Tôi chọn số lần kiểm thử k = 18. Sau khi áp dụng thuật tốn kiểm thử chúng tơi phát hiện được 12/16 nguồn gửi yêu cầu có tần suất gửi cao và đồng đều, còn 04 nguồn gửi yêu cầu cịn lại chúng tơi sẽ tiếp tục xác minh sử dụng tiêu chí tương quan.
3.6.4.2. Kết quả xây dựng tập yêu cầu tương quan
Tôi thực hiện lấy mẫu log truy cập vào trang web của Viện Đào tạo Sau Đại học của Trường Đại học Bách Khoa Hà Nội từ thời điểm 17/10/2018, 18:21:22 đến 18/10/2018, 09:20:35. Kết quả chúng tôi thu được 6.686 yêu cầu từ 372 srcIP khác nhau. Chúng tôi thiết lập tham số đầu vào cho thuật tốn Association Rule với Độ hỡ trợ = 2 và độ tin cậy ≥ 50%. Kết quả chúng tôi thu được 140 tập dữ liệu tương quan.
3.6.4.3. Kết quả đánh giá thử nghiệm phương pháp FDDA
Tôi thực hiện đánh giá thực nghiệm với tập dữ liệu [2] sử dụng các tham số dưới đây được sử dụng như sau:
Ngưỡng phát hiện yêu cầu nghi ngờ tấn công FT (requests/second).
Số lượng yêu cầu trong tập DSus.
Số lượng yêu cầu nghi ngờ tấn công trong tập RA.
Tỷ lệ phát hiện đúng các nguồn gửi tấn công: Detection Rate - DR.
Tỷ lệ phát hiện nhầm các nguồn bình thường là tấn cơng: False Positive - FP. Kết quả thực nghiệm cho thấy phương pháp của chúng tơi có tỷ lệ phát hiện cao như trong bảng dưới đây: FT DSus RA DR FP 50 250 185 75.32% 1.28% 100 500 365 92.56% 1.11% 150 750 668 94.08% 0.89% 200 1000 897 88.75% 1.47% 300 1310 863 67.89% 1.49% Bảng 3.4 Kết quả thực nghiệm của phương pháp FDDA
Từ kết quả thực nghiệm ở trên cho thấy tỷ lệ phát hiện các nguồn gửi yêu cầu tấn công phụ thuộc vào giá trị FT. Giá trị này cần điều chỉnh cho phù hợp tương ứng với từng máy chủ cần bảo vệ.
Trường hợp giá trị FT được thiết lập quá nhỏ thì sẽ làm tăng tỷ lệ phát hiện nhầm các nguồn gửi u cầu bình thường là nguồn tấn cơng. Trường hợp giá trị FT được thiết lập q lớn thì sẽ bỏ sót các nguồn gửi tấn cơng có tần suất gửi u cầu thấp và làm ảnh hưởng tới tỷ lệ phát hiện các nguồn gửi tấn công DR.
3.6.5. So sánh hiệu quả của phương pháp FDDA với các phương pháp khác
Trong phần này, phương pháp FDDA sẽ được so sánh với các phương pháp khác. Chúng tôi sử dụng 09 tham số được tác giả Qin Liao [92] đưa ra để đánh giá thực nghiệm. Giá trị của những tham số này được tính tốn từ tập dữ liệu [2] và được sử dụng làm tham số đầu vào cho thuật toán Naive Bayes (NB) [72] và KNN [86]. Các tham số bao gồm:
sourceAddress, requestTimes diffReqTimes timesOfCode200 totalLength sessionDuration sequenceOfUrlLevel sequenceOfRequestFrequency sequenceOfRequestInterval
Kết quả so sánh về hiệu quả phát hiện tấn công:
Methods Detection Rate False Positive
KNN [86] 89.03% 1.03%
NB [72] 92.47% 1.47%
FDDA 93.75% 0.89%
Bảng 3.5 Bảng so sánh kết quả thực nghiệm giữa FDDA và KNN,NB Kết quả so sánh về thời gian xử lý: Kết quả so sánh về thời gian xử lý:
Hình 3.19 Thời gian xử lý dữ liệu kiểm thử của FDDA ,KNN và NB
Kết quả cho thấy, trên cùng tập dữ liệu kiểm thử, phương pháp FDDA có tỷ lệ phát hiện các yêu cầu tấn công cao hơn (Detection Rate - 93.75%) và tỷ lệ phát hiện nhầm yêu cầu bình thường là u cầu tấn cơng (False Positive - 0.89%) so với hai phương pháp được so sánh.
0 20 40 60 80 100 120 140 250 500 750 1000 1310 Time(s)
Số lượng yêu cầu nhận được
KNN NB PIDAD2
3.7. Kết luận chương 3
Trong chương này, chúng tôi đã tập trung nghiên cứu và đưa ra phương pháp phòng chống tấn cơng Web App-DDoS, bao gồm các nội dung chính như sau:
Tổng quan về tấn cơng Web App-DDoS và phương pháp phịng chống.
Mơ hình, phương pháp phịng chống tấn cơng Web App-DDoS.
Phát hiện tấn công Web App-DDoS.
Phịng chống tấn cơng Web App-DDoS sử dụng phương pháp FDDA.
Đánh giá thực nghiệm.
Trong đó, đóng góp chính của chúng tơi trong chương này bao gồm 03 nội dung:
Đề xuất phương pháp FDDA cho phép phát hiện và loại bỏ nhanh nguồn gửi yêu cầu tấn công. Phương pháp này đưa ra mơ hình mở kết hợp nhiều tiêu chí để tăng mức độ chính xác và hiệu quả trong việc phát hiện và phịng chống tấn cơng Web App- DDoS.
Nghiên cứu, đề xuất giải pháp loại bỏ nhanh các nguồn gửi yêu cầu tấn công, sử dụng tiêu chí tần suất.
Nghiên cứu, đề xuất giải pháp xác minh nguồn gửi yêu cầu bình thường, sử dụng tiêu chí tương quan.
Đối với hướng nghiên cứu mở rộng tiếp theo, liên quan đến phát hiện và phịng chống tấn cơng Web App-DDoS, chúng tơi sẽ tiếp tục nghiên cứu để tối ưu các giải pháp đã đề xuất và xây dựng các tiêu chí khác để tăng cường hiệu quả của phương pháp FDDA.
Bên cạnh đó, chúng tơi sẽ hướng đến việc nghiên cứu các giải pháp mới để phòng chống những dạng tấn công Web App-DDoS nguy hiểm và tinh vi hơn.
KẾT LUẬN VÀ ĐỀ XUẤT
1. Kết luận
Tôi thấy rằng, luận án là một cơng trình nghiên cứu có ý nghĩa về khoa học và thực tiễn. a) Về ý nghĩa khoa học:
Luận án đã đóng góp thêm tối thiểu 06 cơng trình nghiên cứu (chuẩn bị gửi đăng thêm 01 cơng trình nghiên cứu tại Tạp chí Khoa học và Cơng nghệ). Những cơng trình này có tính mở để tiếp tục phát triển mở rộng các hướng nghiên cứu khác. Cụ thể:
Đề xuất phương pháp mới trong việc phát hiện và loại bỏ các gói tin giả mạo trong tấn cơng TCP Syn Flood.
Đề xuất mơ hình phịng chống tấn cơng tấn cơng Web App-DDoS, có tính mở, cho phép kết hợp nhiều tiêu chí để làm tăng hiệu quả, mức độ chính xác trong việc phát hiện và phịng chống tấn cơng.
Xây dựng 02 tiêu chí cho phép loại bỏ nhanh các nguồn gửi yêu cầu tấn công và xác minh các nguồn gửi u cầu bình thường trong cơng tấn cơng Web App-DDoS. Các thuật toán được xây dựng cho phép xử lý nhanh số lượng lớn các yêu cầu gửi đến máy chủ và cần ít tài nguyên lưu trữ và thời gian xử lý.
Xây dựng tập dữ liệu kiểm thử cho hai dạng tấn cơng có đặc trưng riêng là TCP Syn Flood và tấn công Web App-DDoS trên một hệ thống mạng được xây dựng trên mơi trường ảo hóa.
b) Về nghĩa thực tiễn:
Kết quả nghiên cứu của luận án cũng đã đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 về “Xây dựng hệ thống xử lý tấn công từ chối dịch vụ và mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 về “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường và nguy cơ mất an tồn thơng tin trong Chính phủ điện tử” với nội dung nghiên cứu về phát triển, đề xuất các kỹ thuật mới/cải tiến cho phát hiện dấu hiệu của các tấn công DoS/DDoS, tấn cơng APT dựa trên phân tích dữ liệu log truy cập.
Trong quá trình thực hiện các nhiệm vụ của các đề tài nghiên cứu khoa học, chúng tôi đã xây dựng được một hệ thống phịng chống tấn cơng DDoS thực sự và đang được triển khai thử nghiệm tại trường Đại học Bách Khoa Hà Nội.
Bên cạnh đó, chúng tơi cũng đã xây dựng được một mạng botnet trên mơi trưởng ảo hóa cho phép thực hiện nhiều hình thức tấn cơng DDoS khác nhau để tạo ra các dữ liệu kiểm thử cho các nghiên cứu khác nhau. Chúng tôi đã tải lên trang mạng trực tuyến và địa chỉ tải dữ liệu kiểm thử trong phần phụ lục của luận án.
2. Kiến nghị, đề xuất
Tấn công DDoS là một dạng tấn công nguy hiểm với nhiều hình thức tấn cơng khác nhau mà tin tặc có thể sử dụng. Trong nghiên cứu này, chúng tôi mới chỉ tập trung giải quyết hai dạng tấn công DDoS phổ biến TCP Syn Flood và Web App-DDoS. Đây là hai dạng tấn cơng có đặc trưng riêng nên nên việc đề xuất ra một phương pháp phòng chống hiệu quả vẫn đang là thách thức với nhiều nhà nghiên cứu.
Do đó, chúng tơi thấy rằng, cần tiếp tục nghiên cứu để đưa ra các phương pháp phòng chống tối ưu và hiệu quả hơn cũng như phịng chống các dạng tấn cơng DDoS khác.
Tuy nhiên, trong phạm vi điều kiện về thời gian, kinh tế và cơng việc, chúng tơi đã có những đóng góp nhất định về khoa học và thực tiễn đối với những nghiên cứu của mình.
Trên cơ sở đó, chúng tơi xin kiến nghị, đề xuất Hội đồng tạo điều kiện giúp đỡ chúng tơi góp ý hồn thiện và thơng qua luận án.
DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN
1. T.M. Thang, Van K. Nguyen (2016), Synflood Spoof Source DDoS Attack Defence Based on Packet ID Anomaly Detection – PIDAD, 7th International Conference on Information Science and Applications 2016, HoChiMinh, Vietnam, February 15-18, 2016.
2. Trần Mạnh Thắng, Nguyễn Linh Giang, Nguyễn Khanh Văn (2016), Mơ hình và phương pháp phát hiện và giảm thiểu tấn công DDoS dạng TCP Syn Flood giả mạo IP nguồn, Tạp chí Khoa học và Cơng nghệ, số 114 năm 2016, tr. 37-41.
3. Trần Mạnh Thắng, Nguyễn Khanh Văn (2017), Phát hiện lọc bỏ nhanh các gói tin giả mạo trong tấn cơng mạng TCP Syn Flood; Tạp chí Các cơng trình nghiên cứu, phát triển Cơng nghệ thơng tin và Truyền thông, Tập V-2, số 18 (38), tháng 12 năm 2017, tr. 33-41.
4. T.M. Thang, Van K. Nguyen (2017), FDDA: A Framework For Fast Detecting Source Attack In Web Application DDoS Attack, SoICT 17: Eighth International Symposium on Information and Communication Technology, December 7–8, 2017, Nha Trang City, Viet Nam. ACM, New York, NY, USA, 8 pages. https://doi.org/10.1145/3155133.3155173. 5. T.M. Thang, Chi Nguyen Q, Van K. Nguyen (2018), Synflood Spoof Source DDOS Attack Defence Based on Packet ID Anomaly Detection with Bloom Filter, The 5th Asian Conference on Defense Technology - ACDT 2018, Hanoi, Vietnam, 25-27 October 2018. 6. T.M. Thang, Van K. Nguyen (2019), “Fast Detection and Mitigation to DDoS Web Attack based on Access Frequency”, 2019 IEEE-RIVF International Conference on Computing and Communication Technologies, March, 2019.
TÀI LIỆU THAM KHẢO
[1] E. Y. K. Chan et al., Intrusion Detection Routers: Design, implementation and Evaluation Using an Experimental Testbed, IEEE Journal on Selected Areas in Communications, vol. 24, no. 10, pp. 1889 1900, 2006.
[2] B. H. Bloom, “Space/time trade-offs in hash coding with allowable errors,” Communications of the ACM, vol. 13, no. 7, pp. 422–426, 1970.
[3] BASKAR ZIMMERMANN (April 1980): "OSI Reference Model—The ISO Model of Architecture for Open Systems Interconnection".
[4] J. POSTEL: Transmission Control Protocol: DARPA internet program protocol specification, RFC 793, September 1981.
[5] CERT. TCP Syn Flooding and IP Spoofing Attacks. Advisory CA-96.21, September 1996.
[6] M. Ester, H.P. Kriegel, J. Sander and X. Xu, “A Density-Based Algorithm for Discovering Clusters in Large Spatial Databases with Noise,” in Proceedings of the 2nd International Conference on Knowledge Discovery and Data Mining, 1996.
[7] M.I. MIT, in Darpa Intrusion Detection Evaluation. Retrieved from Lincoln Laboratory: https://www.ll.mit.edu/ideval/data/1998data.html
[8] K. A. Bradley, S. Cheung, N. Puketza, B. Mukherjee, and R. A. Olsson, Detecting Disruptive Routers: A Distributed Network Monitoring Approach, in Proc. of the 1998 IEEE Symposium on Security and Privacy, May 1998.
[9] J. Lo et al., An IRC Tutorial, April, 2003, irchelp.com 1997, [online] http://www.irchelp.org/irchelp/irctutorial.html#part1.
[10] B. Hancock, Trinity v3, a DDoS tool, hits the streets, Computers & Security, Vol. 19, no. 7, pp. 574-574, Nov., 2000.
[11] P. Ferguson, and D. Senie, Network Ingress Filtering: Defeating Denial of Service Attacks that employ IP source address spoofing, Internet RFC 2827, 2000.
[12] LIPPMANN: the 1999 DARPA Off-Line Intrusion Detection Evaluation. Computer Networks 34(4), 579–595 (2000).
[13] P. J. Criscuolo, Distributed Denial of Service, Tribe Flood Network 2000, and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev. 1., Lawrence Livermore National Laboratory, February 14, 2000.
[14] J. Yan, S. Early, and R. Anderson, The XenoService - A Distributed Defeat for Distributed Denial of Service, in Proc. of ISW 2000, October 2000.
[15] Y. Huang, and J. M. Pullen, Countering Denial of Service attacks using congestion triggered packet sampling and filtering, in Proc. of the 10th International Conference on Computer Communiations and Networks, 2001.
[16] T. M. Gil, and M. Poleto, MULTOPS: a data-structure for bandwidth attack detection, in Proc. of 10th Usenix Security Symposium, Washington, DC, pp. 2338, August 1317, 2001.
[17] K. Park, and H. Lee, On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack, in Proc. of IEEE INFOCOM 2001, pp. 338347. [18] K. Park, and H. Lee, On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets, n Proc. ACM SIGCOMM, August 2001.
[19] Bysin, knight.c sourcecode, 2001, [online]
http://packetstormsecurity.org/distributed/ knight.c.
[20] F. Kargl, J. Maier, and M. Weber, “Protecting web servers from distributed denial of service attacks,” in WWW ’01: Proceedings of the 10th international conference on World Wide Web.NewYork, NY, USA: ACM Press, 2001, pp. 514–524.
[21] B. JOAO, D. CABRERA: Proactive Detection of Distributed Denial of Service Attacks Using MIB Traffic Variables A Feasibility Study, Integrated Network Management Proceedings, pp. 609 622, 2001.
[22] J. Mirkovic, G. Prier, and P. Reiher, Attacking DDoS at the Source, in Proc. of the 10th IEEE International Conference on Network Protocols (ICNP ’02), Washington DC, USA, 2002.
[23] http://rivf2019.udn.vn/Datatinh.aspx?id=55&idmenu=55.
[24] R. Mahajan, S. M. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, and S. Shenker, Controlling high bandwidth aggregates in the network, presented at Computer Communication Review, pp.62-73, 2002.
[25] D. Yau, J. C. S. Lui, and F. Liang, Defending against distributed denial of service attacks using max-min fair máy chủ centric router throttles, IEEE nternational conference on Quality of Service. 2002.
[26] J. Mirkovic, P. Reiher, and M. Robinson, Forming Alliance for DDoS Defense, in Proc. of New Security Paradigms Workshop, Centro Stefano Francini, Ascona, Switzerland, 2003.
[27] C. Wilson , DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/.
[28] L. V. Ahn, M. Blum, N. J. Hopper, and J. Langford, CAPTCHA: using hard AI problems for security, in Proc. of the 22nd international conference on Theory and
applications of cryptographic techniques (EUROCRYPT’03), Eli Biham (Ed.). Springer- Verlag, Berlin, Heidelberg, 294-311. 2003.
[29] C. Papadopoulos, R. Lindell, J. Mehringer, A. Hussain, and R. Govindan, Cossack: Coordinated Suppression of Simultaneous Attacks, in Proc. Of he DARPA Information Survivability Conference and Exposition, Vol. 1, pp. 2 13, Apr. 2003.
[30] S. Abdelsayed, D. Glimsholt, C. Leckie, S. Ryan, and S. Shami, An efficient filter for denial-of-service bandwidth attacks, in Proc. of the 46th IEEE Global Telecommunications Conference (GLOBECOM03), pp. 13531357, 2003.
[31] T. PENG, C. LECKIE, AND K. RAMAMOHANARAO: Protection from distributed denial of service attacks using history-based IP filtering, ICC ’03. May, Vol.1, pp: 482- 486, 2003.
[32] A. YAAR, A. PERRIG, AND D. SONG: Pi: A Path Identification Mechanism to Defend against DDoS Attacks, in IEEE Symposium on Security and Privacy, pp. 93, 2003. [33] J. Mirkovic, G. Prier, and P. Reihe, Source-End DDoS Defense, in Proc. of 2nd IEEE International Symposium on Network Computing and Applications, April 2003.
[34] R. Thomas, B. Mark, T. Johnson, and J. Croall, “Netbouncer: client legitimacy-based high-performance ddos filtering,” in DARPA Information Survivability Conference and Exposition, 2003. Proceedings, vol.1. IEEE Press, 2003, pp. 14–25.
[35] R. Puri, Bots and Botnet – an overview, Aug. 08, 2003, [online] http://www.giac.org/practical/GSEC/Ramneek Puri GSEC.pdf
[36] C. Douligeris and A. Mitrokotsa, “Ddos attacks and defense mechanisms: a classification,” in Signal Processing and Information Technology, 2003. ISSPIT 2003. Proceedings of the 3rd IEEE International Symposium on. IEEE Press, 2003, pp. 190–193. [37] M. LI, J. LIU, AND D. LONG: Probability Principle of Reliable Approach to detect signs of DDOS Flood Attacks, PDCAT, Springer-Verlag Berlin Heidelberg, pp.596-599, 2004.
[38] R. R. Kompella, S. Singh, and G. Varghese, “On scalable attack detection in the network,” in IMC ’04: Proceedings of the 4th ACM SIGCOMM conference on Internet measurement. New York, NY, USA: ACM Press, 2004, pp. 187–200.
[39] J. Mirkovic and P. Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, ACM SIGCOMM Computer Communications Review, vol.34, no. 2, pp. 39- 53, April 2004.
[40] V. A. Siris, and F. Papaglou, Application of anomaly detection algorithms for detecting syn flooding attacks, in Proc. of the IEEE GLOBECOM, 2004.
[41] M. Kim, H. Kang, S. Hong, S. Chung, and J. W. Hong, A flow-based method for abnormal network traffic detection, in Network Operations and Management Symposium, vol. 1, pp. 599-612, April 2004.
[42] B. Claise, Cisco Systems NetFlow Services Export Version 9, RFC 3954, 2004. [43] R. Chen, and J. M. Park, Attack Diagnosis: Throttling distributed denial-of-service