A natureza centralizada das redes SDN é uma vulnerabilidade para o sistema, uma vez que os atacantes podem lançar ataques contra o controlador. Soluções existentes limitam a taxa de requisições destinadas a ele, excluindo as consideradas excedentes, o que também acarreta na eliminação de requisições legítimas. A fim de contornarem esse problema, Wei e Fung [13] propuseram FlowRanger, um buffer de priorização para con- trolador lidar com requisições de roteamento baseado em sua probabilidade de ataque, que deriva de um valor de confiança da origem solicitadora. Baseado no valor de con- fiança, FlowRanger classifica as requisições em múltiplas filas de buffers com diferentes prioridades. Dessa maneira, baixa prioridade é atribuída às requisições maliciosas.
Giots et al. [15] aplicam um modelo de detecção de anomalia baseado em assinaturas em uma simulação de rede SDN. A proposta apresenta atividades que são divididas em três etapas. A primeira corresponde à coleta dos dados estatísticos que serão usados para o monitoramento da rede. Para tanto, os autores comparam a coleta realizada pelo protocolo OpenFlow e sFlow, em que este último é aplicado com amostragem para diminuir a granularidade dos fluxos na ocorrência de um ataque capaz de comprometer o desempenho da rede. Os dados coletados correspondem aos campos do cabeçalho dos pacotes: endereço IP (origem e destino) e portas (origem e destino). Na segunda fase é utilizado um método de detecção baseado em entropia. Mudanças súbitas nos valores desses atributos, que correspondam à assinatura de uma anomalia, são identificadas. Após o reconhecimento dos endereços IP e portas usadas para disseminação da anomalia, a terceira e última etapa tem por finalidade mitigar os efeitos do evento anômalo detectado. Usando o próprio protocolo OpenFlow, os switches recebem a instrução de descartar os pacotes destinados ao alvo do ataque.
Sahay et al. [114] apresentaram ArOMA, um framework para mitigação de ataques do tipo DDoS. A ideia dos autores é integrar diversos módulos, voltados à con- tenção do ataque, que estão distribuídos entre o ISP (Internet Service Provider ) e seus clientes. O monitoramento do tráfego e a detecção de anomalias são realizados por mó- dulos específicos implantados no lado do usuário, enquanto o mecanismo de mitigação é executado pelo ISP. Como o foco do trabalho é a mitigação, o reconhecimento do ataque e sua notificação ao ISP é de responsabilidade do usuário. Quando um fluxo suspeito é identificado, o controlador da rede ao qual o cliente está inserido encapsula em uma men- sagem de alerta contendo o identificador do fluxo e a envia para o controlador do ISP. As contramedidas são aplicadas por políticas dentro do ISP para evitar a propagação do DDoS.
Capítulo 4. Trabalhos Relacionados 61
ambientes de computação em nuvem que utilizam estrutura SDN foi apresentado por [9]. Nomeado de DaMask, esse sistema é divido em dois módulos. O primeiro é responsável pela detecção do ataque, realizando análises estatísticas. Utiliza uma estrutura em forma de grafo para armazenar os padrões de tráfego conhecidos e, quando um comportamento incomum é observado, esse grafo determina se conexões maliciosas estão de fato ocorrendo. O segundo módulo, voltado especificamente para o ambiente de redes dinâmicas, executa contramedidas e gera registros sobre os ataques detectados. Com propósito semelhante, no mecanismo proposto por Cui et al. [14], uma vez que um ataque DDoS é detectado, a atenuação da anomalia ocorre por meio da inserção de entradas na tabela de fluxos do
switch reconhecido o primeiro no caminho de propagação da anomalia. Essas entradas
possuem regras que descartam pacotes cujo endereço e porta de destino correspondam ao do alvo do ataque.
4.4
Considerações sobre o capítulo
Neste capítulo foram apresentadas diversas abordagens sobre detecção de ano- malias em redes tradicionais e em redes SDN, bem como trabalhos onde são abordadas técnicas sobre mitigação de anomalias. Embora os trabalhos apresentados demonstrem peculiaridades e características distintas, compartilham a existência de um conceito sub- jacente de normalidade. A noção de comportamento normal da rede é geralmente fornecida por um modelo formal que expressa as relações entre as variáveis envolvidas na dinâmica do monitoramento do tráfego. Por conseguinte, um evento é classificado como anômalo quando o grau de desvio em relação ao perfil de comportamento característico do tráfego, especificado pelo modelo de normalidade, é elevado e ultrapassa um limiar previamente estabelecido ou dinamicamente calculado.
As soluções apresentadas para detecção de anomalias em SDN focam, na sua grande maioria, em um tipo particular de ataque ou requerem que a infraestrutura da rede seja alterada. Embora consigam bons resultados, essas abordagens se tornam inflexíveis. O ecossistema proposto nesta tese é apresentado no capítulo seguinte e difere desses estudos em vários aspectos. Ele não requer nenhuma alteração na infraestrutura SDN e pode detectar e classificar uma variedade de anomalias para escolher a estratégia de mitigação mais adequada. Além disso, o ecossistema fornece relatórios gráficos ao administrador da rede sobre os detalhes das anomalias detectadas e a eficiência das contramedidas tomadas contra elas.
62
5 Ecossistema Proposto
O ecossistema apresentado para detecção e mitigação de anomalias em ambi- entes específicos de SDN é baseado nas seguintes propriedades:
∙ Abordagem autonômica: A proposta permite a automação do monitoramento do tráfego da rede e da detecção de eventos anômalos;
∙ Configuração/Design modular: Embora tarefas como coleta do tráfego, detecção de anomalias, mitigação dos ataques e geração de relatórios sejam complementares, elas são projetadas para serem independentes. Essa característica permite que cada um dos módulos seja alterado sem causar interferência em outro;
∙ Duas fases de monitoramento: Ao contrário das abordagens que analisam todo o tráfego agregado da rede, o sistema proposto monitora o comportamento dos fluxos em cada switch. A primeira fase consiste em observar e comparar o comportamento do tráfego em relação ao esperado, isto é, seu perfil normal. Se um desvio de com- portamento é detectado, a segunda fase inicia um monitoramento ostensivo para identificar o atacante e os alvos sob ataque;
∙ Inteligência voltada à mitigação dos efeitos das anomalias: A abordagem apresentada baseia-se no tipo de anomalia detectada para tomar decisões que neutralizem o evento anômalo e conduzam a rede ao seu estado normal. Para que isso seja possível, o controlador manipula a tabela de encaminhamento dos equipamentos de rede, instalando regras de fluxo de acordo com a classificação atribuída a cada fluxo.