6-tuple 4-tuple DR(%) FA(%) DR(%) FA(%) OF switch 1 98.61 0.59 98.57 0.48 OF switch 2 99.11 0.46 98.73 0.62 OF switch 3 3.52 0.12 3.27 0.13
Bảng 4.5 cho thấy đối với chuyển mạch OF 1 đổi 1 sử dụng bộ 4 - tuple (0,48) tốt hơn so với việc sử dụng 6- tuple (0,59) chủ yếu là khi các cảnh báo lỗi được đưa vào tài khoản. Điều này xảy ra bởi vì trong một số trường hợp các giá trị của PPf và GSf làm giải pháp SOM[5] đã đưa ra kết quả không đúng. Tuy nhiên, khi lấy các mẫu bắt đầu từ chuyển mạch 2 thì tình hình ngược lại, tức là bộ 6- tuple có một kết quả tốt hơn (0.46 báo động sai và tỷ lệ phát hiện 99,11), so với bộ 4-tuple (0,62 báo động sai và tỷ lệ phát hiện 98,73). Lý do là trong chuyển mạch này giá trị PPf và GSf khi bị tấn công và lúc bình thường cho giá trị khác nhau đáng kể, và làm cho việc phân loại mẫu là một nhiệm vụ dễ dàng.
Hình 4.7 So sánh GSf của các mẫu trong các chuyển mạch OF 1 và 2
Hình 4.6 mô tả so sánh PPf của các mẫu trong các chuyển mạch OF 1 và 2. Chú ý rằng giá trị PPf thu được từ các mẫu thu thập từ chuyển mạch OF 1 trong thời gian của cuộc tấn công là cùng một phạm vi thay đổi (0.9 đến 1.0) giống như những gì thu thập được trong cùng một khoảng thời gian khi lưu lượng bị tấn công. Tuy nhiên, các mẫu thu được từ chuyển mạch OF 2 lại khác nhau (0.3 và 0.6) tại cùng một thời gian.
Phân tích tương tự có thể được thực hiện về các dữ liệu trong hình 4.7 chỉ khác đây tương ứng với tính năng GSf. Chúng ta có thể thấy rằng hầu hết các giá trị mẫu cho mơ hình mạng bị tấn cơng thu được từ chuyển mạch OF 1 tương tự như của mơ hình mạng bình thường ( chỉ khác nhau 0-1,8). Giá trị cho các tính năng tương tự thu được từ chuyển mạch OF 2 là khoảng từ 4 đến 7,2. Hầu hết các phát hiện dương tính sai đã thu được khoảng thời gian trong đó trạng thái của tất cả các thiết bị chuyển mạch thay đổi từ khơng tích cực đến một có một tỷ lệ thấp của lưu lượng truy cập hợp pháp. Các mơ hình của lưu lượng truy cập đăng ký trong khoảng thời gian như vậy phản ánh một bị mạng tấn cơng DDoS bởi vì các tính năng APf, ABf, và ADf kết thúc với một loạt các giá trị tương tự như những trình bày của lưu
lượng truy cập hợp pháp. Việc phân loại các mạng bị tấn cơng như bình thường dẫn đến SOM sẽ vẽ kết luận sai từ một số mẫu.
Phát hiện sai thường xảy ra khi thông số Tỷ lệ tấn công đã được thiết lập một giá trị thấp[6][7]. Tuy nhiên, một cuộc tấn cơng ở mức thấp tỷ lệ lưu lượng gói tin là ít gây hại cho hệ thống của nạn nhân. Các giá trị phát hiện Tỷ lệ tấn cồng thấp trình bày trong bảng V của chuyển mạch 3 có thể được giải thích bởi thực tế là khơng có mạng bị tấn công qua chuyển mạch này. Các giá trị của phát hiện cho chuyển mạch 3 (3.52 cho bộ 6-tuple và 3.27 cho bộ 4-tuple) tương ứng với lưu lượng tạo ra bởi các nạn nhân để đáp ứng với sự tấn cơng ồ ạt của DDoS. Trong thí nghiệm này đã quan sát thấy các phát triển tuyến tính của flow trong mạng bị tấn công. Điều này xảy ra bởi vì các gói tin đến trong chuyển mạch OpenFlow trong một DDoS tấn công - IP và cổng giả mạo - là rất khó để phù hợp với bất kỳ mục nào trong Bảng flow của chuyển mạch. Do đó, đối với mỗi gói tin khơng phù hợp, một flow bắt đầu được tạo ra bởi NOX nơi chịu trách nhiệm điều khiển các chuyển mạch .
4.6.4 Thời gian thực hiện
Cách tiếp cận của phương pháp phát hiện tấn công DDoS dùng SOM này dựa trên thông tin của các dịng để phân loại các mơ hình giao thơng tại một thời điểm nhất định trong một khoảng thời gian, và các mẫu thơng tin đó được thu thập mỗi 3 giây, giảm chi phí đáng kể cho tồn bộ các cơ chế phát hiện khi so sánh với các phương pháp tiếp cận dựa trên bộ dữ liệu KDD-99. Điều này là do sự cần thiết phải thu thập tất cả các gói tin gửi một nạn nhân, và sau đó q trình thơng tin trước đó cần thiết để tạo ra hồ sơ kết nối. Bên cạnh đó, nếu chúng ta xem xét các trường hợp kịch bản xấu nhất xẩy ra (tấn công DDoS tràn ngập với lưu lượng rất lớn của các gói dữ liệu tấn cơng), làm các chi phí có xu hướng tăng lên rất cao. Để so sánh phương pháp này khác với phương pháp tiếp cận của bộ dữ liệu KDD-99 [22] đã xây dựng một thí nghiệm trong đó một tấn cơng DDoS đã được tạo ra với một tốc độ tấn công cao và sự giả mạo tiêu đề IP (trường hợp xấu nhất). Thí nghiệm
này tạo ra một số lượng lớn các mục flow đã được hỗ trợ bởi chuyển mạch OF và các modul Collector và Extractor khi chúng xử lý tất cả các mục flow.
Bảng 4.6 cho thấy một so sánh về thời gian CPU trích xuất các tính năng cần thiết để phát hiện tấn công dùng phương pháp bộ dữ liệu KDD-99 và phương pháp đã nêu ở đây. Báo cáo thu được từ thí nghiệm chạy trên một hệ thống với 2.66 GHz, CPU lõi kép, và bộ nhớ RAM 3,5 GB đối với phương pháp bộ dữ liệu KDD-99 và các giá trị của phương pháp đã đưa ra đã thu được từ các thí nghiệm chạy trên một hệ thống với 1.8 GHz, CPU lõi kép, và bộ nhớ RAM 2 GB. Khoảng thời gian tương ứng để tạo ra 30.000 mẫu trong cả hai trường hợp.
Bảng 4.6 Kết quả so sánh các tính năng được tạo ra trên cùng một hệ tài nguyên của phương pháp SOM và KDD-99
This method KDD-99 based methods Number of features 6 4 9 41
CPU time(s) 154 109 237 2043
Kết quả trình bày trong bảng 4.6 chứng minh rằng phương pháp này nhanh hơn so với phương pháp tiếp cận KDD-99.
4.6.5 Tính linh hoạt
Đóng góp tiếp theo của phương pháp này liên quan đến sự khó khăn các phương pháp khác khi triển khai cơ chế phát hiện dựa trên flow cơ bản. Thông thường, để truy cập các thông tin cần thiết từ các chuyển mạch có thể thay đổi được bằng phần mềm từ các bộ điều khiển. Ví dụ, cài đặt thêm các bộ lọc trong thiết bị chuyển mạch. Cách tiếp cận ở đây dựa trên lợi thế của NOX kiểm soát mạng một cách tập trung. Cơ chế này cho phép trích xuất thơng tin lưu lượng dựa trên từ tất cả các thiết bị chuyển mạch đăng ký NOX, vì OpenFlow là một giao thức cung cấp thông tin cần thiết một cách hiệu quả.
Hơn nữa, phương pháp này cũng cung cấp sự linh hoạt tuyệt vời khi thêm vào (hoặc loại bỏ) thiết bị chuyển mạch. Một lợi thế là nếu có sự thay đổi trong cấu trúc liên kết mạng, người quản trị có thể dễ dàng thích ứng với các vịng lặp phát
hiện của cấu trúc liên kết mới. Ví dụ, bằng cách thêm thiết bị chuyển mạch có liên quan nhiều hơn đến việc phát hiện tấn công hay loại bỏ những thiết bị khác kém quan trọng.
4.7 Kết luận
Trong đề tài này trình bày phương pháp phát hiện tấn công DDoS dùng SOM. Phương pháp này cho chúng ta thấy rằng với một chi phí thấp nhưng vẫn có thể tìm ra được sự tấn cơng mạng tương đối đơn giản và hiệu quả để sử dụng trong bảo mật mạng lưới thông tin trong mạng doanh nghiệp khi so sánh với phương pháp tiếp cận khác. Ở đây SOM được sử dụng như một mạng lưới thần kinh nhân tạo giám sát mạng, huấn luyện với các tính năng của flow trong mạng. Tỷ lệ phát hiện tấn công DDoS so với các cách tiếp cận khác là khá cao.
4.8 Hướng phát triển đề tài
Đề tài này có thể phát triển thêm theo hướng cho phép truyền thông tin giữa các thiết bị phát hiện tấn cơng trong các miền khác nhau của mạng. Ví dụ, nếu mạng A phát hiện rằng một cuộc tấn công đã được đưa ra chống lại một mạng lưới B thứ hai, sau đó A có thể thơng báo cho B rằng nó đang bị tấn cơng. Điều đó cho phép một hệ thống có nhiều đại lý, Ở đây các đại lý sẽ phát hiện và trao đổi thông tin với các đại lý khác để tạo thuận lợi cho việc giám sát tài nguyên mạng. Và có thể áp dụng phương pháp thống kê để phân tích các tấn cổng nhằm vào vị trí thiết bị chuyển mạch nào nhằm xác định chính xác host nào đã tung ra các cuộc tấn công.
TÀI LIỆU THAM KHẢO
[1] A. Mitrokotsa and C. Douligeris, “Detecting denial of service attacks using emergent self-organizing maps”, Signal Processing and Information Technology, 2005. Proceedings of the Fifth IEEE International Symposium
on, 2005, pp. 375–380.
[2] Bob Lantz, Brandon Heller, Nick McKeown, “A Network on a Laptop: Rapid Prototyping for Software-Defined Networks”, 9th ACM Workshop on Hot Topics in Networks, October 20-21, 2010, Monterey, CA.
[3] C. Wang, H. Yu, and H. Wang, “Grey self-organizing map based intrusion detection”, Optoelectronics Letters, vol. 5, no. 1, pp. 64–68,2009.
[4] D. Jiang, Y. Yang, and M. Xia, “Research on Intrusion Detection Based on an Improved SOM Neural Network”, Proceedings of the 2009 Fifth International Conference on Information Assurance and Security, Volume
01. IEEE Computer Society, 2009, pp. 400–403.
[5] D. Jiang, Y. Yang, and M. Xia, “Research on Intrusion Detection Based on an Improved SOM Neural Network”, Proceedings of the 2009 Fifth International Conference on Information Assurance and Security-Volume 01. IEEE Computer Society, 2009, pp. 400–403.
[6] M. Alsulaiman, A. Alyahya, R. Alkharboush, and N. Alghafis, “Intrusion Detection System Using Self-Organizing Maps,” in 2009 Third International
Conference on Network and System Security. IEEE, 2009, pp.397–402.
[7] M. Ramadas, S. Ostermann, and B. Tjaden, “Detecting anomalous network traffic with self-organizing maps” Recent Advances in Intrusion Detection,.
[8] M. Li and W. Dongliang, “Anormaly Intrusion Detection Based on SOM”
Proceedings of the 2009 WASE International Conference on Information Engineering,Volume 01. IEEE Computer Society, 2009, pp. 40–43.
[9] M. Alsulaiman, A. Alyahya, R. Alkharboush, and N. Alghafis, “Intrusion Detection System Using Self-Organizing Maps”, 2009 Third International Conference on Network and System Security. IEEE, 2009, pp. 397–402.
[10] M. Kim, H. Kang, S. Hung, S. Chung, and J. Hong, “A flow-based method
for abnormal network traffic detection”, IEEE/IFIP Network Operations and
Management Symposium, 2004, pp. 599–612.
[11] N. Gude, T. Koponen, J. Pettit, B. Pfaff, M. Casado, N. McKeown, and S.
Shenker, “Nox: towards an operating system for networks,” SIGCOMM Comput. Commun. Rev, vol. 38, no. 3, pp. 105–110, 2008.
[12] Nick McKeown, Tom Anderson, Hari Balakrishnan, Guru Parulkar, Larry
Peterson, Jenifer Rexford, Scott Shenker, Jonathan Turner. “OpenFlow: Enabling Innovation in Campus Networks”, March 14, 2008.
[13] NOX Controller. Available: http://www.noxrepo.org/
[14] Priya Mahadevan,Puneet Sharma,Sujata Banerjee,Parthasarathy
Ranganathan. “Energy Aware Network Operations”, Proceeding INFOCOM'09.
[15] Priya Mahadevan, Puneet Sharma, Sujata Banerjee, Parthasarathy
Ranganathan. “A Power Benchmarking Framework for Network Devices”,
Networking 2009, pp. 795-808.
[16] P. Borgnat, G. Dewaele, K. Fukuda, P. Abry, and K. Cho, “Seven years and
one day: Sketching the evolution of internet traffic” , INFOCOM2009, IEEE, April 2009, pp. 711–719.
[17] H. Gunes Kayacik, N. Zincir-Heywood et al., “A hierarchical SOM based intrusion detection system”, Engineering Applications of Artificial Intelligence, vol. 20, no. 4, pp. 439–451, 2007.
[18] J. Mirkovic, S. Fahmy, P. Reiher, and R. K. Thomas, “How to test
dosdefenses”, CATCH ’09: Proceedings of the 2009 Cybersecurity Applications & Technology Conference for Homeland Securit, 2009, pp. 103–117.
[19] Kandula, S., Sengupta, S., Greenberg, A., Patel, P., & Chaiken, R. (2009).
“The nature of data center traffic: measurements & analysis”, Proceedings of
the 9th ACM SIGCOMM conference on Internet measurement conference,
pp.202-208.
[20] “The stacheldraht ddos attack tool,” 2009. [Online]. Available:
http://staff.washington.edu/dittrich/misc/stacheldraht.analysis.txt
[21] “Twitter hit by denial-of-service attack,” 2009. [Online]. Available:
http://www.cnn.com/2009/TECH/08/06/twitter.attack/index.html
[22] The OpenFlow Switch. Available: http://www.OpenFlow.org
[23] T. Kohonen, “The self-organizing map”, Proceedings of the IEEE, vol. 78,
no. 9, pp. 1464–1480, 1990.
[24] W. Wang and S. Gombault, “Efficient Detection of DDoS Attacks with
Important Attributes”, CRISIS 2008, Third International Conference on Risks and Security on Internet and Systems, October 28-30,
[25] Y. Feng, R. Guo, D. Wang, and B. Zhang, “Research on the Active DDoS
Filtering Algorithm Based on IP Flow”, in 2009 Fifth International Conference on Natural Computation. IEEE, 2009, pp. 628–632.