Luận án Tiến sĩ Kỹ thuật viễn thông: Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:142

Thêm vào BST

Báo xấu

37
lượt xem 11
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mục tiêu nghiên cứu của luận án "Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm" là đưa ra một số cơ chế mới nhằm phát hiện, giảm thiểu tấn công DDoS trong mạng SDN. Tìm hiểu về DDoS ảnh hưởng như thế nào tới các thành phần của mạng SDN; Giải pháp phát hiện tấn công DDoS hiệu quả, chính xác và theo thời gian thực; Giải pháp giảm thiểu tấn công DDoS cũng như hậu quả của nó tới mạng SDN, duy trì hoạt động của mạng một cách liên tục.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Luận án Tiến sĩ Kỹ thuật viễn thông: Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC BÁCH KHOA HÀ NỘI Nguyễn Ngọc Tuấn CÁC GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG DDOS CHO MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG Hà Nội – 2023
BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC BÁCH KHOA HÀ NỘI Nguyễn Ngọc Tuấn CÁC GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG DDOS CHO MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM Ngành: Kỹ thuật viễn thông Mã số: 9520208 LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. Nguyễn Hữu Thanh Hà Nội – 2023
Lời cam đoan Nghiên cứu sinh xin cam đoan đây là công trình nghiên cứu của nghiên cứu sinh, không sao chép của bất kỳ ai. Các kết quả và số liệu trình bày trong luận án là hoàn toàn trung thực, được lấy từ các thử nghiệm trong quá trình nghiên cứu và chưa từng được công bố bởi tác giả khác. Hà Nội, ngày 19 tháng 9 năm 2023 Giáo viên hướng dẫn Tác giả PGS.TS. Nguyễn Hữu Thanh Nguyễn Ngọc Tuấn i
Lời cảm ơn Tôi xin chân thành cảm ơn PGS.TS Nguyễn Hữu Thanh đã nhiệt tình hướng dẫn và giúp đỡ tôi rất nhiều trong quá trình nghiên cứu và hoàn thành luận án. Tôi cũng xin chân thành cảm ơn Khoa Kỹ thuật truyền thông, Trường Điện-Điện tử và Phòng Đào tạo, Đại học Bách khoa Hà Nội đã tạo điều kiện thuận lợi để tôi hoàn thành nhiệm vụ nghiên cứu của mình. Tôi cũng bày tỏ lòng biết ơn đến gia đình tôi cùng bố mẹ, các anh chị em và bạn bè những người đã ủng hộ và động viên giúp đỡ tôi trong thời gian làm luận án. Nguyễn Ngọc Tuấn ii
MỤC LỤC Lời cam đoan ....................................................................................................................i Lời cảm ơn ...................................................................................................................... ii MỤC LỤC ..................................................................................................................... iii DANH MỤC CÁC THUẬT NGỮ VÀ VIẾT TẮT ........................................................v DANH MỤC CÁC KÝ HIỆU ..................................................................................... viii DANH MỤC CÁC BẢNG ..............................................................................................x DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ........................................................................xi MỞ ĐẦU .........................................................................................................................1 CHƯƠNG 1. CƠ SỞ LÝ THUYẾT ..............................................................................19 1.1. Tổng quan về mạng điều khiển bằng phần mềm SDN ........................................... 19 1.1.1. Kiến trúc của SDN...............................................................................................19 1.1.2. So sánh với kiến trúc mạng truyền thống ............................................................20 1.1.3. Chế độ hoạt động của mạng SDN .......................................................................21 1.2. Giao thức OpenFlow .............................................................................................. 22 1.2.1. Giới thiệu chung ..................................................................................................22 1.2.2. Thiết bị chuyển mạch OpenFlow ........................................................................24 1.2.3. Bộ điều khiển OpenFlow .....................................................................................26 1.2.4. Các bản tin OpenFlow .........................................................................................27 1.3. Tấn công từ chối dịch vụ DDoS ............................................................................. 27 1.3.1. Giới thiệu chung ..................................................................................................27 1.3.2. Phân loại tấn công từ chối dịch vụ ......................................................................29 1.3.3. Các phương pháp giảm thiểu tấn công DDoS .....................................................31 1.4. Cơ sở lý thuyết về học máy .................................................................................... 33 1.4.1. Quá trình hoạt động của các thuật toán học máy ................................................34 1.4.2. Thuật toán K-Nearest-Neighbor ..........................................................................39 1.4.3. Học sâu và thuật toán DNN .................................................................................41 1.5. Kết luận................................................................................................................... 46 CHƯƠNG 2. NHẬN DẠNG VÀ ĐO LƯỜNG MỘT SỐ TÁC ĐỘNG CỦA TẤN CÔNG DDOS VỚI KIẾN TRÚC SDN.........................................................................47 2.1. Giới thiệu ................................................................................................................ 47 2.2. Xây dựng mô hình thực nghiệm ............................................................................. 49 2.2.1. Các thành phần của mô hình thực nghiệm ..........................................................49 2.2.2. Thông số cấu hình mô hình thử nghiệm ..............................................................51 2.3. Các tác động của tấn công DDoS lên kiến trúc mạng SDN ................................... 53 2.3.1. Tác động của tấn công DDoS lên bộ điều khiển SDN ........................................53 2.3.2. Tác động của tấn công DDoS lên thiết bị chuyển mạch SDN ............................60 2.3.3. Tác động của tấn công lưu lượng lên kết nối giữa thiết bị điều khiển và thiết bị chuyển mạch ..................................................................................................................64 2.4. Kết luận...................................................................................................................65 CHƯƠNG 3. ĐỀ XUẤT GIẢI PHÁP PHÁT HIỆN TẤN CÔNG DDOS TRONG MẠNG SDN ..................................................................................................................66 3.1. Giải pháp tổng thể ngăn chặn tấn công DDoS ....................................................... 66 3.2. Giái pháp phát hiện tấn công DDoS ....................................................................... 68 iii
3.3. Khối phát hiện dữ liệu bất thường sử dụng thuật toán học máy trong mạng SDN 71 3.3.1. Lựa chọn thuật toán học máy ..............................................................................71 3.3.2. Áp dụng thuật LoF vào khối phát hiện bất thường .............................................72 3.4. Khối phân loại và phát hiện tấn công DDoS cụ thể ............................................... 74 3.4.1. Khối phân loại dữ liệu .........................................................................................74 3.4.2. Khối phát hiện loại tấn công cụ thể .....................................................................74 3.5. Tập dữ liệu và các đặc trưng dữ liệu ...................................................................... 75 3.5.1. Bộ dữ liệu tấn công CAIDA ................................................................................76 3.5.2. Bộ dữ liệu DDoSDB ............................................................................................78 3.5.3. Bộ dữ liệu tự đo đạc và tạo bởi phần mềm Bonesi..............................................80 3.5.4. Lựa chọn đặc trưng cho các thuật toán học máy .................................................81 3.6. Thực hiện thử nghiệm và đánh giá giải pháp .........................................................82 3.6.1. Mô hình thử nghiệm ............................................................................................82 3.6.2. Kết quả thử nghiệm phát hiện bất thường ...........................................................83 3.6.3. Kết quả thử nghiệm phát hiện tấn công DDoS cụ thể .........................................85 3.7. Kết luận................................................................................................................... 87 CHƯƠNG 4. ĐỀ XUẤT GIẢI PHÁP GIẢM THIỂU TẤN CÔNG DDoS TRONG MẠNG ISP SỬ DỤNG THUẬT TOÁN HỌC MÁY ...................................................88 4.1. Giới thiệu ................................................................................................................ 88 4.2. Đề xuất giải pháp giảm thiểu tấn công DDoS ........................................................ 89 4.3. Cửa sổ thời gian giám sát thích ứng ....................................................................... 91 4.4. Đánh giá hiệu năng ................................................................................................. 95 4.4.1. Xây dựng mô hình thực nghiệm và thiết lập các tham số ...................................95 4.4.2. Kết quả thực nghiệm............................................................................................95 4.5. Kết luận................................................................................................................. 100 CHƯƠNG 5. GIẢM THIỂU TẤN CÔNG DDOS VỚI GIẢI PHÁP CO GIÃN TÀI NGUYÊN MẶT PHẲNG ĐIỀU KHIỂN SDN ..........................................................101 5.1. Giới thiệu .............................................................................................................. 101 5.1.1 Giới thiệu về Container ......................................................................................102 5.1.2. Giới thiệu về Kubernetes ...................................................................................103 5.2. Mô hình đề xuất .................................................................................................... 105 5.2.1 Giải pháp tự động mở rộng mặt phẳng điều khiển dựa trên Kubernetes ...........105 5.2.2. Mô hình chuyển dịch thiết bị điều khiển tự động..............................................106 5.2.3. Thuật toán thích ứng cho thiết bị điều khiển dựa trên luồng mới NACAT ......108 5.3. Kết quả đánh giá ................................................................................................... 109 5.3.1. Thiết lập mô hình thử nghiệm ...........................................................................109 5.3.2. Đánh giá kết quả thử nghiệm.............................................................................111 5.4. Kết luận................................................................................................................. 112 KẾT LUẬN CHUNG ..................................................................................................113 DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN ......................117 TÀI LIỆU THAM KHẢO ...........................................................................................118 iv
DANH MỤC CÁC THUẬT NGỮ VÀ VIẾT TẮT ACK Acknowledgement Xác nhận AI Artificial Inteligence Trí tuệ nhân tạo ANN Artificial Neural Networks Mạng nơ-ron nhân tạo API Application Programming Giao diện lập trình ứng dụng Interface CNN Convolutional Neural Mạng nơ ron tích chập Network CPSA Control Plane Saturation Tấn công bão hòa mặt phẳng điều Attack khiển CPU Central Processing Unit Bộ xử lý trung tâm DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DGA Domain Generation Algorithm Thuật toán tạo miền DNN Deep Neural Network Mạng nơ-ron sâu DNS Domain Name System Hệ thống phân giải tên miền DoS Denial of Service Tấn công từ chối dịch vụ DRL Deep Reinforcement Learning Học sâu tăng cường FPGA Field-Programmable Gate Mạch tích hợp dùng cấu trúc mảng Array phần tử logic có thể lập trình được FPR False Positive Rate Tỷ lệ tích cực sai Gbps Gigabit per second Gigabit trên mỗi giây GPU Graphics Processing Unit Bộ phận xử lý đồ họa GRU Gated Recurrent Unit Nút hồi tiếp có cổng HPA Horizontal Pod Autoscaler Bộ điều khiển mở rộng theo chiều ngang các Pod HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản ICMP Internet Control Message Giao thức bản tin điều khiển Protocol Internet IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IoT Internet of Things Kết nối các vật IP Internet Protocol Giao thức Internet IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập ISP Internet Service Provider Nhà cung cấp dịch vụ Internet v
JVM Java Virtual Machine Máy ảo Java KNN K-Nearest Neighbors Thuật toán k hàng xóm gần nhất LAN Local Area Network Mạng nội bộ LoF Local outlier Factor Thuật toán sử dụng các mẫu lân cận để phát hiện điểm ngoại lệ LRD Local Reachability Density Mật độ khả năng tiếp cận tại địa phương LSTM Long Short-Term Memory Bộ nhớ ngắn-dài hạn MAC Media Access Control Giao thức điều khiển truy cập đường truyền MTW Monitoring Time Window Cửa sổ thời gian giám sát NACAT New-flow based Adaptive Thuật toán thích ứng cho thiết bị Controller Algorithm điều khiển dựa trên luồng mới NAT Network Address Translation Chuyển đổi địa chỉ mạng NTP Network Time Protocol Giao thức thời gian mạng ODL OpenDaylight Bộ điều khiển Opendaylight OvS Open vSwitch Thiết bị chuyển mạch ảo chạy Openflow QoS Quality of Service Chất lượng dịch vụ RD Reachability Distance Khoảng cách khả năng tiếp cận RNN Recurrent Neural Network Mạng nơ ron hồi quy RTT Round Trip Time Thời gian khứ hồi RWND Receiver Window Kích thước của bộ đệm nhận SDN Software Defined Network Mạng điều khiển bằng phần mềm SFC Service Function Chain Chuỗi chức năng dịch vụ SOM Self Organizing Maps Bản đồ tự tổ chức SSL Secure Sockets Layer Lớp cổng bảo mật SSP SYN Proxy Đại diện đồng bộ hóa SVM Support Vector Machine Máy vectơ hỗ trợ SYN Synchronous Đồng bộ TCAM Ternary Content-Addressable Bộ nhớ nội dung địa chỉ ba cấp Memory TCP Transmission Control Protocol Giao thức điều khiển truyền TCP SYN TCP Syncronous Bản tin đồng bộ của giao thức TCP vi
TPR True Positive Rate Tỷ lệ tích cực đúng UDP User Datagram Protocol Giao thức gói dữ liệu người dùng URL Uniform Resource Locator Hệ thống định vị tài nguyên thống nhất VLAN Virtual Local Area Network Mạng cục bộ ảo VM Virtual Machine Máy ảo vii
DANH MỤC CÁC KÝ HIỆU ̃𝑖 𝑊 Kích thước cửa sổ giám sát tối ưu 𝑓𝑖 Số luồng TCP hoặc số gói ICMP trên mỗi giây 𝑝𝑖 Hiệu quả giảm thiểu tốt nhất 𝑞 𝑢𝑖 Thông tin đặc trưng của điểm dữ liệu trong tập huấn luyện 𝑞 𝑣𝑗 Thông tin đặc trưng của điểm dữ liệu thử nghiệm ∅(x) Hàm kích hoạt trong nơ ron nhân tạo µ Giá trị trung bình bj Sai lệch nơ ron d(A, B) Khoảng cách từ A đến B d(x,y) Khoảng cách giữa hai điểm x và y trong không gian nhiều chiều di Khoảng cách giữa hai điểm thứ i F Đặc điểm của lưu lượng tấn công gj Hàm nơ ron nhân tạo H(Xi) Entropy của Xi i, j Chỉ số chạy k Số lượng điểm lân cận L Số điểm trong tập dữ liệu huấn luyện LoFk(A) Hệ số ngoại lệ cục bộ của A trong phạm vi có k điểm lân cận của A LRDk(A) Mật độ khả năng tiếp cận tại địa phương trong LoF Nk(A) k-điểm lân cận trong LoF P Hiệu quả giảm thiểu tấn công của cổng bảo mật q Số đặc trưng của điểm dữ liệu RD(Xi, Xj) Khoảng cách khả năng tiếp cận trong LoF U Tập dữ liệu huấn luyện Ui Điểm dữ liệu trong tập huấn luyện V Điểm dữ liệu thử nghiệm W Kích thước cửa sổ thời gian giám sát wịj Biến trọng số trong nơ ron nhân tạo viii
wj Véc tơ trọng số kết nối trong nơ ron nhân tạo x, y Hai điểm trong không gian nhiều chiều σ Độ lệch chuẩn 𝑝(𝑥 𝑖 𝑗 ) Số luồng được mang trong một số gói được gửi trong một thời gian cụ thể ix
DANH MỤC CÁC BẢNG Bảng 0.1 Phân loại công việc gần đây liên quan đến đánh giá hiệu năng của kiến trúc SDN và tác động của tấn công DDoS lên mạng SDN..................................................... 6 Bảng 1.1 Cấu trúc bảng luồng ....................................................................................... 22 Bảng 1.2 Các thuộc tính của sự kiện trong OpenFlow .................................................. 23 Bảng 1.3 Các sự kiện trong bản tin hồi đáp yêu cầu thống kê từ bộ điều khiển ........... 23 Bảng 1.4 Ý nghĩa một số trường thông tin trong luồng đường đi ................................. 25 Bảng 1.5 Thông số trường thống kê ............................................................................. 25 Bảng 1.6 Một số hành động trong luồng đường đi........................................................ 26 Bảng 1.7 Các phương pháp giảm thiểu underfitting và overfitting ............................... 38 Bảng 2.1 Cấu hình và tham số của mô hình thử nghiệm............................................... 52 Bảng 2.2 Mức sử dụng tài nguyên tối đa của bộ điều khiển SDN ................................ 56 Bảng 2.3 Khả năng phần cứng TCAM của HP-2920 .................................................... 63 Bảng 3.1 Bảng so sánh thời gian xử lý của LOF và Once-Class SVM ......................... 72 Bảng 3.2 Số IP và cổng trong bộ dữ liệu CAIDA 2007 ................................................ 77 Bảng 3.3. Kết quả phân tích dữ liệu tấn công TCP-SYN trong bộ dữ liệu DDoSDB .. 79 Bảng 3.4. Kết quả phân tích dữ liệu tấn công ICMP trong bộ dữ liệu DDoSDB ......... 79 Bảng 3.5 Số IP và cổng trong bộ dữ liệu được sinh ra bởi Bonesi ............................... 80 Bảng 3.6 Thông số cấu hình của thử nghiệm ................................................................ 82 Bảng 3.7 Hiệu quả phát hiện của LoF với k = 6............................................................ 84 Bảng 3.8 Hiệu năng của thuật toán KNN ...................................................................... 86 Bảng 3.9 Kết quả sử dụng thuật toán DNN và KNN phát hiện tấn công ICMP và TCP- SYN ............................................................................................................................... 87 Bảng 4.1 Bảng tham chiếu giá trị cửa sổ thời gian giám sát và ngưỡng tối ưu cho kịch bản dữ liệu cụ thể........................................................................................................... 93 ̃ Bảng 4.2 Cửa sổ thời gian giám sát tối ưu WTCP cho tấn công TCP-SYN trong các tình huống dữ liệu khác nhau ................................................................................................ 94 ̃ Bảng 4.3 Cửa sổ thời gian giám sát tối ưu WTCP cho tấn công ICMP trong các tình huống dữ liệu khác nhau ........................................................................................................... 94 Bảng 4.4 Hiệu suất của các thuật toán học máy khác nhau........................................... 96 Bảng 4.5 Hiệu quả giảm thiểu tấn công tràn TCP-SYN và tràn ICMP ......................... 99 Bảng 5.1 Thông số cấu hình máy chủ ......................................................................... 109 Bảng 5.2 Các thông số tự động mở rộng và giảm thiểu .............................................. 110 x
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 0.1 Tóm tắt mục tiêu và nội dung nghiên cứu ...................................................... 15 Hình 0.2 Quá trình thực hiện nghiên cứu ...................................................................... 16 Hình 1.1 Cấu trúc mạng SDN........................................................................................ 19 Hình 1.2 So sánh kiến trúc mạng truyền thống và mạng SDN ..................................... 21 Hình 1.3 Các thành phần chính của thiết bị chuyển mạch OpenFlow .......................... 24 Hình 1.4 Thông tin luồng đường đi trong bảng luồng .................................................. 24 Hình 1.5 Kẻ tấn công xây dựng hệ thống botnet ........................................................... 27 Hình 1.6 Mô hình kiến trúc tấn công DDoS .................................................................. 29 Hình 1.7 Phân loại các hình thức tấn công từ chối dịch vụ phân tán DDoS ................. 29 Hình 1.8 Quá trình tấn công tràn TCP-SYN ................................................................. 30 Hình 1.9 Mô hình bảo mật mạng truyền thống ............................................................. 33 Hình 1.10 Vai trò của các tập dữ liệu trong mô hình thuật toán ................................... 35 Hình 1.11 So sánh Recall của 3 thuật toán theo độ lớn tập dữ liệu............................... 36 Hình 1.12 Overfiting và Underfiting ............................................................................. 37 Hình 1.13 Mô hình tập dữu liệu theo 3 trạng thái: Underfitting, Mô hình tốt, Overfitting ....................................................................................................................................... 37 Hình 1.14. Sơ đồ hoạt động của một nơ ron nhân tạo ................................................... 42 Hình 1.15 Mô hình tổng thể của học sâu ....................................................................... 43 Hình 1.16 Quá trình lan truyền xuôi để tính ra giá trị ra và hàm mất mát .................... 44 Hình 2.1 Tương tác giữa mặt phẳng điều khiển và mặt phẳng dữ liệu trong mạng SDN ....................................................................................................................................... 48 Hình 2.2 Tổng hợp các lỗ hổng trong kiến trúc SDN ................................................... 48 Hình 2.3 Mô hình kiến trúc hệ thống đo đạc để đánh giá tác động của DDoS và xây dựng hồ sơ hiệu năng mạng SDN ........................................................................................... 50 Hình 2.4 Hiệu năng của bộ điều khiển SDN trong trường hợp 5,000 luồng TCP-SYN đến trong một giây ......................................................................................................... 54 Hình 2.5 Hiệu năng của bộ điều khiển Floodlight khi tấn công TCP-SYN ở tốc độ 10,000fps, 15,000fps và 20,000fps ................................................................................ 55 Hình 2.6 Các tác động của ICMP flood lên bộ điều khiển SDN ................................... 57 Hình 2.7 Kích thước cửa sổ nhận TCP của bộ điều khiển SDN khi tấn công tràn ICMP xảy ra ............................................................................................................................. 58 Hình 2.8 Hiệu năng của bộ điều khiển Ryu, POX sau khi tích hợp thuật toán thông minh ....................................................................................................................................... 59 xi
Hình 2.9 So sánh hiệu năng của bộ điều khiển khi tích hợp LoF và DNN ................... 59 Hình 2.10 Hiệu năng của OVS với Floodlight khi có tấn công TCP-SYN (cùng kịch bản với kết quả tại hình 2.3a, 2.3c) ...................................................................................... 61 Hình 2.11 Phản ứng của mạng với tấn công ICMP khi giới hạn bộ nhớ TCAM ở mức 2,000 mục ...................................................................................................................... 62 Hình 2.12 Phản ứng của HP Aruba 2920 với tấn công ICMP ...................................... 63 Hình 2.13 Ảnh hưởng của tắc nghẽn trên đường kết nối thiết bị chuyển mạch và thiết bị điều khiển tới độ trễ trong mặt phẳng dữ liệu ............................................................... 64 Hình 3.1 Kiến trúc của giải pháp tổng thể đề xuất tổng thể .......................................... 66 Hình 3.2 Các trạng thái của mặt phẳng điều khiển ....................................................... 67 Hình 3.3 Mô hình logic phát hiện tấn công DDoS ........................................................ 69 Hình 3.4 Mô hình kiến trúc tích hợp hệ thống phát hiện tấn công DDoS ..................... 70 Hình 3.5 Ví dụ về k-khoảng cách và k-điểm lân cận của A với k=3 ............................ 72 Hình 3.6 Ví dụ về RD với k=3 ...................................................................................... 73 Hình 3.7 Tấn công DDoS trong mạng nhà cung cấp dịch vụ ISP ................................. 77 Hình 3.8 (a) Entropy trung bình của địa chỉ cổng nguồn trên mối IP; (b) Logarit số gói ICMP trên mỗi địa chỉ IP .............................................................................................. 78 Hình 3.9 Mô hình thử nghiệm ....................................................................................... 82 Hình 3.10 Recall và độ lệch chuẩn của nó phụ thuộc vào k điểm lân cận .................... 83 Hình 3.11 Số lượng luồng trên mỗi giây và trạng thái của hệ thống ............................ 84 Hình 3.12 Khối lượng dữ liệu trong mỗi giây (bps) và trạng thái của hệ thống ........... 85 Hình 3.13 Phân loại dữ liệu sử dụng thuật toán LoF..................................................... 85 Hình 3.14 Độ chính xác của thuật toán DNN với các giá trị tốc độ học khác nhau ..... 86 Hình 3.15 Hàm mất mát trong tập huấn luyện khi số lượng vòng lặp tăng và tham số tốc độ học là 0,0025 ............................................................................................................ 86 Hình 4.1 Mô hình logic giải pháp giảm thiểu tấn công DDoS ...................................... 89 Hình 4.2 Mô hình kiến trúc tích hợp hệ thống phát hiện, giảm thiểu tấn công DDoS .. 89 Hình 4.3 Lưu đồ thuật toán giảm thiểu.......................................................................... 90 Hình 4.4 Hiệu năng của hệ thống với mỗi giá trị cửa sổ thời gian giám sát ................. 91 Hình 4.5 Quy trình giảm thiểu tấn công DDoS dựa trên thuật toán học máy ............... 92 Hình 4.6 Hiệu quả giảm thiểu tấn công theo giá trị cửa sổ thời gian giám sát trong hai trường hợp (a) tấn công tràn ICMP và (b) tấn công TCP-SYN .................................... 97 Hình 4.7 Các luồng TCP vào và ra khỏi bộ điều khiển ................................................. 98 xii
Hình 4.8 Khối lượng dữ liệu tấn công đến nạn nhân: (a) TCP-SYN (số luồng trên giây) và (b) ICMP (số gói trên giây) ...................................................................................... 98 Hình 4.9 Khối lượng dữ liệu bình thường tới nạn nhân: (a) TCP-SYN (luồng trên giây) và (b) ICMP (gói trên giây) ........................................................................................... 98 Hình 4.10 Độ trễ của dữ liệu bình thường ..................................................................... 99 Hình 5.1 Mô hình kiến trúc cho giải pháp container hóa bộ điều khiển trong mạng SDN ..................................................................................................................................... 106 Hình 5.2 Quá trình chuyển đổi bộ điều khiển ............................................................. 107 Hình 5.3 Cấu hình mô hình thử nghiệm ...................................................................... 109 Hình 5.4 Kết quả đo đạc đánh giá xử lý luồng của thiết bị điều khiển Ryu ............... 110 Hình 5.5 Hiệu quả tự động mở rộng của NACAT khi có tấn công TCP-SYN flood . 111 Hình 5.6 Sự thay đổi số lượng thiết bị điều khiển controller của NACAT khi có tấn công TCP-SYN flood ........................................................................................................... 111 xiii
MỞ ĐẦU 0.1. Mục đích nghiên cứu Hiện nay, công nghệ thông tin đang ngày càng phát triển và chiếm một vị trí vô cùng quan trọng trong sự phát triển của xã hội. Công nghệ thông tin được ứng dụng trong mọi mặt của đời sống như: giáo dục, y tế, giao thông, quản lý vận hành các nhà máy, vui chơi giải trí… Nó giúp cho các hoạt động của con người được thuận tiện và nhanh chóng hơn. Đặc biệt khi cuộc cách mạng công nghiệp lần thứ tư bùng nổ thì công nghệ thông tin lại càng trở nên quan trọng hơn. Các ứng dụng sử dụng công nghệ thông tin ngày càng nhiều và yêu cầu cao về băng thông, chất lượng dịch vụ cũng như độ an toàn thông tin. Để đáp ứng nhu cầu đó, các tập đoàn công nghệ, viễn thông đã liên tục nghiên cứu, cập nhật, phát triển thiết bị, giải pháp mạng có hiệu năng lớn với khả năng đáp ứng cao và bảo mật thông tin. Một hướng đi đang được rất nhiều tổ chức như tập đoàn Cisco, HP, IBM, Microsoft,... quan tâm và phát triển là mạng điều khiển bằng phần mềm SDN [1]. SDN là một xu hướng công nghệ mạng mới khi mang đến những tính năng quản lý hết sức linh hoạt với hiệu năng cao. Khác với công nghệ mạng truyền thống, SDN cho phép tách các chức năng mặt phẳng điều khiển ra khỏi các chức năng mặt phẳng chuyển tiếp dữ liệu, đồng thời cung cấp khả năng quản lý giám sát tập trung và tạo ra các giao diện lập trình ứng dụng mở, cho phép các nhà nghiên cứu phát triển có thể can thiệp vào sự hoạt động của các thiết bị mạng cũng như mở rộng, bổ sung các chức năng mới qua phần mềm. Trong kiến trúc mạng truyền thống, chức năng điều khiển và chuyển tiếp gói tin được thực hiện ở trên cùng một thiết bị. Các thiết bị độc lập với nhau và tự quyết định hành động của mình. SDN ngược lại, tách biệt hai chức năng này và cho phép người quản trị mạng làm chủ chức năng điều khiển. Theo kiến trúc này các thiết bị mạng sẽ nhận các chỉ thị xử lý gói từ bộ điều khiển thay vì sử dụng tài nguyên vốn khan hiếm của nó để xử lý các gói tin đến. Việc xử lý như thế nào hoàn toàn được định nghĩa ở lớp điều khiển và người quản trị có thể can thiệp dễ dàng. Lớp ứng dụng trong SDN sẽ có hình ảnh thống nhất về toàn bộ mạng thông qua lớp điều khiển như thể cả mạng chỉ là một thiết bị ảo khồng lồ. Lớp điều khiển là nơi thực hiện định tuyến xác định đường đi, thực thi các thuật toán, chính sách để điều khiển hoạt động của mạng. Lớp hạ tầng mạng chứa các thiết bị chuyển mạch chỉ có nhiệm vụ chuyển tiếp các gói tin dựa vào các bảng luồng dữ liệu được thiết lập bởi bộ điều khiển. Trong kiến trúc SDN thì giao thức OpenFlow là giao thức thông dụng nhất cho phép bộ điều khiển giám sát và điều khiển hoạt động của các thiết bị mạng phần cứng. Đặc biệt trong lĩnh vực an ninh, an toàn mạng, SDN là một công nghệ rất hứa hẹn vì một số nguyên nhân sau: - Khả năng chia mạng: chia mạng là tạo các mạng con bên trong một mạng lớn hơn. Việc phân chia mạng giúp ngăn cách và sắp xếp lưu lượng truy cập mạng của tổ chức. Chẳng hạn, nó có thể hạn chế máy của bộ phận bán hàng giao tiếp với máy của nhóm tài chính. Điều này cho phép sử dụng băng thông hiệu quả hơn bằng cách giảm kích thước của miền quảng bá và giảm lưu lượng không cần thiết trên 1
mạng. Trên góc độ bảo mật, nó giúp giảm bề mặt tấn công của tổ chức và do đó hạn chế phạm vi vi phạm bảo mật dữ liệu. Khi một máy hoặc ứng dụng bị tấn công, tính năng phân chia mạng sẽ ngăn chặn nó ảnh hưởng đến các thiết bị khác. Kiến trúc mạng SDN cho phép việc phân chia mạng nhanh chóng và dễ dàng do toàn bộ chức năng điều khiển được tích hợp tại bộ điều khiển. - Khả năng quản lý tập trung từ xa: mạng SDN dễ dàng cho việc quản lý tập trung từ xa hơn từ một bảng điều khiển tập trung duy nhất. Điều này có nghĩa là quản trị viên có thể truy cập từ xa vào để xem và điều khiển tập trung các thiết bị mạng trên một bảng điều khiển duy nhất. Vì vậy, nếu có vi phạm xảy ra, các bên liên quan có thể được thông báo ngay lập tức, các biện pháp can thiệp trên diện rộng cũng có thể được áp dụng sớm. - Khả năng lập trình và tự động hóa: mạng SDN cho phép người quản trị can thiệp thông qua việc lập trình là một lợi thế rất lớn cho việc triển khai các thuật toán phát hiện và giảm thiểu tấn công thông minh mới, theo ý của người quản trị. Đồng thời người quản trị cũng có thể triển khai tự động hóa mạng, là một xu hướng rất mới hiện nay. Nó cho phép đưa ra các kịch bản, giúp mạng tự động thích ứng khi có các tình huống xảy ra. - Khả năng mở rộng: một lợi thế rất lớn của mạng ảo hóa và được xác định bằng phần mềm là khả năng mở rộng. Việc mở rộng tài nguyên và các thành phần mạng trở nên dễ dàng hơn rất nhiều vì chúng không yêu cầu mua phần cứng mới. Người quản trị không cần phải bổ sung thêm bộ nhớ hay sức mạnh xử lý tính toán cho thiết bị hiện tại hay mua máy mới. - Ít liên quan đến các thiết bị vật lý: mô-đun phần mềm, điểu khiển, bảo mật,… có thể được lưu trữ trên các máy ảo chạy trên máy chủ vật lý hoặc đám mây. Nhiều máy ảo có thể được chạy từ một máy chủ duy nhất. Số lượng máy ảo, số lượng chức năng có thể tăng hoặc giảm tùy thuộc vào yêu cầu của tổ chức tại bất kỳ thời điểm nào. Điều này cho phép cắt giảm chi phí cơ sở hạ tầng và phí dịch vụ. Đi cùng với sự phát triển công nghệ mạng, đối tượng xấu cũng liên tục cải tiến và nâng cấp các công cụ tấn công nhằm đánh cắp thông tin, phá hoại dịch vụ mạng. Các cuộc tấn công mạng này đều nhằm mục đích đánh cắp thông tin, đánh cắp tiền, làm mất khả năng cung cấp dịch vụ của ứng dụng… Đối với người dùng mạng, việc bị tấn công như thế này cực kỳ đáng lo ngại. Do đó an toàn thông tin là vấn đề quan trọng và cần phải quan tâm giải quyết. Trong các hình thức tấn công mạng, tấn công từ chối dịch vụ là hình thức dễ xảy ra và làm ảnh hưởng nghiêm trọng tới uy tín và chất lượng dịch vụ của các tổ chức. Số lượng các cuộc tấn công từ chối dịch vụ vẫn tăng hàng năm và ngày càng đa dạng, phức tạp hơn. Theo báo cáo về tấn công từ chối dịch vụ quý 4 năm 2022 trên Cloudflare [2], số lượng các cuộc tấn công DDoS ngày càng tăng cả về kích thước và tần suất. Số lượng tấn công vào dịch vụ website HTTP DDoS tăng 79% mỗi năm, dữ liệu tấn công DDoS lên tới hàng trăm triệu gói trên giây, tấn công HTTP DDoS lên tới mười triệu yêu cầu trên một giây. Các cuộc tấn công theo dung lượng tăng lên, số vụ tấn công vượt quá tốc độ 100 gigabit mỗi giây (Gbps) tăng 67% so với quý 3 năm 2022 và số vụ tấn công kéo dài hơn ba giờ tăng 87% theo quý. Các cuộc tấn công DDoS đòi tiền chuộc tăng đều đặn trong năm 2022. Trong quý 4, hơn 16% số người được khảo sát cho biết đã nhận được mối đe dọa hoặc yêu cầu tiền chuộc do bị tấn 2
công DDoS nhắm mục tiêu vào tài sản Internet của họ. Và nhiều những số liệu thống kê khác cho thấy nguy cơ tăng dần và ảnh hưởng xấu của tấn công DDoS tới hoạt động của các công ty, tổ chức và người dùng. Do đó, trong luận án này, nghiên cứu sinh tập trung vào việc nghiên cứu ảnh hưởng của tấn công DDoS và các giải pháp phát hiện, giảm thiểu chúng trong mạng SDN. Với những lý do trên, nghiên cứu sinh đã chọn đề tài “Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm” để thực hiện nghiên cứu. Tình hình nghiên cứu trong và ngoài nước Do xu hướng phát triển công nghệ mạng SDN và tính cấp thiết khi bảo vệ các thiết bị chống lại tấn công DDoS nên nhiều nhà khoa học trong nước và ngoài nước đã tập trung nghiên cứu, đề xuất nhiều giải pháp nhằm phát hiện và giảm thiểu sớm các cuộc tấn công DDoS, bảo vệ các thiết bị mạng. Để đạt được mục tiêu này, các nhà nghiên cứu đã đi từ việc phân tích, đánh giá chức năng, hiệu năng của các thành phần mạng SDN, đến các giải pháp phát hiện và giảm thiểu tấn công cũng như giải pháp tăng cường khả năng chống chọi của mạng để duy trì hoạt động trong khi chờ khắc phục sự cố. Các kết quả nghiên cứu có thể được chia thành 3 nhóm như sau: 1) Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên kiến trúc mạng SDN. 2) Các kết quả phát hiện dữ liệu bất thường, phát hiện tấn công DDoS trong mạng SDN. 3) Các kết quả giải pháp đối phó khi phát hiện có tấn công DDoS trong mạng SDN: giảm thiểu tấn công, mở rộng tài nguyên mạng. Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên mạng SDN Các nghiên cứu về đánh giá hiệu năng và tác động của tấn công DDoS lên mạng SDN hiện nay có thể chia thành hai nhóm: - Các vấn đề hiệu năng liên quan đến kiến trúc và thành phần của mạng SDN. - Tác động của tấn công DDoS lên kiến trúc SDN. Liên quan đến đánh giá hiệu năng của kiến trúc SDN, các nghiên cứu gần đây tập trung vào: (1) phân tích hiệu năng của bộ điều khiển SDN và (2) phân tích hiệu năng của các thiết bị chuyển mạch hỗ trợ SDN. Với phân tích hiệu năng của bộ điều khiển SDN, Khattak và các tác giả trong [3] đã đánh giá độ trễ và thông lượng của hai bộ điều khiển SDN là ODL và Floodlight. Kết quả cho thấy ODL đạt được thời gian phản hồi thấp hơn đáng kể so với Floodlight. Tuy nhiên, nghiên cứu chỉ giải quyết các vấn đề về hiệu năng của bộ điều khiển trong trung tâm dữ liệu. Ngoài ra, nghiên cứu cũng không tập trung vào đánh giá các bộ điều khiển này khi lưu lượng tải cao. Trong [4], các tác giả trình bày mô hình phân tích dựa trên lý thuyết tính toán mạng ngẫu nhiên để đánh giá hiệu suất giữa thiết bị chuyển mạch và bộ điều khiển. Các nghiên cứu trước đây cho thấy phép tính mạng ngẫu nhiên có thể cung cấp mô phỏng thực tế về hành vi lưu lượng truy cập mạng thực. Các tác giả sử dụng cả công cụ mô phỏng và thử nghiệm thực tế để đánh giá. Kết quả cho thấy mô hình phân tích dựa trên phép tính mạng ngẫu nhiên có thể đo lường thực tế độ trễ giữa bộ điều khiển và 3
thiết bị chuyển mạch. Bộ điều khiên ODL được sử dụng trong thử nghiệm này. Các tác giả trong [5] tiến hành so sánh toàn diện hơn ba mươi bộ điều khiển khác nhau về các thuộc tính và khả năng của chúng như ngôn ngữ lập trình, kiến trúc, nền tảng được hỗ trợ,... Sau đó, chín bộ điều khiển được phân tích định lượng về độ trễ, thông lượng, CPU sử dụng... Mặc dù có kết quả chi tiết nhưng các bộ điều khiển này được đo đạc đánh giá trong môi trường ảo hóa thay vì thử nghiệm thực, điều này có thể mang lại kết quả không sát thực tế. Tương tự, Mostafavi và các tác giả trong [6] đánh giá nhiều thuộc tính của bộ điều khiển SDN cũng như các tham số chất lượng dịch vụ (QoS) trong sử dụng Mininet và các công cụ đo đạc. Nghiên cứu của Bholebawa trong [7] cũng sử dụng Mininet làm công cụ giả lập để đánh giá hiệu năng của hai bộ điều khiển phổ biến là POX và Floodlight trên các mô hình mạng khác nhau. Kết quả cho thấy rằng Floodlight vượt trội so với POX về cả thời gian truyền, xử lý và thông lượng. Trên thực tế, Mininet là một môi trường giả lập để kiểm tra chức năng. Nên việc sử dụng nó kiểm tra hiệu năng, đặc biệt là trong các tình huống khắc nghiệt khi mạng đạt đến giới hạn hiệu năng cần được cân nhắc kỹ lưỡng. Abdullah và các tác giả trong [8] nghiên cứu chi tiết hơn về kết quả thông lượng và độ trễ phản hồi của bộ điều khiển SDN khi tải tăng lên. Ngoài ra, các tác giả cũng đề cập đến giới hạn số lượng thiết bị chuyển mạch SDN mà một bộ điều khiển SDN có thể đáp ứng. Zhao và các tác giả trong [9] đã đánh giá và so sánh thông lượng, độ trễ, ngôn ngữ lập trình và phân tích luồng của hai nhóm bộ điều khiển, bộ điều khiển tập trung (POX, Ryu, NOX, Floodlight, Beacon) và bộ điều khiển phân tán (ONOS, ODL). Liên quan đến hiệu năng của các thiết bị chuyển mạch SDN, các tác giả trong [10] giới thiệu và so sánh hai kỹ thuật đánh giá các thiết bị chuyển mạch SDN khi xử lý các bản tin flow_mod. Trong khi phương pháp thứ nhất dựa trên phần mềm, thì phương pháp thứ hai liên quan đến một hệ thống kiểm tra chuyên dụng Spirent C1. Kết quả cho thấy cả hai kỹ thuật đều đạt được độ chính xác dưới một phần nghìn giây về thời gian xử lý. Các tác giả trong [11] thì phân tích tác động của mặt phẳng điều khiển đối với các ứng dụng SDN. Nghiên cứu tập trung đánh giá khả năng tìm lại đường nhanh khi có sự cố kết nối xảy ra và kỹ thuật lưu lượng trong các trung tâm dữ liệu. Họ cũng tiến hành đo lường toàn diện độ trễ của mặt phẳng điều khiển với bốn thiết bị chuyển mạch SDN thương mại khác nhau. Trong [12], các tác giả kiểm tra khả năng xử lý gói động của các thiết bị chuyển mạch OpenFlow, đặc biệt là tác động tới của cách thức chuyển tiếp gói tin của mô-đun lõi nhằm đáp ứng nhu cầu khi hiệu năng cao và kỹ thuật lưu lượng. Một lần nữa, các tác giả sử dụng Mininet để đánh giá cả thiết bị chuyển mạch phần cứng và phần mềm. Bianco và các tác giả trong [13] tập trung vào đường đi của dữ liệu và phân tích việc triển khai OpenFlow trên hệ điều hành Linux. Nghiên cứu so sánh một số tham số hiệu năng như thông lượng, độ trễ trong các tình huống tải và lưu lượng khác nhau của kỹ thuật chuyển tiếp OpenFlow và chuyển mạch Ethernet lớp 2, định tuyến IP lớp 3. Tác giả cũng đánh giá khả năng mở rộng hệ thống với kích thước bảng chuyển tiếp khác nhau và sự cân bằng trong phân bổ tài nguyên. Trong [14], các tác giả kiểm tra hiệu năng của một số tính năng chính trên mười một thiết bị chuyển mạch OpenFlow phần cứng và phần mềm khác nhau. Nghiên cứu xây dựng mô hình thực nghiệm sử dụng POX và ONOS để đánh giá độ trễ gói, chênh lệch độ trễ gói và kích thước của gói tin truyền đi. Các tác giả trong [15] tập trung phân tích hiệu năng của sáu thiết bị chuyển mạch phần cứng. Nghiên cứu đánh giá đặc điểm hoạt động và tốc độ cập nhật của bảng 4
luồng. Trong [16] nghiên cứu dung lượng bảng luồng và hiệu năng chuyển tiếp gói của bốn bộ chuyển mạch SDN thương mại HP. Liên quan đến tác động của tấn công DDoS lên mạng SDN, trong [17], các tác giả nghiên cứu tác động về tải và thông lượng của các cuộc tấn công DDoS lên các bộ điều khiển trong môi trường mạng giao thông được định nghĩa bằng phần mềm. Iperf [18] và hping3 được sử dụng để tạo các luồng TCP/UDP và mô phỏng các cuộc tấn công ping trong trình giả lập Mininet-Wifi [19]. Nghiên cứu của các tác giả trong [20] chia sẻ một số điểm tương đồng và đo đạc thêm chênh lệch trễ giữa các gói tin khi DDoS xảy ra. Trong [21], các tác giả tiếp tục sử dụng Mininet, hping3, Iperf để đánh giá tác động của tấn công DoS lên băng thông của kết nối giữa hai máy chủ trong mạng SDN với bộ điều khiển là POX, RYU và ODL. Các thông số đánh giá là RTT, chênh lệch độ trễ, băng thông và thông lượng. Trong [22] các đặc điểm của nhiều phương thức tấn công DDoS và ảnh hưởng của chúng trên cả mặt phẳng dữ liệu và mặt phẳng điều khiển đều được nghiên cứu. Tương tự, trong [23], tỷ lệ mất gói (PDR) và tải CPU trên cả mặt phẳng điều khiển và dữ liệu được sử dụng làm thước đo hiệu năng để đánh giá ba bộ điều khiển khác nhau (Ryu, ONOS, Floodlight) khi tỷ lệ tấn công làm tràn tăng lên. Mladenov và các tác giả trong [24] nghiên cứu tác động của tấn công DDoS lên kênh southbound dựa trên RTT của các mô hình kịch bản khác nhau, trong khi [25] nghiên cứu tác động của DDoS lên bảng luồng của thiết bị chuyển mạch và mặt phẳng điều khiển. Các tác giả trong [26] nghiên cứu tác động của tấn công chậm lên các thiết bị chuyển mạch hỗ trợ SDN bằng cách khai thác giới hạn của bộ nhớ TCAM, gây quá tải bảng luồng. Trong [27], các tác giả tập trung nghiên cứu tấn công DDoS lên mặt phẳng điều khiển, được gọi là tấn công bão hòa mặt phẳng điều khiển (CPSA). Các tác giả phân tích chi tiết về CPSA và đặc biệt chỉ ra nó có thể được khuếch đại trong trường hợp số bước qua các thiết bị chuyển mạch trong mạng SDN lớn. Tác giả thực hiện thử nghiệm với bộ điều khiển POX và thực hiện đánh giá. Các kết quả cho thấy, khi độ dài đường dẫn chuyển tiếp tăng lên gấp 5 lần, kẻ tấn công có thể giảm 55% tốc độ tấn công cần thiết để làm mất khả năng hoạt động của mạng. Trong [28], các tác giả đã nhận biết lỗ hổng bảo mật nghiêm trọng nhằm chiếm dụng các tài nguyên khan hiếm của mặt phẳng điều khiển và mặt phẳng dữ liệu trong mạng SDN, đó là cuộc tấn công từ chối dịch vụ phân tán dựa trên luồng mới, dựa trên đặc điểm xử lý luồng mới của kiến trúc SDN. Nghiên cứu phân loại các lỗ hổng bảo mật này theo lỗ hổng của thiết bị chuyển mạch, theo loại tấn công, theo phạm vi tác động và theo tốc độ tấn công. Các phân loại này được phân tích về mặt lý thuyết, chưa có kết quả thực nghiệm để kiểm chứng cũng như đo đạc các thông số cụ thể. Bên cạnh đó, nghiên cứu cũng cung cấp bản phân tích về những phát triển mới nhất được thực hiện trong những năm gần đây về hoạt động nghiên cứu phát hiện và giảm thiểu DDoS nhằm khắc phục các lỗ hổng bảo mật này cùng các thảo luận về những thách thức nghiên cứu liên quan đến bảo mật SDN. Tương tự như vậy, trong [29], các tác giả nghiên cứu tổng quan về kiến trúc mạng SDN, đánh giá khả năng chống tấn công DDoS của mạng SDN, đồng thời cũng phân tích các tác động của tấn công DDoS lên kiến trúc mạng SDN và tổng hợp phân tích các giải pháp phát hiện, giảm thiểu tấn công DDoS trong thời gian gần đây. Mặc dù các nghiên cứu này chỉ dừng 5