OpenFlow
Mạng OpenFlow (OF) [16] là một mạng lưới kiến trúc mới được đề xuất bởi tổ chức phi lợi nhuận (ONF) nhiều nhà cung cấp dịch vụ đám mây nổi tiếng đã áp dụng nó để xây dựng mạng trung tâm dữ liệu của họ. Sự khác biệt giữa mạng OF và mạng truyền thống là tách điều khiển và dữ liệu trong quản lý mạng. Phát hiện xâm nhập là rất quan trọng trong điện toán đám mây để cải thiện an ninh hệ thống. Vì mạng OF có thể cải thiện thời gian đáp ứng của một cảnh báo bằng cách cấu hình hiệu quả flow mạng, đây là thiết kế kiến trúc một hệ thống phát hiện xâm nhập (IDS) dựa trên mạng OF
Hình 2.3 Kịch bản của mạng OpenFlow
Thiết bị chuyển mạch của mạng OF được điều khiển bởi một trung tâm điều khiển logic trong một cơ sở hạ tầng mạng vì vậy phân bổ nguồn lực và cấu hình dịch vụ có thể có nhiều khả năng mở rộng và linh hoạt. Bảng flow duy trì nhiều mục flow trong đó ghi lại các các tính năng của các gói dữ liệu nhận được bởi một chuyển mạch của OF. Mỗi mục nhập flow ghi lại ba trường: tiêu đề, số lượt truy cập và sự kiện [12] được minh họa trong Bảng 2.1.
Bảng 2.1 Minh họa của các trường trong flow
Tên trường Minh họa
mạch OF
Counter Ghi lại bao nhiêu gói được nhận bởi chuyển mạch OF trong một khoảng thời gian cụ thể
Action Xác định các hành động liên quan khi một gói tin được nhận trong một khoảng thời gian cụ thể
Khi một gói tin mới đến được chuyển mạch OF, nó được so sánh với tất cả các mục trong bảng flow. Nếu gói dữ liệu mới phù hợp với một trong các mục dòng trong bảng flow, flow này sẽ cập nhật truy cập và kích hoạt các sự kiện liên quan. Nếu các gói tin mới khơng phù hợp bởi bất kỳ mục nào trong các mục flow, nó sẽ được gửi đến hệ điều hành OF thông qua một kênh bảo mật. Hệ điều hành OF sẽ quyết định có hay khơng để thêm một mục flow mới cho một loại mới của gói mới này vào bảng flow. Các hồ sơ hoạt động của dịng nhâp trong bảng flow có thể được sử dụng để phân tích lưu lượng flow bất thường và phát hiện xâm nhập mạng. Để quan sát các biến thể của dòng nhập cho phát hiện xâm nhập là một cách tiếp cận đơn giản bởi vì nó khơng phải là cần thiết để sử dụng nhiều hơn nguồn tài ngun được tính tốn trên gói phân tích cú pháp.
Các mối đe dọa của các cuộc tấn công mạng, chẳng hạn như một khối lượng các yêu cầu liên kết với một dịch vụ mạng trong khoảng thời gian ngắn hoặc sự xâm nhập trái phép ở một số nút dịch vụ thường xuyên, có thể dẫn đến thảm họa nghiêm trọng trên điện toán đám mây. Phát hiện các sự kiện mạng bất thường là một nhiệm vụ quan trọng trong điện tốn đám mây vì nó là cần thiết cho một đám mây để duy trì hệ thống an ninh mạng của mình bất cứ lúc nào. Do đó, hệ thống phát hiện xâm nhập (IDS) trong hệ thống điện toán đám mây phải xử lý ngay lập tức sự kiện bất thường và phản ứng cảnh báo cho quản trị viên. Ưu điểm của mạng OF là bộ điều khiển có thể lập trình để nó có thể tự động điều chỉnh mạng cấu hình như cấu trúc liên kết mạng và định tuyến đường dẫn. Mặt khác, các dịng trong bảng flow có thể được coi như là sự kiện phản ánh trạng thái của flow mạng. Vì vậy, mạng OF có thể cấu hình số lượng lưu lượng mạng để một hệ thống phát hiện xâm nhập làm việc một cách hiệu quả làm cho thời gian đáp ứng của các cảnh báo được cải thiện.
Trong phần này, đề xuất một kiến trúc IDS dựa trên mạng OF. Với kiến trúc IDS đề xuất, các sự kiện tấn cơng có thể được phát hiện trên một số lượng lớn các dòng lưu lượng và các mục flow. Kiến trúc của IDS được phân phối, dựa trên sự kiện và phân cấp để nó có thể phát hiện và báo cáo một cảnh báo xâm nhập ngay lập tức.
Hình 2.4 cho thấy thiết kế của kiến trúc IDS [9] dựa trên các sự kiện hoạt
động trên mạng OpenFlow. Các khái niệm trong thiết kế này được phân phối cho kiến trúc các hệ thống phối hợp. Các chức năng của các thành phần trong kiến trúc này được minh họa như sau:
- Sub-Controller (Bộ điều khiển phụ): Thành phần này là một điều khiển OpenFlow được kết nối với một hoặc nhiều thiết bị chuyển mạch trong mạng OpenFlow. Sub-Controller thu thập dòng lưu lượng và các mục flow từ thiết bị chuyển mạch, và sau đó chuyển tiếp dữ liệu đến Event Bus thông qua một cơ chế công bố / đăng ký.
- Event Bus: Thành phần này là một cửa ngõ định tuyến dữ liệu để đưa đến Event Processing Agent (EPA) trong Event Processing Engine hoặc Event Channel thông qua cơ chế công bố / đăng ký như đã nói.
- Event Channel: thành phần này được sử dụng để đệm các sự kiện đã sẵn sàng để được xử lý bởi EPA. Các mục tiêu của kênh sự kiện là hỗ trợ tính tốn phức tạp với phát hiện bất thường hoặc cảnh báo tương quan.
- Event Processing Engine: Động cơ này được cấu thành của một bộ Event Processing Agent (EPA). EPA là một phần mềm chịu trách nhiệm về phát hiện các cuộc tấn cơng mạng và đóng vai trị của bộ siêu điều khiển siêu để phối hợp nhiệm vụ với Sub-Controller.
Mơ hình quy định của EPA được xây dựng bởi Event Processing Language (EPL), chẳng hạn như Esper, được lưu trữ trong kho lưu trữ mẫu. Quản trị mạng có thể sử dụng EPL để xác định quy tắc phát hiện xâm nhập dựa trên chính sách cho EPA. Một tập hợp các EPA có thể thực hiện các cơng việc cho phối hợp phát hiện xâm nhập để phân tích và cảnh báo sự kiện tương quan từ nhiều kết quả phát
hiện tấn công thông qua quy tắc phát hiện xâm nhập. Cách tiếp cận này có thể cải thiện khả năng của các thành phần phát hiện xâm nhập bị cô lập chỉ theo dõi một phần hạn chế của Internet.