Đang tải... (xem toàn văn)
Mục đích nghiên cứu của luận án nhằm xây dựng 02 tiêu chí phát hiện nhanh cho phép loại bỏ tức thời các nguồn gửi yêu cầu khả nghi tấn công và xác minh các nguồn gửi yêu cầu bình thường trong tấn công DDoS-Web. Các thuật toán đề xuất trên cơ sở sử dụng các tiêu chí này cho phép sử dụng tức thời vào chống tấn công (không cần thời gian chuẩn bị, huấn luyện dữ liệu), xử lý lọc bỏ nhanh và cần ít tài nguyên lưu trữ. Xây dựng hệ thống mô phỏng và dữ liệu phục vụ kiểm thử cho hai dạng tấn công có đặc trưng riêng là TCP SYN Flood và tấn công DDoS-Web trên môi trường ảo hóa.
MỞ ĐẦU Tính cấp thiết đề tài Tấn công từ chối dịch vụ (Denial of Service - DoS) dạng công mạng nguy hiểm mà tin tặc thường sử dụng để làm gián đoạn hoạt động hệ thống thông tin Để thực cơng từ chối dịch vụ hiệu quả, vượt qua phòng chống đối tượng bị công, tin tặc thường tổ chức công với tham gia đồng thời từ nhiều máy tính khác nhau; hình thức thường gọi công từ chối dịch vụ phân tán (Distributed Denial of Service -DDoS) Trong thời gian vừa qua, với phát triển ứng dụng rộng rãi công nghệ thông tin truyền thông, đặc biệt giai đoạn bùng nổ công nghệ 4.0, ngành công nghệ thông tin truyền thơng mang lại nhiều lợi ích to lớn cho quan, tổ chức lĩnh vực trị, kinh tế, xã hội Tuy nhiên, bên cạnh lợi ích to lớn ngành cơng nghệ thơng tin truyền thơng mang lại việc kéo theo nguy an tồn thơng tin mà quan, tổ chức phải đối mặt Một nguy cơng mạng, đặc biệt tấn công DDoS Ảnh hưởng cơng DDoS quy mơ lớn làm dừng hoạt động hạ tầng mạng quốc gia, gây gián đoạn công tác đạo điều hành Chính phủ, ngừng hoạt động hạ tầng trọng yếu (điện, nước, giao thơng, tài chính…) làm ảnh hưởng nghiêm trọng đến trật tự an toàn xã hội, lợi ích cơng cộng, quốc phòng, an ninh Từ đó, thấy việc đưa phương pháp phòng chống cơng DDoS hiệu nhằm bảo đảm an tồn thơng tin cho quan, tổ chức trước công mạng vấn đề quan trọng cấp bách Nguyên nhân dẫn tới công DDoS ngày trở nên nguy hiểm việc số lượng thiết bị đầu cuối, IoT kết nối mạng ngày nhiều thời kỳ cơng nghệ 4.0 Những điểm yếu an tồn thiết bị cho phép tin tặc chiếm quyền điều khiển huy động trở thành thành viên mạng máy tính ma (botnet) Bằng cách này, tin tặc xây dựng mạng lưới botnet, tập hợp máy tay sai, với kích thước lớn, từ phát động cơng DDoS nguy hiểm Trên thực tế có nhiều cơng trình nghiên cứu liên quan đến phát phòng chống dạng công DDoS, thực tế cho thấy dạng cơng hiệu Do đó, việc tiếp tục nghiên cứu đề xuất phương pháp phòng chống cơng DDoS phù hợp hiệu vấn đề cần thiết thách thức nhà nghiên cứu Trong q trình cơng tác với thâm niên chun mơn tích lũy nhiều năm lĩnh vực này, NCS phải đối mặt trực tiếp với nhiều công DDoS xảy hệ thống thông tin quan, tổ chức Qua trình thực tế đó, NCS thu thập nhiều kinh nghiệm phân tích xử lý cơng DDoS Tuy nhiên, NCS tự nhận thấy rằng, phương án xử lý công thực thời điểm giải pháp tạm thời, mà khơng có tảng hay phương pháp tổng thể để giải vấn đề cốt lõi vấn đề cách khoa học hiệu Niềm đam mê chuyên môn nghiệp vụ nghiên cứu khoa học thúc tác giả trở thành nghiên cứu sinh trường Đại học Bách Khoa Hà Nội, với đề tài nghiên cứu chuyên sâu: “Phát phòng chống số dạng cơng từ chối dịch vụ phân tán” Kết nghiên cứu trình bày luận án NCS thực hướng dẫn tập thể hướng dẫn Sau đây, để thuận tiện cho việc trình bày luận án, tác giả (“tơi”) đại diện nhóm nghiên cứu trình bày nội dung nghiên cứu luận án Đối tượng nghiên cứu phương pháp nghiên cứu Đối tượng nghiên cứu luận án phương pháp phát phòng chống số dạng cơng DDoS Trong đó, luận án tập trung vào 03 nhóm vấn đề: Tổng quan cơng phòng chống cơng DDoS; Phát phòng chống cơng TCP Syn Flood (dạng cơng gửi tràn ngập gói tin khởi tạo kết nối giả mạo địa IP nguồn, xảy lớp mạng); Phát phòng chống công Web App-DDoS (dạng công DDoS vào ứng dụng Web, xảy lớp ứng dụng) NCS tập trung vào hai dạng cơng dạng công xảy phổ biến coi thực nguy hiểm Các phương pháp phát phòng chống hai dạng cơng TCP Syn Flood Web App-DDoS đề xuất phương pháp triển khai phía gần máy chủ bị công Lý đề xuất vì: Đối tượng bị cơng DDoS tin tặc hạ tầng mạng máy chủ Trường hợp, đối tượng bị công DDoS hạ tầng mạng, tin tặc sử dụng hình thức cơng Volumetric (hình thức cơng làm cạn kiệt băng thông kết nối Internet đối tượng cần bảo vệ với ISP) Đối với dạng công này, phương pháp chặn lọc hiệu thực hệ thống ISP Thêm nữa, để thực hình thức cơng Volumetric hiệu quả, tin tặc phải sử dụng nguồn tài nguyên lớn (cần mạng botnet đủ lớn) để thực công Trường hợp, đối tượng bị công DDoS máy chủ, tin tặc sử dụng hình thức cơng DDoS dạng làm cạn kiệt tài nguyên máy chủ Trên thực tế, đối tượng công máy chủ xảy thường xuyên phổ biến hơn, máy chủ lộ mặt trực tiếp ngồi Internet nên đối tượng cơng dễ xác định tin tặc không cần tài nguyên lớn mà làm đối bị công rơi vào trạng thái từ chối dịch vụ Khi đối tượng cơng máy chủ phương pháp phòng chống triển khai phía gần đích phù hợp hiệu Khi đó, phương pháp chặn lọc hiệu quả, băng thông kết nối Internet máy chủ cung cấp dịch vụ mà không bị rơi vào trạng thái từ chối dịch vụ Tin tặc thường sử dụng hai dạng công TCP Syn Flood Web App-DDoS để công Server Hai dạng công thường thực sở khai thác điểm yếu giao thức hay nguyên lý hoạt động giao thức mà máy chủ sử dụng Về phương pháp nghiên cứu, NCS kết hợp lý thuyết, kinh nghiệm quan sát thực tế để tìm vấn đề cần phải giải Trên sở đó, NCS đề xuất phương pháp phù hợp để giải vấn đề đặt Nội dung nghiên cứu NCS thực trình nghiên cứu liên quan đến phát phòng chống cơng DDoS kể từ trước trình làm NCS trường Đại học Bách Khoa Hà Nội Trong trình cơng tác Cục An tồn thơng tin - Bộ Thông tin Truyền thông, NCS trực tiếp hỗ trợ quan tổ chức xử lý, giảm thiểu công DDoS quy mô lớn Trải qua nhiều kinh nghiệm thực tế, NCS thấy hai dạng công TCP Syn Flood Web App-DDoS hai dạng công phổ biến Các công DDoS thuộc hai dạng gây thiệt hại nghiêm trọng cho quan, tổ chức bị công, họ trang bị triển khai biện pháp phòng chống định Sau lần hỗ trợ quan, tổ chức xử lý công DDoS, NCS có kinh nghiệm đặc trưng riêng đợt công thời điểm NCS đưa biện pháp thủ cơng để xử lý tạm thời Tuy nhiên, NCS tự nhận thấy kinh nghiệm có hạn chế bị động phải đối mặt với cơng DDoS Từ đó, NCS thấy cần tập trung tiếp tục nghiên cứu để có kiến thức chuyên sâu công DDoS nói chung với hai dạng cơng đề cập Khi làm NCS Viện Công nghệ thông tin, trường Đại học Bách Khoa Hà Nội, hướng dẫn tập thể hướng dẫn, NCS có hội nghiên cứu chuyên sâu công, phát phòng chống DDoS cách tổng thể, có khoa học Trong năm trình nghiên cứu, NCS tập trung nghiên cứu tổng quan dạng công, đặc trưng dạng cơng, khó khăn, thách thức việc phòng chống dạng cơng phương pháp phòng chống Sau có kiến thức mang tính tảng, NCS tập trung nghiên cứu, đề xuất phương pháp cụ thể để giải toán đặt sau: Bài toán thứ phát phòng chống cơng TCP Syn Flood Bài toán này, NCS đề xuất phương pháp cụ thể dựa phát mối liên hệ gói tin IP gửi từ máy tính Dựa vào kinh nghiệm chun mơn quan sát thực tế, NCS quan sát thấy gói tin gửi ngồi từ máy tính có giá trị trường Identification (PID) tăng liên tục cách đơn vị (sở cho phát này, luận án trình bày chi tiết phần sau) Tuy nhiên, việc phát gói tin có giá PID tăng liên tiếp phía máy chủ bị cơng khơng đơn giản Bởi vì, máy tính tham gia cơng DDoS chạy song song nhiều ứng dụng với kết nối mạng khác nhau, có nghĩa gói tin gửi khỏi máy tính nhiều hướng khác mà hướng đến máy chủ bị cơng Do đó, từ phía máy chủ bị cơng, thu gói tin có giá trị PID tăng liên tục, ngắt quãng Bên cạnh đó, cơng TCP Syn Flood xảy phía máy chủ nhận số lượng lớn gói tin SYN Do đó, việc xử lý gói tin SYN thật nhanh, để máy chủ giảm thiểu thời gian rơi vào trạng thái từ chối dịch vụ, vấn đề lớn khác đặt phương pháp mà đề xuất Để giải hai vấn đề đặt toán thứ nhất, NCS đề đề xuất 02 giải pháp [108, 110] sở giả thuyết trường thơng tin PID gói tin không bị giả mạo Giải pháp thứ [108], NCS sử dụng thuật tốn DBSCAN để nhóm gói tin SYN có giá trị PID tăng liên tiếp vào nhóm Trong nhóm đó, chúng tơi xác định giá trị PID gói tin giả mạo gửi đến hệ thống Điểm hạn chế giải pháp sử dụng thuật toán DBSCAN phải cần khoảng thời gian ban đầu định cho việc thu thập gói tin SYN đầu tiên, làm thơng tin đầu vào cho thuật tốn DBSCAN để xác định dấu hiệu gói tin giả mạo gửi đến Trong thời gian này, máy chủ bị cơng phải hứng chịu gói tin công gửi đến Thêm nữa, phương pháp yêu cầu phải cập nhật liên tục trạng thái nhóm thuật tốn DBSCAN có gói tin hay nhóm tạo Điều làm ảnh hưởng lớn đến tốc độ xử lý chung phương pháp Để giải hạn chế phương pháp thứ nhất, NCS đề xuất giải pháp thứ hai [110] cho phép phát loại bỏ gói tin SYN công gửi đến mà không cần khoảng thời gian xử lý lúc đầu phương pháp thứ Giải pháp lưu trữ giá trị PID bảng liệu có cấu trúc kết hợp với phương pháp tìm kiếm nhanh giá trị PID tăng liên tiếp thay sử dụng thuật toán DBSCAN Trong nghiên cứu [110], giải pháp đề xuất cho phép phát loại bỏ nhanh gói tin giả mạo gửi đến việc lưu trữ truy vấn thông tin địa IP giá trị PID lưu trữ bảng liệu với phương pháp tìm kiếm đơn giản Việc dẫn tới giảm tốc độ xử lý chung phương pháp đề xuất số lượng gói tin gửi đến hệ thống lớn Để tiếp tục tăng tốc độ xử lý giải pháp PIDAD2, NCS đề xuất giải pháp lưu trữ tìm kiếm nhanh thơng tin PID, IP nguồn sử dụng thuật tốn Bloom Filter [117] Sau bảo vệ sở, nghiên cứu [116] chấp nhận trình bày Hội nghị ACDT 2018 Các giải pháp mà NCS xuất tập trung vào việc phát loại bỏ gói tin giả mạo q trình phòng chống mà chưa đề cập đến việc phát công Thêm nữa, việc xác thực IP nguồn phép IP nguồn thực kết nối với máy chủ công xảy vấn đề quan trọng toán tổng thể phát phòng chống cơng TCP Syn Flood Do đó, NCS đề xuất mơ hình tổng thể phương pháp phát công TCP Syn Flood chế xác thực IP nguồn nghiên cứu [109] Cả hai giải pháp đề xuất dựa giả thuyết phía máy chủ bị cơng, nhận tối thiểu 03 gói tin có giá trị PID tăng liên tiếp Tuy nhiên, thực tế có nhiều trường hợp phía máy chủ bị công, nhận từ 01 đến 02 gói tin giả mạo Khi đó, hai giải pháp [108, 110] bỏ sót gói tin giả mạo Đây vấn đề mà NCS cần phải tiếp tục giải Để giải vấn đề này, NCS tiếp tục nghiên cứu giải pháp dựa nghiên cứu đề xuất trước [98] Giải pháp này, NCS dự kiến sử dụng thuật tốn DBSCAN cách hồn tồn khác với giá trị epsilon minpts có giá trị độc lập cho nhóm thuật tốn DBSCAN Cặp giá trị Cluster tham số để xác định gói tin giả mạo nhận vào Cluster Bài toán thứ hai mà NCS phải giải phát phòng chống công Web App-DDoS Trong thực tế, tin tặc sử dụng cơng TCP Syn Flood để công ứng dụng Web Tuy nhiên, tin tặc thường sử dụng DDoS lớp ứng dụng để thực công Web App-DDoS với mức độ tinh vi nguy hiểm dạng công TCP Syn Flood Thêm nữa, việc phát phòng chống cơng Web AppDDoS có đặc trưng thách thức riêng Để giải toán thứ hai, NCS đề xuất phương pháp phát nhanh nguồn gửi yêu cầu công Web App-DDoS công xảy nghiên cứu [111] Đề xuất đưa mơ hình mở cho phép kết hợp, bổ sung nhiều tiêu chí khác để phát xác định nguồn gửi u cầu cơng Trong đó, có tiêu chí cho phép phát nguồn gửi yêu cầu công mà trải qua trình máy học/huấn luyện phương pháp khác Trong nghiên cứu [111], NCS sử dụng 02 tiêu chí (tiêu chí tần suất truy cập tiêu chí tương quan yêu cầu gửi đến máy chủ) để xác định nguồn gửi yêu cầu công Tuy nhiên, nghiên cứu này, tiêu chí NCS đưa thực mức độ để đánh giá mơ hình phương pháp đề xuất Trong q trình hồn thiện luận án sau luận án Hội đồng đánh giá cấp sở thông qua, NCS tiếp tục sâu nghiên cứu, đề xuất giải pháp cụ thể cho 02 tiêu chí chúng tơi sử dụng nghiên cứu [111] Cụ thể: Đối với tiêu chí tần suất truy nhập, NCS đề xuất giải pháp cho phép tìm tần suất truy cập từ IP nguồn gửi yêu cầu theo thời gian thực Giải pháp đề xuất cần tài nguyên để lưu trữ xử lý Tần suất xác định liệu đầu vào cho thuật tốn tiêu chí tần suất Bên cạnh đó, nghiên cứu NCS đề xuất giải pháp để xác định nguồn gửi yêu cầu công thay cho phương pháp sử dụng DBSCAN nghiên cứu [111] Kết nghiên cứu gửi đăng Hội nghị IEEE RIVF 2019 Đối với tiêu chí mối quan hệ tương quan yêu cầu gửi đến máy chủ từ nguồn, NCS đưa giải pháp để thiết lập tập yêu cầu tương quan trình huấn luyện (training) Tập yêu cầu tương quan thiết lập dựa điều kiện để bảo đảm tập yêu cầu tin tặc khó để đưa yêu cầu sai lệch vào tập liệu trình huấn luyện Kết nghiên cứu chúng tơi gửi đăng Tạp chí Khoa học Cơng nghệ Đánh giá thực nghiệm phương pháp đề xuất vấn đề lớn đặt Qua việc nghiên cứu cơng trình liên quan, NCS thấy cơng trình khơng sử dụng chung tập liệu kiểm thử để đánh giá thực nghiệm Phần lớn tác giả tự xây dựng mô hình liệu kiểm thử riêng để phục vụ việc đánh giá hiệu phương pháp họ đề xuất Do đó, tương tự với cách làm tác giả, nghiên cứu này, NCS xây dựng hệ thống mơi trường ảo hóa để tạo tập liệu kiểm thử Mơ hình bao gồm C&C máy chủ mạng botnet điều khiển máy chủ Tập liệu kiểm thử sử dụng để đánh giá hiệu phương pháp đề xuất so sánh với phương pháp khác tập liệu tạo Ý nghĩa khoa học ý nghĩa thực tiễn Luận án Ý nghĩa khoa học: Đóng góp thêm 05 cơng trình nghiên cứu (ngồi 05 cơng trình đăng, NCS tham gia viết chuẩn bị gửi đăng thêm 02 cơng trình nghiên cứu đến Hội nghị IEEE RIVF 2019 Tạp chí Khoa học Cơng nghệ Các Trường Đại Học Kỹ Thuật) Đối với cộng đồng nghiên cứu khoa học, kết luận án cung cấp thêm nguồn tài liệu tham khảo hữu ích, phục vụ việc nghiên cứu đề xuất phương pháp phòng chống cơng DDoS Các hướng nghiên cứu tập trung vào phòng chống dạng cơng điển hình, phổ biến nguy hiểm Các nghiên cứu có tính mở cao, cho phép tiếp tục mở rộng để làm tăng hiệu quả, mức độ xác việc phát phòng chống cơng DDoS Ý nghĩa thực tiễn: Kết nghiên cứu luận án đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 “Xây dựng hệ thống xử lý công từ chối dịch vụ mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường nguy an tồn thơng tin Chính phủ điện tử” Xây dựng hệ thống phòng chống công DDoS thực triển khai thử nghiệm trường Đại học Bách Khoa Hà Nội Xây dựng mạng botnet môi trưởng ảo hóa cho phép thực nhiều hình thức cơng DDoS khác để tạo liệu kiểm thử cho nghiên cứu khác Điểm Luận án - Đề xuất phương pháp việc phát loại bỏ gói tin giả mạo công TCP SYN Flood (tấn công tràn ngập gói tin TCP SYN) - Đề xuất mơ hình khung phòng chống cơng DDoS-Web , có tính mở, cho phép kết hợp nhiều tiêu chí phát để làm tăng hiệu quả, mức độ xác việc phát phòng chống cơng - Xây dựng 02 tiêu chí phát nhanh cho phép loại bỏ tức thời nguồn gửi yêu cầu khả nghi cơng xác minh nguồn gửi u cầu bình thường cơng DDoS-Web Các thuật tốn đề xuất sở sử dụng tiêu chí cho phép sử dụng tức thời vào chống công (không cần thời gian chuẩn bị, huấn luyện liệu), xử lý lọc bỏ nhanh cần tài nguyên lưu trữ - Xây dựng hệ thống mô liệu phục vụ kiểm thử cho hai dạng công có đặc trưng riêng TCP SYN Flood cơng DDoS-Web mơi trường ảo hóa CHƯƠNG I TỔNG QUAN VỀ TẤN CƠNG DDOS VÀ PHƯƠNG PHÁP PHỊNG CHỐNG Trong chương 1, luận án đưa nội dung tổng quan cơng phòng chống cơng DDoS Nội dung nghiên cứu chương sở cho nghiên cứu, đề xuất phương pháp cụ thể hai dạng công TCP SYn Flood Web AppDDoS đề trình bày chương chương Những nội dung tơi trình bày chương bao gồm: Tổng quan công từ chối dịch vụ phân tán DDoS; Các dạng công DDoS phổ biến; Các công cụ công DDoS phổ biến; Những thách thức việc phát phòng chống công DDoS; Tổng quan phương pháp phòng chống cơng DDoS; Nghiên cứu tiêu chí đánh giá hiệu phương pháp đề xuất; Nghiên cứu khảo sát đánh giá thực nghiệm phương pháp phòng chống công DDoS Thông qua nội dung nghiên cứu liên quan đến công từ chối dịch vụ phân tán DDoS, Các dạng công Các công cụ công DDoS phổ biến thấy thách thức việc phát phòng chống công DDoS làm sở để đề xuất phương pháp phòng chống phù hợp Thơng qua việc phân tích ưu, nhược điểm phương pháp, tơi có sở đề xuất phương pháp phòng chống hai dạng công TCP Syn Flood Web App-DDoS theo phương pháp triển khai phía gần đích Để lựa chọn tiêu chí đánh giá phương pháp đề xuất, tơi nghiên cứu, rà sốt tiêu chí mà tác giả sử dụng để đánh giá phương pháp họ Trên sở tham khảo kinh nghiệm tác giả, lựa chọn đưa 04 tiêu chí để đánh giá giải pháp đề xuất Để có sở đánh giá thực nghiệm, khảo sát kinh nghiệm tác giả có cơng trình nghiên cứu liên quan để từ đề xuất mơ hình phương pháp đánh giá hiệu phương pháp đề xuất CHƯƠNG II PHĨNG CHỐNG TẤN CƠNG TCP SYN FLOOD Trong chương 2, luận án đưa nội dung nghiên cứu sau: 2.1 Giới thiệu tốn 2.1.1 Tổng quan nội dung nghiên cứu chương Trong chương này, sâu vào giải toán thứ đặt phát phòng chống cơng TCP Syn Flood Dạng cơng dạng công phổ biến khó phòng chống lớp mạng Bởi vì, với dạng công này, tin tặc thường giả mạo ngẫu nhiên địa IP nguồn, trường thơng tin khác gói tin hồn tồn gói tin bình thường làm máy chủ bị cơng khơng có cách phát gói tin giả mạo xử lý riêng rẽ gói tin Mục tiêu phương pháp đề xuất làm tăng cường tối đa khả phòng chống chịu đựng công TCP Syn Flood giảm thiểu khả rơi vào trạng thái từ chối dịch vụ hệ thống cần bảo vệ Do đó, vấn đề mà phương pháp cần phải giải ngồi việc tìm gói tin giả mạo phải có chế xử lý loại bỏ thật nhanh gói tin giả mạo Phương pháp mà đề xuất xuất phát từ việc tìm mối liên hệ gói tin IP chúng gửi từ máy tính Tuy nhiên việc khai thác tính chất tăng liên tiếp trường PID để phát dòng thác SYN công không đơn giản: ta khơng thấy có dãy PID tăng liên tục quan sát máy nạn nhân (máy bị cơng) Ngun vì: máy tính tham gia công thường máy tay sai (của botnet đó) phải tham gia nhiều hoạt động giao dịch mạng khác nhau, mở nhiều liên kết TCP đồng thời thơng qua nhiều tiến trình song song, có với máy chủ nạn nhân Cơ chế phát sinh PID hoạt động dạng round robin sinh PID cho nhiều tiến trình song song Do đó, từ phía máy chủ bị công, thường thu gói tin có giá trị PID tăng liên tục đoạn ngắn ngắt quãng (tức thành chùm PID liên tục độ dài 2,3 hay …) Mặc dù coi dấu hiệu đủ tốt để phát công Tất nhiên giải pháp phát phòng chống TCP SYN Flood đề xuất cần dựa giả định quan trong: máy tay sai tham gia cơng, tồn phần lớn, có hệ điều hành “sạch”, giữ vững chế sinh PID tăng liên tiếp nói Cần nói rõ hầu hết phương pháp chống công TCP SYN Flood phải dựa giả định giả định sở giả định sử dụng có sở thực tế vững chắc, tức bị vi phạm qui mô vi phạm tương đối nhỏ (hoặc để thực qui mô lớn điều khó khơng tưởng) Chúng tơi phân tích kỹ phần sau Dựa ý tưởng này, hai giải pháp nhóm nghiên cứu đề xuất cho phép phát loại bỏ gói tin giả mạo công TCP Syn Flood [108,110] Trong giải pháp PIDAD1 [108], tơi sử dụng thuật tốn DBSCAN để nhóm gói tin giả mạo vào Cluster Mỗi Cluster giúp xác định giá trị PID gói tin giả mạo gửi đến Giải pháp có điểm hạn chế cần khoảng thời gian chuẩn bị định công bắt đầu xảy để thu thập gói tin giả mạo đầu tiên, sử dụng làm liệu đầu vào cho thuật tốn DBSCAN Do đó, khoảng thời gian máy chủ phải hứng chịu gói tin cơng giả mạo Thêm thuật tốn DBSCAN có độ phức tạp định chưa thực đem lại hiệu phù hợp cho việc phát nhanh gói tin giả mạo Ở nghiên cứu [110] đề xuất giải pháp PIDAD2 để giải hạn chế giải pháp PIDAD1 Giải pháp cho phép phát nhanh gói tin giả mạo gửi đến, thông qua chế lưu trữ liệu có cấu trúc sử dụng thuật tốn tìm kiếm nhanh Để tiếp tục tăng tốc độ xử lý PIDAD2, đề xuất phương án lưu trữ tìm kiếm nhanh thơng tin PID, IP nguồn sử dụng thuật toán Bloom Filter [117] Nghiên cứu chấp nhận đăng Hội nghị ACDT 2018 [116] Mơ hình, phương pháp phát cơng TCP Syn Flood chế xác thực địa IP nguồn đề xuất nghiên cứu [109] Trong đề xuất này, đưa phương pháp pháp công xảy chế xác thực IP phép kết nối nhanh vào hệ thống cơng xảy Để có sở đánh giá hiệu phương pháp đề xuất so sánh với phương pháp khác, xây dựng hệ môi trường thực nghiệm tạo liệu kiểm thử tương tự tác giả khác thực đề xuất họ 2.1.2 Phạm vi toán Phương pháp chung giải pháp phòng chống cơng TCP Syn Flood đề xuất dựa giả định rằng: Mặc dù tin tặc thực công TCP Syn Flood có khả cao sinh giả mạo địa IP nguồn (có thể trường thơng tin khác) để che giấu nguồn gốc, trường PID gói tin IP giá trị phát sinh tự động tăng liên tục mặc định theo nguyên lý chung hệ điều hành Nói cách khác phương pháp đề xuất dựa giả định hầu hết máy công máy tay sai (cũng dạng nạn nhân “ngây thơ” bị khai thác) có tầng thấp hệ điều hành (có thể có bị lây nhiễm mã độc tầng cao hơn) Tất nhiên thay đổi giả mạo trường thơng tin PID thực được, tin tặc chiếm quyền cao máy tính nạn nhân (và can thiệp sâu tầng bên hệ điều hành) Tuy nhiên, để xây dựng đội quân tay sai cỡ lớn can thiệp giả mạo PID tin tặc phải có khả chiếm quyền điều khiển đội quân đông đảo máy tính tay sai Việc khó thực hãng cung cấp sản phẩm cập nhật vá lỗ hổng phần mềm phòng chống mã độc ngày tinh vi, hiệu Cũng cần nói thêm, việc giả mạo địa IP nguồn dễ dàng thực nhiều, thân giao thức IP cho phép thay đổi IP nguồn đích gói tin từ nguồn đến đích Trường hợp điển hình gói tin từ mạng Private ngồi Internet phải chuyển đổi địa IP nguồn thành địa Public thông qua giao thức NAT Việc thay đổi IP nguồn dễ dàng thực ngơn ngữ lập trình C, C++, C# hay Java cung cấp API phép người lập trình đưa giá trị IP nguồn vào Tóm lại giả định sở phương pháp chúng tơi đề xuất cho hầu hết đội quân máy tay sai công botnet tin tặc lợi dụng sơ suất chưa thực bị lũng đoạn điều khiển hoàn toàn Đây coi hạn chế phương pháp đề xuất coi thực tế phổ biến diễn Bên cạnh đó, số nghiên cứu khác phòng chống công TCP Syn Flood phương pháp Path Identifier [36], IP Traceback [30] hay Hop-count filtering [35] cần phải dựa giả thuyết hay giải định định Các phương pháp [30, 36] dựa giả định đường từ nguồn đến đích gói tin IP Tuy nhiên, thực tế ln tồn nhiều đường từ nguồn đến đích khác gói tin qua mạng Internet Đường từ nguồn đến đích gói tin Router Internet định dựa vào thước đo metric Metric Router sử dụng số hiệu mạng AS qua giao thức định tuyến BGP Nếu số lượng số hiệu mạng gói tin đồng thời sử dụng hai đường để cân tải Tuy nhiên, số Router AS khác dẫn tới số hop-count khác Điều làm ảnh hưởng lớn đến hiệu hai phương pháp trên, không đưa giả thuyết đường Một ví dụ khác nữa, phương pháp [35] việc phát gói tin giả mạo dựa vào giả định thơng tin hop-count tính nhờ giá trị trường TTL giảm đơn vị qua Router dọc đường Tuy nhiên, tin tặc giả mạo trường TTL học trước khoảng cách từ nguồn công đến máy nạn nhân để giả mạo trường TTL cho phù hợp phương pháp khơng xử lý xác 2.2 Tổng quan dạng công TCP Syn Flood Dạng công TCP Syn Flood dạng cơng DDoS mà tin tặc gửi tràn ngập gói tin SYN đến đích bị cơng [91] Dạng cơng cho dạng công khó phòng chống địa IP nguồn gói tin cơng giả mạo ngẫu nhiên, trường thơng tin khác hồn tồn gói tin bình thường Do đó, máy chủ nạn nhân khó phân biệt gói tin gói tin giả mạo quan sát riêng rẽ gói tin Tin tặc thực công TCP Syn Flood thông qua việc khai thác điểm yếu giao thức giao vận TCP trình bắt tay ba bước (3-way handshake subprotocol) Các gói tin giả mạo tạo với trường thông tin giống gói tin thơng thường, với địa IP nguồn giả mạo (sinh ngẫu nhiên) Nếu khơng có chế theo dõi đặc biệt, máy chủ phân biệt gói tin gói tin thực hay giả mạo 2.3 Mơ hình phương pháp phát phòng chống cơng TCP Syn Flood 2.3.1 Mơ hình tổng thể thành phần Hệ thống phát phòng chống cơng TCP Syn Flood, tơi thiết kế thành phần TCP Syn Flood Defence bao gồm 04 chức chính: Chức xây dựng danh sách địa IP IP white-list; Chức phát công TCP Syn Flood; Chức phát loại bỏ gói tin giả mạo; Chức xác thực địa IP nguồn Black list White list Black-List White-List ` Tab User Internet Auth-IF Server ` TCP Syn Flood Defence Module Web App-DDoS Defence Module Sniffer IF Attacker DDosDefence DDoS-Defence System 2.3.2 Nguyên lý hoạt động Khi hệ thống hoạt động trạng thái bình thường (khơng bị cơng), hệ thống DDoS-Defence theo dõi thụ động kết nối mạng để xây dựng danh sách địa IP nguồn thường xuyên kết nối vào hệ thống (IP white-list) Danh sách IP white-list xây dựng dựa vào tiêu chí khác để đảm bảo không để tin tặc đưa địa IP độc hại vào danh sách (chi tiết trình bày mục 3.5.5) Khi có cơng xảy ra, danh sách IP white-list gửi đến thiết bị mạng phép IP danh sách ưu tiên kết nối vào hệ thống cần bảo vệ Các IP không nằm IP white-list phải xác minh tính hợp lệ, trước cho kết nối vào hệ thống thông qua chế xác minh địa IP nguồn Khi đó, hệ thống DDoS-Defence đại diện máy chủ bị cơng, gửi gói tin SYN, ACK IP nguồn để xác minh Nếu hệ thống DDoS-Defence nhận gói tin ACK từ IP nguồn IP đưa vào danh sách IP white-list (chi tiết mục 2.5.4) 10 Khi phát công DDoS xảy (tần suất gửi gói tin TCP Reset vượt ngưỡng) chức phát loại bỏ gói tin giả mạo kích hoạt để chặn gói tin cơng gửi đến hệ thống cần bảo vệ 2.4 Phát công TCP Syn Flood Việc phát sớm công DDoS Syn Flood quan trọng việc xử lý giảm thiểu ảnh hưởng công hệ thống Đối với phương pháp sử dụng threshold để phát công DDoS thường gây cảnh báo sai không phát Điểm hạn chế phương pháp sử dụng threshold tin tặc thay đổi lưu lượng cơng số lượng, tần suất để tránh khỏi phát hệ thống, khơng có chế thay đổi giá trị threshold cách tự động phù hợp để mô tả hoạt động thực tế hệ thống mạng bảo vệ có thay đổi Do đó, nghiên cứu này, đề xuất phương pháp cho phép theo dõi tự động cập nhật giá trị threshold số lượng tần suất truy nhập hệ thống thay đổi Cơ chế phương pháp đề xuất định kỳ theo dõi tần số xuất gói tin TCP có cờ (flag) thiết lập Reset Lý theo dõi gói tin TCP có flag Reset theo ngun lý hoạt động giao thức TCP, máy chủ nhận gói tin SYN giả mạo máy chủ gửi trả lại gói tin ACK tới địa IP máy thực (máy bị giả mạo địa IP) Khi máy thực nhận gói tin ACK máy chủ gửi gói tin TCP Reset tới máy chủ để hủy kết nối Đây điểm khác biệt kết nối mạng thông thường với kết nối mạng sử dụng công DDoS Syn Flood User User IP A Server Attacker IP B 2.5 Phát loại bỏ gói tin giả mạo cơng DDoS TCP Syn Flood 2.5.1 Đặc trưng gói tin IP gửi từ máy nguồn Qua quan sát thực tế khảo sát tập liệu kiểm thử, thấy máy tính gửi gói tin, khơng phân biệt địa IP đích hay dịch vụ sử dụng giá trị PID tăng lên đơn vị Điều có nghĩa quan sát phía máy chủ ta nhận chuỗi gói tin có giá trị PID tăng liên tiếp, chúng gửi từ máy 2.5.2 Kiểm chứng giả thuyết tính chất tăng dần giá trị PID Để có thêm sở cứ, tiếp tục xác minh tỷ lệ gói tin có giá trị PID tăng liên tiếp có địa IP nguồn từ 03 tập tin có Để tìm tỷ lệ gói tin có giá trị PID tăng liên tiếp có địa IP nguồn, sử dụng cách làm phương pháp [110] đề xuất Cách làm khác tơi tìm gói tin có giá trị PID 11 tăng liên tiếp từ địa IP nguồn thay tìm gói tin có giá trị PID tăng liên tiếp có IP nguồn khác [110] Tập tin 2-PID 3-PID 4-PID inside.tcpdump 89.6% 84.2% 78.2% outside.tcpdump 88.6% 82.1% 77.3% dhbkdata.pcap 90.6% 89.5% 87.5% Tơi kiểm chứng tỷ lệ gói tin có 02 giá trị tăng liên tục (2-PID); Tỷ lệ gói tin có 03 giá trị tăng liên tục (3-PID); Tỷ lệ gói tin có 04 giá trị tăng liên tục (4-PID) Kết sau: 2.5.3 Phương pháp phát loại bỏ gói tin giả mạo PIDAD1 Q trình thiết lập thông tin đầu vào thực thời điểm hệ thống DDoSDefence bắt đầu phát cơng DDoS Khi đó, khoảng thời gian ngắn phương pháp PIDAD1 thực lấy mẫu gói tin công tới hệ thống để thiết lập tham số thuật toán DBSCAN Phương pháp PIDAD1 tập trung vào việc phát loại bỏ gói tin giả mạo gửi đến hệ thống Việc phát xảy công DDoS dạng TCP Syn Flood, luận án trình bày Quá trình thiết lập thơng tin đầu vào thực sau: Khi hệ thống phát có cơng DDoS xảy ra, phương pháp PIDAD1 thu thập Npc gói tin có địa IP nguồn khác gửi đến hệ thống Sau có Npc gói tin, PIDAD1 áp dụng thuật tốn DBSCAN để tìm Cluster nhóm gói tin có PID tăng liên tiếp Thuật toán DBSCAN áp dụng tham số Eps = 1, để thỏa mãn điều kiện PID tăng liên tiếp đơn vị, MinPts = để thỏa mãn điều kiện có gói tin có PID tăng liên tiếp tạo lên Cluster Do tính chất PID tăng liên tiếp gói tin Cluster, nên Cluster có thành viên (một gói tin thỏa mãn điều kiện thuộc Cluster đó) vị trí core point cập nhật thành vị trí thành viên (border point) để cập nhật trạng thái Cluster giá trị EPID 2.5.4 Phương pháp phát loại bỏ gói tin giả mạo PIDAD2 Phương pháp PIDAD2 cho phép phát loại bỏ nhanh gói tin giả mạo sử dụng công SYN Flood để bảo vệ máy chủ bị công cách thực đồng thời hai việc: 12 - Phát địa IP nguồn tốt, có nhu cầu kết nối, hay khởi tạo kết nối - Phát gói tin giả mạo thông qua lọc PID-Filter Để thực ý đồ này, sử dụng hai bảng liệu lữu trữ địa IP nguồn (có thể kèm thông tin bổ sung): - Bảng I0 để lưu trữ địa IP nguồn tích cực (đã kết nối, có nhu cầu khởi tạo kết nối thực sự), sử dụng phép máy Client xác định hợp lệ kết nối đến hệ thống - Bảng I1 để lưu trữ thông tin địa IP nguồn, giá trị PID thời gian đến gói tin mà chưa xác định gói tin bình thường (tốt) hay gói tin giả mạo (tấn cơng) Trong q trình kiểm tra sau đó, địa IP I1 xác định (âm tính), chuyển sang I0 Sơ đồ hoạt động phương pháp hình đây: Permit Negative Found New Packet I0 Not Found I1 Not Found PID-Filter Positive Deny Có thể có IP giả mạo (tạo ngẫu nhiên) trùng khớp với địa IP I0, xác suất trùng khớp nhỏ Để giảm thiểu ảnh hưởng vấn đề trùng khớp này, IP bảng I0 có ngưỡng thời gian sống định, sau ngưỡng mà hệ thống khơng nhận kết nối thực từ IP IP bị xóa khỏi bảng I0 Một gói tin xác định hợp lệ trường hợp sau (và chuyển từ I1 sang I0): - Trường hợp có gói tin có địa IP nguồn gửi đến hệ thống trước Trường hợp xảy Client yêu cầu kết nối tới máy chủ không hồi đáp nên gửi lại yêu cầu kết nối, (cơ chế tcp retransmission [21]) Hệ thống phát sai gói tin giả mạo gói tin hợp lệ trường hợp địa giả mạo gói tin ngẫu nhiên trùng với địa gói tin gửi đến hệ thống trước Tuy nhiên xác xuất trùng khớp 1/232 cho nguồn gửi gói tin giả mạo - Trường hợp sau khoảng thời gian T (tham số hệ thống chọn trước) cặp (IP, PID) I1 xác định âm tính qua xét nghiệm PID-Filter Mỗi gói tin gửi đến hệ thống xử lý theo bước sau đây: Bước 1: Kiểm tra địa IP nguồn gói tin có bảng I0 hay khơng Nếu có cho gói tin vào hệ thống (chuyển tiếp vào Server) Nếu không sang bước Bước 2: Kiểm tra IP nguồn có bảng I1 hay khơng Nếu có đưa thông tin IP vào bảng I0 (cơ chế tcp retransmission) cho phép gói tin vào hệ thống Nếu không sang bước sau 13 Bước 3: Lưu thông tin (địa IP, giá trị PID, thời gian đến) gói tin thời vào bảng I1 Triệu gọi PID-Filter với giá trị PID Bước 4: Trong q trình thực PID-Filter, có giá trị PID bị phát dương tính thơng tin gói tin tương ứng bị loại bỏ khỏi bảng I1 (song song với việc gói tin bị lọc bỏ, khơng vào tới máy chủ bên trong) Bước 5: Nếu PID-Filter báo âm tính, thơng tin tương ứng với giá trị PID chuyển khỏi bảng I1 đưa vào bảng I0 2.5.5 Phương pháp xác thực địa IP nguồn 2.6 Đánh giá thực nghiệm ISP01 ISP01 ISP01 ISP01 ISP01 C&C Server ISP01 Router Core Core Internet Router Core Router Core Web Server ISP01 Router Core ISP01 ISP01 ISP04 ISP02 ISP03 Để đánh giá thực nghiệm, xây dựng mạng botnet môi trưởng ảo 03 máy chủ vật lý có cấu hình cao Hệ thống thực nghiệm có quy mơ bao gồm 13 Router Cisco 45 máy tính Client, cài đặt hệ điều hành WinXP Centos Các máy tính cho lây nhiễm mã độc chịu điều khiển máy chủ C&C máy chủ để thực công TCP Syn Flood vào Web Server Các Router thiết lập môi trường ảo sử dụng phần mềm GNS3 [81] với dòng Router Cisco 7200, sử dụng IOS c7200-adventerprisek9-mz.124-24.T.bin Về chế hoạt động mạng botnet sau: Các máy Client bị nhiễm mã độc định kỳ 03s, truy cập thông tin điều khiển từ C&C máy chủ thông qua giao thức http địa chỉ: http://lab.ais.gov.vn/ddos-control.txt Cấu trúc lệnh điều khiển sau: Dạng công Địa công Cổng dịch vụ Trạng thái điều khiển synflood 103.192.237.100 80 Enable/disable Với cấu trúc lệnh trên, Các máy Client thực công dạng TCP Syn Flood với địa IP nguồn giả mạo ngẫu nhiên địa máy 103.192.237.100 với cổng dịch vụ 80 Để có liệu kiểm thử, thực công giả lập vào máy chủ khoảng thời gian 03 phút Tại Web Server, tơi thực lấy mẫu gói tin SYN gửi đến máy chủ sử dụng công cụ Tcpdump với câu lệnh: tcpdump -i ens32 tcp port 80 and 14 "tcp[tcpflags] & (tcp-syn|tcp-ack)! = 0" -n -p and ip dst 103.192.237.100 -w synflood-attack.pcap Kết Web Server, thu 145.377 gói tin Syn lưu tệp tin synflood-attack.pcap [115] Để có sở đánh giá thực nghiệm, gói tin SYN phân làm hai nhóm, nhóm gói tin cơng nhóm gói tin bình thường Nhóm gói tin bình thường nhóm gói tin có địa IP nguồn địa IP máy Client, nằm dải địa 103.192.237.0/24 Các gói tin sinh máy Client truy cập trang Web Web Server Nhóm gói tin cơng gói tin có địa IP khơng nằm dải địa có giá trị ngẫu nhiên 2.6.2 Đánh giá thực nghiệm cho phương pháp PIDAD1 PIDAD2 100 200 150 Time(s) 100 50 DR(%) 50 145377 121147 96918 72688 48459 24229 PIDAD1 24229 48459 72688 96918 121147 145377 PIDAD1 PIDAD2 Số lượng gói tin nhận PIDAD2 Số lượng gói tin nhận 2.6.3 So sánh hiệu phương pháp PIDAD2 với phương pháp khác 100 DR(%) 50 FP(%) 0.5 C4.5 C4.5 24229 48459 72688 96918 121147 145377 24229 48459 72688 96918 121147 145377 PIDAD2 Số lượng gói tin nhận PIDAD2 Số lượng gói tin nhận CHƯƠNG III PHỊNG CHỐNG TẤN CÔNG LỚP ỨNG DỤNG WEB Trong chương này, tập trung nghiên cứu đưa phương pháp phòng chống cơng Web App-DDoS, bao gồm nội dung sau: 3.1 Giới thiệu tốn Ứng dụng Web ứng dụng phổ biến để cung cấp dịch vụ mạng nhiều loại hình ngành nghề lĩnh vực khác như: Kinh tế, Chính trị, Tài chính, Thương mại điện tử, Giao thơng vận tải Phần lớn ứng dụng Web cung cấp dịch vụ qua môi trường mạng Internet sử dụng giao thức HTTP/HTTPS Do đó, ngồi phải đối mặt với dạng cơng mạng khác (SQL Injection, XSS…) ứng dụng Web phải dạng cơng DDoS Để thực công DDoS vào ứng dụng Web (Web App-DDoS), hình thức cơng TCP Syn Flood, tin tặc lợi dụng mạng botnet để gửi tràn ngập yêu cầu tới máy chủ làm máy chủ tải rơi vào trạng thái từ chối dịch vụ Tin tặc thường cố tình tạo yêu cầu có thực, giống yêu cầu gửi từ máy tính bình thường để vượt qua thiết bị bảo mật Firewall IDS/IPS 15 Để giải tốn thứ hai, tơi đề xuất phương pháp phát nhanh nguồn gửi yêu cầu công Web App-DDoS công xảy nghiên cứu [111] Đề xuất đưa mơ hình mở cho phép kết hợp, bổ sung nhiều tiêu chí khác để phát xác định nguồn gửi u cầu cơng Trong đó, có tiêu chí cho phép phát nguồn gửi yêu cầu công mà trải qua trình máy học/huấn luyện phương pháp khác Kết nghiên cứu công bố Hội nghị SoICT năm 2017 Sau luận án Hội đồng đánh giá cấp sở thông qua, tiếp tục nghiên cứu, đề xuất phương pháp, thuật tốn cụ thể cho 02 tiêu chí tơi sử dụng nghiên cứu [111] Cụ thể: Đối với tiêu chí tần suất truy nhập, tơi đề xuất giải pháp cho phép tìm tần suất truy cập từ IP nguồn gửi yêu cầu theo thời gian thực Giải pháp đề xuất cần tài nguyên để lưu trữ xử lý Tần suất xác định liệu đầu vào cho thuật toán tiêu chí tần suất Bên cạnh đó, nghiên cứu đề xuất giải pháp để xác định nguồn gửi yêu cầu công thay cho giải pháp sử dụng DBSCAN nghiên cứu [111] Tơi trình bày cụ thể tiêu chí mục 3.5.4.1 Kết nghiên cứu gửi đăng Hội nghị IEEE RIVF 2019 Đối với tiêu chí mối quan hệ tương quan yêu cầu gửi đến máy chủ từ nguồn, đưa giải pháp để thiết lập tập yêu cầu tương quan trình huấn luyện (training) Tập yêu cầu tương quan thiết lập dựa điều kiện để bảo đảm tập yêu cầu tin tặc khó để đưa yêu cầu sai lệch vào tập liệu trình huấn luyện Kết nghiên cứu tơi chuẩn bị gửi đăng Tạp chí Khoa học Công nghệ Tôi đề xuất phương pháp phát công Web App-DDoS trình độc lập với q trình xử lý cơng, cho phép tối ưu tăng tốc độ xử lý tồn giải pháp phòng chống cơng DDoS đề xuất Trong chương này, luận án tập trung trình bày nội dung sau: Tổng quan cơng Web App-DDoS phương pháp phòng chống Mơ hình, phương pháp phòng chống cơng Web App-DDoS Phát cơng Web App-DDoS Phòng chống công Web App-DDoS sử dụng phương pháp FDDA Đánh giá thực nghiệm 3.2 Tổng quan công Web App-DDoS Tấn công Web App-DDoS dạng cơng vào lớp ứng dụng Một hình thức công Web App-DDoS phổ biến, thực thông qua việc tin tặc sử dụng mạng botnet để gửi tràn ngập yêu cầu HTTP tới máy chủ Khác với dạng công TCP Syn Flood đề cập chương 2, dạng công giả mạo địa IP nguồn Bởi vì, để máy tin tặc gửi yêu cầu tới máy chủ kết nối mạng phải thiết lập (phải hồn thiện q trình bắt tay bước giao thức TCP) sử dụng IP thực Do đó, để thực công Web App-DDoS, tin tặc phải sử dụng mạng botnet lớn có nhiều thành viên Dạng cơng Web App-DDoS dạng công làm cạn kiệt tài nguyên máy chủ mà dạng công DDoS làm cạn kiệt lực xử lý hạ tầng mạng Để thực công, tin tặc gửi tràn ngập yêu cầu tới Server Các yêu cầu u cầu có thực giống hồn tồn với yêu cầu bình thường gửi 16 từ máy người sử dụng bình thường Lý tin tặc sử dụng yêu cầu bình thường để vượt qua kiểm soát thiết bị bảo vệ Tài nguyên băng thông sử dụng công Web App-DDoS khơng u cầu lớn hình thức công DDoS vào hạ tầng mạng Đối với hình thức cơng DDoS vào hạ tầng mạng, tin tặc thường gửi số lượng lớn gói tin UDP có kích thước lớn để làm cạn kiệt băng thơng kết nối mạng (hình thức cơng DDoS Volumetric) Đối với dạng cơng Web App-DDoS, tin tặc sử dụng cách thức gửi u cầu có kích thước nhỏ liên tục, đặn với tốc độ chậm, làm máy chủ phải giữ phục vụ yêu cầu gửi đến mà không kết thúc phiên làm việc khiến cho máy chủ cạn kiệt tài ngun Hình thức cơng khơng u cầu băng thơng lớn hình thức cơng DDoS Volumetric Tấn cơng Web App-DDoS thực nhiều hình thức tinh vi khác để vượt qua hệ thống phòng thủ như: Session flooding attacks - dạng công này, tin tặc gửi số lượng lớn phiên kết nối tới Server; Request flooding attacks - dạng công này, tin tặc gửi số lượng lớn yêu cầu phiên kết nối tới Server; Asymmetric attacks - dạng công này, tin tặc gửi phiên kết nối có yêu cầu làm máy chủ tiêu tốn nhiều tài nguyên để xử lý; Slow request/response attacks - tương tự dạng công Asymmetric attacks, tin tặc gửi phiên kết nối có yêu cầu làm máy chủ tiêu tốn nhiều tài nguyên để xử lý Khi tin tặc sử dụng u cầu có thực để thực cơng Web App-DDoS, từ phía máy chủ khó để phân biệt yêu cầu yêu cầu gửi từ máy bình thường Đặc biệt, cơng DDoS xảy ra, số lượng yêu cầu gửi đến máy chủ lớn, làm máy chủ khó khăn việc phát yêu cầu gửi từ mạng botnet Ứng dụng Web ứng dụng có đặc trưng liệu cho ứng dụng Web thay đổi thường xuyên Tần suất truy nhập ứng dụng Web phụ thuộc vào nội dung mà ứng dụng cung cấp Khi có nội dung mới, quan tâm nhiều người sử dụng, tần suất truy cập ứng dụng Web tăng đột biến, giống bị công Đây vấn đề cần giải để phân biệt trường hợp với cơng thực Những điểm yếu an tồn thơng tin hệ điều hành, ứng dụng thiết bị IoT xuất ngày nhiều, điều dẫn tới việc lợi dụng điểm yếu để khai thác chiếm quyền điều khiển phát tán mã độc trở nên dễ dàng cho tin tặc Từ đó, tin tặc xây dựng mạng botnet lớn thực nhiều hình thức cơng DDoS tinh vi khác 3.3 Mơ hình, phương pháp phòng chống cơng Web App-DDoS 3.3.1 Mơ hình tổng thể thành phần Đối với chức phòng chống cơng Web App-DDoS thành phần tương đương với thành phần phòng chống cơng TCP Syn Flood cài đặt song song hệ thống DDoS-Defence 17 Dữ liệu thu thập từ Sniffer IF thông qua Network-Tap sử dụng đồng thời hai thành phần để phát phòng chống công TCP Syn Flood công Web App-DDoS tùy theo chức thành phần 3.3.2 Nguyên lý hoạt động Thành phần Web App-DDoS Defence có hai chức chính: Phát cơng DDoS (DDoS Detection) Phòng chống cơng DDoS (DDoS Prevention) thơng qua việc tìm nguồn gửi u cầu cơng để cập nhật vào Black-List hình đây: WEB APP-DDOS DEFENCE MODULE Loop Delay Input Data White List Attack Status Check Coming Requests Update Update DDoS Detection DDoS Prevention Update Black List Lý phân tách chức phát phòng chống thành hai chức độc lập khác với nghiên cứu liên quan đến phòng chống cơng Web App-DdoS mục 3.2.3 vì: Q trình phát cơng phòng chống cơng thực độc lập tối ưu hiệu hiệu Tài nguyên hệ thống dành cho chức DDoS Detection tài nguyên hệ thống dành cho chức DDoS Prevention Do đó, chức DDoS Detection thực liên tục để kiểm tra máy chủ có bị công hay không chức DDoS Prevention kích hoạt chức phát phát công Thêm nữa, việc xây dựng chức DDoS Detection DDoS Prevention độc lập cho phép xây dựng giải pháp/thuật toán riêng biệt cho chức giúp hiệu phát phòng chống cơng DDoS Trên sở đó, thành phần Web App-DDoS Defence xây dựng dựa hai thức DDoS Detection DDoS Prevention độc lập, có nguyên lý hoạt động sau: Khi hệ thống hoạt động trạng thái bình thường, hệ thống DDoS-Defence theo dõi thụ động kết nối mạng để thu thập thông tin truy cập ứng dụng Web lưu trữ CSDL 3.4 Phát công Web App-DDoS Như phân tích trên, chức DDoS Detection xây dựng để phát xảy công DDoS vào Web Server Khi công xảy trạng thái Attack Status thiết lập để kích hoạt chức DDoS Prevention Như tơi phân tích trên, mục đích việc phân tách q trình phát phòng chống làm hai giai đoạn khác nhằm tối ưu tăng mức độ xác giải pháp tổng thể Việc phát công Web App-DDoS dùng tiêu chí đơn giản để xác định công xảy Trong giai đoạn phát hiện, chưa quan tâm đến việc xử lý công mà quan tâm đến việc có cơng xảy 18 hay khơng Trong giai đoạn phòng chống, tơi áp dụng tiêu chí, thuật tốn phức tạp để xác định nguồn gửi công để đưa vào Black-List nguồn để đưa vào White-List Chức phòng chống kích hoạt hệ thống thiết lập trạng thái bị công Việc tối ưu hiệu xử lý công DDoS chưa xảy Tấn công Web App-DDoS phát dựa vào tập tiêu chí mơ tả hình sau Coming Requests Input Data Set of Criteria Update Attack Status Loop Delay Để phát công Web App-DDoS, định kỳ sau khoảng thời gian ∆t (được thiết lập trước), liệu CSDL (dữ liệu lưu CSDL có cấu trúc mơ tả hình 24) có thời gian khoảng ∆t tính từ thời điểm lấy liệu lấy để kiểm tra xem máy chủ có bị cơng hay không Dữ liệu sử dụng làm thông tin đầu vào cho tiêu chí phát công Nếu liệu đầu vào thỏa mãn tiêu chí máy chủ cho cơng 3.5 Phòng chống cơng Web App-DDoS sử dụng phương pháp FDDA 3.5.1 Ý tưởng phương pháp FDDA Ý tưởng phương pháp FDDA cơng xảy ra, u cầu gửi đến máy chủ bao gồm yêu cầu cơng u cầu bình thường Trong u cầu cơng chiếm phần lớn Do đó, vấn đề mà phương pháp FDDA phải xử lý tìm nguồn gửi cơng để đưa vào Black-List nguồn gửi bình thường để đưa vào White-List Để phân biệt yêu cầu công u cầu người sử dụng bình thường, tơi sử dụng tập tiêu chí để loại bỏ nguồn gửi u tần cơng có tần suất cao xác minh nguồn gửi yêu cầu bình thường phép kết nối vào hệ thống Ý tưởng phương pháp FDDA mô tả hình đây: Filter & Check Coming Requests Input Data Set of Criteria Update Black List Loop Delay Trong nghiên cứu này, phương pháp FDDA sử dụng hai tiêu chí: a) Tiêu chí tần suất truy cập: Tiêu chí tần suất truy cập áp dụng phổ biến phương pháp phòng chống cơng DDoS Đối với phương pháp FDDA, tiêu chí 19 tần suất truy cập sử dụng để tìm nhanh nguồn gửi u cầu cơng có cường độ cao chặn lại (Tiêu chí bày cụ thể phần 3.5.4) Đối với nguồn gửi yêu cầu cơng có cường độ gửi u cầu thấp khơng thể xác định dựa vào tiêu chí tần suất truy cập tiếp tục kiểm tra qua tiêu chí thứ hai tương quan b) Tiêu chí tương quan: Tiêu chí xây dựng dựa ý tưởng quan sát tập yêu cầu nhận từ máy tính người dùng bình thường chúng có mối quan hệ tương quan ngẫu nhiên định Trong yêu cầu nhận từ máy công có đặc trưng riêng khác với bình thường (Ví dụ máy gửi lặp lặp lại yêu cầu hay nhóm yêu cầu theo lệnh điều khiển máy chủ C&C) Do đó, hệ thống hoạt động trạng thái bình thường, chưa xảy cơng, tơi tìm cách xây dựng tập liệu tương quan (được bày cụ thể phần 3.5.5) cho phép xác định nguồn gửi yêu cầu cơng u cầu bình thường nguồn gửi yêu cầu không xác định tiêu chí tần suất 3.5.4 Tiêu chí tần suất truy cập Ý tưởng để xây dựng tiêu chí tơi quan sát trường hợp máy tính cơng điều khiển thơng qua máy chủ C&C để thực cơng tần suất cao đồng định, chúng nhận lệnh điều khiển giống từ máy chủ C&C Trong máy tính bình thường tần suất gửi khơng đồng với máy tính lại Ví dụ hình đây: Vấn đề đặt việc xây dựng tiêu chí làm để xác định tần suất gửi yêu cầu theo thời gian thực srcIP số lượng yêu cầu gửi đến hệ thống lớn công xảy Để giải vấn đề này, đề xuất giải pháp cho phép xác định tần suất truy cập srcIP theo thời gian thực mà cần khơng gian lưu trữ thời gian xử lý Đề xuất đóng góp tơi phương pháp tổng thể FDDA 3.5.5 Xây dựng tiêu chí tương quan phương pháp FDDA Tiêu chí tương quan SAT2 xây dựng dựa ý tưởng với người dùng bình thường truy cập ứng dụng Web họ truy cập nội dung khác máy chủ (lướt web) Do đó, quan sát phía máy chủ, thấy mối quan hệ tương quan yêu cầu gửi tới máy chủ từ IP nguồn Ví dụ người dùng gửi yêu cầu rA đến máy chủ họ gửi yêu cầu rB đến máy chủ 20 Vấn đề đặt làm để xây dựng tập liệu tương quan để đảm bảo tin tặc khó cố tình đưa yêu cầu sai lệch đến máy chủ trình hoạt động bình thường sử dụng tập u cầu q trình cơng Để giải vấn đề này, trình hoạt động bình thường, tơi đưa tập tiêu chí áp dụng IP nguồn gửi yêu cầu tập yêu cầu gửi từ IP nguồn Chỉ IP nguồn yêu cầu thỏa mãn đồng thời điều kiện đưa vào xây dựng tập yêu cầu tương quan sử dụng thuật toán Association Rule 3.5.5 Thuật toán xử lý công phương pháp FDDA Trong phần này, luận án trình bày phương pháp FDDA cách tổng thể chu trình hồn thiện để phát nhanh loại bỏ nguồn gửi yêu cầu công đến máy chủ R(i) Time Delay Control F(t) DInp Get (R(i) If(i) FT For each R(k) in RA DSus Yes Call SAT1 (R(k), C) No Call SAT2 Yes (R(k), FA) No Delete (S(s,i),R(i),f(i)) from DSus Delete (S(s,i),R(i),f(i)) from DSus Update White-List Black-List Sau khoảng thời gian ∆Ts, kiểm tra xem với yêu cầu DT có yêu cầu vượt ngưỡng FT hay không Mỗi yêu cầu DInp gửi đến hệ thống với tần số > FT đưa vào DSus Tập yêu cầu khác DSus tập yêu cầu nghi ngờ công cần xác minh RA Mỗi yêu cầu tập RA gửi từ nhiều IP nguồn khác Trong IP nguồn gửi yêu cầu có IP nguồn cơng IP nguồn bình thường Do đó, chúng tơi phải tìm cách loại bỏ u cầu bình thường dựa vào tiêu chí sau: Sử dụng tiêu chí tần suất SAT1: Xác định loại bỏ nguồn gửi yêu cầu lặp lại tần suất lớn Sử dụng tiêu chí tương quan SAT2: Xác định nguồn gửi u cầu bình thường u cầu cơng theo thuật toán FDDA-SAT2 Các IP nguồn White-List cho phép kết nối vào hệ thống Black-List bị ngăn chặn 3.6 Đánh giá thực nghiệm 21 3.6.1 Tạo liệu thử nghiệm Dữ liệu kiểm thử tạo từ môi trường ảo đề cập mục 2.6.1 sau: Các máy Client bị nhiễm mã độc định kỳ 1s, truy cập thông tin điều khiển từ C&C máy chủ thông qua giao thức http địa chỉ: http://lab.ais.gov.vn/ddos-control.txt Cấu trúc lệnh điều khiển sau: Dạng công Địa công Cổng dịch vụ Trạng thái điều khiển webattack URL công 80 Enable/disable Với cấu trúc lệnh trên, Các máy Client thực công dạng Web App-DDoS với địa URL nhận từ C&C Server Trong thực nghiệm này, tơi thiết lập URL đích cơng là: http://sdh.hust.edu.vn/home/Default.aspx?scid=29&CategoryID=135 Sau thực công giả định khoảng thời gian 03 phút, thu tập liệu lưu trữ dạng PCAP có 66.851 gói tin [112] CSDL thu có cấu trúc bảng 3.1 bao gồm 1.310 yêu cầu, có u cầu cơng u cầu bình thường lưu trữ CSDL MySQL [113] Để đánh dấu nguồn gửi yêu cầu công phục vụ việc đánh giá thử nghiệm, yêu cầu gửi từ địa IP mạng botnet (trong mơ hình thử nghiệm mơi trường ảo) đánh dấu nguồn gửi yêu cầu công Các IP nguồn khác không nằm dải địa IP mạng botnet đánh dấu nguồn gửi yêu cầu bình thường 3.6.2 Đánh giá thử nghiệm phương pháp FDDA Tôi thực đánh giá thực nghiệm với tập liệu [112] sử dụng tham số sử dụng sau: Ngưỡng phát yêu cầu nghi ngờ công FT (requests/second) Số lượng yêu cầu tập DSus Số lượng yêu cầu nghi ngờ công tập RA Tỷ lệ phát nguồn gửi công: Detection Rate - DR Tỷ lệ phát nhầm nguồn bình thường cơng: False Positive - FP Kết thực nghiệm cho thấy phương pháp tơi có tỷ lệ phát cao bảng đây: FT DSus RA DR FP 50 250 185 75.32% 1.28% 100 500 365 92.56% 1.11% 150 750 668 94.08% 0.89% 200 1000 897 88.75% 1.47% 300 1310 863 67.89% 1.49% Kết so sánh hiệu phát công: Methods Detection Rate False Positive KNN [5] 89.03% 1.03% NB [7] 92.47% 1.47% FDDA 93.75% 0.89% 22 Kết so sánh thời gian xử lý 140 120 100 80 Time(s) 60 40 20 KNN NB PIDAD2 250 500 750 1000 1310 Số lượng yêu cầu nhận Kết cho thấy, tập liệu kiểm thử, phương pháp FDDA có tỷ lệ phát yêu cầu công cao (Detection Rate - 93.75%) tỷ lệ phát nhầm u cầu bình thường u cầu cơng (False Positive - 0.89%) so với hai phương pháp so sánh KẾT LUẬN VÀ ĐỀ XUẤT Kết luận Tôi thấy rằng, luận án cơng trình nghiên cứu có ý nghĩa khoa học thực tiễn a) Về ý nghĩa khoa học: Luận án đóng góp thêm tối thiểu 05 cơng trình nghiên cứu (đã gửi đăng thêm 02 cơng trình nghiên cứu Hội nghị IEEE RIVF 2019 Tạp chí Khoa học Cơng nghệ) Những cơng trình có tính mở để tiếp tục phát triển mở rộng hướng nghiên cứu khác Cụ thể: Đề xuất phương pháp việc phát loại bỏ gói tin giả mạo công TCP Syn Flood Đề xuất mô hình phòng chống cơng cơng Web App-DDoS, có tính mở, cho phép kết hợp nhiều tiêu chí để làm tăng hiệu quả, mức độ xác việc phát phòng chống cơng Xây dựng 02 tiêu chí cho phép loại bỏ nhanh nguồn gửi yêu cầu công xác minh nguồn gửi u cầu bình thường cơng cơng Web App-DDoS Các thuật toán xây dựng cho phép xử lý nhanh số lượng lớn yêu cầu gửi đến máy chủ cần tài nguyên lưu trữ thời gian xử lý Xây dựng tập liệu kiểm thử cho hai dạng cơng có đặc trưng riêng TCP Syn Flood công Web App-DDoS hệ thống mạng xây dựng môi trường ảo hóa b) Về nghĩa thực tiễn: Kết nghiên cứu luận án đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 “Xây dựng hệ thống xử lý công từ chối dịch vụ mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường nguy an tồn thơng tin Chính phủ điện tử” với nội dung nghiên cứu phát triển, đề 23 xuất kỹ thuật mới/cải tiến cho phát dấu hiệu công DoS/DDoS, cơng APT dựa phân tích liệu log truy cập Trong trình thực nhiệm vụ đề tài nghiên cứu khoa học, xây dựng hệ thống phòng chống công DDoS thực triển khai thử nghiệm trường Đại học Bách Khoa Hà Nội Bên cạnh đó, tơi xây dựng mạng botnet mơi trưởng ảo hóa cho phép thực nhiều hình thức cơng DDoS khác để tạo liệu kiểm thử cho nghiên cứu khác Tôi tải lên trang mạng trực tuyến địa tải liệu kiểm thử phần phụ lục luận án Kiến nghị, đề xuất Tấn công DDoS dạng công nguy hiểm với nhiều hình thức cơng khác mà tin tặc sử dụng Trong nghiên cứu này, tơi tập trung giải hai dạng công DDoS phổ biến TCP Syn Flood Web App-DDoS Đây hai dạng cơng có đặc trưng riêng nên nên việc đề xuất phương pháp phòng chống hiệu thách thức với nhiều nhà nghiên cứu Do đó, tơi thấy rằng, cần tiếp tục nghiên cứu để đưa phương pháp phòng chống tối ưu hiệu phòng chống dạng công DDoS khác Tuy nhiên, phạm vi điều kiện thời gian, kinh tế công việc, tơi có đóng góp định khoa học thực tiễn nghiên cứu Trên sở đó, tơi xin kiến nghị, đề xuất Hội đồng tạo điều kiện giúp đỡ góp ý hồn thiện thơng qua luận án Xin trân thành cảm ơn! 24 ... chuyên sâu: Phát phòng chống số dạng công từ chối dịch vụ phân tán Kết nghiên cứu trình bày luận án NCS thực hướng dẫn tập thể hướng dẫn Sau đây, để thuận tiện cho việc trình bày luận án, tác giả... quan công từ chối dịch vụ phân tán DDoS; Các dạng công DDoS phổ biến; Các công cụ công DDoS phổ biến; Những thách thức việc phát phòng chống cơng DDoS; Tổng quan phương pháp phòng chống. .. cơng phòng chống cơng DDoS; Phát phòng chống công TCP Syn Flood (dạng công gửi tràn ngập gói tin khởi tạo kết nối giả mạo địa IP nguồn, xảy lớp mạng); Phát phòng chống cơng Web App-DDoS (dạng công