Kết quả cho thấy, trên cùng tập dữ liệu kiểm thử, phương pháp FDDA có tỷ lệ phát hiện các yêu cầu tấn công cao hơn (Detection Rate - 93.75%) và tỷ lệ phát hiện nhầm yêu cầu bình thường là yêu cầu tấn công (False Positive - 0.89%) so với hai phương pháp được so sánh.
0 20 40 60 80 100 120 140 250 500 750 1000 1310 Time(s)
Số lượng yêu cầu nhận được
KNN NB PIDAD2
3.7. Kết luận chương 3
Trong chương này, chúng tôi đã tập trung nghiên cứu và đưa ra phương pháp phòng chống tấn cơng Web App-DDoS, bao gồm các nội dung chính như sau:
Tổng quan về tấn cơng Web App-DDoS và phương pháp phịng chống.
Mơ hình, phương pháp phịng chống tấn cơng Web App-DDoS.
Phát hiện tấn công Web App-DDoS.
Phịng chống tấn cơng Web App-DDoS sử dụng phương pháp FDDA.
Đánh giá thực nghiệm.
Trong đó, đóng góp chính của chúng tơi trong chương này bao gồm 03 nội dung:
Đề xuất phương pháp FDDA cho phép phát hiện và loại bỏ nhanh nguồn gửi yêu cầu tấn cơng. Phương pháp này đưa ra mơ hình mở kết hợp nhiều tiêu chí để tăng mức độ chính xác và hiệu quả trong việc phát hiện và phịng chống tấn cơng Web App- DDoS.
Nghiên cứu, đề xuất giải pháp loại bỏ nhanh các nguồn gửi u cầu tấn cơng, sử dụng tiêu chí tần suất.
Nghiên cứu, đề xuất giải pháp xác minh nguồn gửi u cầu bình thường, sử dụng tiêu chí tương quan.
Đối với hướng nghiên cứu mở rộng tiếp theo, liên quan đến phát hiện và phòng chống tấn công Web App-DDoS, chúng tôi sẽ tiếp tục nghiên cứu để tối ưu các giải pháp đã đề xuất và xây dựng các tiêu chí khác để tăng cường hiệu quả của phương pháp FDDA.
Bên cạnh đó, chúng tơi sẽ hướng đến việc nghiên cứu các giải pháp mới để phịng chống những dạng tấn cơng Web App-DDoS nguy hiểm và tinh vi hơn.
KẾT LUẬN VÀ ĐỀ XUẤT
1. Kết luận
Tôi thấy rằng, luận án là một cơng trình nghiên cứu có ý nghĩa về khoa học và thực tiễn. a) Về ý nghĩa khoa học:
Luận án đã đóng góp thêm tối thiểu 06 cơng trình nghiên cứu (chuẩn bị gửi đăng thêm 01 cơng trình nghiên cứu tại Tạp chí Khoa học và Cơng nghệ). Những cơng trình này có tính mở để tiếp tục phát triển mở rộng các hướng nghiên cứu khác. Cụ thể:
Đề xuất phương pháp mới trong việc phát hiện và loại bỏ các gói tin giả mạo trong tấn công TCP Syn Flood.
Đề xuất mơ hình phịng chống tấn cơng tấn cơng Web App-DDoS, có tính mở, cho phép kết hợp nhiều tiêu chí để làm tăng hiệu quả, mức độ chính xác trong việc phát hiện và phịng chống tấn cơng.
Xây dựng 02 tiêu chí cho phép loại bỏ nhanh các nguồn gửi yêu cầu tấn công và xác minh các nguồn gửi u cầu bình thường trong cơng tấn cơng Web App-DDoS. Các thuật toán được xây dựng cho phép xử lý nhanh số lượng lớn các yêu cầu gửi đến máy chủ và cần ít tài nguyên lưu trữ và thời gian xử lý.
Xây dựng tập dữ liệu kiểm thử cho hai dạng tấn cơng có đặc trưng riêng là TCP Syn Flood và tấn công Web App-DDoS trên một hệ thống mạng được xây dựng trên mơi trường ảo hóa.
b) Về nghĩa thực tiễn:
Kết quả nghiên cứu của luận án cũng đã đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 về “Xây dựng hệ thống xử lý tấn công từ chối dịch vụ và mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 về “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường và nguy cơ mất an tồn thơng tin trong Chính phủ điện tử” với nội dung nghiên cứu về phát triển, đề xuất các kỹ thuật mới/cải tiến cho phát hiện dấu hiệu của các tấn công DoS/DDoS, tấn công APT dựa trên phân tích dữ liệu log truy cập.
Trong quá trình thực hiện các nhiệm vụ của các đề tài nghiên cứu khoa học, chúng tôi đã xây dựng được một hệ thống phịng chống tấn cơng DDoS thực sự và đang được triển khai thử nghiệm tại trường Đại học Bách Khoa Hà Nội.
Bên cạnh đó, chúng tơi cũng đã xây dựng được một mạng botnet trên mơi trưởng ảo hóa cho phép thực hiện nhiều hình thức tấn công DDoS khác nhau để tạo ra các dữ liệu kiểm thử cho các nghiên cứu khác nhau. Chúng tôi đã tải lên trang mạng trực tuyến và địa chỉ tải dữ liệu kiểm thử trong phần phụ lục của luận án.
2. Kiến nghị, đề xuất
Tấn công DDoS là một dạng tấn công nguy hiểm với nhiều hình thức tấn cơng khác nhau mà tin tặc có thể sử dụng. Trong nghiên cứu này, chúng tôi mới chỉ tập trung giải quyết hai dạng tấn công DDoS phổ biến TCP Syn Flood và Web App-DDoS. Đây là hai dạng tấn cơng có đặc trưng riêng nên nên việc đề xuất ra một phương pháp phòng chống hiệu quả vẫn đang là thách thức với nhiều nhà nghiên cứu.
Do đó, chúng tơi thấy rằng, cần tiếp tục nghiên cứu để đưa ra các phương pháp phòng chống tối ưu và hiệu quả hơn cũng như phòng chống các dạng tấn công DDoS khác.
Tuy nhiên, trong phạm vi điều kiện về thời gian, kinh tế và cơng việc, chúng tơi đã có những đóng góp nhất định về khoa học và thực tiễn đối với những nghiên cứu của mình.
Trên cơ sở đó, chúng tơi xin kiến nghị, đề xuất Hội đồng tạo điều kiện giúp đỡ chúng tơi góp ý hồn thiện và thơng qua luận án.
DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN
1. T.M. Thang, Van K. Nguyen (2016), Synflood Spoof Source DDoS Attack Defence Based on Packet ID Anomaly Detection – PIDAD, 7th International Conference on Information Science and Applications 2016, HoChiMinh, Vietnam, February 15-18, 2016.
2. Trần Mạnh Thắng, Nguyễn Linh Giang, Nguyễn Khanh Văn (2016), Mơ hình và phương pháp phát hiện và giảm thiểu tấn công DDoS dạng TCP Syn Flood giả mạo IP nguồn, Tạp chí Khoa học và Cơng nghệ, số 114 năm 2016, tr. 37-41.
3. Trần Mạnh Thắng, Nguyễn Khanh Văn (2017), Phát hiện lọc bỏ nhanh các gói tin giả mạo trong tấn cơng mạng TCP Syn Flood; Tạp chí Các cơng trình nghiên cứu, phát triển Cơng nghệ thông tin và Truyền thông, Tập V-2, số 18 (38), tháng 12 năm 2017, tr. 33-41.
4. T.M. Thang, Van K. Nguyen (2017), FDDA: A Framework For Fast Detecting Source Attack In Web Application DDoS Attack, SoICT 17: Eighth International Symposium on Information and Communication Technology, December 7–8, 2017, Nha Trang City, Viet Nam. ACM, New York, NY, USA, 8 pages. https://doi.org/10.1145/3155133.3155173. 5. T.M. Thang, Chi Nguyen Q, Van K. Nguyen (2018), Synflood Spoof Source DDOS Attack Defence Based on Packet ID Anomaly Detection with Bloom Filter, The 5th Asian Conference on Defense Technology - ACDT 2018, Hanoi, Vietnam, 25-27 October 2018. 6. T.M. Thang, Van K. Nguyen (2019), “Fast Detection and Mitigation to DDoS Web Attack based on Access Frequency”, 2019 IEEE-RIVF International Conference on Computing and Communication Technologies, March, 2019.
TÀI LIỆU THAM KHẢO
[1] E. Y. K. Chan et al., Intrusion Detection Routers: Design, implementation and Evaluation Using an Experimental Testbed, IEEE Journal on Selected Areas in Communications, vol. 24, no. 10, pp. 1889 1900, 2006.
[2] B. H. Bloom, “Space/time trade-offs in hash coding with allowable errors,” Communications of the ACM, vol. 13, no. 7, pp. 422–426, 1970.
[3] BASKAR ZIMMERMANN (April 1980): "OSI Reference Model—The ISO Model of Architecture for Open Systems Interconnection".
[4] J. POSTEL: Transmission Control Protocol: DARPA internet program protocol specification, RFC 793, September 1981.
[5] CERT. TCP Syn Flooding and IP Spoofing Attacks. Advisory CA-96.21, September 1996.
[6] M. Ester, H.P. Kriegel, J. Sander and X. Xu, “A Density-Based Algorithm for Discovering Clusters in Large Spatial Databases with Noise,” in Proceedings of the 2nd International Conference on Knowledge Discovery and Data Mining, 1996.
[7] M.I. MIT, in Darpa Intrusion Detection Evaluation. Retrieved from Lincoln Laboratory: https://www.ll.mit.edu/ideval/data/1998data.html
[8] K. A. Bradley, S. Cheung, N. Puketza, B. Mukherjee, and R. A. Olsson, Detecting Disruptive Routers: A Distributed Network Monitoring Approach, in Proc. of the 1998 IEEE Symposium on Security and Privacy, May 1998.
[9] J. Lo et al., An IRC Tutorial, April, 2003, irchelp.com 1997, [online] http://www.irchelp.org/irchelp/irctutorial.html#part1.
[10] B. Hancock, Trinity v3, a DDoS tool, hits the streets, Computers & Security, Vol. 19, no. 7, pp. 574-574, Nov., 2000.
[11] P. Ferguson, and D. Senie, Network Ingress Filtering: Defeating Denial of Service Attacks that employ IP source address spoofing, Internet RFC 2827, 2000.
[12] LIPPMANN: the 1999 DARPA Off-Line Intrusion Detection Evaluation. Computer Networks 34(4), 579–595 (2000).
[13] P. J. Criscuolo, Distributed Denial of Service, Tribe Flood Network 2000, and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev. 1., Lawrence Livermore National Laboratory, February 14, 2000.
[14] J. Yan, S. Early, and R. Anderson, The XenoService - A Distributed Defeat for Distributed Denial of Service, in Proc. of ISW 2000, October 2000.
[15] Y. Huang, and J. M. Pullen, Countering Denial of Service attacks using congestion triggered packet sampling and filtering, in Proc. of the 10th International Conference on Computer Communiations and Networks, 2001.
[16] T. M. Gil, and M. Poleto, MULTOPS: a data-structure for bandwidth attack detection, in Proc. of 10th Usenix Security Symposium, Washington, DC, pp. 2338, August 1317, 2001.
[17] K. Park, and H. Lee, On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack, in Proc. of IEEE INFOCOM 2001, pp. 338347. [18] K. Park, and H. Lee, On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets, n Proc. ACM SIGCOMM, August 2001.
[19] Bysin, knight.c sourcecode, 2001, [online]
http://packetstormsecurity.org/distributed/ knight.c.
[20] F. Kargl, J. Maier, and M. Weber, “Protecting web servers from distributed denial of service attacks,” in WWW ’01: Proceedings of the 10th international conference on World Wide Web.NewYork, NY, USA: ACM Press, 2001, pp. 514–524.
[21] B. JOAO, D. CABRERA: Proactive Detection of Distributed Denial of Service Attacks Using MIB Traffic Variables A Feasibility Study, Integrated Network Management Proceedings, pp. 609 622, 2001.
[22] J. Mirkovic, G. Prier, and P. Reiher, Attacking DDoS at the Source, in Proc. of the 10th IEEE International Conference on Network Protocols (ICNP ’02), Washington DC, USA, 2002.
[23] http://rivf2019.udn.vn/Datatinh.aspx?id=55&idmenu=55.
[24] R. Mahajan, S. M. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, and S. Shenker, Controlling high bandwidth aggregates in the network, presented at Computer Communication Review, pp.62-73, 2002.
[25] D. Yau, J. C. S. Lui, and F. Liang, Defending against distributed denial of service attacks using max-min fair máy chủ centric router throttles, IEEE nternational conference on Quality of Service. 2002.
[26] J. Mirkovic, P. Reiher, and M. Robinson, Forming Alliance for DDoS Defense, in Proc. of New Security Paradigms Workshop, Centro Stefano Francini, Ascona, Switzerland, 2003.
[27] C. Wilson , DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/.
[28] L. V. Ahn, M. Blum, N. J. Hopper, and J. Langford, CAPTCHA: using hard AI problems for security, in Proc. of the 22nd international conference on Theory and
applications of cryptographic techniques (EUROCRYPT’03), Eli Biham (Ed.). Springer- Verlag, Berlin, Heidelberg, 294-311. 2003.
[29] C. Papadopoulos, R. Lindell, J. Mehringer, A. Hussain, and R. Govindan, Cossack: Coordinated Suppression of Simultaneous Attacks, in Proc. Of he DARPA Information Survivability Conference and Exposition, Vol. 1, pp. 2 13, Apr. 2003.
[30] S. Abdelsayed, D. Glimsholt, C. Leckie, S. Ryan, and S. Shami, An efficient filter for denial-of-service bandwidth attacks, in Proc. of the 46th IEEE Global Telecommunications Conference (GLOBECOM03), pp. 13531357, 2003.
[31] T. PENG, C. LECKIE, AND K. RAMAMOHANARAO: Protection from distributed denial of service attacks using history-based IP filtering, ICC ’03. May, Vol.1, pp: 482- 486, 2003.
[32] A. YAAR, A. PERRIG, AND D. SONG: Pi: A Path Identification Mechanism to Defend against DDoS Attacks, in IEEE Symposium on Security and Privacy, pp. 93, 2003. [33] J. Mirkovic, G. Prier, and P. Reihe, Source-End DDoS Defense, in Proc. of 2nd IEEE International Symposium on Network Computing and Applications, April 2003.
[34] R. Thomas, B. Mark, T. Johnson, and J. Croall, “Netbouncer: client legitimacy-based high-performance ddos filtering,” in DARPA Information Survivability Conference and Exposition, 2003. Proceedings, vol.1. IEEE Press, 2003, pp. 14–25.
[35] R. Puri, Bots and Botnet – an overview, Aug. 08, 2003, [online] http://www.giac.org/practical/GSEC/Ramneek Puri GSEC.pdf
[36] C. Douligeris and A. Mitrokotsa, “Ddos attacks and defense mechanisms: a classification,” in Signal Processing and Information Technology, 2003. ISSPIT 2003. Proceedings of the 3rd IEEE International Symposium on. IEEE Press, 2003, pp. 190–193. [37] M. LI, J. LIU, AND D. LONG: Probability Principle of Reliable Approach to detect signs of DDOS Flood Attacks, PDCAT, Springer-Verlag Berlin Heidelberg, pp.596-599, 2004.
[38] R. R. Kompella, S. Singh, and G. Varghese, “On scalable attack detection in the network,” in IMC ’04: Proceedings of the 4th ACM SIGCOMM conference on Internet measurement. New York, NY, USA: ACM Press, 2004, pp. 187–200.
[39] J. Mirkovic and P. Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, ACM SIGCOMM Computer Communications Review, vol.34, no. 2, pp. 39- 53, April 2004.
[40] V. A. Siris, and F. Papaglou, Application of anomaly detection algorithms for detecting syn flooding attacks, in Proc. of the IEEE GLOBECOM, 2004.
[41] M. Kim, H. Kang, S. Hong, S. Chung, and J. W. Hong, A flow-based method for abnormal network traffic detection, in Network Operations and Management Symposium, vol. 1, pp. 599-612, April 2004.
[42] B. Claise, Cisco Systems NetFlow Services Export Version 9, RFC 3954, 2004. [43] R. Chen, and J. M. Park, Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources, IEEE Int’l Conference on Computer Communications and Networks (ICCCN’05), Oct. 2005.
[44] Lawrence Berkeley National Laboratory (LBNL), ICSI, LBNL/ICSI Enterprise Tracing Project, 2005. (http://www.icir.org/enterprise-tracing/).
[45] S. Kandula, D. Katabi, M. Jacob, and A. W. BergerBotz-4-sale: Surviving organized ddos attacks that mimic flash crowds, in Proc. Of Symposium on Networked Systems Design and Implementation (NSDI), Boston, May 2005.
[46] https://drive.google.com/open?id=1nXUAAvOdV8rUE4Q6ePhXW_FajaT4dDb7. [47] R. Chen, J. M. Park, and R. Marchany, RIM: Router interface marking for IP traceback, in IEEE Global Telecommunications Conference (GLOBECOM’06), 2006. [48] S. Ranjan, R. Swaminathan, M. Uysal, and E. Knightly, DDoS-Resilient Scheduling to Counter Application Layer Attacks under Imperfect Detection, IEEE INFOCOM’06, 2006.
[49] Y. KIM, W. C. LAU, M. C. CHUAH, AND H. J. CHAO: PacketScore, A Statistics- Based Packet Filtering Scheme against Distributed Denial-of-Service Attacks, IEEE Trans. On Dependable and Secure Computing, vol. 3, no. 2, pp. 141-155, 2006.
[50] M. Walfish, M. Vutukuru, H. Balakrishnan, D. Karger, and S. Shenker, DDoS defense by offense, SIGCOMM Computer Communications Review, Vol. 36, no. 4, pp. 303- 314, August 2006.
[51] R. Chen, J. M. Park, and R. Marchany, TRACK: A novel approach for defending against distributed denial-of-service attacks, Technical Report TR-ECE-06-02, Dept. of Electrical and Computer Engineering, Virginia Tech, Feb. 2006.
[52] A. Dainotti, A. Pescape, and G. Ventre, Wavelet-based detection of dos attacks, in IEEE Global Telecommunications Conference, GLOBECOM, 2006.
[53] D.M. Powers, in Evaluation: from Precision, Recall and F-measure to ROC, Informedness, Markedness and Correlation, 23rd international conference on machine learning (Pitsburg,2006).
[54] KDD Cup 1999. Online: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, Ocotber 2007.
[55] J. Yu, Z. Li, H. Chen, and X. Chen, A Detection and Offense Mechanism to Defend Against Application Layer DDoS Attacks, the third International Conference on Networking and Services (ICNS’07), pp. 54, June 19-25, 2007.
[56] H. WANG, C. JIN, AND K. G. SHIN: Defense Against Spoofed IP Traffic Using Hop-Count Filtering, IEEE/ACM Trans. On Networking, vol. 15, no. 1, pp.40-53, February 2007.
[57] T. Peng, C. Leckie, and K. Ramamohanarao, Survey of network-based defense mechanisms countering the DoS and DDoS problems, ACM Comput. Surv. 39, 1, Article 3, April 2007.
[58] J. Nazario, BlackEnergy DDoS Bot Analysis, Arbor Networks, 2007, [online] http://atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+ Analysis.pdf
[59] A. T. Mizrak, S. Savage, and K. Marzullo, Detecting compromised routers via packet forwarding behavior, IEEE Network, pp.34-39, 2008.
[60] team-cymru Inc., A Taste of HTTP Botnets, July, 2008, [online] http://www.team- cymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf
[61] G. Kambourakis, T. Moschos, D. Geneiatakis, and S. Gritzalis, Detecting DNS Amplification Attacks, in Critical Information Infrastructures Security Lecture Notes in Computer Science, Vol. 5141, pp. 185-196, 2008.
[62] X. Liu, X. Yang, and Y. Lu, To filter or to authorize: network-layer DoS defense against multimillion-node botnets, in Proc. of the ACM SIGCOMM conference on Data communication (SIGCOMM ’08), NY, USA, pp. 195-206, 2008.
[63] G. Oikonomou, and J. Mirkovic, Modeling human behavior for defense against flash- crowd attacks, in Proc. of the 2009 IEEE international conference on Communications (ICC’09), pp. 625-630, 2009.
[64] K. Argyraki, and D. R. Cheriton, Scalable network-layer defense against internet bandwidth-flooding attacks, in IEEE/ACM Trans. Netw., 17(4), pp. 1284-1297, August 2009.
[65] S. Ranjan, R. Swaminathan, M. Uysal, A. Nucci, and E. Knightly, DDoS-shield: DDoS-resilient scheduling to counter application layer attacks, IEEE/ACM Trans. Netw., Vol. 17, no. 1, pp. 26-39, February 2009.
[66] Y. Xie, and S. Z. Yu, A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors, IEEE/ACM Transactions on Networking (TON), Vol. 17, no. 1, pp. 54-65, February 2009.
[67] Biswa Ranjan Swain, Bibhudatta Sahoo, “Mitigating DDoS attack and Saving