ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
BÁO CÁO ĐỒ ÁN
MÔN: AN TOÀN MẠNG MÁY TÍNH.
HỌC KỲ: 1
NĂM HỌC: 2022-2023.
Đề tài: Software-Defined Firewall: Enabling Malware Traffic
Detection and Programmable Security Control.
Giảng viên hướng dẫn: Nghi Hoàng Khoa.
Lớp: NT101.N11.ANTT-VN.
Nhóm thực hiện: Lão Gà Mên.
STT
Họ và tên MSSV
1 Nguyễn Phúc Hải 20521281
2 Võ Thành Tín 20522019
3 Đỗ Minh Thọ 20521972
4 Ngô Hùng Thịnh 20521961
Thành phố Hồ Chí Minh, ngày 26 tháng 09 năm 2022
MỤC LỤC
N9i dung
BẢNG PHÂN CÔNG NHIỆM VỤ...........................................................................................................3
LỜI MỞ ĐẦU............................................................................................................................................ 4
ĐẶT VẤN ĐỀ............................................................................................................................................ 5
MỤC TIÊU................................................................................................................................................. 8
CÁC NGHIÊN CỨU LIÊN QUAN VÀ ĐỀ XUẤT KỸ THUẬT XỬ LÝ..............................................9
1. Adversary Model............................................................................................................................... 9
2. Nền SDN............................................................................................................................................. 9
3. Vấn đề và thách thức....................................................................................................................... 10
4. Những kỹ thuật chính được đề xuất để bảo vệ an ninh máy chủ lưu trữ....................................11
PHƯƠNG PHÁP THỰC HIỆN..............................................................................................................13
1. Giới thiệu mô hình và kiến trúc hệ thống......................................................................................13
2. Giám sát lưu lượng..........................................................................................................................16
3. Giám sát trạng thái máy chủ..........................................................................................................19
4. Tóm tắt ứng dụng điều khiển........................................................................................................... 21
5. Phát hiện tấn công...........................................................................................................................24
6. Máy chủ kiểm tra.............................................................................................................................25
KẾT QUẢ THỰC HIỆN VÀ ĐÁNH GIÁ.............................................................................................28
1. Thực hiện.......................................................................................................................................... 28
2. Thiết lập........................................................................................................................................... 28
3. Kết quả thử nghiệm......................................................................................................................... 31
4. Trường hợp sử dụng........................................................................................................................ 34
KẾT LUẬN, HẠN CHẾ VÀ NHỮNG VẤN ĐỀ BÀN LUẬN..............................................................38
LỜI CẢM ƠN.......................................................................................................................................... 41
TRÍCH DẪN TÀI LIỆU.......................................................................................................................... 42
BẢNG PHÂN CÔNG NHIỆM VỤ
STT MSSV Họ và tên Vai trò Thời gian
hoàn thành
Ghi chú
1 20521281 Nguyễn Phúc Hải Làm báo cáo, slide, thuyết trình. Tuần 3
2 20522019 Võ Thành Tín Tóm tắt bào báo. Tóm lược thông tin,
chỉnh sửa nội dung bài báo cáo.
Tuần 1-2
3 20521972 Đỗ Minh Thọ Thực hiện code đồ án. Tuần 2-5
4 20521961 Ngô Hùng Thịnh Giữ nhịp tiến độ, giúp đồ án thống nhất
nội dung giữa các thành viên trong
nhóm. Tham gia hỗ trợ các phần việc
phía trên.
Tuần 1-5
LỜI MỞ ĐẦU
Hiện nay phần mềm đ9c hại dựa trên mạng máy tính đã gây ra các mối đe dọa
nghiêm trọng đối với bảo mật của máy chủ. Tạo ra các thách thức lớn đối với các hệ
thống bảo mật, các cá nhân, cơ quan nhà nước, doanh nghiệp, cùng với các nhà nghiên
cứu về an toàn mạng. Khi phần mềm đ9c hại sử dụng chế đ9 private TCP/IP cho truyền
thông, cá nhân và mạng tường lửa có thể không xác định được lưu lượng đ9c hại. Hiện
tại chính sách tường lửa không có cơ chế cập nhật thuận tiện, điều này làm cho việc phát
hiện lưu lượng đ9c hại trở nên khó khăn.
Trong đồ án này, chúng tôi đề xuất tường lửa do phần mềm xác định (SDF), m9t
thiết kế bảo mật mới để bảo vệ máy chủ và cho phép kiểm soát chính sách bảo mật có thể
lập trình bằng cách trừu tượng hóa kiến trúc tường lửa thành các Control plane và Data
plane. Tăng cường cập nhật chính sách kiểm soát an ninh dễ dàng, như trong kiến trúc
SDN (Software-Defined Networking). Sự khác biệt ở đây là nó thu thập thêm thông tin
máy chủ để cung cấp kiểm soát lưu lượng cấp ứng dụng và cải thiện phần mềm đ9c hại
phát hiện lưu lượng chính xác. Control plane chứa tất cả lưu lượng mạng đến và đi trong
phần cứng mạng để tránh phần mềm đ9c hại vượt qua nó. Thiết kế của SDF rất dễ dàng
được triển khai và triển khai trong mạng ngày nay. Chúng tôi triển khai m9t nguyên mẫu
của SDF và đánh giá hiệu suất của nó trong các thí nghiệm thực tế. Kết quả thực nghiệm
cho thấy SDF có thể giám sát thành công tất cả lưu lượng mạng (Tức là không bỏ qua lưu
lượng truy cập) và cải thiện đ9 chính xác của mã đ9c nhận dạng giao thông. Đồ án chỉ ra
rằng SDF cung cấp các giải pháp dễ dàng hơn và linh hoạt hơn cho ngày nay lưu trữ các
vấn đề bảo mật so với tường lửa hiện tại.
ĐẶT VẤN ĐỀ
Phần mềm đ9c hại (Malware) đã trở thành m9t trong những mối đe dọa nghiêm
trọng đến bảo mật máy chủ. Phần mềm đ9c hại của ngày hôm nay cần kết nối mạng để
thực hiện các hoạt đ9ng đ9c hại (Ví dụ: Làm ngập các gói, rò rỉ dữ liệu cá nhân và tải
xuống cập nhật phần mềm đ9c hại). Để phát hiện các hoạt đ9ng đ9c hại này, các công ty
Security đã đề xuất các giải pháp bảo mật trên cả hai máy chủ bên (Tường lửa cá nhân
như tường lửa Microsoft Windows và Anti-viruts ) và phía mạng (Tường lửa mạng như
như hệ thống phát hiện xâm nhập và lọc xâm nhập). Đã bao giờ, khi phần mềm đ9c hại
nằm ở lớp thấp hơn lớp cá nhân tường lửa, lưu lượng truy cập đ9c hại này trở nên vô hình
đối với cá nhân tường lửa. Mặc dù Network Firewalls có thể nắm bắt tất cả lưu lượng
truy cập, nhưng thiếu thông tin về máy chủ có thể khiến chúng không phân biệt được lưu
lượng truy cập đ9c hại từ lưu lượng truy cập lành tính khác. M9t ví dụ điển hình là b9
khởi đ9ng Rovnix có thể bỏ qua sự giám sát của tường lửa cá nhân thông qua ngăn xếp
TCP/IP riêng. Tr9n với lưu lượng truy cập lành tính, tường lửa mạng cũng có thể không
xác định được lưu lượng truy cập của nó khi Rovnix không có các tính năng quan trọng
trong cơ sở dữ liệu chữ ký tấn công, như được mô tả trong Hình 1.
Nhiều giải pháp đã được đề xuất cho mẫu phần mềm đ9c hại phân tích và cập nhật
chính sách bảo mật đ9ng. Nhà nghiên cứu Perdisci et.al trình bày m9t phần mềm đ9c hại
hành vi cấp đ9 mạng hệ thống phân cụm bằng cách phân tích các điểm tương đồng về cấu
trúc trong số các dấu vết lưu lượng truy cập HTTP đ9c hại được tạo bởi phần mềm đ9c
hại dựa trên HTTP.