6. Cấu trúc của luận án
1.4. Các phương pháp phát hiện và phòng chống tấn công vào giao thức định tuyến
1.4.1.1. Phương pháp phát hiện tấn công dựa trên hệ thống phát hiện xâm nhập
thức nhịp tim (Heartbeat protocol) và dựa trên phân tích độ tin cậy (Trust based mechanisms), tóm tắt các phương pháp phát hiện tấn công được trình bày như sau:
1.4.1.1. Phương pháp phát hiện tấn công dựa trên hệ thống phát hiện xâm nhập (Intrusion Detection System) nhập (Intrusion Detection System)
a) Raza et al. đã đề xuất một IDS có tên là SVELTE [11] được phát triển cho mạng IoT. Ý tưởng chính là kết hợp dựa trên phát hiện sự bất thường. Cơ chế này cung cấp sự cân bằng giữa chi phí lưu trữ và tính toán. Hệ thống phát hiện xâm nhập SVELTE gồm có ba thành phần tập trung có thể được đặt trong thư mục DODAG root. Thành phần đầu tiên được gọi là 6Mapper định kỳ gửi các yêu cầu đến các nút RPL khác bao gồm Timestamp, Instance ID, DODAG ID và DODAG version number. Mỗi nút đáp ứng yêu cầu bằng cách nối thêm thông tin nút cha và nút lân cận của nó. Thành phần thứ hai nhằm đánh giá ánh xạ dữ liệu và phát hiện xâm nhập. SVELTE thực hiện ba phương pháp có thể phát hiện thông tin sửa đổi và không nhất quán thông tin. Thành phần cuối cùng là một tường lửa mini phân tán có vai trò bảo vệ mạng cục bộ khỏi những cuộc tấn công toàn cầu. Ngoài các chức năng ngăn chặn thông thường, tường lửa có thể loại bỏ nút giả mạo bên ngoài được xác định bởi các nút RPL nội bộ trong thời gian thực.
b) Le và cộng sự [12] đề xuất hệ thống phát hiện xâm nhập dựa trên đặc điểm kỹ thuật (Specification based IDS) để khắc phục những vấn đề tồn tại trong phương pháp SVELTE. Hệ thống phát hiện xâm nhập dựa trên đặc điểm kỹ thuật là hệ thống IDS dựa trên việc thu thập thông tin về trạng thái, chuyển đổi một vài thông số khác. Cơ chế này bao gồm hai giai đoạn. Đầu tiên, RPL sử dụng máy trạng thái hữu hạn mở rộng để xác định tất cả các trạng thái có liên quan đến sự bất thường trạng thái mạng và phân tích các trạng thái chuyển đổi đó bằng cách sử dụng tệp truy vết. Giai đoạn thứ hai chuyển đổi nhận thức về RPL bằng cách sử dụng giải thuật phát hiện đã được đặt tại IDS agent. IDS cho phép phát hiện tấn công sinkhole, tấn công sửa chữa cục bộ, tấn công nút hàng xóm, tấn công tăng hạng và tấn công DIS với độ chính xác xấp xỉ 100 % và tỷ lệ cảnh báo sai ở mức 5% - 6%. Mục đích của hai hệ thống trên là phát hiện ra sự bất thường, tuy nhiên các cơ chế trên không được trang bị cơ chế cô lập các nút tấn công và khôi phục trạng thái hoạt động của mạng.
c) Hệ thống phát hiện xâm nhập dựa trên dấu hiệu (Signature-based IDS): IDS dựa trên dấu hiệu để phát hiện cuộc tấn công DIS và tấn công phiên bản [13]. IDS yêu cầu các mô-đun phát hiện và giám sát phải được đặt trên chính các nút, như trong trường hợp cơ chế phát hiện kết hợp. Tuy nhiên, các tác giả xem xét hai loại nút bổ sung trong cơ chế này. Nút đầu tiên là bộ định tuyến IDS, mang các mô-đun tường
25
lửa và phát hiện. Còn nút thứ hai là bộ cảm biến hoặc bộ thăm dò IDS chịu trách nhiệm giám sát và gửi thông tin lưu lượng giả mạo đến các nút bộ định tuyến. Bộ định tuyến IDS kiểm tra tất cả lưu lượng đi qua để quyết định xem nguồn gói tin có giả mạo hay không. Công việc của bộ thăm dò IDS là theo dõi lưu lượng cảm biến và tính toán số liệu, tức là Received Signal Strength Indicator (RSSI), tỷ lệ mất gói tin và tỷ lệ gửi gói tin. Quyết định cuối cùng về việc phân loại một nút là giả mạo hay không được thực hiện bởi mô-đun phát hiện chạy trên 6BR, dựa trên dữ liệu nhận được từ mỗi nút. Tuy nhiên, cơ chế này không được xác thực, đó là hạn chế lớn của cơ chế này.