Bài viết Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN nghiên cứu một mô hình phát hiện các cuộc tấn công DDoS trong mạng SDN dựa trên phương pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng việc sử dụng các tham số trong mạng. Mời các bạn cùng tham khảo!
Hội nghị Quốc gia lần thứ 25 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2022) Áp dụng phương pháp học máy để phát công DDoS môi trường thực nghiệm mạng SDN Cấn Quang Trường, Nguyễn Thanh Tùng, Phạm Minh Bảo, Nguyễn Tiến Đạt, Lâm Xn Tồn, Đinh Thị Thái Mai Bộ mơn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội Email: dttmai@vnu.edu.vn quản lý tập trung điểm yếu SDN hệ thống sụp đổ controller bị công Đặc biệt với DDoS, thời điểm, nhiều gói tin với địa giả gửi đến controller Điều gây q tải băng thơng, lãng phí tài nguyên dẫn đến việc điều khiển tiếp nhận yêu cầu dịch vụ người dùng Chính thế, việc phát sớm ngăn chặn công DDoS yêu cầu cấp bách cần thiết cho mạng để đảm bảo vấn đề an ninh mạng Tóm tắt nội dung—Mạng định nghĩa phần mềm (Software Defined Network - SDN) kiến trúc mạng mới, hướng đến linh hoạt hệ thống đơn giản cách vận hành, quản lý qua việc kiểm soát tập trung Điều giúp cho SDN dễ thích nghi với nhu cầu mạng yếu điểm lớn SDN phải đối mặt với công mạng Tấn công từ chối dịch vụ (Distributed Denial of Service - DDoS) kiểu công phổ biến mạng nhằm chiếm dụng tài nguyên hệ thống gây tắc nghẽn cho toàn mạng đặc biệt nguy hiểm với hệ thống quản lý tập trung mạng SDN Trong nghiên cứu này, chúng tơi nghiên cứu mơ hình phát công DDoS mạng SDN dựa phương pháp học máy, mà cụ thể Support Vector Machine (SVM) việc sử dụng tham số mạng Bằng kết mô đặc biệt chúng tơi xây dựng mơ hình mạng SDN thực tế áp dụng mơ hình nghiên cứu vào thực nghiệm, kết cho thấy phương án có khả phát nhanh cơng DDoS đem lại độ xác cao Index Terms—SDN, công DDoS, an ninh mạng, học máy, phương pháp SVM I GIỚI THIỆU Ngày nay, với phát triển nhanh chóng cơng nghệ với bùng nổ Internet nhu cầu việc sử dụng dịch vụ mạng từ người dùng ngày tăng, kéo theo thách thức việc kiểm sốt mạng cho người quản lý Với mơ hình mạng truyền thống, việc quản lý lên đến hàng triệu thiết bị khó khăn phức tạp Từ đó, SDN, kiến trúc mạng đời với hy vọng xóa bỏ hạn chế khuyết điểm mạng truyền thống nhờ khả cho phép quản lý tâp trung tính mở rộng linh động cao Kiến trúc mạng SDN bao gồm lớp tách biệt: Lớp ứng dụng (application layer), lớp điều khiển (control layer) lớp sở hạ tầng (infrastructure layer) [1] Lớp ứng dụng bao gồm ứng dụng chức cần thiết cho mạng Lớp kết nối trực tiếp đến lớp điều khiển thông qua API, API cho phép người quản lý lớp ứng dụng lập trình chức điều khiển mạng Bộ điều khiển lớp điều khiển đóng vai trị quan trọng việc quản lý tất hoạt động mạng Bộ điều khiển tiếp nhận gói tin xử lý gói tin đến thiết bị lớp Lớp sở hạ tầng bao gồm thiết bị phần cứng mạng thực chức chuyển tiếp gói tin điều khiển điều khiển Việc sử dụng kiến trúc ISBN 978-604-80-7468-5 Hình Kiến trúc mạng SDN Một số nghiên cứu áp dụng phương pháp học máy vào việc phát công DDoS đưa trước Nhóm tác giả báo [7] phát triển phương pháp phát cơng dựa việc trích xuất sáu biến trạng thái lưu lượng lấy từ bảng luồng thiết bị chuyển mạch sử dụng làm đầu vào cho mơ hình thuật tốn SVM Sau đó, họ dùng thuật toán SVM để phân loại liệu giúp phát cơng cách xác Dựa số liệu nghiên cứu, độ xác phương pháp 95.24% lượng nhỏ luồng liệu thu lại Cùng chủ đề trên, nhóm nghiên cứu [8] đề xuất ý tưởng phức tạp với hệ thống phát 165 Hội nghị Quốc gia lần thứ 25 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2022) DDoS thời gian thực môi trường SDN sử dụng thuật tốn PCA (Principal Component Analysis) để phân tích trạng thái mạng dựa liệu lưu lượng Để giảm thiếu khối lượng phải tính tốn, mạng chia thành nhiều phần Giá trị vector thặng dư (residual vector value) ước tính thời gian thực công xác định giá trị giảm xuống ngưỡng khoảng thời gian định Vẫn với kỹ thuật PCA cải tiến hơn, nhóm tác giả sử dụng thành phần có trọng số để đối phó với kiểu công DDoS báo [9] Kỹ thuật PCA cải tiến áp dụng riêng rẽ cho mạng sau toàn mạng chia nhỏ Phương pháp giúp phát mục tiêu bị công DDoS thành công điều khiển với tỷ lệ xác 95.24% Ở nghiên cứu [10], kỹ thuật khác áp dụng để phát công DDoS Nghiên cứu đề xuất kỹ thuật làm cho sử dụng giá trị entropy địa nguồn đích luồng mà controller SDN có Sau đó, giá trị đối chiếu với ngưỡng xác định trước để xác định xem kiến trúc mạng có bị công hay không Tuy nhiên, hiệu suất thành công phương pháp 63.4% Khác với nghiên cứu khác, báo chủ yếu tập trung vào việc triển khai môi trường thực tế Một mơ hình phân loại SVM sử dụng dựa năm giá trị đặc trưng trích xuất từ bảng luồng thu chuyển mạch Chúng tơi đánh giá hiệu suất mơ hình thông qua mô thử nghiệm qua mạng thực phần mềm POX chuyển mạch Aruba Phần cịn lại báo trình bày sau: Trong Phần II, giới thiệu tổng quan mơ hình hệ thống, Phần III, đánh giá hiệu suất hệ thống hai môi trường (mô môi trường thực) đưa kết thực Phần IV kết thúc với kết luận hướng thực cơng việc cịn lại Điểm mạnh SVM nằm khả biểu diễn liệu dạng điểm không gian n-chiều (n – số lượng đối tượng) Như minh họa Hình 2, SVM chuyển đổi tập mẫu phân tách khơng tuyến tính thành chiều không gian cao hơn, cho phép phân tách tuyến tính mẫu liệu Sau đó, siêu mặt phẳng tạo để phân loại rõ ràng hai lớp mẫu Siêu mặt phẳng gọi "ranh giới định"và hình dạng dựa số lượng đặc tính II MƠ HÌNH HỆ THỐNG Hình Quy trình phát DDoS sử dụng SVM Trong phần này, đề cập định nghĩa công thức sử dụng để huấn luyện Support Vector Machine (SVM) Sau đó, cơng DDoS kỹ thuật phát thảo luận Cuối cùng, kỹ thuật học máy mà sử dụng để phân biệt công lưu lượng truy cập thông thường đề cập mơ hình thực tế Lưu đồ Hình sử dụng để tổng hợp trình phân loại Đầu tiên, thông tin bảng lưu lượng phải thu thập Sau đó, giá trị đặc trưng trích xuất từ luồng trạng thái Sau đó, tính tốn sử dụng làm đầu vào liệu cho mơ hình SVM Cuối cùng, đầu mơ hình phải cho biết hệ thống có bị công hay không Các giá trị đặc trưng tham số sử dụng để đại diện cho trạng thái hệ thống chúng thu thập tính huấn luyện cho mơ hình phân loại Giá trị kiện công khác bất thường với giá trị kiện bình thường, cách kiểm tra khác biệt cơng giá trị bình thường, chúng tơi phát cơng Có đặc điểm [2] mà chúng tơi thu thập để phát công DDoS: • Tốc độ gói tin nguồn (Speed of Source IP - SSIP): Đại diện cho tổng số gói tin đến khoảng thời gian định Sum_IPsrc SSIP = (1) T Hình Siêu mặt phẳng khơng gian SVM (e (https://bom.so/E6KDDn) B Phát công môi trường SDN sử dụng thuật toán SVM Trong phần này, tìm hiểu cách SVM sử dụng để phát công DDoS Để hiểu rõ quy trình này, trước hết, ta cần tìm hiểu cách thu luồng trạng thái A Support Vector Machine (SVM) Các thuật toán học máy phân thành bốn loại: Học có giám sát, học không giám sát, học bán giám sát học củng cố Support Vector Machine thuật toán học tập có giám sát, có nghĩa SVM dự đoán kết cho liệu dựa tập liệu huấn luyện từ trước SVM so sánh liệu đầu vào với liệu gắn nhãn huấn luyện từ trước để tìm nhãn xác cho liệu Trong nghiên cứu này, lưu lượng truy cập bình thường gắn nhãn “0” lưu lượng truy cập công gắn nhãn “1” SVM phân loại liệu thành lớp khác cho thuật toán học máy tốt để phân loại liệu ISBN 978-604-80-7468-5 166 Hội nghị Quốc gia lần thứ 25 Điện tử, Truyền thông Công nghệ Thơng tin (REV-ECIT2022) • Trong (1), Sum_IPsrc tổng số gói tin trích xuất từ luồng vào (flow entries) T thời gian (3 giây) Khi cơng xảy ra, số lượng lớn gói tin giả mạo địa gửi nhằm gây tắc nghẽn đường truyền gây số giá trị lớn SSIP so với bình thường Độ lệch chuẩn gói tin (Standard Deviation of Flowpacket - SDFP): Độ lệch chuẩn gói tin khoảng thời gian định SDF P = • N N (n_packetsi − M ean_packets) i=1 N III THỰC THI VÀ KẾT QUẢ A Mơ mơi trường ảo Qúa trình mô thực máy tính ASUS F570zd với hệ điều hành Ubuntu 20.04 Chúng sử dụng Mininet [8] làm công cụ giả lập mạng Pox controller cho mục đích mơ POX điều khiển SDN dựa python phiên cải tiến NOX So sánh với điều khiển khác, việc áp dụng POX vào thuật toán phát đơn giản hiệu Với Mininet [3] ta tạo công lên server ảo đánh giá kết mơ hình phát cơng DDoS Trong nghiên cứu này, giả lập công DDoS với 64 hosts Open vSwitch, có chuyển mạch tập trung Để hosts kết nối với thông qua POX [5], sử dụng module l2_learning POX l2_learning phân tích trích xuất địa IP từ gói tin đến Thơng tin so sánh với danh sách luồng có khơng có trùng khớp module khởi động giao thức ARP để bắt đầu yêu cầu giao tiếp Hping3 [4] chịu trách nhiệm việc khởi tạo truyền tải gói tin Hping3 sử dụng để tạo flood gói tin TCP/UDP/ICMP giả mạo địa IP nguồn để thực luồng lưu lượng bình thường cơng hệ thống mô Giả sử dataset [11] mà chúng tơi đề cập trước sử dụng để huấn luyện xây dựng mơ hình phân loại SVM Q trình mơ chia thành bốn giai đoạn sau: i) chạy mơ hình topo mạng; ii) chạy lưu lượng bình thường; iii) chạy chương trình phát công cuối iv) tạo lưu lượng công Trong mô phỏng, hosts mạng tạo luồng bình thường, bao gồm host 6, thông qua công cụ hping3 Sau đó, chương trình mơ chạy để thu thập lại tham số mạng thời điểm chuyển vào mơ hình dự đốn Sau đó, trả trạng thái hệ thống, trường hợp bình thường có thơng báo "Network is normal"hiện lên hình Lưu lượng công tạo cách sử dụng chương trình với lưu lượng truy cập thơng thường (Hping3) Máy công máy chủ Sử dụng Hping3, lưu lượng giả N (n_bytesi − M ean_bytes) (3) i=1 M ean_bytes = N N j=1 number_bytesi Ở (3), giá trị M ean_bytes biểu diễn cho số lượng trung bình bytes đến khoảng thời gian T number_packetsi số lượng gói tin luồng vào thứ i Khi hệ thống bị cơng, lưu lượng cơng thường chứa bytes liệu gửi so với bình thường, từ giá trị SDFB cơng suy giảm so với bình thường Tốc độ luồng vào (Speed of Flow Entries - SFE): Đây tổng số luồng vào chuyển mạch khoảng thời gian định Nó thể cách điều khiển xử lý luồng vào nhanh đến đâu SF E = • (2) N number_packeti M ean_packets = N j=1 Trong (2), N tổng số luồng vào khoảng thời gian T M ean_packets đại điện cho số lượng trung bình gói tin đến khoảng thời gian T Trong number_packetsi số lượng gói tin luồng vào thứ i Khi có cơng xảy ra, gói tin có kích thước nhỏ sử dụng để tăng tốc độ cơng, kéo theo độ lệch chuẩn gói tin sẻ nhỏ bình thường Độ lệch chuẩn gói tin theo bytes (Standard Deviation of Flow Bytes - SDFB: Đại diện cho độ lệch chuẩn bits khoảng thời gian định SDF B = • Trong (5), P air_sum số luồng vào tương tác N tổng số luồng vào Hai luồng gọi tương tác thỏa mãn yêu cầu sau: Src_IPi = Dst_IPj Src_porti = Dst_portj Src_IPj = Dst_IPi Dst_portj = Src_porti Trong Src_IPi IP nguồn thứ i, Dst_IPj IP đích thứ j, Src_porti cổng nguồn thứ i Dst_portj cổng nguồn thứ j Có luồng vào tương tác nodes muốn giao tiếp với phải có luồng vào tương tác chúng Khi có cơng xảy ra, số gói tin đến tăng nhanh controller chưa thể đáp ứng việc xử lý gói tin đủ nhanh khiến cho giá trị NIFE giảm so với bình thường N T (4) Ở (4), nhắc đến trước nó, N tổng số luồng vào khoảng thời gian T Nếu công xảy ra, số lượng luồng vào tăng nhanh kéo theo giá trị SFE lớn so với lưu lượng bình thường Tỷ lệ luồng vào tương tác (Number of Interactive Flowentries ratio - NIFE): Đại diện cho tỷ lệ luồng tương tác luồng vào N IF E = ISBN 978-604-80-7468-5 2xP air_sum N (5) 167 Hội nghị Quốc gia lần thứ 25 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2022) nhắm vào mục tiêu máy chủ dễ dàng thực dòng lệnh Luồng lưu lượng đến máy chủ mục tiêu có tốc độ 100 gói giây sử dụng hồn tồn IP nguồn giả Sau thu thập tính tốn tất giá trị đặc trưng sử dụng giá trị cho mơ hình dự đốn, chương trình phát thông báo hệ thống bị cơng thực tế, mạng lưới hàng nghìn nút với lưu lượng truy cập tăng lên, việc phân loại lưu lượng bình thường bất thường trở nên khó khăn hơn, dẫn đến độ xác giảm đôi chút D So sánh hai môi trường Các tham số hệ thống thu thập sau so sánh với mơ hệ thống thực với cấu trúc liên kết tốc độ cơng Kết trình bày Hình - Hình Bốn giá trị đặc trưng đánh giá ngoại trừ SFE giá trị SFE gần giống với giá trị SSIP Các đường màu đỏ biểu đồ đại diện cho tham số thu thập trường hợp mô đường màu xanh lam liệu thu thập thiết bị phần cứng thực Đầu tiên, Hình 5, biểu đồ hiển thị giá trị SSIP Chúng tơi quan sát thấy phần cứng thực mô phỏng, tốc độ địa IP trường hợp công tăng lên, chất cơng DDoS giả mạo IP Tuy nhiên, có khác biệt nhỏ tốc độ địa IP trường hợp thực thấp chút so với tốc độ trường hợp giả lập Điều giải thích công xảy ra, giới hạn thiết bị phần cứng, lượng lớn tin nhắn bị rớt không điều khiển xử lý kịp thời Do đó, khơng cài đặt mục để tính tốn Trong mơ phỏng, số lượng gói tin bị rơi thực tế, đó, số lượng luồng vào sử dụng để tính tốn cao làm cho tốc độ IP cao Kết luận tương tự rút tham số SFE SFE SSIP giống B Thực mơi trường thực tế Trước đó, chúng tơi phát công DDoS môi trường mô Trong phần này, mơ hình đưa vào thực tế Aruba Switch 2930F giao thức OpenFlow kích hoạt Chúng tơi xây dựng cấu trúc liên kết thực tế với controller, chuyển mạch máy chủ hình Máy chủ 10.10.0.6 máy công Máy chủ 10.10.0.4 mục tiêu công Trong máy chủ 10.10.0.3 10.10.0.5 tạo mẫu lưu lượng truy cập bình thường Hình Topology mơ hình thực nghiệm Bằng cách sử dụng địa IP cổng lắng nghe giao diện controller, thu trạng thái luồng công tắc Kịch công thực cách sử dụng hping3 Máy có ip 10.10.0.6 máy cơng, từ sử dụng hping3 để làm tràn lưu lượng truy cập đến mục tiêu, host 10.10.0.4 Mạng bị ảnh hưởng DDoS khơng thể giao tiếp bình thường C Các thông số đo đạc Chúng tập hợp 4000 mẫu để đánh giá số liệu cho phương pháp SVM Bảng I cho thấy tổng quan tham số hệ thống Các tham số [6] để xác định hiệu suất phương pháp Hình Giá trị SSIP Tiếp theo, Hình Hình 7, đồ thị đại diện cho độ lệch chuẩn gói tin bytes (SDFP SDFB) Có thể nói tham số độ lệch chuẩn giống trường hợp thực tế mơ Bởi độ lệch chuẩn thể độ lệch giá trị so với giá trị trung bình Trong trường hợp bị cơng, để đảm bảo tốc độ, công DDoS thường sử dụng gói tin có kích thước số lượng gói tin cố định lần truyền Điều làm cho độ lệch chuẩn giảm xuống, điều với mô tạo tương đồng ta thấy hình Cuối cùng, Hình 8, biểu đồ thể tham số NIFE Tham số tính dựa số luồng vào tương tác tổng Bảng I CÁC THAM SỐ ĐÁNH GIÁ CỦA PHƯƠNG PHÁP SVM TP (%) 100 FN (%) 0.2 FP (%) TN (%) 99.80 Precision (%) 100 Accuracy (%) 99.9 Kết Bảng I thực ấn tượng Giải thích cho kết này, chúng tơi đề xuất nên triển khai topo tương đối đơn giản có host nên lưu lượng thấp giúp dễ dàng phân loại lưu lượng nên độ xác tương đối cao Tuy nhiên, ISBN 978-604-80-7468-5 168 Hội nghị Quốc gia lần thứ 25 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2022) cụ thể mơ hình phân loại SVM với đầu vào giá trị đặc điểm lưu lượng tính tốn sử dụng luồng trạng thái mạng Các vấn đề liên quan đến công DDoS mạng SDN cần thiết tồn kiến trúc mạng SDN có điểm tập trung để quản lý tồn mặt phẳng liệu Trong khuôn khổ nghiên cứu này, việc mô thực cách sử dụng mạng SDN ảo Mô hình phân loại SVM sử dụng năm giá trị đặc điểm lưu lượng thu thập từ luồng liệu mạng Kết SVM sử dụng phương pháp có độ xác cao để phát cơng DDoS Đặc biệt hơn, mơ hình thử nghiệm thành công hệ thống thưc Kết thu cho thấy mơ hình thực thi hệ thống mạng thực, test cases phép đánh giá thực thêm hệ thống để cải thiện mô hình Có nhiều hướng mà chủ đề phát triển thêm tương lai Một số kể đến kết hơp học máy với giá trị thống kê để xây dựng mơ hình kết hợp chơng DDoS bổ sung phương pháp giảm thiểu ảnh hưởng DDoS Hoặc hướng đến việc nâng cao hiệu thời gian thực cho mơ hình Điều thực cách nâng cao tính giá trị lưu lượng cho mơ hình để tăng tốc độ phát cơng Hình Giá trị SDFP Hình Giá trị SDFB TÀI LIỆU [1] SDX Central, “Understanding the SDN Architecture”, [Online] Available: https://www.sdxcentral.com/resources/sdn/inside-sdnarchitecture/ [Accessed Feb., 2022] [2] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection method based on SVM in software defined network”, Security and Communication Networks, 2018 [3] (2014, Feb) Mininet [Online] Available at: http:/ mininet.org/ [4] Hping3 [Online] Available at: https://linux.die.net/man/8/hping3 [5] Pox Controller [Online] Available at: https://github.com/noxrepo/pox [6] Gulshan Kumar, "Evaluation Metrics for Intrusion Detection Systems - A Study", , International Journal of Computer Science and Mobile Applications, 2014 [7] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection method based on SVM in software defined network”, Security and Communication Networks, 2018 [8] Cui Y, Yan L, Li S, Xing H, Pan W, Zhu J, Zheng X, “SD-Anti-DDoS: fast and efficient DDoS defense in software-defined networks”, J Netw Comput Appl, 2016, pp 65–79 [9] D Wu, J Li, S K Das, J Wu, Y Ji and Z Li, ”A Novel Distributed Denial-of-Service Attack Detection Scheme for Software Defined Networking Environments,” 2018 IEEE International Conference on Communications (ICC), 2018, pp 1-6 [10] S Salaria, S Arora, N Goyal, P Goyal and S Sharma, ”Implementation and Analysis of an Improved PCA technique for DDoS Detection,” 2020 IEEE 5th International Conference on Computing Communication and Automation (ICCCA), 2020, pp 280-285 [11] The dataset [Online] Available at: https://github.com/surajiyer3/DDoSDetection-SDN/blob/master/Training/Data.csv [12] Reference code [Online] Available at: https://github.com/surajiyer3/DDoS-Detection-SDN số luồng vào hệ thống Có thể dễ thấy khác biệt trường hợp thực nghiệm mơ tham số Hình Giá trị NIFE Kết cho thấy hệ thống hoàn toàn có khả để phát cơng DDoS mơ hình SVM chạy thiết bị phần cứng thực Tuy nhiên, topo mạng đơn giản hệ thống cần thay đổi để hoạt động tốt mơ hình mạng lớn Hơn nữa, việc tính tốn thêm test cases để kiểm tra hiệu hệ thống thực Đây hướng để nghiên cứu tiếp tục phát triển tương lai IV KẾT LUẬN Nội dung nghiên cứu xoay quanh việc phát công DDoS sử dụng phương pháp học máy, mà ISBN 978-604-80-7468-5 169 ... sử dụng thành phần có trọng số để đối phó với kiểu công DDoS báo [9] Kỹ thuật PCA cải tiến áp dụng riêng rẽ cho mạng sau toàn mạng chia nhỏ Phương pháp giúp phát mục tiêu bị công DDoS thành công. .. khơng gian SVM (e (https://bom.so/E6KDDn) B Phát công môi trường SDN sử dụng thuật toán SVM Trong phần này, tìm hiểu cách SVM sử dụng để phát công DDoS Để hiểu rõ quy trình này, trước hết, ta cần... mô thực cách sử dụng mạng SDN ảo Mơ hình phân loại SVM sử dụng năm giá trị đặc điểm lưu lượng thu thập từ luồng liệu mạng Kết SVM sử dụng phương pháp có độ xác cao để phát cơng DDoS Đặc biệt hơn,