Machine learning based ddos attack detection for software-defined networks : Yazılım tanımlı ağlar için makine öğrenme esaslı ddos attack algılama

Abstract

Yazılım tanımlı ağlar dediğimiz kontrol düzlemi eski ağlardaki dikey bütünleşmeyi ortadan kaldıracak ve denetleyici adı verilen bir ağ işletim sistemi vasıtasıyla ağın genel bir görünümünü sağlayacak olan yönlendirme düzleminden ayıran yeni bir ağ modelidir. Bu, önceden donanım olarak sağlanan bileşenlerin yazılımla bilgisayar ortamında kurulumunu azaltacak, yenilik, ağ güvenliği, hizmet kalitesi, isteğe bağlı hazırlama ve yük dengeleme işlemlerini destekleyecektir Özellikle sanal makinelerin, cloud bilgisinin ve sanallaştırmanın kök saldığı veri merkezinde daha da ileri bir teknoloji olarak ön plana çıkıyor. SDN, ağ üzerinden denetleyici aracılığıyla ağ genelinde bir görüş sağlama avantajına sahip olmasına rağmen, bu da onun güçlü zayıflığıdır çünkü denetleyici olmadan bir SDN ağı çalışamaz. Saldırganlar, denetleyiciyi işleyebileceğinden büyük taleplerle hedefliyorlar, dolayısıyla çevrimdışı eleştiriliyorlar. Bu araştırma, makine öğrenme tabanlı akış IDS'in melez bir mekanizmasının yanı sıra TCP SYN, ACK için denetleyiciyi etkilemeden bir saldırıyı tespit etmek için Entropi sayacı ve denetleyiciye saldıran IP adresleri gerçek zamanlı olarak engellenmiş bir hedefi vardır. SDN, normal bir ağın kaynaklarına sahip değildir, bu nedenle çözüm mümkün olduğunca hafif olmalıdır. Araştırma, kullanılabilecek bir saldırıyı kapsayan saldırı türlerini ve saldırı senaryosunu uygulamakla birlikte saldırının ilk birkaç saniyede nasıl hafifletilebileceğini gösterecek.

Software-defined networking is a new networking model which decouples the control plane from the forwarding plane which eliminates vertical integration in current legacy networks and provide a global view of the network via a network operating system called a controller. This is going to cut the cost of networking through softwarerization of components previously provided as hardware, it will promote innovation, network security, quality of service, on demand provisioning and load balancing. It is being touted as a future technology especially in the data centers where virtual machines, cloud computing and virtualization are being adopted. Despite software-defined networking (SDN) having benefits like a network wide view through the controller, its biggest weakness is the controller itself. Attackers can direct massive requests to the controller than it can handle making it crash and unavailable thus rendering the network offline and unusable. The aim of this thesis is to propose a hybrid lightweight mechanism that runs with the controller to help identify anomalies in the network with use of minimum resources. Because of resource scarcity in SDN a flow intrusion detection system (IDS) is used but since the flow IDS has many false positives, when an attack is detected the flow is forwarded to an entropy calculator module which is based on the TCP 3-way handshake with a threshold set. If the flow is indeed an attack, it's mitigated by a SYN packet counter which blocks the IP address flooding the controller if the number of packets exceed a 50 packets per second.