Search

KR-102960334-B1 - APPARATUS AND METHOD FOR GENERATING CONTROL PLANE STRUCTURE INFORMATION OF SD-WAN THROUGH ANALYSIS OF ENCRYPTED CONTROL TRAFFIC

KR102960334B1KR 102960334 B1KR102960334 B1KR 102960334B1KR-102960334-B1

Abstract

본 발명의 다양한 실시예에 따르면, 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법을 적용함으로써 최근 널리 도입되고 있는 SD-WAN 환경의 취약점을 사전 점검할 수 있다.

Inventors

  • 신승원
  • 서민재
  • 김재한
  • 김진우

Assignees

  • 광운대학교 산학협력단
  • 한국과학기술원

Dates

Publication Date
20260506
Application Date
20230228
Priority Date
20221209

Claims (15)

  1. 암호화된 제어 트래픽 분석을 통한 SD-WAN(Software Defined-Wide Area Networking)의 제어 평면 구조 정보 생성 장치에 있어서, 상기 SD-WAN의 제어 평면 구조 정보 생성 장치는, 상기 제어 평면 구조 정보를 생성하기 위한 하나 이상의 프로그램을 저장하는 메모리; 및 상기 하나 이상의 프로그램에 따라 상기 제어 평면 구조 정보를 생성하기 위한 동작들을 수행하는 하나 이상의 프로세서;를 포함하고, 상기 프로세서에 의하여 수행되는 동작들은, 외부로부터 트래픽 정보를 입력받고, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계; 상기 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계; 상기 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성하는 단계; 상기 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계; 및 상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하고, 상기 분류된 프로토콜과 상기 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성하는 단계;를 포함하고, 상기 제어 평면 구조 정보는, 노드 간의 연결 구조, 노드가 이용하는 프로토콜 정보 또는 각각의 프로토콜을 이용하는 노드가 프라이머리 노드인지 또는 세컨더리 노드인지에 대한 정보가 포함되는 기하학적인 토폴로지 정보인 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  2. 제1항에 있어서, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계는, 상기 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 상기 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  3. 제2항에 있어서, 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계는, 송수신 플로우를 많은 노드들과 이루는 순서대로 복수의 노드를 상위 미리 결정된 기준 개수만큼 선택하고, 상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하고, 상기 인코딩된 벡터를 기반으로 상기 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  4. 제3항에 있어서, 상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하는 것은, 상기 출발지 아이피 주소로부터 상기 선택된 노드로 플로우가 존재하는 경우, 제1 값을 적용하고, 상기 출발지 아이피 주소로부터 상기 선택된 노드로 플로우가 존재하지 않고, 상기 선택된 노드로부터 상기 출발지 아이피 주소로 플로우가 존재하는 경우, 제2 값을 적용하고, 상기 출발지 아이피 주소와 상기 선택된 노드 사이에 플로우가 존재하지 않는 경우, 제3 값을 적용하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  5. 제1항에 있어서, 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는, 상기 제2 튜플 플로우를 시계열적으로 나타낸 시퀀스 표현 벡터를 생성하고, 상기 시퀀스 표현 벡터, 소프트맥스(softmax) 함수 또는 크로스-엔트로피 손실 함수를 기반으로 하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  6. 제5항에 있어서, 상기 크로스-엔트로피 손실 함수는, 분류할 프로토콜의 총 수를 변수로 가지는 함수이고, 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는, 상기 크로스-엔트로피 손실 함수를 최소화하는 방향으로 동작하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  7. 삭제
  8. 제1항에 있어서, 상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하는 것은, 노드가 전송한 패킷 수를 기반으로 결정되는 관측값을 기반으로 각각의 노드에 대한 Z-점수를 산출하고, 상기 Z-점수가 미리 결정된 임계값을 초과하는 노드를 프라이머리(Primary) 노드로 결정하고, 상기 Z-점수가 미리 결정된 임계값 이하인 노드를 세컨더리(Secondary) 노드로 결정하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  9. 제1항에 있어서, 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계는, 합의(Consensus) 프로토콜, 사우스바운드(Southbound) 프로토콜 또는 멤버쉽(membership) 프로토콜 중 어느 하나로 분류하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  10. 제1항에 있어서, 상기 제1 튜플은, 출발지 아이피 주소 및 목적지 아이피 주소에 대한 정보를 포함하는 2-튜플인 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  11. 제1항에 있어서, 상기 제2 튜플은, 출발지 아이피 주소, 출발지 포트, 목적지 아이피 주소, 목적지 포트 및 전송 계층 프로토콜에 대한 정보를 포함하는, 5-튜플인 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 장치.
  12. 암호화된 제어 트래픽 분석을 통한 SD-WAN(Software Defined-Wide Area Networking)의 제어 평면 구조 정보 생성 장치에서 수행하는 SD-WAN의 제어 평면 구조 정보 생성 방법에 있어서, 외부로부터 트래픽 정보를 입력받고, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계; 상기 제1 튜플을 기반으로 인공신경망 기반의 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계; 상기 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성하는 단계; 상기 제2 튜플 플로우를 기반으로 인공신경망 기반의 제2 분류 모델을 이용하여 상기 제어 트래픽이 이용하는 적어도 하나의 프로토콜을 분류하는 단계; 및 상기 분류된 프로토콜을 기반으로 상기 SD-WAN 내의 복수의 노드의 역할을 결정하고, 상기 분류된 프로토콜과 상기 결정된 노드의 역할에 대한 정보를 포함하는 제어 평면 구조 정보를 생성하는 단계;를 포함하고, 상기 제어 평면 구조 정보는, 노드 간의 연결 구조, 노드가 이용하는 프로토콜 정보 또는 각각의 프로토콜을 이용하는 노드가 프라이머리 노드인지 또는 세컨더리 노드인지에 대한 정보가 포함되는 기하학적인 토폴로지 정보인 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 방법.
  13. 제12항에 있어서, 상기 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성하는 단계는, 상기 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 상기 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 방법.
  14. 제13항에 있어서, 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 단계는, 송수신 플로우를 많은 노드들과 이루는 순서대로 복수의 노드를 상위 미리 결정된 기준 개수만큼 선택하고, 상기 선택된 노드와 출발지 아이피 주소 간의 다방향성에 대한 값을 인코딩하여 벡터 형태로 생성하고, 상기 인코딩된 벡터를 기반으로 상기 제1 분류 모델을 이용하여 상기 트래픽 정보로부터 제어 트래픽과 일반 트래픽을 분류하는 것을 특징으로 하는, SD-WAN의 제어 평면 구조 정보 생성 방법.
  15. 제12항 내지 제14항 중 어느 한 항에 기재된 SD-WAN의 제어 평면 구조 정보 생성 방법을 컴퓨터에서 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록 매체에 저장된 컴퓨터 프로그램.

Description

암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법{APPARATUS AND METHOD FOR GENERATING CONTROL PLANE STRUCTURE INFORMATION OF SD-WAN THROUGH ANALYSIS OF ENCRYPTED CONTROL TRAFFIC} 본 발명은 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법에 관한 것이다. 이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다. 오늘날 많은 대규모 기업, 통신사 및 클라우드 제공업체들은 전 세계에 분산된 데이터 센터 및 원격 사이트를 연결하기 위해 전용 와이드 에어리어 네트워크(WAN)를 운영하고 있다. 마이크로소프트, 구글, 페이스북은 자체 WAN을 구축한 기업 중 대표적인 예시이다. 이러한 WAN은 일반적으로 수십 개에서 수백 개의 위치를 연결하며, 전 세계적인 범위를 갖고 있으며, 저 지연 시간, 고 처리량의 데이터 센터간 통신을 제공한다. 이러한 네트워크의 규모와 복잡성이 증가함에 따라, 네트워크 운영자들은 WAN을 구축할 때 소프트웨어 정의 네트워킹(SDN)을 적용하고 있다. SD-WAN(Software-Defined Wide Area Network)은 소프트웨어 정의 네트워킹 기술을 WAN에 도입한 것이다. SDN은 하드웨어 장비의 제어 평면을 데이터 평면으로 분리하고, 컨트롤러라는 스프트웨어로 가상화하여 전체 네트워크를 운용하는 기술이다. 기존의 WAN과 달리, SD-WAN은 사이트 간 연결을 구축하고 관리하는 과정을 간소화하며, 더 많은 유연성, 프로그래밍 가능성, 중앙 집중화된 제어 및 개선된 모니터링을 제공하면서 운영 비용을 낮출 수 있다. SD-WAN 내의 서로 다른 사이트들은 민감한 대역폭 및 데이터 트래픽을 주고 받기 때문에 WAN은 외부인들이 공격을 수행하기에 매우 유력한 대상이다. 실제로, 최근의 발표들은 정부 기관 및 비슷한 조직이 여러 사이트 간의 대륙간 광섬유 링크에 대해 SD-WAN 트래픽을 도청당할 수 있음을 보여주었다. 구글과 같은 주요 기업들은 이러한 위협의 심각성(사이트간 연결뿐만 아니라 사이트 내에서 발생하는 정보 교환에도 해당)을 최근 인식하고, MACsec 및 IPSec와 같은 프로토콜을 사용하여 SD-WAN 트래픽을 애플리케이션뿐만 아니라 네트워크 및 링크 계층에서도 암호화하도록 하고 있다. 트래픽이 암호화될 때 보존되는 정보, 예를 들어 트래픽 볼륨, 패킷 크기 및 패킷 타이밍은 네트워크 트래픽에 대한 많은 정보를 제공할 수 있다. SD-WAN의 경우, 공격자들은 암호화된 트래픽 패턴을 분석하여 제어 평면 토폴로지 또는 사용 중인 클러스터 관리 프로토콜과 같은 이전에 알려지지 않은 정보를 얻을 수 있다. 제어 평면 토폴로지 또는 사용 중인 클러스터 관리 프로토콜은 모두 민감한 정보로 간주되며, 공격자의 손에 들어가면 가치 있는 대상을 찾거나 취약점이 있는 프로토콜의 존재를 발견하는데 사용될 수 있다. SD-WAN 환경의 취약점을 사전 점검할 수 있는 기술의 연구 개발이 필요한 실정이다. 도 1 은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다. 도 2는 여러 사이트에 배치된 컨트롤러로 구성된 SD-WAN의 개념을 설명하기 위한 도면이다. 도 3은 SD-WAN에서 제어 평면(Topology)을 예시적으로 나타내는 도면이다. 도 4는 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다. 도 5의 a는 합의 프로토콜을 이용하는 노드 간의 플로우 흐름을 나타내는 도면이다. 도 5의 b는 사우스바운드 프로토콜을 이용하는 노드 간의 플로우 흐름을 나타내는 도면이다. 도 6은 SD-WAN 내의 노드의 역할에 따른 플로우 패턴을 예시적으로 나타내는 도면이다. 도 7은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다. 도 8은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 방법을 설명하기 위한 흐름도이다. 이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, “가진다”, “가질 수 있다”, “포함한다” 또는 “포함할 수 있다” 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. 제2, 제1 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소 들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. 본 명세서에서 각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다. 또한, 본 명세서에 기재된 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미할 수 있으며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터 구조들 및 변수들을 포함할 수 있다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 이하에서 첨부한 도면을 참조하여 본 발명에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법(이하에서, SD-WAN의 제어 평면 구조 정보 생성 장치 및 방법이라고 함)의 다양한 실시예에 대해 상세하게 설명한다. 본 명세서에 기재된 실시예들은 ONOS(Open Network Operating System) SD-WAN 컨트롤러, OpenDaylight SD-WAN 컨트롤러 등 SD-WAN으로부터 정보를 획득하기 위한 기술 또는 SD-WAN의 보안을 위한 다양한 분야에 적용될 수 있다. 도 1 은 본 발명의 일 실시예에 따른 암호화된 제어 트래픽 분석을 통한 SD-WAN의 제어 평면 구조 정보 생성 장치의 구성을 설명하기 위한 도면이다. 도 1을 참조하면, SD-WAN의 제어 평면 구조 정보 생성 장치(100)는 패킷 전처리부(110), 특징 추출부(120), 트래픽 및 프로토콜 분류부(130) 및 역할 탐지부(140)를 포함할 수 있다. 패킷 전처리부(110)는 외부로부터 트래픽 정보를 입력받고, 트래픽 정보를 기반으로 출발지 아이피 주소에 대한 정보를 포함하는 제1 튜플을 생성할 수 있다. 패킷 전처리부(110)는 트래픽 및 프로토콜 분류부(130)로부터 분류된 제어 트래픽에 대한 정보를 기반으로 데이터 패킷이 사용하는 프로토콜에 대한 정보를 포함하는 제2 튜플 플로우를 생성할 수 있다. 특징 추출부(120)는 제1 분류 모델에 입력하기 위하여, 제1 튜플을 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된 세션 수 또는 SD-WAN 내의 복수의 노드 간의 송수신 방향 정보를 중 어느 하나 이상을 포함하는 SD-WAN 특성 정보를 생성할 수 있다. 특징 추출부(120)는 제2 분류 모델에 입력하기 위하여, 제2 튜플 플로우를 기반으로 초당 패킷 수(PPS, Packet Per Second), 초당 바이트 수(BPS, Byte Per Second), 페이로드의 길이, 생성된