Bảo mật là một tham số mới nhưng rất quan trọng bên cạnh tập các tham số để cung cấp QoS dịch vụ theo các mức ưu tiên khác nhau tới người dùng trước những hành động xâm nhập và tấn công mạng. Một trong những nguy cơ tác động đến việc đảm bảo an tồn thơng tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn cơng từ chối dịch vụ (Denied of Service-DoS) [27]. DoS là một trong những thủ đoạn nhằm ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. Về bản chất, kẻ tấn cơng sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ...và làm mất khả năng xử lý các yêu cầu dịch vụ từ các khách hàng khác. Tấn công DoS nói chung khơng nguy hiểm như các kiểu tấn cơng khác, vì kẻ tấn cơng ít có khả năng thâm nhập hay chiếm được thông tin dữ liệu của hệ thống. Tuy nhiên, nếu máy chủ tồn tại mà không thể cung cấp thơng tin, dịch vụ cho người sử dụng thì sự tồn tại này là khơng có ý nghĩa, đặc biệt là các hệ thống phục vụ các giao dịch điện tử thì thiệt hại là vơ cùng lớn. Tất cả các hệ thống máy tính đều chỉ có một giới hạn nhất định nên nó chỉ có thể đáp ứng một yêu cầu dịch vụ giới hạn nào đó mà thơi. Như vậy, hầu hết các máy chủ đều có thể trở thành mục tiêu tấn cơng của DoS đặc biệt là trong mạng NGN.
Các cuộc tấn công DoS hiện nay thường rất phức tạp gây những ảnh hưởng xã hội nghiêm trọng về thông tin, làm gián đoạn dịch vụ quan trọng, tổn thất lớn về kinh tế,...đặc biệt là tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDoS) và tấn công từ chối dịch vụ phản xạ nhiều vùng (Distributed Re- flection Denial of Service-DRDoS) [14,20,63]. Theo báo cáo quý II năm 2014 của
Prolexic7, 10 quốc gia bị tấn công DDoS nhiều nhất trên thế giới là Mỹ (20.26%), Nhật bản (18.16%), Trung Quốc (12.30%), Đức (10.30%), Mexico (8.31%), Ấn độ (8.26%), Brazil (7.94%), Turkey (5.16%), Nga (4.87%) và Thái lan (4.44%). Tại Việt Nam, theo thống kê của Bkav cho thấy, trung bình mỗi tuần có 1 đến 2 cuộc tấn cơng DDoS vào các website phổ biến, trong đó tập trung vào các website
thương mại điện tử, website cơng nghệ, báo điện tử có nhiều người truy cập. Minh chứng rõ nhất là từ năm 2010 đến nay, hầu như năm nào cũng chứng kiến các cuộc tấn công vào nhiều tờ báo điện tử phổ biến như Vietnamnet, Tuoitre, Dantri, Kênh14. . . dẫn đến tắc nghẽn đường truyền, việc truy cập của người dùng hợp pháp bị gián đoạn. Đặc biệt, theo ghi nhận của Bkav, cuộc tấn công vào Viet- namnet năm 2011 với cường độ 1,5 triệu kết nối cùng một thời điểm là cuộc tấn công lớn nhất8. Trong 2 năm 2012-2013, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT)9 đã ghi nhận các mạng botnet vẫn hoạt động rất mạnh mẽ ở Việt Nam và chúng trở nên ngày càng nguy hiểm và khó kiểm sốt hơn. Mạng botnet Zeus có 14.075 có địa chỉ IP Việt Nam; mạng botnet Sality, Downadup, Trafficconverter có 113.273 địa chỉ IP Việt Nam. Trong đó, mạng Sality có 20 địa chỉ IP từ các cơ quan nhà nước; mạng Downadup có 154 địa chỉ IP từ các cơ quan nhà nước. Theo báo cáo của Kaspersky vào tháng 9/2013, ở Việt Nam, mạng Ramnit có 119.439 bot (đưa Việt Nam trở thành quốc gia đứng số 1 thế giới ngang bằng với Ấn Độ); Mạng StlBot, dclj (cửa hậu) có 10.651 bot (chiếm 90% của thế giới)10. . . Bộ phận bảo mật Microsoft báo cáo số liệu thống kê những cuộc tấn công lớn, được theo dõi và ghi nhận chính thức ở Việt Nam có khoảng 300 website bị tấn cơng năm 2011 và hơn 2.500 năm 2012. Tập đoàn bảo vệ bảo mật máy tính quốc tế Symantec đánh giá Việt Nam hiện đứng thứ 11 trên tồn cầu về nguy cơ bị tấn cơng mạng với số lượng các vụ tấn cơng có chủ đích gia tăng từ 77 cuộc lên đến trên 82 cuộc mỗi ngày. Như vậy, DDoS đã trở thành một trong các tội phạm nghiêm trọng bậc nhất được xem là nguy cơ số một về an ninh mạng của các website vì khả năng chống đỡ lại nó rất ít đặc biệt là đối với hạ tầng mạng NGN với sự đa dạng của các dịch vụ như hiện nay.
Thực tế đã chứng minh, khi các cuộc tấn công DDos xảy ra. Lập tức phân tích sẽ thấy được lưu lượng mạng rất khác thường. Do đó hầu hết các thuật tốn phân tích phát hiện tấn cơng DDos hiện nay đều dựa trên tính khác thường của lưu lượng mạng. Một số các công nghệ thống kê được áp dụng để tiến hành phân tích, thống kê những lưu lượng tải làm việc để phát hiện. Từ những kỹ thuật phân tích này, sẽ có những thuật toán phát hiện để đưa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công. Thông số kiểm tra được dùng để phân loại các thuật toán như số lượng lớn lưu lượng, số địa chỉ IP mới hoặc tỷ lệ các gói tin đến và đi trong mạng. Kỹ thuật thống kê sử dụng các thuật tốn thống kê để phân tích mạng (như ngưỡng giới hạn phù hợp, phát hiện điểm thay đổi và phân tích wavelet). Mức độ phân tích chi tiết các thơng số, các mức độ nguy hiểm sẽ được gán. Các thuật tốn phân tích, phát hiện tấn cơng DDoS phổ biến hiện nay gồm: ngưỡng giới hạn khả năng đáp ứng (Adaptive Threshold) [63], tổng tích lũy (Cumulative sum-CUSUM), theo dõi địa chỉ IP nguồn (Source IP Address Monitoring [20], kiểm tra tỷ lệ lưu lượng đến và đi (Ratio of Input/Output
8http://www.bkav.com.vn
9Vietnam Computer Emergency Response Team, http://www.vncert.gov.vn
Traffic) [14]. Gần đây, xu hướng sử dụng Proxy trung gian để phòng thủ, bảo vệ trước các cuộc tấn cơng DDoS mà khơng địi hỏi thay đổi cơ sở hạ tầng nên rất thuận lợi cho việc sử dụng ở quy mơ lớn trong thực tế [16,17]. Vì vậy, hướng tiếp
cận của luận án là sử dụng chính sách an ninh riêng để kiểm sốt tấn công trên các nút Router có thể điều khiển được.