Đồ án môn an toàn mạng máy tính đề tài software defined firewall enabling malware traffic detection and programmable security control

Đồ án an toàn mạng: Xây dựng Software Defined Firewall phát hiện mã độc và kiểm soát an ninh linh hoạt. Tìm hiểu giải pháp bảo mật mạng tiên tiến.

Chuyên ngành

An Toàn Mạng Máy Tính

Người đăng

Ẩn danh

Thể loại

Đồ án môn học

2022-2023

45
1
0

Phí lưu trữ

30 Point

Tóm tắt

I. Hướng dẫn đồ án Software Defined Firewall cho an toàn mạng

Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, việc tìm kiếm giải pháp bảo mật hiệu quả là ưu tiên hàng đầu. Đồ án Software-Defined Firewall (SDF), hay Tường lửa định nghĩa bằng phần mềm, nổi lên như một hướng tiếp cận đột phá, mang lại khả năng phát hiện lưu lượng mã độc và kiểm soát an ninh linh hoạt. Khác với tường lửa truyền thống, SDF áp dụng nguyên lý của Software-Defined Networking (SDN) để tách biệt mặt phẳng điều khiển (Control Plane) và mặt phẳng dữ liệu (Data Plane). Sự tách biệt này cho phép quản trị viên mạng có thể lập trình và tự động hóa các chính sách bảo mật lập trình được một cách dễ dàng, thay vì phải cấu hình thủ công trên từng thiết bị. Mục tiêu chính của đồ án là xây dựng một hệ thống có khả năng giám sát toàn bộ luồng dữ liệu mạng ở tầng phần cứng, ngăn chặn các kỹ thuật lẩn tránh tinh vi của phần mềm độc hại. Bằng cách tích hợp thông tin trạng thái từ máy chủ (host-level information) như tên tiến trình, mức sử dụng CPU và bộ nhớ, SDF nâng cao đáng kể độ chính xác trong việc phát hiện mã độc. Kiến trúc này không chỉ giải quyết các điểm yếu cố hữu của tường lửa cá nhân và tường lửa mạng mà còn mở ra một kỷ nguyên mới cho an toàn mạng SDN, nơi các chính sách bảo mật có thể được cập nhật động và phản ứng tức thời trước các cuộc tấn công mới. Đồ án này cung cấp một cái nhìn toàn diện về cách thiết kế, triển khai và đánh giá một hệ thống SDF hoàn chỉnh, từ việc sử dụng các công cụ như Mininet để giả lập mạng cho đến việc lựa chọn Bộ điều khiển SDN phù hợp như Ryu Controller hay POX Controller.

1.1. Bối cảnh ra đời và tầm quan trọng của tường lửa SDN

Sự phát triển của malware, đặc biệt là các loại có khả năng sử dụng ngăn xếp TCP/IP riêng để vượt qua tường lửa cá nhân, đã đặt ra những thách thức lớn cho các hệ thống bảo mật truyền thống. Tường lửa mạng, mặc dù có thể giám sát toàn bộ lưu lượng, lại thiếu thông tin ngữ cảnh từ máy chủ, dẫn đến tỷ lệ dương tính giả cao. Đây chính là bối cảnh thúc đẩy sự ra đời của Tường lửa định nghĩa bằng phần mềm (SDF). Tầm quan trọng của SDF nằm ở khả năng kết hợp ưu điểm của cả hai loại tường lửa: giám sát toàn diện ở tầng thấp và phân tích sâu dựa trên thông tin máy chủ. Giải pháp này giúp tạo ra một lớp phòng thủ vững chắc, có khả năng thích ứng nhanh với các mối đe dọa mới, là một phần không thể thiếu trong các chiến lược an ninh mạng hiện đại.

1.2. Mục tiêu cốt lõi trong báo cáo đồ án an toàn mạng này

Mục tiêu chính của báo cáo đồ án an toàn mạng này là nghiên cứu và triển khai một nguyên mẫu SDF hoạt động hiệu quả. Các mục tiêu cụ thể bao gồm: thiết kế một kiến trúc SDN cho tường lửa có khả năng chống lại các kỹ thuật bypass của malware; xây dựng cơ chế phân tích luồng dữ liệu mạng kết hợp với thông tin trạng thái máy chủ để cải thiện độ chính xác phát hiện; triển khai một ngôn ngữ lập trình cấp cao cho phép quản trị viên định nghĩa và cập nhật các network security policy một cách linh hoạt; và cuối cùng là đánh giá hiệu suất của hệ thống thông qua các kịch bản tấn công thực tế. Hoàn thành các mục tiêu này sẽ chứng minh tính khả thi và ưu việt của SDF so với các giải pháp bảo mật hiện hành.

II. Thách thức phát hiện mã độc với các hệ thống tường lửa cũ

Các hệ thống tường lửa truyền thống đang đối mặt với nhiều thách thức trong cuộc chiến chống lại phần mềm độc hại. Vấn đề lớn nhất là khả năng lẩn tránh của malware. Nhiều loại mã độc hiện đại, như bootkit Rovnix được đề cập trong nghiên cứu, có thể tạo ra một ngăn xếp TCP/IP riêng để giao tiếp mạng. Kỹ thuật này cho phép lưu lượng độc hại đi vòng qua các lớp giám sát của tường lửa cá nhân, khiến chúng trở nên vô hình. Đối với tường lửa mạng, dù giám sát được toàn bộ traffic, chúng lại thiếu thông tin ngữ cảnh quan trọng từ máy chủ. Chúng không thể biết được tiến trình nào đã tạo ra một luồng dữ liệu cụ thể. Điều này dẫn đến khó khăn trong việc phân biệt giữa lưu lượng hợp lệ và phân tích traffic độc hại, đặc biệt khi kẻ tấn công sử dụng các kênh mã hóa hoặc các giao thức phổ biến để che giấu hoạt động. Một thách thức khác là tính cứng nhắc trong việc cập nhật chính sách. Quản trị viên thường phải cập nhật thủ công các quy tắc, một quá trình chậm chạp và dễ xảy ra lỗi. Khi một mối đe dọa mới xuất hiện, sự chậm trễ này có thể tạo ra một cửa sổ cơ hội cho kẻ tấn công. Những hạn chế này cho thấy sự cần thiết của một giải pháp bảo mật mới, linh hoạt hơn và thông minh hơn, có khả năng giám sát sâu hơn và tự động hóa việc thực thi chính sách, đó chính là vai trò của Software-Defined Firewall.

2.1. Hạn chế của phương pháp Signature based detection

Phương pháp phát hiện dựa trên chữ ký (Signature-based detection) là nền tảng của nhiều hệ thống chống virus và Hệ thống phát hiện xâm nhập (IDS). Tuy nhiên, nó chỉ hiệu quả với các mối đe dọa đã biết và đã có chữ ký trong cơ sở dữ liệu. Kẻ tấn công có thể dễ dàng thay đổi một vài byte trong mã độc (polymorphic malware) để tạo ra một biến thể mới với chữ ký khác hoàn toàn, qua mặt các hệ thống phòng thủ. Điều này đòi hỏi các nhà cung cấp bảo mật phải liên tục cập nhật cơ sở dữ liệu chữ ký, tạo ra một cuộc chạy đua không hồi kết. Hạn chế này đặc biệt rõ rệt đối với các cuộc tấn công zero-day.

2.2. Khó khăn trong việc phân biệt luồng dữ liệu hợp lệ

Một trong những bài toán khó nhất của an ninh mạng là phân biệt chính xác giữa lưu lượng độc hại và lưu lượng hợp lệ. Mã độc ngày càng tinh vi, chúng thường giả mạo các giao thức phổ biến như HTTP/HTTPS hoặc DNS để trà trộn vào dòng dữ liệu thông thường. Tường lửa mạng truyền thống, chỉ dựa vào thông tin header của gói tin (địa chỉ IP, cổng), rất khó để đưa ra quyết định chính xác. Việc thiếu thông tin về ứng dụng nguồn gốc (ví dụ: tiến trình 'chrome.exe' hay một tiến trình lạ) khiến việc chặn nhầm (false positive) hoặc bỏ sót (false negative) xảy ra thường xuyên, ảnh hưởng đến trải nghiệm người dùng và an toàn hệ thống.

III. Phương pháp xây dựng kiến trúc tường lửa định nghĩa phần mềm

Kiến trúc của Tường lửa định nghĩa bằng phần mềm (SDF) được xây dựng dựa trên nguyên lý cốt lõi của Software-Defined Networking (SDN): tách biệt mặt phẳng điều khiển và mặt phẳng dữ liệu. Cách tiếp cận này mang lại sự linh hoạt và khả năng lập trình chưa từng có cho hệ thống tường lửa. Mặt phẳng dữ liệu (Data Plane) là thành phần thực thi, hoạt động ở tầng phần cứng mạng (ví dụ: trên NIC hoặc switch hỗ trợ OpenFlow protocol). Nhiệm vụ của nó là giám sát và xử lý các gói tin đến và đi dựa trên các quy tắc luồng (flow rules) được lưu trong bảng luồng. Việc đặt Data Plane ở tầng thấp giúp ngăn chặn mọi nỗ lực bypass của malware. Mặt phẳng điều khiển (Control Plane) là bộ não của hệ thống, thường được triển khai trên một máy chủ riêng hoặc ngay trên host cần bảo vệ. Nó thu thập thông tin từ hai nguồn chính: thống kê lưu lượng từ Data Plane và thông tin trạng thái từ máy chủ (tên tiến trình, CPU, bộ nhớ). Dựa trên các dữ liệu này, các ứng dụng điều khiển, chẳng hạn như module phát hiện tấn công, sẽ phân tích và đưa ra quyết định. Khi một luồng traffic độc hại được xác định, Control Plane sẽ gửi lệnh xuống Data Plane để cài đặt một quy tắc mới, ví dụ như chặn tất cả các gói tin từ một địa chỉ IP cụ thể. Mô hình này được hỗ trợ bởi các bộ điều khiển SDN như OpenDaylight hoặc Ryu Controller, cung cấp nền tảng để xây dựng các ứng dụng an ninh phức tạp.

3.1. Mô hình Control Plane và Data Plane trong an toàn mạng SDN

Trong an toàn mạng SDN, Control Plane đóng vai trò trung tâm ra quyết định. Nó duy trì một cái nhìn tổng thể về toàn bộ mạng, thu thập thông tin và thực thi các chính sách bảo mật một cách nhất quán. Ngược lại, Data Plane là các thiết bị mạng (switch, router) chỉ có nhiệm vụ đơn giản là chuyển tiếp gói tin theo chỉ dẫn từ Control Plane. Sự phân tách này giúp đơn giản hóa thiết bị mạng, giảm chi phí và cho phép đổi mới nhanh chóng ở tầng điều khiển. Các chính sách bảo mật phức tạp có thể được lập trình và triển khai dưới dạng ứng dụng trên controller mà không cần thay đổi phần cứng.

3.2. Vai trò của Bộ điều khiển SDN và giao thức OpenFlow

Giao thức OpenFlow là chuẩn giao tiếp "southbound" phổ biến nhất, cho phép Bộ điều khiển SDN (SDN Controller) giao tiếp và điều khiển các thiết bị trong Data Plane. Controller có thể thêm, sửa, xóa các quy tắc trong bảng luồng của switch OpenFlow để định tuyến lại, chặn hoặc sao chép lưu lượng. Trong đồ án này, các bộ điều khiển như Ryu Controller hay POX Controller được sử dụng làm nền tảng để phát triển logic phát hiện mã độc. Chúng nhận các gói tin chưa khớp với quy tắc nào (table-miss packets), phân tích và sau đó cài đặt quy tắc tương ứng để xử lý các gói tin tương tự trong tương lai một cách hiệu quả.

3.3. Giới thiệu Máy chủ kiểm tra Audit Server bảo vệ Control Plane

Một thành phần quan trọng trong kiến trúc SDF là Máy chủ kiểm tra (Audit Server). Vì Control Plane trở thành mục tiêu tấn công hấp dẫn, malware có thể cố gắng vô hiệu hóa hoặc thay đổi các quy tắc bảo mật. Audit Server hoạt động như một bên thứ ba độc lập, định kỳ thu thập các quy tắc luồng từ Data Plane và thông tin từ host để xác minh tính hợp lệ của chúng. Nếu phát hiện sự mâu thuẫn (ví dụ, một quy tắc chặn quan trọng bị xóa), nó sẽ ngay lập tức cảnh báo cho quản trị viên. Cơ chế này đảm bảo tính toàn vẹn và khả năng phục hồi của hệ thống phòng thủ, ngay cả khi Control Plane bị xâm phạm.

IV. Cách phát hiện mã độc bằng học máy và phân tích luồng dữ liệu

Cơ chế phát hiện mã độc trong SDF là một hệ thống đa tầng, kết hợp cả phương pháp dựa trên chữ ký và dựa trên sự bất thường (Anomaly-based detection). Cách tiếp cận này tận dụng sức mạnh của học máy trong an ninh mạng để đạt độ chính xác cao. Quá trình bắt đầu khi một luồng dữ liệu không khớp với bất kỳ quy tắc nào trong Data Plane và được gửi lên Control Plane. Tại đây, module phát hiện tấn công sẽ xử lý theo hai giai đoạn. Giai đoạn đầu tiên là kiểm tra gói tin với cơ sở dữ liệu chữ ký tấn công đã biết. Các trường quan trọng như payload của gói tin được so khớp để nhanh chóng xác định các mối đe dọa quen thuộc. Nếu không tìm thấy kết quả khớp, gói tin sẽ được chuyển sang giai đoạn hai. Giai đoạn này sử dụng một mô hình Machine Learning for malware detection, cụ thể là Support Vector Machine (SVM), để phân loại luồng dữ liệu. Mô hình SVM được huấn luyện trước bằng cả dữ liệu lưu lượng bình thường và độc hại. Các đặc trưng đầu vào cho mô hình không chỉ bao gồm thông tin từ header gói tin (IP, cổng, giao thức) mà còn cả thông tin ngữ cảnh từ máy chủ (tiến trình tạo ra luồng, mức sử dụng CPU/bộ nhớ, tần suất gói tin). Sự kết hợp này tạo ra một bộ đặc trưng phong phú, giúp mô hình SVM phân biệt chính xác các hành vi tinh vi của mã độc mà các phương pháp truyền thống bỏ lỡ. Khi một luồng bị phân loại là độc hại, hệ thống có thể tự động tạo và cài đặt quy tắc để chặn nó.

4.1. Phân tích luồng dữ liệu mạng kết hợp thông tin máy chủ

Điểm đột phá của SDF là khả năng làm giàu dữ liệu mạng bằng thông tin từ máy chủ. Khi một gói tin được phân tích, hệ thống sẽ truy vấn module giám sát trạng thái máy chủ để lấy thông tin về tiến trình đang sử dụng cổng nguồn/đích của gói tin đó. Ví dụ, hệ thống có thể xác định rằng một kết nối đến cổng 80 được tạo bởi 'chrome.exe' (hành vi bình thường) hay bởi một tiến trình lạ không có tên (hành vi đáng ngờ). Việc phân tích luồng dữ liệu mạng theo ngữ cảnh này giúp giảm đáng kể tỷ lệ dương tính giả và tăng khả năng phát hiện các mối đe dọa ẩn.

4.2. Thiết lập chính sách bảo mật lập trình được linh hoạt

Khả năng lập trình là một ưu điểm vượt trội của SDF. Thay vì các quy tắc cứng nhắc, quản trị viên có thể định nghĩa các chính sách bảo mật lập trình được cấp cao. Ví dụ, một chính sách có thể được viết như sau: "Nếu một tiến trình không xác định tiêu thụ trên 80% CPU và gửi dữ liệu ra ngoài, hãy chặn tất cả lưu lượng của nó và ghi lại nhật ký". Các ứng dụng điều khiển sẽ diễn giải chính sách cấp cao này và tự động tạo ra các quy tắc luồng OpenFlow tương ứng để thực thi trên Data Plane. Điều này cho phép tự động hóa phản ứng và tùy chỉnh bảo mật theo nhuove cầu cụ thể của từng hệ thống.

V. Báo cáo kết quả đồ án an toàn mạng Hiệu quả thực tế của SDF

Kết quả thực nghiệm của đồ án đã chứng minh hiệu quả vượt trội của Software-Defined Firewall so với các giải pháp truyền thống. Trong thử nghiệm quan trọng nhất, hệ thống SDF được đối đầu với bootkit Rovnix, một loại mã độc nổi tiếng với khả năng sử dụng ngăn xếp TCP/IP riêng để lẩn tránh. Kết quả cho thấy các tường lửa cá nhân phổ biến như McAfee và Norton hoàn toàn không thể phát hiện được lưu lượng do Rovnix tạo ra. Ngược lại, SDF, với module giám sát hoạt động ở tầng phần cứng, đã thành công bắt giữ 100% các gói tin của mã độc này. Đây là một minh chứng rõ ràng cho khả năng chống bypass của kiến trúc SDF. Một thí nghiệm khác tập trung vào việc đánh giá vai trò của thông tin máy chủ trong việc cải thiện độ chính xác phân loại. Bằng cách so sánh hiệu quả của bộ phân loại SVM khi có và không có các đặc trưng như tên tiến trình, CPU và bộ nhớ, nghiên cứu chỉ ra rằng việc tích hợp thông tin máy chủ giúp tăng tỷ lệ phát hiện dương tính thật (TPR) lên hơn 15% và giảm tỷ lệ dương tính giả (FPR) khoảng 5%. Điều này đặc biệt quan trọng trong việc phát hiện các cuộc tấn công tinh vi như rò rỉ dữ liệu. Các thử nghiệm về độ trễ cho thấy chi phí xử lý gói tin là chấp nhận được. Mặc dù các gói tin table-miss (phải gửi lên controller) có độ trễ cao hơn, chúng chỉ chiếm một phần nhỏ lưu lượng, và hệ thống sẽ nhanh chóng tạo quy tắc để xử lý các gói tin tương tự ngay tại Data Plane.

5.1. Đánh giá khả năng chặn các cuộc tấn công vào Control Plane

Thử nghiệm cũng kiểm tra khả năng phục hồi của hệ thống khi Control Plane bị tấn công. Các kịch bản như cài đặt quy tắc giả mạo, đầu độc thông tin thống kê, hay tắt hoàn toàn controller đã được thực hiện. Kết quả cho thấy Máy chủ kiểm tra (Audit Server) đã hoạt động hiệu quả, phát hiện các mâu thuẫn trong bảng luồng và gửi cảnh báo đến quản trị viên. Mặc dù nó không thể xác định chính xác loại tấn công, nhưng các cảnh báo này là cực kỳ quan trọng để quản trị viên có thể can thiệp và khôi phục hệ thống kịp thời.

5.2. Ứng dụng thực tiễn Bảo vệ máy chủ web và kiểm soát phụ huynh

Đồ án đã trình bày hai trường hợp sử dụng thực tiễn để minh họa tính linh hoạt của SDF. Trường hợp đầu tiên là bảo vệ máy chủ web, nơi SDF có thể tự động chặn lưu lượng đến các cổng không được phép và cập nhật danh sách đen IP dựa trên phân tích các yêu cầu đáng ngờ. Trường hợp thứ hai là kiểm soát của phụ huynh, SDF cho phép tạo ra các chính sách truy cập mạng linh hoạt dựa trên ứng dụng, thời gian và hành vi sử dụng tài nguyên (ví dụ, chặn các game online tiêu thụ nhiều CPU trong giờ học). Cả hai ví dụ đều cho thấy khả năng lập trình của SDF giúp đơn giản hóa các giải pháp bảo mật phức tạp.

VI. Tương lai của Software Defined Networking SDN và an ninh mạng

Đồ án Software-Defined Firewall không chỉ là một giải pháp cụ thể mà còn mở ra một hướng đi đầy hứa hẹn cho tương lai của ngành an ninh mạng. Tiềm năng của Software-Defined Networking (SDN) trong việc tăng cường bảo mật là rất lớn. Bằng cách tập trung hóa việc điều khiển, SDN cho phép triển khai các chính sách bảo mật phức tạp và nhất quán trên toàn bộ hạ tầng mạng, từ trung tâm dữ liệu đến các thiết bị di động. Trong tương lai, các hệ thống an toàn mạng SDN có thể phát triển theo nhiều hướng. Một hướng quan trọng là tích hợp sâu hơn với Network Functions Virtualization (NFV), cho phép tạo ra các chuỗi dịch vụ bảo mật (service chaining) một cách linh hoạt. Ví dụ, một luồng dữ liệu có thể được tự động chuyển qua một tường lửa, sau đó là một Hệ thống phát hiện xâm nhập (IDS), và cuối cùng là một hệ thống DLP (Data Loss Prevention) trước khi đi ra ngoài, tất cả đều được định nghĩa bằng phần mềm. Việc áp dụng các thuật toán học máy trong an ninh mạng sẽ ngày càng trở nên tinh vi hơn, cho phép các hệ thống tự học và thích ứng với các hành vi tấn công mới mà không cần sự can thiệp của con người. Tuy nhiên, vẫn còn những thách thức cần giải quyết, bao gồm việc bảo vệ chính mặt phẳng điều khiển khỏi các cuộc tấn công, giảm độ trễ xử lý và chuẩn hóa các giao thức để tăng cường khả năng tương tác. Tương lai của an ninh mạng sẽ thuộc về các hệ thống thông minh, tự động và có khả năng lập trình cao, và SDF là một bước tiến quan trọng trên con đường đó.

6.1. Hạn chế và các hướng nghiên cứu phát triển tiếp theo

Mặc dù hiệu quả, mô hình SDF vẫn còn một số hạn chế. Độ trễ khi xử lý các gói tin table-miss có thể ảnh hưởng đến các ứng dụng yêu cầu thời gian thực. Hơn nữa, kẻ tấn công có thể tìm cách đánh lừa hệ thống bằng cách cung cấp thông tin máy chủ giả mạo. Các hướng nghiên cứu trong tương lai cần tập trung vào việc tối ưu hóa hiệu suất xử lý ở Data Plane, có thể bằng cách triển khai logic phức tạp hơn trên các NIC lập trình được. Đồng thời, cần phát triển các cơ chế xác thực thông tin máy chủ để chống lại các kỹ thuật lẩn tránh tinh vi hơn.

6.2. Mã nguồn tường lửa SDN và cơ hội cho cộng đồng

Việc chia sẻ mã nguồn tường lửa SDN sẽ thúc đẩy sự phát triển của cộng đồng và khuyến khích sự đổi mới. Các dự án mã nguồn mở dựa trên các controller như Ryu Controller hay OpenDaylight cho phép các nhà nghiên cứu và sinh viên dễ dàng xây dựng và thử nghiệm các ý tưởng bảo mật mới. Điều này không chỉ giúp cải tiến các kỹ thuật phát hiện mã độc hiện có mà còn tạo ra một nền tảng để giải quyết các thách thức an ninh mạng phức tạp trong tương lai, từ bảo vệ IoT đến đảm bảo an toàn cho các mạng 5G.

16/09/2025

Trích đoạn nội dung tài liệu

ĐẶT VẤN ĐỀ Phần mềm độc hại (Malware) đã trở thành một trong những mối đe dọa nghiêm trọng đến bảo mật máy chủ. Phần mềm độc hại của ngày hôm nay cần kết nối mạng để thực hiện các hoạt động độc hại (Ví dụ: Làm ngập các gói, rò rỉ dữ liệu cá nhân và tải xuống cập nhật phần mềm độc hại). Để phát hiện các hoạt động độc hại này, các công ty Security đã đề xuất các giải pháp bảo mật trên cả hai máy chủ bên (Tường lửa cá nhân như tường lửa Microsoft Windows và Anti-viruts ) và phía mạng (Tường lửa mạng như như hệ thống phát hiện xâm nhập và lọc xâm nhập). Đã bao giờ, khi phần mềm độc hại nằm ở lớp thấp hơn lớp cá nhân tường lửa, lưu lượng truy cập độc hại này trở nên vô hình đối với cá nhân tường lửa.

Mặc dù Network Firewalls có thể nắm bắt tất cả lưu lượng truy cập, nhưng thiếu thông tin về máy chủ có thể khiến chúng không phân biệt được lưu lượng truy cập độc hại từ lưu lượng truy cập lành tính khác. Một ví dụ điển hình là bộ khởi động Rovnix có thể bỏ qua sự giám sát của tường lửa cá nhân thông qua ngăn xếp TCP/IP riêng. Trộn với lưu lượng truy cập lành tính, tường lửa mạng cũng có thể không xác định được lưu lượng truy cập của nó khi Rovnix không có các tính năng quan trọng trong cơ sở dữ liệu chữ ký tấn công, như được mô tả trong Hình 1. Nhiều giải pháp đã được đề xuất cho mẫu phần mềm độc hại phân tích và cập nhật chính sách bảo mật động.

Nhà nghiên cứu Perdisci et.al trình bày một phần mềm độc hại hành vi cấp độ mạng hệ thống phân cụm bằng cách phân tích các điểm tương đồng về cấu trúc trong số các dấu vết lưu lượng truy cập HTTP độc hại được tạo bởi phần mềm độc hại dựa trên HTTP. TIEU LUAN MOI download : skknchat123@gmail.com moi nhat DO. Tường lửa mạng và cá nhân có thể không xác định được lưu lượng độc hại khi phần mềm độc hại sử dụng ngăn xếp TCP/IP riêng. Nhà nghiên cứu Amann et.

đề xuất một mạng lưới tiểu thuyết khung điều khiển cung cấp hệ thống nhập giám sát mạng thụ động với giao diện linh hoạt và thống nhất để hoạt động phản hồi. Khả năng lập trình cao trong phần mềm xác định mạng (SDN) cũng giới thiệu các đổi mới bảo mật. Bảo vệ dòng chảy cho phép cả phát hiện chính xác và hiệu quả giải quyết các vi phạm chính sách tường lửa trong mạng OpenFlow. Một cách tiếp cận khác, PBS, đánh giá ý tưởng trong SDN để kích hoạt khả năng bảo mật mạng cấp độ ứng dụng cho các ứng dụng và thiết bị di động.

PBS giới thiệu một cách linh hoạt hơn để thực thi các chính sách bảo mật bằng cách áp dụng khái niệm về SDN. Tuy nhiên, những cách tiếp cận này có thể phát sinh tỷ lệ dương tính giả cao trong nhận dạng lưu lượng tấn công với không tham chiếu đến thông tin máy chủ lưu trữ hoặc có thể bị bỏ qua khi phần mềm độc hại thông qua các cơ chế để tránh kiểm tra tường lửa cá nhân (ví dụ: thông qua ngăn xếp TCP/IP riêng). Để giải quyết vấn đề phát hiện lưu lượng độc hại đáng tin cậy, chúng tôi đề xuất tường lửa do phần mềm xác định (SDF), một kiến trúc có thể ngăn chặn lưu lượng truy cập độc hại bỏ qua tăng cường bảo mật cho máy chủ. Kiến trúc mới của SDF có thể được chứng kiến từ thiết kế "Control plane" và "Data plane" như trong SDN.

" Control plane " trong SDF thu thập thông tin máy chủ (Ví dụ: tên tác vụ, CPU và bộ nhớ sử dụng các nhiệm vụ) để cải thiện độ chính xác của mã độc phát hiện lưu lượng và cung cấp quản lý TIEU LUAN MOI download : skknchat123@gmail.com moi nhat DO.control luồng chi tiết. Data plane giám sát cả lưu lượng đến và đi trong phần cứng mạng. Thiết kế hai lớp trong SDF có thể tránh thành công phần mềm độc hại bỏ qua bằng cách tích hợp máy chủ thông tin. Một tính năng nổi bật khác của SDF là khả năng kiểm soát lưu lượng cấp ứng dụng.

Chúng tôi thiết kế một ngôn ngữ có thể lập trình cho SDF để cho phép người dùng phát triển các ứng dụng kiểm soát, thông qua đó kiểm soát mặt phẳng của SDF có thể cài đặt các quy tắc trên mặt phẳng dữ liệu để quản lý lưu lượng mạng. Do đó, người dùng có thể tự động cập nhật máy chủ lưu trữ chính sách bảo mật máy và đạt được kịp thời và chính xác lọc lưu lượng độc hại. SDF cũng mạnh mẽ trước các cuộc tấn công khác nhau chống lại sự kiểm soát của Control plane. Chúng tôi tận dụng một máy chủ kiểm tra để tránh bị xâm phạm máy bay điều khiển hoặc phần mềm độc hại cài đặt các quy tắc bất hợp pháp và gỡ bỏ các quy tắc pháp lý trên bình diện dữ liệu.

Khi các cuộc tấn công được phát hiện, máy chủ kiểm tra sẽ thông báo cho quản trị viên mạng về sự kiện bất thường. Với những cảnh báo này, quản trị viên mạng có thể kiểm tra thêm máy chủ để loại bỏ phần mềm độc hại. SDF dễ thực hiện và có thể được triển khai trong mạng truyền thống hoặc OpenFlow mà không có nhiều thay đổi của khung mạng hiện có. Với sự hỗ trợ của SDF, nhiều giải pháp bảo mật ngày nay có thể được đơn giản hóa bằng cách áp dụng các ứng dụng điều khiển khác nhau.

Phần mềm độc hại vượt qua tường lửa cá nhân. TIEU LUAN MOI download : skknchat123@gmail.com moi nhat DO.control MỤC TIÊU Mục tiêu của đồ án này trong thời gian học tập môn an toàn mạng máy tính có thể tìm hiểu và nghiên cứu được một giải pháp đang được phát triển trong những năm gần đây về tường lửa để từ đó có thể hiểu rõ và áp dụng được nó trong việc bảo vệ các hệ thống hiện nay khỏi các cuộc tấn công về an toàn mạng. Hoàn thành tốt học phần, cũng cố thêm các kiên thức về bảo mật mạng và chuẩn bị cho các học kỳ sắp tới. TIEU LUAN MOI download : skknchat123@gmail.com moi nhat DO.control CÁC NGHIÊN CỨU LIÊN QUAN VÀ ĐỀ XUẤT KỸ THUẬT XỬ LÝ 1.

Adversary Model Các ứng dụng mạng thông thường (Ví dụ: Chrome và MSN) sử dụng ngăn xếp TCP/IP và các giao diện được cung cấp bởi hệ điều hành hệ thống (OS) để giao tiếp mạng. Cụ thể, lưu lượng của các ứng dụng này sẽ đi qua TCP/IP trình điều khiển giao thức, đặc điểm kỹ thuật giao diện trình điều khiển mạng (NDIS) trình điều khiển trung gian, trình điều khiển bộ lọc NDIS và cổng thu nhỏ NDIS trình điều khiển trước khi tiếp cận phần cứng thẻ giao diện mạng (NIC), như được mô tả trong Hình 2. Tường lửa cá nhân nằm ở một trong các bốn lớp để phân tích cả lưu lượng đến và đi. Khi phát hiện thấy lưu lượng độc hại, tường lửa sẽ báo cáo cho người dùng để quyết định hoặc loại bỏ nó dựa trên bảo mật các chính sách.

Một số phần mềm độc hại có thể sử dụng ngăn xếp TCP/IP riêng để vượt qua tường lửa cá nhân. Cụ thể, phần mềm độc hại kết nối NdisM Register Miniport Driver và NdisM Register Miniport và đăng ký chức năng xử lý miniport của phần mềm độc hại. Trước khi trình điều khiển bộ điều hợp mạng đăng ký với NDIS. Với chức năng xử lý miniport riêng của phần mềm độc hại, phần mềm độc hại có thể để gửi hoặc nhận các gói thông qua ngăn xếp TCP/IP riêng của nó và bỏ qua sự giám sát của tường lửa cá nhân, như được mô tả trong Hình 2.

Phần mềm độc hại cũng có khả năng đầu độc tường lửa cá nhân, chẳng hạn như chặn giao tiếp giữa tường lửa và hệ điều hành hoặc thậm chí tắt tường lửa. Khi phần mềm độc hại cố gắng để làm hỏng hệ thống phòng thủ, chúng ta nên đảm bảo rằng những hoạt động độc hại dễ nhận thấy đối với người dùng. Người dùng có thể lấy một bước nữa để quét máy chủ lưu trữ để loại bỏ phần mềm độc hại. Nền SDN Mạng do phần mềm xác định (SDN) là một kỹ thuật số mạng mới phân tách các mặt phẳng điều khiển và dữ liệu trong một mạng.

Control plane của SDN ra lệnh cho TIEU LUAN MOI download : skknchat123@gmail.com moi nhat DO.control toàn bộ mạng hành vi. Sự tập trung hợp lý này giới thiệu một cách đơn giản hơn nhưng cách linh hoạt hơn để quản lý và kiểm soát lưu lượng mạng bằng cách một giao thức "Southbound " (Tức là OpenFlow). Mạng OpenFlow áp dụng các quy tắc luồng để xử lý mạng giao thông. Khi một gói tin đến, công tắc OpenFlow sẽ tìm kiếm bảng luồng của nó để xem liệu gói này có khớp với bất kỳ luồng nào không quy tắc.

Nếu tìm thấy kết quả phù hợp, công tắc OpenFlow sẽ theo sau trường hành động của quy tắc luồng này để xử lý gói tin. Các hành động có thể là (Không giới hạn): (i) chuyển tiếp gói tin; (ii) thả gói tin; (iii) báo cáo gói tin lên mặt phẳng điều khiển. Nếu gói không khớp với bất kỳ mục nhập luồng nào (bỏ qua bảng), công tắc OpenFlow thường gửi một gói tin nhắn đến máy bay điều khiển để hướng dẫn. Máy bay điều khiển sau đó quyết định cách xử lý gói mới dựa trên logic của các ứng dụng và phản hồi bằng các quy tắc hành động và luồng.

Dòng phản ứng này cách tiếp cận cài đặt cho phép một cách dễ dàng và linh hoạt hơn để quản lý và kiểm soát lưu lượng mạng và đã được được sử dụng trong hầu hết các ứng dụng OpenFlow. Vấn đề và thách thức Vấn đề được nghiên cứu trong bài báo này là làm thế nào để phát hiện ra mã độc lưu lượng phần mềm độc hại trên máy chủ. Để giải quyết vấn đề này, chúng ta phải đối mặt với những thách thức sau đây. Làm thế nào để tránh lưu lượng truy cập độc hại bỏ qua một cá nhân bức tường lửa? Như chúng tôi đã đề cập ở trên, phần mềm độc hại có thể sử dụng Ngăn xếp TCP/IP để vượt qua sự phát hiện của tường lửa cá nhân.

Do đó, một giải pháp tốt nên tiến hành phát hiện trong lớp phần cứng mạng (Thấp hơn lớp mà phần mềm độc hại hoạt động để tránh bị bỏ qua). Thật không may, không có tường lửa cá nhân giám sát lưu lượng trong lớp NIC. Trong khi đó, khi phần mềm độc hại tấn công tường lửa, làm thế nào để đảm bảo hệ thống vẫn hoạt động hoặc cảnh báo người dùng khi các cuộc tấn công xảy ra cũng một vấn đề đầy thách thức.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ