Các Giải Pháp Hiệu Quả Để Phát Hiện Và Giảm Thiểu Tấn Công DDoS Trong Mạng Điều Khiển Bằng Phần Mềm

Tổng hợp kiến thức Giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng ..., tiếp cận khoa học, hỗ trợ học tập và nghiên cứu hiệu quả trong

Trường đại học

Đại học Bách khoa Hà Nội

Người đăng

Ẩn danh

Thể loại

luận án tiến sĩ

2023

142
2
0

Phí lưu trữ

35 Point

Mục lục chi tiết

LỜI CAM ĐOAN

1. MỞ ĐẦU

1.1. Tổng quan về mạng điều khiển bằng phần mềm SDN

1.2. Kiến trúc của SDN. So sánh với kiến trúc mạng truyền thống

1.3. Chế độ hoạt động của mạng SDN

1.4. Giao thức OpenFlow

1.4.1. Giới thiệu chung

1.4.2. Thiết bị chuyển mạch OpenFlow

1.4.3. Bộ điều khiển OpenFlow

1.4.4. Các bản tin OpenFlow

1.5. Tấn công từ chối dịch vụ DDoS

1.5.1. Giới thiệu chung

1.5.2. Phân loại tấn công từ chối dịch vụ

1.5.3. Các phương pháp giảm thiểu tấn công DDoS

1.6. Cơ sở lý thuyết về học máy

1.6.1. Quá trình hoạt động của các thuật toán học máy

1.6.2. Thuật toán K-Nearest-Neighbor

1.6.3. Học sâu và thuật toán DNN

2. NHẬN DẠNG VÀ ĐO LƯỜNG MỘT SỐ TÁC ĐỘNG CỦA TẤN CÔNG DDOS VỚI KIẾN TRÚC SDN. Xây dựng mô hình thực nghiệm

2.1. Các thành phần của mô hình thực nghiệm

2.2. Thông số cấu hình mô hình thử nghiệm

2.3. Các tác động của tấn công DDoS lên kiến trúc mạng SDN

2.3.1. Tác động của tấn công DDoS lên bộ điều khiển SDN

2.3.2. Tác động của tấn công DDoS lên thiết bị chuyển mạch SDN

2.3.3. Tác động của tấn công lưu lượng lên kết nối giữa thiết bị điều khiển và thiết bị chuyển mạch

3. ĐỀ XUẤT GIẢI PHÁP PHÁT HIỆN TẤN CÔNG DDoS TRONG MẠNG SDN

3.1. Giải pháp tổng thể ngăn chặn tấn công DDoS

3.2. Giải pháp phát hiện tấn công DDoS

3.2.1. Khối phát hiện dữ liệu bất thường sử dụng thuật toán học máy trong mạng SDN

3.2.2. Lựa chọn thuật toán học máy

3.2.3. Áp dụng thuật LoF vào khối phát hiện bất thường

3.2.4. Khối phân loại và phát hiện tấn công DDoS cụ thể

3.2.4.1. Khối phân loại dữ liệu
3.2.4.2. Khối phát hiện loại tấn công cụ thể

3.2.5. Tập dữ liệu và các đặc trưng dữ liệu

3.2.5.1. Bộ dữ liệu tấn công CAIDA
3.2.5.2. Bộ dữ liệu DDoSDB
3.2.5.3. Bộ dữ liệu tự đo đạc và tạo bởi phần mềm Bonesi

3.2.6. Lựa chọn đặc trưng cho các thuật toán học máy

3.2.7. Thực hiện thử nghiệm và đánh giá giải pháp

3.2.7.1. Mô hình thử nghiệm
3.2.7.2. Kết quả thử nghiệm phát hiện bất thường
3.2.7.3. Kết quả thử nghiệm phát hiện tấn công DDoS cụ thể

4. ĐỀ XUẤT GIẢI PHÁP GIẢM THIỂU TẤN CÔNG DDoS TRONG MẠNG ISP SỬ DỤNG THUẬT TOÁN HỌC MÁY

4.1. Đề xuất giải pháp giảm thiểu tấn công DDoS

4.2. Cửa sổ thời gian giám sát thích ứng

4.3. Đánh giá hiệu năng

4.4. Xây dựng mô hình thực nghiệm và thiết lập các tham số

4.5. Kết quả thực nghiệm

5. GIẢM THIỂU TẤN CÔNG DDOS VỚI GIẢI PHÁP CO GIÃN TÀI NGUYÊN MẶT PHẲNG ĐIỀU KHIỂN SDN

5.1. Giới thiệu về Container

5.2. Giới thiệu về Kubernetes

5.3. Mô hình đề xuất

5.3.1. Giải pháp tự động mở rộng mặt phẳng điều khiển dựa trên Kubernetes

5.3.2. Mô hình chuyển dịch thiết bị điều khiển tự động. Thuật toán thích ứng cho thiết bị điều khiển dựa trên luồng mới NACAT

5.3.3. Kết quả đánh giá

5.3.3.1. Thiết lập mô hình thử nghiệm
5.3.3.2. Đánh giá kết quả thử nghiệm

KẾT LUẬN CHUNG

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Giới thiệu về tấn công DDoS

Tấn công từ chối dịch vụ phân tán (DDoS) là một trong những mối đe dọa lớn nhất đối với an ninh mạng hiện nay. Tấn công này nhằm mục đích làm gián đoạn hoặc ngăn chặn dịch vụ của một hệ thống bằng cách làm quá tải tài nguyên của nó. Các hình thức tấn công DDoS ngày càng trở nên tinh vi và đa dạng, từ tấn công SYN flood đến tấn công ICMP flood. Việc hiểu rõ về các loại tấn công này là rất quan trọng để phát triển các giải pháp phát hiện tấn công DDoS hiệu quả. Theo báo cáo của Cloudflare, số lượng tấn công DDoS đã tăng lên đáng kể trong những năm gần đây, cho thấy sự cần thiết phải có các biện pháp bảo vệ mạnh mẽ.

1.1 Phân loại tấn công DDoS

Tấn công DDoS có thể được phân loại thành nhiều loại khác nhau dựa trên phương thức tấn công và mục tiêu. Các loại tấn công phổ biến bao gồm tấn công từ chối dịch vụ (DoS) đơn giản, tấn công từ chối dịch vụ phân tán (DDoS) và tấn công từ chối dịch vụ ứng dụng. Mỗi loại tấn công có những đặc điểm riêng và yêu cầu các phương pháp phát hiện và giảm thiểu khác nhau. Việc phân loại này giúp các nhà nghiên cứu và kỹ sư an ninh mạng có thể phát triển các giải pháp an ninh mạng phù hợp và hiệu quả hơn.

II. Các giải pháp phát hiện tấn công DDoS

Để phát hiện tấn công DDoS, nhiều phương pháp đã được đề xuất, bao gồm việc sử dụng các thuật toán học máy. Các thuật toán như K-Nearest Neighbors (KNN) và Local Outlier Factor (LoF) đã cho thấy hiệu quả trong việc phát hiện các mẫu lưu lượng bất thường. Việc áp dụng các giải pháp phát hiện tấn công DDoS dựa trên học máy không chỉ giúp phát hiện sớm các tấn công mà còn giảm thiểu thiệt hại do tấn công gây ra. Các mô hình này có thể được huấn luyện trên các tập dữ liệu lớn để cải thiện độ chính xác và khả năng phát hiện của chúng.

2.1 Khối phát hiện dữ liệu bất thường

Khối phát hiện dữ liệu bất thường là một phần quan trọng trong hệ thống phát hiện tấn công DDoS. Nó sử dụng các thuật toán học máy để phân tích lưu lượng mạng và phát hiện các mẫu bất thường. Việc phát hiện sớm các tấn công DDoS có thể giúp các tổ chức nhanh chóng triển khai các biện pháp bảo vệ, giảm thiểu thiệt hại. Các thuật toán như LoF có khả năng phát hiện các điểm ngoại lệ trong lưu lượng mạng, từ đó giúp xác định các tấn công DDoS một cách hiệu quả.

III. Giải pháp giảm thiểu tấn công DDoS

Giảm thiểu tấn công DDoS là một phần không thể thiếu trong chiến lược bảo mật mạng. Các giải pháp như cửa sổ thời gian giám sát thích ứngtự động mở rộng tài nguyên đã được đề xuất để đối phó với các tấn công DDoS. Việc áp dụng các giải pháp này không chỉ giúp bảo vệ hệ thống mà còn tối ưu hóa hiệu suất mạng. Các tổ chức cần phải có kế hoạch cụ thể để triển khai các giải pháp này nhằm đảm bảo an toàn cho hệ thống của mình.

3.1 Cửa sổ thời gian giám sát

Cửa sổ thời gian giám sát là một công cụ quan trọng trong việc phát hiện và giảm thiểu tấn công DDoS. Nó cho phép các tổ chức theo dõi lưu lượng mạng trong một khoảng thời gian nhất định, từ đó phát hiện các mẫu bất thường. Việc điều chỉnh kích thước cửa sổ thời gian giám sát có thể giúp cải thiện khả năng phát hiện và giảm thiểu tấn công. Các nghiên cứu cho thấy rằng việc tối ưu hóa cửa sổ thời gian giám sát có thể làm tăng hiệu quả của các giải pháp phát hiện tấn công DDoS.

IV. Kết luận

Luận án này đã trình bày các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm. Các giải pháp này không chỉ giúp phát hiện sớm các tấn công mà còn giảm thiểu thiệt hại do tấn công gây ra. Việc áp dụng các công nghệ mới như học máy trong việc phát hiện và giảm thiểu tấn công DDoS là một xu hướng quan trọng trong lĩnh vực an ninh mạng. Các tổ chức cần phải liên tục cập nhật và cải tiến các giải pháp của mình để đối phó với các mối đe dọa ngày càng tinh vi.

13/02/2025

Trích đoạn nội dung tài liệu

MỞ ĐẦU 0. Mục đích nghiên cứu Hiện nay, công nghệ thông tin đang ngày càng phát triển và chiếm một vị trí vô cùng quan trọng trong sự phát triển của xã hội. Công nghệ thông tin được ứng dụng trong mọi mặt của đời sống như: giáo dục, y tế, giao thông, quản lý vận hành các nhà máy, vui chơi giải trí… Nó giúp cho các hoạt động của con người được thuận tiện và nhanh chóng hơn. Đặc biệt khi cuộc cách mạng công nghiệp lần thứ tư bùng nổ thì công nghệ thông tin lại càng trở nên quan trọng hơn.

Các ứng dụng sử dụng công nghệ thông tin ngày càng nhiều và yêu cầu cao về băng thông, chất lượng dịch vụ cũng như độ an toàn thông tin. Để đáp ứng nhu cầu đó, các tập đoàn công nghệ, viễn thông đã liên tục nghiên cứu, cập nhật, phát triển thiết bị, giải pháp mạng có hiệu năng lớn với khả năng đáp ứng cao và bảo mật thông tin. Một hướng đi đang được rất nhiều tổ chức như tập đoàn Cisco, HP, IBM, Microsoft,. quan tâm và phát triển là mạng điều khiển bằng phần mềm SDN [1].

SDN là một xu hướng công nghệ mạng mới khi mang đến những tính năng quản lý hết sức linh hoạt với hiệu năng cao. Khác với công nghệ mạng truyền thống, SDN cho phép tách các chức năng mặt phẳng điều khiển ra khỏi các chức năng mặt phẳng chuyển tiếp dữ liệu, đồng thời cung cấp khả năng quản lý giám sát tập trung và tạo ra các giao diện lập trình ứng dụng mở, cho phép các nhà nghiên cứu phát triển có thể can thiệp vào sự hoạt động của các thiết bị mạng cũng như mở rộng, bổ sung các chức năng mới qua phần mềm. Trong kiến trúc mạng truyền thống, chức năng điều khiển và chuyển tiếp gói tin được thực hiện ở trên cùng một thiết bị. Các thiết bị độc lập với nhau và tự quyết định hành động của mình.

SDN ngược lại, tách biệt hai chức năng này và cho phép người quản trị mạng làm chủ chức năng điều khiển. Theo kiến trúc này các thiết bị mạng sẽ nhận các chỉ thị xử lý gói từ bộ điều khiển thay vì sử dụng tài nguyên vốn khan hiếm của nó để xử lý các gói tin đến. Việc xử lý như thế nào hoàn toàn được định nghĩa ở lớp điều khiển và người quản trị có thể can thiệp dễ dàng. Lớp ứng dụng trong SDN sẽ có hình ảnh thống nhất về toàn bộ mạng thông qua lớp điều khiển như thể cả mạng chỉ là một thiết bị ảo khồng lồ.

Lớp điều khiển là nơi thực hiện định tuyến xác định đường đi, thực thi các thuật toán, chính sách để điều khiển hoạt động của mạng. Lớp hạ tầng mạng chứa các thiết bị chuyển mạch chỉ có nhiệm vụ chuyển tiếp các gói tin dựa vào các bảng luồng dữ liệu được thiết lập bởi bộ điều khiển. Trong kiến trúc SDN thì giao thức OpenFlow là giao thức thông dụng nhất cho phép bộ điều khiển giám sát và điều khiển hoạt động của các thiết bị mạng phần cứng. Đặc biệt trong lĩnh vực an ninh, an toàn mạng, SDN là một công nghệ rất hứa hẹn vì một số nguyên nhân sau: - Khả năng chia mạng: chia mạng là tạo các mạng con bên trong một mạng lớn hơn.

Việc phân chia mạng giúp ngăn cách và sắp xếp lưu lượng truy cập mạng của tổ chức. Chẳng hạn, nó có thể hạn chế máy của bộ phận bán hàng giao tiếp với máy của nhóm tài chính. Điều này cho phép sử dụng băng thông hiệu quả hơn bằng cách giảm kích thước của miền quảng bá và giảm lưu lượng không cần thiết trên 1 mạng. Trên góc độ bảo mật, nó giúp giảm bề mặt tấn công của tổ chức và do đó hạn chế phạm vi vi phạm bảo mật dữ liệu.

Khi một máy hoặc ứng dụng bị tấn công, tính năng phân chia mạng sẽ ngăn chặn nó ảnh hưởng đến các thiết bị khác. Kiến trúc mạng SDN cho phép việc phân chia mạng nhanh chóng và dễ dàng do toàn bộ chức năng điều khiển được tích hợp tại bộ điều khiển. - Khả năng quản lý tập trung từ xa: mạng SDN dễ dàng cho việc quản lý tập trung từ xa hơn từ một bảng điều khiển tập trung duy nhất. Điều này có nghĩa là quản trị viên có thể truy cập từ xa vào để xem và điều khiển tập trung các thiết bị mạng trên một bảng điều khiển duy nhất.

Vì vậy, nếu có vi phạm xảy ra, các bên liên quan có thể được thông báo ngay lập tức, các biện pháp can thiệp trên diện rộng cũng có thể được áp dụng sớm. - Khả năng lập trình và tự động hóa: mạng SDN cho phép người quản trị can thiệp thông qua việc lập trình là một lợi thế rất lớn cho việc triển khai các thuật toán phát hiện và giảm thiểu tấn công thông minh mới, theo ý của người quản trị. Đồng thời người quản trị cũng có thể triển khai tự động hóa mạng, là một xu hướng rất mới hiện nay. Nó cho phép đưa ra các kịch bản, giúp mạng tự động thích ứng khi có các tình huống xảy ra.

- Khả năng mở rộng: một lợi thế rất lớn của mạng ảo hóa và được xác định bằng phần mềm là khả năng mở rộng. Việc mở rộng tài nguyên và các thành phần mạng trở nên dễ dàng hơn rất nhiều vì chúng không yêu cầu mua phần cứng mới. Người quản trị không cần phải bổ sung thêm bộ nhớ hay sức mạnh xử lý tính toán cho thiết bị hiện tại hay mua máy mới. - Ít liên quan đến các thiết bị vật lý: mô-đun phần mềm, điểu khiển, bảo mật,… có thể được lưu trữ trên các máy ảo chạy trên máy chủ vật lý hoặc đám mây.

Nhiều máy ảo có thể được chạy từ một máy chủ duy nhất. Số lượng máy ảo, số lượng chức năng có thể tăng hoặc giảm tùy thuộc vào yêu cầu của tổ chức tại bất kỳ thời điểm nào. Điều này cho phép cắt giảm chi phí cơ sở hạ tầng và phí dịch vụ. Đi cùng với sự phát triển công nghệ mạng, đối tượng xấu cũng liên tục cải tiến và nâng cấp các công cụ tấn công nhằm đánh cắp thông tin, phá hoại dịch vụ mạng.

Các cuộc tấn công mạng này đều nhằm mục đích đánh cắp thông tin, đánh cắp tiền, làm mất khả năng cung cấp dịch vụ của ứng dụng… Đối với người dùng mạng, việc bị tấn công như thế này cực kỳ đáng lo ngại. Do đó an toàn thông tin là vấn đề quan trọng và cần phải quan tâm giải quyết. Trong các hình thức tấn công mạng, tấn công từ chối dịch vụ là hình thức dễ xảy ra và làm ảnh hưởng nghiêm trọng tới uy tín và chất lượng dịch vụ của các tổ chức. Số lượng các cuộc tấn công từ chối dịch vụ vẫn tăng hàng năm và ngày càng đa dạng, phức tạp hơn.

Theo báo cáo về tấn công từ chối dịch vụ quý 4 năm 2022 trên Cloudflare [2], số lượng các cuộc tấn công DDoS ngày càng tăng cả về kích thước và tần suất. Số lượng tấn công vào dịch vụ website HTTP DDoS tăng 79% mỗi năm, dữ liệu tấn công DDoS lên tới hàng trăm triệu gói trên giây, tấn công HTTP DDoS lên tới mười triệu yêu cầu trên một giây. Các cuộc tấn công theo dung lượng tăng lên, số vụ tấn công vượt quá tốc độ 100 gigabit mỗi giây (Gbps) tăng 67% so với quý 3 năm 2022 và số vụ tấn công kéo dài hơn ba giờ tăng 87% theo quý. Các cuộc tấn công DDoS đòi tiền chuộc tăng đều đặn trong năm 2022.

Trong quý 4, hơn 16% số người được khảo sát cho biết đã nhận được mối đe dọa hoặc yêu cầu tiền chuộc do bị tấn 2 công DDoS nhắm mục tiêu vào tài sản Internet của họ. Và nhiều những số liệu thống kê khác cho thấy nguy cơ tăng dần và ảnh hưởng xấu của tấn công DDoS tới hoạt động của các công ty, tổ chức và người dùng. Do đó, trong luận án này, nghiên cứu sinh tập trung vào việc nghiên cứu ảnh hưởng của tấn công DDoS và các giải pháp phát hiện, giảm thiểu chúng trong mạng SDN. Với những lý do trên, nghiên cứu sinh đã chọn đề tài “Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm” để thực hiện nghiên cứu.

Tình hình nghiên cứu trong và ngoài nước Do xu hướng phát triển công nghệ mạng SDN và tính cấp thiết khi bảo vệ các thiết bị chống lại tấn công DDoS nên nhiều nhà khoa học trong nước và ngoài nước đã tập trung nghiên cứu, đề xuất nhiều giải pháp nhằm phát hiện và giảm thiểu sớm các cuộc tấn công DDoS, bảo vệ các thiết bị mạng. Để đạt được mục tiêu này, các nhà nghiên cứu đã đi từ việc phân tích, đánh giá chức năng, hiệu năng của các thành phần mạng SDN, đến các giải pháp phát hiện và giảm thiểu tấn công cũng như giải pháp tăng cường khả năng chống chọi của mạng để duy trì hoạt động trong khi chờ khắc phục sự cố. Các kết quả nghiên cứu có thể được chia thành 3 nhóm như sau: 1) Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên kiến trúc mạng SDN. 2) Các kết quả phát hiện dữ liệu bất thường, phát hiện tấn công DDoS trong mạng SDN.

3) Các kết quả giải pháp đối phó khi phát hiện có tấn công DDoS trong mạng SDN: giảm thiểu tấn công, mở rộng tài nguyên mạng. Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên mạng SDN Các nghiên cứu về đánh giá hiệu năng và tác động của tấn công DDoS lên mạng SDN hiện nay có thể chia thành hai nhóm: - Các vấn đề hiệu năng liên quan đến kiến trúc và thành phần của mạng SDN. - Tác động của tấn công DDoS lên kiến trúc SDN. Liên quan đến đánh giá hiệu năng của kiến trúc SDN, các nghiên cứu gần đây tập trung vào: (1) phân tích hiệu năng của bộ điều khiển SDN và (2) phân tích hiệu năng của các thiết bị chuyển mạch hỗ trợ SDN.

Với phân tích hiệu năng của bộ điều khiển SDN, Khattak và các tác giả trong [3] đã đánh giá độ trễ và thông lượng của hai bộ điều khiển SDN là ODL và Floodlight. Kết quả cho thấy ODL đạt được thời gian phản hồi thấp hơn đáng kể so với Floodlight. Tuy nhiên, nghiên cứu chỉ giải quyết các vấn đề về hiệu năng của bộ điều khiển trong trung tâm dữ liệu. Ngoài ra, nghiên cứu cũng không tập trung vào đánh giá các bộ điều khiển này khi lưu lượng tải cao.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ

Giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm là tài liệu chuyên sâu về việc ứng dụng công nghệ phần mềm để bảo vệ hệ thống mạng điều khiển khỏi các cuộc tấn công DDoS (Distributed Denial of Service). Tài liệu này cung cấp các phương pháp hiện đại để phát hiện sớm và giảm thiểu tác động của các cuộc tấn công, đảm bảo tính ổn định và an toàn cho hệ thống. Đặc biệt, nó nhấn mạnh vai trò của phần mềm trong việc tự động hóa quy trình phòng thủ, giúp doanh nghiệp tiết kiệm thời gian và nguồn lực.

Để mở rộng kiến thức về các giải pháp công nghệ và quản lý hệ thống, bạn có thể tham khảo thêm Luận văn thạc sĩ khoa học nghiên cứu tính chất bức xạ điện từ các anten có cấu trúc vi dải, nơi đi sâu vào các ứng dụng công nghệ cao trong lĩnh vực viễn thông. Ngoài ra, Luận văn thạc sĩ thông tin thư viện bộ máy tra cứu tin tại thư viện Hà Nội thực trạng và giải pháp cũng là một tài liệu hữu ích để hiểu rõ hơn về việc tối ưu hóa hệ thống thông tin. Cuối cùng, Luận văn thạc sĩ kinh tế giải pháp tối ưu hóa chi phí quản lý doanh nghiệp khi áp dụng hệ thống quản lý ISO 9001:2015 sẽ giúp bạn nắm bắt cách thức quản lý hiệu quả trong môi trường doanh nghiệp.

Mỗi tài liệu trên đều là cơ hội để bạn khám phá sâu hơn về các chủ đề liên quan, từ công nghệ đến quản lý hệ thống, giúp bạn nâng cao kiến thức và kỹ năng trong lĩnh vực của mình.