1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Veuillez utiliser cette adresse pour citer ce document : http://elartu.tntu.edu.ua/handle/lib/51305
Titre: Підвищення безпеки площини даних віртуального комутатора Open vSwitch
Autre(s) titre(s): ENHANCING THE DATA PLANE SECURITY OF OPEN VSWITCH
Auteur(s): Горішний, Остап Юрійович
Gorishnyi, Ostap
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Горішний О.Ю. Підвищення безпеки площини даних віртуального комутатора Open vSwitch : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / О. Ю. Горішний. — Тернопіль: ТНТУ, 2025. — 87 с.
Date de publication: 2-jan-2026
Submitted date: 22-déc-2025
Date of entry: 18-jan-2026
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Карпінський, Микола Петрович
Karpinskyi, Mykola
Committee members: Никитюк, Вячеслав Вячеславович
Nykituk, Vyacheslav
UDC: 004.056.5
Mots-clés: Open vSwitch
DPDK
площина даних
data plane
планування оброблення пакетів
packet prossing planning
CPU
Résumé: У магістерській кваліфікаційній роботі розглянуто проблему безпеки площини даних у віртуальному комутаторі Open vSwitch, який широко використовується у віртуалізованих і хмарних інфраструктурах. Встановлено, що перенесення оброблення пакетів у користувацький простір із застосуванням DPDK забезпечує високу пропускну здатність, проте створює ризики спільного використання процесорних ресурсів між віртуальними машинами. Це призводить до неконтрольованої конкуренції за CPU-цикли, коливань затримки пакетів і появи часових побічних каналів, що може бути використано для атак типу resource starvation або side-channel. Метою роботи є підвищення безпеки та передбачуваності роботи площини даних Open vSwitch шляхом розроблення та впровадження методів ізоляції процесорних ресурсів. Запропоновано ієрархічний механізм планування оброблення пакетів, який забезпечує стабільну затримку та контроль пріоритетів при одночасному обслуговуванні кількох орендарів.У процесі експериментальних досліджень, проведених у середовищі OVS-DPDK, продемонстровано, що реалізація запропонованих методів забезпечує стабільність пропускної здатності, зниження коливань затримки та ізоляцію навантажень між віртуальними машинами. Отримані результати підтверджують підвищення рівня кіберстійкості площини даних і зменшення впливу побічних каналів.
The master's thesis addresses the problem of data plane security in the Open vSwitch virtual switch, which is widely used in virtualized and cloud infrastructures. It has been established that transferring packet processing to user space using DPDK ensures high throughput but introduces risks of shared CPU resource usage among virtual machines. This leads to uncontrolled competition for CPU cycles, packet delay variations, and the emergence of timing side channels that can be exploited for resource starvation or side-channel attacks. The aim of the work is to enhance the security and predictability of the Open vSwitch data plane operation by developing and implementing methods of CPU resource isolation. A hierarchical packet processing scheduling mechanism is proposed to provide stable delay and priority control during concurrent tenant servicing. Experimental studies conducted in the OVS-DPDK environment demonstrated that the proposed methods ensure throughput stability, reduce delay variations, and achieve effective workload isolation between virtual machines. The obtained results confirm an increase in the cyber resilience of the data plane and a reduction in the impact of side channels.
Content: ВСТУП 8 1 СТАН ДОСЛІДЖЕНЬ ЩОДО ФОРМУВАННЯ ІНФОРМАЦІЙНО-ТЕХН ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 АНАЛІЗ МЕТОДІВ ЗАБЕЗПЕЧЕННЯ ПРОДУКТИВНОСТІ ТА БЕЗПЕКИ ВІРТУАЛЬНИХ МЕРЕЖЕВИХ СЕРВІСІВ 11 1.1 АРХІТЕКТУРА ВІРТУАЛЬНОГО КОМУТАТОРА (VSWITCH) 11 1.1.1 Площини управління, контролю та даних 11 1.1.2 Обробка трафіку у vSwitch 12 1.2 РОЗПОДІЛ CPU-РЕСУРСІВ У ВІРТУАЛЬНОМУ КОМУТАТОРІ 15 1.2.1 Планування потоків та багатоядерна обробка 16 1.2.2 Використання DPDK, CPU affinity та NUMA-топології 17 1.3 ВПЛИВ ІЗОЛЯЦІЇ CPU НА БЕЗПЕКУ ТА QOS 19 1.3.1 Побічні канали у багатокористувацьких середовищах 19 1.3.2 Атаки типу resource starvation у площині даних 20 1.3.3 Взаємозв’язок QoS та інформаційної безпеки 21 1.4 АНАЛІЗ ІСНУЮЧИХ МЕТОДІВ ІЗОЛЯЦІЇ РЕСУРСІВ 22 1.4.1 CPU pinning, cgroups, cpusets, eBPF 22 1.4.2 SR-IOV та апаратні методи ізоляції 24 1.5 ВИСНОВКИ ДО РОЗДІЛУ 1 24 РОЗДІЛ 2 РОЗРОБЛЕННЯ МОДЕЛІ ІЗОЛЯЦІЇ CPU-РЕСУРСІВ У VSWITCH 26 2.1 АНАЛІЗ ПРОБЛЕМИ ІЗОЛЯЦІЇ CPU-РЕСУРСІВ У ВІРТУАЛЬНОМУ КОМУТАТОРІ 26 2.2 СЕРЕДОВИЩЕ ТЕСТУВАННЯ 27 2.3 ПРОБЛЕМА ЗАБЕЗПЕЧЕННЯ QOS У ВІРТУАЛЬНОМУ КОМУТАТОРІ 29 2.3.1 Проблема розподілу пропускної здатності 30 2.3.2 Проблема затримки у віртуальному комутаторі 32 2.4 МОДЕЛЬ ВЗАЄМОЗВ’ЯЗКУ ПРОПУСКНОЇ ЗДАТНОСТІ ТА ВИКОРИСТАННЯ CPU 37 2.4.1 Процедура форвардингу та розклад циклів CPU 37 2.4.2 Чинники споживання CPU на трьох етапах 40 2.4.3 Формування моделі споживання CPU 45 2.5 ВИСНОВКИ ДО РОЗДІЛУ 2 47 РОЗДІЛ 3 ОЦІНКА ЕФЕКТИВНОСТІ ІЗОЛЯЦІЇ CPU-РЕСУРСІВ 49 3.1 УМОВИ ЕКСПЕРЕМЕНТУ 49 3.1.1 Передумови та політика розміщення VM 49 3.1.2 Правила розміщення VM на фізичному сервері 51 3.1.3 Механізм токен-бакета на основі CPU-циклів 54 3.1.4 Ієрархічне батч-планування 56 3.2 РЕАЛІЗАЦІЯ МЕТОДУ ІЗОЛЯЦІЇ РЕСУРСІВ VSWITCH 59 3.3 ОЦІНЮВАННЯ ЕФЕКТИВНОСТІ МЕТОДУ ІЗОЛЯЦІЇ РЕСУРСІВ VSWITCH 63 3.4 ВИСНОВКИ ДО РОЗДІЛУ 3 71 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 73 4.1 ОХОРОНА ПРАЦІ 73 4.2 ДЕРЖАВНА СИСТЕМА МОНІТОРИНГУ ДОВКІЛЛЯ, ЯК СКЛАДОВА ЧАСТИНА НАЦІОНАЛЬНОЇ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ, СУМІСНОЇ З АНАЛОГІЧНИМИ СИСТЕМАМИ ІНШИХ КРАЇН. 76 ВИСНОВКИ 80 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 82 ДОДАТОК А ПУБЛІКАЦІЯ 85
URI/URL: http://elartu.tntu.edu.ua/handle/lib/51305
Copyright owner: © Горішний Остап Юрійович, 2025
References (Ukraine): 1. GeeksforGeeks. (2019, July 2). What is Software Defined Networking (SDN)? - GeeksforGeeks. https://www.geeksforgeeks.org/computer-networks/software-defined-networking/
2. Goodwin, M. (n.d.). What Is Network Functions Virtualization (NFV)? | IBM. IBM. https://www.ibm.com/think/topics/network-functions-virtualization
3. IBM PowerVC for Private Cloud. (n.d.). IBM. https://www.ibm.com/docs/en/powervc-cloud/2.3.0?topic=apis-northbound-rest
4. DPDK. (n.d.). The open source data plane development kit accelerating network performance. https://www.dpdk.org/
5. Open vSwitch. (n.d.). Open vSwitch. https://www.openvswitch.org/
6. Linux Bridge vs OVS Bridge – NodeSpace Blog. (n.d.). NodeSpace Blog. https://blog.nodespace.com/linux-bridge-vs-ovs-bridge/
7. AIX. (n.d.). IBM. https://www.ibm.com/docs/en/aix/7.1.0?topic=architecture-processor-affinity-binding
8. Your CPU is NOT Starving! (n.d.). IBM. https://www.ibm.com/support/pages/your-cpu-not-starving
9. Mazaheri, M. E., Sarmadi, S. B., & Ardakani, F. T. (2022, January 1). A Study of Timing Side-Channel Attacks and Countermeasures on JavaScript and WebAssembly. The ISC International Journal of Information Security. https://www.isecure-journal.com/article_136367.html
10. Awati, R. (2022, September 22). What is non-uniform memory access (NUMA)? WhatIs. https://www.techtarget.com/whatis/definition/NUMA-non-uniform-memory-access
11. Raj, A., & Dharanipragada, J. (2017). Keep the PokerFace on! Thwarting cache side channel attacks by memory bus monitoring and cache obfuscation. Journal of Cloud Computing, 6(1). https://doi.org/10.1186/s13677-017-0101-4
12. Resource Starvation - Application Security Tactics & Techniques Matrix. (n.d.). Index - Application Security Tactics & Techniques Matrix. https://app-attack-matrix.com/techniques/Impact/Service%20Disruption/subtechniques/Resource%20Starvation/
13. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
14. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89.
15. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36.
16. B. Lypa, I. Horyn, N. Zagorodna, D. Tymoshchuk, T. Lechachenko, Comparison of feature extraction tools for network traffic data, CEUR Workshop Proceedings, 3896, 2024, pp. 1-11.
17. Open vSwitch (OVS): What Is It and How Does Open Virtual Switch Work? (n.d.). Cloudification - Private, Hybrid, Edge Cloud Solutions for Your Business. https://cloudification.io/cloud-blog/open-vswitch-ovs-what-is-it-and-how-does-open-virtual-switch-work/
18. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7
19. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26
20. Тимощук, В., Долінський, А., & Тимощук, Д. (2024). ЗАСТОСУВАННЯ ГІПЕРВІЗОРІВ ПЕРШОГО ТИПУ ДЛЯ СТВОРЕННЯ ЗАХИЩЕНОЇ ІТ-ІНФРАСТРУКТУРИ. Матеріали конференцій МЦНД, (24.05. 2024; Запоріжжя, Україна), 145-146. https://doi.org/10.62731/mcnd-24.05.2024.001
21. Welcome to QEMU’s documentation! — QEMU documentation. (n.d.). QEMU. https://www.qemu.org/docs/master/
22. Ubuntu Server documentation. (n.d.). Ubuntu Server. https://documentation.ubuntu.com/server/
23. iPerf - The TCP, UDP and SCTP network bandwidth measurement tool. (n.d.). iPerf - The TCP, UDP and SCTP network bandwidth measurement tool. https://iperf.fr/
24. GitHub - rbruenig/qperf: qperf is a performance measurement tool for QUIC similar to iperf. (n.d.). GitHub. https://github.com/rbruenig/qperf
25. GitHub - pktgen/Pktgen-DPDK: DPDK based packet generator. (n.d.). GitHub. https://github.com/pktgen/Pktgen-DPDK
26. Using the cumulative distribution function (CDF) - Minitab. (n.d.). Support | Minitab. https://support.minitab.com/en-us/minitab/help-and-how-to/probability-distributions-random-data-and-resampling-analyses/supporting-topics/basics/using-the-cumulative-distribution-function-cdf/
27. Микитишин А. Г., Митник М. М., Стухляк П. Д. Телекомунікаційні системи та мережі. Тернопіль: Тернопільський національний технічний університет імені Івана Пулюя, 2017. 384 с.
28. Nedzelskyi, D., Derkach, M., Tatarchenko, Y., Safonova, S., Shumova, L., & Kardashuk, V. (2019, August). Research of efficiency of multi-core computers with shared memory. In 2019 7th International Conference on Future Internet of Things and Cloud Workshops (FiCloudW) (pp. 111-114). IEEE.
29. Закон України «Про охорону навколишнього природного середовища» №1264-ХІІ. URL: https://zakon.rada.gov.ua/laws/ show/1264-12 (дата звернення: 14.12.2023).
30. Постанова Кабінету Міністрів України «Про затвердження Положення про державну систему моніторингу довкілля» №391-98-п. URL: https://zakon.rada.gov.ua/laws/show/391-98 (дата звернення: 14.12.2023).
31. Стручок В.С. Техноекологія та цивільна безпека. Частина «Цивільна безпека». Навчальний посібник. Тернопіль: ТНТУ. 2022. 150 с.
Content type: Master Thesis
Collection(s) :125 — кібербезпека, Кібербезпека та захист інформації

Fichier(s) constituant ce document :
Fichier Description TailleFormat 
Gorishnyi_Ostap_SBm_61_2025.pdf3,86 MBAdobe PDFVoir/Ouvrir
Affichage détaillé


Tous les documents dans DSpace sont protégés par copyright, avec tous droits réservés.

Outils d'administration