公开(公告)号：KR1020170133018A

公开(公告)日：2017-12-05

申请号：KR1020160063910

申请日：2016-05-25

Applicant: 동서대학교산학협력단

Inventor： 이상곤 ,  이훈재 ,  임준휘 ,  안드리안토빈첸시오크리스티안

IPC: H04L29/06

CPC classification number: H04L63/20 ,  H04L47/2483 ,  H04L63/0272 ,  H04L63/1416 ,  H04L63/1466

Abstract: 본발명은 SDN에서의적응형보안시스템및 이의구동방법에관한것으로서, 더욱상세하게는모든트래픽을제어기에게전달하지않고패킷수준분석을네트워크기능가상화 IDS에게전달하여 SDN 보안을관리하는혼합형솔루션의구현기술에관한것이다. 본발명에따른 SDN에서의적응형보안시스템은데이터평면(100);에위치하는스위치(110); 상기스위치(110)에연결된호스트(120); 네트워크의구성요소인하드웨어와소프트웨어를분리하고범용서비스가상화기반에서네트워크기능을가상화해제공하는 NFV-IDS(130); 제어평면(200);에위치하고네트워크장비의상기데이터평면(100)과상기제어평면(200)을분리하고각 기능을처리하며상기스위치(110) 또는상기호스트(120)에서받은흐름정보를이용하여네트워크모니터및 로드밸런서의어플리케이션을운영하는 SDN제어기(210); 관리평면(300);에위치하고상기스위치(110) 또는상기호스트(120) 중에악의적인공격을수행중인것으로의심되는것을색출하기위한 SDN-IDS(310); CNN과 DBN이조합되어기계학습이수행되는 DL-IDS(320); 상기스위치(110) 또는상기호스트(120) 중에악의적인공격을수행하여네트워크시스템에액세스하는것을차단하는 IPS(330);로구성되는것을특징으로한다. 또한본 발명에따른 SDN에서의적응형보안시스템구동방법은스위치(110) 간또는상기스위치(110)에연결된호스트(120) 간의통신을허용하기위해서흐름규칙이스위치에설치되는단계(S100); SDN-IDS(310) 어플리케이션이상기스위치(110) 또는상기호스트(120) 중에서의심스럽거나악의적인스위치또는호스트를색출하기위하여규칙및 통계의흐름정보를분석하는단계(S200); 상기 S200단계와동시에 NFV-IDS(130)의데이터평면패킷트래픽을분석하여상기악의적인스위치또는호스트를찾아내기위한패킷분석을실시하는단계(S300); 상기 NFV-IDS(130)의상기데이터평면패킷트래픽분석결과를 SDN제어기(210)로전달하는단계(S400); DL-IDS(320) 어플리케이션이상기 SDN제어기(210)로부터패킷분석결과를획득하는단계(S500); 상기 SDN-IDS(310) 어플리케이션의흐름정보분석결과가상기 SDN제어기(210) 또는관리평면(200)을통하여상기 DL-IDS(320)에공유되는단계(S600); 상기 DL-IDS(320) 어플리케이션이상기흐름정보를분석한결과와상기패킷트래픽분석결과에딥러닝기법을적용하는단계(S700); 시간경과에따라네트워크가관리하는트래픽이증가하면학습을관장하는상기딥러닝의프로세서에서학습내용이개선되어외부공격탐지정밀도가개선되는단계(S800); 상기 DL-IDS(320)가계속적으로학습되면서 IPS(330) 어플리케이션이네트워크관리자의최소한의감독으로네트워크보안이이루어지는단계(S900);가포함되는것을특징으로한다.

公开(公告)号：KR101836214B1

公开(公告)日：2018-03-08

申请号：KR1020160063910

申请日：2016-05-25

Applicant: 동서대학교산학협력단

Inventor： 이상곤 ,  이훈재 ,  임준휘 ,  안드리안토빈첸시오크리스티안

IPC: H04L29/06

Abstract: 본발명은 SDN에서의적응형보안시스템및 이의구동방법에관한것으로서, 더욱상세하게는모든트래픽을제어기에게전달하지않고패킷수준분석을네트워크기능가상화 IDS에게전달하여 SDN 보안을관리하는혼합형솔루션의구현기술에관한것이다. 본발명에따른 SDN에서의적응형보안시스템은데이터평면(100);에위치하는스위치(110); 상기스위치(110)에연결된호스트(120); 네트워크의구성요소인하드웨어와소프트웨어를분리하고범용서비스가상화기반에서네트워크기능을가상화해제공하는 NFV-IDS(130); 제어평면(200);에위치하고네트워크장비의상기데이터평면(100)과상기제어평면(200)을분리하고각 기능을처리하며상기스위치(110) 또는상기호스트(120)에서받은흐름정보를이용하여네트워크모니터및 로드밸런서의어플리케이션을운영하는 SDN제어기(210); 관리평면(300);에위치하고상기스위치(110) 또는상기호스트(120) 중에악의적인공격을수행중인것으로의심되는것을색출하기위한 SDN-IDS(310); CNN과 DBN이조합되어기계학습이수행되는 DL-IDS(320); 상기스위치(110) 또는상기호스트(120) 중에악의적인공격을수행하여네트워크시스템에액세스하는것을차단하는 IPS(330);로구성되는것을특징으로한다. 또한본 발명에따른 SDN에서의적응형보안시스템구동방법은스위치(110) 간또는상기스위치(110)에연결된호스트(120) 간의통신을허용하기위해서흐름규칙이스위치에설치되는단계(S100); SDN-IDS(310) 어플리케이션이상기스위치(110) 또는상기호스트(120) 중에서의심스럽거나악의적인스위치또는호스트를색출하기위하여규칙및 통계의흐름정보를분석하는단계(S200); 상기 S200단계와동시에 NFV-IDS(130)의데이터평면패킷트래픽을분석하여상기악의적인스위치또는호스트를찾아내기위한패킷분석을실시하는단계(S300); 상기 NFV-IDS(130)의상기데이터평면패킷트래픽분석결과를 SDN제어기(210)로전달하는단계(S400); DL-IDS(320) 어플리케이션이상기 SDN제어기(210)로부터패킷분석결과를획득하는단계(S500); 상기 SDN-IDS(310) 어플리케이션의흐름정보분석결과가상기 SDN제어기(210) 또는관리평면(200)을통하여상기 DL-IDS(320)에공유되는단계(S600); 상기 DL-IDS(320) 어플리케이션이상기흐름정보를분석한결과와상기패킷트래픽분석결과에딥러닝기법을적용하는단계(S700); 시간경과에따라네트워크가관리하는트래픽이증가하면학습을관장하는상기딥러닝의프로세서에서학습내용이개선되어외부공격탐지정밀도가개선되는단계(S800); 상기 DL-IDS(320)가계속적으로학습되면서 IPS(330) 어플리케이션이네트워크관리자의최소한의감독으로네트워크보안이이루어지는단계(S900);가포함되는것을특징으로한다.

Abstract translation: 本发明涉及一种自适应安全系统及其eseoui SDN的驱动方法，更具体地，用于管理SDN安全的混合溶液的实现技术将分组级分析，而无需对所有业务转发到控制器向所述网络功能虚拟化的IDS Lt。 根据本发明的SDN中的自适应安全系统包括位于数据平面100中的开关110; 连接到交换机110的主机120; NFV-IDS（130），分离网络的硬件和软件组件，并基于通用服务虚拟化提供虚拟化网络功能; 控制平面200通过控制平面200与网络设备的数据平面100分开。控制平面200处理每个功能并使用从交换机110或主机120接收的流信息 操作网络监视器和负载平衡器的应用程序的SDN控制器210; 位于管理平面（300）中并用于检测交换机（110）或主机（120）中的可疑恶意攻击的SDN-IDS（310）; 其中CNN和DBN被组合并且执行机器学习的DL-IDS 320; 以及用于通过对交换机（110）或主机（120）执行恶意攻击来阻止对网络系统的访问的IPS（330）。 另外，根据本发明的用于驱动SDN中的自适应安全系统的方法包括以下步骤：（S100）在交换机中设置流规则以允许交换机110之间或连接到交换机110的主机120之间的通信; 分析规则和统计的流量信息（S200）以检测SDN-IDS 310应用切换器110或主机120中的可疑或恶意交换机或主机; 与步骤S200同时分析NFV-IDS 130的数据平面分组流量，并执行分组分析以找到恶意交换机或主机（S300）; （S400）将NFV-IDS 130的上行链路数据平面分组业务分析的结果发送到SDN控制器210; DL-IDS 320获取（S500）来自应用吸收器SDN控制器210的分组分析结果; SDN-IDS 310应用的流信息分析结果通过SDN控制器210或管理平面200与DL-IDS 320共享（S600）; 对分析DL-IDS 320的DL业务量信息和分组业务量分析结果的结果应用深度学习技术（S700）; （步骤S800），其中当由网络管理的流量随时间增加时管理学习的深度学习的处理器提高学习内容，从而提高外部攻击检测准确度; （步骤S900），其中IPS 330应用在DL-IDS 320被持续学习的同时以最少的网络管理员监督执行网络安全。