Đang tải... (xem toàn văn)
Nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDNNghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDN
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG Hà Nội – 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN Ngành: Kỹ thuật Viễn thông Mã số: 9520208 LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS TRƯƠNG THU HƯƠNG PGS.TS NGUYỄN TÀI HƯNG Hà Nội – 2019 i LỜI CAM ĐOAN Tôi xin cam đoan kết khoa học trình bày luận án thành nghiên cứu thân suốt thời gian làm nghiên cứu sinh chưa xuất công bố tác giả khác Các kết đạt xác trung thực Hà Nội, ngày 15 tháng năm 2019 Tác giả luận án Đặng Văn Tuyên Giáo viên hướng dẫn khoa học PGS.TS Trương Thu Hương PGS.TS Nguyễn Tài Hưng ii LỜI CẢM ƠN Nghiên cứu sinh (NCS) xin gửi lời trân trọng cảm ơn đến Tập thể hướng dẫn khoa học: PGS TS Trương Thu Hương PGS TS Nguyễn Tài Hưng thầy cô giáo Bộ môn Kỹ thuật Thông tin, Viện Điện tử - Viễn thông, Trường Đại học Bách khoa Hà Nội tận tình hướng dẫn, tạo điều kiện cho NCS học tập, nghiên cứu hoàn thành Luận án NCS xin trân trọng cảm ơn Phòng Đào tạo, Trường Đại học Bách khoa Hà Nội tạo điều kiện giúp đỡ mặt thủ tục; Trường Đại học Kỹ thuật – Hậu cần CAND, gia đình đồng nghiệp tạo điều kiện mặt thời gian cho NCS nghiên cứu hồn thành Luận án Trong q trình thực đề tài nghiên cứu, thân có nhiều cố gắng giới hạn trình độ hiểu biết, kinh nghiệm thực tế, kinh nghiệm nghiên cứu khoa học nên Luận án không tránh khỏi thiếu sót NCS kính mong nhận đóng góp ý kiến nhà khoa học, cán nghiên cứu, thầy, cô giáo, bạn bè đồng nghiệp để NCS hoàn thiện lý luận khoa học lẫn thực tiễn Xin trân trọng cảm ơn Hà Nội ngày 15 tháng 05 năm 2019 NGHIÊN CỨU SINH Đặng Văn Tuyên iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC CHỮ VIẾT TẮT vii DANH MỤC HÌNH VẼ x DANH MỤC CÁC BẢNG BIỂU xiii MỞ ĐẦU xiv CHƯƠNG 1: TẤN CƠNG DDOS VÀ CÁC GIẢI PHÁP PHỊNG CHỐNG TRONG MẠNG SDN/OPENFLOW 1.1 Giới thiệu chương 1.2 Tổng quan công DDoS 1.2.1 Khái niệm 1.2.2 Phân loại công DDoS 1.2.3 Các giải pháp phòng chống DDoS dựa cơng nghệ mạng truyền thống 1.2.4 Yêu cầu thách thức giải pháp phát ngăn chặn, giảm thiểu công DDoS 1.3 Kỹ thuật mạng cấu hình phần mềm SDN 10 1.4 Giao thức OpenFlow 12 1.4.1 Cấu trúc phạm vi chuẩn hóa Openflow 13 1.4.2 Nhận dạng quản lý lưu lượng chuyển mạch Openflow 14 1.4.3 Các tin trao đổi điều khiển chuyển mạch Openflow 14 1.4.4 Quy trình xử lý gói tin Openflow 16 1.4.5 Quản lý mục luồng chuyển mạch Openflow 17 iv 1.5 Các giải pháp phòng chống DDoS dựa kiến trúc kỹ thuật SDN/Openflow 18 1.5.1 Kiến trúc nguyên lý hoạt động chung 18 1.5.2 Các kỹ thuật phát công 20 1.5.3 Các kỹ thuật ngăn chặn, giảm thiểu công 22 1.6 Tấn công DDoS tới thành phần kiến trúc mạng SDN/Openflow giải pháp phòng chống 23 1.6.1 Tấn công DDoS tới thành phần kiến trúc mạng SDN/Openflow 23 1.6.2 Kỹ thuật phát giảm thiểu công 25 1.7 Kết luận chương 27 CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW 29 2.1 Giới thiệu chương 29 2.2 Giải pháp phát giảm thiểu cơng DDoS dựa mơ hình dự đốn làm trơn hàm mũ tham số thống kê lưu lượng 29 2.2.1 Đặt vấn đề 29 2.2.2 Kiến trúc hệ thống trạng thái hoạt động 30 2.2.3 Lựa chọn tham số số thống kê lưu lượng 32 2.2.4 Lựa chọn xây dựng mô hình dự đốn số thống kê lưu lượng 33 2.2.5 Phát giảm thiểu công 35 2.2.6 Phân tích đánh giá hiệu giải pháp 37 2.3 Giải pháp giảm thiểu cơng SYN Flood dựa chế ủy nhiệm gói tin SYN điều khiển 41 2.3.1 Đặt vấn đề 41 2.3.2 Kiến trúc hệ thống đề xuất 42 2.3.3 Lựa chọn mơ hình ủy nhiệm gói tin SYN 43 2.3.4 Hoạt động hệ thống SSP 44 2.3.5 Phân tích đánh giá hiệu giải pháp 51 v 2.4 Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn công 58 2.4.1 Đặt vấn đề 58 2.4.2 Khái niệm đánh dấu gói tin kỹ thuật 59 2.4.3 Đề xuất cấu trúc hoạt động PLA DFM kiến trúc mạng SDN/Openflow 61 2.4.4 So sánh đánh giá hiệu giải pháp 66 2.5 Kết luận chương 70 CHƯƠNG ĐỀ XUẤT GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG DDOS DỰA TRÊN KỸ THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG 72 3.1 Giới thiệu chương 72 3.2 Những hạn chế kiến trúc kỹ thuật SDN/Openflow phòng chống công DDoS 72 3.3 Đề xuất kiến trúc mạng SDN/Openflow mở rộng sở bổ sung phân tích xử lý lưu lượng SD 73 3.3.1 Kiến trúc tổng quát 74 3.3.2 Điều khiển chuyển tiếp lưu lượng tới SD xử lý lưu lượng SD 75 3.4 Giải pháp phân loại giảm thiểu công DDoS dựa kiến trúc SDN/Openflow mở rộng thuật toán logic mờ 76 3.4.1 Đặt vấn đề 76 3.4.2 Phân tích đặc tính lưu lượng cơng DDoS để chọn tham số phân loại lưu lượng 76 3.4.3 Cấu trúc hệ thống 79 3.4.4 Xác định trạng thái máy chủ 79 3.4.5 Chuyển tiếp gói tin thực thể hệ thống 81 vi 3.4.6 Phân loại lưu lượng giảm thiểu cơng DDoS dựa thuật tốn suy luận logic mờ FDDoM 83 3.4.7 Đánh giá hiệu giải pháp 87 3.5 Phát giảm thiểu công SYN Flood tới mạng SDN/Openflow sử dụng chế ủy nhiệm gói tin SYN phân tích xử lý lưu lượng 91 3.5.1 Đặt vấn đề 91 3.5.2 Cấu trúc hệ thống 92 3.5.3 Hoạt động hệ thống 92 3.5.4 Phân tích đánh giá hiệu 98 3.6 Kết luận chương 104 KẾT LUẬN 106 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN 108 TÀI LIỆU THAM KHẢO 109 vii DANH MỤC CÁC CHỮ VIẾT TẮT Ký hiệu Tiếng Anh Tiếng Việt ACK ACKnowledgment Gói tin xác nhận kết nối ACK_Num Acknowledgement Number Số hiệu xác nhận API Application Programming Interface Giao diện chương trình ứng dụng ART Average Retrieve Time Thời gian kết nối trung bình AS Autonomous System Hệ tự trị ATM Asynchronous Transfer Mode Truyền liệu cận đồng CDF Cumulative Distribution Function Hàm phân phối tích lũy CliACK Client ACK Gói tin xác nhận kết nối từ client CM Connection Migration Di trú kết nối CUSUM CUmulative SUM Tổng tích lũy DC Data Center Trung tâm liệu DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DFM Deterministic Flow Marking Kỹ thuật đánh dấu gói tin theo luồng DoS Denial of Service Tấn công từ chối dịch vụ DNS Domain Name System Hệ thống tên miền DPpF Deviation PpF PpF chuẩn hóa DPM Deterministic Packet Marking Kỹ thuật đánh dấu xác định DPPM Dynamic Probabilistic Packet Marking Kỹ thuật đánh dấu gói tin theo xác suất động DR Detection Rate Độ nhạy DSCP Dynamic probabilistic packet marking Kỹ thuật đánh dấu gói tin theo xác suất động DSPA Deviation SPA SPA chuẩn hóa FDDoM Fuzzy Logic-based DDoS Mitigation Phát giảm thiểu công DDoS dựa thuật toán logic mờ FIS Fuzzy Inference System Hệ suy luận mờ FTP File Transfer Protocol Giao thức truyền tệp tin FPR False Positive Rate Tỷ lệ báo động nhầm FMT Flow Monitoring Table Bảng giám sát luồng HOC Half Open Connection Kết nối dang dở 3HS Three ways Handshake Bắt tay ba bước HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn IAT Inter Arrival Time Khoảng thời gian liên gói tin viii ICMP Internet Control Message Protocol Giao thức thông báo điều khiển Internet IDS Intrusion Detection System Hệ thống phát xâm nhập IoTs Internet of Things Mạng kết nối vạn vật IP Internet Protocol Giao thức liên mạng IPS Intrusion Prevention System Hệ thống chống xâm nhập ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IRC Internet Relay Chat Dịch vụ chat Internet MA Moving Average Trung bình động MPR Marked Packet Rate Tỷ lệ gói tin bị đánh dấu MSR Marked Size Rate Tỷ lệ dung lượng gói tin bị đánh dấu MT Mark Threshold Giá trị ngưỡng đánh dấu MTU Maxium Transmission Unit Ngưỡng kích thước đơn vị truyền NFV Network Functions Virtualization Ảo hóa chức mạng NTP Network Time Protocol Giao thức đồng thời gian mạng OFS OpenFlow Switch Bộ chuyển mạch Openflow ONF Open Networking Foudation Tổ chức chuẩn hóa mạng mở PN Packet Number Số gói tin PLA DFM Packet Length Adaptive Deterministic Flow Marking Đánh dấu gói tin xác định theo luồng có tương thích chiều dài gói PpF Packet number per Flow Số gói tin luồng PPM Probabilistic Packet Marking Đánh dấu gói tin theo xác suất pps packet per second Gói tin/ giây QoS Quality of Service Chất lượng dịch vụ REST API Representational State Transfer API Giao diện trao đổi dựa vào biến trạng thái RST ReSeT Gói tin hủy kết nối SAN Source Address Number Số địa IP nguồn SCR Successful Connection Rate Tỷ lệ kết nối thành công SD Security Device Thiết bị bảo mật SDH Synchronous Digital Hierarchy Hệ thống phân cấp đồng SDN Software Defined Networking Kỹ thuật mạng cấu hình phần mềm SEQ_Num Sequence Number Số hiệu SFD SYN Flood Detection Phát công SYN Flood SMR Successful Mark Rate Tỷ lệ đánh dấu thành công SOM Self Organinzing Map Bản đồ tự tổ chức SOHO Small Office/Home Office Văn phòng, quan nhỏ 104 Mức độ giảm lưu lượng giao diện Openflow giảm tải điều khiển Cả chế CM Avant-Guard giải pháp SSG hoạt động nguyên tắc giám sát trình 3HS kết nối TCP cài đặt mục luồng cho kết nối tương ứng thực thành cơng q trình 3HS Nguyên tắc ngăn chiếm dụng tài nguyên vơ ích mục luồng tạo từ gói tin giả mạo địa IP nguồn, đồng thời bảo vệ điều khiển bị tải thực xử lý kiện packet-in từ gói tin giả mạo Theo đó, lưu lượng Openflow chuyển mạch điều khiển giảm xuống có cơng SYN Flood xảy So sánh q trình trao đổi gói tin điều khiển thực thể chế CM chế SSG mô tả Hình 3.24 cho thấy với kết nối lành tính TCP, SSG cần lần yêu cầu controller chế CM lần Do đó, tổng số tin trao đổi chuyển mạch điều khiển để cài đặt mục luồng cho kết nối TCP lành tính SSG giảm nửa so với chế CM Sự cải tiến giúp giảm tải điều khiển, tăng khả chịu đựng công SYN Flood Nhận xét, đánh giá - Dựa kiến trúc SDN/Openflow mở rộng, chế ủy nhiệm gói tin SYN SD khắc phục nhược điểm chế CM giải pháp Avant-Guard trì tỷ lệ kết nối cao (98% so với CM mức 20% chịu công 5.500 pps), mức độ chiếm dụng tài nguyên OFS ổn định, bị ảnh hưởng công SYN Flood (chiếm 28% so với CM 75% CPU công 5.500pps) với mức độ gia tăng lưu lượng thấp (2,5% tất máy chủ chịu cơng 5.500pps) - SSG áp dụng cho tất chuyển mạch Openflow hỗ trợ 1.5, giúp OFS tăng khả chịu đựng cơng, áp dụng cho mạng quy mơ lớn tất chuyển mạch biên 3.6 Kết luận chương - Các giải pháp phát lọc bỏ lưu lượng công DDoS dựa liệu thống kê chế xử lý gói tin kỹ thuật SDN/Openflow có ưu điểm đơn giản, dễ triển khai mạng SDN/Openflow tồn số nhược điểm cố hữu Đó (1) thông tin lưu lượng bị giới hạn quy đinh giao thức Openflow, (2) chế quản lý luồng theo trạng thái gây gia tăng mục luồng chuyển mạch tạo nên chiếm dụng lớn nguồn tài nguyên lớp hạ tầng mạng có cơng xảy ra, đồng thời (3) lưu lượng Openflow chuyển mạch điều khiển tăng cao Những nhược điểm làm giảm tính xác phát phân loại lưu lượng công, giới hạn quy mô lưu lượng hệ thống mạng áp dụng, ngồi dễ bị kẻ công lợi dụng trở thành mục tiêu công DDoS - Để khắc phục tồn trên, giải pháp phát giảm thiểu cơng DDoS sử dụng liệu thống kê chế xử lý gói tin kỹ thuật SDN/Openflow kết hợp với 105 phân tích xử lý lưu lượng SD bổ sung vào hệ thống mạng Dựa khả ánh xạ cổng (mirror port), chép gói tin tới cổng, kỹ thuật SDN/Openflow điều khiển chuyển lưu lượng theo ý muốn từ OFS tới SD phần mềm lớp ứng dụng SD cung cấp đầy đủ thơng tin thuộc tính mẫu lưu lượng cho ứng dụng bảo mật lớp điều khiển Sự kết hợp phân tích xử lý lưu lượng mạng SDN/Openflow có ưu điểm: • Có thể chuyển mẫu gói tin mong muốn từ chuyển mạch tới điều khiển không qua kênh bảo mật Openflow, tránh tượng thắt cổ chai giao diện • Có thể phân tích, cung cấp thuộc tính lưu lượng mà chế thống kê Openflow khơng thực • SD thực sách xử lý gói tin (như Drop trực tiếp) mà không qua chế cài đặt mục luồng giúp giảm thời gian đáp ứng hệ thống lưu lượng công, giảm chiếm dụng tài nguyên mục luồng công DDoS - Ứng dụng kiến trúc SDN/Openflow mở rộng với phân tích xử lý lưu lượng SD, giải pháp phát giảm thiểu công thuật toán logic mờ cho độ nhạy lọc bỏ cao, tỷ lệ lọc bỏ nhầm thấp (DRF đạt 97,5% FPRF mức 3,6% so sánh với giải pháp TRW-CB đạt DRF 96% FPRF 25%) thời gian đáp ứng nhanh chế xóa bỏ gói tin công thực SD mà không chế Openflow thông thường - Bên cạnh lợi ích mặt an ninh mạng, kỹ thuật SDN/Openflow tồn lỗ hổng mới, có nguy bị công làm cạn kiệt tài nguyên chuyển mạch, điều khiển giao diện Openflow công SYN Flood giả mạo địa IP Kế thừa từ chế CM Avant-Guard, giải pháp đề xuất SSG thực ủy nhiệm gói tin SYN phân tích xử lý lưu lượng, thay ủy nhiệm gói tin SYN chuyển mạch Kết thực nghiệm testbed cho thấy SSG khắc phục tồn chế CM, cải thiện khả chịu đựng công SYN Flood hệ thống (duy trì tỷ lệ kết nối cao 98% so với CM mức 20% chịu công 5.500 pps), mức độ chiếm dụng tài nguyên OFS ổn định, bị ảnh hưởng cơng SYN Flood (chiếm 28% so với CM 75% CPU công 5.500pps) với mức độ gia tăng lưu lượng thấp (2,5% tất máy chủ chịu công 5.500pps) Các kết nghiên cứu Chương cơng bố cơng trình: [C2], [J2], [J4] (Xem Danh mục cơng trình cơng bố trang 108) 106 KẾT LUẬN Nội dung kết đạt luận án Nội dung Luận án trình bày chương sau: - Nội dung Chương trình bày lý thuyết tổng quan công DDoS, công nghệ SDN kỹ thuật SDN/Openflow, phương thức kỹ thuật phòng chống DDoS mạng truyền thống mạng SDN/Openflow Qua cho thấy, cơng DDoS vấn nạn lớn mạng Internet, phát triển quy mô, dịch vụ, lưu lượng mạng ngày tăng; diễn biến công DDoS ngày phức tạp đặt yêu cầu thách thức lớn chế, giải pháp phát hiện, phân loại lưu lượng giảm thiểu công DDoS, đặc biệt mạng quy mô nhỏ, nơi giải pháp an ninh mạng chưa trọng Công nghệ SDN, kỹ thuật mạng SDN/Openflow hứa hẹn công nghệ thay công nghệ mạng truyền thống với nhiều ưu thế, khả xử lý lưu lượng phần mềm phù hợp với quy trình phát giảm thiểu cơng DDoS Mặt khác, kiến trúc kỹ thuật mạng tạo nên lỗ hổng cố hữu mà kẻ cơng lợi dụng, phát động công DDoS Nhiệm vụ đặt cần phải khai thác lợi SDN/Openflow phát hiện, phòng chống DDoS bối cảnh khác nhau, đồng thời xây dựng giải pháp phòng chống công DDoS tới thực thể mạng Nội dung chương sở lý thuyết cho đề xuất chương - Chương trình bày giải pháp đề xuất yêu cầu phòng chống DDoS khác mạng quy mô lưu lượng nhỏ túy dựa liệu thống kê lưu lượng chế xử lý gói tin kỹ thuật SDN/Openflow, khơng cần bổ sung thiết bị chuyên dụng Cụ thể, giải pháp đề xuất bao gồm: (1) kỹ thuật phát giảm thiểu công DDoS dựa mô hình dự đốn làm trơn hàm mũ tham số thống kê lưu lượng; (2) kỹ thuật phát ngăn chặn công SYN Flood tới máy chủ hệ thống mạng dựa chế ủy nhiệm gói tin SYN điều khiển; (3) kỹ thuật đánh dấu gói tin PLA DFM hỗ trợ truy vết nguồn phát sinh lưu lượng công Các kết phân tích mơ lưu lượng cơng thực từ lưu lượng CAIDA Netnam, kết chạy mơ hình thử nghiệm testbed cho thấy hiệu giải pháp đề xuất cải thiện so với giải pháp cơng bố áp dụng trực tiếp hệ thống mạng SDN/Openflow quy mơ lưu lượng nhỏ mạng gia đình, văn phòng nhỏ Các kết chương đăng cơng trình cơng bố [C1], [J1] [J3] - Để đáp ứng yêu cầu cho mạng có quy mơ lưu lượng cao giảm thời gian đáp ứng hệ thống, nội dung Chương đề xuất kiến trúc SDN/Openflow mở rộng bổ sung phân tích xử lý lưu lượng SD Khác với giải pháp đề xuất, SD hoạt động tương tác với thực thể mạng SDN điều khiển phần mềm lớp ứng dụng cung cấp đầy đủ thơng tin thuộc tính mẫu lưu lượng cho ứng dụng bảo mật lớp điều khiển Dựa kiến trúc SDN mở rộng, giải pháp phòng chống cơng DDoS kết hợp liệu thống kê lưu lượng SDN/Openflow SD làm tăng độ xác 107 phát hiện, phân loại, khơng làm tăng lưu lượng giao diện Openflow; xử lý, xóa bỏ lưu lượng cơng trực tiếp SD giúp giảm thời gian đáp ứng hệ thống Áp dụng kiến trúc SDN mở rộng, Chương đề xuất kỹ thuật phân loại giảm thiểu cơng DDoS dựa thuật tốn logic mờ kỹ thuật giảm thiểu công SYN Flood tới mạng SDN/Openflow sử dụng chế ủy nhiệm gói tin SYN SD Các kết phân tích mơ lưu lượng công thực từ lưu lượng CAIDA Netnam, kết chạy mơ hình thử nghiệm testbed cho thấy hiệu giải pháp đề xuất cải thiện so với giải pháp công bố Các kết chương đăng cơng trình cơng bố [C2], [J2] [J4] Đóng góp khoa học luận án: Luận án thực 02 đóng góp khoa học sau đây: Đề xuất kỹ thuật phát giảm thiểu cơng DDoS mơ hình dự đốn làm trơn hàm mũ với tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng công; kỹ thuật giảm thiểu công SYN Flood chế ủy nhiệm gói tin SYN sử dụng cơng nghệ SDN Đề xuất kiến trúc SDN/Openflow mở rộng với phân tích xử lý lưu lượng để nâng cao hiệu phát giảm thiểu công DDoS Hướng phát triển luận án: Do giới hạn điều kiện triển khai hệ thống nghiên cứu, Luận án số hạn chế sau: • Chưa xây dựng botnet với lưu lượng cơng, nguồn cơng đủ lớn để đo tính toán hiệu xử lý thời gian thực giải pháp, ảnh hưởng lưu lượng tương tác máy chủ máy khách Do giải pháp phân loại, phát giảm thiểu công chủ yếu phân tích lưu lượng chiều, chưa đánh giá số tham số hiệu giải pháp thời gian đáp ứng, mức độ chịu tải,… • Chưa nghiên cứu, đánh giá hiệu giải pháp loại công DDoS riêng Để tiếp tục nghiên cứu, phát triển kết đạt được, giải hạn chế, mở rộng phạm vi nghiên cứu ứng dụng thực tế, hướng nghiên cứu luận án đề xuất gồm: • Nghiên cứu triển khai hệ thống mạng thật, đặc biệt, xây dựng hệ thống botnet có quy mô lớn để mô lưu lượng công lưu lượng lành tính gần giống với mạng thực • Khảo sát đo số tham số hiệu giải pháp chưa thực thời gian đáp ứng, tốc độ gia tăng lưu lượng, xác định chu kỳ giám sát tối ưu, v.v… • Tiếp tục đề xuất giải pháp phòng chống DDoS dựa kỹ thuật SDN/Openflow theo loại công sở nghiên cứu đặc tính cơng cụ cơng phổ biến có để nâng cao hiệu phát giảm thiểu công 108 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN Các cơng trình cơng bố kết trực tiếp luận án [C1] - Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Nguyen Tai Hung, Bart Buype, Didier Colle, Kris Steenhaut, (2014), “An Enhanced Deterministic Flow Marking Technique to Efficiently Support Detection of Network Spoofing Attacks”, in The 2014 International Conference on Advanced Technologies for Communications (ATC'14), Hanoi, Vietnam, Oct 15-17, 2014, pages 446-451, DOI: https://doi.org/ 10.1109/ATC.2014.7043429 [C2] - Phan Van Trung, Truong Thu Huong, Dang Van Tuyen, Duong Minh Duc, Nguyen Huu Thanh, Alan Marshall, (2015), “A Multi-Criteria-based DDoS-Attack Prevention Solution using Software Defined Networking”, in The 2015 International Conference on Advanced Technologies for Communications (ATC'15), Hochiminh City, Vietnam, Oct 14-16, 2015, pages 308-313, DOI: https://doi.org/10.1109/ ATC.2015.7388340 [J1] - Đặng Văn Tuyên, Trương Thu Hương, Nguyễn Tài Hưng, (2015), “Đề xuất giải pháp phát giảm thiểu tác hại công DDoS phương pháp thống kê dựa kỹ thuật mạng cấu hình phần mềm SDN”, Tạp chí Khoa học Công nghệ, Đại học Đà nẵng, Số 11(96)/2015, ISSN: 1859-1531, trang 208-213 [J2] - Tuyen Dang-Van, Huong Truong-Thu, (2016), “A Multi-Criteria based Software Defined Networking System Architecture for DDoS-Attack Mitigation”, REV Journal on Electronics and Communications, Radio and Electronics Association of Vietnam, ISSN: 1859-378X, Vol 6, No 3–4, July–December, 2016, pages 50-58, DOI: http://dx.doi.org/ 10.21553/rev-jec.123 [J3] - Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Pham Ngoc Nam, Nguyen Ngoc Thanh, Alan Marshall, (2018), “SDN-based SYN Proxy - A solution to enhance performance of attack mitigation under TCP SYN flood”, The Computer Journal - Section D: Security in Computer Systems and Networks, Volume 62, Issue 4, April 2019, Pages 518–534, Oxford University Press, ISSN: 0010-4620 (Online: 1460-2067) (SCIE), DOI: https://doi.org/10.1093/comjnl/bxy117 [J4] - Dang Van Tuyen, Truong Thu Huong, (2018), “SSG - A solution to prevent saturation attack on the data plane and control plane in SDN/Openflow network”, Journal of Research and Development on Information and Communication Technology, Vietnam’s Ministry of Information and Communications, ISSN: 1859-3534, DOI: http://dx.doi.org/10.32913/rd-ict.833, (Chấp nhận đăng Vol E-2, No 16, 2019) Các cơng trình cơng bố có liên quan đến luận án [C3] - Trung V Phan, Truong Van Toan, Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, (2016), “OpenFlowSIA: An Optimized Protection Scheme for SoftwareDefined Networks from Flooding Attacks”, in The 2016 IEEE Sixth International Conference on Communications and Electronics (IEEE ICCE 2016), Halong, Quangninh, Vietnam, July 27-29, 2016, pages 14-18, DOI: https://doi.org/10.1109/ CCE.2016.7562606 109 TÀI LIỆU THAM KHẢO [1] Roger M Needham, “Denial of Service: An Example,” Commun ACM, vol 37, no 11, pp 42–46, Nov 1994 [2] J Mirkovic and P Reiher, “A taxonomy of DDoS attack and DDoS defense mechanisms,” ACM SIGCOMM Comput Commun Rev., vol 34, no 2, p 39, Apr 2004 [3] S T Zargar, J Joshi, and D Tipper, “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks,” IEEE Commun Surv Tutor., vol 15, no 4, pp 2046–2069, Apr 2013 [4] E Alomari, S Manickam, B B Gupta, S Karuppayah, and R Alfaris, “Botnet-based Distributed Denial of Service (DDoS) Attacks on Web Servers: Classification and Art,” Int J Comput Appl., vol 49, no 7, pp 24–32, Jul 2012 [5] VeriSign, Inc., “Verisign DDoS Trends Report - Volume 3, Issue - 4th Quarter 2016.” Verisign Pubic, Jan-2017 [6] Nexusguard Limited, “Threat Report - Distributed Denial of Service (DDoS) - Q3 2018.” NexusGuard, Oct-2018 [7] Kaspersky Lab., “DDoS Attacks in Q3 2018.” [Online] Available: https://securelist.com/ ddos-report-in-q3-2018/88617/ [Accessed: 07-Jan-2019] [8] A Networks, “NETSCOUT Arbor’s 2018 Annual Worldwide Infrastructure Security Report,” Arbor Networks® [Online] Available: https://www.netscout.com/report [Accessed: 20-Jan-2019] [9] T Kanti Srikantaiah and D Xiaoying, “The Internet and its impact on developing countries: examples from China and India,” Asian Libr., vol 7, no 9, pp 199–209, Sep 1998 [10] C Fu, G Zhang, J Yang, and X Liu, “Study on the contract characteristics of Internet architecture,” Enterp Inf Syst., vol 5, no 4, pp 495–513, Nov 2011 [11] J Fang, W Jintao, and T Wei, “On the Relationship between Internet and Traditional Communication Industry,” Insight - News Media, vol 1, no 1, pp 1–6, 2018 [12] L A Mohammed et al., “On the Design of SOHO Networks,” in Technological Developments in Networking, Education and Automation, Springer Netherlands, 2010, pp 555–560 [13] P Szewczyk and R Macdonald, “Broadband router security: History, challenges and future implications,” J Digit Forensics Secur Law, vol 12, no 4, pp 55–74, Jan 2017 [14] E Basinya and A Rudkovskiy, “Automatic Traffic Control System for SOHO Computer Networks,” in Recent Research in Control Engineering and Decision Making International Conference on Information Technologies: Information and Communication Technologies for Research and Industry (ICIT-2019), Saratov, Russia, 2019, pp 743– 754 110 [15] M H Bhuyan, H J Kashyap, D K Bhattacharyya, and J K Kalita, “Detecting Distributed Denial of Service Attacks: Methods, Tools and Future Directions,” Comput J., vol 57, no 4, pp 537–556, Apr 2014 [16] Y Kim, W C Lau, M C Chuah, and H J Chao, “PacketScore: a statistics-based packet filtering scheme against distributed denial-of-service attacks,” IEEE Trans Dependable Secure Comput., vol 3, no 2, pp 141–155, Apr 2006 [17] C.-F Tsai, Y.-F Hsu, C.-Y Lin, and W.-Y Lin, “Intrusion detection by machine learning: A review,” Expert Syst Appl., vol 36, no 10, pp 11994–12000, Dec 2009 [18] Eddy Wesley M., “Defenses Against TCP SYN Flooding Attacks,” Internet Protoc J., vol 9, no 4, pp 2–16, Dec 2006 [19] Open Networking Foundation, “SDN Architecture Overview Version 1.0,” 12-Dec-2013 [Online] Available: https://www.opennetworking.org/images/stories/downloads/sdnresources/technical-reports/SDN-architecture-overview-1.0.pdf [Accessed: 12-Jul2018] [20] Open Networking Foundation, “OpenFlow Switch Specification Version 1.5.1 (Protocol version 0x06),” 26-Mar-2015 [Online] Available: https://www.opennetworking.org/wpcontent/uploads/2014/10/openflow-switch-v1.5.1.pdf [Accessed: 12-Jul-2018] [21] K Giotis, C Argyropoulos, G Androulidakis, D Kalogeras, and V Maglaris, “Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments,” Comput Netw., vol 62, pp 122–136, Apr 2014 [22] R Braga, E Mota, and A Passito, “Lightweight DDoS flooding attack detection using NOX/OpenFlow,” in IEEE Local Computer Network Conference, Denver, CO, USA, 2010, pp 408–415 [23] C.-J Chung, P Khatkar, T Xing, J Lee, and D Huang, “NICE: Network Intrusion Detection and Countermeasure Selection in Virtual Network Systems,” IEEE Trans Dependable Secure Comput., vol 10, no 4, pp 198–211, Jul 2013 [24] S Lim, J Ha, H Kim, Y Kim, and S Yang, “A SDN-oriented DDoS blocking scheme for botnet-based attacks,” in 2014 Sixth International Conference on Ubiquitous and Future Networks (ICUFN), Shanghai, China, 2014, pp 63–68 [25] T Xing, D Huang, L Xu, C J Chung, and P Khatkar, “SnortFlow: A OpenFlow-based intrusion prevention system in cloud environment,” in Proceedings - 2013 2nd GENI Research and Educational Experiment Workshop, GREE 2013, Salt Lake, Utah, USA, 2013, pp 89–92 [26] T Chin, X Mountrouidou, X Li, and K Xiong, “Selective Packet Inspection to Detect DoS Flooding Using Software Defined Networking (SDN),” in 2015 IEEE 35th International Conference on Distributed Computing Systems Workshops, Columbus, OH, USA, 2015, pp 95–99 [27] Sufian Hameed and Hassan Ahmed Khan, “SDN Based Collaborative Scheme for Mitigation of DDoS Attacks,” Future Internet, vol 10, no 3, p 23, Feb 2018 [28] S Shin, V Yegneswaran, P Porras, and G Gu, “AVANT-GUARD: scalable and vigilant switch flow management in software-defined networks,” in Proceedings of the 2013 111 ACM SIGSAC conference on Computer & communications security - CCS ’13, Berlin, Germany, 2013, pp 413–424 [29] M Ambrosin, M Conti, F De Gaspari, and R Poovendran, “LineSwitch: Efficiently Managing Switch Flow in Software-Defined Networking While Effectively Tackling DoS Attacks,” in Proceedings of the 10th ACM Symposium on Information, Computer and Communications Security, New York, NY, USA, 2015, pp 639–644 [30] M Ambrosin, M Conti, F De Gaspari, and R Poovendran, “LineSwitch: Tackling Control Plane Saturation Attacks in Software-Defined Networking,” IEEEACM Trans Netw., vol 25, no 2, pp 1206–1219, Nov 2016 [31] V D Gligor, “A Note on Denial-of-Service in Operating Systems,” Softw Eng IEEE Trans On, vol SE-10, no 3, pp 320–324, Jun 1984 [32] Q Yan, F R Yu, Q Gong, and J Li, “Software-Defined Networking (SDN) and Distributed Denial of Service (DDoS) Attacks in Cloud Computing Environments: A Survey, Some Research Issues, and Challenges,” IEEE Commun Surv Tutor., vol 18, no 1, pp 602–622, Firstquarter 2016 [33] T Peng, C Leckie, and K Ramamohanarao, “Survey of Network-based Defense Mechanisms Countering the DoS and DDoS Problems,” ACM Comput Surv., vol 39, no 1, Apr 2007 [34] F Lau, S H Rubin, M H Smith, and L Trajkovic, “Distributed denial of service attacks,” in Proceedings of 2000 IEEE International Conference on Systems, man and cybernetics “Cybernetics evolving to systems, humans, organizations, and their complex interactions,” Nashville, TN, USA, 2000, vol 3, pp 2275–2280 vol.3 [35] N Dayal, P Maity, S Srivastava, and R Khondoker, “Research Trends in Security and DDoS in SDN: Research Trends in Security and DDoS in SDN,” Secur Commun Netw., vol 9, no 18, pp 6386–6411, Dec 2016 [36] C Douligeris and A Mitrokotsa, “DDoS attacks and defense mechanisms: Classification and state-of-the-art,” Comput Netw., vol 44, no 5, pp 643–666, Apr 2004 [37] O Yevsieieva and S M Helalat, “Analysis of the impact of the slow HTTP DOS and DDOS attacks on the cloud environment,” in 2017 4th International Scientific-Practical Conference Problems of Infocommunications Science and Technology (PICST), Kharkov, Ukraine, 2017, pp 519–523 [38] Abor Networks, “13th Worldwide Infrastructure Security Report,” 2018 [Online] Available: https://pages.arbornetworks.com/rs/082-KNA-087/images/13th_Worldwide_ Infrastructure_Security_Report.pdf [Accessed: 28-Dec-2018] [39] Postel, J., “Transmission Control Protocol, DAPRA Internet Program - Protocol Specification, RFC 793,” Sep-1981 [Online] Available: https://tools.ietf.org/ html/rfc793 [40] W M Eddy , “TCP SYN Flooding Attacks and Common Mitigations.” [Online] Available: https://tools.ietf.org/html/rfc4987 [Accessed: 18Nov-2018] [41] A T Mizrak, S Savage, and K Marzullo, “Detecting compromised routers via packet forwarding behavior,” IEEE Netw., vol 22, no 2, pp 34–39, Mar 2008 112 [42] K Park and H Lee, “On the Effectiveness of Route-based Packet Filtering for Distributed DoS Attack Prevention in Power-law Internets,” in Proceedings of the 2001 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications, New York, NY, USA, 2001, pp 15–26 [43] J M Gonzalez, M Anwar, and J B D Joshi, “A trust-based approach against IPspoofing attacks,” in 2011 Nineth Annual International Conference on Privacy, Security and Trust (PST 2011), Montreal, Quebec, Canada, 2011, pp 63–70 [44] J R Hughes, T Aura, and M Bishop, “Using conservation of flow as a security mechanism in network protocols,” in Proceeding 2000 IEEE Symposium on Security and Privacy (SP 2000), Berkeley, California, USA, 2000, pp 132–141 [45] J Mirkovic, G Prier, and P Reiher, “Attacking DDoS at the source,” in Proceedings of the 10th IEEE International Conference on Network Protocols (ICNP 2002), Paris, France, 2002, pp 312–321 [46] A Yaar, A Perrig, and D Song, “Pi: a path identification mechanism to defend against DDoS attacks,” in 2003 Symposium on Security and Privacy, Berkeley, CA, USA, 2003, pp 93–107 [47] Y Xiang, W Zhou, and M Guo, “Flexible Deterministic Packet Marking: An IP Traceback System to Find the Real Source of Attacks,” IEEE Trans Parallel Distrib Syst., vol 20, no 4, pp 567–580, Apr 2009 [48] V Aghaei-Foroushani and A N Zincir-Heywood, “On Evaluating IP Traceback Schemes: A Practical Perspective,” in 2013 IEEE Security and Privacy Workshops (SPW), University of California, Berkeley, USA, 2013, pp 127–134 [49] S Savage, D Wetherall, A Karlin, and T Anderson, “Practical Network Support for IP Traceback,” in Proceedings of the Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication, New York, NY, USA, 2000, pp 295–306 [50] A Belenky and N Ansari, “Tracing multiple attackers with deterministic packet marking (DPM),” in 2003 IEEE Pacific Rim Conference on Communications Computers and Signal Processing (PACRIM 2003) (Cat No.03CH37490), Victoria, BC, Canada, 2003, vol 1, pp 49–52 vol.1 [51] Daniel J Bernstein, “SYN cookies.” syncookies.html [Accessed: 30-Aug-2018] [Online] Available: https://cr.yp.to/ [52] P Gogoi, D K Bhattacharyya, B Borah, and J K Kalita, “A Survey of Outlier Detection Methods in Network Anomaly Identification,” Comput J., vol 54, no 4, pp 570–588, Apr 2011 [53] M Ahmed, A Naser Mahmood, and J Hu, “A survey of network anomaly detection techniques,” J Netw Comput Appl., vol 60, pp 19–31, Jan 2016 [54] A Patcha and J.-M Park, “An overview of anomaly detection techniques: Existing solutions and latest technological trends,” Comput Netw., vol 51, no 12, pp 3448–3470, Aug 2007 [55] M Javed, A B Ashfaq, M Z Shafiq, and S A Khayam, “On the Inefficient Use of Entropy for Anomaly Detection,” in Recent Advances in Intrusion Detection, vol 5758, 113 E Kirda, S Jha, and D Balzarotti, Eds Berlin, Heidelberg: Springer Berlin Heidelberg, 2009, pp 369–370 [56] S Mukkamala, G Janoski, and A Sung, “Intrusion detection using neural networks and support vector machines,” in Proceedings of the 2002 International Joint Conference on Neural Networks IJCNN’02 (Cat No.02CH37290), Honolulu, HI, USA, 2002, vol 2, pp 1702–1707 vol.2 [57] C Kruegel, D Mutz, W Robertson, and F Valeur, “Bayesian event classification for intrusion detection,” in 19th Annual Computer Security Applications Conference, 2003 Proceedings., Las Vegas, Nevada, USA, 2003, pp 14–23 [58] H Gunes Kayacik, A Nur Zincir-Heywood, and M I Heywood, “A hierarchical SOMbased intrusion detection system,” Eng Appl Artif Intell., vol 20, no 4, pp 439–451, Jun 2007 [59] T Komatsu and A Namatame, “On the Effectiveness of Rate-Limiting Methods to Mitigate Distributed DoS (DDoS) Attacks,” IEICE Trans Commun., vol E90-B, no 10, pp 2665–2672, Oct 2007 [60] N Z Bawany, J A Shamsi, and K Salah, “DDoS Attack Detection and Mitigation Using SDN: Methods, Practices, and Solutions,” Arab J Sci Eng., vol 42, no 2, pp 425–441, Feb 2017 [61] Bradley Mitchell, “How SOHO Routers and Networks Differ From Ordinary Ones,” Lifewire [Online] Available: https://www.lifewire.com/soho-routers-and-networksexplained-3971344 [Accessed: 02-Apr-2019] [62] A Bisong and S S M Rahman, “An Overview Of The Security Concerns In Enterprise Cloud Computing,” Int J Netw Secur Its Appl., vol 3, no 1, pp 30–45, Jan 2011 [63] D Oxenhandler, “Designing a Secure Local Area Network,” SANS Institute, 2003 [Online] Available: https://www.sans.org/reading-room/whitepapers/bestprac/ designing-secure-local-area-network-853 [Accessed: 12-Dec-2018] [64] J Hietala, “Network Security- A Guide for Small and Mid-sized Businesses,” SANS Institute, 2005 [Online] Available: https://www.sans.org/reading-room/whitepapers/ basics/network-security-guide-small-mid-sized-businesses-1539 [Accessed: 12-Dec2018] [65] “SDN Controller Vendors (SDN Controller Companies) - Part 1.” [Online] Available: https://www.sdxcentral.com/sdn/definitions/sdn-controllers/sdn-controllerscomprehensive-list/ [Accessed: 30-Dec-2018] [66] “SDN Controller Comparison Part 2: Open Source SDN Controllers.” [Online] Available: https://www.sdxcentral.com/sdn/definitions/sdn-controllers/open-source-sdncontrollers/ [Accessed: 30-Dec-2018] [67] S Jain et al., “B4: Experience with a Globally-deployed Software Defined Wan,” in Proceedings of the ACM SIGCOMM 2013 Conference on SIGCOMM, New York, NY, USA, 2013, pp 3–14 [68] “Huawei Agile Campus Network Solution Brochure (Compact Version),” Huawei Enterprise [Online] Available: https://e.huawei.com/en/material/ 114 onLineView?MaterialID=de61d5ca95954c85bd96e2e9c9108401 [Accessed: 30-Dec2018] [69] The Linux Foundation Collaborative Project, “Open vSwitch.” [Online] Available: https://www.openvswitch.org/ [Accessed: 18-Aug-2018] [70] “The POX network software platform,” GitHub [Online] Available: https://github.com/ noxrepo/pox [Accessed: 28-Aug-2018] [71] “Ryu SDN Framework.” [Online] Available: https://osrg.github.io/ryu/ [Accessed: 18Nov-2018] [72] P Berde et al., “ONOS: towards an open, distributed SDN OS,” in Proceedings of the third workshop on Hot topics in Software Defined Networking - HotSDN ’14, Chicago, Illinois, USA, 2014, pp 1–6 [73] “OpenDaylight.” [Online] Available: https://www.opendaylight.org/ [Accessed: 18Nov-2018] [74] “Floodlight OpenFlow Controller,” Project Floodlight [Online] http://www.projectfloodlight.org/floodlight/ [Accessed: 26-Sep-2018] Available: [75] NOX Repo, “The NOX Controller,” 10-Oct-2018 https://github.com/noxrepo/nox [Accessed: 18-Nov-2018] Available: [Online] [76] “Mininet: An Instant Virtual Network on your Laptop (or other PC) - Mininet.” [Online] Available: http://mininet.org/ [Accessed: 30-Dec-2018] [77] R Wang, Z Jia, and L Ju, “An Entropy-Based Distributed DDoS Detection Mechanism in Software-Defined Networking,” in Proceedings of the 2015 IEEE Trustcom/BigDataSE/ISPA - Volume 01, Washington, DC, USA, 2015, pp 310–317 [78] S A Mehdi, J Khalid, and S A Khayam, “Revisiting Traffic Anomaly Detection Using Software Defined Networking,” in Recent Advances in Intrusion Detection, vol 6961, R Sommer, D Balzarotti, and G Maier, Eds Berlin, Heidelberg: Springer Berlin Heidelberg, 2011, pp 161–180 [79] S Dotcenko, A Vladyko, and I Letenko, “A fuzzy logic-based information security management for software-defined networks,” in 16th International Conference on Advanced Communication Technology, Pyeongchang, Korea (South), 2014, pp 167–171 [80] R Jin and B Wang, “Malware Detection for Mobile Devices Using Software-Defined Networking,” in 2013 Second GENI Research and Educational Experiment Workshop, Salt Lake, UT, USA, 2013, pp 81–88 [81] C Dillon and M Berkelaar, “OpenFlow (D)DoS Mitigation.” [Online] Available: http://www.delaat.net/rp/2013-2014/p42/presentation.pdf [Accessed: 28-Dec-2018] [82] S Shin, P Porras, V Yegneswaran, M Fong, G Gu, and M Tyson, “FRESCO: Modular Composable Security Services for Software-Defined Networks,” in Network and Distributed System Security Symposium, San Diego, California, 2013, pp 1–16 [83] S E Schechter, J Jung, and A W Berger, “Fast Detection of Scanning Worm Infections,” in Proceedings of the International Workshop on Recent Advances in Intrusion Detection (RAID 2004), Sophia Antipolis, France, 2004, pp 59–81 115 [84] M M Williamson, “Throttling viruses: restricting propagation to defeat malicious mobile code,” in Proceedings of the 18th Annual Computer Security Applications Conference, 2002, Las Vegas, NV, USA, 2002, pp 61–68 [85] S T Ali, V Sivaraman, A Radford, and S Jha, “A Survey of Securing Networks Using Software Defined Networking,” IEEE Trans Reliab., vol 64, no 3, pp 1086–1097, Sep 2015 [86] A F M Piedrahita, S Rueda, D M F Mattos, and O C M B Duarte, “Flowfence: a denial of service defense system for software defined networking,” in Proceedings of the 2015 Global Information Infrastructure and Networking Symposium (GIIS 2015), Guadalajara, Mexico, 2015, pp 1–6 [87] L von Ahn, M Blum, N J Hopper, and J Langford, “CAPTCHA: Using Hard AI Problems for Security,” in Proceedings of the International Conference on the Theory and Applications of Cryptographic Techniques - Advances in Cryptology — EUROCRYPT 2003, Warsaw, Poland, 2003, pp 294–311 [88] E Al-Shaer and S Al-Haj, “FlowChecker: configuration analysis and verification of federated openflow infrastructures,” in Proceedings of the 3rd ACM workshop on Assurable and usable security configuration, Chicago, IL, USA, 2010, pp 37–44 [89] “FlowVisor: A network hypervisor,” 12-Dec-2018 [Online] https://github.com/opennetworkinglab/flowvisor [Accessed: 10-Jul-2018] Available: [90] “Network Verification Tools,” Veriflow [Online] Available: https://www.veriflow.net/ [Accessed: 02-Jan-2019] [91] G Yao, J Bi, and P Xiao, “Source address validation solution with OpenFlow/NOX architecture,” in 2011 19th IEEE International Conference on Network Protocols, Vancouver, AB, Canada, 2011, pp 7–12 [92] R Kandoi and M Antikainen, “Denial-of-service attacks in OpenFlow SDN networks,” in 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM), Ottawa, Canada, 2015, pp 1322–1326 [93] P Zhang, H Wang, C Hu, and C Lin, “On Denial of Service Attacks in Software Defined Networks,” IEEE Netw., vol 30, no 6, pp 28–33, Nov 2016 [94] R Kloti, V Kotronis, and P Smith, “OpenFlow: A security analysis,” in 2013 21st IEEE International Conference on Network Protocols (ICNP), Goettingen, Germany, 2013, pp 1–6 [95] D Kreutz, F M V Ramos, and P Verissimo, “Towards secure and dependable softwaredefined networks,” in Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking - HotSDN ’13, Hong Kong, China, 2013, p 55 [96] B Wang, Y Zheng, W Lou, and Y T Hou, “DDoS Attack Protection in the Era of Cloud Computing and Software-Defined Networking,” in 2014 IEEE 22nd International Conference on Network Protocols, Raleigh, NC, USA, 2014, pp 624–629 [97] L Wei and C Fung, “FlowRanger: A request prioritizing algorithm for controller DoS attacks in Software Defined Networks,” in 2015 IEEE International Conference on Communications (ICC), London, England, 2015, pp 5254–5259 116 [98] N I Mowla, I Doh, and K Chae, “Multi-defense Mechanism against DDoS in SDN Based CDNi,” in 2014 Eighth International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing, Birmingham, UK, 2014, pp 447–451 [99] S Fichera, L Galluccio, S C Grancagnolo, G Morabito, and S Palazzo, “OPERETTA: An OPEnflow-based REmedy to mitigate TCP SYNFLOOD Attacks against web servers,” Comput Netw., vol 92, Part 1, pp 89–100, Dec 2015 [100] X Wang, M Chen, and C Xing, “SDSNM: A Software-Defined Security Networking Mechanism to Defend against DDoS Attacks,” in 2015 Ninth International Conference on Frontier of Computer Science and Technology (FCST), Dalian, China, 2015, pp 115– 121 [101] F R Johnston, J E Boyland, M Meadows, and E Shale, “Some Properties of a Simple Moving Average when Applied to Forecasting a Time Series,” J Oper Res Soc., vol 50, pp 1267–1271, Dec 1999 [102] S H Shih and C P Tsokos, “A Weighted Moving Average Process for Forecasting,” J Mod Appl Stat Methods, vol 7, no 1, pp 187–197, May 2008 [103] Bo Zhou, Dan He, and Zhili Sun, “Traffic Modeling and Prediction using ARIMA/GARCH Model,” in Modeling and Simulation Tools for Emerging Telecommunication Networks, A Nejat Ince and Ercan Topuz, Eds Springer International Publishing, 2006, pp 101–121 [104] Y Zhuang, L Chen, X S Wang, and J Lian, “A Weighted Moving Average-based Approach for Cleaning Sensor Data,” in 27th International Conference on Distributed Computing Systems (ICDCS ’07), Toronto, ON, Canada, 2007, pp 38–38 [105] R J Hyndman, A B Koehler, R D Snyder, and S Grose, “A state space framework for automatic forecasting using exponential smoothing methods,” Int J Forecast., vol 18, no 3, pp 439–454, 2002 [106] F Wamser, R Pries, D Staehle, K Heck, and P Tran-Gia, “Traffic characterization of a residential wireless Internet access,” Telecommun Syst., vol 48, no 1–2, pp 5–17, Oct 2011 [107] Center for Applied Internet Data, “The CAIDA Anonymized Internet Traces 2013 Dataset,” CAIDA [Online] Available: http://www.caida.org/data/ passive/passive_2013_dataset.xml [Accessed: 29-Sep-2018] [108] Center for Applied Internet Data, “The CAIDA ‘DDoS Attack 2007’ Dataset,” CAIDA [Online] Available: http://www.caida.org/data/passive/ddos-20070804_dataset.xml [Accessed: 07-Jan-2019] [109] Philippe Biondi and the Scapy community, “Scapy,” Scapy Project [Online] Available: https://scapy.net/ [Accessed: 18-Nov-2018] [110] Radware & NEC Corporation of America, “Denial-of-Service (DoS) Secured Virtual Tenant Networks (VTN).” Radware, Ltd, 2012 [111] Kaspersky Lab., “DDoS attacks in Q1 2018.” [Online] Available: https://securelist.com/ ddos-report-in-q1-2018/85373/ [Accessed: 07-Dec-2018] [112] J Lemon, “Resisting SYN flood DoS attacks with a SYN cache,” in Proceedings of the BSDCon 2002, San Francisco, CA, USA, pp 89–98 117 [113] S Kumar, S Member, and R S Reddy Gade, “Evaluation of Microsoft Windows Servers 2008 & 2003 against Cyber Attacks,” J Inf Secur., vol 06, no 02, pp 155–160, 2015 [114] “NetFPGA.” [Online] Available: https://netfpga.org/site/#/ [Accessed: 10-Jan-2019] [115] Markus Goldstein, “BoNeSi: the DDoS Botnet Simulator,” BoNeSi, 02-Sep-2018 [Online] Available: https://github.com/Markus-Go/bonesi [Accessed: 06-Sep-2018] [116] “Tcpreplay - Pcap editing and replaying utilities.” https://tcpreplay.appneta.com/ [Accessed: 26-Sep-2018] [Online] Available: [117] “Linux.org,” Linux.org [Online] Available: https://www.linux.org/ [Accessed: 10-Jan2019] [118] S Savage, D Wetherall, A Karlin, and T Anderson, “Network support for IP traceback,” IEEEACM Trans Netw., vol 9, no 3, pp 226–237, Jun 2001 [119] J Liu, Z.-J Lee, and Y.-C Chung, “Dynamic probabilistic packet marking for efficient IP traceback,” Comput Netw., vol 51, no 3, pp 866–882, Feb 2007 [120] V Paruchuri, A Durresi, R Kannan, and S Iyengar, “Authenticated Autonomous System Traceback,” in Proceedings of the 18th International Conference on Advanced Information Networking and Applications (AINA 2014), Fukuoka, Japan, 2004, vol 1, pp 406–413 [121] M Alenezi and M Reed, “Efficient AS DoS traceback,” in Proceedings of the International Conference on Computer Applications Technology, ICCAT 2013, Sousse,Tunisia, 2013, pp 1–5 [122] A Belenky and N Ansari, “IP traceback with deterministic packet marking,” IEEE Commun Lett., vol 7, no 4, pp 162–164, Apr 2003 [123] V K Soundar Rajam and S Shalinie, “A novel traceback algorithm for DDoS attack with marking scheme for online system,” in Proceedings of the 2012 International Conference on Recent Trends in Information Technology, Chennai, Tamil Nadu, India, 2012, pp 407–412 [124] K Nichols, D L Black, S Blake, and F Baker, “Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers.” [Online] Available: https://tools.ietf.org/ html/rfc2474 [Accessed: 10-Dec-2018] [125] S Floyd, K K Ramakrishnan, and D L Black, “The Addition of Explicit Congestion Notification (ECN) to IP.” [Online] Available: https://tools.ietf.org/html/rfc3168 [Accessed: 10-Jan-2019] [126] B Claise, “Cisco Systems NetFlow Services Export Version 9.” [Online] Available: https://tools.ietf.org/html/rfc3954 [Accessed: 18-Nov-2018] [127] D D Clark, “IP datagram reassembly algorithms.” https://tools.ietf.org/html/rfc815 [Accessed: 10-Jan-2019] [Online] Available: [128] W Simpson, “The Point-to-Point Protocol (PPP).” https://tools.ietf.org/html/rfc1661 [Accessed: 10-Jan-2019] [Online] Available: [129] S Shin and G Gu, “Attacking Software-defined Networks: A First Feasibility Study,” in Proceedings of the Second ACM SIGCOMM Workshop on Hot Topics in Software Defined Networking, New York, NY, USA, 2013, pp 165–166 118 [130] S Scott-Hayward, S Natarajan, and S Sezer, “A Survey of Security in Software Defined Networks,” IEEE Commun Surv Tutor., vol 18, no 1, pp 623–654, 2016 [131] M Sugeno, Industrial Applications of Fuzzy Control New York, NY, USA: Elsevier Science Inc., 1985 [132] J L Deng, “Introduction to Grey System Theory,” J Grey Syst., vol 1, no 1, pp 1–24, Nov 1989 [133] S Liu and Y Lin, Grey Information: Theory and Practical Applications London: Springer-Verlag, 2006 [134] E Kayacan, B Ulutas, and O Kaynak, “Grey System Theory-based Models in Time Series Prediction,” Expert Syst Appl, vol 37, no 2, pp 1784–1789, Mar 2010 [135] S Wang, Q Sun, H Zou, and F Yang, “Detecting SYN flooding attacks based on traffic prediction: A demonstration of the security comm networks class file,” Secur Commun Netw., vol 5, no 10, pp 1131–1140, Oct 2012 [136] Open Networking Foundation, “OpenFlow Switch Specification Version 1.3.0 (Wire Protocol 0x04),” 25-Jun-2012 [Online] Available: https://www.opennetworking.org/ wp-content/uploads/2014/10/openflow-spec-v1.3.0.pdf [Accessed: 12-Jul-2018] [137] The Linux Foundation Projects, “Data Plane Development Kit (DPDK),” DPDK [Online] Available: https://www.dpdk.org/ [Accessed: 18-Aug-2018] [138] “Wireshark.” [Online] Available: https://www.wireshark.org/ [Accessed: 26-Sep2018] ... lành tính phân tích từ lưu lượng CAIDA 103 xiv MỞ ĐẦU Tấn công từ chối dịch vụ phân tán công nghệ SDN 1.1 Tấn công từ chối dịch vụ phân tán - Trong năm gần đây, phát triển mạnh mẽ công nghệ thông...BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN Ngành: Kỹ thuật... dùng hợp pháp với máy chủ Tấn công DDoS Tấn công từ chối dịch vụ phân tán (DDoS) [3], [15], [34] dạng phát triển mức độ cao công DoS sử dụng kỹ thuật lưu lượng lưu lượng công huy động lúc từ nhiều