3.4. Giải pháp phân loại và giảm thiểu tấn công DDoS dựa trên kiến trúc SDN/Openflow mở rộng
3.4.5. Chuyển tiếp gói tin giữa các thực thể trong hệ thống
Hệ thống hoạt động theo ngun tắc:
• Khi khơng phát hiện có tấn cơng: các gói tin đến từ Internet được chuyển tiếp bình thường tới các máy chủ nội bộ theo kỹ thuật SDN/Openflow chuẩn.
• Khi phát hiện hoặc nghi ngờ có tấn cơng xảy ra: Các gói tin thuộc các luồng nghi ngờ được sao chép tới SD hoặc chuyển tới SD để phân tích và xử lý. SD phân tích lưu lượng và áp dụng thuật toán logic mờ để xác định tỷ lệ Z số luồng là lưu lượng tấn cơng.
• Hệ thống áp dụng chính sách giảm thiểu tấn cơng bằng cách xóa bỏ các luồng đang tồn tại và các luồng tấn cơng đến theo tỷ lệ Z:
- Xóa bỏ các luồng chỉ có một gói tin trước, luồng nào tạo ra trước sẽ bị xóa trước.
- Số lượng luồng mới được tạo ra kết nối tới máy chủ và các luồng bị xóa đi phải được duy trì cân bằng để đảm bảo tổng số luồng còn lại chiếm tỷ lệ 1-Z so với lúc ban đầu áp dụng thuật toán.
Để thực hiện xử lý theo nguyên tắc trên, các mục luồng trên OFS được cấu hình, thiết lập mức ưu tiên, và các actions thành các loại mô tả như trong Bảng 3.3.
Bảng 3.3. Các loại các mục luồng dùng để điều hướng lưu chuyển gói tin trong hệ thống
Loại mục luồng
Trường so khớp Actions Thời gian chờ
timeout Mục đích sử dụng CF_FE (Current Flow entry)
- Đối với luồng TCP, UDP:
Địa chỉ IP nguồn, IP đích, số hiệu giao thức, cổng dịch vụ nguồn, cổng dịch vụ đích.
- Đối với luồng ICMP: địa chỉ IP nguồn, IP đích, số hiệu giao thức, loại ICMP, mã ICMP, số ICMP.
- Chuyển tiếp tới cổng liên kết với máy chủ nội bộ tương ứng (Server port, IP đích).
- Tạo bản sao chuyển tới SD khi có yêu cầu.
- idle timeout:
Thiết lập bằng thời gian chờ trung bình giữa hai gói tin kế tiếp.
- hard timeout:
thời gian tồn tại tối đa của một luồng.
- Chuyển gói tin
từ internet tới các máy chủ tương ứng.
- Chuyển tiếp gói tin tới SD phục vụ phân tích an ninh. NF_FE (New Flow entry)
- Địa chỉ IP đích của máy chủ.
- Có mức độ ưu tiên thấp hơn các CF_FEs.
- Chuyển tiếp tới SD.
Không thiết lập. - Chuyển các gói tin thuộc các luồng mới tới SD mà không qua giao diện Openflow. SB_FE (Send back Flow entry) - Cổng đến là SD port. - Có mức độ ưu tiên cao hơn các CF_FEs.
- Chuyển tiếp tới máy chủ nội bộ tương ứng (cổng dịch vụ, IP đích của máy chủ).
Khơng thiết lập. - Nhận gói tin đã xử lý an ninh từ SD chuyển tới máy chủ tương ứng.
Quá trình trao đổi, xử lý gói tin giữa các thực thể trong hệ thống khi máy chủ ở trạng thái
“Không bị tấn công”, “Nghi ngờ bị tấn công” và “Đang bị tấn cơng” được thể hiện ở Hình
3.5, Hình 3.6, Hình 3.7, và Hình 3.8.
Hình 3.6. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Nghi ngờ bị tấn cơng"
Hình 3.7. Sơ đồ tuần tự của sự kiện “Kết thúc chu kỳ giám sát” khi máy chủ ở trạng thái "Nghi ngờ bị tấn công"
3.4.6. Phân loại lưu lượng và giảm thiểu tấn cơng DDoS dựa trên thuật tốn suy luận logic mờ FDDoM
Tại máy chủ bảo mật SS, thuật tốn phân loại và giảm thiểu tấn cơng DDoS FDDoM được đề xuất dựa trên hệ suy luận mờ (FIS) [79], [131]. Thuật tốn này cho phép hệ thống có thể tính tốn ra một giá trị đầu ra dựa trên những tham số lưu lượng đầu vào mà giá trị của nó khơng rõ ràng nằm trong giới hạn thể hiện chắc chắn 100% là lưu lượng tấn công hay lưu lượng lành tính. Qua thống kê lưu lượng, ta có thể chỉ ra được các ngưỡng chỉ thị đảm bảo chắc chắn lưu lượng là tấn công và ngưỡng chỉ thị đảm bảo lưu lượng lành tính. Hai giá trị ngưỡng này thường
cách xa nhau và tạo nên một khoảng giá trị giữa chúng mà khi giá trị chỉ thị nằm trong khoảng đó thì kết quả đầu ra là không rõ ràng để khẳng định về tính chất của lưu lượng hoặc mức độ thuộc về lưu lượng lành tính hay lưu lượng tấn cơng. Để hệ thống có thể nhanh chóng đưa ra quyết định xử lý lưu lượng, thuật toán logic mờ được áp dụng, trong đó đầu ra của thuật tốn cho biết bộ điều khiển cần quyết định tỷ lệ số luồng đang tồn tại là lưu lượng tấn cơng và có chính sách giảm thiểu tương ứng. FDDoM sử dụng hệ suy luận mờ Sugeno [131].
Hình 3.8. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Đang bị tấn công"
Xác định các tham số làm chỉ thị phát hiện
Dựa vào kết quả phân tích lưu lượng tấn cơng DDoS như đã trình bày ở mục 3.4.2 hai chỉ thị được đề xuất để phát hiện tấn công bao gồm:
• IAT - tỷ lệ các gói có khoảng thời gian liên gói tin trong phạm vi thấp. Theo kết quả
phân tích lưu lượng DDoS, giá trị này được lựa chọn trong khoảng (0 - 0,2] ms, và
• PpF - tỷ lệ các luồng chỉ có một gói tin.
Với mỗi máy chủ, các ngưỡng l và h được xác định theo nguyên tắc: khi không bị tấn công, giá trị của chỉ thị thấp hơn ngưỡng l, khi chắc chắn bị tấn công, giá trị của chỉ thị cao hơn ngưỡng h. Tỷ lệ số luồng tấn công cần lọc bỏ Z, được xác định theo các luật:
1. NẾU lưu lượng truy cập đến một máy chủ có IAT và PpF thấp hơn ngưỡng l tương ứng THÌ được cho là lưu lượng lành tính và sẽ được chuyển tiếp 100% tới máy chủ (Z = 0).
3. Trong trường hợp khi cả hai hoặc một trong hai chỉ thị có giá trị nằm giữa các ngưỡng thấp và ngưỡng cao tương ứng, thì hệ thống xác định lưu lượng đến có một tỷ lệ Z số luồng đang tồn tại là lưu lượng tấn công. Sử dụng mơ hình Sugeno [98], giá trị chỉ thị đầu ra Z (khoảng từ 0 đến 1) sẽ được tính theo 3 bước chính: Mờ hóa (Fuzzification), Đánh giá luật hợp thành (Rule Evaluation), và Giải mờ (Defuzzification).
Mờ hố các chỉ thị phát hiện
Hình 3.9. Mờ hoá IAT với hai hàm thành viên Low và High
Các giá trị chỉ thị đầu vào (IAT, PpF) được mờ hóa thành các tập mờ bởi các hàm thành viên Low và High. Mờ hóa thực chất là xác định các hàm thành viên biểu diễn mức độ các giá trị của chỉ thị đầu vào IAT và PpF thuộc về các tập mờ Low và High tương ứng. Mức độ thuộc về tập mờ có thể trải từ 0 (khơng thuộc) tới 1 (thuộc hoàn toàn). Khi biểu diễn dưới dạng đồ thị, các hàm thành viên thường được triển khai ở các dạng phổ biến là hình thang và hình tam giác.
Với đặc điểm của các giá trị IAT và PpF được mơ tả như trình bày trong mục 3.4.2 và các luật giảm thiểu tác hại tấn cơng nêu trên, đồ hình hình thang được lựa chọn với các giá trị ngưỡng được thống kê từ bộ dữ liệu lưu lượng tấn công DDoS, trong đó:
• Vùng bằng phẳng chính là vùng giá trị chỉ thị đầu vào thuộc hoàn toàn vào tập thành viên Low hoặc High (cạnh đỉnh của hình thang) hoặc khơng thuộc vào tập thành viên (phần ngoài cạnh đáy của hình thang nằm trên trục hồnh).
• Vùng tương ứng với cạnh chéo của hình thang là vùng biên (boundary) là nơi mà giá trị chỉ thị đầu vào khơng hồn tồn thuộc về các tập mờ Low và High.
Cụ thể, trong đồ hình các hàm thành viên mơ tả ở Hình 3.9, khi IAT nhỏ hơn ngưỡng l =
0,8, IAT được xem như hoàn toàn thuộc về thành viên Low(IAT). Khi IAT vượt ngưỡng h = 0,9, IAT sẽ được coi như hoàn toàn thuộc về thành viên High(IAT). Đó là các phần đỉnh của hai
hình thang tương ứng với hai hàm thành viên FLow(IAT) và FHigh(IAT). Khi giá trị IAT nằm trong vùng chéo (0,8 ≤ IAT ≤ 0,9), mức độ của IAT thuộc về hai thành viên Low(IAT) và
High(IAT) ở mức khơng rõ ràng. Theo mơ hình Sugeno, mức độ giá trị IAT thuộc về các thành
F𝐿𝐿𝐿𝐿𝐿𝐿(𝐼𝐼𝑆𝑆𝑇𝑇) = max �min�𝐼𝐼𝑆𝑆𝑇𝑇 − 𝑎𝑎𝑏𝑏 − 𝑎𝑎 , 1,𝑑𝑑 − 𝐼𝐼𝑆𝑆𝑇𝑇𝑑𝑑 − 𝑐𝑐 �, 0� (3.2) F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝐼𝐼𝑆𝑆𝑇𝑇) = max �min�𝐼𝐼𝑆𝑆𝑇𝑇 − 𝑎𝑎′𝑏𝑏′ − 𝑎𝑎′ , 1,𝑑𝑑′ − 𝐼𝐼𝑆𝑆𝑇𝑇𝑑𝑑′ − 𝑐𝑐′ �, 0� (3.3) trong đó a, b, c, d và a’, b’, c’, d’ là các đỉnh của hai hình thang biểu diễn cho các hàm thành viên FLow(IAT) và FHigh(IAT).
Hình 3.10. Mờ hố PpF với hai hàm thành viên Low và High
Tương tự, mức độ thuộc về các hàm thành viên của giá trị chỉ thị PpF được mơ tả ở Hình 3.10. Theo mơ hình Sugeno với hàm liên thuộc dạng hình thang, mức độ giá trị PpF thuộc về các tập mờ Low(PpF) và High(PpF) được phản ánh bởi các công thức:
F𝐿𝐿𝐿𝐿𝐿𝐿(𝑇𝑇𝑃𝑃𝐹𝐹) = max�min�𝑇𝑇𝑃𝑃𝐹𝐹 − 𝑒𝑒𝑓𝑓 − 𝑒𝑒 , 1,ℎ − 𝑇𝑇𝑃𝑃𝐹𝐹ℎ − 𝑔𝑔 �, 0� (3.4) F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝑇𝑇𝑃𝑃𝐹𝐹) = max �min�𝑇𝑇𝑃𝑃𝐹𝐹 − 𝑒𝑒′𝑓𝑓′ − 𝑒𝑒′ , 1,ℎ′ − 𝑇𝑇𝑃𝑃𝐹𝐹ℎ′ − 𝑔𝑔′ �, 0� (3.5) với e, f, g, h và e’, f’, g’, h’ là các đỉnh của hai hình thang biểu diễn cho các hàm hợp thành
FLow(PpF) và FHigh(PpF).
Xác định luật hợp thành
Bước tiếp theo là cần xác định các luật điều khiển trong thuật toán suy luận logic mờ khi nhận được các số rõ IAT và PpF. Các action đầu ra bao gồm Chuyển tiếp (Fw – Forward) hay
Xóa bỏ (Dr – Drop).
Action = Fw: Chuyển tiếp tất cả các gói tin tới máy chủ đích. Action = Dr: Xóa bỏ đi tỷ lệ Z các gói tin.
Dựa trên phân tích cơ chế hoạt động của hệ thống, chúng ta có các luật như sau:
[Rule 1]: IF IAT is Low AND PpF is Low THEN Action = Fw (3.6) [Rule 2]: IF IAT is High AND PpF is High THEN Action = Dr (3.7) [Rule 3]: IF IAT is High AND PpF is Low THEN Action = Dr (3.8) [Rule 4]: IF IAT is Low AND PpF is High THEN Action = Dr (3.9)
Để áp dụng mơ hình Sugeno, mỗi luật được xác định một trọng số wi. Với bốn luật nêu
trên, các trọng số được xác định như sau:
[Rule 1]: 𝑤𝑤1 =𝑚𝑚𝑚𝑚𝑛𝑛[F𝐿𝐿𝐿𝐿𝐿𝐿(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐿𝐿𝐿𝐿𝐿𝐿(𝑇𝑇𝑃𝑃𝐹𝐹)] (3.10) [Rule 2]: 𝑤𝑤2 =𝑚𝑚𝑚𝑚𝑛𝑛�F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝑇𝑇𝑃𝑃𝐹𝐹)� (3.11) [Rule 3]: 𝑤𝑤3 =𝑚𝑚𝑚𝑚𝑛𝑛�F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐿𝐿𝐿𝐿𝐿𝐿(𝑇𝑇𝑃𝑃𝐹𝐹)� (3.12) [Rule 4]: 𝑤𝑤4 = 𝑚𝑚𝑚𝑚𝑛𝑛�F𝐿𝐿𝐿𝐿𝐿𝐿(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝑇𝑇𝑃𝑃𝐹𝐹)� (3.13) trong đó FLow, FHigh là các hàm hợp thành của các chỉ thị đầu vào IAT và PpF.
Các lớp của các hành động đầu ra được xác định như sau:
Dr = 1; Fw = 0. (3.14)
Giải mờ
Theo mơ hình Sugeno trong hệ suy luận mờ, kết quả hành động đầu ra (được đánh giá qua chỉ thị Z) của hệ thống là sự kết hợp của các luật với các mức độ khả năng tương ứng. Khi đó, giá trị chỉ thị đầu ra là trung bình cộng theo trọng số của các giá trị đầu ra theo biến ngôn ngữ của mỗi luật trong Cơ chế suy luận. Cụ thể, trong trường hợp này, chỉ thị đầu ra Z được tính theo cơng thức:
𝑍𝑍 =∑ 𝑤𝑤𝑁𝑁 𝑙𝑙𝑍𝑍𝑙𝑙
𝑙𝑙=1
∑ 𝑤𝑤𝑁𝑁 𝑙𝑙 𝑙𝑙=1 với N là số luật. Ở đây N = 4.
(3.15)
𝑍𝑍= 𝑤𝑤1𝐹𝐹𝑤𝑤𝑤𝑤+ 𝑤𝑤2𝐷𝐷𝐷𝐷+𝑤𝑤3𝐷𝐷𝐷𝐷+ 𝑤𝑤4𝐷𝐷𝐷𝐷
1+𝑤𝑤2+𝑤𝑤3+𝑤𝑤4 (3.16)
Kết quả tính tốn chỉ thị đầu ra Z nằm trong khoảng giá trị [0 - 1]. Giá trị này cho biết máy chủ đang xét có ở trạng thái đang bị tấn cơng hay không, và trong trường hợp phát hiện tấn công đang xảy ra tới máy chủ thì giá trị này cho biết tỷ lệ tổng số luồng tại bộ chuyển mạch biên của máy chủ đó ở thời điểm hiện tại là lưu lượng tấn công và cần phải loại bỏ.
3.4.7. Đánh giá hiệu năng của giải pháp
Để đánh giá khả năng đáp ứng và hiệu năng của hệ thống về mức độ giảm thiểu tác hại tấn cơng DDoS, q trình phân tích mơ phỏng được thực hiện đối với bộ lưu lượng được capture từ mạng thực của công ty Netnam tới một máy chủ dịch vụ web trong khoảng thời gian 600s. Bộ lưu lượng gồm 2 phần: lưu lượng lành tính và lưu lượng tấn cơng được thu thập và phân lập như mô tả trong mục 3.4.2. Các tham số của hệ thống được chọn như sau:
• Thời gian timeout cho các mục luồng CF_FEs: tidle = 10s, thard = 60s. Các tham số này được lấy theo tham số luồng phổ biến mặc định của các sản phẩm bộ chuyển mạch thương mại [110].
• Qua phân tích đặc tính lưu lượng của máy chủ, căn cứ vào đặc tính thống kê của máy chủ Web hoạt động ở điều kiện bình thường trong nhiều khung giờ trong ngày và khả năng chịu tải của máy chủ, ngưỡng S1 được chọn là 300, ngưỡng S2 được chọn là 600.
• Tương tự, căn cứ đặc tính lưu lượng của máy chủ ở điều kiện bình thường và điều kiện bị tấn công, ngưỡng IAT cho tấn công DDoS được chọn ở mức 0,2ms. Theo đó, tỷ lệ IAT ở điều kiện bình thường là 0,5, tỷ lệ IAT chắc chắn ở điều kiện bị tấn công DDoS là 0,99. Tỷ lệ PpF ở điều kiện bình thường là 0,1 và chắc chắn ở điều kiện bị tấn công là 0,9.
• Lưu lượng ở trạng thái bình thường, khơng bị tấn cơng được duy trì trong suốt thời gian phân tích 10 phút. Từ giây thứ 120 bắt đầu phát lưu lượng tấn công với tổng thời gian tấn công là 5 phút, kéo dài tới hết giây thứ 420.
Độ nhạy lọc bỏ và tỷ lệ lọc bỏ nhầm
Giá trị chỉ thị đầu ra Z của hệ thống tính được sau mỗi chu kỳ thể hiện trong biểu đồ Hình 3.11.
Hình 3.11. Giá trị đầu ra của chỉ thị Z của thuật toán FDDoM và độ nhạy lọc bỏ DRF
Hình 3.12. Tỷ lệ lọc bỏ nhầm FPRF
Tỷ lệ lọc bỏ nhầm được thể hiện trong biểu đồ Hình 3.12. Kết quả về độ nhạy lọc bỏ và tỷ lệ lọc bỏ nhầm như trên có thể thấy:
• Độ nhạy lọc bỏ tại mỗi chu kỳ giám sát T đạt 92,0 đến 95,0% theo luồng.
• Nếu tính trung bình trong suốt thời gian tấn công, độ nhạy lọc bỏ đạt tới 97,5% trong
khi tỷ lệ lọc bỏ nhầm ở mức 3,6% theo lưu lượng.
Bảng 3.4 so sánh hiệu năng đo được với giải pháp áp dụng thuật toán TRW-CB trên Openflow kết hợp sFlow [21] do nhóm tác giả Kostas Giotis thực hiện (năm 2014) như đã trình bày ở chương 1 trong trường hợp lưu lượng DDoS hỗn hợp và lưu lượng tấn công quét cổng áp dụng đối với quy mô hệ thống mạng tương đồng (tốc độ mạng 100 Mbps).
Bảng 3.4. So sánh hiệu năng giải pháp FDDoM với giải pháp và mơ hình mạng tương đồng
Giải pháp Độ nhạy lọc bỏ
(DRF)
Tỷ lệ lọc bỏ nhầm
(FPRF)
TRW-CB trên Openflow kết hợp sFlow với lưu
lượng DDoS hỗn hợp 96 % 25 %
TRW-CB trên Openflow kết hợp sFlow với lưu
lượng tấn công quét cổng 96 % 10 %
FDDoM 97,50 % 3,6 %
Kết quả so sánh cho thấy, giải pháp FDDoM cho độ nhạy lọc bỏ cải thiện hơn so với giải pháp TRW-CB trên Openflow kết hợp sFlow. Trong đó, điều quan trọng là FDDoM đã giảm tỷ lệ lọc bỏ nhầm, ngay cả so sánh với trường hợp lưu lượng tấn công xác định (quét cổng). Điều này đặc biệt có ý nghĩa vì bản chất của giảm thiểu tấn công DDoS là cố gắng không làm ảnh hưởng đến quá trình trao đổi dữ liệu của các máy khách (client) lành tính tới máy chủ trong trung tâm dữ liệu.
Khả năng đáp ứng của hệ thống
- Trong các giải pháp dựa trên kiến trúc SDN/Openflow cơ bản [22], [24], [77], sau khi phát hiện tấn công, hệ thống phải tiếp tục giám sát thêm ít nhất 1 chu kỳ T nữa để phân loại lưu lượng tấn cơng và áp đặt chính sách xử lý gói tin thơng qua các mục luồng. Điều này không những làm chậm khả năng đáp ứng của hệ thống mà còn làm tăng lưu lượng trên giao diện Openflow do Bộ điều khiển truy vấn thông tin lưu lượng. Trong FDDoM, khi một máy chủ được xác định ở trạng thái “Nghi ngờ bị tấn công” hoặc “Đang bị tấn cơng”, tồn bộ lưu lượng luồng mới đến được chuyển đến SD, không chuyển tới máy chủ nội bộ cũng như tới Bộ điều khiển. Tại SD lưu lượng tấn cơng được xóa bỏ, khơng cần phải đợi thêm chu kỳ giám sát. Việc này hạn chế tối đa các luồng mới được tạo ra và giảm thiểu tải và thông tin lên bộ điều khiển, các khối phân tích bảo mật. Do vậy, mức độ đáp ứng đưa ra các chính sách an ninh của hệ thống sẽ nhanh hơn so với các phương pháp xử lý dựa trên giao diện Openflow.
- Ngoài ra, cách tiếp cận này cũng khắc phục một vấn đề phổ biến khác đó là xử lý luồng