1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPY

51 969 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 51
Dung lượng 0,95 MB

Nội dung

Nghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPYNghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPYNghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPYNghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPYNghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPYNghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPYNghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPYNghiên cứu phát hiện tấn công DDOS dựa trên IP ENTROPY

HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - TRẦN QUANG HƢNG NGHIÊN CỨU PHÁT HIỆN TẤN CÔNG DDOS DỰA TRÊN IP ENTROPY LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - 2016 HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - TRẦN QUANG HƢNG NGHIÊN CỨU PHÁT HIỆN TẤN CÔNG DDOS DỰA TRÊN IP ENTROPY CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƢỜI HƢỚNG DẪN KHOA HỌC: TS HOÀNG XUÂN DẬU HÀ NỘI - 2016 i LỜI CAM ĐOAN Tôi cam đoạn công trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chƣa đƣợc công bố công trình khác Hà Nội, ngày 18 tháng 06 năm 2016 Tác giả luận văn Trần Quang Hƣng ii LỜI CẢM ƠN Lời em xin gửi lời cảm ơn đến toàn thể thầy, cô giáo Học viện Công nghệ Bƣu Viễn thông tận tình bảo em suốt thời gian học tập nhà trƣờng Em xin gửi lời cảm ơn sâu sắc đến TS Hoàng Xuân Dậu, ngƣời trực tiếp hƣớng dẫn, tạo điều kiện thuận lợi tận tình bảo cho em suốt thời gian làm luận văn tốt nghiệp Bên cạnh đó, để hoàn thành đồ án này, em nhận đƣợc nhiều giúp đỡ, lời động viên quý báu bạn bè, gia đình đồng nghiệp Em xin chân thành cảm ơn Cuối cùng, em xin gửi lời cảm ơn tới gia đình, bạn bè ngƣời bên cổ vũ tinh thần, tạo điều kiện thuận lợi cho em để em học tập tốt hoàn thiện luận văn Em xin chân thành cảm ơn! iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN .ii MỤC LỤC iii DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT v DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ vi LỜI MỞ ĐẦU CHƢƠNG 1: TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG 1.1 Khái quát DoS/DDoS 1.1.1 Tấn công DoS dạng công DoS 1.1.2 Tấn công DDoS kiến trúc công DDoS 1.1.3 Phân loại công DDoS 11 1.2 Các biện pháp phòng chống công DDoS 16 1.2.1 Dựa vị trí triển khai 16 1.2.2 Dựa giao thức mạng 17 1.2.3 Dựa thời điểm hành động 18 1.3 Mô tả toán Luận văn 19 1.4 Kết luận chƣơng 19 CHƢƠNG 2: PHÁT HIỆN TẤN CÔNG DDoS DỰA TRÊN IP ENTROPY 20 2.1 Khái quát entropy 20 2.1.1 Khái niệm entropy ứng dụng phát bất thƣờng mạng 20 2.1.2 Shannon entropy entropy tham số 20 2.1.3 Một số dạng entropy khác 24 iv 2.2 Mô hình phát công DDoS dựa entropy IP nguồn 26 2.2.1 Giới thiệu mô hình 26 2.2.2 Hoạt động mô hình 27 2.3 Kết luận chƣơng 29 CHƢƠNG 3: THỬ NGHIỆM VÀ KẾT QUẢ 30 3.1 Thử nghiệm phát công DDoS dựa tập liệu gói tin offline 30 3.1.1 Giới thiệu liệu thử nghiệm 30 3.1.2 Các thử nghiệm kết 30 3.2 Mô hình hệ thống phát công DDoS online dựa entropy 36 3.3 Kết luận chƣơng 37 KẾT LUẬN 38 DANH MỤC TÀI LIỆU THAM KHẢO 39 v DANH MỤC CÁC THUẬT NGỮ, CÁC CHỮ VIẾT TẮT CPU Central Processing Unit Bộ xử lý trung tâm DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DNS Domain Name System Hệ thống phân giải tên miền DoS Denial of Service Tấn công từ chố dịch vụ HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn Hypertext Transfer Protocol Giao thức truyền tải siêu văn an Secure toàn Internet Control Message Giao thức thông báo điều khiển mạng Protocol internet IDS Intrusion Detection System Hệ thống phát xâm nhập IP Internet Protocol Giao thức kết nối Internet IPS Intrusion Prevention System Hệ thống phòng chống xâm nhập P2P Peer to peer Mạng ngang hàng SIP Session Initiation Protocol Giao thức khởi tạo phiên SMTP Simple Mail Transfer Protocol SYN Synchronization Đồng hóa TCP Transport Control Protocol Giao thứ điều khiển truyền vận UDP User Datagram Protocol Giao thức gói liệu ngƣời dùng HTTPS ICMP Giao thức truyền tải thƣ điện tử đơn giản vi DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1: Minh họa kỹ thuật công Buffer Overflow Hình 1.2 : Minh họa công kiểu Smurf Hình 1.3: Minh họa công SYN floods Hình 1.4: Kiến trúc công DDoS trực tiếp 10 Hình 1.5: Kiến trúc công DDoS gián tiếp hay phản chiếu 11 Hình 2.1: Mô hình phát công DDoS dựa entropy IP nguồn 27 Hình 3.1: Entropy gói tin hợp pháp theo cửa sổ thời gian 31 Hình 3.2: Entropy lƣu lƣợng hỗn hợp với cửa sổ giây 32 Hình 3.3: Entropy lƣu lƣợng hỗn hợp với cửa sổ giây 33 Hình 3.4: Entropy lƣu lƣợng mạng bình thƣờng với cửa sổ 100 gói tin 34 Hình 3.5: Entropy lƣu lƣợng mạng hỗn hợp với cửa sổ 1000 gói tin 35 Hình 3.6: Entropy lƣu lƣợng mạng hỗn hợp với cửa sổ 10000 gói tin 35 Hình 3.7: Mô hình hệ thống phát công DDoS online dựa entropy 37 LỜI MỞ ĐẦU Lý chọn đề tài Cùng với phát triển nhƣ vũ bão mạng Internet nay, hình thức công từ chối dịch vụ phân tán (DDoS) phát triển cách mạnh mẽ năm gần Tấn công từ chối dịch vụ gây cạn kiệt tài nguyên hệ thống ngập lụt đƣờng truyền, làm gián đoạn trình cung cấp dịch vụ cho ngƣời dùng hợp pháp, nguy hiểm khiến toàn hệ thống ngừng hoạt động Nguy hiểm công DDoS khó phát chƣa có cách phòng chống hiệu số lƣợng host bị điều khiển tham gia công thƣờng lớn nằm rải rác nhiều nơi Vì mối đe dọa thƣờng trực hệ thống mạng máy chủ dịch vụ quan tổ chức Do tính chất đặc biệt nguy hiểm DDoS, nhiều giải pháp phòng chống đƣợc nghiên cứu đề xuất năm qua nhằm phát chống lại công dạng Tuy nhiên, gần nhƣ chƣa có giải pháp đơn có khả phòng chống DDoS cách toàn diện hiệu tính chất phức tạp, quy mô lớn với tính phân tán cao công DDoS Trên sở đó, lựa chọn đề tài: "Nghiên cứu phát công DDoS dựa IP entropy" Đề tài nhằm tập trung nghiên cứu phƣơng pháp phát sớm công DDoS dựa tính toán entropy địa IP nguồn khởi phát công, hƣớng nghiên cứu có đƣợc nhiều nhà nghiên cứu quan tâm cho kết khả quan Cấu trúc luận văn Luận văn gồm chƣơng: Chƣơng 1: Tổng quan công DoS/DDoS biện pháp phòng chống Chƣơng 2: Phát công DDoS dựa IP entropy Chƣơng 3: Thử nghiệm kết Trong luận văn tập trung vào chƣơng chƣơng với mục đích nghiên cứu mô hình phát công DDoS dựa IP entropy sau thực thử nghiệm nhằm đánh giá tính hiệu phƣơng pháp Mục đích nghiên cứu - Nghiên cứu tổng quan công DoS/DDoS - Nghiên cứu thử nghiệm mô hình phát thông qua IP entropy Đối tƣợng nghiên cứu - Các dạng công DoS/DDoS mạng máy tính Phạm vi nghiên cứu - Nghiên cứu thử nghiệm biện pháp phòng chống công DDoS đƣợc thực tầng IP máy chủ đích router mạng đích Phƣơng pháp nghiên cứu - Phƣơng pháp nghiên cứu lý thuyết - Phƣơng pháp thực nghiệm, phân tích kết 29 Kết trình đối sánh liệu giám sát bình thƣờng (khi hệ số entropy nằm khoảng giá trị entropy đƣợc tính toán giai đoạn huấn luyện) hay có công DDoS (khi hệ số entropy nằm khoảng giá trị entropy đƣợc tính toán giai đoạn huấn luyện) 2.3 Kết luận chƣơng Chƣơng đƣa cách khái quát entropy đồng thời đƣa so sánh số entropy khác nhƣ Shannon entropy, entropy tham số, Tentropy N-gram entropy Ngoài ra, chƣơng đƣa kiến trúc phƣơng thức hoạt động mô hình phát công mạng sử dụng IP entropy 30 CHƢƠNG 3: THỬ NGHIỆM VÀ KẾT QUẢ 3.1 Thử nghiệm phát công DDoS dựa tập liệu gói tin offline 3.1.1 Giới thiệu liệu thử nghiệm Luận văn sử dụng liệu NZIX CAIDA để thử nghiệm mô hình phát công DDoS dựa entropy địa IP nguồn Bộ liệu NZIX [26] liệu thu thập theo định dạng Ethernet Network Research Group trƣờng đại học Waikato, New Zealand Bộ liệu gồm có 835 triệu gói tin với tổng dung lƣợng 200 GB đƣợc thu thập liên tục ngày vào tháng năm 2000 Trong liệu này, luận văn sử dụng file liệu có mã số 20000709-000000 chứa 21 triệu gói tin với dung lƣợng 530 MB cho thử nghiệm Tất gói tin liệu đƣợc thu thập điều kiện hệ thống mạng làm việc bình thƣờng, công Bộ liệu NZIX dùng để tạo tập liệu huấn luyện Công cụ Libtrace đƣợc sử dụng để đọc file liệu lƣu gói tin Bộ liệu CAIDA [27] đƣợc sử dụng CAIDA "DDoS Attack 2007" chứa vết lƣu lƣợng mạng khoảng hệ thống bị công DDoS vào ngày tháng năm 2007, từ 20:50:08 UTC đến 21:56:16 UTC Tấn công DDoS gây ngập lụt toàn đƣờng truyền kết nối máy chủ đích với Internet Bộ liệu đƣợc chia thành file với dung lƣợng không nén khoảng 21GB Các gói tin liệu gồm yêu cầu công phản ứng công từ máy nạn nhân Hầu hết gói tin lƣu lƣợng truy nhập thông thƣờng bị loại bỏ Bộ liệu dùng để tạo tập liệu kiểm thử pha phát công DDoS Các file liệu đƣợc lƣu theo định dạng pcab đƣợc đọc sử dụng thƣ viện Libcap 3.1.2 Các thử nghiệm kết 3.1.2.1 Tính mẫu entropy giai đoạn huấn luyện Thực tính toán entropy phần trích tập liệu NZIX thời gian 10 phút tƣơng đƣơng với 600 giây Cửa sổ thời gian kéo dài giây nghĩa giá trị entropy đƣợc tính toán giây cho luồng liệu hợp lệ 31 mạng Kết tính toán entropy biểu biễn đồ thị Hình 3.1 Giá trị entropy đồ thị nằm khoảng 6.0 tới 7.3, điều cho thấy giá trị entropy nằm khoảng tƣơng đƣơng suốt khối liệu gói tin biến thiên lớn miền giá trị entropy Hình 3.1: Entropy gói tin hợp pháp theo cửa sổ thời gian 3.1.2.2 Các thử nghiệm phát a Kịch Kịch xem xét ảnh hƣởng công DDoS lên giá trị entropy: Kết hợp phần lƣu lƣợng mạng 600 giây đƣợc trích từ liệu NZIX với phần liệu công DDoS trích từ liệu CAIDA, giây thứ 300 kết thúc vào giây 360 Kịch tập trung vào việc phát công dựa địa nguồn (*) Tính toán entropy sử dụng cửa sổ kích thƣớc giây: Trƣớc công bắt đầu, entropy địa nguồn nằm hoàn toàn phạm vi 6,0-7,3 Trong công, entropy giảm xấp xỉ đạt mức gần 2,0 Tổng số lần tính entropy 600 Nhƣ vậy, thấy entropy sinh gói tin công có giá trị khác biệt hoàn toàn so với entropy sinh với gói tin hợp lệ Điều cho phép phát công cách xác 32 (*) Tính toán entropy sử dụng cửa sổ kích thƣớc giây: Thực kiểm tra luồng liệu hợp pháp hợp pháp liệu công mạng thời gian: tính entropy cho lƣu lƣợng hợp pháp lƣu lƣợng công đƣợc tính toán sau giây Tổng số lần tính entropy 300 Kết tính toán entropy biểu biễn đồ thị Hình 3.2 Hình 3.2: Entropy lƣu lƣợng hỗn hợp với cửa sổ giây Trong thời gian từ giây đến 300 giây, giá trị entropy đồ thị nằm phạm vi 6.3- 7.4 thời gian từ 300 giây đến 360 giây, giá trị entropy rơi xuống khoảng 2,3-3,8 Sau đó, giá trị entropy trở lại nằm phạm vi hẹp 6,3-7,4 khoảng thời gian từ 360 giây đến 600 giây Kết giá trị entropy nằm 6,3-7,4, hệ thống mạng hoạt động bình thƣờng, công giá trị entropy giảm đột ngột, hệ thống mạng bị công Biểu đồ đại diện cho công xảy khoảng thời gian 300 giây đến 360 giây, thời gian lƣu lƣợng công xuất mạng (*) Tính toán entropy sử dụng cửa sổ kích thƣớc giây: Entropy đƣợc tính cách lấy độ dài cửa sổ thời gian giây Tổng số lần tính entropy 120 Kết tính toán entropy biểu biễn đồ thị Hình 3.3 33 Có thể thấy đƣờng biểu diễn giá trị entropy đồ thị mƣợt số điểm liệu Hình 3.3: Entropy lƣu lƣợng hỗn hợp với cửa sổ giây Đồ thị Hình 3.3 cho thấy suốt thời gian công, giá trị entropy nằm khoảng 2,4-3,9, giá trị entropy nằm khoảng 7,0-7,6 có lƣu lƣợng mạng hợp pháp b Kịch Thử nghiệm kịch tập trung xác định mật độ gói tin hệ thống mạng bình thƣờng mật độ gói tin hệ thống mạng bị công DDoS Kịch sử dụng liệu lƣu lƣợng mạng 600 giây nhƣ Kịch Có 9.050.000 gói tin đƣợc chuyển qua mạng khoảng thời gian Trong kịch này, entropy đƣợc tính toán theo cửa sổ số gói tin (*) Cửa sổ số gói tin 100 với toàn lƣu lƣợng mạng bình thƣờng Kết biểu diễn Hình 3.4, trục x biểu thị cho số lƣợng gói tin trục y biểu thị cho giá trị entropy cửa sổ 100 gói tin Nhƣ vậy, 90.500 lần entropy đƣợc tính toán thể đồ thị, đồ thị trở nên đông đúc giá trị đƣợc biểu dày Trong biểu đồ này, giá trị entropy nằm 3,0-6,1, có lƣu lƣợng mạng hợp pháp đƣợc lƣu thông qua mạng 34 Hình 3.4: Entropy lƣu lƣợng mạng bình thƣờng với cửa sổ 100 gói tin (*) Cửa sổ số gói tin 1000 với lƣu lƣợng mạng hỗn hợp Sử dụng lƣu lƣợng mạng hỗn hợp tƣơng tự kịch 1, thực tính toán với cửa sổ gói tin đƣợc thực nhƣ 1000 gói tin nghĩa entropy đƣợc tính toán sau 1.000 gói Có 9050 lần entropy đƣợc tính toán hiển thị đồ thị, đồ thị trở nên bị tắc nghẽn với đƣờng biểu diễn mỏng Giá trị entropy đồ thị nằm phạm vi 5,2-7,1, mạng giai đoạn bình thƣờng giá trị giảm đột ngột xuống nằm khoảng 2,3-2,9 đồng nghĩa với việc có công 35 Hình 3.5: Entropy lƣu lƣợng mạng hỗn hợp với cửa sổ 1000 gói tin (*) Cửa sổ số gói tin 10000 với lƣu lƣợng mạng hỗn hợp Hình 3.6: Entropy lƣu lƣợng mạng hỗn hợp với cửa sổ 10000 gói tin Tƣơng tự nhƣ trên, Hình 3.6 biểu diễn entropy đƣợc tính toán sau 10.000 gói Vì vậy, có 905 lần entropy đƣợc tính toán hiển thị đồ thị, cho thấy đƣờng biểu diễn mỏng so với hình 3.5 Giá trị entropy đồ thị 36 nằm phạm vi 7,0-7,5, lƣu lƣợng mạng bình thƣờng giá trị giảm đột ngột xuống nằm khoảng 2,8-3,9, có công 3.1.2.3 Một số nhận xét Từ thử nghiệm, rút số nhận xét:  Miền giá trị entropy (theo thời gian theo số gói tin) lƣu mạng bình thƣờng thƣờng ổn định khoảng hẹp, miền giá trị entropy lƣu mạng bị công có khác biệt rõ nét với miền giá trị entropy lƣu mạng bình thƣờng Nhƣ vậy, sử dụng phân bố giá trị entropy để nhận dạng công DDoS cách xác  Kích thƣớc cửa sổ thời gian có ảnh hƣởng đến giá trị entropy, nhiên không ảnh hƣởng định đến khả phân biệt lƣu mạng bị công lƣu mạng bình thƣờng Chọn kích thƣớc cửa số lớn giảm đƣợc số lƣợng tính toán, nhƣng giảm khả phát sớm công Ngƣợc lại, chọn kích thƣớc cửa sổ nhỏ làm tăng khả phát sớm công, nhƣng yêu cầu lƣợng tính toán lớn 3.2 Mô hình hệ thống phát công DDoS online dựa entropy Theo mô hình phát mô tả hình 2.1, luận văn thử nghiệm mô hình hệ thống phát công DDoS online dựa entropy IP nguồn nhƣ biểu diễn Hình 3.7 Theo mô hình này, liệu gói tin đƣợc thu thập điều kiện máy chủ hoạt động bình thƣờng để tính toán mẫu entropy sử dụng cho giai đoạn phát Mô đun phát thực việc giám sát, bắt gói tin gửi từ ngƣời dùng đến máy chủ để tính toán entropy cho phát công DDoS Công cụ mô sinh công DDoS dùng cho thử nghiệm phát Kết phát tƣơng tự với thử nghiệm thực với tập liệu offline 37 Máy mô công DDoS Thu thập lƣu lƣợng bình thƣờng Máy chủ cần giám sát Mẫu entropy lƣu lƣợng bình thƣờng Mô đun phát công DDoS Hình 3.7: Mô hình hệ thống phát công DDoS online dựa entropy 3.3 Kết luận chƣơng Chƣơng mô tả thử nghiệm kết phát công DDoS sử dụng tập liệu NZIX CAIDA Qua thử nghiệm thấy mô hình phát công thông qua việc tính toán entropy đáng tin cậy entropy cửa lƣu lƣợng công có miền giá trị khác biệt rõ nét với miền giá trị entropy lƣu lƣợng mạng bình thƣờng Tuy nhiên, thử nghiệm đƣợc thực tập liệu nhỏ, cần có nhiều thử nghiệm với tập liệu khác để có đánh giá khách quan 38 KẾT LUẬN Các kết đạt đƣợc  Trình bày khái quát công DoS/DDoS, bao gồm kỹ thuật công DoS điển hình kiến trúc công DDoS;  Hệ thống hóa giải pháp phòng chống công DDoS;  Xây dựng thử nghiệm mô hình phát công DDoS dựa entropy IP nguồn;  Thử nghiệm mô hình hệ thống phát công DDoS online dựa entropy Hƣớng nghiên cứu Luận văn đƣợc nghiên cứu hƣớng sau:  Thực bổ sung thử nghiệm phần liệu lớn tập liệu NZIX CAIDA, thử nghiệm tập liệu khác để có đánh giá tổng thể khách quan hơn;  Xem xét, đánh giá hiệu khả phát sớm công DDoS mô hình phát 39 DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] Hoàng Xuân Dậu, 2014, Phân loại công DDoS biện pháp phòng chống, Tạp chí Thông tin Truyền thông [2] Nguyễn Thị Phƣơng Nhung, 2015, Nghiên cứu đánh giá chế phòng chống công DDoS cho máy chủ Tài liệu tiếng Anh [3] Saman Taghavi Zargar, James Joshi, Member and David Tippe, 2013, A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials [4] P J Criscuolo, 2000, Distributed Denial of Service, Tribe Flood Network 2000 and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev 1., Lawrence Livermore National Laboratory [5] Jelena Mirkovic, Janice Martin and Peter Reiher, 2004, A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms, ACM SIGCOMM Computer Communication Review [6] Jameel Hashmi, Manish Saxena, and Rajesh Saini, 2012, Classification of DDoS Attacks and their Defense Techniques using Intrusion Prevention System, International Journal of Computer Science & Communication Networks [7] Rajkumar, Manisha Jitendra Nene, 2013, A Survey on Latest DoS Attacks: Classification and Defense Mechanisms, International Journal of Innovative Research in Computer and Communication Engineering [8] Christos Douligeris and Aikaterini Mitrokotsa, 2003, DDoS Attacks And Defense Mechanisms: A Classification, Signal Processing and Information Technology 40 [9] P.Grünwald, P.Vitányi, 2003, Kolmogorov Complexity and Information Theory With an Interpretation in Terms of Questions and Answers J Logic Lang, 12, 497– 529 [10] A.Teixeira, A.Matos, A.Souto, L.Antunes, 2011, Entropy Measures vs Kolmogorov Complexity, 13, 595–611 [11] Claude E.Shannon, 1951, Prediction and Entropy of Printed English The Bell System Technical Journal,30:50–64 [12] Mark R Titchener, 1998, A Deterministic Theory of Complexity, Information, and Entropy In Proceedings of IEEE Information Technology Workshop, page 80 [13] C.Reimann, P.Filzmoser, R.G.Garrett, 2005, Background and threshold: critical comparison of methods of determination Sci Total Environ., 346, 1–16 [14] M.Szpyrka, B.Jasiul, K.Wrona, F.Dziedzic, 2013, Telecommunications Networks Risk Assessment with Bayesian Networks In Computer Information Systems and Industrial Management; Saeed, K., Chaki, R., Cortesi, A.,Wierzcho´n, S., Eds.; Volume 8104, Lecture Notes in Computer Science; Springer: Berlin/Heidelberg, Germany,; pp 277–288 [15] M.Hall, E.Frank, G.Holmes, B.Pfahringer, P.Reutemann, I.Witten, The WEKA Data Mining Software: An Update SIGKDD Explor Newslett 2009, 11, 10–18 [16] A Wagner; B Plattner, 2005, Entropy Based Worm and Anomaly Detection in Fast IP Networks In Proceedings of the 14th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprise (WETICE’05), Linköping University, Linköping, Sweden; pp 172–177 [17] S.Ranjan; S.Shah; A.Nucci; M.Munafo; R.Cruz ; S.Muthukrishnan , 2007 DoWitcher: Effective Worm Detection and Containment in the Internet Core In Proceedings of 26th IEEE International Conference on Computer Communications (INFOCOM 2007), Anchorage, AL, USA; pp 2541–2545 [18] Gu, Y.; McCallum, A.; Towsley D., 2005, Detecting Anomalies in Network Traffic Using Maximum Entropy Estimation In Proceedings of the 5th ACM 41 SIGCOMM Conference on Internet Measurement (IMC ’05), Berkeley, CA, USA; pp 32–32 [19] R Clausius, T Hirst, 1867, The Mechanical Theory of Heat: With its applications to the steam-engine and to the physical properties of bodies; J van Voorst: London, UK [20] C Shannon, 1948, A Mathematical Theory of Communication Bell Syst Tech J., 27, 379–423 [21] C Tsallis, 1988, Possible generalization of Boltzmann-Gibbs statistics J Stat Phys 1988, 52, 479–487 [22] A Renyi, 1970, Probability Theory; Enlarged version of Wahrscheinlichkeitsrechnung, Valoszinusegszamitas and Calcul des probabilites English translation by Laszlo Vekerdi; North-Holland: Amsterdam, The Netherlands [23] Jaswinder Singh, Monika Sachdeva And Krishan Kumar, 2013, Detection Of Ddos Attacks Using Source Ip Based Entropy, International Journal of Computer Science Engineering and Information Technology Research (IJCSEITR), ISSN 2249-6831, Vol 3, Issue [24] Przemyslaw Berezinski, Bartosz Jasiul, and Marcin Szpyrka, 2015, An Entropy-Based Network Anomaly Detection Method, Entropy journal [25] N Jeyanthi, and N Ch Sriman Narayana Iyengar, 2012, An Entropy Based Approach to Detect and Distinguish DDoS Attacks from Flash Crowds in VoIP Networks, International Journal of Network Security, Vol.14, No.5, PP.257-269 [26] Softflowd-Flow-based, Network Traffic Analyser Available online: http://code.google.com/p/softflowd/ (accessed on 16 April 2015) [27] NfSen-Netflow Sensor Available online: http://nfsen.sourceforge.net (accessed on 16 April 2015) [25] B.Jasiul, M.Szpyrka, J.Sliwa, Detection and Modeling of Cyber Attacks with Petri Nets Entropy 2014, 16, 6602–6623 42 [26] NZIX Datasets, http://www.wand.net.nz/wits/nzix/2/20000709-000000.gz, [truy nhập tháng 5/2016] [27] The CAIDA UCSD "DDoS Attack 2007" Dataset, http://www.caida.org /data/passive/ddos-20070804_dataset.xml, [truy nhập tháng 5/2016] [...]... Hình 1.5: Kiến trúc tấn công DDoS gián tiếp hay phản chiếu 1.1.3 Phân loại tấn công DDoS Nhiều phƣơng pháp phân loại tấn công DDoS đã đƣợc đề xuất nhƣng một cách khái quát, tấn công DDoS có thể đƣợc phân loại dựa trên 6 tiêu chí chính: - Dựa trên phƣơng pháp tấn công - Dựa trên mức độ tự động - Dựa trên giao thức mạng - Dựa trên phƣơng thức giao tiếp - Dựa trên cƣờng độ tấn công - Dựa trên việc khai thác... Minh họa tấn công SYN floods 1.1.2 Tấn công DDoS và kiến trúc tấn công DDoS 1.1.2.1 Giới thiệu về DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) là một dạng tấn công DoS phát triển ở mức độ cao hơn và đƣợc lần đầu đƣợc phát hiện vào năm 1999 Khác biệt cơ bản giữa DoS và DDoS là chính là phạm vi tấn công Đối với tấn công DoS, lƣu lƣợng tấn công thƣờng chỉ đƣợc khởi phát từ một,... IDS/IPS thuộc nhóm này 3) Sau khi xảy ra tấn công: Gồm các biện pháp đƣợc triển khai để lần vết và truy tìm nguồn gốc của tấn công DDoS 1.3 Mô tả bài toán của Luận văn Bài toán của luận văn là nghiên cứu phát hiện tấn công DDoS dựa trên IP nguồn entropy Bằng cách tính toán hệ số entropy của IP nguồn của các gói tin gửi đến, chúng ta có thể phát hiện đƣợc thời điểm mà tin tặc phát động một cuộc tấn công. .. sánh Mẫu entropy của IP nguồn Bình thƣờng (a) Giai đoạn huấn luyện Tấn công (b) Giai đoạn phát hiện Hình 2.1: Mô hình phát hiện tấn công DDoS dựa trên entropy của IP nguồn 2.2.2 Hoạt động của mô hình Nhƣ đề cập trong mục 2.2.1, mô hình phát hiện tấn công DDoS dựa trên entropy của IP nguồn gồm 2 giai đoạn: (a) huấn luyện và (b) phát hiện Phần tiếp theo mô tả chi tiết hoạt động của từng giai đoạn 2.2.2.1... 1.1.2.2 Kiến trúc tấn công DDoS Đã có nhiều dạng tấn công DDoS đƣợc nhận dạng nhƣng tổng quan chúng ta có thể chia kiến trúc tấn công DDoS thành 2 dạng chính: (i) kiến trúc tấn công DDoS trực tiếp và (i) kiến trúc tấn công DDoS gián tiếp hay còn gọi là tấn công phản chiếu Hình 1.4 minh họa kiến trúc tấn công DDoS trực tiếp, với kiến trúc tấn công này thì đầu tiên, các tin tặc sẽ thực hiện chiếm quyền... Lọc IP dựa trên lịch sử, Lọc dựa trên đếm hop, Nhận dạng đƣờng dẫn,… 3) Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS đƣợc triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại 1.2.2 Dựa trên giao thức mạng Các biện pháp phòng chống tấn công DDoS đƣợc chia nhỏ theo tầng mạng: IP, TCP và ứng dụng: 1) Phòng chống tấn công DDoS. .. chống tấn công gây ngập lụt HTTP - Sử dụng các phƣơng pháp thống kê để phát hiện tấn công DDoS ở mức HTTP - Giám sát hành vi của ngƣời dùng trong các phiên làm việc để phát hiện tấn công 1.2.3 Dựa trên thời điểm hành động Dựa trên thời điểm hành động, có thể phân loại các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 thời điểm: 19 1) Trƣớc khi xảy ra tấn công: Các biện pháp phòng chống tấn công. .. các phép đo N-gram entropy của Shannon, trong đó kích thƣớc khối N đƣợc cố định 2.2 Mô hình phát hiện tấn công DDoS dựa trên entropy của IP nguồn 2.2.1 Giới thiệu mô hình Mặc dù đặc điểm của tấn công DDoS là các nguồn khởi phát tấn công có số lƣợng lớn và phân tán trên mạng Internet, tấn xuất gửi các yêu cầu tấn công từ mỗi host đến máy nạn nhân là khá lớn Ngoài ra, do các địa chỉ IP giả mạo thƣờng... đích ngăn chặn các cuộc tấn công mạng Với sự phát triển liên tục và nhanh chóng của mạng Internet hiện nay thì việc nghiên cứu và đƣa ra các biện pháp phòng chống tấn công mạng DoS /DDoS là thật sự cần thiết 20 CHƢƠNG 2: PHÁT HIỆN TẤN CÔNG DDoS DỰA TRÊN IP ENTROPY 2.1 Khái quát về entropy 2.1.1 Khái niệm entropy và ứng dụng trong phát hiện bất thường mạng Entropy là thƣớc đo của sự không chắc chắn (uncertainty)... pháp tấn công này là Ping of Death hoặc Teardrop 1.1.3.2 Dựa trên mức độ tự động Dựa theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng: a) Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống từ xa để dò tìm lỗ hổng, đột nhập vào hệ thống để cài đặt các đoạn mã và điều khiển hệ thống tấn công khi cần thiết Chỉ những tấn công DDoS trong giai đoạn đầu mới đƣợc thực hiện thủ công b) Tấn công

Ngày đăng: 02/12/2016, 04:05

TỪ KHÓA LIÊN QUAN

w