Chương 4: XÂY DỰNG HỆ THỐNG THỬ NGHIỆM SỬ DỤNG CƠNG NGHỆ OPENFLOW ĐỂ NÂNG CAO TÍNH BẢO MẬT
4.1 Giới thiệu
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thơng tin đến thực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công... Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và cơng nghệ thơng tin nói chung, vấn đề đảm bảo an tồn, an ninh thông tin cũng trở thành một trong những thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo an tồn thơng tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số.
Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang mạng báo điện tử hoặc các trang mạng của các doanh nghiệp thương mại điện tử đã phải hứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn công từ chối dịch vụ gây ra bởi các tin tặc trong và ngồi nước. Tuy nhiên, cơng tác đấu tranh phòng, chống đối với loại hành vi này cịn có nhiều vấn đề bất cập. Lực lượng Cảnh sát phịng, chống tội phạm sử dụng cơng nghệ cao là lực lượng chuyên trách trong đấu tranh phòng, chống tội phạm sử dụng cơng nghệ cao nói chung, tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số nói riêng, trong đó có hành vi tấn công từ chối dịch vụ. Để nâng cao hiệu quả cơng tác đấu tranh phịng, chống loại hành vi này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng cơng nghệ cao cần có nhận thức đúng đắn và đầy đủ về các đặc điểm liên quan đến thủ đoạn tấn công từ chối dịch vụ.
Tấn công từ chối dịch vụ - Distributed denial of service(DDoS) trở thành một trong những vấn đề bảo mật Internet chính trong thập kỷ qua, đe dọa các
máy chủ hay các web cơng cộng nói riêng. Mặc dù cơ chế DDoS [1] này được hiểu rộng rãi, phát hiện của nó là nhiệm vụ rất khó khăn vì sự giống nhau giữa truyền dữ liệu bình thường và việc mất gói hay khi các máy chủ đã bị xâm nhập gửi các gói tin cho các nạn nhân của khác. Phần này trình bày một phương pháp đơn giản phát hiện tấn công DDoS dựa trên các tính năng lưu lượng truyền thông tin, trong đó việc khai thác thơng tin được thực hiện với một chi phí rất thấp so với các phương pháp truyền thống. Điều này có thể làm được là do việc sử dụng các nền tảng của NOX cung cấp một giao diện chương trình để tạo điều kiện xử lý các thông tin chuyển đổi. Đóng góp quan trọng khác của phương pháp này là tốc độ phát hiện cao và tỷ lệ báo động sai rất thấp thu được bằng cách phân tích lưu lượng sử dụng Self Organizing Maps (SOM).
Phát hiện các tấn công từ chối dịch vụ (DDoS) là một trong những thách thức chủ yếu đối với an ninh Internet ngày nay. Cơ chế tấn công DDoS dựa trên việc khai thác của sự bất đối xứng giữa nguồn lực rất lớn giữa Internet (bao gồm hàng ngàn máy chủ) và một máy chủ hạn chế của nạn nhân trong việc giải quyết một số lượng đặc biệt lớn các yêu cầu giả. Do đó, các yêu cầu sử dụng hợp pháp thậm chí khơng được xử lý vì tài ngun hệ thống đã bị sử dụng cho đến khi cạn kiệt, và các nạn nhân này bị loại bỏ ra khỏi mạng Internet. Loại tấn công này đã được tạo điều kiện một phần bởi người sử dụng các cơng cụ thân thiện sẵn có như Stacheldraht. Những cơng cụ này cho phép ngay cả người dùng thiếu kinh nghiệm trong các mạng máy tính cũng khởi động được các cuộc tấn công lớn vào một mục tiêu. Hơn nữa, việc sử dụng các giao thức Internet (IP) giả mạo làm cho nó rất khó khăn để theo dõi các tấn công. Một trong những nạn nhân mới nhất của DDoS là trang web Twitter trong đó có dịch vụ bị tê liệt trong nhiều giờ sau khi bị một cuộc tấn công.
Những thách thức nào ta nên giải quyết để phát hiện thành công một cuộc tấn cơng DDoS? Khó khăn đầu tiên xuất phát từ các trường tiêu đề gói tin đang được sửa đổi để trơng giống như những gói bình thường. Kết quả là, việc phân biệt giữa các gói tin hợp pháp gửi bình thường và những gói tin được gửi bởi máy đã bị tấn
công cho các nạn nhân của họ là một nhiệm vụ rất khó khăn. Khó khăn thứ hai là có quá nhiều các gói dữ liệu cần được phân tích. Đây là những thách thức làm cho việc phát hiện rất khó khăn và thời gian đáp ứng của nó rất chậm.Trong phần này đề xuất một phương pháp đơn giản để phát hiện tấn cơng DDoS dựa trên các tính năng lưu lượng trao đổi để giải quyết những thách thức trên. Phương pháp này được thực hiện trong một mạng cơ bản của NOX, ở đây chuyển mạch OpenFlow (OF) với Bảng flow là số liệu thống kê về tất cả các luồng hoạt động. Tất cả các tính năng thơng tin cần thiết được truy cập một cách hiệu quả bằng các phương tiện của một bộ điều khiển NOX và sau đó được xử lý bằng một cơ chế thơng minh để phát hiện các tấn công.
4.2 Các phương pháp phát hiện tấn cơng DDOS trong mạng máy tính của doanh nghiệp
Một số phương pháp dựa trên việc phát hiện các cuộc tấn công về truyền dữ liệu đã được đề xuất.
4.2.1 Phương pháp bộ dữ liệu KDD-9
Phương pháp bộ dữ liệu KDD-99 [16] trước đây có năm tính năng, cùng với một bộ lọc Bloom, một "danh sách trắng" trong đó một gói tin chỉ được chuyển đến chỉ khi máy chủ nguồn của nó thuộc về danh sách trắng đó. Một bất lợi của phương pháp này là nó triển khai trên phần cứng (thiết bị chuyển mạch). Trong tương lai để cập nhật có thể sẽ khó khăn ngay cả trong trường hợp tốt nhất. Chức năng phát hiện bao gồm các thông tin lưu lượng để tạo ra giá trị ngưỡng được đề xuất nhằm để mô tả mạng thơng tin đang bất thường hay bình thường. Trong giải pháp này, một máy phát lưu lượng có tích tụ các flow và lưu trữ chúng trong một cơ sở dữ liệu. Flow được xây dựng từ các gói tin thu thập được từ một điểm đường ống thăm dò. Nhưng các bước tiền xử lý làm tăng chi phí của tồn bộ q trình.
Cơ chế thơng minh sử dụng theo phương pháp đang được đề cập là dựa trên mạng lưới tự tổ chức Self Organizing Maps (SOM) [19], một không gian giám sát mạng lưới thần kinh nhân tạo được tạo ra với các tính năng của flow mạng. Ở đây sử dụng SOM để phân loại các luồng giao thơng mạng là bình thường hay bất bình thường, tức là có một cuộc tấn cơng tiềm ẩn, lấy số liệu thống kê về lưu thông như các tham số cho việc tính tốn SOM. Các cơng trình trước đây, sử dụng các kỹ thuật SOM để phát hiện lưu lượng truy cập bất thường. Nhưng một chút biến thể của SOM đã được đề xuất để tăng độ chính xác của phát hiện, bao gồm: a) Cấp cứu SOM đã được sử dụng để tăng mạng lưới các tế bào thần kinh nhân tạo đến hàng chục ngàn; và b) một kỹ thuật hệ số quan hệ màu xám được sử dụng để tối ưu hóa q trình điều chỉnh trọng lượng của tế bào thần kinh trong vùng lân cận của mỗi nút. Tất cả các tác phẩm đề cập đến phân loại lưu lượng bình thường hay bất thường dựa trên thơng tin kết nối. Nói chung, họ đánh giá kết quả phân loại của họ theo bộ dữ liệu KDD-99. Để trích xuất từ một đường truyền thực tế của các tính năng được sử dụng trong bộ dữ liệu này, cần thiết phải được xử lý trước khi các gói tin được truyền cho các nạn nhân khác. Trong đó, kêt quả được hiển thị trong các tập tin về giao tin của giao thông mạng, được tạo ra bởi một ứng dụng tcpdump, vào hồ sơ kết nối. Trong trường hợp xấu nhất, kỹ thuật này dẫn đến một chi phí rất cao gây ra bởi một tấn cơng ồ ạt DDoS với lưu lượng cao của các gói tin.
Phương pháp tiếp cận của giải pháp này khác với những giải pháp trước đó được đề cập trong các khía cạnh sau: Đầu tiên, các tính năng được quan tâm để phát hiện tấn công được đề xuất với chi phí thấp. Thứ hai, chúng ta có thể dễ dàng cập nhật cơ chế phát hiện để phát hiện các loại tấn công mới, hoặc thay đổi kỹ thuật phân loại. Thứ ba, có nhiều hơn một chuyển đổi có thể được theo dõi bởi các nền tảng NOX, và nhanh chóng thêm hoặc loại bỏ các thiết bị chuyển mạch từ vòng lặp phát hiện. Hơn nữa, như chúng ta sẽ thấy, các kết quả thực nghiệm thu được với phương pháp tiếp cận này, SOM được chứng minh là rất hiệu quả.
4.3 NOX / OpenFlow và SOM dùng trong bảo mật mạng thông tin trong doanh nghiệp doanh nghiệp
4.3.1 NOX/OpenFlow
Mạng điều khiển bằng phần mềm được xác định gần đây đề xuất kiểm soát dưới nằm chuyển đổi phần cứng bằng một phương tiện bên ngoài, tách rời bộ phận kiểm soát. Bộ phận điều khiển này bao gồm ba phần: giao thức OpenFlow, một hệ điều hành mạng điều khiển bằng phần mềm , và các ứng dụng mạng chạy trên phần đầu hệ thống mạng điều hành.
Giao thức OpenFlow (OF) cung cấp một giao diện chung để kiểm soát bằng phương pháp nào mà các gói được chuyển tiếp theo cách truy cập bảng flow dữ liệu nội bộ, cấu hình và số liệu thống kê. Một flow có thể được định nghĩa là một nhóm các gói tin được truyền trong một khoảng thời gian ngắn và chia sẻ các tính năng chung.
Mỗi dịng số liệu thống kê là một tổ hợp của ba giá trị: 1)Các gói tin nhận được là số lượng các gói tin được đếm trong một flow; 2) Các byte nhận được là số lượng các byte được lưu trữ trong flow hiện tại; 3) Thời gian là khoảng thời gian dành cho một flow của Bảng flow đang được phân tích. Nếu một mục flow của một chuyển mạch nhất định nào khơng nhận được bất kỳ gói dữ liệu mới, thì sau đó nó sẽ tự động bị xóa từ bảng flow của chuyển mạch bởi hệ điều hành của mạng.
Hệ điều hành mạng cho phép một đồng hồ chung và bộ kiểm soát của mạng lưới dưới góc độ gói tin. Trên phần đầu của cấu trúc này, một giao diện được cung cấp để cho phép phát triển các ứng dụng đó hoặc sẽ thu thập thông tin hoặc quản lý tài nguyên của mạng. NOX là một hệ điều hành mạng tồn diện ln được cập nhật và sử dụng giao thức OpenFlow để truy cập vào dữ liệu truyền.
Hệ điều hành mạng, sau đây gọi là NOX, tương tác với thiết bị chuyển mạch để yêu cầu thông tin, hoặc gửi hướng dẫn để thêm hoặc loại bỏ các flow từ bảng flow của một chuyển mạch. Hình 4.1 mơ tả hoạt động của NOX và cơ chế OpenFlow.
Hình 4.1 Hoạt động của NOX / OpenFlow
Trong cấu hình này, khi một gói tin mới đến thơng qua một số cổng chuyển mạch, nó được so sánh với tất cả các mục flow bằng cách sử dụng các trường như trong hình 4.2. Nếu gói tin này phù hợp với một mục hiện có trong bảng flow của chuyển mạch, chuyển mạch cập nhật bộ đếm của nó và thực hiện các cơng việc liên quan. Nếu khơng, các gói tin được gửi tới bộ điều khiển NOX thông qua một kênh an tồn. Những gói như vậy được gọi là flow khởi xướng.
Hình 4.2 Các trường tiêu đề flow
Thơng qua các ứng dụng của nó, NOX quyết định phải làm gì với các flow khởi xướng bằng cách kết hợp hoạt động của chúng, và thêm một mục mới vào Bảng flow với thông tin này. Sau đó, các hành động tương tự sẽ được áp dụng cho tất cả các gói được đưa đến chuyển mạch này với các tính năng tương tự. Thơng tin
chi tiết về các loại của các hành động có thể được áp dụng tại chuyển mạch OpenFlow được cung cấp.
4.3.2 Self Organizing Maps
Self Organizing Maps [3][4] (SOM) là một mạng thần kinh nhân tạo biến đổi một mẫu n chiều của dữ liệu thành một bản đồ hoặc lưới 1 - 2 chiều. Quá trình chuyển đổi này được thực hiện theo topological ordering, ở đây mơ hình dữ liệu (khớp thần kinh hoặc vector trọng lượng) với các tính năng thống kê tương tự được thu thập trong khu vực gần nhau trong lưới. Q trình này có thể được phân loại bởi vì các tế bào thần kinh cạnh tranh với nhau để được đặt tại lớp ra của mạng lưới tế bào thần kinh, nhưng chỉ có một tế bào được chọn, điều này được minh họa bằng
Hình 4.3. Nó cũng khơng được giám sát bởi vì các mạng tế bào thần kinh chỉ làm
việc với các mẫu được nhập và sẽ bị thay đổi sau khi dữ liệu được đưa đến đầu tiên và điều chỉnh theo dữ liệu mới đến.
Hình 4.3 Ví dụ về một bản đồ SOM
1) Khởi tạo: lúc bắt đầu của quá trình tất cả các vector tế bào thần kinh phải có trọng lượng khớp thần kinh của chúng được tạo ngẫu nhiên. Mỗi vector này phải có cùng kích thước của khơng gian mẫu được nhập .
2) Lấy mẫu: một mẫu duy nhất x được chọn từ mục khơng gian mơ hình, và cho vào lưới tế bào thần kinh.
3) Cạnh tranh: dựa trên tiêu chuấn khoảng cách Euclide tối thiểu tế bào thần kinh i (x) được chọn như sau:
( ) ar jmin -w ,j 1, 2...
i x g x j l (4.1)
Trong đó l là số lượng tế bào thần kinh trong lưới.
4) Đáp ứng Synaptic: sau khi tìm thấy các tế bào thần kinh chiến thắng, tất cả trọng lượng khớp thần kinh của mỗi vector tế bào thần kinh được điều chỉnh:
j j j
W (t +1)= W (t)+ (t) j (t)(x(t) -W (t)) (4.2)
Trong đó: t thời gian, η (t) là tốc độ giảm dần theo thời gian t, và Θj (t) là các hàm lân cận xác định qúa trình tìm tế bào thần kinh j theo khoảng cách tương đối của nó đến tế bào thần kinh chiến thắng.
5) Lặp lại các bước 2-4 cho đến khi khơng có thay đổi đáng kể xảy ra trong các bản đồ topo. SOM là một cách thích hợp để phân loại lưu lượng mạng (bình thường hay bị tấn cơng), vì thẩm quyền của nó trong việc nhận ra các mẫu ngay cả với tỷ lệ cao của các tín hiệu dữ liệu gây nhiễu. Hơn nữa, nó có thể tìm thấy các mối quan hệ tiềm ẩn của dữ liệu và các phân đoạn trong các mục trống. Trong đó các mục trống gồm các flow, do đó ta có thể phát hiện các cuộc tấn cơng đó thay vì chỉ bằng thơng báo các tiêu đề của gói kiểm tra thì sẽ rất khó để tìm ra.
4.4 Phương pháp phát hiện tấn cơng DDoS dùng SOM
Phương pháp dùng SOM để phát hiện tấn công DDoS [14][15]gồm các chuyển mạch NOX được đăng ký để giám sát một mạng thông tin trong khoảng thời gian xác định trước. Trong khoảng thời gian đó, ta trích xuất các tính năng cần quan tâm từ các mục flow của tất cả các thiết bị chuyển mạch. Mỗi mẫu sau đó được đưa vào một module phân loại được chỉ định, bằng cách sử dụng vị trí khơng
gian của các tế bào thần kinh chiến thắng trong bản đồ topo, cho dù thông tin này tương ứng với lưu lượng truy cập bình thường hay đã bị một cuộc tấn cơng.
Phương pháp này được chia thành ba phần đặt trong vòng lặp phát hiện của