在軟體定義網路環境下偵測點對點殭屍網路

Abstract

在傳統網路環境中，長久以來，網路管理人員必須耗費相當大量的心力，去維護網路設備及管理或限制某些網路流量，尤其針對 Peer-to-Peer (P2P) 的軟體產生的網路流量常被利用做為惡意行為，更需要網管人員或資安人員的費心管控。 而現今許多殭屍網路 (botnet) 為了避免單ㄧ節點失效 (single point of failure)，也逐漸偏向使用 P2P 的架構來佈屬。 在偵測殭屍網路的領域中，有許多研究致力於分析，並找出殭屍網路的受害電腦或是來源，但通常找到受害電腦或來源電腦後，還是需要網管人員做進一步的手動處理，例如禁止這類型或來源/目的地的網路流量。 而軟體定義網路 (Software Defined Network, SDN) 是一種新型的網路架構，主要的概念是將網路設備的控制層與資料層分隔，利用控制層中，軟體可程式化的控制器與集中式的管理，控制整個資料層中的網路功能。 透過 SDN ，網管人員可以不必再就個別的網路設備去逐一操作，而是只要透過 SDN 中的控制器，就可對底下的網路設備進行管理，並決定封包的處理規則。 然而，在現在的 SDN 架構中，只能控制到傳統網路模型中 (OSI model) 的實體層 (layer 1) 到傳輸層 (layer 4)，無法對應用層 (layer 7) 進行管理，也甚少有研究是在 SDN 的網路環境下，分析與偵測 P2P 殭屍網路。 所以在本文中，我們提出一套系統，在軟體定義網路中，架設額外的 Detection Agent ，並利用機器學習演算法協助分析網路流量，並與 SDN 控制器 (controller) 溝通後，透過 OpenFlow protocol，對底下的網路設備中的流向規則表 (flow tables)，增加或刪減規則 (flow rules)，以達到在軟體定義網路環境下，對 P2P 殭屍網路及應用程式做自動化與可程式化的網路控管服務。

As the advance of Internet, managing network traffic has been a hard work to network administrator, especially Peer-to-Peer (P2P) traffic. Most of the modern botnet also deploy their botnet architecture with Peer-to-Peer structures in order to avoid single point takedown. There have been many research proposed to detect such threats of P2P botnet. However, network administrator have to take care about it when they find victims or attackers. Software Defined Network (SDN) based on the OpenFlow protocol export control plane programmability of switched substrates. As a result, rich functionality in traffic management, load balancing, routing, firewall configuration, etc. that may pertain to specific flows they control, may be easily developed. In SDN, network administrator can no longer worry about Numerous network equipment. In this paper we proposed a novel methodology to detect and categorize P2P network traffic, include P2P botnet and benign P2P traffic in SDN architecture. With our system, we can detect and analysis network traffic with Machine Learning Algorithm, automatically and flexibility change flow rule in OpenFlow switch through SDN controller.