Tóm tắt Luận án Tiến sĩ Kỹ thuật viễn thông: Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:27

Thêm vào BST

Báo xấu

11
lượt xem 6
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mục tiêu nghiên cứu của luận án "Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm" là đưa ra một số cơ chế mới nhằm phát hiện, giảm thiểu tấn công DDoS trong mạng SDN. Tìm hiểu về DDoS ảnh hưởng như thế nào tới các thành phần của mạng SDN; Giải pháp phát hiện tấn công DDoS hiệu quả, chính xác và theo thời gian thực; Giải pháp giảm thiểu tấn công DDoS cũng như hậu quả của nó tới mạng SDN, duy trì hoạt động của mạng một cách liên tục.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tóm tắt Luận án Tiến sĩ Kỹ thuật viễn thông: Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC BÁCH KHOA HÀ NỘI Nguyễn Ngọc Tuấn CÁC GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG DDOS CHO MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM Ngành: Kỹ thuật viễn thông Mã số: 9520208 TÓM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG Hà Nội – 2023
Công trình được hoàn thành tại: Đại học Bách khoa Hà Nội Người hướng dẫn khoa học: PGS.TS. Nguyễn Hữu Thanh Phản biện 1: Phản biện 2: Phản biện 3: Luận án được bảo vệ trước Hội đồng đánh giá luận án tiến sĩ cấp Đại học Bách khoa Hà Nội họp tại Đại học Bách khoa Hà Nội Vào hồi …….. giờ, ngày ….. tháng ….. năm ……… Có thể tìm hiểu luận án tại thư viện: 1. Thư viện Tạ Quang Bửu - ĐHBK Hà Nội 2. Thư viện Quốc gia Việt Nam
MỞ ĐẦU Mục đích nghiên cứu Hiện nay, công nghệ thông tin đang ngày càng phát triển và chiếm một vị trí vô cùng quan trọng trong sự phát triển của xã hội. SDN là một xu hướng công nghệ mạng mới khi mang đến những tính năng quản lý hết sức linh hoạt với hiệu năng cao. Khác với công nghệ mạng truyền thống, SDN cho phép tách các chức năng mặt phẳng điều khiển ra khỏi các chức năng mặt phẳng chuyển tiếp dữ liệu đồng thời cung cấp khả năng quản lý giám sát tập trung và tạo ra các giao diện lập trình ứng dụng mở cho phép các nhà nghiên cứu phát triển có thể can thiệp vào sự hoạt động của các thiết bị mạng cũng như mở rộng, bổ sung các chức năng mới qua phần mềm. Đi cùng với sự phát triển công nghệ mạng đó, an ninh mạng là vấn đề cực kỳ quan trọng và cần phải quan tâm giải quyết. Trong các vấn đề cấp thiết trong an ninh mạng thì tấn công DDoS là nổi trội nhất do nhiều công cụ hỗ trợ, dễ thực hiện, và tác động trên phạm vi lớn. Do đó nghiên cứu sinh lựa chọn đề tài “Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm”, tập trung vào giải quyết bài toán của tấn công DDoS để thực hiện nghiên cứu. Mục tiêu nghiên cứu của luận án Đưa ra một số cơ chế mới nhằm phát hiện, giảm thiểu tấn công DDoS trong mạng SDN. Các vấn đề cần giải quyết của luận án - DDoS ảnh hưởng như thế nào tới các thành phần của mạng SDN. - Giải pháp phát hiện tấn công DDoS hiệu quả, chính xác và theo thời gian thực. - Giải pháp giảm thiểu tấn công DDoS cũng như hậu quả của nó tới mạng SDN, duy trì hoạt động của mạng một cách liên tục. Phạm vi nghiên cứu của luận án Nghiên cứu tập trung vào: - Mạng điều khiển bằng phần mềm SDN. - Tấn công DDoS và các giải pháp phát hiện, giảm thiểu tấn công DDoS sử dụng thuật toán học máy. 1
Phương pháp nghiên cứu - Nghiên cứu đánh giá lý thuyết, từ đó đề xuất giải pháp mới. - Xây dựng mô hình thực nghiệm, phân tích đánh giá kết quả giải pháp đề xuất mới, so sánh với các phương pháp đã có. Từ đó đề xuất giải pháp mới tối ưu. Các đóng góp của luận án - Nhận dạng và đo lường một số ảnh hưởng, tác động của tấn công DDoS đối với các thành phần của mạng SDN trên hệ thống thật. - Đề xuất một giải pháp phát hiện các loại tấn công DDoS gồm hai cấp: cấp phát hiện nhanh bất thường sử dụng thuật toán phát hiện ngoại lai cục bộ và cấp phát hiện loại tấn công cụ thể sử dụng các thuật toán học máy phức tạp hơn là KNN và DNN để cân bằng yêu cầu thời gian thực và độ chính xác trong phát hiện tấn công DDoS. - Đề xuất giải pháp hạn chế, giảm thiểu tấn công DDoS bằng giải pháp phát hiện đối tượng và hủy bỏ luồng tấn công với cửa sổ thu thập dữ liệu có thích ứng để đạt hiệu quả tốt hơn, và giải pháp co giãn tài nguyên mạng. Cấu trúc luận án Luận án được chia thành 5 chương với các nội dung như sau: - Chương 1: trình bày những kiến thức nền tảng liên quan đến các nội dung nghiên cứu. - Chương 2: trình bày kết quả nghiên cứu về đánh giá tác động của dữ liệu bất thường, tấn công DDoS lên kiến trúc mạng SDN. - Chương 3: trình bày giải pháp ứng dụng thuật toán học máy trong phát hiện tấn công từ chối dịch vụ. - Chương 4: trình bày giải pháp giảm thiểu DDoS trong mạng SDN. - Chương 5: trình bày giải pháp tự động tăng, giảm tài nguyên mạng SDN thích ứng với lưu lượng dữ liệu theo thời gian thực. - Kết luận chung và các kết quả đã công bố của luận án. CHƯƠNG 1. TỔNG QUAN 1.1. Tổng quan về mạng định nghĩa bằng phần mềm SDN Mạng định nghĩa bằng phần mềm là sự phân tách về mặt vật lý mặt phẳng điều khiển khỏi mặt phẳng chuyển tiếp dữ liệu, để mặt phẳng 2
điều khiển có thể quản lý tập trung nhiều thiết bị mạng khác nhau thay vì một thiết bị. 1.1.1. Kiến trúc của SDN Hình 1.1 Cấu trúc mạng SDN - Lớp ứng dụng: là một chương trình có chức năng giao tiếp ở mức độ hành vi và chia sẻ tài nguyên với bộ điều khiển thông qua API. - Lớp điều khiển: là một thực thể vật lý trong mạng để nhận các yêu cầu từ trên lớp ứng dụng và xử lý đưa xuống các thành phần mạng ở lớp dưới như thiết bị chuyển mạch, thiết bị định tuyến. - Lớp hạ tầng mạng: Các thiết bị mạng điều khiển việc chuyển tiếp và xử lý dữ liệu trong mạng. 1.1.2. So sánh với kiến trúc mạng truyền thống Trong mạng truyền thống, các thiết bị mạng phải mang trên mình nhiều chức năng để đảm bảo hoạt động. Với SDN, việc điều khiển được tập trung tại tầng điều khiển nằm tách biệt với các thiết bị chuyển mạch, các thiết bị mạng chỉ có nhiệm vụ chuyển tiếp các gói tin. 1.2. Giao thức OpenFlow 1.2.1. Giới thiệu chung OpenFlow là chuẩn giao tiếp được định nghĩa giữa hai lớp điều khiển và lớp chuyển tiếp dữ liệu trong kiến trúc mạng SDN. 1.2.2. Thiết bị chuyển mạch OpenFlow Hình 1.3 mô tả các thành phần chính của thiết bị chuyển mạch OpenFlow. 3
Hình 1.3 Các thành phần chính của thiết bị chuyển mạch OpenFlow 1.2.3. Bộ điều khiển OpenFlow Bộ điều khiển OpenFlow làm nhiệm vụ điều khiển thiết bị chuyển mạch phía dưới. Bộ điều khiển OpenFlow nằm độc lập với thiết bị chuyển mạch OpenFlow và giao tiếp với thiết bị chuyển mạch OpenFlow bằng giao thức OpenFlow. Một số bộ điều khiển OpenFlow hay sử dụng như POX, Ryu, FloodLight, OpenDaylight. 1.3. Tấn công từ chối dịch vụ DDoS 1.3.1. Giới thiệu chung DDoS là một cuộc tấn công xảy ra khi người tấn công cố gắng làm cho mục tiêu không thể sử dụng hoặc dừng cung cấp một dịch vụ nào đó bằng cách gửi một số lượng lớn dữ liệu hoặc kết nối tới mục tiêu. Người tấn công thường xây dựng các botnet để làm công việc này. 1.3.2. Phân loại tấn công từ chối dịch vụ Hình 1.7 Phân loại các hình thức tấn công từ chối dịch vụ phân tán DDoS 4
1.4. Tổng quan về học máy Học máy là một lĩnh vực con của trí tuệ nhân tạo, có khả năng tự học hỏi dựa trên dữ liệu đưa vào mà không cần phải được lập trình cụ thể. 1.4.1. Quá trình hoạt động của các thuật toán học máy Quy trình xây dựng một mô hình học máy trải qua các bước sau: - Lựa chọn dữ liệu - Mô hình hóa dữ liệu - Xác thực mô hình - Tinh chỉnh các thông số của mô hình - Sử dụng mô hình - Thử nghiệm mô hình 1.4.2. Thuật toán KNN KNN là một trong những thuật toán phân loại đơn giản nhất của học máy. KNN là thuật toán học có giám sát, nghĩa là dữ liệu dùng để huấn luyện trong thuật toán bao gồm cả dữ liệu đầu vào và nhãn ở đầu ra. Ý tưởng chính của thuật toán KNN dựa trên sự tương đồng giữa các điểm gần nhau (trong một khoảng cách nhỏ) trong một không gian nhiều chiều. Để dự đoán nhãn của một điểm dữ liệu đầu vào, thuật toán KNN sẽ tính toán khoảng cách đến tất cả các điểm trong tập huấn luyện để tìm ra k điểm gần nhất của nó. KNN phân điểm dữ liệu vào nhóm có nhiều điểm trong k điểm này. KNN là thuật toán máy học “lười biếng”, nó sẽ không học bất cứ điều gì cho đến khi cần xác định nhãn của một điểm dữ liệu đầu vào. Tham số quan trọng cần xác định khi thực hiện KNN là giá trị k. 1.4.3. Học sâu và thuật toán DNN Học sâu là một nhánh các thuật toán trong tổng thể các thuật toán của học máy. Cấu trúc và hoạt động của các thuật toán học sâu được lấy cảm hứng từ bộ não con người và được gọi là mạng nơ ron. Mạng nơ ron là một cấu trúc bao gồm ba lớp: lớp vào dùng để nhận các giá trị đầu vào thuật toán, lớp ẩn để lọc dữ liệu và kéo các giá trị dự đoán gần với các giá trị mà bài toán mong muốn, lớp ra dùng để đưa ra giá trị dự đoán cuối cùng của tập dữ liệu. Hình 1.16 biểu thị một mạng nơ ron có ba nơ ron thuộc lớp đầu vào, hai thuộc lớp đầu ra và có một lớp ẩn với bốn nơ ron. 5
DNN có hai tham số quan trọng ảnh hưởng đến chất lượng hoạt động của thuật toán cần xác định là tốc độ học (learning rate) và số vòng lặp tối đa (iteration). CHƯƠNG 2. ĐỀ XUẤT PHƯƠNG PHÁP ĐÁNH GIÁ TÁC ĐỘNG CỦA TẤN CÔNG DDOS VỚI KIẾN TRÚC SDN 2.1. Giới thiệu Trong môi trường SDN, việc chuyển tiếp gói tin dữ liệu được thực hiện theo nguyên tắc luồng phản ứng, được mô tả trong Hình 2.1 Hình 2.1. Tương tác giữa mặt phẳng điều khiển và mặt phẳng dữ liệu trong mạng SDN Nguyên tắc phản ứng theo luồng của SDN thường bị các cuộc tấn công DDoS khai thác. Đối với các cuộc tấn công dựa trên giao thức như TCP-SYN, những kẻ tấn công gửi gói tin SYN với các cổng và địa chỉ IP nguồn giả mạo, bộ chuyển mạch coi mỗi gói tin là một luồng mới. Hậu quả sẽ là tràn ngập gói tin packet_in về phía bộ điều khiển. Mặt khác, đối với các cuộc tấn công dựa trên dung lượng như tràn ngập ICMP hoặc UDP, khối lượng lưu lượng truy cập lớn có thể làm bão hòa băng thông của mặt phẳng dữ liệu, kênh kết nối bộ điều khiển và thiết bị chuyển mạch cũng như bộ đệm của các thành phần SDN. Hình 2.2 thể hiện các lỗ hổng có thể có trong mạng SDN. Việc đánh giá tác động của cuộc tấn công DDoS đối với SDN là rất đáng quan 6
tâm, không chỉ về mặt định tính mà cả về mặt định lượng. Do đó, trong chương này, nghiên cứu sinh tập trung đo đạc, đánh giá tác động tiêu cực của các cuộc tấn công DDoS đối với kiến trúc SDN. Hình 2.2. Tổng hợp các lỗ hổng trong kiến trúc SDN 2.2. Xây dựng mô hình thực nghiệm Hình 2.3 mô tả chi tiết các thành phần của mô hình thực nghiệm, gồm bốn thành phần chính: (1) thiết bị giả lập Botnet; (2) mạng SDN; (3) hệ thống máy chủ; và (4) thu thập và phân tích dữ liệu. Cấu hình và tham số thử nghiệm được mô tả trong Bảng 2.1. Hình 2.3 Mô hình kiến trúc hệ thống đo đạc để đánh giá tác động của DDoS và xây dựng hồ sơ hiệu năng mạng SDN 7
Bảng 2.1 Cấu hình và tham số của mô hình thử nghiệm Bộ điều POX, Ryu và Floodlight cài đặt trên máy chủ phần cứng: khiển 6 Xeon(R) 2.53 GHz, 16 Cores, 32 GB RAM Thiết bị Phần mềm: Open vSwitch (v2.14.90) cài đặt trên máy chủ chuyển phần cứng: 6 Xeon(R) 2.67 GHz, 24 Cores, 64 GB RAM. mạch SDN Phần cứng: HPE Aruba 2920 Máy chủ có hiệu năng cao (6 Xeon (R) 2.67 GHz, 24 Victim Cores, 64 GB RAM) Traffic Phần mềm Bonesi, TCPReplay (thiết bị phần cứng: generator Xeon(R) 3.70 GHz, 12 Cores, 16GB RAM) OpenFlow OpenFlow 1.0 và OpenFlow 1.3 Tốc độ: 5,000 fps trong 10 giây cho tất cả các thiết bị điều Tấn công khiển; 10,000 fps, 15,000 fps, 20,000 fps trong 10 giây cho SYN Floodlight; Flood Số lượng bots: 50,000 Tấn công Băng thông: 56 Mbps – 900 Mbps ICMP Số lượng bots: 50,000 Flood Kích thước dữ liệu: 1,400 bytes Thiết bị điều khiển: số yêu cầu đến (packet_in), luật gửi ra Các thông (flow_mod), trễ xử lý số đo đạc Thiết bị chuyển mạch: khối lượng dữ liệu đến, thông lượng, kích thước bảng luồng, độ trễ 2.3. Các tác động của tấn công DDoS lên kiến trúc mạng SDN 2.3.1. Tác động của tấn công DDoS lên bộ điều khiển SDN 2.3.1.1. Tác động của tấn công giao thức lên bộ điều khiển SDN Thực hiện tấn công TCP-SYN với tốc độ 5,000 luồng trên giây (fps) trong 10s. Một luồng bao gồm các gói tin dữ liệu có các thông số giống nhau: {địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích}. Mỗi một luồng sẽ được thiết bị chuyển mạch và bộ điều khiển xử lý theo nguyên tắc được trình bày như ở bên trên, trong Hình 2.1. Trong thử nghiệm tấn công này, mỗi gói tin TCP-SYN là 1 luồng mới. Kết quả Hình 2.4 cho thấy Floodlight đáp ứng tốt mức 5,000fps, POX tối đa 1,200fps, Ryu tối đa 2,400fps, Ryu chạy OF1.3 kém hơn OF1.0 và đạt mức xử lý 1,000fps, Floodlight và OVS không bị ảnh hưởng. Tiếp tục tăng tốc độ tấn công TCP-SYN lên 10,000fps, 15,000fps, 20,000fps để đánh giá Floodlight và OVS. Kết quả cho thấy cả FL và OVS hoạt động tương đối tốt ở tốc độ 10,000fps. Ở tốc độ 15,000fps, FL với OF 1.0 vẫn hoạt động ổn định, FL với OF 1.3 và OVS không 8
đủ khả năng xử lý và bị trễ. Lên đến tốc độ 20,000fps, tất cả đều không đáp ứng được. (a) Số lượng tích lũy của luồng đến (b) Số luồng đến và ra trên mỗi giây và số luồng ra tại bộ điều khiển (c) Kích thước bảng luồng (d) Độ trễ xử lý trong bộ điều khiển Hình. 2.4 Hiệu năng của bộ điều khiển SDN trong trường hợp 5,000 luồng TCP-SYN đến trong một giây 2.3.1.2. Tác động của tấn công khối lượng lên bộ điều khiển SDN Thực hiện tấn công ICMP với 5,000pps, 1400bytes/1 gói. Kết quả Hình 2.6 cho thấy packet_in tại POX, Ryu thấp hơn packet vào OVS, tại FL bằng tại OVS. Nguyên nhân là do cơ chế điều khiển luồng của TCP để phù hợp với khả năng của bộ điều khiển. OVS và Aruba không có bộ đệm nên phải gửi cả gói ICMP lên cho bộ điều khiển. 9
(a) Các luồng vào và ra trên một giây (b) Tổng tích lũy số luồng Hình 2.6 Các tác động của tấn công tràn ICMP lên bộ điều khiển SDN 2.3.1.3. Ảnh hưởng của việc triển khai các thuật toán mới lên hiệu năng bộ điều khiển (a) Số lường vào và ra trên một giây (b) Tổng tích lũy số luồng Hình 2.8. Hiệu năng của bộ điều khiển Ryu, POX sau khi tích hợp thuật toán thông minh Kết quả trên Hình 2.8 cho thấy việc thêm một chức năng thông minh thường làm giảm khả năng xử lý của cả POX và Ryu tương ứng khoảng 200 và 300 fps so với các trường hợp thông thường. 2.3.2. Tác động của tấn công DDoS lên thiết bị chuyển mạch SDN 2.3.2.1. Tìm kiếm và cập nhật bảng luồng thông tin Khi hoạt động, OVS đồng thời xử lý gói tin đến và xử lý gói flow_mod lấy thông tin đưa vào bảng luồng. Kết quả Hình 2.9 cho thấy tại 10,000fps OVS xử lý tương đối tốt, tới. 15,000fps OVS bị quá tải. Thời gian cuối số gói gửi gia tăng, do không phải xử lý gói tin đến nữa, OVS tập trung cho flow_mod và gói ra. 10
(a) Dữ liệu vào và ra tại OvS với (b) Dữ liệu vào và ra tại OvS với số luồng yêu cầu mới là 10,000 fps số luồng yêu cầu mới là 15,000 fps Hình 2.10 Hiệu năng của OvS với Floodlight khi có tấn công TCP-SYN 2.3.2.2. Tác động của tấn công DDoS lên thiết bị chuyển mạch cứng và giới hạn tài nguyên của thiết bị chuyển mạch cứng Kết quả đo đạc cho thấy kích thước bảng luồng của HP Aruba là 1014 mục. Hình 2.11 cho thấy phản ứng của HP Aruba với tấn công ICMP. (a) Tấn công ICMP với 2000 bots (b) Tổng số gói tin Hình 2.12 Phản ứng của HP Aruba 2920 với tấn công ICMP 2.3.3. Tác động của tấn công lưu lượng lên kết nối giữa thiết bị điều khiển và thiết bị chuyển mạch Kết quả đo đạc cho thấy có trễ xảy ra khi đường kết nối giữa thiết bị chuyển mạch và thiết bị điều khiển bị tắc nghẽn do tấn công. 2.4. Kết luận Một số nhận xét có thể được rút ra từ nghiên cứu này, đó là: 11
- Tấn công DDoS ảnh hưởng đến tất cả các thành phần của kiến trúc SDN. - Floodlight vượt trội hơn so với POX và Ryu. Đó là do Floodlight là bộ điều khiển dựa trên Java hỗ trợ đa luồng. Trong khi đó, POX và Ryu sử dụng Python, chỉ hỗ trợ một luồng. Hình 3.1 Kiến trúc của giải pháp tổng thể đề xuất CHƯƠNG 3. ĐỀ XUẤT CÁC GIẢI PHÁP PHÁT HIỆN TẤN CÔNG DDOS TRONG MẠNG SDN 3.1. Giải pháp tổng thể ngăn chặn tấn công DDoS Với mục tiêu “Đưa ra một số cơ chế mới nhằm phát hiện, giảm thiểu tấn công DDoS trong mạng SDN” như đã đề cập ở phần Mở đầu, nghiên cứu sinh đề xuất một giải pháp tổng thể ngăn chặn tấn công DDoS mô tả trong Hình 3.1. Giải pháp là tập hợp của các giải pháp 12
mà nghiên cứu sinh sẽ đề xuất trong luận án này. Với các giải pháp tích hợp đó, Hình 3.2 thể hiện các trạng thái của mặt phẳng điều khiển trong quá trình hoạt động. Hình 3.2 Các trạng thái của mặt phẳng điều khiển 3.2. Giải pháp phát hiện tấn công DDoS Hình 3.4 Mô hình kiến trúc tích hợp hệ thống phát hiện tấn công DDoS Hình 3.4 là mô hình kiến trúc tích hợp giải pháp phát hiện tấn công đề xuất. Cả ba khối phát hiện bất thường, phân loại dữ liệu và phát hiện tấn công DDoS cụ thể được tích hợp tại bộ điều khiển. Các khối phát hiện đều chạy các thuật toán học máy tương ứng, dữ liệu cung cấp cho các thuật toán học máy này được tập hợp bởi một mô-đun 13
giám sát và thu thập thông tin. Thông qua các Open API, mô-đun giám sát giao tiếp với thiết bị chuyển mạch và thu thập thông tin cần thiết, thực hiện lọc lấy các đặc trưng dữ liệu theo yêu cầu của thuật toán học máy, chuẩn hóa dữ liệu và gửi qua cho mô-đun phát hiện tấn công sử dụng. 3.3. Khối phát hiện dữ liệu bất thường sử dụng thuật toán học máy trong mạng SDN 3.3.1. Lựa chọn thuật toán học máy Khối phát hiện dữ liệu bất thường chạy theo thời gian thực do đó cần đảm bảo nhanh, nhẹ và chính xác. Trước yêu cầu đó, LoF là thuật toán học máy phù hợp. 3.3.2. Áp dụng thuật toán LoF vào khối phát hiện bất thường 3.3.2.1. Thuật toán LoF LoF ban đầu được đề xuất bởi Markus M.Breunig và các cộng sự vào năm 2000 để tìm ra các điểm dữ liệu bất thường bằng cách đo độ lệch cục bộ của một điểm dữ liệu nhất định đối với các điểm lân cận của nó. Mục đích của LoF là tìm số điểm bất thường trong dữ liệu. LoF dựa trên khái niệm về mật độ cục bộ, trong đó vị trí được cho bởi k hàng xóm gần nhất, khoảng cách của chúng được sử dụng để ước tính mật độ. Bằng cách so sánh mật độ cục bộ của một đối tượng với mật độ cục bộ của các vùng lân cận, nó có thể xác định các vùng có mật độ tương tự và các điểm có mật độ thấp hơn đáng kể so với các vùng lân cận được coi là ngoại lệ. Tham số quan trọng cần xác định khi thực hiện KNN là giá trị số lượng điểm lân cận k. 3.3.2.2. Giải pháp áp dụng LoF trong khối phát hiện bất thường Nghiên cứu sinh áp dụng LoF để nó hoạt động như một thuật toán học máy có giám sát, thay vì là thuật toán tìm điểm bất thường trong tập dữ liệu như bản gốc. Nghiên cứu sinh sử dụng dữ liệu bình thường trong giai đoạn huấn luyện cho mô hình thuật toán. Trong giai đoạn thử nghiệm, nếu độ lệch cục bộ của dữ liệu đầu vào lớn hơn độ lệch cục bộ tối đa trong dữ liệu huấn luyện, những điểm mới này được coi là bất thường. 14
3.4. Khối phân loại và phát hiện tấn công DDoS cụ thể 3.4.1. Khối phân loại dữ liệu Khối phân loại dữ liệu thực hiện xác định loại của dữ liệu bất thường dựa trên trường thông tin loại giao thức (protocol type) trong gói tin. Nghiên cứu đơn giản hóa giai đoạn này bằng cách sử dụng ngưỡng khi đếm số lượng gói theo loại giao thức có trong bảng luồng. 3.4.2. Khối phát hiện loại tấn công cụ thể Mục đích của khối phát hiện loại tấn công cụ thể là sử dụng các thuật toán học máy phù hợp để dự đoán chính xác lại dữ liệu bất thường có phải là tấn công DDoS hay không. Phần này nghiên cứu sinh tập trung vào hai loại tấn công DDoS là tấn công theo dung lượng và theo giao thức. Mà đại diện là tấn công tràn ICMP cho loại theo dung lượng và tấn công tràn TCP-SYN cho loại theo giao thức. KNN có đặc điểm ít phức tạp hơn nhưng lại “lười” trong quá trình huấn luyện. Toàn bộ dữ liệu huấn luyện được lưu trữ để thực hiện tính toán khi chạy dự đoán, do đó tốn không gian lưu trữ. KNN phù hợp cho các dữ liệu nhẹ, ít chiều, có độ phức tạp thấp, phù hợp với tấn công tràn TCP-SYN. Đối với tấn công ICMP, kích thước gói tin lớn, lên tới 1,400bytes, KNN không còn phù hợp, nghiên cứu sử dụng DNN vì độ chính xác cao và thời gian xử lý đủ thấp. 3.5. Tập dữ liệu và các đặc trưng dữ liệu Các dữ liệu sử dụng bao gồm: - Dữ liệu CAIDA, dữ liệu DDoSDB. - Dữ liệu thường đo tại trung tâm mạng ĐH Bách khoa Hà Nội và Lab nghiên cứu. Dữ liệu giả lập từ phần mềm Bonesi. 3.5.1. Bộ dữ liệu tấn công CAIDA Bộ dữ liệu CAIDA 2007 là lưu lượng tấn công DDoS vào ngày 4 tháng 8 năm 2007 (20:50:08 UTC đến 21:56:16 UTC) do Trung tâm Phân tích dữ liệu Internet ứng dụng cung cấp. Bảng 3.2 trình bày số lượng IP nguồn, cổng nguồn của TCP-SYN và số lượng IP nguồn, số lượng gói của ICMP trong bộ dữ liệu CAIDA 2007. 3.5.2. Bộ dữ liệu DDoSDB DDoSDB là một nền tảng giúp các nạn nhân của các cuộc tấn công DDoS, cộng đồng học thuật và cộng đồng bảo mật chia sẻ và tiếp cận thông tin thực 15
tế về các cuộc tấn công DDoS. Dữ liệu tấn công ICMP gồm 8 tệp và dữ liệu tấn công TCP gồm 15 tệp. Bảng 3.2 Số IP và cổng trong bộ dữ liệu CAIDA 2007 Thời gian Số IP Số cổng Số IP Số gói (giây) (TCP) TCP (ICMP) ICMP 0 - 20 2 149 9 7363 20 - 40 72 424 10 7191 40 - 60 84 946 9 6646 60 - 80 94 1291 65 9580 80 - 100 177 35702 739 370873 100 - 120 242 82685 1368 983884 120 - 140 332 134838 2126 1616179 140 - 160 421 180078 2714 2291028 160 - 180 504 233090 3365 2905617 180 - 200 585 186489 4020 2307083 200 - 220 663 100631 4583 1238029 220 - 240 747 265239 5218 2970610 240 - 260 817 262481 5817 3059760 260 - 280 890 254574 6447 3053683 280 - 300 1043 253794 7083 3013000 3.5.3. Bộ dữ liệu tự đo đạc và tạo bởi phần mềm Bonesi Để bổ sung dữ liệu cho huấn luyện và thử nghiệm các thuật toán học máy, nghiên cứu sinh thực hiện đo đạc dữ liệu thông thường tại Trung tâm mạng Đại học Bách khoa Hà Nội và tại Lab nghiên cứu. Phần mềm Bonesi cũng được sử dụng để tạo ra bộ dữ liệu tấn công tương tự để làm phong phú thêm tập huấn luyện và thử nghiệm. 3.5.4. Lựa chọn đặc trưng cho các thuật toán học máy LoF được triển khai tại khối phát biện bất thường, tập trung nhiều vào phát hiện bất lường liên quan tới tấn công TCP-SYN và ICMP, nên đặc trưng được lựa chọn cho thuật toán này là số bytes trong mỗi giây và số lượng luồng trong mỗi giây. Đối với KNN, thuật toán được sử dụng để phát hiện tấn công TCP-SYN, 16
hai đặc trưng quan trọng có thể sử dụng là số cổng trên mỗi địa chỉ IP hay entropy của cổng trên mỗi địa chỉ IP. Đối với DNN, thuật toán được sử dụng để phát hiện tấn công ICMP, đặc trưng phù hợp là số bytes trên giây và số gói ICMP trên mỗi địa chỉ IP. Hình 3.9 Mô hình thử nghiệm 3.6. Thực hiện thử nghiệm và đánh giá giải pháp 3.6.1. Mô hình thử nghiệm Hình 3.9 là mô hình thử nghiệm được cài đặt trên các máy chủ vật lý tách rời và kết nối mạng với nhau. Bộ điều khiển sử dụng là Ryu và thiết bị chuyển mạch sử dụng OvS. Các bộ dữ liệu đã phân tích bên trên được sử dụng để huấn luyện mô hình và thử nghiệm. 3.6.2. Kết quả thử nghiệm phát hiện bất thường Hình 3.10 là kết quả Recall của mô hình với các giá trị k thay đổi. Từ k=6 trở đi Recall ở mức cao và ít thay đổi. Do đó chọn k=6 cho mô hình. Hình 3.11 là kết quả trạng thái của hệ thống thay đổi từ bình thường sang bất thường khi số luồng tăng lên, tương tự khi số gói tăng lên. Với k=6, kết quả thử nghiệm cho thấy mô hình có accuracy bằng 95,34%, Precision bằng 93,59%, Recall bằng 98,57% và F1-score bằng 96,01% 17
Hình 3.10 Recall và độ lệch chuẩn Hình 3.11 Số lượng luồng trên mỗi phụ thuộc vào k điểm lân cận giây và trạng thái của hệ thống 3.6.3. Kết quả thử nghiệm phát hiện tấn công DDoS cụ thể Bảng 3.9 Kết quả sử dụng thuật toán DNN và KNN phát hiện tấn công ICMP và TCP-SYN Các thông số DNN KNN Thời gian huấn luyện (s) 0.5542 0 Thời gian dự đoán (s) 0.0003 0.0022 Accuracy (%) 99.906 97.790 Precision (%) 100.00 96.130 Recall (%) 99.794 100.00 F1-Score 99.897 98.027 Thực hiện thử nghiệm để lựa chọn thông số của KNN và DNN. Sau khi chạy vòng lặp thử nghiệm với các giá trị k, tốc độ học và vòng lặp. Ta có các giá trị phù hợp của mô hình là k=9 với KNN, tốc độ học và số vòng lặp của DNN lần lượt bằng 0,0025s và 200. Kết quả phát hiện tấn công DDoS được thể hiện trong Bảng 3.9 3.7. Kết luận Phần này trình bày đề xuất giải pháp mới phát hiện bất thường và tấn công DDoS sử dụng các thuật toán máy học phù hợp cho mỗi loại tấn công trong mạng SDN. Kết quả thực nghiệm cho thấy hệ thống chạy ổn định, kết quả phát hiện nhanh và chính xác 18