Piggybacking Network Functions on SDN Reactive Routing: A Feasibility Study

tags: paper

Abstract

实现并评估 基於 piggybacking 入侵防御系统: SDN-Defense

经由 university WiFi traffic traces 发现

• 在 flow中 的前3个封包 可以侦测到 高达 73% 的恶意流量
• 在 flow中 的前4个封包 可以侦测到 高达 90% 的恶意流量

再由 经验的观察
提出 当 flow 进来时 Forward(转送) 前K个封包到增强版SDN Controller
进行 安全检查

PS: K 为动态配置的参数

使用真实的 Wireless traces 表徵 SDN-Defense 的 cost-benefit trade-offs 并且 讨论 潜在的可扩展性问题

最後 讨论 藉由 提出的 piggybacking 方法 可以 enhance 其他哪些应用

三个贡献

1. 分析 296 GB
   1. 前3个封包 可以侦测到 高达 73% 的恶意流量
   2. 前4个封包 可以侦测到 高达 90% 的恶意流量
2. 使用 Snort rules 执行 first K-packet inspection 并 评估
3. 其他应用 : application identification & dynamic Traffic Dispersion Graph (TDG) generation 可被 piggybacking 给 enhance

Related Work

• Network intrusion detection
  • Why Use Snort ?
    • A widely deployed , open-source , signatured based IDS
  • limitations of an IDS operating in the traditional network
    • ex: IDS only sees traffic from local links
• Intrusion detection in SDN
  • 其他人做的
    • Syed : 有效率侦测 家用或是办公网路的 网路异常
    • Giotis: 综合 OpenFlow 与 sFlow 实现异常侦测 和 缓解
  • 与 论文提出不一样之处
    • 类型局限性
      • Others:
        • limited and narrow set of synthetically generated attack traffic (port scan,DoS)
      • Proposed Method
        • detailed analysis
          • 使用真实恶意流量
          • 44 种 威胁 类型 根据 wifi trace
  • 类似其他人的
    • Yoon:检测第一个封包来判断 并 决定 flow 是否需更进一步检测以及 安装 不同 forwarding rule 给 flow
      • 没有 trace-based 的评估
      • 单一封包 对於 判断 malicious 还不够充足
  • More general and not tied to a particular deployment scenario

CASE STUDY: PIGGYBACKING IDS/IPS ON SDN REACTIVE ROUTING

• base case : SDN controller/switches 没有加入安全措施
  而 IDS/IPS 以 传统方式 运行 <-- only monitor local link
• SDN controller 里其中一个功能就是 IPS (VNF) and co-located with the controller(?)
  • 如果 把所有流量丢Controller会导致 overhead
    • 尽量减少(?)

System Overview

Kth 被 检查完 才会进行 forwarding rule 在 edge switch/router 的安装

• 由 几个 挑选的 IDS/IPS rule 来检查
• 三个 IF
  • 如果封包是 善良的 还没收集完 所有 flow 的 封包
    • 则 藉由 packet out 送到 对应 output port
      • 他想送到哪个 destination 就造正常送
  • 如果封包被侦测到是 恶意的
    • 则 丢掉封包 并 set up blocking rule
      • 以便 之後的封包 都丢掉
  • 如果 全部 packet(s) in flow 都被检查完 发现是善良的
    • 则 安装 rule 给 这类 flow 的
      • 由 switch level 处理

Feasibility Study

how K parameter affects the detection performance

• 定义 flow 唯一单方向 5-tuples
  • protocol
  • source IP
  • source port
  • destination IP
  • destination port

• 1a : dataset 中 flow size 分布
  • 有 96 % 的 flows 不超过 100 packets
  • average flow size = 53 packets
• 1b :
  • trace 产生 1770 TCP alerts from 44 不同的 rules
    • triggerd by 1145 flows
  • rank rule
    • by 多少 flow(s) 触发
  • 由 1b
    • top 4 most-frequently triggered rules
      • 侦测 超过 75 % 的恶意流量

        --- 接下来 专注於 4 rules --- 
        

重点提要:

截自: https://p4.org/assets/07-piggybacking-network-functions.pdf

Reference:

• https://github.com/cchliu/SDN-Defense
• http://conferences.sigcomm.org/sosr/2017/papers/sosr17-piggybacking.pdf