khai ở phía phần đích với các phương pháp cụ thể được trình bày trong chương 2 và chương 3.
1.5.5. Các nghiên cứu liên quan đến phòng chống tấn công TCP Syn Flood
Trong phần này, luận án sẽ rà soát một số nghiên cứu liên quan đến phương pháp phịng chống tấn cơng TCP Syn Flood để làm cơ sở cho các đề xuất cụ thể của chúng tơi được trình bày ở các chương 2, như sau:
1) Tác giả A. Yaar và đồng nghiệp (2003) đề xuất phương pháp Path Identifier [32]. Phương pháp này lưu trữ giá trị thể hiện đường đi (Path Identification – PI) của mỡi gói tin khi đi từ nguồn đến đích ứng với mỡi địa chỉ nguồn. Các gói tin đi cùng đường đến đích sẽ có thơng tin PI thường giống nhau, và sẽ được sử dụng để lọc bỏ tất cả các gói tin giả mạo có cùng đường đi với một gói tin giả mạo đã phát hiện trước đó. Phương pháp này cần không gian lưu trữ lớn để lưu thông tin địa chỉ IP nguồn với đường đi tương ứng.
2) Tác giả T. Peng (2003) và đồng nghiệp đề xuất phương pháp History-based IP filtering [31]. Phương pháp này lưu lại thông tin các địa chỉ IP nguồn thường xuyên kết nối vào hệ thống khi tấn công DDoS chưa xảy ra. Khi xảy ra tấn công, các địa chỉ IP đã lưu lại này sẽ được kết nối vào hệ thống, còn lại sẽ bị lọc bỏ. Điểm hạn chế của phương pháp này là khi xảy ra tấn cơng, các kết nối có IP nguồn chưa được lưu trước đó sẽ khơng thể kết nối vào hệ thống cần bảo vệ.
3) Tác giả R. Chen và đồng nghiệp (2006) đề xuất phương pháp IP Traceback [47]. Phương pháp này dựa trên cơ chế truy vết kẻ tấn công trên cơ sở lưu lại thông tin (thông tin của giao diện của các Router dọc đường) về đường đi từ nguồn đến đích cho mỡi địa chỉ IP nguồn để tìm ra các gói tin giả mạo. Theo phương pháp này các gói tin giả mạo là gói tin có thơng tin có đường đi khơng khớp với thơng tin được lưu trước đó tương ứng với cùng một địa chỉ IP nguồn. Tuy nhiên, phương pháp này có hạn chế lớn là yêu cầu các trạm router trung gian phải hỗ trợ cơ chế đánh dấu đường đi nên rất khó triển khai trong thực tế.
4) Tác giả H. Wang và đồng nghiệp (2007) đề xuất phương pháp Hop-count filtering [56]. Phương pháp này ghi nhận thông tin hop-count tương ứng với mỗi IP nguồn khi tấn công chưa xảy ra. Khi tấn công DDoS xảy ra, các gói tin có thơng tin hop-count tương ứng với địa chỉ IP nguồn khác với thơng tin đã lưu trước đó sẽ được coi là giả mạo và bị lọc bỏ. Phương pháp này cần không gian lưu trữ lớn để lưu thông tin địa chỉ IP nguồn với hop-count tương ứng.
5) Tác giả B.R. Swain và đồng nghiệp (2009) đề xuất phương pháp sử dụng xác suất phương pháp Hop-count filtering [67] để tiết kiệm thời gian tính tốn và xử lý. Phương pháp này phân tích xác suất của mỡi gói tin đến p, số gói tin độc hại n và số gói tin bình thường m. Phương pháp này chưa xử lý trường hợp các gói tin chưa được kiểm tra thì có bình thường hay khơng.
6) Tác giả Krishna Kumar và đồng nghiệp (2010) đề xuất phương pháp sử dụng thông tin Hop Count và kết hợp với Path Identification – PI tại các Router [75]. Thông tin đường đi của gói tin IP được đưa vào trường identification của IP Header. Các gói tin hợp lệ là các gói tin có địa chỉ IP nguồn khớp với giá trị PI được lưu trước đó, khi chưa có tấn công DDoS xảy ra. Phương pháp này yêu cầu các Router phải chia sẻ thông tin với nhau. Mỗi Router cần không gian lưu trữ lớn và nhiều thời gian xử lý, tính tốn.
7) Tác giả Ritu Maheshwari và đồng nghiệp (2013) đề xuất phương pháp dựa trên phân bổ xác suất của hop-count và kết hợp với khoảng thời tin gói tin đi từ nguồn đến đích (Round Trip Time - RTT) [90]. Phương pháp này lưu thơng tin hop-count và RTT của mỡi gói tin khi chưa xảy ra tấn công. Giá trị này là cơ sở để xác định các gói tin giả mạo. Gói tin giả mạo được xác định nếu thông tin về hop-count và RTT không khớp với thông tin được lưu trước đó. Hiệu quả của phương pháp này phụ thuộc vào tính ổn định của giá trị RTT. Trong thực tế, giá trị này phụ thuộc vào lưu lượng mạng theo từng thời điểm, khi lưu lượng mạng tăng cao thì giá trị này cũng thay đổi.
8) Tác giả Opeyemi.A. Osanaiye và đồng nghiệp (2015) đề xuất phương pháp phát hiện các gói tin giả mạo dựa theo giá trị của trường TTL kết hợp với đặc trưng của hệ điều hành của
máy gửi gói tin [95]. Phương pháp này thu thập các thông tin TTL, window size, DF và TL để xác định hệ điều hành của máy Client gửi gói tin trong q trình khơng xảy ra tấn cơng. Giá trị TTL cùng với thông tin loại hệ điều hành được lưu lại để làm cơ sở phát hiện các gói tin giả mạo khi tấn công DDoS xảy ra. Phương pháp này chưa đề cập tới trường hợp có máy Client mới và thơng tin về TTL và hệ điều hành chưa được lưu trước đó thì Client này sẽ khơng được kết nối vào hệ thống cần bảo vệ khi tấn công DDoS xảy ra hay không.
9) Tác giả A. Degirmencioglu và đồng nghiệp (2016) đưa ra đánh giá về các phương pháp giảm thiểu tấn công TCP Syn Flood sử dụng phương pháp phân loại - Classification [96]. Trong đó, tác giả sử dụng các trường thơng tin như IP đích, TTL, MMS, ACK… để làm thông tin đầu vào cho các phương pháp phân loại. Tác giả tạo ra tập dữ liệu D1 và D2 để thực hiện đánh giá. Các gói tin giả mạo được phát hiện sẽ được phương pháp này gửi thông tin đến Firewall để thực hiện ngăn chặn. Phương pháp này mới chỉ được áp dụng với tập dữ liệu được lấy mẫu và lưu trữ trước đó mà chưa có cơ chế xử lý theo thời gian thực khi có từng gói tin gửi đến hệ thống.
10) Tác giả Akshat Gaurav và đồng nghiệp (2017) đề xuất phương pháp phát hiện tấn công DDoS dựa vào tính tốn Entropy của IP nguồn [100]. Phương pháp này dựa trên ý tưởng là khi có tấn cơng DDoS xảy ra, số lượng các kết nối mạng có địa chỉ IP nguồn khác nhau tăng một cách ngẫu nhiên so với khi hệ thống khơng bị tấn cơng. Phương pháp này nhóm các địa chỉ IP nguồn theo từng nhóm để có cơ sở tính tốn giá trị Entropy cho mỡi nhóm. Hai ngưỡng threshold1 và threshold2 được sử dụng để xác định khi nào tấn cơng DDoS xảy ra và gói tin nào là gói tin tấn cơng. Trong đó, giá trị threshold1 được xác định dựa trên tính tốn Entropy của mỡi nhóm và giá trị threshold2 được xác định dựa trên thuật toán Load Shedding. 11) Tác giả L. Kavisankar và đồng nghiệp (2017) đề xuất mơ hình và cơ chế phát hiện và phịng chống tấn cơng TCP Syn Flood [99]. Trong đó, tác giả đề xuất cơ chế lưu thơng tin các IP sạch trong Bloom Filter để cho phép các IP sạch được ưu tiên truy cập vào hệ thống cần bảo vệ khi tấn công xảy ra. Đối với các IP chưa nằm trong danh sách IP sạch thì được xác thực thơng qua Proxy Server. Khi đó, Proxy máy chủ đại diện cho máy chủ bị tấn cơng để gửi gói tin SYN, ACK về phía IP nguồn để xác minh. Nếu Proxy máy chủ nhận được gói tin ACK từ phía IP nguồn thì IP đó được coi là sạch.
12) Tác giả T.Alharbi và đồng nghiệp (2018) đề xuất mơ hình và phương pháp phát hiện và giảm thiểu tấn công TCP Syn Flood sử dụng NFV (Network Functions Virtualization) [101]. Trong mơ hình đề xuất, tác giả đưa ra thành phần Screener cho phép phân tích lưu lượng mạng để phát hiện tấn công TCP Syn Flood sử dụng thuật toán DBSCAN. Thành phần Screener cho phép tương tác với các thành phần chức năng khác trong hệ thống như thành phần ngăn chặn tấn công lớp mạng/lớp ứng dụng, thành phần cấp phát tài nguyên để gửi cảnh báo và thực hiện ngăn chặn tấn cơng. Thuật tốn DBSCAN sử dụng các trường thông tin lớp IP (TTL, DF, TL) và các trường thông tin của lớp TCP (Dst Port, Window size) làm các tiêu chí phân loại đầu vào cho thuật tốn.
13) Tác giả Ryosuke Nagai và đồng nghiệp (2018) đề xuất phương pháp giảm thiểu tấn công TCP Syn Flood sử dụng OpenFlow-based, công nghệ SDN [102]. Phương pháp này thực
hiện cơ chế xác thực địa chỉ IP nguồn bằng cách đại diện máy chủ gửi thông tin phản hồi về IP nguồn gửi gói tin SYN đến. Trường hợp IP nguồn gửi thơng tin phản hồi hợp lệ thì IP đó sẽ được cho phép kết nối tới máy chủ cần bảo vệ. Cơ chế xác thực và cho phép các IP nguồn hợp lệ được kết nối tới máy chủ cần bảo vệ được thực hiện trên OpenFlow switch và OpenFlow controller.
1.5.6. Các nghiên cứu liên quan đến phịng chống tấn cơng Web App-DDoS
Trong phần này, luận án sẽ rà soát một số nghiên cứu liên quan đến phương pháp phịng chống tấn cơng Web App-DDoS để làm cơ sở cho các đề xuất cụ thể của chúng tơi được trình bày ở các chương 3, như sau:
1) Tác giả Yang Li và đồng nghiệp (2009) đề xuất phương pháp E-FCM [68] (Extend Fuzzy C-Means). Phương pháp này giải quyết hạn chế của phương pháp TCM-KNN (Transductive Confidence Machines K-Nearest Neighbors) về thời gian tính tốn mà tác giả đã đề xuất trước đó. Để đánh giá thực nghiệm, tác giả thiết lập một máy chủ trực tuyến và thực hiện q trình học trong vịng vài ngày với dữ liệu được tạo ra từ 5000 máy Client. Tác giả sử dụng công cụ Stacheldraht và TFN2K thực hiện tấn công vào máy chủ để đánh giá thực nghiệm.
2) Tác giả Luis Campo Giralte và đồng nghiệp (2013) đề xuất phương pháp kết hợp giữa phương pháp thống kê và phân tích yêu cầu ứng dụng Web khi truy cập các tài nguyên khác nhau trên máy chủ [91]. Tác giả sử dụng 03 tiêu chí để xác định các nguồn gửi yêu cầu không hợp lệ. Các nguồn gửi yêu cầu không hợp lệ được đánh dấu và được xử lý bởi một hệ thống ngăn chặn độc lập. Tác giả sử dụng tiêu chí về tần suất truy cập từ một nguồn, đường dẫn truy cập được lưu trong bộ nhớ cache trước đó và tần suất lặp yêu cầu giống nhau để là cơ sở phát hiện các nguồn gửi yêu cầu không hợp lệ. Để đánh giá thực nghiệm, tác giả sử dụng một máy chủ trên môi trường thực. Tác giả đã thu thập được 290.000 kết nối ứng dụng Web từ 14.000 người dùng khác nhau. Qua đánh giá thực nghiệm, kết quả cho thấy phương pháp tác giả đề xuất có khả năng phát hiện các dạng tấn công mà tin tặc sử dụng công cụ Acunetix [81] hoặc Google Bot [82] và web-crawlers.
3) Tác giả Qin Liao và đồng nghiệp (2014) đưa ra tập các đặc trưng được sử dụng để phát hiện tấn cơng App-DDoS trên cơ sở phân tích nhật ký truy cập của máy chủ [92]. Tác giả sử dụng 9 đặc trưng được lấy ra từ nhật ký truy cập. Các đặc trưng được chia làm các nhóm về thời gian, tần suất và chiều dài yêu cầu. Để có dữ liệu đánh giá thực nghiệm, tác giả sử dụng tập dữ liệu ClarkNet-HTTP. Tập dữ liệu này được thu thập trong 2 tuần từ một máy chủ với 3.328.587 u cầu bình thường. Để có dữ liệu tấn cơng, tác giả thực hiện giả lập các cuộc tấn công và trộn lẫn với tập dữ liệu ClarkNet-HTTP. Tác giả tiến hành so sánh hiệu quả của 3 phương pháp Naive Bayes, RBF Network và C4.5 đối với tập dữ liệu thu được và với 14 đặc trưng mà tác giả đề xuất.
4) Tác giả Ko Ko Oo và đồng nghiệp (2015) đề xuất phương pháp Hidden Semi-Markov [94]. Tác giả sử dụng 03 nhóm tiêu chí về tần suất gửi u cầu tới ứng dụng Web, thời gian đọc trang Web và thứ tự các u cầu nhận được. Từ 03 nhóm tiêu chí này tác giả lựa chọn 7 tiêu chí cụ thể (tổng số gói tin nhận được, tổng số kích thước dữ liệu nhận được, kích thước
trung bình của gói tin, tần suất nhận được gói tin, kích thước dữ liệu trên một đơn vị thời gian, mức độ biến đổi thời gian và kích thước gói tin) để làm thơng tin đầu vào cho phương pháp của mình. Tác giả cũng đề xuất mơ hình thuật tốn bao gồm 5 bước để thực hiện phân biệt gói tin tấn cơng hay bình thường. Tác giả tạo dữ liệu kiểm thử đánh giá phương pháp của mình sử dụng cơng cụ Hping3.
5) Tác giả K. Munivara Prasad và đồng nghiệp (2018) đề xuất phương pháp học máy [103]. Tác giả sử dụng thuật tốn K-Means để nhóm các phiên kết nối tới máy chủ vào các nhóm theo thời gian. Ngồi ra, tác giả cũng sử dụng tiêu chí về chiều dài yêu cầu, tỷ lệ số lượng gói tin và khoảng thời gian giữa các yêu cầu được gửi tới máy chủ để thiết lập các ngưỡng phát hiện tấn công. Tác giả sử dụng tập dữ liệu kiểm thử LLDOS 2.0.2 [7, 53] để đánh giá thực nghiệm phương pháp đề xuất của mình.
1.6. Nghiên cứu tiêu chí đánh giá hiệu quả phương pháp
Trong phần này, luận án trình bày về các tiêu chí đánh giá hiệu quả của các phương pháp phòng chống tấn cơng DDoS. Các tiêu chí được đề cập ở đây được đưa ra trên cơ sở tham khảo các nghiên cứu liên quan [89]. Các tiêu chí này cũng được sử dụng phổ biến trong các nghiên cứu để đánh giá hiệu quả của các phương pháp được đề xuất.
Theo nghiên cứu [89], tiêu chí đánh giá hiệu quả của phương pháp phòng thủ thường sử dụng các tiêu chí dưới đây:
Quyết định đưa ra Negative (Không Cảnh báo/Xử lý) Positive (Cảnh báo/Xử lý) Dự đốn Negative (Khơng tấn cơng) A B Positive (Tấn công) C D