Các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu năng lực cạnh tranh của điểm đến du lịch thừa thiên huế, việt nam (Trang 39 - 44)

SDN/Openflow

1.5.1. Kiến trúc và nguyên lý hoạt động chung

Với khả năng giám sát, điều khiển hệ thống mạng một cách tập trung; khả năng lập trình, cấu hình tự động bằng phần mềm; thay đổi chính sách xử lý gói tin linh động, tự động… kiến

trúc mạng và kỹ thuật SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng chống DDoS [21]–[26], [77]–[83]. Các giải pháp đề xuất có thể thực hiện các chức năng phịng chống tấn cơng khác nhau, ở các quy mơ hệ thống mạng và vị trí triển khai khác nhau nhưng cùng dựa trên một cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9.

Hình 1.9. Cấu trúc chung hệ thống giải pháp phịng chống tấn cơng DDoS dựa trên kỹ thuật SDN/Openflow

Trong kiến trúc SDN/Openflow, mỗi giải pháp đề xuất được phát triển gồm một ứng dụng an ninh chạy trên máy chủ ứng dụng và một module điều khiển chạy trên Bộ điều khiển. Giao tiếp giữa phần mềm ứng dụng và module điều khiển theo chuẩn REST API. Trong trường hợp quy mô xử lý dữ liệu nhỏ, phần mềm ứng dụng có thể được tích hợp trong module điều khiển:

Module điều khiển: Dựa trên nguyên tắc điều khiển hệ thống mạng và xử lý gói tin,

module điều khiển thực hiện 2 chức năng chính: (1) thống kê các đặc tính của lưu lượng, lấy mẫu các gói tin để phân tích và phát hiện tấn công, và (2) cài đặt, chỉnh sửa các mục luồng nhằm thực thi các chính sách phịng chống tấn cơng.

Phần mềm ứng dụng: Dựa vào dữ liệu thống kê, mẫu lưu lượng được module điều

khiển chuyển tới, phân tích và phát hiện tấn cơng, xác định dấu hiệu lưu lượng tấn cơng và đưa ra các chính sách xử lý đối với lưu lượng tấn cơng.

Q trình thu thập thơng tin lưu lượng, phát hiện và phân loại tấn cơng, xác định chính sách xử lý gói tin và áp đặt các quy tắc xử lý tới các mục luồng trên bộ chuyển mạch tạo thành một vịng điều khiển khép kín. Trong chu trình ấy, trạng thái của mỗi máy chủ, dịch vụ được xác định. Căn cứ vào trạng thái của các máy chủ, dịch vụ cần bảo vệ ở mỗi thời điểm, hệ thống thực hiện phân tích và xử lý lưu lượng mạng đến theo thuật toán của giải pháp tương ứng. Tùy theo thuật tốn phát hiện, phân loại lưu lượng tấn cơng khác nhau, các tham số lưu lượng cũng như chính sách xử lý gói tin đối với mỗi giải pháp là khác nhau và do đó u cầu tính tốn và mức độ chính xác, tính hiệu quả của mỗi giải pháp là khác nhau.

1.5.2. Các kỹ thuật phát hiện tấn công

Điểm khác nhau giữa các giải pháp phát hiện tấn công là ở (1) nguồn thông tin lưu lượng đầu vào và (2) thuật tốn phát hiện tấn cơng.

Nguồn thơng tin lưu lượng đầu vào

Nguồn thông tin lưu lượng đầu vào là cơ sở quan trọng để xác định có tấn cơng xảy ra hay không hoặc phân biệt giữa lưu lượng tấn cơng và lưu lượng lành tính. Xét về khía cạnh phân tích thơng tin lưu lượng, có hai nhóm: sử dụng thuần túy thơng tin thống kê của Openflow và sử dụng kết hợp với bộ phân tích lưu lượng truyền thống.

a). Sử dụng thơng tin thống kê của Openflow

Lợi dụng cơ chế, kỹ thuật SDN/Openflow, các dữ liệu thống kê từ các mục luồng của các bộ chuyển mạch được sử dụng làm thông tin đầu vào để phát hiện tấn công. Mặc dù có ưu điểm là đơn giản, nhóm giải pháp cho độ chính xác phụ thuộc nhiều vào thuật tốn, truy vấn thông tin lưu lượng trên giao diện Openflow tăng cao có thể dẫn đến nghẽn mạng nên chỉ phù hợp với hệ thống mạng quy mô nhỏ.

b). Sử dụng thông tin thống kê của Openflow kết hợp với các bộ phân tích lưu lượng

Để tăng độ chính xác trong phát hiện, các giải pháp thuộc nhóm này bổ sung trong hệ thống mạng các đầu dò (probe), các thiết bị IDS, các bộ phân tích lưu lượng như sFlow [21], Snort [25], [26] để phân tích và cung cấp thơng tin thuộc tính của lưu lượng cho bộ phát hiện, phân loại tấn công. Ưu điểm của các giải pháp này là tăng cường độ chính xác trong phát hiện nhưng làm cho hệ thống mạng cồng kềnh, phức tạp, chỉ phù hợp với hệ thống mạng quy mơ lớn.

Thuật tốn phát hiện và phân loại lưu lượng tấn công

Về cơ bản, các giải pháp phát hiện tấn công DDoS dựa trên kỹ thuật SDN/Openflow kế thừa các nguyên lý và thuật toán sử dụng trong các giải pháp dựa trên công nghệ mạng truyền thống. Các nhóm thuật tốn phát hiện bao gồm:

a). Dựa vào Entropy

Entropy là một đại lượng để đo mức độ ngẫu nhiên của một thuộc tính trong một khoảng thời gian. Nhóm nghiên cứu của Mehdi [78] sử dụng phương pháp entropy cực đại để ước lượng sự phân bố lưu lượng lành tính từ đó phát hiện lưu lượng tấn công từ mạng quy mô nhỏ (văn

phịng, gia đình) góp phần ngăn chặn tấn cơng DDoS tại nguồn. Nhóm của Wang [77] sử dụng các tham số thống kê từ các bộ chuyển mạch biên của mạng ISP và tính entropy để đánh giá sự phân bố địa chỉ IP đích của lưu lượng chuyển qua nó, từ đó phát hiện tấn cơng. Nhóm của Giotis [21] tính entropy để đo mức độ ngẫu nhiên trên cả địa chỉ IP nguồn và đích.

Ưu điểm của các giải pháp này là u cầu tính tốn thấp. Tuy nhiên, chủ yếu áp dụng cho mạng quy mô nhỏ, lưu lượng phát sinh tại nguồn [78], nơi có lưu lượng thấp hoặc áp dụng cho mạng trung gian [21], [77], nơi có phân bố địa chỉ IP của lưu lượng lành tính thỏa mãn điều kiện phân bố ngẫu nhiên. Đánh giá kiểm nghiệm cho thấy giải pháp này có độ chính xác khơng cao và phụ thuộc lớn vào đặc tính của từng dịch vụ mạng cụ thể [60].

b). Áp dụng thuật toán học máy

Các thuật toán học máy như mạng nơron, SVM, giải thuật di truyền, logic mờ, mạng Bayesian, cây quyết định,... được nhiều giải pháp áp dụng để phát hiện tấn cơng DDoS. Nhóm nghiên cứu của Braga [22] đề xuất sử dụng bản đồ tự tổ chức SOM với 6 tham số thuộc tính đầu vào được trích xuất từ các tham số thống kê các mục luồng trên bộ chuyển mạch Openflow. Dotcenko [79] đề xuất giải pháp kết hợp đặt ngưỡng hạn chế và thuật tốn TRW. Trong giải pháp NICE [23], nhóm nghiên cứu của Chung xây dựng đồ thị tấn cơng và áp dụng mơ hình tương quan giữa các thực thể trong hệ thống mạng để phát hiện tấn cơng. Nhóm Dillon đưa ra thuật tốn phát hiện bất thường bằng cách tính độ lệch chuẩn tỷ lệ số gói tin /dung lượng và lấy thống kê theo chu kỳ thời gian.

Phát hiện tấn cơng DDoS dựa trên thuật tốn học máy có ưu điểm là có thể phát hiện được những lưu lượng tấn cơng có dấu hiệu khơng rõ ràng (nghi ngờ). Tuy nhiên, phương pháp này địi hỏi phải có q trình học và độ chính xác phụ thuộc nhiều vào dữ liệu học.

c). Phân tích mẫu lưu lượng

Phương pháp này dựa trên giả thuyết cho rằng lưu lượng tấn công từ các xác sống trong botnet được điều khiển bởi một kẻ tấn cơng thì thường có mẫu giống nhau. Do đó nếu quan sát thấy tỷ lệ số lượng các luồng có mẫu lưu lượng giống nhau cao thì rất có thể tấn cơng DDoS có thể đang diễn ra. Nhóm nghiên cứu của Shin [82] đề xuất nền tảng FRESCO phát hiện tấn cơng DDoS theo phương pháp này. Nhóm Jin và Wang [80] đề xuất hệ thống phát hiện dựa trên nhận diện các hành động nghi ngờ bằng phân tích lưu lượng thời gian thực.

Phương pháp phân tích mẫu lưu lượng có nhược điểm là địi hỏi tính tốn lớn, chỉ phù hợp triển khai ở mạng truyền tải trung gian với tham số lưu lượng đơn giản, kết quả phân loại lưu lượng tấn cơng có độ chính xác thấp [60].

d). Dựa vào tỷ lệ kết nối

Cơ sở của các giải pháp thuộc nhóm này dựa trên giả thuyết cho rằng xác suất kết nối thành cơng từ một nguồn lành tính sẽ cao hơn từ một nguồn tấn cơng. Nhóm nghiên cứu của Mehdi [78] đề xuất giải pháp giám sát lưu lượng kết nối internet từ trong mạng SOHO dựa trên quá trình bắt tay ba bước của các kết nối TCP và áp dụng thuật tốn TRW-CB. Nếu tỷ lệ kết nối

khơng thành công từ một trạm bên trong mạng trong một cửa sổ thời gian cao hơn một giá trị ngưỡng do thuật tốn TRW-CB xác định thì trạm đó được phân loại là trạm nghi ngờ nhiễm phần mềm độc hại tấn cơng DDoS. Thuật tốn TRW-CB cũng được áp dụng cho một số các giải pháp khác [24], [79], [82], [83].

Một số giải pháp khác [80], [84] dựa trên giả thuyết quan sát phía máy chủ cho rằng số yêu cầu kết nối của một trạm bị lây nhiễm phần mềm độc hại tấn công DDoS thường cao hơn so với trạm lành tính. Trên cơ sở đó, thống kê các yêu cầu kết nối tới máy chủ, dịch vụ và phát hiện, phân loại lưu lượng tấn cơng DDoS tại phía mạng đích.

Nhóm giải pháp này có ưu điểm là tính tốn đơn giản, dễ áp dụng, phù hợp với tất cả các vị trí mạng triển khai (mạng nguồn, mạng trung gian và mạng đích). Nhược điểm là địi hỏi hệ thống cơ sở dữ liệu lưu trữ lớn, khi tấn công giả mạo địa chỉ IP diễn ra thì độ nhạy thấp và tỷ lệ báo động nhầm cao, chủ yếu áp dụng cho các tấn công dựa trên giao thức TCP.

1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công

Kỹ thuật SDN/Openflow được xây dựng nhằm giải quyết yêu cầu thay đổi nhanh và mềm dẻo dưới sự xử lý tập trung từ Bộ điều khiển. Ngoài ra, cơ chế giám sát và điều khiển tập trung đảm bảo sự thống nhất về chính sách xử lý lưu lượng trong tồn bộ hệ thống mạng mà cơng nghệ mạng truyền thống khơng có được. Sự thống nhất đó đem lại hiệu quả và được khai thác ứng dụng trong ngăn chặn, giảm thiểu tấn cơng nói chung và tấn cơng DDoS nói riêng [85]. Khi phát hiện tấn cơng xảy ra, phần mềm ứng dụng phịng chống tấn cơng có thể u cầu các bộ điều khiển áp đặt các chính sách xóa bỏ các gói tin trên tồn bộ hệ thống mạng theo một điều kiện cụ thể nào đó bằng cách cài đặt các mục luồng trên các bộ chuyển mạch. Cũng giống như kỹ thuật phát hiện tấn cơng, đã có nhiều giải pháp ngăn chặn, giảm thiểu tấn công dựa trên kỹ thuật SDN/Openflow được đề xuất. Xét về cơ chế thực hiện, các giải pháp đều dựa vào khả năng cấu hình, cài đặt, chỉnh sửa các mục luồng trên các bộ chuyển mạch Openflow để áp dụng các chính sách đối với lưu lượng nghi ngờ tấn cơng như trình bày trong Hình 1.9. Các kỹ thuật ngăn chặn và giảm thiểu tấn công cụ thể bao gồm:

Xóa bỏ gói tin: Khi phát hiện tấn công, Bộ điều khiển chỉnh sửa mục luồng xóa bỏ

thiết lập action OUTPUT [21], [26], [81]. Kỹ thuật này có nhược điểm là có thể xóa bỏ nhầm các gói tin lành tính.

Giới hạn lưu lượng: Căn cứ vào năng lực phục vụ của máy chủ, sử dụng tính năng

RATE LIMIT trong các bộ đo (meter) của Openflow để thiết lập ngưỡng giới hạn lưu lượng [86]. Cũng giống như kỹ thuật Xóa bỏ gói tin, kỹ thuật này cũng có thể xóa bỏ nhầm các gói tin lành tính khi tấn cơng xảy ra.

• Chặn cổng: Sử dụng các thiết lập action của Openflow trên các mục luồng tương ứng

để xóa bỏ tồn bộ lưu lượng đến một cổng dịch vụ cụ thể nào đó trên máy chủ đang ở trạng thái đóng hoặc giới hạn phục vụ [23], [25]. Kỹ thuật này bảo vệ máy chủ từ các cuộc tấn công quét cổng, tấn công làm ngập băng thông mạng.

và giảm thiểu tấn công DDoS, bao gồm:

Chuyển hướng lưu lượng: Khi phát hiện và xác định dấu hiệu nghi ngờ tấn công, lưu

lượng được cấu hình để chuyển đến các máy khác để kiểm soát an ninh trước khi lưu chuyển về máy chủ đích. Ví dụ, sử dụng kỹ thuật CAPTCHA để xác thực người dùng [87], áp dụng các kỹ thuật phân tích sâu gói tin để phát hiện botnet [23], [25].

Phân tích nguy cơ an ninh từ các mục luồng: Thơng qua phân tích các mục luồng trên

các bộ chuyển mạch, các giải pháp như FlowChecker [88], FlowVisor [89], VeriFlow [90],... thực hiện phân tích, xây dựng topology mạng, bản đồ lưu chuyển các gói tin để xác định các nguy cơ mất an ninh mạng trong đó có nguy cơ tấn cơng DDoS, từ đó xóa bỏ hoặc khơng cho phép cài đặt các mục luồng tạo lỗ hổng tấn cơng.

Xác thực địa chỉ IP nguồn: Một trong những vấn đề tồn tại cố hữu của kỹ thuật mạng

IP là chưa có cơ chế xác thực tính chính xác của địa chỉ IP nguồn. Điều này gây ra nhiều vấn đề về an ninh từ nạn lợi dụng tấn công giả mạo địa chỉ IP trong đó có tấn cơng DdoS như TCP SYN Flood, ICMP Flood, Smurf,... Dựa trên cơ chế SDN, nhóm nghiên cứu của Yao đã đề xuất cơ chế xác thực địa chỉ IP nguồn trong giải pháp VAVE

[91].

Phối hợp phịng chống tấn cơng giữa các hệ tự trị: Cơ chế tự động hóa trong cấu hình

hệ thống mạng nhờ giám sát, quản lý và điều khiển mạng tập trung trong SDN/Openflow được ứng dụng để trao đổi thông tin và phối hợp ngăn chặn tấn cơng DDoS. Nhóm nghiên cứu Sufian và Hassan [27] đề xuất giao thức trao đổi giữa các bộ điều khiển (C-to-C communication protocol) cho phép các hệ thống mạng liền kề phát triển trên nền SDN/Openflow có thể gửi các bản tin giúp xóa bỏ lưu lượng tấn công tới nguồn phát sinh theo cơ chế đẩy ngược (push-back).

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu năng lực cạnh tranh của điểm đến du lịch thừa thiên huế, việt nam (Trang 39 - 44)

Tải bản đầy đủ (PDF)

(139 trang)