Hệ thống HEDDAD – phát hiện và phản ứng lại tấn công từ chối dịch vụ dựa trên entropy và địa chỉ nguồn- hiên mới được nghiên cứu bước đầu tại Trung tâm công nghệ thông tin – CDIT. Các thành phần của hệ thống được đề xuất dựa trên những nghiên cứu tổng hợp của tác giả về tấn công từ chối dịch vụ. Các thành phần này, bản thân đã được các tác giả chứng minh tính đúng đắn, khả năng triển khai. Vấn đề tích hợp hệ thống thống cần phải được nghiên cứu hoàn thiện hơn về mặt thuật toán phát hiện dựa trên Entropy.
Trong trường hợp kẻ tấn công dò được cơ chế bảo vệ của hệ thống, rất có thể kẻ tấn công sẽ phát những bản tin giả mạo các khối địa chỉ IP thực nhằm buộc hệ thống tự động khóa các giải IP đó, vô hình chung đạt được mục đích tấn công. Cần có các cơ chế nhận biết mạnh hơn nữa để đảm bảo lọc được đúng những địa chỉ IP thực sự là khách hàng cần dùng hệ thống.
Kết luận
Đề tài nghiên cứu tập trung vào công tác tổng hợp các tri thức đã có về tấn công DDoS trong thời gian qua. Chương 2 của đề tài đã liệt kê các dạng tấn công và phân loại được sử dụng. Hệ thống phân loại này sẽ giúp đỡ rất nhiều cho những người nghiên cứu về tấn công DDoS. Ngoài ra, hệ thống phân loại này cũng giúp dự báo những dạng tấn công mới trong tương lai.
Trong các chương 3, 4, đề tài đã tập trung vào việc vận dụng các tri thức để kết hợp xây dựng nên hệ thống phát hiện và phản ứng lại tấn công từ chối dịch vụ - gọi tắt là HEDDAD. Hệ thống này là sự kết hợp giữa khả năng phát hiện tấn công qua biến đối Entropy của các địa chỉ IP nguồn kết nối với khả năng lọc tấn công theo địa chỉ IP có tần xuất truy cập cao. Các địa chỉ IP có tần xuất truy cập cao sẽ được coi là các khách hàng tin cậy và được ưu tiên phục vụ. Các IP lạ, xuất hiện trong trường hợp Entropy biến đổi tăng vọt sẽ được coi là các địa chỉ IP nguồn tấn công và sẽ bị chặn lại qua van điều tiết.
Hệ thống cần phải được thử nghiệm và có thể ứng dụng để tạo ra sản phẩm có ích trong thực tế.
Tài liệu tham khảo
Tiếng Việt
[1] Đặng Văn Chuyết, Nguyễn Tuấn Anh. Cơ sơ lý thuyết truyền tin – tập 1, tr 75, NXB Giáo Dục, 1998
Tiếng Anh
[2] Steven Bellovin. ICMP traceback messages. Work in Progress: draft-bellovin-itrace-00.txt. [3] B.E. Brodsky and B.S. Darkhovsky, Nonparametric Methods in Change Changepoint Problems, Kluwer Academic Publishers, 1993.
[4] R. Caceres, P. B. Danzig, S. Jamin and D. J. Mitzel, “Characteristics of wide-area TCP/IP conversations”, Proceedings of ACM SIGCOMM’91, September 1991.
[5] Chen-Mou Cheng, H.T. Kung, and Koan-Sin Tan. Use of spectral analysis in defense against dos attacks. Proceedings of the IEEE GLOBECOM, Taipei, Taiwan, 2002
[6] Laura Feinstein, Dan Schnackenberg, Statistical Approaches to DDoS attack detection and response, DARPA Information Survivability Conference and Expostion(DISCEX’03), April 2003
[7] A. Feldmann, “Characteristics of TCP Connection Arrivals”, ATT Technical Report, December 1998.
[8] Stave Gibson, Denial of Service attacks against GRC.COM, http://www.grc.com/dos/grcdos.htm, 2005.
[9] T. M. Gil and M. Poletto. MULTOPS: a data-structure for bandwidth attack detection. 10th Usenix Security Symposium, August 2001.
[10] J. Ioannidis and S. M. Bellovin. Pushback: Router-Based Defense Against DDoS Attacks. NDSS, February 2002
[11] Jaeyeon Jung, B. Krishnamurthy,M.Rabinovich. Flash crowds and denial of service attacks: Characterization and implications for cdns and web sites. WWW10, WWW2002, May 7- 11, Honolulu, Hawaii, USA 2002.
[12] Jelena Mirkovic, Ataxonomy of DDoS Attack and ddos defense mechanisms, ACM SIGCOMM 2004.
[13] D. Moore. The spread of the code red worm (crv2).
http://www.caida.org/analysis/security/code-red/coderedv2 analysis.xml. [14] R.Naraine, Massive DDoS Attack Hit DNS Root Servers, 10/2002, http://www.internetnews.com/dev-news/article.php/1486981
[15] V.Paxson. An analysis of using reflectors for distributed denial-of-service atacks. ACM Computer Communications Review, July 2001.
[16] Tao Peng, C.Leckie, K.Ramamohanarao. Protection from Distributed Denial of Service Attack Using History-based IP filtering, Proceedings of the IEEE International Conference on Communications, 5/2003, vol. 1, pp. 482–486.
[17] P.A. Porras, and P.G. Neumann, “EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances,” National Information Systems Security Conference (NISSC), October 1997, pp. 353-365.
[18 ] RFC 802 The ARPANET 1822L Host Access Protocol
[19] C.E. Shannon, and W. Weaver, The Mathematical Theory of Communication, University of Illinois, 1963.
[20] Snort, http://www.snort.org
[21] S. Staniford, V. Paxson, and N. Weaver. How to 0wn the internet in your spare time, 2002. The 11th USENIX Security Symposium
[22 ] Richard Stevens, TCP/IP Illustrated, Vol 1, Addison Wesley, 1993
[23] Robert Stone. Centertrack: An IP overlay network for tracking DoS floods. USENIX Security Symposium, pages 199–212, Denver, CO, USA, July 2000. USENIX.
[24] H. Wang, D. Zhang, and K. G. Shin, .Detecting SYN flooding attacks, IEEE Infocom'2002, June 2002.
[25] M. Williamson. Throttling viruses: Restricting propagation to defeat malicious mobile code. 18th Annual Computer Security Applications Conference, December 2002.
[26] V. Yegneswaran, P.Barford , J.Ulrich, Internet intrusions: Global characteristics and prevalence, ACM SIGMETRICS 2003.
Trang Web
[27] CERT CC. Denial of Service Attacks, http://www.cert.org/tech_tips/denial_of_service.html [28] CERT CC. Smurf attack. http://www.cert.org/advisories/CA-1998-01.html.
[29] CERT CC. TCP SYN flooding and IP spoofing attacks. http://www.cert.org/advisories/CA- 1996-21.htm
[30] CERT CC. Trends in Denial of Service Attack Technology, 10 /2001. http://www.cert.org/archive/pdf/DoS trends.pdf
[31] IANA, IP Address Services, http://www.iana.org/ipaddress/ip-addresses.htm, 2005 [32] Information Sciences Institute. Dynabone. http://www.isi.edu/dynabone/.
[33] Internet Static, http://www.clickz.com/stats/web_worldwide/
[34] Online Retail Revenues, http://www.clickz.com/stats/sectors/retailing/article.php/3611181 [35] VNNIC, Thống kê địa chỉ IP,
http://www.vnnic.net.vn/thongke/thongke/jsp/tainguyen/ip_tab.jsp
[36] wikipedia http://en.wikipedia.org/wiki/ARPANET#Origins_of_the_ARPANET
PDF Merger
register your program!
Go to Purchase Now>>
Merge multiple PDF files into one
Select page range of PDF to merge
Select specific page(s) to merge
Extract page(s) from different PDF
files and merge into one