- Văn bản
- Lịch sử
Accepted ManuscriptCombining OpenFl
Accepted Manuscript
Combining OpenFlow and sFlow for an effective and scalable Anomaly Detec-
tion and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
PII: S1389-1286(13)00400-3
DOI: http://dx.doi.org/10.1016/j.bjp.2013.10.014
Reference: COMPNW 5152
To appear in: Computer Networks
Received Date: 16 November 2012
Revised Date: 24 October 2013
Accepted Date: 28 October 2013
Please cite this article as: K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris, Combining
OpenFlow and sFlow for an effective and scalable Anomaly Detection and Mitigation mechanism on SDN
Environments, Computer Networks (2013), doi: http://dx.doi.org/10.1016/j.bjp.2013.10.014
This is a PDF file of an unedited manuscript that has been accepted for publication. As a service to our customers
we are providing this early version of the manuscript. The manuscript will undergo copyediting, typesetting, and
review of the resulting proof before it is published in its final form. Please note that during the production process
errors may be discovered which could affect the content, and all legal disclaimers that apply to the journal pertain.
Combining OpenFlow and sFlow for an effective and scalable Anomaly
Detection and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
Network Management & Optimal Design Laboratory (NETMODE)
School of Electrical & Computer Engineering
National Technical University of Athens (NTUA), Greece
{coyiotis, cargious, gandr, dkalo, maglaris}@netmode.ntua.gr
ABSTRACT
Software Defined Networks (SDNs) based on the OpenFlow (OF) protocol export control-
plane programmability of switched substrates. As a result, rich functionality in traffic
management, load balancing, routing, firewall configuration etc. that may pertain to specific
flows they control, may be easily developed. In this paper we extend these functionalities
with an efficient and scalable mechanism for performing Anomaly Detection and Mitigation
in SDN architectures. Flow statistics may reveal anomalies triggered by large scale malicious
events (typically massive Distributed Denial of Service attacks) and subsequently assist
networked resource owners/operators to raise mitigation policies against these threats. First,
we demonstrate that OF statistics collection and processing overloads the centralized control
plane, introducing scalability issues. Second, we propose a modular architecture for the
separation of the data collection process from the SDN control plane with the employment of
sFlow monitoring data. We then report experimental results that compare its performance
against native OF approaches that use standard flow table statistics. Both alternatives are
evaluated using an entropy-based method on high volume real network traffic data collected
from a University campus network. The packet traces were fed to hardware and software OF
devices in order to assess flow-based data-gathering and related anomaly detection options.
We subsequently present experimental results that demonstrate the effectiveness of the
proposed sFlow-based mechanism compared to the native OF approach, in terms of overhead
imposed on usage of system resources. Finally, we conclude by demonstrating that once a
network anomaly is detected and identified, the OF protocol can effectively mitigate it via
flow table modifications.
Keywords: Software Defined Networking, SDN, OpenFlow, sFlow, Anomaly Detection,
Data Collection, Attack Mitigation.
1. INTRODUCTION
Data center operators and cloud service providers require flexibility and scalability in setting
up programmable network environments. Traditional network architectures prove to be
cumbersome, thus constricting innovations and hindering management and configuration
procedures. Moreover, the software interfaces between control and data plane software
elements inside network equipment still remain proprietary, leading to vendor lock-in
phenomena.
Software-Defined Networks (SDN) rise as a promising, alternative architecture where the
control and data planes are decoupled. Network intelligence and state are logically
centralized, while enforcement is distributed locally at network gear [ HYPERLINK l "Ope12"
1 ].Among the first and most widespread mechanisms to support SDN architecture is the
OpenFlow (OF) protocol 2]}. OF enables exporting of control-plane programmability of flow-
based switched substrates. As a result, OF can be effectively applied with a rich diversity in
traffic management, load balancing, routing, firewall configuration etc. that may pertain to
specific flows they control. In this paper, we extend these functionalities with an efficient and
scalable mechanism for performing Anomaly Detection and Mitigation in OF SDN
architectures. Our goal is to detect network attack patterns in real time, as well as, to enforce
mitigation rules combining the OF technology and sFlow [ HYPERLINK l "PPh04" 3 ] data
collection capabilities on edge switches.
Flow-based anomaly detection methods, as stated in 4]}, [ HYPERLINK l "Lak05" 5 ] and 6]},
are well known for discovering all kinds of network anomaly patterns, whether they are
malicious or benign. Furthermore, entropy-based methods have proven to be effective,
particularly in determining the randomness of a data-set really, therefore pointing out
potential network anomalies [ HYPERLINK l "And" 7 ]. Flow-based monitoring can be
employed to collect network flow statistics 8]}, while a method of normalized entropies may
be used to perform detection of worm outbreaks. We apply this widely-used entropy-based
anomaly detection method on SDN, by implementing and comparing native OF and sFlow
based approaches for the traffic data collection process. The impact of each to the anomaly
detection accuracy is evaluated through Receiver Operating Characteristic (ROC) curves. In
addition, we investigate the applicability and performance of our proposed mechanism
pertaining to other known anomaly detection algorithms reported in the literature. Finally, we
exploit the flow instantiation and flow modification capabilities introduced by the OF
Controller in order to effectively mitigate detected network anomalies.
Our main contributions are summarized in the following four points:
• Architectural design of a modular mechanism that permits Anomaly Detection and
Mitigation on SDN environments.
• Scalability improvements, in comparison with the already proposed native OF
approaches, employing sFlow protocol for flow-based data gathering.
• Effective reduction of the required communication between switches and OF
controllers, eliminating the potential control plane overloading, under anomaly
conditions to the data plane
• Performance tests using real traffic traces in order to validate the scalability and the
effectiveness of the proposed sFlow-based approach compared to the native OF
mechanisms in terms of anomaly detection accuracy and overhead on system
resources (CPU usage, flow table size).
The paper is structured as follows: In Section 2, we discuss relevant work describing the
main differences with our proposed mechanism, while in Section 3 we describe the design
principles of the introduced architecture. Section 4 presents the implementation details of the
proposed Anomaly Detection and Mitigation mechanism on SDNs with respect to data
gathering, anomaly detection and mitigation process. Section 5 presents our performance
evaluation experiments and Section 6 concludes the paper and discusses future work.
2. RELATED WORK
The emergence of a software programmable control plane idea led to the design of a
platform, called Onix [ HYPERLINK l "Kop" 9 ], currently operating in Google’s internal Wide
Area Network (WAN). Onix is a control plane implementation consisted of OF controllers
that act as a distributed system. HyperFlow 10]} is another distributed event-based control
plane that is logically centralized, but physically distributed, which allows network operators
to deploy any number of controllers in their networks. The SDN concepts brought to life
high-level languages, such as Frenetic [ HYPERLINK l "Fos10" 11 ], adequate for
programming distributed collections of network switches and frameworks (e.g. Odin 12]}),
that introduce programmability on wireless local area networks. It is worth pointing out that
Frenetic presents some primitive conclusions regarding network monitoring in OF native
environments.
Despite the extensive work in OF with respect to monitoring, routing, load-balancing, etc.
the intrusion detection field has not yet attracted much attention. Early work on establishing a
flow-based intrusion detection mechanism using OF was reported in [ HYPERLINK l "Bra1" 13
]: OF was used to facilitate the handling of the forwarding plane of the network device and to
gather flow statistics, without any analysis of the constraints introduced from the flow table
size, or the control plane overloading, due to flow table lookups for counters retrieval.
Moreover, the proposed method focuses only to the case of Distributed Denial of Service
(DDoS) attacks to the data plane. In addition, the presented performance analysis is limited to
the proposed intrusion detection algorithm and not to the overall system performance. Last
but not least, the impact of data plane traffic anomalies to the OF control plane is not
addressed.
Another attempt focusing on traffic anomaly detection on SDN environments is presented in
14]}. Multiple anomaly detection algorithms were used in their experiments in order to
validate their suitability on Small Office/Home Office (SOHO) environments. Authors
introduce the idea that decentralized control of distributed low-end network devices usin
Combining OpenFlow and sFlow for an effective and scalable Anomaly Detec-
tion and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
PII: S1389-1286(13)00400-3
DOI: http://dx.doi.org/10.1016/j.bjp.2013.10.014
Reference: COMPNW 5152
To appear in: Computer Networks
Received Date: 16 November 2012
Revised Date: 24 October 2013
Accepted Date: 28 October 2013
Please cite this article as: K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris, Combining
OpenFlow and sFlow for an effective and scalable Anomaly Detection and Mitigation mechanism on SDN
Environments, Computer Networks (2013), doi: http://dx.doi.org/10.1016/j.bjp.2013.10.014
This is a PDF file of an unedited manuscript that has been accepted for publication. As a service to our customers
we are providing this early version of the manuscript. The manuscript will undergo copyediting, typesetting, and
review of the resulting proof before it is published in its final form. Please note that during the production process
errors may be discovered which could affect the content, and all legal disclaimers that apply to the journal pertain.
Combining OpenFlow and sFlow for an effective and scalable Anomaly
Detection and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
Network Management & Optimal Design Laboratory (NETMODE)
School of Electrical & Computer Engineering
National Technical University of Athens (NTUA), Greece
{coyiotis, cargious, gandr, dkalo, maglaris}@netmode.ntua.gr
ABSTRACT
Software Defined Networks (SDNs) based on the OpenFlow (OF) protocol export control-
plane programmability of switched substrates. As a result, rich functionality in traffic
management, load balancing, routing, firewall configuration etc. that may pertain to specific
flows they control, may be easily developed. In this paper we extend these functionalities
with an efficient and scalable mechanism for performing Anomaly Detection and Mitigation
in SDN architectures. Flow statistics may reveal anomalies triggered by large scale malicious
events (typically massive Distributed Denial of Service attacks) and subsequently assist
networked resource owners/operators to raise mitigation policies against these threats. First,
we demonstrate that OF statistics collection and processing overloads the centralized control
plane, introducing scalability issues. Second, we propose a modular architecture for the
separation of the data collection process from the SDN control plane with the employment of
sFlow monitoring data. We then report experimental results that compare its performance
against native OF approaches that use standard flow table statistics. Both alternatives are
evaluated using an entropy-based method on high volume real network traffic data collected
from a University campus network. The packet traces were fed to hardware and software OF
devices in order to assess flow-based data-gathering and related anomaly detection options.
We subsequently present experimental results that demonstrate the effectiveness of the
proposed sFlow-based mechanism compared to the native OF approach, in terms of overhead
imposed on usage of system resources. Finally, we conclude by demonstrating that once a
network anomaly is detected and identified, the OF protocol can effectively mitigate it via
flow table modifications.
Keywords: Software Defined Networking, SDN, OpenFlow, sFlow, Anomaly Detection,
Data Collection, Attack Mitigation.
1. INTRODUCTION
Data center operators and cloud service providers require flexibility and scalability in setting
up programmable network environments. Traditional network architectures prove to be
cumbersome, thus constricting innovations and hindering management and configuration
procedures. Moreover, the software interfaces between control and data plane software
elements inside network equipment still remain proprietary, leading to vendor lock-in
phenomena.
Software-Defined Networks (SDN) rise as a promising, alternative architecture where the
control and data planes are decoupled. Network intelligence and state are logically
centralized, while enforcement is distributed locally at network gear [ HYPERLINK l "Ope12"
1 ].Among the first and most widespread mechanisms to support SDN architecture is the
OpenFlow (OF) protocol 2]}. OF enables exporting of control-plane programmability of flow-
based switched substrates. As a result, OF can be effectively applied with a rich diversity in
traffic management, load balancing, routing, firewall configuration etc. that may pertain to
specific flows they control. In this paper, we extend these functionalities with an efficient and
scalable mechanism for performing Anomaly Detection and Mitigation in OF SDN
architectures. Our goal is to detect network attack patterns in real time, as well as, to enforce
mitigation rules combining the OF technology and sFlow [ HYPERLINK l "PPh04" 3 ] data
collection capabilities on edge switches.
Flow-based anomaly detection methods, as stated in 4]}, [ HYPERLINK l "Lak05" 5 ] and 6]},
are well known for discovering all kinds of network anomaly patterns, whether they are
malicious or benign. Furthermore, entropy-based methods have proven to be effective,
particularly in determining the randomness of a data-set really, therefore pointing out
potential network anomalies [ HYPERLINK l "And" 7 ]. Flow-based monitoring can be
employed to collect network flow statistics 8]}, while a method of normalized entropies may
be used to perform detection of worm outbreaks. We apply this widely-used entropy-based
anomaly detection method on SDN, by implementing and comparing native OF and sFlow
based approaches for the traffic data collection process. The impact of each to the anomaly
detection accuracy is evaluated through Receiver Operating Characteristic (ROC) curves. In
addition, we investigate the applicability and performance of our proposed mechanism
pertaining to other known anomaly detection algorithms reported in the literature. Finally, we
exploit the flow instantiation and flow modification capabilities introduced by the OF
Controller in order to effectively mitigate detected network anomalies.
Our main contributions are summarized in the following four points:
• Architectural design of a modular mechanism that permits Anomaly Detection and
Mitigation on SDN environments.
• Scalability improvements, in comparison with the already proposed native OF
approaches, employing sFlow protocol for flow-based data gathering.
• Effective reduction of the required communication between switches and OF
controllers, eliminating the potential control plane overloading, under anomaly
conditions to the data plane
• Performance tests using real traffic traces in order to validate the scalability and the
effectiveness of the proposed sFlow-based approach compared to the native OF
mechanisms in terms of anomaly detection accuracy and overhead on system
resources (CPU usage, flow table size).
The paper is structured as follows: In Section 2, we discuss relevant work describing the
main differences with our proposed mechanism, while in Section 3 we describe the design
principles of the introduced architecture. Section 4 presents the implementation details of the
proposed Anomaly Detection and Mitigation mechanism on SDNs with respect to data
gathering, anomaly detection and mitigation process. Section 5 presents our performance
evaluation experiments and Section 6 concludes the paper and discusses future work.
2. RELATED WORK
The emergence of a software programmable control plane idea led to the design of a
platform, called Onix [ HYPERLINK l "Kop" 9 ], currently operating in Google’s internal Wide
Area Network (WAN). Onix is a control plane implementation consisted of OF controllers
that act as a distributed system. HyperFlow 10]} is another distributed event-based control
plane that is logically centralized, but physically distributed, which allows network operators
to deploy any number of controllers in their networks. The SDN concepts brought to life
high-level languages, such as Frenetic [ HYPERLINK l "Fos10" 11 ], adequate for
programming distributed collections of network switches and frameworks (e.g. Odin 12]}),
that introduce programmability on wireless local area networks. It is worth pointing out that
Frenetic presents some primitive conclusions regarding network monitoring in OF native
environments.
Despite the extensive work in OF with respect to monitoring, routing, load-balancing, etc.
the intrusion detection field has not yet attracted much attention. Early work on establishing a
flow-based intrusion detection mechanism using OF was reported in [ HYPERLINK l "Bra1" 13
]: OF was used to facilitate the handling of the forwarding plane of the network device and to
gather flow statistics, without any analysis of the constraints introduced from the flow table
size, or the control plane overloading, due to flow table lookups for counters retrieval.
Moreover, the proposed method focuses only to the case of Distributed Denial of Service
(DDoS) attacks to the data plane. In addition, the presented performance analysis is limited to
the proposed intrusion detection algorithm and not to the overall system performance. Last
but not least, the impact of data plane traffic anomalies to the OF control plane is not
addressed.
Another attempt focusing on traffic anomaly detection on SDN environments is presented in
14]}. Multiple anomaly detection algorithms were used in their experiments in order to
validate their suitability on Small Office/Home Office (SOHO) environments. Authors
introduce the idea that decentralized control of distributed low-end network devices usin
0/5000
Chấp nhận bản thảo
kết hợp OpenFlow và sFlow cho một hiệu quả và khả năng mở rộng bất thường Detec-
tion và giảm nhẹ cơ chế về môi trường SDN
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
PII: S1389-1286 (13) 00400-3
DOI: http://dx.doi.org/10.1016/j.bjp.2013.10.014
tham khảo: COMPNW 5152
xuất hiện trong: mạng máy tính
nhận được ngày: 11 tháng 11 năm 2011
ngày sửa đổi: 24 tháng 10 năm 2013
chấp nhận ngày: 28 tháng 10 năm 2013
xin vui lòng trích dẫn bài viết này như: K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris, kết hợp
OpenFlow và sFlow cho một hiệu quả và khả năng mở rộng phát hiện bất thường và giảm nhẹ cơ chế trên SDN
môi trường, mạng máy tính (2013), doi: http://dx.doi.org/10.1016/j.bjp.2013.10.014
Đây là một tập tin PDF của một bản thảo không chỉnh sửa mà đã được chấp nhận cho xuất bản. Như là một dịch vụ cho khách hàng của chúng tôi
chúng tôi đang cung cấp này phiên bản đầu của bản thảo. Bản thảo sẽ trải qua copyediting, sắp chữ, và
đánh giá của các bằng chứng kết quả trước khi nó được xuất bản ở dạng cuối cùng của nó. Xin lưu ý rằng trong quá trình sản xuất
lỗi có thể được phát hiện ra mà có thể ảnh hưởng đến nội dung, và tất cả tuyên bố miễn trừ pháp lý áp dụng cho các tạp chí liên quan.
Kết hợp OpenFlow và sFlow cho một bất thường có hiệu quả và khả năng mở rộng
cơ chế phát hiện và giảm nhẹ trên môi trường SDN
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
quản lý mạng & tối ưu thiết kế phòng thí nghiệm (NETMODE)
Trường điện & máy tính
quốc gia kỹ thuật đại học của Athena (NTUA), Hy Lạp
{coyiotis, cargious, gandr, dkalo, maglaris}@netmode.ntua.gr
trừu tượng
phần mềm xác định mạng (SDNs) dựa trên giao thức OpenFlow (của) xuất khẩu control-
máy bay lập trình của chuyển chất nền. Kết quả là, các chức năng phong phú lưu lượng truy cập
quản lý, tải cân bằng, định tuyến, cấu hình tường lửa vv mà có thể liên quan đến cụ thể
dòng họ kiểm soát, có thể được phát triển một cách dễ dàng. Trong bài này chúng tôi mở rộng các chức năng
với một cơ chế hiệu quả và khả năng mở rộng để thực hiện việc phát hiện bất thường và giảm nhẹ
trong kiến trúc SDN. Thống kê dòng chảy có thể tiết lộ bất thường được kích hoạt bởi quy mô lớn độc hại
sự kiện (cuộc tấn công thường lớn phân phối từ chối dịch vụ) và sau đó hỗ trợ
nối mạng tài nguyên chủ sở hữu/nhà điều hành để nâng cao giảm nhẹ chính sách chống lại những mối đe dọa. Đầu tiên,
chúng tôi chứng minh của thống kê bộ sưu tập và xử lý quá tải kiểm soát tập trung
máy bay, giới thiệu các vấn đề khả năng mở rộng. Thứ hai, chúng tôi đề xuất một kiến trúc mô-đun cho các
ly thân của quá trình thu thập dữ liệu từ máy bay kiểm soát SDN với việc làm của
sFlow giám sát dữ liệu. Sau đó chúng tôi báo cáo kết quả thử nghiệm so sánh hiệu suất của nó
chống lại nguồn gốc của phương pháp tiếp cận đó dòng chảy tiêu chuẩn sử dụng bảng thống kê. Cả hai lựa chọn thay thế
đánh giá bằng cách sử dụng một phương pháp dựa trên dữ liệu ngẫu nhiên vào khối lượng lớn dữ liệu lưu lượng truy cập mạng thực sự thu thập
từ một mạng lưới trường đại học. Dấu vết gói được cung cấp cho phần cứng và phần mềm của
thiết bị để đánh giá dựa trên lưu lượng dữ liệu-thu thập và liên quan đến bất thường phát hiện tùy chọn.
Chúng tôi sau đó trình bày kết quả thử nghiệm chứng minh hiệu quả của các
được đề xuất dựa trên sFlow cơ chế so với các nguồn gốc của tiếp cận, trong điều khoản của chi phí
áp đặt trên sử dụng các tài nguyên hệ thống. Cuối cùng, chúng tôi kết thúc bằng chứng minh rằng một lần một
mạng bất thường được phát hiện và xác định, giao thức của có thể có hiệu quả giảm thiểu nó qua
chảy sửa đổi bảng.
Từ khoá: Phần mềm xác định mạng, SDN, OpenFlow, sFlow, phát hiện bất thường,
thu thập dữ liệu, giảm nhẹ tấn công.
1. GIỚI THIỆU
Nhà điều hành Trung tâm dữ liệu và cung cấp dịch vụ đám mây đòi hỏi sự linh hoạt và khả năng mở rộng trong khung cảnh
lên lập trình môi trường mạng. Kiến trúc truyền thống mạng chứng minh là
rườm rà, do đó constricting đổi mới và cản trở quản lý và cấu hình
thủ tục. Hơn nữa, các giao diện phần mềm giữa kiểm soát và dữ liệu máy bay phần mềm
Các yếu tố bên trong mạng thiết bị vẫn còn độc quyền, dẫn đến nhà cung cấp khóa trong
hiện tượng.
Phần mềm xác định mạng (SDN) tăng lên như là một kiến trúc đầy hứa hẹn, thay thế nơi các
máy bay kiểm soát và dữ liệu được tách. Mạng lưới tình báo và nhà nước là một cách hợp lý
tập trung, trong khi thực thi được phân phối tại địa phương tại mạng bánh [siêu liên kết l "Ope12"
1].Trong số các cơ chế đầu tiên và phổ biến nhất để hỗ trợ kiến trúc SDN là các
OpenFlow (của) giao thức 2]}. CỦA cho phép xuất khẩu của máy bay điều khiển lập trình của dòng chảy-
dựa chuyển chất nền. Kết quả là, của có thể được hiệu quả áp dụng với một sự đa dạng phong phú trong
giao thông quản lý, tải cân bằng, định tuyến, cấu hình tường lửa vv mà có thể liên quan đến
cụ thể dòng họ kiểm soát. Trong bài này, chúng tôi mở rộng các chức năng với một hiệu quả và
khả năng mở rộng cơ chế để thực hiện việc phát hiện bất thường và giảm nhẹ trong của SDN
kiến trúc. Mục tiêu của chúng tôi là để phát hiện mạng tấn công mô hình trong thời gian thực, cũng như, để thi hành
quy tắc giảm nhẹ kết hợp của công nghệ và sFlow [liên kết l "PPh04" 3] dữ liệu
bộ sưu tập khả năng trên cạnh thiết bị chuyển mạch.
Dựa trên lưu lượng bất thường phát hiện phương pháp, như đã nêu trong 4]}, [siêu liên kết l "Lak05" 5] và 6]},
đang nổi tiếng với phát hiện tất cả các loại mô hình mạng bất thường, dù là
độc hại hoặc lành tính. Hơn nữa, phương pháp dựa trên dữ liệu ngẫu nhiên đã chứng minh là có hiệu quả,
đặc biệt là trong việc xác định ngẫu nhiên của một tập dữ liệu thực sự, do đó chỉ ra
tiềm năng mạng bất thường [siêu liên kết l "Và" 7]. Dựa trên lưu lượng giám sát có thể
sử dụng để thu thập số liệu thống kê lưu lượng mạng 8]}, trong khi một phương pháp entropies bình thường có thể
được sử dụng để thực hiện các phát hiện của sâu dịch. Chúng tôi áp dụng điều này được sử dụng rộng rãi dựa trên dữ liệu ngẫu nhiên
phương pháp phát hiện bất thường trên SDN, bằng việc thực hiện và so sánh của bản xứ và sFlow
Dựa trên phương pháp tiếp cận cho quá trình thu thập dữ liệu lưu lượng truy cập. Tác động của mỗi sự bất thường
phát hiện chính xác được đánh giá qua đường cong nhận hoạt động đặc trưng (Trung Hoa dân Quốc). Ở
ngoài ra, chúng tôi điều tra các ứng dụng và hiệu suất của các cơ chế đề xuất của chúng tôi
liên quan đến các thuật toán phát hiện bất thường được biết đến khác báo cáo trong các tài liệu. Cuối cùng, chúng tôi
khai thác các dòng chảy instantiation và khả năng sửa đổi lưu lượng giới thiệu bởi của
điều khiển để có hiệu quả giảm thiểu phát hiện mạng bất thường.
Đóng góp chính của chúng tôi được tóm tắt trong bốn điểm sau đây:
• thiết kế kiến trúc của một cơ chế mô-đun cho phép phát hiện bất thường và
giảm nhẹ trên SDN môi trường.
• Cải tiến khả năng mở rộng, Khi so sánh với đã được đề xuất bản xứ của
phương pháp tiếp cận, sử dụng giao thức sFlow cho dòng chảy dựa trên dữ liệu thu thập.
• Giảm hiệu quả của các giao tiếp cần thiết giữa các thiết bị chuyển mạch và của
bộ điều khiển, loại bỏ các tiềm năng kiểm soát máy bay quá tải, dưới bất thường
điều kiện để máy bay dữ liệu
• Hiệu suất bài kiểm tra bằng cách sử dụng giao thông thực tế dấu vết để xác nhận khả năng mở rộng và các
hiệu quả của các phương pháp sFlow dựa trên đề xuất so với nguồn gốc của
cơ chế trong điều khoản của bất thường phát hiện chính xác và các chi phí trên hệ thống
tài nguyên (sử dụng CPU, dòng chảy bảng kích thước).
Giấy có cấu trúc như sau: trong phần 2, chúng tôi thảo luận có liên quan làm việc mô tả các
Các khác biệt chính với cơ chế đề xuất của chúng tôi, trong khi trong phần 3 chúng tôi mô tả việc thiết kế
các nguyên tắc của kiến trúc giới thiệu. Phần 4 trình bày các chi tiết thực hiện của các
đề nghị cơ chế phát hiện bất thường và giảm nhẹ trên SDNs đối với dữ liệu
thu thập, quá trình phát hiện và giảm nhẹ bất thường. Phần 5 trình bày hiệu suất của chúng tôi
đánh giá thử nghiệm và phần 6 kết luận giấy và thảo luận về công việc trong tương lai.
2. Công việc liên quan đến
sự nổi lên của một phần mềm lập trình điều khiển máy bay ý tưởng đã dẫn đến việc thiết kế một
nền tảng, được gọi là Onix [siêu liên kết l "Kop" 9], hiện đang hoạt động trong Google của nội bộ rộng
khu vực mạng (WAN). Onix là một thực hiện kiểm soát máy bay bao gồm của bộ điều khiển
mà hành động như một hệ thống phân phối. HyperFlow 10]} là một phân bố dựa trên sự kiện kiểm soát
máy bay đó một cách hợp lý tập trung, nhưng cơ thể phân phối, cho phép nhà khai thác mạng
để triển khai bất kỳ số lượng trình điều khiển trong mạng lưới của họ. Các khái niệm SDN đưa đến cuộc sống
ngôn ngữ cấp cao, chẳng hạn như Frenetic [siêu liên kết l "Fos10" 11], đầy đủ cho
lập trình phân phối bộ sưu tập của thiết bị chuyển mạch mạng và các khuôn khổ (ví dụ như Odin 12]}),
mà giới thiệu lập trình trên mạng cục bộ không dây. Đó là giá trị chỉ ra rằng
Frenetic trình bày một số kết luận nguyên thủy liên quan đến mạng lưới giám sát ở của người bản thổ
môi trường.
Mặc dù công việc mở rộng của đối với giám sát, định tuyến, cân bằng tải, vv..
lĩnh vực phát hiện xâm nhập đã không được thu hút nhiều sự chú ý. Các công việc sớm thành lập một
xâm nhập dòng chảy dựa trên cơ chế phát hiện bằng cách sử dụng của đã được báo cáo trong [siêu liên kết l "Bra1" 13
]: của đã được sử dụng để tạo thuận lợi cho việc xử lý của máy bay chuyển tiếp của thiết bị mạng và đến
thu thập số liệu thống kê lưu lượng, mà không có bất kỳ phân tích của những hạn chế giới thiệu từ bảng dòng chảy
kích thước, hoặc các điều khiển máy bay quá tải, do dòng chảy bảng tra cứu để thu hồi công tơ.
Hơn nữa, phương pháp được đề xuất tập trung chỉ để trường hợp của các cuộc tấn công
(DDoS) phân phối từ chối dịch vụ để máy bay dữ liệu. Ngoài ra, các phân tích trình bày hiệu suất là giới hạn
thuật toán phát hiện xâm nhập được đề xuất và không để hiệu suất hệ thống tổng thể. Cuối
nhưng không kém, tác động của máy bay dữ liệu lưu lượng truy cập bất thường để máy bay kiểm soát của là không
giải quyết.
Một nỗ lực tập trung vào lưu lượng truy cập bất thường phát hiện về môi trường SDN được trình bày trong
14]}. Nhiều bất thường phát hiện thuật toán được sử dụng trong các thí nghiệm của họ để
xác nhận sự phù hợp của họ về môi trường văn phòng văn phòng/nhà nhỏ (SOHO). Tác giả
giới thiệu ý tưởng rằng phân cấp kiểm soát thiết bị phân phối thấp mạng usin
kết hợp OpenFlow và sFlow cho một hiệu quả và khả năng mở rộng bất thường Detec-
tion và giảm nhẹ cơ chế về môi trường SDN
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
PII: S1389-1286 (13) 00400-3
DOI: http://dx.doi.org/10.1016/j.bjp.2013.10.014
tham khảo: COMPNW 5152
xuất hiện trong: mạng máy tính
nhận được ngày: 11 tháng 11 năm 2011
ngày sửa đổi: 24 tháng 10 năm 2013
chấp nhận ngày: 28 tháng 10 năm 2013
xin vui lòng trích dẫn bài viết này như: K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris, kết hợp
OpenFlow và sFlow cho một hiệu quả và khả năng mở rộng phát hiện bất thường và giảm nhẹ cơ chế trên SDN
môi trường, mạng máy tính (2013), doi: http://dx.doi.org/10.1016/j.bjp.2013.10.014
Đây là một tập tin PDF của một bản thảo không chỉnh sửa mà đã được chấp nhận cho xuất bản. Như là một dịch vụ cho khách hàng của chúng tôi
chúng tôi đang cung cấp này phiên bản đầu của bản thảo. Bản thảo sẽ trải qua copyediting, sắp chữ, và
đánh giá của các bằng chứng kết quả trước khi nó được xuất bản ở dạng cuối cùng của nó. Xin lưu ý rằng trong quá trình sản xuất
lỗi có thể được phát hiện ra mà có thể ảnh hưởng đến nội dung, và tất cả tuyên bố miễn trừ pháp lý áp dụng cho các tạp chí liên quan.
Kết hợp OpenFlow và sFlow cho một bất thường có hiệu quả và khả năng mở rộng
cơ chế phát hiện và giảm nhẹ trên môi trường SDN
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
quản lý mạng & tối ưu thiết kế phòng thí nghiệm (NETMODE)
Trường điện & máy tính
quốc gia kỹ thuật đại học của Athena (NTUA), Hy Lạp
{coyiotis, cargious, gandr, dkalo, maglaris}@netmode.ntua.gr
trừu tượng
phần mềm xác định mạng (SDNs) dựa trên giao thức OpenFlow (của) xuất khẩu control-
máy bay lập trình của chuyển chất nền. Kết quả là, các chức năng phong phú lưu lượng truy cập
quản lý, tải cân bằng, định tuyến, cấu hình tường lửa vv mà có thể liên quan đến cụ thể
dòng họ kiểm soát, có thể được phát triển một cách dễ dàng. Trong bài này chúng tôi mở rộng các chức năng
với một cơ chế hiệu quả và khả năng mở rộng để thực hiện việc phát hiện bất thường và giảm nhẹ
trong kiến trúc SDN. Thống kê dòng chảy có thể tiết lộ bất thường được kích hoạt bởi quy mô lớn độc hại
sự kiện (cuộc tấn công thường lớn phân phối từ chối dịch vụ) và sau đó hỗ trợ
nối mạng tài nguyên chủ sở hữu/nhà điều hành để nâng cao giảm nhẹ chính sách chống lại những mối đe dọa. Đầu tiên,
chúng tôi chứng minh của thống kê bộ sưu tập và xử lý quá tải kiểm soát tập trung
máy bay, giới thiệu các vấn đề khả năng mở rộng. Thứ hai, chúng tôi đề xuất một kiến trúc mô-đun cho các
ly thân của quá trình thu thập dữ liệu từ máy bay kiểm soát SDN với việc làm của
sFlow giám sát dữ liệu. Sau đó chúng tôi báo cáo kết quả thử nghiệm so sánh hiệu suất của nó
chống lại nguồn gốc của phương pháp tiếp cận đó dòng chảy tiêu chuẩn sử dụng bảng thống kê. Cả hai lựa chọn thay thế
đánh giá bằng cách sử dụng một phương pháp dựa trên dữ liệu ngẫu nhiên vào khối lượng lớn dữ liệu lưu lượng truy cập mạng thực sự thu thập
từ một mạng lưới trường đại học. Dấu vết gói được cung cấp cho phần cứng và phần mềm của
thiết bị để đánh giá dựa trên lưu lượng dữ liệu-thu thập và liên quan đến bất thường phát hiện tùy chọn.
Chúng tôi sau đó trình bày kết quả thử nghiệm chứng minh hiệu quả của các
được đề xuất dựa trên sFlow cơ chế so với các nguồn gốc của tiếp cận, trong điều khoản của chi phí
áp đặt trên sử dụng các tài nguyên hệ thống. Cuối cùng, chúng tôi kết thúc bằng chứng minh rằng một lần một
mạng bất thường được phát hiện và xác định, giao thức của có thể có hiệu quả giảm thiểu nó qua
chảy sửa đổi bảng.
Từ khoá: Phần mềm xác định mạng, SDN, OpenFlow, sFlow, phát hiện bất thường,
thu thập dữ liệu, giảm nhẹ tấn công.
1. GIỚI THIỆU
Nhà điều hành Trung tâm dữ liệu và cung cấp dịch vụ đám mây đòi hỏi sự linh hoạt và khả năng mở rộng trong khung cảnh
lên lập trình môi trường mạng. Kiến trúc truyền thống mạng chứng minh là
rườm rà, do đó constricting đổi mới và cản trở quản lý và cấu hình
thủ tục. Hơn nữa, các giao diện phần mềm giữa kiểm soát và dữ liệu máy bay phần mềm
Các yếu tố bên trong mạng thiết bị vẫn còn độc quyền, dẫn đến nhà cung cấp khóa trong
hiện tượng.
Phần mềm xác định mạng (SDN) tăng lên như là một kiến trúc đầy hứa hẹn, thay thế nơi các
máy bay kiểm soát và dữ liệu được tách. Mạng lưới tình báo và nhà nước là một cách hợp lý
tập trung, trong khi thực thi được phân phối tại địa phương tại mạng bánh [siêu liên kết l "Ope12"
1].Trong số các cơ chế đầu tiên và phổ biến nhất để hỗ trợ kiến trúc SDN là các
OpenFlow (của) giao thức 2]}. CỦA cho phép xuất khẩu của máy bay điều khiển lập trình của dòng chảy-
dựa chuyển chất nền. Kết quả là, của có thể được hiệu quả áp dụng với một sự đa dạng phong phú trong
giao thông quản lý, tải cân bằng, định tuyến, cấu hình tường lửa vv mà có thể liên quan đến
cụ thể dòng họ kiểm soát. Trong bài này, chúng tôi mở rộng các chức năng với một hiệu quả và
khả năng mở rộng cơ chế để thực hiện việc phát hiện bất thường và giảm nhẹ trong của SDN
kiến trúc. Mục tiêu của chúng tôi là để phát hiện mạng tấn công mô hình trong thời gian thực, cũng như, để thi hành
quy tắc giảm nhẹ kết hợp của công nghệ và sFlow [liên kết l "PPh04" 3] dữ liệu
bộ sưu tập khả năng trên cạnh thiết bị chuyển mạch.
Dựa trên lưu lượng bất thường phát hiện phương pháp, như đã nêu trong 4]}, [siêu liên kết l "Lak05" 5] và 6]},
đang nổi tiếng với phát hiện tất cả các loại mô hình mạng bất thường, dù là
độc hại hoặc lành tính. Hơn nữa, phương pháp dựa trên dữ liệu ngẫu nhiên đã chứng minh là có hiệu quả,
đặc biệt là trong việc xác định ngẫu nhiên của một tập dữ liệu thực sự, do đó chỉ ra
tiềm năng mạng bất thường [siêu liên kết l "Và" 7]. Dựa trên lưu lượng giám sát có thể
sử dụng để thu thập số liệu thống kê lưu lượng mạng 8]}, trong khi một phương pháp entropies bình thường có thể
được sử dụng để thực hiện các phát hiện của sâu dịch. Chúng tôi áp dụng điều này được sử dụng rộng rãi dựa trên dữ liệu ngẫu nhiên
phương pháp phát hiện bất thường trên SDN, bằng việc thực hiện và so sánh của bản xứ và sFlow
Dựa trên phương pháp tiếp cận cho quá trình thu thập dữ liệu lưu lượng truy cập. Tác động của mỗi sự bất thường
phát hiện chính xác được đánh giá qua đường cong nhận hoạt động đặc trưng (Trung Hoa dân Quốc). Ở
ngoài ra, chúng tôi điều tra các ứng dụng và hiệu suất của các cơ chế đề xuất của chúng tôi
liên quan đến các thuật toán phát hiện bất thường được biết đến khác báo cáo trong các tài liệu. Cuối cùng, chúng tôi
khai thác các dòng chảy instantiation và khả năng sửa đổi lưu lượng giới thiệu bởi của
điều khiển để có hiệu quả giảm thiểu phát hiện mạng bất thường.
Đóng góp chính của chúng tôi được tóm tắt trong bốn điểm sau đây:
• thiết kế kiến trúc của một cơ chế mô-đun cho phép phát hiện bất thường và
giảm nhẹ trên SDN môi trường.
• Cải tiến khả năng mở rộng, Khi so sánh với đã được đề xuất bản xứ của
phương pháp tiếp cận, sử dụng giao thức sFlow cho dòng chảy dựa trên dữ liệu thu thập.
• Giảm hiệu quả của các giao tiếp cần thiết giữa các thiết bị chuyển mạch và của
bộ điều khiển, loại bỏ các tiềm năng kiểm soát máy bay quá tải, dưới bất thường
điều kiện để máy bay dữ liệu
• Hiệu suất bài kiểm tra bằng cách sử dụng giao thông thực tế dấu vết để xác nhận khả năng mở rộng và các
hiệu quả của các phương pháp sFlow dựa trên đề xuất so với nguồn gốc của
cơ chế trong điều khoản của bất thường phát hiện chính xác và các chi phí trên hệ thống
tài nguyên (sử dụng CPU, dòng chảy bảng kích thước).
Giấy có cấu trúc như sau: trong phần 2, chúng tôi thảo luận có liên quan làm việc mô tả các
Các khác biệt chính với cơ chế đề xuất của chúng tôi, trong khi trong phần 3 chúng tôi mô tả việc thiết kế
các nguyên tắc của kiến trúc giới thiệu. Phần 4 trình bày các chi tiết thực hiện của các
đề nghị cơ chế phát hiện bất thường và giảm nhẹ trên SDNs đối với dữ liệu
thu thập, quá trình phát hiện và giảm nhẹ bất thường. Phần 5 trình bày hiệu suất của chúng tôi
đánh giá thử nghiệm và phần 6 kết luận giấy và thảo luận về công việc trong tương lai.
2. Công việc liên quan đến
sự nổi lên của một phần mềm lập trình điều khiển máy bay ý tưởng đã dẫn đến việc thiết kế một
nền tảng, được gọi là Onix [siêu liên kết l "Kop" 9], hiện đang hoạt động trong Google của nội bộ rộng
khu vực mạng (WAN). Onix là một thực hiện kiểm soát máy bay bao gồm của bộ điều khiển
mà hành động như một hệ thống phân phối. HyperFlow 10]} là một phân bố dựa trên sự kiện kiểm soát
máy bay đó một cách hợp lý tập trung, nhưng cơ thể phân phối, cho phép nhà khai thác mạng
để triển khai bất kỳ số lượng trình điều khiển trong mạng lưới của họ. Các khái niệm SDN đưa đến cuộc sống
ngôn ngữ cấp cao, chẳng hạn như Frenetic [siêu liên kết l "Fos10" 11], đầy đủ cho
lập trình phân phối bộ sưu tập của thiết bị chuyển mạch mạng và các khuôn khổ (ví dụ như Odin 12]}),
mà giới thiệu lập trình trên mạng cục bộ không dây. Đó là giá trị chỉ ra rằng
Frenetic trình bày một số kết luận nguyên thủy liên quan đến mạng lưới giám sát ở của người bản thổ
môi trường.
Mặc dù công việc mở rộng của đối với giám sát, định tuyến, cân bằng tải, vv..
lĩnh vực phát hiện xâm nhập đã không được thu hút nhiều sự chú ý. Các công việc sớm thành lập một
xâm nhập dòng chảy dựa trên cơ chế phát hiện bằng cách sử dụng của đã được báo cáo trong [siêu liên kết l "Bra1" 13
]: của đã được sử dụng để tạo thuận lợi cho việc xử lý của máy bay chuyển tiếp của thiết bị mạng và đến
thu thập số liệu thống kê lưu lượng, mà không có bất kỳ phân tích của những hạn chế giới thiệu từ bảng dòng chảy
kích thước, hoặc các điều khiển máy bay quá tải, do dòng chảy bảng tra cứu để thu hồi công tơ.
Hơn nữa, phương pháp được đề xuất tập trung chỉ để trường hợp của các cuộc tấn công
(DDoS) phân phối từ chối dịch vụ để máy bay dữ liệu. Ngoài ra, các phân tích trình bày hiệu suất là giới hạn
thuật toán phát hiện xâm nhập được đề xuất và không để hiệu suất hệ thống tổng thể. Cuối
nhưng không kém, tác động của máy bay dữ liệu lưu lượng truy cập bất thường để máy bay kiểm soát của là không
giải quyết.
Một nỗ lực tập trung vào lưu lượng truy cập bất thường phát hiện về môi trường SDN được trình bày trong
14]}. Nhiều bất thường phát hiện thuật toán được sử dụng trong các thí nghiệm của họ để
xác nhận sự phù hợp của họ về môi trường văn phòng văn phòng/nhà nhỏ (SOHO). Tác giả
giới thiệu ý tưởng rằng phân cấp kiểm soát thiết bị phân phối thấp mạng usin
đang được dịch, vui lòng đợi..
Accepted Manuscript
Combining OpenFlow and sFlow for an effective and scalable Anomaly Detec-
tion and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
PII: S1389-1286(13)00400-3
DOI: http://dx.doi.org/10.1016/j.bjp.2013.10.014
Reference: COMPNW 5152
To appear in: Computer Networks
Received Date: 16 November 2012
Revised Date: 24 October 2013
Accepted Date: 28 October 2013
Please cite this article as: K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris, Combining
OpenFlow and sFlow for an effective and scalable Anomaly Detection and Mitigation mechanism on SDN
Environments, Computer Networks (2013), doi: http://dx.doi.org/10.1016/j.bjp.2013.10.014
This is a PDF file of an unedited manuscript that has been accepted for publication. As a service to our customers
we are providing this early version of the manuscript. The manuscript will undergo copyediting, typesetting, and
review of the resulting proof before it is published in its final form. Please note that during the production process
errors may be discovered which could affect the content, and all legal disclaimers that apply to the journal pertain.
Combining OpenFlow and sFlow for an effective and scalable Anomaly
Detection and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
Network Management & Optimal Design Laboratory (NETMODE)
School of Electrical & Computer Engineering
National Technical University of Athens (NTUA), Greece
{coyiotis, cargious, gandr, dkalo, maglaris}@netmode.ntua.gr
ABSTRACT
Software Defined Networks (SDNs) based on the OpenFlow (OF) protocol export control-
plane programmability of switched substrates. As a result, rich functionality in traffic
management, load balancing, routing, firewall configuration etc. that may pertain to specific
flows they control, may be easily developed. In this paper we extend these functionalities
with an efficient and scalable mechanism for performing Anomaly Detection and Mitigation
in SDN architectures. Flow statistics may reveal anomalies triggered by large scale malicious
events (typically massive Distributed Denial of Service attacks) and subsequently assist
networked resource owners/operators to raise mitigation policies against these threats. First,
we demonstrate that OF statistics collection and processing overloads the centralized control
plane, introducing scalability issues. Second, we propose a modular architecture for the
separation of the data collection process from the SDN control plane with the employment of
sFlow monitoring data. We then report experimental results that compare its performance
against native OF approaches that use standard flow table statistics. Both alternatives are
evaluated using an entropy-based method on high volume real network traffic data collected
from a University campus network. The packet traces were fed to hardware and software OF
devices in order to assess flow-based data-gathering and related anomaly detection options.
We subsequently present experimental results that demonstrate the effectiveness of the
proposed sFlow-based mechanism compared to the native OF approach, in terms of overhead
imposed on usage of system resources. Finally, we conclude by demonstrating that once a
network anomaly is detected and identified, the OF protocol can effectively mitigate it via
flow table modifications.
Keywords: Software Defined Networking, SDN, OpenFlow, sFlow, Anomaly Detection,
Data Collection, Attack Mitigation.
1. INTRODUCTION
Data center operators and cloud service providers require flexibility and scalability in setting
up programmable network environments. Traditional network architectures prove to be
cumbersome, thus constricting innovations and hindering management and configuration
procedures. Moreover, the software interfaces between control and data plane software
elements inside network equipment still remain proprietary, leading to vendor lock-in
phenomena.
Software-Defined Networks (SDN) rise as a promising, alternative architecture where the
control and data planes are decoupled. Network intelligence and state are logically
centralized, while enforcement is distributed locally at network gear [ HYPERLINK l "Ope12"
1 ].Among the first and most widespread mechanisms to support SDN architecture is the
OpenFlow (OF) protocol 2]}. OF enables exporting of control-plane programmability of flow-
based switched substrates. As a result, OF can be effectively applied with a rich diversity in
traffic management, load balancing, routing, firewall configuration etc. that may pertain to
specific flows they control. In this paper, we extend these functionalities with an efficient and
scalable mechanism for performing Anomaly Detection and Mitigation in OF SDN
architectures. Our goal is to detect network attack patterns in real time, as well as, to enforce
mitigation rules combining the OF technology and sFlow [ HYPERLINK l "PPh04" 3 ] data
collection capabilities on edge switches.
Flow-based anomaly detection methods, as stated in 4]}, [ HYPERLINK l "Lak05" 5 ] and 6]},
are well known for discovering all kinds of network anomaly patterns, whether they are
malicious or benign. Furthermore, entropy-based methods have proven to be effective,
particularly in determining the randomness of a data-set really, therefore pointing out
potential network anomalies [ HYPERLINK l "And" 7 ]. Flow-based monitoring can be
employed to collect network flow statistics 8]}, while a method of normalized entropies may
be used to perform detection of worm outbreaks. We apply this widely-used entropy-based
anomaly detection method on SDN, by implementing and comparing native OF and sFlow
based approaches for the traffic data collection process. The impact of each to the anomaly
detection accuracy is evaluated through Receiver Operating Characteristic (ROC) curves. In
addition, we investigate the applicability and performance of our proposed mechanism
pertaining to other known anomaly detection algorithms reported in the literature. Finally, we
exploit the flow instantiation and flow modification capabilities introduced by the OF
Controller in order to effectively mitigate detected network anomalies.
Our main contributions are summarized in the following four points:
• Architectural design of a modular mechanism that permits Anomaly Detection and
Mitigation on SDN environments.
• Scalability improvements, in comparison with the already proposed native OF
approaches, employing sFlow protocol for flow-based data gathering.
• Effective reduction of the required communication between switches and OF
controllers, eliminating the potential control plane overloading, under anomaly
conditions to the data plane
• Performance tests using real traffic traces in order to validate the scalability and the
effectiveness of the proposed sFlow-based approach compared to the native OF
mechanisms in terms of anomaly detection accuracy and overhead on system
resources (CPU usage, flow table size).
The paper is structured as follows: In Section 2, we discuss relevant work describing the
main differences with our proposed mechanism, while in Section 3 we describe the design
principles of the introduced architecture. Section 4 presents the implementation details of the
proposed Anomaly Detection and Mitigation mechanism on SDNs with respect to data
gathering, anomaly detection and mitigation process. Section 5 presents our performance
evaluation experiments and Section 6 concludes the paper and discusses future work.
2. RELATED WORK
The emergence of a software programmable control plane idea led to the design of a
platform, called Onix [ HYPERLINK l "Kop" 9 ], currently operating in Google’s internal Wide
Area Network (WAN). Onix is a control plane implementation consisted of OF controllers
that act as a distributed system. HyperFlow 10]} is another distributed event-based control
plane that is logically centralized, but physically distributed, which allows network operators
to deploy any number of controllers in their networks. The SDN concepts brought to life
high-level languages, such as Frenetic [ HYPERLINK l "Fos10" 11 ], adequate for
programming distributed collections of network switches and frameworks (e.g. Odin 12]}),
that introduce programmability on wireless local area networks. It is worth pointing out that
Frenetic presents some primitive conclusions regarding network monitoring in OF native
environments.
Despite the extensive work in OF with respect to monitoring, routing, load-balancing, etc.
the intrusion detection field has not yet attracted much attention. Early work on establishing a
flow-based intrusion detection mechanism using OF was reported in [ HYPERLINK l "Bra1" 13
]: OF was used to facilitate the handling of the forwarding plane of the network device and to
gather flow statistics, without any analysis of the constraints introduced from the flow table
size, or the control plane overloading, due to flow table lookups for counters retrieval.
Moreover, the proposed method focuses only to the case of Distributed Denial of Service
(DDoS) attacks to the data plane. In addition, the presented performance analysis is limited to
the proposed intrusion detection algorithm and not to the overall system performance. Last
but not least, the impact of data plane traffic anomalies to the OF control plane is not
addressed.
Another attempt focusing on traffic anomaly detection on SDN environments is presented in
14]}. Multiple anomaly detection algorithms were used in their experiments in order to
validate their suitability on Small Office/Home Office (SOHO) environments. Authors
introduce the idea that decentralized control of distributed low-end network devices usin
Combining OpenFlow and sFlow for an effective and scalable Anomaly Detec-
tion and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
PII: S1389-1286(13)00400-3
DOI: http://dx.doi.org/10.1016/j.bjp.2013.10.014
Reference: COMPNW 5152
To appear in: Computer Networks
Received Date: 16 November 2012
Revised Date: 24 October 2013
Accepted Date: 28 October 2013
Please cite this article as: K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris, Combining
OpenFlow and sFlow for an effective and scalable Anomaly Detection and Mitigation mechanism on SDN
Environments, Computer Networks (2013), doi: http://dx.doi.org/10.1016/j.bjp.2013.10.014
This is a PDF file of an unedited manuscript that has been accepted for publication. As a service to our customers
we are providing this early version of the manuscript. The manuscript will undergo copyediting, typesetting, and
review of the resulting proof before it is published in its final form. Please note that during the production process
errors may be discovered which could affect the content, and all legal disclaimers that apply to the journal pertain.
Combining OpenFlow and sFlow for an effective and scalable Anomaly
Detection and Mitigation mechanism on SDN Environments
K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras, V. Maglaris
Network Management & Optimal Design Laboratory (NETMODE)
School of Electrical & Computer Engineering
National Technical University of Athens (NTUA), Greece
{coyiotis, cargious, gandr, dkalo, maglaris}@netmode.ntua.gr
ABSTRACT
Software Defined Networks (SDNs) based on the OpenFlow (OF) protocol export control-
plane programmability of switched substrates. As a result, rich functionality in traffic
management, load balancing, routing, firewall configuration etc. that may pertain to specific
flows they control, may be easily developed. In this paper we extend these functionalities
with an efficient and scalable mechanism for performing Anomaly Detection and Mitigation
in SDN architectures. Flow statistics may reveal anomalies triggered by large scale malicious
events (typically massive Distributed Denial of Service attacks) and subsequently assist
networked resource owners/operators to raise mitigation policies against these threats. First,
we demonstrate that OF statistics collection and processing overloads the centralized control
plane, introducing scalability issues. Second, we propose a modular architecture for the
separation of the data collection process from the SDN control plane with the employment of
sFlow monitoring data. We then report experimental results that compare its performance
against native OF approaches that use standard flow table statistics. Both alternatives are
evaluated using an entropy-based method on high volume real network traffic data collected
from a University campus network. The packet traces were fed to hardware and software OF
devices in order to assess flow-based data-gathering and related anomaly detection options.
We subsequently present experimental results that demonstrate the effectiveness of the
proposed sFlow-based mechanism compared to the native OF approach, in terms of overhead
imposed on usage of system resources. Finally, we conclude by demonstrating that once a
network anomaly is detected and identified, the OF protocol can effectively mitigate it via
flow table modifications.
Keywords: Software Defined Networking, SDN, OpenFlow, sFlow, Anomaly Detection,
Data Collection, Attack Mitigation.
1. INTRODUCTION
Data center operators and cloud service providers require flexibility and scalability in setting
up programmable network environments. Traditional network architectures prove to be
cumbersome, thus constricting innovations and hindering management and configuration
procedures. Moreover, the software interfaces between control and data plane software
elements inside network equipment still remain proprietary, leading to vendor lock-in
phenomena.
Software-Defined Networks (SDN) rise as a promising, alternative architecture where the
control and data planes are decoupled. Network intelligence and state are logically
centralized, while enforcement is distributed locally at network gear [ HYPERLINK l "Ope12"
1 ].Among the first and most widespread mechanisms to support SDN architecture is the
OpenFlow (OF) protocol 2]}. OF enables exporting of control-plane programmability of flow-
based switched substrates. As a result, OF can be effectively applied with a rich diversity in
traffic management, load balancing, routing, firewall configuration etc. that may pertain to
specific flows they control. In this paper, we extend these functionalities with an efficient and
scalable mechanism for performing Anomaly Detection and Mitigation in OF SDN
architectures. Our goal is to detect network attack patterns in real time, as well as, to enforce
mitigation rules combining the OF technology and sFlow [ HYPERLINK l "PPh04" 3 ] data
collection capabilities on edge switches.
Flow-based anomaly detection methods, as stated in 4]}, [ HYPERLINK l "Lak05" 5 ] and 6]},
are well known for discovering all kinds of network anomaly patterns, whether they are
malicious or benign. Furthermore, entropy-based methods have proven to be effective,
particularly in determining the randomness of a data-set really, therefore pointing out
potential network anomalies [ HYPERLINK l "And" 7 ]. Flow-based monitoring can be
employed to collect network flow statistics 8]}, while a method of normalized entropies may
be used to perform detection of worm outbreaks. We apply this widely-used entropy-based
anomaly detection method on SDN, by implementing and comparing native OF and sFlow
based approaches for the traffic data collection process. The impact of each to the anomaly
detection accuracy is evaluated through Receiver Operating Characteristic (ROC) curves. In
addition, we investigate the applicability and performance of our proposed mechanism
pertaining to other known anomaly detection algorithms reported in the literature. Finally, we
exploit the flow instantiation and flow modification capabilities introduced by the OF
Controller in order to effectively mitigate detected network anomalies.
Our main contributions are summarized in the following four points:
• Architectural design of a modular mechanism that permits Anomaly Detection and
Mitigation on SDN environments.
• Scalability improvements, in comparison with the already proposed native OF
approaches, employing sFlow protocol for flow-based data gathering.
• Effective reduction of the required communication between switches and OF
controllers, eliminating the potential control plane overloading, under anomaly
conditions to the data plane
• Performance tests using real traffic traces in order to validate the scalability and the
effectiveness of the proposed sFlow-based approach compared to the native OF
mechanisms in terms of anomaly detection accuracy and overhead on system
resources (CPU usage, flow table size).
The paper is structured as follows: In Section 2, we discuss relevant work describing the
main differences with our proposed mechanism, while in Section 3 we describe the design
principles of the introduced architecture. Section 4 presents the implementation details of the
proposed Anomaly Detection and Mitigation mechanism on SDNs with respect to data
gathering, anomaly detection and mitigation process. Section 5 presents our performance
evaluation experiments and Section 6 concludes the paper and discusses future work.
2. RELATED WORK
The emergence of a software programmable control plane idea led to the design of a
platform, called Onix [ HYPERLINK l "Kop" 9 ], currently operating in Google’s internal Wide
Area Network (WAN). Onix is a control plane implementation consisted of OF controllers
that act as a distributed system. HyperFlow 10]} is another distributed event-based control
plane that is logically centralized, but physically distributed, which allows network operators
to deploy any number of controllers in their networks. The SDN concepts brought to life
high-level languages, such as Frenetic [ HYPERLINK l "Fos10" 11 ], adequate for
programming distributed collections of network switches and frameworks (e.g. Odin 12]}),
that introduce programmability on wireless local area networks. It is worth pointing out that
Frenetic presents some primitive conclusions regarding network monitoring in OF native
environments.
Despite the extensive work in OF with respect to monitoring, routing, load-balancing, etc.
the intrusion detection field has not yet attracted much attention. Early work on establishing a
flow-based intrusion detection mechanism using OF was reported in [ HYPERLINK l "Bra1" 13
]: OF was used to facilitate the handling of the forwarding plane of the network device and to
gather flow statistics, without any analysis of the constraints introduced from the flow table
size, or the control plane overloading, due to flow table lookups for counters retrieval.
Moreover, the proposed method focuses only to the case of Distributed Denial of Service
(DDoS) attacks to the data plane. In addition, the presented performance analysis is limited to
the proposed intrusion detection algorithm and not to the overall system performance. Last
but not least, the impact of data plane traffic anomalies to the OF control plane is not
addressed.
Another attempt focusing on traffic anomaly detection on SDN environments is presented in
14]}. Multiple anomaly detection algorithms were used in their experiments in order to
validate their suitability on Small Office/Home Office (SOHO) environments. Authors
introduce the idea that decentralized control of distributed low-end network devices usin
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Accepted ManuscriptCombining OpenFlow an
- Once your emergency fund is substantial,
- In developing the Zuji brand, brand mana
- Tôi thường đi xem phim vào các dịp lễ ho
- The leader of the movement (Voldemort) h
- để cảm nhận những làn gió mát và nước bi
- Dear Sasakawa san,Sorry ...This email wi
- Em yêu văn hóa phương Tây.
- để cảm nhận những làn gió mát và nước bi
- The whispers in the morningOf lovers sle
- i want you inside me
- The use of lifestyle as a segmentation s
- Clinical and mutational features of Viet
- 건욕염
- Dear Sasakawa san,Sorry ...This email wi
- emergency fund
- BÁN kính hoạt động của thiết bị
- Accepted ManuscriptCombining OpenFlow an
- thiết bị nặng bao nhiêu?
- 박리액 (Chất lỏng)
- Support of genetic purity is based on em
- ANH thích văn hóa việt nam chứ ?
- 도시의법칙. 역시 뉴욕패밀리.상받았다고 퀵으로 과일바구니보내준 작가언니들
- thiết bị có kích cỡ bao nhiêu?
