Централізоване управління політиками безпеки у SDN із використанням механізмів фільтрації доступу

Стрихарський, Володимир Миколайович; Strykharskyi, Volodymyr

Empreu aquest identificador per citar o enllaçar aquest ítem: http://elartu.tntu.edu.ua/handle/lib/51857

Registre complet de metadades

Camp DC	Valor	Lengua/Idioma
dc.contributor.advisor	Оробчук, Олександра Романівна	-
dc.contributor.advisor	Orobchuk, Oleksandra	-
dc.contributor.author	Стрихарський, Володимир Миколайович	-
dc.contributor.author	Strykharskyi, Volodymyr	-
dc.date.accessioned	2026-03-01T15:18:39Z	-
dc.date.available	2026-03-01T15:18:39Z	-
dc.date.issued	2026-01-02	-
dc.date.submitted	2025-12-22	-
dc.identifier.citation	Стрихарський В. М. Централізоване управління політиками безпеки у SDN із використанням механізмів фільтрації доступу : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / В. М. Стрихарський. — Тернопіль: ТНТУ, 2025. — 111 с.	uk_UA
dc.identifier.uri	http://elartu.tntu.edu.ua/handle/lib/51857	-
dc.description.abstract	Кваліфікаційна робота магістра присв’ячена підвищенню рівня кібербезпеки у програмно-визначених мережах (SDN) шляхом створення моделі централізованого керування політиками безпеки та реалізації SDN-фаєрвола із перевіркою стану з’єднання. У першому розділі проаналізовано архітектурні особливості SDN, актуальні загрози та підходи до формалізації уразливостей і кількісної оцінки ризиків на основі CVSS та AHP. У другому розділі розроблено архітектуру SDN-фаєрвола із перевіркою стану з’єднання, реалізовану у вигляді розширеного скінченного автомата (SDNEFSM) з інтеграцією в протокол OpenFlow та контролер RYU. У третьому розділі проведено експериментальну оцінку ефективності запропонованого рішення у віртуалізованому середовищі з використанням Mininet та Open vSwitch, змодельовано атаки типу SYN-Flood і легітимний трафік, проаналізовано показники затримок, пропускної здатності та ефективності блокування атак. Об’єкт дослідження: процеси забезпечення мережевої безпеки у програмно-визначених мережах. Предмет дослідження: методи й засоби оркестрації політик безпеки в SDN, зокрема фаєрвол із перевіркою стану з’єднання. Мета роботи: підвищення ефективності та узгодженості керування політиками безпеки у SDN.	uk_UA
dc.description.abstract	The master’s qualification work is devoted to improving cybersecurity in Software-Defined Networks (SDN) by developing a centralized security policy management model and implementing an SDN firewall with connection state inspection. The first section analyzes SDN architectural features, current threats, and approaches to vulnerability formalization and quantitative risk assessment based on CVSS and AHP. The second section presents the architecture of an SDN stateful firewall implemented as an extended finite state machine (SDNEFSM) integrated with the OpenFlow protocol and the RYU controller. The third section provides an experimental evaluation of the proposed solution in a virtualized environment using Mininet and Open vSwitch, including simulations of SYN-Flood attacks and legitimate traffic, with analysis of latency, throughput, and attack blocking efficiency. Object of research: network security processes in software-defined networks. Subject of research: methods and tools for security policy orchestration in SDN, including stateful firewall mechanisms. Purpose: to improve the effectiveness and consistency of security policy management in SDN.	uk_UA
dc.description.tableofcontents	ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ .................................................... 8 ВСТУП .............................................................................................................. 9 РОЗДІЛ 1 АНАЛІЗ УРАЗЛИВОСТЕЙ У ПРОГРАМНО-ВИЗНАЧЕНИХ МЕРЕЖАХ ............ 11 1.1 Сучасні архітектурні особливості SDN та виклики безпеки ............. 11 1.2 Методологія ідентифікації активів та цілей безпеки ............................ 18 1.3 Формалізація уразливостей через реверсію цілей безпеки ............... 26 1.4 Інтегрована методика кількісного оцінювання ризиків у SDN на основі CVSS та AHP ............................................................................. 31 1.5 Висновки до розділу 1 ................................................................................ 35 РОЗДІЛ 2 АРХІТЕКТУРА SDN-ФАЄРВОЛА З ПЕРЕВІРКОЮ СТАНУ З’ЄДНАННЯ ..................... 36 2.1 Аналіз існуючих рішень та обмежень класичних фаєрволів ............. 36 2.2 Архітектура фаєрвола для SDN ................................................................. 42 2.3 Модель SDN-еквіваленту скінченного автомату .................................. 48 2.4 Висновки до розділу 2 ................................................................................ 53 РОЗДІЛ 3 ОЦІНКА ЕФЕКТИВНОСТІ SDN-ФАЄРВОЛА ТА ОРКЕСТРАЦІЯ ПОЛІТИК ............................................. 55 3.1 Реалізація фаєрвола в віртуалізованій інфраструктурі ....................... 55 3.2 Експериментальна оцінка продуктивності та стійкості до атак ....... 62 3.3 Необхідність централізованої оркестрації політик безпеки ............... 72 3.4 Модель взаємодії учасників NSC–NSP у контексті централізованої оркестрації політик безпеки ........................................ 77 3.5 Результати експериментів оркестрації .................................................. 79 3.6 Висновки до розділу 3 ................................................................................ 84 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ .......... 85 4.1 Охорона праці ................................................................................................ 85 4.2 Шум, вібрація, ультразвук, електромагнітні випромінювання у виробничих приміщеннях для роботи з ВДТ та захист від них ..... 87 ВИСНОВКИ ........................................................................................................ 91 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ .................................................... 93 Додаток А Публікація ..................................................................................... 96 Додаток Б Файл sdn_firewall.py ................................................................. 98 Додаток В Файл mininet_testbed.py ...................................................... 107	uk_UA
dc.language.iso	uk	uk_UA
dc.subject	cybersecurity	uk_UA
dc.subject	кібербезпека	uk_UA
dc.subject	software-defined networks	uk_UA
dc.subject	програмно-визначені мережі	uk_UA
dc.subject	stateful firewall	uk_UA
dc.subject	фаєрвол із перевіркою стану	uk_UA
dc.subject	security policies	uk_UA
dc.subject	політики безпеки	uk_UA
dc.subject	policy orchestration	uk_UA
dc.subject	оркестрація політик	uk_UA
dc.subject	network attacks	uk_UA
dc.subject	мережеві атаки	uk_UA
dc.subject	risk analysis	uk_UA
dc.subject	аналіз ризиків	uk_UA
dc.title	Централізоване управління політиками безпеки у SDN із використанням механізмів фільтрації доступу	uk_UA
dc.title.alternative	Centralized Security Policy Management in SDN Using Access Filtering Mechanisms	uk_UA
dc.type	Master Thesis	uk_UA
dc.rights.holder	© Стрихарський Володимир Миколайович, 2025	uk_UA
dc.contributor.committeeMember	Литвиненко, Ярослав Володимирович	-
dc.contributor.committeeMember	Lytvynenko, Yaroslav	-
dc.coverage.placename	ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна	uk_UA
dc.subject.udc	004.56	uk_UA
dc.relation.references	1. Що таке програмно-визначені мережі (SDN) \| Netwave. (n.d.). Netwave. https://netwave.ua/blog/software-defined-networking-sdn-viznachennya-j-osoblivosti-programno-viznachenih-merezh/	uk_UA
dc.relation.references	2. Awati, R., & Wright, G. (2025, April 2). What is a northbound interface/southbound interface? \| Definition from TechTarget. WhatIs. https://www.techtarget.com/whatis/definition/northbound-interface-southbound-interface	uk_UA
dc.relation.references	3. 6 Basic SDN Architecture Components - Software-Defined Networking. (n.d.). IPCisco. https://ipcisco.com/lesson/sdn-architecture-components/	uk_UA
dc.relation.references	4. What is Open Flow Protocol Networking and How it Works? - Ruijie Networks. (n.d.). Ruijie Networks \| Network Devices and Solutions Provider. https://www.ruijie.com/en-global/support/faq/open-flow-protocol	uk_UA
dc.relation.references	5. NetIDE: Removing vendor lock-in in SDN. (n.d.). IEEE Xplore. https://ieeexplore.ieee.org/document/7116170	uk_UA
dc.relation.references	6. Understanding North-South and East-West traffic and the added value of NDR in network analysis - Gatewatcher. (n.d.). Gatewatcher. https://www.gatewatcher.com/en/resource/understanding-north-south-and-east-west-traffic-and-the-added-value-of-ndr-in-network-analysis/	uk_UA
dc.relation.references	7. Lindemulder, G., & Kosinski, M. (n.d.). What Is a Man-in-the-Middle (MITM) Attack? \| IBM. IBM. https://www.ibm.com/think/topics/man-in-the-middle	uk_UA
dc.relation.references	8. What is Packet Flooding? Understanding Network Traffic Overload. (n.d.). ReasonLabs Cyberpedia. https://cyberpedia.reasonlabs.com/EN/packet%20flooding.html	uk_UA
dc.relation.references	9. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7	uk_UA
dc.relation.references	10. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26	uk_UA
dc.relation.references	11. Тимощук, В., Долінський, А., & Тимощук, Д. (2024). ЗАСТОСУВАННЯ ГІПЕРВІЗОРІВ ПЕРШОГО ТИПУ ДЛЯ СТВОРЕННЯ ЗАХИЩЕНОЇ ІТ-ІНФРАСТРУКТУРИ. Матеріали конференцій МЦНД, (24.05. 2024; Запоріжжя, Україна), 145-146. https://doi.org/10.62731/mcnd-24.05.2024.001	uk_UA
dc.relation.references	12. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.	uk_UA
dc.relation.references	13. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89	uk_UA
dc.relation.references	14. Common Vulnerability Scoring System SIG. (n.d.). FIRST — Forum of Incident Response and Security Teams. https://www.first.org/cvss/	uk_UA
dc.relation.references	15. What is the Analytic Hierarchy Process (AHP)? \| 1000minds. (n.d.). 1000minds. https://www.1000minds.com/decision-making/analytic-hierarchy-process-ahp	uk_UA
dc.relation.references	16. Types of Firewalls Defined and Explained. (n.d.). Palo Alto Networks. https://www.paloaltonetworks.com/cyberpedia/types-of-firewalls	uk_UA
dc.relation.references	17. What Is Security as Code (SaC)? \| CrowdStrike. (n.d.). CrowdStrike: We Stop Breaches with AI-native Cybersecurity. https://www.crowdstrike.com/en-us/cybersecurity-101/cloud-security/security-as-code/	uk_UA
dc.relation.references	18. Stateful distributed firewall as a service in SDN -. (n.d.). AUB ScholarWorks - Home. https://scholarworks.aub.edu.lb/items/bf30bd1a-d48b-4715-baa5-187527d6d46b	uk_UA
dc.relation.references	19. Kanade, V. (2023, September 12). Finite State Machine Meaning, Working, and Examples \| Spiceworks - Spiceworks. Spiceworks Inc. https://www.spiceworks.com/tech/tech-general/articles/what-is-fsm/	uk_UA
dc.relation.references	20. Демчук, В., Тимощук, В., & Тимощук, Д. (2023). ЗАСОБИ МІНІМІЗАЦІЇ ВПЛИВУ SYN FLOOD АТАК. Collection of scientific papers «SCIENTIA», (November 24, 2023; Kraków, Poland), 130-130.	uk_UA
dc.relation.references	21. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36	uk_UA
dc.relation.references	22. B. Lypa, I. Horyn, N. Zagorodna, D. Tymoshchuk, T. Lechachenko, Comparison of feature extraction tools for network traffic data, CEUR Workshop Proceedings, 3896, 2024, pp. 1-11.	uk_UA
dc.relation.references	23. Ryu SDN Controller Review: Python-Based Flexible Framework - Aptira. (n.d.). Aptira. https://aptira.com/ryu-sdn-controller-review/	uk_UA
dc.relation.references	24. GitHub - mininet/mininet: Emulator for rapid prototyping of Software Defined Networks. (n.d.). GitHub. https://github.com/mininet/mininet	uk_UA
dc.relation.references	25. hping3 \| Kali Linux Tools. (n.d.). Kali Linux. https://www.kali.org/tools/hping3/	uk_UA
dc.relation.references	26. The netfilter.org project. (n.d.). netfilter/iptables project homepage. https://www.netfilter.org/	uk_UA
dc.relation.references	27. ZAGORODNA, N., STADNYK, M., LYPA, B., GAVRYLOV, M., & KOZAK, R. (2022). Network Attack Detection Using Machine Learning Methods. Challenges to national defence in contemporary geopolitical situation, 2022(1), 55-61.	uk_UA
dc.relation.references	28. Mishko, O., Matiuk, D., & Derkach, M. (2024). Security of remote iot system management by integrating firewall configuration into tunneled traffic. Вісник Тернопільського національного технічного університету, 115(3), 122-129.	uk_UA
dc.relation.references	29. Babakov, R. M., et al. "Internet of Things for Industry and Human Application. Vol. 3." (2019): 1-917.	uk_UA
dc.relation.references	30. Жидецький В.Ц. Охорона праці користувачів комп´ютерів. Львів: Афіша, 2011. 176 с.	uk_UA
dc.relation.references	31. Желібо Е.Н. Безпека життєдіяльності: Навчальний посібник. Київ: Каравела, Львів: Новий світ - 2000. 2001. 320с.	uk_UA
dc.contributor.affiliation	ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна	uk_UA
dc.coverage.country	UA	uk_UA
Apareix a les col·leccions:	125 — кібербезпека, Кібербезпека та захист інформації

Arxius per aquest ítem:

Arxiu	Descripció	Mida	Format
Strykharskyi_Volodymyr_SBm-61_2025.pdf		2,55 MB	Adobe PDF	Veure/Obrir

Mostrar el registre simplificat de l'ítem

Els ítems de DSpace es troben protegits per copyright, amb tots els drets reservats, sempre i quan no s’indiqui el contrari.

Eines d'Administrador