--- tags: 研究, サーベイ robots: noindex, nofollow --- [サーベイ] SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks === ## 概要 SDN環境下でDDoSに対処するメカニズムを提案した ## 技術や手法のキモ 攻撃検出トリガ，攻撃検出手法，攻撃のトレースバック，攻撃緩和手法の4つを提案した ## SDNでDDoS対策するのってどうなん SDNは， - 柔軟なモニタリングが可能 - 検出メカニズムがソフトウェアベース - ネットワークの可視化が容易 - 細かいネットワークコントロールが可能 という特徴を持ち， DDoS防御に関するメカニズムを簡単に実装できる．例えば，Moving Target Defence(目くらまし防御)なんかも実装できる点が優れている． #### *Moving Target Defence(目くらまし防御) - [Moving Target Defence（目くらまし防御）](https://www.soliton.co.jp/products/category/product/cyber/polyverse/) - IPアドレス随時変更(ホッピング) - [A Port Hopping Based DoS Mitigation Scheme in SDN Network](https://ieeexplore.ieee.org/document/7820468) - [米陸軍研究所と大学の研究者チーム、サーバのIPアドレスを隠蔽するプロアクティブ防御技術を開発](https://www.atmarkit.co.jp/ait/articles/1809/18/news077.html) - ポートトラフィックの分岐(ポート番号のランダムな変更) - ネットワーク情報に含まれるOS種別やバージョンを不正確なものに ## Packets InspectionによるDDoS検出 - コントローラで全てのパケットを収集する - コントローラで新しいセッションのパケットのみを収集する - サンプリングして収集する(例えば10秒毎にtimeout 2sの，全てのパケットをコントローラに転送するエントリを追加するなどして) いずれにせよ，DDoS分野はトラフィック量が多くなる傾向にあるため，PIは負荷がかかりすぎる． やはり，継続的に収集するのではなくトリガを用いる方針で考えていくべき． ## Traceback of DDoS in SDN 攻撃ノードと隣接しているスイッチを特定し，防御や緩和のためのエントリを追加したいが，スイッチを特定するためのトレースバック手法については今まであまり検討されていないという背景がある． ## Packet-Inトリガ Packet-Inメッセージの増加速度を算出し，異常増加の検出を行う． 具体的には，exact-STORMという手法を用いる(疑似コードあり)． この手法で異常が検出されたことをトリガとして，攻撃の検出処理等に移行する． 各スイッチに対して一定間隔で統計情報をポーリングし続けるよりは負荷が小さいと考えられる． ## 攻撃緩和 既存研究では，攻撃の検出と防御までは行っているものの，コントローラやスイッチの汚染されたエントリを特定し，削除することでクリーンな状態に戻す作業までは行われていなかったため，本研究ではそれも解決する． ## 評価 - 攻撃開始から防御完了までの各処理時間 - CPU使用率の時系列 - ネットワーク負荷の時系列 packet-inトリガとperiodicトリガ(5min間隔)の比較を行った ## 所感 - Packets InspectionによるDDoS検出について，サンプリングするのは面白そうだと感じた．DDoS分野ではトラフィック量的に厳しいが，ポートスキャン分野だったらそこまで気にならないため，応用できそうではある． - Packet-Inを発火させる条件を細かく設定できるのか調査する必要がある - Packet-Inトリガを使えるユースケースを調査する必要がある． - Packet-Inが発生しない，つまり，スイッチに既に対応するエントリが存在している場合にはトリガさせることが出来ない ## ToDo - exact-STORM algorithmについて調査する - 時系列データの異常増加検出アルゴリズムについて調査する - シミュレーション実験を行う上で，どのようなシナリオなら評価として妥当か考える