Khóa luận tốt nghiệp An toàn thông tin: Chiến lược giăng bẫy thích ứng phục vụ phòng thủ chủ động trong mạng khả lập trình

Tổng quan tình hình nghiên cứu: Khi việc áp dụng công nghệ Van vật kết nối Internet of Things -loT đangphát triển trong một số lĩnh vực, các cuộc tấn công an ninh mạng liên quan đếncác t

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH

TRUONG ĐẠI HỌC CONG NGHỆ THONG TIN

KHOA MANG MAY TINH VA TRUYEN THONG

VAN DOAN BAO KHOI

PHAM NGUYEN THAO NHI

KHOA LUAN TOT NGHIEP

CHIEN LƯỢC GIANG BAY THICH UNG PHỤC VU PHONG THU CHU DONG TRONG MANG KHA LAP

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MAY TÍNH VÀ TRUYEN THONG

VAN DOAN BẢO KHÔI - 18520948

PHAM NGUYEN THẢO NHI - 18520327

KHOA LUAN TOT NGHIEP

CHIEN LƯỢC GIANG BAY THICH UNG PHUC VU PHONG THU CHU DONG TRONG MANG KHA LAP

TRINH

A STRATEGY OF ADAPTIVE CYBER DECEPTION FORPROACTIVE DEFENSE IN SDN-ENABLED NETWORKS

KY SU NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN

TS PHAM VAN HAU

THS PHAN THE DUY

TP HO CHi MINH, 2022

THONG TIN HỘI DONG CHAM KHÓA LUẬN TOT NGHIỆP

Hội đồng chấm khóa luận tốt nghiệp, thành lập theo Quyết định số

ngày của Hiệu trưởng Trường Đại học Công nghệ Thông tin.

LỜI CẢM ƠN

Để hoàn thành khóa luận tốt nghiệp này, chúng em xin gửi lời cảm ơn đến Ban giám hiệu Trường Đại học Công nghệ Thông tin — Dai học Quốc Gia Thành Phố Hồ Chí Minh

vì đã tạo điều kiện học tập, nghiên cứu tốt nhất Cảm ơn quý thầy cô giảng dạy tại trường

nói chung và Khoa Mạng máy tính & Truyền thông nói riêng vì đã truyền đạt những kiến thức chuyên môn bổ ích, những kinh nghiệm thực tế quý báu mà chúng em đã học hỏi được trong suốt quá trình học tập, rèn luyện tại trường.

Chúng em xin gửi lời tri ân và biết ơn đến TS Pham Văn Hậu và ThS Phan ThếDuy đã trực tiếp quan tâm, hướng dẫn tận tình trong suốt quá trình thực hiện đề tài Xinđặc biệt gửi lời cảm ơn trân trọng nhất đến ThS Phan Thế Duy, là người đã định hướng,dẫn dắt và đồng hành rất sớm cùng chúng em không chỉ trong khoá luận này mà cả trong

toàn bộ những thành tựu chúng em đã đạt được.

Bên cạnh đó, với tình cảm sâu sắc và chân thành, chúng em cũng xin cảm ơn cácthầy cô, anh chị đang công tác tại Phòng thí nghiệm An toàn thông tin - InSecLab vì đãluôn tạo điều kiện về cơ sở vật chất với hệ thống máy chủ hiện đại, luôn sẵn sàng nhiệttình hỗ trợ chúng em về chuyên môn lẫn kinh nghiệm trong các hoạt động nghiên cứu và

thực hiện khoá luận.

Cuối cùng, do kiến thức chuyên môn còn hạn chế nên khóa luận chắc chắn khôngtránh khỏi những thiếu sót Rất mong nhận được nhận xét, ý kiến đóng góp, phê bình từquý thầy cô trong hội đồng để khóa luận được hoàn thiện hơn

Nhóm thực hiện.

ĐẠI HOC QUOC GIA TP HO CHÍ MINH CONG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC Độc lập — Tự do - Hạnh phúcCÔNG NGHỆ THÔNG TIN

TP HCM, ngày 11 thang 03 năm 2022

ĐÈ CƯƠNG CHI TIẾT

Sinh viên thực hiện:

Văn Đoàn Bảo Khôi - 18520948Phạm Nguyễn Thảo Nhi - 18520327

Nội dung đề tài:

1 Tổng quan tình hình nghiên cứu:

Khi việc áp dụng công nghệ Van vật kết nối (Internet of Things -loT) đangphát triển trong một số lĩnh vực, các cuộc tấn công an ninh mạng liên quan đếncác thiết bị người đùng cuối chỉ phí thấp đang gia tăng tương ứng, làm suy yếu

việc trién khai dự kiến của các giải pháp IoT trong một loạt các tình huống Theothống kê quý 3 của Kaspersky, có khoảng 76.55% các cuộc tấn công vào thiết bịIoT thông qua giao thức telnet, trong đó cuộc tấn công bằng mã độcBackdoor.Linux.Mirai.b chiếm tận 39.48% [1] Dé giải quyết thách thức này, cáccông nghệ ảo hóa chức năng mạng (NFV) và Mạng do phần mềm xác định (SDN)

có thể mang tới các công cụ hỗ trợ bảo mật mới, từ đó cung cấp cho các hệ thống

và mạng IoT với mức độ mở rộng cao hon và tính linh hoạt cần thiết để đối phóvới các van dé bảo mật của các mô hình mang IoT có kích thước lớn, việc áp dụng

mô hình SDN có thé được thực hiện ở các cấp độ khác nhau, chẳng hạn như trung tâm dữ liệu (data center), lõi và mạng truy cập, các cảm biến IoT, như được minh họa trong Hình 1 [2] SDN cung cấp cho chúng ta một bước đột phá tiềm năng

trong việc quản lý hiệu quả các môi trường mạng IoT khác nhau đo tính linh hoạt

và khả năng lập trình cực cao của nó Đặt trong ngữ cảnh này, honeynet - một

mạng lưới các honeypot được liên kết với nhau (honeypot là một dạng bẫy điện

tử, được xây dựng nhằm mục đích dé lộ các tài nguyên dé bị tan công cho những

kẻ tấn công đề khuyến khích việc thăm dò và khai thác.) có thể được tăng cườngvới sự hỗ trợ SDN và NFV, được áp dụng vào các kịch bản IoT, do đó tăng cườngbảo mật tổng thể Khi đó, SDN sẽ hỗ trợ quản lý, triển khai các mạng IoT ảo chứa các dịch vụ ảo hóa/giả lập, để những kẻ tấn công có thé bị phân tâm khỏi mục

tiêu thực.

Hình 1: Mô hình mang khả lập trình cho các hệ thống Van vật kết nói

Các tác gia [3] triển khai các honeypots nỗi tiếng như Dionaea hoặc Kippo

dé phát hiện các cuộc tan công mang botnet IoT (ví dụ: Mirai) bằng cách phân tíchnhật ký hoạt động Wang và cộng sự [4] đề xuất một honeypot IoT cụ thể được gọi

là ThingPot, triển khai XMPP / MQTT làm mô-đun honeypot tương tác cao và

API REST làm mô-đun honeypot tương tác thấp Ngoài ra, Dowling và cộng sự

[5] cũng cung cấp một honeypot tương tác thấp, dựa trên việc củng cố các kết qua

đã thu thập được Bên cạnh cấu hình, cần làm nổi bật khả năng tiếp cận củahoneypot hoặc honeynet Với mục đích này, ngoài các phương pháp tiếp cận tĩnhnhư HIoTPOT [6] sử dụng proxy đề xác định xem người dùng có được phép truycập hay không vào môi trường IoT thực dựa trên địa chỉ nguồn, còn có phươngpháp mà Fan và các cộng sự [7] và Lin [8] đề xuất là định tuyến lại lưu lượng từcác nút đáng ngờ một cách tự động bằng cách sử dụng các kỹ thuật SDN Những

kỹ thuật này kết hợp với NFV, cho phép chúng ta cung cấp các phản ứng linh hoạt

có khả năng tận dung ưu điểm của việc triển khai và tái cấu hình dựa trên nguyêntắc khả lập trình

Solution Int level | Target Policy-b | SDN-b | NFV-b [ Dynamic aeFan et al [21] | High/Low foneynet Model-b | YES NO Cont+Dep s

Honeylo4 [23] Low Honeypot NO NO NO NO YES

Banerjee [24] High/Low | Honeynet NO NO NO NO YES

ThingPot [25] High Honeypot NO NO NO NO YES

Naik et al [26] Low Honeypot NO NO NO Conf, YES

Dowling et al [27] Low Honeypot NO NO NO Conf YES

HIoTPOT [28] Low Honeypot NO NO NO NO YES

Lin etal [30 Low Honeypot NO YES NO NO YES

Proposed model High foneynet YES YES YES ‘ont +Dep YES

Hình 2: Bảng so sánh IoT Honeynet SOTA [9]

Qua hình 2 ta có thé thay được sự so sánh giữa các phương pháp được đề xuat

Các giải pháp này được so sánh dựa trên mức độ tương tác, mục tiêu (honeypot

hoặc honeynet) Ngoài ra, còn xem xét đến vấn đề liệu giải pháp được đề cập cóliên quan đến IoT hay không, có tiếp cận dựa trên chính sách không Tiếp đến các

phương pháp sẽ được đánh giá dựa trên cách hoạt động của nó như hoạt động dựa

trên SND hay NFV, cung cấp cau hình động và cuối cùng là xác định xem phươngpháp trên đã được trién khai và thu dược kết quả hay chưa

Tác giả Alejandro Molina Zarca và các cộng sự [9] đề xuất framework bảomật nhằm mục đích khai thác các tính năng của các trình hỗ trợ bảo mật dựa trênSDN / NFV dé dam bao kha nang tu bao vé, tu phuc hồi va tự sửa chữa trong các

hệ thống IoT, bồ sung cho các phương pháp bảo mật thông thường Với mục đích

này, các chính sách bảo mật được xác định theo những mức độ trừu tượng khác

nhau, để đảm bảo tính linh hoạt cao hơn và quản lý kiểm soát an ninh trên cácmạng không đồng nhất

User Plane te Policy Editor

=

(1) Defi Security Pokies

Security Orchestration Plane - ` (3-1) Choose proper ios:

1 ESE momperom (6)Courtermessure, enforce

(5) Attack confiamed 10 DEF cadena}

Monitoring Security Potcy Refinementtiết > Reaction Module Xu (9.1) Sect lot bet imagevi dã

Security VNFs Manager

|

| (13) Recizea trac towards @)Potcy Enforcement

Security Enforcement Plane MoTHoneyNet (deploy 1D as VNF)

a Gonp, MOTT, TW "U45 Control and Management Domain

Cr) vothageyh ‘Strom yet

Man:

W|vessgoeset— Pio Restart Rash er motes @ “ (0 Deploywos

4 ‹Ẳ®Ẳ 2 <4 —> vie Manager

oe nano, _ Ua Osby vet Hoey

ÂẲ > Virtual oT HoneyNet, _ (11) Deploy a virtwat

User plane, Security Orchestration plane, Security Enforcement plane [9]

o User plane: cung cấp các giao diện và công cụ cho phép quản trị viên

xác định và định nghĩa các chính sách bảo mật mong muốn.

o Security Orchestration plane: thực thi các cơ chế bảo mật dựa trên chính

sách và cung cấp cấu hình lại thời gian chạy và sự thích ứng của cáctrình kích hoạt bảo mật, do đó cung cấp cho khung hoạt động thông

minh và tự động.

o Security Enforcement plane: Miền Kiểm soát và Quản lý (The

Control and Management domain) giám sát việc sử dụng tài nguyên và

các hoạt động thời gian chạy của các trình hỗ trợ bảo mật được triểnkhai trên các mạng dựa trên phần mềm và IoT Một tập hợp các bộ điều

khiển SDN phân tán chịu trách nhiệm giao tiếp với các phan tử mạng

hỗ trợ SDN để quản lý kết nối trong cơ sở hạ tầng vật lý và ảo bên dưới.Các bộ điều khiển IoT khác nhau có thể được sử dụng để quản lý các thiết bị loT cũng như các mạng tiêu thụ điện năng thấp (LoWPAN) Các

bộ điều khiển loT này thường được triển khai ở biên mạng để thực thi các chức năng bảo mật trong các miền IoT không đồng nhất.

o Miền Cơ sở hạ tầng và Ảo hóa (The Infrastructure and Virtualization

domain ) bao gồm tat cả các máy vật ly có khả năng cung cấp kha nangtính toán, lưu trữ và mạng cũng như các công nghệ ảo hóa để cung cấpmột lớp Cơ sở hạ tầng như một dịch vụ (IaaS).

o Tài khoản miền VNF dành cho các VNF được triển khai trên cơ sở hạ

tầng ảo hóa đề thực thi bảo mật trong các dịch vụ mạng.

o Miền IoT (IoT domain) bao gồm các thiết bị loT được quản lý

Trong phạm vi đề tài nghiên cứu này, nhóm em sẽ nghiên cứu và triển khailớp Security Enforcement dựa trên mô hình tiếp cận của tác giả Alejandro Molina Zarca [9] Chúng em sẽ triển khai một mạng mô phỏng các cảm biến IoT thực mà

kẻ tấn công sẽ được chuyền hướng tới đề gây phân tâm và từ đó điều tra, phân tích cuộc tấn công, sau đó đưa ra đánh giá và biện pháp đề chống lại các cuộc tấn công

tương tự sau này.

Và hơn hết, nhóm chúng em còn triển khai thêm thuật toán machine learning (ML) vào mô hình dé tìm ra các vị trí chiến lược tối ưu cho nền tảng điều phối để phân phối các bẫy và điều khiển lưu lượng của kẻ tấn công.

Ngoài ra, nghiên cứu sẽ bổ sung thêm hệ thống IDPS Snort và ELK Stack để phát hiện các cuộc tấn công vào hệ thống như Network Scanning, DdoS, và thực

hiện thu thập các log có được trong các honeypot và các log ghi nhận được từ

Snort Việc sử dụng ELK Stack khiến cho việc quản lý tập trung các log trở nên

dé dang hơn, ngoài ra cũng khiến cho người sử dung dé dang trong việc tìm kiếm

và đọc thông tin từ các log, từ đó có thé nắm rõ được các hành vi của kẻ tan công.

Tình hình nghiên cứu, phát triển trong và ngoài nước

Các vấn đề và thách thức về bảo mật IoT [10] [11] đang phát triển nhanh chóng, chủ yếu là do bản chất nội tại của mô hình IoT về các tính năng hạn chế (sức mạnh, bộ nhớ và tính toán) cũng như số lượng lớn các mục tiêu không đồng nhất về mặt kết nối Theo nghĩa này, M Ahmad và các cộng sự [12] đã tổng hợp các van dé và thách thức chính, ở các cấp độ khác nhau, cần giải quyết, chang hannhư tính bảo mật, tính không đồng nhất, tính toàn vẹn, xác thực hoặc tính khảdụng Trong [13] các tác giả kết hợp SDN và NFV bằng cách triển khai và cấu hình động co sở hạ tang dé cung cấp xác thực, ủy quyền và bảo vệ kênh theo yêu cầu trong môi trường IoT và trong [14] các tác giả dé cập đến SDN / NFV dé lọc mang trong IoT Caraguay và các cộng sự [15] tận dung lợi thế của bản chất động của SDN / NFV dé đảm bảo chất lượng dịch vụ va [16] theo cùng một cách tiếp cận dé cung cấp khả năng mở rộng theo chiều ngang cho các môi trường IoT có kích thước lớn Bằng cách áp dụng, kết hợp và tái cấu hình lại một cách tự động dựa trên SDN / NFV, chúng ta có thể triển khai và tận dụng các chức năng bảomật liên quan khác như honeynet cho môi trường IoT Các nỗ lực nghiên cứu hiệntại đối với mạng lưới kết nói IoT như [17] cho thấy mức độ liên quan của các kỹ thuật mạng lưới honeynet và honeypots theo các thé hệ Chúng nêu bật những ưu điểm của các cách tiếp cận này để đối phó với việc giảm thiểu tấn công DoS hoặc phát hiện các lỗ hồng không xác định Để dé dàng triển khai honeynet, Fan và cộng sự [18] [19] trình bày một mô hình cấp cao đề đại diện cho honeynet và họ xác nhận nó thông qua một khuôn khổ dé chuyển đổi mô hình trong các cấu hình

cụ thể và áp dụng chúng bằng cách triển khai các công cụ như honeypots Dionea

và Honeyd trong các máy ảo dựa trên LXC và KVM Guerra và cộng sự [20] giới

thiệu phương pháp triển khai đa mục đích của honeypot loT tương tác thấp (Honeylo4) dé thu bắt các cuộc tấn công trên bốn thiết bị IoT khác nhau; máy ảnh,máy in, bảng điều khiến trò chơi điện tử và máy tính tiền

2 Tính khoa học và tính mới của đề tài

Theo nghiên cứu đã trình bày ở phần tổng quan và cùng với tình hình nghiên cứu trong nước cũng như trên thế giới cho thấy chưa có nhiều công trình liên quanđến phát hiện xâm nhập trong mạng SDN - IoT sử dụng kỹ thuật machine learning.

Do đó, đề tài nghiên cứu này sẽ giúp xây dựng một giải pháp phát hiện các cuộc tấn công trong mang SDN - IoT hiệu quả hơn phương pháp truyền thống nhờ vào

sự phát triển mạnh mẽ của machine learning ngày nay

Nghiên cứu này xoay quanh van dé ứng dụng phương pháp học sâu tăng cường

để tìm ra các vị trí để đặt bẫy và các loại bẫy phù hợp nhằm phát hiện các cuộc tấn công mạng và từ đó đưa ra giải pháp bảo mật một cách tốt nhất có thể.

Đề tài tập trung vào xây dựng một mô hình triển khai các bẫy một cách tự động, thông minh giúp hệ thống giảm thiêu rủi ro từ các cuộc tan công mạng Tiềm năng và tính nổi trội khi ứng dụng phương pháp học sâu tăng cường là phát hiện được cả tấn công zero-day Nghiên cứu cũng góp phần hỗ trợ cho mạng SDN trong

tương lai khi nó được ứng dụng rộng rãi.

3 Mục tiêu, đối tượng và phạm vi:

Mục tiêu: Thiết lập nền tảng giăng bẫy phục vụ phòng thủ chủ động dựa trên nguyên

lý khả lập trình, linh hoạt điều khiển của SDN cho ngữ cảnh mạng có kích thước lớn như IoT Xây dựng hệ thống bẫy honeynet trong mạng SDN sử dụng containernet Xây dựng mô hình mang honeymix [21] kết hợp giữa honeynet và

mạng kha lập trình — SDN.

Đối tượng nghiên cứu:

- Hệ thống mạng SDN và Maxinet.

- Hệ thống bẫy honeypot và các log thu được từ các honeypot

- _ Thuật toán học máy (Machine Learning)

Phạm vi nghiên cứu:

- Hệ thống mạng SDN và cách ứng dụng của nó trong việc hỗ trợ điều phối,

quản lí các honeypot.

- Ung dụng của thuật toán học sâu tăng cường trong việc triển khai tự động các

bay trong mạng SDN-IoT

4 Nội dung, phương pháp dự định nghiên cứu

Nội dung, phương pháp nghiên cứu chính:

a Nội dung 1: Tìm hiểu kiến trúc, quy tắc hoạt động của mạng khả lập trình (SDN) Tìm hiểu về controller ONOS, cách thiết lập một mạng khả lập trình + Muc tiêu: Nắm được kiến trúc, quy tắc hoạt động của mang SDN Triển khai

hệ thống mạng SDN với Containernet, controller ONOS

«Phương pháp: Nghiên cứu tài liệu hướng dẫn và thực hiện triển khai mang

SDN.

b Nội dung 2: Tìm hiểu tổng quan về mạng MaxiNet như cách thức hoạt động, cách cài đặt và triển khai mô hình kết hợp giữa mạng MaxiNet gồm Server,

'Worker và controller ONOS.

« Mục tiêu: Hiểu được cách cài đặt và hoạt động của mạng MaxiNet Kết hợp được mạng MaxiNet và controller ONOS đề triển khai mô hình Sử dụng ngôn ngữ python để xây dựng mô hình bao gồm | switch chính sẽ được kết nối tới 3 switch khác và trên mỗi switch nhỏ sẽ được triên khai các host Các host bao gồm các chức năng như honeypot, thu thập log, victim,

« Phương pháp:

—_ Tìm hiểu và tham khảo các cách cai đặt của MaxiNet Thử nghiệm các

version ONOS khác nhau đê tìm phiên bản phù hợp với mạng MaxiNet.

- Thực hiện đoạn script sample đê test kết nối của server, worker trong

mạng MaxiNet và ONOS.

Dựa vào đoạn code python sẵn có của sample thực hiện chỉnh sửa để

«— Mục tiêu: Nắm vững kiến thức về Honeynet, tổng quan về kiến trúc và các đặc

điểm Hiểu về các thành phần, cách hoạt động và các đặc điểm của các loại

honeypot phổ biến Thực hiện cấu hình chuyền hướng trong iptable để các luồng tấn công của attacker được chuyển đến cho các honeypot xử lý và thu

thập thông tin Hiểu được hệ thống, cách hoạt động và cách xây dựng, sử dụng

của mô hình ELK Stack trong việc thu thập, quan ly các log trong mô hình

điển hình như honeypot, Hiéu được cach hoạt động, cách xây dung Snort,

thực hiện viết các rule phát hiện các cuộc tấn công.

« Phuong pháp:

Tham khảo co sở lý thuyết, thực nghiệm của nghiên cứu [21], các video

mô tả liên quan đến honeynet, honeypot và phương pháp xây dựng các

mô hình honeynet.

Tham khảo về cách viết các rule trong snort.

Tìm hiểu về cách set up ELK Stack trong các bài báo, các bài hướng

dan.

d Nội dung 4: Thực nghiệm và đánh giá kết quả.

« Muc tiệu: Thu thập được thông tin của các cuộc tấn công từ các honeypot, hệ

thống IDPS và ELK Stack Đánh giá hiệu năng, độ chính xác và độ trễ dự đoán

của mô hình so với thời gian thực

Tìm hiêu vê machine , v

Có kiên thức vê machine

Tháng 6/2022 ,

két qua dat duge

Tài liệu tham khảo

Có được kết quả thực

Thực nghiệm và đánh giá nghiệm và đưa ra được báo

cáo tổng quan về quá trìnhthực hiện đề tài

[1] AMR, November 26, 2021 [Online] Available:

https://securelist.com/it-threat-evolution-in-q3-2021-pc-statistics/104982/.

[2] I Farris, T Taleb, Y Khettab and J Song, "A Survey on Emerging SDN and

NFV Security Mechanisms for loT Systems.," JEEE Communications Surveys

& Tutorials, vol 27, pp 812-837, 01 August 2018.

[3] M Banerjee and S Samantaray, "Network traffic analysis based iot botnet

detection using honeynet data applying classification techniques,"

International Journal of Computer Science and Information Security

(LJCSIS), vol 17, no 8, 2019.

[4] M Wang, J Santillan and a F Kuipers, "Thingpot: an interactive

internetof-things honeypot," 2018.

[5] S Dowling, M Schukat and a E Barrett, "Improving adaptive honeypot

functionality with efficient reinforcement learning parameters for automated

U D Gandhi, P M Kumar, R Varatharajan, G Manogaran, R Sundarasekar

and a S Kadu, "Hiotpot: surveillance on iot devices against recent threats,," Wireless personal communications, vol 103, no 2, p 1179-1194, 2018.

W Fan and D Fernandez, "A novel sdn based stealthy tcp connection ˆ

handover mechanism for hybrid honeypot systems,," in 2017 IEEE

Conference on Network Softwarization (NetSoft)., Bologna, Italy, 2017.

H Lin, “Sdn-based in-network honeypot: Preemptively disrupt and mislead attacks in iot networks,” 2019.

A M Zarca, J B Bernabe, A Skarmeta and Jose M Alcaraz Calero, "Virtual IoT HoneyNets to Mitigate Cyberattacks in SDN/NFV-Enabled IoT

Networks," in JEEE Journal on Selected Areas in Communications, 2020.

[10] J B Bernabe and A Skarmeta, "Introducing the Challenges in Cybersecurity

{ul

[12

[13

and Privacy - The European Research Landscape," in Challenges in

Cybersecurity and Privacy - the European Research Landscape, River

Publishers Series in Security and Digital Forensics , 2019, p 1-21.

S Ziegle, C C E Kim, A Skarmeta, J B Bernabe, R Trapero and and S.

Bianchi, "Privacy and Security Threats on the Internet of Things," in Jnternet

of Things Security and Data Protection, Springer, 2019, p 9-43.

M Ahmad, T Younis, M A Habib, R Ashraf and S H Ahmed, "A Review

of Current Security Issues in Internet of Things," in Recent Trends and

Advances in Wireless and IoT-enabled Networks , 2019, pp 11-23.

A.M Zarca, D Garcia-Carrillo, J B Bernabe, J Ortiz, R Marin-Perez and

a A Skarmeta, "Enabling virtual aaa management in sdn-based iot

networks," in Selected Papers from the 2nd Global loT Summit: IoT

Technologies and Applications for the Benefit of Society), 2019.

[14] A M Zarca, J B Bernabe, I Farris, Y Khettab, T Taleb and a A Skarmeta,

"Enhancing iot security through network softwarization and virtual security appliances,," International Journal of Network Management, vol 28, no 5,

2018.

[15] A L V Caraguay, P L G ’ alez, R T Tandazo and and L I B L ˆ opez,

"SDN/NFV Architecture for loT Networks," in Proceedings of the 14th

International Conference on Web Information Systems and Technologies,

WEBIST 2018, Seville, Spain, 2018.

[16] S Do, L.-V Le, B.-S P Lin and L.-P Tung, "SDN/NFV-Based Network

Infrastructure for Enhancing IoT Gateways," in 2019 International

Conference on Internet of Things (iThings) and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social

Computing (CPSCom) and IEEE Smart Data (SmartData), Atlanta, GA, USA, 2019.

[17] A D Oza, G N Kumar and M Khorajiya, "Survey of Snaring Cyber Attacks

on IoT Devices with Honeypots and Honeynets," in 20/8 3rd International

Conference for Convergence in Technology (12CT), Pune, India, 2018.

[18] W Fan, D Fernandez and V A Villagra, "Technology independent honeynet

description language," in 2015 3rd International Conference on Model-Driven Engineering and Software Development (MODELSWARD), Angers, France,

2015.

[19] W Fan, D Fernandez and a Z Du, "Versatile Virtual Honeynet Management

Framework," JET Information Security 11(1751-8709), vol 11, no 1, p 38— 45.

[20] A Guerra Manzanares, "Honeylo4: the construction of a virtual,

low-interaction loT Honeypot," 1 June 2017.

[21] W Han, Z Zhao, A Doupé and Gail-Joon Ahn, "HoneyMix: Toward

SDN-based Intelligent Honeynet," in Proceedings of the 2016 ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization., 2016.

Xác nhận cia CBHD TP HCM, ngay 11 thang 3 nam 2022 (Ký tên và ghi rõ họ tên) Sinh viên

(Ký tên và ghi rõ họ tên)

Phạm Văn Hậu Phan Thế Duy | Văn Đoàn Bảo Khôi Phạm Nguyễn Thảo Nhi

16 19

19

21 24

24

26

2.5.1 Tổng quan-

HoneyPot| -2.5.2 HoneyNet| -cccs 25.3 HoneyMij|

[2.6 Fuchikoma — Threat Hunting Šystem]

(26.1 Threat Hunting System|

ee 2.6.2.1 Euchikoma v0]Ì

2.6.2.2 Euchikoma v]]

2.6.2.3 Fuchikoma

v2] -2.6.2.4 Fuchikoma v3]

2.7 Hệ thống ELKStack|

3_ PHƯƠNG PHÁP THỰC HIỆN| E.11 Chiến lược giăng bay thích ứng) (8.1.2 Tổng quan hệ thống|

3.13 HệthốngIDPS]

{3.14 Hệ thống SDN - Honeynet}

B15 Hệ thống Threat Hunting và giám sát nhật ký tập trung]

3.2 Luổng hoạt động|

4 HIEN THỰC VÀ THỰC NGHIỆM 4.1 Hiện thực mô hình|

4.2 Kịch bản thực nghiệm, kết qua]

(4.2.1 Hệ thống HoneynetÌ

4.2.2 Fuchikoma - Threat

Hunting| ¬ (4.3.1 Hệ thống HoneynetÌ

32 Fuchikoma- Threat Hunting]

5 KẾT LUẬN VA HƯỚNG PHAT TRIỂN 5.1 Kếtluận|

xxi

45 45

45

46 49

49

51

52

54 54

62 62 65 69 69

70

[A Phụ lục

AT SĐNH o

|A.1.1 Image

builtDocker| -|A.1.2 File config

Maxinet| -|A.1.3 Topology SDN polosy - Code

|A.2_ Machine Learning - Fuchikomal

|A.21 Trộn datasel A.2.2 Code tính epsilon| - A23 PCA/DBScan

xxii

Danh sách hình ve

6 của Maxinetl

2.7 Triển khai NIDS ở chế độ Promicious Mode|

2.8 Triển khai NIDS ở chế độ Inline Model 2.9 Mô hình kiến trúc Snort|

[2.10 Mô inh mạng Honeynet Gen IH| 2.11 Kiến trúc HoneyMix| - 2.12 Các bước thực hiện Threat Huntng|

Ikoma Vv.2] ẶẶẶSẶ So.

[2.17 Một kết quả xây dựng đỏ thị mẫu cho một điểm cuối|

2.18 Mô hình ELK Stackl

B1 Mô inh kiến trúc tổng

quan| -3.2 Ano maly-based IDS]

4.2 _ Mô hình triển khai Maxinetl 55

4.3 Môhình chuyển hướng luồng tấn công| - 58

4.4 Mô hình triển khai MTD| 59 4.5 Mô hình triển khai Fuchikoma - Threat Hunting| 59

[4.6 CPU của máy tăng mạnh khi bị tan công] Se eee 62

4.7 CPU cua máy giảm mạnh sau khi Snort ngăn chan thành cong] 63

4.9 Bản phóng to của đồ thị hình|48| 66

[4.10 Phan cum bang thuật toán DBScan với 145 thuộc tính| tee 674.11 Phân cum bang thuật toán DBScan với 264 thuộc tinh} 69

xxiv

Danh sách bảng

[2.1 So sánh kiến trúc mạng truyền thống và kiến trúc mang SDN

[4.2 Thanh phan trong từng vùng mạng và cai đặt|

4.3 Câu lệnh chuyển

hướng| -[4.4 Số liệu thống kê thời gian chuyển hướng và phản hôi tan công SSH| [4.5 _S6 liệu thống kê thời gian chuyển hướng và phản hồi tan công HTTP|

[48 Két qua sau khi chạy thuật toán DBScan với 264 thuộc tính| tee

.9 Thời gian chạy thuật toán DBScan với 264 thuộc tinh]

[4.10 Bảng chỉ số đánh giá với 145 thuộc tính|

¿1 Bảng chỉ số đánh giá với 264 thuộc tính|

4.12 Bảng chỉ số đánh giá của

LOR| -[4.13 Bảng chỉ số đánh giá của IF|

XXV

Danh mục từ viết tắt

IDS

IPS ML

ML IDS SDN

M2M DDoS

IoT

API IDPS

NFV NIDS

HIDS RPC MTD FDE

CSE soc

AU PCA

Internet of Thing

Application Programming Interface Intrusion Detection and Prevention system

Network Function Virtualization

Network Intrusion Detection system

Host Intrusion Detection system

Remote Procedure Calls Moving Target Defense

Forwarding Decision Engine

Connection Selection Engine

Security Operation Center Analysis Units

Principal Component Analysis

Open Network Operating System

xxvi

Danh mục từ tạm dịch

Mô hình máy họcSăn lùng mối đe dọaHoc máy

Mạng điều khiển bằng phần mềm

Máy chủ Máy công nhân

Thay đổi mục tiêu phòng thủ

xxvii

Machine learning pipeline Threat Hunting

Machine learning Software Defined Networking

Server Worker

Moving Target Defense

TÓM TẮT KHOÁ LUẬN

Ngày nay, công nghệ thông tin đang phát triển với tốc độ “vũ bão”, bên cạnhnhững mặt tích cực và lợi ích to lớn mà xã hội thông tin mang lại cho nhân loại

thì vẫn còn tổn tại các mặt tiêu cực như: các nguy cơ tần công mạng nhằm phá

hoại hệ thống, nguy cơ bị đánh cắp thông tin “nhạy cảm” của các cá nhân, tổ

chức, doanh nghiệp, các cơ quan Nhà nước, Để ngăn chặn lại những nguy

cơ này, đòi hỏi các cơ quan tổ chức doanh nghiệp phải tổ chức xây dựng các hệthống an minh mạng nhằm đảm bảo an toàn cho hệ thống mạng

Trong vô số các giải pháp nhằm bảo vệ an toàn cho hệ thống mạng, Honeypot vàHoneynet được coi là một trong những cam bay hết sức hiệu quả Đối với các tintặc thì hệ thống này là những “cạm bẫy đáng sợ” Ngoài ra, chúng tôi còn kết hợpvới hệ thống ELK Stack để xử lý thông tin từ honeypot gửi về Sau khi thông tinđược xử lý thành một tập dataset, hệ thống săn lùng mối đe doa (Threat Hunting)

— Fuchikoma sẽ phân tích bộ dữ liệu đó để tìm ra các hành vi bat thường IDPS

sẽ dựa vào các hành động khác lạ đó để cập nhật là những rule của mình sao cho

phù hợp nhất Và cuối cùng hệ thống bay sẽ được cập nhật lại sao cho phù hợpvới kiểu tấn công

Chương 1

TỔNG QUAN ĐỀ TÀI

11 Lý do chọn để tài

Ngày nay, Internet đã trở thành một phan mật thiết, sống còn đối với hoạt động

thương mại điện tử và đời sống của mỗi cá nhân Bên cạnh việc được tận hưởng

rất nhiều lợi ích do Internet đem lại, người dùng luôn phải đối mặt với nhữngmối đe dọa liên quan đến an toàn thông tin như các cuộc tắn công mạng nhằmđánh cắp dir liệu và phá hoại hoạt động bình thường của doanh nghiệp

Các loại tấn công mạng đa dạng, chẳng hạn như tấn công từ chối dịch vụ (DDoS)

phan tán, khai thác các bot IoT bị nhiễm (vi dụ: Mirai), đang phát triển mạnh

mẽ Bên cạnh đó các vùng mạng có kích thước lớn như datacenter, điện toán đámmây, cùng với sự xuất hiện của các thiết bị thông minh, các thiết bị điện tử, IoTđang ngày càng phổ biến rộng rãi với các hạn chế phần cứng về sức mạnh tínhtoán, bộ nhớ va pin, cũng tạo ra nhiều rủi ro về quản lý, điều phối an nỉnh, khiến cho các khía cạnh bảo mật và quyên riêng tư thậm chí còn khó giải quyếthơn Vì thế trong những mạng có kích thước mạng lớn như vậy, SDN được xem

là mô hình quản lý hiệu quả trong triển khai, cầu hình linh hoạt các chính sách

giám sát và phản ứng với các sự kiện bảo mật Bằng cách tận dụng bộ điều khiểnSDN, quản trị viên có thể điều hướng các gói tin dựa trên các yêu cầu, sửa đổi

các luồng lưu lượng và phát hiện các liên kết bị tắc nghẽn trong mang cũng như

những trang thái bat thường khác của mạng

Trong số các biện pháp bảo vệ an toàn hệ thống mạng, honeynet - một mạng lướicác honeypot, có thể được sử dụng để phát hiện và giảm thiểu các mối đe đọa đó

0l Khác với các hệ thống an ninh mạng khác được thiết kế để phát hiện và ngăn

chan sự tấn công của tin tặc vào hệ thống mạng một cách thụ động, ngược lại, các

Chương 1 TỔNG QUAN ĐỀ TÀI

kỹ thuật lừa đối mạng (đặc biệt là Honeynet) được thiết kế để chủ động lôi kéo

sự tan công của tin tặc vào hệ thống giả được bố trí song song với hệ thống thậtnhằm mục đích:

* Thu thập kỹ thuật - phương pháp tan công

® Phát hiện ra các lỗ hổng bảo mật trên các công nghệ đã triển khai - cài đặt

trên hệ thống thật

s Thu thập thông tin - dấu vết của attacker

Từ những lý do trên, chúng tôi chọn dé tài “Chiến lược giăng bay thích ứng phục

vụ phòng thủ chủ động trong mạng khả lập trình” làm dé tài nghiên cứu cho

khóa luận.

1.2 Mục tiêu nghiên cứu

- Thiết lập nền tang giăng bay phục vụ phòng thủ chủ động dựa trên nguyên lý

khả lập trình, linh hoạt điều khiển của SDN cho ngữ cảnh mạng có kích thướclớn như IoI.

- Xây dựng hệ thống bẫy honeynet trong mạng SDN sử dụng containernet Xây

dựng mô hình mạng honeymix kết hợp giữa honeynet và mạng khả lập trình

—SDN.

-Trién khai giải pháp threat-hunting kết hợp với hệ thống học máy Fuchikoma.

13 Phạm vi nghiên cứu

- Triển khai một hệ thống bẫy Honeynet bao gồm các loại honeypot khác nhau

- Hệ thống mạng SDN và cách ứng dụng của nó trong việc hỗ trợ điều phối, quản

lí các honeypot.

- Xây dựng hệ thống IDPS giúp phát hiện các cuộc tan công

- Triển khai hệ thống ELK Stack nhằm thu thập log để cung cấp dataset choFuchikoma

- Ứng dụng hệ thống học máy Fuchikoma trong việc phát hiện các bat thường

trong mạng SDN, tăng cường khả năng phát hiện của IDPS.

3

Chương 1 TỔNG QUAN ĐỀ TÀI

14 Đối tượng nghiên cứu

- Hệ thống mạng SDN và Maxinet

- Hệ thống bẫy honeypot và các log thu được từ các honeypot

- Thuật toán săn lùng mối đe doa (Threat hunting) - Fuchikoma

- Đưa ra phương pháp xây dựng và triển khai hệ thống.

- Thực nghiệm và đánh giá kết quả

1.6 Ý nghĩa khoa hoc và thực tiễn của dé tài

1.61 Ý nghĩa khoa học

Theo nghiên cứu đã trình bày ở phần tổng quan và cùng với tình hình nghiên

cứu trong nước cũng như trên thế giới cho thấy chưa có nhiều công trình liênquan đến phát hiện xâm nhập trong mạng SDN sử dụng kỹ thuật threat hunting

- Fuchikoma Do đó, dé tài nghiên cứu này sẽ giúp xây dựng một giải pháp phát

hiện các cuộc tắn công trong mạng SDN hiệu quả hơn phương pháp truyền thống

nhờ vào sự phát triển mạnh mẽ của threat hunting ngày nay.

Nghiên cứu này xoay quanh van dé ứng dụng phương pháp học săn lùng mối dedoa để tìm ra các vị trí để đặt bay và các loại bẫy phù hợp nhằm phát hiện cáccuộc tan công mạng và từ đó đưa ra giải pháp bảo mật một cách tốt nhất có thể

Đề tài tập trung vào xây dựng một mô hình triển khai các bẫy một cách tự động,thông minh giúp hệ thống giảm thiểu rủi ro từ các cuộc tấn công mạng Tiềmnăng và tính nổi trội khi ứng dụng phương pháp săn lùng mối đe dọa là phát

Chương 1 TỔNG QUAN ĐỀ TÀI

hiện được cả tấn công zero-day Nghiên cứu cũng góp phần hỗ trợ cho mạng

SDN trong tương lai khi nó được ứng dụng rộng rãi

1.6.2 Ý nghĩa thực tiễn

Mặc dù giải pháp của nghiên cứu chỉ mới ở giai đoạn thử nghiệm trên môi trường

giả lập nhưng ứng dụng của nghiên cứu trong thực tiễn là rất tiềm năng

Trong xu thế chuyển đổi số, nghiên cứu có thể được triển khai thành một hệ thốngbay thích ứng khi IDPS có thé cập nhật rule dựa trên các hành vi của kẻ tan công

và từ đó các bay sẽ được cập nhật, điều chỉnh cho phù hợp với các hành động của

kẻ tan công Từ những tan công thu thập được từ bay, chúng ta có thể cập nhật

lạ hệ thống bảo mật đối với những vùng mạng vận hành thật sự để ngăn chặn

những điều không mong muốn xảy ra.

Hệ thống khi được triển khai không chỉ mang lại những lợi ích về mặt xã hội, màcòn đảm bảo cung cấp một môi trường phát triển an toàn, mang lại hiệu quả về

mặt kinh tế Nhờ áp dụng kết hợp những công nghệ thiết thực và hiệu quả là kiến

trúc mạng SDN, giải pháp được hiện thực với chỉ phí đầu tư thấp, tài nguyên tiêutốn ít cùng với khả năng lập trình cầu hình cao, dé dàng đổi mới, rất linh hoạt vàđược tối ưu hóa

1.7 Câu trúc Khóa luận tot nghiệp

Khóa luận được tổ chức trong 6 chương như sau:

* Chương[I| TONG QUAN ĐỀ TÀI

Trình bày khái quát định hướng nghiên cứu của khóa luận mà chúng tôi

muốn hướng tới

Sơ lược một số công trình liên quan có cùng hướng nghiên cứu mà đề tài có

tham khảo.

* Chương |2} CƠ SỞ LÝ THUYET

Sơ lược một số công trình liên quan có cùng hướng nghiên cứu mà dé tài cótham khảo Trình bày các định nghĩa, khái niệm cũng như những kiến thứcnên tảng để có thể thực hiện được nghiên cứu

Chương 1 TỔNG QUAN ĐỀ TÀI

* Chương|3| PHƯƠNG PHAP THỰC HIỆN

Là phần trọng tâm của khoá luận, trình bày những nội dung chính về phương

pháp thực hiện và mô hình được sử dụng.

* Chuong|4} HIỆN THỰC VÀ THỰC NGHIEM

Đề cập đến quá trình thực nghiệm cùng với kết quả thu được Đưa ra nhận

xét cho những công việc đã thực hiện ở ChươngB|

« Chuong|5} KET LUẬN VÀ HƯỚNG PHAT TRIEN

Dua ra kết luận vẻ dé tai, dé xuất một số hướng phát triển mở rộng cho các

nghiên cứu trong tương lai.

Chương 2

CƠ SỞ LÝ THUYET

2.1 Tình hình nghiên cứu và các công trình liên quan

SDN cung cấp cho chúng ta một bước đột phá tiềm năng trong việc quản lý hiệu

quả các môi trường mạng IơT khác nhau do tính linh hoạt và khả năng lập trình cực cao của nó Đặt trong ngữ cảnh này, honeynet - một mạng lưới các honeypot

được liên kết với nhau (honeypot là một dạng bay điện tử, được xây dựng nhằmmục đích để lộ các tài nguyên dé bị tấn công cho những kẻ tan công để khuyếnkhích việc thăm đò và khai thác.) có thể được tăng cường với sự hỗ trợ SDN và

NEV, được áp dụng vào các kịch bản IoI, do đó tăng cường bảo mật tổng thể Khi

đó, SDN sẽ hỗ trợ quản lý, triển khai các mạng IoT ảo chứa các dịch vu ảo hóa/giả

lập, để những kẻ tắn công có thể bị phân tâm khỏi mục tiêu thực

Các tác giả [1| triển khai các honeypots nổi tiếng như Dionaea hoặc Kippo để

phát hiện các cuộc tấn công mang botnet IoT (ví dụ: Mirai) bằng cách phân tích

nhật ký hoạt động Wang và cộng sự s dé xuất một honeypot løT cụ thể được

gọi là ThingPot, triển khai XMPP / MQTT làm mô-đun honeypot tương tác cao

và API REST làm mô-đun honeypot tương tác thấp Ngoài ra, Dowling và cộng

SỰ ll| cũng cung cấp một honeypot tương tác thấp, dựa trên việc củng cố các kết

quả đã thu thập được Bên cạnh câu hình, cần làm nổi bật khả năng tiếp cận củahoneypot hoặc honeynet Với mục đích này, ngoài các phương pháp tiếp cận tĩnh

như HIoIPOT sử dụng proxy để xác định xem người dùng có được phép truy

cập hay không vào môi trường IoT thực dựa trên địa chỉ nguồn, còn có phương

pháp mà Fan và các cộng sự [7] và Lin dé xuất là định tuyến lại lưu lượng từ

các nút đáng ngờ một cách tự động bang cách sử dụng các kỹ thuật SDN Những

kỹ thuật này kết hợp với NFV, cho phép chúng ta cung cấp các phản ứng linh

Chương 2 CƠSỞ LY THUYẾT

hoạt có khả năng tận dung ưu điểm của việc triển khai và tái cấu hình dựa trên

nguyên tắc khả lập trình

Public safety Intelligent transport Smart home IoT service developers

— đu wali k Qe, ‡ `

đích này, các chính sách bảo mật được xác định theo những mức độ trừu tượng

khác nhau, để đảm bảo tính linh hoạt cao hơn và quản lý kiểm soát an ninh trên

các mạng không đồng nhất

Chương 2 CƠSỞ LY THUYẾT

(6) Attack confirmed filtering rules D

Monitoring Reaction Modul Security 2) Policy Refinement

Module Â& manner” * Orchestrator

(3.2) & (8) Polley Enforcement (5:1) Policy Enforcemen|

Security lÌnforcement Plane -apply filtering fales- deploy

vFirewall-systeth Model { $ Control and Management Domain

SDN

loT Controller Controller NEV MANO

3 | ˆ _ 4) (9) Addiupdate tering rules Ị NFV

HINH 2.2: Tổng quan cấp cao của kiến trúc được dé xuất

Hình|2.2| cho thấy kiến trúc được đề xuất bao gồm ba mặt phẳng chính gồm:

User plane, Security Orchestration plane, Security Enforcement plane.

User plane: cung cấp các giao diện và công cụ cho phép quản trị viên xácđịnh và định nghĩa các chính sách bảo mật mong muốn

® Security Orchestration plane: thực thi các cơ chế bảo mật dựa trên chính

sách và cung cấp cầu hình lại thời gian chạy và sự thích ứng của các trìnhkích hoạt bảo mật, do đó cung cấp cho khung hoạt động thông minh và tựđộng.

® Security Enforcement plane: Miễn Kiểm soát và Quản lý (The Control and

Management domain) giám sát việc sử dụng tài nguyên và các hoạt động

9

Chương 2 CƠSỞ LY THUYẾT

thời gian chạy của các trình hỗ trợ bảo mật được triển khai trên các mạng

dựa trên phần mềm và IoT

Trong phạm vi để tài nghiên cứu này, chúng tôi sẽ nghiên cứu và triển khai lớpSecurity Enforcement dựa trên mô hình tiếp cận của tác giả Alejandro MolinaZarca [23] Chúng tôi sẽ triển khai một mang mô phỏng các cảm biến IoT thực mà

kẻ tan công sẽ được chuyển hướng tới để gây phân tâm và từ đó điều tra, phântích cuộc tan công, sau đó đưa ra đánh giá và biện pháp để chống lại các cuộc tancông tương tự sau này.

Và hơn hết, nhóm chúng tôi còn triển khai thêm hệ thống săn lùng mối đe dọa

-Fuchikoma vào mô hình để tìm ra các vị trí chiến lược tối ưu cho nền tảng điều

phối để phân phối các bẫy và điều khiển lưu lượng của kẻ tan công

Ngoài ra, nghiên cứu sẽ bổ sung thêm hệ thống IDPS Snort và ELK Stack để phát

hiện các cuộc tần công vào hệ thống như Network Scanning, DdoS, và thực hiện

thu thập các log có được trong các honeypot và các log ghi nhận được từ Snort.

Việc sử dụng ELK Stack khiến cho việc quản lý tập trung các log trở nên dễ dànghơn, ngoài ra cũng khiến cho người sử dụng dé dang trong việc tìm kiếm và đọc

thông tin từ các log, từ đó có thể nắm rõ được các hành vi của kẻ tan công

2.2 Mạng khả lập trình SDN

2.21 Tổng quan SDN

Mạng truyền thống để cập đến cách kết nối mạng truyền thống cũ sử dụng cácthiết bị phần cứng cố định và chuyên dụng như bộ định tuyến và bộ chuyển mạch

để kiểm soát lưu lượng mạng Không có khả năng mở rộng quy mô và an ninh

mạng và hiệu suất là mối quan tâm lớn hiện nay trong tình hình kinh doanh đang

phát triển hiện nay do đó SDN đang nắm quyền kiểm soát mạng truyền thống

Mạng truyền thống là mạng tĩnh và dựa trên các thiết bị mạng phần cứng

Theo Globe Newswire, ngành SDN sẽ đạt 59 tỷ USD vào năm 2023 Cơ sở hạ tầngvật lý, đặc biệt là thiết bị yêu cầu cấu hình thủ công, đơn giản là không theo kịpcác công nghệ hiện tại Hầu hết các mạng truyền thống không thể bắt kịp với nhucầu ngày càng tăng của người dùng tại nơi làm việc hiện đại Những người dùngmuốn mở rộng quy mô cơ sở hạ tầng mạng của họ với ít thời gian chết nhất khả

10

Chương 2 CƠSỞ LY THUYẾT

thi, hãy chuyển sang SDN.

Các mạng truyền thống phải đối mặt với thách thức liên tục vẻ tính linh hoạt.Các API cấp phép rất ít và hầu hết các phần cứng và phần mềm chuyển đổi đềuthuộc sở hữu độc quyền Các mạng truyền thống thường hoạt động hiệu quả vớiphan mềm cung cấp độc quyên; tuy nhiên, phần mềm này không thể được thayđổi nhanh chóng khi cần thiết

Software Defined Network cải thiện hiệu suất bằng cách ảo hóa mạng Trong

SDN, các ứng dụng hoặc API được kiểm soát bằng phần mềm hoạt động như

một cơ sở của việc quản lý mạng hoàn chỉnh có thể hướng lưu lượng truy cập

trên mạng hoặc giao tiếp với cơ sở hạ tầng phần cứng bên dưới Như vậy đơngiản có thể nói SDN có thể tao mang ảo hoặc có thể điều khiển mạng truyềnthống với sự trợ giúp của phần mềm

Trong mạng truyền thống, mỗi bộ chuyển mạch có mặt phẳng dữ liệu cũng như

mặt phẳng điều khiển riêng Mặt phẳng điều khiển của các thiết bị chuyển mạch

khác nhau trao đổi thông tin cầu trúc liên kết và do đó xây dựng một bảng chuyển

tiếp quyết định nơi gói dt liệu đến phải được chuyển tiếp qua mặt phẳng di liệu

Mạng được xác định bằng phần mềm (SDN) là một cách tiếp cận mà qua đóchúng tôi đưa mặt phẳng điều khiển ra khỏi công tắc và gán nó cho một đơn vịtập trung được gọi là bộ điều khiển SDN Do đó, quản trị viên mạng có thể địnhhình lưu lượng truy cập thông qua một bảng điều khiển tập trung mà không cầnphải chạm vào các công tắc riêng lẻ Mặt phẳng dữ liệu vẫn nằm trong bộ chuyểnmạch và khi một gói đi vào bộ chuyển mạch, hoạt động chuyển tiếp của nó đượcquyết định dựa trên các mục nhập của bảng luồng, được bộ điều khiển ấn địnhtrước Bảng luồng bao gồm các trường khớp (match fields) (như số cổng đầu vào

và tiêu để gói) và các hướng dẫn Gói tin được so khớp đầu tiên với các trường

khớp của các mục trong bảng luéng.

SDN mang lại những tính năng vượt trội này thông qua việc phân tách hạ tầng

mạng thành 3 thành phan chính như biểu diễn ở hình |2.3| gồm:

¢ Lớp ứng dụng (Appication Layer): Là những ứng dụng hoặc chức năng ma

hệ thống mạng cần sử dụng như các hệ thống phát hiện xâm nhập, cân bằngtải hoặc tường lửa, Để thực hiện các chức năng này trong kiến trúc mạngtruyền thống cần phải sử dụng một thiết bị chuyên dụng riêng biệt Trong

khi với SDN các ứng dụng phần mềm với chức năng tương đương được

11

Chương 2 CƠSỞ LY THUYẾT

triển khai kết hợp với các API do bộ khiển cung cấp để quản lý việc điềukhiển lưu lượng mạng thay thế cho các thiết bị phần cứng truyền thống.Các phần mềm phía lớp ứng dụng giao tiếp với lớp điều khiển thông qua

Northbound API (API Cầu Bắc)

s Lớp điều khiển (Control Layer/Control Plane): Đại điện cho phần mềmđiều khiển SDN tập trung hoạt động như bộ não của mạng Bộ điều khiểnnày nằm trên một máy chủ và quản lý các chính sách và luồng lưu lượngtrên toàn mạng, cũng như cung cấp các API để có thể xây dựng các ứngdụng cho hệ thống mạng

® Lớp hạ tang (Infrastructure Layer/Data Plane): Bao gồm các thiết bị vật lý

trong mạng thực hiện việc chuyển các gói tin trong hệ thống theo sự điều

khiển của lớp điều khiển thông qua các giao thức như OpenFlow Các bộchuyển mạch trong lớp hạ tầng giao tiếp với lớp điều khiển thông qua cácSouthbound API (API Cầu Nam)

Network Device Network Device Network Device

Network Device Network Device

HINH 2.3: Ba thành phan chính trong kiến trúc mang SDN

SDN bao gồm nhiều loại công nghệ mạng được thiết kế để giúp mạng trở nênlinh hoạt hơn, hỗ trợ ảo hóa và cơ sở hạ tang lưu trữ trong môi trường trung tam

12

Chương 2 CƠSỞ LY THUYẾT

dtr liệu hiện đại tốt hơn.

cùng một mặt phẳng

Hỗ trợ cấu hình tự động nên tốn

ít thời gian hơn

Hỗ trợ cầu hình tĩnh / thủ công

nên mắt nhiều thời gian hơn.

Uu tiên và chặn các gói mạng cu thể. Dẫn tất cả các gói theo cùng một

cách mà không có hỗ trợ ưu tiên.

Dé dàng để lập trình theo nhu cầu Rất khó để lập trình lại và tha

thế chương trình hiện có khi sử dụng

Chi phí thấp Chỉ phí cao

Độ phức tạp về cầu trúc thấp Cấu trúc phức tạp cao

Khả năng mở rộng cao Khả năng mở rộng thấp

Chỉ phí bảo trì thấp hơn Chi phí bảo trì cao hơn

BẢNG 2.1: So sánh kiến trúc mạng truyền thống và kiến trúc mạng

SDN

2.2.2 Tổng quan về ONOS

ONOS [là một nên tảng bộ điều khiển SDN mã nguồn mở quản lý các thành

phần mạng và chương trình phần mềm, đồng thời hỗ trợ tích cực việc chuyển

Thttps:/ /wiki.onosproject.org//display/ONOS/ONOS

13