Chiến lược giăng bẫy thích ứng phục vụ phòng thủ chủ động trong mạng khả lập trình

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:8

Thêm vào BST

Báo xấu

10
lượt xem 4
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Nghiên cứu này xoay quanh vấn đề ứng dụng phương pháp học săn lùng mối đe dọa để tìm ra các vị trí để đặt bẫy và các loại bẫy phù hợp nhằm phát hiện các cuộc tấn công mạng và từ đó đưa ra giải pháp bảo mật một cách tốt nhất có thể. Nghiên cứu tập trung vào xây dựng một mô hình triển khai các bẫy một cách tự động, thông minh giúp hệ thống giảm thiểu rủi ro từ các cuộc tấn công mạng.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Chiến lược giăng bẫy thích ứng phục vụ phòng thủ chủ động trong mạng khả lập trình

Kỷ yếu Hội nghị Khoa học công nghệ Quốc gia lần thứ XV về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 03-04/11/2022 DOI: 10.15625/vap.2022.0208 CHIẾN LƯỢC GIĂNG BẪY THÍCH ỨNG PHỤC VỤ PHÒNG THỦ CHỦ ĐỘNG TRONG MẠNG KHẢ LẬP TRÌNH Văn Đoàn Bảo Khôi 1, Phạm Nguyễn Thảo Nhi2, Phan Thế Duy2, Nghi Hoàng Khoa2, Phạm Văn Hậu3 1 Phòng thí nghiệm An toàn thông tin, Trường Đại học Công nghệ Thông tin 2 Đại học Quốc gia Thành phố Hồ Chí Minh {18520948, 18520327}@gm.uit.edu.vn, {duypt, khoanh, haupv}@uit.edu.vn TÓM TẮT: Ngày nay, công nghệ thông tin đang phát triển với nhiều tiến bộ vượt bậc, bên cạnh những mặt tích cực và lợi ích to lớn mà xã hội thông tin mang lại cho nhân loại thì vẫn còn tồn tại những thách thức như: các nguy cơ tấn công mạng nhằm phá hoại hệ thống, nguy cơ bị đánh cắp thông tin “nhạy cảm” của các tổ chức cá nhân. Để ngăn chặn những nguy cơ này, đòi hỏi các cơ quan tổ chức doanh nghiệp phải tổ chức xây dựng các hệ thống an minh mạng nhằm đảm bảo an toàn cho hệ thống mạng. Trong số các giải pháp nhằm bảo vệ an toàn cho hệ thống mạng, Honeypot và Honeynet được coi là một trong những giải pháp hết sức hiệu quả. Đối với các kẻ tấn công thì hệ thống này là những “cạm bẫy đáng sợ” do chúng có thể bị theo dõi, lần theo dấu vết mà không có sự nhận biết nào. Cho nên, nghiên cứu này đưa ra phương pháp giải quyết bao gồm thiết lập nền tảng giăng bẫy phục vụ phòng thủ chủ động dựa trên nguyên lý khả lập trình, linh hoạt điều khiển của mạng Software Defined Networking (SDN) cho ngữ cảnh mạng có kích thước lớn như IoT, nhằm phát hiện, giảm thiểu rủi ro từ các cuộc tấn công mạng và từ đó đưa ra giải pháp bảo mật một cách tốt nhất có thể. Cuối cùng, mô hình được hiện thực và thực nghiệm với các kịch bản tấn công khác nhau đã cho thấy mô hình đề xuất của chúng tôi có thể phát hiện và chống lại các cuộc tấn công DDOS, XSS một cách hiệu quả. Từ khóa: Software defined networking, SDN, honeypot, honeynet, cyber deception, cyber threat detection. I. GIỚI THIỆU Với sự phổ biến rộng rãi của các thiết bị Internet of Things (IoT), các cuộc tấn công mạng nhằm vào các cơ sở hạ tầng quan trọng và thiết bị điện tử ngày càng trở nên nguy hiểm hơn vì sự hiện diện của dữ liệu nhạy cảm trên các thiết bị thông minh. Bên cạnh đó các vùng mạng có kích thước lớn như trung tâm dữ liệu điện toán đám mây, cùng với sự xuất hiện của các thiết bị thông minh, các thiết bị điện tử, IoT đang ngày càng phổ biến rộng rãi với các hạn chế phần cứng về sức mạnh tính toán, bộ nhớ và pin, cũng tạo ra nhiều rủi ro về quản lý, điều phối an ninh,... khiến cho các khía cạnh bảo mật và quyền riêng tư thậm chí còn khó giải quyết hơn. Vì thế trong những mạng có kích thước mạng lớn như vậy, SDN được xem là mô hình quản lý hiệu quả trong triển khai, cấu hình linh hoạt các chính sách giám sát và phản ứng với các sự kiện bảo mật. Bằng cách tận dụng bộ điều khiển SDN, quản trị viên có thể điều hướng các gói tin dựa trên các yêu cầu, sửa đổi các luồng lưu lượng và phát hiện các liên kết bị tắc nghẽn trong mạng cũng như những trạng thái bất thường khác của mạng. Để giảm thiểu tác động và ngăn chặn những kẻ tấn công phá vỡ hệ thống, lừa dối mạng được coi là cách tiếp cận tiềm năng để tận dụng thông tin hữu ích từ hành vi của kẻ thù làm vũ khí cho người phòng thủ. Cách đây hàng nghìn năm, lừa dối đã trở thành một trong những chiến lược quan trọng nhất trong chiến đấu quân sự và các cuộc chiến tranh trong dòng thời gian lịch sử của loài người [1]. Kỹ thuật lừa dối trong lĩnh vực an ninh mạng thực sự xuất phát từ khái niệm lừa dối đến các ứng dụng phòng thủ, được gọi là Honeypot. Tuy nhiên, nó cũng bao gồm các loại khác, chẳng hạn như Honeytoken, Honeypatch, mạng mồi nhử và Phòng thủ mục tiêu di chuyển (MTD),... [2] Những người bảo vệ mạng có thể xây dựng một kế hoạch đánh lừa có tổ chức và triệt để bằng cách sử dụng cách phân loại các chiến thuật lừa dối làm hướng dẫn hoặc họ có thể ưu tiên các nỗ lực đánh lừa để có một cách tiếp cận hiệu quả về chi phí [3]. Khác với các hệ thống an ninh mạng khác được thiết kế để phát hiện và ngăn chặn sự tấn công của tin tặc vào hệ thống mạng một cách thụ động, ngược lại, các kỹ thuật lừa dối mạng (đặc biệt là Honeynet) được thiết kế để chủ động lôi kéo sự tấn công của tin tặc vào hệ thống giả được bố trí song song với hệ thống thật nhằm mục đích:  Thu thập kỹ thuật - phương pháp tấn công.  Phát hiện ra các lỗ hổng bảo mật trên các công nghệ đã triển khai - cài đặt trên hệ thống thật.  Thu thập thông tin - dấu vết của attacker. Nghiên cứu này xoay quanh vấn đề ứng dụng phương pháp học săn lùng mối đe dọa để tìm ra các vị trí để đặt bẫy và các loại bẫy phù hợp nhằm phát hiện các cuộc tấn công mạng và từ đó đưa ra giải pháp bảo mật một cách tốt nhất có thể. Nghiên cứu tập trung vào xây dựng một mô hình triển khai các bẫy một cách tự động, thông minh giúp hệ thống giảm thiểu rủi ro từ các cuộc tấn công mạng. II. NGHIÊN CỨU LIÊN QUAN SDN mang đến cho chúng ta một bước đột phá tiềm năng trong việc quản lý hiệu quả các hệ thống mạng IoT khác nhau do tính linh hoạt và khả năng lập trình của nó. Đặt trong ngữ cảnh này, Honeynet - một mạng lưới các Honeypots được liên kết với nhau (Honeypot là một dạng bẫy điện tử, được xây dựng với mục đích để lộ các tài
68 CHIẾN LƯỢC GIĂNG BẪY THÍCH ỨNG PHỤC VỤ PHÒNG THU CHỦ ĐỘNG TRONG MẠNG KHẢ LẬP TRÌNH nguyên dễ bị tấn công để khuyến khích những kẻ tấn công thăm dò và khai thác) có thể được tăng cường với sự hỗ trợ SDN và NFV, được áp dụng cho các kịch bản IoT, do đó tăng cường bảo mật tổng thể. Khi đó, SDN sẽ hỗ trợ quản lý và triển khai các mạng IoT ảo chứa các dịch vụ ảo hóa/giả lập, để những kẻ tấn công có thể bị phân tâm khỏi mục tiêu thực [4]. Mahesh Banerjee và cộng sự [5] triển khai các Honeypots nổi tiếng như Dionaea hoặc Kippo để phát hiện các cuộc tấn công mạng botnet IoT (ví dụ: Mirai) bằng cách phân tích log hoạt động. Wang và cộng sự [6] đề xuất một Honeypot IoT cụ thể được gọi là ThingPot, triển khai XMPP/MQTT làm mô-đun Honeypot tương tác cao và API REST làm mô-đun Honeypot tương tác thấp. Ngoài ra, Dowling và cộng sự [7] cũng cung cấp mật ong tương tác thấp, dựa trên việc hợp nhất các kết quả thu thập được. Bên cạnh cấu hình, khả năng truy cập Honeypot hoặc Honeynet nên được đánh dấu. Với mục đích này, ngoài phương pháp tiếp cận tĩnh như HIOTPOT [8] sử dụng proxy để xác định xem người dùng có được phép truy cập vào môi trường IoT thực dựa trên địa chỉ nguồn hay không, còn có phương pháp mà Fan và cộng sự [9] và Lin [10] được đề xuất là tự động định tuyến lại lưu lượng truy cập từ các nút đáng ngờ bằng kỹ thuật SDN. Các kỹ thuật này, kết hợp với NFV, cho phép chúng tôi cung cấp các phản hồi linh hoạt tận dụng lợi thế của việc triển khai và cấu hình lại dựa trên khả năng lập trình. Hình 1. Mô hình mạng có thể lập trình cho các hệ thống IoT [11] Alejandro Molina Zarca và cộng sự [4] đề xuất một bộ khung bảo mật nhằm khai thác các tính năng của các trình hỗ trợ bảo mật dựa trên SDN/NFV để đảm bảo khả năng tự bảo vệ, tự phục hồi và tự sửa chữa trong các hệ thống IoT, ngoài các phương pháp bảo mật thông thường. Vì mục đích này, các chính sách bảo mật được xác định ở các mức trừu tượng khác nhau, để đảm bảo tính linh hoạt cao hơn và quản lý các biện pháp kiểm soát bảo mật trên các mạng không đồng nhất. Tuy nhiên, những giải pháp trên lại thiếu đi khả năng phát hiện những cuộc tấn công zero-day và có thể tạo ra những cảnh báo sai khiến cho người quản trị mạng bỏ sót, dẫn đến những hậu quả khôn lường. Chúng tôi tin rằng việc tăng độ phức tạp và khó khăn cho bất kỳ kẻ xâm nhập khi thực hiện hành vi trinh sát mạng là rất quan trọng, cùng với việc tăng xác suất và độ chính xác của việc phát hiện sự xâm nhập từ sự hỗ trợ của các hệ thống như IDS. Lấy ý tưởng từ việc tận dụng khả năng điều khiển mạng linh hoạt của SDN, chúng tôi sẽ triển khai một mạng lưới mô phỏng các cảm biến IoT thực mà kẻ tấn công sẽ được chuyển hướng đến để đánh lạc hướng và từ đó điều tra, phân tích cuộc tấn công, và đề ra các biện pháp ngăn chặn các cuộc tấn công tương tự trong tương lai. III. THIẾT KẾ MÔ HÌNH Chiến lược giăng bẫy thích ứng Một hệ thống bẫy thích ứng là khi IDPS có thể cập nhật các quy luật dựa trên các hành vi của kẻ tấn công và từ đó các bẫy sẽ được cập nhật, điều chỉnh cho phù hợp với các hành động của kẻ tấn công. Từ những tấn công thu thập được từ bẫy, chúng tôi có thể cập nhật lại các quy luật để tăng cường tính bảo mật của hệ thống đối với những vùng mạng vận hành thật sự để ngăn chặn những điều không mong muốn xảy ra. Điểm khác biệt so với việc giăng bẫy bằng các Honeypot bình thường là các Honeypot trong vùng mạng Honeynet sẽ được thay đổi về chức năng, cấu trúc hoặc có thể thay thế bằng một loại Honeypot khác để có khả năng thích ứng được với các hành động của kẻ tấn công. Tác giả Dorothy E Denning [12] định nghĩa phòng thủ mạng thích ứng hoặc chủ động là khi hệ thống có khả năng tự động chuẩn bị và thực hiện các chiến lược phòng thủ dự đoán hoặc phản ứng với hoạt động đáng ngờ được phát hiện mà không có sự can thiệp của con người.
Văn Đoàn Bảo Khôi, Phạm Nguyễn Thảo Nhi, Phan Thế Duy, Nghi Hoàng Khoa, Phạm Văn Hậu 69 Dựa trên định nghĩa này, chúng tôi hướng tới thiết kế một hệ thống đảm bảo an toàn mạng bằng cách thu hút và dẫn dụ kẻ tấn công vào vùng mạng bẫy/mồi nhử, và nhận biết sớm tấn công trước khi chúng tác động trực tiếp tới hệ thống mạng SDN. Mục tiêu cụ thể của hệ thống giăng bẫy thích ứng cần đạt được như sau:  Tính đa dạng: Hệ thống sử dụng đa dạng các loại bẫy như là cowrie, snare, cuckoo,... để tăng khả năng đón nhận nhiều loại hình tấn công khác nhau.  Tính khả dụng: Khi có sự cố xảy ra với một Honeypot bất kỳ trong vùng mạng Honeynet, Honeypot đó sẽ được tách ra khỏi vùng mạng và thay thế bằng một Honeypot khác với chức năng tương tự trong vùng mạng backup Honeynet.  Tính phản hồi linh hoạt: Đảm bảo thời gian chuyển hướng luồng tấn công từ các host trong bait network đến các Honeypot trong mạng Honeynet và thời gian phản hồi của Honeypot đến kẻ tấn công tương đối nhanh để tránh khả năng kẻ tấn công phát hiện Honeypot.  Tính chủ động trong tìm kiếm thông tin về mối đe dọa (threat hunting): Chủ động tìm kiếm các mối đe dọa mới từ bên trong hệ thống, từ đó thiết lập các bẫy phù hợp trong giai đoạn đặt bẫy sớm so với thời điểm các lỗ hổng được đưa ra/ cảnh báo tới cộng đồng.  Tính xáo trộn (như Moving Target Defense - MTD): Sử dụng các địa chỉ IP giả để che giấu các địa chỉ IP thật, để che giấu sự tồn tại của các Honeypot khi kẻ tấn công bị chuyển hướng vào đó.  Tính kết hợp, liên kết với hệ thống tìm kiếm, phát hiện, ngăn ngừa xâm nhập: Hệ thống săn lùng mối đe dọa sau khi phân tích và tìm ra các mối đe dọa mới sẽ tự động cập nhật lại các quy luật cho hệ thống tìm kiếm, phát hiện, ngăn ngừa xâm nhập để tăng cường khả năng phòng thủ. Tổng quan hệ thống Nghiên cứu này hướng đến chiến lược giăng bẫy thích ứng trong mạng khả lập trình bằng cách triển khai hệ thống bẫy như Honeynet kết hợp với khả năng thay đổi phương pháp đánh lừa cho phù hợp và hệ thống săn lùng mối đe dọa. Đồng thời kết hợp thêm hệ thống phát hiện xâm nhập và hệ thống thu thập, hiển thị log. Một số tính năng của mô hình:  Giám sát và ngăn chặn xâm nhập những cuộc tấn công gây ảnh hưởng lớn đến hệ thống như DoS,... Ngoài ra, còn có khả năng chuyển hướng các luồng tấn công đến các Honeypot phù hợp.  Thu thập thông tin của kẻ tấn công bao gồm IP, Port và các hoạt động của họ đối với mô hình dưới dạng log và chúng sẽ được gửi đến log server.  Dựa vào thông tin thu thập được chúng tôi tiến hành phân tích đâu là luồng tấn công và đâu là các luồng hoạt động bình thường.  Hệ thống săn lùng mối đe dọa sẽ dựa trên dữ liệu phân tích được để cập nhật lại quy luật cho IDPS.  Các Honeypot sẽ được cập nhật lại cho phù hợp với hoạt động của kẻ tấn công. Một số tính năng của SDN, chẳng hạn như:  Khả năng lập trình mạng.  Tập trung điều khiển mạng.  Chế độ xem mạng toàn cầu giúp ích cho việc phát triển.  Quản lý đột biến máy chủ ngẫu nhiên một cách hiệu quả và linh hoạt. Ứng dụng của kỹ thuật này làm thay đổi địa chỉ IP của các thiết bị, máy chủ và xác định hành vi chuyển tiếp, vì vậy hệ thống có thể chủ động bảo vệ các cuộc tấn công do thám của kẻ thù. Hơn nữa, dựa trên SDN, chúng tôi triển khai Honeypots để bắt chước các máy chủ thật, tạo bẫy, thu hút những kẻ tấn công cắn câu, cuối cùng nắm bắt được những kẻ tấn công. Trong nghiên cứu này, chúng tôi đề xuất mô hình như Hình 2 với ba thành phần chính là:  Hệ thống IDPS: giúp giám sát và ngăn chặn các cuộc tấn công như DoS và thu thập được thông tin cơ bản của kẻ tấn công như IP, Port để chuyển hướng các luồng tấn công đến Honeypot phù hợp.  Hệ thống mạng SDN - HoneyNet: bao gồm các Honeypot nhằm thu thập thông tin hoạt động của kẻ tấn công tập hợp thành một file log để gửi chúng đến log server trong hệ thống Threat Hunt.  Hệ thống săn lùng mối đe dọa: phân tích các dữ liệu thu được từ IDPS và Honeypot để phân loại đâu là malicious và đâu là benign. Dựa vào giá trị thu thập được sau khi phân cụm, hệ thống sẽ tiến hành cập nhật lại quy luật cho IDPS. Với mỗi thành phần trong mô hình đều có những nhiệm vụ và chức năng khác nhau và chúng sẽ hỗ trợ lẫn nhau để vận hành mô hình.
70 CHIẾN LƯỢC GIĂNG BẪY THÍCH ỨNG PHỤC VỤ PHÒNG THU CHỦ ĐỘNG TRONG MẠNG KHẢ LẬP TRÌNH Hình 2. Kiến trúc tổng quan IV. THỰC NGHIỆM VÀ KẾT QUẢ Hiện thực Các giải pháp và hệ thống được chúng tôi xây dựng, thử nghiệm trên hệ thống VMware vCenter Server như Bảng 1. Để triển khai mạng SDN chúng tôi đề xuất việc sử dụng Maxinet kết hợp controller ONOS. Với mỗi một network trong Maxinet ở đều được điều khiển bằng những controller ONOS riêng biệt với những nguyên do sau đây:  Dễ quản lý: Khả năng của một controller duy nhất bị hạn chế so với nhiều controller. Rất khó để một controller duy nhất có thể quản lý một mạng quy mô lớn với nhiều subnet.  Khả năng mở rộng: Sử dụng một controller có thể gây quá tải, làm giảm khả năng mở rộng của mạng. Kiến trúc nhiều controller có thể là một giải pháp thực tế để controller có thể được thêm vào hoặc loại bỏ một cách tự động. Các request có thể được cân bằng tải giữa nhiều controller để tránh tắc nghẽn.  Giảm độ trễ: Nếu mọi sự kiện được điều khiển bởi một controller duy nhất theo trình tự liên tiếp, nó có thể gây ra quá tải cho controller và tăng độ trễ phản hồi. Với nhiều controller, các yêu cầu có thể được cân bằng tải giữa các controller khác nhau hoặc được chuyển tiếp đến một controller thích hợp nhất để giảm độ trễ xử lý lưu lượng liên tục. Bảng 1. Bảng thành phần và cài đặt Tên máy Cấu hình Cài đặt Snort Ubuntu 18.04, RAM 4GB, 20 GB HDD - Snort Bait network Ubuntu 18.04, RAM 8GB, 80 GB HDD - Containernet Honeynet Ubuntu 18.04, RAM 4GB, 40 GB HDD - Maxinet (Server, Worker) Backup Honeynet - ONOS Cuckoo - Cuckoo ELK Stack Ubuntu 20.04, RAM 4GB, 50 GB HDD - Elasticsearch - Kibana Dashboard - Logstash Attacker Kali Linux, RAM 4GB, 40 GB HDD
Văn Đoàn Bảo Khôi, Phạm Nguyễn Thảo Nhi, Phan Thế Duy, Nghi Hoàng Khoa, Phạm Văn Hậu 71 Hình 3. Mô hình triển khai Maxinet Bảng 2. Thành phần trong từng vùng mạng và cài đặt Vùng mạng Thiết bị Địa chỉ IP Cài đặt Honeypot Backup Honeynet Host d1 15.0.0.250 - net-tools Host d2 15.0.0.251 - iputils-ping Host d3 15.0.0.252 - iproute2 Honeypot Host d1 17.0.0.250 - opensshserver cowrie Host d2 17.0.0.251 - iptables snare Host d3 17.0.0.252 - Nano Bait network Host d1 16.0.0.250 - Git Host d2 16.0.0.251 - curl Host d3 16.0.0.252 - openjdk-11-idk Mô hình được chúng tôi triển khai với các giá trị IP như ở Bảng 2 và ở đây chúng tôi sử dụng hai Honeypot là cowrie cho port 22 và snare cho port 80 như ở Bảng 2. Hình 4. Mô hình chuyển hướng luồng tấn công Tại các host trong mạng bait network, chúng tôi chạy một đoạn mã để đọc những cảnh báo của Snort rồi điều hướng sang những Honeypot phù hợp để thực hiện việc theo dõi và ghi log các hành động của kẻ tấn công. Còn đối với các luồng tấn công khác ngoài 2 port kể đến phía trên sẽ được chuyển hướng đến cuckoo và phân tích. Và cũng trong vùng Maxinet, chúng tôi triển khai thêm MTD cho các host có trong hệ thống.
72 CHIẾN LƯỢC GIĂNG BẪY THÍCH ỨNG PHỤC VỤ PHÒNG THU CHỦ ĐỘNG TRONG MẠNG KHẢ LẬP TRÌNH Hình 5. Mô hình triển khai MTD Với việc sử dụng MTD, kẻ tấn công sẽ thực hiện tấn công như ssh, http đến các IP fake của mạng mồi nhử (bait network). Tiếp đến luồng tấn công đó sẽ được chuyển đến Honeypot tương ứng với một IP giả tương tự và khi Honeypot trả dữ liệu về cho kẻ tấn công. Thực nghiệm và kết quả Kẻ tấn công sử dụng nmap để dò quét các port đang mở của mạng 172.18.1.0/24 (IP fake của bait network) để tìm kiếm các port đang được mở và tấn công vào chúng. Sau khi xác định được port 22 đang được mở, kẻ tấn công sẽ truy cập từ xa thông qua giao thức SSH vào hệ thống. Tuy nhiên khi đó, luồng tấn công đã được chuyển hướng sang một Honeypot trong vùng mạng Honeynet nhưng kẻ tấn công không thể nhận biết được. Trong lúc kẻ tấn công khai thác hệ thống, Honeypot sẽ thu thập lại thông tin các hành vi trên thành một file log và thông qua filebeat đã được cài đặt, log sẽ được gửi đến ELK Stack và hiển thị trên Kibana.  Kịch bản 1: Dùng máy Attacker tiến hành tấn công DOS vào một host trong mạng bait network bằng công cụ hping3: sudo hping3 -S -flood -V 172.18.1.0. Sau đó thiết lập rule trên Snort để chống lại cuộc tấn công (Hình 6, Hình 7). Hình 6. CPU của máy tăng mạnh khi bị tấn công Hình 7. CPU của máy giảm mạnh sau khi Snort ngăn chặn thành công
Văn Đoàn Bảo Khôi, Phạm Nguyễn Thảo Nhi, Phan Thế Duy, Nghi Hoàng Khoa, Phạm Văn Hậu 73  Kịch bản 2: Dùng máy Attacker tấn công brute force mật khẩu ssh vào host có địa chỉ 172.18.1.0 thuộc mạng bait network và attacker bị redirect sang vào honeypot Cowrie trong mạng Honeynet có chung địa chỉ IP giả với mạng bait network, như thể hiện trong Bảng 3.  Kịch bản 3: Dùng máy Attacker tấn công xss vào trang web trên host 172.18.1.2 thuộc mạng bait network và attacker bị redirect đến Honeypot Snare có cùng địa chỉ IP, chi tiết được trình bày trong Bảng 4. Bảng 3. Số liệu thống kê thời gian chuyển hướng và phản hồi tấn công SSH Lần Thời gian chuyển hướng (s) Thời gian phản hồi (s) 1 0,13 0,3 2 0,18 0,22 3 0,2 0,32 4 0,05 0,14 5 0,09 0,19 6 0,17 0,27 7 0,09 0,146 8 0,16 0,23 9 0,1 0,19 10 0,06 0,18 Trung bình 0,123 0,2186 Bảng 4. Số liệu thống kê thời gian chuyển hướng và phản hồi tấn công XSS Lần Thời gian chuyển hướng (s) Thời gian phản hồi (s) 1 0,125 0,285 2 0,158 0,269 3 0,118 0,248 4 0,121 0,238 5 0,109 0,206 6 0,195 0,312 7 0,167 0,289 8 0,148 0,275 9 0,116 0,253 10 0,132 0,291 Trung bình 0,1389 0,2666 Qua phần thử nghiệm tấn công trên, nhóm nhận xét và đánh giá các hệ thống IDPS có thể chống được tấn DOS nhờ các rule được thiết lập trên hệ thống Snort. Bên cạnh đó, nhóm có thiết lập thêm các rule cảnh báo, drop gói tin, tăng khả năng bảo vệ cho các thành phần trong hệ thống mạng cao hơn nữa. Ngoài ra theo số liệu ở Bảng 3 và Bảng 4, ta có thể thấy khả năng điều hướng và phản hồi của hệ thống bẫy khá nhanh. Thời gian chuyển hướng đến honeypot Cowrie dao động từ 0,05s đến 0,2s, trung bình là 0,123s và thời gian phản hồi dao động từ 0,14s đến 0,32s, trung bình là 0,2186s. Tuy nhiên ở honeypot Snare thì thời gian chuyển hướng trung bình là 0,1389s, cao hơn so với thời gian chuyển hướng trung bình của honeypot Cowrie là 0,0159s, tương tự thời gian phản hồi trung bình cũng cao hơn khoảng 0,048s. Sự chênh lệch này rất nhỏ, điều đó cho thấy tính hiệu quả trong việc giảm độ trễ để che giấu sự tồn tại của các Honeypot. V. KẾT LUẬN Hiện nay, các cuộc tấn công vào hạ tầng mạng của các tổ chức cá nhân vẫn đang tiếp diễn và không ngừng gia tăng. Trong bối cảnh Cách mạng công nghệ 4.0, công nghệ mạng khả lập trình (SDN) cung cấp triển vọng để phát hiện và giám sát hiệu quả các vấn đề an ninh mạng liên quan đến sự xuất hiện của các tính năng có thể lập trình trong các môi trường mạng không đồng nhất. Việc triển khai các bẫy mạng cũng cần được tăng cường để nắm bắt được hoạt động của kẻ tấn công nhằm bảo vệ an toàn cho tài sản của doanh nghiệp. Vì vậy nhóm nghiên cứu tập trung vào việc ứng dụng các kỹ thuật giăng bẫy thích ứng và các kỹ thuật săn lùng mối đe dọa để phát triển mô hình bẫy mạng phục vụ cho mục đích phòng thủ chủ động trong mạng khả lập trình. Chúng tôi đã thực hiện triển khai hệ thống bẫy thích ứng trong môi trường kiến trúc SDN với các tính năng như là:  Phân phối các lưu lượng của kẻ tấn công đến các Honeypot phù hợp bằng cách ứng dụng khả năng điều hướng linh động của bộ điều khiển SDN, sử dụng kỹ thuật MTD để che giấu sự tồn tại của các Honeypot nhằm tăng tính xáo trộn của hệ thống, gây nhầm lẫn thông tin cho attacker.  Triển khai IDPS để bảo vệ hệ thống, đồng thời cung cấp dữ liệu cho hệ thống săn lùng mối đe dọa.
74 CHIẾN LƯỢC GIĂNG BẪY THÍCH ỨNG PHỤC VỤ PHÒNG THU CHỦ ĐỘNG TRONG MẠNG KHẢ LẬP TRÌNH LỜI CẢM ƠN Cảm ơn sự hỗ trợ của Wanna.W^n: UIT Hacking Community thuộc UIT InSecLab trong quá trình thực hiện đề tài. TÀI LIỆU THAM KHẢO [1] J. Pawlick, C. Edward and Q. Zhu, "A game-theoretic taxonomy and survey of defensive deception for cybersecurity and privacy," ACM Computing Surveys (CSUR), Vol. 52, No. 4, pp. 1-28, 2019. [2] D. Fraunholz, S. D. Anton, C. Lipps, D. Reti, D. Krohmer, F. Pohl, M. Tammen and H. D. Schotten, "Demystifying deception technology: A survey," arXiv preprint arXiv:1804.06196, 2018. [3] L. Zhang and V. Thing, "Three decades of deception techniques in active cyber defense-retrospect and outlook," Computers & Security, Vol. 106, p. 102288, July 2021. [4] A. M. Zarca, J. B. Bernabe, A. Skarmeta and J. M. A. Calero, "Virtual IoT HoneyNets to Mitigate Cyberattacks in SDN/NFV- Enabled IoT Networks," in IEEE Journal on Selected Areas in Communications, 2020. [5] Banerjee, Mahesh and S. D. Samantaray, "Network traffic analysis based IoT botnet detection using honeynet data applying classification techniques," Vol. 17, No. 8, August 2019. [6] M. Wang, J. Santillan and a. F. Kuipers, "Thingpot: an interactive internetof-things honeypot," 2018. [7] S. Dowling, M. Schukat and E. Barrett, "Improving adaptive honeypot functionality with efficient reinforcement learning parameters for automated malware," Information Security Journal: A Global Perspective, Vol. 2, pp. 75-91, 19 Jul 2018. [8] U. D. Gandhi, P. M. Kumar, R. Varatharajan, G. Manogaran, R. Sundarasekar and a. S. Kadu, "Hiotpot: surveillance on iot devices against recent threats," Wireless personal communications, Vol. 103, No. 2, p. 1179-1194, 2018. [9] W. Fan and D. Fernandez, "A novel SDN based stealthy TCP connection handover mechanism for hybrid honeypot systems," in 2017 IEEE Conference on Network Softwarization (NetSoft), Bologna, Italy, 2017. [10] H. Lin, "Sdn-based in-network honeypot: Preemptively disrupt and mislead attacks in iot networks," 2019. [11] Y. Li, X. Su, J. Riekki, T. Kanter and R. Rahmani, "A SDN-based architecture for horizontal Internet of Things services," pp. 1-7, May 2016. [12] D. E.Denning, "Framework and principles for active cyber defense," Computers & Security, Vol. 40, pp. 108-113, 2014. AN ADAPTIVE TRAP STRATEGY FOR ACTIVE DEFENCE IN THE PROGRAMMEBLE NETWORK Van Doan Bao Khoi, Pham Nguyen Thao Nhi, Phan The Duy, Nghi Hoang Khoa, Pham Van Hau ABSTRACT: Today, information technology is developing with many great advances, besides the positive aspects and great benefits that the information society brings to humanity, there are still challenges such as network attacks to destroy the system, the risk of stealing "sensitive" information of organizations and individuals. To prevent these risks, it is required that organizations and enterprises build network security systems to ensure the safety of the network. Among the solutions to protect the safety of the network, Honeypot and Honeynet are considered as one of the most effective solutions. For attackers, these systems are "frightening pitfalls" because they can be tracked and traced without any awareness. Therefore, this study proposes a solution method including setting up a trap for active defense based on the programmable, flexible principle of Software Defined Networking (SDN) for the network context. as large as IoT, in order to detect and reduce risks from cyber-attacks and thereby provide the best possible security solution. Finally, the model is implemented and experimented with different attack scenarios, showing that our proposed model can effectively detect and resist DDOS, XSS attacks.