Software-defined wide area network (SD-WAN) has emerged as a new paradigm for steering a large-scale network flexibly by adopting distributed software-defined network (SDN) controllers. The key to building a logically centralized but physically distributed control-plane is running diverse cluster management protocols to achieve consistency through an exchange of control traffic. Meanwhile, we observe that the control traffic exposes unique time-series patterns due to the operational structure even though the traffic is encrypted, and this pattern can disclose confidential information such as control-plane topology and protocol dependencies, which can be exploited for severe attacks. With this insight, we propose a new SD-WAN fingerprinting system, called Heimdallr. It analyzes periodical and operational patterns of SD-WAN protocols and the context of flow directions from the collected control traffic utilizing a deep learning-based approach, so that it can classify East-West and North-South protocols automatically from miscellaneous control traffic datasets. Our evaluation, which is performed in a realistic SD-WAN environment consisting of geographically distant three campus networks and one enterprise network shows that Heimdallr can classify SD-WAN control traffic with ≥ 93%, identify individual protocols with ≥ 80% macro F-1 scores, and finally can infer control-plane topology with ≥ 70% similarity.

최근 대규모의 데이터센터에서는 유연한 네트워크 관리 및 운용이 가능한 소프트웨어 정의 광역 통신망 (Software-defined WAN, SD-WAN)이 새로운 패러다임으로 떠오르고 있다. SD-WAN은 논리적으로 중앙 집권형 구조를 이루고 있으나 물리적으로는 분산된 제어 평면을 통해 구축된다. 클러스터 내의 상태를 동 기화하기 위해 다양한 클러스터 관리 프로토콜을 바탕으로 제어 트래픽을 주고받는다. 이 제어 트래픽은 암호화되어 전달되지만 트래픽 고유의 시계열 패턴을 분석하여 네트워크 상의 기밀 정보를 유추할 수 있다. 본 연구에서는 SD-WAN 트래픽의 주기적인 패턴을 이용하는 딥러닝(Deep-Learning) 기반 분산 네트워크 핑거프린팅 시스템, Heimdallr을 제안한다. Heimdallr은 대규모 제어 트래픽 흐름을 분석하여 자동으로 시계열 패턴과 방향성을 학습하고 East-West 트래픽과 North-South Traffic을 정밀하게 분류해낼 수 있다. 공격자는 Heimdallr을 통해 프로토콜 종속성 및 제어 평면 토폴로지 정보를 습득하여 암호화된 네트워크 상에서 치명적인 공격을 가할 수 있다. Heimdallr의 위험성을 정량적으로 평가하기 위해 다양한 캠퍼스 네트 워크와 기업 네트워크를 기반으로 SD-WAN 환경을 구축하여 실험을 진행하였다. SD-WAN 제어 트래픽에 대해서 93% 이상, 특히 East-West 트래픽에 대해서 80% 이상의 정확도를 달성하였으며, 실제와 70% 이상 유사한 제어 평면 토폴로지를 얻어낼 수 있었다.