Piggybacking Network Functions on SDN Reactive Routing: A Feasibility Study
tags: paper
Abstract
实现并评估 基於 piggybacking 入侵防御系统: SDN-Defense
经由 university WiFi traffic traces 发现
- 在 flow中 的前3个封包 可以侦测到 高达 73% 的恶意流量
- 在 flow中 的前4个封包 可以侦测到 高达 90% 的恶意流量
再由 经验的观察
提出 当 flow 进来时 Forward(转送) 前K个封包到增强版SDN Controller
进行 安全检查
PS: K 为动态配置的参数
使用真实的 Wireless traces 表徵 SDN-Defense 的 cost-benefit trade-offs 并且 讨论 潜在的可扩展性问题
最後 讨论 藉由 提出的 piggybacking 方法 可以 enhance 其他哪些应用
三个贡献
- 分析 296 GB
-
前3个封包 可以侦测到 高达 73% 的恶意流量
-
前4个封包 可以侦测到 高达 90% 的恶意流量
- 使用 Snort rules 执行 first K-packet inspection 并 评估
- 其他应用 : application identification & dynamic Traffic Dispersion Graph (TDG) generation 可被 piggybacking 给 enhance
Related Work
- Network intrusion detection
- Why Use Snort ?
- A widely deployed , open-source , signatured based IDS
- limitations of an IDS operating in the traditional network
- ex: IDS only sees traffic from local links
- Intrusion detection in SDN
- 其他人做的
- Syed : 有效率侦测 家用或是办公网路的 网路异常
- Giotis: 综合 OpenFlow 与 sFlow 实现异常侦测 和 缓解
- 与 论文提出不一样之处
- 类型局限性
- Others:
- limited and narrow set of synthetically generated attack traffic (port scan,DoS)
- Proposed Method
- detailed analysis
- 使用真实恶意流量
- 44 种 威胁 类型 根据 wifi trace
- 类似其他人的
- Yoon:检测第一个封包来判断 并 决定 flow 是否需更进一步检测以及 安装 不同 forwarding rule 给 flow
- 没有 trace-based 的评估
- 单一封包 对於 判断 malicious 还不够充足
- More general and not tied to a particular deployment scenario
CASE STUDY: PIGGYBACKING IDS/IPS ON SDN REACTIVE ROUTING
- base case : SDN controller/switches 没有加入安全措施
而 IDS/IPS 以 传统方式 运行 <-- only monitor local link
- SDN controller 里其中一个功能就是 IPS (VNF) and co-located with the controller(?)
- 如果 把所有流量丢Controller会导致 overhead
System Overview
Kth 被 检查完 才会进行 forwarding rule 在 edge switch/router 的安装
- 由 几个 挑选的 IDS/IPS rule 来检查
- 三个 IF
- 如果封包是 善良的 还没收集完 所有 flow 的 封包
- 则 藉由 packet out 送到 对应 output port
- 如果封包被侦测到是 恶意的
- 则 丢掉封包 并 set up blocking rule
- 如果 全部 packet(s) in flow 都被检查完 发现是善良的
Feasibility Study
how K parameter affects the detection performance
- 定义 flow 唯一单方向 5-tuples
- protocol
- source IP
- source port
- destination IP
- destination port
- 1a : dataset 中 flow size 分布
- 有 96 % 的 flows 不超过 100 packets
- average flow size = 53 packets
- 1b :
- trace 产生 1770 TCP alerts from 44 不同的 rules
- rank rule
- 由 1b
- top 4 most-frequently triggered rules
--- 接下来 专注於 4 rules ---
重点提要:
截自: https://p4.org/assets/07-piggybacking-network-functions.pdf
Reference: