1. Trang chủ
  2. » Luận Văn - Báo Cáo

Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm

27 3 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 27
Dung lượng 2,34 MB

Nội dung

Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm.

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC BÁCH KHOA HÀ NỘI Nguyễn Ngọc Tuấn CÁC GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG DDOS CHO MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM Ngành: Kỹ thuật viễn thông Mã số: 9520208 TÓM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THƠNG Hà Nội – 2023 Cơng trình hồn thành tại: Đại học Bách khoa Hà Nội Người hướng dẫn khoa học: PGS.TS Nguyễn Hữu Thanh Phản biện 1: Phản biện 2: Phản biện 3: Luận án bảo vệ trước Hội đồng đánh giá luận án tiến sĩ cấp Đại học Bách khoa Hà Nội họp Đại học Bách khoa Hà Nội Vào hồi …… giờ, ngày … tháng … năm ……… Có thể tìm hiểu luận án thư viện: Thư viện Tạ Quang Bửu - ĐHBK Hà Nội Thư viện Quốc gia Việt Nam MỞ ĐẦU Mục đích nghiên cứu Hiện nay, cơng nghệ thông tin ngày phát triển chiếm vị trí vơ quan trọng phát triển xã hội SDN xu hướng công nghệ mạng mang đến tính quản lý linh hoạt với hiệu cao Khác với công nghệ mạng truyền thống, SDN cho phép tách chức mặt phẳng điều khiển khỏi chức mặt phẳng chuyển tiếp liệu đồng thời cung cấp khả quản lý giám sát tập trung tạo giao diện lập trình ứng dụng mở cho phép nhà nghiên cứu phát triển can thiệp vào hoạt động thiết bị mạng mở rộng, bổ sung chức qua phần mềm Đi với phát triển cơng nghệ mạng đó, an ninh mạng vấn đề quan trọng cần phải quan tâm giải Trong vấn đề cấp thiết an ninh mạng cơng DDoS trội nhiều công cụ hỗ trợ, dễ thực hiện, tác động phạm vi lớn Do nghiên cứu sinh lựa chọn đề tài “Các giải pháp phát giảm thiểu công DDoS cho mạng điều khiển phần mềm”, tập trung vào giải toán công DDoS để thực nghiên cứu Mục tiêu nghiên cứu luận án Đưa số chế nhằm phát hiện, giảm thiểu công DDoS mạng SDN Các vấn đề cần giải luận án - DDoS ảnh hưởng tới thành phần mạng SDN - Giải pháp phát cơng DDoS hiệu quả, xác theo thời gian thực - Giải pháp giảm thiểu công DDoS hậu tới mạng SDN, trì hoạt động mạng cách liên tục Phạm vi nghiên cứu luận án Nghiên cứu tập trung vào: - Mạng điều khiển phần mềm SDN - Tấn công DDoS giải pháp phát hiện, giảm thiểu cơng DDoS sử dụng thuật tốn học máy Phương pháp nghiên cứu - Nghiên cứu đánh giá lý thuyết, từ đề xuất giải pháp - Xây dựng mơ hình thực nghiệm, phân tích đánh giá kết giải pháp đề xuất mới, so sánh với phương pháp có Từ đề xuất giải pháp tối ưu Các đóng góp luận án - Nhận dạng đo lường số ảnh hưởng, tác động công DDoS thành phần mạng SDN hệ thống thật - Đề xuất giải pháp phát loại công DDoS gồm hai cấp: cấp phát nhanh bất thường sử dụng thuật toán phát ngoại lai cục cấp phát loại công cụ thể sử dụng thuật toán học máy phức tạp KNN DNN để cân yêu cầu thời gian thực độ xác phát công DDoS - Đề xuất giải pháp hạn chế, giảm thiểu công DDoS giải pháp phát đối tượng hủy bỏ luồng công với cửa sổ thu thập liệu có thích ứng để đạt hiệu tốt hơn, giải pháp co giãn tài nguyên mạng Cấu trúc luận án Luận án chia thành chương với nội dung sau: - Chương 1: trình bày kiến thức tảng liên quan đến nội dung nghiên cứu - Chương 2: trình bày kết nghiên cứu đánh giá tác động liệu bất thường, công DDoS lên kiến trúc mạng SDN - Chương 3: trình bày giải pháp ứng dụng thuật toán học máy phát cơng từ chối dịch vụ - Chương 4: trình bày giải pháp giảm thiểu DDoS mạng SDN - Chương 5: trình bày giải pháp tự động tăng, giảm tài nguyên mạng SDN thích ứng với lưu lượng liệu theo thời gian thực - Kết luận chung kết công bố luận án CHƯƠNG TỔNG QUAN 1.1 Tổng quan mạng định nghĩa phần mềm SDN Mạng định nghĩa phần mềm phân tách mặt vật lý mặt phẳng điều khiển khỏi mặt phẳng chuyển tiếp liệu, để mặt phẳng điều khiển quản lý tập trung nhiều thiết bị mạng khác thay thiết bị 1.1.1 Kiến trúc SDN Hình 1.1 Cấu trúc mạng SDN - Lớp ứng dụng: chương trình có chức giao tiếp mức độ hành vi chia sẻ tài nguyên với điều khiển thông qua API - Lớp điều khiển: thực thể vật lý mạng để nhận yêu cầu từ lớp ứng dụng xử lý đưa xuống thành phần mạng lớp thiết bị chuyển mạch, thiết bị định tuyến - Lớp hạ tầng mạng: Các thiết bị mạng điều khiển việc chuyển tiếp xử lý liệu mạng 1.1.2 So sánh với kiến trúc mạng truyền thống Trong mạng truyền thống, thiết bị mạng phải mang nhiều chức để đảm bảo hoạt động Với SDN, việc điều khiển tập trung tầng điều khiển nằm tách biệt với thiết bị chuyển mạch, thiết bị mạng có nhiệm vụ chuyển tiếp gói tin 1.2 Giao thức OpenFlow 1.2.1 Giới thiệu chung OpenFlow chuẩn giao tiếp định nghĩa hai lớp điều khiển lớp chuyển tiếp liệu kiến trúc mạng SDN 1.2.2 Thiết bị chuyển mạch OpenFlow Hình 1.3 mơ tả thành phần thiết bị chuyển mạch OpenFlow Hình 1.3 Các thành phần thiết bị chuyển mạch OpenFlow 1.2.3 Bộ điều khiển OpenFlow Bộ điều khiển OpenFlow làm nhiệm vụ điều khiển thiết bị chuyển mạch phía Bộ điều khiển OpenFlow nằm độc lập với thiết bị chuyển mạch OpenFlow giao tiếp với thiết bị chuyển mạch OpenFlow giao thức OpenFlow Một số điều khiển OpenFlow hay sử dụng POX, Ryu, FloodLight, OpenDaylight 1.3 Tấn công từ chối dịch vụ DDoS 1.3.1 Giới thiệu chung DDoS công xảy người công cố gắng làm cho mục tiêu sử dụng dừng cung cấp dịch vụ cách gửi số lượng lớn liệu kết nối tới mục tiêu Người công thường xây dựng botnet để làm công việc 1.3.2 Phân loại công từ chối dịch vụ Hình 1.7 Phân loại hình thức công từ chối dịch vụ phân tán DDoS 1.4 Tổng quan học máy Học máy lĩnh vực trí tuệ nhân tạo, có khả tự học hỏi dựa liệu đưa vào mà khơng cần phải lập trình cụ thể 1.4.1 Q trình hoạt động thuật tốn học máy Quy trình xây dựng mơ hình học máy trải qua bước sau: - Lựa chọn liệu - Mơ hình hóa liệu - Xác thực mơ hình - Tinh chỉnh thơng số mơ hình - Sử dụng mơ hình - Thử nghiệm mơ hình 1.4.2 Thuật toán KNN KNN thuật toán phân loại đơn giản học máy KNN thuật tốn học có giám sát, nghĩa liệu dùng để huấn luyện thuật toán bao gồm liệu đầu vào nhãn đầu Ý tưởng thuật tốn KNN dựa tương đồng điểm gần (trong khoảng cách nhỏ) không gian nhiều chiều Để dự đoán nhãn điểm liệu đầu vào, thuật tốn KNN tính tốn khoảng cách đến tất điểm tập huấn luyện để tìm k điểm gần KNN phân điểm liệu vào nhóm có nhiều điểm k điểm KNN thuật tốn máy học “lười biếng”, khơng học điều cần xác định nhãn điểm liệu đầu vào Tham số quan trọng cần xác định thực KNN giá trị k 1.4.3 Học sâu thuật toán DNN Học sâu nhánh thuật toán tổng thể thuật toán học máy Cấu trúc hoạt động thuật toán học sâu lấy cảm hứng từ não người gọi mạng nơ ron Mạng nơ ron cấu trúc bao gồm ba lớp: lớp vào dùng để nhận giá trị đầu vào thuật toán, lớp ẩn để lọc liệu kéo giá trị dự đoán gần với giá trị mà toán mong muốn, lớp dùng để đưa giá trị dự đốn cuối tập liệu Hình 1.16 biểu thị mạng nơ ron có ba nơ ron thuộc lớp đầu vào, hai thuộc lớp đầu có lớp ẩn với bốn nơ ron DNN có hai tham số quan trọng ảnh hưởng đến chất lượng hoạt động thuật toán cần xác định tốc độ học (learning rate) số vòng lặp tối đa (iteration) CHƯƠNG ĐỀ XUẤT PHƯƠNG PHÁP ĐÁNH GIÁ TÁC ĐỘNG CỦA TẤN CÔNG DDOS VỚI KIẾN TRÚC SDN 2.1 Giới thiệu Trong mơi trường SDN, việc chuyển tiếp gói tin liệu thực theo nguyên tắc luồng phản ứng, mơ tả Hình 2.1 Hình 2.1 Tương tác mặt phẳng điều khiển mặt phẳng liệu mạng SDN Nguyên tắc phản ứng theo luồng SDN thường bị công DDoS khai thác Đối với công dựa giao thức TCP-SYN, kẻ cơng gửi gói tin SYN với cổng địa IP nguồn giả mạo, chuyển mạch coi gói tin luồng Hậu tràn ngập gói tin packet_in phía điều khiển Mặt khác, công dựa dung lượng tràn ngập ICMP UDP, khối lượng lưu lượng truy cập lớn làm bão hịa băng thơng mặt phẳng liệu, kênh kết nối điều khiển thiết bị chuyển mạch đệm thành phần SDN Hình 2.2 thể lỗ hổng có mạng SDN Việc đánh giá tác động công DDoS SDN đáng quan tâm, không mặt định tính mà mặt định lượng Do đó, chương này, nghiên cứu sinh tập trung đo đạc, đánh giá tác động tiêu cực cơng DDoS kiến trúc SDN Hình 2.2 Tổng hợp lỗ hổng kiến trúc SDN 2.2 Xây dựng mơ hình thực nghiệm Hình 2.3 mơ tả chi tiết thành phần mơ hình thực nghiệm, gồm bốn thành phần chính: (1) thiết bị giả lập Botnet; (2) mạng SDN; (3) hệ thống máy chủ; (4) thu thập phân tích liệu Cấu hình tham số thử nghiệm mô tả Bảng 2.1 Hình 2.3 Mơ hình kiến trúc hệ thống đo đạc để đánh giá tác động DDoS xây dựng hồ sơ hiệu mạng SDN Bảng 2.1 Cấu hình tham số mơ hình thử nghiệm Bộ điều khiển Thiết bị chuyển mạch SDN Victim Traffic generator OpenFlow Tấn công SYN Flood Tấn công ICMP Flood Các thông số đo đạc POX, Ryu Floodlight cài đặt máy chủ phần cứng: Xeon(R) 2.53 GHz, 16 Cores, 32 GB RAM Phần mềm: Open vSwitch (v2.14.90) cài đặt máy chủ phần cứng: Xeon(R) 2.67 GHz, 24 Cores, 64 GB RAM Phần cứng: HPE Aruba 2920 Máy chủ có hiệu cao (6 Xeon (R) 2.67 GHz, 24 Cores, 64 GB RAM) Phần mềm Bonesi, TCPReplay (thiết bị phần cứng: Xeon(R) 3.70 GHz, 12 Cores, 16GB RAM) OpenFlow 1.0 OpenFlow 1.3 Tốc độ: 5,000 fps 10 giây cho tất thiết bị điều khiển; 10,000 fps, 15,000 fps, 20,000 fps 10 giây cho Floodlight; Số lượng bots: 50,000 Băng thông: 56 Mbps – 900 Mbps Số lượng bots: 50,000 Kích thước liệu: 1,400 bytes Thiết bị điều khiển: số yêu cầu đến (packet_in), luật gửi (flow_mod), trễ xử lý Thiết bị chuyển mạch: khối lượng liệu đến, thông lượng, kích thước bảng luồng, độ trễ 2.3 Các tác động công DDoS lên kiến trúc mạng SDN 2.3.1 Tác động công DDoS lên điều khiển SDN 2.3.1.1 Tác động công giao thức lên điều khiển SDN Thực công TCP-SYN với tốc độ 5,000 luồng giây (fps) 10s Một luồng bao gồm gói tin liệu có thông số giống nhau: {địa IP nguồn, địa IP đích, cổng nguồn, cổng đích} Mỗi luồng thiết bị chuyển mạch điều khiển xử lý theo nguyên tắc trình bày bên trên, Hình 2.1 Trong thử nghiệm cơng này, gói tin TCP-SYN luồng Kết Hình 2.4 cho thấy Floodlight đáp ứng tốt mức 5,000fps, POX tối đa 1,200fps, Ryu tối đa 2,400fps, Ryu chạy OF1.3 OF1.0 đạt mức xử lý 1,000fps, Floodlight OVS không bị ảnh hưởng Tiếp tục tăng tốc độ công TCP-SYN lên 10,000fps, 15,000fps, 20,000fps để đánh giá Floodlight OVS Kết cho thấy FL OVS hoạt động tương đối tốt tốc độ 10,000fps Ở tốc độ 15,000fps, FL với OF 1.0 hoạt động ổn định, FL với OF 1.3 OVS không (a) Dữ liệu vào OvS với (b) Dữ liệu vào OvS với số luồng yêu cầu 10,000 fps số luồng yêu cầu 15,000 fps Hình 2.10 Hiệu OvS với Floodlight có cơng TCP-SYN 2.3.2.2 Tác động công DDoS lên thiết bị chuyển mạch cứng giới hạn tài nguyên thiết bị chuyển mạch cứng Kết đo đạc cho thấy kích thước bảng luồng HP Aruba 1014 mục Hình 2.11 cho thấy phản ứng HP Aruba với công ICMP (a) Tấn công ICMP với 2000 bots (b) Tổng số gói tin Hình 2.12 Phản ứng HP Aruba 2920 với công ICMP 2.3.3 Tác động công lưu lượng lên kết nối thiết bị điều khiển thiết bị chuyển mạch Kết đo đạc cho thấy có trễ xảy đường kết nối thiết bị chuyển mạch thiết bị điều khiển bị tắc nghẽn công 2.4 Kết luận Một số nhận xét rút từ nghiên cứu này, là: 11 - Tấn cơng DDoS ảnh hưởng đến tất thành phần kiến trúc SDN - Floodlight vượt trội so với POX Ryu Đó Floodlight điều khiển dựa Java hỗ trợ đa luồng Trong đó, POX Ryu sử dụng Python, hỗ trợ luồng Hình 3.1 Kiến trúc giải pháp tổng thể đề xuất CHƯƠNG ĐỀ XUẤT CÁC GIẢI PHÁP PHÁT HIỆN TẤN CÔNG DDOS TRONG MẠNG SDN 3.1 Giải pháp tổng thể ngăn chặn công DDoS Với mục tiêu “Đưa số chế nhằm phát hiện, giảm thiểu công DDoS mạng SDN” đề cập phần Mở đầu, nghiên cứu sinh đề xuất giải pháp tổng thể ngăn chặn cơng DDoS mơ tả Hình 3.1 Giải pháp tập hợp giải pháp 12 mà nghiên cứu sinh đề xuất luận án Với giải pháp tích hợp đó, Hình 3.2 thể trạng thái mặt phẳng điều khiển trình hoạt động Hình 3.2 Các trạng thái mặt phẳng điều khiển 3.2 Giải pháp phát công DDoS Hình 3.4 Mơ hình kiến trúc tích hợp hệ thống phát cơng DDoS Hình 3.4 mơ hình kiến trúc tích hợp giải pháp phát cơng đề xuất Cả ba khối phát bất thường, phân loại liệu phát công DDoS cụ thể tích hợp điều khiển Các khối phát chạy thuật toán học máy tương ứng, liệu cung cấp cho thuật toán học máy tập hợp mô-đun 13 giám sát thu thập thông tin Thông qua Open API, mô-đun giám sát giao tiếp với thiết bị chuyển mạch thu thập thông tin cần thiết, thực lọc lấy đặc trưng liệu theo yêu cầu thuật tốn học máy, chuẩn hóa liệu gửi qua cho mô-đun phát công sử dụng 3.3 Khối phát liệu bất thường sử dụng thuật toán học máy mạng SDN 3.3.1 Lựa chọn thuật toán học máy Khối phát liệu bất thường chạy theo thời gian thực cần đảm bảo nhanh, nhẹ xác Trước u cầu đó, LoF thuật toán học máy phù hợp 3.3.2 Áp dụng thuật toán LoF vào khối phát bất thường 3.3.2.1 Thuật toán LoF LoF ban đầu đề xuất Markus M.Breunig cộng vào năm 2000 để tìm điểm liệu bất thường cách đo độ lệch cục điểm liệu định điểm lân cận Mục đích LoF tìm số điểm bất thường liệu LoF dựa khái niệm mật độ cục bộ, vị trí cho k hàng xóm gần nhất, khoảng cách chúng sử dụng để ước tính mật độ Bằng cách so sánh mật độ cục đối tượng với mật độ cục vùng lân cận, xác định vùng có mật độ tương tự điểm có mật độ thấp đáng kể so với vùng lân cận coi ngoại lệ Tham số quan trọng cần xác định thực KNN giá trị số lượng điểm lân cận k 3.3.2.2 Giải pháp áp dụng LoF khối phát bất thường Nghiên cứu sinh áp dụng LoF để hoạt động thuật tốn học máy có giám sát, thay thuật tốn tìm điểm bất thường tập liệu gốc Nghiên cứu sinh sử dụng liệu bình thường giai đoạn huấn luyện cho mơ hình thuật tốn Trong giai đoạn thử nghiệm, độ lệch cục liệu đầu vào lớn độ lệch cục tối đa liệu huấn luyện, điểm coi bất thường 14 3.4 Khối phân loại phát công DDoS cụ thể 3.4.1 Khối phân loại liệu Khối phân loại liệu thực xác định loại liệu bất thường dựa trường thông tin loại giao thức (protocol type) gói tin Nghiên cứu đơn giản hóa giai đoạn cách sử dụng ngưỡng đếm số lượng gói theo loại giao thức có bảng luồng 3.4.2 Khối phát loại cơng cụ thể Mục đích khối phát loại công cụ thể sử dụng thuật toán học máy phù hợp để dự đốn xác lại liệu bất thường có phải công DDoS hay không Phần nghiên cứu sinh tập trung vào hai loại công DDoS công theo dung lượng theo giao thức Mà đại diện công tràn ICMP cho loại theo dung lượng công tràn TCP-SYN cho loại theo giao thức KNN có đặc điểm phức tạp lại “lười” q trình huấn luyện Tồn liệu huấn luyện lưu trữ để thực tính tốn chạy dự đốn, tốn không gian lưu trữ KNN phù hợp cho liệu nhẹ, chiều, có độ phức tạp thấp, phù hợp với công tràn TCP-SYN Đối với công ICMP, kích thước gói tin lớn, lên tới 1,400bytes, KNN khơng cịn phù hợp, nghiên cứu sử dụng DNN độ xác cao thời gian xử lý đủ thấp 3.5 Tập liệu đặc trưng liệu Các liệu sử dụng bao gồm: - Dữ liệu CAIDA, liệu DDoSDB - Dữ liệu thường đo trung tâm mạng ĐH Bách khoa Hà Nội Lab nghiên cứu Dữ liệu giả lập từ phần mềm Bonesi 3.5.1 Bộ liệu công CAIDA Bộ liệu CAIDA 2007 lưu lượng công DDoS vào ngày tháng năm 2007 (20:50:08 UTC đến 21:56:16 UTC) Trung tâm Phân tích liệu Internet ứng dụng cung cấp Bảng 3.2 trình bày số lượng IP nguồn, cổng nguồn TCP-SYN số lượng IP nguồn, số lượng gói ICMP liệu CAIDA 2007 3.5.2 Bộ liệu DDoSDB DDoSDB tảng giúp nạn nhân công DDoS, cộng đồng học thuật cộng đồng bảo mật chia sẻ tiếp cận thông tin thực 15 tế công DDoS Dữ liệu công ICMP gồm tệp liệu công TCP gồm 15 tệp Bảng 3.2 Số IP cổng liệu CAIDA 2007 Thời gian (giây) Số IP (TCP) Số cổng TCP Số IP (ICMP) Số gói ICMP - 20 149 7363 20 - 40 72 424 10 7191 40 - 60 84 946 6646 60 - 80 94 1291 65 9580 80 - 100 177 35702 739 370873 100 - 120 242 82685 1368 983884 120 - 140 332 134838 2126 1616179 140 - 160 421 180078 2714 2291028 160 - 180 504 233090 3365 2905617 180 - 200 585 186489 4020 2307083 200 - 220 663 100631 4583 1238029 220 - 240 747 265239 5218 2970610 240 - 260 817 262481 5817 3059760 260 - 280 890 254574 6447 3053683 280 - 300 1043 253794 7083 3013000 3.5.3 Bộ liệu tự đo đạc tạo phần mềm Bonesi Để bổ sung liệu cho huấn luyện thử nghiệm thuật toán học máy, nghiên cứu sinh thực đo đạc liệu thông thường Trung tâm mạng Đại học Bách khoa Hà Nội Lab nghiên cứu Phần mềm Bonesi sử dụng để tạo liệu công tương tự để làm phong phú thêm tập huấn luyện thử nghiệm 3.5.4 Lựa chọn đặc trưng cho thuật toán học máy LoF triển khai khối phát biện bất thường, tập trung nhiều vào phát bất lường liên quan tới công TCP-SYN ICMP, nên đặc trưng lựa chọn cho thuật toán số bytes giây số lượng luồng giây Đối với KNN, thuật toán sử dụng để phát cơng TCP-SYN, 16 hai đặc trưng quan trọng sử dụng số cổng địa IP hay entropy cổng địa IP Đối với DNN, thuật toán sử dụng để phát công ICMP, đặc trưng phù hợp số bytes giây số gói ICMP địa IP Hình 3.9 Mơ hình thử nghiệm 3.6 Thực thử nghiệm đánh giá giải pháp 3.6.1 Mơ hình thử nghiệm Hình 3.9 mơ hình thử nghiệm cài đặt máy chủ vật lý tách rời kết nối mạng với Bộ điều khiển sử dụng Ryu thiết bị chuyển mạch sử dụng OvS Các liệu phân tích bên sử dụng để huấn luyện mơ hình thử nghiệm 3.6.2 Kết thử nghiệm phát bất thường Hình 3.10 kết Recall mơ hình với giá trị k thay đổi Từ k=6 trở Recall mức cao thay đổi Do chọn k=6 cho mơ hình Hình 3.11 kết trạng thái hệ thống thay đổi từ bình thường sang bất thường số luồng tăng lên, tương tự số gói tăng lên Với k=6, kết thử nghiệm cho thấy mơ hình có accuracy 95,34%, Precision 93,59%, Recall 98,57% F1-score 96,01% 17 Hình 3.10 Recall độ lệch chuẩn phụ thuộc vào k điểm lân cận Hình 3.11 Số lượng luồng giây trạng thái hệ thống 3.6.3 Kết thử nghiệm phát công DDoS cụ thể Bảng 3.9 Kết sử dụng thuật toán DNN KNN phát công ICMP TCP-SYN Các thông số Thời gian huấn luyện (s) DNN 0.5542 KNN Thời gian dự đoán (s) 0.0003 0.0022 Accuracy (%) 99.906 97.790 Precision (%) 100.00 96.130 Recall (%) 99.794 100.00 F1-Score 99.897 98.027 Thực thử nghiệm để lựa chọn thông số KNN DNN Sau chạy vòng lặp thử nghiệm với giá trị k, tốc độ học vịng lặp Ta có giá trị phù hợp mơ hình k=9 với KNN, tốc độ học số vòng lặp DNN 0,0025s 200 Kết phát công DDoS thể Bảng 3.9 3.7 Kết luận Phần trình bày đề xuất giải pháp phát bất thường cơng DDoS sử dụng thuật tốn máy học phù hợp cho loại công mạng SDN Kết thực nghiệm cho thấy hệ thống chạy ổn định, kết phát nhanh xác 18 CHƯƠNG ĐỀ XUẤT GIẢI PHÁP GIẢM THIỂU TẤN CÔNG DDoS TRONG MẠNG ISP SỬ DỤNG CÁC THUẬT TOÁN MÁY HỌC 4.1 Giới thiệu Trong chương này, nghiên cứu sinh tiếp tục đề xuất giải pháp nối tiếp cơng việc phần Đó giải pháp giảm thiểu công DDoS sau phát có cơng 4.2 Đề xuất giải pháp giảm thiểu cơng DDoS Hình 4.2 Mơ hình kiến trúc tích hợp hệ thống phát hiện, giảm thiểu cơng DDoS Hình 4.2 kiến trúc giải pháp phát giảm thiểu công DDoS Mô-đun giảm thiểu cơng tích hợp vào điều khiển Mô-đun giám sát luồng theo địa IP Nếu có cơng chặn luồng IP đó, khơng làm ảnh hưởng đến luồng khác 4.3 Cửa sổ thời gian giám sát thích ứng Thời gian thực yếu tố quan trọng hoạt động mạng thông thường lưu lượng phải theo dõi xử lý trực tuyến Nhìn chung, nhiều đặc trưng tập liệu khơng thể trích xuất theo thời gian thực chúng phải tính tốn dựa tập hợp 19 tích lũy điểm liệu khoảng thời gian Khoảng thời gian gọi cửa sổ thời gian giám sát (Monitoring Time Window - MTW) Cửa sổ thời gian giám sát tối ưu điều chỉnh theo giời gian thực phụ thuộc vào đặc điểm liệu mạng với thuật tốn Xgboost Hình 4.5 mơ tả chi tiết q trình xác định cửa sổ giám sát, giá trị k tương ứng chạy thử nghiệm Hình 4.5 Quy trình giảm thiểu cơng DDoS dựa thuật tốn học máy 4.4 Đánh giá hiệu 4.4.1 Xây dựng mơ hình thực nghiệm thiết lập tham số Mơ hình thử nghiệm với thơng số cấu hình giống phần đề xuất giải pháp phát công DDoS cụ thể Chương Mơ hình sử dụng phần mềm TCPReplay để phát lại lưu lượng công CAIDA 2007 4.4.2 Kết thực nghiệm Các kết cho thấy giải pháp ngăn chặn tốt công TCP-SYN ICMP: 99.4% gói ICMP cơng bị chặn, 98.9% luồng TCP-SYN công bị chặn Dữ liệu thường qua đầy đủ, không bị chặn nhầm 4.5 Kết luận Giải pháp giảm thiểu công DDoS mạng SDN sử dụng thuật toán học máy cho kết giảm thiểu tốt, ảnh hưởng đến 20 liệu thường Ngoài ra, cửa sổ giám sát lựa chọn tối ưu với thuật toán học máy XGBoost CHƯƠNG ĐỀ XUẤT MƠ HÌNH TỰ ĐỘNG MỞ RỘNG TÀI NGUYÊN CHO MẶT PHẲNG ĐIỀU KHIỂN SDN VỚI KIẾN TRÚC CONTAINER 5.1 Giới thiệu Khi có cơng DDoS xảy mà hệ thống không kịp giảm thiểu, nhu cầu sử dụng mạng tăng gây tải cho điều khiển Trong phần này, nghiên cứu áp dụng container, kubernetes triển khai điều khiển tập trung để mở rộng khả mặt phẳng điều khiển Hình 5.1 Mơ hình kiến trúc cho giải pháp container hóa điều khiển mạng SDN 5.2 Mơ hình đề xuất 5.2.1 Giải pháp tự động mở rộng mặt phẳng điều khiển dựa Kubernetes Giải pháp sử dụng Container để đóng gói điều khiển phần mềm ZooKeeper gói Sử dụng Kubernetes để quản lý tăng giảm số lượng gói (số lượng điều khiển) theo tài nguyên hệ thống Khi hệ thống lên tới ngưỡng tài ngun, Kubernetes kích hoạt 21 gói gồm điều khiển ZooKeeper Các xử lý điều khiển tải chuyển sang cho điều khiển xử lý ZooKeeper phần mềm cho phép điều khiển trao đổi chuyển đổi trạng thái hoạt động 5.2.2 Mơ hình chuyển dịch thiết bị điều khiển tự động Hình 5.2 Quá trình chuyển đổi điều khiển 5.2.3 Đề xuất thuật tốn thích ứng cho thiết bị điều khiển dựa luồng NACAT Ý tưởng thuật tốn thích ứng cho thiết bị điều khiển dựa luồng NACAT nhanh chóng thay đổi số lượng điều khiển nhóm theo tốc độ gói packet_in đến hệ thống 5.3 Kết đánh giá 5.3.1 Thiết lập mơ hình thử nghiệm Hình 5.3 mơ tả sở hạ tầng vật lý để thực thử nghiệm Cụm Kubernetes chứa ba máy chủ (một cho nút Master máy khác cho nút Worker) để triển khai mặt phẳng điều khiển với khả tính tốn đáng kể Open vSwitch (OVS) đặt máy chủ để tăng khả gửi số lượng lớn yêu cầu luồng Sử dụng thiết bị chuyển mạch lớp Cisco để kết nối tất máy chủ 22 Hình 5.3 Cấu hình mơ hình thử nghiệm 5.3.2 Đánh giá kết thử nghiệm Hình 5.5 Hiệu tự động mở rộng NACAT có cơng TCP-SYN Hình 5.6 Sự thay đổi số lượng thiết bị điều khiển điều khiển NACAT có cơng tràn TCP-SYN 23 Kết giải pháp tự động mở rộng hiển thị Hình 5.5 Về xử lý packet_in, kết cho thấy việc áp dụng mở rộng tự động cho hiệu suất tốt Trong hai kịch tự động, NACAT phản ứng nhanh với công, dẫn đến độ trễ ngắn gói đến Điều giải thích trực quan Hình 5.6 số nhóm NACAT tạo nhanh chóng, thuật tốn sở tạo nhóm thời gian dài 5.5 Kết luận Trong phần này, nghiên cứu sinh đề xuất kiến trúc container mở rộng cho mặt phẳng điều khiển SDN mơ hình thích ứng liệu để giải vấn đề tắc nghẽn điểm chết mạng SDN có nhiều luồng đến Kết cho thấy hệ thống hoạt động tốt, có khả tăng hiệu suất lưu lượng tăng thu nhỏ không sử dụng mà khơng làm đứt đoạn q trình truyền liệu KẾT LUẬN CHUNG Trong thời gian làm nghiên cứu, nghiên cứu sinh đạt kết mục tiêu đề Cụ thể sau: 1) Nhận dạng đo lường số ảnh hưởng, tác động công DDoS thành phần mạng SDN hệ thống thật 2) Đề xuất giải pháp phát loại công DDoS gồm hai cấp: cấp phát nhanh bất thường sử dụng thuật toán phát ngoại lai cục cấp phát loại cơng cụ thể sử dụng thuật tốn học máy phức tạp KNN DNN để cân yêu cầu thời gian thực độ xác phát công DDoS 3) Đề xuất giải pháp hạn chế, giảm thiểu công DDoS giải pháp phát đối tượng hủy bỏ luồng cơng với cửa sổ thu thập liệu có thích ứng để đạt hiệu tốt hơn, giải pháp co giãn tài nguyên mạng 24 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN Nguyen Ngoc Tuan, Pham Huy Hung, Nguyen Danh Nghia, Nguyen Huu Thanh, 2018, “A Model Based on Traffic Type for DDoS Attack Detection in Software Defined Networking”, The National Conference on Electronics, Communications and Information Technology, REV-ECIT, paper 60 Nguyen Ngoc Tuan, Pham Huy Hung, Nguyen Danh Nghia, Nguyen Van Tho, Dinh Khac Tuyen, Duc-Hoang Chu, Nguyen Huu Thanh, 2019, “How DDoS Attack Impacts on SDN Networks”, Proceedings of 2019 KICS Korea-Vietnam, International Joint Workshop on Communications and Information Sciences, Hanoi, Vietnam N N Tuan, P H Hung, N D Nghia, N Van Tho, T V Phan and N H Thanh, 2019, "A Robust TCP-SYN Flood Mitigation Scheme Using Machine Learning Based on SDN," 2019 International Conference on Information and Communication Technology Convergence (ICTC), Jeju Island, Korea (South), pp 363-368, doi: 10.1109/ICTC46691.2019.8939829 Tuan, N.N.; Hung, P.H.; Nghia, N.D.; Tho, N.V.; Phan, T.V.; Thanh, N.H., 2020, “A DDoS Attack Mitigation Scheme in ISP Networks Using Machine Learning Based on SDN”, Electronics, 9, 413 https://doi.org/10.3390/electronics9030413 IF: 2.690, ISI Q2 Nguyen Ngoc Tuan, Nguyen Danh Nghia, Pham Huy Hung, Dinh Khac Tuyen, Nguyen Minh Hieu, Nguyen Tai Hung, Nguyen Huu Thanh, 2021, “An Abnormal Network Traffic Detection Scheme Using Local Outlier Factor in SDN”, 2020 IEEE Eighth International Conference on Communications and Electronics, Phu Quoc, Vietnam Anh Khoa Dang, Trung Kiem Nguyen, Trung Kien Nguyen, Ngoc Tuan Nguyen and Huu Thanh Nguyen, 2023, “Traffic-Adaptive Scheme for SDN Control Plane with Containerized Architecture”, IMCOM 2023: 17th International Conference on Ubiquitous Information Management and Communication, Seoul, South Korea Nguyen Huu Thanh, Nguyen Ngoc Tuan, Dang Anh Khoa, Le Cong Tuan, Nguyen Trung Kien, Nguyen Xuan Dung, Ngo Quynh Thu, Florian Wamser, 2023, “On Profiling, Benchmarking and Behavioral Analysis of SDN Architecture under DDoS Attacks”, Journal of Network and Systems Management, IF: 2.198, ISI Q2 Nguyen Ngoc Tuan, Nguyen Huu Thanh, 2023, “Two-Layers DDoS Attack Detection Model Using Machine Learning in Software Define Networking”, Journal of Science and Technology

Ngày đăng: 10/10/2023, 15:21

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w