BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Trần Mạnh Thắng PHÁT HIỆN VÀ PHÒNG CHỐNG MỘT SỐ DẠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Ngành: Kỹ thuật phần mềm Mã số: 9480103 LUẬN ÁN TIẾN SĨ KỸ THUẬT PHẦN MỀM NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang Hà Nội - 2019 LỜI CAM ĐOAN Tôi xin cam đoan tất nội dung luận án “Phát phòng chống số dạng công từ chối dịch vụ phân tán” công trình nghiên cứu riêng tơi hướng dẫn tập thể hướng dẫn Các số liệu, kết luận án trung thực chưa tác giả khác cơng bố cơng trình Việc tham khảo nguồn tài liệu thực trích dẫn ghi nguồn tài liệu tham khảo quy định Hà Nội, ngày 10 tháng năm 2019 Tập thể hướng dẫn PGS.TS Nguyễn Khanh Văn Nghiên cứu sinh PGS.TS Nguyễn Linh Giang i Trần Mạnh Thắng LỜI CẢM ƠN Trước hết, xin trân trọng cảm ơn Trường Đại học Bách Khoa Hà Nội, Phòng Đào tạo, Viện Công nghệ thông tin Truyền thông, thầy cô bạn tạo điều kiện thuận lợi đóng góp nhiều ý kiến quý báu giúp tơi hồn thành luận án Đặc biệt, tơi xin bày tỏ lòng biết ơn chân thành sâu sắc đến hai Thầy hướng dẫn khoa học, PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang hết lòng hướng dẫn, giúp đỡ tạo điều kiện thuận lợi cho tơi suốt q trình thực luận án Tơi xin cảm ơn gia đình người thân bên tôi, ủng hộ động viên suốt q trình nghiên cứu Tơi xin chân thành cảm ơn! Hà Nội, ngày 10 tháng năm 2019 Nghiên cứu sinh Trần Mạnh Thắng ii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT vii DANH MỤC CÁC BẢNG viii DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ ix DANH MỤC CÁC THUẬT TOÁN x MỞ ĐẦU 1 Tính cấp thiết đề tài Đối tượng nghiên cứu phương pháp nghiên cứu Nội dung nghiên cứu Ý nghĩa khoa học ý nghĩa thực tiễn luận án 5 Điểm luận án 6 Cấu trúc luận án CHƯƠNG TỔNG QUAN VỀ TẤN CƠNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS 1.1 Tổng quan cơng từ chối dịch vụ phân tán DDoS 1.2 Các dạng công DDoS phổ biến 11 1.2.1 Tấn công DDoS lớp mạng 11 1.2.2 Tấn công DDoS vào lớp ứng dụng 11 1.3 Các công cụ công DDoS phổ biến 13 1.3.1 Kênh điều khiển qua giao thức gửi nhận tin nhắn IRC 13 1.3.2 Kênh điều khiển qua giao thức HTTP 14 1.4 Những thách thức việc phát phòng chống công DDoS 14 1.5 Tổng quan phương pháp phịng chống cơng DDoS 16 1.5.1 Nhóm phương pháp phịng chống cơng lớp mạng 17 1.5.1.1 Nhóm phương pháp áp dụng gần nguồn công 17 1.5.1.2 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 17 1.5.1.3 Nhóm phương pháp áp dụng hạ tầng mạng trung gian 18 1.5.1.4 Nhóm phương pháp kết hợp 18 1.5.2 Nhóm phương pháp phịng chống công lớp ứng dụng 19 iii 1.5.2.1 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 19 1.5.2.2 Nhóm phương pháp kết hợp 19 1.5.3 Nhóm phương pháp theo giai đoạn phòng chống 20 1.5.3.1 Giai đoạn phòng thủ 20 1.5.3.2 Giai đoạn phát công 20 1.5.3.3 Giai đoạn xử lý công 20 1.5.4 Phân tích lựa chọn phương pháp theo vị trí triển khai 21 1.5.5 Các nghiên cứu liên quan đến phịng chống cơng TCP Syn Flood 22 1.5.5.1 Nhóm phương pháp dựa vào chế nhận dạng đường 22 1.5.5.2 Nhóm phương pháp dựa vào chế lịch sử truy cập 23 1.5.5.3 Nhóm phương pháp dựa vào chế nhận dạng đường 23 1.5.5.4 Nhóm phương pháp dựa vào chế xác thực nguồn 25 1.5.5.5 Đánh giá điểm hạn chế nhóm phương pháp đề xuất giải pháp 25 1.5.6 Các nghiên cứu liên quan đến phòng chống cơng Web App-DDoS 26 1.5.6.1 Nhóm phương pháp sử dụng thuật tốn phân nhóm 26 1.5.6.2 Nhóm phương pháp thống kê 27 1.5.6.3 Phương pháp mô tả hành vi người dùng từ log truy cập 27 1.5.6.4 Đánh giá điểm hạn chế nhóm phương pháp đề xuất giải pháp 28 1.6 Nghiên cứu tiêu chí đánh giá hiệu phương pháp 28 1.7 Nghiên cứu, khảo sát đánh giá thực nghiệm 30 1.7.1 Khảo sát tập liệu đánh giá thực nghiệm 30 1.7.2 Đánh giá thực nghiệm với công TCP Syn Flood Web App-DDoS 32 1.8 Kết luận chương 34 CHƯƠNG PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYN FLOOD 35 2.1 Khái quát toán 35 2.1.1 Giới thiệu toán phương pháp đề xuất 35 2.1.2 Về hạn chế phương pháp giải 36 2.2 Tổng quan dạng công TCP Syn Flood 37 2.3 Mơ hình triển khai phương pháp phát phịng chống cơng TCP Syn Flood 39 2.3.1 Mơ hình tổng thể thành phần 40 2.3.2 Nguyên lý hoạt động 41 2.4 Phát công TCP Syn Flood 41 iv 2.5 Phát loại bỏ gói tin giả mạo công DDoS TCP Syn Flood 43 2.5.1 Đặc trưng gói tin IP gửi từ máy nguồn 43 2.5.2 Kiểm chứng giả thuyết tính chất tăng dần giá trị PID 44 2.5.2.1 Kiểm chứng giả thuyết PID dựa quan sát ngẫu nhiên 45 2.5.2.2 Kiểm chứng giả thuyết PID toàn tập liệu thu 46 2.5.3 Giải pháp phát loại bỏ gói tin giả mạo PIDAD1 47 2.5.3.1 Thuật toán DBSCAN 47 2.5.3.2 Giải pháp PIDAD1 48 2.5.4 Giải pháp phát loại bỏ gói tin giả mạo PIDAD2 51 2.5.4.1 Cơ chế thuật tốn lọc bỏ nhanh gói tin giả mạo 51 2.5.4.2 Tăng tốc độ xử lý giải pháp PIDAD2 với thuật toán Bloom Filter 55 2.5.5 Phương pháp xác thực địa IP nguồn 56 2.6 Đánh giá thực nghiệm 58 2.6.1 Xây dựng mô hình liệu đánh giá thực nghiệm 58 2.6.2 Đánh giá thực nghiệm cho giải pháp PIDAD1 PIDAD2 60 2.6.2.1 Giải pháp PIDAD1 60 2.6.2.2 Giải pháp PIDAD2 61 2.6.2.3 So sánh hiệu giải pháp PIDAD1 PIDAD2 62 2.6.3 So sánh hiệu giải pháp PIDAD2 với giải pháp khác 63 2.7 Kết luận chương 66 CHƯƠNG PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG WEB APP-DDOS 67 3.1 Giới thiệu toán 67 3.2 Tổng quan công Web App-DDoS 68 3.2.1 Ứng dụng Web 68 3.2.1.1 Máy chủ Web 68 3.2.1.2 Nguyên lý hoạt động 68 3.2.1.3 Giao thức HTTP 68 3.2.2 Đặc trưng thách thức phịng chống cơng Web App-DDoS 69 3.1.2.1 Một số đặc trưng công Web App-DDoS 69 3.2.2.2 Vấn đề khó khăn phịng, chống cơng Web App-DDoS 70 3.3 Phịng chống công Web App-DDoS với phương pháp FDDA 71 3.3.1 Ý tưởng phương pháp FDDA 71 v 3.3.2 Các tham số sử dụng phương pháp FDDA 72 3.3.3 Tiêu chí tần suất truy cập 73 3.3.3.1 Xác định tần suất gửi yêu cầu từ IP nguồn theo thời gian thực 74 3.3.3.2 Xác định địa IP nguồn gửi tần xuất đồng tần suất cao 79 3.3.4 Xây dựng tiêu chí tương quan phương pháp FDDA 80 3.3.4.1 Xây dựng tập liệu tương quan 81 3.3.4.2 Phát nguồn gửi công sử dụng tập liệu tương quan 83 3.3.5 Thuật toán xử lý công phương pháp FDDA 84 3.4 Đánh giá thực nghiệm 85 3.4.1 Tạo liệu thử nghiệm 85 3.4.2 Đánh giá thử nghiệm phương pháp FDDA 87 3.4.3 So sánh hiệu phương pháp FDDA với phương pháp khác 88 3.5 Kết luận chương 88 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 89 Kết Bàn luận 89 1.1 Kết đạt 89 1.2 Bàn luận 90 Hướng nghiên cứu 91 Kiến nghị đề xuất 93 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN 94 TÀI LIỆU THAM KHẢO 95 vi DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT STT Chữ viết tắt Tiếng Anh Tiếng Việt ATTT An toàn thông tin AS Autonomous System Hệ tự trị CSDL Database Cơ sở liệu CNTT Công nghệ thông tin CNPM Công nghệ phần mềm OSI Open Systems Interconnection Mơ hình tham chiếu kết nối hệ thống mở DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DBSCAN Density-based spatial clustering of applications with noise Thuật tốn gom nhóm phần tử dựa mật độ IP Internet Protocol Giao thức Internet 10 ISP Internet service provider Nhà cung cấp dịch vụ Internet 11 TCP Transmission Control Protocol Giao thức điều khiển truyền vận 12 TTL Time to Live Thời gian sống gói tin 13 RTT Round Trip Time Thời gian trễ trọn vòng 14 MSS Maximum Segment Size Kích thước tối đa đoạn 15 DF Do not Fragment Gói tin khơng phân mảnh 16 TL Total length Chiều dài gói tin 17 FDDA Framework for Fast Detecting Source Attack In Web Application DDoS Attack Phương pháp FDDA 18 IRC Internet Relay Chat Giao thức gửi nhận tin nhắn 19 IoT Internet of Things Internet kết nối vạn vật 20 KNN K-Nearest Neighbors Thuật toán KNN 21 NB Naive Bayes Thuật toán NB vii DANH MỤC CÁC BẢNG Bảng 1.1 So sánh hiệu phương pháp phịng chống cơng lớp mạng 22 Bảng 1.2 So sánh hiệu phương pháp phịng chống cơng lớp ứng dụng 22 Bảng 1.3 Bảng tiêu chí đánh giá hiệu phịng thủ 29 Bảng 1.4 Bảng thông tin tập liệu kiểm thử 30 Bảng 2.1 Kiểm chứng giá trị PID tập liệu DARPA 46 Bảng 2.2 Kiểm chứng giá trị PID tập liệu ĐHBK 46 Bảng 2.3 Kiểm chứng tỷ lệ gói tin có giá trị PID tăng dần 46 Bảng 2.4 Bảng tham số điểu khiển công 59 Bảng 2.5 Kết thực nghiệm giải pháp PIDAD1 61 Bảng 2.6 Kết thực nghiệm giải pháp PIDAD2 62 Bảng 3.1 Bảng cấu trúc lệnh công DDoS lớp ứng dụng 86 Bảng 3.2 Bảng thực nghiệm xác định tần suất truy cập 87 Bảng 3.3 Kết thực nghiệm phương pháp FDDA 87 Bảng 3.4 Bảng so sánh kết thực nghiệm FDDA, KNN NB 88 viii DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ Hình 1.1 Thành phần mạng Botnet 10 Hình 1.2 Phân loại phương pháp phịng chống cơng DDoS 16 Hình 2.1 TCP handshakes 38 Hình 2.2 Thành phần TCP Syn Flood Defence 39 Hình 2.3 Mơ hình hệ thống phát xử lý cơng DDoS Syn Flood 40 Hình 2.4 Cơ chế giả mạo IP tin tặc 42 Hình 2.5 Mơ hình phương pháp xác định tần suất gói tin TCP Reset hệ thống thực 43 Hình 2.6 IP Header 44 Hình 2.7 Thuật toán DBSCAN 47 Hình 2.8 Mơ hình giải pháp PIDAD2 hệ thống thực 52 Hình 2.9 Hình minh họa thuật toán Bloom filter 55 Hình 2.10 Mơ hình xác thực địa IP nguồn 56 Hình 2.11 Phương pháp xác thực địa IP nguồn sử dụng Bloom Filter 57 Hình 2.12 Mơ hình hệ thống đánh giá thực nghiệm 58 Hình 2.13 Thành phần hệ thống thực nghiệm máy chủ vật lý 01 59 Hình 2.14 Thành phần hệ thống thực nghiệm máy chủ vật lý 02 59 Hình 2.15 Thành phần hệ thống thực nghiệm máy chủ vật lý 03 60 Hình 2.16 Tỷ lệ phát gói tin giả mạo giải pháp PIDAD PIDAD2 62 Hình 2.17 Thời gian xử lý giải pháp PIDAD PIDAD2 63 Hình 2.18 Tỷ lệ True Positive giải pháp PIDAD2 C4.5 64 Hình 2.19 Tỷ lệ False Positive giải pháp PIDAD2 C4.5 65 Hình 2.20 Thời gian xử lý giải pháp PIDAD2 C4.5 65 Hình 3.1 Mơ hình phương pháp FDDA 71 Hình 3.2 Minh họa tần suất gửi yêu cầu từ srcIP 73 Hình 3.3 Bảng liệu lưu vết truy cập TraTab 74 Hình 3.4 Minh họa xử lý bảng vết truy cập 75 Hình 3.5 Minh họa xử lý bảng vết truy cập (tiếp theo) 76 Hình 3.6 Minh họa phạm vi tần suất xác định yêu cầu công 79 Hình 3.7 Minh họa gửi yêu cầu tương quan từ máy tính 81 Hình 3.8 Ví dụ thời điểm gửi yêu cầu tới máy chủ 81 Hình 3.9 Cấu trúc bảng liệu TR 82 Hình 3.10 Cấu trúc bảng liệu TA 83 ix ... phịng chống cơng DDoS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ dạng công mạng với mục đích làm tính khả dụng hệ thống thông tin Tấn công từ chối dịch vụ thực từ. .. VỀ TẤN CÔNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS 1.2 Các dạng công DDoS phổ biến 11 1.2.1 Tấn công DDoS lớp mạng 11 1.2.2 Tấn. .. công từ chối dịch vụ hiệu quả, vượt qua phịng chống đối tượng bị công, tin tặc thường tổ chức công với tham gia đồng thời từ nhiều máy tính khác nhau; hình thức thường gọi công từ chối dịch vụ