저용량·저속 공격을 차단하는 스마트 스위치·SmartNIC 통합 방어

초록

본 논문은 테라비트 규모 네트워크에서 발생하는 저용량·저속 스캔 및 브루트포스 공격을 실시간으로 탐지·완화하기 위해 프로그래머블 스위치와 SmartNIC을 연계한 immUNITY 프레임워크를 제안한다. 스위치에서는 메모리와 파이프라인을 효율적으로 활용한 근사 필터로 정상 트래픽을 빠르게 통과시키고, 의심 흐름만을 SmartNIC으로 전달해 머신러닝 기반 분류와 IDS 규칙을 적용한다. 데이터플레인 프로토콜을 통해 양쪽 장치의 상태를 동기화하고, 실험 결과 99% 이상의 탐지 정확도와 0.14 Gbps 이하의 SmartNIC 부하를 달성하였다.

상세 분석

immUNITY는 기존의 “heavy‑hitter” 중심 모니터링을 확장해, 패킷 수가 극히 적은 마우스 흐름까지 포착한다는 점에서 차별성을 가진다. 핵심 아이디어는 스위치‑SmartNIC 협업이다. 스위치 단계에서는 제한된 SRAM(파이프당 ≈ 6.9 MB)을 활용해 Bloom‑filter‑유사 근사 데이터 구조를 구현한다. 이 구조는 흐름 초기에 관측된 헤더 특성(5‑tuple, SYN/FIN 플래그, 패킷 길이 등)을 기반으로 “benign” 여부를 빠르게 판단하고, 정상 흐름은 바로 목적지 서버로 포워딩한다. 의심 흐름은 “suspicious” 플래그와 함께 메타데이터를 SmartNIC에 전송한다.

SmartNIC(BlueField 3)은 32 GB DRAM과 200 Gbps 포트를 보유하지만, CPU 코어당 처리량이 제한적이므로 전체 트래픽을 전부 처리할 수는 없다. 따라서 immUNITY는 SmartNIC에만 공격 가능성이 높은 흐름을 집중시킨다. SmartNIC에서는 (1) 경량 머신러닝 모델(예: LightGBM 기반 트리)으로 헤더‑레벨 특징을 실시간 분류하고, (2) Zeek‑style IDS 규칙을 적용해 포트 스캔, Slowloris, SSH/FTP 브루트포스 등을 식별한다. 악성 소스 IP가 확인되면, 즉시 스위치의 필터에 블랙리스트 엔트리를 삽입해 이후 트래픽을 차단한다.

데이터플레인 기반 프로토콜은 스위치와 SmartNIC 사이에 최소한의 제어 패킷만 교환하도록 설계되었다. 업데이트는 배치 방식으로 전송되어 파이프라인 스톨을 방지하고, 스위치의 TCAM에 삽입되는 엔트리 수를 제한한다. 또한, 흐름 재조합(cross‑flow) 분석을 통해 동일 소스에서 발생한 여러 짧은 흐름을 종합적으로 평가한다.

성능 평가에서는 Tofino v1 스위치와 BlueField 3을 이용해 100 Gbps 포트에서 96 Gbps 전체 처리량을 달성했으며, SmartNIC에 전달되는 트래픽은 0.14 Gbps에 불과했다. 트레이스 기반 시뮬레이션과 실제 CAIDA·MAWI 데이터셋을 이용한 실험에서 스캔 공격 IP 99%를 정확히 탐지했으며, 기존 NetBeacon 대비 false‑positive 비율이 수십 배 낮았다. 이러한 결과는 메모리·연산 제한이 있는 스위치와 비교적 풍부한 메모리를 가진 SmartNIC을 효율적으로 결합함으로써, 저용량·저속 공격을 대규모 네트워크에서도 실시간으로 방어할 수 있음을 입증한다.