شماره ركورد
34771
پديد آورنده
وئام القصاب
عنوان
طراحي و ارزيابي يك ديواره آتش مبتني بر قواعد و نرمافزارمحور براي شبكههاي اينترنت اشيا
مقطع تحصيلي
كارشناسي ارشد
رشته تحصيلي
مهندسي كامپيوتر- شبكههاي كامپيوتري
سال تحصيل
1402
تاريخ دفاع
1404/12/3
استاد راهنما
وصال حكمي
استاد مشاور
ندارم
دانشكده
پرديس دانشگاهي - دانشكده مهندسي كامپيوتر
چكيده
شبكههاي اينترنت اشيا (IoT) به دليل داشتن انواع مختلفي از دستگاهها، منابع محدود، و سطوح حملهاي كه با سرعت نگرانكنندهاي در حال گسترش هستند، با مشكلات امنيتي جدي مواجهاند. دفاعهاي سنتيِ مبتني بر محيط (Perimeter-based) نميتوانند با اين تهديدات مقابله كنند. اين پاياننامه يك فايروال مبتني بر نرمافزار (SDF) سبك و مبتني بر قانون را معرفي ميكند كه با دقت براي محيطهاي IoT طراحي شده است و از شبكهسازي مبتني بر نرمافزار (SDN) براي مديريت متمركز بهره ميبرد تا اجراي دقيق و برنامهپذير سياستهاي امنيتي را تسهيل كند. سيستم پيشنهادي از يك ساختار مديريت قوانين سلسلهمراتبي سهلايه استفاده ميكند كه شامل قوانين سراسري استاتيك، قوانين پروفايل دستگاه، و قوانين پاسخ پويا است و هدف آن ايجاد تعادلي ميان پوشش امنيتي گسترده و هزينه محاسباتي پايين است. در يك آزمايش تجربي روي يك شبكه شبيهسازيشده Mininet-IoT، از كنترلكننده Ryu SDN با يك توپولوژي ستارهاي استفاده شد كه شامل هفت دستگاه IoT مختلف (حسگرهاي دما، تشخيصدهندههاي حركت، دوربينهاي IP و قفلهاي هوشمند)، دو سرور برنامه/پايگاه داده و يك گره مهاجم بود. بررسي كمّي عملكرد نشان ميدهد كه اين فايروال توان عملياتي (Throughput) را از خط پايه 963٫2 مگابيت بر ثانيه به 945٫7 مگابيت بر ثانيه كاهش داده است (1٫8٪ كاهش)، در حالي كه هيچگونه افت بسته (Packet Loss) مجازي رخ نداده است. نرخ كلي افت 7٫9 درصدي، منحصراً شامل بستههايي بود كه پس از مسدودسازي پويا از گره مهاجمِ تعيينشده نشأت ميگرفتند و هيچ ترافيك مجازي دور ريخته نشد. قابليتهاي تشخيص حمله بسيار قوي بودند: حملات اسكن پورت (Port Scanning) با نرخي معادل 3٫8 برابر حد آستانه و حملات DDoS با نرخي معادل 382 برابر حد آستانه شناسايي شدند. سيستم تشخيص در آزمايشها داراي نرخ موفقيت 100٪ بود (5 آزمايش اسكن پورت، 5 آزمايش DDoS؛ با فاصله اطمينان 95٪: [56٫5٪, 100٪]) و در 30 آزمايش با ترافيك واقعي، هيچگونه مثبت كاذب (False Positive) نداشت (فاصله اطمينان 95٪: [0٪, 11٫6٪]). تحقيقات مربوط به سربار عملكرد (Performance Overhead) نشان داد كه تأخير در حالت پايدار در مقايسه با سوئيچينگ پايه، 0٫112 ميليثانيه (78٫9٪) افزايش يافته است. همچنين، تصميمگيري مبتني بر كنترلكننده و نصب قوانين جريان براي پردازش اولين بسته، 12٫4 ميليثانيه زمان برد. پيشبينيهاي مقياسپذيري (Scalability) نشان ميدهد كه يك كنترلكننده واحد ميتواند براي شبكههايي با حداكثر 100 دستگاه كار كند (156 ورودي جريان براي 10 دستگاه كه با استفاده از فرمول $n^2+4n+16$ به 10,416 ورودي براي 100 دستگاه افزايش مييابد). براي شبكههاي بزرگتر از اين مقدار، سيستمهاي كنترل توزيعشده مورد نياز خواهند بود. يك بررسي تطبيقي نشان ميدهد كه اين استراتژي مزاياي بسيار بيشتري نسبت به روشهاي امنيتي سنتي و عمومي SDN دارد. جدول 5٫9 مقايسه كاملي از عملكرد حالت پايه و فايروال را نشان ميدهد.
تاريخ ورود اطلاعات
1405/02/19
عنوان به انگليسي
Design and evaluation of a Rule-Based Software-Defined Firewall For Iot Networks
تاريخ بهره برداري
4/21/2026 12:00:00 AM
دانشجوي وارد كننده اطلاعات
وئام القصاب
چكيده به لاتين
There are many security concerns related to IoT networks due to the presence of many kinds of devices and limited resources. The surface of these devices is expanding alarmingly. This thesis proposes a Software Defined Firewall (SDF), which is specifically designed for IoT environments with meticulous care and utilizes Software Defined Networking (SDN) for better management to enforce security policies accurately. In the proposed system, a hierarchical structure of three layers of rules has been used to cover the areas of static global rules, device profile rules, and dynamic response rules to find the best compromise between security and low computing power. The Ryu controller was used to conduct an experimental test with Mininet-IoT to emulate the network with seven different kinds of devices (temperature sensors, motion sensors, IP cameras, smart locks), two application/database servers, and one attacking node with a star topology. Quantitative performance analysis indicates that the firewall decreased the throughput from a baseline of 963.2 Mbps to 945.7 Mbps, a reduction of 1.8%, with no loss of legitimate packets. The total rate of 7.9% overall drop rate was comprised entirely of packets sourced from the identified attacker node, as a result of dynamic blocking, since no legitimate packets were dropped. The attack detection mechanisms were robust, detecting port scan attacks at 3.8× threshold and DDoS attacks at 382× threshold. The detection mechanism was 100% successful in trials (n=5 port scan, n=5 DDoS; 95% CI: [56.5%, 100%]) and had no false positives in 30 tests of real traffic (95% CI: [0%, 11.6%]). Performance overhead research showed that steady-state latency went up by 0.112 ms (78.9%) compared to baseline switching. It also took 12.4 ms for controller-based decision making and flow rule installation to process the first packet. Scalability projections show that a single controller can function for networks with up to 100 devices (156 flow entries for 10 devices scaling to 10,416 for 100 devices using the n²+4n+16 formula). After that, distributed control systems are needed. A comparative examination shows that this strategy has far more benefits than traditional and generic SDN security methods. Table 5.9 shows a full comparison of baseline and firewall performance.
كليدواژه هاي فارسي
: شبكههاي نرمافزارمحور (SDN) ، , امنيت اينترنت اشيا , ديوارآتش شبكه
كليدواژه هاي لاتين
Software-Defined Networking , Internet of Things Security , Network Firewall,
Author
Weaam ALqassab
SuperVisor
Dr. Vesal Hakami