1. Tấn công từ chối dịch vụ phân tán và công nghệ SDN 1.1. Tấn công từ chối dịch vụ phân tán - Trong những năm gần đây, sự phát triển mạnh mẽ của công nghệ thông tin và truyền thông đã cho ra đời hàng loạt các dịch vụ mạng phục vụ hầu khắp các lĩnh vực hoạt động xã hội của con người. Các giao dịch, xử lý và trao đổi thông tin, lưu trữ dữ liệu dần chuyển sang thực hiện trực tuyến trên mạng Internet. Bên cạnh đó, sự phát triển mạnh mẽ của công nghệ kết nối vạn vật (IoTs) làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng. Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu. Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị (Autonomous System) thiếu sự kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an ninh mạng trong đó có hình thức tấn công từ chối dịch vụ (DoS) [1], tấn công từ chối dịch vụ phân tán (sau đây gọi tắt là tấn công DDoS) [2]–[4]. Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ trên Internet. Với kỹ thuật tấn công đơn giản, công cụ dễ tìm, khả năng phát tán mã độc để huy động nguồn lực tấn công dễ dàng, khó phát hiện và ngăn chặn, tấn công DDoS ngày càng trở nên nguy hiểm, được lợi dụng và phát động tấn công với quy mô ngày càng cao. Các báo cáo của các công ty an ninh mạng cho thấy, diễn biến và quy mô các đợt tấn công ngày càng phức tạp [5]–[7]. Theo báo cáo của Abor [8], ngày 27/2/2018 trang web lưu trữ mã nguồn GitHub ghi nhận một đợt tấn công DDoS với tốc độ lên tới 1,35 Tbps. Qua đó cho thấy, tấn công DDoS vẫn sẽ là nguy cơ an ninh lớn đối với tổ chức và đảm bảo chất lượng dịch vụ Internet trong tương lai. - Sự dịch chuyển và gia tăng nhu cầu làm việc, kinh doanh độc lập và giải trí cá nhân, cùng với sự hỗ trợ mạnh mẽ của các công nghệ truyền dẫn tiên tiến, sự phát triển các dịch vụ nhà thông minh, IoTs,… mạng quy mô nhỏ (SOHO network) ngày càng phát triển và đang là xu thế, chiếm tỷ lệ ngày càng tăng trong kết cấu internet [9]–[11]. An ninh mạng nói chung và tấn công DDoS nói riêng là một trong những vấn đề lớn đối với các mạng quy mô nhỏ này do tính đa dạng, thiếu kiểm soát của các thiết bị, dịch vụ mạng, và sự chú trọng, quan tâm, tính chuyên nghiệp trong thiết kế, quản lý và vận hành mạng [12]–[14]. - Dựa trên công nghệ mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai [15]–[18]. Cơ chế chung của các giải pháp này là sử dụng các bộ đo, điểm dò (probe), các bộ lấy mẫu và phân tích lưu lượng trên hệ thống mạng để cung cấp thông tin thuộc tính của lưu lượng mạng trên toàn hệ thống. Thông tin lưu lượng được chuyển đến và xử lý phân tích nhờ các thuật toán phát hiện bất thường hoặc dựa trên dấu hiệu tấn công để xác định có tấn công xảy ra hay không. Khi có tấn công hệ thống sử dụng các thiết bị an ninh chuyên dụng như tường lửa, IPS để ngăn chặn, xóa bỏ lưu lượng tấn công. Một trong những vấn đề tồn tại lớn nhất của công nghệ mạng truyền thống đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng chống DDoS là rất khó khăn. Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng tay, xóa bỏ, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu lượng lành tính. - Tấn công DDoS với kỹ thuật huy động nguồn tấn công rất lớn bằng các xác sống (zombies) và kỹ thuật giả mạo địa chỉ IP nguồn nên có thể tạo ra lưu lượng tấn công tăng đột biến trong khoảng thời gian ngắn, vượt quá khả năng chịu đựng của dịch vụ, máy chủ và hệ thống mạng đích. Do cơ chế điều khiển cứng, đóng kín, các thiết bị mạng trong công nghệ mạng truyền thống không thể tham gia ngăn chặn lưu lượng tấn công DDoS một cách tự động, làm cho các giải pháp phòng chống trong mạng có hiệu quả thấp, không có khả năng phân loại và xóa bỏ chính xác theo sự biến động của lưu lượng mạng. Các giải pháp phòng chống mới chỉ tập trung phát hiện tấn công, do cơ chế đóng của các thiết bị mạng truyền thống nên chưa có nhiều giải pháp giảm thiểu tấn công trực tuyến. - Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng. Chính vì vậy với mỗi cấu trúc, quy mô, đặc điểm dịch vụ và phương pháp tổ chức dịch vụ mạng khác nhau thì đặc điểm phản ứng lại với lưu lượng tấn công, khả năng chịu đựng tấn công của các hệ thống mạng là khác nhau. Không có một giải pháp phòng chống tấn công, tham số hệ thống nào áp dụng chung cho tất cả các loại mạng, các quy mô mạng, các dịch vụ mạng khác nhau. Với mỗi hệ thống mạng cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp khác nhau, thiết lập tham số phù hợp với những đặc điểm riêng để có hiệu quả phòng chống tối ưu. 1.2. Công nghệ SDN và kỹ thuật SDN/Openflow - Với nhu cầu phát triển mạnh mẽ các dịch vụ mạng Internet, công nghệ điện toán đám mây, tính di động, và nhu cầu thay đổi linh động, mềm dẻo tài nguyên trên hệ thống mạng, công nghệ mạng điều khiển bởi phần mềm (gọi tắt là công nghệ SDN) ra đời trên cơ sở tách rời mặt phẳng điều khiển ra khỏi mặt phẳng dữ liệu, cho phép quản trị, điều khiển, thiết lập các chính sách mạng một cách tập trung trong khi trừu tượng hóa các tài nguyên mạng [19]. Trong đó Openflow [20] là một trong những giao thức SDN đầu tiên được tập trung nghiên cứu, phát triển. Kỹ thuật mạng SDN dựa trên giao thức Openflow (gọi tắt là kỹ thuật SDN/Openflow) đã nhanh chóng thu hút nghiên cứu và bước đầu được ứng dụng trong các sản phẩm phần cứng, phần mềm thương mại và mã nguồn mở.
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG Hà Nội – 2019 iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC CHỮ VIẾT TẮT vii DANH MỤC HÌNH VẼ x DANH MỤC CÁC BẢNG BIỂU xiii MỞ ĐẦU xiv CHƯƠNG 1: TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG SDN/OPENFLOW 1.1 Giới thiệu chương 1.2 Tổng quan công DDoS 1.2.1 Khái niệm 1.2.2 Phân loại công DDoS 1.2.3 Các giải pháp phòng chống DDoS dựa công nghệ mạng truyền thống 1.2.4 Yêu cầu thách thức giải pháp phát ngăn chặn, giảm thiểu công DDoS 1.3 Kỹ thuật mạng cấu hình phần mềm SDN 10 1.4 Giao thức OpenFlow 12 1.4.1 Cấu trúc phạm vi chuẩn hóa Openflow 13 1.4.2 Nhận dạng quản lý lưu lượng chuyển mạch Openflow 14 1.4.3 Các tin trao đổi điều khiển chuyển mạch Openflow 14 1.4.4 Quy trình xử lý gói tin Openflow 16 1.4.5 Quản lý mục luồng chuyển mạch Openflow 17 iv 1.5 Các giải pháp phòng chống DDoS dựa kiến trúc kỹ thuật SDN/Openflow 18 1.5.1 Kiến trúc nguyên lý hoạt động chung 18 1.5.2 Các kỹ thuật phát công 20 1.5.3 Các kỹ thuật ngăn chặn, giảm thiểu công 22 1.6 Tấn công DDoS tới thành phần kiến trúc mạng SDN/Openflow giải pháp phòng chống 23 1.6.1 Tấn công DDoS tới thành phần kiến trúc mạng SDN/Openflow 23 1.6.2 Kỹ thuật phát giảm thiểu công 25 1.7 Kết luận chương 27 CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG DDOS DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW 29 2.1 Giới thiệu chương 29 2.2 Giải pháp phát giảm thiểu công DDoS dựa mơ hình dự đốn làm trơn hàm mũ tham số thống kê lưu lượng 29 2.2.1 Đặt vấn đề 29 2.2.2 Kiến trúc hệ thống trạng thái hoạt động 30 2.2.3 Lựa chọn tham số số thống kê lưu lượng 32 2.2.4 Lựa chọn xây dựng mơ hình dự đốn số thống kê lưu lượng 33 2.2.5 Phát giảm thiểu công 35 2.2.6 Phân tích đánh giá hiệu giải pháp 37 2.3 Giải pháp giảm thiểu công SYN Flood dựa chế ủy nhiệm gói tin SYN điều khiển 41 2.3.1 Đặt vấn đề 41 2.3.2 Kiến trúc hệ thống đề xuất 42 2.3.3 Lựa chọn mơ hình ủy nhiệm gói tin SYN 43 2.3.4 Hoạt động hệ thống SSP 44 2.3.5 Phân tích đánh giá hiệu giải pháp 51 v 2.4 Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn công 58 2.4.1 Đặt vấn đề 58 2.4.2 Khái niệm đánh dấu gói tin kỹ thuật 59 2.4.3 Đề xuất cấu trúc hoạt động PLA DFM kiến trúc mạng SDN/Openflow 61 2.4.4 So sánh đánh giá hiệu giải pháp 66 2.5 Kết luận chương 70 CHƯƠNG ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN KỸ THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG 72 3.1 Giới thiệu chương 72 3.2 Những hạn chế kiến trúc kỹ thuật SDN/Openflow phòng chống cơng DDoS 72 3.3 Đề xuất kiến trúc mạng SDN/Openflow mở rộng sở bổ sung phân tích xử lý lưu lượng SD 73 3.3.1 Kiến trúc tổng quát 74 3.3.2 Điều khiển chuyển tiếp lưu lượng tới SD xử lý lưu lượng SD 75 3.4 Giải pháp phân loại giảm thiểu công DDoS dựa kiến trúc SDN/Openflow mở rộng thuật toán logic mờ 76 3.4.1 Đặt vấn đề 76 3.4.2 Phân tích đặc tính lưu lượng cơng DDoS để chọn tham số phân loại lưu lượng 76 3.4.3 Cấu trúc hệ thống 79 3.4.4 Xác định trạng thái máy chủ 79 3.4.5 Chuyển tiếp gói tin thực thể hệ thống 81 vi 3.4.6 Phân loại lưu lượng giảm thiểu công DDoS dựa thuật toán suy luận logic mờ FDDoM 83 3.4.7 Đánh giá hiệu giải pháp 87 3.5 Phát giảm thiểu công SYN Flood tới mạng SDN/Openflow sử dụng chế ủy nhiệm gói tin SYN phân tích xử lý lưu lượng 91 3.5.1 Đặt vấn đề 91 3.5.2 Cấu trúc hệ thống 92 3.5.3 Hoạt động hệ thống 92 3.5.4 Phân tích đánh giá hiệu 98 3.6 Kết luận chương 104 KẾT LUẬN 106 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN 108 TÀI LIỆU THAM KHẢO 109 vii DANH MỤC CÁC CHỮ VIẾT TẮT Ký hiệu Tiếng Anh Tiếng Việt ACK ACKnowledgment Gói tin xác nhận kết nối ACK_Num Acknowledgement Number Số hiệu xác nhận API Application Programming Interface Giao diện chương trình ứng dụng ART Average Retrieve Time Thời gian kết nối trung bình AS Autonomous System Hệ tự trị ATM Asynchronous Transfer Mode Truyền liệu cận đồng CDF Cumulative Distribution Function Hàm phân phối tích lũy CliACK Client ACK Gói tin xác nhận kết nối từ client CM Connection Migration Di trú kết nối CUSUM CUmulative SUM Tổng tích lũy DC Data Center Trung tâm liệu DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DFM Deterministic Flow Marking Kỹ thuật đánh dấu gói tin theo luồng DoS Denial of Service Tấn công từ chối dịch vụ DNS Domain Name System Hệ thống tên miền DPpF Deviation PpF PpF chuẩn hóa DPM Deterministic Packet Marking Kỹ thuật đánh dấu xác định DPPM Dynamic Probabilistic Packet Marking Kỹ thuật đánh dấu gói tin theo xác suất động DR Detection Rate Độ nhạy DSCP Dynamic probabilistic packet marking Kỹ thuật đánh dấu gói tin theo xác suất động DSPA Deviation SPA SPA chuẩn hóa FDDoM Fuzzy Logic-based DDoS Mitigation Phát giảm thiểu cơng DDoS dựa thuật tốn logic mờ FIS Fuzzy Inference System Hệ suy luận mờ FTP File Transfer Protocol Giao thức truyền tệp tin FPR False Positive Rate Tỷ lệ báo động nhầm FMT Flow Monitoring Table Bảng giám sát luồng HOC Half Open Connection Kết nối dang dở 3HS Three ways Handshake Bắt tay ba bước HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn IAT Inter Arrival Time Khoảng thời gian liên gói tin viii ICMP Internet Control Message Protocol Giao thức thông báo điều khiển Internet IDS Intrusion Detection System Hệ thống phát xâm nhập IoTs Internet of Things Mạng kết nối vạn vật IP Internet Protocol Giao thức liên mạng IPS Intrusion Prevention System Hệ thống chống xâm nhập ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IRC Internet Relay Chat Dịch vụ chat Internet MA Moving Average Trung bình động MPR Marked Packet Rate Tỷ lệ gói tin bị đánh dấu MSR Marked Size Rate Tỷ lệ dung lượng gói tin bị đánh dấu MT Mark Threshold Giá trị ngưỡng đánh dấu MTU Maxium Transmission Unit Ngưỡng kích thước đơn vị truyền NFV Network Functions Virtualization Ảo hóa chức mạng NTP Network Time Protocol Giao thức đồng thời gian mạng OFS OpenFlow Switch Bộ chuyển mạch Openflow ONF Open Networking Foudation Tổ chức chuẩn hóa mạng mở PN Packet Number Số gói tin PLA DFM Packet Length Adaptive Deterministic Flow Marking Đánh dấu gói tin xác định theo luồng có tương thích chiều dài gói PpF Packet number per Flow Số gói tin luồng PPM Probabilistic Packet Marking Đánh dấu gói tin theo xác suất pps packet per second Gói tin/ giây QoS Quality of Service Chất lượng dịch vụ REST API Representational State Transfer API Giao diện trao đổi dựa vào biến trạng thái RST ReSeT Gói tin hủy kết nối SAN Source Address Number Số địa IP nguồn SCR Successful Connection Rate Tỷ lệ kết nối thành công SD Security Device Thiết bị bảo mật SDH Synchronous Digital Hierarchy Hệ thống phân cấp đồng SDN Software Defined Networking Kỹ thuật mạng cấu hình phần mềm SEQ_Num Sequence Number Số hiệu SFD SYN Flood Detection Phát công SYN Flood SMR Successful Mark Rate Tỷ lệ đánh dấu thành công SOM Self Organinzing Map Bản đồ tự tổ chức SOHO Small Office/Home Office Văn phòng, quan nhỏ ix SONET Synchronous Optical NETwork Mạng quang đồng SP Security Proxy Ủy nhiệm an ninh SPA Source-port number Per Address Số cổng nguồn địa nguồn SPM SYN Proxy Module Mô đun ủy nhiệm gói tin SYN SPN Source Port Number Số cổng nguồn mở SS Security Server Máy chủ bảo mật SSDP Simple Service Discovery Protocol Giao thức phát dịch vụ đơn giản SSG SDN-based SYN Flood Guard Chống công SYN Flood dựa vào công nghệ SDN SSP SDN based SYN Proxy Ủy nhiệm gói tin SYN dựa vào công nghệ SDN SSL Secure Sockets Layer Tiêu chuẩn bảo mật an toàn lớp ứng dụng SVM Support Vector Machine Máy vec-tơ hỗ trợ SYN SYNchronize Gói tin yêu cầu kết nối SYN-ACK SYNchronize ACKnowledgement Gói tin trả lời yêu cầu kết nối TCB Transmission Control Block Khối điều khiển truyền TCP Transmission Control Protocol Giao thức điều khiển truyền TOS Type Of Service Kiểu dịch vụ TLS Transport Layer Security Bảo mật tầng truyền tải TTL Time To Live Thời gian tồn TRW Threshold Random Walk Thăm dò ngưỡng TRW-CB TRW-Credit Based Thăm dò ngưỡng theo độ tin cậy UDP User Datagram Protocol Giao thức truyền gói liệu người dùng VLAN Virtual Local Area Network Mạng LAN ảo VPN Virtual Private Network Mạng riêng ảo WMA Weighted Moving Average Mơ hình trung bình động có trọng số x DANH MỤC HÌNH VẼ Hình 1.1 Lưu lượng công DDoS huy động từ nhiều nguồn Internet Hình 1.2 Phân loại kỹ thuật công DDoS Hình 1.3 Quá trình bắt tay ba bước kết nối TCP (a) chế công TCP SYN Flood (b) Hình 1.4 Kiến trúc mạng cấu hình phần mềm SDN 11 Hình 1.5 Cấu trúc phạm vi chuẩn hóa giao thức Openflow 13 Hình 1.6 Cấu trúc mục luồng 15 Hình 1.7 Quá trình xử lý gói tin chuyển mạch theo chế đường ống 16 Hình 1.8 Yêu cầu xử lý gói tin khơng khớp với mục luồng có sẵn chuyển mạch 17 Hình 1.9 Cấu trúc chung hệ thống giải pháp phòng chống cơng DDoS dựa kỹ thuật SDN/Openflow 19 Hình 1.10 Các phương pháp cơng tới lớp Hạ tầng mạng 24 Hình 1.11 Các phương pháp cơng tới Lớp điều khiển 24 Hình 1.12 Các phương pháp công tới Lớp Ứng dụng 24 Hình 1.13 Q trình xử lý gói tin kết nối TCP chế CM 26 Hình 2.1 Kiến trúc hệ thống đề xuất cho giải pháp dựa phương pháp thống kê sử dụng giải thuật dự đoán làm trơn hàm mũ 30 Hình 2.2 Sơ đồ chuyển tiếp trạng thái hệ thống cho máy chủ/dịch vụ 31 Hình 2.3 Mơ hình phát phân loại lưu lượng công 35 Hình 2.4 Giá trị số SPA (a) DSPA (b) 39 Hình 2.5 Giá trị số PpF DPpF 39 Hình 2.6 Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN Bộ điều khiển SSP 43 Hình 2.7 Nguyên lý hoạt động hai loại SYN proxy 44 Hình 2.8 Quá trình xử lý yêu cầu kết nối gói tin SYN giải pháp SSP 45 Hình 2.9 Lưu đồ trình capture xử lý gói tin bắt tay ba bước OFS 46 Hình 2.10 Lưu đồ hoạt động mô đun SPM điều khiển 48 Hình 2.11 Thống kê CDF khoảng thời gian gói tin SYN gói tin CliACK lưu lượng mạng thực tế 50 Hình 2.12 Hiệu chỉnh thời gian chờ luồng 50 xi Hình 2.13 Sơ đồ chuyển tiếp sách xử lý gói tin SYN chuyển mạch 51 Hình 2.14 Mơ hình testbed đánh giá hiệu giải pháp SSP 52 Hình 2.15 Tỷ lệ kết nối thành công từ lưu lượng lành tính máy chủ chịu cơng DDoS với cường độ công khác 53 Hình 2.16 Thời gian kết nối trung bình lưu lượng lành tính máy chủ chịu công với cường độ công khác 53 Hình 2.17 Số kết nối mở máy chủ với cường độ cơng khác 54 Hình 2.18 Giao diện hình đo chiếm dụng tài nguyên Bộ điều khiển tốc độ công 700 pps 57 Hình 2.19 Tỷ lệ chiếm dụng CPU điều khiển cường độ cơng khác 57 Hình 2.20 Dung lượng nhớ bị chiếm dụng điều khiển cường độ công khác 57 Hình 2.21 Phân bố số lượng gói tin luồng từ liệu CAIDA 61 Hình 2.22 Cấu trúc hệ thống giải pháp đánh dấu gói tin PLA DFM dựa kiến trúc SDN/Openflow 62 Hình 2.23 Phân bố chiều dài gói tin thứ từ liệu CAIDA 63 Hình 2.24 Đánh dấu gói tin PLA DFM 63 Hình 2.25 Quá trình đánh dấu gói tin PLA DFM Bộ điều khiển mạng SDN/Openflow 66 Hình 2.26 So sánh tác động PLA DFM tới tiêu đề gói tin luồng 67 Hình 2.27 SMR PLA DFM DFM MT=288 68 Hình 2.28 MPR PLA DFM DFM MT=288 68 Hình 2.29 MSR PLA DFM DFM MT=288 69 Hình 3.1 Kiến trúc giải pháp bổ sung phân tích xử lý lưu lượng dựa chế SDN/Openflow 74 Hình 3.2 Biểu đồ phân bố IAT lưu lượng đến 77 Hình 3.3 Phân bố số lượng gói luồng 78 Hình 3.4 Kiến trúc hệ thống đề xuất cho giải pháp phân loại giảm thiểu công dựa thuật toán suy luận logic mờ FDDoM 80 Hình 3.5 Sơ đồ hệ thống máy chủ trạng thái "Không bị công" 82 Hình 3.6 Sơ đồ kiện Packet in máy chủ trạng thái "Nghi ngờ bị công" 83 Hình 3.7 Sơ đồ kiện “Kết thúc chu kỳ giám sát” máy chủ trạng thái "Nghi ngờ bị công" 83 Hình 3.8 Sơ đồ kiện Packet in máy chủ trạng thái "Đang bị công" 84 104 Mức độ giảm lưu lượng giao diện Openflow giảm tải điều khiển Cả chế CM Avant-Guard giải pháp SSG hoạt động nguyên tắc giám sát trình 3HS kết nối TCP cài đặt mục luồng cho kết nối tương ứng thực thành cơng q trình 3HS Nguyên tắc ngăn chiếm dụng tài nguyên vô ích mục luồng tạo từ gói tin giả mạo địa IP nguồn, đồng thời bảo vệ điều khiển bị tải thực xử lý kiện packet-in từ gói tin giả mạo Theo đó, lưu lượng Openflow chuyển mạch điều khiển giảm xuống có cơng SYN Flood xảy So sánh q trình trao đổi gói tin điều khiển thực thể chế CM chế SSG mơ tả Hình 3.24 cho thấy với kết nối lành tính TCP, SSG cần lần yêu cầu controller chế CM lần Do đó, tổng số tin trao đổi chuyển mạch điều khiển để cài đặt mục luồng cho kết nối TCP lành tính SSG giảm nửa so với chế CM Sự cải tiến giúp giảm tải điều khiển, tăng khả chịu đựng công SYN Flood Nhận xét, đánh giá - Dựa kiến trúc SDN/Openflow mở rộng, chế ủy nhiệm gói tin SYN SD khắc phục nhược điểm chế CM giải pháp Avant-Guard trì tỷ lệ kết nối cao (98% so với CM mức 20% chịu công 5.500 pps), mức độ chiếm dụng tài nguyên OFS ổn định, bị ảnh hưởng công SYN Flood (chiếm 28% so với CM 75% CPU công 5.500pps) với mức độ gia tăng lưu lượng thấp (2,5% tất máy chủ chịu cơng 5.500pps) - SSG áp dụng cho tất chuyển mạch Openflow hỗ trợ 1.5, giúp OFS tăng khả chịu đựng cơng, áp dụng cho mạng quy mơ lớn tất chuyển mạch biên 3.6 Kết luận chương - Các giải pháp phát lọc bỏ lưu lượng công DDoS dựa liệu thống kê chế xử lý gói tin kỹ thuật SDN/Openflow có ưu điểm đơn giản, dễ triển khai mạng SDN/Openflow tồn số nhược điểm cố hữu Đó (1) thông tin lưu lượng bị giới hạn quy đinh giao thức Openflow, (2) chế quản lý luồng theo trạng thái gây gia tăng mục luồng chuyển mạch tạo nên chiếm dụng lớn nguồn tài nguyên lớp hạ tầng mạng có cơng xảy ra, đồng thời (3) lưu lượng Openflow chuyển mạch điều khiển tăng cao Những nhược điểm làm giảm tính xác phát phân loại lưu lượng công, giới hạn quy mô lưu lượng hệ thống mạng áp dụng, ngồi dễ bị kẻ công lợi dụng trở thành mục tiêu công DDoS - Để khắc phục tồn trên, giải pháp phát giảm thiểu cơng DDoS sử dụng liệu thống kê chế xử lý gói tin kỹ thuật SDN/Openflow kết hợp với 105 phân tích xử lý lưu lượng SD bổ sung vào hệ thống mạng Dựa khả ánh xạ cổng (mirror port), chép gói tin tới cổng, kỹ thuật SDN/Openflow điều khiển chuyển lưu lượng theo ý muốn từ OFS tới SD phần mềm lớp ứng dụng SD cung cấp đầy đủ thơng tin thuộc tính mẫu lưu lượng cho ứng dụng bảo mật lớp điều khiển Sự kết hợp phân tích xử lý lưu lượng mạng SDN/Openflow có ưu điểm: • Có thể chuyển mẫu gói tin mong muốn từ chuyển mạch tới điều khiển không qua kênh bảo mật Openflow, tránh tượng thắt cổ chai giao diện • Có thể phân tích, cung cấp thuộc tính lưu lượng mà chế thống kê Openflow khơng thực • SD thực sách xử lý gói tin (như Drop trực tiếp) mà không qua chế cài đặt mục luồng giúp giảm thời gian đáp ứng hệ thống lưu lượng công, giảm chiếm dụng tài nguyên mục luồng công DDoS - Ứng dụng kiến trúc SDN/Openflow mở rộng với phân tích xử lý lưu lượng SD, giải pháp phát giảm thiểu công thuật toán logic mờ cho độ nhạy lọc bỏ cao, tỷ lệ lọc bỏ nhầm thấp (DRF đạt 97,5% FPRF mức 3,6% so sánh với giải pháp TRW-CB đạt DRF 96% FPRF 25%) thời gian đáp ứng nhanh chế xóa bỏ gói tin công thực SD mà không chế Openflow thơng thường - Bên cạnh lợi ích mặt an ninh mạng, kỹ thuật SDN/Openflow tồn lỗ hổng mới, có nguy bị công làm cạn kiệt tài nguyên chuyển mạch, điều khiển giao diện Openflow công SYN Flood giả mạo địa IP Kế thừa từ chế CM Avant-Guard, giải pháp đề xuất SSG thực ủy nhiệm gói tin SYN phân tích xử lý lưu lượng, thay ủy nhiệm gói tin SYN chuyển mạch Kết thực nghiệm testbed cho thấy SSG khắc phục tồn chế CM, cải thiện khả chịu đựng công SYN Flood hệ thống (duy trì tỷ lệ kết nối cao 98% so với CM mức 20% chịu công 5.500 pps), mức độ chiếm dụng tài nguyên OFS ổn định, bị ảnh hưởng cơng SYN Flood (chiếm 28% so với CM 75% CPU công 5.500pps) với mức độ gia tăng lưu lượng thấp (2,5% tất máy chủ chịu công 5.500pps) Các kết nghiên cứu Chương cơng bố cơng trình: [C2], [J2], [J4] (Xem Danh mục cơng trình cơng bố trang 108) 106 KẾT LUẬN Nội dung kết đạt luận án Nội dung Luận án trình bày chương sau: - Nội dung Chương trình bày lý thuyết tổng quan công DDoS, công nghệ SDN kỹ thuật SDN/Openflow, phương thức kỹ thuật phòng chống DDoS mạng truyền thống mạng SDN/Openflow Qua cho thấy, cơng DDoS vấn nạn lớn mạng Internet, phát triển quy mô, dịch vụ, lưu lượng mạng ngày tăng; diễn biến công DDoS ngày phức tạp đặt yêu cầu thách thức lớn chế, giải pháp phát hiện, phân loại lưu lượng giảm thiểu công DDoS, đặc biệt mạng quy mô nhỏ, nơi giải pháp an ninh mạng chưa trọng Công nghệ SDN, kỹ thuật mạng SDN/Openflow hứa hẹn công nghệ thay công nghệ mạng truyền thống với nhiều ưu thế, khả xử lý lưu lượng phần mềm phù hợp với quy trình phát giảm thiểu cơng DDoS Mặt khác, kiến trúc kỹ thuật mạng tạo nên lỗ hổng cố hữu mà kẻ cơng lợi dụng, phát động công DDoS Nhiệm vụ đặt cần phải khai thác lợi SDN/Openflow phát hiện, phòng chống DDoS bối cảnh khác nhau, đồng thời xây dựng giải pháp phòng chống công DDoS tới thực thể mạng Nội dung chương sở lý thuyết cho đề xuất chương - Chương trình bày giải pháp đề xuất yêu cầu phòng chống DDoS khác mạng quy mô lưu lượng nhỏ túy dựa liệu thống kê lưu lượng chế xử lý gói tin kỹ thuật SDN/Openflow, khơng cần bổ sung thiết bị chuyên dụng Cụ thể, giải pháp đề xuất bao gồm: (1) kỹ thuật phát giảm thiểu cơng DDoS dựa mơ hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng; (2) kỹ thuật phát ngăn chặn công SYN Flood tới máy chủ hệ thống mạng dựa chế ủy nhiệm gói tin SYN điều khiển; (3) kỹ thuật đánh dấu gói tin PLA DFM hỗ trợ truy vết nguồn phát sinh lưu lượng công Các kết phân tích mơ lưu lượng cơng thực từ lưu lượng CAIDA Netnam, kết chạy mơ hình thử nghiệm testbed cho thấy hiệu giải pháp đề xuất cải thiện so với giải pháp cơng bố áp dụng trực tiếp hệ thống mạng SDN/Openflow quy mơ lưu lượng nhỏ mạng gia đình, văn phòng nhỏ Các kết chương đăng cơng trình cơng bố [C1], [J1] [J3] - Để đáp ứng yêu cầu cho mạng có quy mô lưu lượng cao giảm thời gian đáp ứng hệ thống, nội dung Chương đề xuất kiến trúc SDN/Openflow mở rộng bổ sung phân tích xử lý lưu lượng SD Khác với giải pháp đề xuất, SD hoạt động tương tác với thực thể mạng SDN điều khiển phần mềm lớp ứng dụng cung cấp đầy đủ thơng tin thuộc tính mẫu lưu lượng cho ứng dụng bảo mật lớp điều khiển Dựa kiến trúc SDN mở rộng, giải pháp phòng chống cơng DDoS kết hợp liệu thống kê lưu lượng SDN/Openflow SD làm tăng độ xác 107 phát hiện, phân loại, khơng làm tăng lưu lượng giao diện Openflow; xử lý, xóa bỏ lưu lượng cơng trực tiếp SD giúp giảm thời gian đáp ứng hệ thống Áp dụng kiến trúc SDN mở rộng, Chương đề xuất kỹ thuật phân loại giảm thiểu công DDoS dựa thuật toán logic mờ kỹ thuật giảm thiểu công SYN Flood tới mạng SDN/Openflow sử dụng chế ủy nhiệm gói tin SYN SD Các kết phân tích mơ lưu lượng công thực từ lưu lượng CAIDA Netnam, kết chạy mơ hình thử nghiệm testbed cho thấy hiệu giải pháp đề xuất cải thiện so với giải pháp công bố Các kết chương đăng cơng trình cơng bố [C2], [J2] [J4] Đóng góp khoa học luận án: Luận án thực 02 đóng góp khoa học sau đây: Đề xuất kỹ thuật phát giảm thiểu cơng DDoS mơ hình dự đốn làm trơn hàm mũ với tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng công; kỹ thuật giảm thiểu công SYN Flood chế ủy nhiệm gói tin SYN sử dụng cơng nghệ SDN Đề xuất kiến trúc SDN/Openflow mở rộng với phân tích xử lý lưu lượng để nâng cao hiệu phát giảm thiểu công DDoS Hướng phát triển luận án: Do giới hạn điều kiện triển khai hệ thống nghiên cứu, Luận án số hạn chế sau: • Chưa xây dựng botnet với lưu lượng công, nguồn cơng đủ lớn để đo tính tốn hiệu xử lý thời gian thực giải pháp, ảnh hưởng lưu lượng tương tác máy chủ máy khách Do giải pháp phân loại, phát giảm thiểu công chủ yếu phân tích lưu lượng chiều, chưa đánh giá số tham số hiệu giải pháp thời gian đáp ứng, mức độ chịu tải,… • Chưa nghiên cứu, đánh giá hiệu giải pháp loại công DDoS riêng Để tiếp tục nghiên cứu, phát triển kết đạt được, giải hạn chế, mở rộng phạm vi nghiên cứu ứng dụng thực tế, hướng nghiên cứu luận án đề xuất gồm: • Nghiên cứu triển khai hệ thống mạng thật, đặc biệt, xây dựng hệ thống botnet có quy mô lớn để mô lưu lượng công lưu lượng lành tính gần giống với mạng thực • Khảo sát đo số tham số hiệu giải pháp chưa thực thời gian đáp ứng, tốc độ gia tăng lưu lượng, xác định chu kỳ giám sát tối ưu, v.v… • Tiếp tục đề xuất giải pháp phòng chống DDoS dựa kỹ thuật SDN/Openflow theo loại công sở nghiên cứu đặc tính cơng cụ cơng phổ biến có để nâng cao hiệu phát giảm thiểu công 108 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN Các cơng trình cơng bố kết trực tiếp luận án [C1] - Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Nguyen Tai Hung, Bart Buype, Didier Colle, Kris Steenhaut, (2014), “An Enhanced Deterministic Flow Marking Technique to Efficiently Support Detection of Network Spoofing Attacks”, in The 2014 International Conference on Advanced Technologies for Communications (ATC'14), Hanoi, Vietnam, Oct 15-17, 2014, pages 446-451, DOI: https://doi.org/ 10.1109/ATC.2014.7043429 [C2] - Phan Van Trung, Truong Thu Huong, Dang Van Tuyen, Duong Minh Duc, Nguyen Huu Thanh, Alan Marshall, (2015), “A Multi-Criteria-based DDoS-Attack Prevention Solution using Software Defined Networking”, in The 2015 International Conference on Advanced Technologies for Communications (ATC'15), Hochiminh City, Vietnam, Oct 14-16, 2015, pages 308-313, DOI: https://doi.org/10.1109/ ATC.2015.7388340 [J1] - Đặng Văn Tuyên, Trương Thu Hương, Nguyễn Tài Hưng, (2015), “Đề xuất giải pháp phát giảm thiểu tác hại công DDoS phương pháp thống kê dựa kỹ thuật mạng cấu hình phần mềm SDN”, Tạp chí Khoa học Công nghệ, Đại học Đà nẵng, Số 11(96)/2015, ISSN: 1859-1531, trang 208-213 [J2] - Tuyen Dang-Van, Huong Truong-Thu, (2016), “A Multi-Criteria based Software Defined Networking System Architecture for DDoS-Attack Mitigation”, REV Journal on Electronics and Communications, Radio and Electronics Association of Vietnam, ISSN: 1859-378X, Vol 6, No 3–4, July–December, 2016, pages 50-58, DOI: http://dx.doi.org/ 10.21553/rev-jec.123 [J3] - Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Pham Ngoc Nam, Nguyen Ngoc Thanh, Alan Marshall, (2018), “SDN-based SYN Proxy - A solution to enhance performance of attack mitigation under TCP SYN flood”, The Computer Journal - Section D: Security in Computer Systems and Networks, Volume 62, Issue 4, April 2019, Pages 518–534, Oxford University Press, ISSN: 0010-4620 (Online: 1460-2067) (SCIE), DOI: https://doi.org/10.1093/comjnl/bxy117 [J4] - Dang Van Tuyen, Truong Thu Huong, (2018), “SSG - A solution to prevent saturation attack on the data plane and control plane in SDN/Openflow network”, Journal of Research and Development on Information and Communication Technology, Vietnam’s Ministry of Information and Communications, ISSN: 1859-3534, DOI: http://dx.doi.org/10.32913/rd-ict.833, (Chấp nhận đăng Vol E-2, No 16, 2019) Các cơng trình cơng bố có liên quan đến luận án [C3] - Trung V Phan, Truong Van Toan, Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, (2016), “OpenFlowSIA: An Optimized Protection Scheme for SoftwareDefined Networks from Flooding Attacks”, in The 2016 IEEE Sixth International Conference on Communications and Electronics (IEEE ICCE 2016), Halong, Quangninh, Vietnam, July 27-29, 2016, pages 14-18, DOI: https://doi.org/10.1109/ CCE.2016.7562606 109 TÀI LIỆU THAM KHẢO [1] Roger M Needham, “Denial of Service: An Example,” Commun ACM, vol 37, no 11, pp 42–46, Nov 1994 [2] J Mirkovic and P Reiher, “A taxonomy of DDoS attack and DDoS defense mechanisms,” ACM SIGCOMM Comput Commun Rev., vol 34, no 2, p 39, Apr 2004 [3] S T Zargar, J Joshi, and D Tipper, “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks,” IEEE Commun Surv Tutor., vol 15, no 4, pp 2046–2069, Apr 2013 [4] E Alomari, S Manickam, B B Gupta, S Karuppayah, and R Alfaris, “Botnet-based Distributed Denial of Service (DDoS) Attacks on Web Servers: Classification and Art,” Int J Comput Appl., vol 49, no 7, pp 24–32, Jul 2012 [5] VeriSign, Inc., “Verisign DDoS Trends Report - Volume 3, Issue - 4th Quarter 2016.” Verisign Pubic, Jan-2017 [6] Nexusguard Limited, “Threat Report - Distributed Denial of Service (DDoS) - Q3 2018.” NexusGuard, Oct-2018 [7] Kaspersky Lab., “DDoS Attacks in Q3 2018.” [Online] Available: https://securelist.com/ ddos-report-in-q3-2018/88617/ [Accessed: 07-Jan-2019] [8] A Networks, “NETSCOUT Arbor’s 2018 Annual Worldwide Infrastructure Security Report,” Arbor Networks® [Online] Available: https://www.netscout.com/report [Accessed: 20-Jan-2019] [9] T Kanti Srikantaiah and D Xiaoying, “The Internet and its impact on developing countries: examples from China and India,” Asian Libr., vol 7, no 9, pp 199–209, Sep 1998 [10] C Fu, G Zhang, J Yang, and X Liu, “Study on the contract characteristics of Internet architecture,” Enterp Inf Syst., vol 5, no 4, pp 495–513, Nov 2011 [11] J Fang, W Jintao, and T Wei, “On the Relationship between Internet and Traditional Communication Industry,” Insight - News Media, vol 1, no 1, pp 1–6, 2018 [12] L A Mohammed et al., “On the Design of SOHO Networks,” in Technological Developments in Networking, Education and Automation, Springer Netherlands, 2010, pp 555–560 [13] P Szewczyk and R Macdonald, “Broadband router security: History, challenges and future implications,” J Digit Forensics Secur Law, vol 12, no 4, pp 55–74, Jan 2017 [14] E Basinya and A Rudkovskiy, “Automatic Traffic Control System for SOHO Computer Networks,” in Recent Research in Control Engineering and Decision Making International Conference on Information Technologies: Information and Communication Technologies for Research and Industry (ICIT-2019), Saratov, Russia, 2019, pp 743– 754 110 [15] M H Bhuyan, H J Kashyap, D K Bhattacharyya, and J K Kalita, “Detecting Distributed Denial of Service Attacks: Methods, Tools and Future Directions,” Comput J., vol 57, no 4, pp 537–556, Apr 2014 [16] Y Kim, W C Lau, M C Chuah, and H J Chao, “PacketScore: a statistics-based packet filtering scheme against distributed denial-of-service attacks,” IEEE Trans Dependable Secure Comput., vol 3, no 2, pp 141–155, Apr 2006 [17] C.-F Tsai, Y.-F Hsu, C.-Y Lin, and W.-Y Lin, “Intrusion detection by machine learning: A review,” Expert Syst Appl., vol 36, no 10, pp 11994–12000, Dec 2009 [18] Eddy Wesley M., “Defenses Against TCP SYN Flooding Attacks,” Internet Protoc J., vol 9, no 4, pp 2–16, Dec 2006 [19] Open Networking Foundation, “SDN Architecture Overview Version 1.0,” 12-Dec-2013 [Online] Available: https://www.opennetworking.org/images/stories/downloads/sdnresources/technical-reports/SDN-architecture-overview-1.0.pdf [Accessed: 12-Jul2018] [20] Open Networking Foundation, “OpenFlow Switch Specification Version 1.5.1 (Protocol version 0x06),” 26-Mar-2015 [Online] Available: https://www.opennetworking.org/wpcontent/uploads/2014/10/openflow-switch-v1.5.1.pdf [Accessed: 12-Jul-2018] [21] K Giotis, C Argyropoulos, G Androulidakis, D Kalogeras, and V Maglaris, “Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments,” Comput Netw., vol 62, pp 122–136, Apr 2014 [22] R Braga, E Mota, and A Passito, “Lightweight DDoS flooding attack detection using NOX/OpenFlow,” in IEEE Local Computer Network Conference, Denver, CO, USA, 2010, pp 408–415 [23] C.-J Chung, P Khatkar, T Xing, J Lee, and D Huang, “NICE: Network Intrusion Detection and Countermeasure Selection in Virtual Network Systems,” IEEE Trans Dependable Secure Comput., vol 10, no 4, pp 198–211, Jul 2013 [24] S Lim, J Ha, H Kim, Y Kim, and S Yang, “A SDN-oriented DDoS blocking scheme for botnet-based attacks,” in 2014 Sixth International Conference on Ubiquitous and Future Networks (ICUFN), Shanghai, China, 2014, pp 63–68 [25] T Xing, D Huang, L Xu, C J Chung, and P Khatkar, “SnortFlow: A OpenFlow-based intrusion prevention system in cloud environment,” in Proceedings - 2013 2nd GENI Research and Educational Experiment Workshop, GREE 2013, Salt Lake, Utah, USA, 2013, pp 89–92 [26] T Chin, X Mountrouidou, X Li, and K Xiong, “Selective Packet Inspection to Detect DoS Flooding Using Software Defined Networking (SDN),” in 2015 IEEE 35th International Conference on Distributed Computing Systems Workshops, Columbus, OH, USA, 2015, pp 95–99 [27] Sufian Hameed and Hassan Ahmed Khan, “SDN Based Collaborative Scheme for Mitigation of DDoS Attacks,” Future Internet, vol 10, no 3, p 23, Feb 2018 [28] S Shin, V Yegneswaran, P Porras, and G Gu, “AVANT-GUARD: scalable and vigilant switch flow management in software-defined networks,” in Proceedings of the 2013 111 ACM SIGSAC conference on Computer & communications security - CCS ’13, Berlin, Germany, 2013, pp 413–424 [29] M Ambrosin, M Conti, F De Gaspari, and R Poovendran, “LineSwitch: Efficiently Managing Switch Flow in Software-Defined Networking While Effectively Tackling DoS Attacks,” in Proceedings of the 10th ACM Symposium on Information, Computer and Communications Security, New York, NY, USA, 2015, pp 639–644 [30] M Ambrosin, M Conti, F De Gaspari, and R Poovendran, “LineSwitch: Tackling Control Plane Saturation Attacks in Software-Defined Networking,” IEEEACM Trans Netw., vol 25, no 2, pp 1206–1219, Nov 2016 [31] V D Gligor, “A Note on Denial-of-Service in Operating Systems,” Softw Eng IEEE Trans On, vol SE-10, no 3, pp 320–324, Jun 1984 [32] Q Yan, F R Yu, Q Gong, and J Li, “Software-Defined Networking (SDN) and Distributed Denial of Service (DDoS) Attacks in Cloud Computing Environments: A Survey, Some Research Issues, and Challenges,” IEEE Commun Surv Tutor., vol 18, no 1, pp 602–622, Firstquarter 2016 [33] T Peng, C Leckie, and K Ramamohanarao, “Survey of Network-based Defense Mechanisms Countering the DoS and DDoS Problems,” ACM Comput Surv., vol 39, no 1, Apr 2007 [34] F Lau, S H Rubin, M H Smith, and L Trajkovic, “Distributed denial of service attacks,” in Proceedings of 2000 IEEE International Conference on Systems, man and cybernetics “Cybernetics evolving to systems, humans, organizations, and their complex interactions,” Nashville, TN, USA, 2000, vol 3, pp 2275–2280 vol.3 [35] N Dayal, P Maity, S Srivastava, and R Khondoker, “Research Trends in Security and DDoS in SDN: Research Trends in Security and DDoS in SDN,” Secur Commun Netw., vol 9, no 18, pp 6386–6411, Dec 2016 [36] C Douligeris and A Mitrokotsa, “DDoS attacks and defense mechanisms: Classification and state-of-the-art,” Comput Netw., vol 44, no 5, pp 643–666, Apr 2004 [37] O Yevsieieva and S M Helalat, “Analysis of the impact of the slow HTTP DOS and DDOS attacks on the cloud environment,” in 2017 4th International Scientific-Practical Conference Problems of Infocommunications Science and Technology (PICST), Kharkov, Ukraine, 2017, pp 519–523 [38] Abor Networks, “13th Worldwide Infrastructure Security Report,” 2018 [Online] Available: https://pages.arbornetworks.com/rs/082-KNA-087/images/13th_Worldwide_ Infrastructure_Security_Report.pdf [Accessed: 28-Dec-2018] [39] Postel, J., “Transmission Control Protocol, DAPRA Internet Program - Protocol Specification, RFC 793,” Sep-1981 [Online] Available: https://tools.ietf.org/ html/rfc793 [40] W M Eddy , “TCP SYN Flooding Attacks and Common Mitigations.” [Online] Available: https://tools.ietf.org/html/rfc4987 [Accessed: 18Nov-2018] [41] A T Mizrak, S Savage, and K Marzullo, “Detecting compromised routers via packet forwarding behavior,” IEEE Netw., vol 22, no 2, pp 34–39, Mar 2008 112 [42] K Park and H Lee, “On the Effectiveness of Route-based Packet Filtering for Distributed DoS Attack Prevention in Power-law Internets,” in Proceedings of the 2001 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications, New York, NY, USA, 2001, pp 15–26 [43] J M Gonzalez, M Anwar, and J B D Joshi, “A trust-based approach against IPspoofing attacks,” in 2011 Nineth Annual International Conference on Privacy, Security and Trust (PST 2011), Montreal, Quebec, Canada, 2011, pp 63–70 [44] J R Hughes, T Aura, and M Bishop, “Using conservation of flow as a security mechanism in network protocols,” in Proceeding 2000 IEEE Symposium on Security and Privacy (SP 2000), Berkeley, California, USA, 2000, pp 132–141 [45] J Mirkovic, G Prier, and P Reiher, “Attacking DDoS at the source,” in Proceedings of the 10th IEEE International Conference on Network Protocols (ICNP 2002), Paris, France, 2002, pp 312–321 [46] A Yaar, A Perrig, and D Song, “Pi: a path identification mechanism to defend against DDoS attacks,” in 2003 Symposium on Security and Privacy, Berkeley, CA, USA, 2003, pp 93–107 [47] Y Xiang, W Zhou, and M Guo, “Flexible Deterministic Packet Marking: An IP Traceback System to Find the Real Source of Attacks,” IEEE Trans Parallel Distrib Syst., vol 20, no 4, pp 567–580, Apr 2009 [48] V Aghaei-Foroushani and A N Zincir-Heywood, “On Evaluating IP Traceback Schemes: A Practical Perspective,” in 2013 IEEE Security and Privacy Workshops (SPW), University of California, Berkeley, USA, 2013, pp 127–134 [49] S Savage, D Wetherall, A Karlin, and T Anderson, “Practical Network Support for IP Traceback,” in Proceedings of the Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication, New York, NY, USA, 2000, pp 295–306 [50] A Belenky and N Ansari, “Tracing multiple attackers with deterministic packet marking (DPM),” in 2003 IEEE Pacific Rim Conference on Communications Computers and Signal Processing (PACRIM 2003) (Cat No.03CH37490), Victoria, BC, Canada, 2003, vol 1, pp 49–52 vol.1 [51] Daniel J Bernstein, “SYN cookies.” syncookies.html [Accessed: 30-Aug-2018] [Online] Available: https://cr.yp.to/ [52] P Gogoi, D K Bhattacharyya, B Borah, and J K Kalita, “A Survey of Outlier Detection Methods in Network Anomaly Identification,” Comput J., vol 54, no 4, pp 570–588, Apr 2011 [53] M Ahmed, A Naser Mahmood, and J Hu, “A survey of network anomaly detection techniques,” J Netw Comput Appl., vol 60, pp 19–31, Jan 2016 [54] A Patcha and J.-M Park, “An overview of anomaly detection techniques: Existing solutions and latest technological trends,” Comput Netw., vol 51, no 12, pp 3448–3470, Aug 2007 [55] M Javed, A B Ashfaq, M Z Shafiq, and S A Khayam, “On the Inefficient Use of Entropy for Anomaly Detection,” in Recent Advances in Intrusion Detection, vol 5758, 113 E Kirda, S Jha, and D Balzarotti, Eds Berlin, Heidelberg: Springer Berlin Heidelberg, 2009, pp 369–370 [56] S Mukkamala, G Janoski, and A Sung, “Intrusion detection using neural networks and support vector machines,” in Proceedings of the 2002 International Joint Conference on Neural Networks IJCNN’02 (Cat No.02CH37290), Honolulu, HI, USA, 2002, vol 2, pp 1702–1707 vol.2 [57] C Kruegel, D Mutz, W Robertson, and F Valeur, “Bayesian event classification for intrusion detection,” in 19th Annual Computer Security Applications Conference, 2003 Proceedings., Las Vegas, Nevada, USA, 2003, pp 14–23 [58] H Gunes Kayacik, A Nur Zincir-Heywood, and M I Heywood, “A hierarchical SOMbased intrusion detection system,” Eng Appl Artif Intell., vol 20, no 4, pp 439–451, Jun 2007 [59] T Komatsu and A Namatame, “On the Effectiveness of Rate-Limiting Methods to Mitigate Distributed DoS (DDoS) Attacks,” IEICE Trans Commun., vol E90-B, no 10, pp 2665–2672, Oct 2007 [60] N Z Bawany, J A Shamsi, and K Salah, “DDoS Attack Detection and Mitigation Using SDN: Methods, Practices, and Solutions,” Arab J Sci Eng., vol 42, no 2, pp 425–441, Feb 2017 [61] Bradley Mitchell, “How SOHO Routers and Networks Differ From Ordinary Ones,” Lifewire [Online] Available: https://www.lifewire.com/soho-routers-and-networksexplained-3971344 [Accessed: 02-Apr-2019] [62] A Bisong and S S M Rahman, “An Overview Of The Security Concerns In Enterprise Cloud Computing,” Int J Netw Secur Its Appl., vol 3, no 1, pp 30–45, Jan 2011 [63] D Oxenhandler, “Designing a Secure Local Area Network,” SANS Institute, 2003 [Online] Available: https://www.sans.org/reading-room/whitepapers/bestprac/ designing-secure-local-area-network-853 [Accessed: 12-Dec-2018] [64] J Hietala, “Network Security- A Guide for Small and Mid-sized Businesses,” SANS Institute, 2005 [Online] Available: https://www.sans.org/reading-room/whitepapers/ basics/network-security-guide-small-mid-sized-businesses-1539 [Accessed: 12-Dec2018] [65] “SDN Controller Vendors (SDN Controller Companies) - Part 1.” [Online] Available: https://www.sdxcentral.com/sdn/definitions/sdn-controllers/sdn-controllerscomprehensive-list/ [Accessed: 30-Dec-2018] [66] “SDN Controller Comparison Part 2: Open Source SDN Controllers.” [Online] Available: https://www.sdxcentral.com/sdn/definitions/sdn-controllers/open-source-sdncontrollers/ [Accessed: 30-Dec-2018] [67] S Jain et al., “B4: Experience with a Globally-deployed Software Defined Wan,” in Proceedings of the ACM SIGCOMM 2013 Conference on SIGCOMM, New York, NY, USA, 2013, pp 3–14 [68] “Huawei Agile Campus Network Solution Brochure (Compact Version),” Huawei Enterprise [Online] Available: https://e.huawei.com/en/material/ 114 onLineView?MaterialID=de61d5ca95954c85bd96e2e9c9108401 [Accessed: 30-Dec2018] [69] The Linux Foundation Collaborative Project, “Open vSwitch.” [Online] Available: https://www.openvswitch.org/ [Accessed: 18-Aug-2018] [70] “The POX network software platform,” GitHub [Online] Available: https://github.com/ noxrepo/pox [Accessed: 28-Aug-2018] [71] “Ryu SDN Framework.” [Online] Available: https://osrg.github.io/ryu/ [Accessed: 18Nov-2018] [72] P Berde et al., “ONOS: towards an open, distributed SDN OS,” in Proceedings of the third workshop on Hot topics in Software Defined Networking - HotSDN ’14, Chicago, Illinois, USA, 2014, pp 1–6 [73] “OpenDaylight.” [Online] Available: https://www.opendaylight.org/ [Accessed: 18Nov-2018] [74] “Floodlight OpenFlow Controller,” Project Floodlight [Online] http://www.projectfloodlight.org/floodlight/ [Accessed: 26-Sep-2018] Available: [75] NOX Repo, “The NOX Controller,” 10-Oct-2018 https://github.com/noxrepo/nox [Accessed: 18-Nov-2018] Available: [Online] [76] “Mininet: An Instant Virtual Network on your Laptop (or other PC) - Mininet.” [Online] Available: http://mininet.org/ [Accessed: 30-Dec-2018] [77] R Wang, Z Jia, and L Ju, “An Entropy-Based Distributed DDoS Detection Mechanism in Software-Defined Networking,” in Proceedings of the 2015 IEEE Trustcom/BigDataSE/ISPA - Volume 01, Washington, DC, USA, 2015, pp 310–317 [78] S A Mehdi, J Khalid, and S A Khayam, “Revisiting Traffic Anomaly Detection Using Software Defined Networking,” in Recent Advances in Intrusion Detection, vol 6961, R Sommer, D Balzarotti, and G Maier, Eds Berlin, Heidelberg: Springer Berlin Heidelberg, 2011, pp 161–180 [79] S Dotcenko, A Vladyko, and I Letenko, “A fuzzy logic-based information security management for software-defined networks,” in 16th International Conference on Advanced Communication Technology, Pyeongchang, Korea (South), 2014, pp 167–171 [80] R Jin and B Wang, “Malware Detection for Mobile Devices Using Software-Defined Networking,” in 2013 Second GENI Research and Educational Experiment Workshop, Salt Lake, UT, USA, 2013, pp 81–88 [81] C Dillon and M Berkelaar, “OpenFlow (D)DoS Mitigation.” [Online] Available: http://www.delaat.net/rp/2013-2014/p42/presentation.pdf [Accessed: 28-Dec-2018] [82] S Shin, P Porras, V Yegneswaran, M Fong, G Gu, and M Tyson, “FRESCO: Modular Composable Security Services for Software-Defined Networks,” in Network and Distributed System Security Symposium, San Diego, California, 2013, pp 1–16 [83] S E Schechter, J Jung, and A W Berger, “Fast Detection of Scanning Worm Infections,” in Proceedings of the International Workshop on Recent Advances in Intrusion Detection (RAID 2004), Sophia Antipolis, France, 2004, pp 59–81 115 [84] M M Williamson, “Throttling viruses: restricting propagation to defeat malicious mobile code,” in Proceedings of the 18th Annual Computer Security Applications Conference, 2002, Las Vegas, NV, USA, 2002, pp 61–68 [85] S T Ali, V Sivaraman, A Radford, and S Jha, “A Survey of Securing Networks Using Software Defined Networking,” IEEE Trans Reliab., vol 64, no 3, pp 1086–1097, Sep 2015 [86] A F M Piedrahita, S Rueda, D M F Mattos, and O C M B Duarte, “Flowfence: a denial of service defense system for software defined networking,” in Proceedings of the 2015 Global Information Infrastructure and Networking Symposium (GIIS 2015), Guadalajara, Mexico, 2015, pp 1–6 [87] L von Ahn, M Blum, N J Hopper, and J Langford, “CAPTCHA: Using Hard AI Problems for Security,” in Proceedings of the International Conference on the Theory and Applications of Cryptographic Techniques - Advances in Cryptology — EUROCRYPT 2003, Warsaw, Poland, 2003, pp 294–311 [88] E Al-Shaer and S Al-Haj, “FlowChecker: configuration analysis and verification of federated openflow infrastructures,” in Proceedings of the 3rd ACM workshop on Assurable and usable security configuration, Chicago, IL, USA, 2010, pp 37–44 [89] “FlowVisor: A network hypervisor,” 12-Dec-2018 [Online] https://github.com/opennetworkinglab/flowvisor [Accessed: 10-Jul-2018] Available: [90] “Network Verification Tools,” Veriflow [Online] Available: https://www.veriflow.net/ [Accessed: 02-Jan-2019] [91] G Yao, J Bi, and P Xiao, “Source address validation solution with OpenFlow/NOX architecture,” in 2011 19th IEEE International Conference on Network Protocols, Vancouver, AB, Canada, 2011, pp 7–12 [92] R Kandoi and M Antikainen, “Denial-of-service attacks in OpenFlow SDN networks,” in 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM), Ottawa, Canada, 2015, pp 1322–1326 [93] P Zhang, H Wang, C Hu, and C Lin, “On Denial of Service Attacks in Software Defined Networks,” IEEE Netw., vol 30, no 6, pp 28–33, Nov 2016 [94] R Kloti, V Kotronis, and P Smith, “OpenFlow: A security analysis,” in 2013 21st IEEE International Conference on Network Protocols (ICNP), Goettingen, Germany, 2013, pp 1–6 [95] D Kreutz, F M V Ramos, and P Verissimo, “Towards secure and dependable softwaredefined networks,” in Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking - HotSDN ’13, Hong Kong, China, 2013, p 55 [96] B Wang, Y Zheng, W Lou, and Y T Hou, “DDoS Attack Protection in the Era of Cloud Computing and Software-Defined Networking,” in 2014 IEEE 22nd International Conference on Network Protocols, Raleigh, NC, USA, 2014, pp 624–629 [97] L Wei and C Fung, “FlowRanger: A request prioritizing algorithm for controller DoS attacks in Software Defined Networks,” in 2015 IEEE International Conference on Communications (ICC), London, England, 2015, pp 5254–5259 116 [98] N I Mowla, I Doh, and K Chae, “Multi-defense Mechanism against DDoS in SDN Based CDNi,” in 2014 Eighth International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing, Birmingham, UK, 2014, pp 447–451 [99] S Fichera, L Galluccio, S C Grancagnolo, G Morabito, and S Palazzo, “OPERETTA: An OPEnflow-based REmedy to mitigate TCP SYNFLOOD Attacks against web servers,” Comput Netw., vol 92, Part 1, pp 89–100, Dec 2015 [100] X Wang, M Chen, and C Xing, “SDSNM: A Software-Defined Security Networking Mechanism to Defend against DDoS Attacks,” in 2015 Ninth International Conference on Frontier of Computer Science and Technology (FCST), Dalian, China, 2015, pp 115– 121 [101] F R Johnston, J E Boyland, M Meadows, and E Shale, “Some Properties of a Simple Moving Average when Applied to Forecasting a Time Series,” J Oper Res Soc., vol 50, pp 1267–1271, Dec 1999 [102] S H Shih and C P Tsokos, “A Weighted Moving Average Process for Forecasting,” J Mod Appl Stat Methods, vol 7, no 1, pp 187–197, May 2008 [103] Bo Zhou, Dan He, and Zhili Sun, “Traffic Modeling and Prediction using ARIMA/GARCH Model,” in Modeling and Simulation Tools for Emerging Telecommunication Networks, A Nejat Ince and Ercan Topuz, Eds Springer International Publishing, 2006, pp 101–121 [104] Y Zhuang, L Chen, X S Wang, and J Lian, “A Weighted Moving Average-based Approach for Cleaning Sensor Data,” in 27th International Conference on Distributed Computing Systems (ICDCS ’07), Toronto, ON, Canada, 2007, pp 38–38 [105] R J Hyndman, A B Koehler, R D Snyder, and S Grose, “A state space framework for automatic forecasting using exponential smoothing methods,” Int J Forecast., vol 18, no 3, pp 439–454, 2002 [106] F Wamser, R Pries, D Staehle, K Heck, and P Tran-Gia, “Traffic characterization of a residential wireless Internet access,” Telecommun Syst., vol 48, no 1–2, pp 5–17, Oct 2011 [107] Center for Applied Internet Data, “The CAIDA Anonymized Internet Traces 2013 Dataset,” CAIDA [Online] Available: http://www.caida.org/data/ passive/passive_2013_dataset.xml [Accessed: 29-Sep-2018] [108] Center for Applied Internet Data, “The CAIDA ‘DDoS Attack 2007’ Dataset,” CAIDA [Online] Available: http://www.caida.org/data/passive/ddos-20070804_dataset.xml [Accessed: 07-Jan-2019] [109] Philippe Biondi and the Scapy community, “Scapy,” Scapy Project [Online] Available: https://scapy.net/ [Accessed: 18-Nov-2018] [110] Radware & NEC Corporation of America, “Denial-of-Service (DoS) Secured Virtual Tenant Networks (VTN).” Radware, Ltd, 2012 [111] Kaspersky Lab., “DDoS attacks in Q1 2018.” [Online] Available: https://securelist.com/ ddos-report-in-q1-2018/85373/ [Accessed: 07-Dec-2018] [112] J Lemon, “Resisting SYN flood DoS attacks with a SYN cache,” in Proceedings of the BSDCon 2002, San Francisco, CA, USA, pp 89–98 117 [113] S Kumar, S Member, and R S Reddy Gade, “Evaluation of Microsoft Windows Servers 2008 & 2003 against Cyber Attacks,” J Inf Secur., vol 06, no 02, pp 155–160, 2015 [114] “NetFPGA.” [Online] Available: https://netfpga.org/site/#/ [Accessed: 10-Jan-2019] [115] Markus Goldstein, “BoNeSi: the DDoS Botnet Simulator,” BoNeSi, 02-Sep-2018 [Online] Available: https://github.com/Markus-Go/bonesi [Accessed: 06-Sep-2018] [116] “Tcpreplay - Pcap editing and replaying utilities.” https://tcpreplay.appneta.com/ [Accessed: 26-Sep-2018] [Online] Available: [117] “Linux.org,” Linux.org [Online] Available: https://www.linux.org/ [Accessed: 10-Jan2019] [118] S Savage, D Wetherall, A Karlin, and T Anderson, “Network support for IP traceback,” IEEEACM Trans Netw., vol 9, no 3, pp 226–237, Jun 2001 [119] J Liu, Z.-J Lee, and Y.-C Chung, “Dynamic probabilistic packet marking for efficient IP traceback,” Comput Netw., vol 51, no 3, pp 866–882, Feb 2007 [120] V Paruchuri, A Durresi, R Kannan, and S Iyengar, “Authenticated Autonomous System Traceback,” in Proceedings of the 18th International Conference on Advanced Information Networking and Applications (AINA 2014), Fukuoka, Japan, 2004, vol 1, pp 406–413 [121] M Alenezi and M Reed, “Efficient AS DoS traceback,” in Proceedings of the International Conference on Computer Applications Technology, ICCAT 2013, Sousse,Tunisia, 2013, pp 1–5 [122] A Belenky and N Ansari, “IP traceback with deterministic packet marking,” IEEE Commun Lett., vol 7, no 4, pp 162–164, Apr 2003 [123] V K Soundar Rajam and S Shalinie, “A novel traceback algorithm for DDoS attack with marking scheme for online system,” in Proceedings of the 2012 International Conference on Recent Trends in Information Technology, Chennai, Tamil Nadu, India, 2012, pp 407–412 [124] K Nichols, D L Black, S Blake, and F Baker, “Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers.” [Online] Available: https://tools.ietf.org/ html/rfc2474 [Accessed: 10-Dec-2018] [125] S Floyd, K K Ramakrishnan, and D L Black, “The Addition of Explicit Congestion Notification (ECN) to IP.” [Online] Available: https://tools.ietf.org/html/rfc3168 [Accessed: 10-Jan-2019] [126] B Claise, “Cisco Systems NetFlow Services Export Version 9.” [Online] Available: https://tools.ietf.org/html/rfc3954 [Accessed: 18-Nov-2018] [127] D D Clark, “IP datagram reassembly algorithms.” https://tools.ietf.org/html/rfc815 [Accessed: 10-Jan-2019] [Online] Available: [128] W Simpson, “The Point-to-Point Protocol (PPP).” https://tools.ietf.org/html/rfc1661 [Accessed: 10-Jan-2019] [Online] Available: [129] S Shin and G Gu, “Attacking Software-defined Networks: A First Feasibility Study,” in Proceedings of the Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking, New York, NY, USA, 2013, pp 165–166 118 [130] S Scott-Hayward, S Natarajan, and S Sezer, “A Survey of Security in Software Defined Networks,” IEEE Commun Surv Tutor., vol 18, no 1, pp 623–654, 2016 [131] M Sugeno, Industrial Applications of Fuzzy Control New York, NY, USA: Elsevier Science Inc., 1985 [132] J L Deng, “Introduction to Grey System Theory,” J Grey Syst., vol 1, no 1, pp 1–24, Nov 1989 [133] S Liu and Y Lin, Grey Information: Theory and Practical Applications London: Springer-Verlag, 2006 [134] E Kayacan, B Ulutas, and O Kaynak, “Grey System Theory-based Models in Time Series Prediction,” Expert Syst Appl, vol 37, no 2, pp 1784–1789, Mar 2010 [135] S Wang, Q Sun, H Zou, and F Yang, “Detecting SYN flooding attacks based on traffic prediction: A demonstration of the security comm networks class file,” Secur Commun Netw., vol 5, no 10, pp 1131–1140, Oct 2012 [136] Open Networking Foundation, “OpenFlow Switch Specification Version 1.3.0 (Wire Protocol 0x04),” 25-Jun-2012 [Online] Available: https://www.opennetworking.org/ wp-content/uploads/2014/10/openflow-spec-v1.3.0.pdf [Accessed: 12-Jul-2018] [137] The Linux Foundation Projects, “Data Plane Development Kit (DPDK),” DPDK [Online] Available: https://www.dpdk.org/ [Accessed: 18-Aug-2018] [138] “Wireshark.” [Online] Available: https://www.wireshark.org/ [Accessed: 26-Sep2018] ... lành tính phân tích từ lưu lượng CAIDA 103 xiv MỞ ĐẦU Tấn công từ chối dịch vụ phân tán công nghệ SDN 1.1 Tấn công từ chối dịch vụ phân tán - Trong năm gần đây, phát triển mạnh mẽ công nghệ thông... chủ, dịch vụ cấu hình giới hạn khả phục vụ dịch vụ, thay đổi bảng định tuyến thiết bị mạng để cách ly lưu lượng người dùng hợp pháp với máy chủ Tấn công DDoS Tấn công từ chối dịch vụ phân tán. .. chung, Internet xuất ẩn chứa nhiều nguy công gây an ninh mạng có hình thức công từ chối dịch vụ (DoS) [1], công từ chối dịch vụ phân tán (sau gọi tắt công DDoS) [2]–[4] Mặc dù không gây lỗi liệu,