Adversary Model
Các ứng dụng mạng như Chrome và MSN sử dụng ngăn xếp TCP/IP cùng với giao diện hệ điều hành để giao tiếp mạng Lưu lượng của chúng đi qua nhiều lớp, bao gồm TCP/IP, NDIS, trình điều khiển bộ lọc NDIS và cuối cùng là phần cứng thẻ giao diện mạng (NIC) Tường lửa cá nhân hoạt động trong một trong bốn lớp này để phân tích lưu lượng đến và đi Khi phát hiện lưu lượng độc hại, tường lửa sẽ thông báo cho người dùng, cho phép họ quyết định có nên loại bỏ hay không dựa trên chính sách bảo mật.
Một số phần mềm độc hại có khả năng sử dụng ngăn xếp TCP/IP riêng để vượt qua tường lửa cá nhân Cụ thể, chúng kết nối với NdisM Register Miniport Driver và NdisM Register Miniport, đồng thời đăng ký chức năng xử lý miniport của phần mềm độc hại.
Trước khi trình điều khiển bộ điều hợp mạng được đăng ký với NDIS, phần mềm độc hại có thể sử dụng chức năng xử lý miniport riêng để gửi hoặc nhận các gói thông qua ngăn xếp TCP/IP của nó, qua đó bỏ qua sự giám sát của tường lửa cá nhân.
Phần mềm độc hại có khả năng tấn công tường lửa cá nhân bằng cách chặn giao tiếp giữa tường lửa và hệ điều hành hoặc thậm chí tắt tường lửa Khi phần mềm độc hại cố gắng làm hỏng hệ thống phòng thủ, điều quan trọng là những hoạt động độc hại phải dễ nhận thấy đối với người dùng Người dùng nên thực hiện quét máy chủ lưu trữ để loại bỏ phần mềm độc hại một cách hiệu quả.
Nền SDN
Mạng do phần mềm xác định (SDN) là một kỹ thuật số mạng tiên tiến, phân tách rõ ràng giữa mặt phẳng điều khiển và mặt phẳng dữ liệu Mặt phẳng điều khiển của SDN chịu trách nhiệm điều khiển và quản lý các tài nguyên mạng một cách hiệu quả.
Tải luận văn mới tại skknchat123@gmail.com, bao gồm toàn bộ thông tin về mạng hành vi Sự tập trung hợp lý này mang đến một phương pháp đơn giản và linh hoạt hơn để quản lý và kiểm soát lưu lượng mạng thông qua một giao thức hiệu quả.
Mạng OpenFlow sử dụng quy tắc luồng để quản lý lưu lượng mạng Khi một gói tin đến, công tắc OpenFlow sẽ kiểm tra bảng luồng để xác định xem gói tin có phù hợp với quy tắc nào không Nếu có quy tắc phù hợp, công tắc sẽ xử lý gói tin theo cách đã định sẵn.
OpenFlow sẽ tuân theo quy tắc luồng để xử lý gói tin, với các hành động có thể bao gồm: chuyển tiếp gói tin, thả gói tin, hoặc báo cáo gói tin lên mặt phẳng điều khiển Nếu gói tin không khớp với bất kỳ mục nhập luồng nào, sẽ có các biện pháp xử lý phù hợp.
Công tắc OpenFlow gửi gói tin nhắn đến máy bay điều khiển để hướng dẫn xử lý gói mới Máy bay điều khiển quyết định cách xử lý dựa trên logic của các ứng dụng và phản hồi bằng quy tắc hành động và luồng Cách tiếp cận này cho phép quản lý và kiểm soát lưu lượng mạng một cách dễ dàng và linh hoạt, được áp dụng rộng rãi trong các ứng dụng OpenFlow.
Vấn đề và thách thức
Bài báo này nghiên cứu phương pháp phát hiện mã độc hại lưu lượng phần mềm trên máy chủ, nhằm giải quyết các thách thức liên quan đến vấn đề này.
Để tránh lưu lượng truy cập độc hại vượt qua tường lửa cá nhân, cần thiết phải phát hiện ở lớp phần cứng mạng, vì phần mềm độc hại có thể sử dụng Ngăn xếp TCP/IP để né tránh sự phát hiện Hiện tại, không có tường lửa cá nhân nào giám sát lưu lượng ở lớp NIC Khi phần mềm độc hại tấn công tường lửa, việc đảm bảo hệ thống vẫn hoạt động và cảnh báo người dùng trong trường hợp xảy ra tấn công là một thách thức lớn Do đó, cần thiết phải phát triển một khung bảo mật mới để phát hiện lưu lượng độc hại hiệu quả hơn.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Để xác định chính xác lưu lượng truy cập độc hại, cần lưu ý rằng phần mềm độc hại có thể không vượt qua tường lửa mạng Việc thiếu thông tin máy chủ lưu trữ trên tường lửa có thể dẫn đến phân loại lưu lượng không chính xác Tường lửa cá nhân có thể sử dụng cổng TCP để liên kết mỗi gói với thông tin máy chủ và cập nhật danh sách blacklist/whitelist, giúp xác định chính xác hơn Tuy nhiên, thông tin máy chủ không có trong gói sẽ không được sử dụng để xác định lưu lượng tấn công trên tường lửa mạng Chẳng hạn, nếu tường lửa có "Server name = 'evil.com'" trong danh sách đen, nó sẽ chặn lưu lượng truy cập vào "evil.com" Khi tên máy chủ phần mềm độc hại thay đổi (ví dụ: từ "evil.com" sang "newevil.com"), tường lửa có thể không nhận diện được lưu lượng độc hại nếu không có thông tin từ máy chủ.
Để cung cấp khả năng lập trình cho các dịch vụ bảo mật, mặc dù tường lửa có thể tự động cập nhật các chính sách bảo mật dựa trên các tính năng và thuật toán cụ thể, nhưng vẫn có khả năng bỏ qua khi các thông tin này bị tiết lộ Việc quản lý các chính sách an ninh vẫn nằm trong lĩnh vực quản trị mạng Hơn nữa, việc áp dụng SDN vào bảo mật máy chủ lưu trữ để có thể lập trình là một thách thức, do không có cấp ứng dụng điều khiển được kích hoạt trong thông số kỹ thuật.
OpenFlow cho phép quản lý mạng hiệu quả, nhưng các thiết bị không hỗ trợ SDN sẽ không thể được điều khiển Điều này làm giảm khả năng lập trình của mạng với các công tắc hàng hóa hiện có Nhiều công ty không có khả năng thay thế thiết bị mạng truyền thống đắt đỏ Do đó, một giải pháp khả thi là áp dụng các cơ chế trong SDN để quản lý luồng chi tiết trên các thiết bị mạng có thể điều khiển, như NIC Qua đó, các công ty có thể dần thay thế thiết bị mạng tại những máy chủ quan trọng để bảo vệ hệ thống của mình.
Những kỹ thuật chính được đề xuất để bảo vệ an ninh máy chủ lưu trữ
Chúng tôi giới thiệu một kiến trúc tường lửa mới bằng cách phân tách các Control plane và Data plane trong mạng SDN Các "Data plane" có nhiệm vụ giám sát lưu lượng mạng trên phần cứng và lọc ra các truy cập bất hợp pháp.
Tải xuống TIEU LUAN MOI qua email: skknchat123@gmail.com để cập nhật các quy tắc bảo mật mới nhất "Control plane" thu thập thông tin từ máy chủ lưu trữ và cập nhật các quy tắc bảo mật trong "Data plane" Đồng thời, một cuộc kiểm toán máy chủ được thực hiện nhằm phát hiện các cuộc tấn công đối với Control plane.
Chúng tôi giới thiệu cơ chế mới nhằm bảo mật máy chủ và nâng cao khả năng lập trình kiểm soát bảo mật cấp ứng dụng Khác với các giải pháp tường lửa hiện có, thiết kế của chúng tôi cho phép quản trị viên mạng thiết lập quy tắc bảo mật dựa trên các thuật toán và tính năng do người dùng xác định Hơn nữa, hệ thống của chúng tôi có khả năng phát hiện lưu lượng phần mềm độc hại, ngay cả khi nó sử dụng TCP/IP riêng để vượt qua các tường lửa truyền thống.
Dựa trên kiến trúc và cơ chế đã đề cập, chúng tôi đã thiết kế và triển khai SDF, đồng thời thực hiện đánh giá hiệu suất qua các thử nghiệm thực tế Kết quả cho thấy SDF có khả năng giám sát toàn bộ lưu lượng mạng và xác định chính xác lưu lượng độc hại Nhân viên kiểm toán có thể cảnh báo người dùng khi máy bay điều khiển bị nhiễm độc hại hoặc thực hiện các biện pháp đóng xuống Hơn nữa, hai trường hợp sử dụng SDF được trình bày nhằm minh họa rằng khả năng lập trình mạng hiện nay đã đơn giản hóa các giải pháp bảo mật.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Giới thiệu mô hình và kiến trúc hệ thống
Thiết kế của SDF dựa trên khái niệm SDN bằng cách tập trung hóa các API
“Southbound” (OpenFlow) cung cấp khả năng kiểm soát chính sách bảo mật linh hoạt thông qua SDF, với phần cứng mạng hoạt động như mặt phẳng dữ liệu để giám sát lưu lượng SDF xử lý từng gói tin dựa trên quy tắc trong bảng luồng, giúp ngăn chặn lưu lượng độc hại và đảm bảo khả năng phát hiện và kiểm soát bảo mật Việc triển khai có thể diễn ra ở phía máy chủ, sử dụng NetFPGA hoặc NIC có thể lập trình, hoặc ở phía chuyển mạch với công tắc OpenFlow Mặt phẳng điều khiển của SDF được tích hợp trong máy chủ, cho phép kiểm soát chính sách bảo mật một cách linh hoạt Dựa trên lưu lượng thống kê từ mặt phẳng dữ liệu và thông tin từ mặt phẳng điều khiển, ứng dụng điều khiển có thể xác định chính xác lưu lượng độc hại.
Kiến trúc của SDF cho phép ứng dụng mạng, bao gồm các phần mềm như Chrome và Twitter, hoạt động hiệu quả Chúng tôi áp dụng một biểu thức tương tự như SDN để quản lý và tối ưu hóa các ứng dụng này.
Tải luận văn mới nhất về vai trò của máy chủ trong SDN tại địa chỉ skknchat123@gmail.com Trong kiến trúc SDN, các ứng dụng mạng không bị xem là "thấp hơn" so với lớp hệ điều hành, mà chúng đóng vai trò quan trọng trong việc tối ưu hóa và quản lý mạng.
Kiến trúc của SDF bao gồm sáu mô-đun chức năng chính: giám sát lưu lượng, giám sát trạng thái máy chủ, nền tảng bộ điều khiển, kiểm soát trừu tượng hóa ứng dụng, phát hiện tấn công và máy chủ kiểm tra, như được thể hiện trong Hình 3.
Mô-đun giám sát lưu lượng hoạt động như một mặt phẳng dữ liệu, hoạt động trên phần cứng mạng Nó có khả năng xử lý và giám sát lưu lượng dữ liệu cả đến và đi, dựa trên các quy tắc luồng được thiết lập trong bảng lưu lượng.
Mô-đun giám sát trạng thái máy chủ là ứng dụng giám sát thông tin máy chủ, cung cấp khả năng lưu trữ dữ liệu vào mô-đun trừu tượng hóa Điều này cho phép quản lý ở cấp độ ứng dụng và phát hiện chính xác các cuộc tấn công.
Nền tảng bộ điều khiển hoạt động giống như các bộ điều khiển kho mềm SDN hiện có, chẳng hạn như NOX, POX và RYU Việc cài đặt bộ điều khiển phần mềm có thể thực hiện một cách phổ biến, do đó, chúng tôi sẽ không mô tả chi tiết thiết kế của nó trong bài viết này.
Mô-đun trừu tượng hóa ứng dụng điều khiển đóng vai trò là lớp trung gian giữa nền tảng điều khiển và các ứng dụng điều khiển, giúp xử lý thông tin lưu lượng và máy chủ lưu trữ Nó liên kết từng gói tin với thông tin máy chủ, đồng thời cung cấp khả năng trừu tượng hóa cho ứng dụng điều khiển.
Các mô-đun tóm tắt ngôn ngữ triển khai bộ điều khiển cung cấp giao diện thân thiện với người dùng, giúp cập nhật và điều chỉnh các chính sách bảo mật mạng một cách hiệu quả.
Mô-đun phát hiện tấn công là một ứng dụng điều khiển được cài đặt sẵn, có khả năng xác định lưu lượng truy cập độc hại dựa trên máy chủ và lưu lượng thông tin.
Chúng tôi cũng cho phép người dùng phát triển cuộ>c tấn công của riêng họ Modules phát hiện dựa trên nhu cầu của riêng họ.
Máy chủ kiểm tra là thiết bị quan trọng trong mạng nội bộ, giúp phát hiện sự nhiễm độc của máy bay điều khiển do phần mềm độc hại Nó có khả năng xác định các vấn đề như bộ điều khiển bị tắt hoặc các quy tắc luồng bị chặn, từ đó bảo vệ hệ thống khỏi các mối đe dọa an ninh mạng.
TIEU LUAN MOI tải xuống: skknchat123@gmail.com cung cấp thông tin mới nhất về việc kiểm tra hoạt động trong Intranet nhằm xác minh các quy tắc phân luồng trên thiết bị giám sát giao thông Hệ thống này định kỳ thu thập dữ liệu từ máy chủ và lưu lượng truy cập, sử dụng cơ sở dữ liệu cùng với thuật toán phát hiện tấn công để xác thực tính hợp pháp của các quy tắc phân luồng.
Hình 4 Đường ống xử lý gói trong bộ giám sát lưu lượng.
Quy trình làm việc của SDF bao gồm việc giám sát và kiểm tra mô-đun giao thông, chuyển tiếp lưu lượng giữa Internet/Intranet và máy chủ dựa trên các quy tắc bảo mật Khi phát hiện lưu lượng truy cập bất thường, SDF sẽ thực hiện ba bước xử lý, bắt đầu bằng việc báo cáo luồng lưu lượng bất thường tới bộ điều khiển.
Các luồng bất thường sẽ được gửi đến Mô-đun trừu tượng hóa ứng dụng cùng với thông tin máy chủ từ trình theo dõi trạng thái máy chủ Những luồng này sẽ được gắn thẻ với thông tin máy chủ và chuyển đến ứng dụng điều khiển để phát hiện tấn công, nhằm xác định lưu lượng truy cập có hại Cuối cùng, việc phát hiện cuộc tấn công hoặc các ứng dụng kiểm soát khác sẽ quyết định hành động cần thực hiện đối với luồng và cập nhật các quy tắc bảo mật trên các Mô-đun giám sát mạng.
Khi các Modules khác được kích hoạt, máy chủ kiểm tra thu thập các mục nhập luồng, thông tin lưu trữ và lưu lượng truy cập nhằm xác minh tính hợp pháp của các mục nhập dòng chảy.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Giám sát lưu lượng
Giám sát lưu lượng là một cấu trúc chuyển tiếp xử lý từng gói dựa trên các quy tắc dòng chảy của nó, giúp bảo vệ mạng khỏi phần mềm độc hại Thiết bị này hoạt động ở lớp NIC mạng, ngăn chặn các mối đe dọa vượt qua SDF, chẳng hạn như qua TCP/IP stack Chức năng chính của giám sát lưu lượng là duy trì các quy tắc trong bảng dòng chảy, tương tự như quy tắc trong công tắc OpenFlow, nhằm thực thi chính sách bảo mật Nó cũng cung cấp giao diện API mở (OpenFlow) để hỗ trợ kiểm soát an ninh có thể lập trình Việc triển khai có thể diễn ra ở phía máy chủ hoặc phía chuyển đổi, và trong bài viết này, chúng tôi sẽ mô tả một tình huống phổ biến hơn mà giám sát lưu lượng đóng vai trò là phần cứng.
Giống như công tắc OpenFlow, trình giám sát lưu lượng quyết định các hành động như chuyển tiếp, giảm hoặc báo cáo cho từng luồng dữ liệu dựa trên quy tắc trong bảng luồng Các quy tắc này được lưu trữ trong bộ nhớ địa chỉ nội dung bậc ba.
TCAM (Ternary Content Addressable Memory) kết nối máy chủ với Internet/Intranet thông qua hai cổng ảo, giúp phân biệt dễ dàng giữa lưu lượng truy cập đến và đi Mô hình giám sát lưu lượng gồm bốn thành phần chính: bảng lưu lượng, trình phân tích cú pháp tiêu đề, tra cứu bảng luồng và trình xử lý hành động Mặc dù có thể triển khai mô-đun giám sát lưu lượng theo OpenFlow v1.3 hoặc các phiên bản cao hơn, chúng tôi nêu rõ các yêu cầu tối thiểu trong thiết kế do hạn chế về nguồn lực trong một số trường hợp.
Bảng lưu lượng chứa các mục nhập luồng trong TCAM, bao gồm trường đối sánh, trường hành động, cũng như các trường ưu tiên, bộ đếm và thời gian chờ, như thể hiện trong Hình 5-a.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Hình 5 Các cấu trúc trong giám sát giao thông.
Trong SDF, chúng tôi chỉ cần hỗ trợ ba hành động chính: chuyển tiếp dữ liệu đến Server/Internet, thả gói tin và báo cáo để điều khiển Đối với trường hợp đếm, chỉ cần đếm các gói và byte phù hợp với mục nhập luồng Để phát hiện các hoạt động độc hại, thành phần bảng luồng cung cấp các API chỉ đọc cho máy chủ kiểm tra, giúp xác định xem máy bay điều khiển có bị xâm phạm hay không.
Trình phân tích cú pháp Header là thành phần quan trọng giúp trích xuất thông tin tiêu đề của mỗi gói, từ đó xác định từng luồng Hình 5-b minh họa các trường khác nhau trong tiêu đề, trong đó hầu hết các trường trong SDF có ý nghĩa tương tự như các trường trong giao thức OpenFlow Tuy nhiên, trường IN_PORT có sự khác biệt nhỏ, do bộ giám sát lưu lượng chỉ bao gồm hai cổng dữ liệu trong SDF, tương ứng với các giao diện kết nối Internet và máy chủ.
PORT IN trong SDF chỉ biểu thị liệu mộ>t gói có phải là mộ>t gói xâm nhập hay không
(Từ Internet đến máy chủ) hoặc mộ>t gói tin đi ra (Từ máy chủ đến Internet).
Tra cứu Bảng Lưu lượng là quá trình quan trọng trong việc khớp các mục nhập luồng Sau khi trích xuất thông tin tiêu đề, thành phần tra cứu thực hiện cả hai chức năng và tra cứu ký tự đại diện Để tối ưu hóa hiệu quả và giảm thiểu va chạm, chúng tôi áp dụng hai hàm băm trên tiêu đề luồng, giúp nâng cao độ chính xác trong tra cứu.
TIEU LUAN MOI tải về tại skknchat123@gmail.com cung cấp cách sử dụng ký tự đại diện và mặt nạ để kiểm tra các kết quả phù hợp trong bảng lưu lượng Nếu có bất kỳ mục nhập luồng nào khớp với gói, bảng lưu lượng sẽ trả về tất cả các mục nhập phù hợp cho bộ xử lý hành động Ngược lại, nếu không có mục nào khớp, kết quả tra cứu sẽ là rỗng.
Bộ xử lý hành động quyết định hành động nào sẽ được áp dụng cho gói tin, với các hành động của mục nhập luồng có mức ưu tiên cao nhất được ưu tiên thực hiện Trong trường hợp không có kết quả, hành động mặc định là báo cáo cho bộ điều khiển sẽ được áp dụng Sau khi một hành động được thực hiện, bộ đếm trường của mục nhập luồng tương ứng sẽ được cập nhật.
OpenFlow cho phép thiết bị chuyển mạch bảo toàn gói ban đầu và chỉ gói gọn thông tin tiêu đề, tuy nhiên, giám sát lưu lượng cung cấp khả năng gửi toàn bộ gói đến bộ điều khiển bằng cách áp dụng "Gói toàn bộ gói đến bộ điều khiển" trong các quy tắc luồng Điều này là cần thiết do giới hạn bộ nhớ trong NIC Việc gói gọn toàn bộ gói cũng giúp Mô-đun trừu tượng hóa ứng dụng điều khiển khớp với tải trọng của lớp ứng dụng và nhận diện các chữ ký tấn công cơ sở dữ liệu, chẳng hạn như URL của máy chủ phần mềm độc hại và thông tin cá nhân.
Hình 6 Bảng thông tin cổng-máy chủ lưu trữ với hai thao tác: chèn và tra cứu.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Giám sát trạng thái máy chủ
Bộ theo dõi trạng thái máy chủ hoạt động cung cấp API để truy xuất thông tin về tên tác vụ, mức sử dụng CPU và bộ nhớ của các nhiệm vụ, dựa trên một cổng được chỉ định.
Thông tin tên nhiệm vụ (Task) phục vụ mục đích xác định ứng dụng tạo gói
CPU và thông tin bộ nhớ cung cấp cái nhìn tổng quan về tình trạng hiện tại của nhiệm vụ Nhờ vào những tính năng này, độ chính xác trong việc phát hiện cuộc tấn công có thể được cải thiện Ngoài ra, các ứng dụng điều khiển còn cho phép quản lý luồng cấp ứng dụng một cách chi tiết.
Chúng tôi sử dụng bảng thông tin máy chủ lưu trữ cổng để kết nối thông tin máy chủ với từng cổng Trình giám sát trạng thái máy chủ đầu tiên truy vấn tất cả các bản ghi id quy trình (Pid) trên các cổng đã bật Sau đó, nó thu thập thông tin về CPU và khả năng sử dụng bộ nhớ của các nhiệm vụ liên quan đến các pids này Mỗi bản ghi cổng được liên kết với nhiệm vụ tương ứng, với CPU và bộ nhớ giống nhau cho các bản ghi pid khác nhau thuộc cùng một nhiệm vụ Để tối ưu hóa việc lập chỉ mục, một trường cổng được sử dụng làm khóa cho bảng băm, và thời gian trường được thêm vào khi chèn bản ghi mới Mỗi bản ghi sẽ hết hạn sau thời gian texpire (ban đầu là 120 giây), và các bảng thông tin cổng-máy chủ sẽ được cập nhật mỗi 5 giây.
Bảng thông tin Port-host_info cung cấp hai chức năng chính là chèn bản ghi mới và tra cứu bản ghi Khi trình theo dõi trạng thái máy chủ lưu trữ phát hiện có bản ghi hiện tại trong quá trình chèn, nó sẽ so sánh trường nhiệm vụ giữa bản ghi hiện tại và bản ghi mới Nếu nhiệm vụ giống nhau, máy chủ sẽ chỉ theo dõi các cập nhật liên quan đến CPU, bộ nhớ và thời gian, như được thể hiện trong Hình 6.
Nếu không, màn hình trạng thái của máy chủ sẽ ghi đè lên toàn bộ bản ghi, như đã mô tả trong phần (2) - kinh doanh Khi tra cứu bản ghi được gọi, trạng thái máy chủ sẽ hiển thị màn hình lưu trữ.
Tải xuống TIEU LUAN MOI tại địa chỉ skknchat123@gmail.com Để kiểm tra thời gian của bản ghi, nếu bản ghi chưa hết hạn, trình theo dõi trạng thái máy chủ lưu trữ sẽ trả về bản ghi phù hợp Ngược lại, nếu bản ghi đã hết hạn, trạng thái máy chủ sẽ trả về EXPIRED Các bản ghi mới có thể ghi đè lên các bản ghi cũ, và trường thời gian được sử dụng để xác định bản ghi đã hết hạn Do đó, bảng thông tin máy chủ cổng không cần chức năng xóa trong bảng băm thông thường Kích thước ban đầu của bảng thông tin máy chủ lưu trữ cổng được đặt là 1000 mục nhập, đồng thời hỗ trợ thêm vào và các chiến lược thu gọn để điều chỉnh kích thước một cách linh hoạt.
Trình theo dõi trạng thái máy chủ gọi hệ điều hành để lấy thông tin về tác vụ, CPU và bộ nhớ theo thời gian thực Điều này xảy ra khi không tìm thấy bản ghi hoặc khi bản ghi đã hết hạn trong thông tin máy chủ lưu trữ cổng bàn, nhằm mục đích giảm thiểu độ trễ.
Các cuộc gọi thời gian thực có thể đáp ứng yêu cầu của GetHostInfoByPort, nhưng tra cứu trong bảng thông tin cổng-máy chủ lại hiệu quả hơn nhiều Trong một số trường hợp, nếu kết nối bị đóng trước khi gọi GetHostInfoByPort, trình theo dõi trạng thái máy chủ sẽ không thể lấy thông tin nào nếu không có hồ sơ trước đó.
Ngôn ngữ trừu tượng cấp cao được sử dụng trong ứng dụng điều khiển sự trừu tượng cho phép định nghĩa các giá trị cụ thể trong vùng dữ liệu Trong đó, "HEADER" trong trường Match đại diện cho toàn bộ tiêu đề của một gói, bao gồm các lớp từ MAC đến lớp truyền tải, trong khi "HEADERS" chỉ các tiêu đề cụ thể như loại ethernet và IP nguồn.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Phát hiện tấn công
Phát hiện tấn công là quá trình xác định lưu lượng truy cập độc hại và đánh dấu từng gói để quản lý ứng dụng dễ dàng hơn Chúng tôi sử dụng công nghệ đối sánh hai giai đoạn để nhận diện lưu lượng độc hại dựa trên các chữ ký tấn công Khi một gói tin đến, nhóm lưu lượng sẽ liên kết gói này với thông tin máy chủ và phân loại nó cùng các luồng khác dựa trên các trường tiêu đề Trong giai đoạn đầu, mô-đun phát hiện tấn công so khớp các trường của mỗi gói với chữ ký tấn công trong cơ sở dữ liệu.
Các mô-đun phát hiện tấn công sử dụng máy vector hỗ trợ (SVM) để xác định các luồng và thẻ độ hại, trong đó SVM CLASS = TRUE cho biết luồng được phân loại là lưu lượng độc hại Các ứng dụng điều khiển có khả năng quyết định thêm hành động cho mỗi gói tin.
Trong giai đoạn đầu tiên, mô-đun phát hiện tấn công sử dụng phân loại mức gói để kiểm tra các trường của một gói, với tải trọng là trường quan trọng nhất do chứa hầu hết chữ ký tấn công Nếu gói tin chứa chữ ký tấn công, nó sẽ được phân loại là lưu lượng độc hại và liên kết với cơ sở dữ liệu (DB) Ngược lại, nếu không chứa chữ ký, gói tin sẽ không được liên kết Chúng tôi cũng cung cấp giao diện để cập nhật cơ sở dữ liệu tấn công, cho phép người dùng tải xuống và cập nhật chữ ký tấn công mới từ Internet hoặc phát triển ứng dụng để tự động cập nhật dựa trên các mẫu tấn công đã xác định.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Trong giai đoạn thứ hai, Mô-đun phát hiện tấn công sử dụng SVM để phân loại lưu lượng truy cập độ hại dựa trên dữ liệu đào tạo, tối đa hóa khoảng cách giữa các mẫu và siêu phẳng SVM là thuật toán phân loại mạnh mẽ, có khả năng xử lý dữ liệu ồn ào Chúng tôi sử dụng các đặc điểm như CPU, bộ nhớ, tần số và tiêu đề, với tần số được xác định qua “gói trên mỗi luồng” và “byte trên mỗi luồng” Tập huấn luyện bao gồm lưu lượng từ hai cuộc tấn công (SYN flood và rò rỉ thông tin) cùng lưu lượng bình thường để xây dựng siêu phẳng f(x) với hạt nhân Gaussian SVM phân loại hiệu quả từng luồng bằng cách đánh giá dấu hiệu f(xs), gán nhãn "bất hợp pháp" cho các gói không hợp lệ (SVM CLASS = TRUE) và "hợp pháp" cho các gói hợp lệ (SVM CLASS = FALSE) Để cải thiện độ chính xác, chúng tôi cung cấp giao diện cập nhật dữ liệu đào tạo, cho phép Mô-đun phát hiện tấn công sử dụng mẫu mới trong quá trình huấn luyện, mặc dù chi phí có thể là một vấn đề khi xử lý lưu lượng lớn.
Chúng tôi có thể cài đặt quy tắc phân luồng trong giám sát giao thông để loại bỏ lưu lượng truy cập có hại và chỉ xử lý một số lưu lượng "đáng ngờ" nhằm phát hiện cuộc tấn công Thử nghiệm cho thấy rằng trình phân loại SVM tốn nhiều thời gian trong quá trình đào tạo, nhưng lại hiệu quả trong việc phân loại Do đó, chi phí phát hiện tấn công được xem là chấp nhận được.
Máy chủ kiểm tra
Máy chủ kiểm tra là thiết bị quan trọng trong mạng nội bộ, giúp xác minh tính hợp pháp của các mục nhập luồng trên bộ giám sát lưu lượng Thiết bị này có thể hoạt động độc lập hoặc hỗ trợ nhiều máy chủ khác nhau chỉ với một máy chủ kiểm tra Khi phát hiện các mục nhập luồng bất hợp pháp hoặc thiếu sót trong quy trình quan trọng, máy chủ kiểm tra sẽ đóng vai trò quyết định trong việc đảm bảo an ninh mạng.
Tải xuống TIEU LUAN MOI tại địa chỉ skknchat123@gmail.com Bài viết này đề cập đến việc giám sát máy bay bị nhiễm độc hoặc bị tắt bởi phần mềm độc hại Hệ thống máy chủ sẽ gửi cảnh báo đến các quản trị viên mạng để họ có thể tiến hành phân tích thêm về tình trạng của máy chủ.
Máy chủ kiểm tra thu thập thông tin về lưu lượng và máy chủ lưu trữ, bao gồm tác vụ, CPU, bộ nhớ và cơ sở dữ liệu chữ ký tấn công, định kỳ Nó áp dụng các thuật toán phân loại và chính sách bảo mật của ứng dụng điều khiển để tạo các mục nhập luồng nhằm xác minh Tương tự, máy chủ kiểm tra sẽ gắn thẻ nhiệm vụ, CPU và bộ nhớ cho từng gói, sau đó tạo các mục nhập luồng dựa trên chính sách bảo mật Những mục nhập luồng này sẽ được sử dụng để xác định các luồng không mong muốn và phát hiện thiếu sót trong việc theo dõi lưu lượng Mọi mâu thuẫn sẽ được báo cáo cho quản trị mạng để thông báo cho quản trị viên khi hệ thống bị tấn công bởi phần mềm độc hại.
Để giảm thiểu cảnh báo sai trong việc phân loại, chúng tôi giới thiệu khái niệm "mức độ rủi ro" cho các mâu thuẫn Mức độ rủi ro được xác định dựa trên khoảng cách giữa mẫu bị phân loại sai và siêu phẳng trong SVM Cụ thể, siêu phẳng được định nghĩa bởi f(x) = ω^T x + b, trong đó ω là vectơ pháp tuyến và được tính từ các mẫu huấn luyện Khoảng cách giữa siêu phẳng và mẫu phân loại sai được tính bằng Ds = |ω^T x_s + b| / ||ω|| Khi sử dụng hàm nhân κ, khoảng cách này có thể được điều chỉnh thành Ds = |∑(y_i κ(x_i, x_s)) + b| / ||ω|| Mức độ rủi ro được chuẩn hóa bằng cách chia cho khoảng cách trung bình của các mẫu, được biểu diễn là Rs = mDs / ∑D_i Đối với các mục nhập luồng không nhất quán khác, mức độ rủi ro sẽ được mặc định là 100.
Máy chủ kiểm tra có khả năng đảm nhận vai trò của bộ điều khiển, tương tự như mặt phẳng điều khiển tập trung trong SDN, nhằm ngăn chặn các cuộc tấn công từ máy bay điều khiển Tuy nhiên, thiết kế này sẽ tiêu tốn một lượng băng thông đáng kể của bộ điều khiển.
Tải xuống TIEU LUAN MOI tại địa chỉ skknchat123@gmail.com, chúng tôi đề xuất một thiết kế mặt phẳng điều khiển trên máy chủ nhằm giảm chi phí giao tiếp và độ trễ, đặc biệt khi SDF cung cấp quản lý lưu lượng cấp ứng dụng Mặc dù thiết kế này có thể đối mặt với nguy cơ từ phần mềm độc hại, nhưng máy chủ kiểm tra sẽ cảnh báo cho quản trị viên mạng về những bất thường xảy ra.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
KẾT QUẢ THỰC HIỆN VÀ ĐÁNH GIÁ
Thực hiện
Nguyên mẫu của giám sát lưu lượng trong SDF được xây dựng trên mộ>t phần cứng mạng hỗ trợ OpenFlow, Broadcom BCM56960 Series, hỗ trợ các chức năng
OpenFlow được trình bày trong Phần III, sử dụng bộ điều khiển RYU làm nền tảng Bộ điều khiển RYU được cài đặt trên PC với CPU i7 và 8GB RAM Chúng tôi giám sát và kiểm soát trạng thái máy chủ thông qua ứng dụng được phát triển bằng Python Để thiết kế mô-đun phát hiện tấn công, chúng tôi áp dụng LIBSVM như một bộ phân loại SVM.
Máy chủ kiểm tra được phát triển trên nền tảng một máy chủ Linux khác bằng ngôn ngữ lập trình Python Nó tận dụng cùng một bộ phân loại và ứng dụng kiểm soát trên máy chủ để đảm bảo hiệu quả trong quá trình kiểm tra.
Thiết lập
Một trong những cải tiến quan trọng nhất trong SDF là khả năng tránh bỏ qua tường lửa cá nhân Để đánh giá hiệu suất giám sát lưu lượng phần mềm độc hại của SDF, chúng tôi đã tiến hành cài đặt bộ khởi động SDF.
Rovnix trên máy chủ đã được thử nghiệm (máy chủ 1) và áp dụng chính sách “Match: *;
Event: LOG, FORWARD; Quy tắc: null ”để ghi lại tất cả những gì đã chụp giao thông
Bên cạnh đó, hai tường lửa cá nhân khác nhau (McAfee và Norton) và bộ> khởi độ>ng
Rovnix được cài đặt trên mộ>t máy chủ khác (Host 2) với tư cách là đối tượng kiểm soát
Một công tắc kết nối với Internet, các mô-đun giám sát lưu lượng và hai máy chủ, giúp phản ánh toàn bộ lưu lượng truy cập giữa Internet và máy chủ được kiểm tra Điều này cho phép máy chủ giám sát ghi lại tất cả lưu lượng từ và đến máy chủ, như mô tả trong Hình 10 Nhờ vậy, hiệu suất có thể được đánh giá bằng cách so sánh lưu lượng đã ghi với lưu lượng được nhân bản.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Hình 10 Cấu trúc liên kết trong thử nghiệm phát hiện lưu lượng phần mềm độc hại.
Phân loại thông tin máy chủ là một yếu tố quan trọng trong việc hiểu cách mà các thông tin như tác vụ, CPU và thời gian bộ nhớ ảnh hưởng đến độ chính xác của nhận dạng lưu lượng độc hại Chúng tôi đã phát triển hai chương trình để tạo ra lưu lượng truy cập độc hại: SYN Floer, chương trình tạo gói SYN với IP nguồn giả mạo, và người rò rỉ quyền riêng tư, thường xuyên gửi thông tin máy chủ đến máy chủ, bao gồm địa chỉ MAC và địa chỉ IP.
IP, tên máy chủ và đang chạy nhiệm vụ) Chúng tôi áp dụng hai chính sách “Đối sánh:
Trong cơ sở dữ liệu, payload có thể nằm trong DB hoặc HEADER Các sự kiện quan trọng bao gồm LOG và DROP Quy tắc liên quan đến việc xác định giá trị null và ghi lại các lưu lượng truy cập đáng ngờ khác, được phân loại là bất hợp pháp bởi trình phân loại SVM.
Chúng tôi đã vô hiệu hóa trình theo dõi trạng thái máy chủ lưu trữ bằng cách thiết lập task = null, CPU = 0, memory = 0, và hiển thị phân loại mà không có thông tin máy chủ lưu trữ Dữ liệu đào tạo của chúng tôi được thu thập từ các loại tấn công trong ba tình huống: duyệt trang web, tải xuống dữ liệu, và tải lên dữ liệu, cùng với việc tạo tiểu thuyết mới không từ dữ liệu đào tạo Mục tiêu là để đánh giá hiệu suất của phân loại thông tin máy chủ lưu trữ và máy chủ thông tin máy chủ phân loại bị vô hiệu hóa trong các trường hợp khác nhau.
Chúng tôi tiến hành kiểm tra khả năng của máy chủ kiểm toán trong việc cảnh báo quản trị viên mạng về các cuộc tấn công vào máy bay điều khiển Đặc biệt, chúng tôi đã sử dụng phần mềm độc hại (Mal1.exe) để thực hiện việc này và theo dõi các thông báo liên quan.
“sửa đổi trạng thái” (Để cài đặt/gỡ bỏ các mục nhập luồng vào giám sát lưu
Tải xuống TIEU LUAN MOI tại skknchat123@gmail.com, bao gồm các mục như thêm một mục nhập luồng để chuyển tiếp lưu lượng truy cập và chặn luồng tấn công bằng cách cài đặt các quy tắc Ngoài ra, có một phần mềm độc hại khác (mal2.exe) được sử dụng để khai thác chức năng.
“FlowStatsReply” được kích hoạt bởi sự kiện ofp.EventOFPFlowStatsReply, thay thế số gói và số byte của các luồng bằng 3 và 198, dẫn đến phân loại không chính xác, đặc biệt là trong việc phân tích lưu lượng tấn công thống kê.
Phần mềm độc hại thứ ba (mal3.exe) được sử dụng để tắt máy bay điều khiển khi không thể truy cập điểm đến, đồng thời cài đặt quy tắc luồng để chuyển tiếp lưu lượng truy cập nhằm ngăn chặn các cuộc tấn công Tất cả phần mềm độc hại sẽ gửi 20 gói SYN mỗi giây đến một máy chủ Các chính sách bảo vệ được thiết lập để chặn các gói bất hợp pháp, với việc xác định dựa trên Bộ phân loại SVM, và chỉ có tính năng tác vụ của Mal1.exe được lưu trữ trong cơ sở dữ liệu chữ ký tấn công.
Chi phí xử lý gói chủ yếu đến từ các thủ tục bỏ sót trong quá trình quản lý luồng Những chi phí này bao gồm việc tra cứu bảng luồng, gói trong yêu cầu, xử lý các tính năng đang chờ, phân loại và thiết lập quy tắc cho luồng.
Do đó, cần phải bao gồm tất cả các thủ tục liên quan đến việc đánh giá chi phí, ví dụ như không thể chấp nhận Rule = null Chúng tôi thực hiện chính sách "Match".
(SVM CLASS = FALSE, IN PORT = máy chủ); Event: FORWARD; Quy tắc:
Để cho phép các kết nối khi lưu lượng được xác định là lành tính bởi SVM, chúng tôi sử dụng quy tắc OFMatch với IN = host & IP DST = ip dst và Action = FORWARD Chúng tôi đánh giá chi phí xử lý gói tin bằng cách đo thời gian khứ hồi của 100 gói được tạo bởi hai máy chủ đã được thử nghiệm, cả trong trường hợp có và không có SDF.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Kết quả thử nghiệm
Trong thử nghiệm thu thập lưu lượng phần mềm độc hại, chúng tôi đã sử dụng tỷ lệ giữa gói tin được máy chủ lưu trữ và gói tin được chụp bởi màn hình Host để tính toán tốc độ bắt gói Kết quả được trình bày trong Bảng 1 cho thấy, trong đối tượng kiểm soát, McAfee và Norton đã phát hiện phần mềm độc hại khi Rovnix được sao chép vào máy chủ, nhưng không thể nắm bắt lưu lượng truy cập của bootkit Rovnix Ngược lại, SDF đã thành công trong việc nắm bắt tất cả các gói của Rovnix bootkit, mặc dù số lượng gói được tạo ra là rất lớn.
Xác định lưu lượng độc hại là một quá trình quan trọng trong việc phân loại các loại tấn công mạng Chúng tôi đã phân tích cách các tính năng khác nhau ảnh hưởng đến kết quả phân loại, đặc biệt là các tính năng được nêu trong phần 3.5 liên quan đến trình phân loại SVM Mặc dù trọng số của các tính năng có thể khác nhau tùy thuộc vào loại tấn công, nhưng các yếu tố như tác vụ, tần suất, CPU và trường giao thức trong tiêu đề có vai trò quan trọng đối với các cuộc tấn công ARP và SYN-Flood Đặc biệt, tác vụ và trường giao thức cũng rất quan trọng trong việc xác định lưu lượng rò rỉ quyền riêng tư Chúng tôi sử dụng tỷ lệ dương tính thực (TPR) và tỷ lệ dương tính giả (FPR) để đánh giá hiệu quả của quá trình phân loại này.
Các gói lành tính được sử dụng để so sánh thông tin máy chủ khi được bật và khi bị vô hiệu hóa trong các trường hợp như duyệt, tải xuống và tải lên Kết quả phân tích, được trình bày trong Hình 11, cho thấy rằng cả hai phân loại theo SYN-Floer đều chính xác hơn trong việc phát hiện người rò rỉ quyền riêng tư Điều này là do việc tạo ra gói tin độ hại trong quá trình này.
SYN-lụter là các gói SYN Do đó, “TCP giao thức ”trở thành mộ>t tính năng quan trọng
Lưu lượng truy cập xâm phạm quyền riêng tư thường khó phát hiện, đặc biệt trong tình huống tải lên, do một số thông tin riêng tư như các tác vụ đang chạy không nằm trong chữ ký tấn công cơ sở dữ liệu Việc phân biệt giữa lưu lượng truy cập độc hại và các cập nhật giao thông thông thường là một thách thức lớn.
TIEU LUAN MOI tải về tại skknchat123@gmail.com cung cấp thông tin mới nhất về máy chủ lưu trữ, cho thấy rằng việc phân loại thông tin máy chủ lưu trữ hiệu quả hơn so với việc vô hiệu hóa trong mọi tình huống Kết quả nghiên cứu chỉ ra rằng các tính năng của máy chủ lưu trữ có khả năng tăng tỷ lệ phát hiện đúng (TPR) lên hơn 15% và giảm tỷ lệ phát hiện sai (FPR) khoảng 5% trong việc xác định lưu lượng truy cập của người rò rỉ quyền riêng tư.
Cảnh báo về các cuộc tấn công máy bay điều khiển cho phép máy chủ kiểm tra phát hiện sự mâu thuẫn trong các mục nhập luồng Những thông báo này giúp ngăn chặn các cuộc tấn công thông qua việc cài đặt quy tắc luồng (Mal1.exe) và phân tích thống kê lưu lượng truy cập (Mal2.exe) Hình 12 minh họa cho việc chặn các cuộc tấn công này và các hình ảnh liên quan đến việc tắt các cuộc tấn công máy bay điều khiển cũng được trình bày.
Trong cài đặt quy tắc dòng chặn các cuộc tấn công, mức độ rủi ro của mục nhập luồng gian lận được thiết lập ở mức 100 cho mal1.exe, vì nó đã được ghi nhận trong cơ sở dữ liệu chữ ký tấn công Ngược lại, mal2.exe không có trong cơ sở dữ liệu này, dẫn đến mức độ rủi ro của các cuộc tấn công thống kê lưu lượng truy cập là 8.2, được tính toán dựa trên khoảng cách chuẩn hóa tới siêu phẳng.
Khi bộ điều khiển gặp sự cố tắt máy bay điều khiển tấn công (mal3.exe), máy chủ kiểm tra có thể phát hiện sự không đồng nhất của các mục nhập luồng, với mức độ rủi ro của quy tắc gian lận là 6.4 Nếu bộ điều khiển tắt, có thể xuất hiện một số cảnh báo rủi ro thấp do bộ phân loại có tỷ lệ dương tính giả cao, dẫn đến mâu thuẫn trong các quy tắc phân luồng Kết quả của các cuộc tấn công này gần như giống nhau, khiến máy chủ kiểm toán không thể phân biệt được loại tấn công mà bộ điều khiển gặp phải Người điều hành quản trị mạng có thể tiến hành phân tích sâu hơn dựa trên các cảnh báo từ máy chủ kiểm tra.
Trong hệ thống SDF, bảng 2 mô tả quá trình xử lý các gói tin có chi phí cao TCAM đảm bảo thời gian xử lý các gói phù hợp rất ngắn, với độ trễ trung bình dưới 5ms Tuy nhiên, thời gian xử lý các gói bị bỏ sót lại kéo dài hơn nhiều, dẫn đến độ trễ trung bình tăng lên 105ms do bộ giám sát lưu lượng cần gửi các gói cho người điều khiển.
Tải xuống TIEU LUAN MOI tại địa chỉ skknchat123@gmail.com Trong quá trình quyết định và gửi các hành động trở lại trình giám sát lưu lượng, may mắn thay, các gói bị bỏ sót chỉ chiếm một phần nhỏ trong mạng lưu lượng Bộ điều khiển có khả năng cập nhật quy tắc luồng để xử lý gói tin khi được nhận lại Chúng tôi đã phát triển trình giám sát lưu lượng như một phần cứng cụ thể trong nguyên mẫu của mình Sự chậm trễ liên kết của các gói bỏ sót có thể được giảm thiểu khi giám sát lưu lượng hoạt động ở phía NIC.
Hình 11 So sánh giữa phân loại kích hoạt thông tin máy chủ và phân loại thông tin máy chủ bị vô hiệu hóa trong SDF.
Hình 12 Cảnh báo chặn các cuộc tấn công cài đặt quy tắc luồng và đầu độc các cuộc tấn công thống kê lưu lượng.
Hình 13 Cảnh báo tắt các cuộc tấn công máy bay điều khiển.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Hình 14 Cách sử dụng 1: bảo vệ máy chủ.
Trường hợp sử dụng
Bảo vệ máy chủ là một trong những trường hợp sử dụng quan trọng, đặc biệt đối với các máy chủ web có khả năng bị tấn công từ bên ngoài Các cuộc tấn công như DDoS và XSS đang ngày càng gia tăng, do đó cần áp dụng các biện pháp bảo vệ hiệu quả Một trong những phương pháp là chỉ cho phép truy cập qua các cổng cụ thể như 80 cho HTTP và 443 cho HTTPS, trong khi các yêu cầu đến cổng không hợp lệ sẽ được chuyển hướng để phân tích an ninh Bên cạnh đó, việc giám sát lưu lượng luôn được thực hiện nhằm phát hiện các hành vi độc hại trong quá trình giao tiếp, chẳng hạn như các IP nằm trong danh sách đen hoặc lưu lượng truy cập có dấu hiệu của WebShell.
Tải xuống TIEU LUAN MOI qua email skknchat123@gmail.com, bao gồm các thông tin mới nhất về giám sát lưu lượng và bảo mật máy chủ Để bảo vệ máy chủ hiệu quả, cần cập nhật cơ sở dữ liệu tấn công trong tác nhân giám sát lưu lượng một cách thủ công, dựa trên phản hồi từ đội ngũ nhân viên bảo mật.
Trong trường hợp này, SDF có thể được sử dụng để cập nhật chính sách bảo mật tự động mà không cần hai đại lý Chúng tôi cho phép các yêu cầu đến cổng 80 và 443, đồng thời phân tích các yêu cầu khác Trước tiên, chúng tôi áp dụng các quy tắc luồng chủ động (các chính sách bảo mật cơ bản) để chuyển tiếp các gói đến lành tính.
Cổng DST là 80 hoặc 443, và chúng tôi báo cáo các gói đến bộ điều khiển Chúng tôi thiết kế một ứng dụng phân tích bảo mật có khả năng tạo ra các tấn công chữ ký cho các gói đến từ những nguồn độc hại, bao gồm địa chỉ IP của máy chủ độc hại và mô hình WebShell.
Dựa trên các chữ ký mới, ứng dụng phân tích bảo mật đã cập nhật cơ sở dữ liệu chữ ký tấn công Chúng tôi đã phát triển một ứng dụng kiểm soát chính sách an ninh để báo cáo lưu lượng truy cập đáng ngờ và tự động cập nhật các chính sách bảo mật Một mô hình bảo vệ an ninh máy chủ với SDF được mô tả trong Hình 14, trong đó máy chủ kiểm tra không được trình bày để đơn giản hóa mô tả.
Trong thử nghiệm, chúng tôi đã cố gắng kết nối với cổng trái phép 8080 và tải lên phần mềm độc hại qua cổng 80 Tuy nhiên, khi SDF được kích hoạt, mặc dù cổng 8080 đang mở, chúng tôi vẫn không thể thiết lập kết nối với máy chủ qua cổng này Việc tải lên cũng không thành công và địa chỉ IP của khách hàng đã bị thêm vào cơ sở dữ liệu chữ ký của cuộc tấn công.
Kiểm soát mạng của phụ huynh trên PC cho phép quản lý khả năng truy cập internet của người dùng khác nhau Ban đầu, hệ thống này liên kết mỗi tài khoản với một danh sách đen hoặc danh sách trắng, từ đó chỉ cho phép hoặc từ chối các yêu cầu truy cập dựa trên những danh sách này Tuy nhiên, phương pháp này khá cứng nhắc và có thể ảnh hưởng đến việc truy cập các trang web bên ngoài Hơn nữa, kiểm soát này không thể chặn các trò chơi trực tuyến nếu chúng không nằm trong danh sách đen, dẫn đến những hạn chế trong việc bảo vệ trẻ em khỏi nội dung không phù hợp.
Tải xuống TIEU LUAN MOI tại địa chỉ skknchat123@gmail.com, với các cập nhật mới nhất theo ứng dụng và thời gian Chúng ta có thể cần sử dụng hai tài khoản với các chính sách khác nhau và thiết lập khoảng thời gian hoạt động cho từng tài khoản Hơn nữa, do các chính sách này là bộ lọc cấp hệ điều hành, chúng có thể bị bỏ qua khi sử dụng ngăn xếp TCP/IP riêng.
Với sự hỗ trợ của SDF, chúng tôi đã cho phép một người quản lý linh hoạt truy cập mạng chỉ với một tài khoản Chúng tôi áp dụng ba quy tắc luồng chủ động để chuyển tiếp yêu cầu tới “a.com”, bao gồm việc chuyển tiếp tất cả phản hồi và báo cáo các yêu cầu khác cho bộ điều khiển Đồng thời, quy tắc bảo mật được áp dụng để kiểm tra các gói từ ứng dụng chiếm hơn 50% CPU hoặc bộ nhớ, có thể liên quan đến các trò chơi trực tuyến Chúng tôi cũng thiết kế một Trình phân tích Dst để xác định xem yêu cầu hiện tại có liên kết với yêu cầu trước đó hay không, từ đó quyết định hành động đối với các miền khác Cuối cùng, một ứng dụng kiểm soát chính sách bảo mật được sử dụng để gửi yêu cầu tới trình phân tích Dst trong khung thời gian từ 08:00 đến 18:00, đảm bảo khả năng truy cập mạng miễn phí ngoài thời gian này Trong thiết kế của Dst Analyzer, chúng tôi không thêm quy tắc luồng mới vào giám sát lưu lượng, đảm bảo rằng yêu cầu đến “b.com” cũng sẽ bị loại bỏ ngay cả khi “b.com/1.jpg” xuất hiện trong các liên kết bên ngoài của “a.com”, tạo ra một cách linh hoạt cho mạng gốc điều khiển.
Trong thử nghiệm của chúng tôi, chúng tôi đã truy cập "Google.com" và tìm kiếm "Facebook" trên Google Hình ảnh Kết quả trả về bao gồm tất cả các hình ảnh liên quan đến chủ đề này từ các liên kết bên ngoài Chúng tôi cũng đã cố gắng kết nối với các nguồn thông tin khác.
“www.facebook.com” lúc 17:55, nhưng bị chặn.
Yêu cầu kết nối được phép vào lúc 18:05 Chúng tôi sử dụng phần mềm Warcraft để kiểm tra và theo dõi lưu lượng truy cập của mình, đồng thời ghi lại các dữ liệu cập nhật liên quan đến lưu lượng này.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
Hình 15 Ca sử dụng 2: điều khiển mạng của phụ huynh.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
KẾT LUẬN, HẠN CHẾ VÀ NHỮNG VẤN ĐỀ BÀN LUẬN
Giám sát lưu lượng trên NIC có thể được triển khai trên cả hai chuyển đổi bên hoặc bên NIC, nhưng việc triển khai phía NIC thường thuận tiện hơn cho người dùng phổ thông Trong khi đó, triển khai bên chuyển đổi phức tạp hơn do yêu cầu nhiều máy chủ và cần các giá trị IN_PORT lớn hơn hai để xác định các máy chủ khác nhau Các ứng dụng điều khiển cũng cần được tách biệt thành các nhóm để quản lý hiệu quả từng máy chủ Mặc dù chúng tôi xem triển khai phía NIC là giải pháp ưu việt hơn, nhưng hạn chế về tài nguyên phần cứng có thể là một thách thức Vì vậy, chúng tôi dự định thực hiện và tối ưu hóa SDF trên phía NIC với tài nguyên phần cứng hạn chế trong tương lai.
Sự chậm trễ trong kiểm soát lưu lượng cấp ứng dụng mang lại một phương pháp linh hoạt hơn cho việc quản lý lưu lượng kỹ thuật Mặc dù SDF có khả năng kiểm soát lưu lượng bằng cách kết nối thông tin máy chủ với mỗi gói dữ liệu ở phía máy chủ, nhưng bộ giám sát lưu lượng không thể thực hiện liên kết này nếu không có bảng thông tin cổng - máy chủ.
Gói bỏ sót bảng (OFMatch: *, Action REPORT) có thể cung cấp một giải pháp đơn giản cho việc nhận diện máy chủ thông tin của mỗi gói Tuy nhiên, giải pháp này có thể dẫn đến chi phí cao cho mạng, bao gồm độ trễ lâu và tiêu thụ băng thông đáng kể trong lưu lượng truy cập giám sát Mục tiêu của chúng tôi là duy trì cổng - bảng thông tin máy chủ lưu trữ ở phía giám sát lưu lượng, đồng thời tạo ra các tác vụ, CPU và các trường bộ nhớ trong tiêu đề Mặc dù việc duy trì bảng tiêu tốn một phần băng thông, nhưng chi phí này vẫn thấp hơn đáng kể so với giải pháp đơn giản trước đó Tuy nhiên, việc sửa đổi giao thức OpenFlow với các trường bổ sung và cổng - bảng thông tin máy chủ lưu trữ có thể gặp khó khăn trong các kịch bản triển khai bên chuyển đổi.
TIEU LUAN MOI download : skknchat123@gmail.com moi nhat
SDF thu thập thông tin máy chủ từ giám sát trạng thái để phát hiện các gói bất hợp pháp, nhưng phần mềm độc hại có thể lợi dụng các API của trình theo dõi để cung cấp thông tin giả Để đối phó, chúng tôi đề xuất đào tạo mạng quản trị viên để phân loại hành vi bình thường của từng ứng dụng dựa trên lưu lượng truy cập Một ứng dụng khách thường kết nối với máy chủ DNS để lấy IP và thiết lập kết nối Khi SDF phát hiện các gói TCP trước truy vấn DNS, nó có thể báo cáo sự kiện đáng ngờ cho quản trị mạng để phân tích Ngoài ra, SDF cũng có thể sử dụng các "Điểm kiểm tra" để xác minh trạng thái máy chủ, đảm bảo rằng CPU và tỷ lệ sử dụng bộ nhớ nằm trong phạm vi cho phép khi các dịch vụ được kích hoạt.
