CHƯƠNG 2 PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYNFLOOD
2.7. Kết luận chương 2
Trong chương này, chúng tôi đã đưa ra những nội dung nghiên cứu chính như sau:
Tổng quan về dạng tấn cơng TCP Syn Flood và phương pháp phịng chống;
Mơ hình phương pháp phát hiện và phịng chống tấn cơng TCP Syn Flood;
Phát hiện tấn công TCP Syn Flood;
Cơ chế phát hiện và loại bỏ các gói tin giả mạo trong tấn cơng DDoS TCP Syn Flood;
Đánh giá thực nghiệm. 0 20 40 60 80 100 120 140 160 180 200 24229 48459 72688 96918 121147 145377 Time
Số lượng gói tin nhận được
C4.5 PIDAD2
Về nội dung trọng tâm trong chương này, chúng tôi đưa ra phương pháp mới trong việc phát hiện và loại bỏ những gói tin giả mạo sử dụng trong tấn cơng TCP Syn Flood trên cơ sở phát hiện sự tăng liên tục của giá trị PID khi một gói tin được gửi ra khỏi máy tính.
Với giả thuyết tin tặc thực hiện tấn công TCP Syn Fflood giả mạo địa chỉ IP nguồn và trường PID được thiết lập với giá trị mặc định theo nguyên lý hoạt động của các hệ điều hành, các giải pháp được chúng tơi đề xuất có tỷ lệ phát hiện các gói tin giả mạo cao hơn và thời gian xử lý thấp hơn các phương pháp khác.
Tuy nhiên, đối với mỡi giải pháp được đề xuất vẫn cịn những điểm hạn chế nhất định và cần tiếp tục nghiên cứu để hoàn thiện.
Các giải pháp PIDAD1 và PIDAD2 chỉ đạt tỷ lệ phát hiện các gói giả mạo cao khi các máy tham gia tấn công gửi tối thiểu 03 gói tin có PID tăng liên tiếp theo từng đợt. Tuy nhiên có nhiều trường hợp máy tính tham gia tấn cơng chỉ gửi tối đa 02 gói tin rồi ngắt quãng thì các giải pháp hiện tại sẽ bỏ sót các trường hợp này. Để giải quyết trường hợp này, chúng tôi đề xuất hướng nghiên cứu tiếp theo như sau:
Ý tưởng cơ bản của hướng nghiên cứu tiếp theo là: Khi tấn công TCP Syn Flood xảy ra, tỷ lệ các gói tin SYN giả mạo so với các gói tin SYN thực là rất cao. Do đó, chúng ta có thể tìm cách nhóm các gói tin SYN theo giá trị PID tăng dần để có số lượng các gói tin SYN được nhóm nhiều nhất. Các gói tin trong mỡi nhóm sẽ được coi là gói tin giả mạo và có các tham số để xác định gói tin tiếp theo gửi tới sẽ thuộc về nhóm đó.
Trong nghiên cứu trước đây [88], chúng tôi đã đề xuất phương pháp sử dụng giải pháp DBSCAN với các giá trị epsilon và minpts cho mỗi Cluster khác nhau (DBSCAN-MP). Do đó, hướng nghiên cứu tiếp theo của chúng tơi là sử dụng phương pháp DBSCAN-MP để nhóm các gói tin SYN theo giá trị PID tăng dần ngắt quãng. Mỗi Cluster sẽ xác định được giá trị epsilon và minpts riêng. Đây là tham số để xác định các gói tin giả mạo tiếp theo nhận được vào từng Cluster.