BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI TRẦN THU TRÀ CÁC BIỆN PHÁP NÂNG CAO TÍNH BẢO MẬT CỦA MẠNG DOANH NGHIỆP SỬ DỤNG KỸ THUẬT MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGHÀNH : KỸ THUẬT TRUYỀN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC GS.TS NGUYỄN HỮU THANH Hà Nội – Năm 2014 LỜI NĨI ĐẦU Ngày cơng nghệ thông tin ngày phát triển mạnh mẽ Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm Một internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài nguyên dễ dàng bị phân tán, dẫn điều hiển nhiên chúng bị xâm phạm, gây mát liệu thông tin có giá trị Càng giao thiệp rộng dễ bị cơng, quy luật Từ đó, vấn đề bảo vệ thông tin đồng thời xuất Bảo mật đời Tất nhiên, mục tiêu bảo mật khơng nằm gói gọn lĩnh vực bảo vệ thơng tin mà cịn nhiều phạm trù khác kiểm duyệt web, bảo mật Internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến… Mỗi nguy mạng mối nguy hiểm tiểm tàng Từ lổ hổng bảo mật nhỏ hệ thống, biết khai thác lợi dụng với tầng suất cao kỹ thuật hack điêu luyện trở thành tai họa Internet nơi khơng an tồn Mọi thông tin mà bạn thực truyền dẫn bị xâm phạm Thậm chí cơng khai Bạn hình dung Internet phịng họp, trao đổi phịng họp người khác nghe thấy Với Internet người không thấy mặt nhau, việc nghe thấy thông tin hợp pháp khơng hợp pháp Tóm lại, Internet nơi an tồn Mà không Internet loại mạng khác, mạng LAN, đến hệ thống máy tính doanh nghiệp bị xâm phạm Thậm chí, mạng điện thoại, mạng di động khơng nằm ngồi Vì nói rằng, phạm vi bảo mật lớn, khơng cịn gói gọn máy tính quan mà tồn cầu Xuất phát từ sở khoa học thực tiễn tác giả định chọn đề tài “Các biện pháp nâng cao tính bảo mật mạng doanh nghiệp sử dụng kỹ thuật mạng điều khiển phần mềm ” Trong trình thực đề tài hạn chế tảng kiến thức, kinh nghiệm nghiên cứu, với hạn chế mặt thời gian nên đồ án tránh khỏi thiếu sót Em mong thầy tham gia đóng góp phê bình để đồ án em hồn thiện Xin trân trọng cảm ơn trường Đại học Bách khoa Hà Nội, Viện đào tạo sau đại học, Viện Điện Tử Viễn Thông suốt năm qua dạy bảo cung cấp cho em kiến thức tảng có ích phục vụ cho q trình thực đồ án sống sau Xin chân thành cảm ơn PGS.TS Nguyễn Hữu Thanh, người trực tiếp hướng dẫn, giúp đỡ tận tình bảo em suốt thời gian thực đồ án Cảm ơn tập thể lớp CH2012B - KTTT suốt thời gian học tập bạn quãng thời gian khơng thể qn đời Cuối cùng, xin gửi lời cảm ơn tới gia đình, bố mẹ, anh em, tảng, nguồn động viên cho suốt đời Vinh, tháng 09 năm 2014 Học viên Trần Thu Trà MỤC LỤC MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU DANH MỤC BẢNG BIỂU DANH MỤC TỪ VIẾT TẮT Chương : TỔNG QUAN VỀ AN NINH MẠNG VÀ CÁC KỸ THUẬT BẢO MẬT TRONG MẠNG DOANH NGHIỆP .10 1.1 An ninh mạng .10 1.2 Các lớp bảo mật mạng 11 1.3 An ninh mạng hoạt động 13 1.4 Các kỹ thuật bảo mật mạng doanh nghiệp 14 1.4.1 VPN (virtual private network) 15 1.4.2 IPS (Instrusion Prevention System) 16 1.4.3 NAC (Network Admission Control) 17 Chương : MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM SỬ DỤNG CÔNG NGHỆ OPENLOW .20 2.1 Giới thiệu chung mạng điều khiển phần mềm công nghệ OpenFlow 20 2.2 Kiến trúc SDN .21 2.3 Giao thức OpenFlow 23 2.3.1 Các đặc trưng OpenFlow 23 2.3.2 Lợi ích sử dụng OpenFlow 25 2.4 Ứng dụng SDN 26 2.4.1 Phạm vi doanh nghiệp 26 2.4.2 2.5 Phạm vi nhà cung cấp hạ tầng dịch vụ viễn thông 27 Thiết kế kiện dựa hệ thống phát xâm nhập mạng OpenFlow 27 Chương : CÔNG NGHỆ OPENFLOW VÀ CÁC CÔNG CỤ THỰC HIỆN 32 3.1 Công nghệ OpenFlow 32 3.2 Bộ điều khiển NOX 37 3.2.1 Giới thiệu NOX 38 3.2.2 Chức phương thức hoạt động NOX 38 3.2.3 Phương thức hoạt động NOX: 38 3.3 Các thành phần kiện NOX 40 Chương : XÂY DỰNG HỆ THỐNG THỬ NGHIỆM SỬ DỤNG CÔNG NGHỆ OPENFLOW ĐỂ NÂNG CAO TÍNH BẢO MẬT 43 4.1 Giới thiệu 43 4.2 Các phương pháp phát công DDOS mạng máy tính doanh nghiệp 45 4.2.1 Phương pháp liệu KDD-9 45 4.2.2 Phương pháp dùng Self Organizing Maps 45 4.3 NOX / OpenFlow SOM dùng bảo mật mạng thông tin doanh nghiệp 46 4.3.1 NOX/OpenFlow 47 4.3.2 Self Organizing Maps 49 4.4 Phương pháp phát công DDoS dùng SOM 50 4.4.1 Thu thập flow sử dụng NOX / OpenFlow 52 4.4.2 Lựa chọn tính mạng để phát công DDoS 53 4.4.3 Phân luồng giao thông mạng .55 4.5 Thử nghiệm 56 4.6 Đánh giá kết thực 58 4.6.1 Mẫu thu thập thí nghiệm 58 4.6.2 Thời gian để huấn luyện phân loại giao thông mạng .59 4.6.3 Hiệu suất phát 60 4.6.4 Thời gian thực .63 4.6.5 Tính linh hoạt 64 4.7 Kết luận 65 4.8 Hướng phát triển đề tài .65 TÀI LIỆU THAM KHẢO 66 DANH MỤC HÌNH VẼ Hình 1.1 Các lớp bảo mật liệu mạng 12 Hình 2.1 Kiến trúc SDN .21 Hình 2.2 Ví dụ Flow Table thiết bị 24 Hình 2.3 Kịch mạng OpenFlow 28 Hình 2.4 Kiến trúc IDS dựa Event - Based 31 Hình 3.1 Cấu trúc switch thông thường 33 Hình 3.2 Cấu trúc switch hỗ trợ cơng nghệ OpenFlow 33 Hình 3.3 OpenFlow switch lý tưởng 34 Hình 3.4 Flow Table Actions 35 Hình 3.5 Mạng OpenFlow switch với NOX controller 39 Hình 3.6 Giao diện đồ họa NOX Controller .42 Hình 4.1 Hoạt động NOX / chế OpenFlow 48 Hình 4.2 Các trường tiêu đề flow 48 Hình 4.3 Ví dụ đồ SOM 49 Hình 4.4 Hoạt động vịng lặp phát 51 Hình 4.5 Kịch kiểm tra Topo .58 Hình 4.6 So sánh PPf mẫu chuyển mạch OF 61 Hình 4.7 So sánh GSf mẫu chuyển mạch OF 62 DANH MỤC BẢNG BIỂU Bảng 2.1 Minh họa trường flow 28 Bảng 3.1 Flow Table entry 35 Bảng 3.2 Trường tiêu đề OpenFlow switch 35 Bảng 4.1 Các thông số huấn luyện SOM 56 Bảng 4.2 Tấn công DDoS sử dụng huấn luyện kiểm tra 57 Bảng 4.3 Cài đặt mẫu sử dụng cho huấn luyện thử nghiệm 59 Bảng 4.4 Thời gian thực nhiệm vụ phát SOM 60 Bảng 4.5 Các kết phương pháp phát 61 Bảng 4.6 Kết so sánh tính tạo hệ tài nguyên phương pháp SOM KDD-99 64 DANH MỤC TỪ VIẾT TẮT Viết tắt Thuật ngữ đầy đủ IP Internet Protocol SDN Software Defined Networking OF OpenFlow DDoS Distributed denial-of-service SOM Self Organizing Maps IDS Intrusion Detection System VPN Virtual Private Network IPS Instrusion Prevention System NAC Network Admission Control ID Identification DC Data Center EPA Event Processing Agent TP True Positives FN False Negatives TN True Negatives FP False Positives DR Detection Rate APf Average of Packets per flow ABf Average of Bytes per flow ADf Average of Duration per flow PPf Percentage of Pair-flows GDP Growth of Different Ports GSf Growth of Single flows UDP User Datagram Protocol X((n +1)/2) , if n is odd;  md ( X )   X(n/2) + X((n +1)/2) , otherwise  (4.3) 2) Các Byte Trung bình dòng - Average of Bytes per flow (ABf): Một đặc thù công DDoS kích thước tải trọng chúng, thường nhỏ để tăng tính hiệu loại cơng Cho ví dụ, cơng TCP, gói dài 120 byte gửi tới nạn nhân Các tính ABf tính giá trị trung bình theo cơng thức 4.3, X đại diện cho số byte 3) Thời gian trung bình cho dịng - Average of Duration per flow (ADf): Tương tự, đề xuất việc sử dụng giá trị trung bình thời gian giành cho flow Bảng flow Tính làm giảm lỗi có số lượng nhỏ gói tin trao đổi ứng dụng Cơng thức 4.3 sử dụng tính tốn X thời gian dòng chuyển đổi n số flow 4) Tỷ lệ cặp flow - Percentage of Pair-flows (PPf): Tính cho phép kiểm tra xem có cặp flow xảy luồng flow khoảng thời gian định Ví dụ, với hai cặp dòng, chẳng hạn luồng luồng 3, điều kiện sau kiểm tra để xác minh dịng có tạo thành cặp dịng hay khơng • Các IP nguồn dịng phải IP đích dịng 3; • Các IP đích dịng phải IP nguồn dịng 3; • Cả hai dịng phải có giao thức truyền thông tương tự Một công DDoS làm tăng số lượng dòng đơn vào mạng lưới chúng gửi gói tin với IP giả Để tính tốn tỷ lệ phần trăm xuất này, ta sử dụng công thức 4.4 PPf  2* Num _ Pair  flows Num _ flows 54 (4.4) 5) Tăng trưởng dòng đơn - Growth of Single-flows (GSf): khởi đầu cơng ạt số flow đơn tăng nhanh đến cực hạn Để tính tốn tăng trưởng ta sử dụng công thức 4.5 GSf  Num _ flows  2* Num _ Pair  flows int erval (4.5) 6) Tăng trưởng cổng khác - Growth of Different Ports (GDP): Giống cách mà IP tạo cơng DDoS, cổng tạo cách ngẫu nhiên cơng Vì vậy, tính tốn tỷ lệ tăng trưởng cách sử dụng công thức 4.6 GDP  Num _ Ports int erval (4.6) 4.4.3 Phân luồng giao thông mạng Như đề cập trên, mô-đun phân loại thực cách sử dụng SOM Trước SOM phân loại 6-tuple [23]được chọn mơ-đun trích xuất, cần phải huấn luyện với tập hợp đủ lớn mẫu 6tuple thu thập công mạng lưu lượng truy cập bình thường Bằng cách này, SOM tạo đồ topo vùng khác đại diện cho loại hình mạng Sau đó, SOM kích thích với 6-tuple trích xuất từ mục dịng số chuyển mạch OF, để phân loại mạng bình thường hay bị công Số lượng liệu sử dụng cho việc huần luyện giai đoạn trình bày Phần 4.6 Để thực theo phương pháp SOM cần ma trận 40 × 40 tế bào thần kinh Bảng 4.1 thông số sử dụng cho trình huấn luyện giá trị tương ứng chúng 55 Bảng 4.1 Các thông số huấn luyện SOM Thông số Giá trị Tỉ lệ huấn luyện ban đầu 0.5 Bán kính khu vực ban đầu 20 Giới hạn Epoch 3000 Để tính tốn khu vực lân cận sơ đồ topo, hàm Gauss sử dụng tạo thuật toán SOM hội tụ nhanh so với khu vực lân cận sơ đồ topo hình chữ nhật tạo 4.5 Thử nghiệm Kịch thử nghiệm [23] xây dựng để gần thực tế đáng tin cậy Cách tiếp cận bao gồm trộn loại khác truyền dẫn hợp pháp thay đổi thông số truyền dẫn công Truyền dẫn hợp pháp tạo thử nghiệm thành phần giao thức khác nhau: 85% TCP, UDP 10%, 5% ICMP Những giá trị dựa lưu lượng mạng thu thập suốt năm liên kết cụ thể Nhật Bản Hoa Kỳ Hơn 90% lưu lượng truy cập này, theo báo cáo, liên quan đến giao thức TCP/UDP, khoảng 5% ICMP Hơn nữa, 80% lưu lượng TCP giống kết nối FTP luồng liệu liên tục giữ khách hàng máy chủ, 20% khác giống kết nối Telnet, mà tính chúng bao gồm việc gửi nhiễu gói nhỏ với khoảng thời gian dài (tạm dừng) chúng Công cụ Stacheldraht [20] sử dụng để tạo lưu lượng truy cập cho cơng DDoS Trong Bảng 4.2 trình bày loại công đưa cho giai đoạn huấn luyện thử nghiệm, với số lượng đáp ứng tương ứng flow tạo Các giá trị ngoặc đơn có liên quan đến kích thước gói tin gửi cơng, kích thước tối đa cho phép tác giả 1024 byte Sự mô tả tham số ảnh hưởng đến cơng DDoS trình bày bảng Chỉ có thông số 56 thay đổi khoảng thời gian thông số khác giữ nguyên giá trị mặc định chúng Bảng 4.2 Tấn công DDoS sử dụng huấn luyện kiểm tra Attact Types Training Tests TCP/SYN flood 6080 137612 UDP(60) flood 2967 52733 UDP(200) flood - 31858 UDP(400) flood 3598 40019 UDP(800) flood - 103165 ICMP(60) flood - 57973 ICMP(1024) flood 5113 55344 1) Tốc độ công quy định số lượng botnet gói tin gửi khoảng thời gian cụ thể Giá trị mặc định vừa phải, khác từ thấp đến cao 2) Động lực luồng cơng điều chỉnh flow gói tin gửi cơng Nó thiết lập liên tục với tạm dừng dịng gói 'tấn cơng Giá trị mặc định thiết lập liên tục 3) Cuộc cơng định cấu hình botnet để gửi flow gói tin'của cơng khác theo chế độ đồng chế độ xen kẽ Kiểu mặc định đồng 4) Tỷ lệ giao thơng hợp pháp cấu hình số dịng hợp pháp gói tin tham gia thí nghiệm, phần giao thức hỗn hợp gói tin TCP không thay đổi Giá trị vừa phải giá trị mặc định tính Các kịch thử nghiệm thực dựa kịch có sẵn, sử dụng mơ để xây dựng mạng dựa tảng NOX Hình mơ tả cấu trúc liên kết sử dụng cho thí nghiệm Mạng tương ứng với mạng nạn nhân bị cơng bao gồm ba chuyển mạch OpenFlow kiểm soát NOX Các botnet tạo công DDoS mạng 2, flow với lưu lượng IP giả mạo máy chủ đặt mạng mạng 57 Hình 4.5 Kịch kiểm tra Topo Kịch kiểm tra ban đầu sửa đổi phép cấu hình thuộc tính định, ví dụ kênh băng thông thời gian trễ Các công cụ wirefilter sử dụng để cấu hình liên kết mạng mạng với băng thông GBps thời gian trễ 30 ms Mối liên hệ mạng mạng thiết lập để băng thông GBps thời gian trễ 10 ms Tất liên kết khác giả định có băng thơng 100 MBps Kịch thử nghiệm, tạo SOM, máy chủ với xử lý Intel Quad Core Xeon E5410, 2.33 GHz, nhớ RAM 16GB 4.6 Đánh giá kết thực 4.6.1 Mẫu thu thập thí nghiệm Hai thí nghiệm hồn thành Trong thí nghiệm đầu tạo 106.000 flow trình huấn luyện SOM Từ số này, 43.000 dòng thu thập khoảng thời gian công, 63.000 luồng khác thu thập giao thông bình thường Bảng 4.3 cho thấy số lượng liệu chiết xuất từ tổng số dòng Trong thí nghiệm thứ hai đưa cơng với gói kích thước thay đổi thể Bảng 4.2 Tổng cộng có khoảng 478.000 flow tạo ra; từ đó, 253.000 sản xuất 58 công DDoS, 225.000 khác tạo khơng có cơng diễn Bảng 4.3 liệt kê số lượng mẫu lấy từ chuyển mạch OF thí nghiệm Các giá trị tương ứng với flow tạo thu từ chuyển mạch OF 1, tất gói tin qua Trong hai thí nghiệm, tương ứng với giai đoạn huấn luyện SOM kịch cơng, khoảng thời gian cho vịng lặp phát thiết lập để giây Theo định nghĩa, tính tính tốn từ tập hợp mục dòng thu thập từ chuyển mạch OF thời điểm định Ví dụ, chuyển mạch OF có 150 mục flow trích xuất tạo nên 6tuple dựa thiết lập thu thập mơ-đun thu Bảng 4.3 Cài đặt mẫu sử dụng cho huấn luyện thử nghiệm Attack Traffic Phase Legitimate Traffic Phase Training Testing Training Testing OF switch 1750 11845 1703 9106 OF switch 1750 11834 1703 9104 OF switch - 11892 1702 9107 Total 3500 35571 5108 27317 4.6.2 Thời gian để huấn luyện phân loại giao thông mạng Giai đoạn huấn luyện SOM sử dụng 3.500 mẫu thu thập công, 5,108 mẫu thu thập khoảng thời gian khơng có cơng Ở đây, khơng xem xét mẫu tạo chuyển mạch OF khoảng thời gian bị cơng khơng có lộ trình cơng, tuyến truyền dẫn trả lời gói tin cơng Bảng IV so sánh – tuple 4-tuple thời gian cần thiết để thực nhiệm vụ SOM, chẳng hạn huấn luyện lưới tế bào thần kinh, phân loại mẫu định, thực chức phân biệt Các giá trị việc phân loại thu cách sử dụng hệ thống với 1,8 GHz, CPU lõi kép GB nhớ RAM, giá trị cho việc huấn luyện thực thu cách sử dụng máy chủ mô kịch thử nghiệm, mô tả cuối Phần 4.5 59 Bảng 4.4 Thời gian thực nhiệm vụ phát SOM SOM Training execution SOM Classification 4-tuple 5,53 hs 271 ms 6-Tuple 7,16 hs 352 ms 4.6.3 Hiệu suất phát Hiệu chế phát đánh giá thông qua việc đo lường Tỷ lệ phát - Detection Rate (DR) tỷ lệ phát lỗi - False Alarm (FA), tính tốn tương ứng sử dụng cơng thức DR  TP TP  FN (4.7) TP (True Positives) ghi giao thơng công phân loại công, FN (False Negatives) ghi giao thông công phân loại hợp pháp FA  FP TN  FN (4.8) + Trong FP (False Positives), ghi giao thông hợp pháp phân loại công, TN (True Negatives) ghi giao thông hợp pháp phân loại hợp pháp Bảng 4.5 trình bày kết thu từ phân tích tính 6tuple 4-tuple Trong khơng bao gồm tính PPf GSf Hai tính khơng góp phần vào việc phân biệt có cơng vào mạng hay khơng chuyển mạch OF 1, giá trị chúng không thay đổi bị công Điều xảy chuyển mạch bị cơng kết nối với chuyển mạch OF 1, gói tin bị cơng, đáp ứng tương ứng chúng, đăng ký với flow bắt đầu chuyển mạch OF Vì vậy, tất chuyển mạch chia sẻ hai loại tính gói tin phải làm theo tương tự 60 Bảng 4.5 Các kết phương pháp phát 6-tuple 4-tuple DR(%) FA(%) DR(%) FA(%) OF switch 98.61 0.59 98.57 0.48 OF switch 99.11 0.46 98.73 0.62 OF switch 3.52 0.12 3.27 0.13 Bảng 4.5 cho thấy chuyển mạch OF đổi sử dụng - tuple (0,48) tốt so với việc sử dụng 6- tuple (0,59) chủ yếu cảnh báo lỗi đưa vào tài khoản Điều xảy số trường hợp giá trị PPf GSf làm giải pháp SOM[5] đưa kết không Tuy nhiên, lấy mẫu chuyển mạch tình hình ngược lại, tức 6tuple có kết tốt (0.46 báo động sai tỷ lệ phát 99,11), so với 4-tuple (0,62 báo động sai tỷ lệ phát 98,73) Lý chuyển mạch giá trị PPf GSf bị công lúc bình thường cho giá trị khác đáng kể, làm cho việc phân loại mẫu nhiệm vụ dễ dàng Hình 4.6 So sánh PPf mẫu chuyển mạch OF 61 Hình 4.7 So sánh GSf mẫu chuyển mạch OF Hình 4.6 mơ tả so sánh PPf mẫu chuyển mạch OF Chú ý giá trị PPf thu từ mẫu thu thập từ chuyển mạch OF thời gian công phạm vi thay đổi (0.9 đến 1.0) giống thu thập khoảng thời gian lưu lượng bị công Tuy nhiên, mẫu thu từ chuyển mạch OF lại khác (0.3 0.6) thời gian Phân tích tương tự thực liệu hình 4.7 khác tương ứng với tính GSf Chúng ta thấy hầu hết giá trị mẫu cho mơ hình mạng bị công thu từ chuyển mạch OF tương tự mơ hình mạng bình thường ( khác 0-1,8) Giá trị cho tính tương tự thu từ chuyển mạch OF khoảng từ đến 7,2 Hầu hết phát dương tính sai thu khoảng thời gian trạng thái tất thiết bị chuyển mạch thay đổi từ khơng tích cực đến có tỷ lệ thấp lưu lượng truy cập hợp pháp Các mơ hình lưu lượng truy cập đăng ký khoảng thời gian phản ánh bị mạng cơng DDoS tính APf, ABf, ADf kết thúc với loạt giá trị tương tự trình bày lưu 62 lượng truy cập hợp pháp Việc phân loại mạng bị cơng bình thường dẫn đến SOM vẽ kết luận sai từ số mẫu Phát sai thường xảy thông số Tỷ lệ công thiết lập giá trị thấp[6][7] Tuy nhiên, công mức thấp tỷ lệ lưu lượng gói tin gây hại cho hệ thống nạn nhân Các giá trị phát Tỷ lệ cồng thấp trình bày bảng V chuyển mạch giải thích thực tế khơng có mạng bị cơng qua chuyển mạch Các giá trị phát cho chuyển mạch (3.52 cho 6-tuple 3.27 cho 4-tuple) tương ứng với lưu lượng tạo nạn nhân để đáp ứng với cơng ạt DDoS Trong thí nghiệm quan sát thấy phát triển tuyến tính flow mạng bị công Điều xảy gói tin đến chuyển mạch OpenFlow DDoS công - IP cổng giả mạo - khó để phù hợp với mục Bảng flow chuyển mạch Do đó, gói tin khơng phù hợp, flow bắt đầu tạo NOX nơi chịu trách nhiệm điều khiển chuyển mạch 4.6.4 Thời gian thực Cách tiếp cận phương pháp phát công DDoS dùng SOM dựa thông tin dịng để phân loại mơ hình giao thông thời điểm định khoảng thời gian, mẫu thơng tin thu thập giây, giảm chi phí đáng kể cho toàn chế phát so sánh với phương pháp tiếp cận dựa liệu KDD-99 Điều cần thiết phải thu thập tất gói tin gửi nạn nhân, sau q trình thơng tin trước cần thiết để tạo hồ sơ kết nối Bên cạnh đó, xem xét trường hợp kịch xấu xẩy (tấn công DDoS tràn ngập với lưu lượng lớn gói liệu cơng), làm chi phí có xu hướng tăng lên cao Để so sánh phương pháp khác với phương pháp tiếp cận liệu KDD-99 [22] xây dựng thí nghiệm công DDoS tạo với tốc độ công cao giả mạo tiêu đề IP (trường hợp xấu nhất) Thí nghiệm 63 tạo số lượng lớn mục flow hỗ trợ chuyển mạch OF modul Collector Extractor chúng xử lý tất mục flow Bảng 4.6 cho thấy so sánh thời gian CPU trích xuất tính cần thiết để phát công dùng phương pháp liệu KDD-99 phương pháp nêu Báo cáo thu từ thí nghiệm chạy hệ thống với 2.66 GHz, CPU lõi kép, nhớ RAM 3,5 GB phương pháp liệu KDD-99 giá trị phương pháp đưa thu từ thí nghiệm chạy hệ thống với 1.8 GHz, CPU lõi kép, nhớ RAM GB Khoảng thời gian tương ứng để tạo 30.000 mẫu hai trường hợp Bảng 4.6 Kết so sánh tính tạo hệ tài nguyên phương pháp SOM KDD-99 This method KDD-99 based methods Number of features 41 CPU time(s) 154 109 237 2043 Kết trình bày bảng 4.6 chứng minh phương pháp nhanh so với phương pháp tiếp cận KDD-99 4.6.5 Tính linh hoạt Đóng góp phương pháp liên quan đến khó khăn phương pháp khác triển khai chế phát dựa flow Thông thường, để truy cập thông tin cần thiết từ chuyển mạch thay đổi phần mềm từ điều khiển Ví dụ, cài đặt thêm lọc thiết bị chuyển mạch Cách tiếp cận dựa lợi NOX kiểm soát mạng cách tập trung Cơ chế cho phép trích xuất thơng tin lưu lượng dựa từ tất thiết bị chuyển mạch đăng ký NOX, OpenFlow giao thức cung cấp thơng tin cần thiết cách hiệu Hơn nữa, phương pháp cung cấp linh hoạt tuyệt vời thêm vào (hoặc loại bỏ) thiết bị chuyển mạch Một lợi có thay đổi cấu trúc liên kết mạng, người quản trị dễ dàng thích ứng với vịng lặp phát 64 cấu trúc liên kết Ví dụ, cách thêm thiết bị chuyển mạch có liên quan nhiều đến việc phát công hay loại bỏ thiết bị khác quan trọng 4.7 Kết luận Trong đề tài trình bày phương pháp phát công DDoS dùng SOM Phương pháp cho thấy với chi phí thấp tìm cơng mạng tương đối đơn giản hiệu để sử dụng bảo mật mạng lưới thông tin mạng doanh nghiệp so sánh với phương pháp tiếp cận khác Ở SOM sử dụng mạng lưới thần kinh nhân tạo giám sát mạng, huấn luyện với tính flow mạng Tỷ lệ phát công DDoS so với cách tiếp cận khác cao 4.8 Hướng phát triển đề tài Đề tài phát triển thêm theo hướng cho phép truyền thông tin thiết bị phát cơng miền khác mạng Ví dụ, mạng A phát công đưa chống lại mạng lưới B thứ hai, sau A thơng báo cho B bị cơng Điều cho phép hệ thống có nhiều đại lý, Ở đại lý phát trao đổi thông tin với đại lý khác để tạo thuận lợi cho việc giám sát tài nguyên mạng Và áp dụng phương pháp thống kê để phân tích cổng nhằm vào vị trí thiết bị chuyển mạch nhằm xác định xác host tung công 65 TÀI LIỆU THAM KHẢO [1] A Mitrokotsa and C Douligeris, “Detecting denial of service attacks using emergent self-organizing maps”, Signal Processing and Information Technology, 2005 Proceedings of the Fifth IEEE International Symposium on, 2005, pp 375–380 [2] Bob Lantz, Brandon Heller, Nick McKeown, “A Network on a Laptop: Rapid Prototyping for Software-Defined Networks”, 9th ACM Workshop on Hot Topics in Networks, October 20-21, 2010, Monterey, CA [3] C Wang, H Yu, and H Wang, “Grey self-organizing map based intrusion detection”, Optoelectronics Letters, vol 5, no 1, pp 64–68,2009 [4] D Jiang, Y Yang, and M Xia, “Research on Intrusion Detection Based on an Improved SOM Neural Network”, Proceedings of the 2009 Fifth International Conference on Information Assurance and Security, Volume 01 IEEE Computer Society, 2009, pp 400–403 [5] D Jiang, Y Yang, and M Xia, “Research on Intrusion Detection Based on an Improved SOM Neural Network”, Proceedings of the 2009 Fifth International Conference on Information Assurance and Security-Volume 01 IEEE Computer Society, 2009, pp 400–403 [6] M Alsulaiman, A Alyahya, R Alkharboush, and N Alghafis, “Intrusion Detection System Using Self-Organizing Maps,” in 2009 Third International Conference on Network and System Security IEEE, 2009, pp.397–402 [7] M Ramadas, S Ostermann, and B Tjaden, “Detecting anomalous network traffic with self-organizing maps” Recent Advances in Intrusion Detection, Springer, 2003, pp 36–54 66 [8] M Li and W Dongliang, “Anormaly Intrusion Detection Based on SOM” Proceedings of the 2009 WASE International Conference on Information Engineering,Volume 01 IEEE Computer Society, 2009, pp 40–43 [9] M Alsulaiman, A Alyahya, R Alkharboush, and N Alghafis, “Intrusion Detection System Using Self-Organizing Maps”, 2009 Third International Conference on Network and System Security IEEE, 2009, pp 397–402 [10] M Kim, H Kang, S Hung, S Chung, and J Hong, “A flow-based method for abnormal network traffic detection”, IEEE/IFIP Network Operations and Management Symposium, 2004, pp 599–612 [11] N Gude, T Koponen, J Pettit, B Pfaff, M Casado, N McKeown, and S Shenker, “Nox: towards an operating system for networks,” SIGCOMM Comput Commun Rev, vol 38, no 3, pp 105–110, 2008 [12] Nick McKeown, Tom Anderson, Hari Balakrishnan, Guru Parulkar, Larry Peterson, Jenifer Rexford, Scott Shenker, Jonathan Turner “OpenFlow: Enabling Innovation in Campus Networks”, March 14, 2008 [13] NOX [14] Priya Controller Available: http://www.noxrepo.org/ Mahadevan,Puneet Ranganathan “Energy Sharma,Sujata Aware Network Banerjee,Parthasarathy Operations”, Proceeding INFOCOM'09 [15] Priya Mahadevan, Puneet Sharma, Sujata Banerjee, Parthasarathy Ranganathan “A Power Benchmarking Framework for Network Devices”, Networking 2009, pp 795-808 [16] P Borgnat, G Dewaele, K Fukuda, P Abry, and K Cho, “Seven years and one day: Sketching the evolution of internet traffic” , INFOCOM2009, IEEE, April 2009, pp 711–719 67 [17] H Gunes Kayacik, N Zincir-Heywood et al., “A hierarchical SOM based intrusion detection system”, Engineering Applications of Artificial Intelligence, vol 20, no 4, pp 439–451, 2007 [18] J Mirkovic, S Fahmy, P Reiher, and R K Thomas, “How to test dosdefenses”, CATCH ’09: Proceedings of the 2009 Cybersecurity Applications & Technology Conference for Homeland Securit, 2009, pp 103–117 [19] Kandula, S., Sengupta, S., Greenberg, A., Patel, P., & Chaiken, R (2009) “The nature of data center traffic: measurements & analysis”, Proceedings of the 9th ACM SIGCOMM conference on Internet measurement conference, pp.202-208 [20] “The stacheldraht ddos attack tool,” 2009 [Online] Available: http://staff.washington.edu/dittrich/misc/stacheldraht.analysis.txt [21] “Twitter hit by denial-of-service attack,” 2009 [Online] Available: http://www.cnn.com/2009/TECH/08/06/twitter.attack/index.html [22] The [23] T OpenFlow Switch Available: http://www.OpenFlow.org Kohonen, “The self-organizing map”, Proceedings of the IEEE, vol 78, no 9, pp 1464–1480, 1990 [24] W Wang and S Gombault, “Efficient Detection of DDoS Attacks with Important Attributes”, CRISIS 2008, Third International Conference on Risks and Security on Internet and Systems, October 28-30, [25] Y Feng, R Guo, D Wang, and B Zhang, “Research on the Active DDoS Filtering Algorithm Based on IP Flow”, in 2009 Fifth International Conference on Natural Computation IEEE, 2009, pp 628–632 68 ... viên, khách hàng doanh nghiệp an tâm liệu họ an toàn Các kỹ thuật bảo mật mạng sử dụng phổ biến mạng doanh nghiệp Việt Nam: 1.4 Các kỹ thuật bảo mật mạng doanh nghiệp Bất kỳ doanh nghiệp hoạt động... NINH MẠNG VÀ CÁC KỸ THUẬT BẢO MẬT TRONG MẠNG DOANH NGHIỆP .10 1.1 An ninh mạng .10 1.2 Các lớp bảo mật mạng 11 1.3 An ninh mạng hoạt động 13 1.4 Các kỹ thuật bảo mật. .. vi bảo mật lớn, khơng cịn gói gọn máy tính quan mà toàn cầu Xuất phát từ sở khoa học thực tiễn tác giả định chọn đề tài ? ?Các biện pháp nâng cao tính bảo mật mạng doanh nghiệp sử dụng kỹ thuật mạng