1. Trang chủ
  2. » Luận Văn - Báo Cáo

Các biện pháp nâng cao tính bảo mật của mạng doanh nghiệp sử dụng kỹ thuật mạng điều khiển bằng phần mềm

70 4 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 70
Dung lượng 1,1 MB

Cấu trúc

  • MỤC LỤC

  • CHƯƠNG 1

  • CHƯƠNG 2

  • CHƯƠNG 3

  • CHƯƠNG 4

  • TÀI LIỆU THAM KHẢO

Nội dung

TỔNG QUAN VỀ AN NINH MẠNG VÀ CÁC KỸ THUẬT BẢO MẬT TRONG MẠNG DOANH NGHIỆP

An ninh mạng là gì

Môi trường mạng có đặc điểm là sự phân tán địa lý của người dùng, dẫn đến sự gia tăng số lượng người sử dụng Điều này làm cho thông tin, đặc biệt là thông tin tài chính, ngân hàng, chứng khoán và chính phủ, trở nên ngày càng quan trọng, ảnh hưởng đến an ninh quốc gia và lợi ích quốc tế của các doanh nghiệp lớn Thông tin này được trao đổi liên tục trên mạng, vì vậy cần có các biện pháp bảo đảm an toàn thông tin hiệu quả.

Nhóm người xâm hại mạng ngày càng đa dạng và tinh vi, bao gồm sinh viên, doanh nhân, người môi giới chứng khoán, hacker và khủng bố Mỗi đối tượng đều có những mục đích riêng biệt trong hành vi xâm hại an ninh mạng.

- Sinh viên: tò mò, nghịch ngợm, muốn chứng tỏ khả năng

- Doanh nhân: thăm dò chiến lược kinh doanh của đối thủ cạnh tranh để phá hoại đối phương

- Người môi giới chứng khoán: tác động tâm lý người chơi chứng khoán, thuyết phục người chơi mua/bán cổ phiếu, làm đảo lộn thị trường

- Hacker: tấn công vào lỗ hổng phần mềm để ăn cắp bản quyền hoặc phá huỷ hệ thống

Khủng bố không chỉ nhằm mục đích kinh tế và chính trị mà còn gây ra những mối đe dọa nghiêm trọng đến an ninh thông tin Để bảo vệ dữ liệu và thiết bị trên mạng một cách hiệu quả, chúng ta cần dự đoán và chuẩn bị tốt cho các khả năng xâm phạm và sự cố rủi ro có thể xảy ra.

Việc xác định chính xác các nguy cơ là yếu tố then chốt để tìm ra giải pháp hiệu quả, từ đó giảm thiểu thiệt hại An toàn thông tin mạng liên quan đến các biện pháp bảo vệ dữ liệu nhằm ngăn chặn xâm phạm trái phép.

Vi phạm có thể được chia thành hai loại: vi phạm chủ động và vi phạm thụ động Vi phạm thụ động nhằm mục đích nắm bắt thông tin mà không can thiệp vào nội dung, có thể xác định thông tin về người gửi và người nhận thông qua header của gói tin mà không làm sai lệch nội dung Kẻ tấn công có thể theo dõi số lượng, độ dài và tần suất trao đổi dữ liệu Ngược lại, vi phạm chủ động có thể làm biến đổi, xóa bỏ, làm chậm, sắp xếp lại thứ tự hoặc chèn thông tin ngoại lai vào để sai lệch thông tin gốc, và có thể làm vô hiệu chức năng phục vụ người dùng cả tạm thời lẫn lâu dài.

Vi phạm thụ động thường khó phát hiện nhưng dễ ngăn chặn, ngược lại, vi phạm chủ động dễ phát hiện nhưng rất khó ngăn chặn

Kẻ phá hoại có thể xâm nhập vào mọi nơi có thông tin nhạy cảm, bao gồm đường truyền, máy chủ nhiều người dùng, máy trạm và các thiết bị kết nối như bridge, router, gateway Các thiết bị ngoại vi như bàn phím và màn hình cũng là những điểm dễ bị tấn công, tạo điều kiện cho các hành vi xâm nhập trái phép.

Các lớp bảo mật trong mạng

Các hệ thống an ninh mạng hiện đại thường được thiết kế với nhiều lớp bảo vệ nhằm ngăn chặn các loại xâm phạm khác nhau Dưới đây là sơ đồ các lớp bảo mật phổ biến hiện nay.

Hình 1.1 Các lớp bảo mật dữ liệu trong mạng

Lớp Quyền truy cập là lớp bảo vệ cơ bản nhất, có nhiệm vụ kiểm soát và giới hạn quyền truy cập của người dùng đối với tài nguyên mạng Lớp này xác định rõ ràng những tài nguyên mà người dùng có thể tiếp cận và các thao tác mà họ được phép thực hiện trên những tài nguyên đó.

• Lớp Đăng nhập: yêu cầu mỗi cá nhân khi bước vào mạng phải xuất trình Tên

Tên người dùng và mật khẩu là một biện pháp bảo mật đơn giản nhưng hiệu quả, giúp ngăn chặn truy cập trái phép Mỗi người dùng hợp lệ cần có tên và mật khẩu riêng, từ đó hệ thống xác định quyền truy cập và các thao tác mà họ có thể thực hiện trên tài nguyên.

Các phương pháp mã hoá chủ yếu được sử dụng để bảo vệ thông tin truyền trên mạng khỏi việc nghe trộm, đồng thời cũng áp dụng cho bảo mật dữ liệu tại chỗ Dữ liệu sẽ được chuyển đổi từ dạng tự nhiên sang dạng mã hoá khi gửi đi, và tại bên nhận, quá trình giải mã sẽ được thực hiện để phục hồi dữ liệu ban đầu.

Tường lửa là một phần mềm quan trọng được sử dụng để bảo vệ mạng nội bộ, ngăn chặn truy cập trái phép từ môi trường mạng bên ngoài Chức năng chính của tường lửa là lọc bỏ các gói tin không mong muốn và cấm những truy cập không hợp lệ theo danh sách quy định trước Một ví dụ điển hình về phần mềm tường lửa là tính năng tích hợp sẵn trong Windows.

Firewall), Tích hợp trong các phần mềm diệt virut, Phần mềm ISA Server 2004

Phương thức này được sử dụng rộng rãi trong môi trường liên mạng Internet

Lớp bảo vệ vật lý đóng vai trò quan trọng trong việc ngăn chặn các thao tác sử dụng trái phép trên hệ thống Các biện pháp bảo vệ bao gồm kiểm soát người ra vào phòng điều hành trung tâm, lắp ổ khóa trên máy tính, sử dụng máy trạm không có ổ đĩa để tránh sao chép thông tin, và lắp đặt thiết bị nhận dạng như vân tay, nhận diện khuôn mặt, cùng hệ thống video giám sát để kiểm soát ra vào hiệu quả.

An ninh mạng hoạt động như thế nào

An ninh mạng không chỉ phụ thuộc vào một phương pháp duy nhất mà cần đến một hệ thống rào cản đa dạng để bảo vệ doanh nghiệp một cách hiệu quả Khi một giải pháp gặp sự cố, các giải pháp khác vẫn có khả năng bảo vệ công ty và dữ liệu của bạn khỏi nhiều loại tấn công mạng khác nhau.

Các lớp an ninh mạng đảm bảo rằng thông tin quý giá mà bạn cần để điều hành doanh nghiệp luôn có sẵn và được bảo vệ khỏi các cuộc tấn công An ninh mạng đóng vai trò quan trọng trong việc bảo vệ dữ liệu và duy trì hoạt động kinh doanh hiệu quả.

Để bảo vệ doanh nghiệp khỏi các tấn công mạng từ cả bên trong lẫn bên ngoài, cần thiết lập một hệ thống an ninh hiệu quả Hệ thống này sẽ giám sát tất cả hoạt động mạng, phát hiện các hành vi vi phạm và đưa ra cảnh báo kịp thời, đồng thời thực hiện các biện pháp phản ứng thích hợp để đảm bảo an toàn cho dữ liệu và hệ thống của doanh nghiệp.

Đảm bảo tính riêng tư cho tất cả các liên lạc là rất quan trọng, bất kể thời gian và địa điểm Nhân viên có thể dễ dàng truy cập mạng từ nhà hoặc khi di chuyển, với sự cam kết rằng mọi hoạt động truyền thông của họ luôn được bảo mật và riêng tư.

Kiểm soát truy cập thông tin là việc xác định chính xác người dùng và hệ thống của họ Doanh nghiệp có thể thiết lập quy tắc riêng về quyền truy cập dữ liệu, cho phép phê duyệt hoặc từ chối dựa trên danh tính người dùng, chức năng công việc hoặc các tiêu chí kinh doanh cụ thể khác.

Công nghệ an ninh giúp tăng cường độ tin cậy cho hệ thống của bạn bằng cách ngăn chặn các tấn công đã biết và thích ứng với các mối đe dọa mới Nhờ đó, nhân viên, khách hàng và doanh nghiệp có thể yên tâm rằng dữ liệu của họ được bảo vệ an toàn.

Các kỹ thuật bảo mật mạng hiện tại đang được sử dụng phổ biến trong các mạng doanh nghiệp ở Việt Nam:

Các kỹ thuật bảo mật trong mạng doanh nghiệp

Trong bất kỳ lĩnh vực hoạt động nào, việc xây dựng một hệ thống CNTT hoàn chỉnh không thể thiếu các giải pháp an ninh bảo mật Nếu datacenter được coi là trái tim của hệ thống, thì các giải pháp an ninh bảo mật đóng vai trò là rào chắn bảo vệ trái tim đó Chúng giúp bảo vệ dữ liệu, thông tin và hệ thống của doanh nghiệp khỏi các truy cập trái phép từ bên ngoài cũng như bên trong.

Khi rời văn phòng, việc bật hệ thống cảnh báo an ninh và đóng cửa là cần thiết để bảo vệ tài sản và thiết bị Ngoài ra, việc sử dụng ngăn chứa an toàn hoặc khóa tủ để lưu trữ tài liệu kinh doanh mật cũng rất quan trọng Tương tự, mạng máy tính của bạn cũng cần được bảo vệ với mức độ an ninh tương tự để đảm bảo an toàn cho thông tin và dữ liệu.

Bảo mật là việc hạn chế khả năng lạm dụng tài nguyên và tài sản, đặc biệt trong quản lý và vận hành các hệ thống thông tin sử dụng công nghệ Việc lạm dụng tài nguyên, như thông tin di chuyển trên mạng hoặc lưu trữ trong các thiết bị, và lạm dụng tài sản, bao gồm máy tính, thiết bị mạng và phần mềm, có thể xảy ra và lan rộng nhanh chóng Do đó, không thể triệt để ngăn chặn tất cả các hành vi lạm dụng, mà cần có các biện pháp phòng ngừa thích hợp và chuẩn bị sẵn sàng để xử lý sự cố khi cần thiết.

An toàn của hệ thống thông tin là việc đảm bảo an ninh ở mức độ chấp nhận được, bắt đầu từ việc đảm bảo thông tin qua mạng truyền dữ liệu thông suốt Bên cạnh an toàn, bảo mật cũng đóng vai trò quan trọng trong việc đảm bảo bí mật nội dung thông tin Do đó, an toàn và bảo mật hệ thống thông tin không chỉ đảm bảo hoạt động lưu thông mà còn bảo vệ nội dung bí mật cho các thành phần của hệ thống ở mức độ chấp nhận được.

Các công nghệ An ninh Mạng đóng vai trò quan trọng trong việc bảo vệ thông tin kinh doanh bí mật khỏi việc đánh cắp và sử dụng sai mục đích, đồng thời ngăn chặn các cuộc tấn công bằng mã độc từ virus và sâu máy tính trên Internet Nếu không triển khai An ninh Mạng, công ty bạn sẽ đối mặt với nguy cơ xâm nhập trái phép, gián đoạn hoạt động mạng, không tuân thủ quy định và thậm chí là các hành động phạm pháp.

Trước đây, việc truy cập từ xa vào hệ thống mạng thường sử dụng phương thức Remote Access quay số qua mạng điện thoại, nhưng phương pháp này vừa tốn kém vừa không an toàn Công nghệ VPN (mạng riêng ảo) được phát triển để đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí VPN cho phép các máy tính giao tiếp qua môi trường chia sẻ như Internet, đồng thời đảm bảo tính riêng tư và bảo mật dữ liệu.

Chức năng hoạt động của hệ thống kết nối giữa các máy tính là sử dụng các gói thông tin được bao bọc bởi một header chứa thông tin định tuyến, giúp dữ liệu di chuyển từ máy gửi đến máy nhận qua môi trường mạng chia sẻ Quá trình này giống như việc truyền tải qua các đường ống riêng gọi là tunnel Để đảm bảo tính riêng tư và bảo mật, các gói tin được mã hóa, chỉ có thể giải mã bằng các khóa thích hợp, nhằm ngăn chặn việc "trộm" gói tin trong quá trình truyền tải.

 Các giải pháp sử dụng VPN:

Truy cập từ xa đáp ứng nhu cầu sử dụng dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet Chẳng hạn, người dùng có thể truy cập vào cơ sở dữ liệu, các file server, và gửi nhận email từ các máy chủ mail nội bộ của công ty.

Site To Site là giải pháp phù hợp cho các tổ chức có nhiều văn phòng chi nhánh cần trao đổi dữ liệu Chẳng hạn, một công ty muốn chia sẻ thông tin giữa hai trụ sở tại Singapore và Việt Nam có thể thiết lập một hệ thống VPN để đảm bảo kết nối an toàn và hiệu quả.

Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả

Trong một số tổ chức, việc truyền dữ liệu giữa các bộ phận cần đảm bảo tính riêng tư và ngăn chặn truy cập từ các bộ phận khác Hệ thống Intranet VPN là giải pháp hiệu quả để đáp ứng nhu cầu này, giúp bảo mật thông tin nội bộ và duy trì sự riêng tư trong quá trình trao đổi dữ liệu.

Trong môi trường kinh doanh hiện đại, việc bảo vệ dữ liệu và tài nguyên khỏi các cuộc tấn công và mã độc là ưu tiên hàng đầu Thiết bị và phần mềm cảnh báo Cisco IPS đóng vai trò quan trọng trong việc ngăn chặn xâm nhập trái phép Sử dụng phần mềm cảnh báo của Cisco IPS như một giải pháp bảo vệ, thiết bị này thực hiện kiểm tra, dò xét và ngăn chặn các kết nối nguy hiểm.

Thiết bị cảnh báo Cisco IPS là giải pháp thông minh, được thiết kế để cảnh báo trong từng tình huống cụ thể, đồng thời tích hợp hoàn hảo vào hệ sinh thái của Cisco, từ mạng chính cho đến trung tâm dữ liệu.

 Các tính năng của thiết bị IPS

Thiết bị cảnh báo Cisco IPS nhận diện được những mối nguy hiểm tiềm ẩn trước khi nó thật sự tấn công vào bên trong

Kỹ thuật của Cisco IPS được thiết kế để ngăn chặn các mã độc hại như sâu, tấn công trực tiếp, tấn công từ chối dịch vụ và các cuộc tấn công nhắm vào ứng dụng.

Xây dựng và mở rộng bảo mật mạng với giải pháp của Cisco cho phép kiểm tra và ngăn chặn các mối đe dọa trên toàn bộ mạng, bao gồm cả ứng dụng và giao thức phân hoạch địa chỉ (ARP) Kỹ thuật mở rộng của Cisco mang đến giải pháp tối ưu cho hệ thống mạng, đảm bảo an toàn và hiệu quả trong việc bảo vệ dữ liệu.

Cisco IPS cung cấp các cơ chế bảo mật linh hoạt, phù hợp với từng nhóm hoặc cá nhân tấn công Đặc biệt, với khả năng phát hiện tấn công theo kiểu ngày zero, Cisco IPS có thể học hỏi từ mạng lưới, theo dõi phản ứng của quản trị viên và tự động cập nhật các biện pháp bảo vệ mạng.

MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM SỬ DỤNG CÔNG NGHỆ

Giới thiệu chung về mạng điều khiển bằng phần mềm và công nghệ

SDN hay mạng điều khiển bằng phần mềm (Software Defined Networking)

SDN (Software-Defined Networking) là một công nghệ mạng tiên tiến dựa trên cơ chế tách biệt giữa kiểm soát luồng mạng và luồng dữ liệu Được phát triển từ nghiên cứu của Đại học Stanford và California, Berkeley, SDN sử dụng giao thức OpenFlow để định tuyến và chuyển các luồng dữ liệu riêng biệt Việc này chuyển giao quyền kiểm soát luồng sang một thành phần mạng gọi là thiết bị kiểm soát luồng (Flow Controller), cho phép quản lý luồng dữ liệu một cách lập trình Ý tưởng phát triển OpenFlow mô phỏng các giải pháp ảo hóa hiện đại trong các hệ thống như VMware, nhằm tối ưu hóa hiệu suất mạng.

Citrix… hay mở rộng kiến trúc Stacking trên các thiết bị mạng như HP IRF

Stacking và Cisco VSS có thể được áp dụng ở quy mô lớn hơn, không chỉ giới hạn trong một khối thiết bị stacking hiện tại mà còn toàn bộ hệ thống mạng Giao thức Open Flow bao gồm các thành phần chính như bộ kiểm soát luồng, thiết bị luồng mở và bảng luồng, cùng với một kết nối an ninh giữa bộ kiểm soát và tổng đài.

SDN cho phép ảo hóa các nguồn lực mạng, tạo ra các "ngăn mạng" (network slice) có thể mở rộng nhiều thành phần như đường trục mạng, bộ định tuyến và các host Khả năng kiểm soát luồng lưu lượng một cách lập trình mang lại sự linh hoạt và quyền kiểm soát lớn hơn cho người sử dụng.

Hiện nay, nhu cầu sử dụng ứng dụng của người dùng cuối ngày càng gia tăng, dẫn đến yêu cầu đa dạng về mạng kết nối Mạng cần linh hoạt để điều chỉnh nhanh chóng các thông số như độ trễ, băng thông, định tuyến và bảo mật theo yêu cầu của các ứng dụng Mạng có khả năng lập trình sẽ đáp ứng tốt những yêu cầu này, mở ra nhiều cơ hội mới cho các ứng dụng.

Tổ chức phi lợi nhuận ONF (Open Networking Foundation), được thành lập bởi các công ty lớn như Deutsche Telekom, Facebook, Google, Microsoft, Verizon và Yahoo!, đã xác định công nghệ SDN (Software-Defined Networking) là giải pháp tối ưu cho mạng hiện đại SDN là một kiến trúc linh hoạt, dễ quản lý và có hiệu suất cao, phù hợp với các ứng dụng yêu cầu băng thông lớn và tính linh hoạt Đặc biệt, trong SDN, phần điều khiển mạng được tách biệt khỏi phần chuyển tiếp, cho phép lập trình trực tiếp, mang lại nhiều lợi ích cho việc quản lý mạng.

Kiến trúc của SDN

Kiến trúc của SDN [14] gồm 3 lớp riêng biệt: lớp ứng dụng, lớp điều khiển, và lớp cơ sở hạ tầng (lớp chuyển tiếp) Trong đó:

Lớp ứng dụng là các ứng dụng kinh doanh hoạt động trên mạng, kết nối với lớp điều khiển qua API Nó cho phép lập trình và cấu hình lại mạng, điều chỉnh các tham số như độ trễ, băng thông và định tuyến thông qua lớp điều khiển.

Hình 2.1 Kiến trúc của SDN

Lớp ứng dụng là các ứng dụng kinh doanh triển khai trên mạng, kết nối với lớp điều khiển qua API Nó cung cấp khả năng lập trình và cấu hình lại mạng, cho phép điều chỉnh các tham số như độ trễ, băng thông và định tuyến thông qua lớp điều khiển.

Lớp điều khiển tập trung các bộ điều khiển, thực hiện việc quản lý cấu hình mạng dựa trên yêu cầu từ lớp ứng dụng và khả năng của mạng.

Các bộ điều khiển có thể được lập trình dưới dạng phần mềm và sử dụng các cơ chế truyền thông như OpenFlow, ONOS, ForCES, PCEP, NETCONF, SNMP, hoặc các phương thức riêng biệt để điều khiển lớp cơ sở hạ tầng.

Lớp cơ sở hạ tầng bao gồm các thiết bị mạng thực tế, cả vật lý lẫn ảo hóa, có chức năng chuyển tiếp gói tin dưới sự điều khiển của lớp điều khiển Một thiết bị mạng có khả năng hoạt động theo sự điều khiển của nhiều bộ điều khiển khác nhau, từ đó nâng cao khả năng ảo hóa của mạng.

Với kiến trúc như trên, SDN cung cấp các khả năng:

- Lớp điều khiển có thể được lập trình trực tiếp

- Mạng được điều chỉnh, thay đổi một cách nhanh chóng thông qua việc thay đổi trên lớp điều khiển

- Mạng được quản lý tập trung do phần điều khiển được tập trung trên lớp điều khiển

Cấu hình lớp cơ sở hạ tầng có thể được lập trình trực tiếp trên lớp ứng dụng và truyền đạt xuống các lớp dưới Với những tính năng mới, SDN mang lại nhiều lợi ích đáng kể cho hệ thống mạng.

SDN giúp giảm CapEx bằng cách giảm thiểu nhu cầu mua sắm phần cứng cho việc xây dựng dịch vụ và phần cứng mạng dựa trên ASIC Mô hình pay-as-you-grow cho phép người dùng chỉ trả cho những gì họ sử dụng, từ đó loại bỏ lãng phí trong việc dự phòng.

- Giảm OpEx: thông qua các phần tử mạng đã được gia tăng khả năng lập trình,

SDN (Software-Defined Networking) đơn giản hóa việc thiết kế, triển khai, quản lý và mở rộng mạng Tính năng phối hợp và dự phòng tự động giúp giảm thời gian quản lý tổng thể và hạn chế lỗi do con người, từ đó tối ưu hóa khả năng và độ tin cậy của dịch vụ mạng.

Truyền tải nhanh chóng và linh hoạt cho phép các tổ chức triển khai ứng dụng, dịch vụ và cơ sở hạ tầng một cách nhanh chóng, từ đó giúp họ nhanh chóng đạt được các mục tiêu kinh doanh.

Cho phép thay đổi giúp các tổ chức phát triển những kiểu ứng dụng, dịch vụ và mô hình kinh doanh mới, từ đó tạo ra các luồng doanh thu mới và gia tăng giá trị từ mạng.

Việc tách rời phần điều khiển khỏi phần cứng trong mạng SDN mở ra cơ hội lớn cho các nhà cung cấp thiết bị trung gian, đồng thời khiến SDN được xem như là đối thủ cạnh tranh mạnh mẽ của Cisco.

Giao thức OpenFlow

Để tách biệt phần điều khiển khỏi phần chuyển tiếp và cung cấp khả năng lập trình cho lớp điều khiển, ONF đã sử dụng giao thức OpenFlow Đây là tiêu chuẩn đầu tiên cho phép truyền thông giữa lớp điều khiển và lớp chuyển tiếp trong kiến trúc SDN OpenFlow cho phép truy cập và điều khiển mặt phẳng chuyển tiếp của các thiết bị mạng như switch và router, bao gồm cả thiết bị vật lý và ảo, giúp di chuyển phần điều khiển mạng từ các thiết bị chuyển mạch thực tế đến phần mềm điều khiển trung tâm.

2.3.1 Các đặc trưng của OpenFlow

OpenFlow cho phép các ứng dụng phần mềm bên ngoài điều khiển mặt phẳng chuyển tiếp của thiết bị mạng, tương tự như cách mà tập lệnh CPU điều khiển hệ thống máy tính.

- Giao thức OpenFlow được triển khai trên cả hai giao diện của kết nối giữa các thiết bị cơ sở hạ tầng mạng và phần mềm điều khiển SDN

OpenFlow sử dụng khái niệm “flow” để nhận diện lưu lượng mạng dựa trên các quy tắc đã được lập trình trước, có thể là tĩnh hoặc động từ phần mềm điều khiển SDN Giao thức này cho phép xác định cách thức truyền tải lưu lượng qua các thiết bị mạng dựa trên các tham số như mô hình lưu lượng, ứng dụng và tài nguyên đám mây.

OpenFlow cho phép lập trình mạng dựa trên luồng lưu lượng, cung cấp một kiến trúc SDN với khả năng điều khiển chi tiết Điều này giúp mạng có thể phản hồi nhanh chóng với sự thay đổi của ứng dụng, người dùng và mức phiên trong thời gian thực Trong khi đó, mạng định tuyến IP hiện tại không thể cung cấp mức độ kiểm soát này, vì tất cả các luồng lưu lượng giữa hai điểm cuối phải đi qua cùng một đường, bất chấp các yêu cầu khác nhau của chúng.

- Một thiết bị OpenFlow [16] bao gồm ít nhất 3 thành phần:

Hình 2.2 minh họa ví dụ về Bảng Luồng (Flow Table) trên một thiết bị, cho thấy các lệnh và gói tin được gửi giữa bộ điều khiển và thiết bị, cùng với quá trình truyền thông giữa bộ điều khiển và thiết bị.

Giao thức OpenFlow là chìa khóa cho mạng định nghĩa bằng phần mềm và là giao thức tiêu chuẩn duy nhất cho SDN, cho phép điều khiển mặt phẳng Ethernet Các SDN dựa trên OpenFlow có thể triển khai trên cả mạng vật lý và ảo hóa hiện có.

OpenFlow ngày càng được các nhà cung cấp hạ tầng hỗ trợ mạnh mẽ thông qua việc triển khai firmware đơn giản hoặc nâng cấp phần mềm Kiến trúc SDN dựa trên OpenFlow cho phép tích hợp dần dần với hạ tầng hiện có của doanh nghiệp hoặc nhà khai thác mạng, đồng thời cung cấp phương thức tích hợp dễ dàng cho các phần của mạng cần các chức năng SDN.

2.3.2 Lợi ích khi sử dụng OpenFlow

Công nghệ SDN dựa trên OpenFlow giúp nhân viên IT xử lý hiệu quả các ứng dụng yêu cầu băng thông cao và biến đổi linh hoạt, từ đó làm cho mạng lưới thích ứng nhanh chóng với nhu cầu kinh doanh thay đổi Điều này không chỉ giảm thiểu sự phức tạp trong quản lý mà còn mang lại nhiều lợi ích cho doanh nghiệp và nhà khai thác mạng thông qua kiến trúc SDN.

Phần mềm điều khiển SDN cho phép tập trung hóa điều khiển trong môi trường đa nhà cung cấp, có khả năng quản lý mọi thiết bị mạng hỗ trợ OpenFlow, bao gồm switch, router và các switch ảo.

- Giảm sự phức tạp thông qua việc tự động hóa: kiến trúc SDN trên cơ sở

OpenFlow là một framework mạnh mẽ cho quản lý mạng tự động và linh hoạt, cho phép phát triển các công cụ tự động hóa để thay thế những nhiệm vụ hiện đang được thực hiện thủ công.

Việc áp dụng OpenFlow giúp các nhà khai thác mạng có khả năng lập trình lại mạng một cách linh hoạt và nhanh chóng trong thời gian thực, từ đó đáp ứng kịp thời các nhu cầu kinh doanh và yêu cầu của người dùng khi có sự thay đổi.

Gia tăng độ tin cậy và an ninh mạng là một trong những lợi ích của việc áp dụng kiến trúc SDN dựa trên OpenFlow Nhân viên IT có khả năng định nghĩa các trạng thái cấu hình và chính sách ở mức cao, từ đó áp dụng chúng cho cơ sở hạ tầng mạng Kiến trúc này cung cấp tầm nhìn và điều khiển toàn diện, đảm bảo rằng các chính sách về kiểm soát truy cập, định hình lưu lượng, chất lượng dịch vụ (QoS) và an ninh được thực thi nhất quán trên toàn bộ hệ thống mạng, bao gồm cả văn phòng chi nhánh, cơ sở chính và trung tâm dữ liệu.

- Điều khiển mạng chi tiết hơn: mô hình điều khiển trên cơ sở flow của

OpenFlow cho phép nhân viên IT triển khai các chính sách chi tiết liên quan đến phiên, người dùng, thiết bị và ứng dụng, trong một môi trường trừu tượng hóa cao, tự động điều chỉnh một cách linh hoạt.

Kiến trúc SDN dựa trên OpenFlow cải thiện trải nghiệm người dùng bằng cách tập trung hóa điều khiển mạng và cung cấp trạng thái thông tin sẵn có cho các ứng dụng cấp cao hơn, giúp đáp ứng hiệu quả hơn các nhu cầu thay đổi của người dùng.

Ứng dụng của SDN

SDN mang lại nhiều lợi ích, có thể được triển khai trong các doanh nghiệp hoặc tại các nhà cung cấp hạ tầng và dịch vụ viễn thông, nhằm đáp ứng nhu cầu của các nhà cung cấp trong từng phân khúc thị trường.

2.4.1 Phạm vi doanh nghiệp a) Áp dụng trong mạng doanh nghiệp

Mô hình SDN với khả năng tập trung, điều khiển và dự phòng tự động giúp hội tụ dữ liệu, giọng nói và video, cho phép truy cập mọi lúc, mọi nơi Nhân viên IT có thể thực thi chính sách nhất quán trên cả hạ tầng không dây và có dây, đồng thời SDN tự động quản lý và giám sát tài nguyên mạng dựa trên hồ sơ cá nhân và yêu cầu ứng dụng Điều này không chỉ tối ưu hóa trải nghiệm người dùng mà còn đảm bảo an toàn thông tin cho mạng, đặc biệt trong môi trường Data Center (DC).

Việc ảo hóa các thực thể mạng trong kiến trúc SDN mang lại nhiều lợi ích cho trung tâm dữ liệu, bao gồm khả năng mở rộng linh hoạt, di cư tự động các máy ảo, tích hợp tốt hơn với hệ thống lưu trữ, tối ưu hóa việc sử dụng máy chủ, tiết kiệm năng lượng và cải thiện băng thông Điều này đặc biệt quan trọng trong việc áp dụng các dịch vụ đám mây.

Khi được sử dụng để hỗ trợ một môi trường đám mây riêng hoặc tích hợp,

SDN mang lại khả năng phân bổ tài nguyên mạng một cách linh hoạt, giúp nhanh chóng dự phòng các dịch vụ đám mây và thực hiện chuyển giao linh hoạt với các nhà cung cấp đám mây bên ngoài Nhờ vào các công cụ quản lý an toàn cho mạng ảo, doanh nghiệp và các đơn vị kinh doanh sẽ tăng cường niềm tin vào dịch vụ đám mây.

2.4.2 Phạm vi các nhà cung cấp hạ tầng và dịch vụ viễn thông

SDN cung cấp cho các nhà mạng và nhà cung cấp dịch vụ đám mây sự mở rộng và tự động cần thiết để triển khai mô hình IT-as-a-Service (ITaaS) Điều này được thực hiện thông qua việc đơn giản hóa triển khai các dịch vụ tùy chọn và theo yêu cầu, cũng như chuyển dời sang mô hình self-service Mô hình tập trung và điều khiển tự động của SDN hỗ trợ linh hoạt trong việc thuê tài nguyên, đảm bảo triển khai tài nguyên mạng tối ưu, giảm thiểu chi phí CapEx và OpEx, đồng thời tăng giá trị và tốc độ dịch vụ.

Thiết kế các sự kiện dựa trên hệ thống phát hiện xâm nhập trên mạng

Mạng OpenFlow (OF) là một kiến trúc mạng mới được phát triển bởi tổ chức phi lợi nhuận ONF, được nhiều nhà cung cấp dịch vụ đám mây áp dụng để xây dựng mạng trung tâm dữ liệu Điểm khác biệt chính giữa mạng OF và mạng truyền thống là việc tách biệt giữa điều khiển và dữ liệu trong quản lý mạng Phát hiện xâm nhập đóng vai trò quan trọng trong điện toán đám mây nhằm nâng cao an ninh hệ thống Mạng OF có khả năng cải thiện thời gian phản hồi của các cảnh báo thông qua việc cấu hình hiệu quả flow mạng, tạo điều kiện thuận lợi cho thiết kế hệ thống phát hiện xâm nhập.

(IDS) dựa trên mạng OF

Hình 2.3 Kịch bản của mạng OpenFlow

Thiết bị chuyển mạch trong mạng OF được điều khiển bởi một trung tâm điều khiển logic, giúp phân bổ nguồn lực và cấu hình dịch vụ một cách linh hoạt và mở rộng Bảng flow lưu trữ nhiều mục flow, ghi lại các đặc điểm của các gói dữ liệu mà chuyển mạch OF nhận được Mỗi mục flow bao gồm ba trường: tiêu đề, số lượt truy cập và sự kiện, như được minh họa trong Bảng 2.1.

Bảng 2.1 Minh họa của các trường trong flow

Header Đại diện cho ID duy nhất cho các loại gói nhận được của chuyển mạch OF

Counter Ghi lại bao nhiêu gói được nhận bởi chuyển mạch OF trong một khoảng thời gian cụ thể

Khi một gói tin mới được chuyển đến chuyển mạch OF, nó sẽ được so sánh với các mục trong bảng flow Nếu gói tin khớp với một mục trong bảng, flow sẽ được cập nhật và các sự kiện liên quan sẽ được kích hoạt Ngược lại, nếu gói tin không khớp, nó sẽ được gửi đến hệ điều hành OF qua kênh bảo mật để quyết định xem có cần thêm mục flow mới hay không Hồ sơ hoạt động trong bảng flow có thể giúp phân tích lưu lượng bất thường và phát hiện xâm nhập mạng Quan sát các biến thể của dòng nhập là phương pháp đơn giản để phát hiện xâm nhập mà không tốn nhiều tài nguyên tính toán.

Các cuộc tấn công mạng, như yêu cầu liên kết quá tải hoặc xâm nhập trái phép, có thể gây ra thiệt hại nghiêm trọng cho hệ thống điện toán đám mây Việc phát hiện sự kiện mạng bất thường là rất quan trọng để duy trì an ninh mạng Hệ thống phát hiện xâm nhập (IDS) cần phải xử lý kịp thời các sự kiện này và cảnh báo quản trị viên Mạng OF cho phép lập trình bộ điều khiển để tự động điều chỉnh cấu hình mạng, bao gồm cấu trúc liên kết và định tuyến Các dòng trong bảng flow phản ánh trạng thái của lưu lượng mạng, giúp tối ưu hóa hiệu quả hoạt động của IDS và cải thiện thời gian phản ứng của các cảnh báo.

Trong phần này, đề xuất một kiến trúc IDS dựa trên mạng OF Với kiến trúc

IDS có khả năng phát hiện các sự kiện tấn công thông qua một lượng lớn dòng lưu lượng và mục flow Kiến trúc của IDS được thiết kế phân phối, dựa trên sự kiện và phân cấp, cho phép phát hiện và báo cáo ngay lập tức các cảnh báo xâm nhập.

Hình 2.4 minh họa thiết kế kiến trúc IDS dựa trên các sự kiện hoạt động mạng OpenFlow Các khái niệm trong thiết kế này được phân phối cho kiến trúc hệ thống phối hợp, với các chức năng của các thành phần trong kiến trúc được thể hiện rõ ràng.

- Sub-Controller (Bộ điều khiển phụ): Thành phần này là một điều khiển

OpenFlow được kết nối với một hoặc nhiều thiết bị chuyển mạch trong mạng

OpenFlow là một giao thức mạng cho phép Sub-Controller thu thập dòng lưu lượng và các mục flow từ thiết bị chuyển mạch Sau đó, dữ liệu này được chuyển tiếp đến Event Bus thông qua cơ chế công bố / đăng ký, giúp tối ưu hóa việc quản lý lưu lượng mạng.

- Event Bus: Thành phần này là một cửa ngõ định tuyến dữ liệu để đưa đến Event

Processing Agent (EPA) trong Event Processing Engine hoặc Event Channel thông qua cơ chế công bố / đăng ký như đã nói

Kênh sự kiện là một thành phần quan trọng giúp đệm các sự kiện đã sẵn sàng để được xử lý bởi EPA Mục tiêu của kênh này là hỗ trợ tính toán phức tạp, đồng thời phát hiện bất thường và cảnh báo tương quan.

- Event Processing Engine: Động cơ này được cấu thành của một bộ Event

Processing Agent (EPA) là phần mềm chuyên phát hiện các cuộc tấn công mạng và đóng vai trò như bộ siêu điều khiển, phối hợp nhiệm vụ với Sub-Controller.

Mô hình quy định của EPA được xây dựng bởi Event Processing Language

EPL, như Esper, được lưu trữ trong kho lưu trữ mẫu và cho phép quản trị mạng xác định quy tắc phát hiện xâm nhập dựa trên chính sách cho EPA Một tập hợp các EPA có thể phối hợp để phát hiện xâm nhập, phân tích và cảnh báo sự kiện tương quan từ nhiều kết quả phát hiện tấn công thông qua quy tắc phát hiện xâm nhập Cách tiếp cận này nâng cao khả năng của các thành phần phát hiện xâm nhập, vượt qua giới hạn của việc chỉ theo dõi một phần nhỏ của Internet.

Hình 2.4 Kiến trúc IDS dựa trên Event - Based

CÔNG NGHỆ OPENFLOW VÀ CÁC CÔNG CỤ THỰC HIỆN

Công nghệ OpenFlow

Hiện tại, không có phương pháp thực tế nào để kiểm tra và xác minh các giao thức mạng mới trong môi trường thực tế với lưu lượng thật, dẫn đến việc nhiều ý tưởng mới từ cộng đồng nghiên cứu không được thử nghiệm OpenFlow đóng vai trò quan trọng, cho phép các nhà nghiên cứu thực hiện các thử nghiệm giao thức trên hệ thống mạng mà chúng ta sử dụng hàng ngày.

OpenFlow hoạt động dựa trên nguyên tắc của switch Ethernet, bao gồm một flow-table nội bộ và giao diện chuẩn hóa cho phép thêm hoặc xóa các flow entries trong flow-table Mục tiêu của OpenFlow là khuyến khích các nhà sản xuất thiết bị mạng tích hợp chức năng OpenFlow vào các switch của họ, nhằm thúc đẩy việc triển khai thực tế trong ngành công nghiệp mạng.

OpenFlow đang được nhiều nhà nghiên cứu và viện nghiên cứu trên toàn thế giới áp dụng rộng rãi nhờ vào những ưu điểm nổi bật của nó Công nghệ này cho phép thực hiện các thử nghiệm trên các switch khác nhau một cách đồng nhất mà không cần cấu hình riêng cho từng loại switch, đồng thời hoạt động với tốc độ line-rate và mật độ port lớn Điều này cũng giúp các nhà sản xuất bảo mật thiết kế của các switch Bên cạnh việc hỗ trợ các nhà nghiên cứu đánh giá ý tưởng trong môi trường lưu lượng thực tế, OpenFlow còn là công cụ hữu ích cho việc triển khai các testbed quy mô lớn như GENI (Global Environment for Network Innovations).

Environment for Network Innovation, network/testbed gồm các tài nguyên chung cho các nhà nghiên cứu, chia sẻ tài nguyên bằng phương pháp ảo hóa- virtulization

GENI là một kiến trúc mạng có khả năng lập trình, cho phép các phần tử switch/router xử lý nhiều gói dữ liệu đồng thời mà không gây ảnh hưởng lẫn nhau Công nghệ OpenFlow hỗ trợ việc lập trình các switch/router, giúp tối ưu hóa các thử nghiệm trên mạng.

Hình 3.1 và Hình 3.2 cho thấy sự khác nhau trong cấu trúc của switch truyền thống và switch hỗ trợ công nghệ OpenFlow

Hình 3.1 Cấu trúc của switch thông thường

Hình 3.2 Cấu trúc switch hỗ trợ công nghệ OpenFlow

Hình 3.3 OpenFlow switch lý tưởng

OpenFlow cung cấp một giao thức mở để lập trình flow-table trong các switch/router khác nhau.Người quản trị mạng có thể chia traffic thanh các luồng

Mạng thông thường và luồng nghiên cứu cho phép các nhà nghiên cứu thử nghiệm các giao thức định tuyến, mô hình bảo mật và các phương pháp đánh địa chỉ mới, bao gồm cả việc thay thế IP Hình 3.3 minh họa cách một switch OpenFlow giao tiếp với một controller thông qua kênh kết nối bảo mật SSL, sử dụng giao thức OpenFlow để đảm bảo an toàn cho kết nối này.

OpenFlow là một giao thức mở và chuẩn hóa cho phép giao tiếp giữa controller và switch thông qua việc truyền lệnh và packet Mỗi switch OpenFlow bao gồm một flow-table với các flow-entry, trong đó mỗi flow-entry chứa một hoặc nhiều action tương ứng Khi switch nhận được flow phù hợp với mô tả trong flow-entry, nó sẽ thực hiện các action đã định Các action trong chuẩn OpenFlow 1.0 bao gồm chuyển tiếp gói tin đến controller, hủy gói tin, thay đổi các trường trong gói tin, và chuyển gói tin đến một hoặc nhiều cổng xác định của switch.

Bảng 3.1 thể hiện các thành phần của một flow table entry, bao gồm trường tiêu đề

(header field), counter chứa các thông số thống kê sẽ nói chi tiết ở chương 4 và trường action

The header fields in an OpenFlow switch of "Type 0" consist of 10 parameters, as outlined in Table 3.2 A TCP flow can be identified by all 10 parameters, while an IP flow can be defined without including transport port addresses.

Mỗi trường tiêu đề có thể sử dụng ký tự “wildcard” (*) để cho phép định nghĩa tổng hợp nhiều flow, chẳng hạn như các flow chỉ được xác định bởi trường.

VLAN ID sẽ áp dụng cho tất cả lưu lượng của một VLAN cụ thể

Bảng 3.2 Trường tiêu đề trong OpenFlow switch

SMA DMA Type SA DA Prot Src Dst

Trường tiêu đề bao gồm một bộ 10 tham số sau đây:

- Địa chỉ MAC nguồn (SMA)

- Địa chỉ MAC đích (DMA)

- Địa chỉ IP đích (SA)

- Địa chỉ IP nguồn (DA)

- Cổng nguồn TCP/UDP (Src)

- Cổng đích TCP/UDP (Dst)

Kênh bảo mật (secure channel):

Giao diện OpenFlow kết nối các switch đến controller, cho phép controller cấu hình và quản lý các switch, nhận sự kiện từ chúng, cũng như gửi lệnh và gói tin Mặc dù các giao diện được thực hiện riêng biệt, tất cả bản tin gửi qua kênh bảo mật phải tuân theo định dạng của giao thức OpenFlow.

Giao thức OpenFlow hỗ trợ 3 loại bản tin sau đây:

Controller to Switch Message là loại tin nhắn được tạo ra bởi Controller để quản lý và kiểm tra trạng thái của OpenFlow Switch một cách trực tiếp Tin nhắn này có thể không cần phản hồi từ Switch, bao gồm nhiều loại thông điệp khác nhau.

- Features Message : Khi Transport Layer Security (TLS) được thành lập,

Controller sẽ gửi tin nhắn này đến Switch Switch phải gửi phản hồi xác định khả năng hỗ trợ của nó tới Controller

- Configuaration Message : Controller có khả năng thiếp lập và cấu hình các tham số của Switch Swicth sẽ phản hồi 1 truy vấn từ Controller

- Modify-State Message : thông điệp này nhằm quản lý trạng thái của Switch, thêm hoặc xóa các flow-entry trong flow-table

- Read-State Message : Giúp Controller thu thập số liệu thống kê từ các flow- table, ports, các flow-entry riêng lẻ

- Send Packet Message : Đưa các gói ra một cổng xác định của Switch

- Barrier Message : Để đảm bảo các tin nhắn phụ thuộc đã được đáp ứng hoặc để nhận thông báo cho các hoạt động đã hoàn thành

 Asynchronous Message: được bắt đầu bởi Switch, dùng để cập nhật các sự kiện trong mạng và trạng thái của Switch cho Controller:

- Packet - in Message :Với các gói mà không có entry nào phù hợp, Switch sẽ gửi tin nhắn này tới Controller

- Flow - Removed Message :Khi 1 flow-entry đuọc xóa khỏi Flow-table

- Port - Status Message : thay đổi trạng thái cấu hình của các port

- Error Message : Switch thông báo cho Controller các vấn lỗi có thể xảy ra trong quá trình hoạt động

 Symmetic Message: được gửi đi hoặc do Switch, hoặc do Controller mà không cần có yêu cầu:

- Hell : được trao đổi giữa Controller và Switch khi 1 kết nối được khởi động

- Echo Request/Reply: có thể sử dụng để chỉ ra độ trễ, băng thông hoặc khả năng của một kết nối Controller – Switch

- Vendor: cung cấp các tiêu chuẩn cho Switch để đáp ứng các chức năng bổ sung trong các thông điệp OpenFlow

Giao thức OpenFlow cung cấp một chuẩn mở cho việc giao tiếp giữa bộ điều khiển và switch, cho phép định nghĩa các entry trong Flow-table từ xa thông qua controller Nhờ đó, các nhà nghiên cứu không cần phải lập trình từng switch một cách riêng lẻ.

Bộ điều khiển NOX

Bộ điều khiển NOX [11] là thành phần có trách nhiệm quản lý các OpenFlow

Switch, có thể thêm, sửa, hay xóa bỏ các flow-entry trong flow-table của Switch

Controller là một ứng dụng hoạt động trên PC hoặc một thiết bị tinh vi, có khả năng linh hoạt kiểm soát mạng lưới và quyết định cách thức xử lý các luồng dữ liệu.

Các controller dùng trong mạng OpenFlow gồm có: bộ điều khiển mặc định,

NOX, SNAC (giao diện web dùng quản lý mạng OpenFlow), Beacon Tuy nhiên controller chính và đáng chú ý nhất là NOX Controller (Bộ điều khiển NOX) [13]

NOX là một bộ điều khiển OpenFlow mã nguồn mở, được thiết kế để tạo nền tảng cho việc phát triển phần mềm quản lý mạng như ứng dụng routing và firewall bằng ngôn ngữ C++ hoặc Python Mặc dù vẫn đang trong giai đoạn phát triển, NOX đã được áp dụng trong một số mạng lớn.

NOX hỗ trợ mạng doanh nghiệp lớn với hàng trăm switch và hàng ngàn host, cũng như mạng gia đình chỉ với một switch đơn giản NOX hoạt động trên phần cứng PC thông thường, cung cấp môi trường phần mềm cho phép điều khiển mạng lớn với hiệu suất cao.

3.2.2 Chức năng và phương thức hoạt động của NOX

Bộ điều khiển NOX cung cấp các chức năng sau:

 Các chức năng quản lý, hiển thị, điều khiển truy nhập trên các switch giá rẻ

 Một giao diện cho phép quản lý các switch có tốc độ line speed.Các nhà phát triển có thể ghép thêm phần mềm điều khiển của riêng họ

Mô hình lập trình tập trung cho toàn bộ mạng cho phép một chương trình điều khiển việc chuyển mạch của tất cả các switch trong mạng, từ đó đơn giản hóa quá trình phát triển chương trình so với mô hình phân tán truyền thống.

3.2.3 Phương thức hoạt động của NOX:

 NOX chạy riêng rẽ trên một máy và quản lý việc chuyển tiếp các bản tin tại nhiều chuyển mạch khác nhau

NOX cung cấp giao diện lập trình tiện lợi cho các nhà phát triển, giúp họ dễ dàng truy xuất thông tin về sự kiện trong mạng, can thiệp vào lưu lượng, điều khiển quyết định chuyển tiếp của switch và tạo ra lưu lượng mạng.

 Khi có flow mới xuất hiện trọng mạng, các gói đầu tiên sẽ được gửi đến

Bộ điều khiển NOX cho phép quyết định thời điểm chuyển tiếp các gói dữ liệu trong mạng, thu thập thông tin thống kê, chỉnh sửa gói trong luồng và xem thêm các gói khác trong cùng luồng để thu thập thêm thông tin.

Hình 3.5 Mạng OpenFlow switch với NOX controller

Hình 3.5 mô tả cấu trúc mạng với các switch OpenFlow và bộ điều khiển NOX, trong đó phần mềm NOX hoạt động trên một PC để quản lý bảng định tuyến của nhiều switch Mạng bao gồm nhiều switch OpenFlow và các máy chủ kết nối với nhau NOX là một nền tảng cho phép điều khiển mạng thông qua các thành phần NOX, mỗi thành phần đảm nhiệm một chức năng riêng biệt Nhiều thành phần NOX có thể hoạt động đồng thời với các chức năng điều khiển khác nhau, nâng cao hiệu quả quản lý mạng Các ứng dụng của bộ điều khiển NOX có khả năng kết nối với sự kiện mạng, can thiệp vào lưu lượng, điều chỉnh định tuyến của các switch và tạo ra lưu lượng mạng.

Các thành phần và các sự kiện của NOX

Các thành phần của NOX bao gồm[11]:

 Core apps: cung cấp chức năng cho các ứng dụng mạng và các dịch vụ web.Thành phần Core apps được đặt tại thư mục: src/nox/coreapps/

 Network apps: các ứng dụng để quản lý mạng

 Discovery: theo dõi các liên kết giữa các thiết bị chuyển mạchđiều khiển

 Topology: cung cấp một bản ghi trong bộ nhớ của tất cả các liên kết hiện lên trong mạng

 Authenticator: theo dõi vị trí của máy chủ và thiết bị chuyển mạch trên mạng

 Routing:là thành phần chịu trách nhiệm tính toán đường đi

 Monitoring: là thành phần cho phép thống kê các thông số của mạng như packet loss, số byte nhận/gửi qua từng port…

Thành phần Network apps được đặt tại thư mục: src/nox/netapps/

 Web apps: Các ứng dụng web trong NOX được sử dụng để quản lý NOX thông qua dịch vụ web

 Webservice: cung cấp giao diện web dịch vụ cho các ứng dụng NOX

 Webserver: là ứng dụng lưu trữ các giao diện điều khiển

Thành phần web được đặt tại thư mục: src/nox/webapps/

Chúng ta có thể mở rộng các chức năng của NOX để phục vụ nhu cầu cá nhân hoặc chia sẻ với cộng đồng Các nhà phát triển khuyến khích sự hợp tác, khuyến khích mọi người cùng tham gia phát triển và đóng góp để hoàn thiện các phiên bản NOX trong tương lai.

Các sự kiện của NOX:

Có thể nói, các thành phần NOX là một tập hợp để xử lý các sự kiện của

NOX (NOX Events) đề cập đến tất cả các sự kiện diễn ra trong NOX hoặc trên mạng, liên quan đến các thành phần của NOX.

NOX bao gồm một số sự kiện được tích hợp sẵn, ánh xạ với các bản tin

OpenFlow nhận được tại NOX Controller:

Datapath_join_event: xuất hiện khi có một switch được phát hiện trong mạng

Datapath_leave_event: xuất hiện khi có một switch rời khỏi mạng

Packet_in_event: được gọi cho mỗi gói tin nhận bởi NOX Sự kiện này bao gồm: ID của switch, cổng đến của gói tin, bộ đệm gói tin

Flow_mod_event: khi một dòng lưu lượng được thêm vào hoặc sửa đổi bởi

Flow_removed_event: khi một dòng lưu lượng được quá hạn hoặc bị xóa bỏ

Port_status_event: chỉ ra sự thay đổi trạng thái của các cổng (disable/enable, tốc độ, tên cổng)

Khi một switch nhận được thông điệp Port_stats để đáp ứng yêu cầu Port_starts_requests, thông tin về các giá trị truy cập hiện tại cho một cổng nhất định như rx, tx và lỗi sẽ được tăng lên.

Các thành phần có khả năng tự xác định và chuyển giao các sự kiện cấp cao hơn cho các thành phần khác để xử lý.

Host_event: khi một host tham gia hoặc rời mạng (thường do time out) sự kiện này sẽ được tăng lên

Flow_in_event: khi một Packet_in_event được nhận từ mạng, Flow_in_event sau đó được xử lý bởi ứng dụng Routing

Link_event: khi một link được khám phá hay thay đổi trong mạng

Bên cạnh đó NOX còn hỗ trợ giao diện đồ họa dễ dàng sử dụng

Hình 3.6 Giao diện đồ họa của NOX Controller

XÂY DỰNG HỆ THỐNG THỬ NGHIỆM SỬ DỤNG CÔNG NGHỆ

Giới thiệu

Trong những thập kỷ qua, công nghệ thông tin và truyền thông đã phát triển mạnh mẽ, đặc biệt là các trang mạng và ứng dụng, mang lại nhiều tiện ích cho người dùng như tìm kiếm thông tin, giao dịch cá nhân và kinh doanh Tuy nhiên, sự phát triển này cũng đặt ra thách thức lớn về an toàn và an ninh thông tin, trong đó các cuộc tấn công từ chối dịch vụ đã trở thành mối nguy hiểm chưa được giải quyết, gây cản trở hoạt động của mạng máy tính, mạng viễn thông và Internet.

Trong những năm qua, nhiều trang mạng của Chính phủ, báo điện tử và doanh nghiệp thương mại điện tử tại Việt Nam đã phải đối mặt với các cuộc tấn công từ chối dịch vụ, dẫn đến thiệt hại nghiêm trọng về tài sản và uy tín Công tác phòng, chống tội phạm mạng vẫn còn nhiều bất cập, mặc dù lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao đã được thành lập để chuyên trách trong lĩnh vực này Họ có nhiệm vụ đấu tranh chống lại các hành vi gây rối loạn hoạt động của mạng máy tính và viễn thông.

Internet và các thiết bị số đang phải đối mặt với hành vi tấn công từ chối dịch vụ Để nâng cao hiệu quả trong công tác phòng, chống loại tội phạm này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cần có nhận thức đầy đủ về các đặc điểm và thủ đoạn của tấn công từ chối dịch vụ.

Tấn công từ chối dịch vụ phân tán (DDoS) đã trở thành một trong những vấn đề bảo mật Internet nghiêm trọng trong thập kỷ qua, đặc biệt là đối với các máy chủ và trang web công cộng Mặc dù cơ chế DDoS đã được hiểu rõ, việc phát hiện các cuộc tấn công này vẫn là một thách thức lớn do sự tương đồng giữa lưu lượng dữ liệu bình thường và các gói tin bị mất hoặc bị xâm nhập Bài viết này giới thiệu một phương pháp đơn giản để phát hiện tấn công DDoS dựa trên các đặc điểm của lưu lượng truyền thông, với chi phí khai thác thông tin thấp hơn so với các phương pháp truyền thống.

NOX cung cấp giao diện chương trình giúp xử lý thông tin chuyển đổi hiệu quả Một ưu điểm nổi bật của phương pháp này là khả năng phát hiện nhanh chóng cùng với tỷ lệ báo động sai rất thấp, đạt được nhờ phân tích lưu lượng sử dụng Self.

Phát hiện các tấn công từ chối dịch vụ (DDoS) là một thách thức lớn đối với an ninh Internet hiện nay Tấn công DDoS khai thác sự bất đối xứng giữa lượng tài nguyên khổng lồ trên Internet và khả năng hạn chế của máy chủ nạn nhân trong việc xử lý số lượng lớn yêu cầu giả mạo Hệ quả là, các yêu cầu hợp pháp không được xử lý do tài nguyên hệ thống đã bị chiếm dụng, dẫn đến việc nạn nhân bị loại khỏi mạng Internet Loại tấn công này ngày càng dễ thực hiện nhờ vào sự phát triển của các công cụ thân thiện với người dùng.

Stacheldraht là công cụ cho phép ngay cả những người dùng thiếu kinh nghiệm trong mạng máy tính thực hiện các cuộc tấn công lớn vào mục tiêu Việc sử dụng giao thức Internet (IP) giả mạo khiến cho việc theo dõi các cuộc tấn công trở nên khó khăn Gần đây, trang web Twitter đã trở thành nạn nhân của một cuộc tấn công DDoS, dẫn đến việc dịch vụ bị tê liệt trong nhiều giờ.

Để phát hiện thành công một cuộc tấn công DDoS, chúng ta phải đối mặt với nhiều thách thức Thách thức đầu tiên là việc các trường tiêu đề gói tin bị sửa đổi, khiến cho việc phân biệt giữa các gói tin hợp pháp và gói tin tấn công trở nên khó khăn Thách thức thứ hai là số lượng lớn gói dữ liệu cần phân tích, làm cho quá trình phát hiện trở nên chậm chạp Để giải quyết những vấn đề này, bài viết đề xuất một phương pháp đơn giản dựa trên các tính năng lưu lượng trao đổi, được triển khai trong mạng cơ bản của NOX với sự hỗ trợ của chuyển mạch OpenFlow (OF).

Bảng flow cung cấp thống kê chi tiết về các luồng hoạt động, giúp truy cập thông tin cần thiết một cách hiệu quả thông qua bộ điều khiển NOX Thông tin này sau đó được xử lý bởi một cơ chế thông minh nhằm phát hiện các cuộc tấn công.

Các phương pháp phát hiện tấn công DDOS trong mạng máy tính của

Một số phương pháp dựa trên việc phát hiện các cuộc tấn công về truyền dữ liệu đã được đề xuất

4.2.1 Phương pháp bộ dữ liệu KDD-9

Phương pháp bộ dữ liệu KDD-99 trước đây sử dụng năm tính năng và một bộ lọc Bloom, trong đó gói tin chỉ được chuyển đến nếu máy chủ nguồn thuộc danh sách trắng Tuy nhiên, bất lợi của phương pháp này là việc triển khai trên phần cứng (thiết bị chuyển mạch) gây khó khăn cho việc cập nhật trong tương lai Chức năng phát hiện sử dụng thông tin lưu lượng để tạo ra giá trị ngưỡng nhằm mô tả trạng thái mạng là bình thường hay bất thường Giải pháp này bao gồm một máy phát lưu lượng tích tụ các flow và lưu trữ chúng trong cơ sở dữ liệu, với flow được xây dựng từ các gói tin thu thập được từ một điểm đường ống thăm dò Tuy nhiên, các bước tiền xử lý làm tăng chi phí của toàn bộ quá trình.

4.2.2 Phương pháp dùng Self Organizing Maps

Cơ chế thông minh được đề cập sử dụng mạng lưới tự tổ chức Self Organizing Maps (SOM) để giám sát và phân loại luồng giao thông mạng, xác định liệu chúng là bình thường hay bất thường, từ đó phát hiện các cuộc tấn công tiềm ẩn SOM sử dụng các số liệu thống kê về lưu thông làm tham số cho việc tính toán, và các nghiên cứu trước đây đã áp dụng kỹ thuật này để phát hiện lưu lượng truy cập bất thường Để nâng cao độ chính xác trong phát hiện, một số biến thể của SOM đã được đề xuất.

SOM đã được áp dụng để mở rộng mạng lưới tế bào thần kinh nhân tạo lên hàng chục ngàn, trong khi một kỹ thuật hệ số quan hệ màu xám được sử dụng để tối ưu hóa quá trình điều chỉnh trọng lượng của các tế bào thần kinh tại vùng lân cận của mỗi nút Các nghiên cứu này đều tập trung vào việc phân loại lưu lượng mạng, bình thường hoặc bất thường, dựa trên thông tin kết nối và thường đánh giá kết quả phân loại qua bộ dữ liệu KDD-99 Để trích xuất các tính năng từ một đường truyền thực tế, cần tiến hành xử lý trước khi các gói tin được gửi đến các nạn nhân khác Kết quả được ghi lại trong các tập tin giao tin mạng, được tạo ra bởi ứng dụng tcpdump, vào hồ sơ kết nối Trong tình huống xấu nhất, kỹ thuật này có thể dẫn đến chi phí rất cao do tấn công DDoS với lưu lượng gói tin lớn.

Phương pháp tiếp cận của giải pháp này khác biệt so với các giải pháp trước đây ở một số khía cạnh quan trọng Đầu tiên, các tính năng phát hiện tấn công được đề xuất với chi phí thấp, giúp tiết kiệm nguồn lực Thứ hai, cơ chế phát hiện có thể được cập nhật dễ dàng để nhận diện các loại tấn công mới hoặc thay đổi kỹ thuật phân loại Thứ ba, nền tảng NOX cho phép theo dõi nhiều hơn một chuyển đổi và nhanh chóng thêm hoặc loại bỏ các thiết bị chuyển mạch trong vòng lặp phát hiện Cuối cùng, kết quả thực nghiệm cho thấy phương pháp tiếp cận này, thông qua SOM, rất hiệu quả trong việc phát hiện tấn công.

NOX / OpenFlow và SOM dùng trong bảo mật mạng thông tin trong

Mạng điều khiển bằng phần mềm (SDN) là một công nghệ mới cho phép kiểm soát chuyển đổi phần cứng thông qua một phương tiện bên ngoài, tách rời bộ phận kiểm soát Bộ phận điều khiển của SDN bao gồm ba thành phần chính: giao thức OpenFlow, hệ điều hành mạng điều khiển bằng phần mềm, và các ứng dụng mạng hoạt động trên phần đầu hệ thống điều hành mạng.

Giao thức OpenFlow (OF) cung cấp giao diện chung cho việc kiểm soát cách thức chuyển tiếp các gói tin thông qua bảng flow dữ liệu nội bộ, bao gồm cấu hình và số liệu thống kê Một flow được định nghĩa là nhóm các gói tin được truyền trong thời gian ngắn và có các đặc điểm chung.

Mỗi dòng số liệu thống kê trong bảng flow bao gồm ba giá trị chính: số lượng gói tin nhận được, tổng số byte nhận được, và thời gian dành cho flow hiện tại Nếu một mục flow trên chuyển mạch không nhận được gói dữ liệu mới trong một khoảng thời gian nhất định, hệ điều hành mạng sẽ tự động xóa mục đó khỏi bảng flow.

Hệ điều hành mạng cung cấp một đồng hồ chung và bộ kiểm soát cho mạng lưới từ góc độ gói tin Nó bao gồm một giao diện cho phép phát triển ứng dụng nhằm thu thập thông tin hoặc quản lý tài nguyên mạng NOX là một hệ điều hành mạng toàn diện, luôn được cập nhật và sử dụng giao thức OpenFlow để truy cập dữ liệu truyền.

Hệ điều hành mạng NOX tương tác với thiết bị chuyển mạch để yêu cầu thông tin và gửi hướng dẫn nhằm thêm hoặc loại bỏ các flow trong bảng flow của chuyển mạch Hình 4.1 minh họa hoạt động và cơ chế của NOX.

Hình 4.1 Hoạt động của NOX / OpenFlow

Trong cấu hình này, khi một gói tin mới đến qua các cổng chuyển mạch, nó sẽ được so sánh với tất cả các mục flow dựa trên các trường đã chỉ định Nếu gói tin phù hợp với một mục có sẵn trong bảng flow của chuyển mạch, bộ đếm sẽ được cập nhật và các tác vụ liên quan sẽ được thực hiện Ngược lại, nếu không có sự phù hợp, gói tin sẽ được gửi tới bộ điều khiển NOX qua một kênh an toàn, và những gói tin này được gọi là flow khởi xướng.

Hình 4.2 Các trường tiêu đề flow

NOX quyết định kết hợp các hoạt động của các flow khởi xướng thông qua các ứng dụng của nó, đồng thời thêm một mục mới vào quy trình.

Bảng flow cung cấp thông tin quan trọng, cho phép áp dụng các hành động tương tự cho tất cả các gói được chuyển đến chuyển mạch với các tính năng giống nhau Chi tiết về các loại hành động có thể được thực hiện tại chuyển mạch sẽ được cung cấp để người dùng dễ dàng tham khảo.

Self Organizing Maps (SOM) là một loại mạng thần kinh nhân tạo, chuyển đổi dữ liệu n chiều thành bản đồ hoặc lưới 1-2 chiều Quá trình này diễn ra theo thứ tự topo, giúp mô hình hóa dữ liệu một cách hiệu quả.

Khớp thần kinh hoặc vector trọng lượng là các tính năng thống kê tương tự được thu thập trong khu vực gần nhau trong lưới Quá trình này có thể được phân loại bởi sự cạnh tranh giữa các tế bào thần kinh để được đặt tại lớp ra của mạng lưới tế bào thần kinh, tuy nhiên chỉ có một tế bào được chọn.

Các mạng tế bào thần kinh hoạt động mà không cần giám sát, vì chúng chỉ xử lý các mẫu đầu vào Sau khi dữ liệu được cung cấp lần đầu, chúng sẽ điều chỉnh và thay đổi dựa trên dữ liệu mới tiếp theo.

Hình 4.3 Ví dụ về một bản đồ SOM

Sau đây là tóm tắt các bước chính hoạt động của thuật toán SOM

1) Khởi tạo: lúc bắt đầu của quá trình tất cả các vector tế bào thần kinh phải có trọng lượng khớp thần kinh của chúng được tạo ngẫu nhiên Mỗi vector này phải có cùng kích thước của không gian mẫu được nhập

2) Lấy mẫu: một mẫu duy nhất x được chọn từ mục không gian mô hình, và cho vào lưới tế bào thần kinh

3) Cạnh tranh: dựa trên tiêu chuấn khoảng cách Euclide tối thiểu tế bào thần kinh i

Trong đó l là số lượng tế bào thần kinh trong lưới

4) Đáp ứng Synaptic: sau khi tìm thấy các tế bào thần kinh chiến thắng, tất cả trọng lượng khớp thần kinh của mỗi vector tế bào thần kinh được điều chỉnh: j j j

Trong quá trình tìm kiếm tế bào thần kinh j, thời gian t và tốc độ giảm dần η(t) theo thời gian đóng vai trò quan trọng, trong khi các hàm lân cận Θj(t) xác định khoảng cách tương đối giữa tế bào thần kinh j và tế bào thần kinh chiến thắng.

5) Lặp lại các bước 2-4 cho đến khi không có thay đổi đáng kể xảy ra trong các bản đồ topo SOM là một cách thích hợp để phân loại lưu lượng mạng (bình thường hay bị tấn công), vì thẩm quyền của nó trong việc nhận ra các mẫu ngay cả với tỷ lệ cao của các tín hiệu dữ liệu gây nhiễu Hơn nữa, nó có thể tìm thấy các mối quan hệ tiềm ẩn của dữ liệu và các phân đoạn trong các mục trống Trong đó các mục trống gồm các flow, do đó ta có thể phát hiện các cuộc tấn công đó thay vì chỉ bằng thông báo các tiêu đề của gói kiểm tra thì sẽ rất khó để tìm ra.

Phương pháp phát hiện tấn công DDoS dùng SOM

Phương pháp sử dụng SOM để phát hiện tấn công DDoS bao gồm việc đăng ký các chuyển mạch NOX nhằm giám sát mạng thông tin trong khoảng thời gian xác định Trong thời gian này, các tính năng quan trọng được trích xuất từ các mục flow của tất cả thiết bị chuyển mạch Mỗi mẫu dữ liệu sau đó được đưa vào một module phân loại, dựa trên vị trí không gian của các tế bào thần kinh chiến thắng trong bản đồ topo, để xác định xem lưu lượng truy cập đó là bình thường hay đã bị tấn công.

Phương pháp này bao gồm ba phần được tích hợp trong vòng lặp phát hiện của bộ điều khiển NOX, như thể hiện trong hình 4.4 Các mô-đun phát hiện trong vòng lặp sẽ được mô tả chi tiết dưới đây.

Hình 4.4 Hoạt động của vòng lặp phát hiện

1) Các mô-đun dòng được chọn (Flow Collector) được lấy định kỳ trong các mục flow từ tất cả các Bảng flow của chuyển mạch Các yêu cầu lựa chọn như vậy, cũng như đáp ứng tương ứng của chúng, được truyền thông qua một kênh an toàn, tức là một kênh được phân lập từ các máy chủ kết nối với các thiết bị chuyển mạch

2) Các module tính năng Extractor (Feature Extractor) nhận được các dòng đã thu được, chọn lọc các tính năng quan trọng đối với công việc phát hiện các tấn công

DDoS, và tập hợp chúng trong 6 bộ dữ liệu đã được thông qua để phân loại

3) Module Classifier phân loại cho một dạng 6-tuple tương ứng với một tấn công

DDoS hoặc để phân luồng các flow Trong công việc này, ta sử dụng phương pháp

4.4.1 Thu thập các flow sử dụng NOX / OpenFlow Đầu tiên, một chuyển mạch OF cần phải được chứng thực bằng bộ điều khiển NOX bằng cách tạo một ID cho nó Chỉ sau khi đã hoàn thành việc chứng thực thì tất cả các host kết nối đến chuyển mạch đó mới được phép trao đổi các gói tin Mỗi gói được đưa đến trong một chuyển mạch OF có tiêu đề phù hợp với các mục flow trong bảng lưu lượng của chuyển mạch Trong trường hợp một số mục phù hợp hoàn toàn với tiêu đề của gói, số liệu thống kê của nó sẽ được cập nhật (ví dụ, số byte và các gói dữ liệu được tăng lên) Ngược lại, nếu không có mục flow nào (trong Bảng flow của chuyển mạch) phù hợp với tiêu đề của gói thì mục này sẽ được chuyển tiếp đến bộ điều khiển Đến lượt nó, bộ điều khiển có thể thêm, theo chính sách được xác định, một mục flow mới đến Bảng flow của mỗi chuyển mạch theo yêu cầu đã đề ra Như vậy, lưu lượng truy cập được tạo ra bởi tất cả các host kết nối với một chuyển mạch OF tạo ra một Bảng flow của chuyển mạch đang nói đến ở đây

Tập hợp các mục flow từ chuyển mạch OF được hình thành theo khoảng thời gian định trước bởi bộ điều khiển, từ đó trích xuất các tính năng quan trọng để phân loại lưu lượng truy cập thành bình thường hoặc có dấu hiệu tấn công Khi các mẫu từ tất cả thiết bị chuyển mạch OF được xác thực bởi NOX, các ID chuyển mạch sẽ hỗ trợ các mô-đun phân loại xác định các thiết bị chuyển mạch OF nào bị nhận diện tấn công DDoS.

Cài đặt khoảng thời gian thu thập các mục flow là yếu tố quan trọng trong việc phát hiện tấn công Nếu các mục flow được thu thập không liên tục, sẽ gây ra thời gian trễ trong việc phát hiện, làm giảm hiệu quả của cơ chế Ngược lại, nếu khoảng thời gian quá ngắn, số lượng gói tin flow yêu cầu sẽ tăng, dẫn đến chi phí cao hơn cho cơ chế phát hiện.

Theo mặc định, mọi chuyển mạch OpenFlow đăng ký tại NOX sẽ tự động được đưa vào các vòng lặp phát hiện Tuy nhiên, mạng lưới quản trị có khả năng giới hạn tập hợp mẫu cho những thiết bị chuyển mạch quan trọng nhất.

Khi NOX quản lý thông tin thiết bị chuyển mạch mạng một cách tập trung, người dùng có thể theo dõi và phân tích lưu lượng truy cập của các thiết bị này từ góc độ tấn công DDoS Phân tích được thực hiện bởi bộ điều khiển, và khi một bộ 6-tuple được phân loại theo SOM phát hiện cuộc tấn công, cảnh báo sẽ được gửi ngay lập tức cho người quản trị mạng.

4.4.2 Lựa chọn các tính năng của mạng để phát hiện tấn công DDoS

Trong nghiên cứu này, chúng tôi sử dụng bốn tính năng chính là APf, PPf, GSf, và GDP để xây dựng một 6-tuple phục vụ cho phương pháp phân tích Hai tính năng bổ sung, ABf và ADf, được lựa chọn từ những yếu tố có khả năng ảnh hưởng lớn đến việc xác định xem lưu lượng giao thông là bình thường hay là một cuộc tấn công Dưới đây là mô tả chi tiết về từng trường trong 6-tuple này.

1) Các gói tin trung bình trong mỗi dòng - Average of Packets per flow (APf): Một trong những tính năng chính của các cuộc tấn công DDoS là nguồn IP giả mạo, khiến cho nhiệm vụ truy tìm nguồn gốc của cuộc tấn công rất khó khăn Một lưu ý là nếu các flow có số lượng gói nhỏ khoảng 3 gói dữ liệu trên một flow thì đó là một cuộc tấn công Vì lưu lượng bình thường thường sẽ có số lượng gói tin cao hơn, mới cần tính toán giá trị trung bình Trước khi tính toán giá trị này, ta đặt các dòng theo thứ tự tăng dần dựa trên số lượng các gói dữ liệu trên một flow Công thức 4.3 được sử dụng để tính toán giá trị trung bình, trong đó X là số gói dữ liệu trên flow, và n là số lượng các flow

2) Các Byte Trung bình trên mỗi dòng - Average of Bytes per flow (ABf): Một đặc thù của các cuộc tấn công DDoS là kích thước tải trọng của chúng, thường là rất nhỏ để tăng tính hiệu quả của loại tấn công này Cho ví dụ, trong các cuộc tấn công

Gói TCP dài 120 byte được gửi đến nạn nhân, trong khi các tính năng ABf được tính toán như một giá trị trung bình theo công thức 4.3, với X đại diện cho số byte.

3) Thời gian trung bình cho mỗi dòng - Average of Duration per flow (ADf): Tương tự, ở đây đề xuất việc sử dụng một giá trị trung bình của thời gian giành cho một flow trong Bảng các flow Tính năng này làm giảm lỗi khi có một số lượng nhỏ các gói tin trao đổi giữa các ứng dụng Công thức 4.3 cũng được sử dụng trong tính toán này nhưng bây giờ X là thời gian của một dòng trong chuyển đổi và n số của flow

4) Tỷ lệ các cặp flow - Percentage of Pair-flows (PPf): Tính năng này cho phép kiểm tra xem có bao nhiêu cặp flow xảy ra tại luồng flow trong một khoảng thời gian nhất định Ví dụ, với bất kỳ hai cặp dòng, chẳng hạn như luồng 1 và luồng 3, các điều kiện sau đây đã được kiểm tra để xác minh các dòng này có tạo thành một cặp dòng hay không

• Các IP nguồn của dòng 1 phải bằng các IP đích của dòng 3;

• Các IP đích của dòng 1 phải bằng các IP nguồn của dòng 3;

• Cả hai dòng phải có các giao thức truyền thông tương tự nhau

Thử nghiệm

Kịch bản thử nghiệm này được thiết kế gần gũi với thực tế và đáng tin cậy, bao gồm việc kết hợp các loại truyền dẫn hợp pháp khác nhau và điều chỉnh các thông số của truyền dẫn tấn công Trong các thử nghiệm, truyền dẫn hợp pháp chiếm 85% và là một phần quan trọng của các giao thức khác nhau.

Dựa trên lưu lượng mạng thu thập trong 7 năm giữa Nhật Bản và Hoa Kỳ, TCP chiếm 10%, UDP 10% và ICMP 5% Hơn 90% lưu lượng truy cập liên quan đến giao thức TCP/UDP, trong khi khoảng 5% là ICMP Đặc biệt, 80% lưu lượng TCP tương tự như kết nối FTP, với một luồng dữ liệu liên tục giữa khách hàng và máy chủ, trong khi 20% còn lại giống như kết nối Telnet, đặc trưng bởi việc gửi một chuỗi các gói nhỏ với khoảng thời gian tạm dừng dài giữa chúng.

Công cụ Stacheldraht đã được sử dụng để tạo ra lưu lượng truy cập cho các cuộc tấn công DDoS Bảng 4.2 trình bày các loại cuộc tấn công trong giai đoạn huấn luyện và thử nghiệm, cùng với số lượng lưu lượng tương ứng được tạo ra Các giá trị trong ngoặc đơn liên quan đến kích thước gói tin gửi trong cuộc tấn công, với kích thước tối đa cho phép là 1024 byte Mỗi tham số này có ảnh hưởng đáng kể đến hiệu quả của cuộc tấn công.

Dưới đây là bảng trình bày về DDoS, trong đó chỉ có một thông số được thay đổi tại mỗi khoảng thời gian, trong khi các thông số khác vẫn giữ nguyên giá trị mặc định của chúng.

Bảng 4.2 Tấn công DDoS sử dụng trong huấn luyện và kiểm tra

1) Tốc độ tấn công quy định số lượng các botnet của các gói tin được gửi trong một khoảng thời gian cụ thể Giá trị mặc định của nó là vừa phải, nhưng nó cũng có thể khác nhau từ thấp đến cao

2) Động lực của luồng tấn công điều chỉnh flow của các gói tin được gửi trong một cuộc tấn công Nó có thể được thiết lập liên tục hoặc với một tạm dừng ở giữa các dòng của gói 'tấn công Giá trị mặc định đã được thiết lập là liên tục

3) Cuộc tấn công được định cấu hình botnet để gửi các flow của gói tin'của các cuộc tấn công khác theo chế độ đồng bộ hoặc chế độ xen kẽ Kiểu mặc định là đồng bộ

4) Tỷ lệ giao thông hợp pháp cấu hình số dòng hợp pháp của các gói tin tham gia thí nghiệm, trong khi một phần của giao thức hỗn hợp và các gói tin TCP không thay đổi Giá trị vừa phải là giá trị mặc định của tính năng này

Các kịch bản thử nghiệm được xây dựng dựa trên mô phỏng mạng NOX, với Hình 5 minh họa cấu trúc liên kết cho các thí nghiệm Mạng 1 đại diện cho mạng của nạn nhân bị tấn công, bao gồm ba chuyển mạch OpenFlow được điều khiển bởi NOX Trong khi đó, mạng 2 là nơi các botnet thực hiện tấn công DDoS, với lưu lượng truy cập được theo dõi.

Hình 4.5 Kịch bản kiểm tra của Topo

Kịch bản kiểm tra ban đầu đã được điều chỉnh để cho phép cấu hình các thuộc tính như kênh băng thông và thời gian trễ Đồng thời, các công cụ wirefilter đã được sử dụng để thiết lập các liên kết giữa mạng 1 và mạng 2 với băng thông là 1.

Băng thông của mạng 1 và 3 được thiết lập ở mức 1 GBps với thời gian trễ 10 ms, trong khi băng thông của các liên kết khác là 100 MBps và thời gian trễ là 30 ms Thử nghiệm và việc tạo các SOM được thực hiện trên một máy chủ sử dụng bộ xử lý Intel Quad Core Xeon E5410.

2.33 GHz, và bộ nhớ RAM 16GB.

Đánh giá kết quả thực hiện

4.6.1 Mẫu được thu thập trong các thí nghiệm

Trong thí nghiệm đầu tiên, 106.000 luồng đã được tạo ra trong quá trình huấn luyện của SOM, trong đó 43.000 luồng được thu thập trong thời gian xảy ra cuộc tấn công, và 63.000 luồng còn lại được ghi nhận trong điều kiện giao thông bình thường Bảng 4.3 trình bày số lượng bộ dữ liệu được chiết xuất từ tổng số luồng Thí nghiệm thứ hai đã thực hiện các cuộc tấn công với kích thước gói thay đổi, như thể hiện trong Bảng 4.2, với tổng cộng 225.000 luồng được tạo ra trong khi không có cuộc tấn công nào diễn ra.

4.3 liệt kê số lượng mẫu lấy từ mỗi chuyển mạch OF trong các thí nghiệm

Các giá trị tương ứng với flow được thu thập từ chuyển mạch OF 1 khi tất cả các gói tin đi qua Cả hai thí nghiệm đều liên quan đến các giai đoạn huấn luyện.

SOM và các kịch bản tấn công được thiết lập với khoảng thời gian 3 giây cho các vòng lặp phát hiện Theo định nghĩa, một bộ tính năng được tính toán từ tập hợp các mục dòng thu thập từ một chuyển mạch OF tại một thời điểm nhất định.

Chẳng hạn, một chuyển mạch OF với 150 mục flow sẽ tạo ra 6-tuple từ bộ trích xuất, dựa trên cấu hình này khi được thu thập bởi các mô-đun thu.

Bảng 4.3 Cài đặt mẫu được sử dụng cho huấn luyện và thử nghiệm

Attack Traffic Phase Legitimate Traffic Phase Training Testing Training Testing

4.6.2 Thời gian để huấn luyện và phân loại giao thông mạng

Giai đoạn huấn luyện của SOM sử dụng 3.500 mẫu từ một cuộc tấn công và 5.108 mẫu trong thời gian không có tấn công Các mẫu từ chuyển mạch OF 3 trong thời gian bị tấn công không được xem xét vì không nằm trong lộ trình tấn công, mặc dù chúng trả lời các gói tin tấn công Bảng IV so sánh 6-tuple và 4-tuple về thời gian thực hiện nhiệm vụ SOM, bao gồm huấn luyện lưới tế bào thần kinh, phân loại mẫu và thực hiện các chức năng phân biệt Các giá trị phân loại được thu thập từ hệ thống với CPU lõi kép 1,8 GHz và 2 GB RAM, trong khi giá trị huấn luyện được lấy từ máy chủ mô phỏng các kịch bản thử nghiệm như đã mô tả ở cuối Phần 4.5.

Bảng 4.4 Thời gian thực hiện các nhiệm vụ phát hiện SOM

SOM Training execution SOM Classification

Hiệu quả của cơ chế phát hiện này được đánh giá thông qua việc đo lường

Tỷ lệ phát hiện - Detection Rate (DR) và tỷ lệ phát hiện lỗi - False Alarm (FA), tính toán tương ứng sử dụng công thức 7 và 8

Trong nghiên cứu này, TP (True Positives) đại diện cho các bản ghi giao thông tấn công được phân loại chính xác, trong khi FN (False Negatives) là những bản ghi giao thông tấn công nhưng lại bị phân loại nhầm là hợp pháp.

FP (False Positives) là các bản ghi giao thông hợp pháp nhưng bị phân loại nhầm là tấn công, trong khi TN (True Negatives) là các bản ghi giao thông hợp pháp được phân loại chính xác là hợp pháp.

Bảng 4.5 trình bày kết quả phân tích tính năng của bộ 6-tuple và 4-tuple, loại trừ các tính năng PPf và GSf Hai tính năng này không có vai trò trong việc phân biệt tấn công mạng trong chuyển mạch OF 1, vì giá trị của chúng không thay đổi khi có tấn công Chuyển mạch bị tấn công ngay lập tức kết nối với chuyển mạch OF 1, dẫn đến việc các gói tin tấn công và phản hồi tương ứng được ghi nhận với flow bắt đầu của chuyển mạch OF 1 Do đó, tất cả các chuyển mạch chia sẻ hai loại tính năng này trong các gói tin đều phải hoạt động tương tự.

Bảng 4.5 Các kết quả của phương pháp phát hiện

6-tuple 4-tuple DR(%) FA(%) DR(%) FA(%)

Bảng 4.5 cho thấy đối với chuyển mạch OF 1 đổi 1 sử dụng bộ 4 - tuple

Việc sử dụng 6-tuple cho thấy hiệu quả tốt hơn (0,46 báo động sai và tỷ lệ phát hiện 99,11) khi bắt đầu từ chuyển mạch 2, đặc biệt là khi các cảnh báo lỗi được xem xét Trong một số trường hợp, giá trị của PPf và GSf trong giải pháp SOM[5] đã dẫn đến kết quả không chính xác.

Hệ thống đạt được tỷ lệ phát hiện 98,73% với 62 báo động sai trong 4-tuple Sự khác biệt đáng kể giữa giá trị PPf và GSf trong điều kiện bị tấn công và bình thường đã giúp cho việc phân loại mẫu trở nên dễ dàng hơn.

Hình 4.6 So sánh PPf của các mẫu trong các chuyển mạch OF 1 và 2

Hình 4.7 So sánh GSf của các mẫu trong các chuyển mạch OF 1 và 2

Hình 4.6 mô tả so sánh PPf của các mẫu trong các chuyển mạch OF 1 và

2 Chú ý rằng giá trị PPf thu được từ các mẫu thu thập từ chuyển mạch OF 1 trong thời gian của cuộc tấn công là cùng một phạm vi thay đổi (0.9 đến 1.0) giống như những gì thu thập được trong cùng một khoảng thời gian khi lưu lượng bị tấn công Tuy nhiên, các mẫu thu được từ chuyển mạch OF 2 lại khác nhau (0.3 và 0.6) tại cùng một thời gian

Phân tích dữ liệu từ hình 4.7 cho thấy rằng các giá trị mẫu của mô hình mạng bị tấn công từ chuyển mạch OF 1 tương tự với mô hình mạng bình thường, chỉ khác nhau từ 0 đến 1,8 Trong khi đó, giá trị cho các tính năng từ chuyển mạch OF 2 nằm trong khoảng 4 đến 7,2 Hầu hết các phát hiện dương tính sai xảy ra trong khoảng thời gian mà trạng thái của các thiết bị chuyển mạch chuyển từ không tích cực sang có tỷ lệ thấp của lưu lượng truy cập hợp pháp Các mô hình lưu lượng truy cập trong khoảng thời gian này phản ánh một cuộc tấn công DDoS, đặc biệt qua các tính năng APf.

ABf và ADf có xu hướng kết thúc với các giá trị tương tự như lưu lượng truy cập hợp pháp Việc phân loại các mạng bị tấn công như bình thường có thể dẫn đến những kết luận sai lệch từ một số mẫu trong SOM.

Phát hiện sai thường xảy ra khi Tỷ lệ tấn công được thiết lập với giá trị thấp, tuy nhiên, các cuộc tấn công với tỷ lệ lưu lượng gói tin thấp ít gây hại cho hệ thống nạn nhân Các giá trị phát hiện Tỷ lệ tấn công thấp trong chuyển mạch 3 cho thấy không có mạng nào bị tấn công qua chuyển mạch này Giá trị phát hiện cho chuyển mạch 3 (3.52 cho bộ 6-tuple và 3.27 cho bộ 4-tuple) phản ánh lưu lượng do các nạn nhân tạo ra để đối phó với cuộc tấn công DDoS ồ ạt Trong thí nghiệm, sự phát triển tuyến tính của flow trong mạng bị tấn công được quan sát, do các gói tin đến trong chuyển mạch OpenFlow trong một cuộc tấn công DDoS - với IP và cổng giả mạo - khó có thể phù hợp với bất kỳ mục nào trong bảng flow của chuyển mạch Kết quả là, mỗi gói tin không phù hợp dẫn đến việc tạo ra một flow mới bởi NOX, hệ thống điều khiển các chuyển mạch.

Phương pháp phát hiện tấn công DDoS sử dụng SOM tập trung vào việc phân loại các mô hình giao thông trong một khoảng thời gian nhất định, thu thập thông tin mỗi 3 giây, giúp giảm đáng kể chi phí so với các phương pháp dựa trên bộ dữ liệu KDD-99 Việc này không yêu cầu thu thập toàn bộ gói tin gửi đến nạn nhân, do đó giảm thiểu quy trình tạo hồ sơ kết nối Trong các kịch bản tấn công DDoS với lưu lượng lớn, chi phí có thể tăng cao, nhưng phương pháp này vẫn cho thấy hiệu quả hơn so với cách tiếp cận KDD-99.

Kết luận

Trong đề tài này trình bày phương pháp phát hiện tấn công DDoS dùng

Phương pháp SOM cung cấp một giải pháp hiệu quả và tiết kiệm chi phí để phát hiện tấn công mạng trong hệ thống bảo mật thông tin doanh nghiệp Với vai trò là một mạng lưới thần kinh nhân tạo giám sát mạng, SOM được huấn luyện dựa trên các đặc điểm của lưu lượng mạng Đặc biệt, tỷ lệ phát hiện tấn công DDoS của phương pháp này cao hơn so với các cách tiếp cận khác.

Hướng phát triển đề tài

Đề tài này có thể mở rộng để cho phép trao đổi thông tin giữa các thiết bị phát hiện tấn công hoạt động trong các miền khác nhau của mạng Ví dụ, nếu mạng

A phát hiện cuộc tấn công vào mạng lưới B thứ hai và thông báo cho B, cho phép các đại lý trong hệ thống trao đổi thông tin để giám sát tài nguyên mạng hiệu quả hơn Phương pháp thống kê có thể được áp dụng để phân tích các tấn công, xác định vị trí thiết bị chuyển mạch và xác minh chính xác host đã thực hiện các cuộc tấn công.

Ngày đăng: 10/03/2022, 22:56

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] A. Mitrokotsa and C. Douligeris, “Detecting denial of service attacks using emergent self-organizing maps”, Signal Processing and Information Technology, 2005. Proceedings of the Fifth IEEE International Symposium on, 2005, pp. 375–380 Sách, tạp chí
Tiêu đề: Detecting denial of service attacks using emergent self-organizing maps”, "Signal Processing and Information Technology
[2] Bob Lantz, Brandon Heller, Nick McKeown, “A Network on a Laptop: Rapid Prototyping for Software-Defined Networks”, 9 th ACM Workshop on Hot Topics in Networks, October 20-21, 2010, Monterey, CA Sách, tạp chí
Tiêu đề: A Network on a Laptop: Rapid Prototyping for Software-Defined Networks”, "9"th" ACM Workshop on Hot Topics in Networks
[3] C. Wang, H. Yu, and H. Wang, “Grey self-organizing map based intrusion detection”, Optoelectronics Letters, vol. 5, no. 1, pp. 64–68,2009 Sách, tạp chí
Tiêu đề: Grey self-organizing map based intrusion detection”, "Optoelectronics Letters
[4] D. Jiang, Y. Yang, and M. Xia, “Research on Intrusion Detection Based on an Improved SOM Neural Network”, Proceedings of the 2009 Fifth International Conference on Information Assurance and Security, Volume 01. IEEE Computer Society, 2009, pp. 400–403 Sách, tạp chí
Tiêu đề: Research on Intrusion Detection Based on an Improved SOM Neural Network”, "Proceedings of the 2009 Fifth International Conference on Information Assurance and Security
[5] D. Jiang, Y. Yang, and M. Xia, “Research on Intrusion Detection Based on an Improved SOM Neural Network”, Proceedings of the 2009 Fifth International Conference on Information Assurance and Security-Volume 01.IEEE Computer Society, 2009, pp. 400–403 Sách, tạp chí
Tiêu đề: Research on Intrusion Detection Based on an Improved SOM Neural Network”, "Proceedings of the 2009 Fifth International Conference on Information Assurance and Security-Volume 01. "IEEE Computer Society
[6] M. Alsulaiman, A. Alyahya, R. Alkharboush, and N. Alghafis, “Intrusion Detection System Using Self-Organizing Maps,” in 2009 Third International Conference on Network and System Security. IEEE, 2009, pp.397–402 Sách, tạp chí
Tiêu đề: Intrusion Detection System Using Self-Organizing Maps,” in "2009 Third International Conference on Network and System Security. IEEE
[7] M. Ramadas, S. Ostermann, and B. Tjaden, “Detecting anomalous network traffic with self-organizing maps” Recent Advances in Intrusion Detection,.Springer, 2003, pp. 36–54 Sách, tạp chí
Tiêu đề: Detecting anomalous network traffic with self-organizing maps” "Recent Advances in Intrusion Detection
[8] M. Li and W. Dongliang, “Anormaly Intrusion Detection Based on SOM” Proceedings of the 2009 WASE International Conference on Information Engineering,Volume 01. IEEE Computer Society, 2009, pp. 40–43 Sách, tạp chí
Tiêu đề: Anormaly Intrusion Detection Based on SOM” "Proceedings of the 2009 WASE International Conference on Information Engineering
[9] M. Alsulaiman, A. Alyahya, R. Alkharboush, and N. Alghafis, “Intrusion Detection System Using Self-Organizing Maps”, 2009 Third International Conference on Network and System Security. IEEE, 2009, pp. 397–402 Sách, tạp chí
Tiêu đề: Intrusion Detection System Using Self-Organizing Maps”, "2009 Third International Conference on Network and System Security
[10] M. Kim, H. Kang, S. Hung, S. Chung, and J. Hong, “A flow-based method for abnormal network traffic detection”, IEEE/IFIP Network Operations and Management Symposium, 2004, pp. 599–612 Sách, tạp chí
Tiêu đề: A flow-based method for abnormal network traffic detection”," IEEE/IFIP Network Operations and Management Symposium
[11] N. Gude, T. Koponen, J. Pettit, B. Pfaff, M. Casado, N. McKeown, and S. Shenker, “Nox: towards an operating system for networks,” SIGCOMM Comput. Commun. Rev, vol. 38, no. 3, pp. 105–110, 2008 Sách, tạp chí
Tiêu đề: Nox: towards an operating system for networks,” "SIGCOMM Comput. Commun
[12] Nick McKeown, Tom Anderson, Hari Balakrishnan, Guru Parulkar, Larry Peterson, Jenifer Rexford, Scott Shenker, Jonathan Turner. “OpenFlow:Enabling Innovation in Campus Networks”, March 14, 2008 Sách, tạp chí
Tiêu đề: OpenFlow: Enabling Innovation in Campus Networks
[14] Priya Mahadevan,Puneet Sharma,Sujata Banerjee,Parthasarathy Ranganathan. “Energy Aware Network Operations”, Proceeding INFOCOM'09 Sách, tạp chí
Tiêu đề: Energy Aware Network Operations”
[15] Priya Mahadevan, Puneet Sharma, Sujata Banerjee, Parthasarathy Ranganathan. “A Power Benchmarking Framework for Network Devices”, Networking 2009, pp. 795-808 Sách, tạp chí
Tiêu đề: A Power Benchmarking Framework for Network Devices”, "Networking 2009
[16] P. Borgnat, G. Dewaele, K. Fukuda, P. Abry, and K. Cho, “Seven years and one day: Sketching the evolution of internet traffic” , INFOCOM2009, IEEE, April 2009, pp. 711–719 Sách, tạp chí
Tiêu đề: Seven years and one day: Sketching the evolution of internet traffic” , "INFOCOM2009
[17] H. Gunes Kayacik, N. Zincir-Heywood et al., “A hierarchical SOM based intrusion detection system”, Engineering Applications of Artificial Intelligence, vol. 20, no. 4, pp. 439–451, 2007 Sách, tạp chí
Tiêu đề: A hierarchical SOM based intrusion detection system”, "Engineering Applications of Artificial Intelligence
[18] J. Mirkovic, S. Fahmy, P. Reiher, and R. K. Thomas, “How to test dosdefenses”, CATCH ’09: Proceedings of the 2009 Cybersecurity Applications & Technology Conference for Homeland Securit, 2009, pp.103–117 Sách, tạp chí
Tiêu đề: How to test dosdefenses”, "CATCH ’09: Proceedings of the 2009 Cybersecurity Applications & Technology Conference for Homeland Securit
[19] Kandula, S., Sengupta, S., Greenberg, A., Patel, P., & Chaiken, R. (2009). “The nature of data center traffic: measurements & analysis”, Proceedings of the 9th ACM SIGCOMM conference on Internet measurement conference, pp.202-208 Sách, tạp chí
Tiêu đề: The nature of data center traffic: measurements & analysis”, "Proceedings of the 9th ACM SIGCOMM conference on Internet measurement conference
Tác giả: Kandula, S., Sengupta, S., Greenberg, A., Patel, P., & Chaiken, R
Năm: 2009
[20] “The stacheldraht ddos attack tool,” 2009. [Online]. Available: http://staff.washington.edu/dittrich/misc/stacheldraht.analysis.txt Sách, tạp chí
Tiêu đề: The stacheldraht ddos attack tool
[21] “Twitter hit by denial-of-service attack,” 2009. [Online]. Available: http://www.cnn.com/2009/TECH/08/06/twitter.attack/index.html Sách, tạp chí
Tiêu đề: Twitter hit by denial-of-service attack

TRÍCH ĐOẠN

.4 Kiến trúc IDS dựa trên Event Based

.5 Mạng OpenFlow switch với NOX controller

.6 Giao diện đồ họa của NOX Controller .4 Hoạt động của vịng lặp phát hiện .1 Các thông số huấn luyện SOM .5 Kịch bản kiểm tra của Topo .5 Các kết quả của phương pháp phát hiện

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w