Xem mẫu
- Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)
Phát hiện tấn công DDoS trong mạng SDN
sử dụng giá trị ngưỡng entropy động
Lương Đức Huy, Đỗ Văn Nhất, Vũ Kim Thư, Bùi Quang Hiệu, Bùi Trung Ninh, Đinh Thị Thái Mai
Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông
Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội
{18020647, 18020974, 18021244, 18020522, ninhbt, dttmai}@vnu.edu.vn
Tóm tắt— Mạng định nghĩa bằng phần mềm
(Software-Defined Network - SDN) là một mô
hình mạng mới dựa trên sự phân tách giữa mặt
phẳng dữ liệu và mặt phẳng điều khiển, giúp cho
mạng trở nên linh hoạt, dễ quản lý, vận hành và
được kiểm soát một cách tập trung. Tuy nhiên,
đây cũng là một nhược điểm với SDN trước tác
động của các cuộc tấn công mạng. Các cuộc tấn
công DDoS vào máy chủ gây ra tình trạng tắc
nghẽn (băng thông bị chiếm dụng), thiếu hụt
nguồn tài nguyên và khiến máy chủ không thể
truy cập. Các nghiên cứu trước đây đã dựa trên
giá trị của entropy được tính toán từ địa chỉ IP
đích/nguồn nhằm phát hiện sớm các cuộc tấn công Hình 1. Kiến trúc mạng SDN [1]
DDoS. Tuy nhiên, hạn chế của việc áp dụng các
ngưỡng tĩnh trong các phương pháp hiện có bao Mặt phẳng dữ liệu bao gồm các bộ chuyển mạch
gồm sự phụ thuộc vào cấu trúc liên kết mạng, cơ và bộ định tuyến tham gia vào quá trình chuyển tiếp
sở hạ tầng phần cứng tốn kém cũng như độ chính lưu lượng mạng. Mặt phẳng điều khiển - nơi chứa bộ
xác của thuật toán. Trong nghiên cứu này chúng điều khiển, được coi là hệ điều hành của SDN. Nó có
tôi đề xuất phương pháp phân tích thống kê để xác chức năng xử lý các gói tin và đưa ra các quyết định
định giá trị ngưỡng động thay đổi theo thời gian, chuyển tiếp hoặc loại bỏ rồi gửi tới bộ chuyển mạch.
tùy thuộc vào lưu lượng được gửi đến mạng. Việc Chính việc xử lý tập trung các gói tin tại bộ điều khiển
sử dụng ngưỡng động sẽ làm tăng tính linh hoạt cũng là một bất lợi khi mạng có thể dễ bị tấn công từ
và không phụ thuộc vào cấu trúc của mạng. Kết chối dịch vụ phân tán (DDoS). Khi đó, một số lượng
quả khảo sát, mô phỏng cho thấy, phương án của rất lớn các gói tin với địa chỉ nguồn giả mạo được gửi
chúng tôi hoàn toàn khả thi để phát hiện nhanh tới bộ điều khiển. Điều này sẽ khiến cho hệ thống
chóng các cuộc tấn công DDoS cũng như giúp mạng bị đình trệ do thiếu hụt nguồn tài nguyên và
nâng cao độ tin cậy so với các phương pháp sử khiến nó không thể hoạt động. Do vậy, những lưu
dụng giá trị ngưỡng tĩnh. lượng truy cập hợp lệ từ những người dùng bình
thường sẽ không thể tiếp cận tới máy chủ. Phương
Từ khóa— SDN, tấn công DDoS, an ninh mạng, pháp bảo vệ hiệu quả nhất để chống lại các cuộc tấn
entropy, ngưỡng động, phân tích thống kê. công này chính là phát hiện sớm cuộc tấn công DDoS
ngay từ giai đoạn đầu.
Trong tài liệu [2], nhóm tác giả đã đề xuất một
I. GIỚI THIỆU phương pháp để phát hiện cuộc tấn công DDoS dựa
Ngày nay, với sự phát triển không ngừng của công trên việc trích xuất sáu giá trị đặc trưng từ lưu lượng
nghệ mạng, sự bùng nổ của các thiết bị di động cũng trong bảng luồng (flow table) mà thu thập từ bộ
như nhu cầu sử dụng các dịch vụ mạng ngày càng chuyển mạch. Sau đó, họ sử dụng thuật toán SVM để
tăng nhanh. SDN là một kiến trúc mạng mới ra đời có hỗ trợ việc đánh giá lưu lượng, giúp phát hiện chính
thể khắc phục được những hạn chế của mạng truyền xác các cuộc tấn công DDoS. Kết quả thực nghiệm
thống. Kiến trúc SDN bao gồm ba lớp: ứng dụng, mặt cho thấy, tỷ lệ chính xác trung bình của phương pháp
phẳng điều khiển và mặt phẳng dữ liệu [1]. là 95.24% với việc chỉ thu thập một phần nhỏ lưu
lượng.
ISBN 978-604-80-5958-3 107
- Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)
Trong bài báo [3], một phương pháp đơn giản hơn vị được sử dụng để xác định và đo lường mức độ ngẫu
được khai thác để phát hiện các cuộc tấn công DDoS nhiên của một sự kiện nào đó. Giá trị entropy có thể
chính là dựa trên các giá trị entropy của địa chỉ nguồn được tính dựa trên các trường như địa chỉ cổng
và đích của các luồng được quan sát bởi bộ điều khiển nguồn/đích hoặc địa chỉ IP nguồn/đích. Ở bài nghiên
SDN. Các giá trị này sau đó sẽ được so sánh với cứu này, chúng tôi sẽ đánh giá trạng thái của lưu
ngưỡng đặt trước. Ngoài ra, bài báo cũng cung cấp lượng sử dụng địa chỉ IP đích trong tiêu đề gói tin
một mô-đun để giảm thiểu các cuộc tấn công vào hệ đến, thu thập bởi bộ điều khiển trung tâm. Nếu tính
thống mà đã được phát hiện. ngẫu nhiên càng cao, tức là các gói tin được gửi đến
ngẫu nhiên các địa chỉ đích khác nhau mà không có
Một phương pháp phát hiện tấn công DDoS khác sự gia tăng bất ngờ đến một địa chỉ nào, điều đó sẽ
được đề xuất trong [4]. Bài báo này đề xuất một cơ giữ cho entropy ở ngưỡng bình thường.
chế sử dụng bốn mô-đun: kích hoạt phát hiện tấn
công, phát hiện tấn công, truy vết tấn công và giảm Xét một cửa sổ (window) gồm N địa chỉ IP, được
thiểu tấn công. Điều này sẽ giúp giảm khối lượng mô tả bởi tập hợp 𝑊 có 𝑛 phần tử (𝑛 ≤ N) là số các
công việc của bộ điều khiển và chuyển mạch, trong địa chỉ IP đích khác nhau trong tiêu đề gói tin đến (do
đó thuật toán mạng nơ-ron được áp dụng. Sự kết hợp các địa chỉ IP trong cửa sổ 𝑊 có thể giống nhau):
của các thuật toán phân loại và dựa trên entropy cũng
được phân tích. Kết quả thử nghiệm cho thấy cơ chế 𝑊 = { 𝑥1 , 𝑥2 , 𝑥3 … 𝑥𝑁 }
được đề xuất có thể nhanh chóng phát hiện cuộc tấn
Khi đó, giá trị entropy được tính dựa theo công thức
công trong chưa đầy một giây và có thể truy vết chính
sau:
xác nguồn tấn công. 𝑛
𝐻 = − ∑ 𝑝𝑖 𝑙𝑜𝑔𝑝𝑖
Ngoài ra, từ nghiên cứu [5], các tác giả đã đề cập (1)
𝑖=1
đến các cơ chế phát hiện và giảm thiểu các cuộc tấn
công DDoS. Thêm vào đó, cơ chế Pro Defense cũng Xác suất xuất hiện của một địa chỉ IP trong 𝑊 là:
được họ đề xuất, tạo ra các cảnh báo tấn công DDoS 𝑥𝑖
dựa trên yêu cầu bảo mật của ứng dụng. 𝑝𝑖 =
𝑁 (2)
Từ các thảo luận ở trên, chúng tôi nhận thấy việc Trong đó, 𝑥𝑖 là số lần xuất hiện của địa chỉ IP 𝑥 trong
tính giá trị entropy cố định với một giá trị cửa sổ nhất 𝑊 và ∑𝑛𝑖=1 𝑥𝑖 = 𝑁 với N là kích thước (tổng số địa
định vẫn còn nhiều hạn chế. Giá trị entropy thực tế chỉ IP) của tập 𝑊. Vì vậy, N sẽ đại diện cho kích cỡ
phụ thuộc vào cấu trúc liên kết của mạng. Do đó, việc của một window.
sử dụng giá trị entropy cố định sẽ làm giảm tính linh
hoạt cũng như không phù hợp với các nhà mạng khác Từ công thức (1), nếu 𝐻 nhỏ dần và tiến về 0, điều
nhau. Ngoài ra, đối với các kích cỡ window nhỏ, xác đó thể hiện rằng có một sự kiện bất thường đang xảy
suất xuất hiện của một địa chỉ IP chênh lệch nhiều so ra trong toàn bộ hệ thống và xác suất có một cuộc tấn
với các giá trị khác sẽ làm dao động giá trị entropy công DDoS là rất cao. Ngược lại, nếu như các gói tin
càng lớn, dẫn đến sự sai khác trong việc xác định thời được gửi đến nhiều đích với tần suất gần như bằng
gian tấn công DDoS. Trong bài báo này, chúng tôi nhau, không có đích đến nào nhận được gói tin nhiều
xem xét phương pháp điều chỉnh ngưỡng động thay hơn hẳn so với các đích khác, điều đó có nghĩa là 𝐻
đổi theo thời gian dựa trên sự biến thiên của các giá sẽ ở trạng thái xấp xỉ trung bình tối ưu. Khi này, xác
trị entropy của từng window. Dựa vào giá trị ngưỡng suất đang có một cuộc tấn công DDoS là rất thấp.
động này và so sánh nó với giá trị entropy hiện tại, ta
có thể đưa ra dự đoán về trạng thái của hệ thống. Trong tài liệu [6], để phát hiện có cuộc tấn công
DDoS, một ngưỡng tĩnh thử nghiệm được chọn dựa
Phần còn lại của bài báo được tổ chức như sau: trên việc thực hiện một số cuộc tấn công.
trong Phần II, chúng tôi sẽ mô tả về mô hình đề xuất.
Phần III, chúng tôi sẽ đánh giá hiệu năng của hệ thống 𝜎
Khoảng Tin Cậy = 𝑋̅ ± 𝑍𝑎⁄2 . (3)
và cung cấp các kết quả mô phỏng. Cuối cùng, các √𝑛
kết luận cũng như định hướng công việc tương lai
được trình bày trong Phần IV. Ở công thức trên, 𝑋̅ là giá trị trung bình, phần còn lại
gọi là phạm vi sai số. Trong đó, Z là hệ số tin cậy ứng
với 𝑎 là mức độ tin cậy, σ là độ lệch chuẩn và 𝑛 là
kích thước mẫu. Mức độ tin cậy được chọn là 95%.
II. MÔ HÌNH HỆ THỐNG Ban đầu, ta sẽ tìm sự chênh lệch ∆ = 𝐻𝑛𝑚𝑖𝑛 - 𝐻𝑎𝑚𝑎𝑥 .
Trong phần này, chúng tôi sẽ trình bày định nghĩa 𝐻𝑛𝑚𝑖𝑛 tương đương entropy của lưu lượng truy cập
và công thức tính giá trị entropy. Entropy là một đơn trung bình bình thường trừ đi phạm vi sai số của nó,
ISBN 978-604-80-5958-3 108
- Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)
𝐻𝑎𝑚𝑎𝑥 là giá trị entropy trung bình khi có tấn công entropy. Bằng cách sử dụng Mininet, chúng tôi có thể
cộng với phạm vi sai số tương ứng. Cuối cùng, tạo ra một cuộc tấn công trên máy chủ ảo và phân tích
ngưỡng tĩnh được xác định bằng 𝐻𝑛𝑚𝑎𝑥 - ∆. Ngưỡng kết quả thuật toán phát hiện tấn công DDoS của mình.
tĩnh này là cố định, bất kì giá trị entropy nhất thời nào Chúng tôi mô phỏng một cuộc tấn công DDoS trên
thấp hơn ngưỡng tĩnh này sẽ được coi là có cuộc tấn mạng với 64 host và 9 Open vSwitch, trong đó có 1
công đang xảy ra [6]. Tuy nhiên, giá trị ngưỡng tĩnh bộ chuyển mạch tập trung và 8 bộ chuyển mạch lớp
này phụ thuộc vào dữ liệu tấn công trong quá khứ, dưới, mỗi bộ được kết nối với 8 host.
chính vì vậy nó làm giảm tính linh hoạt trong việc xác
định ngưỡng để phát hiện tấn công mới. Trong nghiên
cứu này, ngưỡng được chúng tôi xem xét thử nghiệm
sẽ không cố định mà thay đổi liên tục theo thời gian
dựa vào việc biến động giá trị entropy của lưu lượng
đến. Các giá trị entropy sau khi được tính toán sẽ
được lưu trữ vào window. Dựa vào thông số được lưu
trữ từ các window này, chúng tôi sẽ tính toán được
giá trị entropy trung bình 𝐻 ̅𝑡 và độ lệch chuẩn 𝜎𝑡 .
𝑡
1
̅𝑡 = ∑ 𝐻𝑖
𝐻
𝑡 (4)
𝑖=1 Hình 2. Mô hình mô phỏng hệ thống
𝑡 𝑡
1 1 Để giúp bộ điều khiển POX có thể kiểm soát giao
𝜎𝑡 = ∑(𝐻𝑖 − 𝐻 ̅𝑡 2
̅𝑡 )2 = ∑ 𝐻𝑖 2 − 𝐻 (5) tiếp trong mạng, chúng tôi sử dụng mô-đun l3
𝑡 𝑡
𝑖=1 𝑖=1 learning [11]. Mô-đun này cung cấp khả năng học ở
lớp 3 bằng cách lưu giữ các thông tin về khả năng tiếp
Ở công thức (4) và (5), 𝐻𝑖 là giá trị entropy trong cận mạng giữa các nút vào một danh sách. Khi có gói
các khoảng thời gian khác nhau được tính toán dựa tin mới đến, l3 learning sẽ xử lý và trích xuất địa chỉ
trên công thức (1) như chúng tôi đã đề cập. Dựa vào cổng và địa chỉ MAC. Từ những thông tin này, nó sẽ
các thông số kể trên được tính toán, chúng tôi xem kiểm tra liên kết trong danh sách lưu trữ. Nếu không
xét một giá trị ngưỡng động 𝑇𝑑𝑦𝑛𝑎𝑚𝑖𝑐 [7] với công có đường liên kết, mô-đun này sẽ sử dụng giao thức
thức được định nghĩa như sau: ARP để khởi tạo yêu cầu. Ngoài ra, chúng tôi còn
chỉnh sửa và tích hợp những thuật toán giúp bộ điều
̅𝑡 + 𝐶𝑑 . 𝜎𝑡
𝑇𝑑𝑦𝑛𝑎𝑚𝑖𝑐 = 𝐻 khiển POX có thể tính toán giá trị entropy và các
(6)
thông số cần thiết để có thể phát hiện các cuộc tấn
Trong đó, 𝐻 ̅𝑡 và 𝜎𝑡 lần lượt là giá trị entropy trung công. Việc khởi tạo, giả mạo và gửi các gói tin được
bình và độ lệch chuẩn tại thời điểm t. Theo quy tắc thực hiện bởi Scapy [10]. Scapy được sử dụng để tạo
phân phối chuẩn (normal distribution), 95% các giá cái gói tin UDP và giả mạo địa chỉ IP nguồn của
trị entropy sẽ nằm trong khoảng 𝐻 ̅𝑡 ± 2 𝜎𝐻 . Các giá
𝑡
chúng để thực hiện các luồng lưu lượng tấn công cũng
trị nhỏ hơn 𝐻̅𝑡 − 2 𝜎𝐻 sẽ không ảnh hưởng nhiều đến
𝑡
như là lưu lượng bình thường trong hệ thống mô
kết quả của bài toán, vì vậy chúng ta có thể dựa vào phỏng. Địa chỉ IP của các host trong mô hình được
cơ sở đó để lựa chọn 𝐶𝑑 cho hệ thống này. 𝐶𝑑 là giá gán tăng dần, bắt đầu từ 10.0.0.1.
trị hằng số không đổi dựa trên các kết quả thực
nghiệm và ở đây nó được đặt bằng -2 [8]. Trạng thái hệ thống được chia thành 2 giai đoạn
riêng biệt. Giai đoạn 1 là khi hệ thống hoạt động ở
trạng thái bình thường với cường độ lưu lượng không
có sự thay đổi quá nhiều về tần suất gửi gói tin đến
III. MÔ PHỎNG VÀ KẾT QUẢ THỬ NGHIỆM các địa chỉ đích khác nhau. Ở Giai đoạn 2, chúng tôi
Thử nghiệm của chúng tôi được chạy trên máy sử dụng Scapy để tạo ra lưu lượng tấn công, khi này
tính MSI, chạy bộ vi xử lý Intel® Core™ i5-9300H, tốc độ gửi các gói đến hệ thống tăng lên đồng thời
xung nhịp 2.4GHz - 4.1GHz, đi kèm với 16GB RAM tính ngẫu nhiên của địa chỉ đích trong tiêu đề các gói
DDR4 2666MHz. Hệ điều hành được sử dụng là tin sẽ giảm đi. Một hoặc một vài đích nhất định sẽ
Ubuntu 20.04. Để phục vụ cho việc mô phỏng, chúng nhận được lượng gói tin nhiều hơn đột biến so với
tôi chọn Mininet [9] là trình giả lập mạng với bộ điều bình thường. Kích cỡ của một window được lựa chọn
khiển POX. POX là phiên bản cải tiến của NOX, sử tối ưu để thử nghiệm là N = 50 gói tin. Việc lựa chọn
dụng ngôn ngữ Python. Việc sử dụng bộ điều khiển này có mục đích là giới hạn kết nối mới đến cho mỗi
POX đơn giản và hiệu quả hơn khi thiết lập thử host trong mạng. Ngoài ra, kích cỡ window phù hợp
nghiệm cho thuật toán phát hiện tấn công dựa trên này còn giúp giảm tải tính toán cho CPU của hệ
ISBN 978-604-80-5958-3 109
- Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)
thống, đáp ứng được việc phát hiện các cuộc tấn công một host. Trước tiên, chúng tôi thực hiện một cuộc
nhanh chóng trong khi vẫn đảm bảo được độ chính tấn công với tỷ lệ 25% trên một host trong 10 lần.
xác và tin cậy [6]. Ngưỡng này là entropy thấp nhất trong tất cả các
trường hợp, vì vậy nó sẽ cho phép bộ điều khiển phát
Thử nghiệm đầu tiên được diễn ra khi hệ thống hiện bất kỳ cuộc tấn công nào với các gói chiếm 25%
đang ở trạng thái bình thường (Giai đoạn 1). Chúng lưu lượng truy cập đến hoặc nhiều hơn.
tôi sử dụng 1 host để khởi tạo lưu lượng và gửi chúng
đến hệ thống. Tốc độ gửi các gói tin là 0.1 gói/giây Bảng I đưa ra các số liệu mà chúng tôi đã thu thập
với cổng đích là 80 và cổng nguồn là 2. Trong một được với các lưu lượng tấn công khác nhau, từ đó ta
lần chạy, sẽ có tổng cộng 500 gói tin được gửi đi, có thể so sánh các giá trị entropy của chúng. Để có
tương đương với 10 window. được những giá trị này, chúng tôi thực hiện những
bước sau:
1. Tính giá trị entropy thấp nhất mà lưu lượng truy
cập thông thường có thể đạt được. Điều này bằng
với giá trị trung bình của lưu lượng truy cập thông
thường trừ đi phạm vi sai số, thu được 1.4283.
2. Tính giá trị entropy cao nhất mà lưu lượng tấn
công có thể đạt được. Ta lấy giá trị trung bình của
lưu lượng tấn công cộng với phạm vi sai số tương
ứng, tương đương 1.2046.
3. Giá trị chênh lệch giữa bước 1 và 2 là 0.2237. Ta
xác định được tỷ lệ sụt giảm entropy là 15.66%.
4. Ngưỡng được xác định bằng giá trị entropy cao
nhất của lưu lượng truy cập thông thường trừ đi
Hình 3. Hệ thống đang ở trạng thái bình thường (Giai đoạn 1) khoảng chênh lệch tìm được tại bước 3. Ngưỡng
lúc này sẽ là 1.2242.
Hình 3 chỉ ra các số liệu thống kê trong một
window mà bộ điều khiển POX đã thu thập được BẢNG I
trong quá trình thử nghiệm. Dễ dàng có thể nhìn thấy THỐNG KÊ, SO SÁNH GIỮA CÁC KỊCH BẢN KIỂM TRA
rằng các gói tin được gửi đến nhiều địa chỉ đích khác
nhau trong mạng. Vì vậy, tính ngẫu nhiên sẽ tăng lên
đồng nghĩa với giá trị entropy tại thời điểm đó cũng
có sự gia tăng. Giá trị entropy tức thời trong window
khi này là 1.5214, trong khi đó giá trị của ngưỡng
động tính toán được là 1.3894. Do giá trị entropy tức
thời lớn hơn giá trị ngưỡng động, hệ thống có thể kết
luận rằng nó đang ở trạng thái bình thường và chưa
có cuộc tấn công nào đến hệ thống.
Kịch bản tấn công ở Giai đoạn 2 được chúng tôi
lựa chọn liên quan đến 3 trường hợp với những cường
độ tấn công khác nhau lên hệ thống, lần lượt là 25%,
50% và 75%. Tốc độ/tỷ lệ của cuộc tấn công được
xác định bằng công thức (7), trong đó 𝐼𝑎 và 𝐼𝑛 lần lượt
là khoảng thời gian giữa các lần gửi những gói tin của
lưu lượng tấn công và lưu lượng thông thường.
𝐼𝑎
𝑅𝑎𝑡𝑡𝑎𝑐𝑘 𝑟𝑎𝑡𝑒 = 1 − ⋅ 100% (7)
(𝐼𝑛 + 𝐼𝑎 )
Việc mô phỏng lưu lượng thông thường sẽ diễn ra
trên 1 host, trong khi đó 2 host khác sẽ đảm nhận việc
gửi một số lượng lớn các bản tin truy cập không hợp
lệ đến hệ thống. Trong hệ thống, lưu lượng truy cập
thông thường được chuyển tiếp đến tất cả các host,
trong khi lưu lượng tấn công chỉ nhắm mục tiêu đến
ISBN 978-604-80-5958-3 110
- Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)
Các giá trị ngưỡng động được tính toán sẽ liên tục cho biết giá trị trung bình và giá trị ngưỡng động biến
được so sánh với giá trị entropy tức thời trong một đổi trong quá trình mô phỏng.
window. Trong Hình 4, chúng tôi thử nghiệm khi tỷ
lệ tấn công vào hệ thống là 25%, cho thấy bộ điều Để xem xét các cuộc tấn công tập trung hơn, hai
khiển đã phát hiện được những sự bất thường trong thử nghiệm tốc độ cao hơn đã được đưa ra. Hình 6
lưu lượng đến mạng. cho thấy một cuộc tấn công với tỷ lệ 50% và Hình 7
là cuộc tấn công tỷ lệ 75% đều nhằm vào một host.
Hai cuộc tấn công này cho thấy rõ hơn sự khác biệt
của giá trị entropy trong cả hai kịch bản kiểm tra có
cường độ cao hơn này.
Hình 4. Cuộc tấn công DDoS đã được phát hiện
Ở hình trên, giá trị entropy tức thời khi có sự tấn
công có sự suy giảm đáng kể so với khi chỉ có lưu
lượng bình thường. Giá trị này là 1.0897, nhỏ hơn so
với giá trị ngưỡng động là 1.2517. Do vậy, bộ điều
Hình 6. Tấn công một host với tỉ lệ 50%
khiển POX phát ra cảnh báo hệ thống đang bị tấn
công, đồng thời ngăn chặn cổng của bộ chuyển mạch
mà gói tin được gửi đến.
Hình 7. Tấn công một host với tỉ lệ 75%
Hình 5. Tấn công một host với tỉ lệ 25%
Trong các cuộc tấn công tỷ lệ 50% và 75%, hình
Hình 5 là biểu đồ thể hiện kết quả của một cuộc dạng biểu đồ gần giống như khi tỷ lệ là 25% nhưng
tấn công tỉ lệ 25% trên một host. Chúng ta có thể nhận độ sâu của entropy tấn công cũng như độ dốc của mức
thấy sự giảm sút mạnh của entropy tấn công, ngưỡng ngưỡng và mức trung bình sẽ lớn hơn. Khi tốc độ tấn
và entropy trung bình khi có cuộc tấn công diễn ra. công tăng, số lượng gói tấn công được tạo ra sẽ nhiều
Biểu đồ là kết quả của 10 lần chạy với 500 gói cho hơn, tỷ lệ phần trăm của các gói tấn công trong
mỗi lần kiểm tra. Mỗi điểm trên trục hoành hiển thị window sẽ lớn. Điều này sẽ dẫn đến một biểu đồ tấn
cho khoảng thời gian và trục dọc hiển thị giá trị công sâu hơn và hẹp hơn so với trước.
entropy cho khoảng thời gian đó. Trong biểu đồ,
đường màu xanh cho thấy sự chuyển đổi từ trạng thái Việc sử dụng ngưỡng động cho phát hiện tấn công
lưu lượng truy cập thông thường sang trạng thái bị tấn DDoS rõ ràng mang lại những ưu thế hơn so với
công và trở lại bình thường. Đường màu đỏ và vàng ngưỡng tĩnh. Theo các nghiên cứu trước đây [12], độ
ISBN 978-604-80-5958-3 111
- Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)
tin cậy của hệ thống đạt 92% khi sử dụng giá trị [2] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack
ngưỡng tĩnh. Ngưỡng tĩnh có đặc điểm là thích nghi detection method based on SVM in software defined
kém với môi trường mạng thay đổi, trong khi đó lưu network”, Security and Communication Networks, 2018.
lượng đến mạng có đặc điểm là biến động theo thời
[3] Jawad Dalou, Basheer Al-Duwairi, Mohammad Al-
gian. Nếu một ngưỡng duy nhất và cố định được sử Jarrah, “Adaptive entropy-based detection and mitigation
dụng để đánh giá hệ thống liệu có bị tấn công hay of ddos attacks in software defined networks”,
không, thì rất có thể có những sai số nhất định. Do International Journal of Computing, 2020, pp. 399-410.
đó, dựa trên số liệu thống kê và quan sát hiện trạng
hệ thống, giá trị ngưỡng động sẽ liên tục thay đổi và [4] Cui Y, Yan L, Li S, Xing H, Pan W, Zhu J, Zheng X,
bám sát theo giá trị entropy thực tùy thuộc vào lưu “SD-Anti-DDoS: fast and efficient DDoS defense in
lượng đến mạng. Vì vậy, phương pháp này mang lại software-defined networks”, J. Netw. Comput. Appl, 2016,
sự tin cậy hơn so với ngưỡng tĩnh, hạn chế được tình pp. 65–79.
trạng cảnh báo giả khi mà lưu lượng đến mạng không
[5] N. Bawany, J. Shamsi, K. Salah, “DDoS Attack
may thay đổi bất ngờ nhưng không phải xuất phát từ Detection and Mitigation Using SDN: Methods, Practices,
các cuộc tấn công mạng có chủ đích. and Solutions”, in IEEE International Conference on
Dependable Systems and Networks (SDN), 2017, pp. 6-7.
[6] T. Nakashima, T. Sueyoshi, S. Oshima, "Early
IV. KẾT LUẬN DoS/DDoS Detection Method using Short-term Statistics",
SDN là kiểu kiến trúc mạng đang dần trở nên phổ in International Conference on Complex, Intelligent and
biến, mang đến hy vọng thay thế mô hình mạng Software Intensive Systems, 2010, pp. 168-173.
truyền thống hiện tại, cung cấp tính linh hoạt cho cấu
hình mạng thông qua bộ điều khiển SDN tập trung. [7] S. Oshima, T. Nakashima, T. Sueyoshi, "DDoS
Detection Technique using Statistical Analysis to Generate
Để cải thiện và nâng cao tính bảo mật, chúng tôi đã
Quick Response Time", in International Conference on
đề xuất hệ thống phát hiện tấn công DDoS dựa trên Broadband, Wireless Computing, Communication and
việc tính toán các giá trị entropy và xác định ngưỡng Applications, 2010, pp. 673-674.
động. Theo các kết quả thử nghiệm, có thể thấy
phương pháp xác định ngưỡng động được đề xuất có [8] Guo-Chih Hong, Chung-Nan Lee, Ming-Feng Lee,
tính linh hoạt, có khả năng phát hiện nhanh chóng các 2019, “Dynamic Threshold for DDoS Mitigation in SDN
cuộc tấn công DDoS và không phụ thuộc vào cấu trúc Environment”, 2019 Asia-Pacific Signal and Information
mạng của các nhà sản xuất. Bài nghiên cứu này đã Processing Association Annual Summit and Conference
định lượng phát hiện sớm cho 250 gói tin đầu tiên (APSIPA ASC), Lanzhou, China, 2019, pp. 1-7.
trong vòng 40s, điều này cho thấy phương pháp đề
[9] Mininet. [Online]. Available: http://mininet.org/.
xuất này có thể phát hiện các cuộc tấn công DDoS ở
[Accessed Oct., 2021].
giai đoạn sớm ngay cả khi hệ thống chỉ nhận được
một lượng nhỏ các gói tin. [10] Scapy. [Online]. Available: https://scapy.net/.
[Accessed Oct., 2021].
Trong tương lai, chúng tôi sẽ tiếp tục thực hiện
những sự thay đổi để cải tiến hiệu năng của toàn bộ [11] GitHub, POX Controller. [Online]. Available:
hệ thống. Sự cải thiện có thể đến từ việc sử dụng các https://noxrepo.github.io/pox-doc/html/. [Accessed Oct.,
tập dữ liệu (dataset) chuyên nghiệp và thực tế hơn cho 2021].
việc thử nghiệm. Ngoài ra, việc áp dụng Học máy
(Machine Learning) vào thuật toán cũng là một công [12] Merlin J. R. Dennis, “Machine-Learning and
Statistical Methods For DDoS Attack Detection and
cụ rất mạnh để giúp nâng cao độ chính xác trong khả
Defense System in Software Defined Networks”, Master of
năng ngăn chặn các cuộc tấn công phức tạp và tinh vi Applied Science, Ryerson University, 2018, pp. 47-48.
hơn.
TÀI LIỆU THAM KHẢO
[1] SDX Central, “Understanding the SDN Architecture”,
Mar. 13, 2015. [Online]. Available:
https://www.sdxcentral.com/resources/sdn/inside-sdn-
architecture/. [Accessed Oct., 2021].
ISBN 978-604-80-5958-3 112
nguon tai.lieu . vn
