An approach for detection of DDoS attacks against the control plane of software defined networks

Abstract

Security of the infrastructure of Software De ned Net-works (SDN) is a challenging problem. SDN introduces new threat vectors in addition to those inherited from legacy networks. Thus, it becomes an attractive target for attackers. SDN separates the control and data planes, and migrates the control functions to a logically centralized entity called controller which might be an attractive target for Denial-of-Service (DoS) and Distributed Denial-of-Service (DDoS) attacks. These attacks can be executed easily using open access tools and without requiring specialized or high performance hardware. According to the literature, the protection of the SDN infrastructure, specially against this kind of threats has not been widely addressed. Thus, we propose an algorithm to detect DDoS attacks against SDN control plane. Our algorithm considers both the OpenFlow trafc towards the control plane and speci c interfaces of OpenFlow switches (local perspective detection) or the whole agreggated OpenFlow trac on the control channel (global perspective detection). In our evaluation, we achieved a 99.94% of accuracy in detecting attacks with a 0.04% of false positives and 0.07% of false negatives.

Resumen: La seguridad de la infraestructura de las Redes Definidas por Software (SDN por sus siglas en inglés) es un problema difícil. SDN introduce nuevos vectores de amenaza adicionales a aquellos heredados de las redes tradicionales. SDN se convierte entonces en un objetivo atractivo para los atacantes. SDN separa el plano de control y el plano de datos, y de manera que las funciones de control se migran a una entidad centralizada desde el punto de vista lógico, llamada controlador el cual puede ser un objetivo atractivo para ataques de Denegación de Servicios (DoS) y de Denegación on de Servicio Distribuidos (DDoS). Estos ataques pueden ser ejecutados fácilmente usando herramientas de acceso libre y sin requerir hardware especializado o de alto rendimiento. Según la literatura, la protección de la infraestructura SDN, especialmente contra este tipo de amenazas no ha sido abordada ampliamente. Proponemos un algoritmo para detectar ataques DDoS contra el plano de control SDN. Nuestro algoritmo considera el tráfico que pasa entre el plano de control y las interfaces específicas de los suiches OpenFlow (perspectiva local de detección) y todo el tráfico OpenFlow agregado en el canal de control (perspectiva global de detección). En nuestra evaluación, logramos un 99.94% de precisión en la detección de los ataques con un 0.04% de falsos positivos (eventos que no corresponden a ataques) y un 0.07% de falsos negativos (eventos de ataques que fueron ignorados).