Chương 1. Giới thiệu tổng quan về dé tài nghiên cứu, mục đích nghiên cứu, phạm vi nghiên cứu và phương pháp nghiên cứu. Tổng quan và kiến thức nền tang. Ý tưởng và nguyên tắc hoạt động.
Triển khai hệ thống. Thiết kế thực nghiệm. Kết luận và hướng phát trién. TONG QUAN VÀ KIÊN THUC NEN TANG 2.
Cac nghiên cứu trên thị trường Hệ thông phát hiện xâm nhập (IDS) là một thành phần thiết yếu để bảo mật trong các mạng hiện đại. Với sự xuất hiện của công nghệ dữ liệu lớn (Big data) và công nghệ mạng khả lập trình - nhiều nghiên cứu về việc ứng dụng IDS với các công nghệ trên đã cho những kết quả rất khả quan. Trong nghiên cứu [1 ]các tác giả đã xây dựng mô hình hoc sâu Stacked Autoencoder (SAE) để phát hiện các loại tắn công DDos (8 loại) trong môi trường mạng SDN với độ chính xác đạt 95. Nếu chỉ phân loại lưu lượng mạng bình thường và bất thường thì hệ thống được đề xuất đạt độ chính xác 99.82% với mức độ dương tính gia thâp hơn so với các mô hình khác.
Công trình nghiên cứu [2], các tác giả đã đề xuất một mô hình phát hiện và ngăn ngừa xâm nhập sử dụng phương pháp học sâu (Deep learning (DL) - IDPS) để phát hiện và ngăn chặn cuộc tấn công SSH Bruce Force và DDos Attack. Trong công trình nghiên cứu này, các tác giả so sánh bốn mô hình học sâu gồm, Multilayer Perceptron (MLP), Convolution Neuron Network (CNN), Long-Short Term Memory (LSTM) và Bộ mã hóa tự động xếp chồng (SAE) kết quả nghiên cứu cho thay, DL-IDPS dựa trên MLP có độ chính xác gần 99%. Hiện nay, số lượng người sử dụng mạng xã hội ngày càng tăng dẫn đến sinh ra một khối lượng dữ liệu lớn liên tục và đa dạng. Do đó dé hệ thống IDS có thé xử lý các dữ liệu lớn cũng như dự đoán chúng cách nhanh chóng và hiệu quả, một số công trình nghiên cứu về khả năng ứng dụng công nghệ dữ liệu lớn vào trong hệ thống phát hiện xâm nhập đã cho thấy những kết quả khả quan như.
Trong bài nghiên cứu [3] Khloud AI Jallad và các cộng sự của ông đã dé xuất mô hình Network chat bot - một mạng thần kinh phát lại: Long Short-Term Memory (LSTM) có trên Apache Spark sử dụng bộ dữ liệu MAWI dé huấn luyện và đo đạt — cho thấy mô hình được đề xuất có khả năng phát hiện tốt hơn so với signature IDS hay IDS truyền thống. Các tác giả xây dựng trên Google Colab có khả năng giảm về bộ nhớ ngoài cũng như thời gian thực hiện nên trong phan nghiên cứu này các tác giả chỉ chứng mình được những điểm bat thường chứ không thể chứ minh nó sự bất thường trong hoàn cảnh cụ thể. Trong một bài nghiên cứu khác [4], tác giả đã sử dụng Apache Storm, một Hệ thống IDS Hybrid thời gian thực dé lập trình cho công việc của họ. Apache Storm đóng vai trò như một luồng xử lý dữ liệu lớn, phân tán và chịu lỗi trong thời gian thực.
Hệ thống được tác giả đề xuất bao gồm 2 mạng Nơ-ron CC4 hoạt động như một Anomaly-based phát hiện những cuộc tân công chưa biết và Multi Layer Perceptron neural network hoạt động như một misuse-based phát hiện những cuộc tấn công đã biết. Hệ thống đề xuất trong bài nghiên cứu này có accury lên đến 89% trong đó có tỉ lệ dương tính giả chiếm 4,32%. Vấn đề và giải pháp 2. Vấn đề Mô hình mạng SDN - áp dụng cho các doanh nghiệp lớn sẽ phát sinh liên tục một khối lượng lớn dữ liệu đa dạng.
Từ đó, nhu cầu về việc tận dụng công nghệ dữ liệu lớn (Big data) nhằm hỗ trợ hiệu quả cho giải pháp đảm bảo an toàn mạng trong SDN là bài toán cần giải quyết. Khi đó, các hệ thống phòng thủ dựa trên phân tích dữ liệu lớn có thể đạt được hiệu suất cao hơn và xử lý dữ liệu tốt hơn. Giải pháp Chúng tôi đề xuất một mô hình IDS phân tích lưu lượng lớn trên mạng khả lập trình (SDN) - nghiên cứu về khả năng áp dụng các mô hình học sâu vào việc phát hiện sự bất thường của dữ liệu thời gian thực trong môi trường mạng SDN kết hợp với công nghệ dữ liệu lớn. Hệ thống phát hiện xâm nhập (IDS) sẽ được đào tạo từ một mô hình học sâu để phân loại kết nối là bình thường hoặc tấn công.
Nền tang lý thuyết 2. SDN và giao thức Openflow Với logic điều khiển phi tập trung, rất khó quản lý và phát triển của mạng truyền thống. Mạng SDN (Software Define Networking) hay mạng điều khiển bằng phần mềm là một phương pháp tiếp cận mới, tách đôi thành phần điều khiển (Control Plane) và thành phan dữ liệu (Data Plane) dé đạt được kiến trúc điều khién tập trung logic cho phép lập trình để cấu hình mạng. Một hệ thống mạng bao gồm nhiều thực thể (thiết bị định tuyến, thiết bị chuyển mạch, các đường kết nối, các máy chủ cuối .) có thể được quản lý và lập trình riêng với các logic chuyển tiếp khác nhau.
Tuy nhiên việc quản lý riêng lẻ từng thực thể này trong một hệ thống mạng lớn làm tăng mức độ quản lý cho toàn bộ mạng, từ đó là tăng chỉ phí duy trì và bảo trì mạng. Giao thức quản lý mạng đơn giản (Simple Network Management Protocol — SNMP) ra đời vào năm 1988 đã giải quyết các van dé kể trên bằng cách cung cấp khả năng giám sát và cấu hình từ xa cho các thực thé trong mạng. Tuy nhiên, SNMP không phù hợp với các mạng có tính linh hoạt cao, các tập lệnh của SNMP rất tốn kém và dễ lỗi trong việc duy tri vì nó thiếu khả năng lập trình cho các API. Thế hệ quản lý mạng tiếp theo được thé hiện bằng các kiến trúc hướng mô hình hoạt động với các hệ thống quy mô động như đám mây và trung tâm dữ liệu.
Các kiến trúc này cung cấp API và mô hình dé mô tả không chi các yếu tố mạng mà còn cả các chính sách, dịch vụ và giao dịch trong mạng. Một số giao thức mới này đang nhanh chóng trở nên phổ biến, bao gồm RESTCONF, NETCONF và OpenFlow. SDN Software Defined Networking (SDN) hay mạng được định nghĩa bằng phan mềm là một kiến trúc mạng mới nổi (201 1) là một phương pháp tiếp cận mới cho phép quản lý mạng và cầu hình mạng hiệu quả theo chương trình nhằm tăng hiệu xuất và theo dõi mang. SDN quản lý mạng bằng cách tách đôi luồng điều khiển (Control Plane) và luồng đữ liệu (Data Plane).
Control Plane chịu trách nhiệm về định tuyén/chuyén 6 mạch, control plane tập trung ở lớp điều khiển. Data plane chịu trách nhiệm chuyền tiếp dữ liệu theo hướng dẫn của Controller. Việc tách biệt hai thành phần này cho phép SDN lập trình điều khiển mạng và quản lý tập trung tại thành phần điều khiển. Đây là khác biệt lớp nhất giữa kiến trúc mạng SDN và mạng IP truyền thống, nơi mà việc điều khiển mạng và chuyển tiếp dữ liệu cùng do một thiết bị thực hiện.
|: | Bộ điều khiển SDN J Control Plane Data Plane — buồng điều khiển ~- Ludng đữ liệu a) Mạng truyền thong b) Mạng SDN Hình 2.1: Kiến trúc điều khiển mạng truyền thống và mạng SDN Trong SDN, việc tập trung điều khiển tại mặt phẳng điều khiển là bộ điều khiển đã tạo ra một điểm chịu lỗi duy nhất tại đây. Mặc khác, việc có một bộ điều khiển duy nhất cũng làm giảm khả năng mở rộng của mạng. Kiến trúc mạng SDN Kiến trúc SDN bao gồm: Lớp ứng dụng (Application Layer), lớp điều khiển (Control Layer) và lớp hạ tang cơ sở (Infrastructure Layer). Lớp ứng dụng Gồm các chương trình giao tiếp dựa vào hành vi và tài nguyên cần thiết cho bộ điều khiển SDN thông qua giao diện lập trình ứng dụng (API).
Ngoài ra, các ứng dụng có thể xây dựng một cái nhìn trừu tượng về mạng bằng cách thu thập thông tin từ bộ điều khiển cho các mục đích ra quyết định. Các ứng dụng này có thé bao gồm quản lý mạng, phân tích hoặc ứng dụng kinh doanh được sử dụng để chạy các trung tâm dữ liệu lớn. Ví dụ: một ứng dụng phân tích có thể được xây dựng để nhận ra hoạt động mạng đáng ngờ cho mục đích bảo mật, tường lửa,. Lớp điều khiển SDN controller quan lý điều khiển luồng dé cải thiện hiệu suất quản lý và ứng dụng mạng.
Nền tảng bộ điều khiển SDN thường chạy trên máy chủ và sử dụng các giao thức dé báo cho các switch biết địa chỉ gửi gói tin. Cho phép chuyền tiếp các quyết định về lưu lượng thông qua SDN domain thay vì phải qua từng hop. Bộ điều khiển SDN lưu lượng truy cập trực tiếp theo các chính sách chuyền tiếp mà nhà điều hành mạng đặt, do đó giảm thiểu cấu hình thủ công cho các thiết bị mạng riêng lẻ. Bằng cách loại bỏ control plane khỏi phần cứng mạng và thay vào đó là phần mềm, bộ điều khiển tập trung tạo điều kiện quan lý mạng tự động và giúp tích hợp và quản lý các ứng dụng dễ dàng hơn.
Nó cũng cung cấp các giao diện chương trình ứng dụng (API) cho các nhà phát triển bên thứ ba để tùy chỉnh tích hợp các ứng dụng. Trong thực tế, bộ điều khiên SDN hoạt động như một loại hệ điều hành cho mạng. Mọi giao tiếp với các ứng dụng và thiết bị mạng phải thông qua thông qua các giao diện phía bắc (North Bound Interface) của bộ điều khiển gồm tường lửa, bộ cân bằng tải, hệ thống phát hiện xâm nhập (IDS), routing. Bộ điều khiển giao tiếp với tat cả các thiết bị mạng bằng giao diện hướng nam (South Bound Interface).
Các giao thức hướng nam này cho phép bộ điều khiển cau hình các thiết bị mạng và chọn đường dẫn mạng tối ưu cho lưu lượng ứng dụng. Lớp hạ tang cơ sở Bao gồm tập hợp của các thiết bị phần cứng mạng như switches, router,. những thiết bị này có khả năng xử lý hoặc chuyên tiếp lưu lượng thông tin trong mạng. Lớp này cung cấp việc truy cập có khả năng lập trình mở thông qua OpenFlow, một giao thức mạng giúp tự động cấu hình phần cứng.
Lớp ha tang cơ sở giúp đơn giản hóa việc cấu hình mạng cho quản trị viên, mang đến một giao diện linh hoạt và khả năng lập trình linh hoạt.