Tải bản đầy đủ (.pdf) (142 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.62 MB, 142 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC BÁCH KHOA HÀ NỘI

Nguyễn Ngọc Tuấn

CÁC GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG DDOS
CHO MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

Hà Nội – 2023


BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC BÁCH KHOA HÀ NỘI

Nguyễn Ngọc Tuấn

CÁC GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG DDOS
CHO MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM

Ngành: Kỹ thuật viễn thông
Mã số: 9520208

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. Nguyễn Hữu Thanh

Hà Nội – 2023



Lời cam đoan
Nghiên cứu sinh xin cam đoan đây là cơng trình nghiên cứu của nghiên cứu sinh,
khơng sao chép của bất kỳ ai. Các kết quả và số liệu trình bày trong luận án là hồn tồn
trung thực, được lấy từ các thử nghiệm trong quá trình nghiên cứu và chưa từng được
công bố bởi tác giả khác.
Hà Nội, ngày 19 tháng 9 năm 2023
Tác giả

Giáo viên hướng dẫn

PGS.TS. Nguyễn Hữu Thanh

Nguyễn Ngọc Tuấn

i


Lời cảm ơn
Tôi xin chân thành cảm ơn PGS.TS Nguyễn Hữu Thanh đã nhiệt tình hướng dẫn và
giúp đỡ tơi rất nhiều trong q trình nghiên cứu và hồn thành luận án.
Tôi cũng xin chân thành cảm ơn Khoa Kỹ thuật truyền thơng, Trường Điện-Điện tử
và Phịng Đào tạo, Đại học Bách khoa Hà Nội đã tạo điều kiện thuận lợi để tơi hồn
thành nhiệm vụ nghiên cứu của mình.
Tơi cũng bày tỏ lịng biết ơn đến gia đình tơi cùng bố mẹ, các anh chị em và bạn bè
những người đã ủng hộ và động viên giúp đỡ tôi trong thời gian làm luận án.
Nguyễn Ngọc Tuấn

ii



MỤC LỤC
Lời cam đoan ....................................................................................................................i
Lời cảm ơn ...................................................................................................................... ii
MỤC LỤC ..................................................................................................................... iii
DANH MỤC CÁC THUẬT NGỮ VÀ VIẾT TẮT ........................................................v
DANH MỤC CÁC KÝ HIỆU ..................................................................................... viii
DANH MỤC CÁC BẢNG ..............................................................................................x
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ........................................................................xi
MỞ ĐẦU .........................................................................................................................1
CHƯƠNG 1. CƠ SỞ LÝ THUYẾT ..............................................................................19
1.1. Tổng quan về mạng điều khiển bằng phần mềm SDN ........................................... 19
1.1.1. Kiến trúc của SDN...............................................................................................19
1.1.2. So sánh với kiến trúc mạng truyền thống ............................................................20
1.1.3. Chế độ hoạt động của mạng SDN .......................................................................21
1.2. Giao thức OpenFlow .............................................................................................. 22
1.2.1. Giới thiệu chung ..................................................................................................22
1.2.2. Thiết bị chuyển mạch OpenFlow ........................................................................24
1.2.3. Bộ điều khiển OpenFlow .....................................................................................26
1.2.4. Các bản tin OpenFlow .........................................................................................27
1.3. Tấn công từ chối dịch vụ DDoS ............................................................................. 27
1.3.1. Giới thiệu chung ..................................................................................................27
1.3.2. Phân loại tấn công từ chối dịch vụ ......................................................................29
1.3.3. Các phương pháp giảm thiểu tấn công DDoS .....................................................31
1.4. Cơ sở lý thuyết về học máy .................................................................................... 33
1.4.1. Quá trình hoạt động của các thuật toán học máy ................................................34
1.4.2. Thuật toán K-Nearest-Neighbor ..........................................................................39
1.4.3. Học sâu và thuật toán DNN .................................................................................41
1.5. Kết luận................................................................................................................... 46
CHƯƠNG 2. NHẬN DẠNG VÀ ĐO LƯỜNG MỘT SỐ TÁC ĐỘNG CỦA TẤN

CÔNG DDOS VỚI KIẾN TRÚC SDN.........................................................................47
2.1. Giới thiệu ................................................................................................................ 47
2.2. Xây dựng mơ hình thực nghiệm ............................................................................. 49
2.2.1. Các thành phần của mơ hình thực nghiệm ..........................................................49
2.2.2. Thơng số cấu hình mơ hình thử nghiệm ..............................................................51
2.3. Các tác động của tấn công DDoS lên kiến trúc mạng SDN ................................... 53
2.3.1. Tác động của tấn công DDoS lên bộ điều khiển SDN ........................................53
2.3.2. Tác động của tấn công DDoS lên thiết bị chuyển mạch SDN ............................60
2.3.3. Tác động của tấn công lưu lượng lên kết nối giữa thiết bị điều khiển và thiết bị
chuyển mạch ..................................................................................................................64
2.4. Kết luận...................................................................................................................65
CHƯƠNG 3. ĐỀ XUẤT GIẢI PHÁP PHÁT HIỆN TẤN CÔNG DDOS TRONG
MẠNG SDN ..................................................................................................................66
3.1. Giải pháp tổng thể ngăn chặn tấn công DDoS ....................................................... 66
3.2. Giái pháp phát hiện tấn công DDoS ....................................................................... 68

iii


3.3. Khối phát hiện dữ liệu bất thường sử dụng thuật toán học máy trong mạng SDN 71
3.3.1. Lựa chọn thuật toán học máy ..............................................................................71
3.3.2. Áp dụng thuật LoF vào khối phát hiện bất thường .............................................72
3.4. Khối phân loại và phát hiện tấn công DDoS cụ thể ............................................... 74
3.4.1. Khối phân loại dữ liệu .........................................................................................74
3.4.2. Khối phát hiện loại tấn công cụ thể .....................................................................74
3.5. Tập dữ liệu và các đặc trưng dữ liệu ...................................................................... 75
3.5.1. Bộ dữ liệu tấn công CAIDA ................................................................................76
3.5.2. Bộ dữ liệu DDoSDB ............................................................................................78
3.5.3. Bộ dữ liệu tự đo đạc và tạo bởi phần mềm Bonesi..............................................80
3.5.4. Lựa chọn đặc trưng cho các thuật toán học máy .................................................81

3.6. Thực hiện thử nghiệm và đánh giá giải pháp .........................................................82
3.6.1. Mơ hình thử nghiệm ............................................................................................82
3.6.2. Kết quả thử nghiệm phát hiện bất thường ...........................................................83
3.6.3. Kết quả thử nghiệm phát hiện tấn công DDoS cụ thể .........................................85
3.7. Kết luận................................................................................................................... 87
CHƯƠNG 4. ĐỀ XUẤT GIẢI PHÁP GIẢM THIỂU TẤN CÔNG DDoS TRONG
MẠNG ISP SỬ DỤNG THUẬT TOÁN HỌC MÁY ...................................................88
4.1. Giới thiệu ................................................................................................................ 88
4.2. Đề xuất giải pháp giảm thiểu tấn công DDoS ........................................................ 89
4.3. Cửa sổ thời gian giám sát thích ứng ....................................................................... 91
4.4. Đánh giá hiệu năng ................................................................................................. 95
4.4.1. Xây dựng mơ hình thực nghiệm và thiết lập các tham số ...................................95
4.4.2. Kết quả thực nghiệm............................................................................................95
4.5. Kết luận................................................................................................................. 100
CHƯƠNG 5. GIẢM THIỂU TẤN CÔNG DDOS VỚI GIẢI PHÁP CO GIÃN TÀI
NGUYÊN MẶT PHẲNG ĐIỀU KHIỂN SDN ..........................................................101
5.1. Giới thiệu .............................................................................................................. 101
5.1.1 Giới thiệu về Container ......................................................................................102
5.1.2. Giới thiệu về Kubernetes ...................................................................................103
5.2. Mơ hình đề xuất .................................................................................................... 105
5.2.1 Giải pháp tự động mở rộng mặt phẳng điều khiển dựa trên Kubernetes ...........105
5.2.2. Mơ hình chuyển dịch thiết bị điều khiển tự động..............................................106
5.2.3. Thuật tốn thích ứng cho thiết bị điều khiển dựa trên luồng mới NACAT ......108
5.3. Kết quả đánh giá ................................................................................................... 109
5.3.1. Thiết lập mơ hình thử nghiệm ...........................................................................109
5.3.2. Đánh giá kết quả thử nghiệm.............................................................................111
5.4. Kết luận................................................................................................................. 112
KẾT LUẬN CHUNG ..................................................................................................113
DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN ......................117
TÀI LIỆU THAM KHẢO ...........................................................................................118


iv


DANH MỤC CÁC THUẬT NGỮ VÀ VIẾT TẮT
ACK

Acknowledgement

Xác nhận

AI

Artificial Inteligence

Trí tuệ nhân tạo

ANN

Artificial Neural Networks

Mạng nơ-ron nhân tạo

API

Application Programming
Interface

Giao diện lập trình ứng dụng


CNN

Convolutional Neural
Network

Mạng nơ ron tích chập

CPSA

Control Plane Saturation
Attack

Tấn cơng bão hịa mặt phẳng điều
khiển

CPU

Central Processing Unit

Bộ xử lý trung tâm

DDoS

Distributed Denial of Service

Tấn công từ chối dịch vụ phân tán

DGA

Domain Generation Algorithm Thuật toán tạo miền


DNN

Deep Neural Network

Mạng nơ-ron sâu

DNS

Domain Name System

Hệ thống phân giải tên miền

DoS

Denial of Service

Tấn công từ chối dịch vụ

DRL

Deep Reinforcement Learning

Học sâu tăng cường

FPGA

Field-Programmable Gate
Array


Mạch tích hợp dùng cấu trúc mảng
phần tử logic có thể lập trình được

FPR

False Positive Rate

Tỷ lệ tích cực sai

Gbps

Gigabit per second

Gigabit trên mỗi giây

GPU

Graphics Processing Unit

Bộ phận xử lý đồ họa

GRU

Gated Recurrent Unit

Nút hồi tiếp có cổng

HPA

Horizontal Pod Autoscaler


Bộ điều khiển mở rộng theo chiều
ngang các Pod

HTTP

HyperText Transfer Protocol

Giao thức truyền tải siêu văn bản

ICMP

Internet Control Message
Protocol

Giao thức bản tin điều khiển
Internet

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

IoT

Internet of Things

Kết nối các vật


IP

Internet Protocol

Giao thức Internet

IPS

Intrusion Prevention System

Hệ thống ngăn chặn xâm nhập

ISP

Internet Service Provider

Nhà cung cấp dịch vụ Internet

v


JVM

Java Virtual Machine

Máy ảo Java

KNN

K-Nearest Neighbors


Thuật tốn k hàng xóm gần nhất

LAN

Local Area Network

Mạng nội bộ

LoF

Local outlier Factor

Thuật toán sử dụng các mẫu lân
cận để phát hiện điểm ngoại lệ

LRD

Local Reachability Density

Mật độ khả năng tiếp cận tại địa
phương

LSTM

Long Short-Term Memory

Bộ nhớ ngắn-dài hạn

MAC


Media Access Control

Giao thức điều khiển truy cập
đường truyền

MTW

Monitoring Time Window

Cửa sổ thời gian giám sát

NACAT

New-flow based Adaptive
Controller Algorithm

Thuật tốn thích ứng cho thiết bị
điều khiển dựa trên luồng mới

NAT

Network Address Translation

Chuyển đổi địa chỉ mạng

NTP

Network Time Protocol


Giao thức thời gian mạng

ODL

OpenDaylight

Bộ điều khiển Opendaylight

OvS

Open vSwitch

Thiết bị chuyển mạch ảo chạy
Openflow

QoS

Quality of Service

Chất lượng dịch vụ

RD

Reachability Distance

Khoảng cách khả năng tiếp cận

RNN

Recurrent Neural Network


Mạng nơ ron hồi quy

RTT

Round Trip Time

Thời gian khứ hồi

RWND

Receiver Window

Kích thước của bộ đệm nhận

SDN

Software Defined Network

Mạng điều khiển bằng phần mềm

SFC

Service Function Chain

Chuỗi chức năng dịch vụ

SOM

Self Organizing Maps


Bản đồ tự tổ chức

SSL

Secure Sockets Layer

Lớp cổng bảo mật

SSP

SYN Proxy

Đại diện đồng bộ hóa

SVM

Support Vector Machine

Máy vectơ hỗ trợ

SYN

Synchronous

Đồng bộ

TCAM

Ternary Content-Addressable

Memory

Bộ nhớ nội dung địa chỉ ba cấp

TCP

Transmission Control Protocol Giao thức điều khiển truyền

TCP SYN

TCP Syncronous

Bản tin đồng bộ của giao thức TCP

vi


TPR

True Positive Rate

Tỷ lệ tích cực đúng

UDP

User Datagram Protocol

Giao thức gói dữ liệu người dùng

URL


Uniform Resource Locator

Hệ thống định vị tài nguyên thống
nhất

VLAN

Virtual Local Area Network

Mạng cục bộ ảo

VM

Virtual Machine

Máy ảo

vii


DANH MỤC CÁC KÝ HIỆU
̃𝑖
𝑊

Kích thước cửa sổ giám sát tối ưu

𝑓𝑖

Số luồng TCP hoặc số gói ICMP trên mỗi giây


𝑝𝑖

Hiệu quả giảm thiểu tốt nhất

𝑞

Thông tin đặc trưng của điểm dữ liệu trong tập huấn luyện

𝑣𝑗

𝑞

Thông tin đặc trưng của điểm dữ liệu thử nghiệm

∅(x)

Hàm kích hoạt trong nơ ron nhân tạo

µ

Giá trị trung bình

bj

Sai lệch nơ ron

d(A, B)

Khoảng cách từ A đến B


d(x,y)
di

Khoảng cách giữa hai điểm x và y trong không gian nhiều
chiều
Khoảng cách giữa hai điểm thứ i

F

Đặc điểm của lưu lượng tấn công

gj

Hàm nơ ron nhân tạo

H(Xi)

Entropy của Xi

i, j

Chỉ số chạy

k

Số lượng điểm lân cận

L


Số điểm trong tập dữ liệu huấn luyện

LoFk(A)
LRDk(A)

Hệ số ngoại lệ cục bộ của A trong phạm vi có k điểm lân cận
của A
Mật độ khả năng tiếp cận tại địa phương trong LoF

Nk(A)

k-điểm lân cận trong LoF

P

Hiệu quả giảm thiểu tấn công của cổng bảo mật

q

Số đặc trưng của điểm dữ liệu

RD(Xi, Xj)

Khoảng cách khả năng tiếp cận trong LoF

U

Tập dữ liệu huấn luyện

Ui


Điểm dữ liệu trong tập huấn luyện

V

Điểm dữ liệu thử nghiệm

W

Kích thước cửa sổ thời gian giám sát

wịj

Biến trọng số trong nơ ron nhân tạo

𝑢𝑖

viii


wj

Véc tơ trọng số kết nối trong nơ ron nhân tạo

x, y

Hai điểm trong không gian nhiều chiều

σ


Độ lệch chuẩn

𝑝(𝑥𝑖𝑗 )

Số luồng được mang trong một số gói được gửi trong một
thời gian cụ thể

ix


DANH MỤC CÁC BẢNG
Bảng 0.1 Phân loại công việc gần đây liên quan đến đánh giá hiệu năng của kiến trúc
SDN và tác động của tấn công DDoS lên mạng SDN..................................................... 6
Bảng 1.1 Cấu trúc bảng luồng ....................................................................................... 22
Bảng 1.2 Các thuộc tính của sự kiện trong OpenFlow .................................................. 23
Bảng 1.3 Các sự kiện trong bản tin hồi đáp yêu cầu thống kê từ bộ điều khiển ........... 23
Bảng 1.4 Ý nghĩa một số trường thông tin trong luồng đường đi ................................. 25
Bảng 1.5 Thông số trường thống kê ............................................................................. 25
Bảng 1.6 Một số hành động trong luồng đường đi........................................................ 26
Bảng 1.7 Các phương pháp giảm thiểu underfitting và overfitting ............................... 38
Bảng 2.1 Cấu hình và tham số của mơ hình thử nghiệm............................................... 52
Bảng 2.2 Mức sử dụng tài nguyên tối đa của bộ điều khiển SDN ................................ 56
Bảng 2.3 Khả năng phần cứng TCAM của HP-2920 .................................................... 63
Bảng 3.1 Bảng so sánh thời gian xử lý của LOF và Once-Class SVM ......................... 72
Bảng 3.2 Số IP và cổng trong bộ dữ liệu CAIDA 2007 ................................................ 77
Bảng 3.3. Kết quả phân tích dữ liệu tấn cơng TCP-SYN trong bộ dữ liệu DDoSDB .. 79
Bảng 3.4. Kết quả phân tích dữ liệu tấn công ICMP trong bộ dữ liệu DDoSDB ......... 79
Bảng 3.5 Số IP và cổng trong bộ dữ liệu được sinh ra bởi Bonesi ............................... 80
Bảng 3.6 Thông số cấu hình của thử nghiệm ................................................................ 82
Bảng 3.7 Hiệu quả phát hiện của LoF với k = 6............................................................ 84

Bảng 3.8 Hiệu năng của thuật toán KNN ...................................................................... 86
Bảng 3.9 Kết quả sử dụng thuật toán DNN và KNN phát hiện tấn công ICMP và TCPSYN ............................................................................................................................... 87
Bảng 4.1 Bảng tham chiếu giá trị cửa sổ thời gian giám sát và ngưỡng tối ưu cho kịch
bản dữ liệu cụ thể........................................................................................................... 93
̃ TCP cho tấn cơng TCP-SYN trong các tình
Bảng 4.2 Cửa sổ thời gian giám sát tối ưu W
huống dữ liệu khác nhau ................................................................................................ 94
̃ TCP cho tấn công ICMP trong các tình huống
Bảng 4.3 Cửa sổ thời gian giám sát tối ưu W
dữ liệu khác nhau ........................................................................................................... 94
Bảng 4.4 Hiệu suất của các thuật toán học máy khác nhau........................................... 96
Bảng 4.5 Hiệu quả giảm thiểu tấn công tràn TCP-SYN và tràn ICMP ......................... 99
Bảng 5.1 Thơng số cấu hình máy chủ ......................................................................... 109
Bảng 5.2 Các thông số tự động mở rộng và giảm thiểu .............................................. 110

x


DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 0.1 Tóm tắt mục tiêu và nội dung nghiên cứu ...................................................... 15
Hình 0.2 Quá trình thực hiện nghiên cứu ...................................................................... 16
Hình 1.1 Cấu trúc mạng SDN........................................................................................ 19
Hình 1.2 So sánh kiến trúc mạng truyền thống và mạng SDN ..................................... 21
Hình 1.3 Các thành phần chính của thiết bị chuyển mạch OpenFlow .......................... 24
Hình 1.4 Thông tin luồng đường đi trong bảng luồng .................................................. 24
Hình 1.5 Kẻ tấn cơng xây dựng hệ thống botnet ........................................................... 27
Hình 1.6 Mơ hình kiến trúc tấn cơng DDoS .................................................................. 29
Hình 1.7 Phân loại các hình thức tấn cơng từ chối dịch vụ phân tán DDoS ................. 29
Hình 1.8 Q trình tấn cơng tràn TCP-SYN ................................................................. 30
Hình 1.9 Mơ hình bảo mật mạng truyền thống ............................................................. 33

Hình 1.10 Vai trị của các tập dữ liệu trong mơ hình thuật tốn ................................... 35
Hình 1.11 So sánh Recall của 3 thuật tốn theo độ lớn tập dữ liệu............................... 36
Hình 1.12 Overfiting và Underfiting ............................................................................. 37
Hình 1.13 Mơ hình tập dữu liệu theo 3 trạng thái: Underfitting, Mơ hình tốt, Overfitting
....................................................................................................................................... 37
Hình 1.14. Sơ đồ hoạt động của một nơ ron nhân tạo ................................................... 42
Hình 1.15 Mơ hình tổng thể của học sâu ....................................................................... 43
Hình 1.16 Q trình lan truyền xi để tính ra giá trị ra và hàm mất mát .................... 44
Hình 2.1 Tương tác giữa mặt phẳng điều khiển và mặt phẳng dữ liệu trong mạng SDN
....................................................................................................................................... 48
Hình 2.2 Tổng hợp các lỗ hổng trong kiến trúc SDN ................................................... 48
Hình 2.3 Mơ hình kiến trúc hệ thống đo đạc để đánh giá tác động của DDoS và xây dựng
hồ sơ hiệu năng mạng SDN ........................................................................................... 50
Hình 2.4 Hiệu năng của bộ điều khiển SDN trong trường hợp 5,000 luồng TCP-SYN
đến trong một giây ......................................................................................................... 54
Hình 2.5 Hiệu năng của bộ điều khiển Floodlight khi tấn công TCP-SYN ở tốc độ
10,000fps, 15,000fps và 20,000fps ................................................................................ 55
Hình 2.6 Các tác động của ICMP flood lên bộ điều khiển SDN ................................... 57
Hình 2.7 Kích thước cửa sổ nhận TCP của bộ điều khiển SDN khi tấn cơng tràn ICMP
xảy ra ............................................................................................................................. 58
Hình 2.8 Hiệu năng của bộ điều khiển Ryu, POX sau khi tích hợp thuật tốn thơng minh
....................................................................................................................................... 59

xi


Hình 2.9 So sánh hiệu năng của bộ điều khiển khi tích hợp LoF và DNN ................... 59
Hình 2.10 Hiệu năng của OVS với Floodlight khi có tấn cơng TCP-SYN (cùng kịch bản
với kết quả tại hình 2.3a, 2.3c) ...................................................................................... 61
Hình 2.11 Phản ứng của mạng với tấn cơng ICMP khi giới hạn bộ nhớ TCAM ở mức

2,000 mục ...................................................................................................................... 62
Hình 2.12 Phản ứng của HP Aruba 2920 với tấn cơng ICMP ...................................... 63
Hình 2.13 Ảnh hưởng của tắc nghẽn trên đường kết nối thiết bị chuyển mạch và thiết bị
điều khiển tới độ trễ trong mặt phẳng dữ liệu ............................................................... 64
Hình 3.1 Kiến trúc của giải pháp tổng thể đề xuất tổng thể .......................................... 66
Hình 3.2 Các trạng thái của mặt phẳng điều khiển ....................................................... 67
Hình 3.3 Mơ hình logic phát hiện tấn cơng DDoS ........................................................ 69
Hình 3.4 Mơ hình kiến trúc tích hợp hệ thống phát hiện tấn cơng DDoS ..................... 70
Hình 3.5 Ví dụ về k-khoảng cách và k-điểm lân cận của A với k=3 ............................ 72
Hình 3.6 Ví dụ về RD với k=3 ...................................................................................... 73
Hình 3.7 Tấn công DDoS trong mạng nhà cung cấp dịch vụ ISP ................................. 77
Hình 3.8 (a) Entropy trung bình của địa chỉ cổng nguồn trên mối IP; (b) Logarit số gói
ICMP trên mỗi địa chỉ IP .............................................................................................. 78
Hình 3.9 Mơ hình thử nghiệm ....................................................................................... 82
Hình 3.10 Recall và độ lệch chuẩn của nó phụ thuộc vào k điểm lân cận .................... 83
Hình 3.11 Số lượng luồng trên mỗi giây và trạng thái của hệ thống ............................ 84
Hình 3.12 Khối lượng dữ liệu trong mỗi giây (bps) và trạng thái của hệ thống ........... 85
Hình 3.13 Phân loại dữ liệu sử dụng thuật tốn LoF..................................................... 85
Hình 3.14 Độ chính xác của thuật toán DNN với các giá trị tốc độ học khác nhau ..... 86
Hình 3.15 Hàm mất mát trong tập huấn luyện khi số lượng vòng lặp tăng và tham số tốc
độ học là 0,0025 ............................................................................................................ 86
Hình 4.1 Mơ hình logic giải pháp giảm thiểu tấn cơng DDoS ...................................... 89
Hình 4.2 Mơ hình kiến trúc tích hợp hệ thống phát hiện, giảm thiểu tấn cơng DDoS .. 89
Hình 4.3 Lưu đồ thuật tốn giảm thiểu.......................................................................... 90
Hình 4.4 Hiệu năng của hệ thống với mỗi giá trị cửa sổ thời gian giám sát ................. 91
Hình 4.5 Quy trình giảm thiểu tấn cơng DDoS dựa trên thuật tốn học máy ............... 92
Hình 4.6 Hiệu quả giảm thiểu tấn công theo giá trị cửa sổ thời gian giám sát trong hai
trường hợp (a) tấn cơng tràn ICMP và (b) tấn cơng TCP-SYN .................................... 97
Hình 4.7 Các luồng TCP vào và ra khỏi bộ điều khiển ................................................. 98


xii


Hình 4.8 Khối lượng dữ liệu tấn cơng đến nạn nhân: (a) TCP-SYN (số luồng trên giây)
và (b) ICMP (số gói trên giây) ...................................................................................... 98
Hình 4.9 Khối lượng dữ liệu bình thường tới nạn nhân: (a) TCP-SYN (luồng trên giây)
và (b) ICMP (gói trên giây) ........................................................................................... 98
Hình 4.10 Độ trễ của dữ liệu bình thường ..................................................................... 99
Hình 5.1 Mơ hình kiến trúc cho giải pháp container hóa bộ điều khiển trong mạng SDN
..................................................................................................................................... 106
Hình 5.2 Quá trình chuyển đổi bộ điều khiển ............................................................. 107
Hình 5.3 Cấu hình mơ hình thử nghiệm ...................................................................... 109
Hình 5.4 Kết quả đo đạc đánh giá xử lý luồng của thiết bị điều khiển Ryu ............... 110
Hình 5.5 Hiệu quả tự động mở rộng của NACAT khi có tấn cơng TCP-SYN flood . 111
Hình 5.6 Sự thay đổi số lượng thiết bị điều khiển controller của NACAT khi có tấn cơng
TCP-SYN flood ........................................................................................................... 111

xiii


MỞ ĐẦU
0.1. Mục đích nghiên cứu
Hiện nay, cơng nghệ thơng tin đang ngày càng phát triển và chiếm một vị trí vơ
cùng quan trọng trong sự phát triển của xã hội. Công nghệ thông tin được ứng dụng
trong mọi mặt của đời sống như: giáo dục, y tế, giao thông, quản lý vận hành các nhà
máy, vui chơi giải trí… Nó giúp cho các hoạt động của con người được thuận tiện và
nhanh chóng hơn. Đặc biệt khi cuộc cách mạng cơng nghiệp lần thứ tư bùng nổ thì
cơng nghệ thông tin lại càng trở nên quan trọng hơn.
Các ứng dụng sử dụng công nghệ thông tin ngày càng nhiều và yêu cầu cao về
băng thông, chất lượng dịch vụ cũng như độ an tồn thơng tin. Để đáp ứng nhu cầu

đó, các tập đồn cơng nghệ, viễn thơng đã liên tục nghiên cứu, cập nhật, phát triển
thiết bị, giải pháp mạng có hiệu năng lớn với khả năng đáp ứng cao và bảo mật thông
tin. Một hướng đi đang được rất nhiều tổ chức như tập đoàn Cisco, HP, IBM,
Microsoft,... quan tâm và phát triển là mạng điều khiển bằng phần mềm SDN [1].
SDN là một xu hướng công nghệ mạng mới khi mang đến những tính năng quản lý
hết sức linh hoạt với hiệu năng cao.
Khác với công nghệ mạng truyền thống, SDN cho phép tách các chức năng mặt
phẳng điều khiển ra khỏi các chức năng mặt phẳng chuyển tiếp dữ liệu, đồng thời
cung cấp khả năng quản lý giám sát tập trung và tạo ra các giao diện lập trình ứng
dụng mở, cho phép các nhà nghiên cứu phát triển có thể can thiệp vào sự hoạt động
của các thiết bị mạng cũng như mở rộng, bổ sung các chức năng mới qua phần mềm.
Trong kiến trúc mạng truyền thống, chức năng điều khiển và chuyển tiếp gói tin
được thực hiện ở trên cùng một thiết bị. Các thiết bị độc lập với nhau và tự quyết định
hành động của mình. SDN ngược lại, tách biệt hai chức năng này và cho phép người
quản trị mạng làm chủ chức năng điều khiển. Theo kiến trúc này các thiết bị mạng sẽ
nhận các chỉ thị xử lý gói từ bộ điều khiển thay vì sử dụng tài nguyên vốn khan hiếm
của nó để xử lý các gói tin đến. Việc xử lý như thế nào hoàn toàn được định nghĩa ở
lớp điều khiển và người quản trị có thể can thiệp dễ dàng.
Lớp ứng dụng trong SDN sẽ có hình ảnh thống nhất về tồn bộ mạng thông qua
lớp điều khiển như thể cả mạng chỉ là một thiết bị ảo khồng lồ. Lớp điều khiển là nơi
thực hiện định tuyến xác định đường đi, thực thi các thuật tốn, chính sách để điều
khiển hoạt động của mạng. Lớp hạ tầng mạng chứa các thiết bị chuyển mạch chỉ có
nhiệm vụ chuyển tiếp các gói tin dựa vào các bảng luồng dữ liệu được thiết lập bởi
bộ điều khiển. Trong kiến trúc SDN thì giao thức OpenFlow là giao thức thông dụng
nhất cho phép bộ điều khiển giám sát và điều khiển hoạt động của các thiết bị mạng
phần cứng. Đặc biệt trong lĩnh vực an ninh, an tồn mạng, SDN là một cơng nghệ rất
hứa hẹn vì một số nguyên nhân sau:
-

Khả năng chia mạng: chia mạng là tạo các mạng con bên trong một mạng lớn hơn.

Việc phân chia mạng giúp ngăn cách và sắp xếp lưu lượng truy cập mạng của tổ
chức. Chẳng hạn, nó có thể hạn chế máy của bộ phận bán hàng giao tiếp với máy
của nhóm tài chính. Điều này cho phép sử dụng băng thông hiệu quả hơn bằng
cách giảm kích thước của miền quảng bá và giảm lưu lượng không cần thiết trên

1


-

-

-

-

mạng. Trên góc độ bảo mật, nó giúp giảm bề mặt tấn cơng của tổ chức và do đó
hạn chế phạm vi vi phạm bảo mật dữ liệu. Khi một máy hoặc ứng dụng bị tấn
cơng, tính năng phân chia mạng sẽ ngăn chặn nó ảnh hưởng đến các thiết bị khác.
Kiến trúc mạng SDN cho phép việc phân chia mạng nhanh chóng và dễ dàng do
tồn bộ chức năng điều khiển được tích hợp tại bộ điều khiển.
Khả năng quản lý tập trung từ xa: mạng SDN dễ dàng cho việc quản lý tập trung
từ xa hơn từ một bảng điều khiển tập trung duy nhất. Điều này có nghĩa là quản
trị viên có thể truy cập từ xa vào để xem và điều khiển tập trung các thiết bị mạng
trên một bảng điều khiển duy nhất. Vì vậy, nếu có vi phạm xảy ra, các bên liên
quan có thể được thông báo ngay lập tức, các biện pháp can thiệp trên diện rộng
cũng có thể được áp dụng sớm.
Khả năng lập trình và tự động hóa: mạng SDN cho phép người quản trị can thiệp
thông qua việc lập trình là một lợi thế rất lớn cho việc triển khai các thuật tốn
phát hiện và giảm thiểu tấn cơng thông minh mới, theo ý của người quản trị. Đồng

thời người quản trị cũng có thể triển khai tự động hóa mạng, là một xu hướng rất
mới hiện nay. Nó cho phép đưa ra các kịch bản, giúp mạng tự động thích ứng khi
có các tình huống xảy ra.
Khả năng mở rộng: một lợi thế rất lớn của mạng ảo hóa và được xác định bằng
phần mềm là khả năng mở rộng. Việc mở rộng tài nguyên và các thành phần mạng
trở nên dễ dàng hơn rất nhiều vì chúng không yêu cầu mua phần cứng mới. Người
quản trị không cần phải bổ sung thêm bộ nhớ hay sức mạnh xử lý tính tốn cho
thiết bị hiện tại hay mua máy mới.
Ít liên quan đến các thiết bị vật lý: mơ-đun phần mềm, điểu khiển, bảo mật,… có
thể được lưu trữ trên các máy ảo chạy trên máy chủ vật lý hoặc đám mây. Nhiều
máy ảo có thể được chạy từ một máy chủ duy nhất. Số lượng máy ảo, số lượng
chức năng có thể tăng hoặc giảm tùy thuộc vào yêu cầu của tổ chức tại bất kỳ thời
điểm nào. Điều này cho phép cắt giảm chi phí cơ sở hạ tầng và phí dịch vụ.

Đi cùng với sự phát triển công nghệ mạng, đối tượng xấu cũng liên tục cải tiến và
nâng cấp các công cụ tấn công nhằm đánh cắp thông tin, phá hoại dịch vụ mạng. Các
cuộc tấn cơng mạng này đều nhằm mục đích đánh cắp thông tin, đánh cắp tiền, làm
mất khả năng cung cấp dịch vụ của ứng dụng… Đối với người dùng mạng, việc bị
tấn công như thế này cực kỳ đáng lo ngại. Do đó an tồn thơng tin là vấn đề quan
trọng và cần phải quan tâm giải quyết.
Trong các hình thức tấn cơng mạng, tấn cơng từ chối dịch vụ là hình thức dễ xảy
ra và làm ảnh hưởng nghiêm trọng tới uy tín và chất lượng dịch vụ của các tổ chức.
Số lượng các cuộc tấn công từ chối dịch vụ vẫn tăng hàng năm và ngày càng đa dạng,
phức tạp hơn. Theo báo cáo về tấn công từ chối dịch vụ quý 4 năm 2022 trên
Cloudflare [2], số lượng các cuộc tấn công DDoS ngày càng tăng cả về kích thước và
tần suất. Số lượng tấn cơng vào dịch vụ website HTTP DDoS tăng 79% mỗi năm, dữ
liệu tấn cơng DDoS lên tới hàng trăm triệu gói trên giây, tấn công HTTP DDoS lên
tới mười triệu yêu cầu trên một giây. Các cuộc tấn công theo dung lượng tăng lên, số
vụ tấn công vượt quá tốc độ 100 gigabit mỗi giây (Gbps) tăng 67% so với quý 3 năm
2022 và số vụ tấn công kéo dài hơn ba giờ tăng 87% theo quý. Các cuộc tấn công

DDoS đòi tiền chuộc tăng đều đặn trong năm 2022. Trong quý 4, hơn 16% số người
được khảo sát cho biết đã nhận được mối đe dọa hoặc yêu cầu tiền chuộc do bị tấn
2


công DDoS nhắm mục tiêu vào tài sản Internet của họ. Và nhiều những số liệu thống
kê khác cho thấy nguy cơ tăng dần và ảnh hưởng xấu của tấn công DDoS tới hoạt
động của các công ty, tổ chức và người dùng. Do đó, trong luận án này, nghiên cứu
sinh tập trung vào việc nghiên cứu ảnh hưởng của tấn công DDoS và các giải pháp
phát hiện, giảm thiểu chúng trong mạng SDN.
Với những lý do trên, nghiên cứu sinh đã chọn đề tài “Các giải pháp phát hiện và
giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm” để thực hiện nghiên
cứu.
Tình hình nghiên cứu trong và ngồi nước
Do xu hướng phát triển cơng nghệ mạng SDN và tính cấp thiết khi bảo vệ các
thiết bị chống lại tấn công DDoS nên nhiều nhà khoa học trong nước và ngoài nước
đã tập trung nghiên cứu, đề xuất nhiều giải pháp nhằm phát hiện và giảm thiểu sớm
các cuộc tấn công DDoS, bảo vệ các thiết bị mạng. Để đạt được mục tiêu này, các
nhà nghiên cứu đã đi từ việc phân tích, đánh giá chức năng, hiệu năng của các thành
phần mạng SDN, đến các giải pháp phát hiện và giảm thiểu tấn công cũng như giải
pháp tăng cường khả năng chống chọi của mạng để duy trì hoạt động trong khi chờ
khắc phục sự cố. Các kết quả nghiên cứu có thể được chia thành 3 nhóm như sau:
1) Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên kiến trúc
mạng SDN.
2) Các kết quả phát hiện dữ liệu bất thường, phát hiện tấn công DDoS trong mạng
SDN.
3) Các kết quả giải pháp đối phó khi phát hiện có tấn công DDoS trong mạng SDN:
giảm thiểu tấn công, mở rộng tài nguyên mạng.
Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên mạng SDN
Các nghiên cứu về đánh giá hiệu năng và tác động của tấn cơng DDoS lên mạng

SDN hiện nay có thể chia thành hai nhóm:
- Các vấn đề hiệu năng liên quan đến kiến trúc và thành phần của mạng SDN.
- Tác động của tấn công DDoS lên kiến trúc SDN.
Liên quan đến đánh giá hiệu năng của kiến trúc SDN, các nghiên cứu gần đây tập
trung vào: (1) phân tích hiệu năng của bộ điều khiển SDN và (2) phân tích hiệu năng
của các thiết bị chuyển mạch hỗ trợ SDN. Với phân tích hiệu năng của bộ điều khiển
SDN, Khattak và các tác giả trong [3] đã đánh giá độ trễ và thông lượng của hai bộ
điều khiển SDN là ODL và Floodlight. Kết quả cho thấy ODL đạt được thời gian
phản hồi thấp hơn đáng kể so với Floodlight. Tuy nhiên, nghiên cứu chỉ giải quyết
các vấn đề về hiệu năng của bộ điều khiển trong trung tâm dữ liệu. Ngồi ra, nghiên
cứu cũng khơng tập trung vào đánh giá các bộ điều khiển này khi lưu lượng tải cao.
Trong [4], các tác giả trình bày mơ hình phân tích dựa trên lý thuyết tính tốn mạng
ngẫu nhiên để đánh giá hiệu suất giữa thiết bị chuyển mạch và bộ điều khiển. Các
nghiên cứu trước đây cho thấy phép tính mạng ngẫu nhiên có thể cung cấp mô phỏng
thực tế về hành vi lưu lượng truy cập mạng thực. Các tác giả sử dụng cả công cụ mô
phỏng và thử nghiệm thực tế để đánh giá. Kết quả cho thấy mơ hình phân tích dựa
trên phép tính mạng ngẫu nhiên có thể đo lường thực tế độ trễ giữa bộ điều khiển và
3


thiết bị chuyển mạch. Bộ điều khiên ODL được sử dụng trong thử nghiệm này. Các
tác giả trong [5] tiến hành so sánh toàn diện hơn ba mươi bộ điều khiển khác nhau về
các thuộc tính và khả năng của chúng như ngơn ngữ lập trình, kiến trúc, nền tảng
được hỗ trợ,... Sau đó, chín bộ điều khiển được phân tích định lượng về độ trễ, thơng
lượng, CPU sử dụng... Mặc dù có kết quả chi tiết nhưng các bộ điều khiển này được
đo đạc đánh giá trong môi trường ảo hóa thay vì thử nghiệm thực, điều này có thể
mang lại kết quả không sát thực tế. Tương tự, Mostafavi và các tác giả trong [6] đánh
giá nhiều thuộc tính của bộ điều khiển SDN cũng như các tham số chất lượng dịch
vụ (QoS) trong sử dụng Mininet và các công cụ đo đạc. Nghiên cứu của Bholebawa
trong [7] cũng sử dụng Mininet làm công cụ giả lập để đánh giá hiệu năng của hai bộ

điều khiển phổ biến là POX và Floodlight trên các mơ hình mạng khác nhau. Kết quả
cho thấy rằng Floodlight vượt trội so với POX về cả thời gian truyền, xử lý và thông
lượng. Trên thực tế, Mininet là một môi trường giả lập để kiểm tra chức năng. Nên
việc sử dụng nó kiểm tra hiệu năng, đặc biệt là trong các tình huống khắc nghiệt khi
mạng đạt đến giới hạn hiệu năng cần được cân nhắc kỹ lưỡng. Abdullah và các tác
giả trong [8] nghiên cứu chi tiết hơn về kết quả thông lượng và độ trễ phản hồi của
bộ điều khiển SDN khi tải tăng lên. Ngoài ra, các tác giả cũng đề cập đến giới hạn số
lượng thiết bị chuyển mạch SDN mà một bộ điều khiển SDN có thể đáp ứng. Zhao
và các tác giả trong [9] đã đánh giá và so sánh thông lượng, độ trễ, ngôn ngữ lập trình
và phân tích luồng của hai nhóm bộ điều khiển, bộ điều khiển tập trung (POX, Ryu,
NOX, Floodlight, Beacon) và bộ điều khiển phân tán (ONOS, ODL).
Liên quan đến hiệu năng của các thiết bị chuyển mạch SDN, các tác giả trong [10]
giới thiệu và so sánh hai kỹ thuật đánh giá các thiết bị chuyển mạch SDN khi xử lý
các bản tin flow_mod. Trong khi phương pháp thứ nhất dựa trên phần mềm, thì
phương pháp thứ hai liên quan đến một hệ thống kiểm tra chuyên dụng Spirent C1.
Kết quả cho thấy cả hai kỹ thuật đều đạt được độ chính xác dưới một phần nghìn giây
về thời gian xử lý. Các tác giả trong [11] thì phân tích tác động của mặt phẳng điều
khiển đối với các ứng dụng SDN. Nghiên cứu tập trung đánh giá khả năng tìm lại
đường nhanh khi có sự cố kết nối xảy ra và kỹ thuật lưu lượng trong các trung tâm
dữ liệu. Họ cũng tiến hành đo lường toàn diện độ trễ của mặt phẳng điều khiển với
bốn thiết bị chuyển mạch SDN thương mại khác nhau. Trong [12], các tác giả kiểm
tra khả năng xử lý gói động của các thiết bị chuyển mạch OpenFlow, đặc biệt là tác
động tới của cách thức chuyển tiếp gói tin của mơ-đun lõi nhằm đáp ứng nhu cầu khi
hiệu năng cao và kỹ thuật lưu lượng. Một lần nữa, các tác giả sử dụng Mininet để
đánh giá cả thiết bị chuyển mạch phần cứng và phần mềm. Bianco và các tác giả
trong [13] tập trung vào đường đi của dữ liệu và phân tích việc triển khai OpenFlow
trên hệ điều hành Linux. Nghiên cứu so sánh một số tham số hiệu năng như thơng
lượng, độ trễ trong các tình huống tải và lưu lượng khác nhau của kỹ thuật chuyển
tiếp OpenFlow và chuyển mạch Ethernet lớp 2, định tuyến IP lớp 3. Tác giả cũng
đánh giá khả năng mở rộng hệ thống với kích thước bảng chuyển tiếp khác nhau và

sự cân bằng trong phân bổ tài nguyên. Trong [14], các tác giả kiểm tra hiệu năng của
một số tính năng chính trên mười một thiết bị chuyển mạch OpenFlow phần cứng và
phần mềm khác nhau. Nghiên cứu xây dựng mơ hình thực nghiệm sử dụng POX và
ONOS để đánh giá độ trễ gói, chênh lệch độ trễ gói và kích thước của gói tin truyền
đi. Các tác giả trong [15] tập trung phân tích hiệu năng của sáu thiết bị chuyển mạch
phần cứng. Nghiên cứu đánh giá đặc điểm hoạt động và tốc độ cập nhật của bảng
4


luồng. Trong [16] nghiên cứu dung lượng bảng luồng và hiệu năng chuyển tiếp gói
của bốn bộ chuyển mạch SDN thương mại HP.
Liên quan đến tác động của tấn công DDoS lên mạng SDN, trong [17], các tác giả
nghiên cứu tác động về tải và thông lượng của các cuộc tấn công DDoS lên các bộ
điều khiển trong môi trường mạng giao thông được định nghĩa bằng phần mềm. Iperf
[18] và hping3 được sử dụng để tạo các luồng TCP/UDP và mơ phỏng các cuộc tấn
cơng ping trong trình giả lập Mininet-Wifi [19]. Nghiên cứu của các tác giả trong [20]
chia sẻ một số điểm tương đồng và đo đạc thêm chênh lệch trễ giữa các gói tin khi
DDoS xảy ra. Trong [21], các tác giả tiếp tục sử dụng Mininet, hping3, Iperf để đánh
giá tác động của tấn công DoS lên băng thông của kết nối giữa hai máy chủ trong
mạng SDN với bộ điều khiển là POX, RYU và ODL. Các thông số đánh giá là RTT,
chênh lệch độ trễ, băng thông và thông lượng. Trong [22] các đặc điểm của nhiều
phương thức tấn công DDoS và ảnh hưởng của chúng trên cả mặt phẳng dữ liệu và
mặt phẳng điều khiển đều được nghiên cứu. Tương tự, trong [23], tỷ lệ mất gói (PDR)
và tải CPU trên cả mặt phẳng điều khiển và dữ liệu được sử dụng làm thước đo hiệu
năng để đánh giá ba bộ điều khiển khác nhau (Ryu, ONOS, Floodlight) khi tỷ lệ tấn
công làm tràn tăng lên. Mladenov và các tác giả trong [24] nghiên cứu tác động của
tấn công DDoS lên kênh southbound dựa trên RTT của các mơ hình kịch bản khác
nhau, trong khi [25] nghiên cứu tác động của DDoS lên bảng luồng của thiết bị
chuyển mạch và mặt phẳng điều khiển. Các tác giả trong [26] nghiên cứu tác động
của tấn công chậm lên các thiết bị chuyển mạch hỗ trợ SDN bằng cách khai thác giới

hạn của bộ nhớ TCAM, gây quá tải bảng luồng. Trong [27], các tác giả tập trung
nghiên cứu tấn công DDoS lên mặt phẳng điều khiển, được gọi là tấn cơng bão hịa
mặt phẳng điều khiển (CPSA). Các tác giả phân tích chi tiết về CPSA và đặc biệt chỉ
ra nó có thể được khuếch đại trong trường hợp số bước qua các thiết bị chuyển mạch
trong mạng SDN lớn. Tác giả thực hiện thử nghiệm với bộ điều khiển POX và thực
hiện đánh giá. Các kết quả cho thấy, khi độ dài đường dẫn chuyển tiếp tăng lên gấp
5 lần, kẻ tấn cơng có thể giảm 55% tốc độ tấn cơng cần thiết để làm mất khả năng
hoạt động của mạng.
Trong [28], các tác giả đã nhận biết lỗ hổng bảo mật nghiêm trọng nhằm chiếm
dụng các tài nguyên khan hiếm của mặt phẳng điều khiển và mặt phẳng dữ liệu trong
mạng SDN, đó là cuộc tấn cơng từ chối dịch vụ phân tán dựa trên luồng mới, dựa
trên đặc điểm xử lý luồng mới của kiến trúc SDN. Nghiên cứu phân loại các lỗ hổng
bảo mật này theo lỗ hổng của thiết bị chuyển mạch, theo loại tấn công, theo phạm vi
tác động và theo tốc độ tấn công. Các phân loại này được phân tích về mặt lý thuyết,
chưa có kết quả thực nghiệm để kiểm chứng cũng như đo đạc các thơng số cụ thể.
Bên cạnh đó, nghiên cứu cũng cung cấp bản phân tích về những phát triển mới nhất
được thực hiện trong những năm gần đây về hoạt động nghiên cứu phát hiện và giảm
thiểu DDoS nhằm khắc phục các lỗ hổng bảo mật này cùng các thảo luận về những
thách thức nghiên cứu liên quan đến bảo mật SDN. Tương tự như vậy, trong [29],
các tác giả nghiên cứu tổng quan về kiến trúc mạng SDN, đánh giá khả năng chống
tấn công DDoS của mạng SDN, đồng thời cũng phân tích các tác động của tấn công
DDoS lên kiến trúc mạng SDN và tổng hợp phân tích các giải pháp phát hiện, giảm
thiểu tấn cơng DDoS trong thời gian gần đây. Mặc dù các nghiên cứu này chỉ dừng

5


lại ở phân tích lý thuyết nhưng đã cung cấp cái nhìn tổng quan và là cơ sở quan trọng
để phát triển các nghiên cứu và thực nghiệm cụ thể sau này.
Nội dung chính của các nghiên cứu liên quan trên được tóm tắt trong Bảng 0.1.

Bảng 0.1 Phân loại công việc gần đây liên quan đến đánh giá hiệu năng của kiến trúc
SDN và tác động của tấn công DDoS lên mạng SDN
Các
nghiên
cứu

Phương
pháp

[3]

Mô phỏng

[4]

Thử nghiệm

[5]

Mô phỏng

[6]

Mô phỏng

[7]

Mô phỏng

[8]


Mô phỏng

[9]

Mô phỏng

[10]
[11]

Thử nghiệm
Thử nghiệm

[12]

Mô phỏng

[13]

Thử nghiệm

Thiết bị
điều khiển
sử dụng
ODL,
Floodlight
ODL
9 Bộ điều
khiển
POX,

ODL, Ryu,
Floodlight,
ONOS
POX,
Floodlight
libfluid,
ONOS,
ODL,
POX, Ryu
POX, Ryu,
NOX,
Floodlight,
ODL,
ONOS,
Beacon
ODL

Kiểm
tra
lưu
lượng
lớn
x

x

Các thông số đánh
giá

Các thành phần SDN

được đánh giá

Thông
lượng

Độ
trễ

x

x

Bộ điều khiển

x

Bộ điều khiển

x

x

Bộ điều khiển

x

x

Bộ điều khiển


x

x

Bộ điều khiển

x

x

Bộ điều khiển

Bảng
luồng

Hiệu
năng
x

x

x

Bộ điều khiển

x

POX,
Floodlight
x


x

X
X

Thiết bị chuyển mạch
Thiết bị chuyển mạch

x

x

Thiết bị chuyển mạch

x

POX,
ONOS

Thiết bị chuyển mạch

[14]

Thử nghiệm

[15]
[16]

Thử nghiệm

Thử nghiệm

x

x

Thiết bị chuyển mạch

x

x
x

Thiết bị chuyển mạch
Thiết bị chuyển mạch
Bộ điều khiển, Thiết bị
chuyển mạch

[22]

Mô phỏng

[23]

Mô phỏng

[24]

Mô phỏng


Ryu,
ONOS,
Floodlight
Floodlight

[27]

Thử nghiệm

POX

x

[25]

Mô phỏng

NOX

x

[17]
[20]

Mô phỏng
Mô phỏng

x
x


x

[21]

Mô phỏng

x

x

Bộ điều khiển

[26]

Mô phỏng

Ryu
ODL
POX, Ryu,
ODL
Ryu

Kết nối
Bộ điều khiển, Thiết bị
chuyển mạch
Bộ điều khiển, Thiết bị
chuyển mạch
Bộ điều khiển
Bộ điều khiển


[28]

N/A

[29]

N/A

Luận
án

Thử nghiệm

x
Floodlight

POX, Ryu,
Floodlight

Nhóm
đánh giá

x

Bộ điều khiển, Thiết bị
chuyển mạch

x
x
x


x

x

x

x

6

x

DDoS

Kết nối
Bộ điều khiển, Thiết bị
chuyển mạch, Kết nối
Bộ điều khiển, Thiết bị
chuyển mạch, Kết nối
Bộ điều khiển, Thiết bị
chuyển mạch, Kết nối

Hiệu
năng,
DDoS


Như vậy, dù kiến trúc SDN đã được nhiều người biết đến, hiệu năng của nó cũng
được nghiên cứu nhiều trong những năm gần đây, nhưng các khảo sát trên cho thấy

tác động của tấn công DDoS lên kiến trúc SDN vẫn còn hạn chế. Một số nghiên cứu
trước đây đánh giá hiệu năng của các thành phần SDN dựa trên mô phỏng hoặc các
công cụ giả lập như Mininet. Bằng cách cung cấp mơi trường ảo hóa thuận lợi cho
việc tạo mẫu nhanh và thử nghiệm các chức năng mạng SDN, các cơng cụ mơ phỏng,
giả lập có thể phù hợp để thử nghiệm chức năng hơn là thử nghiệm hiệu năng. Do tài
nguyên phần cứng được chia sẻ giữa các thành phần logic nên hiệu năng của các
thành phần ảo hóa như liên kết ảo, thiết bị chuyển mạch và bộ điều khiển có thể khác
hẳn so với thực tế. Mặt khác, hầu hết các nghiên cứu không tập trung vào kiểm tra
giới hạn của các thành phần mạng SDN, điều rất quan trọng để hiểu hành vi của mạng
trong các tình huống q tải mạng khi có tấn công DDoS xảy ra. Một số nghiên cứu
đã tập trung đặc biệt vào tác động của các cuộc tấn công DDoS lên mạng SDN. Tuy
nhiên, hiệu năng của các thành phần mạng SDN dưới các cuộc tấn công DDoS vẫn
chưa được nghiên cứu đầy đủ. Do đó nghiên cứu sinh tập trung nghiên cứu để làm rõ
thêm các tác động của tấn công DDoS lên các thành phần mạng SDN trên hệ thống
thật.
Các kết quả phát hiện dữ liệu bất thường, phát hiện tấn công DDoS trong mạng
SDN
Cho đến nay đã có nhiều nghiên cứu khác nhau về phát hiện dữ liệu bất thường.
Trong [30], các tác giả trình bày giải pháp phát hiện bất thường sử dụng thuật toán
học máy luồng dữ liệu liên tục để phát hiện xâm nhập trong môi trường SDN. Để mô
tả đặc điểm của các điểm bất thường, tác giả đã phân tích băng thông và cạn kiệt tài
nguyên khi tấn công DDoS vào cơ sở hạ tầng mạng. Các kết quả thử nghiệm cho thấy
giải pháp đạt được độ chính xác 97,83%, recall 99%, precision 80% và FPR 2,3% đối
với các cuộc tấn công DDoS. Nhưng các thử nghiệm này chỉ được thực hiện trên phần
mềm giả lập Mininet, thời gian lấy thông tin dữ liệu được thiết lập cứng bằng 2 giây
và chưa có đánh giá thời gian thực. Các tác giả trong [31] trình bày mơ hình phát hiện
lưu lượng bất thường trong SDN dựa trên cây quyết định (decision tree). Năm đặc
trưng dữ liệu được trình bày để mơ tả hành vi của lưu lượng truy cập mạng, sau đó
dữ liệu lưu lượng truy cập bình thường và bất thường được sử dụng để huấn luyện
mơ hình học máy nhằm phát hiện sự bất thường về lưu lượng truy cập. Bốn thuật toán

học máy là Decision tree, KNN, SVM và Naive Bayes được sử dụng để thử nghiệm.
Kết quả thực nghiệm của nghiên cứu cho thấy thuật toán cây quyết định phù hợp để
phát hiện sự bất thường về lưu lượng trong mạng SDN. Tuy nghiên, các tác giả chỉ
sử dụng phần mềm Mininet để giả lập và thực hiện thử nghiệm. Các kết quả đánh giá,
so sánh chỉ là tỷ lệ phát hiện bất thường và tỷ lệ cảnh báo sai, và khơng có đánh giá
thử nghiệm trong thời gian thực. Zhu và các tác giả trong [32] lập luận rằng hệ thống
phát hiện xâm nhập (IDS) truyền thống dựa trên nhận dạng mẫu chỉ có thể được sử
dụng cho hành vi tấn cơng mạng đã biết. Vì lý do đó, các trình phân loại học máy
được sử dụng trong nghiên cứu để phân biệt lưu lượng mạng bất thường với lưu lượng
bình thường. Thuật tốn Decision tree và KNN cũng được sử dụng trong nghiên cứu
này. Trong một cơng trình khác [33], một lược đồ phát hiện DDoS dựa trên SVM
[34] trong SDN được đề xuất. Bằng cách lấy thông tin đặc điểm bảng lưu lượng SDN
(flow table), dữ liệu được lấy và mơ hình dữ liệu của lưu lượng truy cập DDoS được
7


huấn luyện, sau đó thực hiện nhận dạng lưu lượng truy cập bất thường DDoS. Nghiên
cứu sinh thấy rằng việc triển khai SVM trong SDN địi hỏi nhiều tính tốn hơn so với
một số cách tiếp cận khác, sẽ được đề cập trong phần sau. Trong [35], thuật toán SVM
cũng được sử dụng để phát hiện và giảm thiểu tấn công DDoS. Trong bài báo này,
các tác giả đề xuất mơ hình SDN để xác định và bảo vệ các cuộc tấn cơng DDoS dựa
trên học máy. Mơ hình này bao gồm ba phần là mô-đun thu thập lưu lượng, mô-đun
nhận dạng tấn công DDoS và mô-đun phân phối bảng lưu lượng. Mơ-đun thu thập
lưu lượng trích xuất các đặc điểm lưu lượng để chuẩn bị cho việc nhận dạng lưu
lượng. Tận dụng các tính năng linh hoạt và đa chiều của kiến trúc mạng SDN trong
việc triển khai hệ thống phát hiện tấn cơng DDoS, bộ điều khiển trích xuất các đặc
điểm lưu lượng mạng thông qua thông tin bảng lưu lượng thống kê và sử dụng phương
pháp SVM để xác định lưu lượng tấn cơng. Sau đó, mơ-đun phân phối bảng lưu lượng
sẽ tự động điều chỉnh chính sách chuyển tiếp để chống lại các cuộc tấn công DDoS
theo kết quả nhận dạng lưu lượng. Bộ dữ liệu KDD99 được sử dụng để huấn luyện

và thử nghiệm phương pháp này.
Trong [36], các tác giả cũng đề xuất một phương pháp phát hiện bất thường sử
dụng thuật toán học có giám sát để dự đốn vấn đề tràn bảng lưu lượng trên thiết bị
chuyển mạch. Sau đó, dựa trên kết quả dự đoán tràn bảng lưu lượng, thuật toán học
sâu tăng cường đưa ra quyết định để tối đa hóa số trường so khớp trung bình trong
quy tắc luồng tại mặt phẳng dữ liệu SDN, nhằm bảo vệ mặt phẳng dữ liệu không bị
quá tải. Tuy nhiên, một trong những nhược điểm chính của giải pháp này là thuật tốn
học có giám sát có nhiều khả năng đưa ra dự đốn khơng chính xác trong mơi trường
lưu lượng truy cập động và khơng đồng nhất. Ngồi ra, thuật tốn học có giám sát
khơng được cập nhật để điều chỉnh hiệu suất dự đốn của nó với hành vi lưu lượng
truy cập mạng hiện tại trong thời gian chạy. Do đó, thuật tốn học sâu tăng cường
gặp khó khăn khi thực hiện chính xác các chính sách dựa trên đầu vào khơng chính
xác, dẫn đến sự hội tụ chậm trong q trình học. Đồng thời thuật tốn học có giám
sát sử dụng là SVM có độ chính xác cao nhưng khá phức tạp, cũng ảnh hưởng tới tính
chất thời gian thực của hệ thống.
Về các kết quả phát hiện tấn cơng DDoS cụ thể, các nghiên cứu có thể chia thành
hai nhóm: phát hiện dựa trên thống kê thơng thường và phát hiện dựa trên các thuật
toán học máy.
Trong các giải pháp dựa trên thống kê thông thường, các nhà nghiên cứu sử dụng
phương thức thống kê để phân tích lưu lượng dữ liệu thường và dữ liệu tấn công để
tìm ra điểm khác biệt, từ đó phát hiện ra tấn công. Trong [37], các tác giả đề xuất
phương pháp dựa trên độ lệch của thông lượng khi máy chủ ở trạng thái bình thường.
Các cuộc tấn cơng sẽ được phát hiện khi có sai lệch đáng kể về thơng lượng trung
bình so với trạng thái bình thường. Trong [38], các tác giả trình bày khung phát hiện
tấn cơng DDoS dựa trên SDN. Nó thực hiện lọc chi tiết hai giai đoạn các luồng bất
thường giữa mặt phẳng dữ liệu và mặt phẳng điều khiển. Nó cân bằng khả năng của
thiết bị chuyển mạch và bộ điều khiển. Thuật toán giám sát luồng nhẹ được sử dụng
trong các thiết bị chuyển mạch để nắm bắt các đặc trưng chính của lưu lượng tấn cơng
DDoS nhằm phân tích và phát hiện cuộc tấn cơng. Trong [39] các tác giả phân tích
đặc điểm của luồng lưu lượng gửi lên một máy chủ ISP tại Việt Nam trong cả hai

trạng thái lưu lượng thông thường và lưu lượng tấn công DDoS. Dựa trên phân tích
8


lưu lượng, các tác giả đề xuất kiến trúc ngăn chặn tấn cơng có khả năng nắm bắt và
phân tích các luồng đến một cách nhanh chóng trong mạng SDN. Cơ chế phát hiện
và ngăn chặn được thực hiện dựa trên ngưỡng cứng và ngưỡng tự động với một thuật
toán được đề xuất. Sau khi phát hiện ra có tấn cơng, hệ thống sẽ xóa luồng tấn cơng
dựa vào thơng tin điều khiển từ mặt phẳng điều khiển. Các tác giả trong [40] trình
bày cách tiếp cận phát hiện tấn công DDoS trong môi trường SDN bằng cách sử dụng
phép đo entropy xác định sự khác biệt về tài nguyên máy chủ để xác định trạng thái
bị tấn công hay không. Entropy là một khái niệm thống kê đại diện cho tính ngẫu
nhiên của một tập dữ liệu cụ thể. Entropy càng cao thì sự phân kỳ của tập dữ liệu
càng mạnh; entropy càng thấp thì độ phân kỳ của tập dữ liệu càng yếu. Nghiên cứu
cũng tối ưu yếu tố thời gian trong hoạt động thu thập thông tin. [41] cũng là một
nghiên cứu sử dụng entropy để phát hiện tấn công trong SDN. Trong nghiên cứu này,
các tác giả tính tốn mức độ ngẫu nghiên của kích thước gói tin tại mặt phẳng điều
khiển để phát hiện tấn công DDoS. Trong [42], các tác giả đề xuất một kiến trúc bảo
mật các thiết bị chuyển tiếp dựa trên SDN với nhiều chức năng bảo mật bao gồm
giảm thiểu tấn công DDoS, phát hiện xâm nhập dựa trên dấu hiệu có sẵn và dựa trên
sự bất thường. Tác giả đã triển khai kiến trúc trên một hệ thống bao gồm máy chủ,
GPU và bo mạch FPGA và đánh giá khả năng phát hiện, giảm thiểu cũng như tốc độ
chuyển tiếp gói tin của hệ thống. Trong [43], tác giả phân tích hậu quả của tấn cơng
DDoS làm cạn kiệt tài nguyên của bộ điều khiển trong mạng SDN. Sau đó, tác giả đề
xuất phương pháp phát hiện cuộc tấn cơng dựa trên phân tích thống kê với giá trị
ngưỡng động thay đổi theo thời gian, tùy thuộc vào lưu lượng truy cập qua mạng. Kết
quả mơ phỏng của nhóm nghiên cứu cho thấy giải pháp đề xuất khả thi để phát hiện
nhanh các cuộc tấn công DDoS cũng như giúp nâng cao độ tin cậy khi so sánh với
các phương pháp sử dụng giá trị ngưỡng tĩnh khác. Trong [44], tác giả sử dụng bo
mạch Raspberry Pi làm thiết bị chuyển mạch OvS và chứng minh rằng tài nguyên

phần cứng ảo có thể được sử dụng như một giải pháp cho IoT. Trong nghiên cứu này,
entropy được sử dụng để phát hiện tấn công DDoS, nhưng nhược điểm là ngưỡng
phát hiện tấn công không thể cập nhật động. Các tác giả trong [45] tính entropy bằng
cách sử dụng các thuộc tính khác nhau của mã thơng báo IP và TCP nguồn trong
mạng. Cơng nghệ này có thể phát hiện các cuộc tấn công tràn TCP SYN, tràn Ping
và HTTP chậm.
Giải pháp dựa trên học máy sử dụng các thuật tốn thơng minh để tìm ra các đặc
trưng ẩn bên trong lưu lượng mạng ở trạng thái bình thường và tấn công. Các tác giả
trong [46] đề xuất cơ chế bảo vệ tối ưu mạng SDN khỏi các cuộc tấn công DDoS dựa
trên SVM. Phương pháp này không chỉ tận dụng lợi thế của SVM trong phân loại với
độ chính xác cao và thời gian xử lý thấp mà còn áp dụng hiệu quả thuật toán điều
chỉnh thời gian chờ khi khơng có hoạt động được đề xuất để bảo vệ mạng khỏi cạn
kiệt tài nguyên do các cuộc tấn công DDoS gây ra, đặc biệt đối với bộ điều khiển và
bộ chuyển mạch SDN. Trong [47], các tác giả đề xuất hai phương pháp phát hiện tấn
công DDoS dựa trên SOM. Thuật toán được đề xuất với kiến trúc phát hiện tấn công
được triển khai trong SDN. Bằng cách triển khai thử nghiệm, tác giả đã đánh giá
thành công các thuật tốn đề xuất về cả độ chính xác và chi phí tính tốn. Kết quả
thực nghiệm cho thấy các thuật tốn này có thể giảm thời gian xử lý trong khi vẫn
duy trì tỷ lệ chính xác phù hợp. Các tác giả trong [48] đề xuất tính năng thống kê để
mô tả entropy đặc trưng lưu lượng của các cuộc tấn cơng DDoS, sau đó sử dụng SVM
9


để xác định các cuộc tấn công. Phương pháp này có thể phân biệt lưu lượng tấn cơng
với lưu lượng thông thường. Các tác giả trong [49] đã đề xuất phương pháp mạng nơ
ron phân tán dựa trên bất thường và dấu hiệu biết trước. Mơ hình kết hợp này có thể
cải thiện hiệu suất phát hiện các cuộc tấn công DDoS. Trong [50], entropy được sử
dụng trước tiên để phát hiện xem lưu lượng có bất thường hay khơng. Sau khi trích
xuất các đặc điểm tấn cơng, thuật tốn mạng nơ ron BiLSTM-RNN được sử dụng để
huấn luyện tập dữ liệu và phân loại lưu lượng truy cập thời gian thực nhằm phát hiện

cuộc tấn công DDoS. [51] đã đề xuất một hệ thống phát hiện xâm nhập dựa trên GRURNN, sử dụng ít chức năng nhất để đạt được hiệu quả tính tốn cao hơn mà khơng
ảnh hưởng đến hiệu suất của mạng. Sử dụng phương pháp entropy để xác định tính
ngẫu nhiên của luồng dữ liệu, [52] trình bày một giải pháp mới để phát hiện sớm và
giảm thiểu tràn ngập TCP-SYN. Thông tin entropy bao gồm IP đích và một số thuộc
tính của cờ TCP. Nó được triển khai như một mô-đun mở rộng trong Floodlight và
đánh giá nó theo các tình huống có điều kiện khác nhau. Hu và các tác giả trong [53]
đề xuất một khung hiệu quả và nhẹ để phát hiện và giảm thiểu các cuộc tấn công
DDoS trong SDN bằng cách sử dụng entropy của các đặc trưng và thuật toán SVM.
Đầu tiên, thông tin lưu lượng mạng được thu thập thông qua bộ điều khiển SDN và
các tác nhân sFlow. Sau đó, một phương pháp dựa trên entropy được sử dụng để đo
các đặc trưng của mạng và trình phân loại SVM được áp dụng để xác định các điểm
bất thường của mạng. Một cách tiếp cận khác sử dụng thuật tốn SVM được trình bày
trong [35]. Bài báo chủ yếu tập trung vào việc phát hiện lưu lượng truy cập bất thường
dựa trên entropy của các cổng và địa chỉ nguồn IP bằng cách tích hợp SVM vào bộ
điều khiển Ryu. Hiệu suất của hệ thống được đánh giá trên Mininet, khơng có đánh
giá trong thời gian thực.
Như vậy, có nhiều giải pháp phát hiện tấn cơng được đề xuất, nhưng các giải pháp
còn hạn chế khi sử dụng một thuật tốn học máy cho nhiều loại tấn cơng khác nhau
hay sử dụng các công cụ giả lập như Mininet để thử nghiệm đánh giá. Nhiều giải
pháp khơng có đánh giá trong thời gian thực. Do đó việc nghiên cứu một giải pháp
chạy trong thời gian thực, sử dụng kết hợp nhiều thuật toán học máy phù hợp cho
từng thời điểm, từng loại tấn cơng để phát hiện chính xác hơn và ít ảnh hưởng đến
hiệu quả truyền dữ liệu thông thường trên mạng là cần thiết.
Các kết quả về giải pháp đối phó khi phát hiện có tấn cơng DDoS trong mạng SDN
Để đối phó khi phát hiện có tấn cơng DDoS xảy ra, có hai nhóm giải pháp được
nghiên cứu và triển khai. Một là các giải pháp giảm thiểu, ngăn chặn tấn công DDoS.
Hai là các giải pháp mở rộng tài nguyên mạng để tăng khả năng chịu đựng của mạng
khi số lượng luồng hay lưu lượng tăng đột ngột, hệ thống chưa kịp xử lý.
Về các giải pháp giảm thiểu tấn công, Trong [54], Sufian Hameed và các tác giả
trình bày giải pháp giảm thiểu DDoS với một giao thức mới cho phép bộ điều khiển

SDN nằm trong các hệ thống tự trị khác nhau giao tiếp và truyền thông tin tấn công
với nhau một cách an tồn. Trong [55], các tác giả phân tích một trường hợp lưu
lượng truy cập thực tế để rút ra các chỉ số và ngưỡng của tấn công DDoS. Sau đó tác
giả đề xuất kiến trúc giảm thiểu tấn cơng dựa trên mạng SDN. Kiến trúc này có khả
năng giảm thiểu nhanh chóng các cuộc tấn cơng DDoS. Đề xuất giải quyết các vấn
đề hiện có của giao thức OpenFlow, giảm lưu lượng truy cập qua giao diện giữa mặt
phẳng dữ liệu và mặt phẳng điều khiển đồng thời giảm kích thước bộ đệm tại thiết bị
10


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×