c. Kiến trúc tấn cơng Botnet
2.2. Các tiêu chí đo đạc và đánh giá hiệu năng mạng
Hiệu năng mạng được hiểu như độ hiệu quả của mạng trong các hoạt động truyền tin bao gồm từ lúc bản tin được gửi từ nút nguồn cho đến khi nhận được ở nút đích. Độ hiệu quả việc truyền tin được xét theo hai tiêu chí là tính tin cậy và tính kịp thời. Tính tin cậy trả lời cho câu hỏi cĩ gĩi tin nào bị mất mát trong quá trình truyền tin khơng, trong khi tính kịp thời trả lời cho câu hỏi gĩi tin cĩ đến trễ khơng. Mục tiêu của tấn cơng DoS là làm suy yếu tính tin cậy và tính kịp thời của việc truyền tin, từ đĩ làm giảm hiệu quả của truyền thơng trong IoT. Vì vậy, việc đánh giá hiệu năng mạng sẽ dựa vào hai tiêu chí là tỉ lệ truyền nhận thành cơng đại diện cho tính tin cậy và Độ trễ đại diện cho tính kịp thời.
WSN là cảm biến bị giới hạn về năng lượng, tấn cơng DoS làm gia tăng mức độ tiêu thụ năng lượng khiến mạng IoT bị cạn kiệt tài nguyên, giảm thơng số liên quan đến truyền thơng. Trong một số tình huống, mức độ tiêu thụ năng lượng cũng được xét như một tiêu chí quan trọng để đánh giá hiệu năng mạng.
2.2.1. Tỉ lệ truyền nhận thành cơng (PDR)
PDR (Packet Delivery Ratio) của một nút là thơng số chỉ ra tỉ lệ phần trăm giữa số lượng gĩi tin gửi đến nút đĩ với số lượng gĩi tin mà nút đĩ nhận được. Nĩi cách khác, thơng số này chỉ ra bao nhiêu phần trăm gĩi tin đến được đích. PDR càng lớn, phần trăm gĩi tin đến được đích càng cao. Ngược lại, lượng gĩi tin khơng đến được mục tiêu càng thấp và điều đĩ cĩ nghĩa là hiệu quả hoạt động càng cao.
Ở đây, việc xác định số gĩi tin mà một nút gửi đi hoặc nhận được khơng khĩ, nhưng biết gĩi tin mà nút đĩ gửi đi là đến nút nào thì khơng đơn giản. Do đĩ, để tính được PDR của tồn mạng, ta sẽ sử dụng cơng thức (1) (1)
Trong đĩ:
• R: Tổng số gĩi tin mà tất cả các nút nhận được (tính cả nút Coordinator). • S: Tổng số gĩi tin mà tất cả các nút gửi đi (tính cả nút Coordinator). • Đơn vị của PDR là %
Do mạng mơ phỏng là một hệ khép kín, gĩi tin gửi từ một nút chắc chắn phải đến một nút khác trong mạng đĩ. Vì thế cơng thức (1) cho phép tính tốn chính xác PDR của tồn mạng mà khơng cần phải lần xem gĩi tin từ một nút sẽ gửi đến nút nào.
Để tính tốn PDR, tính số lượng bản tin gửi đi từ các nút Client và phân tích bản tin mà nút root nhận được, từ đĩ truy địa chỉ nguồn của từng bản tin và đếm số lượng các bản tin đã gửi thành cơng cho nút Coordinator với từng nút Client, truyền thơng các gĩi tin trong hệ thống hay truyền thơng trung gian khơng được sử dụng để phục vụ tính tốn PDR.
PDR phản ánh độ tin cậy truyền thơng, PDR càng lớn, càng nhiều bản tin đến đích thành cơng, độ tin cậy càng cao [43]. Theo Mansfield đến từ Trung tâm Cengage thì PDR từ 95% trở lên là đảm bảo mạng hoạt động ổn định [44].
2.2.2. Độ trễ trung bình (Latency)
Latency của một nút là thơng số chỉ ra thời gian trung bình của thương giữa một gĩi tin từ nơi xuất phát đến mục tiêu với quãng đường gĩi tin đĩ đi (khơng tính các gĩi tin khơng đến được đích). Nĩi cách khác, thơng số này chỉ ra một gĩi tin mất bao nhiều thời gian trên một đơn vị đường truyền mạng (cĩ thể gọi là vận tốc của gĩi tin) [47]. Ngược lại với PDR, Latency càng nhỏ, gĩi tin đi càng nhanh, hiệu năng mạng càng cao. Sau khi tính được Latency của từng nút, sẽ lấy giá trị trung bình của các nút này (khơng tính nút Bot và nút Coordinator). Cơng thức (2) tính Latency của một nút.
(2) Trong đĩ:
• n: Tổng số gĩi tin đến được mục tiêu.
• i: Số thứ tự gĩi tin (được đánh theo thời gian gĩi tin đĩ tới đích) từ 0 tăng thêm 1 với mỗi gĩi tin tới đích.
• TRi – TSi: Thời gian gĩi tin đĩ từ khi nĩ rời khỏi nơi xuất phát cho đến khi đến được nút đo đạc. Đơn vị là mili giây (ms).
• Di: Khoảng cách từ nơi gĩi tin đĩ xuất phát tới đích đến (nút đo đạc được). Đơn vị là mét (m). Ý nghĩa của thơng số này là tạo sự cân bằng giữa các nút ở xa nút nguồn và các nút ở gần nút nguồn. Các nút ở xa nút
nguồn sẽ cĩ thời gian truyền tin dài hơn các nút ở gần nút nguồn, chính vì vậy, việc chia thời gian với khoảng cách sẽ giúp các nút cĩ giá trị đạt độ tương đồng cao trên tồn mạng, khơng phân biệt nút đĩ ở xa hay gần nút nguồn.
• Đơn vị của Latency là mili giây trên mét (ms/m)
Quãng đường là giá trị cĩ thể tính tốn, thời gian gĩi tin ra vào cũng cĩ thể lần ra từ việc đọc địa chỉ gĩi tin, việc tính tốn Latency khơng khĩ khăn.
2.2.3. Năng lượng tiêu thụ (E)
Thơng số đo năng lượng một nút tiêu thụ trong suốt quá trình hoạt động. Do Contiki-OS chỉ là một hệ điều hành mơ phỏng, nĩ khơng thể cho biết thơng số chính xác năng lượng tiêu thụ ở cấp độ vật lý. Do đĩ, Contiki quy ước một cách trừu tượng năng lượng tiêu thụ dựa trên phần trăm giữa thời gian nút này hoạt động (tiêu thụ năng lượng) so với tổng thời gian mà chương trình mơ phỏng hoạt động. Thời gian nút này hoạt động càng lớn, nút tiêu thụ càng nhiều và điều này chứng tỏ mạng hoạt động khơng hiệu quả, gây lãng phí năng lượng [45]. Ngồi ra, Contiki cũng là hệ điều hành mơ phỏng thực tế, cĩ thể ước tính năng lượng vật lý mà mạng cảm biến sẽ tiêu thụ nếu nĩ được triển khai trên thực địa bằng cơng thức (3) do V.Gokilapriya và các cộng sự đề xuất trên bài báo “Energy measurements and
conversions” tại Tạp chí quốc tế về xu hướng nghiên cứu nâng cao trong Kỹ thuật
và Cơng nghệ [46]: (3)
Trong đĩ Tx, Rx, CPM và LPM là các tham số và thay đổi với mỗi lần thí nghiệm dù là mơ phỏng hay thực tế:
• Tx: phần trăm giữa thời gian nút đấy thức để gửi một gĩi tin với tổng thời gian của chương trình.
• Rx: phần trăm giữa thời gian nút đấy thức để chờ được nhận các gĩi tin đến với tổng thời gian của chương trình.
• CPU: Năng lượng CPU tiêu thụ cho chương trình mơ phỏng. Thơng số này cố định với từng cấu hình Hệ điều hành Contiki trong mỗi lần mơ phỏng, khơng phụ thuộc vào hoạt động mơ phỏng.
phỏng của các nút với tổng thời gian của chương trình. Thơng số này cũng cố định với từng cấu hình Hệ điều hành Contiki mỗi lần mơ phỏng, khơng phụ thuộc vào hoạt động mơ phỏng.
• Năng lượng vật lý được đo bằng mili Jun (mJ)
Trong đĩ Et, Er, Eo, EI và τ là các hằng số và khơng đổi với mỗi lần thí nghiệm dù là mơ phỏng hay thực tế. Tuy nhiên, với các thiết bị khác nhau thì các hằng số này lại cĩ giá trị khác nhau:
• Et: Hằng số năng lượng gửi là độ tiêu thụ năng lượng của nút mạng khi thức để gửi một gĩi tin.
• Er: Hằng số năng lượng nhận là độ tiêu thụ năng lượng của nút mạng khi thức để chờ được nhận các gĩi tin.
• Eo: Hằng số Cache độ tiêu thụ năng lượng của trong quá trình lưu trữ và truy cập dữ liệu giữa Cache và CPU trong hoạt động của nút mạng.
• EI: Hằng số trễ giữa các thao tác nhận, gửi,..... • τ: Hằng số điện áp đầu vào của nút mạng.
Như vậy, với từng thí nghiệm với các loại nút mạng khác nhau, trên các loại thiết bị khác nhau, các hằng số sẽ khác nhau. Với từng thí nghiệm cụ thể (mơ phỏng hoặc thực tế), tác giả sẽ thiết lập hằng số cụ thể dựa trên loại hình và các thơng số kỹ thuật của các thiết bị đĩng vai trị nút thí nghiệm, từ đĩ sẽ cĩ cơng thức cụ thể. 2.3. Giải pháp Overhearing phịng chống tấn cơng DoS
Như những phân tích trước, tấn cơng từ chối dịch vụ (DoS) khơng nhằm mục đích hủy hoại hay đánh cắp dữ liệu mà hủy hoại tính sẵn sàng của hệ thống hoặc dữ liệu đĩ. Việc đối phĩ với tấn cơng DoS cũng khơng thể theo phương pháp thơng thường là loại bỏ hồn tồn được. Do đĩ, cách tiếp cận hiện nay của các giải pháp thường là phát hiện sớm tấn cơng và hạn chế ảnh hưởng của tấn cơng DoS. Giải pháp Overhearing thực chất là phát hiện sớm tấn cơng, tuy nhiên, cũng sẽ trình bày phương pháp cải tiến, cấu hình ngăn chặn ảnh hưởng của tấn cơng DoS và so sánh với kịch bản khơng bị tấn cơng.
2.3.1. Cơ chế Overhearing nguyên bản
Overhearing là từ ghép của từ “Over” (vượt lên) và “hearing” (nghe ngĩng), tức là nghe ngĩng ở trên mức bình thường. Overhearing là một tập hợp các lý luận
về ý tưởng xây dựng một phương thức giám sát, do thám giữa các thực thể ngang hàng nhau trong cùng một cơ quan đơn vị tổ chức, phương thức này được sử dụng rộng rãi trong thu thập tin tức tình báo, cơng tác phản gián trong các lực lượng quân đội trên thế giới. Mặc dù được áp dụng từ xa xưa, nhưng việc hệ thống hĩa lý luận về Overhearing và áp dụng trong cơng tác phản gián giữa các đơn vị quân đội cùng cấp mới được đề xuất trong thời gian gần đây, cụ thể cuộc chiến tranh Crimea trong giai đoạn 1853 – 1858 [48].
Khi các vấn đề về an ninh mạng được quan tâm, trước sự phát triển của mạng máy tính cũng như IoT, việc áp dụng tư tưởng về Overhearing từ cơng tác tình báo vào an tồn thơng tin trở thành một xu hướng khả thi, để nâng cao khả năng giám sát các đối tượng trong hệ thống mạng máy tính, đặc biệt hữu ích trong lĩnh vực IoT với số lượng các nút mạng lớn, phân bố giàn trải và áp dụng mơ hình phân tán.
Ý tưởng đầu tiên về việc xây dựng hệ thống giám sát an ninh trong mạng Cảm biến khơng dây sử dụng các ý tưởng từ Overhearing được đề xuất vào năm 2007 bởi một nhà khoa học gốc Việt Nam cơng tác tại Đại học Bourgogne, Pháp là Lê Hùng Cường và các cộng sự tại Hội thảo Quốc tế về Ứng dụng và Cơng nghệ Cảm biến [49]. Giải pháp nguyên bản này là Giải pháp Overhearing trên tầng MAC hay viết tắt là OBMAC (Overhearing based in MAC Layer). Cơ chế này cho phép một nút mạng thu thập thơng tin từ các trường dữ liệu ở tầng MAC từ các gĩi tin của các nút trong phạm vi phủ sĩng của nút đĩ để đánh giá nguy cơ xem liệu nút đĩ cĩ phải là mối đe dọa tiềm tàng về an ninh và an tồn thơng tin khơng. Tuy nhiên, các mối đe dọa này mà OBMAC liên quan đến vấn đề nghe lén và giả mạo dữ liệu, OBMAC khơng cĩ khả năng dựa vào Overhearing để phát hiện các mối nguy về tấn cơng DDoS. Luận án đã đề xuất giải pháp cải tiến sử dụng Overhearing để phát hiện các cuộc tấn cơng DDoS bằng kiến trúc Botnet và cơ chế UDP Flood.
Ở các mạng cảm biến bình thường sử dụng giao thức định tuyến RPL, một nút Client chỉ cần quan tâm xem nút dưới nĩ và nút trên nĩ gửi những gì, cịn các nút hàng xĩm xung quanh thì nếu khơng cùng nhánh cây DAG thì nút đĩ khơng quan tâm. Với giải pháp Overhearing, các nút sẽ phải nghe xem tất cả các nút hàng xĩm gửi bao nhiêu gĩi tin, nhận bao nhiêu gĩi tin. Từ đĩ, nút đĩ cĩ thể phát hiện ra
nút nào cĩ biểu hiện của tấn cơng DoS (trung bình gửi và nhận quá nhiều gĩi tin hay cĩ những liên lạc bất hợp pháp với Botmaster) và cĩ biện pháp ngăn chặn kịp thời (thường là từ chối giao dịch với nút Bot). Overhearing thực ra chỉ mang tính chất trừu tượng, nên cần thiết phải xây dựng thuật tốn phát hiện nút Bot, cấu hình thuật tốn và thiết lập ngăn chặn tấn cơng vào các File.c trước rồi mơ phỏng tương tự kịch bản đã thực hiện ở trên.
- Overhearing cĩ một số ưu điểm sau đây:
+ Giải pháp Overhearing mang tính chất phân quyền, khơng phụ thuộc vào bất kỳ sự chỉ đạo nào. Các nút hoạt động độc lập, được cài đặt thuật tốn phát hiện nút Bot sẽ cĩ vai trị vai trị quyền hạn tương đương nhau. Các nút cĩ quyền từ chối giao dịch của bất kỳ nút Client nào nếu biết nút này là Bots. Điều này sẽ tạo ra phản ứng nhanh nhạy, khá quan trọng với ứng phĩ các cuộc tấn cơng DoS.
+ Giải pháp Overhearing hướng vào các nút mạng chứ khơng phải hướng hệ thống và trao đổi dữ liệu. Các nút khơng cần phải nhận mệnh lệnh từ trung tâm như các giải pháp an ninh truyền thống. Do đĩ, ngay cả khi mạng hồn tồn bị tê liệt, giải pháp vẫn đảm bảo duy trì hoạt động.
Từ hai ưu điểm trên, ta cĩ thể thấy giải pháp Overhearing phù hợp với mạng quy mơ lớn, các nút mạng ở cách xa nhau và xa trung tâm điều khiển, địi hỏi tính độc lập rất cao. Giải pháp Overhearing cũng cĩ tính chịu lỗi cao, cĩ thể hoạt động trong điều kiện bị tấn cơng nặng nề.
2.3.2. Ý tưởng cải tiến cơ chế Overhearing
Như đã trình bày ở Phần 1.4.3. Ashish Patil và Rahul Gaikwad [32] đã đề xuất kỹ thuật Overhearing dựa trên tầng MAC của WSN nhưng chưa đưa ra giải pháp tận dụng thành quả của cơ chế Overhearing để ngăn chặn và giảm thiệt hại từ cuộc tấn cơng DoS. Overhearing thực ra chỉ mang tính chất trừu tượng, nên triển khai trên thực tế cũng như mơ phỏng trên Contiki-OS, sẽ phải xây dựng thuật tốn phát hiện nút Bot, cấu hình thuật tốn và cài đặt ngăn chặn tấn cơng. Cĩ rất nhiều thuật tốn từ đơn giản tới phức tạp để phát hiện một nút cảm biến cĩ phải là Bot hay khơng. Cĩ phương pháp dựa vào lưu lượng dữ liệu trao đổi, cĩ phương pháp dựa trên truy vết từ gĩi tin,… Chẳng hạn như, Gunawardhana đã đề xuất tính năng chặn bắt gĩi tin của Wireshark [50] để phát hiện các bất thường về độ trễ, độ sai lệch
thơng tin và độ tương đồng giữa các bản tin thơng qua thuật tốn Vector Học máy trong các nút mạng xung quanh, từ đĩ phát hiện các nút được coi là nhiễm Bots và ngăn chặn bằng cách cách ly các nút Bots để các nút khơng gây hại cho tồn hệ thống mạng. Ưu điểm của cơng trình này là đã được triển khai trên hệ thống mạng WSN quy mơ trung bình (khoảng 200 nút mạng) và cho kết quả khả quan khi các cuộc tấn cơng DoS đã bị ngăn chặn trong thời gian ngắn, mạng sau khi bị tấn cơng vẫn duy trì hoạt động bình thường. Tuy nhiên, hạn chế của giải pháp này là tiêu thụ tài nguyên rất lớn, vì Wireshark vốn là ứng dụng được phát triển trên mạng Internet thơng thường, cĩ hoạt động phức tạp yêu cầu nhiều tài nguyên. Do đĩ, đối với các mạng quy mơ nhỏ cĩ tài nguyên hạn chế, giải pháp Wireshark sẽ khiến mạng bị quá tải và làm giảm hiệu năng mạng. Như vậy, giải pháp này vẫn chưa thể áp dụng đối với WSN, hay mạng IoT cĩ các thiết bị tài nguyên yếu. Từ đĩ, luận án đề xuất giải pháp với thuật tốn phát hiện nút Bots trực tiếp bên trong các nút mạng mà khơng cần phải cài thêm các phần mềm phụ trợ như Wireshark. Giải pháp khơng phân tích tồn bộ gĩi tin như Wireshark, chỉ biết được địa chỉ gửi của gĩi tin, nhưng vẫn phát hiện được các nút Bots mà khơng tiêu thụ quá nhiều tài nguyên. Giải pháp này cũng kế thừa phương án cách ly nút Bots để duy trì hoạt động bình thường mạng WSN mà vẫn đảm bảo tránh lây nhiễm Bot, hạn chế tác hại của tấn cơng DoS. Phần tiếp theo luận án sẽ mơ tả về giải pháp và thuật tốn đề xuất này.
2.3.3. Cơ chế Overhearing cải tiến trong phịng chống tấn cơng DoS
Hiện nay, kiểu tấn cơng phổ biến nhất là tấn cơng sử dụng kiến trúc Botnet và cơ chế UDP Flood. Với mục đích giảm thiểu những thiệt hại to lớn do các cuộc