Cyber-security Defense Cycle using Software-defined Networking

Abstract

클라우드 컴퓨팅, 5G, 사물인터넷 등 네트워크를 통한 초연결 사회로의 디지털 전환으로 국가기관 및 기업의 사이버 자산 침해, 서비스 장애, 네트워크를 통한 개인정보 도용 등을 막기 위한 사이버 보안의 중요성이 증대하고 있다. 다양하고 지능화된 사이버 공격에 대처하기 위해서는 위협 요소를 빠르게 분석하여 탐지하고, 즉각적으로 공격에 대처할 수 있는 사이버 보안 기술이 필수적이다. 방화벽 및 침입탐지시스템 (IDS; intrusion detection system)은 네트워크의 고정된 위치에서 네트워크 상에서 흐르는 데이터 트래픽을 패킷 단위로 분석하고, 미리 정의된 규칙 및 인공지능 (AI; artificial intelligence) 기반의 탐지 모델 등을 활용하여, 공격 및 이상행동들을 탐지하는 장치이다. Moving target defense (MTD) 기술은 잠재적인 공격자의 행동을 방해하여 보안 위협을 대처하는 기술로, 공격자가 사전에 수집한 네트워크 및 시스템 정보를 무효화시켜 공격을 사전에 방지할 수 있는 기술이다. 네트워크 장비 제어를 위한 제어평면과 네트워크 데이터 트래픽 전달을 위한 데이터평면을 분리하여, 기존 네트워크와 달리 네트워크에 유연성, 프로그래밍 가능성 및 확장성을 가져다 줄 수 있는 소프트웨어 정의 네트워킹(SDN; software-defined networking) 기술은 오늘 날의 네트워크 환경에서 꼭 필요한 기술 중 하나이다. 사이버 보안에 대한 기존 정적인 레거시 접근 방식은 중복되고 지능적이지 않고 적응력이 부족하다. 강화 학습 (RL; reinforcement learning)은 적대적인 환경에서 주어진 시스템을 보호하는 지능형 에이전트를 위한 유망한 접근 방식이다. RL을 사용하면 에이전트가 빠르고 효율적이며 자동화된 위협에 대한 탐지, 분석 및 대응을 통한 보안성 강화를 위해 현재 인지된 시스템의 보안 상태를 기반으로 적응적으로 보안정책을 결정할 수 있다. 본 논문에서는 방화벽, IDS, MTD, RL 기술을 활용하여, 사이버 보안을 위한 SDN 기반의 지능적이고 적응력있는 사이버 보안을 위한 방어 순환 기술을 제안한다.

본 논문의 첫번째 연구에서는 네트워크에 분산되어 위치해 있는 방화벽 시스템들에 대한 안전한 가시성 확보를 통해 수집한 방화벽 규칙들을 SDN 지원 스위치들에 플로우 규칙들로 변환하여 배치함으로써, 네트워크에서 미리 악의적인 플로우들을 차단하는 방어 순환 기술을 제안한다. 시뮬레이션 및 SDN 테스트베드 실험 결과, 제안한 방화벽 규칙 병합 및 배치를 통해 denial of service (DoS) 공격을 SDN 지원 스위치들에서 사전에 차단하여, 전체 네트워크에 흐르는 데이터 트래픽의 양과 네트워크 단말들의 central processing unit (CPU) 사용량을 낮출 수 있음을 확인하였다.

본 논문의 두번째 연구에서는 네트워크 데이터 트래픽 가시성 확보 및 IDS를 통한 공격탐지를 위하여 심층강화학습 (DRL; deep reinforcement learning) 기반의 지능화된 네트워크 플로우 모니터링을 통한 방어 순환 기술을 제안한다. 시뮬레이션 및 SDN 테스트베드 실험 결과, 제안한 지능형 네트워크 모니터링 기술이 기존 기술보다 더욱 더 많은 악의적인 플로우의 패킷들을 캡쳐하고, 더 적은 네트워크 모니터링 오버헤드를 보여줌을 확인하였다.

본 논문의 세번째 연구에서는 네트워크에서 공격이 발생한 위치에 대한 DRL 기반의 집중적인 네트워크 모니터링을 수행하고, IDS들의 분석 결과를 기반으로 공격이나 이상징후가 발생한 부분의 네트워크 주소 정보를 변경하는 적응적 MTD 보안 대처를 통해 네트워크 보안을 높여주는 방어 순환 기술 (DIVERGENCE, deep reinforcement learning-based adaptive traffic inspection and moving target defense countermeasure framework) 을 제안한다. 시뮬레이션 및 SDN 테스트베드 실험 결과, 제안한 적응적 MTD 기술을 통해 네트워크 스캐닝 공격에 대한 방어 가능성을 높여줌으로써, 공격자의 네트워크 및 시스템 정보 획득 확률을 낮출 수 있음을 확인하였다.

본 논문에서 제안된 SDN 기반 사이버 보안 방어 순환 기술들: (1) 사전 예방적 방화벽 기반 보안 시스템; (2) DRL 기반의 집중적인 네트워크 트래픽 모니터링 메커니즘; (3) DRL 기반의 적응적 MTD 프레임워크가 데이터센터와 같은 SDN 기반의 네트워크 및 시스템 보안성 향상에 크게 기여할 수 있을 것으로 기대된다.|With the digital transformation into a hyper-connected society through networks such as cloud computing, 5G, and the Internet of things, the importance of cyber-security is increasing to prevent invasion of cyber assets for institutions or companies, service failure, and theft of personal information through networks. In order to cope with various and intelligent cyber-attacks, an intelligent cyber-security technology that can quickly analyze and detect threats and respond to attacks is essential. Firewalls and intrusion detection systems (IDS) are a fundamental element of network security systems with the ability to detecting network anomalies and malicious attacks. They analyze network traffic per packet through predefined rules and artificial intelligence (AI)-based detection models. As one of the proactive defense countermeasures, moving target defense (MTD) randomly changes network configuration to cause confusion or uncertainty for attackers. It is a technology that can prevent attacks in advance by invalidating network and system information collected by the attacker in advance. Software-defined networking (SDN) technology, which can provide flexibility, elasticity, and programmability for network management, has been applied to network security systems. The static legacy approach to cyber-security is redundant, not intelligent, and lacks adaptability. Reinforcement learning (RL) is a promising approach for intelligent agents to protect a given system under highly hostile environments. RL allows the agent to adaptively make sequential defense decisions based on the perceived current state of system security aiming to achieve the maximum defense performance in terms of fast, efficient, and automated detection, threat analysis, and response to the threat. In this dissertation, we propose an SDN-based defense cycle for an intelligent and adaptable cyber-security system using a firewall, IDS, MTD, and RL technologies.

In the first part of this dissertation, a software-defined firewall cyber-security system, which securely gathers the firewall rules of the host/network-based firewalls through the SDN control plane, converts the collected firewall rules in the form of SDN flow rules and deploys them on SDN-enabled switches. Furthermore, we formulate an optimization problem to find appropriate SDN-enabled switches to which the SDN flow rules are to be sent. The proposed firewall system makes the traffic flows that are destined to be dropped by a firewall be dropped in advance at the SDN-enabled switch with the corresponding SDN flow rules. The SDN-based testbed experiments demonstrate that the proposed firewall system reduces the aggregate network traffic volume and the resource utilization of end-hosts in the network.

In the second part of this dissertation, we propose a less-intrusive network traffic monitoring mechanism for multiple traffic analyzers on an SDN-enabled network using a deep reinforcement learning (DRL) algorithm. The proposed system learns traffic monitoring resource allocation policy under the uncertainty of flow distribution according to captured traffic inspection results obtained from multiple traffic analyzers. Through extensive simulations and the SDN-based testbed experiments, we demonstrate that the proposed approach has a high probability of capturing malicious flows while maintaining a balanced load of multiple traffic analyzers and reducing flow monitoring overheads.

In the third part of this dissertation, we propose a deep reinforcement learning-based adaptive traffic inspection and moving target defense countermeasure framework, called `DIVERGENCE,' for building a secure networked system. The DIVERGENCE provides two main security services: (1) a DRL-based network traffic inspection mechanism to achieve scalable and intensive network traffic visibility for rapid threat detection; and (2) an address shuffling-based MTD technique to defend against threats as a proactive intrusion prevention mechanism. Through extensive simulations and experiments, we demonstrate that the DIVERGENCE successfully caught malicious traffic flows while significantly reducing the vulnerability of the network through MTD.

Through studies in this dissertation, it is expected that the proposed SDN-based cyber-security defense cycles: (1) proactive firewall-based security system, (2) DRL-based intensive network traffic monitoring mechanism, and (3) adaptive MTD framework, can greatly contribute to enhancing the cyber-security of software-defined networks such as data center. Concluding remarks provide the key features found in the research in each chapter and summarize the analysis results from acquired results in empirical experiments.