NATIONAL BIBLIOGRAPHY NUMBER
Number
۲۱۷۴۶پ
LANGUAGE OF THE ITEM
.Language of Text, Soundtrack etc
per
TITLE AND STATEMENT OF RESPONSIBILITY
Title Proper
بهبود امنیت لایههای کنترل و ارتباط در شبکههای نرمافزارمحور با استفاده از معماریهای باقابلیت دسترسپذیری بالا
Parallel Title Proper
Improved Security of Control and Communication Layers in Software Defined Network using High Availability Architecture
First Statement of Responsibility
/پریسا ولیزاده
.PUBLICATION, DISTRIBUTION, ETC
Name of Publisher, Distributor, etc.
: علوم برق و کامپیوتر
Date of Publication, Distribution, etc.
، ۱۳۹۷
Name of Manufacturer
، افشاری
PHYSICAL DESCRIPTION
Specific Material Designation and Extent of Item
۸۴ص
NOTES PERTAINING TO PUBLICATION, DISTRIBUTION, ETC.
Text of Note
چاپی - الکترونیکی
DISSERTATION (THESIS) NOTE
Dissertation or thesis details and type of degree
کارشناسی ارشد
Discipline of degree
علوم کامپیوتر
Date of degree
۱۳۹۷/۱۱/۱۷
Body granting the degree
تبریز
SUMMARY OR ABSTRACT
Text of Note
شبکه نرمافزارمحور یک رویکرد جدید با هدف سادهصسازی مدیریت شبکه با قابلیت برنامهصنویسی و برنامهریزی در شبکه را معرفی کرده است .منطق کنترل، شبکه را از روترها و سوئیچصهای زیرین جدا کرده و کنترل شبکه را بهصورت منطقی متمرکز کرده است .بهصعلت وجود کنترلکننده مرکزی بحث امنیت در شبکهصهای نرمصافزارمحور اهمیت زیادی دارد .کنترلصکننده مرکزی نقطه اصلی تصمیمگیری شبکه و نقطه مرکزی شکست است که میصتواند بهصعنوان هدف اصلی مهاجمان سایبری قرار گیرد .حملات منع از سرویس توزیعشده یک حمله شناختهشده گسترده است و با فرستادن ترافیک سنگین سعی دارد منابع کامپیوتری و شبکههای کامپیوتری را مختل کرده و از سرویس خارج کند .در حملات توزیعشده، تشخیص حمله بهصورت تشخیص در محل صورت نمیصپذیرد و باید مکانیزمصهای پیشرفتهصتری استفاده شود .در این پایانصنامه شناسایی حملات منع از سرویس توزیعشده به روش آنتروپی و نرخ ورود بستهص بر ثانیه پیشنهاد شده است .الگوریتم آنتروپی در این پایانصنامه توسعه یافته است، و مقدار آستانه آن بهصورت پویا در نظر گرفته میصشود تا گزارشهای منفی کاذب و مثبت کاذب را کاهش دهد .به دلیل عدم توانایی تشخیص حمله چند قربانی، الگوریتم دیگری با عنوان نرخ بسته بر ثانیه برای تشخیص حملات چند قربانی پیشنهاد شده است .این الگوریتم با محاسبه ترافیک عبوری شبکه و افزایش احتمالی آن به تشخیص حملات میصپردازد .برای بالا بردن نرخ تشخیص صحیح حمله، روش نوینی با عنوان عملیات شناسایی مسیر حمله، و استفاده از آمارگیری از جریانصهای ورودی سوئیچصها و مقایسه آن با مقدار آستانه جریانصها برای تائید وجود حمله ارائه شده است .آستانه جریان سویئچصها در ابتدا با ایجاد ترافیک قانونی در شبکه و یادگیری آن به ازای هر کدام از سوئیچصها به دست آمده است .نتایج نشان میصدهد که الگوریتم تشخیص حملات منع از سرویس توزیع شده برای حملات تک قربانی قدرت تشخیص ۹۸۵ درصدی و برای حملات چندقربانی دقت تشخیص ۹۵ درصدی دارد .بعد از تشخیص حمله، روشی برای مقابله با حمله پیشنهاد میصشود که نتایج کاهش قابل توجهی از قدرت تخریب حمله را نشانص میصدهد .از کنترلکنندههای توزیعشده هماهنگ با یکدیگر در لایه کنترل بهعنوان معماریهای با قابلیت دسترسپذیری بالا استفاده شده است تا معایب وجود نقطه تنهای شکست در کنترلصکننده مرکزی برطرف شود .بهصعلاوه برای بالا بردن امنیت کانال ارتباطی بین سوئیچ و کنترلصکننده استفاده از پروتکل رمزنگاری SSL/TLS پیشنهاد شده است .این تحقیق، با استفاده از شبکه مجازی mininet و کنترلصکننده floodlight در سیستمصعامل لینوکس اوبونتو شبیهصسازی شده است .نتایج این تحقیق با الگوریتم آنتروپی مقایسه شده است و بهبود قابل توجه را نشان میداد .بهصعلاوه الگوریتم تشخیصی ارائه شده در این پایانصنامه قادر به تشخیص حملات چندقربانی است که الگوریتم آنتروپی ناتوان از آن است
Text of Note
The software-centric network has introduced a new approach aimed at simplifying network management with network programming and programming capabilities. The control logic separates the network from the routers and switches below and controls the network logically. Due to the existence of a central controller, security issues in the software-centric networks have great importance. The central controller is the decision center of the network which makes it the single port of failure. Central controller could be the main target of cyber-attacks. In distributed attacks, detection of an attack is not detected in-place and needs more advanced mechanisms. In this thesis, two methods as entropy-based and packet-per-second rate are proposed to Detection of Distributed denial of attack (DDOS). Entropy algorithm is developed and its threshold is dynamically considered to reduce false positive and false negative reports. In addition, an algorithm called packet rate per second is proposed for detection of multi-host attacks. This algorithm calculates throughput of the network and detects attacks by its increase. In order to increase the detection rate of the attack, a new method called "Detection of the attack path", and flow statistics of the switches comparison with flow statistics threshold is proposed to confirm the existence of an attack. Results show that the detection accuracy of the algorithm in single host attack is 98.5 percent and for multi-host attack is 95 percent. After detection of the attack, a method to reduce the impact of an attack is proposed. Moreover, using of distributed controllers in the control layer as a high-available architecture in the purpose of removing a single point of failure of a central controller is proposed. In this research, the use of the SSL / TLS encryption protocol has been proposed to enhance security of the communication channel between the switches and the controller. The research has been simulated using the Mininet virtual network and the floodlight controller in the Ubuntu Linux operating system. The results of this study were compared with the entropy algorithm and showed significant improvement. Moreover, the detection algorithm proposed in this thesis can detect multi-host attacks which entropy algorithm fails
PARALLEL TITLE PROPER
Parallel Title
Improved Security of Control and Communication Layers in Software Defined Network using High Availability Architecture
PERSONAL NAME - PRIMARY RESPONSIBILITY
ولیزاده، پریسا
Valizadeh , Parisa
ELECTRONIC LOCATION AND ACCESS
Public note
سیاه و سفید
نمایهسازی قبلی
