HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN SỰ BẤT THƯỜNG HIỆU NĂNG CAO CHO MẠNG SDN

Mạng SDN cung cấp nhiều lợi ích hơn so với mạng truyền thống bằng cách tách biệt lớp điều khiển khỏi lớp dữ liệu. Trong mạng truyền thống, các thiết bị như bộ định tuyến, bộ chuyển mạch và tường lửa phải được cấu hình và quản lý riêng lẻ, gây khó khăn và tốn kém. Kiến trúc SDN chia mô hình mạng thành ba lớp: lớp ứng dụng, lớp điều khiển và lớp cơ sở hạ tầng. Lớp điều khiển bao gồm các bộ điều khiển chạy các dịch vụ mạng được lập trình bởi các ứng dụng mạng thông qua giao diện Northbound. Mỗi bộ điều khiển chịu trách nhiệm xử lý một số thiết bị chuyển mạch nằm trong lớp cơ sở hạ tầng để xử lý các chức năng chuyển tiếp. Kiến trúc tập trung này cho phép quản lý và điều khiển mạng hiệu quả hơn.

OpenFlow là một giao thức truyền thông mở cho phép các bộ điều khiển SDN giao tiếp với các thiết bị chuyển mạch. Giao thức này cho phép bộ điều khiển hướng dẫn các thiết bị chuyển mạch cách chuyển tiếp lưu lượng mạng dựa trên các quy tắc được xác định trước. Một trong những lợi ích chính của OpenFlow là khả năng ảo hóa mạng và chia sẻ tải. Bằng cách sử dụng OpenFlow, các quản trị viên mạng có thể tạo nhiều mạng ảo trên cùng một cơ sở hạ tầng vật lý, tối ưu hóa việc sử dụng tài nguyên và giảm chi phí. Theo nguyên tắc SDN, gói tin đầu tiên của một luồng mới đến thiết bị chuyển mạch sẽ được chuyển đến bộ điều khiển để tạo đường dẫn định tuyến tương ứng.

Mạng SDN, mặc dù có nhiều ưu điểm, vẫn dễ bị tấn công. Một số loại tấn công phổ biến bao gồm tấn công từ chối dịch vụ phân tán (DDoS), trong đó kẻ tấn công cố gắng làm quá tải mạng bằng lưu lượng độc hại, khiến nó không thể truy cập được đối với người dùng hợp pháp. Các cuộc tấn công khác bao gồm tấn công man-in-the-middle (MITM), trong đó kẻ tấn công chặn và thao túng các giao tiếp giữa hai bên và tấn công tiêm nhiễm, trong đó kẻ tấn công đưa mã độc vào hệ thống. Sự tập trung hóa của lớp điều khiển trong SDN cũng tạo ra một điểm lỗi duy nhất, làm cho nó trở thành mục tiêu hấp dẫn cho các cuộc tấn công. Do đó, việc triển khai các biện pháp bảo mật mạnh mẽ là rất quan trọng để bảo vệ mạng SDN khỏi các mối đe dọa này.

Để bảo vệ mạng SDN khỏi các cuộc tấn công, cần có hệ thống phát hiện xâm nhập (IDS) có thể phát hiện và phản ứng với các mối đe dọa bảo mật một cách nhanh chóng và chính xác. IDS hiệu năng cao đặc biệt quan trọng trong môi trường SDN do thông lượng dữ liệu cao và bản chất động của mạng. Một IDS phải có khả năng xử lý khối lượng lớn lưu lượng mạng và phân tích nó theo thời gian thực để xác định các hoạt động độc hại. Nó cũng phải có khả năng thích ứng với những thay đổi trong cấu hình mạng và các mẫu lưu lượng để duy trì hiệu quả. Ngoài ra, IDS phải có khả năng phân biệt giữa lưu lượng hợp pháp và lưu lượng độc hại để tránh cảnh báo sai và giảm thiểu tác động đến hiệu suất mạng.

Mô hình phát hiện bất thường thường liên quan đến việc xây dựng một mô hình về hành vi mạng bình thường bằng cách sử dụng các kỹ thuật thống kê hoặc học máy. Mô hình này sau đó được sử dụng để so sánh lưu lượng mạng mới đến với đường cơ sở đã thiết lập. Nếu lưu lượng mới đến lệch đáng kể so với đường cơ sở, nó sẽ bị gắn cờ là có khả năng độc hại. Các kỹ thuật học máy khác nhau có thể được sử dụng để xây dựng mô hình hành vi mạng bình thường, bao gồm phân cụm, phân loại và hồi quy. Việc lựa chọn kỹ thuật phù hợp phụ thuộc vào đặc điểm cụ thể của dữ liệu mạng và các mục tiêu bảo mật của tổ chức.

Phát hiện xâm nhập dựa trên bất thường mang lại một số lợi thế so với các phương pháp phát hiện xâm nhập truyền thống trong môi trường SDN. Đầu tiên, nó có thể phát hiện các cuộc tấn công mới và chưa biết mà IDS dựa trên chữ ký có thể bỏ lỡ. Thứ hai, nó có thể giúp xác định các hoạt động nội bộ độc hại hoặc các cấu hình sai có thể dẫn đến vi phạm bảo mật. Thứ ba, nó có thể thích ứng với những thay đổi trong cấu hình mạng và các mẫu lưu lượng, đảm bảo rằng nó vẫn hiệu quả theo thời gian. Cuối cùng, bằng cách chỉ gắn cờ những độ lệch đáng kể so với hành vi bình thường, nó có thể giúp giảm số lượng cảnh báo sai, giúp các nhà phân tích bảo mật tập trung vào các mối đe dọa quan trọng nhất.

Các thuật toán Machine Learning có thể được sử dụng để phát hiện xâm nhập mạng SDN theo nhiều cách. Chúng có thể được sử dụng để phân loại lưu lượng mạng thành các loại khác nhau, chẳng hạn như lưu lượng bình thường và lưu lượng độc hại. Chúng cũng có thể được sử dụng để phát hiện các bất thường trong lưu lượng mạng có thể chỉ ra một cuộc tấn công. Một số thuật toán ML phổ biến được sử dụng cho phát hiện xâm nhập bao gồm máy vectơ hỗ trợ (SVM), rừng ngẫu nhiên và mạng nơ-ron. Việc lựa chọn thuật toán phù hợp phụ thuộc vào đặc điểm cụ thể của dữ liệu mạng và các mục tiêu bảo mật của tổ chức.

Deep Learning mang lại một số ưu điểm so với Machine Learning truyền thống trong việc phát hiện xâm nhập. Các mô hình học sâu có thể học các đặc điểm phức tạp từ dữ liệu mạng mà các phương pháp truyền thống có thể bỏ lỡ. Chúng cũng có thể xử lý lượng lớn dữ liệu và thích ứng với những thay đổi trong hành vi mạng. Ngoài ra, học sâu có thể được sử dụng để tự động trích xuất các đặc điểm từ dữ liệu mạng, giảm nhu cầu kỹ thuật tính năng thủ công. Tuy nhiên, các mô hình học sâu có thể tốn kém về mặt tính toán để đào tạo và có thể yêu cầu một lượng lớn dữ liệu được gắn nhãn.

Luận văn này đề xuất một kiến trúc phần cứng hiệu quả cao để chống lại tấn công SYN Flood, một loại tấn công DDoS phổ biến. Kiến trúc này sử dụng mô hình đường ống để phân tích các gói tin mạng và ngăn chặn các cuộc tấn công SYN Flood tốc độ cao. Một mô hình toán học cũng được đề xuất để đo lường và đánh giá khả năng chống chịu của khối SYN Flood về mặt hiệu suất và độ trễ. Kết quả thử nghiệm trên nền tảng NetFPGA-10G cho thấy khối bảo mật này có thể bảo vệ máy chủ khỏi các cuộc tấn công SYN Flood với tốc độ lên tới hơn 28 triệu gói tin mỗi giây. Một bài báo nghiên cứu về lõi phát hiện/ngăn chặn SYN Flood này đã được xuất bản năm 2018.

Để thử nghiệm, chúng tôi đã sử dụng hai mô hình phân loại, cây quyết định và mạng nơ-ron, để phát hiện các cuộc tấn công mạng bằng tập dữ liệu NSL-KDD. Chúng tôi triển khai phiên bản nguyên mẫu đầu tiên trên bo mạch NetFPGA-10G và xác thực hệ thống bằng tập dữ liệu NSL-KDD. Kết quả thực nghiệm cho thấy chúng tôi có thể đánh bại cả GPU Geforce GTX850MG và CPU Intel core i5 thế hệ thứ 8 về thời gian xử lý. Các kết quả nghiên cứu chứng minh rằng, IDS dựa trên FPGA cho hiệu năng vượt trội so với các giải pháp phần mềm chạy trên CPU và GPU.

Một hướng nghiên cứu hứa hẹn là việc sử dụng học sâu tăng cường (Reinforcement Learning) để xây dựng các hệ thống IDS thích ứng. Trong phương pháp này, IDS được đào tạo để học các hành động tối ưu để thực hiện khi phát hiện một cuộc tấn công, chẳng hạn như chặn lưu lượng độc hại hoặc chuyển hướng lưu lượng đến một vị trí sạch. Học sâu tăng cường có thể cho phép IDS thích ứng với các điều kiện mạng thay đổi và cải thiện hiệu quả của nó theo thời gian. Tuy nhiên, việc đào tạo các mô hình học sâu tăng cường có thể tốn kém về mặt tính toán và yêu cầu một lượng lớn dữ liệu.

Một hướng nghiên cứu khác là tích hợp ZTNA (Zero Trust Network Access) với IDS cho mạng SDN. ZTNA là một mô hình bảo mật dựa trên nguyên tắc không tin tưởng bất kỳ ai, bên trong hoặc bên ngoài mạng. Bằng cách tích hợp ZTNA với IDS, chúng ta có thể tạo ra một hệ thống bảo mật toàn diện hơn có thể xác minh danh tính của người dùng và thiết bị trước khi cấp quyền truy cập vào các tài nguyên mạng. Điều này có thể giúp ngăn chặn các cuộc tấn công từ bên trong và giảm thiểu tác động của các vi phạm bảo mật.