« Home « Kết quả tìm kiếm

Kỹ thuật an ninh mạng dùng Openflow/SDN

Tóm tắt Xem thử

- Tôi xin chịu trách nhiệm về nghiên cứu của mình Học viên Nguyễn Minh Đức Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 2 MỤC LỤC LỜI CAM ĐOAN.
- 25 CHƢƠNG 2: THIẾT KẾ HỆ THỐNG VÀ CÀI ĐẶT CÔNG CỤ.
- 26 2.1 Sơ đồ hệ thống của một ISP.
- 26 2.1.2 Yêu cầu thiết kế hệ thống.
- 27 2.1.3 Sơ đồ hệ thống của một đơn vị ISP.
- 28 2.2 Sơ đồ khối hệ thống thử nghiệm.
- 35 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 3 2.4.2 Cài đặt và sử dụng.
- 35 2.5 Cấu hình hệ thống thử nghiệm.
- 41 CHƢƠNG 3: CÁC MODULE QUAN TRỌNG VÀ CÁC KỊCH BẢN MÔ PHỎNG ĐỂ THỬ NGHIỆM HỆ THỐNG.
- 48 3.4 Xây dựng Testbed, kịch bản và chạy kiểm thử hệ thống.
- 51 3.4.3 Chạy thử nghiệm hệ thống.
- 56 CHƢƠNG 4: THỜI GIAN XỬ LÝ CỦA HỆ THỐNG VÀ ĐÁNH GIÁ KẾT QUẢ.
- 57 4.2 Nhận xét, đánh giá và đƣa ra các hƣớng nâng cao chất lƣợng hệ thống.
- 63 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 4 TÀI LIỆU THAM KHẢO.
- 64 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 5 DANH SÁCH HÌNH VẼ, ĐỒ THỊ Hình 1.1: Mô hình switch truyền thống.
- 27 Hình 2.3: Sơ đồ hệ thống hiện tại của một đơn vị ISP.
- 28 Hình 2.4: Sơ đồ đề xuất hệ thống với khối OpenFlow/SDN.
- 31 Hình 2.7: Sơ đồ khối hệ thống thử nghiệm.
- 48 Hình 3.9: Mô hình thử nghiệm phân tích dữ liệu chạy qua hệ thống.
- 50 Hình 3.11: Dữ liệu bình thường qua hệ thống.
- 53 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 6 Hình 3.14: Giao diện người quản trị.
- 54 Hình 3.15: Hệ thống đang hoạt động bình thường.
- 55 Hình 3.17: Giao diện cảnh báo hệ thống khi có tấn công.
- 58 Đồ thị 4.3: Tổng số luồng tồn tại trong hệ thống ở hai trường hợp.
- 59 Đồ thị 4.5: Đồ thị thể hiện số Flow theo thời gian khi hệ thống bình thường.
- 60 Đồ thị 4.6: Đồ thị mô tả hệ thống khi có dấu hiệu tấn công.
- 61 Đồ thị 4.7: Log hệ thống khi có cảnh báo.
- 61 Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 7 DANH SÁCH BẢNG BIỂU Bảng 1.1: Cấu trúc Flow-Entry.
- Các kiến trúc mạng và các thiết bị mạng cũ đã phần nào để lộ những nhược điểm như tính cứng nhắc, giá thành cao, thiếu khả năng tích hợp nhiều chức năng, cũng như nhu cầu yêu cầu hệ thống mạng phải đáp ứng việc thay đổi nhanh chóng các thông số về trễ, băng thông, định tuyến, QoS và đặc biệt là vấn đề bảo mật.
- Việc phân tích và phát hiện các sự cố tấn công là vấn đề quan trọng cũng như then chốt của mỗi ISP nhằm đảm bảo toàn bộ hệ thống được Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 10 vận hảnh an toàn và ổn định nhất cũng như giảm thiểu rủi ro cho khách hàng để từ đó có những phương án phòng tránh hiệu quả nhất Trong quá trình thực hiện, do hạn chế về mặt thời gian cũng như kiến thức, nên đề tài không thể tránh khỏi những thiếu sót.
- Nghiên cứu về công nghệ OpenFlow/SDN, các vấn đề về kỹ thuật và ứng dụng trong hệ thống mạng  Ứng dụng kỹ thuật OpenFlow/SDN vào việc bảo mật trong mô hình mạng ISP, cụ thể là phân tích dữ liệu tấn công và đưa ra cảnh báo phát hiện cho quản trị hệ thống Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 11 Luận văn đƣợc chia thành 5 chƣơng.
- Chƣơng 1: Tổng quan về công nghệ OpenFlow/SDN Chương này tập trung giới thiệu về công nghệ mạng lập trình được(SDN), giao thức OpenFlow và phần cứng chuyển mạch OpenFlow dùng NetFPGA  Chƣơng 2: Thiết kế hệ thống và cài đặt công cụ Chương này sẽ đưa ra sơ đồ hệ thống, mô hình của Internet Service Provider(ISP), sơ đồ thử nghiệm, các thiết bị sử dụng, cách cấu hình hệ thống nhằm thực hiện chức năng phân tích dữ liệu tấn công, chức năng phát hiện các luồng tấn cộng dựa trên sự tăng cao bất thường của số lượng phiên kết nối trong mạng  Chƣơng 3: Các Module quan trọng và các kịch bản mô phỏng để thử nghiệm hệ thống Trong chương này chúng ta sẽ tìm hiểu về một số bản tin trao đổi giữa bộ điều khiển Controller và OpenFlow Switch, các khối chức năng và xây dựng Testbed cũng như kết quả chạy thử nghiệm trong việc phân tích dữ liệu tấn công và phát hiện ra dấu hiệu tấn công xảy ra trong mạng  Chƣơng 4: Thời gian xử lý hệ thống và đánh giá kết quả Chương này đưa ra các kết quả mô phỏng thực nghiệm và đánh giá tính đúng đắn của đề tài  Chƣơng 5: Kết luận và hƣớng mở rộng của đề tài Đưa ra kết quả thu được qua thời gian tìm hiểu đề tài cũng như hướng phát triển của đề tài trong tương lai Hà Nội, tháng năm 2015 Học viên Nguyễn Minh Đức Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 12 CHƢƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ OPENFLOW/SDN Chương này sẽ cung cấp các kiến thức cơ bản về công nghệ mạng lập trình được (SDN), giao thức Openflow và phần cứng của chuyển mạch Openflow dùng NetFPGA.
- Việc này dễ dàng cho việc nghiên Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 13 cứu cũng như triển khai các công nghệ mới vào trong mạng mà không cần thay đổi về phần cứng.
- Openflow [2][3] là phương tiện cho phép các nhà nghiên cứu chạy các giao thức thử nghiệm trên hệ thống mạng mà ta sử dụng hàng ngày.
- Mạng có khả năng lập trình cần có các phần tử switch/router có khả năng lập trình để xử lý các packet cho Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 14 nhiều thử nghiệm trên mạng đồng thời không ảnh hưởng lẫn nhau.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 20 - Vendor: cung cấp các tiêu chuẩn cho switch để đáp ứng các chức năng bổ sung trong các thông điệp Openflow.
- OpenvSwitch cung cấp cho người nhiều tính năng khác nhau để có thể quản lý tốt tài nguyên hệ thống mạng ảo hóa: hỗ trợ QoS, Firewall, chuẩn 802.Q … và đặc biệt là hỗ trợ giao thức Openflow.
- Hình 1.5: Kiến trúc của một OpenFlow Switch Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 21  Bộ điều khiển mạng (Controller).
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 22 - Flow_mod_event: khi một dòng lưu lượng được thêm vào hoặc sửa đổi bởi Controller.
- Hiện nay, với sự giúp đỡ của các sinh viên tại phòng Lab, em đã thực nghiệm xây dựng hệ thống mô phỏng một khối chức năng thực hiện trong mô hình ISP Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 23 Hình 1.6: Nền tảng NetFPGA  Phần cứng: Cấu trúc phần cứng của NetFPGA bao gồm.
- Giao thức Openflow chỉ ra định dạng của gói tin giữa chuyển mạch Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 24 Openflow và bộ điều khiển.
- Và thông tin từ bộ điều khiển tới bộ chuyển mạch như yêu cầu thêm bớt các flow-entry được trao đổi giữa các process của không gian người dùng và kernel module thông qua các lời gọi hệ thống IOCTL.
- Các nhà phát triển có thể mở rộng hệ thống tham khảo bằng cách thêm một NetFPGA Openflow Kernel Module.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 25 Trên Openflow Switch, các gói tin đi vào từ một cổng mạng bất qua IC Ethernet, sau khi được xử lý định tuyến sẽ được đẩy trở ra một cổng mạng khác.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 26 CHƢƠNG 2: THIẾT KẾ HỆ THỐNG VÀ CÀI ĐẶT CÔNG CỤ Chương này sẽ đưa ra sơ đồ hệ thống đề xuất cho một Internet Service Provider (ISP), sơ đồ thử nghiệm, các thiết bị sử dụng, cách cấu hình để xây dựng hệ thống thử nghiệm nhằm thực hiện các chức năng phân tích và định nghĩa luồng dữ liệu tấn công và căn cứ vào đó để đưa ra cảnh báo phát hiện dựa trên kỹ thuật điều khiển bằng phần mềm OpenFlow/SDN 2.1 Sơ đồ hệ thống của một ISP 2.1.1 Các vấn đề thường gặp về bảo mật trong ISP - Đối với một nhà cung cấp dịch vụ mạng Internet thì hằng ngày lưu lượng đến và đi ISP là rất lớn.
- Việc phân biệt lưu lượng nào là bình thường, sử dụng thật, dấu hiệu nào là lưu lượng tấn công là rất khó khăn và gây nhiều trở ngại nhất đối với người quản trị hệ thống.
- Hình 2.1: Kiểu tấn công tràn băng thông Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 27 Hình 2.2: Kiểu tấn công khả năng xử lý thiết bị 2.1.2 Yêu cầu thiết kế hệ thống - Thiết kế khối chức năng phù hợp với mô hình của ISP.
- Đảm bảo tính linh hoạt của hệ thống.
- Phân tích dữ liệu và đưa ra cảnh báo cho người quản trị dấu hiệu bị tấn công trong mạng Sau đây ta sẽ đưa ra mô hình mạng thực tế của một đơn vị ISP, mô hình đề xuất áp dụng kỹ thuật OpenFlow/SDN và mô hình thực nghiệm tại phòng lab Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 28 2.1.3 Sơ đồ hệ thống của một đơn vị ISP Hình 2.3: Sơ đồ hệ thống hiện tại của một đơn vị ISP Trong sơ đồ trên về cơ bản bất kỳ một đơn vị ISP nào đều chia thành 3 khối chính  Khối Ring Access: Làm nhiệm vụ kết nối các khách hàng tới ISP  Khối Core NOC: Nhiệm vụ trung tâm trong hệ thống mạng, quản lý băng thông, kết nối và định tuyến trong mạng  Khối kết nối Upstream: Kết nối giữa ISP với các ISP khác để đi Internet Thường trong mô hình mạng ISP hay có phần tự thiết bị Bridge làm nhiệm vụ kiểm soát dữ liệu đi qua từ khối Ring Access lến NOC.
- Đây là điểm mà người quản trị có thể bắt gói tin kiểm soát dữ liệu đi qua hệ thống mạng Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 29 Nhận thấy đây là điểm có thể áp dụng kỹ thuật OpenFlow/SDN vào hệ thống với mô hình đề xuất như bên dưới: Hình 2.4: Sơ đồ đề xuất hệ thống với khối OpenFlow/SDN Trong mô hình này ta sẽ đưa khối OpenFlow/SDN vào giữa khối Ring Access và khối Core NOC sẽ làm nhiệm vụ phân tích dữ liệu đi qua và đưa ra cảnh báo cho người quản trị về các dấu hiệu khi trong mạng có xảy ra tấn công.
- Để có thể xây dựng một hệ thống giống với mô hình của ISP thì khá khó khăn về mặt thiết bị.
- Do vậy em sẽ xây dựng một kịch bản Lab dựa trên các thiết bị sẵn có để có thể mô phỏng chức năng của khối OpenFlow/SDN Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 30 Tiếp theo sẽ là sơ đồ đấu nối cụ thể trong từng phòng Lab và phòng máy chủ.
- Điều này Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 31 phù hợp với số lượng người dùng của mỗi phòng Lab dao động khoảng 20 người dùng thường xuyên như đã đề cập trong các phần trước đó.
- 2.2 Sơ đồ khối hệ thống thử nghiệm Với sơ đồ thiết kế hệ thống đề xuất như trên, việc kiểm thử hệ thống cho cả khu 618 cần rất nhiều các thiết bị thật như Openflow Switch, Client, Server và Router cho Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 32 nên nhóm chúng em đã đưa ra một sơ đồ khối hệ thống thử nghiệm về mặt chức năng giám sát lưu lượng mạng, gửi lệnh điều khiển, của mạng SDN như hình bên dưới.
- Hình 2.7: Sơ đồ khối hệ thống thử nghiệm - Sơ đồ trên được xây dựng dựa trên một hệ thống mạng LAN đơn giản bao gồm.
- Sau khi việc tính toán băng thông đã thực hiện xong tại khối này thì đầu ra của khối này sẽ là đầu vào của khối Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 33 Flow Modification.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 34 Cách xây dựng và chức năng cụ thể của từng khối chức năng sẽ được đề cập đến ở phần sau của đồ án.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 35 - POX đơn thuần chỉ là một platform, việc điều khiển mạng được thực hiện bởi các phần tử chức năng trong POX gọi là POX component, mỗi component thực thi một chức năng riêng biệt như định tuyến, chuyển mạch, xác thực.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 36 Cài đặt NetFPGA: Các câu lệnh để tiến hành cài đặt NetFPGA gồm có.
- 2.5 Cấu hình hệ thống thử nghiệm Hệ thống có ba dải mạng, dải 10.0.10.0 dành cho kết nối giữa OpenvSwitch và POX trên cổng eth0 của OpenvSwitch.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 41 Hình 2.8: Flow-table trong OpenvSwitch 2.6 Kết luận Qua các mục của chương 3 này chúng ta đã hiểu về sơ đồ hệ thống của một đơn vị ISP trên thực tế, mô hình khi áp dụng kiến trúc SDN vào ISP thì triển khai như thế nào và mô hình mô phỏng tại phòng Lab để thực hiện các chức năng như mục tiêu của đồ án đặt ra Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 42 CHƢƠNG 3: CÁC MODULE QUAN TRỌNG VÀ CÁC KỊCH BẢN MÔ PHỎNG ĐỂ THỬ NGHIỆM HỆ THỐNG Trong chương này chúng ta sẽ tìm hiểu về một số bản tin trao đổi [8] giữa Controller và Openflow Switch, các khối chức năng và xây dựng Testbed cho các kịch bản phân tích dữ liệu tấn công, phát hiện dạng tấn công vào khả năng xử lý của thiết bị và kết quả của các kịch bản này.
- Cấu trúc bản tin StatisticResponse – Flow Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 46 Cấu trúc bản tin StatsRes-Flow chia sẻ cấu trúc tương tự với StatsReq-Flow trừ phần body.
- 3.2 GetStats Module Hình 3.7: Lƣu đồ thuật toán của khôi chức năng GetStats Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 48 Khối chức năng GetStats có nhiệm vụ nhận bản tin StatisticResponse từ OpenvSwitch gửi lên Controller và cập nhật lại danh sách các luồng được lưu trong List1 như trên hình vẽ.
- Cuối cùng, danh sách List1 sẽ là đầu vào của các khối chức năng tiếp theo [10] 3.3 Flow Modification Module Hình 3.8: Lƣu đồ thuật toán của khối chức năng Flow Modification Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 49 Khối chức năng Flow Modification có nhiệm vụ gửi các bản tin FlowMod từ Controller xuống OpenvSwitch để thực hiện thông tin điều khiển.
- 3.4 Xây dựng Testbed, kịch bản và chạy kiểm thử hệ thống 3.4.1 Xây dựng Testbed Hình 3.9: Mô hình thử nghiệm phân tích dữ liệu chạy qua hệ thống Hình vẽ mô tả 2 luồng dữ liệu chạy qua hệ thống.
- Một là luống tấn công từ ngoài Internet tới Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 50 khách hàng.
- Tất cả sẽ đi qua hệ thống của nhà cung cấp dịch vụ và cụ thể sẽ đi qua khối phân tích dữ liệu đề xuất.
- Tại đây hệ thống sẽ phân tích dữ liệu và đưa ra cảnh báo và các thông tin cần thiết cho người quản trị Hình 3.10: Testbed mô phỏng tấn công Trong phần dựng mô phỏng em tiến hành giả lập mô phỏng đối tượng tấn công và người sử dụng trên các thiết bị laptop.
- OpenvSwitch được chạy trên FPGA với bộ POX được cài đặt trên server Bảng 3.2: Tên, địa chỉ IP của các thiết bị Controller (POX) OpenvSwitch Attacker 10.0.2.10 Victim Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 51 3.4.2 Kịch bản mô phỏng Kịch bản 1: Việc tạo ra dữ liệu tấn công và dữ liệu bình thường tại phòng Lab để sát với thực tế là khó khăn do không có hệ thống và tính ngẫu nhiên của dữ liệu.
- Do vậy với kịch bản này em đã xin dữ liệu thực tế của ISP đang hoạt động làm đầu vào cho hệ thống tính toán bao gồm dữ liệu khi hệ thống bị tấn công và dữ liệu khi đang hoạt động bình thường Hình 3.11: Dữ liệu bình thƣờng qua hệ thống Hình 3.12: Dữ liệu nghi ngờ tấn công IP Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 52 Chú ý rằng đây là dữ liệu thực tế xin từ nhà mạng NetNam và được thu thập trên các thiết bị Bridge do đó thời gian lấy log dữ liệu để quan sát không thể nhiều như tấn công giả lập do khi thực hiện thao tác này sẽ tốn nhiều hiệu năng của thiết bị.
- Cụ thể đối với hai log dữ liệu trên được quan sát trong thời gian khoảng 60s Kịch bản 2: Mô phỏng hệ thống khi có lưu lượng gói tin bình thường đi qua và khi có lưu lượng tăng đột biến.
- Đây là kiểu tấn công không làm tăng băng thông của đầu vào của thiết bị nhưng làm cho quá tải khả năng xử lý của đối tượng bị tấn công và các thiết bị trong hệ thống Các thông số đầu vào ban đầu cho hệ thống.
- Việc thay đổi thông số và thu thập các thông tin hệ thống sẽ thực hiện trên khối này Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 54 3.4.3 Chạy thử nghiệm hệ thống Hình 3.14: Giao diện ngƣời quản trị Giải thích các thông số đầu vào: Flow Threshold : Mức ngưỡng số luồng gói tin IPServer : Địa chỉ IP của máy bị tấn công Flow Status: Cung cấp thông tin về trạng thái hiện tại hệ thống CurrentFlow : Cho phép xét ngưỡng số luồng hiện tại trong bảng Flow-table để có thể in ra thông báo trên giao diện nếu nó vượt quá ngưỡng này.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 55 Kịch bản 1: Hình 3.15: Hệ thống đang hoạt động bình thƣờng Hình 3.16: Thay đổi số luồng lên 2000pps Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 56 Hình 3.17: Giao diện cảnh báo hệ thống khi có tấn công 3.5 Kết luận Qua chương này, chúng ta có cái nhìn chi tiết về các bản tin trao đổi giữa Controller và Openflow Switch, cách xây dựng các khối chức năng của trình ứng dụng và quá trình xây dựng Testbed và kết quả chạy kiểm thử.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 57 CHƢƠNG 4: THỜI GIAN XỬ LÝ CỦA HỆ THỐNG VÀ ĐÁNH GIÁ KẾT QUẢ Trong chương trước, ta đã tiến hành thực hiện mô phỏng kiểm thử các chức năng của hệ thống với trình ứng dụng được xây dựng trên Controller (POX).
- Để đánh giá được khả năng xử lý của SDN với những hệ thống thật là rất khó khăn.
- Do việc gửi bản tin StatsRequest là theo định kỳ (1s), nếu số lượng luồng trong Flow-table của OpenvSwitch là lớn thì lượng công việc của trình ứng dụng trên Controller là rất lớn, vì vậy tùy thuộc vào cấu hình của Controller và số lượng luồng tồn tại trong Flow-table mà khả năng xử lý của hệ thống nhanh hay chậm.
- 4.1 Kết quả đo Trước hết hệ thống sẽ đưa ra kết quả so sánh phân tích lưu lượng đi vào hệ thống, nhận định xem đó là lưu lượng bình thướng hay có dấu hiệu tấn công Sau đây là kết quả theo dõi lưu lượng tấn công và lưu lượng bình thường trong thời gian theo dõi khoảng 60s Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 58 Đồ thị 4.1: Số Flow từ một nguồn IP đến Server đối với dữ liệu bình thƣờng Đồ thị 4.2: Số Flow từ một nguồn IP đến Server đối với dữ liệu tấn công.
- Mục đích xem xét đối với dữ liệu bình thường và dữ liệu tấn công thì một nguồn IP sẽ mở trung bình bao nhiêu luồng đến server Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 59 Đồ thị 4.3: Tổng số luồng tồn tại trong hệ thống ở hai trƣờng hợp Đồ thị 4.4: Băng thông đến server trong hai trƣờng hợp =>Với kết quả như hai đồ thị thể hiện ta thấy trong trường hợp dữ liệu bình thường và tấn công đi qua hệ thống có sự khác biệt rõ rệt.
- Điều này sẽ giúp ích cho người quản trị trong việc lọc và phân tích dữ liệu đi qua hệ thống Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 60 Theo như các thuật toán được xây dựng các khối chức năng trên Controller (POX) sẽ gửi bản tin Flow Modification xuống Switch yêu cầu hủy gói tin của các luồng vi phạm mức ngưỡng về số luồng gói tin trong hệ thống.
- Các đồ thị dưới đây thể hiện các giá trị thu được về tổng số luồng trong hệ thống khi hoạt động bình thường và khi bị tấn công: Đồ thị 4.5: Đồ thị thể hiện số Flow theo thời gian khi hệ thống bình thƣờng.
- Trên đồ thị thể hiện số Flow đi qua hệ thống tăng dần trong khoảng cho phép, hệ thống chưa có cảnh báo.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 61 Đồ thị 4.6: Đồ thị mô tả hệ thống khi có dấu hiệu tấn công.
- Ở đây em xét ngưỡng của hệ thống là 2000 Flow dựa trên các kiểm thử khi thử nghiệm tấn công đến thiết bị đầu cuối.
- Do trong quá trình mô phòng phần mềm giả lập số luồng có thể thay đổi để kiểm tra hoạt động của hệ thống, cụ thể thay đổi với các mức Flow khi đó hệ thống sẽ có các cảnh báo như bên dưới và bị mất kết nối đến thiết bị người dùng Đồ thị 4.7: Log hệ thống khi có cảnh báo Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 62 4.2 Nhận xét, đánh giá và đƣa ra các hƣớng nâng cao chất lƣợng hệ thống  Nhận xét, đánh giá.
- Khi mô phỏng với số lượng luồng khoảng luồng thì thời gian xử lý của toàn bộ hệ thống là tương đối nhỏ.
- Thời gian xử lý của hệ thống là không đồng đều và phụ thuộc rất nhiều vào thời gian xử lý của Controller (POX).
- Hướng nâng cao chất lượng của hệ thống.
- Do thời gian xử lý của toàn bộ hệ thống phụ thuộc rất nhiều vào thời gian xử lý trên POX, vì vậy, muốn nâng cao chất lượng, giảm thời gian xử lý của hệ thống ta cần tối ưu hóa các module cũng như nâng cao cấu hình của Controller như là CPU, RAM.
- Mặt khác trong phạm vi đồ án mới thực hiện được khâu phân tích dữ liệu, và cảnh báo cho người quản trị nhưng chưa thực hiện được tác vụ ngăn chặn khi hệ thống vượt ngưỡng.
- Do vậy trong mục tiêu sắp tới sẽ thực hiện khâu này và có thể áp dụng vào thực tế cho mô hình ISP 4.3 Kết luận Kết quả đo và thực nghiệm phụ thuộc vào hiệu năng của hệ thống thiết bị giả lập.
- Việc tối tưu các khối chức năng của hệ thống là thực sự cần thiết.
- Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 63 CHƢƠNG 5.
- Bất kì một nhà viễn thông hay đơn vị cung cấp dịch vụ Internet nào đều coi vấn đề bảo mật trong hệ thống lên hàng đầu.
- Cụ thể là việc phân tích dữ liệu từ khách hàng hay từ ngoài Internet đi qua hệ thống rất phức tạp và gây nhiều khó khăn cho người quản trị.
- Việc giám sát, đưa ra cảnh báo để bảo về hệ thống khỏi các nguy cơ bị tấn công là việc làm cực kỳ cần thiết để đảm bảo cho toàn hệ thống vận hành trơn chu.
- em đã chọn đề tài “ Kỹ thuật an ninh mạng dùng Openflow/SDN “ theo hướng áp dụng vào bảo mật hệ thống trong ISP nhằm đưa ra một số hướng áp dụng vào mô hình bảo mật sử dụng trong nhà mạng.
- Đề tài em thực hiện ở trong các môi trường và điều kiện khác nhau nhằm tìm tính đứng đắn nhất và khả năng của hệ thống để từ đó đưa ra các kết quả sơ bộ và kết luận thực nghiệm.
- Đó là một phần tạo tiền đề để em tiếp tục tìm hiểu thêm trong tương lai hoàn thiện mô hình để có thể áp dụng thực tế vào mô hình ISP cụ thể là: -Tối ưu khối xử lý khối chức năng POX -Hệ thống cần có tính năng chặn ngay sau khi có cảnh báo -Xây dựng giao diện và thu thập được nhiều dữ liệu hệ thống hơn Một lần nữa, em xin chân thành cảm ơn TS.
- Trƣơng Thu Hƣơng, viện Điện Tử Viễn Thông, viện Đào tạo sau đại học, đã nhiệt tình chỉ bảo giúp đỡ em trong quá trình thực hiện đề tài này Luận văn tốt nghiệp cao học Kỹ thuật an ninh mạng dùng Openflow/SDN 64 TÀI LIỆU THAM KHẢO [1] ONF White Paper (2012, April 13), Software-Defined Networking: The New Norm for Networks [Online]

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt