Implementing an intrusion detection and prevention system using software-defined networking : defending against port-scanning and denial-of-service attacks

Over recent years, we have observed a significant increase in the number and the sophistication of cyber attacks targeting home users, businesses, government organizations and even critical infrastructure. In many cases, it is important to detect attacks at the very early stages, before significant damage can be caused to networks and protected systems, including accessing sensitive data. To this end, cybersecurity researchers and professionals are exploring the use of Software-Defined Networking (SDN) technology for efficient and real-time defense against cyberattacks. SDN enables network control to be logically centralised by decoupling the control plane from the data plane. This feature enables network programmability and has the potential to almost instantly block network traffic when some malicious activity is detected. In this work, we design and implement an Intrusion Detection and Prevention System (IDPS) using SDN. Our IDPS is a software-application that monitors networks and systems for malicious activities or security policy violations and takes steps to mitigate such activity. We specifically focus on defending against port-scanning and Denial of Service (DoS) attacks. However, the proposed design and detection methodology has the potential to be expanded to a wide range of other malicious activities. We have implemented and tested two connection-based techniques as part of the IDPS, namely the Credit-Based Threshold Random Walk (CB-TRW) and Rate Limiting (RL). As a mechanism to defend against port-scanning, we outline and test our Port Bingo (PB) algorithm. Furthermore, we include QoS as a DoS attack mitigation, which relies on flow-statistics from a network switch. We conducted extensive experiments in a purpose-built testbed environment. The experimental results show that the launched port-scanning and DoS attacks can be detected and stopped in real-time. Finally, the rate of false positives can be kept sufficiently low by tuning the threshold parameters of the detection algorithms

SDNにおけるパケット損失とループを防止するネットワーク設定更新方式の検討

今のインターネットは世界を結ぶ情報社会の基盤となっている。様々なサービスやアプリケーションはインターネット上で増加しており、ネットワークはますます複雑になっている。このような状態を打破するため新たなネットワークアーキテクチャの設計が必要となる。ソフトウェア定義ネットワーク（SDN）は、コントロールプレーンとデータプレーンを分離するネットワークへの新しいアプローチである。SDNネットワークにおいて、新しいトポロジーおよびサービスを適合させるため、ネットワークの設定を更新することは一般的である。この新しい技術を実現するため、OpenFlowという新しい技術を標準として導入される。OpenFlowプロトコルはコントロールプレーンとデータプレーンの間の通信が可能にする。しかし、全てのネットワーク機器において設定の更新が整合性を持たなければ、不一致性による問題が生じる。この問題により、ネットワークにおけるパケット損失やループなど不正確な動作が起こる可能性がある。本稿では、SDNとOpenFlowに関する関連技術を紹介し、SDNにおける不一致性問題を定義し、先行研究を交えて議論する。そして、パケット損失とループを防止するネットワーク設定更新方式を提案する。具体的にはSDNコントロールはネットワーク設定の更新前と更新後の転送経路を分析し、開放ループと閉合ループの有無により二つの経路間の関係を分類する。この関係を基づいて、スイッチ設定の更新の順番を計算し、コントロールはこの順番によってネットワーク設定を更新する。提案の正確性を検証するため、コントロールPOXとネットワークエミュレータMininet上で実装しシミュレーションを行い、TCPとUDP二つのプロトコルでリンクのスループットやパケット損失を評価した。結果としては提案手法はリンクのスループットを保証し、パケット損失を抑制を実現した。また上記の提案手法を実装するためには、コントローラとスイッチ間の遅延が大きく作用するため、コントロールとスイッチの間に遅延の測定と設置の手法を提案し、評価を行った。最後に関連研究と比較して提案方式を議論した。電気通信大学201

Intelligent Routing for Software-Defined Media Networks

The multimedia market is an industry with an ever-growing demand coupled with strict requirements. Be it in live streaming services or file content broadcast, multimedia providers need to deliver the best possible quality in order to meet their costumer’s requirements and gain or keep their trust. Multimedia traffic has a high impact on networks and, due to its nature, is sensitive to congestion or hardware failure. Thus, it is frequently that multimedia providers resort to third-party software to monitor quality parameters. Skyline Communications’ DataMiner® offers network monitoring, orchestrating and automation capabilities across a broad range of applications and environments. These features are enabled by the emergence of Software-Defined Networking (SDN) which provides a global view of networks and the ability to change network properties through software applications. This contrasts with traditional networks which are rigid, static and difficult to scale-up. An application that greatly benefits from the global network view of SDN is routing optimization. Through routing optimization, a network can effectively deliver more traffic by efficiently balancing load across the different links and paths between end points of a service, reaching an increased performance in data transport. This dissertation comes to light with the goal of optimizing DataMiner’s routing mechanism by exploring the routing optimization possibilities enabled by its SDN-like architecture. Both link cost optimization-based and Machine Learning (ML) approaches are evaluated as possible solutions to Skyline’s problem and several experiments were conducted to compare them and understand their impact on network performance while transporting multimedia streams.O mercado audiovisual é uma indústria onde a procura está em constante crescimento, bem como a exigência. Tanto durante transmissões ao vivo como de conteúdo multimédia pré-gravado, os provedores de multimédia necessitam de garantir a melhor qualidade possível para corresponderem aos requisitos dos seus clientes e conquistarem ou manterem a sua confiança nos seus serviços. O tráfego multimédia tem um forte impacto nas redes que o transportam e, graças à sua natureza, é bastante sensível a congestão ou a falhas de equipamento. Por este motivo, é frequente os provedores de multimédia recorrerem a aplicações externas para monitorização de parâmetros de qualidade. O DataMiner®, desenvolvido pela Skyline Communications, oferece a capacidade de monitorizar e orquestrar redes de transporte de multimédia bem como de automatizar as suas funcionalidades num vasto conjunto de enquadramentos e ambientes. Tais funcionalidades são oferecidas pelo aparecimento de SDN que permite que se tenha uma visão global de uma rede e que se altere de forma flexível as suas definições através de aplicações. As características de redes deste tipo contrastam fortemente com as redes tradicionais marcadas pela sua rigidez, estaticidade e dificuldade de expansão. Uma área que beneficia bastante com a visão global de redes oferecida pela tecnologia de SDN é a otimização do transporte de dados. Desta forma, uma rede consegue transportar mais dados de forma eficiente através do balanceamento da carga a que é submetida pelas diferentes ligações entre elementos e caminhos que conectam pontos de entrada e saída da mesma, atingindo altos níveis de desempenho. A presente dissertação surge da intenção da Skyline de otimizar o seu algoritmo de encaminhamento através da exploração de métodos alternativos introduzidos pela tecnologia de SDN. Tanto métodos baseados em otimização do custo de ligações da rede como em aprendizagem automática são avaliados como possíveis soluções para o problema proposto e diversas simulações são conduzidas para as comparar e averiguar o seu impacto no desempenho de redes de transporte de dados multimédia

Especificación e implementación de un sistema de red definida por software con funciones virtuales adaptadas a despliegues de Internet de las cosas

[ES] La complejidad en la gestión de las redes de comunicación tradicionales, así como su poca escalabilidad y flexibilidad, supone un obstáculo para el desarrollo y consolidación de nuevas tecnologías emergentes como es el caso del Internet de las Cosas (Internet of Things), dónde la facilidad para el intercambio y manejo de grandes volúmenes de datos heterogéneos procedentes de sensores es un requisito clave para el correcto funcionamiento del sistema. El Internet de las Cosas se define cómo la interconexión digital de objetos cotidianos dotados de inteligencia (Smart devices) a través de redes de comunicación de datos ya sean públicas (Internet) o privadas. Sin embargo, el Internet de las Cosas no sólo está compuesto por estos dispositivos, toda la infraestructura, plataformas, aplicaciones y servicios que ayudan a los datos a viajar desde los dispositivos origen y hacia sus diferentes destinos, y la gestión de estos también forman parte del denominado Internet de las Cosas. El almacenamiento, análisis, procesado y gestión masiva de dichos datos es lo que se denomina Big Data, y está compuesto de grandes cantidades de datos (massive data) estructurados en diferentes formatos, modelos de datos y protocolos, lo que dificulta su tratamiento y su intercambio a través de las redes de datos convencionales. Ante esta problemática la implementación de redes virtuales definidas por software se presenta como una posible solución para dotar de flexibilidad, escalabilidad y sencillez de gestión a las redes que interconectan estos dispositivos, plataformas y otros elementos IoT, permitiendo una visión global, una gestión centralizada y un desarrollo de servicios a nivel de red específicos para los entornos de Internet de las Cosas. Este proyecto se presenta como una aproximación de estas dos tecnologías y tendrá como objetivo el diseño de una solución donde probar las herramientas de control de redes definidas por software o programables (SDN) y las funciones virtuales de redes (NFV) aplicadas a despliegues de Internet de las Cosas (IoT) de forma que se puedan demostrar sus ventajas e implicaciones y se puedan descubrir nuevas líneas de desarrollo sobre esta base.[CA] La complexitat en la gestió de les xarxes de comunicació tradicionals, així com la seua poca escalabilitat i flexibilitat, suposa un obstacle per al desenvolupament i consolidació de noves tecnologies emergents com és el cas de la Internet de les Coses (Internet of Things), on la facilitat per a l'intercanvi i maneig de grans volums de dades heterogènies procedents de sensors és un requisit clau per al correcte funcionament del sistema. La Internet de les Coses es defineix com la interconnexió digital d'objectes quotidians dotats d'intel·ligència (Smart devices) a través de xarxes de comunicació de dades ja siguen públiques (Internet) o privades. No obstant això, la Internet de les Coses no sols està compost per aquests dispositius, tota la infraestructura, plataformes, aplicacions i serveis que ajuden les dades a viatjar des dels dispositius d'origen i cap a les seues diferents destinacions, i la gestió d'aquests també formen part de la denominada Internet de les Coses. L'emmagatzematge, anàlisi, processament i gestió massiva d'aquestes dades és el que es denomina Big Data, i està compost de grans quantitats de dades (massive data) estructurats en diferents formats, models de dades i protocols, la qual cosa dificulta el seu tractament i el seu intercanvi a través de les xarxes de dades convencionals. Davant aquesta problemàtica la implementació de xarxes virtuals definides per software es presenta com una possible solució per a dotar de flexibilitat, escalabilitat i senzillesa de gestió a les xarxes que interconnecten aquests dispositius, plataformes i altres elements IoT, permetent una visió global, una gestió centralitzada i un desenvolupament de serveis a nivell de xarxa específics per als entorns d'Internet de les Coses. Aquest projecte es presenta com una aproximació d'aquestes dues tecnologies i tindrà com a objectiu el disseny d'una solució on provar les eines de control de xarxes definides per software o programables (SDN) i les funcions virtuals de xarxes (NFV) aplicades a desplegaments d'Internet de les Coses (IoT) de manera que es puguen demostrar els seus avantatges i implicacions, i es puguen descobrir noves línies de desenvolupament sobre aquesta base.[EN] Nowadays, the complexity of traditional network administration, together with the lack of scalability and flexibility, has been a challenge for the proper development and integration of new emerging technologies which make use of this network. As an example, we have the so-called Internet of Things (IoT). The principal IoT network requirement that enables the growth of this paradigm is the need to facilitate high data volume exchange and administration, from very heterogeneous sources. The IoT concept is defined as the digital interconnection of daily objects endowed with more "intelligence" (Smart devices) through a data communication network either public (Internet) or private. However, this technological trend does not only depend on the "smart devices", but on the whole infrastructure, platforms, frameworks, services, and applications that helps data to travel from the source devices to their different destinations. Also, the handling of the massive volumes of data extracted from those smart devices, their storage, processing, and analysis, known as Big Data, is a key part of this paradigm. This data is gathered from very different sources, and hence, it has diverse data structures and formats. Moreover, it is exchanged using various network protocols (LoRa, CoAp, etc.) which hinder its management and communication through conventional networks, that were not created for such data traffic. Given this problem, several technological approaches have emerged to solve it. Virtual software-defined networking is presented as a possible solution to provide flexibility, scalability, and simplicity of management to the networks that interconnect these devices, platforms, services, and other IoT elements. The virtualization of the network infrastructure, includes an extra layer of abstraction, thus providing a holistic vision of the network and centralizing the administration of its elements and the development of specific network services for IoT deployments. This project is presented as an approximation of these two technological paradigms and will have as the main objective the design of an architectural blueprint and testbed were testing the control tools of software-defined networks (SDN) and the virtualized network functions (NFV) applied to IoT deployments. Thereby, its advantages and implications can be evaluated, and new lines of development can be discovered on this base.Suárez De Puga García, J. (2022). Especificación e implementación de un sistema de red definida por software con funciones virtuales adaptadas a despliegues de Internet de las cosas [Tesis doctoral]. Universitat Politècnica de València. https://doi.org/10.4995/Thesis/10251/181555TESI

Communication patterns abstractions for programming SDN to optimize high-performance computing applications

Orientador : Luis Carlos Erpen de BonaCoorientadores : Magnos Martinello; Marcos Didonet Del FabroTese (doutorado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa: Curitiba, 04/09/2017Inclui referências : f. 95-113Resumo: A evolução da computação e das redes permitiu que múltiplos computadores fossem interconectados, agregando seus poderes de processamento para formar uma computação de alto desempenho (HPC). As aplicações que são executadas nesses ambientes processam enormes quantidades de informação, podendo levar várias horas ou até dias para completar suas execuções, motivando pesquisadores de varias áreas computacionais a estudar diferentes maneiras para acelerá-las. Durante o processamento, essas aplicações trocam grandes quantidades de dados entre os computadores, fazendo que a rede se torne um gargalo. A rede era considerada um recurso estático, não permitindo modificações dinâmicas para otimizar seus links ou dispositivos. Porém, as redes definidas por software (SDN) emergiram como um novo paradigma, permitindoa ser reprogramada de acordo com os requisitos dos usuários. SDN já foi usado para otimizar a rede para aplicações HPC específicas mas nenhum trabalho tira proveito dos padrões de comunicação expressos por elas. Então, o principal objetivo desta tese é pesquisar como esses padrões podem ser usados para ajustar a rede, criando novas abstrações para programá-la, visando acelerar as aplicações HPC. Para atingir esse objetivo, nós primeiramente pesquisamos todos os níveis de programabilidade do SDN. Este estudo resultou na nossa primeira contribuição, a criação de uma taxonomia para agrupar as abstrações de alto nível oferecidas pelas linguagens de programação SDN. Em seguida, nós investigamos os padrões de comunicação das aplicações HPC, observando seus comportamentos espaciais e temporais através da análise de suas matrizes de tráfego (TMs). Concluímos que as TMs podem representar as comunicações, além disso, percebemos que as aplicações tendem a transmitir as mesmas quantidades de dados entre os mesmos nós computacionais. A segunda contribuição desta tese é o desenvolvimento de um framework que permite evitar os fatores da rede que podem degradar o desempenho das aplicações, tais como, sobrecarga imposta pela topologia, o desbalanceamento na utilização dos links e problemas introduzidos pela programabilidade do SDN. O framework disponibiliza uma API e mantém uma base de dados de TMs, uma para cada padrão de comunicação, anotadas com restrições de largura de banda e latência. Essas informações são usadas para reprogramar os dispositivos da rede, alocando uniformemente as comunicações nos caminhos da rede. Essa abordagem reduziu o tempo de execução de benchmarks e aplicações reais em até 26.5%. Para evitar que o código da aplicação fosse modificado, como terceira contribuição, desenvolvemos um método para identificar automaticamente os padrões de comunicação. Esse método gera texturas visuais di_erentes para cada TM e, através de técnicas de aprendizagem de máquina (ML), identifica as aplicações que estão usando a rede. Em nossos experimentos, o método conseguiu uma taxa de acerto superior a 98%. Finalmente, nós incorporamos esse método ao framework, criando uma abstração que permite programar a rede sem a necessidade de alterar as aplicações HPC, diminuindo em média 15.8% seus tempos de execução. Palavras-chave: Redes Definidas por Software, Padrões de Comunicação, Aplicações HPC.Abstract: The evolution of computing and networking allowed multiple computers to be interconnected, aggregating their processing powers to form a high-performance computing (HPC). Applications that run in these computational environments process huge amounts of information, taking several hours or even days to complete their executions, motivating researchers from various computational fields to study different ways for accelerating them. During the processing, these applications exchange large amounts of data among the computers, causing the network to become a bottleneck. The network was considered a static resource, not allowing dynamic adjustments for optimizing its links or devices. However, Software-Defined Networking (SDN) emerged as a new paradigm, allowing the network to be reprogrammed according to users' requirements. SDN has already been used to optimize the network for specific HPC applications, but no existing work takes advantage of the communication patterns expressed by those applications. So, the main objective of this thesis is to research how these patterns can be used for tuning the network, creating new abstractions for programming it, aiming to speed up HPC applications. To achieve this goal, we first surveyed all SDN programmability levels. This study resulted in our first contribution, the creation of a taxonomy for grouping the high-level abstractions offered by SDN programming languages. Next, we investigated the communication patterns of HPC applications, observing their spatial and temporal behaviors by analyzing their traffic matrices (TMs). We conclude that TMs can represent the communications, furthermore, we realize that the applications tend to transmit the same amount of data among the same computational nodes. The second contribution of this thesis is the development of a framework for avoiding the network factors that can degrade the performance of applications, such as topology overhead, unbalanced links, and issues introduced by the SDN programmability. The framework provides an API and maintains a database of TMs, one for each communication pattern, annotated with bandwidth and latency constraints. This information is used to reprogram network devices, evenly placing the communications on the network paths. This approach reduced the execution time of benchmarks and real applications up to 26.5%. To prevent the application's source code to be modified, as a third contribution of our work, we developed a method to automatically identify the communication patterns. This method generates different visual textures for each TM and, through machine learning (ML) techniques, identifies the applications using the network. In our experiments the method succeeded with an accuracy rate over 98%. Finally, we incorporate this method into the framework, creating an abstraction that allows programming the network without changing the HPC applications, reducing on average 15.8% their execution times. Keywords: Software-Defined Networking, Communication Patterns, HPC Applications