Підвищення безпеки площини даних віртуального комутатора Open vSwitch

Горішний, Остап Юрійович; Gorishnyi, Ostap

Empreu aquest identificador per citar o enllaçar aquest ítem: http://elartu.tntu.edu.ua/handle/lib/51305

Registre complet de metadades

Camp DC	Valor	Lengua/Idioma
dc.contributor.advisor	Карпінський, Микола Петрович	-
dc.contributor.advisor	Karpinskyi, Mykola	-
dc.contributor.author	Горішний, Остап Юрійович	-
dc.contributor.author	Gorishnyi, Ostap	-
dc.date.accessioned	2026-01-18T12:11:16Z	-
dc.date.available	2026-01-18T12:11:16Z	-
dc.date.issued	2026-01-02	-
dc.date.submitted	2025-12-22	-
dc.identifier.citation	Горішний О.Ю. Підвищення безпеки площини даних віртуального комутатора Open vSwitch : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / О. Ю. Горішний. — Тернопіль: ТНТУ, 2025. — 87 с.	uk_UA
dc.identifier.uri	http://elartu.tntu.edu.ua/handle/lib/51305	-
dc.description.abstract	У магістерській кваліфікаційній роботі розглянуто проблему безпеки площини даних у віртуальному комутаторі Open vSwitch, який широко використовується у віртуалізованих і хмарних інфраструктурах. Встановлено, що перенесення оброблення пакетів у користувацький простір із застосуванням DPDK забезпечує високу пропускну здатність, проте створює ризики спільного використання процесорних ресурсів між віртуальними машинами. Це призводить до неконтрольованої конкуренції за CPU-цикли, коливань затримки пакетів і появи часових побічних каналів, що може бути використано для атак типу resource starvation або side-channel. Метою роботи є підвищення безпеки та передбачуваності роботи площини даних Open vSwitch шляхом розроблення та впровадження методів ізоляції процесорних ресурсів. Запропоновано ієрархічний механізм планування оброблення пакетів, який забезпечує стабільну затримку та контроль пріоритетів при одночасному обслуговуванні кількох орендарів.У процесі експериментальних досліджень, проведених у середовищі OVS-DPDK, продемонстровано, що реалізація запропонованих методів забезпечує стабільність пропускної здатності, зниження коливань затримки та ізоляцію навантажень між віртуальними машинами. Отримані результати підтверджують підвищення рівня кіберстійкості площини даних і зменшення впливу побічних каналів.	uk_UA
dc.description.abstract	The master's thesis addresses the problem of data plane security in the Open vSwitch virtual switch, which is widely used in virtualized and cloud infrastructures. It has been established that transferring packet processing to user space using DPDK ensures high throughput but introduces risks of shared CPU resource usage among virtual machines. This leads to uncontrolled competition for CPU cycles, packet delay variations, and the emergence of timing side channels that can be exploited for resource starvation or side-channel attacks. The aim of the work is to enhance the security and predictability of the Open vSwitch data plane operation by developing and implementing methods of CPU resource isolation. A hierarchical packet processing scheduling mechanism is proposed to provide stable delay and priority control during concurrent tenant servicing. Experimental studies conducted in the OVS-DPDK environment demonstrated that the proposed methods ensure throughput stability, reduce delay variations, and achieve effective workload isolation between virtual machines. The obtained results confirm an increase in the cyber resilience of the data plane and a reduction in the impact of side channels.	uk_UA
dc.description.tableofcontents	ВСТУП 8 1 СТАН ДОСЛІДЖЕНЬ ЩОДО ФОРМУВАННЯ ІНФОРМАЦІЙНО-ТЕХН ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 АНАЛІЗ МЕТОДІВ ЗАБЕЗПЕЧЕННЯ ПРОДУКТИВНОСТІ ТА БЕЗПЕКИ ВІРТУАЛЬНИХ МЕРЕЖЕВИХ СЕРВІСІВ 11 1.1 АРХІТЕКТУРА ВІРТУАЛЬНОГО КОМУТАТОРА (VSWITCH) 11 1.1.1 Площини управління, контролю та даних 11 1.1.2 Обробка трафіку у vSwitch 12 1.2 РОЗПОДІЛ CPU-РЕСУРСІВ У ВІРТУАЛЬНОМУ КОМУТАТОРІ 15 1.2.1 Планування потоків та багатоядерна обробка 16 1.2.2 Використання DPDK, CPU affinity та NUMA-топології 17 1.3 ВПЛИВ ІЗОЛЯЦІЇ CPU НА БЕЗПЕКУ ТА QOS 19 1.3.1 Побічні канали у багатокористувацьких середовищах 19 1.3.2 Атаки типу resource starvation у площині даних 20 1.3.3 Взаємозв’язок QoS та інформаційної безпеки 21 1.4 АНАЛІЗ ІСНУЮЧИХ МЕТОДІВ ІЗОЛЯЦІЇ РЕСУРСІВ 22 1.4.1 CPU pinning, cgroups, cpusets, eBPF 22 1.4.2 SR-IOV та апаратні методи ізоляції 24 1.5 ВИСНОВКИ ДО РОЗДІЛУ 1 24 РОЗДІЛ 2 РОЗРОБЛЕННЯ МОДЕЛІ ІЗОЛЯЦІЇ CPU-РЕСУРСІВ У VSWITCH 26 2.1 АНАЛІЗ ПРОБЛЕМИ ІЗОЛЯЦІЇ CPU-РЕСУРСІВ У ВІРТУАЛЬНОМУ КОМУТАТОРІ 26 2.2 СЕРЕДОВИЩЕ ТЕСТУВАННЯ 27 2.3 ПРОБЛЕМА ЗАБЕЗПЕЧЕННЯ QOS У ВІРТУАЛЬНОМУ КОМУТАТОРІ 29 2.3.1 Проблема розподілу пропускної здатності 30 2.3.2 Проблема затримки у віртуальному комутаторі 32 2.4 МОДЕЛЬ ВЗАЄМОЗВ’ЯЗКУ ПРОПУСКНОЇ ЗДАТНОСТІ ТА ВИКОРИСТАННЯ CPU 37 2.4.1 Процедура форвардингу та розклад циклів CPU 37 2.4.2 Чинники споживання CPU на трьох етапах 40 2.4.3 Формування моделі споживання CPU 45 2.5 ВИСНОВКИ ДО РОЗДІЛУ 2 47 РОЗДІЛ 3 ОЦІНКА ЕФЕКТИВНОСТІ ІЗОЛЯЦІЇ CPU-РЕСУРСІВ 49 3.1 УМОВИ ЕКСПЕРЕМЕНТУ 49 3.1.1 Передумови та політика розміщення VM 49 3.1.2 Правила розміщення VM на фізичному сервері 51 3.1.3 Механізм токен-бакета на основі CPU-циклів 54 3.1.4 Ієрархічне батч-планування 56 3.2 РЕАЛІЗАЦІЯ МЕТОДУ ІЗОЛЯЦІЇ РЕСУРСІВ VSWITCH 59 3.3 ОЦІНЮВАННЯ ЕФЕКТИВНОСТІ МЕТОДУ ІЗОЛЯЦІЇ РЕСУРСІВ VSWITCH 63 3.4 ВИСНОВКИ ДО РОЗДІЛУ 3 71 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 73 4.1 ОХОРОНА ПРАЦІ 73 4.2 ДЕРЖАВНА СИСТЕМА МОНІТОРИНГУ ДОВКІЛЛЯ, ЯК СКЛАДОВА ЧАСТИНА НАЦІОНАЛЬНОЇ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ, СУМІСНОЇ З АНАЛОГІЧНИМИ СИСТЕМАМИ ІНШИХ КРАЇН. 76 ВИСНОВКИ 80 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 82 ДОДАТОК А ПУБЛІКАЦІЯ 85	uk_UA
dc.language.iso	uk	uk_UA
dc.subject	Open vSwitch	uk_UA
dc.subject	DPDK	uk_UA
dc.subject	площина даних	uk_UA
dc.subject	data plane	uk_UA
dc.subject	планування оброблення пакетів	uk_UA
dc.subject	packet prossing planning	uk_UA
dc.subject	CPU	uk_UA
dc.title	Підвищення безпеки площини даних віртуального комутатора Open vSwitch	uk_UA
dc.title.alternative	ENHANCING THE DATA PLANE SECURITY OF OPEN VSWITCH	uk_UA
dc.type	Master Thesis	uk_UA
dc.rights.holder	© Горішний Остап Юрійович, 2025	uk_UA
dc.contributor.committeeMember	Никитюк, Вячеслав Вячеславович	-
dc.contributor.committeeMember	Nykituk, Vyacheslav	-
dc.coverage.placename	ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна	uk_UA
dc.subject.udc	004.056.5	uk_UA
dc.relation.references	1. GeeksforGeeks. (2019, July 2). What is Software Defined Networking (SDN)? - GeeksforGeeks. https://www.geeksforgeeks.org/computer-networks/software-defined-networking/	uk_UA
dc.relation.references	2. Goodwin, M. (n.d.). What Is Network Functions Virtualization (NFV)? \| IBM. IBM. https://www.ibm.com/think/topics/network-functions-virtualization	uk_UA
dc.relation.references	3. IBM PowerVC for Private Cloud. (n.d.). IBM. https://www.ibm.com/docs/en/powervc-cloud/2.3.0?topic=apis-northbound-rest	uk_UA
dc.relation.references	4. DPDK. (n.d.). The open source data plane development kit accelerating network performance. https://www.dpdk.org/	uk_UA
dc.relation.references	5. Open vSwitch. (n.d.). Open vSwitch. https://www.openvswitch.org/	uk_UA
dc.relation.references	6. Linux Bridge vs OVS Bridge – NodeSpace Blog. (n.d.). NodeSpace Blog. https://blog.nodespace.com/linux-bridge-vs-ovs-bridge/	uk_UA
dc.relation.references	7. AIX. (n.d.). IBM. https://www.ibm.com/docs/en/aix/7.1.0?topic=architecture-processor-affinity-binding	uk_UA
dc.relation.references	8. Your CPU is NOT Starving! (n.d.). IBM. https://www.ibm.com/support/pages/your-cpu-not-starving	uk_UA
dc.relation.references	9. Mazaheri, M. E., Sarmadi, S. B., & Ardakani, F. T. (2022, January 1). A Study of Timing Side-Channel Attacks and Countermeasures on JavaScript and WebAssembly. The ISC International Journal of Information Security. https://www.isecure-journal.com/article_136367.html	uk_UA
dc.relation.references	10. Awati, R. (2022, September 22). What is non-uniform memory access (NUMA)? WhatIs. https://www.techtarget.com/whatis/definition/NUMA-non-uniform-memory-access	uk_UA
dc.relation.references	11. Raj, A., & Dharanipragada, J. (2017). Keep the PokerFace on! Thwarting cache side channel attacks by memory bus monitoring and cache obfuscation. Journal of Cloud Computing, 6(1). https://doi.org/10.1186/s13677-017-0101-4	uk_UA
dc.relation.references	12. Resource Starvation - Application Security Tactics & Techniques Matrix. (n.d.). Index - Application Security Tactics & Techniques Matrix. https://app-attack-matrix.com/techniques/Impact/Service%20Disruption/subtechniques/Resource%20Starvation/	uk_UA
dc.relation.references	13. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.	uk_UA
dc.relation.references	14. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89.	uk_UA
dc.relation.references	15. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36.	uk_UA
dc.relation.references	16. B. Lypa, I. Horyn, N. Zagorodna, D. Tymoshchuk, T. Lechachenko, Comparison of feature extraction tools for network traffic data, CEUR Workshop Proceedings, 3896, 2024, pp. 1-11.	uk_UA
dc.relation.references	17. Open vSwitch (OVS): What Is It and How Does Open Virtual Switch Work? (n.d.). Cloudification - Private, Hybrid, Edge Cloud Solutions for Your Business. https://cloudification.io/cloud-blog/open-vswitch-ovs-what-is-it-and-how-does-open-virtual-switch-work/	uk_UA
dc.relation.references	18. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7	uk_UA
dc.relation.references	19. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26	uk_UA
dc.relation.references	20. Тимощук, В., Долінський, А., & Тимощук, Д. (2024). ЗАСТОСУВАННЯ ГІПЕРВІЗОРІВ ПЕРШОГО ТИПУ ДЛЯ СТВОРЕННЯ ЗАХИЩЕНОЇ ІТ-ІНФРАСТРУКТУРИ. Матеріали конференцій МЦНД, (24.05. 2024; Запоріжжя, Україна), 145-146. https://doi.org/10.62731/mcnd-24.05.2024.001	uk_UA
dc.relation.references	21. Welcome to QEMU’s documentation! — QEMU documentation. (n.d.). QEMU. https://www.qemu.org/docs/master/	uk_UA
dc.relation.references	22. Ubuntu Server documentation. (n.d.). Ubuntu Server. https://documentation.ubuntu.com/server/	uk_UA
dc.relation.references	23. iPerf - The TCP, UDP and SCTP network bandwidth measurement tool. (n.d.). iPerf - The TCP, UDP and SCTP network bandwidth measurement tool. https://iperf.fr/	uk_UA
dc.relation.references	24. GitHub - rbruenig/qperf: qperf is a performance measurement tool for QUIC similar to iperf. (n.d.). GitHub. https://github.com/rbruenig/qperf	uk_UA
dc.relation.references	25. GitHub - pktgen/Pktgen-DPDK: DPDK based packet generator. (n.d.). GitHub. https://github.com/pktgen/Pktgen-DPDK	uk_UA
dc.relation.references	26. Using the cumulative distribution function (CDF) - Minitab. (n.d.). Support \| Minitab. https://support.minitab.com/en-us/minitab/help-and-how-to/probability-distributions-random-data-and-resampling-analyses/supporting-topics/basics/using-the-cumulative-distribution-function-cdf/	uk_UA
dc.relation.references	27. Микитишин А. Г., Митник М. М., Стухляк П. Д. Телекомунікаційні системи та мережі. Тернопіль: Тернопільський національний технічний університет імені Івана Пулюя, 2017. 384 с.	uk_UA
dc.relation.references	28. Nedzelskyi, D., Derkach, M., Tatarchenko, Y., Safonova, S., Shumova, L., & Kardashuk, V. (2019, August). Research of efficiency of multi-core computers with shared memory. In 2019 7th International Conference on Future Internet of Things and Cloud Workshops (FiCloudW) (pp. 111-114). IEEE.	uk_UA
dc.relation.references	29. Закон України «Про охорону навколишнього природного середовища» №1264-ХІІ. URL: https://zakon.rada.gov.ua/laws/ show/1264-12 (дата звернення: 14.12.2023).	uk_UA
dc.relation.references	30. Постанова Кабінету Міністрів України «Про затвердження Положення про державну систему моніторингу довкілля» №391-98-п. URL: https://zakon.rada.gov.ua/laws/show/391-98 (дата звернення: 14.12.2023).	uk_UA
dc.relation.references	31. Стручок В.С. Техноекологія та цивільна безпека. Частина «Цивільна безпека». Навчальний посібник. Тернопіль: ТНТУ. 2022. 150 с.	uk_UA
dc.contributor.affiliation	ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна	uk_UA
dc.coverage.country	UA	uk_UA
Apareix a les col·leccions:	125 — кібербезпека, Кібербезпека та захист інформації

Arxius per aquest ítem:

Arxiu	Descripció	Mida	Format
Gorishnyi_Ostap_SBm_61_2025.pdf		3,86 MB	Adobe PDF	Veure/Obrir

Mostrar el registre simplificat de l'ítem

Els ítems de DSpace es troben protegits per copyright, amb tots els drets reservats, sempre i quan no s’indiqui el contrari.

Eines d'Administrador