Machine Translated by Google

Hội nghị quốc tế chung về Kinh tế và Kỹ thuật quản lý năm 2016 (ICEME 2016) và
Hội thảo Quốc tế về Kinh tế và Quản lý Kinh doanh (EBM 2016)
ISBN: 978-1-60595-365-6

Triển khai Cơ chế bảo vệ an ninh dựa trên SDN

chống lại các cuộc tấn công DDoS
Hsiao-Chung LIN1,a, Ping WANG1,b,*
1No.195, Kunda Rd., Quận YongKang, Thành phố Đài Nam 710-03, Đài
b
Loan fordlin@mail.ksu.edu.tw,
pingwang@mail.ksu.edu.tw
Một

*Đồng tác giả

Từ khóa: Mạng được xác định bằng phần mềm, tấn công DDoS, NIDS, OpenFlow.

Trừu tượng. Mặc dù các thiết bị di động và thiết bị IoT có kiến trúc SDN (Mạng được xác định bằng phần
mềm) dành cho thiết bị đám mây đã cải thiện sự tiện lợi trong cuộc sống hàng ngày của chúng ta nhưng chúng
cũng gây ra mối đe dọa cho các cuộc tấn công mạng, bao gồm cả các cuộc tấn công DDoS (từ chối dịch vụ phân
tán). Do đó, các cuộc tấn công này làm cho dịch vụ của họ không được cung cấp cho những người dùng mong
muốn và gây ra việc tiết lộ hoặc chia sẻ thông tin không đúng cách. Theo đó, bài viết này triển khai cơ
chế bảo vệ an ninh thông tin (ISDM) dựa trên SDN kết hợp ba công cụ quản lý OpenFlow với tiêu chuẩn sFlow
cho hệ thống phát hiện xâm nhập mạng (NIDS), để thực hiện phát hiện, giảm thiểu bất thường và giảm tổn
thất do cuộc tấn công DDoS gây ra. Kết quả thử nghiệm đã chứng minh rằng bộ điều khiển SDN cho phép người
bảo vệ phản ứng để phát hiện các mối đe dọa bảo mật và phát triển các chiến lược giảm thiểu các cuộc tấn
công DDoS bằng cách sử dụng phân tích hành vi với nhật ký được thu thập từ các thiết bị chuyển mạch Openflow.

Giới thiệu

Để tăng cường quản lý an ninh mạng, Sun Microsystems đã đề xuất khái niệm Mạng được xác định bằng phần
mềm (SDN) gắn liền với kiến trúc của nó vào năm 1995. Kiến trúc SDN tách rời các chức năng điều khiển mạng
và chuyển tiếp dữ liệu, cho phép điều khiển mạng có thể được lập trình trực tiếp và cơ sở hạ tầng cơ bản
được tách biệt khỏi các ứng dụng với một giao thức OpenFlow. SDN là một kiến trúc năng động, dễ quản lý,
tiết kiệm chi phí và có khả năng thích ứng phù hợp với tính chất năng động, băng thông cao của các ứng
dụng ngày nay. [1]
Trong các thiết bị sống thông minh, các thiết bị Internet of Things (IoT) được kết nối qua mạng gia
đình để cho phép điều khiển bằng cách sử dụng bộ điều khiển mạng tập trung được liên kết với các thiết bị
mạng từ xa từ Internet. Khi được tích hợp bởi công nghệ cảm biến không dây và truyền thông thông tin cho
các thiết bị IoT, hệ thống gia đình và thiết bị sẽ có lợi vì chúng có thể giao tiếp theo cách tập thể mang
lại sự thuận tiện cho cuộc sống, tăng cường sức khỏe và lợi ích an toàn. Trong thực tế, các nhà sản xuất
mạng thường thu thập thông tin cá nhân và thói quen riêng tư mà không báo trước. Vì thông tin cá nhân
trong các dịch vụ cuộc sống thông minh không thể được tiết lộ nếu không có sự cho phép của pháp luật nên
việc sử dụng thông tin cá nhân, bao gồm ID cá nhân, vị trí, sinh trắc học và dữ liệu bí mật, đòi hỏi phải
đảm bảo tính bảo mật của thông tin đó.
Trong thực tế, các thiết bị trong nhà thông minh cung cấp cơ chế kiểm soát quyền riêng tư và bảo mật
lớp mạng để đảm bảo quyền riêng tư và bảo mật thông tin của các thành viên trong gia đình bằng cách giám
sát hoạt động mạng và phát hiện hành vi đáng ngờ trên mạng. Gần đây, các nhà nghiên cứu tập trung vào việc
sử dụng SDN làm cơ chế kiểm soát toàn mạng để giải quyết các mối lo ngại về bảo mật có rủi ro cao, bao gồm
phát hiện và giảm thiểu từ chối dịch vụ phân tán (DDoS) [2-3], phát tán sâu [4] và bảo vệ botnet [5 ].

Một cuộc tấn công từ chối dịch vụ (DoS) được đặc trưng bởi nỗ lực rõ ràng của những kẻ tấn công nhằm
ngăn chặn người dùng hợp pháp của một dịch vụ sử dụng dịch vụ đó. So với tấn công DoS, tấn công DDoS là
cuộc tấn công nghiêm trọng nhất trong đó nguồn tấn công có nhiều hơn một, thường là hàng nghìn địa chỉ IP
duy nhất. Trong cuộc tấn công DDoS, trước tiên kẻ tấn công chọn các dịch vụ dễ bị tấn công sẽ được sử dụng
để thực hiện mục tiêu tấn công. Nói chung, kẻ tấn công khai thác các lỗ hổng của dịch vụ và chèn
mã ẩn sao cho mã độc có thể được bảo vệ khỏi bị phát hiện. Sau khi những kẻ tấn công
Machine Translated by Google

đã xâm phạm được các máy chủ thích hợp, chúng sử dụng các kênh liên lạc được mã hóa để tấn công nạn
nhân. [6] Hầu hết các phương pháp hiện có để giải quyết vấn đề DDoS đều tập trung vào các cơ chế bảo
mật cụ thể, ví dụ: phát hiện hệ thống phát hiện xâm nhập mạng (NIDS), cấu hình tường lửa, thay vì
các phương pháp định tuyến gói để bảo vệ các mối đe dọa DDoS bằng các kỹ thuật quản lý luồng mới.
Theo đó, bài viết triển khai cơ chế bảo vệ an ninh thông tin (ISDM) dựa trên SDN kết hợp ba công cụ
quản lý giao thức OpenFlow là Open vSwitch, Ryu SDN Framework và bộ công cụ sFlow-RT để thực hiện
quản lý lưu lượng nhằm phát hiện bất thường, phản ứng với các loại tấn công DDoS mới trong kiến trúc
SDN.

Phát hiện tấn công DDoS và di chuyển quá trình phân tích mối đe dọa

Giả sử rằng các lỗ hổng hệ thống một phần của dịch vụ đám mây đã được xác định và một tập hợp hồ
sơ hành vi liên quan đến từng nguồn đe dọa đã được xác định. Sơ đồ phát hiện DDoS thích ứng sau đây
bao gồm một quy trình phân giải mới của phân tích lưu lượng truy cập động để theo dõi các nguồn tấn
công của DDoS theo hồ sơ hành vi của AS, từ đó phát triển quy trình giải quyết các cuộc tấn công
DDoS bằng cách sử dụng NIDS snort cho bộ bảo vệ mạng, trong đó quyết định quy tắc được hỗ trợ bởi
các kết quả phân tích từ bộ công cụ sFlow, như trong Hình 1. Hình 1 cho thấy thử nghiệm thâm nhập
liên quan đến phân tích hành vi phần mềm độc hại được tích hợp trong khung này phù hợp để phát hiện
cuộc tấn công DDoS và phân tích di chuyển bằng cách sử dụng tác nhân sFlow và sFlow-RT để xác định
AS của DDoS.

Hình 1. Quá trình giải quyết phát hiện và di chuyển DDoS.

Bốn quy trình con để phát hiện và di chuyển các cuộc tấn công DDoS được trình bày như sau.

Bước 1: Xây dựng Cơ chế bảo vệ an ninh thông tin dựa trên SDN

Trong hệ thống SDN được đề xuất, giao thức và bộ chuyển mạch OpenFlow cho phép quản trị từ xa các
bảng chuyển tiếp gói của bộ chuyển mạch lớp 3 bằng cách thêm, sửa đổi và xóa các quy tắc và hành
động khớp gói với hai thành phần cơ bản: (1) bộ điều khiển: để xác định luồng gói mạng và (2) Bảng
luồng: sử dụng bảng định tuyến OpenFlow để chọn đường truyền gói mạng. Ngoài ra, các nhà quản lý bảo
mật sử dụng công tắc hỗ trợ OpenFlow để thu thập và phân tích thông tin lưu lượng truy cập từ bộ
điều khiển SDN kết hợp bộ công cụ sFlow-RT, tức là sFlow Agent và sFlow Collector.

Bước 2: Thu thập thông tin giao thông

Hình 2 minh họa, hai công cụ quản lý cho OpenFlow được tích hợp vào ISDM để tạo số liệu thống kê
luồng nhằm phát hiện hành vi đáng ngờ: (1) sFlow Collector, được sử dụng để thu thập thông tin lưu
lượng từ các bộ chuyển mạch Openflow để phân tích lưu lượng mạng sâu hơn; và (2) sFlow Agent, sử
dụng như một công cụ giám sát để quản lý lớp điều khiển SDN nhằm giám sát an ninh giao thông bằng
cách thu thập các gói dữ liệu của lưu lượng truy cập đi qua các cổng được giám sát của nó và gửi các
mẫu này đến bộ thu thập sFlow.
Machine Translated by Google

Hình 2. Phân tích mạng SFlow cho các thiết bị dựa trên SDN.

Bước 3: Phát hiện tấn công DDoS

Như được hiển thị trong Hình 3, trình tự thực hiện các hoạt động khai thác thể hiện dấu hiệu của nguồn đe dọa i
(i = 1,...,m) và bao gồm một tập hợp các phương pháp được sử dụng để đánh giá dấu hiệu tấn công. Khi quyết định
trình tự thực thi mã độc, việc xác định chính xác mô hình hành động tấn công là rất khó khăn. Trên cơ sở khái
niệm về hệ thống phát hiện xâm nhập, sự xuất hiện của tấn công DDoS
được giải quyết bằng cách sử dụng các quy tắc tập thường xuyên [8] bằng cách tích lũy và liên kết các nhật ký bảo
mật như sau. Nói chung, các tập là tập hợp các sự kiện được sắp xếp một phần. Quy tắc tập thường xuyên được sử
dụng để xác định các chuỗi sự kiện cụ thể nhằm xác định một cách thích hợp các tập lệnh độc hại của
một nguồn đe dọa, như trong Hình 4.
Cho một chuỗi sự kiện s = (s; Ts; Te) và độ rộng cửa sổ giành chiến thắng, giả sử cửa sổ thời gian của một tập
được cho bởi w = (w; Ts; Te). Mức độ hỗ trợ của một tập được định nghĩa là tỷ lệ cửa sổ nơi tập đó xuất hiện.
Về mặt lý thuyết, với s và win, mức hỗ trợ của một tập (α) (tức là MIS) cho một đường dẫn vết bẩn j trong s là

| |
supα = . (1)
|,|

Sau khi thu được sup(ɑ) , nó có thể được sử dụng để dự đoán xác suất xảy ra cuộc tấn công pij từ nguồn đe dọa
đối với luồng thông tin j từ nguồn đe dọa i. Nói cách khác, sup(ɑ) tiết lộ mối liên hệ giữa các sự kiện tấn công
trong chuỗi sự kiện bảo mật nhất định.

Hình 3. Xác định mô hình chính xác của mối đe dọa bằng cửa sổ trượt.

Bước 4: Di chuyển các cuộc tấn công DDoS

Do có sẵn giới hạn tốc độ nên lọc lưu lượng là cơ sở cho hầu hết các phương pháp phòng thủ.
Cơ chế bảo vệ trong nghiên cứu của chúng tôi giải quyết vấn đề bằng cách hạn chế lượng lưu lượng truy cập được
gửi đến mục tiêu. Cung cấp các đặc điểm của lưu lượng truy cập được xác định chính xác, tổn thất tấn công có thể
thấp. Đáng chú ý là không có gì đảm bảo rằng hầu hết các gói đã được thả vào là đủ.
Machine Translated by Google

cách tiếp cận. Trong thực tế, việc giới hạn tốc độ loại bỏ các gói tùy thuộc vào lưu lượng truy cập
chính xác. Mặt khác, kỹ thuật lọc được thực hiện trong lớp IP đảm bảo rằng mục tiêu không bị vượt qua
nhưng một phần lưu lượng truy cập hợp pháp cũng có thể bị loại bỏ.

Triển khai ISDM trên môi trường SDN

Trong thử nghiệm phát hiện xâm nhập mạng cho hệ thống nhà thông minh được xây dựng bằng cách sử dụng
theo quy trình bốn bước như sau.

Bước 1: Xây dựng Cơ chế bảo vệ an ninh thông tin dựa trên SDN

Như minh họa trong Hình 4 và Bảng 1, công cụ Open vSwitch hỗ trợ các bộ chuyển mạch OpenFlow giao
tiếp với nhau bằng cách sử dụng giao thức OpenFlow thông qua kênh bảo mật để kết nối bộ điều khiển SDN.
Trong dự án SDN được đề xuất, bộ điều khiển SDN sử dụng khung Ryu SDN trong hệ điều hành Ubuntu để
quyết định cấu hình và luồng gói mạng của các thiết bị mạng, chẳng hạn như thiết bị kiểm soát truy cập
và giám sát bảo mật.

Hình 4. Quản lý an ninh nhà thông minh dựa trên SDN.

Bảng 1. Môi trường thí nghiệm.

Machine Translated by Google

Bước 2: Thu thập thông tin giao thông

Thử nghiệm sử dụng Snort để hợp tác với Bộ thu thập sFlow từ xa để thu thập datagram được gửi từ các thiết bị

chuyển mạch bằng hướng dẫn sau. Việc triển khai Snort có thể đảm bảo việc xác định và giải quyết nhanh chóng mọi mối

đe dọa đối với mạng. Khi sFlow Collector nhận các gói, nó sẽ cập nhật các bộ đếm bên trong mô-đun giám sát trên cơ sở

cơ chế cửa sổ thời gian trượt.

Do đó, cách tiếp cận này có thể làm giảm độ phức tạp của thuật toán thu thập luồng, do đó yêu cầu ít tài nguyên CPU

hơn. $ sudo snort -T -i eth0 -c /

etc/snort/snort.conf Sau đó, cả gói dữ liệu sFlow và

cảnh báo Snort đều được tổng hợp để truyền đến Bộ điều khiển Snort và Ryu SDN nhằm xác định sự bất thường về lưu

lượng bằng cách sử dụng lệnh của Bộ công cụ sFlow .

$ công cụ lưu lượng -t | sudo snort -A unsock -q -r - -c /etc/snort/snort.conf

Bước 3: Phát hiện tấn công DDoS

Bước 3.1: Triển khai Trình thu thập dữ liệu sFlow

Bộ phân tích sFlow với sFlow-RT cung cấp khả năng hiển thị và nhận dạng giám sát trên toàn mạng đối với các môi

trường chuyển mạch và định tuyến đa lớp phức tạp. Bộ công cụ sFlow-RT có thể hỗ trợ người quản lý gửi thông tin được

thu thập đến sFlow-RT bằng hướng dẫn sau: $ sudo tcpdump -p -s 0 -w - udp port 6343 | sflowtool -r -

-f 192.168.0.250/6343

Bước 3.2: Phát hiện cuộc tấn công DDoS trên môi trường SDN

Ryu SDN Framework cung cấp khả năng tích hợp với Snort để giao tiếp với nhau. Bộ điều khiển SDN và Snort được cài

đặt trên các máy chủ riêng biệt, Snort chủ yếu được dùng làm máy khách, bộ điều khiển SDN làm máy chủ. Snort truyền

cảnh báo bảo mật tới bộ điều khiển SDN để phân tích thêm bằng cách chạy pigrelay.py, có thể tải xuống tại https://

github.com/John-Lin/ pigrelay. $ sudo python pigrelay.py

Thu thập thông tin thu thập của SFlow và cảnh báo của Snort về cuộc tấn công ICMP Flood sau đó gửi tới

bộ điều khiển SDN, như trong Hình 5

Hình 5. Thông báo cảnh báo của Snort về cuộc tấn công ICMP Flood.

Sử dụng chức năng trực quan hóa của sFlow-RT để kiểm tra thông tin giao thông trong cuộc tấn công ICMP Flood, như

trong Hình 6.

Hình 6. Thông tin lưu lượng của cuộc tấn công ICMP Flood.
Machine Translated by Google

Bước 4: Di chuyển các cuộc tấn công DDoS

Một ví dụ về phát hiện và giảm thiểu tấn công DDoS bằng cách sử dụng ICMP Flood sẽ được thảo luận. ĐẾN
xác định cuộc tấn công ICMP Flood, người quản lý thiết lập các quy tắc phát hiện trong Snort như trong
Hình 7: $ sudo nano /etc/snort/rules/local.rules

Hình 7. Thiết lập hai quy tắc phát hiện trong Snort.

Sử dụng Hping3 để mô phỏng cuộc tấn công ICMP Flood trong máy chủ vi phạm nhằm xác minh tính hiệu quả của việc
thu thập thông tin của sFlow và gửi cảnh báo của Snort.
$ hping3 --icmp --flood 192.168.0.105
Để chống lại cuộc tấn công ICMP Flood, bộ điều khiển SDN gửi các lệnh sau tới bộ chuyển đổi OpenFlow để loại bỏ các
datagram khi thông tin luồng đi vào. Điều đó cho thấy giao thông lũ lụt đã
giảm sau một thời gian, như trong Hình 8.

$curl -X POST -d '{"dpid":"963371335886", "ưu tiên":"32765", "hành động":

[{"type":"DROP"}],"match":{"eth_type": 0x0800,"ip_proto":"1", "ipv4_src": "0.0.0.0/0", "ipv4_dst":192.168.0.0/24"}}'
http://192.168.0.104:8080/stats/flowentry/ thêm vào

Hình 8. Di chuyển cuộc tấn công ICMP Flood.

Phần kết luận

Kết quả thử nghiệm cho thấy bộ điều khiển SDN có thể sàng lọc các địa chỉ IP đáng ngờ liên quan đến tên miền
bằng cách tạo danh sách đen được đề xuất bởi kết quả phân tích từ ISDM.
Hơn nữa, bản cập nhật thời gian thực của các quy tắc phát hiện được xác định bằng dấu hiệu tấn công trong mô hình
của chúng tôi có thể được sử dụng làm cơ chế phát hiện xâm nhập hiệu quả để phát hiện các kết nối mạng đáng ngờ dựa
trên phân tích hành vi bất thường trong Snort.

Nhìn nhận

Công trình này được Bộ Khoa học và Công nghệ Đài Loan đồng hỗ trợ theo Số tài trợ MOST 104-2627-E-168-001 và MOST
104-2410-H-168-001.

Người giới thiệu

[1] Tổ chức mạng mở, Mạng được xác định bằng phần mềm: Chuẩn mực mới cho mạng, Sách trắng ONF, ngày 13 tháng 4 năm

2012.
Machine Translated by Google

[2] R. Braga, E. Mota và A. Passito. Phát hiện tấn công tràn ngập DDoS nhẹ bằng NOX/OpenFlow. Hội
nghị IEEE lần thứ 35 về Mạng máy tính cục bộ, 2010 trang 408–415.

[3] K. Giotis, C. Argyropoulos, G. Androulidakis, D. Kalogeras và V. Maglaris, Kết hợp OpenFlow

và sFlow để có cơ chế phát hiện và giảm thiểu sự bất thường hiệu quả và có thể mở rộng trên môi
trường SDN, Mạng máy tính 62 (2014) 122–136 .

[4] R. Jin và B. Wang, Phát hiện phần mềm độc hại cho các thiết bị di động sử dụng mạng được xác định bằng phần mềm.

Hội thảo Nghiên cứu và Thực nghiệm Giáo dục, 81-88, 2013.

[5] N. Feamster, Gia công phần mềm bảo mật mạng gia đình. Trong Kỷ yếu hội thảo ACM SIGCOMM 2010
về Mạng gia đình, 2010, trang 37–42.

[6] S. Lin, TC Chiueh, Khảo sát về giải pháp tấn công từ chối dịch vụ phân tán, Báo cáo kỹ thuật,
Khoa Khoa học Máy tính, Đại học Stony Brook (2013).

[7] H. Mannila, H. Toivonen và IA Verkamo, Khám phá các tập thường xuyên trong chuỗi sự kiện,
Khai thác dữ liệu và Khám phá kiến thức 1(3) (1997) 259-289.