An intrusion detection system (IDS) identifies malicious behaviours or attacks, and reports to network administrators as intrusion events. In many cases, an IDS is installed at the boundary of the interconnecting network and scrutinizes all transmitted packets between the external network and the internal networks. Due to the development of the Internet technologies, large-scale networks which have support various functionality have put into a service, such as city-wide networks and networks using network function virtualisation, \textit{etc}. Thus, detection throughout the internal network plays of crucial importance much as an external network detection. However, if the IDS performs intrusion detection in the internal network using the existing methods of packet-based detection, this leads to excessive bandwidth consumption in the network detection. Flow-based IDS is considered to be more lightweight IDS based on flow information which are extracted by sFlow and NetFlow than packet-based IDS. Applying flow-based detection, the internal detection is feasible with low operating resources. This enables a large-scale network can operate with an IDS. Even if an unknown attack using as new worm virus, etc. is detected by the flow-based detection, an IDS can not recognize the detailed behaviour of a specific attack. Such an flow-based IDS cannot archive all the detailed information, as with a packet-based IDS. The permanent intolerance for unknown attacks without other tools, like a Honeypot, which gathers both known and unknown attack information will be difficult. This paper proposes a novel IDS scheme that operates lightweight intrusion detection that keeps a detailed analysis of attacks. In this scheme, a flow-based IDS detects intrusions, but with low operating cost. When an attack is detected, the IDS requests the forwarding of attack traffic to packet-based detection so the detailed results obtained by packet-based detection can be analysed later by security experts. To realize this scheme, the IDS uses a software-defined network (SDN) to control the routing table of the network. With the SDN, to change the path of the attack packets for analysis easily is possible, but the IDS can also work as an intrusion prevention system (IPS) by dropping the attack packets. For the verification of our proposed IDS, POX (a python based SDN/OpenFlow controller) and Mininet (an OpenFlow testbed constructor), were implemented with about 1,300 nodes. The IDS scheme was checked for proper operation by replaying tcpdump of the data set from the testbed.

Intrusion Detection System (IDS)은 네트워크나 시스템에서 원하지 않은 행동이나 공격을 확인하고 보고하는 시스템이다. 일반적인 침입탐지 시스템은 네트워크 경계에 설치되어 외부망과 내부망 사이의 패킷 데이터를 모두 검사하는 방식을 사용하고 있다. 네트워크의 발달로 네트워크의 기능들이 통합되고, 넓은 범위의 네트워크를 통합하여 관리하는 과정에서 네트워크의 구조가 복잡해지고 있어, 기존의 외부망 탐지뿐만 아니라 내부망의 탐지 또한 요구된다. 그러나 내부망의 침입 탐지를 기존 방법인 packet-based IDS로 수행할 경우, 네트워크의 가용 대역폭의 감소를 유발하기 때문에 침입 탐지가 어려운 점이 있다. sFlow, NetFlow와 같은 flow 기반 자료를 통한 flow-based IDS는 거대한 네트워크에서도 위와 같은 flow 기반 모니터링 툴에서 추출된 정보만을 이용해 공격 탐지가 가능해, 대규모 네트워크에서도 비교적 손쉽게 IDS를 구성할 수 있게 되었다. 그러나, flow-based detection은 공격을 분석하는 데 한계가 있다. 알려지지 않은 worm virus가 침입하고 있을 경우, IDS로 새로운 공격으로 탐지할 수 있으나, packet의 정보가 기록되기 않기 때문에, 새로운 공격에 대해서 내성을 갖기 어렵고, Honeypot과 같이 공격 정보를 수집하는 다른 시스템에 의존해야만 한다. 따라서, 본 논문에서는 기반 네트워크로서 Software Defined Network (SDN)를 이용하여 적은 네트워크 자원을 사용하면서, 탐지한 공격에 대해서 자세히 분석이 가능한 자료를 보관할 수 있도록 하는 방법을 제안한다. flow-based IDS를 이용하여 적은 오버헤드로 침입 탐지를 수행하고, 침입이 탐지될 경우 이후의 packet을 packet-based IDS로 보내 침입에 대해서 상세한 결과를 얻어, 공격에 대한 분석이 가능하도록 한다. 또한, 수동적인 대응만 할 수 있는 IDS 역할 뿐만 아니라 탐지한 침입의 차단이 가능한 IPS로서도 운용 이 가능하다. 제안한 방식의 실증을 위하여 SDN 컨트롤러로써 POX를 사용하였고, Mininet를 이용해 1,300개의 노드가 연결된 테스트베드를 구성하였다. 구현한 테스트 베드에 공개된 Dataset의 packet dump를 이용하여 제안한 방식이 정상적으로 동작하는 것을 확인하였다.