Mục tiêu nghiên cứu: Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau.
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN Ngành: Kỹ thuật Viễn thơng Mã số: 9520208 TĨM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG Hà Nội – 2019 Cơng trình hồn thành tại: Trường Đại học Bách khoa Hà Nội Người hướng dẫn khoa học: PGS TS TRƯƠNG THU HƯƠNG PGS TS NGUYỄN TÀI HƯNG Phản biện 1:……………………………………………… Phản biện 2:……………………………………………… Phản biện 3:……………………………………………… Luận án bảo vệ trước Hội đồng đánh giá luận án tiến sĩ cấp Trường họp Trường Đại học Bách khoa Hà Nội Vào hồi …… giờ, ngày … tháng … năm ……… Có thể tìm hiểu luận án thư viện: Thư viện Tạ Quang Bửu - Trường ĐHBK Hà Nội Thư viện Quốc gia Việt Nam MỞ ĐẦU 1.1 Tấn công từ chối dịch vụ phân tán công nghệ SDN Trong năm gần đây, phát triển mạnh mẽ dịch vụ mạng phục vụ đời sống xã hội, làm cho số lượng nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng Vấn đề đảm bảo an tồn, tin cậy cho tổ chức khai thác dịch vụ đặt lên hàng đầu Với chế hình thành dựa ghép nối hệ tự trị thiếu kiểm soát chung, Internet xuất ẩn chứa nhiều nguy công gây an ninh mạng có cơng từ chối dịch vụ (DoS), công từ chối dịch vụ phân tán (DDoS) Mặc dù khơng gây lỗi liệu, cơng DoS/DDoS có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng tổ chức khai thác dịch vụ Internet Đặc biệt mạng quy mô nhỏ (SOHO network) tham gia kết nối trực tiếp Internet với tỷ lệ ngày lớn, đa dạng thiếu trọng, tính chuyên nghiệp, đảm bảo an ninh thiết kế, quản lý, vận hành Trong kỹ thuật mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại ngăn chặn lưu lượng công DDoS đề xuất triển khai Một vấn đề tồn lớn kỹ thuật mạng thiết bị mạng vốn phát triển kỹ thuật xử lý gói tin theo chuẩn riêng nhà sản xuất khác nên việc cấu hình tự động, thiết lập tham số để phịng chống cơng DDoS khó khăn Các thao tác xử lý công xảy chủ yếu thực tay, hạn chế lưu lượng thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu lượng lành tính, khơng có khả phân loại xóa bỏ xác theo biến động lưu lượng mạng Bên cạnh đó, Tấn cơng DDoS công vào lực phục vụ hệ thống mạng Với cấu trúc, quy mô, đặc điểm dịch vụ mạng khác khả chịu đựng công hệ thống mạng khác Do khơng có giải pháp phịng chống công, tham số hệ thống áp dụng chung cho tất loại mạng Với hệ thống cụ thể, người quản trị cần lựa chọn, tích hợp giải pháp, thiết lập tham số phù hợp để có hiệu phòng chống tối ưu Trước yêu cầu phát triển mạnh mẽ công nghệ dịch vụ mạng, công nghệ mạng điều khiển phần mềm SDN (Software Defined Networking)ra đời cho phép quản trị, điều khiển, thiết lập sách mạng cách tập trung, mềm dẻo Trong Openflow giao thức công nghệ SDN tập trung nghiên cứu, phát triển, nhanh chóng thu hút nghiên cứu ứng dụng quản trị, tổ chức dịch vụ, nâng cao hiệu hệ thống mạng Kỹ thuật SDN/Openflow nghiên cứu đề xuất ứng dụng nhiều giải pháp an ninh mạng có giải pháp phịng chống cơng DDoS 1.2 Những vấn đề cịn tồn - Công nghệ SDN, kỹ thuật SDN/Openflow đánh giá kỳ vọng công nghệ mạng thay cho công nghệ, kỹ thuật mạng truyền thống SDN/Openflow có khả cung cấp liệu thống kê đặc tính lưu lượng lập trình xử lý lưu lượng theo biến thiên đặc tính Đặc điểm phù hợp với quy trình phát giảm thiểu cơng DDoS Đã có nhiều giải pháp phịng chống cơng DDoS dựa SDN/Openflow đề xuất Tuy nhiên, (1) Một số giải pháp phát cơng, chưa có chế phân loại, giảm thiểu công; (2) Hầu hết dừng lại ý tưởng, thử nghiệm với quy mô thử chức năng, chưa triển khai hệ thống thử nghiệm đo phân tích với lưu lượng thật; (3) Một số giải pháp tích hợp chức xử lý gói tin chuyển mạch làm chất SDN, chế xử lý gói tin SDN chưa ứng dụng làm chậm thời gian đáp ứng, giảm hiệu hệ thống Trong bối cảnh đó, vấn đề đặt làm nâng cao hiệu giải pháp phịng chống cơng DDoS sử dụng trực tiếp liệu thống kê lưu lượng chế xử lý gói tin kỹ thuật SDN/Openflow để áp dụng cho mạng quy mô nhỏ mà không cần bổ sung thiết bị an ninh chuyên dụng? - Do phải truy vấn liệu qua giao diện mã hóa Openflow, việc sử dụng túy liệu thống kê kỹ thuật SDN/Openflow để phát giảm thiểu công làm giới hạn quy mô lưu lượng hệ thống Để khắc phục vấn đề này, số giải pháp đề xuất sử dụng kết hợp phân tích lưu lượng truyền thống (sFlow, Snort,…) nhiên hiệu chưa cao xử lý lưu lượng công dựa vào giao thức Openflow Vấn đề đặt chế kỹ thuật SDN/Openflow làm để điều khiển hoạt động phân tích lưu lượng, sử dụng thơng tin cung cấp phân tích lưu lượng để nâng cao hiệu phát giảm thiểu công giải pháp? 1.3 Mục tiêu, đối tượng phạm vi nghiên cứu a) Mục tiêu nghiên cứu: Nghiên cứu đề xuất giải pháp phịng chống cơng DDoS dựa kỹ thuật SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ bối cảnh khác b) Đối tượng nghiên cứu: • Cơng nghệ SDN, kỹ thuật SDN/Openflow • Các phương thức, kỹ thuật cơng DDoS phổ biến kỹ thuật mạng truyền thống mạng SDN/Openflow • Các giải pháp phịng chống cơng DDoS dựa kỹ thuật mạng truyền thống kỹ thuật SDN/Openflow đề xuất • Các liệu lưu lượng lành tính cơng DDoS c) Phương pháp phạm vi nghiên cứu: • Phương pháp nghiên cứu luận án bao gồm nghiên cứu lý thuyết; xây dựng mơ hình, giải pháp; lựa chọn phát triển thuật tốn; phân tích liệu mơ xây dựng hệ thống thử nghiệm, đo lường, đánh giá so sánh • Phạm vi nghiên cứu tập trung vào: Đề xuất giải pháp phịng chống cơng DDoS bảo vệ máy chủ hệ thống mạng quy mơ nhỏ vừa văn phịng, quan nhỏ (SOHO network), áp dụng túy kỹ thuật mạng SDN/Openflow 1.4 Cấu trúc nội dung luận án Cấu trúc luận án gồm có 03 chương với nội dung tóm tắt sau: Chương Tấn cơng DDoS giải pháp phịng chống mạng SDN/Openflow: trình bày tổng quan cơng DDoS, phân loại, kỹ thuật công giải pháp phịng chống cơng DDoS mạng truyền thống; an ninh mạng, công DDoS SOHO network Nội dung chương đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình phần mềm SDN, giao thức Openflow; giải pháp phòng chống công DDoS dựa kiến trúc kỹ thuật SDN/Openflow; công DDoS tới kiến trúc kỹ thuật mạng SDN/Openflow giải pháp phòng chống Chương Đề xuất giải pháp phịng chống cơng DDoS dựa liệu thống kê chế xử lý gói tin kỹ thuật SDN/Openflow: Áp dụng chế kỹ thuật SDN/Openflow đề xuất giải pháp phòng chống công DDoS mạng SDN với quy mô băng thông nhỏ sử dụng túy liệu thống kê lưu lượng chế xử lý gói tin kỹ thuật SDN/Openflow bao gồm: (1) Kỹ thuật phát giảm thiểu cơng DDoS dựa mơ hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng; (2) Kỹ thuật phát ngăn chặn công SYN Flood dựa chế ủy nhiệm gói tin SYN điều khiển, (3) Kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng công Chương Đề xuất giải pháp phịng chống cơng DDoS dựa kỹ thuật SDN/Openflow sử dụng thêm phân tích xử lý lưu lượng: Nội dung chương đề xuất kiến trúc SDN/Openflow mở rộng bổ sung phân tích xử lý lưu lượng điều khiển hoạt động tương tác với thực thể khác theo chế, kỹ thuật SDN/Openflow Dựa kiến trúc mở rộng, đề xuất hai giải pháp phòng chống DDoS bao gồm: (1) Kỹ thuật phân loại giảm thiểu cơng DDoS dựa thuật tốn logic mờ, (2) Kỹ thuật giảm thiểu công SYN Flood tới mạng SDN/Openflow (làm cạn kiệt tài nguyên chuyển mạch, suy giảm lực điều khiển làm nghẽn mạng giao diện Openflow) sử dụng chế ủy nhiệm gói tin SYN phân tích lưu lượng 1.5 Các đóng góp khoa học luận án Luận án thực 02 đóng góp khoa học sau đây: • Đề xuất kỹ thuật phát giảm thiểu cơng DDoS mơ hình dự đốn làm trơn hàm mũ với tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng công; kỹ thuật giảm thiểu công SYN Flood chế ủy nhiệm gói tin SYN sử dụng cơng nghệ SDN • Đề xuất kiến trúc SDN/Openflow mở rộng với phân tích xử lý lưu lượng để nâng cao hiệu phát giảm thiểu công DDoS CHƯƠNG TẤN CƠNG DDOS VÀ CÁC GIẢI PHÁP PHỊNG CHỐNG TRONG MẠNG SDN/OPENFLOW 1.1 Giới thiệu chương Chương trình bày tổng quan cơng DDoS; kiến trúc, kỹ thuật mạng cấu hình phần mềm SDN, giao thức Openflow Phần trình bày kỹ thuật phịng chống cơng DDoS dựa kỹ thuật SDN/Openflow; công DDoS vào thành phần mạng SDN/Openflow giải pháp phòng chống 1.2 Tổng quan công DDoS 1.2.1 Khái niệm Tấn công DoS - Tấn công từ chối dịch vụ DoS (Denial of Service) dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng sử dụng, bị gián đoạn, chậm cách đáng kể cách làm tải tài nguyên hệ thống - Đối tượng cơng DoS là: (1) ứng dụng, dịch vụ, (2) máy chủ, máy tính có địa cụ thể, (3) tồn hệ thống mạng phạm vi cụ thể Mục tiêu công DoS bao gồm nhằm tiêu tốn tài nguyên đối tượng công; cô lập, cách ly đối tượng cơng với người dùng bình thường Các phương pháp cơng DoS thao tác phần cứng, sử dụng kỹ thuật lưu lượng chiếm đoạt quyền điều khiển Tấn công DDoS Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) dạng phát triển mức độ cao cơng DoS sử dụng kỹ thuật lưu lượng lưu lượng công huy động lúc từ nhiều máy tính khác hệ thống mạng 1.2.2 Phân loại công DDoS Phân loại theo kỹ thuật công: Theo cách phân loại này, cơng DDoS phân thành nhóm Hình 1.2 Phân loại theo phương thức huy động nguồn công Nguồn công yếu tố quan trọng tổ chức công DDoS Các phương thức huy động nguồn công bao gồm (1) Giả mạo địa nguồn, (2) Sử dụng botnet (3) Kết hợp giả mạo địa nguồn sử dụng botnet 1.2.3 Các giải pháp phịng chống cơng DDoS dựa cơng nghệ mạng truyền thống Vị trí triển khai giải pháp Các vị trí đề xuất triển khai bao gồm: • Triển khai mạng nguồn phát sinh lưu lượng • Triển khai mạng trung gian: Do khơng có ràng buộc hệ thống tự trị Internet nên việc phối hợp triển khai phòng chống DDoS mạng nguồn mạng trung gian thực tế có hiệu thấp • Triển khai mạng máy chủ đích: Đây giải pháp chủ yếu áp dụng hầu hết hệ thống mạng bao gồm máy chủ (host based) hệ thống mạng (network based) Các giải pháp triển khai phổ biến mạng đích bao gồm: (1) Phát công, (2) Phân loại xác định lưu lượng công, (3) Lọc bỏ lưu lượng công, (4) Truy vết lưu lượng cơng Hình 1.2 Phân loại DDoS theo kỹ thuật công Các kỹ thuật phát cơng • Dựa vào dấu hiệu cơng: Phân tích sâu nội dung tiêu đề gói tin để phát lỗi bất thường Kỹ thuật có độ xác cao, nhiên địi hỏi tính tốn lớn, lưu trữ mẫu cơng biết Ngồi kỹ thuật khơng thể phát mẫu cơng • Dựa vào bất thường lưu lượng: Được áp dụng phổ biến mơ hình đặc tính lưu lượng bình thường xây dựng thống kê, cập nhật Phát công dựa so sánh đặc tính lưu lượng tức thời với lưu lượng bình thường Kỹ thuật áp dụng để phân loại lưu lượng cơng Các thuật tốn phát cơng nhóm bao gồm: (1) Mơ hình thống kê (Statistical), (2) Học máy (Machine learning) (3) Khai phá liệu (Data mining) Các kỹ thuật phòng chống giảm thiểu cơng • Các giải pháp triển khai máy chủ (host based): SYN Cookie, điều chỉnh thời gian chờ TIME_WAIT để ngăn chặn công TCP SYN Flood; đặt ngưỡng số lượng kết nối để ngăn chặn kết nối TCP, UDP, IMCP… • Các giải pháp triển khai hệ thống mạng (network based): Trong cơng nghệ mạng truyền thống, đặc tính đóng kín thiết bị mạng, giải pháp phòng chống DDoS chủ yếu tập trung vào kỹ thuật đặt giới hạn kết nối lưu lượng thao tác ngăn chặn thủ công 1.2.4 Yêu cầu thách thức giải pháp phát ngăn chặn, giảm thiểu công DDoS Một số tham số đánh giá hiệu giải pháp • Độ nhạy: (Sensitivity Detection Rate - DR) đánh giá khả nhận diện lưu lượng cơng • Tỷ lệ báo động nhầm: (False Positive Rate - FPR) đánh giá khả nhận diện nhầm lưu lượng Với lưu lượng nhận dạng Bảng 1.1, DR FPR tính bởi: 𝐷𝐷𝐷𝐷 = 𝐹𝐹𝐹𝐹𝐹𝐹 = 𝑇𝑇𝑇𝑇 𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹 𝐹𝐹𝐹𝐹 𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹 Bảng 1.1 Quan hệ kết phân loại giải pháp đặc tính thực lưu lượng Đặc tính thực lưu lượng (1.1) (1.2) Phân loại giải pháp Lành tính Tấn cơng Lành tính TN FN Tấn cơng FP TP • Thời gian đáp ứng: Đánh giá mức độ phản hồi giải pháp phịng chống cơng • Khả lọc bỏ: Đánh giá khả giảm thiểu, loại bỏ lưu lượng cơng • Khả chịu đựng cơng: Thể lực xử lý hệ thống cụ thể hóa tham số tỷ lệ kết nối thành cơng lưu lượng lành tính, lực xử lý hệ thống… Các yêu cầu thách thức giải pháp phòng chống DDoS Một giải pháp phịng chống cơng DDoS hiệu phải đảm bảo yêu cầu sau: • • • • • Không làm ảnh hưởng đến hoạt động người dùng lưu lượng hợp pháp Cần phải có giải pháp ngăn chặn giảm thiểu công từ bên bên ngồi Có khả hoạt động quy mơ tương ứng hệ thống mạng trung tâm liệu Mềm dẻo, khả thích ứng cao Chi phí triển khai thấp, hạn chế gia tăng thiết bị, tăng tải tính tốn lưu trữ hệ thống Các thách thức đặt phịng chống cơng DDoS: • Sự phân biệt lưu lượng lành tính lưu lượng cơng ngày khó khăn • Dịch vụ mạng dần chuyển sang xu công nghệ đám mây, máy ảo triển khai linh động khắp nơi làm cho nguy công DDoS xuất bên máy ảo • Các dịch vụ lưu trữ multimedia với dung lượng lớn ngày phát triển đòi hỏi hệ thống mạng có băng thơng lớn, độ tin cậy cao, dẫn đến yêu cầu hiệu quy mô mạng lớn Các giải pháp phòng chống DDoS cho mạng tốc độ lớn trở nên khó khăn • Thực tế cho thấy tỷ lệ phát thường tỷ lệ thuận với tỷ lệ phát nhầm Bên cạnh đó, tốc độ dịch vụ mạng ngày lớn dẫn đến lợi dụng gia tăng hình thức cơng tốc độ thấp dai dẳng (Slowloris) phương thức công dễ dàng vượt qua giải pháp phát ngăn chặn gây tỷ lệ phát nhầm cao • Quy mơ hệ thống mạng Internet ngày lớn tạo điều kiện cho botnet phát triển số lượng lực xác sống Điều dẫn đến cường độ quy mô công ngày lớn Với yêu cầu, thách thức trên, công DDoS mối quan tâm giải kỹ thuật kiến trúc mạng hệ 1.3 Cơng nghệ mạng cấu hình phần mềm SDN - Cơng nghệ mạng cấu hình phần mềm SDN đời chuẩn hóa ONF cho phép phần mềm thứ truy nhập thao tác mặt phẳng điều khiển (control plane), cấu hình quản trị thiết bị mạng từ xa, trực tuyến cách sử dụng giao thức mở Openflow - SDN phân tách hệ thống mạng thành hai mặt phẳng: mặt phẳng liệu (data plane) mặt phẳng điều khiển (control plane) với kiến trúc ba lớp Hình 1.4 - Cơng nghệ SDN cho phép điều hành quản lý tài nguyên mạng tập trung, giải nhiều vấn đề công nghệ mạng truyền thống gặp phải có an ninh mạng, phòng chống DDoS 1.4 Giao thức OpenFlow Giao thức luồng mở - Openflow, chuẩn giao tiếp SDN mặt phẳng điều khiển mặt phẳng liệu kiến trúc SDN 1.4.1 Cấu trúc phạm vi chuẩn hóa Openflow Cấu trúc, phạm vi vị trí giao thức Openflow kiến trúc SDN mơ tả Hình 1.5 Openflow chuẩn hóa cấu trúc chuyển mạch, giao thức trao đổi Bộ điều khiển mạng (controller) chuyển mạch Openflow (Openflow switch OFS) Hình 1.4 Kiến trúc mạng cấu hình phần mềm SDN 1.4.2 Nhận dạng quản lý lưu lượng chuyển mạch Openflow Đối tượng xử lý thông tin chuyển mạch OFS gói tin Openflow nhận dạng, phân nhóm quản lý lưu lượng Openflow theo luồng (flow) Những lưu lượng có thuộc tính xuất khoảng thời gian định thuộc vào luồng OFS quản lý nhận dạng quản lý luồng dựa vào mục luồng (flow entry) Các mục luồng quản lý, xếp thành bảng luồng (flow table) 1.4.3 Các tin trao đổi điều khiển chuyển mạch Openflow Hình 1.5 Cấu trúc phạm vi chuẩn hóa Openflow - Openflow quy định cấu trúc tin trao đổi điều khiển chuyển mạch để cấu hình, điều khiển, quản lý trạng thái, kiện từ chuyển mạch Bao gồm nhóm tin: (1) Nhóm tin từ điều khiển tới chuyển mạch; (2) Nhóm tin bất đồng từ chuyển mạch; (3) Nhóm tin hai chiều - Các tin Openflow truyền qua kênh truyền mã hóa bảo mật có xác thực SSL 1.4.4 Quy trình xử lý gói tin Openflow - Openflow quy định trình xử lý lưu lượng chuyển mạch theo chế đường ống (pipeline) Gói tin đến so khớp từ bảng luồng đến bảng luồng theo tích lũy hành động (actions) Kết thúc trình so khớp, tập hành động actions áp dụng gói tin - Nếu gói tin khơng khớp với mục luồng bảng luồng, kiện table-miss xảy OFS gửi tới điều khiển tin packet-in Bộ điều khiển phân tích đưa sách để xử lý cách cài đặt OFS mục luồng Các gói tin luồng khớp với mục luồng OFS xử lý theo actions thiết lập mục luồng 1.4.5 Quản lý mục luồng chuyển mạch Openflow Mục luồng thông tin quan trọng định cách thức xử lý gói tin hệ thống mạng Mục luồng có vai trị phân nhóm gói tin thành luồng tương ứng, đưa sách chuyển mạch áp dụng gói tin Openflow quy định phương thức quản lý mục luồng bao gồm: (1) Cài đặt, chỉnh sửa xóa mục luồng; (2) Thiết lập thời gian chờ cho mục luồng, (3) Thống kê mục luồng 1.5 Các giải pháp phịng chống cơng DDoS dựa kiến trúc kỹ thuật SDN/Openflow 1.5.1 Kiến trúc nguyên lý hoạt động chung Kiến trúc kỹ thuật mạng SDN/Openflow nhiều giải pháp đề xuất ứng dụng phịng chống cơng DDoS Cấu trúc ngun lý hoạt động chung thể Hình 1.9 Hình 1.9 Cấu trúc hệ thống giải pháp phịng chống DDoS dựa kỹ thuật mạng SDN/Openflow 1.5.2 Các kỹ thuật phát công a) Nguồn thông tin lưu lượng đầu vào: Là sở quan trọng để xác định có cơng xảy hay khơng phân biệt lưu lượng công lưu lượng lành tính Có hai nhóm: • Sử dụng thơng tin thống kê Openflow: Có ưu điểm đơn giản, nhiên lưu lượng Openflow tăng cao dẫn đến nghẽn mạng nên phù hợp với hệ thống mạng quy mơ nhỏ • Sử dụng thơng tin thống kê Openflow kết hợp với phân tích lưu lượng: Sử dụng thêm thiết bị IDS, phân tích lưu lượng truyền thống sFlow, Snort… Ưu điểm tăng độ xác làm cho hệ thống mạng phức tạp, phù hợp mạng quy mô lớn b) Thuật toán phát phân loại lưu lượng công: Về bản, giải pháp phát công DDoS dựa SDN/Openflow kế thừa nguyên lý thuật toán sử dụng kiến trúc kỹ thuật mạng truyền thống, bao gồm: (1) Dựa vào Entropy, (2) Áp dụng thuật tốn máy học, (3) Phân tích mẫu lưu lượng (4) Dựa vào tỷ lệ kết nối 1.5.3 Các kỹ thuật ngăn chặn, giảm thiểu cơng Dựa vào khả cấu hình, cài đặt, chỉnh sửa mục luồng OFS để áp dụng sách lưu lượng nghi ngờ cơng trình bày Hình 1.9 Các kỹ thuật bao gồm: • Xóa bỏ gói tin: Chỉnh sửa mục luồng xóa bỏ gói tin nghi ngờ • Giới hạn lưu lượng: Sử dụng tính RATE LIMIT để thiết lập ngưỡng giới hạn lưu lượng • Chặn cổng: Lọc bỏ gói đến xuất phát từ cổng cụ thể Ngồi ra, kỹ thuật mạng SDN/Openflow cịn ứng dụng để hỗ trợ phát hiện, ngăn chặn giảm thiểu cơng DDoS, bao gồm: • • • • Chuyển hướng lưu lượng Phân tích nguy an ninh từ mục luồng Xác thực địa IP nguồn Phối hợp phịng chống cơng hệ tự trị 1.6 Tấn công DDoS tới thành phần kiến trúc mạng SDN/Openflow giải pháp phịng chống 1.6.1 Tấn cơng DDoS tới thành phần kiến trúc mạng SDN/Openflow Bên cạnh lợi điểm ứng dụng phịng chống cơng DDoS, kiến trúc, kỹ thuật SDN/Openflow đồng thời chứa đựng nguy công DDoS ba lớp ứng dụng, điều khiển hạ tầng mạng Khảo sát an ninh mạng kiến trúc SDN, Kreutz nhóm nghiên cứu vectơ công có vectơ cơng DDoS, bao gồm: • • • • Các luồng lưu lượng giả mạo Khai thác lỗ hổng chiếm quyền điều khiển chuyển mạch Khai thác lỗ hổng chiếm quyền điều khiển điều khiển Khai thác lỗ hổng chiếm quyền điều khiển ứng dụng điều hành mạng Trong vectơ công nêu trên, vectơ công tạo luồng giả mạo dễ thực xác định hình thức công phổ biến tới kiến trúc mạng SDN/Openflow 1.6.2 Kỹ thuật phát giảm thiểu công - Đã có nhiều giải pháp phát giảm thiểu công DDoS tới kiến trúc mạng SDN/Openflow Phần lớn giải pháp dựa chế giống cơng nghệ mạng truyền thống Ngồi ra, số giải pháp đề xuất dựa thuật toán phát theo sách quy tắc xử lý gói tin Nếu mục luồng phù hợp với sách, quy tắc xử lý này, lưu lượng chúng coi lành tính, ngược lại, lưu lượng cho xuất phát từ nguồn công áp dụng quy tắc xóa bỏ Bảng 1.2 thống kê so sánh giải pháp phòng chống theo kỹ thuật Bảng 1.2 So sánh kỹ thuật phát giảm thiểu công DDoS tới kiến trúc mạng SDN/Openflow theo sách quy tắc xử lý gói tin Giải pháp AVANTGUARD Kỹ thuật phát Sử dụng luật định nghĩa trước để phát công TCP SYN Flood DaMask Dựa vào dấu hiệu công sở phân mảnh mạng SDN-based Truy vết ngược sử dụng kỹ thuật CDNi đánh dấu OPERETTA Thiết lập sách xác thực FlowRanger Sử dụng sách ưu tiên để định giá trị tin cậy SDSNM Thiết lập sách xác thực phạm vi an tồn Kỹ thuật giảm thiểu cơng Ủy nhiệm gói tin SYN OFS kết hợp với kỹ thuật SYN Cookie Thiết lập hành động định nghĩa từ trước Xóa bỏ luồng Khơng cần Xóa bỏ luồng Quyết định module sách xử lý Ảnh hưởng đến lớp Hạ tầng Điều Ứng mạng khiển dụng Không Có Có Có Có Có Có Có Có Khơng Khơng Có Có Có Khơng Có Có Có 2.2.4 Lựa chọn xây dựng mơ hình dự đốn số thống kê lưu lượng Giải pháp lựa chọn mơ hình dự đoán làm trơn hàm mũ (Exponential smoothing): (2.5) 𝑥𝑥�𝑡𝑡+1 = 𝛼𝛼 𝑥𝑥𝑡𝑡 + (1 − 𝛼𝛼) 𝑥𝑥�𝑡𝑡 đó: 𝛼𝛼 hệ số làm trơn có giá trị nằm khoảng [0,1], 𝑥𝑥𝑡𝑡 giá trị thực mẫu thời điểm t, 𝑥𝑥� giá trị dự đoán mẫu thời điểm t Để đơn giản, chọn 𝛼𝛼 = 0.5 Khi đó: SPACUM t+1 = SPA + SPACUM t ; PpFCUM t+1 = PpF + PpFCUM t (2.6 – 2.7) SPA CUM PpF CUM giá trị dự đốn hay cịn gọi giá trị trung bình tích lũy, SPA PpF giá trị thực tính từ tham số thống kê thời điểm t 2.2.5 Phát giảm thiểu công Chỉ số thống kê lưu lượng tính theo giá trị chuẩn hóa: DSPA = � SPA − SPACUM , SPACUM 0, SPA ≥ SPACUM (2.8) PpF ≥ PpFCUM (2.9) SPA < SPACUM PpF − PpFCUM , DPpF = � PpFCUM 0, PpF < PpFCUM - Để xác định có cơng xảy hay không, DSPA DPpF so sánh với ngưỡng phát 𝐾𝐾𝐷𝐷 Khi lọc bỏ, giá trị so sánh với ngưỡng lọc bỏ K F Hình 2.3 - Hệ số K D , K F lựa chọn tùy theo đặc tính lưu lượng máy chủ, dịch vụ 2.2.6 Phân tích đánh giá hiệu giải pháp Hình 2.3 Mơ hình phát phân loại lưu lượng công Phương pháp phân tích kịch cơng Hiệu giải pháp đánh giá thơng qua phân tích mơ liệu lành tính CAIDA 2013 liệu CAIDA DDoS 2007 thời gian 90 phút Q trình phân tích tính tốn cho máy chủ (1 máy chủ chịu công máy hoạt động bình thường) chia làm giai đoạn với cường độ công khác Khả phát cơng Kết tính tốn số thống kê, số chuẩn hóa cửa sổ thời gian Hình 2.4 Hình 2.5 Qua đó, lựa chọn với K D = 2, công DDoS phát trường hợp cường độ thấp cao Khả phân loại lưu lượng công Bảng 2.5 thể kết thống kê độ nhạy phân loại DR C tỷ lệ báo động phân loại nhầm FPR C với giá trị hệ số lọc bỏ K F khác theo tổng dung lượng (bytes) Kết cho thấy DR C đạt mức cao giữ ổn định 98,5% với FPR C 0,65% Hệ số K F lựa chọn để đảm bảo giữ tỷ lệ DR cao FPR thấp, với kết Bảng 2.1, lựa chọn K F = 20-26, DR C đạt mức 98,7% FPR C ≈ 0,44% So sánh với giải pháp sử dụng SOM tham số Braga, DR C cao đạt 98,61% với FPR C mức 0,59% cho thấy giải pháp sử dụng mơ hình dự đoán làm trơn hàm mũ cho tỷ lệ phân loại cao với tỷ lệ nhầm thấp 11 Hình 2.4 Giá trị số SPA DSPA Hình 2.5 Giá trị số PpF DPpF 2.2.6.4 Khả giảm thiểu công Kết lọc bỏ lưu lượng công theo KF Bảng 2.5 cho thấy DRF đạt 95% với FPRF 7% Với KF = 20-26, DRF ≈ 95,1% với FPRF ≈ 3,3% Giá trị cải thiện nhiều so với giải pháp sử dụng mơ hình biến thiên entropy Giotis đề xuất với kết DRF đạt 95% tỷ lệ lọc bỏ nhầm FPRF mức 32% 2.2.6.5 Nhận xét, đánh giá So sánh với giải pháp đề xuất có phân tích lưu lượng tương đương, giải pháp phát giảm thiểu công dựa mơ hình dự đốn thống kê làm trơn hàm mũ có ưu điểm: Bảng 2.5 Độ nhạy (DR) tỷ lệ báo động nhầm (FPR)với KF khác 𝐊𝐊 𝐅𝐅 Phân loại lưu lượng Lọc bỏ lưu lượng DRC FPRC DRF FPRF 99,19 0,62 98,72 6,82 99,16 0,58 98,37 4,80 10 99,11 0,56 97,17 3,99 12 99,09 0,54 96,64 3,80 14 99,08 0,52 96,57 3,61 16 99,01 0,51 96,05 3,52 18 98,97 0,49 96,04 3,39 20 98,92 0,47 95,26 3,33 22 98,76 0,44 95,08 3,33 24 98,73 0,44 95,07 3,24 26 98,71 0,42 95,07 3,14 • Đơn giản, sử dụng túy tham số thống kê cung cấp chuyển mạch biên chế xử lý gói tin SDN/Openflow Số trường thơng tin cần truy vấn thấp (3 tham số/mục luồng) so với giải pháp sử dụng SOM tham số (ít tham số/mục luồng) giải pháp sử dụng mơ hình biến thiên entropy (4 tham số/mục luồng) 12 • Thuật tốn đơn giản, tham số cần tính tốn lưu trữ giá trị chu kỳ giám sát, giải pháp khác cần tính tốn, lưu trữ mảng giá trị để tính trung bình entropy Tuy nhiên, giải pháp tồn số nhược điểm: • Lượng truy vấn lấy tham số thống kê cịn lớn, gây nguy nghẽn giao diện Openflow kết thúc chu kỳ giám sát Vì vậy, giải pháp phù hợp với hệ thống mạng quy mô nhỏ • Hiệu giải pháp phụ thuộc vào hệ số α mơ hình dự đốn làm trơn hàm mũ, chu kỳ giám sát T Các tham số phụ thuộc vào quy mơ, đặc tính liệu hệ thống mạng cụ thể 2.3 Giải pháp giảm thiểu công SYN Flood dựa chế ủy nhiệm gói tin SYN điều khiển 2.3.1 Đặt vấn đề SYN Flood kỹ thuật công lâu đời phương thức công phổ biến nguy hiểm Luận án đề xuất giải pháp SSP (SDN based SYN Proxy) ứng dụng kỹ thuật SDN/Openflow phát giảm thiểu công SYN Flood chế SYN Proxy Bộ điều khiển mạng SDN/Openflow ngăn chặn nguy công từ bên 2.3.2 Kiến trúc hệ thống đề xuất Dựa kiến trúc chung Hình 2.6 Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN Hình 1.9, SSP áp Bộ điều khiển SSP dụng cho hệ thống mạng quy mô nhỏ kết nối với Internet qua chuyển mạch biên Openflow Hình 2.6 2.3.3 Lựa chọn mơ hình ủy nhiệm gói tin SYN Có loại SYN Proxy sử dụng nay: giả gói tin SYN-ACK giả gói tin ACK Do thực ủy nhiệm Bộ điều khiển, SSP lựa chọn mơ hình loại giả gói tin ACK để giảm bớt xử lý Bộ điều khiển, giảm lưu lượng trao đổi giao diện Openflow 2.3.4 Hoạt động hệ thống SSP Q trình xử lý gói tin SYN cho kết nối TCP SSP mô tả Hình 2.8 Các mục luồng actions tương ứng xếp, cấu hình đảm bảo thực quy trình giám sát trình 3HS - OFS capture xử lý gói tin 3HS lưu đồ Hình 2.9 - Quản lý giám sát trình 3HS Module SPM thực lưu đồ Hình 2.10 - Dựa đặc tính thống kê lưu lượng thực tế, đề xuất thay đổi thời gian chờ gói CliACK luồng theo cơng thức: 𝑡𝑡 = � 𝑇𝑇1 , 𝑇𝑇2 + (𝑇𝑇1 − 𝑛𝑛−𝑁𝑁 𝑇𝑇2 )𝑒𝑒 −𝑘𝑘 𝑁𝑁 , 𝑛𝑛 ≤ 𝑁𝑁 𝑛𝑛 > 𝑁𝑁 n số lượng kết nối TCP dang dở tồn tại, N số kết nối TCP mở trung bình điều kiện bình thường; (2.12) 13 𝑇𝑇1 thời gian chờ lớn nhất, 𝑇𝑇2 thời gian chờ nhỏ nhất, k hệ số hiệu chỉnh - Thiết lập ngưỡng thay đổi sách xử lý gói tin SYN chuyển mạch Hình 2.13 M M xác định dựa điều kiện hoạt động bình thường chuyển mạch (M > M ) 2.3.5 Phân tích đánh giá hiệu giải pháp - Mơ hình thử nghiệm testbed: Hiệu SSP kiểm nghiệm đánh giá qua mơ hình thử nghiệm Hình 2.14 Lưu lượng công phát tăng dần tới khả chịu đựng hệ thống công cụ BoNeSi - Kết thử nghiệm testbed: • Tỷ lệ kết nối thành công thời gian kết nối lưu lượng lành tính: thể Hình 2.15, Hình 2.16 cho thấy SSP cải thiện đáng kể so với Openflow (duy trì mức 87% Openflow suy giảm cịn 5% tốc độ cơng 600 pps) • Số lượng kết nối dang dở máy chủ: Kết đo thống kê cho thấy, SSP giảm số HOCs máy chủ tới 86% tốc độ cơng 500pps • Thời gian tồn mục luồng OFS: kết tính thống kê từ lưu lượng thực tế cho thấy so với chế CM, SSP giảm 94% thời gian tồn trung bình mục luồng OFS Điều giúp cho tốc độ so khớp, xử lý actions OFS nhanh hơn, tăng khả chịu tải cơng DDoS xảy • Ảnh hưởng lên điều khiển xảy công thể Hình 2.19, Hình 2.20 khơng đáng kể - Nhận xét, đánh giá: Hình 2.8 Quá trình xử lý yêu cầu kết nối gói tin SYN giải pháp SSP • Khai thác chế xử lý gói tin Hình 2.9 Capture xử lý gói tin bắt tay ba bước SDN/Openflow, SSP hoạt động OFS SYN Proxy Bộ điều khiển giúp giảm đáng kể số lượng kết nối dang dở máy chủ, làm tăng khả chịu đựng công SYN Flood máy chủ, tăng tỷ lệ kết nối thành cơng lưu lượng lành tính • SSP làm giảm (tới 94%) thời gian tồn mục luồng lưu lượng lành tính so với chế CM 14 giải pháp Avant-Guard Khi có cơng SYN Flood xảy ra, SSP không làm ảnh hưởng nhiều tới chiếm dụng tài nguyên CPU nhớ Bộ chuyển mạch, Bộ điều khiển Hình 2.13 Chuyển tiếp sách xử lý gói tin SYN OFS Hình 2.14 Mơ hình testbed đánh giá hiệu giải pháp SSP Hình 2.10 Lưu đồ hoạt động mơ đun SPM điều khiển Hình 2.15 Tỷ lệ kết nối thành cơng Hình 2.19 Chiếm dụng CPU Bộ điều khiển Hình 2.16 Thời gian kết nối trung bình Hình 2.20 Chiếm dụng nhớ Bộ điều khiển 15 2.4 Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn công 2.4.1 Đặt vấn đề Kỹ thuật truy vết nguồn công (traceback) cho phép từ phía trạm đích, tái tạo lại đường gói tin biết địa vị trí gói tin phát mà khơng dựa vào trường địa IP nguồn Nội dung phần đề xuất giải pháp đánh dấu gói tin phục vụ truy vết PLA DFM (Packet Length Adaptive Deterministic Flow Marking) dựa phân loại nhận dạng lưu lượng theo luồng, kỹ thuật mạng SDN/Openflow có xét đến thích ứng với chiều dài gói tin luồng nhằm tăng hiệu đánh dấu Sử dụng kiện table-miss tin packet-in để chuyển tới thực đánh dấu Bộ điều khiển SDN/Openflow 2.4.2 Khái niệm đánh dấu gói tin kỹ thuật - Trong kỹ thuật traceback đánh dấu gói tin, thơng tin đánh dấu (gồm địa định tuyến đường đi) chèn vào gói tin gửi tới trạm đích Có hai kỹ thuật đánh dấu theo xác suất PPM đánh dấu xác định DPM PPM đánh dấu theo xác suất tất gói tin DPM đánh dấu số gói tin cụ thể gói tin lưu lượng - Kỹ thuật đánh dấu gói tin theo luồng DFM giải pháp nâng cấp DPM thực đánh dấu K gói tin luồng với thông tin đánh dấu gồm 60 bits: (i) 32 bits địa IP cổng vào định tuyến biên In-portIP; (ii) 12 bit NIID (iii) 16 bit NodeID Số lượng gói tin cần để đánh dấu thành công cho luồng phụ thuộc vào trường tiêu đề dùng để chứa thông tin đánh dấu 2.4.3 Đề xuất cấu trúc hoạt động PLA DFM kiến trúc mạng SDN/Openflow - PLA DFM phát triển dựa DFM, lợi dụng chế xử lý gói tin SDN/Openflow, K gói tin luồng TCP/UDP/ICMP chuyển tới Bộ điều khiển thông qua kiện table-miss tin packet-in, chúng chèn thơng tin đánh dấu trước lưu chuyển Internet - Để tăng tỷ lệ đánh dấu thành công, giảm xử lý Bộ điều khiển, PLA DFM đề xuất sử dụng trường Options để chứa thông tin đánh dấu Tuy nhiên sử dụng trường Options, kích thước gói tin bị tăng lên bytes, bị vượt ngưỡng MTU kênh truyền dẫn gây nên phân mảnh gói tin Để giải vấn đề này, PLA DFM thiết lập giá trị ngưỡng MT dựa MTU kênh truyền so sánh chiều dài gói tin luồng FL: • Nếu FL ≤ MT: sử dụng 16 bit trường ID 48 bit trường Options gói tin để chứa thơng tin đánh dấu • Nếu FL>MT: thực đánh dấu K gói tin giống kỹ thuật DFM Quá trình chèn thơng tin đánh dấu vào gói tin mơ tả Hình 2.24 Hình 2.24 Đánh dấu gói tin PLA DFM 16 2.4.4 So sánh đánh giá hiệu giải pháp - Khảo sát hiệu PLA DFM dựa phân tích liệu mô với lưu lượng thực CAIDA 2013 Các tham số so sánh gồm: tỷ lệ đánh dấu thành cơng theo luồng SMR, Tỷ lệ gói tin đánh dấu MPR tỷ lệ dung lượng gói tin đánh dấu MSR Kết Hình 2.27, 2.28, 2.29 (với MT=288) Bảng 2.12, Bảng 2.13 Hình 2.28 Tỷ lệ MPR Hình 2.27 Tỷ lệ SMR Bảng 2.12 So sánh hiệu với K, MT khác MT 288 500 568 Hình 2.29 Tỷ lệ MSR K SMR MPR MSR 95.11 4.40 1.11 94.26 4.68 1.39 93.66 4.91 1.61 96.95 4.36 1.09 96.65 4.58 1.35 96.15 4.78 1.56 97.18 4.26 1.07 96.92 4.55 1.34 96.46 4.74 1.55 Bảng 2.13 Tỷ lệ gia tăng lưu lượng PLA DFM - Nhận xét, đánh giá: + Cơ chế xử lý gói tin kỹ thuật quản lý lưu lượng theo luồng SDN/Openflow khai thác để thực đánh dấu gói tin nhằm cung cấp khả truy vết nguồn phát sinh lưu lượng cơng Internet MT Tổng kích thước ban đầu (byte) Kích thước tăng thêm (byte) Tỷ lệ (%) 288 85,209,121,130 36,390,376 0.043 500 85,209,121,130 37,503,744 0.044 568 85,209,121,130 37,668,640 0.044 + PLA DFM đánh dấu gói tin luồng dựa thích ứng chiều dài gói thực điều khiển Kết phân tích hiệu cho thấy PLA DFM cho tỷ lệ đánh dấu thành công cao (trên 90%) so với DFM (thấp 50%) với tỷ lệ gói tin bị đánh dấu thấp (5% so với 8% trở lên DFM) mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%) + Nếu chuẩn hóa kiến trúc mạng SDN/Openflow sử dụng thống chuyển mạch biên ISP trung tâm liệu, PLA DFM cho phép truy vết nguồn công giả mạo 17 địa IP, hỗ trợ ngăn chặn công DDoS Internet 2.5 Kết luận chương Kỹ thuật SDN/Openflow có khả cung cấp liệu thống kê đặc tính lưu lượng lập trình xử lý lưu lượng theo biến thiên đặc tính Đặc điểm phù hợp với quy trình phát giảm thiểu cơng DDoS Sử dụng khả đó, nội dung Chương trình bày giải pháp đề xuất u cầu phịng chống cơng DDoS khác mạng quy mơ lưu lượng nhỏ, là: (1) giải pháp phát giảm thiểu cơng DDoS mơ hình dự đốn làm trơn hàm mũ tham số thống kê lưu lượng, (2) phát giảm thiểu công SYN Flood dựa chế ủy nhiệm gói tin SYN điều khiển (3) đánh dấu gói tin PLA DFM phục vụ truy vết nguồn cơng Qua phân tích, đánh giá, so sánh với giải pháp công bố, cho thấy: (1) Các giải pháp đề xuất cho hiệu hoạt động cải thiện tương đương với giải pháp công bố; (2) tận dụng thông tin liệu thống kê, chế xử lý lưu lượng kỹ thuật SDN/Openflow, áp dụng trực tiếp mạng SDN/Openflow phần mềm ứng dụng mặt phẳng điều khiển mà không cần bổ sung thiết bị, module chuyên dụng (3) Tuy nhiên, sử dụng giao diện Openflow để truy vấn thông tin lưu lượng cài đặt mục luồng để giảm thiểu công nên lưu lượng giao diện bị tăng lên dễ bị nghẽn mạng cơng DDoS xảy Vì giải pháp phát giảm thiểu cơng mơ hình dự đốn làm trơn hàm mũ chế ủy nhiệm gói tin SYN điều khiển phù hợp với mạng có quy mơ lưu lượng nhỏ CHƯƠNG ĐỀ XUẤT GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG DDOS DỰA TRÊN KỸ THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG 3.1 Giới thiệu chương Để cung cấp thêm thông tin lưu lượng cho ứng dụng phát hiện, phân loại công, phối hợp với kỹ thuật SDN/Openflow giảm thiểu công, giảm lưu lượng trao đổi giao diện Openflow, nội dung Chương đề xuất kiến trúc SDN mở rộng sử dụng thêm phân tích xử lý lưu lượng hoạt động theo chế SDN/Openflow, đề xuất giải pháp phịng chống cơng DDoS dựa kiến trúc mở rộng này, bao gồm: (1) Giải pháp phát hiện, phân loại giảm thiểu công DDoS thuật toán logic mờ (2) Giải pháp phát giảm thiểu công SYN Flood vào kiến trúc SDN/Openflow sử dụng chế ủy nhiệm gói tin SYN thiết bị phân tích xử lý lưu lượng 3.2 Những hạn chế kiến trúc kỹ thuật mạng SDN/Openflow phịng chống cơng DDoS Mặc SDN/Openflow cho phép triển khai giải pháp phịng chống cơng DDoS, kiến trúc bộc lộ hạn chế: • Không cung cấp đủ thông tin lưu lượng cho phân tích an ninh tới điều khiển, • Cơ chế quản lý luồng theo trạng thái gây chiếm dụng tài nguyên lớp hạ tầng dễ bị kẻ công lợi dụng trở thành mục tiêu cơng DDoS mới, • Lưu lượng Openflow chuyển mạch điều khiển tăng cao Để khắc phục hạn chế này, số giải pháp đề xuất sử dụng thêm phân tích lưu lượng truyền thống sFlow, Snort mạng SDN Tuy nhiên, giải pháp không tận dụng chế điều khiển xử lý gói tin SDN, đơn cung cấp thuộc tính lưu lượng, chưa phối hợp để xử lý lưu lượng công 18 3.3 Đề xuất kiến trúc mạng SDN/Openflow mở rộng sở bổ sung thiết bị phân tích xử lý lưu lượng SD 3.3.1 Kiến trúc tổng quát Kiến trúc mạng SDN/Openflow có bổ sung thiết bị phân tích xử lý lưu lượng SD (kiến trúc mở rộng) phục vụ phân tích, xử lý an ninh mạng mơ tả Hình 3.1 - SD module phần cứng phần mềm thực nhiệm vụ: (1) Phân tích gói tin từ OFS để đưa đặc tính lưu lượng, (2) Xử lý sách giảm thiểu công - SD kết nối với OFS thực thể node mạng đóng vai trị thiết bị xử lý gói tin, phân biệt với node mạng khác dựa vào số hiệu cổng (port) OFS - SD không tham gia vào trình cấu hình tham số hoạt động, điều khiển, cài đặt chỉnh sửa mục luồng OFS 3.3.2 Điều khiển chuyển tiếp lưu lượng tới SD xử lý lưu lượng SD Hình 3.1 Kiến trúc giải pháp bổ sung thiết bị phân tích lưu lượng kiến trúc SDN/Openflow - OFS chuyển tiếp lưu lượng nghi ngờ cơng gói tin cần giám sát tới SD theo cấu hình: (1) Khơng chuyển tiếp gói tin tới máy chủ đích mà chuyển tiếp tới SD (2) Chuyển tiếp gói tin tới máy chủ đích đồng thời chép chuyển tiếp tới SD - SD thực sách xử lý lưu lượng theo điều khiển Ứng dụng an ninh qua giao diện REST API bao gồm: (1) Xóa bỏ gói tin, (2) Chỉnh sửa gói tin gửi trở lại chuyển mạch 3.4 Giải pháp phân loại giảm thiểu công DDoS dựa kiến trúc SDN/Openflow mở rộng thuật toán logic mờ 3.4.1 Đặt vấn đề Các giải pháp phát giảm thiểu công DDoS túy dựa vào liệu thống kê chế xử lý gói tin SDN/Openflow có nhược điểm làm tăng lưu lượng giao diện Openflow thời gian đáp ứng lớn Để giải vấn đề này, giải pháp FDDoM dựa kiến trúc SDN/Openflow mở rộng, tham số lưu lượng cung cấp SD liệu thống kê áp dụng thuật toán logic mờ để phát công Khi phát công xảy ra, SD trực tiếp xóa bỏ luồng nghi ngờ 3.4.2 Phân tích đặc tính lưu lượng cơng DDoS để chọn tham số phân loại lưu lượng Để có lựa chọn tham số phân loại công DDoS, lưu lượng công thực tế CAIDA Netnam phân tích thống kê nhằm tìm đặc tính chung khác biệt lưu lượng lành tính lưu lượng cơng Căn vào kết quả, hai tham số chọn gồm phân bố khoảng thời gian liên gói tin IAT số lượng gói tin luồng PpF để làm tham số phát phân loại công Kết phân tích, thống kê từ lưu lượng thực tế tham số thể Hình 3.2 Hình 3.3 19 Hình 3.3 Phân bố PpF lưu lượng Hình 3.2 Phân bố IAT lưu lượng 3.4.3 Cấu trúc hệ thống - Dựa kiến trúc chung Hình 3.1, cấu trúc giải pháp đề xuất: (1) Thiết bị Phân tích lưu lượng SD lấy thống kê gói tin từ OFS để tính tỷ lệ IAT; (2) Module Thống kê lưu lượng điều khiển thực truy vấn các mục luồng để lấy số lượng PpF chu kỳ giám sát T - Máy chủ ứng dụng bảo mật SS dựa liệu thống kê từ hai module xử lý phát công sau chu kỳ T Khi có thay đổi trạng thái máy chủ, máy chủ bảo mật yêu cầu Bộ ủy nhiệm an ninh điều khiển cài đặt, thay đổi sách xử lý gói tin 3.4.4 Xác định trạng thái máy chủ FDDoM hoạt động dựa trạng thái công máy chủ gồm trạng thái: (1) Không bị công, (2) Nghi ngờ bị công, (3) Đang bị công Với máy chủ hệ thống trì đếm để lưu trữ tham số: số luồng kết nối tới máy chủ cf, số luồng có gói tin opf, số luồng tạo chu kỳ T nf Trạng thái máy chủ xác định nf 3.4.5 Chuyển tiếp gói tin thực thể hệ thống Quá trình trao đổi, xử lý gói tin thực thể hệ thống dựa nguyên tắc xử lý gói tin SDN/Openflow Hình 3.5 ví dụ trao đổi máy chủ trạng thái “Không bị công” 3.4.6 Phân loại lưu lượng giảm thiểu công DDoS dựa thuật toán suy luận logic mờ FDDoM - FDDoM sử dụng hệ suy luận mờ Sugeno với hai thị đầu vào: (1) IAT – tỷ lệ gói có khoảng thời gian liên gói tin phạm vi thấp Theo kết phân tích chọn IAT khoảng (0, 0.2] ms, (2) PpF - tỷ lệ luồng có gói tin - Áp dụng thuật toán xử lý logic mờ Sugeno qua bước mờ hóa, xác định luật hợp thành với hành động (action) đầu bao gồm Chuyển tiếp (Fw – Forward) hay Xóa bỏ (Dr – Drop); luật hợp thành, tương ứng với trọng số Hình 3.5 Trao đổi gói tin thực thể trạng thái “Không bị công” 20 [Rule 1]: IF IAT is Low AND PpF is Low THEN Action = Fw (3.6) [Rule 2]: IF IAT is High AND PpF is High THEN Action = Dr (3.7) [Rule 3]: IF IAT is High AND PpF is Low THEN Action = Dr (3.8) [Rule 4]: IF IAT is Low AND PpF is High THEN Action = Dr (3.9) Chỉ thị đầu tỷ lệ số luồng cần xóa bỏ: 𝑍𝑍 = 𝑤𝑤1 𝐹𝐹𝐹𝐹 + 𝑤𝑤2 𝐷𝐷𝐷𝐷 + 𝑤𝑤3 𝐷𝐷𝐷𝐷 + 𝑤𝑤4 𝐷𝐷𝐷𝐷 𝑤𝑤1 + 𝑤𝑤2 + 𝑤𝑤3 + 𝑤𝑤4 𝑤𝑤1 = 𝑚𝑚𝑚𝑚𝑚𝑚[F𝐿𝐿𝐿𝐿𝐿𝐿 (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐿𝐿𝐿𝐿𝐿𝐿 (𝑃𝑃𝑃𝑃𝑃𝑃)] (3.10) 𝑤𝑤2 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.11) 𝑤𝑤3 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐿𝐿𝐿𝐿𝐿𝐿 (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.12) 𝑤𝑤4 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐿𝐿𝐿𝐿𝐿𝐿 (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.13) (3.16) 3.4.7 Đánh giá hiệu giải pháp Khảo sát lưu lượng cơng thực NetNam, kết Hình 3.11, Hình 3.12, Hình 3.13 Bảng 3.4 Kết cho thấy: - FDDoM cho độ nhạy lọc bỏ cao, tỷ lệ lọc bỏ nhầm thấp, số tốt so với giải pháp tương đương TRW-CB (sử dụng Openflow kết hợp lấy mẫu lưu lượng sFlow mạng truyền thống) giải pháp sử dụng mơ hình dự đốn làm trơn hàm mũ Hình 3.11 Giá trị đầu thị Z thuật toán FDDoM độ nhạy lọc bỏ lưu lượng công - FDDoM xử lý xóa bỏ lưu lượng cơng trực tiếp SD, lưu lượng công không đến máy chủ, không thêm chu kỳ phân loại lưu lượng nên thời gian đáp ứng nhỏ - Cơ chế xử lý gói tin FDDoM giúp giảm lưu lượng chuyển qua giao diện Openflow, giảm số mục luồng chiếm dụng tài nguyên OFS so với Openflow 3.5 Phát giảm thiểu công SYN Flood tới mạng SDN/Openflow sử dụng chế ủy nhiệm gói tin SYN SD 3.5.1 Đặt vấn đề - SYN Flood lợi dụng để công làm cạn kiệt tài nguyên chuyển mạch OFS Đã có giải pháp đề xuất giảm thiểu công chế CM AvantGuard Tuy nhiên CM giải pháp tương tự tích hợp chế ủy nhiệm gói tin SYN OFS nên gây chia cắt kết nối TCP, biến OFS trở thành mục tiêu công Để khắc phục vấn đề này, Luận án đề xuất giải pháp SSG kiến trúc SDN/Openflow mở rộng dựa chế ủy nhiệm gói tin SYN Bộ phân tích xử lý lưu lượng Hình 3.12 Tỷ lệ lọc bỏ nhầm Bảng 3.4 So sánh hiệu FDDoM Giải pháp TRW-CB Openflow kết hợp sFlow lưu lượng DDoS hỗn hợp TRW-CB Openflow kết hợp sFlow lưu lượng công quét cổng FDDoM DR (%) FPR (%) 96 25 96 10 97,5 3,6 Hình 3.13 So sánh số luồng tồn OFS 21 3.5.2 Cấu trúc hệ thống Cấu trúc hệ thống SSG module chức thực thể mô tả Hình 3.14 3.5.3 Hoạt động hệ thống - Phát công SYN Flood thay đổi sách xử lý gói tin: SSG áp dụng thuật tốn CUSUM áp dụng với số Hình 3.14 Cấu trúc chi tiết tương tác module chức kết nối dang dở k HOC để xác định giải pháp SSG máy chủ trạng thái “Không bị công” hay “Nghi ngờ bị công” - Sắp xếp mục luồng để capture điều hướng gói tin 3HS: Lợi dụng khả so khớp cờ TCP Openflow 1.5, chế ưu tiên mục luồng, SSG tổ chức bảng luồng xếp mục luồng để OFS capture gói tin 3HS điều hướng chúng tới thực thể: máy chủ, SD Ví dụ máy chủ chế độ “Khơng bị cơng” Hình 3.16 - Giám sát trình 3HS SD: SD giám sát Hình 3.16 Capture điều hướng gói tin TCP q trình 3HS tất kết nối tới máy chủ, OFS máy chủ trạng thái “Không bị cơng” Những địa IP nguồn có kết nối hồn thành q trình 3HS đưa vào danh sách địa tin cậy Trusted_IPs Những gói tin SYN đến từ nguồn tin cậy chuyển đến máy chủ - Xác thực địa IP nguồn gói tin SYN kỹ thuật RST Cookie: Những gói tin từ địa khơng có Trusted_IPs xác thực địa IP nguồn trước lưu chuyển đến kết nối với máy chủ 3.5.4 Phân tích đánh giá hiệu Để so sánh, đánh giá hiệu SSG so với chế CM, testbed Hình 3.20 triển khai với lưu lượng công sử dụng công cụ BoNeSi phát với tốc độ SYN Flood khác từ 100 pps đến 5.500 pps, lưu lượng lành tính từ ứng dụng kết nối với máy chủ FTP - Tỷ lệ kết nối thành công SCR, thời gian kết nối trung bình ART: Kết đo thể Hình 3.21 So sánh với Openflow chế CM, SSG chịu đựng công tốt trì tỷ lệ SCR 98% cơng tốc độ 5.500 pps Hình 3.20 Cấu trúc testbed đánh giá giải pháp SSG CM mức 20%, Openflow đạt mức 3% công tốc độ 1.500 pps kết nối tới máy chủ tốc độ công mức 2.000pps Khi tốc độ công thấp (từ mức 100 pps đến 700 pps), thời gian ART SSG có chút cao so với chế CM Nguyên nhân SSG, client phải gửi lại gói tin yêu cầu SYN lần 22 thứ hai địa IP khơng nằm danh sách địa IP tin cậy Trusted_IPs - Sự chiếm dụng tài nguyên OFS phân tích lưu lượng SD: Kết Hình 3.22 cho thấy SSG có mức chiếm dụng tài nguyên OFS thấp so với CM thấp nhiều so với Openflow chịu công SYN Flood Mức chiếm dụng tài nguyên SD ổn định, không bị ảnh hưởng nhiều công - Mức độ gia tăng lưu lượng giao diện chuyển mạch: Sự di chuyển chức giám sát 3HS từ OFS thực thiết bị SD độc lập gây gia tăng tổng lưu lượng giao diện OFS Kết phân tích dựa lưu lượng thực tế CAIDA chuyển mạch biên cho thấy mức độ gia tăng lưu lượng không đáng kể tất máy chủ nội chịu công SYN Flood tốc độ 5500 pps, mức độ gia tăng lưu lượng mức 2.5% - Mức độ giảm lưu lượng giao diện Openflow giảm tải điều khiển: SSG giám sát trình 3HS cài đặt mục luồng cho kết nối thực thành cơng q trình 3HS Ngun tắc ngăn chiếm dụng tài ngun vơ ích mục luồng tạo từ gói tin giả mạo địa IP nguồn Kết phân tích cho thấy tổng số tin cài đặt mục luồng TCP giao diện Openflow giảm nửa so với chế CM, giúp SSG tăng khả chịu đựng cơng SYN Flood Hình 3.21 Tỷ lệ kết nối thành cơng thời gian kết nối trung bình kết nối lành tính 3.6 Kết luận chương - Các giải pháp phát giảm thiểu công DDoS dựa liệu thống kê chế xử lý gói tin SDN/Openflow có ưu điểm đơn giản, dễ triển khai tồn số nhược điểm cố hữu làm giảm độ xác phát phân loại, giới hạn quy mô lưu lượng hệ thống mạng áp dụng, dễ bị lợi dụng thành mục tiêu công DDoS - Kiến trúc SDN/Openflow mở rộng bổ sung phân tích xử lý lưu lượng SD khắc phục vấn đề Sự kết hợp SD mạng SDN/Openflow có ưu điểm: • Có thể chuyển mẫu gói tin mong muốn từ OFS tới điều khiển khơng qua Hình 3.22 Mức độ chiếm dụng tài ngun nhớ CPU OFS, SD công SYN Flood 23 giao diện Openflow tránh tượng thắt cổ chai giao diện • Có thể phân tích, cung cấp thuộc tính lưu lượng mà chế thống kê Openflow không thực • SD thực sách xử lý trực tiếp gói tin (như Drop) mà khơng cần cài đặt mục luồng giúp giảm thời gian đáp ứng hệ thống, giảm chiếm dụng tài nguyên mục luồng công DDoS - Giải pháp phát giảm thiểu công thuật toán logic mờ sử dụng kiến trúc SDN/Openflow mở rộng cho độ nhạy lọc bỏ cao, tỷ lệ lọc bỏ nhầm thấp thời gian đáp ứng nhanh chế xóa bỏ gói tin cơng thực SD mà không chế Openflow thông thường - Bên cạnh lợi ích mặt an ninh mạng, kỹ thuật SDN/Openflow tồn lỗ hổng mới, có nguy bị cơng làm cạn kiệt tài nguyên chuyển mạch, điều khiển giao diện Openflow công SYN Flood giả mạo địa IP Kế thừa từ chế CM Avant-Guard, giải pháp đề xuất SSG thực ủy nhiệm gói tin SYN phân tích lưu lượng, thay ủy nhiệm gói tin SYN chuyển mạch Kết thực nghiệm testbed cho thấy SSG khắc phục tồn chế CM, cải thiện khả chịu đựng công SYN Flood hệ thống KẾT LUẬN Đóng góp khoa học luận án: Trên sở nghiên cứu kiến trúc, kỹ thuật mạng SDN/Openflow, đề xuất, phân tích đánh giá giải pháp phát hiện, phân loại giảm thiểu công DDoS dựa kỹ thuật mạng này, luận án đạt số kết nghiên cứu sau: Đề xuất kỹ thuật phát giảm thiểu cơng DDoS mơ hình dự đoán làm trơn hàm mũ với tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng công; kỹ thuật giảm thiểu công SYN Flood chế ủy nhiệm gói tin SYN sử dụng công nghệ SDN Đề xuất kiến trúc SDN/Openflow mở rộng với phân tích xử lý lưu lượng để nâng cao hiệu phát giảm thiểu công DDoS Hướng phát triển luận án: Những hạn chế luận án: • Chưa xây dựng botnet với lưu lượng công, nguồn công đủ lớn để đo tính tốn hiệu xử lý thời gian thực giải pháp, ảnh hưởng lưu lượng tương tác máy chủ máy khách; chưa đánh giá số tham số hiệu liên quan thời gian đáp ứng, mức độ chịu tải,… • Chưa nghiên cứu, đánh giá hiệu giải pháp loại công DDoS riêng Để tiếp tục nghiên cứu, phát triển kết đạt được, mở rộng phạm vi nghiên cứu ứng dụng thực tế, thời gian tới hướng nghiên cứu luận án đề xuất gồm: • Nghiên cứu triển khai hệ thống mạng thật, đặc biệt, xây dựng hệ thống botnet có quy mơ lớn để mơ lưu lượng cơng lưu lượng lành tính gần giống với mạng thực • Khảo sát đo số tham số hiệu giải pháp chưa thực thời gian đáp ứng, tốc độ gia tăng lưu lượng, xác định chu kỳ giám sát tối ưu, v.v… • Tiếp tục đề xuất giải pháp phòng chống công DDoS dựa kỹ thuật mạng SDN/Openflow theo loại công sở nghiên cứu đặc tính cơng cụ cơng phổ biến có để nâng cao hiệu phát giảm thiểu cơng 24 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN Các cơng trình cơng bố kết trực tiếp luận án [C1] - Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Nguyen Tai Hung, Bart Buype, Didier Colle, Kris Steenhaut, (2014), “An Enhanced Deterministic Flow Marking Technique to Efficiently Support Detection of Network Spoofing Attacks”, in The 2014 International Conference on Advanced Technologies for Communications (ATC'14), Hanoi, Vietnam, Oct 1517, 2014, pages 446-451 DOI: https://doi.org/10.1109/ATC.2014.7043429 (Best paper award) [C2] - Phan Van Trung, Truong Thu Huong, Dang Van Tuyen, Duong Minh Duc, Nguyen Huu Thanh, Alan Marshall, (2015), “A Multi-Criteria-based DDoS-Attack Prevention Solution using Software Defined Networking”, in The 2015 International Conference on Advanced Technologies for Communications (ATC'15), Hochiminh City, Vietnam, Oct 14-16, 2015, pages 308-313, DOI: https://doi.org/10.1109/ATC.2015.7388340 [J1] - Đặng Văn Tuyên, Trương Thu Hương, Nguyễn Tài Hưng, (2015), “Đề xuất giải pháp phát giảm thiểu tác hại công DDoS phương pháp thống kê dựa kỹ thuật mạng cấu hình phần mềm SDN”, Tạp chí Khoa học Công nghệ, Đại học Đà nẵng, Số 11(96)/2015, ISSN: 1859-1531, trang 208-213 [J2] - Tuyen Dang-Van, Huong Truong-Thu, (2016), “A Multi-Criteria based Software Defined Networking System Architecture for DDoS-Attack Mitigation”, REV Journal on Electronics and Communications, Radio and Electronics Association of Vietnam, ISSN: 1859-378X, Vol 6, No 3–4, July–December, 2016, pages 50-58, DOI: http://dx.doi.org/10.21553/rev-jec.123 [J3] - Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Pham Ngoc Nam, Nguyen Ngoc Thanh, Alan Marshall, (2018), “SDN-based SYN Proxy - A solution to enhance performance of attack mitigation under TCP SYN flood”, The Computer Journal - Section D: Security in Computer Systems and Networks, Volume 62, Issue 4, April 2019, Pages 518–534, Oxford University Press, https://doi.org/10.1093/ ISSN: 0010-4620 (Online: 1460-2067) (SCIE), DOI: comjnl/bxy117 [J4] - Dang Van Tuyen, Truong Thu Huong, (2018), “SSG - A solution to prevent saturation attack on the data plane and control plane in SDN/Openflow network”, Journal of Research and Development on Information and Communication Technology, Vietnam’s Ministry of Information and Communications, ISSN: 1859-3534, DOI: http://dx.doi.org/10.32913/rd-ict.833, (Chấp nhận đăng Vol E-2, No 16, 2019) Các cơng trình cơng bố có liên quan đến luận án [C3] - Trung V Phan, Truong Van Toan, Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, (2016), “OpenFlowSIA: An Optimized Protection Scheme for Software-Defined Networks from Flooding Attacks”, in The 2016 IEEE Sixth International Conference on Communications and Electronics (IEEE ICCE 2016), Halong, Quangninh, Vietnam, July 27-29, 2016, pages 14-18 DOI: https://doi.org/10.1109/CCE.2016.7562606 ... học luận án: Trên sở nghiên cứu kiến trúc, kỹ thuật mạng SDN/ Openflow, đề xuất, phân tích đánh giá giải pháp phát hiện, phân loại giảm thiểu công DDoS dựa kỹ thuật mạng này, luận án đạt số kết nghiên. .. xuất giải pháp phòng chống công DDoS dựa kiến trúc mở rộng này, bao gồm: (1) Giải pháp phát hiện, phân loại giảm thiểu cơng DDoS thuật tốn logic mờ (2) Giải pháp phát giảm thiểu công SYN Flood vào... điều khiển Tấn công DDoS Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) dạng phát triển mức độ cao cơng DoS sử dụng kỹ thuật lưu lượng lưu lượng công huy động lúc từ nhiều