Trong bài báonày, tôi đề xuất hệthốngsửdụngANNmộtmôhìnhhọcsâunhằmpháthiệncuộctấncông ARPSpoofing trong kiến trúc SDN. Bài báo đãmôtảchitiết quátrình xâydựngvàápdụngmôhìnhANNvào hệ thốngSDN,trongđóđềxuấttínhtoánmộtsốđặctrưngcơbảncủatấncôngARPSpoofingtừcơsởdữliệu thu thập đượctừOpenFlowSwitch.Cáckếtquảmôphỏngchohệthốngnàythuđượcđộchínhxácxấpxỉ 97%vàhoàntoàncókhảnăngứngdụngtrongmôitrườngthựctế.
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Khoa Điện tử - Viễn thông Tiểu luận môn học: Các Vấn Đề Hiện Đại Của Kỹ Thuật Máy Tính ÁP DỤNG THUẬT TỐN HỌC SÂU PHÁT HIỆN TẤN CÔNG ARP SPOOFING TRONG KIẾN TRÚC SDN Ngày tháng 12 năm 2023 Nguyễn Văn Long 20020683 Tấn Công MitM mạng SDN Nguyễn Văn Long Tóm tắt nội dung Trong báo này, tơi đề xuất hệ thống sử dụng ANN - mô hình học sâu nhằm phát cơng ARP Spoofing kiến trúc SDN Bài báo mô tả chi tiết q trình xây dựng áp dụng mơ hình ANN vào hệ thống SDN, đề xuất tính tốn số đặc trưng công ARP Spoofing từ sở liệu thu thập từ OpenFlow Switch Các kết mô cho hệ thống thu độ xác xấp xỉ 97% hồn tồn có khả ứng dụng môi trường thực tế 1.1 Giới thiệu Kiến thức chung Mạng định nghĩa mềm, gọi SDN (Software-defined network), phương pháp kết nối mạng giúp tách mặt phẳng điều khiển (control plane) khỏi mặt phẳng liệu (data plane), cho phép người quản trị viên lập trình quản lý mơ hình mạng dễ dàng linh hoạt Ba thành phần [1] kiến trúc SDN mơ tả Hình 1, bao gồm bao gồm lớp: lớp ứng dụng - application plane, lớp điều khiển control plane lớp sở hạ tầng - data plane Trong đó, lớp ứng dụng chứa ứng dụng mạng chức điển hình mà tổ chức sử dụng hệ thống phát xâm nhập (Intrusion Detection System), cân tải (Load Balancing) hay tường lửa (Firewall) Lớp điều khiển đại diện cho phần mềm điều khiển SDN theo chế tập trung, hoạt động não SDN Lớp sở hạ tầng tạo từ switch vật lý mạng Cơ chế quản lý tập trung SDN khiến kiến trúc gặp phải nhiều vấn đề bảo mật khiến trình triển Hình 1: Kiến trúc SDN khai bị chậm lại Man in the Middle (MitM) coi kiểu công đáng ý môi trường SDN Cuộc công MitM xảy kẻ công tự đặt vào trị chuyện hai người dùng để nghe mạo danh hai bên Hình minh họa chi tiết cơng Tấn Cơng MitM mạng SDN Nguyễn Văn Long xảy hiển thị Hình Có nhiều loại cơng MitM khác nhau, chẳng hạn như: ARP Spoofing, IP Spoofing, DNS Spoofing, v.v Trong viết này, tiến hành nghiên cứu ARP Spoofing Giao thức phân giải địa (Address Resolution Protocol - ARP) giao thức mạng sử dụng để ánh Hình 2: Ví dụ cơng MitM xạ địa IP thiết bị mạng vào địa MAC tương ứng thiết bị [2] ARP Spoofing hình thức cơng phổ biến mạng cục (LAN) Quá trình diễn loại công mô tả cụ thể Phần III - Thực nghiệm kết Để phát công MitM hệ thống lớn với lượng liệu khổng lồ, thuật toán machine learning deep learning áp dụng Trong báo này, tơi lựa chọn ANN - mơ hình học sâu (deep learning) kỹ thuật sử dụng rộng rãi để phân loại hai trạng thái, thông thường độc hại, lưu lượng mạng môi trường SDN [3] 1.2 Các nghiên cứu liên quan Mặc dù công MitM biết đến từ lâu coi mối đe dọa lớn tính chất dễ thực khó phát [4] Trong mơ hình mạng truyền thống, chế bảo vệ khỏi công ARP Spoofing tồn nhiều năm phương pháp bảo vệ chia thành hai loại: Sửa đổi thiết bị chuyển mạch Cải thiện giao thức ARP Với Sửa đổi thiết bị chuyển mạch, có số phương pháp sử dụng rộng rãi, là: Quản lý thủ cơng địa MAC thiết bị mạng cách nâng cấp switch công nghệ Kiểm tra ARP động (DAI) Cisco [5], sử dụng Antidote[6] để tránh xung đột MAC Đối với phương pháp Cải thiện giao thức ARP: S-ARP [7] Ticket-based ARP (TARP) [8] giải pháp mã hóa cho giao thức ARP, MR-ARP [9] phiên cải tiến [10] sửa đổi giao thức ARP đề xuất chế bảo vệ chống giả mạo ARP dựa chế bỏ phiếu cơng Tóm lại, điều đáng ý chế trì khả tương thích máy chủ, chúng khơng đủ linh hoạt chi phí cấu hình thủ cơng cao khó sử dụng Như đề cập trên, công ARP Spoofing chủ yếu thấy mạng LAN phải đối mặt với Tấn Công MitM mạng SDN Nguyễn Văn Long nhiều thách thức kiến trúc truyền thống Tuy nhiên, SDN đời cung cấp giải pháp để giải vấn đề mà không cần thực thay đổi mạng Crenshaw [11] triển khai chế chống ARP Spoofing đơn giản điều khiển POX, chế yêu cầu điều khiển kiểm tra xem gói tin ARP Reply mà nhận có gây mục IP trùng lặp ARP cache hay khơng Chương trình tương tự Antidote có tỷ lệ cảnh báo sai cao Trong viết [12], tác giả phát công điều khiển cách đảm bảo tính hợp pháp gói tin Packet-In AbdelSalam đồng nghiệp [13] phát công ARP Poison cách so sánh địa MAC nguồn Ethernet frame với ARP header chúng khác nhau, đưa cảnh báo mạng bị cơng Các thuật tốn học máy (machine learning) học sâu (deep learning) dần đưa vào để phát công MitM Một số nghiên cứu kể đến như: [14], [15], [16] Trong [14], tác giả sử dụng mơ hình CBNA-RF, giúp thiết lập sách bảo mật phù hợp tự động hóa hoạt động phịng chống cơng mơi trường SDN quy mơ lớn Mặc dù có tỷ lệ xác cao, xấp xỉ 97% phương pháp đề xuất [14] số hạn chế: Thứ nhất, thử nghiệm phần triển khai thực mơi trường kiểm sốt, hạn chế số lượng thử nghiệm; Thứ hai, phương pháp cho phép ngăn chặn công MitM không hiệu trước loại công khác Bài viết [15] sử dụng dataset có sẵn - Kitsune (ARP MitM Ettercap) với kết hợp phương pháp Deep Learning CNN-MLP CNN-LSTM Mơ hình họ cho tỷ lệ xác cao, khoảng 97%, nhiên phương pháp thu thập liệu họ không phù hợp với môi trường mạng SDN Các tác giả viết thu thập tất đặc trưng có mạng, điều tiêu tốn nhiều thời gian tài nguyên cách khơng cần thiết Ngồi ra, [16] chọn phản hồi phản hồi lượng hệ thống làm đặc điểm để đánh giá chế phát dựa số mơ hình phân loại sở tuyến tính, bao gồm: KNN, Cây định (Decision tree), Hồi quy Logistic (Logistic Regression), Rừng (Random Forest) lựa chọn mơ hình học sâu ANN cho hệ thống sau xem xét ưu nhược điểm nhiều nguồn tham khảo phân tích Do khả xử lý khối lượng liệu lớn phức tạp mơ hình, thời gian phản ứng nhanh dự đoán phân loại trường hợp phân loại lưu lượng truy cập bình thường độc hại, nên kỹ thuật lý tưởng để sử dụng.Trong đó, tơi nghiên cứu đề xuất tính tốn số đặc trưng liệu lưu lượng hệ thống SDN để đưa vào mơ hình học sâu Bài viết tổ chức sau: Phần II cung cấp mơ tả chi tiết Mơ hình hệ thống, bao gồm Tổng quan Mơ hình ANN Phần III Thực nghiệm kết trình bày trình kết thực nghiệm mơ hình Cuối cùng, Kết luận định hướng phát triển - phần IV tóm tắt đạt trình nghiên cứu, đưa kết luận đưa định hướng nghiên cứu tương lai nhằm cải thiện hệ thống 2.1 Mơ hình hệ thống Tổng quan Trong tiểu mục này, quy trình làm việc hệ thống đề xuất giới thiệu bước thực thi giải thích theo giai đoạn Lưu đồ phương pháp hiển thị Hình Hệ thống bắt đầu việc khởi chạy chương trình L2 learning switch thiết lập kiện handler_PacketIn (sự kiện xảy switch nhận gói tin) Khi gói tin vào điều khiển, điều khiển trì bảng MAC_to_IP Bảng ánh xạ địa MAC tới địa IP máy chủ mạng Nếu nhận thấy gói tin ARP có địa MAC nguồn địa IP nguồn không khớp với cặp thuộc danh sách bảng MAC_to_IP, giá trị mismatch tăng thêm đơn vị Đồng thời, điều khiển phân tích định dạng gói tin để xác định xác loại gói tin ARP vào điều khiển Sau hệ thống phân loại để thu thập gói tin ARP broastcast lưu trữ chúng cho q trình tính tốn đặc trưng Nếu gói tin dạng broadcast, chúng thu thập vào tệp dành cho gói tin ARP Cuối cùng, liệu lấy từ nguồn gồm: tệp tin Mis-match, tệp tin ARP packet, tệp tin ARP Broadcast xử lý nhằm trích xuất đặc trưng quan trọng phục vụ cho mô Tấn Công MitM mạng SDN Nguyễn Văn Long Hình 3: Quy trình làm việc hệ thống Tấn Công MitM mạng SDN Nguyễn Văn Long hình học máy bao gồm: số lượng gói tin ARP, số lượng gói tin ARP request ARP reply, số lượng IP-MAC sai khác Từ tham số này, đề xuất đặc trưng quan trọng sau: Số lượng gói tin ARP giây: AP S = ARP t i me _i nt er v al (1) Trong (1), ARP số lượng gói tin ARP khoảng thời gian time_interval APS số lượng gói ARP giây Ở giá trị time_interval đặt mặc định giây Số lượng gói tin ARP broadcast giây: AB P S = ARP _br oad c ast t i me _i nt er v al (2) Trong (2), ARP_broadcast số lượng gói tin ARP broadcast khoảng thời gian time_interval ABPS có nghĩa số lượng gói ARP broadcast giây Ở giá trị time_interval đặt mặc định giây Hiệu số lượng tin ARP Reply ARP Request: sub ARP = ARP _Repl y − ARP _Request (3) Trong (3), ARP_Reply số lượng gói ARP_Reply, ARP_Request số lượng gói ARP_Request subARP hiệu gói ARP Reply gói ARP request Ở mơ hình này, tơi cập nhật giá trị subARP sau giây Giá trị IP-MAC sai khác: mis-match Giá trị cập nhật từ bảng MAC_to_IP Nếu xảy tượng sai khác mis-match ngược lại Sở dĩ đặc trưng lựa chọn công xảy ra, kẻ cơng đứng phải gửi gói tin ARP giả cho hai nạn nhân nên số lượng gói ARP khoảng thời gian tăng lên nhanh chóng Ngồi ra, kẻ cơng gửi nhiều gói ARP Reply giả khơng có u cầu ARP để buộc máy nạn nhân cập nhật lại bảng IP-MAC Tấn công ARP Spoofing giả mạo địa MAC, dẫn đến cặp IP-MAC sai khác so với cặp lưu trữ bảng MAC_to_IP Đặc trưng khai thác khu vực mạng cục bộ, máy chủ có cặp IP-MAC Do đó, số lượng sai khác, tức số IP-MAC giả mạo, khác 0, điều có nghĩa hệ thống bị công Dựa vào đặc trưng trên, 4830 mẫu thu thập để tạo thành tập liệu, sau đưa vào mơ hình ANN để thực giai đoạn xây dựng mơ hình (chi tiết phần tiếp theo) 2.2 ANN Model Nhìn chung, cấu trúc bên mạng nơ ron nhân tạo (ANN) thay đổi tùy thuộc vào thơng tin truyền qua Nó đạt hiệu cao cách điều chỉnh trọng số kết nối Trọng số số liệu kiểm soát kết nối hai nơ ron Mơ hình đề xuất bao gồm phần chính: Tiền xử lý liệu, Xây dựng mơ hình, Huấn luyện mơ hình Đánh giá mơ hình Tại phần Tiền xử lý liệu - Data Preprocessing, sau đưa vào tập liệu với 4830 mẫu, tập liệu thành phần: tập huấn luyện - training set tập kiểm tra - test set với tỷ lệ 80% 20% Training set sử dụng để học tính chất mạng từ đưa dự đốn phân loại, test set sử dụng để xác định độ xác dự đốn Mơ hình sử dụng random_state, tham số cho phép tạo tập training set test set tương tự lần chạy Cuối cùng, phương pháp StandardScaler sử dụng để chuẩn hóa liệu, bước bắt buộc mạng thần kinh để cải thiện độ xác Trong phần Xây dựng mơ hình ANN, hệ thống xây dựng mơ hình đơn giản gồm lớp gồm: lớp đầu vào - input layer, lớp ẩn - hidden layer, lớp đầu - output layer Ban đầu trọng số mạng khởi tạo ngẫu nhiên Khi liệu từ tập liệu cung cấp cho lớp đầu vào, giá trị lan truyền xi Tấn Cơng MitM mạng SDN Nguyễn Văn Long Hình 4: Quy trình huấn luyện mơ hình ANN phía trước qua lớp ẩn, lớp nhận liệu kết hợp với trọng số Quá trình tiếp tục liệu tới lớp cuối - lớp đầu đưa kết Sau đó, kết dự đốn so sánh với giá trị thực tế thuật toán lan truyền ngược áp dụng để điều chỉnh trọng số kết nối, từ cho kết tốt Các nơ-ron lớp chịu trách nhiệm cho việc học tập riêng lẻ Chúng bao gồm hàm kích hoạt ( activate function), tín hiệu qua hay khơng tùy thuộc vào hàm kích hoạt sử dụng đầu lớp trước [17] Các hàm kích hoạt thực quan trọng mạng thần kinh nhân tạo để tìm hiểu hiểu điều thực phức tạp ánh xạ chức phức tạp phi tuyến tính đầu vào biến phản hồi Cụ thể ANN, tơi tính tổng tích inputs (X) Weights (W) tương ứng chúng áp dụng hàm kích hoạt f(x) cho để có kết đầu lớp cung cấp làm đầu vào cho lớp Theo [17], loại hàm kích hoạt phổ biến là: Sigmoid Logistic, Tanh - Hyperbolic tang, ReLu Rectified đơn vị tuyến tính Trong trường hợp này, tơi chọn ReLu u cầu lớp ẩn mạng cần phải kết nối đầy đủ Tuy nhiên, lớp đầu ra, hàm kích hoạt Sigmoid sử dụng để thu kết khơng dự đốn cuối (bình thường hay độc hại - hay 1) mà cịn đưa xác suất mà kết Điều có nghĩa khơng nhận dự đốn liệu lưu lượng truy cập bình thường hay độc hại mà cịn biết, mẫu, xác suất mà cơng xảy phần trăm [18] Sau đó, phương pháp fit sử dụng để Huấn luyện mơ hình ANN Q trình huấn luyện bắt đầu việc khởi tạo ngẫu nhiên tham số trọng số tương ứng với đầu vào cho chúng tiệm cận đảm bảo khác Sau đó, đặc trưng đưa vào mơ hình, đặc trưng nút đầu vào Ở giai đoạn Lan truyền xuôi (Forward - Propagation) , từ trái sang phải, nơ-ron kích hoạt tùy theo giá trị trọng số, sau chuyển dần qua mơ hình đưa giá trị đầu dự đốn Đầu so sánh với giá trị đầu cung cấp tập liệu chênh lệnh, từ tính tốn hàm chi phí (cost funtion) trình bày Hình Mục tiêu làm cho giá trị hàm chi phí gần tốt Để làm điều đó, mơ hình triển khai chế Lan truyền ngược (Back - Propagation) nhằm cập nhật trọng số, giá trị trọng số có ảnh hưởng lớn đến kết hàm chi phí điều chỉnh Các bước lặp lại nhiều lần theo chế Batch learning với giá trị batch_size mặc định 32 Số lần lặp lại tồn q trình biểu thị tham số epoch, viết giá trị epoch đặt 100 Cuối cùng, kết tập kiểm tra Ma trận nhầm lẫn (Confusion matrix) đưa gồm thông số: TP, FP, TN, FN để đánh giá mơ hình [19] Trong trường hợp này, True Positive có nghĩa cơng thực xảy mơ hình phát thành cơng, True Negative cho biết số lần hệ thống trạng thái bình thường mơ hình ANN cho kết tương tự False Negative False Positive số thể số trường hợp mơ hình dự đốn sai trạng thái hệ thống The entropy value in Figure ?? as the sixth feature of the SVM is similarly modulated as in the entropy-based statistical models, which is notably decreased during the attack stage Tấn Công MitM mạng SDN Nguyễn Văn Long Mô kết Q trình triển khai mơ thực thi máy tính xách tay LENOVO, với CPU Intel(R) Core(TM) i7-7600U @ 2,80GHz 2,90 GHz, với RAM 16,0 GB Hệ điều hành sử dụng Ubuntu 20.04 Để sử dụng cho mục đích mơ phỏng, Mininet lựa chọn [20] làm trình mơ mạng với điều khiển POX POX phiên cải tiến NOX, sử dụng ngôn ngữ Python Việc sử dụng điều khiển POX đơn giản hiệu thiết lập thử nghiệm thuật tốn phát cơng sử dụng học sâu Bằng cách sử dụng Mininet, công máy chủ ảo khác tạo kết thuật tốn phát cơng ARP Spoofing phân tích Mơ hình mạng SDN hệ thống hiển thị Hình bao gồm 16 máy chủ vSwitches, bao gồm chuyển mạch lõi - core switch chuyển mạch truy cập - access switch, chuyển mạch kết nối với máy chủ Trong mơ hình này, điều khiển POX kết nối điều khiển vSwitch thiết lập Để làm cho thiết bị phù hợp với mơ hình đề xuất, tơi đề xuất giải thuật tích hợp tệp L2_learning, Hình 5: Cấu trúc mạng trình bày Hình Cụ thể, tơi tiến hành phân tích gói tin trích xuất bốn trường thông tin: arp _spa, arp_tpa, dl_src, dl_dst, địa IP máy nguồn máy đích, địa MAC máy nguồn máy đích Việc thực thuật tốn đơn giản: dl_dst khơng có bảng IPMAC, thực thêm thông tin cặp IPMAC vào từ bảng, ngược lại, so sánh dl_src với arp_spa để kiểm tra xem có phải cặp từ bảng hay không, không, tăng giá trị mis_match thêm Phần bổ sung thiết kế để sử dụng đặc trưng mis_match đề cập tiểu mục II.A Tổng quan 3.1 Giai đoạn 1: Hệ thống trạng thái bình thường Thư viện Scapy [21] sử dụng để tạo gói tin gửi chúng vào mơi trường ảo nhằm tạo môi trường mạng thực tế Với cổng nguồn cổng đích 80, tốc độ truyền gói 0,1 giây gói Tổng cộng 500 tin nhắn, tương ứng 10 window máy chủ gửi sau lần chạy Khi mininet khởi động, máy chủ hệ thống đồng thời gửi gói tin cho Khi đó, giá trị mis_match ln hệ thống chưa phát thấy điểm bất thường Máy chủ ảo phải cập nhật bảng MAC hai phút lần, số lượng ARP broadcast sau hai phút tăng lên, tình cịn lại, trì mức phần lớn thời gian Tấn Cơng MitM mạng SDN Nguyễn Văn Long Hình 6: Thuật toán bổ sung cho đặc trưng mis_match Tấn Công MitM mạng SDN 3.2 Nguyễn Văn Long Giai đoạn 2: Hệ thống bị công Trong trạng thái công, công cụ Ettercap[22] sử dụng để tạo công nhắm vào hai mục tiêu Để tăng tính ngẫu nhiên tập liệu, công khác máy chủ khác tiến hành, từ máy chủ đến máy chủ 16 mơ hình mạng Hình Cơng cụ Ettercap thực việc quét để tìm máy chủ thêm chúng vào danh sách, gọi danh sách máy chủ, sau xác định cặp IP-MAC xác hai nạn nhân tiến hành công Cứ sau phút, bảng MAC máy chủ ảo cập nhật, kẻ cơng phải gửi lượng lớn gói ARP cho nạn nhân sau phút để trì kết nối, khiến nạn nhân khơng có hội liên lạc với Quá trình tương tự tiến hành máy chủ khác mơ hình mạng 3.3 Kết Hình 7: Tổng quát biến đổi bốn đặc trưng Hình thể thay đổi đặc trưng chu kỳ, chu kỳ kéo dài 80 giây Trong chu kỳ này, công thực ba lần vào thời điểm: giây thứ 125 (chu kỳ thứ 2), giây thứ 292 (chu kỳ thứ 4), giây thứ 380 (chu kỳ thứ 5) Nếu nhìn vào Hình 7, thấy thay đổi đặc trưng không rõ ràng thời điểm cơng Vì vậy, tơi cung cấp hình ảnh phóng to để thể rõ thay đổi (Hình - 11) Có thể thấy, hình ảnh hệ thống trạng thái công, số lượng tin ARP ARP broadcast tăng lên rõ ràng kẻ công cần gửi nhiều gói tin ARP để cập nhật thơng tin MAC hệ thống (Hình 8, 9), sau tìm thấy MAC hai nạn nhân, gửi nhiều tin ARP reply để buộc chúng cập nhật bảng MAC Đồng thời, điều khiển thơng qua phân tích gói ARP phát bất thường so sánh địa MAC IP nên tham số mis_match chuyển sang giá trị (Hình 11) Sau cơng xảy ra, mơ hình đề xuất thực phát với thời gian phản hồi khoảng giây Kết Ma trận nhầm lẫn thể Hình 12 Kết rằng, 966 mẫu, 10 Tấn Công MitM mạng SDN Nguyễn Văn Long Hình 8: Sự thay đổi đặc trưng APS phóng đại Hình 9: Sự thay đổi đặc trưng ABPS phóng đại 11 Tấn Công MitM mạng SDN Nguyễn Văn Long Hình 10: Sự thay đổi đặc trưng subARP phóng đại Hình 11: Sự thay đổi đặc trưng mis_match phóng đại Hình 12: Kết Confusion matrix 12 Tấn Công MitM mạng SDN Nguyễn Văn Long mơ hình đề xuất phát xác 593 mẫu trạng thái bị công 345 mẫu trạng thái bình thường Dựa vào ma trận này, tính thơng số Accuracy, Recall, Precision mơ hình biểu thị Hình 12 sau: Accuracy (ACC) thể tỷ lệ luồng ghi (records flow) mô hình đốn tổng số luồng ghi ACC = 100% x T N +TP = 97.1% Tot al _popul at i on Recall (R) thể tỷ lệ luồng ghi độc hại mơ hình phát tổng số luồng ghi độc hại thực R = 100% x TP = 100% TP +FN Precision (P) thể tỷ lệ luồng ghi độc hại thực tổng số luồng ghi độc hại mơ hình phát P = 100% x TP = 95.49% FP +TP Kết luận định hướng tương lai Bài báo hoàn thành nghiên cứu chủ đề Áp dụng thuật toán học sâu phát công ARP Spoofing kiến trúc SDN Hệ thống đề xuất dựa việc thu thập liệu trích xuất bốn trường thơng tin dấu hiệu cho thay đổi hệ thống công ARP Spoofing xảy ra, bao gồm số lượng gói tin ARP giây, số lượng gói tin ARP broadcast giây, khác biệt số lượng gói tin ARP Reply ARP Request, số lượng cặp IP-MAC sai khác Các đặc trưng sử dụng làm đầu vào cho mơ hình ANN, sau tiền xử lý, xây dựng mơ hình, huấn luyện mơ hình, tham số hiệu thu Accuracy 97%, Recall 100% Precision khoảng 95% Có số đáng ý - 100% Recall, thể khả phát công nhạy hệ thống Trong kịch công tập liệu này, khơng có cơng ARP Spoofing xảy mà khơng bị phát hiện, điều có nghĩa có tín hiệu cơng vào hệ thống, quản trị viên an ninh mạng cảnh báo thực hành động để ngăn chặn công giảm thiểu yếu tố gây ảnh hưởng đến hệ thống Trong tương lai, nghiên cứu nhiều kịch công để đa dạng hóa tập liệu, tìm hiểu cách sử dụng mơ hình mơi trường thực tế, nâng cao độ xác so sánh với mơ hình học máy học sâu khác để chọn mô hình phù hợp Ngồi ra, cơng MitM tiến hành nhiều hình thức khác Vì lý này, điều quan trọng phải phát triển hệ thống phân loại hình thức cơng MitM khác để phục vụ cho trình ngăn chặn giảm thiểu tác động công 13 Tấn Công MitM mạng SDN Nguyễn Văn Long Tài Liệu CISCO, "Software-Defined Networking", Available at: https://www.cisco.com/c/en/us/solutions/software-defined networking/overview.html "Address Solution Protocol", Available at https://vi.wikipedia.org/wiki/Address_Resolution_Protocol Rajni Bala, Dr Dharmender Kumar, "Classification Using ANN: A Review", International Journal of Computational Intelligence Research, ISSN 0973-1873 Volume 13, Number (2017), pp 1811- 1820 M Conti, N Dragoni, V Lesyk, “A Survey of Man in the middle attacks”, IEEE Communications Surveys & Tutorials”, Vol 18, No 3, 2016 Y Bhaiji, “Network security technologies and solutions”, CCIE professional development series, 2008 I Teterin, “Antidote”, [Online] Available: http://online.securityfocus com/archive/1/299929, 2002-11-14 D Bruschi, A Ornaghi and E Rosti, “S-arp: A secure address resolution protocol”, Proc of the IEEE 19th Annual Computer Security Applications Conference, Las Vegas, NV, USA, pp.66–74, 2003 W Lootah, W Enck and P McDaniel, “Tarp: Ticket-based address resolution protocol”, Computer Networks, Vol.51, No.15, pp.4322–4337, 2007 S Y Nam, D Kim, J Kim, et al., “Enhanced arp: Preventing arp poisoning-based man-in-the-middle attacks”, IEEE Communications Letters, Vol.14, No.2, pp.187–189, 2010 10 S Y Nam, S Djuraev and M Park, “Collaborative approach to mitigating ARP poisoning-based Man-inthe-Middle attacks”, Computer Networks, Vol.57, No.18, pp.3866–3884, 2013 11 A Crenshaw “Security and software defined networking: Practical possibilities and potential pitfalls”, [Online], Available at: http://www.irongeek.com/i.php?page=security/security-and-software-definednetworking-sdn-openflow, 2013 12 Deng S, Gao X, Lu Z, Gao X, "Packet injection attack and its defense in software-defined networks", IEEE Trans Inf Forensics Security 2017; 13(3):695–705 13 AbdelSalam AM, El-Sisi AB, Reddy V, "Mitigating ARP spoofing attacks in software-defined networks", In: ICCTA 2015 At Alexandria, Egypt; 2015 14 Anass Sebbar, Karim ZKIK, Youssef Baddi, Mohammed Boulmalf, Mohamed Dafr Ech-Cherif El Kettani, "MitM detection and defense mechanism CBNA-RF based on machine learning for large-scale SDN context", Journal of Ambient Intelligence and Humanized Computing, 15 April 2020 15 Hartina Hiromi Satyanegara, Kalamullah Ramli, "Implementation of CNN-MLP and CNN-LSTM for MitM Attack Detection System", JURNAL RESTI, Rekayasa Sistem dan Teknologi Informasi, Vol No (2022) 387 - 396 16 Kponyo Jerry, Justice Owusu Agyemang, Griffith Klogo, "Detecting End-Point (EP) Man-In-The-Middle (MITM) Attack based on ARP Analysis: A Machine Learning Approach", December 2020, International Journal of Communication Networks and Information Security 17 Kaggle, "Deep Tutorial ANN and Classification", [Online], Availabe at: https://www.kaggle.com/code/shrutimechlearn/deep-tutorial-1-ann-and-classification 18 Kirill Eremenko, Hadelin de Ponteves, SuperDataScience Team, Ligency Team, "Activation Function", Machine Learning A-Z: AI, Python & R + ChatGPT Bonus [2023] Course 19 Confusion Matrix, [Online], Available at: https://en.wikipedia.org/wiki/Confusion_matrix 14 Tấn Công MitM mạng SDN Nguyễn Văn Long 20 Mininet, [Online], Available at: http://mininet.org 21 Scapy, [Online], Available at: https://scapy.net 22 Ettercap, [Online], Available at: https://www.ettercap-project.org 15