 양의 플로우를 유지하기 때문이다.
여기서, k는 사용자의 설정에 의하여 미리 결정된 개수일 수 있고, 전체 노드의 수를 기반으로 결정될 수 있다.
따라서, k개의 노드를 선택함으로써 수많은 노드들 사이의 트래픽 흐름을 효과적으로 표현할 수 있다.
각 SrcIP의 상위 개의 다방향성은 삼항값(i.e., {0, ±1})을 사용하여 벡터 δk SrcIP = [d1, d2, ... , dk]로 인코딩된다. dt는 수학식 1과 같이 정의될 수 있다.
여기서, i는 {1, 2, ..., }에 속한다.
트래픽 및 프로토콜 분류부(130)는 δSrcIP를 밀집(dense) 레이어 f에 공급하여 상위 k개의 다방향 표현 벡터를 얻을 수 있다.
트래픽 및 프로토콜 분류부(130)는 시퀀스 표현 벡터 es, 세션 임베딩 벡터 eσ 및 상위 k 다방향 표현 벡터는 단일 벡터 e = [es, eσ, f(δSrcIP)]로 연결할 수 있다.
이 벡터는 출력 레이어와 시그모이드(Sigmoid) 활성화 함수로 공급되고, 제1 분류 모델은 마지막으로 주어진 2-tuple 샘플이 SD-WAN과 관련이 있는지 예측할 수 있다.
트래픽 및 프로토콜 분류부(130)는 학습 프로세스에서 이진 분류 작업(즉, 주어진 흐름에서 전송되는 트래픽이 제어 트래픽에 해당하는지 여부를 발견하는)을 위해 음의 로그 우도 L을 최적화하도록 동작할 수 있다.
음의 로그 우도 L은 수학식 2와 같이 정의될 수 있다.
여기서 N은 샘플의 총 수이고, yi는 참 레이블이며, y^i는 샘플 i의 예측 레이블이다.
트래픽 및 프로토콜 분류부(130)는 주어진 5-튜플 플로우의 특징을 사용하여 클러스터 관리 프로토콜을 구별하기 위한 다중 클래스 분류 문제를 해결할 수 있다.
트래픽 및 프로토콜 분류부(130)는 제2 튜플 플로우 또는 제2 튜플 플로우를 기반으로 생성된 SD-WAN의 특징 정보를 윈도우 사이즈를 설정하여 시퀀스 형태로 만들고, 제2 분류 모델의 딥러닝 레이어로 임베딩하여 출력값을 획득하는 방식으로 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류할 수 있다.
제2 분류 모델이 포함하는 딥러닝 레이어는 LSTM 기반 딥러닝 레이어일 수 있다.
트래픽 및 프로토콜 분류부(130)는 제1 분류 모델이 식별한 SD-WAN 제어 트래픽으로부터, 클러스터 관리 프로토콜을 구분하는 것을 목표로 시계열 순서 및 다방향 기능을 사용하여 제1 분류 모델과 다른 제2 분류 모델을 생성할 수 있다.
트래픽 및 프로토콜 분류부(130)는 주어진 5-튜플 플로우에 대한 시계열 특징으로 구성된 시퀀스 표현 벡터 e를 생성하며, 제어 트래픽을 분류하기 위하여 사용된 특징 추출 프로세스와는 다르다.
트래픽 및 프로토콜 분류부(130)는 모든 SD-WAN 노드에 대해 다방향 인코딩을 적용하여 클러스터 관리 프로토콜의 운영 특성을 추적한다. 이는 δSrcIP = [d1, d2, ... , dn]으로 형식화될 수 있으며, 여기서 n은 모든 노드의 수이다.
다중방향 표현 벡터는 시퀀스 표현 벡터 es와 연결되며, 마지막으로 ep=[es, f(δSrcIP)] 벡터를 생성할 수 있다. 여기서 f는 다중방향 표현 벡터를 구성하기 위한 밀집(dense) 레이어를 나타낼 수 있다.
최종 벡터는 출력 레이어에 공급되고 소프트맥스(Softmax) 함수에 의해 활성화될 수 있다. 트래픽 및 프로토콜 분류부(130)는 프로토콜을 분류하는 다중 클래스 분류 작업에서는 수학식 3과 같이 정의된 크로스 엔트로피(Cross-Entropy) 손실 함수를 최소화하는 방향으로 동작할 수 있다.
여기서 C는 범주(프로토콜의 종류)의 수를 나타내며, yi,c는 번째 샘플이 c 범주에 속하는지 여부를 나타내며, p^i,c는 해당 샘플의 예측 분포를 나타내고, p^i,c는 소프트맥스 함수에 의해 계산될 수 있다.
도 6은 SD-WAN 내의 노드의 역할에 따른 플로우 패턴을 예시적으로 나타내는 도면이다.
도 6의 (a)는 저장소 간의 기본-보조 흐름을 나타내고, 도 6의 (b)는 컨트롤러-스위치 간의 기본-보조 흐름을 나타낼 수 있다.
역할 탐지부(140)는 어떤 노드가 기본 노드인지, 어떤 노드가 보조 노드인지를 결정할 수 있다.
일반적으로 기본 노드는 보조 노드보다 더 많은 패킷을 송/수신한다. 이를 바탕으로 역할 탐지부(140)는 표준 z-점수 정규화를 적용하여 평균에서 멀리 떨어진 이상값을 감지할 수 있다.
역할 탐지부(140)는 각 SrcIP 주소가 보낸 패킷 수를 기반으로 z-점수를 계산한다. 그런 다음, z-점수 임계값을 사용하여 각 노드의 추론 역할(예: 기본(primary), 보조(secondary))을 결정한다.
노드의 역할 중에서, 기본과 보조 역할은 전송한 총 패킷 수로 구분할 수 있다.
도 6의 a는 저장소 노드 간 전송된 패킷을 기준으로 한 SD-WAN 클러스터 흐름 분석을 나타낸다.
먼저 Storage-1이 기본 노드 역할을 수행하지만, 그 후에 일부러 그것을 끊어서(시간 t에서) 보조 노드의 동작을 관찰한다. 구체적으로, 나머지 보조 노드들이 일시적으로 기본 노드 역할을 하려고 노력하는 것을 볼 수 있다. 마침내 Storage-4가 새로운 기본 노드로 지정되어 안정적인 연결을 유지하게 된다.
도 6의 b는 컨트롤러와 스위치 간의 도청된 트래픽 흐름 스냅샷을 나타내는 도면이다.
실험 시작 시 Ctrl-4가 기본 노드이므로 스위치는 해당 노드에서 쓰기 작업만 수신한다. 일부러 기본 노드를 끊어버리면(시간 t에서), 그 중 하나인 Ctrl-1이 새로운 기본 노드로 임명되어 상태를 수정하는 메시지를 보내고, 기존 기본 노드인 Ctrl-4가 복구될 때까지 기다리게 된다. 기본 노드는 보조 노드보다 적어도 두 배 이상의 데이터를 전송하며, 이는 SD-WAN 클러스터의 크기나 우발적인 연결 끊김 여부에 관계없이 항상 적용되는 것이다.
역할 탐지부(140)는 각 노드에 대해 역할을 정의하여 시스템 흐름의 효율성을 향상시키기 위해 z-점수 정규화를 활용하여 동작할 수 있다.
z-점수 정규화는 주요한 패턴 특징을 분류하는데 활용된다. 여기에서 분류 된 클러스터 관리 프로토콜 트래픽으로부터 구성된 각 노드의 관측값은 평균과 표준 편차에 기반하여 정규화될 수 있다.
z-점수 정규화 값 z은 z= (x - μ)/σ로 정의될 수 있다.
여기서 x는 관측값이며, μ는 데이터의 평균이고, σ는 표준 편차이다.
이 관점에서 역할 탐지부(140)는 각 SrcIP에 전송된 총 패킷 수를 우선 정렬할 수 있다. 각 SrcIP의 총 패킷 수는 관측값 일 수 있으며, 이를 통해 평균 값을 쉽게 계산할 수 있다. 계산된 점수는 임의적으로 임계값(θz)을 정의하여 역할을 추론할 수 있도록 한다.
도 7은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다.
SD-WAN의 제어 평면 구조 정보 생성 장치(100)는 적어도 하나의 프로세서(110), 컴퓨터 판독 가능한 저장매체(120) 및 통신 버스(150)를 포함한다.
프로세서(110)는 SD-WAN의 제어 평면 구조 정보 생성 장치(100)로 동작하도록 제어할 수 있다. 예컨대, 프로세서(110)는 컴퓨터 판독 가능한 저장 매체(120)에 저장된 하나 이상의 프로그램(121)들을 실행할 수 있다. 하나 이상의 프로그램(121)들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 컴퓨터 실행 가능 명령어는 프로세서(110)에 의해 실행되는 경우 SD-WAN의 제어 평면 구조 정보 생성 장치(100)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능한 저장 매체(120)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보는 입출력 인터페이스(130)나 통신 인터페이스(140)를 통해서도 주어질 수 있다. 컴퓨터 판독 가능한 저장 매체(120)에 저장된 프로그램(140)은 프로세서(110)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능한 저장 매체(120)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 SD-WAN의 제어 평면 구조 정보 생성 장치(100)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(150)는 프로세서(110), 컴퓨터 판독 가능한 저장 매체(120)를 포함하여 SD-WAN의 제어 평면 구조 정보 생성 장치(100)의 다른 다양한 컴포넌트들을 상호 연결한다.
SD-WAN의 제어 평면 구조 정보 생성 장치(100)는 또한 하나 이상의 입출력 장치를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(130) 및 하나 이상의 통신 인터페이스(140)를 포함할 수 있다. 입출력 인터페이스(130) 및 통신 인터페이스(140)는 통신 버스(150)에 연결된다. 입출력 장치(미도시)는 입출력 인터페이스(130)를 통해 SD-WAN의 제어 평면 구조 정보 생성 장치(100)의 다른 컴포넌트들에 연결될 수 있다.
인공지능 모듈(160)는 제1 분류 모델 학습부(161) 및 제2 분류 모델 학습부(162)를 포함할 수 있다.
제1 분류 모델 학습부(161)는 제1 분류 모델을 학습할 수 있다.
제1 분류 모델은 제1 튜플 또는 SD-WAN 특성 정보를 기반으로 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하기 위한 제1 인공신경망을 기반으로 할 수 있다.
제1 인공신경망은 입력되는 정보로부터 제어 트래픽과 일반 트래픽을 분류하기 위하여 학습될 수 있다.
제2 분류 모델 학습부(162)는 제2 분류 모델을 학습할 수 있다.
제2 분류 모델은 제2 튜플 플로우 또는 프로토콜 특성 정보를 기반으로 프로토콜의 종류를 분류하기 위한 제2 인공신경망을 기반으로 할 수 있다.
제2 인공신경망은 입력되는 정보로부터 노드가 이용하는 프로토콜을 분류하기 위하여 학습될 수 있다. 예를 들어, 제2 인공신경망은 입력되는 정보로부터 제어 트래픽 또는 노드가 이용하는 프로토콜이 합의(Consensus) 프로토콜, 사우스바운드(Southbound) 프로토콜, 멤버쉽(membership) 프로토콜 또는 상기 3개의 프로토콜 중 어느 하나에 해당하지 않는다는 결과값을 출력할 수 있다.
본 발명의 일 실시예에 따른 제1 분류 모델 학습부(161) 및 제2 분류 모델 학습부(162)는 인공지능 모델로 딥러닝의 LSTM 신경망을 이용하여 학습할 수 있다.
본 발명의 일 실시예에 따른 제1 분류 모델 학습부(161) 및 제2 분류 모델 학습부(162)는 인공지능 기술로 딥러닝 기술 중 하나인 LSTM 신경망을 이용했으나, 다른 인공지능 기술을 적용할 수 있기 때문에 이에 한정되는 것은 아니다.
본 발명의 일 실시예에 따른 제1 분류 모델 학습부(161) 및 제2 분류 모델 학습부(162)는 SNR 추정 정확도를 높이기 위해 학습률(Learning Rate), 최적화 기법(Optimizer), 최대 반복 횟수(Max Epoch) 등 하이퍼 파라미터를 설정해 손실함수를 낮추는 방향으로 가중치 파라미터를 갱신할 수 있다. 또한, 최대 반복 횟수에서 이르러 갱신된 가중치와 신경망 모델을 저장할 수 있다.
도 8은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 방법을 설명하기 위한 흐름도이다.
SD-WAN의 제어 평면 구조 정보 생성 방법은 SD-WAN의 제어 평면 구조 정보 생성 장치에 의해 수행될 수 있다.
프로세서(110)는 상술한 도 1 및 도 4를 통하여 설명한 패킷 전처리부(110), 특징 추출부(120), 트래픽 및 프로토콜 분류부(130) 및 역할 탐지부(140)에서 수행하는 동작들을 수행할 수 있다.
반대로, 패킷 전처리부(110), 특징 추출부(120), 트래픽 및 프로토콜 분류부(130) 및 역할 탐지부(140)는 프로세서(110)에서 수행하는 동작들 중에서 전처리부(110), 특징 추출부(120), 트래픽 및 프로토콜 분류부(130) 및 역할 탐지부(140) 각각에 대응하는 동작들을 수행할 수 있다.
S100 단계에서, 프로세서(110)는 외부로부터 트래픽 정보를 입력받고, 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 동작을 수행할 수 있다.
S200 단계에서, 프로세서(110)는 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 동작을 수행할 수 있다.
S300 단계에서, 프로세서(110)는 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성하는 동작을 수행할 수 있다.
S400 단계에서, 프로세서(110)는 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 동작을 수행할 수 있다.
S500 단계에서, 프로세서(110)는 분류된 프로토콜을 기반으로 SD-WAN 내의 복수의 노드의 역할을 결정하고, 분류된 프로토콜과 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성하는 동작을 수행할 수 있다.
트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계에서, 프로세서(110)는 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성할 수 있다.
트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계에서, 프로세서(110)는 송수신 플로우를 많은 노드들과 이루는 순서대로 복수의 노드를 상위 미리 결정된 기준 개수만큼 선택하고, 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하고, 인코딩된 벡터를 기반으로 제1 분류 모델을 이용하여 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류할 수 있다.
선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하는 것은, 출발지 아이피 주소로부터 선택된 노드로 플로우가 존재하는 경우, 제1 값을 적용하고, 출발지 아이피 주소로부터 선택된 노드로 플로우가 존재하지 않고, 선택된 노드로부터 출발지 아이피 주소로 플로우가 존재하는 경우, 제2 값을 적용하고, 출발지 아이피 주소와 선택된 노드 사이에 플로우가 존재하지 않는 경우, 제3 값을 적용하는 것일 수 있다.
여기서, 제1 값은 1, 제2 값은 -1, 제3 값은 0일 수 있다.
제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계에서, 프로세서(110)는 제2 튜플 플로우를 시계열적으로 나타낸 시퀀스 표현 벡터를 생성하고, 시퀀스 표현 벡터, 소프트맥스(softmax) 함수 또는 크로스-엔트로피 손실 함수를 기반으로 동작할 수 있다.
크로스-엔트로피 손실 함수는, 분류할 프로토콜의 총 수를 변수로 가지는 함수이고, 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계에서, 프로세서(110)는 크로스-엔트로피 손실 함수를 최소화하는 방향으로 동작할 수 있다.
분류된 프로토콜을 기반으로 SD-WAN 내의 복수의 노드의 역할을 결정하는 것은, 노드가 전송한 패킷 수를 기반으로 결정되는 관측값을 기반으로 각각의 노드에 대한 Z-점수를 산출하고, Z-점수가 미리 결정된 임계값을 초과하는 노드를 프라이머리(Primary) 노드로 결정하고, Z-점수가 미리 결정된 임계값 이하인 노드를 세컨더리(Secondary) 노드로 결정하는 것일 수 있다.
미리 결정된 임계값은 SD-WAN 내의 트래픽 양을 기준으로 사용자의 설정에 의하여 결정될 수 있다.
제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계에서, 프로세서는 합의(Consensus) 프로토콜, 사우스바운드(Southbound) 프로토콜 또는 멤버쉽(membership) 프로토콜 중 어느 하나로 분류할 수 있다.
제1 튜플은 출발지 아이피 주소 및 목적지 아이피 주소에 대한 정보를 포함하는 2-튜플일 수 있다.
제2 튜플은 출발지 아이피 주소, 출발지 포트, 목적지 아이피 주소, 목적지 포트 및 전송 계층 프로토콜에 대한 정보를 포함하는 5-튜플일 수 있다.
도 8에서는 각각의 과정을 순차적으로 실행하는 것으로 기재하고 있으나 이는 예시적으로 설명한 것에 불과하고, 이 분야의 기술자라면 본 발명의 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 8에 기재된 순서를 변경하여 실행하거나 또는 하나 이상의 과정을 병렬적으로 실행하거나 다른 과정을 추가하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이다.
본 출원은 컴퓨터 저장 매체도 제공한다. 컴퓨터 저장 매체에는 프로그램 명령이 저장되어 있고, 프로세서에 의해 프로그램 명령이 실행되면, 상술한 SD-WAN의 제어 평면 구조 정보 생성 방법이 실현된다.
본 발명의 일 실시예에 따른 컴퓨터 저장 매체는 U디스크, SD카드, PD광학 드라이브, 모바일 하드 디스크, 대용량 플로피 드라이브, 플래시 메모리, 멀티미디어 메모리 카드, 서버 등일 수 있지만 반드시 이에 한정되는 것은 아니다.
논리적으로 중앙 집중화된 분산 제어 평면을 구축하는 핵심은 서로 다른 클러스터 관리 프로토콜을 실행하여 제어 트래픽 교환을 통해 일관성을 달성하는 것이다.
암호화 되었더라도 운영 구조로 인해 제어 트래픽이 고유한 시계열 패턴과 방향 관계를 드러내는 것을 관찰할 수 있다. 이 패턴은 제어 평면 토폴로지 및 프로토콜 종속성과 같은 기밀 정보를 공개할 수 있으며, 이는 심각한 공격에 이용될 수 있다.
본 발명은 SD-WAN 클러스터 관리 프로토콜의 주기적 및 운영 패턴 및 수집된 제어 트래픽의 흐름 방향 컨텍스트를 분석하여 딥러닝 기반 접근 방식을 활용하여 클러스터 관리 프로토콜을 분류할 수 있다.
본 발명에 따르면, SD-WAN의 제어 평면 토폴로지(topology)와 클러스터 관리 프로토콜은 사이트 간 교환되는 (암호화된) 트래픽을 분석함으로써 추론될 수 있다.
본 발명은 SD-WAN에 대한 지문(fingerprint) 생성이 가능하며, 분산 컨트롤러들 사이의 주기적인 동기화 및 방향성 관계로 인해 SD-WAN 제어 트래픽은 인지 가능한 시계열 패턴을 유지한다.
본 발명에서 이용하는 딥러닝 기반 분류 모델은 Long Short-Term Memory (LSTM)에 기반한다. 실험 결과, LSTM 기반 모델은 다른 신경망 및 전통적인 시계열 모델링 알고리즘과 비교하여 SD-WAN 제어 트래픽의 시계열 패턴 및 방향성 관계를 매우 효과적으로 반영할 수 있다는 것을 보여주었다.
본 발명을 통하여 클러스터 내의 역할 및 종속성 정보를 획득하면, 이를 통해 SD-WAN의 기밀 제어-평면 토폴로지를 유추하고 이를 활용할 수도 있다.
이상에서 설명한 본 발명의 실시예를 구성하는 모든 구성요소들이 하나로 결합하거나 결합하여 동작하는 것으로 기재되어 있다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 또한, 이와 같은 컴퓨터 프로그램은 USB 메모리, CD 디스크, 플래쉬 메모리 등과 같은 컴퓨터가 읽을 수 있는 기록 매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 기록 매체로서는 자기기록매체, 광 기록매체 등이 포함될 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 수정, 변경 및 치환이 가능할 것이다. 따라서, 본 발명에 개시된 실시예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예 및 첨부된 도면에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구 범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.
100: SD-WAN의 제어 평면 구조 정보 생성 장치
110: 패킷 전처리부
120: 특징 추출부
130: 트래픽 및 프로토콜 분류부
140: 역할 탐지부

Claims (15)

  1. 암호화된 제어 트래픽 분석을 통한 SD-WAN(Software Defined-Wide Area Networking)의 제어 평면 구조 정보 생성 장치에 있어서,
    상기 SD-WAN의 제어 평면 구조 정보 생성 장치는, 상기 제어 평면 구조 정보를 생성하기 위한 하나 이상의 프로그램을 저장하는 메모리; 및 상기 하나 이상의 프로그램에 따라 상기 제어 평면 구조 정보를 생성하기 위한 동작들을 수행하는 하나 이상의 프로세서;를 포함하고, 상기 프로세서에 의하여 수행되는 동작들은,
    외부로부터 트래픽 정보를 입력받고, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계;
    상기 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계;
    상기 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성하는 단계;
    상기 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계; 및
    상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하고, 상기 분류된 프로토콜과 상기 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성하는 단계;를 포함하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  2. 제1항에 있어서,
    상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계는,
    상기 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 상기 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  3. 제2항에 있어서,
    상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계는,
    송수신 플로우를 많은 노드들과 이루는 순서대로 복수의 노드를 상위 미리 결정된 기준 개수만큼 선택하고,
    상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하고,
    상기 인코딩된 벡터를 기반으로 상기 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  4. 제3항에 있어서,
    상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하는 것은,
    상기 출발지 아이피 주소로부터 상기 선택된 노드로 플로우가 존재하는 경우, 제1 값을 적용하고,
    상기 출발지 아이피 주소로부터 상기 선택된 노드로 플로우가 존재하지 않고, 상기 선택된 노드로부터 상기 출발지 아이피 주소로 플로우가 존재하는 경우, 제2 값을 적용하고,
    상기 출발지 아이피 주소와 상기 선택된 노드 사이에 플로우가 존재하지 않는 경우, 제3 값을 적용하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  5. 제1항에 있어서,
    상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는,
    상기 제2 튜플 플로우를 시계열적으로 나타낸 시퀀스 표현 벡터를 생성하고, 상기 시퀀스 표현 벡터, 소프트맥스(softmax) 함수 또는 크로스-엔트로피 손실 함수를 기반으로 하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  6. 제5항에 있어서,
    상기 크로스-엔트로피 손실 함수는,
    분류할 프로토콜의 총 수를 변수로 가지는 함수이고,
    상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는,
    상기 크로스-엔트로피 손실 함수를 최소화하는 방향으로 동작하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  7. 제1항에 있어서,
    상기 제어 평면 구조 정보는,
    노드 간의 연결 구조, 노드가 이용하는 프로토콜 정보 또는 각각의 프로토콜을 이용하는 노드가 프라이머리 노드인지 또는 세컨더리 노드인지에 대한 정보가 포함되는 기하학적인 토폴로지 정보인 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  8. 제1항에 있어서,
    상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하는 것은,
    노드가 전송한 패킷 수를 기반으로 결정되는 관측값을 기반으로 각각의 노드에 대한 Z-점수를 산출하고,
    상기 Z-점수가 미리 결정된 임계값을 초과하는 노드를 프라이머리(Primary) 노드로 결정하고, 상기 Z-점수가 미리 결정된 임계값 이하인 노드를 세컨더리(Secondary) 노드로 결정하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  9. 제1항에 있어서,
    상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는,
    합의(Consensus) 프로토콜, 사우스바운드(Southbound) 프로토콜 또는 멤버쉽(membership) 프로토콜 중 어느 하나로 분류하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  10. 제1항에 있어서,
    상기 제1 튜플은,
    출발지 아이피 주소 및 목적지 아이피 주소에 대한 정보를 포함하는 2-튜플인 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  11. 제1항에 있어서,
    상기 제2 튜플은,
    출발지 아이피 주소, 출발지 포트, 목적지 아이피 주소, 목적지 포트 및 전송 계층 프로토콜에 대한 정보를 포함하는, 5-튜플인 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  12. 암호화된 제어 트래픽 분석을 통한 SD-WAN(Software Defined-Wide Area Networking)의 제어 평면 구조 정보 생성 장치에서 수행하는 SD-WAN의 제어 평면 구조 정보 생성 방법에 있어서,
    외부로부터 트래픽 정보를 입력받고, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계;
    상기 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계;
    상기 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성하는 단계;
    상기 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계; 및
    상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하고, 상기 분류된 프로토콜과 상기 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성하는 단계;를 포함하는, SD-WAN의 제어 평면 구조 정보 생성 방법.
  13. 제12항에 있어서,
    상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계는,
    상기 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 상기 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 방법.
  14. 제13항에 있어서,
    상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계는,
    송수신 플로우를 많은 노드들과 이루는 순서대로 복수의 노드를 상위 미리 결정된 기준 개수만큼 선택하고,
    상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하고,
    상기 인코딩된 벡터를 기반으로 상기 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 방법.
  15. 제12항 내지 제14항 중 어느 한 항에 기재된 SD-WAN의 제어 평면 구조 정보 생성 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램.
KR1020230027261A 2022-12-09 2023-02-28 암호화된 제어 트래픽 분석을 통한 sd-wan의 제어 평면 구조 정보 생성 장치 및 방법 KR20240086508A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020220171882 2022-12-09
KR20220171882 2022-12-09

Publications (1)

Publication Number Publication Date
KR20240086508A true KR20240086508A (ko) 2024-06-18

Family

ID=91671053

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230027261A KR20240086508A (ko) 2022-12-09 2023-02-28 암호화된 제어 트래픽 분석을 통한 sd-wan의 제어 평면 구조 정보 생성 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20240086508A (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220142523A (ko) 2020-02-26 2022-10-21 시스코 테크놀러지, 인크. Sdwan 아키텍처에서 서비스 평면 상의 동적 방화벽 발견

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220142523A (ko) 2020-02-26 2022-10-21 시스코 테크놀러지, 인크. Sdwan 아키텍처에서 서비스 평면 상의 동적 방화벽 발견

Similar Documents

Publication Publication Date Title
Lotfollahi et al. Deep packet: A novel approach for encrypted traffic classification using deep learning
Dong Multi class SVM algorithm with active learning for network traffic classification
Myint Oo et al. Advanced support vector machine‐(ASVM‐) based detection for distributed denial of service (DDoS) attack on software defined networking (SDN)
US20210273953A1 (en) ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT
US10841164B2 (en) Online generation and updates of IoT mud policies
Sen et al. Leveraging machine learning approach to setup software-defined network (SDN) controller rules during DDoS attack
Chen et al. CIPA: A collaborative intrusion prevention architecture for programmable network and SDN
Wang et al. An automatic application signature construction system for unknown traffic
Letteri et al. Security in the internet of things: botnet detection in software-defined networks by deep learning techniques
Oo et al. The design of SDN based detection for distributed denial of service (DDoS) attack
CA3184265A1 (en) Endpoint client sensors for extending network visibility
Soleimani et al. Real-time identification of three Tor pluggable transports using machine learning techniques
Vinayakumar et al. Evaluating shallow and deep networks for secure shell (ssh) traffic analysis
Kiran et al. Understanding flows in high-speed scientific networks: A netflow data study
Adeniji et al. Development of DDoS attack detection approach in software defined network using support vector machine classifier
Zarpelão et al. Detection of bitcoin-based botnets using a one-class classifier
US11750621B2 (en) Learning of malicious behavior vocabulary and threat detection through behavior matching
Susilo et al. Intrusion detection in software defined network using deep learning approach
Cheng et al. Guarding the perimeter of cloud-based enterprise networks: an intelligent SDN firewall
Li et al. NNSplit-SØREN: Supporting the model implementation of large neural networks in a programmable data plane
Alkhalidi et al. FDPHI: Fast Deep Packet Header Inspection for Data Traffic Classification and Management.
Sumadi et al. Comparative analysis of DDoS detection techniques based on machine learning in openflow network
KR20240086508A (ko) 암호화된 제어 트래픽 분석을 통한 sd-wan의 제어 평면 구조 정보 생성 장치 및 방법
Uddin et al. Federated learning based intrusion detection system for satellite communication
Onoda Probabilistic models-based intrusion detection using sequence characteristics in control system communication