1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control

45 4 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Tác giả Nguyễn Phúc Hải, Võ Thành Tín, Đỗ Minh Thọ, Ngô Hùng Thịnh
Người hướng dẫn Nghi Hoàng Khoa
Trường học Đại Học Quốc Gia Tp. Hồ Chí Minh
Chuyên ngành An Toàn Mạng Máy Tính
Thể loại Báo Cáo Đồ Án
Năm xuất bản 2022-2023
Thành phố Thành Phố Hồ Chí Minh
Định dạng
Số trang 45
Dung lượng 1,22 MB

Nội dung

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN MÔN: AN TỒN MẠNG MÁY TÍNH HỌC KỲ: NĂM HỌC: 2022-2023 Đề tài: Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control Giảng viên hướng dẫn: Nghi Hoàng Khoa Lớp: NT101.N11.ANTT-VN Nhóm thực hiện: Lão Gà Mên STT Họ tên MSSV Nguyễn Phúc Hải 20521281 Võ Thành Tín 20522019 Đỗ Minh Thọ 20521972 Ngơ Hùng Thịnh 20521961 Thành phố Hồ Chí Minh, ngày 26 tháng 09 năm 2022 MỤC LỤC Nội dung BẢNG PHÂN CÔNG NHIỆM VỤ LỜI MỞ ĐẦU ĐẶT VẤN ĐỀ MỤC TIÊU .8 CÁC NGHIÊN CỨU LIÊN QUAN VÀ ĐỀ XUẤT KỸ THUẬT XỬ LÝ Adversary Model .9 Nền SDN Vấn đề thách thức .10 Những kỹ thuật đề xuất để bảo vệ an ninh máy chủ lưu trữ 11 PHƯƠNG PHÁP THỰC HIỆN 13 Giới thiệu mơ hình kiến trúc hệ thống 13 Giám sát lưu lượng 16 Giám sát trạng thái máy chủ 19 Tóm tắt ứng dụng điều khiển 21 Phát công 24 Máy chủ kiểm tra 25 KẾT QUẢ THỰC HIỆN VÀ ĐÁNH GIÁ 28 Thực 28 Thiết lập 28 Kết thử nghiệm .31 Trường hợp sử dụng 34 KẾT LUẬN, HẠN CHẾ VÀ NHỮNG VẤN ĐỀ BÀN LUẬN 38 LỜI CẢM ƠN 41 TRÍCH DẪN TÀI LIỆU 42 BẢNG PHÂN CÔNG NHIỆM VỤ STT MSSV Họ tên Vai trị Thời gian hồn thành 20521281 Nguyễn Phúc Hải Làm báo cáo, slide, thuyết trình Tuần 20522019 Võ Thành Tín Tóm tắt bào báo Tóm lược thơng tin, Tuần 1-2 chỉnh sửa nội dung báo cáo 20521972 Đỗ Minh Thọ Thực code đồ án Tuần 2-5 20521961 Ngô Hùng Thịnh Giữ nhịp tiến độ, giúp đồ án thống Tuần 1-5 nội dung thành viên nhóm Tham gia hỗ trợ phần việc phía Ghi LỜI MỞ ĐẦU Hiện phần mềm độc hại dựa mạng máy tính gây mối đe dọa nghiêm trọng bảo mật máy chủ Tạo thách thức lớn hệ thống bảo mật, cá nhân, quan nhà nước, doanh nghiệp, với nhà nghiên cứu an toàn mạng Khi phần mềm độc hại sử dụng chế độ private TCP/IP cho truyền thông, cá nhân mạng tường lửa khơng xác định lưu lượng độc hại Hiện sách tường lửa khơng có chế cập nhật thuận tiện, điều làm cho việc phát lưu lượng độc hại trở nên khó khăn Trong đồ án này, chúng tơi đề xuất tường lửa phần mềm xác định (SDF), thiết kế bảo mật để bảo vệ máy chủ cho phép kiểm sốt sách bảo mật lập trình cách trừu tượng hóa kiến trúc tường lửa thành Control plane Data plane Tăng cường cập nhật sách kiểm sốt an ninh dễ dàng, kiến trúc SDN (Software-Defined Networking) Sự khác biệt thu thập thêm thơng tin máy chủ để cung cấp kiểm soát lưu lượng cấp ứng dụng cải thiện phần mềm độc hại phát lưu lượng xác Control plane chứa tất lưu lượng mạng đến phần cứng mạng để tránh phần mềm độc hại vượt qua Thiết kế SDF dễ dàng triển khai triển khai mạng ngày Chúng triển khai nguyên mẫu SDF đánh giá hiệu suất thí nghiệm thực tế Kết thực nghiệm cho thấy SDF giám sát thành công tất lưu lượng mạng (Tức không bỏ qua lưu lượng truy cập) cải thiện độ xác mã độc nhận dạng giao thông Đồ án SDF cung cấp giải pháp dễ dàng linh hoạt cho ngày lưu trữ vấn đề bảo mật so với tường lửa ĐẶT VẤN ĐỀ Phần mềm độc hại (Malware) trở thành mối đe dọa nghiêm trọng đến bảo mật máy chủ Phần mềm độc hại ngày hôm cần kết nối mạng để thực hoạt động độc hại (Ví dụ: Làm ngập gói, rị rỉ liệu cá nhân tải xuống cập nhật phần mềm độc hại) Để phát hoạt động độc hại này, công ty Security đề xuất giải pháp bảo mật hai máy chủ bên (Tường lửa cá nhân tường lửa Microsoft Windows Anti-viruts ) phía mạng (Tường lửa mạng như hệ thống phát xâm nhập lọc xâm nhập) Đã bao giờ, phần mềm độc hại nằm lớp thấp lớp cá nhân tường lửa, lưu lượng truy cập độc hại trở nên vơ hình cá nhân tường lửa Mặc dù Network Firewalls nắm bắt tất lưu lượng truy cập, thiếu thông tin máy chủ khiến chúng khơng phân biệt lưu lượng truy cập độc hại từ lưu lượng truy cập lành tính khác Một ví dụ điển hình khởi động Rovnix bỏ qua giám sát tường lửa cá nhân thông qua ngăn xếp TCP/IP riêng Trộn với lưu lượng truy cập lành tính, tường lửa mạng khơng xác định lưu lượng truy cập Rovnix khơng có tính quan trọng sở liệu chữ ký cơng, mơ tả Hình Nhiều giải pháp đề xuất cho mẫu phần mềm độc hại phân tích cập nhật sách bảo mật động Nhà nghiên cứu Perdisci et.al trình bày phần mềm độc hại hành vi cấp độ mạng hệ thống phân cụm cách phân tích điểm tương đồng cấu trúc số dấu vết lưu lượng truy cập HTTP độc hại tạo phần mềm độc hại dựa HTTP Hình Tường lửa mạng cá nhân khơng xác định lưu lượng độc hại phần mềm độc hại sử dụng ngăn xếp TCP/IP riêng Nhà nghiên cứu Amann et.al đề xuất mạng lưới tiểu thuyết khung điều khiển cung cấp hệ thống nhập giám sát mạng thụ động với giao diện linh hoạt thống để hoạt động phản hồi Khả lập trình cao phần mềm xác định mạng (SDN) giới thiệu đổi bảo mật Bảo vệ dòng chảy cho phép phát xác hiệu giải vi phạm sách tường lửa mạng OpenFlow Một cách tiếp cận khác, PBS, đánh giá ý tưởng SDN để kích hoạt khả bảo mật mạng cấp độ ứng dụng cho ứng dụng thiết bị di động PBS giới thiệu cách linh hoạt để thực thi sách bảo mật cách áp dụng khái niệm SDN Tuy nhiên, cách tiếp cận phát sinh tỷ lệ dương tính giả cao nhận dạng lưu lượng công với không tham chiếu đến thông tin máy chủ lưu trữ bị bỏ qua phần mềm độc hại thông qua chế để tránh kiểm tra tường lửa cá nhân (ví dụ: thơng qua ngăn xếp TCP/IP riêng) Để giải vấn đề phát lưu lượng độc hại đáng tin cậy, đề xuất tường lửa phần mềm xác định (SDF), kiến trúc ngăn chặn lưu lượng truy cập độc hại bỏ qua tăng cường bảo mật cho máy chủ Kiến trúc SDF chứng kiến từ thiết kế "Control plane" "Data plane" SDN " Control plane " SDF thu thập thơng tin máy chủ (Ví dụ: tên tác vụ, CPU nhớ sử dụng nhiệm vụ) để cải thiện độ xác mã độc phát lưu lượng cung cấp quản lý luồng chi tiết Data plane giám sát lưu lượng đến phần cứng mạng Thiết kế hai lớp SDF tránh thành cơng phần mềm độc hại bỏ qua cách tích hợp máy chủ thơng tin Một tính bật khác SDF khả kiểm sốt lưu lượng cấp ứng dụng Chúng tơi thiết kế ngơn ngữ lập trình cho SDF phép người dùng phát triển ứng dụng kiểm sốt, thơng qua kiểm sốt mặt phẳng SDF cài đặt quy tắc mặt phẳng liệu để quản lý lưu lượng mạng Do đó, người dùng tự động cập nhật máy chủ lưu trữ sách bảo mật máy đạt kịp thời xác lọc lưu lượng độc hại SDF mạnh mẽ trước cơng khác chống lại kiểm sốt Control plane Chúng tận dụng máy chủ kiểm tra để tránh bị xâm phạm máy bay điều khiển phần mềm độc hại cài đặt quy tắc bất hợp pháp gỡ bỏ quy tắc pháp lý bình diện liệu Khi cơng phát hiện, máy chủ kiểm tra thông báo cho quản trị viên mạng kiện bất thường Với cảnh báo này, quản trị viên mạng kiểm tra thêm máy chủ để loại bỏ phần mềm độc hại SDF dễ thực triển khai mạng truyền thống OpenFlow mà khơng có nhiều thay đổi khung mạng có Với hỗ trợ SDF, nhiều giải pháp bảo mật ngày đơn giản hóa cách áp dụng ứng dụng điều khiển khác Hình Phần mềm độc hại vượt qua tường lửa cá nhân MỤC TIÊU Mục tiêu đồ án thời gian học tập mơn an tồn mạng máy tính tìm hiểu nghiên cứu giải pháp phát triển năm gần tường lửa để từ hiểu rõ áp dụng việc bảo vệ hệ thống khỏi cơng an tồn mạng Hồn thành tốt học phần, cố thêm kiên thức bảo mật mạng chuẩn bị cho học kỳ tới CÁC NGHIÊN CỨU LIÊN QUAN VÀ ĐỀ XUẤT KỸ THUẬT XỬ LÝ Adversary Model Các ứng dụng mạng thông thường (Ví dụ: Chrome MSN) sử dụng ngăn xếp TCP/IP giao diện cung cấp hệ điều hành hệ thống (OS) để giao tiếp mạng Cụ thể, lưu lượng ứng dụng qua TCP/IP trình điều khiển giao thức, đặc điểm kỹ thuật giao diện trình điều khiển mạng (NDIS) trình điều khiển trung gian, trình điều khiển lọc NDIS cổng thu nhỏ NDIS trình điều khiển trước tiếp cận phần cứng thẻ giao diện mạng (NIC), mơ tả Hình Tường lửa cá nhân nằm bốn lớp để phân tích lưu lượng đến Khi phát thấy lưu lượng độc hại, tường lửa báo cáo cho người dùng để định loại bỏ dựa bảo mật sách Một số phần mềm độc hại sử dụng ngăn xếp TCP/IP riêng để vượt qua tường lửa cá nhân Cụ thể, phần mềm độc hại kết nối NdisM Register Miniport Driver NdisM Register Miniport đăng ký chức xử lý miniport phần mềm độc hại Trước trình điều khiển điều hợp mạng đăng ký với NDIS Với chức xử lý miniport riêng phần mềm độc hại, phần mềm độc hại để gửi nhận gói thơng qua ngăn xếp TCP/IP riêng bỏ qua giám sát tường lửa cá nhân, mơ tả Hình Phần mềm độc hại có khả đầu độc tường lửa cá nhân, chẳng hạn chặn giao tiếp tường lửa hệ điều hành chí tắt tường lửa Khi phần mềm độc hại cố gắng để làm hỏng hệ thống phòng thủ, nên đảm bảo hoạt động độc hại dễ nhận thấy người dùng Người dùng lấy bước để quét máy chủ lưu trữ để loại bỏ phần mềm độc hại Nền SDN Mạng phần mềm xác định (SDN) kỹ thuật số mạng phân tách mặt phẳng điều khiển liệu mạng Control plane SDN lệnh cho toàn mạng hành vi Sự tập trung hợp lý giới thiệu cách đơn giản cách linh hoạt để quản lý kiểm soát lưu lượng mạng cách giao thức "Southbound " (Tức OpenFlow) Mạng OpenFlow áp dụng quy tắc luồng để xử lý mạng giao thơng Khi gói tin đến, cơng tắc OpenFlow tìm kiếm bảng luồng để xem liệu gói có khớp với luồng khơng quy tắc Nếu tìm thấy kết phù hợp, công tắc OpenFlow theo sau trường hành động quy tắc luồng để xử lý gói tin Các hành động (Khơng giới hạn): (i) chuyển tiếp gói tin; (ii) thả gói tin; (iii) báo cáo gói tin lên mặt phẳng điều khiển Nếu gói khơng khớp với mục nhập luồng (bỏ qua bảng), công tắc OpenFlow thường gửi gói tin nhắn đến máy bay điều khiển để hướng dẫn Máy bay điều khiển sau định cách xử lý gói dựa logic ứng dụng phản hồi quy tắc hành động luồng Dòng phản ứng cách tiếp cận cài đặt cho phép cách dễ dàng linh hoạt để quản lý kiểm soát lưu lượng mạng được sử dụng hầu hết ứng dụng OpenFlow Vấn đề thách thức Vấn đề nghiên cứu báo làm để phát mã độc lưu lượng phần mềm độc hại máy chủ Để giải vấn đề này, phải đối mặt với thách thức sau Làm để tránh lưu lượng truy cập độc hại bỏ qua cá nhân tường lửa? Như đề cập trên, phần mềm độc hại sử dụng Ngăn xếp TCP/IP để vượt qua phát tường lửa cá nhân Do đó, giải pháp tốt nên tiến hành phát lớp phần cứng mạng (Thấp lớp mà phần mềm độc hại hoạt động để tránh bị bỏ qua) Thật khơng may, khơng có tường lửa cá nhân giám sát lưu lượng lớp NIC Trong đó, phần mềm độc hại công tường lửa, làm để đảm bảo hệ thống hoạt động cảnh báo người dùng công xảy vấn đề đầy thách thức Do đó, chúng tơi cần bảo mật khung phát lưu lượng độc hại Kết thử nghiệm Thu thập lưu lượng phần mềm độc hại Trong thử nghiệm này, sử dụng (Gói tin máy chủ lưu trữ)/(Gói tin chụp hình Host) để tính tốn tốc độ bắt gói Kết mơ tả Bảng Trong đối tượng kiểm soát, McAfee Norton cảnh báo phần mềm độc hại phát Rovnix chép vào máy chủ (Tệp Rovnix khớp với sở liệu chữ ký cơng), khơng số họ nắm bắt lưu lượng truy cập khởi động Rovnix Mặt khác, SDF nắm bắt tất gói Rovnix bootkit Vì khơng kiểm sốt số lượng gói tạo Malicious Traffic Identification: Đầu tiên, chúng tơi phân tích cách tính khác ảnh hưởng đến kết phân loại Trong đánh giá chúng tôi, chúng tơi tìm thấy tất tính trình bày phần 3.5 để tưởng nhớ đến trình phân loại SVM Trong trọng lượng tính khác khác loại công khác Đặc biệt, tác vụ, tần suất, CPU trường giao thức tiêu đề có ý nghĩa quan trọng ARP-attacker SYN-Floer, đồng thời tác vụ trường giao thức quan trọng người rò rỉ quyền riêng tư (Lưu ý lưu lượng truy cập kẻ xâm phạm quyền riêng tư xác định phân loại mức gói, chúng tơi xem xét ảnh hưởng trình phân loại SVM đây) Hơn nữa, chúng tơi sử dụng truepositive tỷ lệ TPR = (Các gói độc hại phát hiện)/(Các gói độc hại) tỷ lệ dương tính giả FPR = (Đã phân loại gói lành tính gói độc hại)/ (Các gói lành tính) để so sánh hình thức thơng tin máy chủ bật thông tin máy chủ bị vơ hiệu hóa phân loại trường hợp (Duyệt, tải xuống tải lên) Kết thể Hình 11 Cả hai phân loại theo SYN-Floer xác theo người rị rỉ quyền riêng tư Đó hệ gói tin độc hại tạo SYN-lụter gói SYN Do đó, “TCP giao thức ”trở thành tính quan trọng Mặt khác, lưu lượng truy cập kẻ xâm phạm quyền riêng tư khó bị phát hiện, đặc biệt kịch tải lên Đó số thơng tin riêng tư (ví dụ: tác vụ chạy) không bao gồm chữ ký công sở liệu Phân biệt lưu lượng truy cập độc hại với cập nhật thường xuyên giao thơng lại khó khăn Phân loại kích hoạt thơng tin máy chủ lưu trữ hình thức tốt so với phân loại vơ hiệu hóa thơng tin máy chủ lưu trữ tất tình Kết cho thấy tính máy chủ lưu trữ làm tang TPR 15% giảm FPR khoảng 5% việc xác định lưu lượng truy cập người rò rỉ quyền riêng tư Alerts for Control Plane Attacks: Máy chủ kiểm tra xác định mâu thuẫn mục nhập luồng cảnh báo loại công máy bay điều khiển Các thông báo chặn công cài đặt quy tắc luồng (Mal1.exe) đầu độc cơng thống kê lưu lượng truy cập (Mal2.exe) trình bày Hình 12, hình ảnh việc tắt công máy bay điều khiển trình bày Hình 13 Trong cài đặt quy tắc dịng chặn cơng, mức độ rủi ro mục nhập luồng gian lận (Quy tắc số Hình 13) đặt thành 100, tác vụ mal1.exe giữ nguyên sở liệu chữ ký cơng Vì mal2.exe khơng có sở liệu chữ ký cơng, mức độ rủi ro đầu độc công thống kê lưu lượng truy cập (Quy tắc gian lận số Hình 13) 8.2 tính khoảng cách chuẩn hóa tới siêu phẳng Khi điều khiển gặp cố tắt máy bay điều khiển cơng (mal3.exe), máy chủ kiểm tra phát không đồng mục nhập luồng Mức độ rủi ro quy tắc gian lận 6.4 Ngoài ra, điều khiển tắt, chúng tơi tìm thấy số cảnh báo rủi ro thấp phân loại có tỷ lệ dương tính giả cao (Các quy tắc phân luồng để chặn số lưu lượng truy cập thông thường gây mâu thuẫn) Lưu ý kết công gần giống (Xóa số mục nhập luồng cài đặt mục nhập luồng gian lận), máy chủ kiểm tốn khơng thể phân biệt điều khiển bị loại công Người điều hành quản trị mạng tiến hành phân tích sâu dựa cảnh báo từ máy chủ kiểm tra Trễ gói: Bảng mơ tả q trình xử lý gói tin chi phí cao hệ thống SDF TCAM đảm bảo ngắn chậm trễ để xử lý gói phù hợp, độ trễ trung bình 5ms Tuy nhiên, thời gian xử lý gói bỏ sót bảng lâu nhiều Độ trễ trung bình tăng lên 105ms giám sát lưu lượng cần gửi gói cho người điều khiển người điều khiển cần định gửi hành động trở lại trình giám sát lưu lượng May mắn thay, gói bỏ sót bảng phần nhỏ mạng lưu lượng truy cập hầu hết tình huống, điều khiển cập nhật quy tắc luồng theo dõi lưu lượng để xử lý gói tin nhận lại Hơn nữa, chúng tơi xây dựng trình giám sát lưu lượng truy cập phần cứng cụ thể nguyên mẫu Sự chậm trễ liên kết gói bỏ sót bảng giảm bớt giám sát lưu lượng hoạt động phía NIC Hình 11 So sánh phân loại kích hoạt thông tin máy chủ phân loại thông tin máy chủ bị vơ hiệu hóa SDF Hình 12 Cảnh báo chặn công cài đặt quy tắc luồng đầu độc công thống kê lưu lượng Hình 13 Cảnh báo tắt cơng máy bay điều khiển Hình 14 Cách sử dụng 1: bảo vệ máy chủ Trường hợp sử dụng Trường hợp sử dụng 1: Bảo vệ máy chủ Nhiều máy chủ (Ví dụ: Web máy chủ) truy cập người dùng bên trở thành mục tiêu công mạng khác nhau, chẳng hạn công DDoS XSS công Để bảo vệ máy chủ này, ngày nhiều phương pháp bảo vệ cho phép cổng cụ thể số dịch vụ (Ví dụ: 80 cho HTTP 443 cho HTTPS) Các nhiệm vụ khác đến cổng trái phép chuyển hướng đến bảo mật đại lý để phân tích thêm Trong đó, giám sát lưu lượng gent áp dụng để phát lưu lượng độc hại trình giao tiếp (Ví dụ: IP đích nằm danh sách đen, lưu lượng truy cập tn theo mơ hình WebShell tập lệnh tải xuống phân tích cú pháp) Ban đầu, chúng tơi cần hai tác nhân (Tức lưu lượng truy cập giám sát tác nhân tác nhân bảo mật) để bảo vệ máy chủ cần cập nhật sở liệu công tác nhân giám sát lưu lượng theo cách thủ công dựa phản hồi từ nhân viên bảo mật Trong trường hợp này, chúng tơi sử dụng SDF để cập nhật bảo mật sách tự động mà không cần giới thiệu hai đại lý Đến cho phép yêu cầu đến cổng 80 443, đồng thời phân tích yêu cầu khác, trước tiên áp dụng quy tắc luồng chủ động (Các sách bảo mật bản) cho chuyển tiếp gói đến lành tính (DST PORT = 80 443) báo cáo gói đến điều khiển Thứ hai, thiết kế ứng dụng phân tích bảo mật tạo cơng chữ ký gói đến độc hại này, chẳng hạn dạng IP máy chủ độc hại mơ hình WebShell Dựa chữ ký này, ứng dụng phân tích bảo mật động cập nhật sở liệu chữ ký công Cuối cùng, chúng tơi xây dựng ứng dụng kiểm sốt sách an ninh để báo cáo lưu lượng truy cập đáng ngờ vào ứng dụng phân tích bảo mật tự động cập nhật bảo mật sách Một mơ hình để bảo vệ an ninh máy chủ với SDF mơ tả Hình 14 (Máy chủ kiểm tra khơng trình bày cho đơn giản hóa mô tả) Trong thử nghiệm, cố gắng kết nối với cổng trái phép (8080) tải lên phần mềm độc hại thông qua cổng 80 Khi SDF kích hoạt, cổng 8080 mở, thiết lập kết nối với máy chủ thông qua 8080 Tải lên không thành công địa IP khách hàng thêm vào công sở liệu chữ ký Trường hợp sử dụng 2: Kiểm soát mạng phụ huynh PC: Kiểm sốt phụ huynh quản lý khả truy cập mạng người dùng khác Ban đầu, kiểm soát phụ huynh liên kết số lượng ac với blacklist/whitelist PC đơn giản từ chối/cho phép yêu cầu dựa blacklist/whitelist, khiến kiểm sốt truy cập khơng linh hoạt Chiến lược khơng linh hoạt ảnh hưởng đến số trang web có liên kết bên ngồi Kiểm sốt phụ huynh khơng chặn trị chơi trực tuyến trị chơi khơng có danh sách đen Nếu sách thay đổi theo ứng dụng thời gian, chúng tơi cần sử dụng hai tài khoản với sách khác đặt khoảng thời gian hoạt động tài khoản Hơn nữa, kể từ sách lọc cấp hệ điều hành, chúng bị bỏ qua sử dụng ngăn xếp TCP/IP riêng Với hỗ trợ SDF, chúng tơi cho phép người quản lý linh hoạt khả truy cập mạng với tài khoản, mơ tả Hình 15 (Máy chủ kiểm tra khơng trình bày) Chúng tơi áp dụng ba quy tắc luồng chủ động để chuyển tiếp yêu cầu tới “a.com”, chuyển tiếp tất phản hồi báo cáo yêu cầu khác cho điều khiển Thứ hai, áp dụng quy tắc bảo mật để kiểm tra liệu gói có kích hoạt ứng dụng chiếm 50% CPU 50% nhớ hay không Trong trường hợp vậy, tạo số trị chơi trực tuyến Thứ ba, chúng tơi thiết kế Trình phân tích Dst để kiểm tra xem liệu yêu cầu có liên kết bên ngồi u cầu trước định hành động yêu cầu miền khác Cuối cùng, áp dụng ứng dụng kiểm sốt sách bảo mật để gửi u cầu nhận tới trình phân tích Dst đặt thời gian kích hoạt thành 08:00 đến 18:00 (Khả truy cập mạng miễn phí thời gian khác) Lưu ý thiết kế Dst Analyzer, không thêm quy tắc luồng vào giám sát lưu lượng (Ví dụ: IP DST = b’s IP, FORWARD) Đây đảm bảo yêu cầu đến “b.com” bị loại bỏ “b.com/1.jpg” xuất liên kết bên “a.com” Bằng cách này, chúng tơi kích hoạt cách linh hoạt cho mạng gốc điều khiển Trong thử nghiệm chúng tôi, chúng tơi cho phép “Google.com”, sau tìm kiếm “Face book” Google Image Kết hiển thị tất hình ảnh (URL đề tài hình ảnh thuộc liên kết bên ngồi) Chúng tơi cố gắng để kết nối với “www.facebook.com” lúc 17:55, bị chặn Yêu cầu kết nối cho phép lúc 18:05 Chúng sử dụng Warcraft để kiểm tra lưu lượng truy cập tìm số lưu lượng truy cập phần mềm Warcraft cập nhật lưu lượng truy cập ghi lại Hình 15 Ca sử dụng 2: điều khiển mạng phụ huynh KẾT LUẬN, HẠN CHẾ VÀ NHỮNG VẤN ĐỀ BÀN LUẬN Traffic monitor on NIC: Chúng thành phần giám sát lưu lượng triển khai hai chuyển đổi bên bên NIC, báo trình bày tình phổ biến mà giám sát lưu lượng phần cứng công việc mạng cụ thể Trên thực tế, việc triển khai phía NIC thuận tiện cho người dùng phổ thơng Bên cạnh đó, bên chuyển đổi việc triển khai phức tạp với nhiều máy chủ Các giá trị trường IN_PORT phải nhiều hai (Để xác định máy chủ khác nhau) ứng dụng điều khiển phải tách biệt thành nhóm khác để tách biệt quản lý máy chủ Chúng tơi coi việc triển khai phía NIC giải pháp ưu việt hơn, giới hạn tài nguyên phần cứng chướng ngại vật Do đó, ý định chúng tơi thực tối ưu hóa SDF phía NIC với tài nguyên phần cứng hạn chế tương lai Delay in application-level traffic control: Kiểm soát lưu lượng cấp ứng dụng cung cấp cách linh hoạt cho lưu lượng kỹ thuật Mặc dù SDF cung cấp khả kiểm sốt bỏ sót bảng cấp ứng dụng cách liên kết thông tin máy chủ lưu trữ với gói phía máy chủ, giám sát lưu lượng tiến hành liên kết mà không cần bảng thơng tin cổng - máy chủ Có vẻ liên quan đến tất gói gói bỏ sót bảng (OFMatch: *, Action = REPORT) giải pháp đơn giản, ứng dụng điều khiển sau nhận xác định máy chủ thơng tin gói Tuy nhiên, giải pháp ngây thơ việc chuyển tải nhiều chi phí vào mạng (Ví dụ: Độ trễ lâu tiêu thụ băng thông đáng kể) lưu lượng truy cập phía chuyển mạch giám sát việc thực Mục đích chúng tơi trì cổng - bảng thơng tin máy chủ lưu trữ phía giám sát lưu lượng tạo tác vụ, CPU, trường nhớ tiêu đề Mặc dù trì bảng tiêu tốn số băng thơng, chi phí đáng kể so với giải pháp ngây thơ Kể từ giải pháp sửa đổi giao thức OpenFlow cách giới thiệu trường bổ sung cổng - bảng thơng tin máy chủ lưu trữ, khơng thực tế kịch triển khai bên chuyển đổi Evasion of SDF: SDF thu thập thông tin máy chủ từ giám sát trạng thái máy chủ để xác định gói bất hợp pháp Tuy nhiên, phần mềm độc hại móc API trình theo dõi trạng thái máy chủ lưu trữ cung cấp thông tin máy chủ giả để phát cơng máy chủ kiểm tốn Trong tình vậy, đề xuất mạng quản trị viên đào tạo trình phân loại để có mạng bình thường hành vi ứng dụng với lưu lượng truy cập ứng dụng Xem xét ứng dụng khách, thường kết nối với Máy chủ DNS để lấy IP máy chủ thiết lập kết nối đến máy chủ Khi SDF phát gói TCP trước Truy vấn DNS, báo cáo kiện đáng ngờ cho quản trị mạng để phân tích thêm Bên cạnh đó, SDF sử dụng số "Điểm kiểm tra" để xác minh trạng thái máy chủ Vì ví dụ, số dịch vụ kích hoạt, CPU tỷ lệ sử dụng nhớ phải nằm phạm vi SDN attacks on control and/or data plane: Từ SDF triển khai theo chế SDN, bị số cơng cụ thể Chúng tơi chứng minh máy chủ kiểm tốn xác minh mục nhập luồng trình giám sát lưu lượng thông báo cho quản trị viên mạng có mâu thuẫn tìm Tuy nhiên, việc xác định loại công nằm lĩnh vực quản trị mạng Bên cạnh đó, SDN-nhằm mục đích cơng chẳng hạn cơng bão hịa máy bay kiểm sốt liệu công đầu độc cấu trúc liên kết mạng (cấu trúc liên kết mạng công đầu độc hoạt động triển khai bên chuyển mạch mối đe dọa tiềm tàng SDF Người dùng giới hạn số lưu lượng mạng phân phối lưu lượng công đến thiết bị cụ thể để giảm thiểu độ bão hòa mặt phẳng điều khiển liệu công sử dụng cấu trúc liên kết cố định xác minh tính hợp pháp gói giao thức khám phá lớp liên kết (LLDP) cần tránh công đầu độc cấu trúc liên kết mạng [8] Hơn nữa, Hệ thống bảo mật SDN, tạo điều kiện cho người dung Phát lưu lượng phần mềm độc hại Vì hầu hết phần mềm độc hại cần kết nối công việc mạng để thực hoạt động độc hại, thông tin phát lưu lượng độc hại thu hút nhiều ý nghiên cứu gần Perdisci et.al trình bày hệ thống phân cụm phần mềm độc hại hành vi cấp độ mạng cách phân loại điểm tương đồng cấu trúc HTTP độc hại dấu vết lưu lượng phần mềm độc hại dựa HTTP tạo Các phát có hiệu phần mềm độc hại dựa HTTP, khơng khơng cho thấy tương đồng cấu trúc giao thức khác Giải với gói giao thức khác, Amann et.al đề xuất tiểu thuyết khung điều khiển mạng cung cấp mạng thụ động hệ thống giám sát với giao diện linh hoạt thống cho phản hồi tích cực Mặc dù giao diện giám sát linh hoạt, khơng liên quan đến thơng tin máy chủ để đảm bảo kết xác Jackstraws xác định lệnh kiểm soát kết nối từ lưu lượng bot Nó thúc đẩy hình thành dựa máy chủ liên kết kết nối mạng với biểu đồ hành vi để phân loại Một cách tiếp cận khác cung cấp hệ thống giám sát sâu Internet dựa “phát xu hướng ”Với lọc Kalman Một chữ ký xác đề xuất để phát sâu đa hình SDN Security: Các cách tiếp cận bảo mật SDN phân loại thành hai hướng: SDN tự bảo mật, phân tích lỗ hổng mối đe dọa tiềm ẩn SDN; bảo mật hỗ trợ SDN, sử dụng SDN để giải vấn đề mạng truyền thống Bài báo chủ yếu tập trung vào bảo mật hỗ trợ SDN Shinet al điều tra xem tính SDN cung cấp tăng cường an ninh mạng quy trình bảo mật thơng tin Nhiều ví dụ ứng dụng bảo mật trình bày, bao gồm tường lửa, honeypot thơng minh kiểm sốt ac cess cấp mạng Để tạo điều kiện phát xác linh hoạt giải vi phạm sách tường lửa OpenFlow động mạng, khung FlowGuard đề xuất để hỗ trợ tường lửa trạng thái cho SDN với cơng cụ khác để hỗ trợ trực quan hóa, tối ưu hóa, di chuyển tích hợp SDN Bên cạnh bảo mật mạng, SDN mang lại hiểu biết vào bảo mật thiết bị PBS giải pháp bảo mật cho phép linh hoạt chương trình bảo mật mạng cấp độ ứng dụng, chi tiết cho mục đích quản lý mạng sách thực thi thiết bị di động Bằng cách trừu tượng hóa thiết bị di động phần tử thiết bị thành phần tử mạng SDN, PBS cung cấp thực thi sách tồn mạng, nhận biết ngữ cảnh, ứng dụng cụ thể thời gian chạy LỜI CẢM ƠN Trong thời gian học mơn an tồn mạng máy tính, nhóm nhân nhiều giúp đỡ, đóng góp ý kiến bảo nhiệt tình thầy cô, bạn bè Với giúp đỡ giúp nhóm nhiều việc cố kiến thức giải đáp thắc mắc cịn tồn đọng Nhóm xin gửi lời cám ơn chân thành đến thầy Nghi Hồng Khoa giảng viên khoa Mạng máy tính truyền thông liệu trường đại học Công Nghệ Thông Tin, người tận tình hướng dẫn, bảo nhóm suốt trình làm đồ án Với kiến thức học mơn nhóm báo cáo tự tin chặng đường học tập tới sống sau Nhóm xin chúc thầy cán giảng viên công tác trường thật nhiều sức khỏe thành công sống TRÍCH DẪN TÀI LIỆU Bài báo cáo đồ án dựa báo Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control đưa kỷ yếu hội nghị Châu Á 2018 An ninh máy tính truyền thơng Cùng với số hội nghị sau: [1] Johanna Amann and Robin Sommer 2015 Providing Dynamic Control to Passive Network Security Monitoring In Proc of the International Symposium on Recent Advances in Intrusion Detection (RAID) [2] Marco Canini, Petr Kuznetsov, Dan Levin, and Stefan Schmid 2015 A Distributed and Robust SDN Control Plane for Transactional Network Updates In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [3] Chang Chih-Chung and Lin Chih-Jen 2017 LIBSVM https: //www.csie.ntu.edu.tw/∼cjlin/libsvm/ (2017) [4] Juan Deng, Hongda Li, Hongxin Hu, Kuang-Ching Wang, GailJoon Ahn, Ziming Zhao, and Wonkyu Han 2017 On the Safety and Efficiency of Virtual Firewall Elasticity Control In Proc of the Network and Distributed System Security (NDSS) [5] Shang Gao, Zecheng Li, Bin Xiao, and Guiyi Wei 2018 Security Threats in the Data Plane of Software-Defined Networks IEEE Network (2018) [6] Shang Gao, Zhe Peng, Bin Xiao, Aiqun Hu, and Kui Ren 2017 FloodDefender: Protecting Data and Control Plane Resources under SDN-aimed DoS Attacks In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [7] Sungmin Hong, Robert Baykov, Lei Xu, Srinath Nadimpalli, and Guofei Gu 2016 Towards SDN-Defined Programmable BYOD (Bring Your Own Device) Security In Proc of the Network and Distributed System Security (NDSS) [8] Sungmin Hong, Lei Xu, Haopei Wang, and Guofei Gu 2015 Poisoning Network Visibility in Software-Defined Networks: New Attacks and Countermeasures In Proc of the Network and Distributed System Security (NDSS) [9] Hongxin Hu, Gail-Joon Ahn, and Ketan Kulkarni 2012 Detecting and Resolving Firewall Policy Anomalies IEEE Transactions on Dependable and Secure Computing (TDSC) (2012) [10] Hongxin Hu, Wonkyu Han, Gail-Joon Ahn, and Ziming Zhao 2014 FLOWGUARD: Building Robust Firewalls for SoftwareDefined Networks In Proc of the ACM Workshop on Hot Topics in Software Defined Networking [11] Gregoire Jacob, Ralf Hund, Christopher Kruegel, and Thorsten Holz 2011 JACKSTRAWS: Picking Command and Control Connections from Bot Traffic In USENIX Security Symposium (USENIX Security) [12] Samuel Jero, William Koch, Richard Skowyra, Hamed Okhravi, Cristina Nita-Rotaru, and David Bigelow 2017 Identifier Binding Attacks and Defenses in Software-Defined Networks In Proc of the USENIX Security Symposium (Security) [13] Soyoung Kim, Sora Lee, Geumhwan Cho, Muhammad Ejaz Ahmed, Jaehoon Jeong, and Hyoungshick Kim 2017 Preventing DNS Amplification Attacks Using the History of DNS Queries with SDN In Proc of the European Symposium on Research in Computer Security (ESORICS) [14] Seungsoo Lee, Changhoon Yoon, Chanhee Lee, Seungwon Shin, Vinod Yegneswaran, and Phillip Porras 2017 DELTA: A Security Assessment Framework for Software-Defined Networks In Proc of the Network and Distributed System Security (NDSS) [15] Zhen Ling, Junzhou Luo, Kui Wu, Wei Yu, and Xinwen Fu 2014 TorWard: Discovery of Malicious Traffic Over Tor In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [16] Nick McKeown, Tom Anderson, Hari Balakrishnan, Guru Parulkar, Larry Peterson, Jennifer Rexford, Scott Shenker, and Jonathan Turner 2008 OpenFlow: Enabling Innovation in Campus Networks In ACM SIGCOMM Computer Communication Review [17] Roberto Perdisci, Wenke Lee, and Nick Feamster 2010 Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces In Proc of the Symposium on Network System Design and Implementation (NSDI) [18] Phillip A Porras, Steven Cheung, Martin W Fong, Keith Skinner, and Vinod Yegneswaran 2015 Securing the Software Defined Network Control Layer In Proc of the Network and Distributed System Security (NDSS) [19] Broadcom 2017 Broadcom BCM56960 Series https://www.broa dcom.com/products/Switching/Data-Center/BCM56960-Series (2017) [20] Microsoft 2013 The evolution of Rovnix: Private TCP/IP stacks https://blogs.technet.microsoft.com/mmpc/2013/07/25/the-e volution-of-rovnix-privatetcpip-stacks/ (2013) [21] Open Networking Foundation 2012 OpenFlow Switch Specification v1.3.0 https://www.opennetworking.org/images/stories/do wnloads/sdn-resources/onfspecifications/openflow/openflow-s pec-v1.3.0.pdf (2012) [22] RYU SDN Framework Community 2013 RYU Controller https: //osrg.github.io/ryu/ (2013) [23] Seungwon Shin, Lei Xu, Sungmin Hong, and Guofei Gu 2016 Enhancing Network Security through Software Defined Networking (SDN) In Proc of the International Conference on Computer Communication and Networks (ICCCN) [24] Seungwon Shin, Vinod Yegneswaran, Phillip Porras, and Guofei Gu 2013 AVANT-GUARD: Scalable and Vigilant Switch Flow Management in Software-Defined Networks In Proc of the ACM Conference on Computer & Communications Security (CCS) [25] John Sonchack, Adam J Aviv, Eric Keller, and Jonathan M Smith 2016 Enabling Practical Software-defined Networking Security Applications with OFX In Proc of the Network and Distributed System Security (NDSS) [26] Yong Tang, Bin Xiao, and Xicheng Lu 2011 Signature Tree Generation for Polymorphic Worms IEEE Transactions on Computers (TC) 60 (2011) [27] Ilenia Tinnirello, Giuseppe Bianchi, Pierluigi Gallo, Domenico Garlisi, Francesco Giuliano, and Francesco Gringoli 2012 Wireless MAC Processors: Programming MAC Protocols on Commodity Hardware In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [28] Haopei Wang, Lei Xu, and Guofei Gu 2015 FloodGuard: A DoS Attack Prevention Extension in Software-Defined Networks In Proc of the IEEE/IFIP Dependable Systems and Networks (DSN) [29] Xitao Wen, Bo Yang, Yan Chen, Chengchen Hu, Yi Wang, Bin Liu, and Xiaolin Chen 2016 SDNShield: Reconciliating Configurable Application Permissions for SDN App Markets In Proc of the IEEE/IFIP Dependable Systems and Networks (DSN) [30] Cliff C Zou, Weibo Gong, Don Towsley, and Lixin Gao 2005 The Monitoring and Early Detection of Internet Worms In IEEE/ACM Transactions on Networking (TON), Vol 13 Hết !

Ngày đăng: 01/10/2022, 10:57

HÌNH ẢNH LIÊN QUAN

BẢNG PHÂN CÔNG NHIỆM VỤ - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
BẢNG PHÂN CÔNG NHIỆM VỤ (Trang 3)
Hình 1. Tường lửa mạng và cá nhân có thể khơng xác định được lưu lượng độc hại khi phần mềm độc hại sử dụng ngăn xếp TCP/IP riêng. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 1. Tường lửa mạng và cá nhân có thể khơng xác định được lưu lượng độc hại khi phần mềm độc hại sử dụng ngăn xếp TCP/IP riêng (Trang 6)
Hình 2. Phần mềm độc hại vượt qua tường lửa cá nhân. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 2. Phần mềm độc hại vượt qua tường lửa cá nhân (Trang 7)
1. Giới thiệu mơ hình và kiến trúc hệ thống - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
1. Giới thiệu mơ hình và kiến trúc hệ thống (Trang 13)
Hình 4. Đường ống xử lý gói trong bộ giám sát lưu lượng. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 4. Đường ống xử lý gói trong bộ giám sát lưu lượng (Trang 15)
Hình 5. Các cấu trúc trong giám sát giao thông. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 5. Các cấu trúc trong giám sát giao thông (Trang 17)
cứu ký tự đại diện sử dụng mặt nạ để kiểm tra bất kỳ kết quả phù hợp nào trong bảng lưu lượng - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
c ứu ký tự đại diện sử dụng mặt nạ để kiểm tra bất kỳ kết quả phù hợp nào trong bảng lưu lượng (Trang 18)
Hình 7. Một ngôn ngữ trừu tượng cấp cao trong ứng dụng điều khiển sự trừu tượng. Các giá trị trong ngoặc được liệt kê các giá trị của vùng này - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 7. Một ngôn ngữ trừu tượng cấp cao trong ứng dụng điều khiển sự trừu tượng. Các giá trị trong ngoặc được liệt kê các giá trị của vùng này (Trang 20)
Hình 8. Ba ví dụ về ứng dụng điều khiển. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 8. Ba ví dụ về ứng dụng điều khiển (Trang 22)
cập đáng ngờ đến người dùng/ứng dụng, như được mô tả trong Hình 8 (Ví dụ 2). Dựa trên về chính sách này, SDF báo cáo từng gói cho người dùng/ứng dụng khi phân loại  dựa trên lưu lượng xác định nó là bất hợp pháp và nhiệm vụ của nó tiêu thụ hơn 20%  CPU - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
c ập đáng ngờ đến người dùng/ứng dụng, như được mô tả trong Hình 8 (Ví dụ 2). Dựa trên về chính sách này, SDF báo cáo từng gói cho người dùng/ứng dụng khi phân loại dựa trên lưu lượng xác định nó là bất hợp pháp và nhiệm vụ của nó tiêu thụ hơn 20% CPU (Trang 23)
Hình 10. Cấu trúc liên kết trong thử nghiệm phát hiện lưu lượng phần mềm độc hại. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 10. Cấu trúc liên kết trong thử nghiệm phát hiện lưu lượng phần mềm độc hại (Trang 29)
Hình 11. So sánh giữa phân loại kích hoạt thơng tin máy chủ và phân loại thông tin máy chủ bị vơ hiệu hóa trong SDF. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 11. So sánh giữa phân loại kích hoạt thơng tin máy chủ và phân loại thông tin máy chủ bị vơ hiệu hóa trong SDF (Trang 33)
Hình 14. Cách sử dụng 1: bảo vệ máy chủ. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 14. Cách sử dụng 1: bảo vệ máy chủ (Trang 34)
Hình 15. Ca sử dụng 2: điều khiển mạng của phụ huynh. - Đề tài Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control
Hình 15. Ca sử dụng 2: điều khiển mạng của phụ huynh (Trang 37)

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w