3.1. Giới thiệu chung về hệ thống
Trong khóa luận này chúng tôi xây dựng hệ thống gồm 2 thành phần chính bao gồm: Hệ thống phát hiện xâm nhập mạng (NIDS) và hệ thống lừa dối mạng (Cyber
Deception).
e _ Hệ thống phát hiện xâm nhập mạng nhằm giám sát và đưa ra cảnh báo trong
hệ thống mạng SDN. Nhóm nghiên cứu ứng dụng phương pháp học sâu giúp tăng tính thông minh, linh động trong việc phát hiện các mối nguy hại.
e Hệ thống lừa dối mạng được thiết kế nhăm đưa ra những thông tin sai lệch về
hệ thống mạng và tạo ra những lỗ hồng giả trong hệ thống dé đánh lừa và dẫn
dụ kẻ tan công tan công vào các honeypot hệ thống từ đó có thé thu thập thông tin và các luồng dit liệu của kẻ tan công. Sau đó gửi những thông tin thu thập được cho model phát hiện tan công học tiếp (resuming training).
Monitor Sensor
“
Controller MTD Signature-based IDS
— Z
K .uại
.... a ..-—" -" —
Features Extractor
LL —-
—_
Openflow Switch Openflow Switch Openfiow Switch
NIDS *#——†
XD
Host Host Host
Trap Manager
a | Trap Executor |ô4†—
Trap Storage
Hình 3.1 Mô hình tông quan của hệ thống
25
Ta:
Các thành phan trong hệ thống và chức năng của chúng mà nhóm nghiên cứu đưa
e_ Controller (Bộ điều khiển): Trong nghiên cứu này chúng tôi sử dụng bộ điều
Ryu. Một bộ điều khiển Python mã nguồn mở, cung cấp các API rất đa dạng
và nhiêu tính năng khác nhau.
e MTD: Là một kỹ thuật được chúng tôi tích hợp vào Controller của mang SDN.
Kỹ thuật này sẽ biến đôi địa chỉ IP thật của các host trong hệ thống thành địa chỉ IP ảo và liên tục thay đổi sau một thời gian nhất định.
e NIDS: La máy tính đặt mô hình hoc sâu nhận diện tấn công, thông tin về luồng
mạng nhận được được từ máy trích xuất thuộc tính.
e Switch: Bộ chuyền mạch.
e Host: Máy tinh trong mạng khởi tạo các luồng mạng qua lại giữa các máy bao
gồm luồng bình thường và luồng tan công.
¢ Monitor Sensor: gồm 2 thành phan là Features Extractor và Signature-based
IDS:
= Features Extractor (máy trích xuất thuộc tinh): Thu thập thông tin
các luồng mạng và gửi đến mô-đun NIDS phân tích kết quả.
= Signature-based IDS: IDS sử dung rule dé đưa ra thông báo khi phát
hiện có tan công.
e Trap Manager (máy quản lý bẫy):
“ Trap Executor: Thực hiện việc triển khai/tháo gỡ bay trên các host.
ô Trap Storage: Nơi lưu trữ cỏc loại bay khỏc nhau.
26
3.2. Phan tích thiết kế hệ thống phát hiện xâm nhập
3.2.1. Quy trình hoạt động của hệ thống phát hiện tắn công
| | Openfiow Switch | †—út Feature Extractor 2 NIDS Module
Openflow Switch 3)
Normal/Abnormal Openflow Switch
Hình 3.2 Luồng xử ly dữ liệu trong hệ thống phát hiện tan công Hình 3.2 là biéu diễn tông quát luồng xy của hệ thống phát hiện xâm mạng mà nhóm đã nghiên cứu xây dựng. Trình tự xử lý của hệ thống:
(1) Các openflow switch sẽ dùng port mirroring, dành ra một interface dé gửi di
các thông tin luồng mang trong hệ thống cho một máy khác gọi là feature extractor. Ở đây sẽ trích xuất ra những thông tin mong muốn.
(2) Dùng message queue đóng gói và gửi từng mẫu dữ liệu qua mô hình dé tiến
hành nhận diện.
(3) Đưa ra kết quả phân loại. Kết quả sẽ được thống kê và lưu lại để dễ truy xuất
khi có sự có.
3.2.2. Phương pháp nhận diện tấn công
Trong nghiên cứu này nhóm chúng tôi sử dụng phương pháp biến bài toán phát hiện tấn công thành bài toán nhận diện và phân loại ảnh. Tức là từ bộ dữ liệu dạng
số, chúng tôi xây dựng một bộ chuyền đổi dé chuyên mỗi bản ghi dit liệu thành một hình ảnh, sau đó mới sử dụng các mô hình CNN hiện đại để huấn luyện.
27
Dé xác định một luồng mang có phải tan công hay không, chúng tôi thực hiện tuần tự các bước gồm: Chuyền các thuộc tính luồng mạng qua bộ chuyên đổi dé trở thành ảnh; đưa ảnh vào để mô hình tiến hành nhận diện; mô hình trả về kết quả có phải tấn công hay không.
3.2.2.1. Bộ dữ liệu được sử dụng
Chúng tôi lựa chọn bộ dữ liệu CIC-IDS-2018 dé huấn luyện cho mô hình. Đây là một bộ đữ liệu với nhiều bản ghi khác nhau, gồm các kiểu tấn công: Brute-force,
Heartbleed, Botnet, DoS, DDoS, Web attacks va infiltration, được chia theo từng ngày riêng biỆt.
Đối với nghiên cứu này, chúng tôi tập trung vào các dạng tấn công có liên quan đến DDoS, chọn ra được các bản phi thuộc ngày: Thurs- 15-02-2018, Eri-16-02-2018,
Tues-20-02-2018, Wed-21-02-2018.
3.2.2.2. Tiền xử lý dữ liệu
Do tài nguyên không cho phép, sau qua trình tìm hiểu chúng tôi quyết định dựa theo bai báo [6] chọn ra 7 trên 9 (trong tông 80 ở phiên bản 2018) thuộc tinh được đề xuất trong tập CIC-IDS-2017 (chi tiết ở Bảng 3.1) dé sử dụng cho nghiên cứu nay.
Bảng 3.1 7 thuộc tính được chọn ra từ bộ dữ liệu CIC-IDS-2018
Thuộc tính Mô tả
Destination port Port đích của ludng dữ liệu
Flow duration Thời gian của một luỗng tính bằng micro giây
Fwd packet length mean | Kích thước gói tin theo chiêu đi
Flow bytes/s Số byte dữ liệu của luồng mỗi giây
Flow packet/s Số gói tin của luồng mỗi giây
Flow IAT mean Thời gian gói tin đến trung bình
Fwd packet/s Số gói tin đi mỗi giây
Dựa trên thuộc tính Label, dữ liệu mẫu trong bộ dữ liệu được phân loại thành 2 loại là có tan công (chuyên sang 1) va benign (chuyền sang 0). Bộ dit liệu được đưa vào dé phân tích bằng thư viện pandas dưới dang dit liệu là dataframe. Các thuộc tính trong bộ dit liệu được biểu diễn dưới dang chữ (object) hoặc số nguyên (int) hoặc số
thực (float).
28
Sau đó tiếp tục chuyền đổi kiểu dit liệu thực dé đảm bảo các thuộc tính luôn là số nguyên. Dạng dir liệu số thực được chuyền đổi sang số nguyên bằng cach sử dụng phương pháp chuẩn hoá Min-Max dé đưa các giá trị về miền giá trị [0,1] theo công
thức:
xnew = (x — xmin)/(xmax — xmin)
Trong đó:
e x là giá trị hiện tại của phan tử.
e xnew là giá trị sau khi chuyển đôi.
e xmin là giá trị nhỏ nhất trong các giá trị của thuộc tính.
e xmax là giá trị lớn nhất trong các giá tri của thuộc tính.
Các giá tri trả vé xnew sẽ tiêp tục được làm tròn đên hàng phân mười. Sau đó sẽ chuyên sang dạng sô nguyên băng công thức:
2xnew*I 0
Các thuộc tính sau khi được chuyển dang sang int tiếp tục được chuyền đổi từ dạng thập phân sang dạng số nhị phân. Giá trị của các thuộc tính của một mẫu dữ liệu lúc này được nối lại với nhau thành một chuỗi số liên tục. Cứ lấy 8 ký tự liên tiếp nhau trong chuỗi ban đầu gom thành một nhóm, ta chuyên được chuỗi số ban đầu sang một mảng mà trong đó mỗi phan tử là số nhị phân có 8 chữ số. Mỗi số nhị phân này tiêp tục được đổi sang số thập phân có giá tri trong khoảng 0 đến 255. Tiếp theo,
ta sử dung ham reshape dé chuyển đôi mảng một chiều này sang mảng hai chiều với chiều dài và chiều rộng cũng chính băng chiều dài và chiều rộng của ảnh mong muốn tạo ra. Mảng hai chiều vừa được tạo ra sẽ được dùng làm input cho hàm
Image.fromarray có sẵn trong thư viện PIL. Giá tri cua pixel tại vi trí tọa độ (x,y)
trong ảnh tương ứng với giá trị của phần tử vi tri (x,y) trong mang hai chiều.
29
3.2.3. Xây dựng mô hình phát hiện tan công
Bằng cách tinh chỉnh các mô hình CNN hiện đại, đồng thời áp dụng kỹ thuật học chuyên tiếp, cách tiếp cận của chúng tôi có khả năng nhận diện tấn công dựa trên các dấu hiệu bất thường với tỉ lệ chính xác cao. Các mô hình CNN hiện đại được dùng bao gồm: ResNet50, DenseNet161.
Các mô hình này được chọn vì các lý do sau:
e M6 hình hỗ trợ kỹ thuật học chuyền tiếp.
e Các mô hình có khả năng trích xuất đặc trưng của anh dé phân loại đối tượng.
e Viéc tinh chỉnh các mô hình này tương đối đơn giản và dễ thực hiện.
Từ một mô hình CNN chuẩn với bài toán nhận diện 1000 loại, mô hình thực tế dùng trong phát hiện tan công của chúng tôi được tinh chỉnh dé sử dụng theo mô ta trong hình đưới. Vì lớp đầu vào cần giữ nguyên số chiều và kích thước phải là (None,224,224,3) dé có thé ap dung ky thuat hoc chuyén tiép — dua trén bai bao [5], nên ảnh xám được chuyền sang ảnh màu trước khi đưa vào mô hình. Việc chuyên sang ảnh màu được thực hiện bằng cách nhân ma trận ảnh xám lên 3 lần, khi đó ảnh
sẽ là ma trận với chiều sâu bang 3. Các lớp trung gian trong một mô hình chuan thường rất phức tạp và được chúng tôi giữ nguyên. Dé phù hợp với bài toán đặt ra, lớp kết nối đầy đủ cuối cùng 2 chiều có kích thước (None,1000) của mô hình chuẩn được thay thê bởi (None,2).
30
Lớp kết nỗi day đủ
(None, 1000}
Các lớp trung gian
Bộ dử liệu
ImageNet
Mé hình chuan đã
được huan luyện
Trọng số có được sau khi
đã huan luyén
Lớp kết nỗi day đủ
(None, 2)
Cac lớp trung gian
Bộ J liệu
CIC-IDS-2018
Mê hình sử dụng trong nghiéu cửu
Hình 3.3 Mô hình CNN hiện đại dùng trong phát hiện tắn công sử dụng kỹ thuật
học chuyền tiếp
Trong nghiên cứu chúng tôi sử dụng kỹ thuật học chuyền tiếp feature extractor.
Cụ thé:
e©_ Lớp kết nối đầy đủ cuối cùng với số chiều và kích thước (None, 1000) được
thay thế bằng lớp kết nối đầy đủ (None, 2).
e Mô hình chuẩn đã được huấn luyện trên tập ImageNet. Truyền trọng số là kết
quả có được từ việc huấn luyện trước trên mô hình chuẩn vào mô hình đã được
tinh chỉnh.
e Đóng băng các trọng số tại lớp đầu vào và các lớp trung gian. Nghĩa là trọng
số có được từ việc huấn luyện trước được trực tiếp sử dụng để trích xuất đặc trưng, không huấn luyện thêm.
31
e Trọng số của lớp phân loại là trọng số ngẫu nhiên, mô hình sẽ được huấn luyện
trên bộ dữ liệu CIC-IDS-2018 dé cập nhật trọng số cho lớp này.
3.3. Phân tích thiết kế hệ thống lừa dối mạng
Mô hình tổng quan:
Controller
eee
Attacker
Fixed Trap i i Devices ị Signature-
HN".
| === = :
4 based IDS
Moving Trap
Trap Manager
Hình 3.4 Tổng quan hệ thống lừa dối mạng 3.3.1. Các tính chất chính của hệ thống lừa doi mạng
Trong nghiên cứu chúng này, chúng tôi sẽ trién khai hệ thống lừa dối mạng với 4
đặc tính chính:
e Tu động: Tự động bat/tat, đôi loại bẫy trên các host.
e Linh hoạt: Cac host trong hệ thống sẽ được thiết lập linh hoạt thay đôi IP và
các bay theo thời gian.
e_ Giám sát: Giám sát hành động của người dùng và kẻ tan công bằng hệ thống
phát hiện xâm nhập bằng dấu hiệu.
e Tương tác: Một số loại bay được đặt vào hệ thống sẽ có khả năng tương tác
trực tiếp với nó chứ không chỉ thực hiện dẫn dụ kẻ tấn công, tạo cho kẻ tấn
công cảm giác đã thực hiện xâm nhập thành công.
32
3.3.2. Các thành phần chính của hệ thống lừa dối mạng
3.3.2.1. Hệ thống triển khai bẫy tự động
Đề đảm bảo tính tự động, chúng tôi sử dụng Ansible kết nối ssh đến các host trong mạng. Chỉ tiết hơn Ansible sẽ tự động pull các image có chứa bẫy về từ Docker Registry và triển khai các bẫy đó lên các host ngẫu nhiên.
Việc kết hợp Ansible và hệ thống ở mục 3.3.2.2 sẽ đáp ứng được tính linh hoạt cần có ở một hệ thống lừa dối mạng do sau khi triển khai người quản trị hoàn toàn có thể sử dụng Ansible “rút” bẫy ra, rồi triển khai ở một host khác một cách tự động
hoặc thủ công.
Trong hệ thống của chúng tôi, chúng tôi sử dụng Ansible được kết nối với các
host thông qua port 22. Ansible sẽ tự động pull các images trên Docker Hub, sau khi
các images được pull về các host ngẫu nhiên trên mang. Các images sẽ được chạy dé triển khai các bẫy trên máy chủ.
Chúng tối thiết kế 2 cơ chế bao gồm fixed trap và moving trap:
e Fixed trap
Co ché nay sé gom cac honeypot duoc triển khai cố định tại 1 máy trong mạng. Người dùng sẽ có thé chọn được loại bẫy hoặc người dùng cũng có thé sử dụng cơ chế chạy ngẫu nhiên các loại bẫy do chúng tôi thiết kế sẵn.
e Moving trap
Moving trap duoc triển khai một cách tự động bằng việc sử dung Ansible. Sau một khoảng thời gian nhất định bay sẽ được chuyền đôi. Những sự thay đổi trong bay bao gồm: Thay đổi loại bay, thay đổi host triển khai bay.
3.3.2.2. Hệ thống lưu trữ bẫy
Các bay được sử dụng trong nghiên cứu sẽ được lưu trữ tập trung ở 1 nơi để có thé truy cập bất cứ lúc nao.
33
Cụ thể, chúng tôi tham khảo ý tưởng của bài báo [3] triển khai nhiều loại honeypot khác nhau. Sau đó, chúng tôi sử dung Docker dé lưu trữ các bẫy dưới dang container. 3.3.2.3. Hệ thống phòng thủ mục tiêu di chuyển (MTD)
Cơ chế Phòng thủ Mục tiêu Di chuyên dé ngăn chặn việc quét IP từ bên trong và bên ngoài mạng. Kiểm soát luồng gói tin trong SDN dựa trên kỹ thuật đột biến may chủ ngẫu nhiên. Đã phát triển cơ chế định tuyến mới bằng cách sử dung API giới han phía bắc do bộ điều khiển cung cấp bang cách sử dụng kỹ thuật đa luỗng, trình trang trí, tạo sự kiện & xử lý sự kiện. Đã thực hiện kiểm tra và đánh gia rộng rãi trên giao
thức OpenFlow & bộ điều khiển Ryu bang Python.
Trong khóa luận này, các tài sản mạng được ân khỏi những kẻ tấn công bên ngoài
và bên trong. Bộ điều khiển OpenFlow được lập trình thông minh dé thực hiện kỹ thuật IP Mutation dựa trên ý tưởng của cuốn sách được nhắc đến ở mục tham khảo [2]. Kỹ thuật này thay đối Dia chi IP thực của các máy chủ cơ ban bằng cách gan cho chúng một địa chỉ IP ảo với tỷ lệ đột biến cao. Các IP ảo được trích xuất từ nhóm các địa chỉ IP chưa được chỉ định được tạo bằng cách sử dụng trình tạo SỐ ngẫu nhiên giả
dé đảm bảo tinh không thé đoán trước cao.
Kiến trúc MTD được thiết kế và trién khai bằng ứng dụng RYU dựa trên bộ điều khiển Ryu và Open vSwitch trong mạng Containernet. Kiến trúc này nhận ra đột biến
địa chỉ IP ngẫu nhiên sau khoảng thời gian ngẫu nhiên. Chúng tôi giữ địa chỉ IP thực
của các thiết bi/may chủ IoT đưới dạng vIP. Mỗi rIP kết hợp với một vIP ngẫu nhiên tại mỗi khoảng thời gian. Thời gian tồn tại của địa chỉ IP ảo ngắn và ngẫu nhiên, cung cấp ty lệ đột biến và không thê đoán trước cao dé tối đa hóa khả năng phòng vệ trước
sự thăm dò của kẻ tấn công về các máy chủ hoạt động và cấu trúc liên kết mạng, đồng thời tăng khả năng ngăn chặn kế hoạch tan công. MTD thực hiện các tác vụ sau: (1) thiết lập một số lượng lớn các dia chỉ IP liên tiếp và liên kết với nhóm địa chi IP, (2) ngẫu nhiên hóa khoảng thời gian bằng cách sử dụng bộ đếm thời gian ngẫu nhiên, (3) tạo ra sự kiện đột biến địa chỉ IP mỗi khoảng thời gian, và (4) ánh xạ rIP thành vIP
34
ngẫu nhiên từ nhóm địa chỉ IP và xử lý kết nối đang hoạt động băng cách cài đặt các luồng trong Open vSwitch với các hành động đột biến địa chỉ bắt buộc.
1. Random IP
2. Random timer Address mutation
Execution
Packet-Ou
src: v1 dst: v2
Controller
Packet-In
Hinh 3.5 Kién trac MTD Một sé host trong mạng có tính bảo mat kém và lỗ hồng tiềm ân, khiến chúng trở thành mục tiêu hap dẫn của những kẻ tan công nguy hiểm và thậm chí có thé không
35
biết chúng đã bị lây nhiễm. Dé cải thiện tinh bảo mật của mạng, phương pháp bảo vệ tích cực của honeypots dựa trên MTD và SDN được đề xuất, như được thể hiện trong Hình 3.6 Phương pháp đề xuất của chúng tôi bao gồm hai cơ chế bảo vệ: (1) MTD, thường xuyên thay đôi địa chi IP của các thiết bi/may chủ với không thê đoán trước
và tỷ lệ khiến những kẻ tan công khó phát hiện ra các máy chủ đang hoạt động trong mạng mục tiêu và (2) honeypots dựa trên SDN, bắt chước các thiết bị IoT dé thích ứng và nắm bắt các hoạt động của kẻ tấn công, đạt được khả năng phát hiện và giảm
thiêu trong các cuộc tân công.
Attackers
SDN-based Honeypots Devices
Hình 3.6 Tổng quan về hệ thống phòng thu dựa trên kỹ thuật MTD Thuật toán chỉ tiết:
e Mục tiêu chính của dự án là ngăn chặn việc quét IP bang cách phân b6 địa chỉ
động.
36