Централізоване управління політиками безпеки у SDN із використанням механізмів фільтрації доступу

Стрихарський, Володимир Миколайович; Strykharskyi, Volodymyr

霂瑞霂��撘����迨��辣: http://elartu.tntu.edu.ua/handle/lib/51857

Title:	Централізоване управління політиками безпеки у SDN із використанням механізмів фільтрації доступу
Other Titles:	Centralized Security Policy Management in SDN Using Access Filtering Mechanisms
Authors:	Стрихарський, Володимир Миколайович Strykharskyi, Volodymyr
Affiliation:	ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine):	Стрихарський В. М. Централізоване управління політиками безпеки у SDN із використанням механізмів фільтрації доступу : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / В. М. Стрихарський. — Тернопіль: ТНТУ, 2025. — 111 с.
Issue Date:	2-一月-2026
Submitted date:	22-十二月-2025
Date of entry:	1-三月-2026
Country (code):	UA
Place of the edition/event:	ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor:	Оробчук, Олександра Романівна Orobchuk, Oleksandra
Committee members:	Литвиненко, Ярослав Володимирович Lytvynenko, Yaroslav
UDC:	004.56
Keywords:	cybersecurity кібербезпека software-defined networks програмно-визначені мережі stateful firewall фаєрвол із перевіркою стану security policies політики безпеки policy orchestration оркестрація політик network attacks мережеві атаки risk analysis аналіз ризиків
Abstract:	Кваліфікаційна робота магістра присв’ячена підвищенню рівня кібербезпеки у програмно-визначених мережах (SDN) шляхом створення моделі централізованого керування політиками безпеки та реалізації SDN-фаєрвола із перевіркою стану з’єднання. У першому розділі проаналізовано архітектурні особливості SDN, актуальні загрози та підходи до формалізації уразливостей і кількісної оцінки ризиків на основі CVSS та AHP. У другому розділі розроблено архітектуру SDN-фаєрвола із перевіркою стану з’єднання, реалізовану у вигляді розширеного скінченного автомата (SDNEFSM) з інтеграцією в протокол OpenFlow та контролер RYU. У третьому розділі проведено експериментальну оцінку ефективності запропонованого рішення у віртуалізованому середовищі з використанням Mininet та Open vSwitch, змодельовано атаки типу SYN-Flood і легітимний трафік, проаналізовано показники затримок, пропускної здатності та ефективності блокування атак. Об’єкт дослідження: процеси забезпечення мережевої безпеки у програмно-визначених мережах. Предмет дослідження: методи й засоби оркестрації політик безпеки в SDN, зокрема фаєрвол із перевіркою стану з’єднання. Мета роботи: підвищення ефективності та узгодженості керування політиками безпеки у SDN. The master’s qualification work is devoted to improving cybersecurity in Software-Defined Networks (SDN) by developing a centralized security policy management model and implementing an SDN firewall with connection state inspection. The first section analyzes SDN architectural features, current threats, and approaches to vulnerability formalization and quantitative risk assessment based on CVSS and AHP. The second section presents the architecture of an SDN stateful firewall implemented as an extended finite state machine (SDNEFSM) integrated with the OpenFlow protocol and the RYU controller. The third section provides an experimental evaluation of the proposed solution in a virtualized environment using Mininet and Open vSwitch, including simulations of SYN-Flood attacks and legitimate traffic, with analysis of latency, throughput, and attack blocking efficiency. Object of research: network security processes in software-defined networks. Subject of research: methods and tools for security policy orchestration in SDN, including stateful firewall mechanisms. Purpose: to improve the effectiveness and consistency of security policy management in SDN.
Content:	ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ .................................................... 8 ВСТУП .............................................................................................................. 9 РОЗДІЛ 1 АНАЛІЗ УРАЗЛИВОСТЕЙ У ПРОГРАМНО-ВИЗНАЧЕНИХ МЕРЕЖАХ ............ 11 1.1 Сучасні архітектурні особливості SDN та виклики безпеки ............. 11 1.2 Методологія ідентифікації активів та цілей безпеки ............................ 18 1.3 Формалізація уразливостей через реверсію цілей безпеки ............... 26 1.4 Інтегрована методика кількісного оцінювання ризиків у SDN на основі CVSS та AHP ............................................................................. 31 1.5 Висновки до розділу 1 ................................................................................ 35 РОЗДІЛ 2 АРХІТЕКТУРА SDN-ФАЄРВОЛА З ПЕРЕВІРКОЮ СТАНУ З’ЄДНАННЯ ..................... 36 2.1 Аналіз існуючих рішень та обмежень класичних фаєрволів ............. 36 2.2 Архітектура фаєрвола для SDN ................................................................. 42 2.3 Модель SDN-еквіваленту скінченного автомату .................................. 48 2.4 Висновки до розділу 2 ................................................................................ 53 РОЗДІЛ 3 ОЦІНКА ЕФЕКТИВНОСТІ SDN-ФАЄРВОЛА ТА ОРКЕСТРАЦІЯ ПОЛІТИК ............................................. 55 3.1 Реалізація фаєрвола в віртуалізованій інфраструктурі ....................... 55 3.2 Експериментальна оцінка продуктивності та стійкості до атак ....... 62 3.3 Необхідність централізованої оркестрації політик безпеки ............... 72 3.4 Модель взаємодії учасників NSC–NSP у контексті централізованої оркестрації політик безпеки ........................................ 77 3.5 Результати експериментів оркестрації .................................................. 79 3.6 Висновки до розділу 3 ................................................................................ 84 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ .......... 85 4.1 Охорона праці ................................................................................................ 85 4.2 Шум, вібрація, ультразвук, електромагнітні випромінювання у виробничих приміщеннях для роботи з ВДТ та захист від них ..... 87 ВИСНОВКИ ........................................................................................................ 91 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ .................................................... 93 Додаток А Публікація ..................................................................................... 96 Додаток Б Файл sdn_firewall.py ................................................................. 98 Додаток В Файл mininet_testbed.py ...................................................... 107
URI:	http://elartu.tntu.edu.ua/handle/lib/51857
Copyright owner:	© Стрихарський Володимир Миколайович, 2025
References (Ukraine):	1. Що таке програмно-визначені мережі (SDN) \| Netwave. (n.d.). Netwave. https://netwave.ua/blog/software-defined-networking-sdn-viznachennya-j-osoblivosti-programno-viznachenih-merezh/ 2. Awati, R., & Wright, G. (2025, April 2). What is a northbound interface/southbound interface? \| Definition from TechTarget. WhatIs. https://www.techtarget.com/whatis/definition/northbound-interface-southbound-interface 3. 6 Basic SDN Architecture Components - Software-Defined Networking. (n.d.). IPCisco. https://ipcisco.com/lesson/sdn-architecture-components/ 4. What is Open Flow Protocol Networking and How it Works? - Ruijie Networks. (n.d.). Ruijie Networks \| Network Devices and Solutions Provider. https://www.ruijie.com/en-global/support/faq/open-flow-protocol 5. NetIDE: Removing vendor lock-in in SDN. (n.d.). IEEE Xplore. https://ieeexplore.ieee.org/document/7116170 6. Understanding North-South and East-West traffic and the added value of NDR in network analysis - Gatewatcher. (n.d.). Gatewatcher. https://www.gatewatcher.com/en/resource/understanding-north-south-and-east-west-traffic-and-the-added-value-of-ndr-in-network-analysis/ 7. Lindemulder, G., & Kosinski, M. (n.d.). What Is a Man-in-the-Middle (MITM) Attack? \| IBM. IBM. https://www.ibm.com/think/topics/man-in-the-middle 8. What is Packet Flooding? Understanding Network Traffic Overload. (n.d.). ReasonLabs Cyberpedia. https://cyberpedia.reasonlabs.com/EN/packet%20flooding.html 9. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7 10. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26 11. Тимощук, В., Долінський, А., & Тимощук, Д. (2024). ЗАСТОСУВАННЯ ГІПЕРВІЗОРІВ ПЕРШОГО ТИПУ ДЛЯ СТВОРЕННЯ ЗАХИЩЕНОЇ ІТ-ІНФРАСТРУКТУРИ. Матеріали конференцій МЦНД, (24.05. 2024; Запоріжжя, Україна), 145-146. https://doi.org/10.62731/mcnd-24.05.2024.001 12. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195. 13. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89 14. Common Vulnerability Scoring System SIG. (n.d.). FIRST — Forum of Incident Response and Security Teams. https://www.first.org/cvss/ 15. What is the Analytic Hierarchy Process (AHP)? \| 1000minds. (n.d.). 1000minds. https://www.1000minds.com/decision-making/analytic-hierarchy-process-ahp 16. Types of Firewalls Defined and Explained. (n.d.). Palo Alto Networks. https://www.paloaltonetworks.com/cyberpedia/types-of-firewalls 17. What Is Security as Code (SaC)? \| CrowdStrike. (n.d.). CrowdStrike: We Stop Breaches with AI-native Cybersecurity. https://www.crowdstrike.com/en-us/cybersecurity-101/cloud-security/security-as-code/ 18. Stateful distributed firewall as a service in SDN -. (n.d.). AUB ScholarWorks - Home. https://scholarworks.aub.edu.lb/items/bf30bd1a-d48b-4715-baa5-187527d6d46b 19. Kanade, V. (2023, September 12). Finite State Machine Meaning, Working, and Examples \| Spiceworks - Spiceworks. Spiceworks Inc. https://www.spiceworks.com/tech/tech-general/articles/what-is-fsm/ 20. Демчук, В., Тимощук, В., & Тимощук, Д. (2023). ЗАСОБИ МІНІМІЗАЦІЇ ВПЛИВУ SYN FLOOD АТАК. Collection of scientific papers «SCIENTIA», (November 24, 2023; Kraków, Poland), 130-130. 21. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36 22. B. Lypa, I. Horyn, N. Zagorodna, D. Tymoshchuk, T. Lechachenko, Comparison of feature extraction tools for network traffic data, CEUR Workshop Proceedings, 3896, 2024, pp. 1-11. 23. Ryu SDN Controller Review: Python-Based Flexible Framework - Aptira. (n.d.). Aptira. https://aptira.com/ryu-sdn-controller-review/ 24. GitHub - mininet/mininet: Emulator for rapid prototyping of Software Defined Networks. (n.d.). GitHub. https://github.com/mininet/mininet 25. hping3 \| Kali Linux Tools. (n.d.). Kali Linux. https://www.kali.org/tools/hping3/ 26. The netfilter.org project. (n.d.). netfilter/iptables project homepage. https://www.netfilter.org/ 27. ZAGORODNA, N., STADNYK, M., LYPA, B., GAVRYLOV, M., & KOZAK, R. (2022). Network Attack Detection Using Machine Learning Methods. Challenges to national defence in contemporary geopolitical situation, 2022(1), 55-61. 28. Mishko, O., Matiuk, D., & Derkach, M. (2024). Security of remote iot system management by integrating firewall configuration into tunneled traffic. Вісник Тернопільського національного технічного університету, 115(3), 122-129. 29. Babakov, R. M., et al. "Internet of Things for Industry and Human Application. Vol. 3." (2019): 1-917. 30. Жидецький В.Ц. Охорона праці користувачів комп´ютерів. Львів: Афіша, 2011. 176 с. 31. Желібо Е.Н. Безпека життєдіяльності: Навчальний посібник. Київ: Каравела, Львів: Новий світ - 2000. 2001. 320с.
Content type:	Master Thesis
�蝷箔����:	125 — кібербезпека, Кібербезпека та захист інформації

��辣銝剔�﹝獢�:

獢�獢�	��膩	憭批��	�撘�
Strykharskyi_Volodymyr_SBm-61_2025.pdf		2,55 MB	Adobe PDF	璉�閫�/撘��

�蝷箸�辣摰蝥芸��

�DSpace銝剜�����★��������雿��.

蝞∠�極�