BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
ĐẶNG VĂN TUYÊN
NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN
LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG
Hà Nội – 2019
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
ĐẶNG VĂN TUYÊN
NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN
Ngành: Kỹ thuật Viễn thông
Mã số: 9520208
LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG
NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. TRƯƠNG THU HƯƠNG
PGS.TS. NGUYỄN TÀI HƯNG
Hà Nội – 2019
i
LỜI CAM ĐOAN
Tôi xin cam đoan rằng các kết quả khoa học được trình bày trong luận án này là thành quả
nghiên cứu của bản thân tôi trong suốt thời gian làm nghiên cứu sinh và chưa từng xuất hiện
trong công bố của các tác giả khác. Các kết quả đạt được là chính xác và trung thực.
Hà Nội, ngày 15 tháng 5 năm 2019
Tác giả luận án
Đặng Văn Tuyên
Giáo viên hướng dẫn khoa học
PGS.TS. Trương Thu Hương
PGS.TS. Nguyễn Tài Hưng
ii
LỜI CẢM ƠN
Nghiên cứu sinh (NCS) xin gửi lời trân trọng cảm ơn đến Tập thể hướng dẫn khoa học:
PGS. TS. Trương Thu Hương và PGS. TS. Nguyễn Tài Hưng cùng các thầy cô giáo Bộ
môn Kỹ thuật Thông tin, Viện Điện tử - Viễn thông, Trường Đại học Bách khoa Hà Nội đã
tận tình hướng dẫn, tạo điều kiện cho NCS học tập, nghiên cứu và hoàn thành Luận án này.
NCS cũng xin trân trọng cảm ơn Phòng Đào tạo, Trường Đại học Bách khoa Hà Nội đã
tạo điều kiện giúp đỡ về mặt thủ tục; Trường Đại học Kỹ thuật – Hậu cần CAND, gia đình
và đồng nghiệp tạo điều kiện về mặt thời gian cho NCS được nghiên cứu và hoàn thành
Luận án.
Trong quá trình thực hiện đề tài nghiên cứu, tuy bản thân đã có nhiều cố gắng nhưng do
giới hạn về trình độ hiểu biết, kinh nghiệm thực tế, kinh nghiệm nghiên cứu khoa học nên
Luận án không tránh khỏi những thiếu sót. NCS kính mong nhận được sự đóng góp ý kiến
của các nhà khoa học, cán bộ nghiên cứu, của các thầy, cô giáo, bạn bè và đồng nghiệp để
NCS hoàn thiện hơn cả về lý luận khoa học lẫn thực tiễn.
Xin trân trọng cảm ơn.
Hà Nội ngày 15 tháng 05 năm 2019
NGHIÊN CỨU SINH
Đặng Văn Tuyên
iii
MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................................ i
LỜI CẢM ƠN............................................................................................................................. ii
MỤC LỤC ................................................................................................................................. iii
DANH MỤC CÁC CHỮ VIẾT TẮT ....................................................................................... vii
DANH MỤC HÌNH VẼ ............................................................................................................. x
DANH MỤC CÁC BẢNG BIỂU............................................................................................ xiii
MỞ ĐẦU ................................................................................................................................. xiv
CHƯƠNG 1: TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG
SDN/OPENFLOW ..................................................................................................................... 1
1.1. Giới thiệu chương ..................................................................................................................... 1
1.2. Tổng quan về tấn công DDoS ................................................................................................... 1
1.2.1. Khái niệm .......................................................................................................................... 1
1.2.2. Phân loại tấn công DDoS................................................................................................... 2
1.2.3. Các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống ...................... 5
1.2.4. Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS
........................................................................................................................................... 7
1.3. Kỹ thuật mạng cấu hình bởi phần mềm SDN ......................................................................... 10
1.4. Giao thức OpenFlow ............................................................................................................... 12
1.4.1. Cấu trúc và phạm vi chuẩn hóa của Openflow ................................................................ 13
1.4.2. Nhận dạng và quản lý lưu lượng trên bộ chuyển mạch Openflow .................................. 14
1.4.3. Các bản tin trao đổi giữa bộ điều khiển và bộ chuyển mạch Openflow .......................... 14
1.4.4. Quy trình xử lý gói tin trong Openflow ........................................................................... 16
1.4.5. Quản lý các mục luồng trong bộ chuyển mạch Openflow............................................... 17
iv
1.5. Các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow ................ 18
1.5.1. Kiến trúc và nguyên lý hoạt động chung ......................................................................... 18
1.5.2. Các kỹ thuật phát hiện tấn công....................................................................................... 20
1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công .................................................................. 22
1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp
phòng chống ................................................................................................................................... 23
1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow .................... 23
1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công ...................................................................... 25
1.7. Kết luận chương ...................................................................................................................... 27
CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ
LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW ........ 29
2.1. Giới thiệu chương ................................................................................................................... 29
2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm
mũ tham số thống kê lưu lượng ...................................................................................................... 29
2.2.1. Đặt vấn đề ........................................................................................................................ 29
2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động ............................................................... 30
2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng .............................................................. 32
2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng ............................... 33
2.2.5. Phát hiện và giảm thiểu tấn công ..................................................................................... 35
2.2.6. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 37
2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều
khiển ............................................................................................................................................... 41
2.3.1. Đặt vấn đề ........................................................................................................................ 41
2.3.2. Kiến trúc hệ thống đề xuất ............................................................................................... 42
2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN........................................................................ 43
2.3.4. Hoạt động của hệ thống SSP ........................................................................................... 44
2.3.5. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 51
v
2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công ............................... 58
2.4.1. Đặt vấn đề ........................................................................................................................ 58
2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản .................................................... 59
2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow ...... 61
2.4.4. So sánh và đánh giá hiệu năng của giải pháp .................................................................. 66
2.5. Kết luận chương ...................................................................................................................... 70
CHƯƠNG 3 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN KỸ
THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG . 72
3.1. Giới thiệu chương ................................................................................................................... 72
3.2. Những hạn chế của kiến trúc và kỹ thuật SDN/Openflow trong phòng chống tấn công
DDoS
................................................................................................................................................. 72
3.3. Đề xuất kiến trúc mạng SDN/Openflow mở rộng trên cơ sở bổ sung bộ phân tích và xử lý lưu
lượng SD ........................................................................................................................................ 73
3.3.1. Kiến trúc tổng quát .......................................................................................................... 74
3.3.2. Điều khiển chuyển tiếp lưu lượng tới SD và xử lý lưu lượng tại SD .............................. 75
3.4. Giải pháp phân loại và giảm thiểu tấn công DDoS dựa trên kiến trúc SDN/Openflow mở rộng
và thuật toán logic mờ .................................................................................................................... 76
3.4.1. Đặt vấn đề ........................................................................................................................ 76
3.4.2. Phân tích đặc tính lưu lượng tấn công DDoS để chọn tham số phân loại lưu lượng ....... 76
3.4.3. Cấu trúc hệ thống ............................................................................................................. 79
3.4.4. Xác định trạng thái của máy chủ ..................................................................................... 79
vi
3.4.5. Chuyển tiếp gói tin giữa các thực thể trong hệ thống ...................................................... 81
3.4.6. Phân loại lưu lượng và giảm thiểu tấn công DDoS dựa trên thuật toán suy luận logic mờ
FDDoM...................................................................................................................................... 83
3.4.7. Đánh giá hiệu năng của giải pháp .................................................................................... 87
3.5. Phát hiện và giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow sử dụng cơ chế ủy
nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng ................................................................. 91
3.5.1. Đặt vấn đề ........................................................................................................................ 91
3.5.2. Cấu trúc hệ thống ............................................................................................................. 92
3.5.3. Hoạt động của hệ thống ................................................................................................... 92
3.5.4. Phân tích và đánh giá hiệu năng ...................................................................................... 98
3.6. Kết luận chương .................................................................................................................... 104
KẾT LUẬN .................................................................................................................................. 106
DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN ........................................ 108
TÀI LIỆU THAM KHẢO ............................................................................................................ 109
vii
DANH MỤC CÁC CHỮ VIẾT TẮT
Ký hiệu
ACK
Tiếng Anh
ACKnowledgment
Tiếng Việt
Gói tin xác nhận kết nối
ACK_Num
Acknowledgement Number
Số hiệu xác nhận
API
Application Programming
Interface
Giao diện chương trình ứng dụng
ART
Average Retrieve Time
Thời gian kết nối trung bình
AS
Autonomous System
Hệ tự trị
ATM
Asynchronous Transfer Mode Truyền dữ liệu cận đồng bộ
CDF
Cumulative Distribution
Function
Hàm phân phối tích lũy
CliACK
Client ACK
Gói tin xác nhận kết nối từ client
CM
Connection Migration
Di trú kết nối
CUSUM
CUmulative SUM
Tổng tích lũy
DC
Data Center
Trung tâm dữ liệu
DDoS
Distributed Denial of Service
Tấn công từ chối dịch vụ phân tán
DFM
Deterministic Flow Marking
Kỹ thuật đánh dấu gói tin theo luồng
DoS
Denial of Service
Tấn công từ chối dịch vụ
DNS
Domain Name System
Hệ thống tên miền
DPpF
Deviation PpF
PpF chuẩn hóa
DPM
Deterministic Packet Marking Kỹ thuật đánh dấu xác định
DPPM
Dynamic Probabilistic Packet
Marking
Kỹ thuật đánh dấu gói tin theo xác suất
động
DR
Detection Rate
Độ nhạy
DSCP
Dynamic probabilistic packet
marking
Kỹ thuật đánh dấu gói tin theo xác suất
động
DSPA
Deviation SPA
SPA chuẩn hóa
FDDoM
Fuzzy Logic-based DDoS
Mitigation
Phát hiện và giảm thiểu tấn công DDoS
dựa trên thuật toán logic mờ
FIS
Fuzzy Inference System
Hệ suy luận mờ
FTP
File Transfer Protocol
Giao thức truyền tệp tin
FPR
False Positive Rate
Tỷ lệ báo động nhầm
FMT
Flow Monitoring Table
Bảng giám sát luồng
HOC
Half Open Connection
Kết nối dang dở
3HS
Three ways Handshake
Bắt tay ba bước
HTTP
HyperText Transfer Protocol
Giao thức truyền tải siêu văn bản
IAT
Inter Arrival Time
Khoảng thời gian liên gói tin
viii
ICMP
Internet Control Message
Protocol
Giao thức thông báo điều khiển Internet
IDS
Intrusion Detection System
Hệ thống phát hiện xâm nhập
IoTs
Internet of Things
Mạng kết nối vạn vật
IP
Internet Protocol
Giao thức liên mạng
IPS
Intrusion Prevention System
Hệ thống chống xâm nhập
ISP
Internet Service Provider
Nhà cung cấp dịch vụ Internet
IRC
Internet Relay Chat
Dịch vụ chat Internet
MA
Moving Average
Trung bình động
MPR
Marked Packet Rate
Tỷ lệ gói tin bị đánh dấu
MSR
Marked Size Rate
Tỷ lệ dung lượng gói tin bị đánh dấu
MT
Mark Threshold
Giá trị ngưỡng đánh dấu
MTU
Maxium Transmission Unit
Ngưỡng kích thước đơn vị truyền
NFV
Network Functions
Virtualization
Ảo hóa chức năng mạng
NTP
Network Time Protocol
Giao thức đồng bộ thời gian mạng
OFS
OpenFlow Switch
Bộ chuyển mạch Openflow
ONF
Open Networking Foudation
Tổ chức chuẩn hóa mạng mở
PN
Packet Number
Số gói tin
PLA DFM
Packet Length Adaptive
Deterministic Flow Marking
Đánh dấu gói tin xác định theo luồng
có sự tương thích chiều dài gói
PpF
Packet number per Flow
Số gói tin trong một luồng
PPM
Probabilistic Packet Marking
Đánh dấu gói tin theo xác suất
pps
packet per second
Gói tin/ giây
QoS
Quality of Service
Chất lượng dịch vụ
REST API
Representational State
Transfer API
Giao diện trao đổi dựa vào biến trạng
thái
RST
ReSeT
Gói tin hủy kết nối
SAN
Source Address Number
Số địa chỉ IP nguồn
SCR
Successful Connection Rate
Tỷ lệ kết nối thành công
SD
Security Device
Thiết bị bảo mật
SDH
Synchronous Digital
Hierarchy
Hệ thống phân cấp đồng bộ
SDN
Software Defined
Networking
Kỹ thuật mạng cấu hình bởi phần mềm
SEQ_Num
Sequence Number
Số hiệu tuần tự
SFD
SYN Flood Detection
Phát hiện tấn công SYN Flood
SMR
Successful Mark Rate
Tỷ lệ đánh dấu thành công
SOM
Self Organinzing Map
Bản đồ tự tổ chức
SOHO
Small Office/Home Office
Văn phòng, cơ quan nhỏ
ix
SONET
Synchronous Optical
NETwork
Mạng quang đồng bộ
SP
Security Proxy
Ủy nhiệm an ninh
SPA
Source-port number Per
Address
Số cổng nguồn trên một địa chỉ nguồn
SPM
SYN Proxy Module
Mô đun ủy nhiệm gói tin SYN
SPN
Source Port Number
Số cổng nguồn được mở
SS
Security Server
Máy chủ bảo mật
SSDP
Simple Service Discovery
Protocol
Giao thức phát hiện dịch vụ đơn giản
SSG
SDN-based SYN Flood
Guard
Chống tấn công SYN Flood dựa vào
công nghệ SDN
SSP
SDN based SYN Proxy
Ủy nhiệm gói tin SYN dựa vào công
nghệ SDN
SSL
Secure Sockets Layer
Tiêu chuẩn bảo mật an toàn lớp ứng
dụng
SVM
Support Vector Machine
Máy vec-tơ hỗ trợ
SYN
SYNchronize
Gói tin yêu cầu kết nối
SYN-ACK
SYNchronize
ACKnowledgement
Gói tin trả lời yêu cầu kết nối
TCB
Transmission Control Block
Khối điều khiển truyền
TCP
Transmission Control
Protocol
Giao thức điều khiển truyền
TOS
Type Of Service
Kiểu dịch vụ
TLS
Transport Layer Security
Bảo mật tầng truyền tải
TTL
Time To Live
Thời gian tồn tại
TRW
Threshold Random Walk
Thăm dò ngưỡng
TRW-CB
TRW-Credit Based
Thăm dò ngưỡng theo độ tin cậy
UDP
User Datagram Protocol
Giao thức truyền gói dữ liệu người
dùng
VLAN
Virtual Local Area Network
Mạng LAN ảo
VPN
Virtual Private Network
Mạng riêng ảo
WMA
Weighted Moving Average
Mô hình trung bình động có trọng số
x
DANH MỤC HÌNH VẼ
Hình 1.1. Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet ................... 2
Hình 1.2. Phân loại các kỹ thuật tấn công DDoS ....................................................................... 3
Hình 1.3. Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN Flood
(b) ............................................................................................................................................... 4
Hình 1.4. Kiến trúc mạng cấu hình bởi phần mềm SDN.......................................................... 11
Hình 1.5. Cấu trúc và phạm vi chuẩn hóa của giao thức Openflow ......................................... 13
Hình 1.6. Cấu trúc của một mục luồng ..................................................................................... 15
Hình 1.7. Quá trình xử lý gói tin tại bộ chuyển mạch theo cơ chế đường ống ........................ 16
Hình 1.8. Yêu cầu xử lý gói tin khi không khớp với một mục luồng có sẵn trên bộ chuyển mạch
.................................................................................................................................................. 17
Hình 1.9. Cấu trúc chung hệ thống giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow ......................................................................................................................... 19
Hình 1.10. Các phương pháp tấn công tới lớp Hạ tầng mạng .................................................. 24
Hình 1.11. Các phương pháp tấn công tới Lớp điều khiển....................................................... 24
Hình 1.12. Các phương pháp tấn công tới Lớp Ứng dụng ....................................................... 24
Hình 1.13. Quá trình xử lý gói tin của một kết nối TCP trong cơ chế CM .............................. 26
Hình 2.1. Kiến trúc hệ thống đề xuất cho giải pháp dựa trên phương pháp thống kê sử dụng
giải thuật dự đoán làm trơn hàm mũ......................................................................................... 30
Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ ...................... 31
Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công ................................................. 35
Hình 2.4. Giá trị chỉ số SPA (a) và DSPA (b) .......................................................................... 39
Hình 2.5. Giá trị chỉ số PpF và DPpF ....................................................................................... 39
Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên Bộ điều khiển SSP ......... 43
Hình 2.7. Nguyên lý hoạt động của hai loại SYN proxy .......................................................... 44
Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói tin SYN trong giải pháp SSP ............. 45
Hình 2.9. Lưu đồ quá trình capture và xử lý các gói tin bắt tay ba bước tại OFS .................... 46
Hình 2.10. Lưu đồ hoạt động của mô đun SPM tại bộ điều khiển ........................................... 48
Hình 2.11. Thống kê CDF khoảng thời gian giữa gói tin SYN và gói tin CliACK của lưu lượng
mạng thực tế ............................................................................................................................. 50
Hình 2.12. Hiệu chỉnh thời gian chờ của các luồng ................................................................. 50
xi
Hình 2.13. Sơ đồ chuyển tiếp chính sách xử lý gói tin SYN tại bộ chuyển mạch ................... 51
Hình 2.14. Mô hình testbed đánh giá hiệu năng giải pháp SSP ............................................... 52
Hình 2.15. Tỷ lệ kết nối thành công từ lưu lượng lành tính khi máy chủ chịu tấn công DDoS
với cường độ tấn công khác nhau ............................................................................................ 53
Hình 2.16. Thời gian kết nối trung bình của lưu lượng lành tính khi máy chủ chịu tấn công với
cường độ tấn công khác nhau ................................................................................................... 53
Hình 2.17. Số kết nối đang mở tại máy chủ với các cường độ tấn công khác nhau ................. 54
Hình 2.18. Giao diện màn hình đo sự chiếm dụng tài nguyên Bộ điều khiển ở tốc độ tấn công
700 pps...................................................................................................................................... 57
Hình 2.19. Tỷ lệ chiếm dụng CPU của bộ điều khiển tại các cường độ tấn công khác nhau... 57
Hình 2.20. Dung lượng bộ nhớ bị chiếm dụng của bộ điều khiển ở cường độ tấn công khác nhau
.................................................................................................................................................. 57
Hình 2.21. Phân bố số lượng gói tin trên 1 luồng từ bộ dữ liệu CAIDA ................................. 61
Hình 2.22. Cấu trúc hệ thống giải pháp đánh dấu gói tin PLA DFM dựa trên kiến trúc
SDN/Openflow ......................................................................................................................... 62
Hình 2.23. Phân bố chiều dài của gói tin thứ nhất từ bộ dữ liệu CAIDA ................................ 63
Hình 2.24. Đánh dấu gói tin PLA DFM ................................................................................... 63
Hình 2.25. Quá trình đánh dấu gói tin PLA DFM tại Bộ điều khiển mạng SDN/Openflow ... 66
Hình 2.26. So sánh tác động của PLA DFM tới tiêu đề gói tin đầu tiên của luồng ................. 67
Hình 2.27. SMR của PLA DFM và DFM khi MT=288 ........................................................... 68
Hình 2.28. MPR của PLA DFM và DFM khi MT=288 ........................................................... 68
Hình 2.29. MSR của PLA DFM và DFM khi MT=288 ........................................................... 69
Hình 3.1. Kiến trúc giải pháp bổ sung bộ phân tích và xử lý lưu lượng dựa trên cơ chế
SDN/Openflow ......................................................................................................................... 74
Hình 3.2. Biểu đồ phân bố IAT của lưu lượng đến .................................................................. 77
Hình 3.3. Phân bố số lượng gói trong từng luồng .................................................................... 78
Hình 3.4. Kiến trúc hệ thống đề xuất cho giải pháp phân loại và giảm thiểu tấn công dựa trên
thuật toán suy luận logic mờ FDDoM ...................................................................................... 80
Hình 3.5. Sơ đồ tuần tự của hệ thống khi máy chủ ở trạng thái "Không bị tấn công" ............. 82
Hình 3.6. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Nghi ngờ bị tấn
công" ......................................................................................................................................... 83
Hình 3.7. Sơ đồ tuần tự của sự kiện “Kết thúc chu kỳ giám sát” khi máy chủ ở trạng thái "Nghi
ngờ bị tấn công" ........................................................................................................................ 83
Hình 3.8. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Đang bị tấn công" .. 84
xii
Hình 3.9. Mờ hoá IAT với hai hàm thành viên Low và High .................................................. 85
Hình 3.10. Mờ hoá PpF với hai hàm thành viên Low và High ................................................ 86
Hình 3.11. Giá trị đầu ra của chỉ thị Z của thuật toán FDDoM và độ nhạy lọc bỏ DR F .......... 88
Hình 3.12. Tỷ lệ lọc bỏ nhầm FPRF ......................................................................................... 88
Hình 3.13. So sánh số mục luồng tồn tại trên bộ chuyển mạch biên OFS ............................... 90
Hình 3.14. Cấu trúc chi tiết và tương tác giữa các module chức năng trong giải pháp SSG ... 93
Hình 3.15. Mô hình thuật toán phát hiện tấn công SYN Flood đề xuất sử dụng trong SSG .... 93
Hình 3.16. Quá trình capture và điều hướng các gói tin của một kết nối TCP lành tính thông
qua các mục luồng trên OFS khi máy chủ nội bộ ở trạng thái “Không bị tấn công” ............... 95
Hình 3.17. Lưu đồ thuật toán quá trình xử lý gói tin SYN đến tại SD ..................................... 96
Hình 3.18. Lưu đồ thuật toán giám sát quá trình bắt tay ba bước tại SD ................................. 97
Hình 3.19. Sơ đồ tuần tự quá trình xác thực địa chỉ IP nguồn của gói tin SYN bằng RST cookie
.................................................................................................................................................. 98
Hình 3.20. Cấu trúc testbed thử nghiệm và đánh giá giải pháp SSG ....................................... 98
Hình 3.21. So sánh tỷ lệ kết nối thành công và thời gian kết nối trung bình giữa Openflow, cơ
chế CM và giải pháp SSG......................................................................................................... 99
Hình 3.22. Sự chiếm dụng tài nguyên bộ nhớ và tài nguyên CPU trên OFS và SD của các giải
pháp thử nghiệm ..................................................................................................................... 101
Hình 3.23. Sự tương tác giữa các thực thể của SSG trong quá trình xử lý gói tin bắt tay ba bước
của một kết nối lành tính ........................................................................................................ 102
Hình 3.24. Sự tương tác giữa các thực thể trong quá trình xử lý gói tin SYN giả mạo địa chỉ IP
của cơ chế CM và giải pháp SSG ........................................................................................... 103
Hình 3.25. Mức độ gia tăng lưu lượng trên giao diện bộ chuyển mạch của giải pháp SSG so với
cơ chế CM .............................................................................................................................. 103
xiii
DANH MỤC CÁC BẢNG BIỂU
Bảng 1.1. Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng.......... 8
Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng
SDN/Openflow theo chính sách và quy tắc xử lý gói tin ......................................................... 25
Bảng 2.1. Các tham số thống kê sử dụng để phát hiện và phân loại lưu lượng tấn công
DDoS ........................................................................................................................................ 32
Bảng 2.2. Thuật toán phát hiện tấn công .................................................................................. 35
Bảng 2.3. Thuật toán phân loại lưu lượng tấn công ................................................................. 36
Bảng 2.4. Thuật toán Lọc bỏ lưu lượng tấn công ..................................................................... 37
Bảng 2.5. Độ nhạy và tỷ lệ báo động nhầm trong phân loại lưu lượng và giảm thiểu tấn
công .......................................................................................................................................... 40
Bảng 2.6. Ví dụ về cấu trúc và sắp xếp các mục luồng trong bảng luồng của SSP ................. 47
Bảng 2.7. Cấu trúc bảng giám sát luồng FMT.......................................................................... 48
Bảng 2.8. Tham số và kết quả phân tích lưu lượng lành tính từ bộ dữ liệu CAIDA 2013 ....... 56
Bảng 2.9. Các trường và số lượng gói tin yêu cầu trong mỗi luồng để đánh dấu trong DFM . 60
Bảng 2.10. Một số giá trị MTU của các loại đường truyền phổ biến và giá trị MT tương ứng64
Bảng 2.11. Kỹ thuật PLA DFM với tuỳ biến giá trị Checksum ............................................... 65
Bảng 2.12. So sánh giữa các PLA DFM khác nhau với các giá trị K và MT........................... 69
Bảng 2.13. Tỷ lệ gia tăng lưu lượng trong PLA DFM ............................................................. 69
Bảng 3.1. Số lượng luồng, số lượng địa chỉ IP nguồn và tổng lưu lượng gửi tới máy chủ của hai
bộ dữ liệu CAIDA và Netnam .................................................................................................. 78
Bảng 3.2. Thuật toán xác định trạng thái của máy chủ ............................................................ 80
Bảng 3.3. Các loại các mục luồng dùng để điều hướng lưu chuyển gói tin trong hệ thống ..... 81
Bảng 3.4. So sánh hiệu năng giải pháp FDDoM với giải pháp và mô hình mạng tương đồng 89
Bảng 3.5. Tổ chức các bảng luồng trên bộ chuyển mạch OFS của SSG .................................. 94
Bảng 3.6. Đặc tính các mục luồng trong các bảng luồng FT1 và FT3 thực hiện giám sát quá
trình bắt tay ba bước ................................................................................................................. 94
Bảng 3.7. Cấu trúc một mục tin trong danh sách HOCs .......................................................... 97
Bảng 3.8. Đặc tính thống kê của bộ lưu lượng lành tính phân tích từ bộ lưu lượng CAIDA 103
xiv
MỞ ĐẦU
1. Tấn công từ chối dịch vụ phân tán và công nghệ SDN
1.1. Tấn công từ chối dịch vụ phân tán
- Trong những năm gần đây, sự phát triển mạnh mẽ của công nghệ thông tin và truyền
thông đã cho ra đời hàng loạt các dịch vụ mạng phục vụ hầu khắp các lĩnh vực hoạt động xã
hội của con người. Các giao dịch, xử lý và trao đổi thông tin, lưu trữ dữ liệu dần chuyển sang
thực hiện trực tuyến trên mạng Internet. Bên cạnh đó, sự phát triển mạnh mẽ của công nghệ kết
nối vạn vật (IoTs) làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng.
Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu.
Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị (Autonomous System) thiếu sự
kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an ninh mạng
trong đó có hình thức tấn công từ chối dịch vụ (DoS) [1], tấn công từ chối dịch vụ phân tán
(sau đây gọi tắt là tấn công DDoS) [2]–[4]. Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS
có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ
trên Internet. Với kỹ thuật tấn công đơn giản, công cụ dễ tìm, khả năng phát tán mã độc để huy
động nguồn lực tấn công dễ dàng, khó phát hiện và ngăn chặn, tấn công DDoS ngày càng trở
nên nguy hiểm, được lợi dụng và phát động tấn công với quy mô ngày càng cao. Các báo cáo
của các công ty an ninh mạng cho thấy, diễn biến và quy mô các đợt tấn công ngày càng phức
tạp [5]–[7]. Theo báo cáo của Abor [8], ngày 27/2/2018 trang web lưu trữ mã nguồn GitHub
ghi nhận một đợt tấn công DDoS với tốc độ lên tới 1,35 Tbps. Qua đó cho thấy, tấn công DDoS
vẫn sẽ là nguy cơ an ninh lớn đối với tổ chức và đảm bảo chất lượng dịch vụ Internet trong
tương lai.
- Sự dịch chuyển và gia tăng nhu cầu làm việc, kinh doanh độc lập và giải trí cá nhân, cùng
với sự hỗ trợ mạnh mẽ của các công nghệ truyền dẫn tiên tiến, sự phát triển các dịch vụ nhà
thông minh, IoTs,… mạng quy mô nhỏ (SOHO network) ngày càng phát triển và đang là xu
thế, chiếm tỷ lệ ngày càng tăng trong kết cấu internet [9]–[11]. An ninh mạng nói chung và tấn
công DDoS nói riêng là một trong những vấn đề lớn đối với các mạng quy mô nhỏ này do tính
đa dạng, thiếu kiểm soát của các thiết bị, dịch vụ mạng, và sự chú trọng, quan tâm, tính chuyên
nghiệp trong thiết kế, quản lý và vận hành mạng [12]–[14].
- Dựa trên công nghệ mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân
loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai [15]–[18]. Cơ chế
chung của các giải pháp này là sử dụng các bộ đo, điểm dò (probe), các bộ lấy mẫu và phân
tích lưu lượng trên hệ thống mạng để cung cấp thông tin thuộc tính của lưu lượng mạng trên
toàn hệ thống. Thông tin lưu lượng được chuyển đến và xử lý phân tích nhờ các thuật toán phát
hiện bất thường hoặc dựa trên dấu hiệu tấn công để xác định có tấn công xảy ra hay không. Khi
có tấn công hệ thống sử dụng các thiết bị an ninh chuyên dụng như tường lửa, IPS để ngăn
chặn, xóa bỏ lưu lượng tấn công. Một trong những vấn đề tồn tại lớn nhất của công nghệ mạng
xv
truyền thống đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn
riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng
chống DDoS là rất khó khăn. Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng
tay, xóa bỏ, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu
lượng lành tính.
- Tấn công DDoS với kỹ thuật huy động nguồn tấn công rất lớn bằng các xác sống (zombies)
và kỹ thuật giả mạo địa chỉ IP nguồn nên có thể tạo ra lưu lượng tấn công tăng đột biến trong
khoảng thời gian ngắn, vượt quá khả năng chịu đựng của dịch vụ, máy chủ và hệ thống mạng
đích. Do cơ chế điều khiển cứng, đóng kín, các thiết bị mạng trong công nghệ mạng truyền
thống không thể tham gia ngăn chặn lưu lượng tấn công DDoS một cách tự động, làm cho các
giải pháp phòng chống trong mạng có hiệu quả thấp, không có khả năng phân loại và xóa bỏ
chính xác theo sự biến động của lưu lượng mạng. Các giải pháp phòng chống mới chỉ tập trung
phát hiện tấn công, do cơ chế đóng của các thiết bị mạng truyền thống nên chưa có nhiều giải
pháp giảm thiểu tấn công trực tuyến.
- Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng. Chính vì vậy với
mỗi cấu trúc, quy mô, đặc điểm dịch vụ và phương pháp tổ chức dịch vụ mạng khác nhau thì
đặc điểm phản ứng lại với lưu lượng tấn công, khả năng chịu đựng tấn công của các hệ thống
mạng là khác nhau. Không có một giải pháp phòng chống tấn công, tham số hệ thống nào áp
dụng chung cho tất cả các loại mạng, các quy mô mạng, các dịch vụ mạng khác nhau. Với mỗi
hệ thống mạng cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp khác nhau, thiết lập
tham số phù hợp với những đặc điểm riêng để có hiệu quả phòng chống tối ưu.
1.2. Công nghệ SDN và kỹ thuật SDN/Openflow
- Với nhu cầu phát triển mạnh mẽ các dịch vụ mạng Internet, công nghệ điện toán đám
mây, tính di động, và nhu cầu thay đổi linh động, mềm dẻo tài nguyên trên hệ thống mạng, công
nghệ mạng điều khiển bởi phần mềm (gọi tắt là công nghệ SDN) ra đời trên cơ sở tách rời mặt
phẳng điều khiển ra khỏi mặt phẳng dữ liệu, cho phép quản trị, điều khiển, thiết lập các chính
sách mạng một cách tập trung trong khi trừu tượng hóa các tài nguyên mạng [19]. Trong đó
Openflow [20] là một trong những giao thức SDN đầu tiên được tập trung nghiên cứu, phát
triển. Kỹ thuật mạng SDN dựa trên giao thức Openflow (gọi tắt là kỹ thuật SDN/Openflow) đã
nhanh chóng thu hút nghiên cứu và bước đầu được ứng dụng trong các sản phẩm phần cứng,
phần mềm thương mại và mã nguồn mở.
- Điểm khác biệt quan trọng của kỹ thuật SDN/Openflow so với kỹ thuật mạng truyền
thống ở chỗ: (1) các thiết bị mạng quản lý và xử lý lưu lượng theo luồng (flow), (2) khả năng
cung cấp dữ liệu thống kê về lưu lượng nhờ các bộ đếm thống kê luồng có trong các bộ chuyển
mạch, và (3) khả năng điều khiển xử lý lưu lượng bằng phần mềm được lập trình, tùy biến bởi
bộ điều khiển điều hành mạng. Sự khác biệt này cho phép xây dựng các giải pháp quản trị, điều
hành mạng quy định và cấu hình chức năng của các thiết bị mạng vật lý, xử lý lưu lượng, v.v…
bằng phần mềm. Bên cạnh các giải pháp đề xuất về ứng dụng quản trị, tổ chức dịch vụ, nâng
xvi
cao hiệu năng hệ thống mạng, SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong
nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS [21]–[26].
2. Những vấn đề còn tồn tại
1. Công nghệ SDN và kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ
mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống. Khác với kỹ thuật mạng truyền
thống, kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về lưu lượng và có thể
lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy
trình phát hiện và giảm thiểu tấn công DDoS. Đã có một số công trình nghiên cứu, đề xuất các
giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói
tin của kỹ thuật SDN/Openflow. Tuy nhiên, trong các giải pháp đề xuất:
+ Một số giải pháp mới chỉ đưa ra thuật toán phát hiện tấn công, chưa có cơ chế phân loại
và giảm thiểu lưu lượng tấn công [22].
+ Hầu hết mới dừng lại ở ý tưởng giải pháp, thử nghiệm với quy mô thử chức năng, chưa
triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật (như) [22], [27]–[29].
+ Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản
chất SDN [28], [29], hoặc cơ chế xử lý gói tin trong SDN/Openflow chưa được ứng dụng [21],
[25], [26] làm chậm thời gian đáp ứng và hiệu năng hệ thống.
Vậy khi kỹ thuật SDN/Openflow được áp dụng rộng rãi trong hệ thống mạng, làm thế nào
để khắc phục các vấn đề trên, nâng cao hiệu năng của các giải pháp phòng chống tấn công
DDoS sử dụng trực tiếp dữ liệu thống kê về lưu lượng và cơ chế xử lý gói tin của kỹ thuật
SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ như các mạng gia đình đang thiếu
cơ chế đảm bảo an toàn như hiện nay mà không cần bổ sung các thiết bị an ninh chuyên dụng?
2. Các trường thông tin thống kê được quy định trong giao thức Openflow là hạn chế nên
dữ liệu thống kê về lưu lượng theo kỹ thuật SDN/Openflow cũng sẽ bị giới hạn [20]. Bên cạnh
đó, theo triết lý SDN, giao diện Openflow vốn được sử dụng cho trao đổi thông tin điều khiển,
có mã hóa. Các giải pháp phòng chống tấn công DDoS thực hiện truy vấn dữ liệu thống kê từ
lớp điều khiển tới lớp hạ tầng mạng thông qua giao thức Openflow làm cho lưu lượng trên giao
diện này tăng lên, nhất là khi tấn công DDoS xảy ra [30]. Điều này làm cho các giải pháp phòng
chống tấn công DDoS sử dụng thuần túy dữ liệu thống kê và cơ chế xử lý gói tin của
SDN/Openflow chỉ có thể áp dụng trong mạng quy mô lưu lượng nhỏ như mạng gia đình. Khắc
phục vấn đề này, một số giải pháp phòng chống tấn công cho mạng doanh nghiệp có quy mô
băng thông cao hơn đề xuất sử dụng các bộ phân tích lưu lượng truyền thống như Snort [25],
sFlow [21], [26] thay vì sử dụng dữ liệu thống kê của SDN/Openflow. Nhược điểm cơ bản của
các giải pháp này bao gồm:
+ Các bộ phân tích lưu lượng chỉ thuần túy cung cấp thông tin đặc tính lưu lượng. Bộ phân
tích lưu lượng hoạt động độc lập, không có sự điều khiển theo trạng thái của hệ thống mạng,
chưa tận dụng được cơ chế điều khiển và xử lý gói tin trong SDN.
xvii
+ Việc xóa bỏ lưu lượng, giảm thiểu tấn công vẫn được thực hiện qua giao thức Openflow
làm chậm thời gian đáp ứng của hệ thống, sử dụng nhiều tài nguyên (các mục luồng) trên các
bộ chuyển mạch.
Trong bối cảnh như vậy, bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để điều khiển
hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích lưu
lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp?
3. Mục tiêu, đối tượng và phạm vi nghiên cứu
a). Mục tiêu nghiên cứu:
Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau.
b). Nội dung nghiên cứu:
Để giải quyết các vấn đề tồn tại, với mục tiêu nghiên cứu như trên, nội dung nghiên cứu
của Luận án bao gồm:
•
Nghiên cứu sự khác biệt đặc tính lưu lượng tấn công DDoS so với lưu lượng lành
tính để lựa chọn các tham số, đề xuất thuật toán phù hợp với bối cảnh
SDN/Openflow nhằm nâng cao hiệu năng phát hiện và phân loại tấn công DDoS.
•
Dựa trên cơ chế xử lý gói tin của kỹ thuật SDN/Openflow, đề xuất cơ chế trao đổi
dữ liệu, tương tác giữa các thực thể trong mạng SDN/Openflow để áp dụng mô
hình, thuật toán, phát triển thành giải pháp phòng chống tấn công DDoS trong hai
bối cảnh: (1) thuần túy sử dụng dữ liệu thống kê của SDN/Openflow và (2) sử dụng
dữ liệu thống kê SDN/Openfow kết hợp với bộ phân tích và xử lý lưu lượng.
•
Nghiên cứu những nguy cơ tấn công DDoS tới chính các thành phần của mạng
SDN/Openflow và đề xuất giải pháp phát hiện, giảm thiểu tấn công.
c). Đối tượng nghiên cứu:
•
Công nghệ SDN, kỹ thuật SDN/Openflow.
•
Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền
thống và mạng SDN/Openflow.
•
Các giải pháp phòng chống DDoS dựa trên kỹ thuật mạng truyền thống và kỹ thuật
SDN/Openflow đã được đề xuất.
•
Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS.
c). Phương pháp và phạm vi nghiên cứu:
- Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; phân tích thống kê;
xây dựng mô hình, giải pháp; lựa chọn và phát triển thuật toán; phân tích dữ liệu mô phỏng
hoặc xây dựng hệ thống thử nghiệm, đo lường, đánh giá và so sánh.
- Phạm vi nghiên cứu tập trung vào:
•
Đề xuất các giải pháp phòng chống DDoS bảo vệ các máy chủ trong hệ thống mạng
quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO),
•
Áp dụng thuần túy kỹ thuật SDN/Openflow.
xviii
4. Cấu trúc nội dung của luận án
Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau:
Chương 1. Tấn công DDoS và các giải pháp phòng chống trong mạng
SDN/Openflow: trình bày tổng quan về tấn công DDoS, phân loại tấn công, các kỹ thuật tấn
công và các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các yêu cầu,
thách thức trong phòng chống tấn công và các tham số đánh giá hiệu năng của một giải pháp
phòng chống DDoS; vấn đề an ninh mạng, tấn công DDoS trong mạng SOHO. Nội dung của
chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao
thức Openflow; các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật
SDN/Openflow; tấn công DDoS tới mạng SDN/Openflow và các giải pháp phòng chống đã
được đề xuất.
Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê
và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow: Nội dung Chương 2 đề xuất các giải
pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần
túy dữ liệu thống kê về đặc tính lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow.
Có thể triển khai các giải pháp này chỉ cần tạo các ứng dụng quản trị mạng tại lớp ứng dụng
của SDN mà không cần bổ sung thêm thiết bị chuyên dụng. Các giải pháp cụ thể bao gồm:
- Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn
hàm mũ các tham số thống kê về đặc tính lưu lượng,
- Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood tới các máy chủ trong hệ thống
mạng dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển,
- Kỹ thuật đánh dấu gói tin dựa trên kỹ thuật SDN/Openflow phục vụ truy vết nguồn phát
sinh lưu lượng tấn công.
Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Mặc dù SDN/Openflow có
nhiều lợi thế cho xây dựng và triển khai các giải pháp phòng chống DDoS, kiến trúc này cũng
chưa có khả năng cung cấp đầy đủ thông tin về đặc tính lưu lượng cho phát hiện, phân loại và
giảm thiểu tấn công. Bên cạnh đó, việc truy vấn dữ liệu thống kê qua giao diện Openflow làm
cho lưu lượng trên giao diện điều khiển này tăng lên, dễ trở nên tắc nghẽn và làm mất, suy giảm
chức năng điều khiển, nhất là khi tấn công xảy ra. Điều này giới hạn quy mô băng thông của hệ
thống mạng. Để khắc phục vấn đề này, nội dung Chương 3 đề xuất kiến trúc SDN mở rộng
trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với
các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Trên cơ sở ứng dụng kiến trúc SDN
mở rộng, đề xuất 02 giải pháp phòng chống DDoS bao gồm:
- Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ,
- Kỹ thuật giảm thiểu tấn công SYN Flood vào bộ chuyển mạch và bộ điều khiển trong
mạng SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng.
- Xem thêm -