YOMEDIA
ADSENSE
Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN
Thêm vào BST
Báo xấu
52
lượt xem 5
download
lượt xem 5
download
Download
Vui lòng tải xuống để xem tài liệu đầy đủ
Bài viết "Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN" nghiên cứu một mô hình phát hiện các cuộc tấn công DDoS trong mạng SDN dựa trên phương pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng việc sử dụng các tham số trong mạng. Mời các bạn cùng tham khảo!
AMBIENT/
Chủ đề:
Bình luận(0) Đăng nhập để gửi bình luận!
Lưu
Nội dung Text: Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN
- Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022) Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN Cấn Quang Trường, Nguyễn Thanh Tùng, Phạm Minh Bảo, Nguyễn Tiến Đạt, Lâm Xuân Toàn, Đinh Thị Thái Mai Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội Email: dttmai@vnu.edu.vn Tóm tắt nội dung—Mạng định nghĩa bằng phần mềm (Software quản lý tập trung là một điểm yếu của SDN bởi cả hệ thống sẽ Defined Network - SDN) là một kiến trúc mạng mới, hướng đến sụp đổ nếu controller bị tấn công. Đặc biệt là với DDoS, khi sự linh hoạt trong hệ thống và sự đơn giản trong cách vận hành, tại 1 thời điểm, rất nhiều gói tin với địa chỉ giả sẽ được gửi đến quản lý qua việc kiểm soát tập trung. Điều này giúp cho SDN rất controller. Điều này sẽ gây ra sự quá tải băng thông, lãng phí dễ thích nghi với nhu cầu về mạng hiện nay nhưng nó cũng là 1 yếu điểm lớn khi SDN phải đối mặt với các cuộc tấn công mạng. tài nguyên và dẫn đến việc bộ điều khiển không thể tiếp nhận Tấn công từ chối dịch vụ (Distributed Denial of Service - DDoS) được yêu cầu dịch vụ người dùng. Chính vì thế, việc phát hiện là một kiểu tấn công phổ biến trong mạng nhằm chiếm dụng tài sớm và ngăn chặn các cuộc tấn công DDoS là một yêu cầu cấp nguyên hệ thống gây ra sự tắc nghẽn cho toàn mạng và sẽ đặc biệt bách và cần thiết cho mạng này để đảm bảo được vấn đề an nguy hiểm với các hệ thống quản lý tập trung như mạng SDN. ninh mạng. Trong nghiên cứu này, chúng tôi nghiên cứu một mô hình phát hiện các cuộc tấn công DDoS trong mạng SDN dựa trên phương pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng việc sử dụng các tham số trong mạng. Bằng kết quả mô phỏng và đặc biệt chúng tôi đã xây dựng một mô hình mạng SDN thực tế và áp dụng mô hình nghiên cứu vào thực nghiệm, kết quả cho thấy phương án của chúng tôi có khả năng phát hiện nhanh các cuộc tấn công DDoS và đem lại độ chính xác rất cao. Index Terms—SDN, tấn công DDoS, an ninh mạng, học máy, phương pháp SVM. I. GIỚI THIỆU Ngày nay, với sự phát triển nhanh chóng của công nghệ cùng với sự bùng nổ của Internet thì nhu cầu trong việc sử dụng dịch vụ mạng từ người dùng ngày càng tăng, kéo theo đó là thách thức về việc kiểm soát mạng cho người quản lý. Với mô hình mạng truyền thống, việc quản lý lên đến hàng triệu thiết bị là cực kỳ khó khăn và phức tạp. Từ đó, SDN, một kiến trúc mạng mới ra đời với hy vọng xóa bỏ những hạn chế và khuyết điểm của mạng truyền thống nhờ khả năng cho phép quản lý tâp trung cùng tính mở rộng và linh động cao. Kiến trúc mạng SDN Hình 1. Kiến trúc mạng SDN bao gồm 3 lớp tách biệt: Lớp ứng dụng (application layer), lớp điều khiển (control layer) và lớp cơ sở hạ tầng (infrastructure Một số nghiên cứu áp dụng các phương pháp học máy vào layer) [1]. việc phát hiện tấn công DDoS đã được đưa ra trước đây. Nhóm Lớp ứng dụng bao gồm các ứng dụng và những chức năng tác giả của bài báo [7] đã phát triển phương pháp phát hiện tấn cần thiết cho mạng. Lớp này sẽ kết nối trực tiếp đến lớp điều công dựa trên việc trích xuất sáu biến trạng thái lưu lượng lấy khiển thông qua các API, các API này sẽ cho phép người quản từ bảng luồng trong thiết bị chuyển mạch và sử dụng nó làm lý ở lớp ứng dụng có thể lập trình các chức năng điều khiển đầu vào cho mô hình thuật toán SVM. Sau đó, họ cũng dùng trong mạng. Bộ điều khiển trong lớp điều khiển đóng vai trò thuật toán SVM để phân loại dữ liệu giúp phát hiện tấn công cực kỳ quan trọng trong việc quản lý tất cả các hoạt động mạng. một cách chính xác. Dựa trên số liệu nghiên cứu, độ chính xác Bộ điều khiển sẽ tiếp nhận các gói tin và xử lý các gói tin đến của phương pháp này là 95.24% mặc dù chỉ một lượng nhỏ các các thiết bị ở lớp dưới. Lớp cơ sở hạ tầng bao gồm các thiết bị luồng dữ liệu được thu lại. phần cứng trong mạng thực hiện chức năng chuyển tiếp gói tin Cùng chủ đề trên, nhóm nghiên cứu trong [8] đã đề xuất dưới sự điều khiển của bộ điều khiển. Việc sử dụng kiến trúc ra một ý tưởng mới và phức tạp hơn với hệ thống phát hiện ISBN 978-604-80-7468-5 165
- Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022) DDoS thời gian thực trong môi trường SDN sử dụng thuật toán Điểm mạnh của SVM nằm ở khả năng biểu diễn dữ liệu dưới PCA (Principal Component Analysis) để phân tích trạng thái dạng điểm trong không gian n-chiều (n – số lượng đối tượng). mạng dựa trên các dữ liệu lưu lượng. Để giảm thiếu khối lượng Như minh họa trong Hình. 2, SVM chuyển đổi một tập mẫu có phải tính toán, mạng sẽ được chia ra thành nhiều phần. Giá trị thể phân tách không tuyến tính thành một chiều không gian cao vector thặng dư (residual vector value) sẽ được ước tính trong hơn, cho phép phân tách tuyến tính mẫu dữ liệu. Sau đó, một thời gian thực và cuộc tấn công sẽ được xác định nếu giá trị này siêu mặt phẳng sẽ được tạo ra để phân loại rõ ràng hai lớp mẫu. giảm xuống dưới một ngưỡng trong một khoảng thời gian nhất Siêu mặt phẳng này được gọi là "ranh giới quyết định"và hình định. dạng của nó sẽ dựa trên số lượng các đặc tính. Vẫn với kỹ thuật PCA nhưng cải tiến hơn, nhóm tác giả đã sử dụng các thành phần chính có trọng số để đối phó với kiểu tấn công DDoS ở bài báo [9]. Kỹ thuật PCA cải tiến này sẽ được áp dụng riêng rẽ cho từng mạng con sau khi toàn bộ mạng được chia nhỏ. Phương pháp này giúp phát hiện ra các mục tiêu bị tấn công DDoS thành công tại bộ điều khiển với tỷ lệ chính xác là 95.24%. Ở nghiên cứu [10], một kỹ thuật khác được áp dụng để phát hiện tấn công DDoS. Nghiên cứu này đề xuất một kỹ thuật làm cho sử dụng các giá trị entropy của địa chỉ nguồn và đích của luồng mà các controller SDN đã có được. Sau đó, giá trị Hình 2. Siêu mặt phẳng và không gian SVM (e (https://bom.so/E6KDDn) sẽ được đối chiếu với ngưỡng xác định trước để xác định xem kiến trúc mạng có đang bị tấn công hay không. Tuy nhiên, hiệu B. Phát hiện tấn công trong môi trường SDN sử dụng thuật suất thành công của phương pháp này chỉ là 63.4%. toán SVM Khác với các nghiên cứu khác, bài báo của chúng tôi chủ Trong phần này, chúng ta sẽ tìm hiểu cách SVM có thể được yếu tập trung vào việc triển khai trên môi trường thực tế. Một sử dụng để phát hiện các cuộc tấn công DDoS. Để hiểu rõ về mô hình phân loại SVM được sử dụng dựa trên năm giá trị đặc quy trình này, trước hết, ta cần tìm hiểu cách thu được các luồng trưng được trích xuất từ bảng luồng thu được trong bộ chuyển trạng thái. mạch. Chúng tôi đánh giá hiệu suất của mô hình này thông qua mô phỏng và thử nghiệm qua mạng thực bằng phần mềm POX và bộ chuyển mạch Aruba. Phần còn lại của bài báo sẽ được trình bày như sau: Trong Phần II, chúng tôi sẽ giới thiệu tổng quan về mô hình hệ thống, và trong Phần III, chúng tôi sẽ đánh giá hiệu suất của hệ thống trong cả hai môi trường (mô phỏng và môi trường thực) và đưa ra kết quả thực hiện. Phần IV kết thúc với kết luận của chúng tôi và hướng thực hiện công việc còn lại. Hình 3. Quy trình phát hiện DDoS sử dụng SVM II. MÔ HÌNH HỆ THỐNG Trong phần này, chúng tôi đề cập về định nghĩa và công thức Lưu đồ trong Hình. 3 có thể được sử dụng để tổng hợp quá được sử dụng để huấn luyện Support Vector Machine (SVM). trình phân loại. Đầu tiên, thông tin trên bảng lưu lượng phải Sau đó, cuộc tấn công DDoS và kỹ thuật phát hiện sẽ được được thu thập. Sau đó, các giá trị đặc trưng sẽ được trích xuất thảo luận. Cuối cùng, kỹ thuật học máy mà chúng tôi sử dụng từ luồng trạng thái. Sau đó, nó sẽ được tính toán và sử dụng để phân biệt các cuộc tấn công và lưu lượng truy cập thông làm đầu vào dữ liệu cho mô hình SVM. Cuối cùng, đầu ra của thường sẽ được đề cập trong mô hình thực tế. mô hình phải cho biết hệ thống có bị tấn công hay không. A. Support Vector Machine (SVM) Các giá trị đặc trưng là tham số được sử dụng để đại diện cho trạng thái hệ thống và chúng được thu thập như các tính năng Các thuật toán học máy có thể được phân thành bốn loại: huấn luyện cho mô hình bộ phân loại. Giá trị trong một sự kiện Học có giám sát, học không giám sát, học bán giám sát và học tấn công sẽ khác bất thường với giá trị của nó trong sự kiện củng cố. Support Vector Machine là một thuật toán học tập có bình thường, vì vậy bằng cách kiểm tra sự khác biệt giữa cuộc giám sát, có nghĩa là SVM sẽ dự đoán kết quả cho dữ liệu mới tấn công và giá trị bình thường, chúng tôi có thể phát hiện được dựa trên tập dữ liệu được huấn luyện từ trước. SVM so sánh cuộc tấn công. Có 5 đặc điểm [2] mà chúng tôi sẽ thu thập để dữ liệu đầu vào mới với dữ liệu gắn nhãn được huấn luyện từ phát hiện các cuộc tấn công DDoS: trước để tìm nhãn chính xác cho dữ liệu mới. Trong nghiên cứu • Tốc độ gói tin nguồn (Speed of Source IP - SSIP): Đại diện này, lưu lượng truy cập bình thường sẽ được gắn nhãn là “0” cho tổng số gói tin đến trong một khoảng thời gian nhất trong khi lưu lượng truy cập tấn công sẽ được gắn nhãn là “1”. định SVM có thể phân loại dữ liệu thành các lớp khác nhau và nó Sum_IPsrc được cho là thuật toán học máy tốt nhất để phân loại dữ liệu. SSIP = (1) T ISBN 978-604-80-7468-5 166
- Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022) Trong (1), Sum_IPsrc là tổng số gói tin được trích xuất Trong (5), P air_sum là số các luồng vào tương tác trong từ các luồng vào (flow entries) và T là thời gian (3 giây). khi N là tổng số các luồng vào. Hai luồng được gọi là Khi tấn công xảy ra, một số lượng lớn các gói tin giả mạo tương tác nếu nó thỏa mãn các yêu cầu sau: địa chỉ sẽ được gửi nhằm gây tắc nghẽn đường truyền và Src_IPi = Dst_IPj gây ra một số giá trị lớn SSIP so với bình thường. Src_porti = Dst_portj • Độ lệch chuẩn gói tin (Standard Deviation of Flowpacket Src_IPj = Dst_IPi - SDFP): Độ lệch chuẩn của gói tin trong một khoảng thời Dst_portj = Src_porti gian nhất định Trong đó Src_IPi là IP nguồn thứ i, Dst_IPj là IP đích thứ j, Src_porti là cổng nguồn thứ i và Dst_portj là cổng v nguồn thứ j. Có những luồng vào tương tác này bởi nếu 2 u N u1 X 2 nodes muốn giao tiếp với nhau thì phải có ít nhất 1 luồng SDF P = t (n_packetsi − M ean_packets) vào tương tác giữa chúng. Khi có cuộc tấn công xảy ra, số N i=1 (2) các gói tin đến sẽ tăng nhanh và controller sẽ chưa thể đáp 1 PN ứng việc xử lý các gói tin đủ nhanh khiến cho giá trị NIFE M ean_packets = number_packeti sẽ giảm so với bình thường. N j=1 Trong (2), N là tổng số các luồng vào mới trong khoảng thời gian T . M ean_packets đại điện cho số lượng trung III. THỰC THI VÀ KẾT QUẢ bình các gói tin đến trong khoảng thời gian T . Trong khi A. Mô phỏng trong môi trường ảo number_packetsi là số lượng gói tin ở luồng vào thứ i. Qúa trình mô phỏng của chúng tôi được thực hiện trên máy Khi có cuộc tấn công xảy ra, các gói tin có kích thước nhỏ tính ASUS F570zd với hệ điều hành Ubuntu 20.04. Chúng sẽ được sử dụng để tăng tốc độ tấn công, kéo theo đó là tôi sử dụng Mininet [8] làm công cụ giả lập mạng cùng Pox độ lệch chuẩn các gói tin cũng sẻ nhỏ hơn bình thường. controller cho mục đích mô phỏng. POX là bộ điều khiển SDN • Độ lệch chuẩn gói tin theo bytes (Standard Deviation of dựa trên python và là một phiên bản cải tiến của NOX. So sánh Flow Bytes - SDFB: Đại diện cho độ lệch chuẩn các bits với các bộ điều khiển khác, việc áp dụng POX vào các thuật trong một khoảng thời gian nhất định toán phát hiện sẽ đơn giản và hiệu quả hơn. Với Mininet [3] ta v có thể tạo ra một cuộc tấn công lên các server ảo và đánh giá u u1 X N kết quả của mô hình phát hiện tấn công DDoS. 2 SDF B = t (n_bytesi − M ean_bytes) (3) Trong nghiên cứu này, chúng tôi sẽ giả lập một cuộc tấn N i=1 công DDoS với 64 hosts và 9 Open vSwitch, trong đó có 1 bộ chuyển mạch tập trung. Để các hosts kết nối với nhau thông 1 PN M ean_bytes = number_bytesi qua POX [5], chúng tôi sẽ sử dụng module l2_learning trong N j=1 POX. l2_learning sẽ phân tích và trích xuất các địa chỉ IP từ Ở (3), giá trị của M ean_bytes biểu diễn cho số lượng mỗi gói tin đến. Thông tin này sẽ được so sánh với danh sách trung bình các bytes đến trong khoảng thời gian T . luồng đã có và nếu không có sự trùng khớp thì module sẽ khởi number_packetsi là số lượng gói tin ở luồng vào thứ i. động giao thức ARP để bắt đầu yêu cầu giao tiếp. Khi hệ thống bị tấn công, lưu lượng tấn công thường chứa Hping3 [4] chịu trách nhiệm trong việc khởi tạo và truyền ít bytes trên mỗi dữ liệu gửi đi so với bình thường, từ đó tải gói tin. Hping3 được sử dụng để tạo ra và flood các gói tin giá trị SDFB khi tấn công sẽ suy giảm so với bình thường. TCP/UDP/ICMP cũng như giả mạo các địa chỉ IP nguồn để • Tốc độ các luồng vào (Speed of Flow Entries - SFE): Đây thực hiện luồng lưu lượng bình thường và tấn công trong hệ là tổng số các luồng đi vào bộ chuyển mạch trong một thống mô phỏng. khoảng thời gian nhất định. Nó cũng thể hiện được cách Giả sử nếu dataset [11] mà chúng tôi đề cập trước đó đã được bộ điều khiển xử lý các luồng vào nhanh đến đâu. sử dụng để huấn luyện và xây dựng mô hình phân loại SVM. Quá trình mô phỏng có thể chia thành bốn giai đoạn như sau: N i) chạy mô hình topo mạng; ii) chạy lưu lượng bình thường; iii) SF E = (4) T chạy chương trình phát hiện tấn công và cuối cùng là iv) tạo lưu lượng tấn công. Trong mô phỏng, 3 hosts trong mạng sẽ tạo ra Ở (4), như đã nhắc đến trước nó, N là tổng số các luồng một luồng bình thường, bao gồm host 6, 7 và 8 thông qua công vào trong khoảng thời gian T . Nếu cuộc tấn công xảy ra, cụ hping3. Sau đó, chương trình mô phỏng sẽ được chạy để thu số lượng các luồng vào sẽ tăng rất nhanh và kéo theo giá thập lại các tham số mạng tại thời điểm đó và chuyển nó vào trị SFE sẽ rất lớn so với nó ở lưu lượng bình thường. mô hình dự đoán. Sau đó, nó sẽ trả về trạng thái của hệ thống, • Tỷ lệ các luồng vào tương tác (Number of Interactive trong trường hợp bình thường này thì sẽ có thông báo "Network Flowentries ratio - NIFE): Đại diện cho tỷ lệ giữa luồng is normal"hiện lên trên màn hình. tương tác và luồng vào. Lưu lượng tấn công được tạo ra bằng cách sử dụng cùng một 2xP air_sum chương trình với lưu lượng truy cập thông thường (Hping3). N IF E = (5) Máy tấn công sẽ là máy chủ 2. Sử dụng Hping3, lưu lượng giả N ISBN 978-604-80-7468-5 167
- Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022) được nhắm vào mục tiêu máy chủ 1 có thể dễ dàng được thực thực tế, sẽ là các mạng lưới hàng nghìn nút và với lưu lượng hiện bằng một dòng lệnh. Luồng lưu lượng đến máy chủ mục truy cập tăng lên, việc phân loại lưu lượng bình thường và bất tiêu 1 có tốc độ 100 gói mỗi giây và sử dụng hoàn toàn IP nguồn thường sẽ trở nên khó khăn hơn, dẫn đến độ chính xác sẽ giảm giả. Sau khi thu thập và tính toán tất cả các giá trị đặc trưng và đi đôi chút. sử dụng các giá trị này cho mô hình dự đoán, chương trình phát hiện thông báo rằng hệ thống đang bị tấn công. D. So sánh hai môi trường Các tham số hệ thống được thu thập và sau đó so sánh với B. Thực hiện trong môi trường thực tế mô phỏng của hệ thống thực với cùng một cấu trúc liên kết tốc Trước đó, chúng tôi phát hiện cuộc tấn công DDoS trong môi độ tấn công. Kết quả được trình bày ở Hình. 5 - Hình. 8. Bốn trường mô phỏng. Trong phần này, mô hình sẽ được đưa vào giá trị đặc trưng được đánh giá ngoại trừ SFE vì giá trị SFE gần thực tế trên Aruba Switch 2930F trong đó giao thức OpenFlow giống với giá trị SSIP. Các đường màu đỏ trên biểu đồ đại diện được kích hoạt. cho các tham số được thu thập trong trường hợp mô phỏng và Chúng tôi xây dựng cấu trúc liên kết thực tế với 1 controller, các đường màu xanh lam là dữ liệu được thu thập trong thiết bị 1 bộ chuyển mạch và 4 máy chủ như hình 4. Máy chủ 10.10.0.6 phần cứng thực. là máy tấn công. Máy chủ 10.10.0.4 là mục tiêu tấn công. Trong Đầu tiên, trong Hình. 5, biểu đồ hiển thị giá trị SSIP. Chúng khi máy chủ 10.10.0.3 và 10.10.0.5 tạo ra các mẫu lưu lượng tôi có thể quan sát thấy rằng trong cả phần cứng thực và mô truy cập bình thường. phỏng, tốc độ của địa chỉ IP trong trường hợp tấn công tăng lên, do bản chất của cuộc tấn công DDoS là giả mạo IP. Tuy nhiên, có một sự khác biệt nhỏ là tốc độ của địa chỉ IP trong trường hợp thực thấp hơn một chút so với tốc độ trong trường hợp giả lập. Điều này có thể được giải thích là do khi cuộc tấn công xảy ra, do giới hạn của thiết bị phần cứng, một lượng lớn tin nhắn sẽ bị rớt ra và không được bộ điều khiển xử lý kịp thời. Do đó, không cài đặt các mục để tính toán. Trong mô phỏng, số lượng gói tin bị rơi ít hơn trong thực tế, do đó, số lượng luồng vào được sử dụng để tính toán cao hơn làm cho tốc độ IP cao hơn. Kết luận tương tự có thể được rút ra đối với tham số SFE vì SFE và SSIP rất giống nhau. Hình 4. Topology của mô hình thực nghiệm Bằng cách sử dụng địa chỉ IP và cổng lắng nghe của giao diện của controller, chúng ta có thể thu được trạng thái luồng của công tắc. Kịch bản tấn công sẽ được thực hiện bằng cách sử dụng hping3. Máy có ip 10.10.0.6 là máy tấn công, từ đó chúng ta sử dụng hping3 để làm tràn lưu lượng truy cập đến mục tiêu, host 10.10.0.4. Mạng bị ảnh hưởng bởi DDoS và không thể giao tiếp như bình thường. C. Các thông số đo đạc Chúng tôi đã tập hợp 4000 mẫu để đánh giá số liệu cho Hình 5. Giá trị SSIP phương pháp SVM. Bảng I dưới đây cho thấy tổng quan về tham số hệ thống. Các tham số như trong [6] để xác định hiệu suất của các phương pháp. Tiếp theo, trong Hình. 6 và Hình. 7, đây là các đồ thị đại diện cho độ lệch chuẩn của gói tin và bytes (SDFP và SDFB). Bảng I Có thể nói rằng các tham số của độ lệch chuẩn rất giống nhau CÁC THAM SỐ ĐÁNH GIÁ CỦA PHƯƠNG PHÁP SVM trong cả trường hợp thực tế cũng như trong mô phỏng. Bởi vì TP FN FP TN Precision Accuracy độ lệch chuẩn thể hiện độ lệch của giá trị so với giá trị trung (%) (%) (%) (%) (%) (%) bình. Trong trường hợp bị tấn công, để đảm bảo tốc độ, các 100 0.2 0 99.80 100 99.9 cuộc tấn công DDoS thường sử dụng các gói tin có kích thước và số lượng gói tin cố định trong một lần truyền. Điều này làm Kết quả ở Bảng I thực sự rất ấn tượng. Giải thích cho kết quả cho độ lệch chuẩn giảm xuống, điều này đúng với cả mô phỏng này, chúng tôi đề xuất nên triển khai một topo tương đối đơn và tạo ra sự tương đồng như ta thấy trong hình. giản chỉ có 4 host nên lưu lượng thấp giúp dễ dàng phân loại Cuối cùng, ở Hình. 8, biểu đồ thể hiện tham số NIFE. Tham lưu lượng nên độ chính xác tương đối cao. Tuy nhiên, trong số này được tính dựa trên số các luồng vào tương tác trên tổng ISBN 978-604-80-7468-5 168
- Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022) cụ thể là mô hình phân loại SVM với đầu vào là các giá trị đặc điểm lưu lượng được tính toán sử dụng chính các luồng trạng thái trong mạng. Các vấn đề liên quan đến tấn công DDoS trong mạng SDN là rất cần thiết bởi vì toàn bộ kiến trúc của mạng SDN có một điểm tập trung để quản lý toàn bộ mặt phẳng dữ liệu dưới nó. Trong khuôn khổ của nghiên cứu này, việc mô phỏng được thực hiện bằng cách sử dụng mạng SDN ảo. Mô hình phân loại SVM sử dụng một bộ năm giá trị đặc điểm lưu lượng được thu thập từ các luồng dữ liệu trong mạng. Kết quả chỉ ra rằng SVM có thể được sử dụng như một phương pháp có độ chính xác cao để phát hiện các cuộc tấn công DDoS. Đặc biệt hơn, mô hình Hình 6. Giá trị SDFP cũng đã được thử nghiệm thành công trên hệ thống thưc. Kết quả thu được cho thấy rằng mô hình có thể được thực thi trên một hệ thống mạng thực, các test cases và các phép đánh giá có thể được thực hiện thêm trên hệ thống để cải thiện mô hình này. Có rất nhiều hướng mà chủ đề này có thể phát triển thêm trong tương lai. Một trong số đó có thể kể đến như kết hơp học máy với các giá trị thống kê để xây dựng một mô hình kết hợp chông DDoS hoặc bổ sung các phương pháp giảm thiểu sự ảnh hưởng của DDoS. Hoặc có thể hướng đến việc nâng cao hiệu năng trong thời gian thực cho mô hình. Điều này có thể được thực hiện bằng cách nâng cao các tính năng hoặc các giá trị lưu Hình 7. Giá trị SDFB lượng cho mô hình để tăng tốc độ phát hiện tấn công. TÀI LIỆU số luồng vào hệ thống. Có thể dễ thấy sự khác biệt giữa trường [1] SDX Central, “Understanding the SDN Architecture”, [Online]. Available: https://www.sdxcentral.com/resources/sdn/inside-sdn- hợp thực nghiệm và mô phỏng ở tham số này. architecture/. [Accessed Feb., 2022]. [2] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection method based on SVM in software defined network”, Security and Communication Networks, 2018. [3] (2014, Feb) Mininet. [Online]. Available at: http:/ mininet.org/ [4] Hping3. [Online]. Available at: https://linux.die.net/man/8/hping3 [5] Pox Controller. [Online]. Available at: https://github.com/noxrepo/pox [6] Gulshan Kumar, "Evaluation Metrics for Intrusion Detection Systems - A Study", , International Journal of Computer Science and Mobile Applications, 2014. [7] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection method based on SVM in software defined network”, Security and Communication Networks, 2018. [8] Cui Y, Yan L, Li S, Xing H, Pan W, Zhu J, Zheng X, “SD-Anti-DDoS: fast and efficient DDoS defense in software-defined networks”, J. Netw. Comput. Appl, 2016, pp. 65–79. [9] D. Wu, J. Li, S. K. Das, J. Wu, Y. Ji and Z. Li, ”A Novel Distributed Denial-of-Service Attack Detection Scheme for Software Defined Net- Hình 8. Giá trị NIFE working Environments,” 2018 IEEE International Conference on Com- munications (ICC), 2018, pp. 1-6. Kết quả cho thấy rằng hệ thống hoàn toàn có khả năng để [10] S. Salaria, S. Arora, N. Goyal, P. Goyal and S. Sharma, ”Implementation and Analysis of an Improved PCA technique for DDoS Detection,” 2020 phát hiện các cuộc tấn công DDoS và mô hình SVM cũng có IEEE 5th International Conference on Computing Communication and thể chạy trên thiết bị phần cứng thực. Tuy nhiên, topo mạng Automation (ICCCA), 2020, pp. 280-285. vẫn còn rất đơn giản và hệ thống sẽ cần thay đổi để có thể hoạt [11] The dataset. [Online]. Available at: https://github.com/surajiyer3/DDoS- Detection-SDN/blob/master/Training/Data.csv động tốt ở một mô hình mạng lớn hơn. Hơn nữa, việc tính toán [12] Reference code. [Online]. Available at: hoặc thêm các test cases để kiểm tra hiệu năng hệ thống có thể https://github.com/surajiyer3/DDoS-Detection-SDN được thực hiện. Đây sẽ là một hướng để nghiên cứu có thể tiếp tục phát triển trong tương lai. IV. KẾT LUẬN Nội dung chính của nghiên cứu xoay quanh việc phát hiện các cuộc tấn công DDoS sử dụng phương pháp học máy, mà ISBN 978-604-80-7468-5 169
ADSENSE
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Chiêu thứ 17: Sử dụng Data-Validation khi danh sách nguồn nằm trong một Sheet khác
3 p | 
566
| 
116
-
Bài 4: Phương pháp và quy trình học E-Learning
12 p | 366
| 72
-
Hướng dẫn phòng và diệt virus máy tính part 1
28 p | 204
| 61
-
Kết hợp phương pháp dạy- học lấy người học làm trung tâm
6 p | 213
| 49
-
Các phương pháp hack máy tính và cách đề phòng
5 p | 199
| 35
-
Tạo hiệu ứng bình xịt tuyết trên cửa kính đầy ấn tượng
17 p | 106
| 10
-
Giới thiệu môn học Cơ sở Lập trình - ThS. Nguyễn Thị Khiêm Hòa
11 p | 79
| 8
-
Giáo trình Ứng dụng và dịch vụ trên internet (Nghề: Quản trị mạng máy tính) - CĐ Kinh tế Kỹ thuật TP.HCM
168 p | 50
| 7
-
Áp dụng nguyên lý máy học để phân tích và phát hiện mã độc trong phần mềm máy tính
9 p | 60
| 6
-
Xây dựng hệ thư viện đồ họa BKGraphics và các phần mềm ứng dụng trong đào tạo kỹ thuật đồ họa.
9 p | 138
| 5
-
Ứng dụng học máy trong phát hiện bất thường trên nền tảng ELK
4 p | 19
| 5
-
Giáo trình phân tích quy trình vận dụng phương pháp phân đoạn mạng Wlan của vector khoảng cách p6
6 p | 67
| 4
-
Phương pháp phân loại dữ liệu bình luận của khách hàng trực tuyến Việt Nam dựa vào học máy có giám sát
4 p | 84
| 4
-
Đảm bảo tính riêng tư dữ liệu với học liên kết cải tiến
14 p | 36
| 3
-
Tiến bộ và thách thức của lĩnh vực học máy trong Hóa tin
20 p | 9
| 3
-
Đổi mới đánh giá kết quả học tập môn chuyên ngành Mạng máy tính – Truyền thông tại khoa CNTT trường Đại học Công nghiệp Thực phẩm thành phố Hồ Chí Minh
5 p | 31
| 2
-
Về một bộ dữ liệu xạ hình tưới máu cơ tim phục vụ việc xây dựng, đánh giá các mô hình học máy dò tìm tổn thương cơ tim
8 p | 39
| 2
Thêm tài liệu vào bộ sưu tập có sẵn:
Báo xấu
LAVA
AANETWORK
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn
Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.
