ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN MÔN: AN TỒN MẠNG MÁY TÍNH HỌC KỲ: NĂM HỌC: 2022-2023 Đề tài: Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control Giảng viên hướng dẫn: Nghi Hoàng Khoa Lớp: NT101.N11.ANTT-VN Nhóm thực hiện: Lão Gà Mên STT Thành phố Hồ Chí Minh, ngày 26 tháng 09 năm 2022 MỤC LỤC Nội dung BẢNG PHÂN CÔNG NHIỆM VỤ LỜI MỞ ĐẦU ĐẶT VẤN ĐỀ MỤC TIÊU CÁC NGHIÊN CỨU LIÊN QUAN VÀ ĐỀ XUẤT KỸ THUẬT XỬ LÝ Adversary Model .9 Nền SDN Vấn đề thách thức 10 Những kỹ thuật đề xuất để bảo vệ an ninh máy chủ lưu trữ 11 PHƯƠNG PHÁP THỰC HIỆN 13 Giới thiệu mơ hình kiến trúc hệ thống 13 Giám sát lưu lượng 16 Giám sát trạng thái máy chủ 19 Tóm tắt ứng dụng điều khiển 21 Phát công 24 Máy chủ kiểm tra 25 KẾT QUẢ THỰC HIỆN VÀ ĐÁNH GIÁ 28 Thực 28 Thiết lập 28 Kết thử nghiệm 31 Trường hợp sử dụng 34 KẾT LUẬN, HẠN CHẾ VÀ NHỮNG VẤN ĐỀ BÀN LUẬN 38 LỜI CẢM ƠN 41 TRÍCH DẪN TÀI LIỆU 42 BẢNG PHÂN CÔNG NHIỆM VỤ STT MSSV 20521281 20522019 20521972 20521961 LỜI MỞ ĐẦU Hiện phần mềm đợộ̣c hại dựa mạng máy tính gây mối đe dọa nghiêm trọng bảo mật máy chủ Tạo thách thức lớn hệ thống bảo mật, cá nhân, quan nhà nước, doanh nghiệp, với nhà nghiên cứu an toàn mạng Khi phần mềm độộ̣c hại sử dụng chế độộ̣ private TCP/IP cho truyền thơng, cá nhân mạng tường lửa khơng xác định lưu lượng đợộ̣c hại Hiện sách tường lửa khơng có chế cập nhật thuận tiện, điều làm cho việc phát lưu lượng đợộ̣c hại trở nên khó khăn Trong đồ án này, đề xuất tường lửa phần mềm xác định (SDF), mộộ̣t thiết kế bảo mật để bảo vệ máy chủ cho phép kiểm sốt sách bảo mật lập trình cách trừu tượng hóa kiến trúc tường lửa thành Control plane Data plane Tăng cường cập nhật sách kiểm sốt an ninh dễ dàng, kiến trúc SDN (Software-Defined Networking) Sự khác biệt thu thập thêm thơng tin máy chủ để cung cấp kiểm sốt lưu lượng cấp ứng dụng cải thiện phần mềm đợộ̣c hại phát lưu lượng xác Control plane chứa tất lưu lượng mạng đến phần cứng mạng để tránh phần mềm độộ̣c hại vượt qua Thiết kế SDF dễ dàng triển khai triển khai mạng ngày Chúng triển khai mộộ̣t nguyên mẫu SDF đánh giá hiệu suất thí nghiệm thực tế Kết thực nghiệm cho thấy SDF giám sát thành công tất lưu lượng mạng (Tức không bỏ qua lưu lượng truy cập) cải thiện đợộ̣ xác mã đợộ̣c nhận dạng giao thông Đồ án SDF cung cấp giải pháp dễ dàng linh hoạt cho ngày lưu trữ vấn đề bảo mật so với tường lửa ĐẶT VẤN ĐỀ Phần mềm độộ̣c hại (Malware) trở thành mộộ̣t mối đe dọa nghiêm trọng đến bảo mật máy chủ Phần mềm độộ̣c hại ngày hôm cần kết nối mạng để thực hoạt độộ̣ng độộ̣c hại (Ví dụ: Làm ngập gói, rị rỉ liệu cá nhân tải xuống cập nhật phần mềm độộ̣c hại) Để phát hoạt độộ̣ng độộ̣c hại này, công ty Security đề xuất giải pháp bảo mật hai máy chủ bên (Tường lửa cá nhân tường lửa Microsoft Windows Anti-viruts ) phía mạng (Tường lửa mạng như hệ thống phát xâm nhập lọc xâm nhập) Đã bao giờ, phần mềm độộ̣c hại nằm lớp thấp lớp cá nhân tường lửa, lưu lượng truy cập đợộ̣c hại trở nên vơ hình cá nhân tường lửa Mặc dù Network Firewalls nắm bắt tất lưu lượng truy cập, thiếu thông tin máy chủ khiến chúng khơng phân biệt lưu lượng truy cập độộ̣c hại từ lưu lượng truy cập lành tính khác Mợộ̣t ví dụ điển hình bợộ̣ khởi đợộ̣ng Rovnix bỏ qua giám sát tường lửa cá nhân thông qua ngăn xếp TCP/IP riêng Trộộ̣n với lưu lượng truy cập lành tính, tường lửa mạng khơng xác định lưu lượng truy cập Rovnix khơng có tính quan trọng sở liệu chữ ký công, mô tả Hình Nhiều giải pháp đề xuất cho mẫu phần mềm đợộ̣c hại phân tích cập nhật sách bảo mật đợộ̣ng Nhà nghiên cứu Perdisci et.al trình bày mợộ̣t phần mềm đợộ̣c hại hành vi cấp độộ̣ mạng hệ thống phân cụm cách phân tích điểm tương đồng cấu trúc số dấu vết lưu lượng truy cập HTTP độộ̣c hại tạo phần mềm độộ̣c hại dựa HTTP Hình Tường lửa mạng cá nhân không xác định lưu lượng độc hại phần mềm độc hại sử dụng ngăn xếp TCP/IP riêng Nhà nghiên cứu Amann et.al đề xuất mộộ̣t mạng lưới tiểu thuyết khung điều khiển cung cấp hệ thống nhập giám sát mạng thụ độộ̣ng với giao diện linh hoạt thống để hoạt độộ̣ng phản hồi Khả lập trình cao phần mềm xác định mạng (SDN) giới thiệu đổi bảo mật Bảo vệ dịng chảy cho phép phát xác hiệu giải vi phạm sách tường lửa mạng OpenFlow Mộộ̣t cách tiếp cận khác, PBS, đánh giá ý tưởng SDN để kích hoạt khả bảo mật mạng cấp độộ̣ ứng dụng cho ứng dụng thiết bị di độộ̣ng PBS giới thiệu mợộ̣t cách linh hoạt để thực thi sách bảo mật cách áp dụng khái niệm SDN Tuy nhiên, cách tiếp cận phát sinh tỷ lệ dương tính giả cao nhận dạng lưu lượng công với không tham chiếu đến thơng tin máy chủ lưu trữ bị bỏ qua phần mềm độộ̣c hại thông qua chế để tránh kiểm tra tường lửa cá nhân (ví dụ: thơng qua ngăn xếp TCP/IP riêng) Để giải vấn đề phát lưu lượng độộ̣c hại đáng tin cậy, đề xuất tường lửa phần mềm xác định (SDF), mợộ̣t kiến trúc ngăn chặn lưu lượng truy cập độộ̣c hại bỏ qua tăng cường bảo mật cho máy chủ Kiến trúc SDF chứng kiến từ thiết kế "Control plane" "Data plane" SDN " Control plane " SDF thu thập thơng tin máy chủ (Ví dụ: tên tác vụ, CPU bộộ̣ nhớ sử dụng nhiệm vụ) để cải thiện đợộ̣ xác mã độộ̣c phát lưu lượng cung cấp quản lý luồng chi tiết Data plane giám sát lưu lượng đến phần cứng mạng Thiết kế hai lớp SDF tránh thành cơng phần mềm đợộ̣c hại bỏ qua cách tích hợp máy chủ thơng tin Mợộ̣t tính bật khác SDF khả kiểm soát lưu lượng cấp ứng dụng Chúng tơi thiết kế mợộ̣t ngơn ngữ lập trình cho SDF phép người dùng phát triển ứng dụng kiểm sốt, thơng qua kiểm sốt mặt phẳng SDF cài đặt quy tắc mặt phẳng liệu để quản lý lưu lượng mạng Do đó, người dùng tự đợộ̣ng cập nhật máy chủ lưu trữ sách bảo mật máy đạt kịp thời xác lọc lưu lượng độộ̣c hại SDF mạnh mẽ trước cuộộ̣c công khác chống lại kiểm sốt Control plane Chúng tơi tận dụng mợộ̣t máy chủ kiểm tra để tránh bị xâm phạm máy bay điều khiển phần mềm độộ̣c hại cài đặt quy tắc bất hợp pháp gỡ bỏ quy tắc pháp lý bình diện liệu Khi cuộộ̣c công phát hiện, máy chủ kiểm tra thông báo cho quản trị viên mạng kiện bất thường Với cảnh báo này, quản trị viên mạng kiểm tra thêm máy chủ để loại bỏ phần mềm độộ̣c hại SDF dễ thực triển khai mạng truyền thống OpenFlow mà khơng có nhiều thay đổi khung mạng có Với hỗ trợ SDF, nhiều giải pháp bảo mật ngày đơn giản hóa cách áp dụng ứng dụng điều khiển khác Hình Phần mềm độc hại vượt qua tường lửa cá nhân MỤC TIÊU Mục tiêu đồ án thời gian học tập môn an tồn mạng máy tính tìm hiểu nghiên cứu mộộ̣t giải pháp phát triển năm gần tường lửa để từ hiểu rõ áp dụng việc bảo vệ hệ thống khỏi c̣ộ̣c cơng an tồn mạng Hồn thành tốt học phần, cố thêm kiên thức bảo mật mạng chuẩn bị cho học kỳ tới CÁC NGHIÊN CỨU LIÊN QUAN VÀ ĐỀ XUẤT KỸ THUẬT XỬ LÝ Adversary Model Các ứng dụng mạng thơng thường (Ví dụ: Chrome MSN) sử dụng ngăn xếp TCP/IP giao diện cung cấp hệ điều hành hệ thống (OS) để giao tiếp mạng Cụ thể, lưu lượng ứng dụng qua TCP/IP trình điều khiển giao thức, đặc điểm kỹ thuật giao diện trình điều khiển mạng (NDIS) trình điều khiển trung gian, trình điều khiển bợộ̣ lọc NDIS cổng thu nhỏ NDIS trình điều khiển trước tiếp cận phần cứng thẻ giao diện mạng (NIC), mơ tả Hình Tường lửa cá nhân nằm mộộ̣t bốn lớp để phân tích lưu lượng đến Khi phát thấy lưu lượng độộ̣c hại, tường lửa báo cáo cho người dùng để định loại bỏ dựa bảo mật sách Mợộ̣t số phần mềm đợộ̣c hại sử dụng ngăn xếp TCP/IP riêng để vượt qua tường lửa cá nhân Cụ thể, phần mềm độộ̣c hại kết nối NdisM Register Miniport Driver NdisM Register Miniport đăng ký chức xử lý miniport phần mềm độộ̣c hại Trước trình điều khiển bợộ̣ điều hợp mạng đăng ký với NDIS Với chức xử lý miniport riêng phần mềm đợộ̣c hại, phần mềm đợộ̣c hại để gửi nhận gói thơng qua ngăn xếp TCP/IP riêng bỏ qua giám sát tường lửa cá nhân, mơ tả Hình Phần mềm đợộ̣c hại có khả đầu độộ̣c tường lửa cá nhân, chẳng hạn chặn giao tiếp tường lửa hệ điều hành chí tắt tường lửa Khi phần mềm đợộ̣c hại cố gắng để làm hỏng hệ thống phòng thủ, nên đảm bảo hoạt độộ̣ng độộ̣c hại dễ nhận thấy người dùng Người dùng lấy mộộ̣t bước để quét máy chủ lưu trữ để loại bỏ phần mềm độộ̣c hại Nền SDN Mạng phần mềm xác định (SDN) mộộ̣t kỹ thuật số mạng phân tách mặt phẳng điều khiển liệu mộộ̣t mạng Control plane SDN lệnh cho tồn bợộ̣ mạng hành vi Sự tập trung hợp lý giới thiệu mộộ̣t cách đơn giản cách linh hoạt để quản lý kiểm sốt lưu lượng mạng cách mợộ̣t giao thức "Southbound " (Tức OpenFlow) Mạng OpenFlow áp dụng quy tắc luồng để xử lý mạng giao thông Khi mợộ̣t gói tin đến, cơng tắc OpenFlow tìm kiếm bảng luồng để xem liệu gói có khớp với luồng khơng quy tắc Nếu tìm thấy kết phù hợp, cơng tắc OpenFlow theo sau trường hành độộ̣ng quy tắc luồng để xử lý gói tin Các hành đợộ̣ng (Khơng giới hạn): (i) chuyển tiếp gói tin; (ii) thả gói tin; (iii) báo cáo gói tin lên mặt phẳng điều khiển Nếu gói khơng khớp với mục nhập luồng (bỏ qua bảng), công tắc OpenFlow thường gửi mợộ̣t gói tin nhắn đến máy bay điều khiển để hướng dẫn Máy bay điều khiển sau định cách xử lý gói dựa logic ứng dụng phản hồi quy tắc hành đợộ̣ng luồng Dịng phản ứng cách tiếp cận cài đặt cho phép mộộ̣t cách dễ dàng linh hoạt để quản lý kiểm soát lưu lượng mạng được sử dụng hầu hết ứng dụng OpenFlow Vấn đề thách thức Vấn đề nghiên cứu báo làm để phát mã độộ̣c lưu lượng phần mềm độộ̣c hại máy chủ Để giải vấn đề này, phải đối mặt với thách thức sau Làm để tránh lưu lượng truy cập độộ̣c hại bỏ qua mộộ̣t cá nhân tường lửa? Như đề cập trên, phần mềm đợộ̣c hại sử dụng Ngăn xếp TCP/IP để vượt qua phát tường lửa cá nhân Do đó, mợộ̣t giải pháp tốt nên tiến hành phát lớp phần cứng mạng (Thấp lớp mà phần mềm độộ̣c hại hoạt độộ̣ng để tránh bị bỏ qua) Thật không may, khơng có tường lửa cá nhân giám sát lưu lượng lớp NIC Trong đó, phần mềm độộ̣c hại công tường lửa, làm để đảm bảo hệ thống hoạt độộ̣ng cảnh báo người dùng cuộộ̣c công xảy mợộ̣t vấn đề đầy thách thức Do đó, chúng tơi cần mộộ̣t bảo mật khung phát lưu lượng độộ̣c hại Kết thử nghiệm Thu thập lưu lượng phần mềm độộ̣c hại Trong thử nghiệm này, chúng tơi sử dụng (Gói tin máy chủ lưu trữ)/(Gói tin chụp hình Host) để tính tốn tốc đợộ̣ bắt gói Kết mơ tả Bảng Trong đối tượng kiểm soát, McAfee Norton cảnh báo phần mềm độộ̣c hại phát Rovnix chép vào máy chủ (Tệp Rovnix khớp với sở liệu chữ ký công), không số họ nắm bắt lưu lượng truy cập bợộ̣ khởi đợộ̣ng Rovnix Mặt khác, SDF nắm bắt tất gói Rovnix bootkit Vì khơng kiểm sốt số lượng gói tạo Malicious Traffic Identification: Đầu tiên, chúng tơi phân tích cách tính khác ảnh hưởng đến kết phân loại Trong đánh giá chúng tơi, chúng tơi tìm thấy tất tính trình bày phần 3.5 để tưởng nhớ đến trình phân loại SVM Trong trọng lượng tính khác khác loại công khác Đặc biệt, tác vụ, tần suất, CPU trường giao thức tiêu đề có ý nghĩa quan trọng ARP-attacker SYN-Floer, đồng thời tác vụ trường giao thức quan trọng người rò rỉ quyền riêng tư (Lưu ý lưu lượng truy cập kẻ xâm phạm quyền riêng tư xác định phân loại mức gói, chúng tơi xem xét ảnh hưởng trình phân loại SVM đây) Hơn nữa, sử dụng truepositive tỷ lệ TPR = (Các gói đợộ̣c hại phát hiện)/(Các gói đợộ̣c hại) tỷ lệ dương tính giả FPR = (Đã phân loại gói lành tính gói đợộ̣c hại)/ (Các gói lành tính) để so sánh hình thức thông tin máy chủ bật thông tin máy chủ bị vơ hiệu hóa phân loại trường hợp (Duyệt, tải xuống tải lên) Kết thể Hình 11 Cả hai phân loại theo SYN-Floer xác theo người rị rỉ quyền riêng tư Đó hệ gói tin độộ̣c hại tạo SYN-lụter gói SYN Do đó, “TCP giao thức ”trở thành mợộ̣t tính quan trọng Mặt khác, lưu lượng truy cập kẻ xâm phạm quyền riêng tư khó bị phát hiện, đặc biệt kịch tải lên Đó mợộ̣t số thơng tin riêng tư (ví dụ: tác vụ chạy) không bao gồm chữ ký công sở liệu Phân biệt lưu lượng truy cập độộ̣c hại với cập nhật thường xun giao thơng lại khó khăn Phân loại kích hoạt thơng tin máy chủ lưu trữ hình thức tốt so với phân loại vơ hiệu hóa thơng tin máy chủ lưu trữ tất tình Kết cho thấy tính máy chủ lưu trữ làm tang TPR 15% giảm FPR khoảng 5% việc xác định lưu lượng truy cập người rò rỉ quyền riêng tư Alerts for Control Plane Attacks: Máy chủ kiểm tra xác định mâu thuẫn mục nhập luồng cảnh báo loại công máy bay điều khiển Các thông báo chặn cuộộ̣c công cài đặt quy tắc luồng (Mal1.exe) đầu độộ̣c cuộộ̣c công thống kê lưu lượng truy cập (Mal2.exe) trình bày Hình 12, hình ảnh việc tắt cuộộ̣c công máy bay điều khiển trình bày Hình 13 Trong cài đặt quy tắc dịng chặn c̣ộ̣c cơng, mức độộ̣ rủi ro mục nhập luồng gian lận (Quy tắc số Hình 13) đặt thành 100, tác vụ mal1.exe giữ nguyên sở liệu chữ ký công Vì mal2.exe khơng có sở liệu chữ ký công, mức độộ̣ rủi ro đầu độộ̣c cuộộ̣c công thống kê lưu lượng truy cập (Quy tắc gian lận số Hình 13) 8.2 tính khoảng cách chuẩn hóa tới siêu phẳng Khi bộộ̣ điều khiển gặp cố tắt máy bay điều khiển công (mal3.exe), máy chủ kiểm tra phát khơng đồng mục nhập luồng Mức độộ̣ rủi ro quy tắc gian lận 6.4 Ngồi ra, bợộ̣ điều khiển tắt, chúng tơi tìm thấy mợộ̣t số cảnh báo rủi ro thấp bộộ̣ phân loại có tỷ lệ dương tính giả cao (Các quy tắc phân luồng để chặn mộộ̣t số lưu lượng truy cập thông thường gây mâu thuẫn) Lưu ý kết cuộộ̣c công gần giống (Xóa mợộ̣t số mục nhập luồng cài đặt mục nhập luồng gian lận), máy chủ kiểm tốn khơng thể phân biệt bợộ̣ điều khiển bị loại công Người điều hành quản trị mạng tiến hành phân tích sâu dựa cảnh báo từ máy chủ kiểm tra Trễ gói: Bảng mơ tả q trình xử lý gói tin chi phí cao hệ thống SDF TCAM đảm bảo ngắn chậm trễ để xử lý gói phù hợp, đợộ̣ trễ trung bình 5ms Tuy nhiên, thời gian xử lý gói bỏ sót bảng lâu nhiều Đợộ̣ trễ trung bình tăng lên 105ms bợộ̣ giám sát lưu lượng cần gửi gói cho người điều khiển người điều khiển cần định gửi hành đợộ̣ng trở lại trình giám sát lưu lượng May mắn thay, gói bỏ sót bảng mộộ̣t phần nhỏ mạng lưu lượng truy cập hầu hết tình huống, bợộ̣ điều khiển cập nhật quy tắc luồng bợộ̣ theo dõi lưu lượng để xử lý gói tin nhận lại Hơn nữa, xây dựng trình giám sát lưu lượng truy cập mợộ̣t phần cứng cụ thể nguyên mẫu Sự chậm trễ liên kết gói bỏ sót bảng giảm bớt giám sát lưu lượng hoạt đợộ̣ng phía NIC Hình 11 So sánh phân loại kích hoạt thơng tin máy chủ phân loại thơng tin máy chủ bị vơ hiệu hóa SDF Hình 12 Cảnh báo chặn cơng cài đặt quy tắc luồng đầu độc cơng thống kê lưu lượng Hình 13 Cảnh báo tắt công máy bay điều khiển Hình 14 Cách sử dụng 1: bảo vệ máy chủ Trường hợp sử dụng Trường hợp sử dụng 1: Bảo vệ máy chủ Nhiều máy chủ (Ví dụ: Web máy chủ) truy cập người dùng bên ngồi trở thành mục tiêu c̣ộ̣c công mạng khác nhau, chẳng hạn cuộộ̣c công DDoS XSS cuộộ̣c công Để bảo vệ máy chủ này, ngày nhiều phương pháp bảo vệ cho phép cổng cụ thể số dịch vụ (Ví dụ: 80 cho HTTP 443 cho HTTPS) Các nhiệm vụ khác đến cổng trái phép chuyển hướng đến bảo mật đại lý để phân tích thêm Trong đó, mợộ̣t bộộ̣ giám sát lưu lượng mộộ̣t gent áp dụng để phát lưu lượng độộ̣c hại trình giao tiếp (Ví dụ: IP đích nằm danh sách đen, lưu lượng truy cập tuân theo mô hình WebShell tập lệnh tải xuống khơng phải phân tích cú pháp) Ban đầu, cần hai tác nhân (Tức lưu lượng truy cập giám sát tác nhân tác nhân bảo mật) để bảo vệ máy chủ cần cập nhật sở liệu công tác nhân giám sát lưu lượng theo cách thủ công dựa phản hồi từ nhân viên bảo mật Trong trường hợp này, chúng tơi sử dụng SDF để cập nhật bảo mật sách tự đợộ̣ng mà khơng cần giới thiệu hai đại lý Đến cho phép yêu cầu đến cổng 80 443, đồng thời phân tích yêu cầu khác, trước tiên áp dụng quy tắc luồng chủ đợộ̣ng (Các sách bảo mật bản) cho chuyển tiếp gói đến lành tính (DST PORT = 80 443) báo cáo gói đến bộộ̣ điều khiển Thứ hai, thiết kế mợộ̣t ứng dụng phân tích bảo mật tạo cơng chữ ký gói đến đợộ̣c hại này, chẳng hạn dạng IP máy chủ đợộ̣c hại mơ hình WebShell Dựa chữ ký này, ứng dụng phân tích bảo mật độộ̣ng cập nhật sở liệu chữ ký công Cuối cùng, xây dựng mộộ̣t ứng dụng kiểm sốt sách an ninh để báo cáo lưu lượng truy cập đáng ngờ vào ứng dụng phân tích bảo mật tự độộ̣ng cập nhật bảo mật sách Mợộ̣t mơ hình để bảo vệ an ninh máy chủ với SDF mơ tả Hình 14 (Máy chủ kiểm tra khơng trình bày cho đơn giản hóa mơ tả) Trong thử nghiệm, chúng tơi cố gắng kết nối với mộộ̣t cổng trái phép (8080) tải lên phần mềm độộ̣c hại thông qua cổng 80 Khi SDF kích hoạt, cổng 8080 mở, thiết lập kết nối với máy chủ thông qua 8080 Tải lên không thành công địa IP khách hàng thêm vào cuộộ̣c công sở liệu chữ ký Trường hợp sử dụng 2: Kiểm soát mạng phụ huynh PC: Kiểm soát phụ huynh quản lý khả truy cập mạng người dùng khác Ban đầu, kiểm soát phụ huynh liên kết số lượng ac với mộộ̣t blacklist/whitelist PC đơn giản từ chối/cho phép yêu cầu dựa blacklist/whitelist, khiến kiểm soát truy cập không linh hoạt Chiến lược không linh hoạt ảnh hưởng đến mợộ̣t số trang web có liên kết bên ngồi Kiểm sốt phụ huynh khơng chặn trị chơi trực tuyến trị chơi khơng có danh sách đen Nếu sách thay đổi theo ứng dụng thời gian, chúng tơi cần sử dụng hai tài khoản với sách khác đặt khoảng thời gian hoạt độộ̣ng tài khoản Hơn nữa, kể từ sách bợộ̣ lọc cấp hệ điều hành, chúng bị bỏ qua sử dụng ngăn xếp TCP/IP riêng Với hỗ trợ SDF, chúng tơi cho phép mợộ̣t người quản lý linh hoạt khả truy cập mạng với mợộ̣t tài khoản, mơ tả Hình 15 (Máy chủ kiểm tra khơng trình bày) Chúng áp dụng ba quy tắc luồng chủ độộ̣ng để chuyển tiếp yêu cầu tới “a.com”, chuyển tiếp tất phản hồi báo cáo yêu cầu khác cho bộộ̣ điều khiển Thứ hai, áp dụng quy tắc bảo mật để kiểm tra liệu gói có kích hoạt ứng dụng chiếm 50% CPU 50% bộộ̣ nhớ hay không Trong trường hợp vậy, tạo mợộ̣t số trị chơi trực tuyến Thứ ba, chúng tơi thiết kế mợộ̣t Trình phân tích Dst để kiểm tra xem liệu yêu cầu có liên kết bên yêu cầu trước định hành đợộ̣ng u cầu miền khác Cuối cùng, áp dụng mợộ̣t ứng dụng kiểm sốt sách bảo mật để gửi yêu cầu nhận tới trình phân tích Dst đặt thời gian kích hoạt thành 08:00 đến 18:00 (Khả truy cập mạng miễn phí thời gian khác) Lưu ý thiết kế Dst Analyzer, không thêm quy tắc luồng vào giám sát lưu lượng (Ví dụ: IP DST = b’s IP, FORWARD) Đây đảm bảo yêu cầu đến “b.com” bị loại bỏ “b.com/1.jpg” xuất liên kết bên “a.com” Bằng cách này, chúng tơi kích hoạt mợộ̣t cách linh hoạt cho mạng gốc điều khiển Trong thử nghiệm chúng tơi, chúng tơi cho phép “Google.com”, sau tìm kiếm “Face book” Google Image Kết hiển thị tất hình ảnh (URL đề tài hình ảnh tḥộ̣c liên kết bên ngồi) Chúng tơi cố gắng để kết nối với “www.facebook.com” lúc 17:55, bị chặn Yêu cầu kết nối cho phép lúc 18:05 Chúng sử dụng Warcraft để kiểm tra lưu lượng truy cập tìm mợộ̣t số lưu lượng truy cập phần mềm Warcraft cập nhật lưu lượng truy cập ghi lại Hình 15 Ca sử dụng 2: điều khiển mạng phụ huynh KẾT LUẬN, HẠN CHẾ VÀ NHỮNG VẤN ĐỀ BÀN LUẬN Traffic monitor on NIC: Chúng thành phần giám sát lưu lượng triển khai mộộ̣t hai chuyển đổi bên bên NIC, báo trình bày mợộ̣t tình phổ biến mà bợộ̣ giám sát lưu lượng mộộ̣t phần cứng công việc mạng cụ thể Trên thực tế, việc triển khai phía NIC thuận tiện cho người dùng phổ thơng Bên cạnh đó, bên chuyển đổi việc triển khai phức tạp với nhiều máy chủ Các giá trị trường IN_PORT phải nhiều hai (Để xác định máy chủ khác nhau) ứng dụng điều khiển phải tách biệt thành nhóm khác để tách biệt quản lý máy chủ Chúng coi việc triển khai phía NIC mợộ̣t giải pháp ưu việt hơn, giới hạn tài ngun phần cứng mợộ̣t chướng ngại vật Do đó, ý định chúng tơi thực tối ưu hóa SDF phía NIC với tài nguyên phần cứng hạn chế tương lai Delay in application-level traffic control: Kiểm soát lưu lượng cấp ứng dụng cung cấp mộộ̣t cách linh hoạt cho lưu lượng kỹ thuật Mặc dù SDF cung cấp khả kiểm sốt bỏ sót bảng cấp ứng dụng cách liên kết thông tin máy chủ lưu trữ với gói phía máy chủ, bợộ̣ giám sát lưu lượng tiến hành liên kết mà không cần bảng thông tin cổng - máy chủ Có vẻ liên quan đến tất gói gói bỏ sót bảng (OFMatch: *, Action = REPORT) mợộ̣t giải pháp đơn giản, ứng dụng điều khiển sau nhận xác định máy chủ thơng tin gói Tuy nhiên, giải pháp ngây thơ việc chuyển tải nhiều chi phí vào mạng (Ví dụ: Đợộ̣ trễ lâu tiêu thụ băng thông đáng kể) lưu lượng truy cập phía chuyển mạch giám sát việc thực Mục đích chúng tơi trì cổng - bảng thơng tin máy chủ lưu trữ phía giám sát lưu lượng tạo tác vụ, CPU, trường bợộ̣ nhớ tiêu đề Mặc dù trì bảng tiêu tốn mợộ̣t số băng thơng, chi phí đáng kể so với giải pháp ngây thơ Kể từ giải pháp sửa đổi giao thức OpenFlow cách giới thiệu trường bổ sung cổng - bảng thơng tin máy chủ lưu trữ, khơng thực tế kịch triển khai bên chuyển đổi Evasion of SDF: SDF thu thập thông tin máy chủ từ giám sát trạng thái máy chủ để xác định gói bất hợp pháp Tuy nhiên, phần mềm đợộ̣c hại móc API trình theo dõi trạng thái máy chủ lưu trữ cung cấp thông tin máy chủ giả để phát c̣ộ̣c cơng máy chủ kiểm tốn Trong tình vậy, chúng tơi đề xuất mạng quản trị viên đào tạo trình phân loại để có mạng bình thường hành vi ứng dụng với lưu lượng truy cập ứng dụng Xem xét mợộ̣t ứng dụng khách, thường kết nối với Máy chủ DNS để lấy IP máy chủ thiết lập kết nối đến máy chủ Khi SDF phát gói TCP trước Truy vấn DNS, báo cáo kiện đáng ngờ cho quản trị mạng để phân tích thêm Bên cạnh đó, SDF sử dụng mợộ̣t số "Điểm kiểm tra" để xác minh trạng thái máy chủ Vì ví dụ, mợộ̣t số dịch vụ kích hoạt, CPU tỷ lệ sử dụng bộộ̣ nhớ phải nằm mộộ̣t phạm vi SDN attacks on control and/or data plane: Từ SDF triển khai theo chế SDN, bị mợộ̣t số c̣ộ̣c công cụ thể Chúng chứng minh máy chủ kiểm tốn xác minh mục nhập luồng trình giám sát lưu lượng thơng báo cho quản trị viên mạng có mâu thuẫn tìm Tuy nhiên, việc xác định loại cơng nằm lĩnh vực quản trị mạng Bên cạnh đó, SDN-nhằm mục đích c̣ộ̣c cơng chẳng hạn c̣ộ̣c cơng bão hịa máy bay kiểm sốt liệu c̣ộ̣c cơng đầu đợộ̣c cấu trúc liên kết mạng (cấu trúc liên kết mạng cuộộ̣c công đầu độộ̣c hoạt độộ̣ng triển khai bên chuyển mạch mối đe dọa tiềm tàng SDF Người dùng giới hạn mợộ̣t số lưu lượng mạng phân phối lưu lượng công đến mộộ̣t thiết bị cụ thể để giảm thiểu đợộ̣ bão hịa mặt phẳng điều khiển liệu công sử dụng cấu trúc liên kết cố định xác minh tính hợp pháp gói giao thức khám phá lớp liên kết (LLDP) cần tránh công đầu độộ̣c cấu trúc liên kết mạng [8] Hơn nữa, Hệ thống bảo mật SDN, tạo điều kiện cho người dung Phát lưu lượng phần mềm đợộ̣c hại Vì hầu hết phần mềm độộ̣c hại cần kết nối công việc mạng để thực hoạt độộ̣ng độộ̣c hại, thông tin phát lưu lượng độộ̣c hại thu hút nhiều ý nghiên cứu gần Perdisci et.al trình bày mợộ̣t hệ thống phân cụm phần mềm độộ̣c hại hành vi cấp độộ̣ mạng cách phân loại điểm tương đồng cấu trúc HTTP độộ̣c hại dấu vết lưu lượng phần mềm độộ̣c hại dựa HTTP tạo Các phát có hiệu phần mềm đợộ̣c hại dựa HTTP, khơng khơng cho thấy tương đồng cấu trúc giao thức khác Giải với gói giao thức khác, Amann et.al đề xuất mộộ̣t tiểu thuyết khung điều khiển mạng cung cấp mạng thụ độộ̣ng hệ thống giám sát với giao diện linh hoạt thống cho phản hồi tích cực Mặc dù giao diện giám sát linh hoạt, khơng liên quan đến thông tin máy chủ để đảm bảo kết xác Jackstraws xác định lệnh kiểm sốt kết nối từ lưu lượng bot Nó thúc đẩy hình thành dựa máy chủ liên kết kết nối mạng với biểu đồ hành vi để phân loại Mộộ̣t cách tiếp cận khác cung cấp mộộ̣t hệ thống giám sát sâu Internet dựa “phát xu hướng ”Với bợộ̣ lọc Kalman Mợộ̣t chữ ký xác đề xuất để phát sâu đa hình SDN Security: Các cách tiếp cận bảo mật SDN phân loại thành hai hướng: SDN tự bảo mật, phân tích lỗ hổng mối đe dọa tiềm ẩn SDN; bảo mật hỗ trợ SDN, sử dụng SDN để giải vấn đề mạng truyền thống Bài báo chủ yếu tập trung vào bảo mật hỗ trợ SDN Shinet al điều tra xem tính SDN cung cấp tăng cường an ninh mạng quy trình bảo mật thơng tin Nhiều ví dụ ứng dụng bảo mật trình bày, bao gồm tường lửa, honeypot thơng minh kiểm sốt ac cess cấp mạng Để tạo điều kiện phát xác linh hoạt giải vi phạm sách tường lửa OpenFlow độộ̣ng mạng, khung FlowGuard đề xuất để hỗ trợ tường lửa trạng thái cho SDN với bộộ̣ công cụ khác để hỗ trợ trực quan hóa, tối ưu hóa, di chuyển tích hợp SDN Bên cạnh bảo mật mạng, SDN mang lại hiểu biết vào bảo mật thiết bị PBS mộộ̣t giải pháp bảo mật cho phép linh hoạt chương trình bảo mật mạng cấp đợộ̣ ứng dụng, chi tiết cho mục đích quản lý mạng sách thực thi thiết bị di đợộ̣ng Bằng cách trừu tượng hóa thiết bị di đợộ̣ng phần tử thiết bị thành phần tử mạng SDN, PBS cung cấp thực thi sách tồn mạng, nhận biết ngữ cảnh, ứng dụng cụ thể thời gian chạy LỜI CẢM ƠN Trong thời gian học môn an tồn mạng máy tính, nhóm nhân nhiều giúp đỡ, đóng góp ý kiến bảo nhiệt tình thầy cơ, bạn bè Với giúp đỡ giúp nhóm nhiều việc cố kiến thức giải đáp thắc mắc tồn đọng Nhóm xin gửi lời cám ơn chân thành đến thầy Nghi Hoàng Khoa giảng viên khoa Mạng máy tính truyền thơng liệu trường đại học Cơng Nghệ Thơng Tin, người tận tình hướng dẫn, bảo nhóm suốt q trình làm đồ án Với kiến thức học mơn nhóm báo cáo tự tin chặng đường học tập tới cuộộ̣c sống sau Nhóm xin chúc thầy cán bợộ̣ giảng viên công tác trường thật nhiều sức khỏe thành cơng c̣ộ̣c sống TRÍCH DẪN TÀI LIỆU Bài báo cáo đồ án dựa báo Software-Defined Firewall: Enabling Malware Traffic Detection and Programmable Security Control đưa kỷ yếu hộộ̣i nghị Châu Á 2018 An ninh máy tính truyền thơng Cùng với số hội nghị sau: [1] Johanna Amann and Robin Sommer 2015 Providing Dynamic Control to Passive Network Security Monitoring In Proc of the International Symposium on Recent Advances in Intrusion Detection (RAID) [2] Marco Canini, Petr Kuznetsov, Dan Levin, and Stefan Schmid 2015 A Distributed and Robust SDN Control Plane for Transactional Network Updates In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [3] Chang Chih-∼Chung and Lin Chih-Jen 2017 LIBSVM https: //www.csie.ntu.edu.tw/ cjlin/libsvm/ (2017) [4] Juan Deng, Hongda Li, Hongxin Hu, Kuang-Ching Wang, GailJoon Ahn, Ziming Zhao, and Wonkyu Han 2017 On the Safety and Efficiency of Virtual Firewall Elasticity Control In Proc of the Network and Distributed System Security (NDSS) [5] Shang Gao, Zecheng Li, Bin Xiao, and Guiyi Wei 2018 Security Threats in the Data Plane of Software-Defined Networks IEEE Network (2018) [6] Shang Gao, Zhe Peng, Bin Xiao, Aiqun Hu, and Kui Ren 2017 FloodDefender: Protecting Data and Control Plane Resources under SDN-aimed DoS Attacks In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [7] Sungmin Hong, Robert Baykov, Lei Xu, Srinath Nadimpalli, and Guofei Gu 2016 Towards SDN-Defined Programmable BYOD (Bring Your Own Device) Security In Proc of the Network and Distributed System Security (NDSS) [8] Sungmin Hong, Lei Xu, Haopei Wang, and Guofei Gu 2015 Poisoning Network Visibility in Software-Defined Networks: New Attacks and Countermeasures In Proc of the Network and Distributed System Security (NDSS) [9] Hongxin Hu, Gail-Joon Ahn, and Ketan Kulkarni 2012 Detecting and Resolving Firewall Policy Anomalies IEEE Transactions on Dependable and Secure Computing (TDSC) (2012) [10] Hongxin Hu, Wonkyu Han, Gail-Joon Ahn, and Ziming Zhao 2014 FLOWGUARD: Building Robust Firewalls for SoftwareDefined Networks In Proc of the ACM Workshop on Hot Topics in Software Defined Networking [11] Gregoire Jacob, Ralf Hund, Christopher Kruegel, and Thorsten Holz 2011 JACKSTRAWS: Picking Command and Control Connections from Bot Traffic In USENIX Security Symposium (USENIX Security) [12] Samuel Jero, William Koch, Richard Skowyra, Hamed Okhravi, Cristina Nita-Rotaru, and David Bigelow 2017 Identifier Binding Attacks and Defenses in Software-Defined Networks In Proc of the USENIX Security Symposium (Security) [13] Soyoung Kim, Sora Lee, Geumhwan Cho, Muhammad Ejaz Ahmed, Jaehoon Jeong, and Hyoungshick Kim 2017 Preventing DNS Amplification Attacks Using the History of DNS Queries with SDN In Proc of the European Symposium on Research in Computer Security (ESORICS) [14] Seungsoo Lee, Changhoon Yoon, Chanhee Lee, Seungwon Shin, Vinod Yegneswaran, and Phillip Porras 2017 DELTA: A Security Assessment Framework for Software-Defined Networks In Proc of the Network and Distributed System Security (NDSS) [15] Zhen Ling, Junzhou Luo, Kui Wu, Wei Yu, and Xinwen Fu 2014 TorWard: Discovery of Malicious Traffic Over Tor In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [16] Nick McKeown, Tom Anderson, Hari Balakrishnan, Guru Parulkar, Larry Peterson, Jennifer Rexford, Scott Shenker, and Jonathan Turner 2008 OpenFlow: Enabling Innovation in Campus Networks In ACM SIGCOMM Computer Communication Review [17] Roberto Perdisci, Wenke Lee, and Nick Feamster 2010 Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces In Proc of the Symposium on Network System Design and Implementation (NSDI) [18] Phillip A Porras, Steven Cheung, Martin W Fong, Keith Skinner, and Vinod Yegneswaran 2015 Securing the Software Defined Network Control Layer In Proc of the Network and Distributed System Security (NDSS) [19] Broadcom 2017 Broadcom BCM56960 Series https://www.broa dcom.com/products/Switching/Data-Center/BCM56960-Series (2017) [20] Microsoft 2013 The evolution of Rovnix: Private TCP/IP stacks https://blogs.technet.microsoft.com/mmpc/2013/07/25/the-e volution-of-rovnixprivate-tcpip-stacks/ (2013) [21] Open Networking Foundation 2012 OpenFlow Switch Specification v1.3.0 https://www.opennetworking.org/images/stories/do wnloads/sdn-resources/onfspecifications/openflow/openflow-s pec-v1.3.0.pdf (2012) [22] RYU SDN Framework Community 2013 RYU Controller https: //osrg.github.io/ryu/ (2013) [23] Seungwon Shin, Lei Xu, Sungmin Hong, and Guofei Gu 2016 Enhancing Network Security through Software Defined Networking (SDN) In Proc of the International Conference on Computer Communication and Networks (ICCCN) [24] Seungwon Shin, Vinod Yegneswaran, Phillip Porras, and Guofei Gu 2013 AVANT-GUARD: Scalable and Vigilant Switch Flow Management in Software-Defined Networks In Proc of the ACM Conference on Computer & Communications Security (CCS) [25] John Sonchack, Adam J Aviv, Eric Keller, and Jonathan M Smith 2016 Enabling Practical Software-defined Networking Security Applications with OFX In Proc of the Network and Distributed System Security (NDSS) [26] Yong Tang, Bin Xiao, and Xicheng Lu 2011 Signature Tree Generation for Polymorphic Worms IEEE Transactions on Computers (TC) 60 (2011) [27] Ilenia Tinnirello, Giuseppe Bianchi, Pierluigi Gallo, Domenico Garlisi, Francesco Giuliano, and Francesco Gringoli 2012 Wireless MAC Processors: Programming MAC Protocols on Commodity Hardware In Proc of the IEEE International Conference on Computer Communications (INFOCOM) [28] Haopei Wang, Lei Xu, and Guofei Gu 2015 FloodGuard: A DoS Attack Prevention Extension in Software-Defined Networks In Proc of the IEEE/IFIP Dependable Systems and Networks (DSN) [29] Xitao Wen, Bo Yang, Yan Chen, Chengchen Hu, Yi Wang, Bin Liu, and Xiaolin Chen 2016 SDNShield: Reconciliating Configurable Application Permissions for SDN App Markets In Proc of the IEEE/IFIP Dependable Systems and Networks (DSN) [30] Cliff C Zou, Weibo Gong, Don Towsley, and Lixin Gao 2005 The Monitoring and Early Detection of Internet Worms In IEEE/ACM Transactions on Networking (TON), Vol 13 Hết ! ... cán bộộ̣ giảng viên công tác trường thật nhiều sức khỏe thành cơng c̣ộ̣c sống TRÍCH DẪN TÀI LIỆU Bài báo cáo đồ án dựa báo Software- Defined Firewall: Enabling Malware Traffic Detection and Programmable. .. Ahn, and Ketan Kulkarni 2012 Detecting and Resolving Firewall Policy Anomalies IEEE Transactions on Dependable and Secure Computing (TDSC) (2012) [10] Hongxin Hu, Wonkyu Han, Gail-Joon Ahn, and. .. Juan Deng, Hongda Li, Hongxin Hu, Kuang-Ching Wang, GailJoon Ahn, Ziming Zhao, and Wonkyu Han 2017 On the Safety and Efficiency of Virtual Firewall Elasticity Control In Proc of the Network and