intTypePromotion=1
ADSENSE

Phát hiện tấn công DDoS trong mạng SDN sử dụng giá trị ngưỡng entropy động

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:6

20
lượt xem
1
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mạng định nghĩa bằng phần mềm (Software-Defined Network - SDN) là một mô hình mạng mới dựa trên sự phân tách giữa mặt phẳng dữ liệu và mặt phẳng điều khiển, giúp cho mạng trở nên linh hoạt, dễ quản lý, vận hành và được kiểm soát một cách tập trung. Tuy nhiên, đây cũng là một nhược điểm với SDN trước tác động của các cuộc tấn công mạng.

Chủ đề:
Lưu

Nội dung Text: Phát hiện tấn công DDoS trong mạng SDN sử dụng giá trị ngưỡng entropy động

  1. Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) Phát hiện tấn công DDoS trong mạng SDN sử dụng giá trị ngưỡng entropy động Lương Đức Huy, Đỗ Văn Nhất, Vũ Kim Thư, Bùi Quang Hiệu, Bùi Trung Ninh, Đinh Thị Thái Mai Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội {18020647, 18020974, 18021244, 18020522, ninhbt, dttmai}@vnu.edu.vn Tóm tắt— Mạng định nghĩa bằng phần mềm (Software-Defined Network - SDN) là một mô hình mạng mới dựa trên sự phân tách giữa mặt phẳng dữ liệu và mặt phẳng điều khiển, giúp cho mạng trở nên linh hoạt, dễ quản lý, vận hành và được kiểm soát một cách tập trung. Tuy nhiên, đây cũng là một nhược điểm với SDN trước tác động của các cuộc tấn công mạng. Các cuộc tấn công DDoS vào máy chủ gây ra tình trạng tắc nghẽn (băng thông bị chiếm dụng), thiếu hụt nguồn tài nguyên và khiến máy chủ không thể truy cập. Các nghiên cứu trước đây đã dựa trên giá trị của entropy được tính toán từ địa chỉ IP đích/nguồn nhằm phát hiện sớm các cuộc tấn công Hình 1. Kiến trúc mạng SDN [1] DDoS. Tuy nhiên, hạn chế của việc áp dụng các ngưỡng tĩnh trong các phương pháp hiện có bao Mặt phẳng dữ liệu bao gồm các bộ chuyển mạch gồm sự phụ thuộc vào cấu trúc liên kết mạng, cơ và bộ định tuyến tham gia vào quá trình chuyển tiếp sở hạ tầng phần cứng tốn kém cũng như độ chính lưu lượng mạng. Mặt phẳng điều khiển - nơi chứa bộ xác của thuật toán. Trong nghiên cứu này chúng điều khiển, được coi là hệ điều hành của SDN. Nó có tôi đề xuất phương pháp phân tích thống kê để xác chức năng xử lý các gói tin và đưa ra các quyết định định giá trị ngưỡng động thay đổi theo thời gian, chuyển tiếp hoặc loại bỏ rồi gửi tới bộ chuyển mạch. tùy thuộc vào lưu lượng được gửi đến mạng. Việc Chính việc xử lý tập trung các gói tin tại bộ điều khiển sử dụng ngưỡng động sẽ làm tăng tính linh hoạt cũng là một bất lợi khi mạng có thể dễ bị tấn công từ và không phụ thuộc vào cấu trúc của mạng. Kết chối dịch vụ phân tán (DDoS). Khi đó, một số lượng quả khảo sát, mô phỏng cho thấy, phương án của rất lớn các gói tin với địa chỉ nguồn giả mạo được gửi chúng tôi hoàn toàn khả thi để phát hiện nhanh tới bộ điều khiển. Điều này sẽ khiến cho hệ thống chóng các cuộc tấn công DDoS cũng như giúp mạng bị đình trệ do thiếu hụt nguồn tài nguyên và nâng cao độ tin cậy so với các phương pháp sử khiến nó không thể hoạt động. Do vậy, những lưu dụng giá trị ngưỡng tĩnh. lượng truy cập hợp lệ từ những người dùng bình thường sẽ không thể tiếp cận tới máy chủ. Phương Từ khóa— SDN, tấn công DDoS, an ninh mạng, pháp bảo vệ hiệu quả nhất để chống lại các cuộc tấn entropy, ngưỡng động, phân tích thống kê. công này chính là phát hiện sớm cuộc tấn công DDoS ngay từ giai đoạn đầu. Trong tài liệu [2], nhóm tác giả đã đề xuất một I. GIỚI THIỆU phương pháp để phát hiện cuộc tấn công DDoS dựa Ngày nay, với sự phát triển không ngừng của công trên việc trích xuất sáu giá trị đặc trưng từ lưu lượng nghệ mạng, sự bùng nổ của các thiết bị di động cũng trong bảng luồng (flow table) mà thu thập từ bộ như nhu cầu sử dụng các dịch vụ mạng ngày càng chuyển mạch. Sau đó, họ sử dụng thuật toán SVM để tăng nhanh. SDN là một kiến trúc mạng mới ra đời có hỗ trợ việc đánh giá lưu lượng, giúp phát hiện chính thể khắc phục được những hạn chế của mạng truyền xác các cuộc tấn công DDoS. Kết quả thực nghiệm thống. Kiến trúc SDN bao gồm ba lớp: ứng dụng, mặt cho thấy, tỷ lệ chính xác trung bình của phương pháp phẳng điều khiển và mặt phẳng dữ liệu [1]. là 95.24% với việc chỉ thu thập một phần nhỏ lưu lượng. ISBN 978-604-80-5958-3 107
  2. Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) Trong bài báo [3], một phương pháp đơn giản hơn vị được sử dụng để xác định và đo lường mức độ ngẫu được khai thác để phát hiện các cuộc tấn công DDoS nhiên của một sự kiện nào đó. Giá trị entropy có thể chính là dựa trên các giá trị entropy của địa chỉ nguồn được tính dựa trên các trường như địa chỉ cổng và đích của các luồng được quan sát bởi bộ điều khiển nguồn/đích hoặc địa chỉ IP nguồn/đích. Ở bài nghiên SDN. Các giá trị này sau đó sẽ được so sánh với cứu này, chúng tôi sẽ đánh giá trạng thái của lưu ngưỡng đặt trước. Ngoài ra, bài báo cũng cung cấp lượng sử dụng địa chỉ IP đích trong tiêu đề gói tin một mô-đun để giảm thiểu các cuộc tấn công vào hệ đến, thu thập bởi bộ điều khiển trung tâm. Nếu tính thống mà đã được phát hiện. ngẫu nhiên càng cao, tức là các gói tin được gửi đến ngẫu nhiên các địa chỉ đích khác nhau mà không có Một phương pháp phát hiện tấn công DDoS khác sự gia tăng bất ngờ đến một địa chỉ nào, điều đó sẽ được đề xuất trong [4]. Bài báo này đề xuất một cơ giữ cho entropy ở ngưỡng bình thường. chế sử dụng bốn mô-đun: kích hoạt phát hiện tấn công, phát hiện tấn công, truy vết tấn công và giảm Xét một cửa sổ (window) gồm N địa chỉ IP, được thiểu tấn công. Điều này sẽ giúp giảm khối lượng mô tả bởi tập hợp 𝑊 có 𝑛 phần tử (𝑛 ≤ N) là số các công việc của bộ điều khiển và chuyển mạch, trong địa chỉ IP đích khác nhau trong tiêu đề gói tin đến (do đó thuật toán mạng nơ-ron được áp dụng. Sự kết hợp các địa chỉ IP trong cửa sổ 𝑊 có thể giống nhau): của các thuật toán phân loại và dựa trên entropy cũng được phân tích. Kết quả thử nghiệm cho thấy cơ chế 𝑊 = { 𝑥1 , 𝑥2 , 𝑥3 … 𝑥𝑁 } được đề xuất có thể nhanh chóng phát hiện cuộc tấn Khi đó, giá trị entropy được tính dựa theo công thức công trong chưa đầy một giây và có thể truy vết chính sau: xác nguồn tấn công. 𝑛 𝐻 = − ∑ 𝑝𝑖 𝑙𝑜𝑔𝑝𝑖 Ngoài ra, từ nghiên cứu [5], các tác giả đã đề cập (1) 𝑖=1 đến các cơ chế phát hiện và giảm thiểu các cuộc tấn công DDoS. Thêm vào đó, cơ chế Pro Defense cũng Xác suất xuất hiện của một địa chỉ IP trong 𝑊 là: được họ đề xuất, tạo ra các cảnh báo tấn công DDoS 𝑥𝑖 dựa trên yêu cầu bảo mật của ứng dụng. 𝑝𝑖 = 𝑁 (2) Từ các thảo luận ở trên, chúng tôi nhận thấy việc Trong đó, 𝑥𝑖 là số lần xuất hiện của địa chỉ IP 𝑥 trong tính giá trị entropy cố định với một giá trị cửa sổ nhất 𝑊 và ∑𝑛𝑖=1 𝑥𝑖 = 𝑁 với N là kích thước (tổng số địa định vẫn còn nhiều hạn chế. Giá trị entropy thực tế chỉ IP) của tập 𝑊. Vì vậy, N sẽ đại diện cho kích cỡ phụ thuộc vào cấu trúc liên kết của mạng. Do đó, việc của một window. sử dụng giá trị entropy cố định sẽ làm giảm tính linh hoạt cũng như không phù hợp với các nhà mạng khác Từ công thức (1), nếu 𝐻 nhỏ dần và tiến về 0, điều nhau. Ngoài ra, đối với các kích cỡ window nhỏ, xác đó thể hiện rằng có một sự kiện bất thường đang xảy suất xuất hiện của một địa chỉ IP chênh lệch nhiều so ra trong toàn bộ hệ thống và xác suất có một cuộc tấn với các giá trị khác sẽ làm dao động giá trị entropy công DDoS là rất cao. Ngược lại, nếu như các gói tin càng lớn, dẫn đến sự sai khác trong việc xác định thời được gửi đến nhiều đích với tần suất gần như bằng gian tấn công DDoS. Trong bài báo này, chúng tôi nhau, không có đích đến nào nhận được gói tin nhiều xem xét phương pháp điều chỉnh ngưỡng động thay hơn hẳn so với các đích khác, điều đó có nghĩa là 𝐻 đổi theo thời gian dựa trên sự biến thiên của các giá sẽ ở trạng thái xấp xỉ trung bình tối ưu. Khi này, xác trị entropy của từng window. Dựa vào giá trị ngưỡng suất đang có một cuộc tấn công DDoS là rất thấp. động này và so sánh nó với giá trị entropy hiện tại, ta có thể đưa ra dự đoán về trạng thái của hệ thống. Trong tài liệu [6], để phát hiện có cuộc tấn công DDoS, một ngưỡng tĩnh thử nghiệm được chọn dựa Phần còn lại của bài báo được tổ chức như sau: trên việc thực hiện một số cuộc tấn công. trong Phần II, chúng tôi sẽ mô tả về mô hình đề xuất. Phần III, chúng tôi sẽ đánh giá hiệu năng của hệ thống 𝜎 Khoảng Tin Cậy = 𝑋̅ ± 𝑍𝑎⁄2 . (3) và cung cấp các kết quả mô phỏng. Cuối cùng, các √𝑛 kết luận cũng như định hướng công việc tương lai được trình bày trong Phần IV. Ở công thức trên, 𝑋̅ là giá trị trung bình, phần còn lại gọi là phạm vi sai số. Trong đó, Z là hệ số tin cậy ứng với 𝑎 là mức độ tin cậy, σ là độ lệch chuẩn và 𝑛 là kích thước mẫu. Mức độ tin cậy được chọn là 95%. II. MÔ HÌNH HỆ THỐNG Ban đầu, ta sẽ tìm sự chênh lệch ∆ = 𝐻𝑛𝑚𝑖𝑛 - 𝐻𝑎𝑚𝑎𝑥 . Trong phần này, chúng tôi sẽ trình bày định nghĩa 𝐻𝑛𝑚𝑖𝑛 tương đương entropy của lưu lượng truy cập và công thức tính giá trị entropy. Entropy là một đơn trung bình bình thường trừ đi phạm vi sai số của nó, ISBN 978-604-80-5958-3 108
  3. Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) 𝐻𝑎𝑚𝑎𝑥 là giá trị entropy trung bình khi có tấn công entropy. Bằng cách sử dụng Mininet, chúng tôi có thể cộng với phạm vi sai số tương ứng. Cuối cùng, tạo ra một cuộc tấn công trên máy chủ ảo và phân tích ngưỡng tĩnh được xác định bằng 𝐻𝑛𝑚𝑎𝑥 - ∆. Ngưỡng kết quả thuật toán phát hiện tấn công DDoS của mình. tĩnh này là cố định, bất kì giá trị entropy nhất thời nào Chúng tôi mô phỏng một cuộc tấn công DDoS trên thấp hơn ngưỡng tĩnh này sẽ được coi là có cuộc tấn mạng với 64 host và 9 Open vSwitch, trong đó có 1 công đang xảy ra [6]. Tuy nhiên, giá trị ngưỡng tĩnh bộ chuyển mạch tập trung và 8 bộ chuyển mạch lớp này phụ thuộc vào dữ liệu tấn công trong quá khứ, dưới, mỗi bộ được kết nối với 8 host. chính vì vậy nó làm giảm tính linh hoạt trong việc xác định ngưỡng để phát hiện tấn công mới. Trong nghiên cứu này, ngưỡng được chúng tôi xem xét thử nghiệm sẽ không cố định mà thay đổi liên tục theo thời gian dựa vào việc biến động giá trị entropy của lưu lượng đến. Các giá trị entropy sau khi được tính toán sẽ được lưu trữ vào window. Dựa vào thông số được lưu trữ từ các window này, chúng tôi sẽ tính toán được giá trị entropy trung bình 𝐻 ̅𝑡 và độ lệch chuẩn 𝜎𝑡 . 𝑡 1 ̅𝑡 = ∑ 𝐻𝑖 𝐻 𝑡 (4) 𝑖=1 Hình 2. Mô hình mô phỏng hệ thống 𝑡 𝑡 1 1 Để giúp bộ điều khiển POX có thể kiểm soát giao 𝜎𝑡 = ∑(𝐻𝑖 − 𝐻 ̅𝑡 2 ̅𝑡 )2 = ∑ 𝐻𝑖 2 − 𝐻 (5) tiếp trong mạng, chúng tôi sử dụng mô-đun l3 𝑡 𝑡 𝑖=1 𝑖=1 learning [11]. Mô-đun này cung cấp khả năng học ở lớp 3 bằng cách lưu giữ các thông tin về khả năng tiếp Ở công thức (4) và (5), 𝐻𝑖 là giá trị entropy trong cận mạng giữa các nút vào một danh sách. Khi có gói các khoảng thời gian khác nhau được tính toán dựa tin mới đến, l3 learning sẽ xử lý và trích xuất địa chỉ trên công thức (1) như chúng tôi đã đề cập. Dựa vào cổng và địa chỉ MAC. Từ những thông tin này, nó sẽ các thông số kể trên được tính toán, chúng tôi xem kiểm tra liên kết trong danh sách lưu trữ. Nếu không xét một giá trị ngưỡng động 𝑇𝑑𝑦𝑛𝑎𝑚𝑖𝑐 [7] với công có đường liên kết, mô-đun này sẽ sử dụng giao thức thức được định nghĩa như sau: ARP để khởi tạo yêu cầu. Ngoài ra, chúng tôi còn chỉnh sửa và tích hợp những thuật toán giúp bộ điều ̅𝑡 + 𝐶𝑑 . 𝜎𝑡 𝑇𝑑𝑦𝑛𝑎𝑚𝑖𝑐 = 𝐻 khiển POX có thể tính toán giá trị entropy và các (6) thông số cần thiết để có thể phát hiện các cuộc tấn Trong đó, 𝐻 ̅𝑡 và 𝜎𝑡 lần lượt là giá trị entropy trung công. Việc khởi tạo, giả mạo và gửi các gói tin được bình và độ lệch chuẩn tại thời điểm t. Theo quy tắc thực hiện bởi Scapy [10]. Scapy được sử dụng để tạo phân phối chuẩn (normal distribution), 95% các giá cái gói tin UDP và giả mạo địa chỉ IP nguồn của trị entropy sẽ nằm trong khoảng 𝐻 ̅𝑡 ± 2 𝜎𝐻 . Các giá 𝑡 chúng để thực hiện các luồng lưu lượng tấn công cũng trị nhỏ hơn 𝐻̅𝑡 − 2 𝜎𝐻 sẽ không ảnh hưởng nhiều đến 𝑡 như là lưu lượng bình thường trong hệ thống mô kết quả của bài toán, vì vậy chúng ta có thể dựa vào phỏng. Địa chỉ IP của các host trong mô hình được cơ sở đó để lựa chọn 𝐶𝑑 cho hệ thống này. 𝐶𝑑 là giá gán tăng dần, bắt đầu từ 10.0.0.1. trị hằng số không đổi dựa trên các kết quả thực nghiệm và ở đây nó được đặt bằng -2 [8]. Trạng thái hệ thống được chia thành 2 giai đoạn riêng biệt. Giai đoạn 1 là khi hệ thống hoạt động ở trạng thái bình thường với cường độ lưu lượng không có sự thay đổi quá nhiều về tần suất gửi gói tin đến III. MÔ PHỎNG VÀ KẾT QUẢ THỬ NGHIỆM các địa chỉ đích khác nhau. Ở Giai đoạn 2, chúng tôi Thử nghiệm của chúng tôi được chạy trên máy sử dụng Scapy để tạo ra lưu lượng tấn công, khi này tính MSI, chạy bộ vi xử lý Intel® Core™ i5-9300H, tốc độ gửi các gói đến hệ thống tăng lên đồng thời xung nhịp 2.4GHz - 4.1GHz, đi kèm với 16GB RAM tính ngẫu nhiên của địa chỉ đích trong tiêu đề các gói DDR4 2666MHz. Hệ điều hành được sử dụng là tin sẽ giảm đi. Một hoặc một vài đích nhất định sẽ Ubuntu 20.04. Để phục vụ cho việc mô phỏng, chúng nhận được lượng gói tin nhiều hơn đột biến so với tôi chọn Mininet [9] là trình giả lập mạng với bộ điều bình thường. Kích cỡ của một window được lựa chọn khiển POX. POX là phiên bản cải tiến của NOX, sử tối ưu để thử nghiệm là N = 50 gói tin. Việc lựa chọn dụng ngôn ngữ Python. Việc sử dụng bộ điều khiển này có mục đích là giới hạn kết nối mới đến cho mỗi POX đơn giản và hiệu quả hơn khi thiết lập thử host trong mạng. Ngoài ra, kích cỡ window phù hợp nghiệm cho thuật toán phát hiện tấn công dựa trên này còn giúp giảm tải tính toán cho CPU của hệ ISBN 978-604-80-5958-3 109
  4. Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) thống, đáp ứng được việc phát hiện các cuộc tấn công một host. Trước tiên, chúng tôi thực hiện một cuộc nhanh chóng trong khi vẫn đảm bảo được độ chính tấn công với tỷ lệ 25% trên một host trong 10 lần. xác và tin cậy [6]. Ngưỡng này là entropy thấp nhất trong tất cả các trường hợp, vì vậy nó sẽ cho phép bộ điều khiển phát Thử nghiệm đầu tiên được diễn ra khi hệ thống hiện bất kỳ cuộc tấn công nào với các gói chiếm 25% đang ở trạng thái bình thường (Giai đoạn 1). Chúng lưu lượng truy cập đến hoặc nhiều hơn. tôi sử dụng 1 host để khởi tạo lưu lượng và gửi chúng đến hệ thống. Tốc độ gửi các gói tin là 0.1 gói/giây Bảng I đưa ra các số liệu mà chúng tôi đã thu thập với cổng đích là 80 và cổng nguồn là 2. Trong một được với các lưu lượng tấn công khác nhau, từ đó ta lần chạy, sẽ có tổng cộng 500 gói tin được gửi đi, có thể so sánh các giá trị entropy của chúng. Để có tương đương với 10 window. được những giá trị này, chúng tôi thực hiện những bước sau: 1. Tính giá trị entropy thấp nhất mà lưu lượng truy cập thông thường có thể đạt được. Điều này bằng với giá trị trung bình của lưu lượng truy cập thông thường trừ đi phạm vi sai số, thu được 1.4283. 2. Tính giá trị entropy cao nhất mà lưu lượng tấn công có thể đạt được. Ta lấy giá trị trung bình của lưu lượng tấn công cộng với phạm vi sai số tương ứng, tương đương 1.2046. 3. Giá trị chênh lệch giữa bước 1 và 2 là 0.2237. Ta xác định được tỷ lệ sụt giảm entropy là 15.66%. 4. Ngưỡng được xác định bằng giá trị entropy cao nhất của lưu lượng truy cập thông thường trừ đi Hình 3. Hệ thống đang ở trạng thái bình thường (Giai đoạn 1) khoảng chênh lệch tìm được tại bước 3. Ngưỡng lúc này sẽ là 1.2242. Hình 3 chỉ ra các số liệu thống kê trong một window mà bộ điều khiển POX đã thu thập được BẢNG I trong quá trình thử nghiệm. Dễ dàng có thể nhìn thấy THỐNG KÊ, SO SÁNH GIỮA CÁC KỊCH BẢN KIỂM TRA rằng các gói tin được gửi đến nhiều địa chỉ đích khác nhau trong mạng. Vì vậy, tính ngẫu nhiên sẽ tăng lên đồng nghĩa với giá trị entropy tại thời điểm đó cũng có sự gia tăng. Giá trị entropy tức thời trong window khi này là 1.5214, trong khi đó giá trị của ngưỡng động tính toán được là 1.3894. Do giá trị entropy tức thời lớn hơn giá trị ngưỡng động, hệ thống có thể kết luận rằng nó đang ở trạng thái bình thường và chưa có cuộc tấn công nào đến hệ thống. Kịch bản tấn công ở Giai đoạn 2 được chúng tôi lựa chọn liên quan đến 3 trường hợp với những cường độ tấn công khác nhau lên hệ thống, lần lượt là 25%, 50% và 75%. Tốc độ/tỷ lệ của cuộc tấn công được xác định bằng công thức (7), trong đó 𝐼𝑎 và 𝐼𝑛 lần lượt là khoảng thời gian giữa các lần gửi những gói tin của lưu lượng tấn công và lưu lượng thông thường. 𝐼𝑎 𝑅𝑎𝑡𝑡𝑎𝑐𝑘 𝑟𝑎𝑡𝑒 = 1 − ⋅ 100% (7) (𝐼𝑛 + 𝐼𝑎 ) Việc mô phỏng lưu lượng thông thường sẽ diễn ra trên 1 host, trong khi đó 2 host khác sẽ đảm nhận việc gửi một số lượng lớn các bản tin truy cập không hợp lệ đến hệ thống. Trong hệ thống, lưu lượng truy cập thông thường được chuyển tiếp đến tất cả các host, trong khi lưu lượng tấn công chỉ nhắm mục tiêu đến ISBN 978-604-80-5958-3 110
  5. Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) Các giá trị ngưỡng động được tính toán sẽ liên tục cho biết giá trị trung bình và giá trị ngưỡng động biến được so sánh với giá trị entropy tức thời trong một đổi trong quá trình mô phỏng. window. Trong Hình 4, chúng tôi thử nghiệm khi tỷ lệ tấn công vào hệ thống là 25%, cho thấy bộ điều Để xem xét các cuộc tấn công tập trung hơn, hai khiển đã phát hiện được những sự bất thường trong thử nghiệm tốc độ cao hơn đã được đưa ra. Hình 6 lưu lượng đến mạng. cho thấy một cuộc tấn công với tỷ lệ 50% và Hình 7 là cuộc tấn công tỷ lệ 75% đều nhằm vào một host. Hai cuộc tấn công này cho thấy rõ hơn sự khác biệt của giá trị entropy trong cả hai kịch bản kiểm tra có cường độ cao hơn này. Hình 4. Cuộc tấn công DDoS đã được phát hiện Ở hình trên, giá trị entropy tức thời khi có sự tấn công có sự suy giảm đáng kể so với khi chỉ có lưu lượng bình thường. Giá trị này là 1.0897, nhỏ hơn so với giá trị ngưỡng động là 1.2517. Do vậy, bộ điều Hình 6. Tấn công một host với tỉ lệ 50% khiển POX phát ra cảnh báo hệ thống đang bị tấn công, đồng thời ngăn chặn cổng của bộ chuyển mạch mà gói tin được gửi đến. Hình 7. Tấn công một host với tỉ lệ 75% Hình 5. Tấn công một host với tỉ lệ 25% Trong các cuộc tấn công tỷ lệ 50% và 75%, hình Hình 5 là biểu đồ thể hiện kết quả của một cuộc dạng biểu đồ gần giống như khi tỷ lệ là 25% nhưng tấn công tỉ lệ 25% trên một host. Chúng ta có thể nhận độ sâu của entropy tấn công cũng như độ dốc của mức thấy sự giảm sút mạnh của entropy tấn công, ngưỡng ngưỡng và mức trung bình sẽ lớn hơn. Khi tốc độ tấn và entropy trung bình khi có cuộc tấn công diễn ra. công tăng, số lượng gói tấn công được tạo ra sẽ nhiều Biểu đồ là kết quả của 10 lần chạy với 500 gói cho hơn, tỷ lệ phần trăm của các gói tấn công trong mỗi lần kiểm tra. Mỗi điểm trên trục hoành hiển thị window sẽ lớn. Điều này sẽ dẫn đến một biểu đồ tấn cho khoảng thời gian và trục dọc hiển thị giá trị công sâu hơn và hẹp hơn so với trước. entropy cho khoảng thời gian đó. Trong biểu đồ, đường màu xanh cho thấy sự chuyển đổi từ trạng thái Việc sử dụng ngưỡng động cho phát hiện tấn công lưu lượng truy cập thông thường sang trạng thái bị tấn DDoS rõ ràng mang lại những ưu thế hơn so với công và trở lại bình thường. Đường màu đỏ và vàng ngưỡng tĩnh. Theo các nghiên cứu trước đây [12], độ ISBN 978-604-80-5958-3 111
  6. Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) tin cậy của hệ thống đạt 92% khi sử dụng giá trị [2] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack ngưỡng tĩnh. Ngưỡng tĩnh có đặc điểm là thích nghi detection method based on SVM in software defined kém với môi trường mạng thay đổi, trong khi đó lưu network”, Security and Communication Networks, 2018. lượng đến mạng có đặc điểm là biến động theo thời [3] Jawad Dalou, Basheer Al-Duwairi, Mohammad Al- gian. Nếu một ngưỡng duy nhất và cố định được sử Jarrah, “Adaptive entropy-based detection and mitigation dụng để đánh giá hệ thống liệu có bị tấn công hay of ddos attacks in software defined networks”, không, thì rất có thể có những sai số nhất định. Do International Journal of Computing, 2020, pp. 399-410. đó, dựa trên số liệu thống kê và quan sát hiện trạng hệ thống, giá trị ngưỡng động sẽ liên tục thay đổi và [4] Cui Y, Yan L, Li S, Xing H, Pan W, Zhu J, Zheng X, bám sát theo giá trị entropy thực tùy thuộc vào lưu “SD-Anti-DDoS: fast and efficient DDoS defense in lượng đến mạng. Vì vậy, phương pháp này mang lại software-defined networks”, J. Netw. Comput. Appl, 2016, sự tin cậy hơn so với ngưỡng tĩnh, hạn chế được tình pp. 65–79. trạng cảnh báo giả khi mà lưu lượng đến mạng không [5] N. Bawany, J. Shamsi, K. Salah, “DDoS Attack may thay đổi bất ngờ nhưng không phải xuất phát từ Detection and Mitigation Using SDN: Methods, Practices, các cuộc tấn công mạng có chủ đích. and Solutions”, in IEEE International Conference on Dependable Systems and Networks (SDN), 2017, pp. 6-7. [6] T. Nakashima, T. Sueyoshi, S. Oshima, "Early IV. KẾT LUẬN DoS/DDoS Detection Method using Short-term Statistics", SDN là kiểu kiến trúc mạng đang dần trở nên phổ in International Conference on Complex, Intelligent and biến, mang đến hy vọng thay thế mô hình mạng Software Intensive Systems, 2010, pp. 168-173. truyền thống hiện tại, cung cấp tính linh hoạt cho cấu hình mạng thông qua bộ điều khiển SDN tập trung. [7] S. Oshima, T. Nakashima, T. Sueyoshi, "DDoS Detection Technique using Statistical Analysis to Generate Để cải thiện và nâng cao tính bảo mật, chúng tôi đã Quick Response Time", in International Conference on đề xuất hệ thống phát hiện tấn công DDoS dựa trên Broadband, Wireless Computing, Communication and việc tính toán các giá trị entropy và xác định ngưỡng Applications, 2010, pp. 673-674. động. Theo các kết quả thử nghiệm, có thể thấy phương pháp xác định ngưỡng động được đề xuất có [8] Guo-Chih Hong, Chung-Nan Lee, Ming-Feng Lee, tính linh hoạt, có khả năng phát hiện nhanh chóng các 2019, “Dynamic Threshold for DDoS Mitigation in SDN cuộc tấn công DDoS và không phụ thuộc vào cấu trúc Environment”, 2019 Asia-Pacific Signal and Information mạng của các nhà sản xuất. Bài nghiên cứu này đã Processing Association Annual Summit and Conference định lượng phát hiện sớm cho 250 gói tin đầu tiên (APSIPA ASC), Lanzhou, China, 2019, pp. 1-7. trong vòng 40s, điều này cho thấy phương pháp đề [9] Mininet. [Online]. Available: http://mininet.org/. xuất này có thể phát hiện các cuộc tấn công DDoS ở [Accessed Oct., 2021]. giai đoạn sớm ngay cả khi hệ thống chỉ nhận được một lượng nhỏ các gói tin. [10] Scapy. [Online]. Available: https://scapy.net/. [Accessed Oct., 2021]. Trong tương lai, chúng tôi sẽ tiếp tục thực hiện những sự thay đổi để cải tiến hiệu năng của toàn bộ [11] GitHub, POX Controller. [Online]. Available: hệ thống. Sự cải thiện có thể đến từ việc sử dụng các https://noxrepo.github.io/pox-doc/html/. [Accessed Oct., tập dữ liệu (dataset) chuyên nghiệp và thực tế hơn cho 2021]. việc thử nghiệm. Ngoài ra, việc áp dụng Học máy (Machine Learning) vào thuật toán cũng là một công [12] Merlin J. R. Dennis, “Machine-Learning and Statistical Methods For DDoS Attack Detection and cụ rất mạnh để giúp nâng cao độ chính xác trong khả Defense System in Software Defined Networks”, Master of năng ngăn chặn các cuộc tấn công phức tạp và tinh vi Applied Science, Ryerson University, 2018, pp. 47-48. hơn. TÀI LIỆU THAM KHẢO [1] SDX Central, “Understanding the SDN Architecture”, Mar. 13, 2015. [Online]. Available: https://www.sdxcentral.com/resources/sdn/inside-sdn- architecture/. [Accessed Oct., 2021]. ISBN 978-604-80-5958-3 112
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2