Adversary Model
Các ứng dụng mạng như Chrome và MSN sử dụng ngăn xếp TCP/IP và giao diện từ hệ điều hành để giao tiếp mạng Lưu lượng của các ứng dụng này đi qua nhiều lớp, bao gồm trình điều khiển giao thức TCP/IP, NDIS, trình điều khiển trung gian, và trình điều khiển bộ lọc NDIS trước khi đến phần cứng thẻ giao diện mạng (NIC) Tường lửa cá nhân hoạt động ở một trong bốn lớp này để phân tích lưu lượng đến và đi Khi phát hiện lưu lượng độc hại, tường lửa sẽ thông báo cho người dùng để họ có thể quyết định xử lý dựa trên chính sách bảo mật.
Một số phần mềm độc hại có khả năng sử dụng ngăn xếp TCP/IP riêng để vượt qua tường lửa cá nhân Cụ thể, chúng kết nối với NdisM Register Miniport Driver và NdisM Register Miniport, đăng ký chức năng xử lý miniport của phần mềm độc hại.
Trước khi trình điều khiển bộ điều hợp mạng đăng ký với NDIS, phần mềm độc hại có thể sử dụng chức năng xử lý miniport riêng để gửi hoặc nhận các gói thông qua ngăn xếp TCP/IP của nó, từ đó bỏ qua sự giám sát của tường lửa cá nhân.
Phần mềm độc hại có khả năng tấn công tường lửa cá nhân bằng cách chặn giao tiếp giữa tường lửa và hệ điều hành hoặc thậm chí tắt tường lửa Để bảo vệ hệ thống phòng thủ, người dùng cần nhận diện các hoạt động độc hại một cách dễ dàng Để tăng cường an ninh, người dùng nên quét máy chủ lưu trữ để loại bỏ phần mềm độc hại.
Nền SDN
Mạng do phần mềm xác định (SDN) là một công nghệ mạng tiên tiến, tách biệt mặt phẳng điều khiển và dữ liệu Control plane của SDN điều khiển toàn bộ hành vi của mạng, mang lại sự tập trung hợp lý Điều này giúp đơn giản hóa quy trình quản lý và kiểm soát lưu lượng mạng, đồng thời cung cấp tính linh hoạt thông qua một giao thức duy nhất.
Mạng OpenFlow sử dụng quy tắc luồng để xử lý giao thông mạng, nơi công tắc OpenFlow kiểm tra bảng luồng để xác định xem gói tin có khớp với quy tắc nào không Nếu tìm thấy, công tắc sẽ thực hiện hành động tương ứng như chuyển tiếp, thả hoặc báo cáo gói tin lên mặt phẳng điều khiển Trong trường hợp gói không khớp với bất kỳ mục nhập nào, công tắc sẽ gửi thông điệp đến máy bay điều khiển để nhận hướng dẫn Máy bay điều khiển sẽ quyết định cách xử lý gói mới dựa trên logic ứng dụng và phản hồi bằng các quy tắc hành động và luồng, giúp quản lý và kiểm soát lưu lượng mạng một cách dễ dàng và linh hoạt.
Vấn đề và thách thức
Bài báo này nghiên cứu cách phát hiện mã độc lưu lượng phần mềm độc hại trên máy chủ, đồng thời chỉ ra các thách thức cần phải vượt qua để giải quyết vấn đề này.
Để tránh lưu lượng truy cập độc hại vượt qua tường lửa cá nhân, cần có giải pháp phát hiện ở lớp phần cứng mạng, vì phần mềm độc hại có thể lợi dụng Ngăn xếp TCP/IP để tránh bị phát hiện Hiện tại, không có tường lửa cá nhân nào giám sát lưu lượng ở lớp NIC, điều này khiến việc bảo vệ hệ thống khỏi các cuộc tấn công trở nên khó khăn Do đó, việc phát triển một khung bảo mật mới để phát hiện lưu lượng độc hại là rất cần thiết nhằm đảm bảo hệ thống hoạt động ổn định và cảnh báo người dùng kịp thời khi có sự cố xảy ra.
Để xác định chính xác lưu lượng truy cập độc hại, cần lưu ý rằng phần mềm độc hại có thể không vượt qua tường lửa mạng Thiếu thông tin máy chủ lưu trữ trên tường lửa có thể dẫn đến phân loại lưu lượng không chính xác Tường lửa cá nhân sử dụng cổng TCP để liên kết mỗi gói với thông tin máy chủ và cập nhật danh sách blacklist/whitelist, giúp cải thiện độ chính xác Tuy nhiên, thông tin máy chủ không có trong gói dữ liệu sẽ không được sử dụng để xác định lưu lượng tấn công Ví dụ, nếu tường lửa mạng có "Server name = 'evil.com'" trong danh sách đen, nó sẽ chặn tất cả lưu lượng đến "evil.com" Khi máy chủ độc hại thay đổi tên từ "evil.com" sang "newevil.com", tường lửa có thể không nhận diện được các gói độc hại nếu không có thông tin từ máy chủ.
Để cung cấp khả năng lập trình cho các dịch vụ bảo mật, mặc dù tường lửa có thể tự động cập nhật các chính sách bảo mật dựa trên tính năng và thuật toán cụ thể, nhưng chúng vẫn có thể bỏ qua khi các yếu tố này bị tiết lộ Quản lý an ninh các chính sách vẫn thuộc về lĩnh vực quản trị mạng Hơn nữa, việc áp dụng SDN trực tiếp vào bảo mật máy chủ lưu trữ gặp khó khăn vì không có cấp ứng dụng điều khiển được kích hoạt trong thông số kỹ thuật.
OpenFlow cho phép kiểm soát mạng, nhưng các thiết bị không hỗ trợ SDN sẽ không thể được điều khiển Việc sử dụng các công tắc hàng hóa hiện tại sẽ làm mất đi khả năng lập trình của mạng Nhiều công ty không đủ khả năng thay thế thiết bị mạng truyền thống đắt tiền Do đó, một giải pháp hiệu quả là áp dụng các cơ chế trong SDN để quản lý luồng chi tiết trên một số thiết bị mạng có thể điều khiển, như NIC Bằng cách này, các công ty có thể nâng cấp thiết bị mạng trên những máy chủ quan trọng để bảo vệ hệ thống của mình.
Những kỹ thuật chính được đề xuất để bảo vệ an ninh máy chủ lưu trữ
Chúng tôi đề xuất một kiến trúc lưu trữ tường lửa mới bằng cách trừu tượng hóa các Control plane và Data plane trong SDN Data plane giám sát lưu lượng mạng trên phần cứng và lọc ra lưu lượng bất hợp pháp dựa trên các quy tắc bảo mật Control plane thu thập thông tin từ máy chủ lưu trữ và tự động cập nhật các quy tắc bảo mật trong Data plane Ngoài ra, một cuộc kiểm toán máy chủ được thực hiện để phát hiện các cuộc tấn công nhằm vào Control plane.
Chúng tôi giới thiệu cơ chế mới để bảo mật máy chủ, cung cấp khả năng lập trình cao cho kiểm soát bảo mật cấp ứng dụng Khác với các giải pháp tường lửa hiện tại, thiết kế của chúng tôi cho phép quản trị viên mạng thiết lập quy tắc bảo mật dựa trên các thuật toán và tính năng do người dùng xác định Hơn nữa, hệ thống của chúng tôi có khả năng phát hiện lưu lượng phần mềm độc hại ngay cả khi chúng sử dụng TCP/IP riêng để vượt qua tường lửa truyền thống.
Dựa trên kiến trúc và cơ chế đã đề cập, chúng tôi thiết kế và triển khai SDF, đồng thời đánh giá hiệu suất của nó qua các thử nghiệm thực tế Kết quả cho thấy SDF có khả năng giám sát toàn bộ mạng lưu lượng và xác định chính xác lưu lượng độc hại Nhân viên kiểm toán có thể cảnh báo người dùng về các máy bay điều khiển bị nhiễm độc hoặc ngừng hoạt động Hơn nữa, hai trường hợp sử dụng SDF được trình bày để chứng minh rằng khả năng lập trình mạng hiện nay đã đơn giản hóa các giải pháp bảo mật.
Giới thiệu mô hình và kiến trúc hệ thống
Thiết kế của SDF dựa trên khái niệm SDN bằng cách tập trung hóa các API
“Southbound” (OpenFlow) để cung cấp khả năng kiểm soát chính sách bảo mật linh hoạt.
SDF sử dụng phần cứng mạng như mặt phẳng dữ liệu để giám sát lưu lượng, xử lý từng gói dựa trên quy tắc luồng trong bảng luồng nhằm ngăn chặn lưu lượng truy cập độc hại Hệ thống này có thể được triển khai ở phía máy chủ với NetFPGA hoặc NIC có thể lập trình, hoặc ở phía chuyển mạch với công tắc OpenFlow Mặt phẳng điều khiển của SDF tích hợp trong máy chủ cho phép lập trình và kiểm soát chính sách bảo mật linh hoạt Dựa trên lưu lượng thống kê từ mặt phẳng dữ liệu và thông tin từ mặt phẳng điều khiển, ứng dụng điều khiển có thể xác định chính xác lưu lượng độc hại.
Kiến trúc của SDF cho phép các ứng dụng mạng, chẳng hạn như Chrome và Twitter, hoạt động như các máy chủ trong mô hình SDN Điều này nhấn mạnh rằng các ứng dụng mạng không bị coi là "thấp hơn" so với lớp hệ điều hành, mà thực sự có vai trò quan trọng trong cấu trúc mạng.
Kiến trúc SDF được cấu thành từ sáu mô-đun chức năng chính, bao gồm giám sát lưu lượng, giám sát trạng thái máy chủ, nền tảng bộ điều khiển, kiểm soát trừu tượng hóa ứng dụng, phát hiện tấn công và máy chủ kiểm tra, như thể hiện trong Hình 3.
Mô-đun giám sát lưu lượng hoạt động như mặt phẳng dữ liệu trên phần cứng mạng, có khả năng xử lý và giám sát lưu lượng đến và đi theo các quy tắc luồng trong bảng lưu lượng.
Mô-đun giám sát trạng thái máy chủ là ứng dụng giám sát thông tin máy chủ, cho phép lưu trữ dữ liệu vào Mô-đun trừu tượng hóa ứng dụng điều khiển Điều này hỗ trợ quản lý cấp ứng dụng và phát hiện các cuộc tấn công một cách chính xác.
Nền tảng bộ điều khiển hoạt động tương tự như các bộ điều khiển kho mềm SDN hiện có như NOX, POX và RYU Việc triển khai có thể thực hiện dễ dàng thông qua cài đặt bộ điều khiển phần mềm, vì vậy chúng tôi sẽ không mô tả chi tiết thiết kế của nó trong bài viết này.
Mô-đun trừu tượng hóa ứng dụng điều khiển đóng vai trò là lớp trung gian giữa nền tảng điều khiển và các ứng dụng điều khiển, sử dụng thông tin lưu lượng và máy chủ để liên kết từng gói tin với thông tin máy chủ Nó tóm tắt ngôn ngữ triển khai bộ điều khiển thành ngôn ngữ cấp cao và cung cấp giao diện thân thiện với người dùng, cho phép cập nhật động các chính sách bảo mật mạng.
Mô-đun phát hiện tấn công là ứng dụng điều khiển cài đặt sẵn nhằm xác định lưu lượng truy cập độc hại và thông tin từ máy chủ Chúng tôi cũng hỗ trợ người dùng phát triển các mô-đun phát hiện tấn công theo nhu cầu riêng của họ.
Máy chủ kiểm tra là thiết bị quan trọng trong mạng nội bộ, giúp phát hiện sự nhiễm độc từ phần mềm độc hại trên máy bay điều khiển Nó hoạt động trong Intranet để xác minh các quy tắc phân luồng trên thiết bị giám sát giao thông Thiết bị này định kỳ thu thập thông tin từ máy chủ và lưu lượng truy cập, sử dụng cơ sở dữ liệu cùng thuật toán phát hiện tấn công để kiểm tra tính hợp pháp của các quy tắc phân luồng.
Hình 4 Đường ống xử lý gói trong bộ giám sát lưu lượng.
Quy trình làm việc của SDF bao gồm việc giám sát và kiểm tra mô-đun giao thông, chuyển tiếp lưu lượng giữa Internet/Intranet và máy chủ dựa trên các quy tắc bảo mật trong bảng luồng Khi phát hiện lưu lượng bất thường, SDF sẽ thực hiện ba bước xử lý, bắt đầu bằng việc báo cáo luồng lưu lượng bất thường tới bộ điều khiển.
Các luồng bất thường sẽ được chuyển đến Mô-đun trừu tượng hóa ứng dụng kèm theo thông tin máy chủ từ trình theo dõi trạng thái Những luồng này sẽ được gắn thẻ với thông tin máy chủ và gửi đến ứng dụng điều khiển để phát hiện lưu lượng truy cập độc hại Cuối cùng, ứng dụng phát hiện tấn công sẽ quyết định các hành động cần thực hiện đối với luồng và cập nhật quy tắc bảo mật trên các Mô-đun giám sát mạng.
Khi các Modules khác được kích hoạt, máy chủ kiểm tra thu thập mục nhập luồng, thông tin lưu trữ và lưu lượng truy cập để xác minh tính hợp pháp của các mục nhập này.
Giám sát lưu lượng
Giám sát lưu lượng là một cấu trúc chuyển tiếp xử lý từng gói dựa trên quy tắc dòng chảy, giúp ngăn chặn phần mềm độc hại vượt qua SDF, đặc biệt là qua TCP/IP stack Chức năng này duy trì các quy tắc trong bảng dòng chảy, tương tự như quy tắc trong công tắc OpenFlow, nhằm thực thi chính sách bảo mật Ngoài ra, giám sát lưu lượng cung cấp API hướng nam (giao diện OpenFlow) để hỗ trợ kiểm soát an ninh có thể lập trình Việc triển khai có thể diễn ra ở cả bên máy chủ và bên chuyển đổi, nhưng trong bài viết này, chúng tôi tập trung vào tình huống mà giám sát lưu lượng là phần cứng.
Giống như công tắc OpenFlow, trình giám sát lưu lượng xác định hành động cho từng luồng dữ liệu dựa trên các quy tắc trong bảng luồng, được lưu trữ trong bộ nhớ địa chỉ nội dung bậc ba Các hành động này có thể bao gồm chuyển tiếp, giảm bớt lưu lượng hoặc báo cáo thông tin.
TCAM (Ternary Content Addressable Memory) kết nối máy chủ với Internet/Intranet thông qua hai cổng ảo, giúp phân biệt lưu lượng truy cập đến và đi một cách dễ dàng Hệ thống giám sát lưu lượng bao gồm bốn thành phần chính: bảng lưu lượng, trình phân tích cú pháp tiêu đề, tra cứu bảng luồng và trình xử lý hành động Mặc dù có thể triển khai mô-đun giám sát lưu lượng theo chuẩn OpenFlow v1.3 hoặc cao hơn, chúng tôi nêu rõ các yêu cầu tối thiểu trong thiết kế do hạn chế về nguồn lực trong một số trường hợp.
Bảng lưu lượng chứa các mục nhập luồng trong TCAM, bao gồm trường đối sánh, trường hành động, cùng với các trường ưu tiên, bộ đếm và thời gian chờ, như thể hiện trong Hình 5-a.
Hình 5 Các cấu trúc trong giám sát giao thông.
Trong SDF, chúng tôi hỗ trợ ba hành động chính: chuyển tiếp đến Server/Internet, thả gói tin và báo cáo điều khiển Trong trường bộ đếm, chỉ cần đếm các gói và byte tương ứng với mục nhập luồng Để phát hiện các hoạt động độc hại khi phần mềm độc hại tấn công mặt phẳng điều khiển, thành phần bảng luồng cung cấp các API chỉ đọc cho máy chủ kiểm tra, giúp xác định tình trạng an ninh của máy bay điều khiển.
Trình phân tích cú pháp Header là thành phần quan trọng giúp trích xuất thông tin tiêu đề của mỗi gói để xác định luồng dữ liệu Hình 5-b minh họa các trường khác nhau trong tiêu đề, trong đó hầu hết các trường trong SDF tương đồng với các trường trong giao thức OpenFlow Tuy nhiên, trường IN_PORT có sự khác biệt, vì bộ giám sát lưu lượng chỉ có hai cổng dữ liệu trong SDF, tương ứng với các giao diện giữa Internet và máy chủ Do đó, PORT IN trong SDF chỉ ra liệu một gói có phải là gói xâm nhập (từ Internet đến máy chủ) hay gói đi ra (từ máy chủ đến Internet).
Tra cứu Bảng Lưu lượng là quá trình quan trọng trong việc xác định các mục nhập luồng phù hợp Sau khi trích xuất thông tin từ tiêu đề, chúng tôi thực hiện tra cứu cả hai phương pháp: tra cứu chính xác và tra cứu ký tự đại diện Để tối ưu hóa hiệu suất và giảm thiểu va chạm, chúng tôi áp dụng hai hàm băm trên tiêu đề luồng Trong khi tra cứu chính xác tìm kiếm các kết quả khớp hoàn toàn, tra cứu ký tự đại diện sử dụng mặt nạ để phát hiện các mục nhập tương ứng Nếu có bất kỳ mục nhập luồng nào khớp với gói, hệ thống sẽ trả về tất cả các kết quả phù hợp cho bộ xử lý hành động; nếu không, kết quả sẽ là rỗng.
Bộ xử lý hành động quyết định hành động nào sẽ được áp dụng cho gói tin, với các hành động có mức ưu tiên cao nhất được thực hiện trước Trong trường hợp không có kết quả, hành động mặc định là báo cáo cho bộ điều khiển Sau khi một hành động được thực hiện, bộ đếm trường của mục nhập luồng sẽ được cập nhật.
OpenFlow cho phép thiết bị chuyển mạch bảo toàn gói ban đầu và gói gọn thông tin tiêu đề thành gói trong tin nhắn, giám sát lưu lượng bằng cách áp dụng "Encapsulate the whole packet to the controller" trong hành động của các quy tắc luồng Trong một số tình huống, hành động thay thế có thể là "Mirror to controller" do giới hạn bộ nhớ trong NIC Việc gói gọn toàn bộ gói cũng giúp Mô-đun trừu tượng hóa ứng dụng điều khiển, khớp với trọng tải của lớp ứng dụng và nhận diện chữ ký tấn công cơ sở dữ liệu, như URL máy chủ phần mềm độc hại và thông tin cá nhân.
Hình 6 Bảng thông tin cổng-máy chủ lưu trữ với hai thao tác: chèn và tra
Giám sát trạng thái máy chủ
Bộ theo dõi trạng thái máy chủ hoạt động trên máy chủ, cung cấp API để lấy thông tin về tên tác vụ, mức sử dụng CPU và bộ nhớ của nhiệm vụ thông qua một cổng chỉ định (GetHostInfoByPort).
Thông tin về tên nhiệm vụ (Task) giúp xác định ứng dụng tạo gói, trong khi CPU và thông tin bộ nhớ cung cấp cái nhìn về tình trạng hiện tại của nhiệm vụ Những tính năng này có thể cải thiện độ chính xác trong việc phát hiện cuộc tấn công Ngoài ra, các ứng dụng điều khiển cũng có khả năng quản lý luồng cấp ứng dụng một cách chi tiết.
Chúng tôi sử dụng bảng thông tin máy chủ lưu trữ cổng để kết nối thông tin máy chủ với từng cổng Trình giám sát trạng thái máy chủ thực hiện các truy vấn đầu tiên để lấy tất cả các bản ghi id quy trình (Pid) trên các cổng đã bật Tiếp theo, nó truy vấn các bản ghi nhiệm vụ dựa trên các Pid, CPU và khả năng sử dụng bộ nhớ của các tác vụ này Mỗi bản ghi cổng được liên kết với tác vụ, CPU và bộ nhớ, với CPU và bộ nhớ giống nhau cho các bản ghi Pid thuộc cùng một nhiệm vụ Để đảm bảo hiệu quả lập chỉ mục, trường cổng được sử dụng làm khóa cho bảng băm, và thời gian trường được thêm vào khi chèn bản ghi mới Mỗi bản ghi sẽ hết hạn sau thời gian texpire, ban đầu là 120 giây, và các bảng thông tin cổng-máy chủ sẽ được cập nhật sau mỗi 5 giây.
Bảng thông tin Port-host_info hỗ trợ hai chức năng chính: chèn bản ghi mới và tra cứu bản ghi, như thể hiện trong Hình 6 Khi trình theo dõi trạng thái máy chủ lưu trữ phát hiện một bản ghi hiện có trong quá trình chèn, nó sẽ so sánh trường nhiệm vụ giữa bản ghi hiện tại và bản ghi mới Nếu nhiệm vụ giống nhau, trạng thái máy chủ chỉ cần theo dõi các cập nhật về CPU, bộ nhớ và các trường thời gian, như đã mô tả trong hoạt động (1) của Hình 6.
Nếu không, màn hình trạng thái của máy chủ sẽ ghi đè lên toàn bộ bản ghi Khi tra cứu bản ghi, trạng thái máy chủ kiểm tra thời gian của bản ghi Nếu bản ghi chưa hết hạn, trình theo dõi trạng thái sẽ trả về bản ghi phù hợp.
Nếu trạng thái máy chủ không trả về EXPIRED, như mô tả trong hoạt động (4), các bản ghi mới có thể ghi đè lên các bản ghi hiện có Trường thời gian được sử dụng để xác định các bản ghi đã hết hạn, vì vậy bảng thông tin máy chủ cổng không cần chức năng xóa trong bảng băm Kích thước ban đầu của bảng thông tin máy chủ lưu trữ cổng được thiết lập là 1000 mục nhập, và nó cũng hỗ trợ việc thêm vào cũng như các chiến lược thu gọn để điều chỉnh kích thước một cách linh hoạt.
Trình theo dõi trạng thái máy chủ gọi hệ điều hành để nhận thông tin về tác vụ, CPU và bộ nhớ theo thời gian thực Điều này diễn ra khi không có bản ghi nào được tìm thấy hoặc bản ghi đã hết hạn trong thông tin máy chủ lưu trữ cổng bàn, nhằm mục đích giảm thiểu độ trễ.
Trong quá trình cập nhật bảng, các cuộc gọi thời gian thực có thể đáp ứng yêu cầu của GetHostInfoByPort, nhưng tra cứu trong bảng thông tin cổng-máy chủ lại hiệu quả hơn nhiều Nếu kết nối bị đóng trước khi thực hiện GetHostInfoByPort, trình theo dõi trạng thái máy chủ sẽ không thể lấy thông tin nào nếu không có hồ sơ trước đó.
Ngôn ngữ trừu tượng cấp cao trong ứng dụng điều khiển sự trừu tượng cho phép xác định các giá trị trong vùng cụ thể Trong trường Match, "HEADER" đề cập đến toàn bộ tiêu đề của gói tin, bao gồm từ lớp MAC đến lớp truyền tải, trong khi "HEADERS" chỉ các tiêu đề cụ thể như loại ethernet và địa chỉ IP nguồn.
Phát hiện tấn công
Phát hiện tấn công giúp xác định lưu lượng truy cập độc hại và đánh dấu từng gói tin để quản lý các ứng dụng điều khiển hiệu quả hơn Chúng tôi sử dụng công nghệ đối sánh hai giai đoạn để phát hiện lưu lượng độc hại dựa trên các chữ ký tấn công Khi gói tin đến, hệ thống sẽ liên kết gói với thông tin máy chủ, phân loại và lưu trữ gói trong hàng đợi Trong giai đoạn đầu, mô-đun phát hiện tấn công khớp các trường của gói với chữ ký trong cơ sở dữ liệu Ở giai đoạn thứ hai, mô-đun sử dụng hỗ trợ Vector Machine (SVM) để xác định các luồng và phân loại chúng là độc hại hay không Các ứng dụng điều khiển có thể quyết định hành động tiếp theo cho từng gói tin.
Trong giai đoạn đầu tiên, mô-đun phát hiện tấn công sử dụng phân loại mức gói bằng cách kiểm tra một số trường của gói, trong đó tải trọng là trường quan trọng nhất vì chứa hầu hết các chữ ký tấn công Nếu gói tin chứa chữ ký tấn công, nó sẽ được phân loại là lưu lượng truy cập độc hại và liên kết với cơ sở dữ liệu (ví dụ: PAYLOAD = Trong DB) Ngược lại, nếu không có chữ ký tấn công, gói tin sẽ không liên kết (ví dụ: PAYLOAD6 = Trong DB) Chúng tôi cũng cung cấp giao diện để cập nhật cơ sở dữ liệu tấn công, cho phép người dùng tải xuống chữ ký tấn công mới từ Internet hoặc viết ứng dụng để tự động cập nhật cơ sở dữ liệu dựa trên các mẫu tấn công đã xác định.
Trong giai đoạn thứ hai, Mô-đun phát hiện tấn công sử dụng phân loại mức luồng với SVM để xác định lưu lượng truy cập độc hại dựa trên dữ liệu đào tạo SVM tối đa hóa khoảng cách giữa các mẫu và siêu phẳng, là một thuật toán phân loại mạnh mẽ ngay cả với dữ liệu ồn ào Chúng tôi sử dụng tần số, bao gồm “gói trên mỗi luồng” và “byte trên mỗi luồng,” làm đặc điểm cho mỗi luồng Dữ liệu đào tạo bao gồm lưu lượng từ hai cuộc tấn công (SYN flood và rò rỉ thông tin) cùng với lưu lượng bình thường để xây dựng siêu phẳng f(x) với hạt nhân Gaussian Bộ phân loại SVM phân loại hiệu quả từng luồng bằng cách đánh giá dấu hiệu của f(xs), gán nhãn các gói "bất hợp pháp" là SVM CLASS = TRUE và các gói "hợp pháp" là SVM CLASS = FALSE Để điều chỉnh động bộ phân loại SVM, chúng tôi cung cấp giao diện cập nhật dữ liệu đào tạo, cho phép sử dụng dữ liệu mới khi có mẫu mới Mặc dù chi phí có thể là mối quan tâm khi xử lý lưu lượng lớn, quy tắc phân luồng giúp loại bỏ lưu lượng độc hại và chỉ xử lý lưu lượng "đáng ngờ." Kết quả thử nghiệm cho thấy bộ phân loại SVM tốn thời gian khi đào tạo nhưng hiệu quả trong phân loại, do đó chi phí phát hiện tấn công là chấp nhận được.
Máy chủ kiểm tra
Máy chủ kiểm tra là thiết bị quan trọng trong mạng nội bộ, giúp xác minh tính hợp pháp của các mục nhập luồng trên bộ giám sát lưu lượng Thiết bị này có thể hoạt động tập trung hoặc hỗ trợ nhiều máy chủ với chỉ một máy chủ kiểm tra Khi phát hiện các mục nhập luồng bất hợp pháp hoặc thiếu sót trong quy trình quan trọng, như kiểm soát máy bay bị nhiễm độc hoặc tắt do phần mềm độc hại, máy chủ kiểm tra sẽ cảnh báo các quản trị viên mạng để tiến hành phân tích và xử lý sự cố.
Máy chủ kiểm tra thu thập thông tin về lưu lượng và máy chủ lưu trữ, bao gồm tác vụ, CPU, bộ nhớ và cơ sở dữ liệu chữ ký tấn công, định kỳ Nó áp dụng các thuật toán phân loại và chính sách bảo mật để tạo các mục nhập luồng nhằm xác minh Tương tự, máy chủ kiểm tra gắn thẻ nhiệm vụ, CPU và bộ nhớ cho từng gói, sau đó tạo mục nhập luồng dựa trên chính sách bảo mật Các mục nhập này giúp xác định luồng không mong muốn và thiếu sót trong bộ theo dõi lưu lượng Mọi mâu thuẫn sẽ được báo cáo cho quản trị mạng để thông báo cho quản trị viên khi hệ thống bị tấn công bởi phần mềm độc hại.
Để giảm thiểu cảnh báo sai trong quá trình phân loại, chúng tôi giới thiệu khái niệm "Mức độ rủi ro" cho các mâu thuẫn Mức độ rủi ro được xác định dựa trên khoảng cách bình thường giữa mẫu bị phân loại sai và siêu phẳng trong SVM Cụ thể, siêu phẳng được biểu diễn bằng hàm f (x) = ω T x + b, trong đó ω là vectơ pháp tuyến Khoảng cách giữa siêu phẳng và mẫu phân loại sai được tính bằng Ds = | ω T xs + b | / || ω || Khi sử dụng hàm nhân κ, Ds được tính bằng Ds = | ∑ i = 1 αiyiκ (xi, xs) + b | / || ω || Mức độ rủi ro được biểu thị bằng Rs = mDs / ∑ i = 1 Di Đối với các mục nhập luồng không nhất quán khác, mức độ rủi ro sẽ được đặt mặc định là 100.
Máy chủ kiểm tra có thể đóng vai trò như bộ điều khiển, tương tự như mặt phẳng điều khiển tập trung trong SDN, nhằm ngăn chặn các cuộc tấn công từ máy bay điều khiển Tuy nhiên, thiết kế này có thể tiêu tốn nhiều băng thông của bộ điều khiển máy chủ do sự giao tiếp giữa bộ điều khiển và giám sát trạng thái máy chủ, đặc biệt khi SDF quản lý lưu lượng cấp ứng dụng Do đó, thiết kế mặt phẳng điều khiển trên máy chủ sẽ giúp giảm chi phí liên lạc và độ trễ Mặc dù mặt phẳng điều khiển có thể trở thành mục tiêu của phần mềm độc hại, máy chủ kiểm tra vẫn có khả năng cảnh báo cho quản trị viên mạng về các hoạt động bất thường.
KẾT QUẢ THỰC HIỆN VÀ ĐÁNH GIÁ
Thực hiện
Nguyên mẫu giám sát lưu lượng trong SDF được xây dựng trên phần cứng mạng hỗ trợ OpenFlow, cụ thể là dòng Broadcom BCM56960 Series, với các chức năng OpenFlow được mô tả chi tiết trong Phần III Chúng tôi sử dụng bộ điều khiển RYU làm nền tảng, được cài đặt trên PC với CPU i7 và 8GB RAM Giám sát và kiểm soát trạng thái máy chủ phần trừu tượng hóa ứng dụng được phát triển bằng Python Để thiết kế mô-đun phát hiện tấn công, chúng tôi áp dụng LIBSVM làm bộ phân loại SVM.
Máy chủ kiểm tra được phát triển trên nền tảng máy chủ Linux bằng ngôn ngữ lập trình Python, sử dụng chung bộ phân loại và ứng dụng kiểm soát với máy chủ chính.
Thiết lập
Một trong những cải tiến quan trọng nhất trong SDF là khả năng tránh bỏ qua tường lửa cá nhân, điều này giúp nâng cao hiệu suất giám sát lưu lượng phần mềm độc hại Để đánh giá hiệu quả của SDF, chúng tôi đã cài đặt bộ khởi động SDF và Rovnix trên máy chủ đã được thử nghiệm (máy chủ 1) và áp dụng chính sách “Match: *;”.
Event: LOG, FORWARD; Quy tắc: null ”để ghi lại tất cả những gì đã chụp giao thông
Hai tường lửa cá nhân khác nhau, McAfee và Norton, cùng với bộ khởi động Rovnix, được cài đặt trên một máy chủ khác (Host 2) để làm đối tượng kiểm soát.
Một công tắc được sử dụng để kết nối Internet với các mô-đun giám sát lưu lượng và hai máy chủ, giúp phản ánh toàn bộ lưu lượng truy cập giữa Internet và máy chủ được kiểm tra Điều này cho phép máy chủ giám sát ghi lại tất cả lưu lượng truy cập từ và đến máy chủ, như mô tả trong Hình 10 Qua đó, hiệu suất có thể được đánh giá bằng cách so sánh lưu lượng đã ghi với lưu lượng được nhân bản.
Hình 10 Cấu trúc liên kết trong thử nghiệm phát hiện lưu lượng phần mềm độc hại.
Chúng tôi phân loại thông tin máy chủ và khám phá cách các yếu tố như tác vụ, CPU và thời gian bộ nhớ ảnh hưởng đến độ chính xác trong việc nhận dạng lưu lượng độc hại Hai chương trình được phát triển để tạo ra lưu lượng độc hại là SYN Floer, với khả năng tạo gói SYN từ IP nguồn giả mạo, và người rò rỉ quyền riêng tư, thường xuyên gửi thông tin máy chủ như địa chỉ MAC, địa chỉ IP và tên máy chủ đến máy chủ Chúng tôi áp dụng hai chính sách "Đối sánh" để nâng cao hiệu quả trong việc phát hiện.
Trong cơ sở dữ liệu, payload có thể nằm trong DB hoặc header Các sự kiện quan trọng bao gồm LOG và DROP Quy tắc xác định các giá trị null và ghi lại lưu lượng truy cập đáng ngờ, được phân loại là bất hợp pháp bởi trình phân loại SVM.
Chúng tôi đã vô hiệu hóa trình theo dõi trạng thái máy chủ lưu trữ bằng cách trả về task = null, CPU = 0, memory = 0 và hiển thị phân loại mà không có thông tin máy chủ lưu trữ Dữ liệu đào tạo của chúng tôi được thu thập theo các loại tấn công trong ba tình huống: duyệt web, tải xuống và tải lên dữ liệu, đồng thời tạo tiểu thuyết mới không từ dữ liệu đào tạo để đánh giá hiệu suất của cả phân loại thông tin máy chủ lưu trữ và máy chủ thông tin máy chủ phân loại bị vô hiệu hóa trong các trường hợp khác nhau.
Chúng tôi nghiên cứu các cuộc tấn công nhằm vào máy bay điều khiển và khả năng cảnh báo của máy chủ kiểm toán đối với các phần mềm độc hại Cụ thể, chúng tôi đã sử dụng ba loại phần mềm độc hại: (i) Mal1.exe để móc thông báo “sửa đổi trạng thái”, cài đặt quy tắc chuyển tiếp lưu lượng và chặn các cuộc tấn công; (ii) Mal2.exe để thay thế số liệu thống kê lưu lượng nhằm dẫn đến phân loại sai; và (iii) Mal3.exe để tắt máy bay điều khiển khi phát hiện điểm đến không khả dụng Tất cả phần mềm độc hại này đều phát tán 20 gói SYN mỗi giây đến một máy chủ Chính sách bảo vệ được thiết lập để chặn các gói bất hợp pháp, trong đó chỉ có chức năng của Mal1.exe được ghi nhận trong cơ sở dữ liệu chữ ký tấn công.
Chi phí xử lý gói tin chủ yếu phát sinh từ các thủ tục bỏ sót bàn các luồng, bao gồm việc tra cứu bảng luồng, gói trong yêu cầu, các tính năng đang chờ xử lý, cũng như phân loại và cài đặt quy tắc luồng.
Để đảm bảo tính chính xác trong việc đánh giá chi phí, tất cả các thủ tục đã đề cập cần phải được bao gồm Ví dụ, không thể chấp nhận giá trị Rule = null Chúng tôi thực hiện chính sách “Match” để đảm bảo sự nhất quán và hiệu quả trong quy trình này.
(SVM CLASS = FALSE, IN PORT = máy chủ); Event: FORWARD; Quy tắc:
Để cho phép các kết nối được xác định là lưu lượng lành tính bởi bộ phân loại SVM, chúng tôi sử dụng OFMatch với tham số IN là host và IP DST là ip dst, và hành động là FORWARD Chúng tôi đánh giá chi phí xử lý gói tin bằng cách đo thời gian khứ hồi của 100 gói tin được tạo bởi hai máy chủ đã được thử nghiệm, bao gồm cả trường hợp có và không có SDF.
Kết quả thử nghiệm
Trong thử nghiệm thu thập lưu lượng phần mềm độc hại, chúng tôi đã sử dụng Gói tin được máy chủ lưu trữ và Gói tin được chụp bởi màn hình Host để tính toán tốc độ bắt gói Kết quả được trình bày trong Bảng 1 Trong đối tượng kiểm soát, mặc dù McAfee và Norton cảnh báo phát hiện phần mềm độc hại khi Rovnix được sao chép vào máy chủ, nhưng không ai trong số họ có thể nắm bắt lưu lượng truy cập của bộ khởi động Rovnix Ngược lại, SDF có khả năng nắm bắt tất cả các gói của Rovnix bootkit, cho thấy rằng chúng tôi gần như không kiểm soát được số lượng các gói được tạo ra.
Trong việc xác định lưu lượng độc hại, chúng tôi phân tích ảnh hưởng của các tính năng đến kết quả phân loại, đặc biệt là các tính năng được trình bày trong phần 3.5 liên quan đến trình phân loại SVM Mỗi loại tấn công có trọng số tính năng khác nhau; cụ thể, tác vụ, tần suất, CPU và trường giao thức trong tiêu đề đóng vai trò quan trọng đối với ARP-attacker và SYN-Floer Đồng thời, tác vụ và trường giao thức cũng rất quan trọng trong việc phát hiện rò rỉ quyền riêng tư Chúng tôi sử dụng tỷ lệ dương tính thật (TPR) và tỷ lệ dương tính giả (FPR) để đánh giá hiệu quả của việc phân loại lưu lượng độc hại.
Các gói lành tính được sử dụng để so sánh thông tin máy chủ khi bật và khi bị vô hiệu hóa, phân loại theo từng trường hợp như duyệt, tải xuống và đang tải lên Kết quả được trình bày trong Hình 11 cho thấy rằng cả hai phân loại theo SYN-Floer đều chính xác hơn trong việc phát hiện rò rỉ quyền riêng tư Nguyên nhân là do các gói tin độc hại được tạo ra bởi SYN-lụter chủ yếu là các gói SYN, khiến "TCP giao thức" trở thành một tính năng quan trọng trong việc bảo vệ thông tin.
Lưu lượng truy cập của kẻ xâm phạm quyền riêng tư thường khó phát hiện, đặc biệt trong kịch bản tải lên, do một số thông tin riêng tư như các tác vụ đang chạy không được đưa vào chữ ký tấn công cơ sở dữ liệu Việc phân biệt lưu lượng độc hại với cập nhật giao thông thường xuyên là một thách thức Phân loại thông tin máy chủ lưu trữ theo từng hình thức cho kết quả tốt hơn so với việc phân loại vô hiệu hóa thông tin trong mọi tình huống Kết quả nghiên cứu cho thấy rằng các tính năng của máy chủ lưu trữ có thể tăng tỷ lệ phát hiện đúng (TPR) lên hơn 15% và giảm tỷ lệ phát hiện sai (FPR) khoảng 5% trong việc xác định lưu lượng truy cập rò rỉ quyền riêng tư.
Máy chủ kiểm tra có khả năng phát hiện và cảnh báo các tấn công vào máy bay điều khiển thông qua việc xác định sự mâu thuẫn trong các mục nhập luồng Các thông báo này giúp chặn các cuộc tấn công cài đặt quy tắc luồng (Mal1.exe) và các cuộc tấn công thống kê lưu lượng truy cập (Mal2.exe), như được minh họa trong Hình 12 Hình ảnh mô tả việc ngăn chặn các cuộc tấn công máy bay điều khiển cũng được trình bày rõ ràng trong bài viết.
Trong cài đặt quy tắc dòng chặn các cuộc tấn công, mức độ rủi ro của mục nhập luồng gian lận được xác định là 100 cho mal1.exe do tác vụ của nó được lưu trong cơ sở dữ liệu chữ ký tấn công Ngược lại, mal2.exe không có trong cơ sở dữ liệu này, dẫn đến mức độ rủi ro của đầu độc các cuộc tấn công thống kê lưu lượng truy cập là 8.2, được tính toán dựa trên khoảng cách chuẩn hóa tới siêu phẳng.
Khi bộ điều khiển gặp sự cố tắt máy bay điều khiển tấn công (mal3.exe), máy chủ kiểm tra có khả năng phát hiện sự không đồng nhất của các mục nhập luồng, với mức độ rủi ro của quy tắc gian lận là 6.4 Trong trường hợp bộ điều khiển tắt, có thể xuất hiện một số cảnh báo rủi ro thấp nếu bộ phân loại có tỷ lệ dương tính giả cao, do các quy tắc phân luồng chặn lưu lượng truy cập thông thường gây ra mâu thuẫn Kết quả của các cuộc tấn công này thường giống nhau, khiến máy chủ kiểm toán không thể phân biệt loại tấn công đối với bộ điều khiển Do đó, người điều hành quản trị mạng cần tiến hành phân tích sâu hơn dựa trên các cảnh báo từ máy chủ kiểm tra.
Trễ gói: Bảng 2 mô tả quá trình xử lý gói tin chi phí cao trong hệ thống SDF
TCAM đảm bảo thời gian xử lý gói phù hợp rất ngắn, chỉ dưới 5ms, trong khi thời gian xử lý các gói bỏ sót bảng lại kéo dài đến 105ms do cần có sự can thiệp của người điều khiển Tuy nhiên, gói bỏ sót bảng chỉ chiếm một phần nhỏ trong lưu lượng mạng, cho phép bộ điều khiển cập nhật quy tắc luồng để xử lý gói tin khi đã nhận lại Ngoài ra, chúng tôi đã phát triển trình giám sát lưu lượng như một phần cứng chuyên dụng trong nguyên mẫu, giúp giảm thiểu độ trễ liên kết của các gói bỏ sót bảng khi hoạt động ở phía NIC.
Hình 11 So sánh giữa phân loại kích hoạt thông tin máy chủ và phân loại thông tin máy chủ bị vô hiệu hóa trong SDF.
Hình 12 Cảnh báo chặn các cuộc tấn công cài đặt quy tắc luồng và đầu độc các cuộc tấn công thống kê lưu lượng.
Hình 13 Cảnh báo tắt các cuộc tấn công máy bay điều khiển.
Hình 14 Cách sử dụng 1: bảo vệ máy chủ.
Trường hợp sử dụng
Để bảo vệ các máy chủ khỏi các cuộc tấn công mạng như DDoS và XSS, cần áp dụng các phương pháp bảo vệ cho phép chỉ các cổng cụ thể (ví dụ: 80 cho HTTP và 443 cho HTTPS) Các nhiệm vụ đến từ các cổng trái phép sẽ được chuyển hướng đến đại lý bảo mật để phân tích thêm Đồng thời, một bộ giám sát lưu lượng luôn được triển khai để phát hiện lưu lượng độc hại trong quá trình giao tiếp, như IP đích nằm trong danh sách đen hoặc lưu lượng truy cập theo các mẫu WebShell Ban đầu, cần hai tác nhân: tác nhân giám sát lưu lượng và tác nhân bảo mật, cùng với việc cập nhật cơ sở dữ liệu tấn công một cách thủ công dựa trên phản hồi từ nhân viên bảo mật.
Chúng tôi có thể sử dụng SDF để tự động cập nhật chính sách bảo mật mà không cần hai đại lý Để cho phép các yêu cầu đến cổng 80 và 443, chúng tôi áp dụng các quy tắc luồng chủ động cho các gói đến lành tính và báo cáo các gói đến bộ điều khiển Đồng thời, chúng tôi thiết kế một ứng dụng phân tích bảo mật nhằm tạo ra các chữ ký tấn công cho các gói đến độc hại, chẳng hạn như IP của máy chủ độc hại và mô hình WebShell.
Ứng dụng phân tích bảo mật động đã cập nhật cơ sở dữ liệu chữ ký tấn công dựa trên các chữ ký mới Chúng tôi đã phát triển một ứng dụng kiểm soát chính sách an ninh nhằm báo cáo lưu lượng truy cập đáng ngờ và tự động cập nhật các chính sách bảo mật Hình 14 mô tả một mô hình bảo vệ an ninh máy chủ với SDF, trong đó máy chủ kiểm tra được đơn giản hóa để dễ hiểu.
Trong thử nghiệm, chúng tôi đã cố gắng kết nối với cổng trái phép 8080 và tải lên phần mềm độc hại qua cổng 80 Tuy nhiên, khi SDF được kích hoạt, chúng tôi không thể thiết lập kết nối với máy chủ qua cổng 8080, dù cổng này đang mở Việc tải lên cũng không thành công và địa chỉ IP của khách hàng đã bị thêm vào cơ sở dữ liệu chữ ký của cuộc tấn công.
Kiểm soát mạng của phụ huynh trên PC cho phép quản lý quyền truy cập internet của từng người dùng, giúp đảm bảo an toàn trực tuyến cho trẻ em.
Ban đầu, kiểm soát của phụ huynh liên kết mỗi số lượng ac với một blacklist/whitelist
PC chỉ đơn giản từ chối hoặc cho phép yêu cầu dựa trên blacklist/whitelist, dẫn đến kiểm soát truy cập không linh hoạt Chiến lược này có thể ảnh hưởng đến các trang web liên kết bên ngoài Kiểm soát của phụ huynh không thể ngăn chặn trò chơi trực tuyến nếu trò chơi không nằm trong danh sách đen Nếu chính sách thay đổi theo ứng dụng và thời gian, có thể cần sử dụng hai tài khoản với các chính sách khác nhau và đặt thời gian hoạt động cho từng tài khoản Hơn nữa, vì các chính sách này là bộ lọc cấp hệ điều hành, chúng có thể bị bỏ qua khi sử dụng ngăn xếp TCP/IP riêng.
Với sự hỗ trợ của SDF, chúng tôi đã thiết lập khả năng truy cập mạng linh hoạt cho người quản lý thông qua một tài khoản duy nhất Chúng tôi áp dụng ba quy tắc luồng chủ động để chuyển tiếp yêu cầu tới “a.com” và báo cáo các yêu cầu khác cho bộ điều khiển Quy tắc bảo mật kiểm tra xem gói có được kích hoạt bởi các ứng dụng sử dụng hơn 50% CPU hoặc bộ nhớ hay không, nhằm phát hiện các trò chơi trực tuyến Ngoài ra, chúng tôi thiết kế Trình phân tích Dst để xem xét các yêu cầu hiện tại liên quan đến các liên kết bên ngoài và quyết định hành động cho từng yêu cầu Cuối cùng, chúng tôi sử dụng ứng dụng kiểm soát chính sách bảo mật để gửi yêu cầu tới trình phân tích Dst trong khung giờ từ 08:00 đến 18:00, đảm bảo rằng các yêu cầu đến “b.com” sẽ bị loại bỏ ngay cả khi có liên kết từ “a.com” Nhờ đó, mạng gốc điều khiển được kích hoạt một cách linh hoạt và hiệu quả.
Trong thử nghiệm của chúng tôi, chúng tôi đã truy cập "Google.com" và tìm kiếm "Facebook" trên Google Hình ảnh Kết quả hiển thị tất cả các hình ảnh liên quan, với các URL thuộc các liên kết bên ngoài Chúng tôi cũng đã cố gắng kết nối với
“www.facebook.com” lúc 17:55, nhưng bị chặn
Yêu cầu kết nối được cho phép vào lúc 18:05 Chúng tôi sử dụng Warcraft để kiểm tra lưu lượng truy cập và tìm kiếm một số lưu lượng truy cập cũng như phần mềm cập nhật của Warcraft để ghi lại thông tin.
Hình 15 Ca sử dụng 2: điều khiển mạng của phụ huynh.
KẾT LUẬN, HẠN CHẾ VÀ NHỮNG VẤN ĐỀ BÀN LUẬN
Giám sát lưu lượng trên NIC có thể triển khai trên chuyển đổi bên hoặc bên NIC, với ưu điểm là triển khai phía NIC dễ dàng hơn cho người dùng thông thường Trong khi đó, triển khai bên chuyển đổi phức tạp hơn, yêu cầu nhiều máy chủ và giá trị trường IN_PORT phải lớn hơn hai để phân biệt các máy chủ khác nhau Các ứng dụng điều khiển cũng cần được phân chia thành các nhóm để quản lý riêng biệt từng máy chủ Chúng tôi đánh giá triển khai phía NIC là giải pháp tối ưu hơn, mặc dù hạn chế về tài nguyên phần cứng có thể là một trở ngại Vì vậy, chúng tôi dự định thực hiện và tối ưu hóa SDF trên NIC trong bối cảnh tài nguyên phần cứng hạn chế trong tương lai.
Kiểm soát lưu lượng cấp ứng dụng mang lại sự linh hoạt cho việc quản lý lưu lượng kỹ thuật Mặc dù SDF có khả năng kiểm soát thông qua việc liên kết thông tin máy chủ lưu trữ với từng gói ở phía máy chủ, nhưng bộ giám sát lưu lượng không thể thực hiện liên kết này nếu không có bảng thông tin cổng - máy chủ.
Gói bỏ sót bảng (OFMatch: *, Action REPORT) có thể là một giải pháp đơn giản cho việc nhận diện máy chủ thông tin của từng gói Tuy nhiên, giải pháp này có thể gây ra nhiều chi phí cho mạng, bao gồm độ trễ cao và tiêu thụ băng thông đáng kể trong lưu lượng truy cập giám sát Mục tiêu của chúng tôi là duy trì cổng - bảng thông tin máy chủ lưu trữ ở phía giám sát lưu lượng, đồng thời tạo các tác vụ, CPU và các trường bộ nhớ trong tiêu đề Mặc dù việc duy trì bảng tiêu tốn một phần băng thông, nhưng chi phí vẫn thấp hơn so với giải pháp đơn giản Tuy nhiên, do giải pháp này sửa đổi giao thức OpenFlow bằng cách thêm các trường bổ sung và cổng - bảng thông tin máy chủ lưu trữ, nó có thể không khả thi trong các kịch bản triển khai bên chuyển đổi.
SDF thu thập thông tin từ giám sát trạng thái máy chủ để phát hiện các gói bất hợp pháp, nhưng phần mềm độc hại có thể lợi dụng các API của trình theo dõi để cung cấp thông tin giả Để đối phó với tình huống này, chúng tôi đề xuất đào tạo một mạng quản trị viên để phân loại hành vi bình thường của từng ứng dụng dựa trên lưu lượng truy cập Khi một ứng dụng khách kết nối với máy chủ DNS để lấy IP và thiết lập kết nối, SDF có thể phát hiện các gói TCP trước truy vấn DNS và báo cáo các sự kiện đáng ngờ cho quản trị mạng để phân tích thêm.
Để xác minh trạng thái máy chủ, cần thực hiện "điểm kiểm tra" Ví dụ, khi một số dịch vụ được kích hoạt, việc theo dõi CPU và tỷ lệ sử dụng bộ nhớ là rất quan trọng và phải nằm trong một phạm vi nhất định.
Các cuộc tấn công vào mặt phẳng điều khiển và dữ liệu trong SDN có thể gây ra nhiều rủi ro cho hệ thống Máy chủ kiểm toán có khả năng xác minh các mục nhập luồng và thông báo cho quản trị viên khi phát hiện sự mâu thuẫn Tuy nhiên, việc xác định loại tấn công vẫn phụ thuộc vào quản trị mạng Các cuộc tấn công như tấn công bão hòa mặt phẳng điều khiển dữ liệu và tấn công đầu độc cấu trúc liên kết mạng có thể ảnh hưởng nghiêm trọng đến SDF Người dùng có thể giảm thiểu nguy cơ bằng cách giới hạn lưu lượng mạng hoặc phân phối tấn công đến một thiết bị cụ thể Việc sử dụng cấu trúc liên kết cố định và xác minh tính hợp pháp của gói giao thức LLDP cũng là biện pháp cần thiết để ngăn chặn các cuộc tấn công đầu độc Hệ thống bảo mật SDN hiện tại cũng hỗ trợ người dùng trong việc bảo vệ mạng.