Дослідження методів захисту розподілених систем від DDoS-атак

Abstract

У магістерській кваліфікаційній роботі досліджено актуальну проблему розроблення методів захисту розподілених систем шляхом протидії атакам типу «відмова в обслуговуванні» (DDoS). У зв’язку зі зростанням складності сучасних розподілених мереж і широким використанням хмарних сервісів, мобільних пристроїв та IoT, питання захисту від DDoS-атак набуло особливої важливості. Атаки цього типу здатні виводити з ладу вузли мережі шляхом перевантаження системи великою кількістю шкідливих запитів, що призводить до деградації продуктивності, недоступності сервісів та втрат бізнесу. У роботі проаналізовано потенціал програмно-керованих мереж (Software- Defined Networking, SDN) для підвищення ефективності мережевої безпеки, зокрема у сфері виявлення та нейтралізації DDoS-атак. Зазначено, що традиційні підходи до захисту часто не відповідають вимогам динамічності та масштабованості сучасних інфокомунікаційних систем. Натомість SDN надає нові можливості для гнучкого управління мережею, централізованого збору інформації та оперативної зміни політик безпеки завдяки логічному поділу рівнів керування та переспрямування трафіку. Це дає змогу інтегрувати засоби машинного навчання та інтелектуального аналізу трафіку у загальну архітектуру мережевої безпеки. У межах роботи запропоновано ефективний трирівневий механізм захисту, реалізований на базі SDN-контролера ONOS, для виявлення і фільтрації DDoS-атак. Механізм об’єднує декілька комплементарних методів аналізу трафіку. На першому рівні використано ентропію Реньї в поєднанні з класифікатором random forest для попереднього виявлення аномалій. Система виконує обробку мережевих потоків на основі статистичних характеристик, таких як зміна ентропії джерел і напрямів трафіку. На другому рівні застосовано двійкову згорткову нейронну мережу (BiCNN), яка аналізує зібрані ознаки підозрілих потоків на рівні окремих портів. Нарешті, третій рівень включає одновимірну згорткову нейронну мережу (OneDCNN), яка здійснює глибокий аналіз вмісту окремих пакетів у реальному часі, працюючи безпосередньо в основному потоці контролера. Такий підхід дозволяє комбінувати швидкість обробки з високою точністю виявлення, мінімізуючи вплив на продуктивність системи. У практичній частині дослідження побудовано тестову мережу за допомогою емулятора Mininet, яка складається з шести Open vSwitch-комутаторів, з’єднаних у кільцеву топологію, кожен із яких підключено до трьох хостів. Для моделювання DDoS-атак застосовано інструмент hping3, який генерує різні типи трафіку (UDP Flood, SYN Flood, ICMP Flood). ONOS-контролер використовувався для реалізації механізмів виявлення та протидії атакам, з інтеграцією до програмного рівня SDN. Розроблено програмний модуль для ONOS, який реалізує функціональність виявлення та пом’якшення DDoS-атак. Модуль отримує статистику потоків через OpenFlow, виконує попередню обробку даних, виділяє найбільш інформативні ознаки з використанням кореляційного аналізу та дерев рішень (DT), після чого передає їх класифікатору Random Forest для оцінки наявності атаки. У разі підтвердження загрози програма здійснює динамічне оновлення політик контролера шляхом інсталяції правил скидання підозрілих пакетів на відповідному комутаторі. Координація між модулями виявлення та протидії забезпечується через централізований логічний інтерфейс. Результати моделювання продемонстрували високу ефективність запропонованого механізму. Порівняно з іншими підходами, зокрема ?-ентропією, системами на основі Apache Spark Streaming, Flink, Dual-CNN, розроблене рішення показало вищу точність, recall і F1-оцінку при різних інтенсивностях DDoS-атак. Зокрема, при використанні BiCNN при інтенсивності атаки 20% було досягнуто точності виявлення 0,96. При застосуванні OneDCNN досягнуто ще вищих результатів: точність 0,972, precision 0,993, recall 0,975 і F1 = 0,984. Це свідчить про високу здатність системи до узагальнення та відсутність переобладнання. Загалом, запропонований підхід виявився ефективним навіть за зростання складності та інтенсивності атак. Особливої уваги заслуговує помірна складність моделі, що робить її придатною для впровадження в реальних умовах, включаючи обмежені за ресурсами граничні вузли (edge nodes). Модель демонструє хорошу масштабованість і адаптивність до різних мережевих сценаріїв. У роботі окреслено перспективи подальшого розвитку системи, зокрема впровадження у багатоконтроллерне середовище ONOS, що дасть змогу забезпечити вищий рівень відмовостійкості, покриття мережі та зниження затримок при поширенні інформації про загрози. Планується також розширення функціональності програми за рахунок динамічної зміни конфігурацій через CLI та інтеграцію інтерконтролерної комунікації для координації захисних заходів у масштабних топологіях. Дослідження демонструють, що інтеграція методів машинного навчання, зокрема нейронних мереж і статистичного аналізу, у середовища SDN є перспективним напрямом для побудови ефективних, адаптивних та масштабованих засобів протидії DDoS-атакам у розподілених сервісних мережах.The master's thesis investigates the pressing issue of developing protection methods for distributed systems by countering denial-of-service (DDoS) attacks. With the increasing complexity of modern distributed networks and the widespread use of cloud services, mobile devices, and the Internet of Things (IoT), the topic of protection from DDoS attacks has become particularly significant. These attacks can disrupt network nodes by overloading systems with malicious traffic, resulting in degraded performance, service unavailability, and business losses. The master's thesis analyzes the potential of Software-Defined Networking (SDN) to enhance network security, particularly in the context of detecting and mitigating DDoS attacks. It is emphasized that traditional security approaches often fail to meet the dynamic and scalable requirements of modern infocommunication systems. In contrast, SDN offers new opportunities for flexible network control, centralized information gathering, and rapid security policy adaptation due to the logical separation of control and data planes. This architectural advantage facilitates the integration of machine learning tools and intelligent traffic analysis into the overall security framework. The thesis proposes an efficient three-tier defense mechanism based on the ONOS SDN controller to detect and filter DDoS attacks. This mechanism combines several complementary traffic analysis methods. At the first level, Renyi entropy is used alongside a random forest classifier for preliminary anomaly detection. The system processes network flows based on statistical features such as entropy variations in traffic sources and destinations. The second level employs a binary convolutional neural network (BiCNN) to analyze extracted features of suspicious flows at the port level. The third level includes a one-dimensional convolutional neural network (OneDCNN) that performs deep packet content inspection in real time, integrated directly into the controller’s main processing loop. This approach balances processing speed with high detection accuracy while minimizing the performance overhead on the system. In the practical part of the research, a test network was built using the Mininet emulator, consisting of six Open vSwitch switches arranged in a ring topology, each connected to three hosts. The tool hping3 was used to simulate various types of DDoS attacks (UDP Flood, SYN Flood, ICMP Flood). The ONOS controller was employed to implement detection and mitigation mechanisms at the SDN application layer. A custom ONOS application module was developed to perform DDoS detection and mitigation. This module gathers flow statistics via OpenFlow, conducts preliminary data processing, extracts the most informative features using correlation analysis and decision trees (DT), and then passes them to a Random Forest classifier for attack detection. Upon confirming a threat, the system dynamically updates the controller’s security policy by installing drop rules on the relevant switches. Coordination between the detection and response components is achieved through a centralized logical interface. Simulation results demonstrated the high efficiency of the proposed mechanism. Compared to other approaches, such as ?-entropy, Apache Spark Streaming, Flink-based systems, and Dual-CNN, the developed solution achieved higher accuracy, recall, and F1- score across varying DDoS intensities. Specifically, BiCNN achieved a detection accuracy of 0.96 under 20% attack intensity. With OneDCNN, even better results were obtained: accuracy of 0.972, precision of 0.993, recall of 0.975, and F1-score of 0.984. These results indicate a strong generalization capability and no signs of overfitting. Overall, the approach remained effective even as attack complexity and intensity increased. Notably, the moderate computational complexity of the model makes it suitable for deployment in real-world scenarios, including resource-constrained edge nodes. The model also demonstrates good scalability and adaptability to various network conditions. The master's thesis outlines future development directions, including the integration of the system into a multi-controller ONOS environment, which would enhance resilience, network coverage, and reduce threat propagation delays. Planned improvements also include dynamic configuration updates via CLI and inter-controller communication for coordinated defense in large-scale topologies. The research confirms that integrating machine learning methods, particularly neural networks and statistical analysis into SDN environments is a promising approach to building efficient, adaptive, and scalable solutions for combating DDoS attacks in distributed service networks