Phát hiện và phòng chống một số dạng tấn công từ chối dịch vụ phân tán750

Phòng chống tấn công Web App-DDoS với phương pháp FDDA .... DANH M C CÁC KÝ HI U VÀ CH Ụ Ệ Ữ VIẾ T T ẮT 6 OSI Open Systems Interconnection Mô hình tham chiếu kết nối các hệ thống mở 7 D

NGƯỜI HƯỚNG D N KHOA H C: Ẫ Ọ

1 PGS.TS Nguyễn Khanh Văn

2 PGS.TS Nguy n Linh Giang ễ

LỜI CAM ĐOAN

Tôi xin cam đoan tất cả các n i dung trong luộ ận án “Phát hiện và phòng ch ng m t s dố ộ ố ạng tấn công t ừchố ịi d ch v ụ phân tán” là công trình nghiên cứu c a riêng tôi ủ dướ ự hưới s ng d n c a ẫ ủ

t p th ậ ể hướng d n Các s u, k t qu trong lu n án là trung th c và ẫ ốliệ ế ả ậ ự chưa từng được tác gi ảkhác công b trong b t kố ấ ỳ công trình nào Vi c tham kh o các ngu n tài liệ ả ồ ệu đã được th c hi n ự ệtrích d n và ghi ngu n tài li u tham khẫ ồ ệ ảo quy định

Hà N i, ngày 10 tháng 6 ộ năm 2019

T p th ậ ể hướng d n ẫ Nghiên c u sinh ứ

PGS.TS Nguy n ễ Khanh Văn PGS.TS Nguy n Linh Giang ễ Trần M nh Th ng ạ ắ

LỜI CẢM ƠN

Trước h t, tôi xin trân tr ng cế ọ ảm ơn Trường Đạ ọi h c Bách Khoa Hà N i, ộ Phòng Đào tạo, Vi n ệCông ngh thông tin và Truy n thông, các th y cô cùng các bệ ề ầ ạn đã tạo điều ki n thu n l i và ệ ậ ợđóng góp nhiều ý ki n quý báu giúp tôi hoàn thành b n lu n án này ế ả ậ

Đặc bi t, tôi xin bày t lòng biệ ỏ ết ơn chân thành và sâu sắc đến hai Thầy hướng d n khoa h c, ẫ ọPGS.TS Nguyễn Khanh Văn và PGS.TS Nguyễn Linh Giang đã ết lòng hướ h ng dẫn, giúp đỡ

và t o mạ ọi điều ki n thu n l i cho tôi trong su t quá trình th c hi n lu n án ệ ậ ợ ố ự ệ ậ

Tôi xin cảm ơn gia đình và người thân đã luôn bên tôi, ủng h ộ và động viên tôi trong su t quá ốtrình nghiên c u ứ

Tôi xin chân thành cảm ơn!

Hà N i, ngày 10 tháng 6 ộ năm 2019

Nghiên c u sinh ứ

Trầ n M nh Th ng ạ ắ

M C L C Ụ Ụ

LỜI CAM ĐOAN i

L I CỜ ẢM ƠN ii

M C L C Ụ Ụ iiiDANH M C CÁC KÝ HI U VÀ Ụ Ệ CHỮ VIẾT T T viiẮDANH M C CÁC BỤ ẢNG viiiDANH M C CÁC HÌNH V Ụ Ẽ VÀ ĐỒTHỊ ixDANH M C CÁC THU T TOÁN xỤ Ậ

M Ở ĐẦU 1

1 Tính c p thi t cấ ế ủa đề tài 1

2 Đối tượng nghiên cứu và phương pháp nghiên cứu 2

3 N i dung nghiên c u 3ộ ứ

4 Ý nghĩa khoa học và ý nghĩa thực ti n c a lu n án 5ễ ủ ậ

5 Điểm m i c a lu n án 6ớ ủ ậ

6 C u trúc c a lu n án 7ấ ủ ậCHƯƠNG 1 TỔNG QUAN V T N CÔNG VÀ PHÒNG CH NG T N CÔNG DDOS 9Ề Ấ Ố Ấ1.1 T ng quan v t n công t ổ ề ấ ừchố ịi d ch v phân tán DDoS 9ụ1.2 Các d ng t n công DDoS ph bi n 11ạ ấ ổ ế1.2.1 T n công DDoS l p m ng 11ấ ở ớ ạ1.2.2 T n công DDoS vào l p ng dấ ớ ứ ụng 111.3 Các công c t n công DDoS ph bi n 13ụ ấ ổ ế1.3.1 Kênh điều khi n qua giao th c g i nh n tin nh n IRC 13ể ứ ử ậ ắ1.3.2 Kênh điều khi n qua giao th c HTTP 14ể ứ1.4 Nh ng thách th c trong vi c phát hi n và phòng ch ng t n công DDoS 14ữ ứ ệ ệ ố ấ1.5 T ng quan v ổ ề các phương pháp phòng chống t n công DDoS 16ấ1.5.1 Nhóm phương pháp phòng chống t n công l p m ng 17ấ ớ ạ1.5.1.1 Nhóm phương pháp áp dụng g n ngu n t n công 17ở ầ ồ ấ1.5.1.2 Nhóm phương pháp áp dụng ở phía đối tượng được b o v 17ả ệ1.5.1.3 Nhóm phương pháp áp dụng h t ng m ng trung gian 18ở ạ ầ ạ1.5.1.4 Nhóm phương pháp kế ợt h p 181.5.2 Nhóm phương pháp phòng chống t n công l p ng d ng 19ấ ớ ứ ụ

1.5.2.1 Nhóm phương pháp áp dụng ở phía đối tượng được b o v 19ả ệ1.5.2.2 Nhóm phương pháp kế ợt h p 191.5.3 Nhóm các phương pháp theo giai đoạn phòng ch ng 20ố1.5.3.1 Giai đoạn phòng th 20ủ1.5.3.2 Giai đoạn phát hi n t n công 20ệ ấ1.5.3.3 Giai đoạn x lý t n công 20ử ấ1.5.4 Phân tích l a chự ọn phương pháp theo vị trí tri n khai 21ể1.5.5 Các nghiên cứu liên quan đến phòng ch ng t n công TCP Syn Flood 22ố ấ1.5.5.1 Nhóm phương pháp dựa vào cơ chế nh n dậ ạng đường đi 221.5.5.2 Nhóm phương pháp dựa vào cơ chế ị l ch s truy c p 23ử ậ1.5.5.3 Nhóm phương pháp dựa vào cơ chế nh n dậ ạng đường đi 231.5.5.4 Nhóm phương pháp dựa vào cơ chế xác th c ngu n 25ự ồ1.5.5.5 Đánh giá các điểm h n ch cạ ế ủa nhóm các phương pháp và đề xu t gi i pháp 25ấ ả1.5.6 Các nghiên cứu liên quan đến phòng ch ng t n công Web App-DDoS 26ố ấ1.5.6.1 Nhóm phương pháp sử ụ d ng thu t toán phân nhóm 26ậ1.5.6.2 Nhóm phương pháp thống kê 271.5.6.3 Phương pháp mô tả hành vi người dùng t log truy c p 27ừ ậ1.5.6.4 Đánh giá các điểm h n ch cạ ế ủa nhóm các phương pháp và đề xu t gi i pháp 28ấ ả1.6 Nghiên cứu tiêu chí đánh giá hiệu qu ả phương pháp 281.7 Nghiên c u, kh o sát v ứ ả ề đánh giá thực nghi m 30ệ1.7.1 Kh o sát các t p d ả ậ ữliệu đánh giá thực nghi m 30ệ1.7.2 Đánh giá thực nghi m v i t n công TCP Syn Flood và Web App-DDoS 32ệ ớ ấ1.8 K t luế ận chương 1 34CHƯƠNG 2 PHÁT HIỆN VÀ PHÒNG CH NG T N CÔNG TCP SYN FLOOD 35Ố Ấ2.1 Khái quát bài toán 352.1.1 Gi i thiớ ệu bài toán và phương pháp đềxuất 352.1.2 V h n ch cề ạ ế ủa phương pháp giải quy t 36ế2.2 T ng quan v d ng t n công TCP Syn Flood 37ổ ề ạ ấ2.3 Mô hình triển khai phương pháp phát hiện và phòng ch ng t n công TCP Syn Flood 39ố ấ2.3.1 Mô hình t ng th và các thành phổ ể ần cơ bản 402.3.2 Nguyên lý hoạt động cơ bản 41

2.5 Phát hi n và lo i b các gói tin gi m o trong t n công DDoS TCP Syn Flood 43ệ ạ ỏ ả ạ ấ 2.5.1 Đặc trưng của các gói tin IP được gửi đi từ cùng m t máy ngu n 43ộ ồ 2.5.2 Ki m ch ng gi thuy t v tính chể ứ ả ế ề ất tăng dần c a giá tr PID 44ủ ị 2.5.2.1 Ki m ch ng gi thuy t PID d a trên quan sát ng u nhiên 45ể ứ ả ế ự ẫ 2.5.2.2 Ki m ch ng gi thuy t PID trên toàn b t p d ể ứ ả ế ộ ậ ữliệu thu được 46 2.5.3 Gi i pháp phát hi n và lo i b các gói tin gi m o PIDAD1 47ả ệ ạ ỏ ả ạ 2.5.3.1 Thu t toán DBSCAN 47ậ 2.5.3.2 Gi i pháp PIDAD1 48ả 2.5.4 Gi i pháp phát hi n và lo i b các gói tin gi m o PIDAD2 51ả ệ ạ ỏ ả ạ 2.5.4.1 Cơ chế thu t toán l c b nhanh gói tin gi m o 51ậ ọ ỏ ả ạ 2.5.4.2 Tăng tốc độ ử x lý c a gi i pháp PIDAD2 v i thu t toán Bloom Filter 55ủ ả ớ ậ 2.5.5 Phương pháp xác thực địa ch IP ngu n 56ỉ ồ 2.6 Đánh giá thực nghi m 58ệ 2.6.1 Xây d ng mô hình và d ự ữliệu đánh giá thực nghi m 58ệ 2.6.2 Đánh giá thực nghi m cho gi i pháp PIDAD1 và PIDAD2 60ệ ả 2.6.2.1 Gi i pháp PIDAD1 60ả 2.6.2.2 Gi i pháp PIDAD2 61ả 2.6.2.3 So sánh hi u qu c a gi i pháp PIDAD1 và PIDAD2 62ệ ả ủ ả 2.6.3 So sánh hi u qu c a gi i pháp PIDAD2 v i các gi i pháp khác 63ệ ả ủ ả ớ ả 2.7 K t luế ận chương 2 66 CHƯƠNG 3 PHÁT HIỆN VÀ PHÒNG CH NG T N CÔNG WEB APP-Ố Ấ DDOS 67 3.1 Gi i thi u bài toán 67ớ ệ 3.2 T ng quan v t n công Web App-DDoS 68ổ ề ấ 3.2.1 ng d ng Web 68Ứ ụ 3.2.1.1 Máy ch Web 68ủ 3.2.1.2 Nguyên lý hoạt động 68 3.2.1.3 Giao th c HTTP 68ứ 3.2.2 Đặc trưng và thách thức trong phòng ch ng t n công Web App-DDoS 69ố ấ 3.1.2.1 M t s ộ ố đặc trưng củ ấa t n công Web App-DDoS 69 3.2.2.2 Vấn đề khó khăn trong phòng, chống t n công Web App-DDoS 70ấ 3.3 Phòng chống tấn công Web App-DDoS với phương pháp FDDA 71 3.3.1 Ý tưởng cơ bản của phương pháp FDDA 71

3.3.2 Các tham s s dố ử ụng trong phương pháp FDDA 72

3.3.3 Tiêu chí v t n su t truy c p 73ề ầ ấ ậ 3.3.3.1 Xác định t n su t g i yêu c u t IP ngu n theo th i gian th c 74ầ ấ ử ầ ừ ồ ờ ự 3.3.3.2 Xác định các địa ch IP ngu n g i t n xuỉ ồ ử ầ ất đồng đề ầu t n su t cao 79ấ 3.3.4 Xây dựng tiêu chí tương quan trong phương pháp FDDA 80

3.3.4.1 Xây d ng t p d ự ậ ữliệu tương quan 81

3.3.4.2 Phát hi n ngu n g i t n công s d ng t p d ệ ồ ử ấ ử ụ ậ ữliệu tương quan 83

3.3.5 Thu t toán x lý t n công cậ ử ấ ủa phương pháp FDDA 84

3.4 Đánh giá thực nghi m 85ệ 3.4.1 T o d u th nghi m 85ạ ữliệ ử ệ 3.4.2 Đánh giá thử nghiệm phương pháp FDDA 87

3.4.3 So sánh hi u qu cệ ả ủa phương pháp FDDA với các phương pháp khác 88

3.5 K t luế ận chương 3 88

K T LUẾ ẬN VÀ HƯỚNG PHÁT TRI N 89Ể 1 K t qu và Bàn lu n 89ế ả ậ 1.1 K t qu ế ả đạt được 89

1.2 Bàn lu n 90ậ 2 Hướng nghiên c u ti p theo 91ứ ế 3 Ki n ngh ế ị và đềxuất 93

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN 94 TÀI LI U THAM KH O 95Ệ Ả

DANH M C CÁC KÝ HI U VÀ CH Ụ Ệ Ữ VIẾ T T ẮT

6 OSI Open Systems Interconnection Mô hình tham chiếu kết nối các hệ thống mở

7 DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán

8 DBSCAN Density-based spatial clustering of applications with noise Thuật toán gom nhóm các phần tử dựa trên mật độ

10 ISP Internet service provider Nhà cung cấp dịch vụ Internet

11 TCP Transmission Control Protocol Giao thức điều khiển truyền vận

13 RTT Round Trip Time Thời gian trễ trọn vòng

14 MSS Maximum Segment Size Kích thước tối đa của đoạn

17 FDDA Framework for Fast Detecting Source Attack In Web

Application DDoS Attack

Phương pháp FDDA

18 IRC Internet Relay Chat Giao thức gửi nhận tin nhắn

19 IoT Internet of Things Internet kết nối vạn vật

DANH M C CÁC B Ụ ẢNG

B ng 1.1 So sánh hi u qu cả ệ ả ủa phương pháp phòng chống t n công l p m ng 22ấ ớ ạ

B ng 1.2 So sánh hi u qu cả ệ ả ủa phương pháp phòng chống t n công l p ng d ng 22ấ ớ ứ ụ

B ng 1.3 Bả ảng tiêu chí đánh giá hiệu qu phòng th 29ả ủ

B ng 1.4 B ng thông tin v t p các d u ki m th 30 ả ả ề ậ ữliệ ể ử

B ng 2.1 Ki m ch ng giá tr PID trên t p d u DARPA 46ả ể ứ ị ậ ữliệ

B ng 2.2 Ki m ch ng giá tr PID trên t p d ả ể ứ ị ậ ữliệu ĐHBK 46

B ng 2.3 Ki m ch ng t l gói tin có giá tr ả ể ứ ỷ ệ ị PID tăng dần 46

B ng 2.4 B ng tham s ả ả ố điểu khiển t n công 59ấ

DANH M C CÁC HÌNH V Ụ Ẽ VÀ ĐỒ THỊ

Hình 1.1 Thành phần cơ bản c a m ng Botnet 10ủ ạHình 1.2 Phân loại phương pháp phòng chống t n công DDoS 16 ấHình 2.1 TCP handshakes 38Hình 2.2 Thành phần TCP Syn Flood Defence 39Hình 2.3 Mô hình h ệthống phát hi n và x lý t n công DDoS Syn Flood 40ệ ử ấHình 2.4 Cơ chế giả mạo IP của tin tặc 42Hình 2.5 Mô hình phương pháp xác định tần suất gói tin TCP Reset trên hệ thống thực 43Hình 2.6 IP Header 44Hình 2.7 Thu t toán DBSCAN 47ậHình 2.8 Mô hình gi i pháp PIDAD2 trên h ả ệthống th c 52ựHình 2.9 Hình minh h a thu t toán Bloom filter 55ọ ậHình 2.10 Mô hình xác thực địa ch IP ngu n 56ỉ ồHình 2.11 Phương pháp xác thực địa ch IP ngu n s d ng Bloom Filter 57ỉ ồ ử ụHình 2.12 Mô hình h ệthống đánh giá thực nghi m 58ệHình 2.13 Thành ph n h ầ ệthống th c nghi m trên máy ch v t lý 01 59ự ệ ủ ậHình 2.14 Thành ph n h ầ ệthống th c nghi m trên máy ự ệ chủ ậ v t lý 02 59Hình 2.15 Thành ph n h ầ ệthống th c nghi m trên máy ch v t lý 03 60ự ệ ủ ậHình 2.16 T l phát hiỷ ệ ện đúng gói tin giả ạ m o c a gi i pháp PIDAD và PIDAD2 62ủ ảHình 2.17 Th i gian x lý c a gi i pháp PIDAD và PIDAD2 63ờ ử ủ ảHình 2.18 T l True Positive c a các gi i pháp PIDAD2 và C4.5 64ỷ ệ ủ ảHình 2.19 T l False Positive c a các gi i pháp PIDAD2 và C4.5 65ỷ ệ ủ ảHình 2.20 Th i gian x lý c a các gi i pháp PIDAD2 và C4.5 65 ờ ử ủ ảHình 3.1 Mô hình cơ bản của phương pháp FDDA 71Hình 3.2 Minh h a t n su t g i yêu c u t các srcIP 73ọ ầ ấ ử ầ ừHình 3.3 B ng d ả ữliệu lưu vết truy c p TraTab 74ậHình 3.4 Minh h a x lý b ng v t truy c p 75ọ ử ả ế ậHình 3.5 Minh h a x lý b ng v t truy c p (ti p theo) 76ọ ử ả ế ậ ếHình 3.6 Minh h a ph m vi t n ọ ạ ầ suất xác định yêu c u t n công 79ầ ấHình 3.7 Minh h a v g i yêu cọ ề ử ầu tương quan từ ộ m t máy tính 81Hình 3.8 Ví d v ụ ềthời điểm g i yêu c u t i máy ch 81ử ầ ớ ủHình 3.9 C u trúc b ng d u Tấ ả ữliệ R 82Hình 3.10 C u trúc b ng d u Tấ ả ữliệ A 83

DANH M C CÁC THU T TOÁN Ụ Ậ

Thu t toán 2.1 PIDAD1 trong Training phase 50ậThu t toán 2.2 PIDAD2 54ậThu t toán 3.1 Tìm t n su t truy c p theo th i gian th c 77ậ ầ ấ ậ ờ ựThu t toán 3.2 Ti n trình x lý Zooming- 78ậ ế ử inThu t toán 3.3 Phát hi n ngu n g i t n công s d ng t p d ậ ệ ồ ử ấ ử ụ ậ ữliệu tương quan 84Thuật toán 3.4 Phương pháp FDDA 85

M Ở ĐẦ U

1 Tính c p thi t c ấ ế ủa đề tài

T n công t ấ ừchố ịi d ch v (Denial of Service - DoS) là m t d ng t n công m ng nguy hi m mà ụ ộ ạ ấ ạ ểtin tặc thường s dử ụng để làm gián đoạn hoạt động c a m t h ủ ộ ệthống thông tin Để thực hiện

m t cu c t n công t ộ ộ ấ ừchố ịi d ch v hi u qu , có th ụ ệ ả ể vượt qua s phòng ch ng cự ố ủa đối tượng b ị

t n công, tin tấ ặc thường t ổchức cu c t n công v i s ộ ấ ớ ự tham gia đồng th i t nhi u máy tính khác ờ ừ ềnhau; hình thức này thường được g i là t n công t ọ ấ ừchố ịi d ch v phân tán (Distributed Denial ụ

of Service -DDoS)

Trong th i gian v a qua, v i s phát tri n và ng d ng r ng rãi công ngh thông tin và truy n ờ ừ ớ ự ể ứ ụ ộ ệ ềthông, đặc biệt là trong giai đoạn bùng n công ngh 4.0, ngành công ngh thông tin và truy n ổ ệ ệ ềthông đã mang lại nhi u l i ích to lề ợ ớn cho cơ quan, tổ chức trong các lĩnh vực chính tr , kinh ị

t , xã h i Tuy nhiên, bên c nh nh ng l i ích to l n ngành công ngh thông tin và truyế ộ ạ ữ ợ ớ ệ ền thông mang l i thì viạ ệc này cũng kéo theo các nguy cơ mất an toàn thông tin mà các cơ quan, tổ ch c ứ

phải đối m t M t trong nhặ ộ ững nguy cơ đó là các cuộ ấc t n công mạng, đặc bi t là các cu c t n ệ ộ ấcông DDoS Ảnh hưởng c a m t cu c t n công DDoS quy mô l n có th làm d ng hoủ ộ ộ ấ ớ ể ừ ạt động

h t ng m ng c a m t quạ ầ ạ ủ ộ ốc gia, gây gián đoạn công tác ch ỉđạo điều hành c a Chính ph , ng ng ủ ủ ừhoạt động c a các h t ng tr ng yủ ạ ầ ọ ếu (điện, nước, giao thông, tài chính…) làm ảnh hưởng nghiêm trọng đến tr t t an toàn xã h i, l i ích công c ng, qu c phòng, an ninh ậ ự ộ ợ ộ ố

T ừ đó, chúng ta có thể thấ ằy r ng việc đưa ra các phương pháp phòng chống t n công DDoS ấ

hi u qu nh m bệ ả ằ ảo đảm an toàn thông tin cho cơ quan, tổchức trước các cu c t n công m ng ộ ấ ạ

là vấn đề quan tr ng và c p bách ọ ấ

Nguyên nhân d n t i nh ng cu c t n công DDoS ngày càng tr nên nguy hi m là vi c s ẫ ớ ữ ộ ấ ở ể ệ ố lượng các thi t b u cu i, IoT k t n i m ng ngày càng nhi u trong th i k công ngh 4.0 Nh ng ế ị đầ ố ế ố ạ ề ờ ỳ ệ ữđiểm yếu an toàn ở các thi t b này cho phép tin t c có th chi m quyế ị ặ ể ế ền điều khiển và huy động

nó trở thành thành viên c a m ng máy tính ma (botnet) B ng cách này, tin t c có th xây d ng ủ ạ ằ ặ ể ự

m t mộ ạng lưới botnet, t p h p các máy tay sai, v i s ậ ợ ớ ố lượng r t l n, t ấ ớ ừ đó phát động t n công ấDDoS h t s c nguy hi m ế ứ ể

Trên th c t ự ế đã có nhiều công trình nghiên c u liên quứ an đến phát hi n và phòng ch ng d ng ệ ố ạ

tấn công DDoS, nhưng thự ế đềc t u cho th y d ng t n công này v n hoấ ạ ấ ẫ ạt động và gây ra h u ậ

quả Do đó, việc ti p t c nghiên cế ụ ứu và đề xuất ra các phương pháp phòng chống t n công ấDDoS phù h p và hi u qu vợ ệ ả ẫn đang là vấn đề ầ c n thi t và thách thế ức đố ới v i các nhà nghiên

c u hi n nay ứ ệ

Trong quá trình công tác với thâm niên chuyên môn được tích lũy nhiều năm trong lĩnh vực này, NCS đã từng phải đối m t tr c ti p v i nhi u cu c t n công DDoS xặ ự ế ớ ề ộ ấ ảy ra đố ới v i h ệthống thông tin c a các ủ cơ quan, tổ ch c Qua quá trình th c t ứ ự ế đó, NCS đã thu thập được nhi u kinh ềnghi m v phân tích và x lý các cu c t n công DDoS Tuy nhiên, NCS t nh n th y r ng, ệ ề ử ộ ấ ự ậ ấ ằphương án xử lý các cu c tộ ấn công đã thực hi n t i thệ ạ ời điểm đó chỉ là gi i pháp t m th i, mà ả ạ ờkhông có m t n n tộ ề ảng hay phương pháp tổng th có th ể để ểgiải quyết được các vấn đề ố c t lõi

c a vủ ấn đề ộ m t cách khoa h c và hi u qu ọ ệ ả

Niềm đam mê về chuyên môn nghi p v và nghiên c u khoa hệ ụ ứ ọc đã thôi thúc tác giả ở tr thành nghiên c u sinh tứ ại trườ g Đạ ọn i h c Bách Khoa Hà N i, vộ ới đề tài nghiên cứu chuyên sâu: “Phát

hi n và phòng ch ng m t s d ng t n công t ệ ố ộ ố ạ ấ ừ chố ịi d ch v phân tánụ ”

K t qu nghiên cế ả ứu được trình bày trong lu n án này do NCS th c hiậ ự ện dướ ự hưới s ng d n cẫ ủa

t p th ậ ể hướng dẫn Sau đây, để thu n ti n cho vi c trình bày lu n án, tác gi ậ ệ ệ ậ ả (“tôi”) ẽ đại ện s dinhóm nghiên c u trình bày các n i dung nghiên c u c a lu n án ứ ộ ứ ủ ậ

2 Đối tượ ng nghiên c u và ứ phương pháp nghiên c u ứ

Đối tượng nghiên c u c a luứ ủ ận án là phương pháp phát hiện và phòng ch ng m t s d ng tấn ố ộ ố ạcông DDoS Trong đó, luận án t p trung vào 03 nhóm vậ ấn đề:

T ng quan v t n công và phòng ch ng t n công DDoS; ổ ề ấ ố ấ

Phát hi n và phòng ch ng t n công TCP Syn Flood (d ng t n công g i tràn ngệ ố ấ ạ ấ ử ập gói tin

kh i t o k t n i gi mở ạ ế ố ả ạo địa ch IP ngu n, x y ra l p m ng); ỉ ồ ả ở ớ ạ

Phát hi n và phòng ch ng t n công Web App-DDoS (d ng t n công DDoS vào ng ệ ố ấ ạ ấ ứ

d ng Web, x y ra l p ng d ng) ụ ả ở ớ ứ ụ

NCS t p trung nghiên c u các gi i phát phát hi n và phòng chậ ứ ả ệ ống hai d ng tạ ấn công này vì đây

là nh ng d ng tữ ạ ấn công đang xảy ra ph biổ ến và được coi là th c s nguy hiự ự ểm

Các phương pháp phát hiện và phòng ch ng hai d ng t n công TCP Syn Flood và Web App-ố ạ ấDDoS được đề xuất ở trêntrong luận án là các phương pháp được tri n khai phía g n máy ch ể ở ầ ủ

b t n công Lý do tri n khai phía gị ấ ể ở ần máy ch b tủ ị ấn công là do đối tượng b t n công DDoS ị ấ

c a tin t c có th là h t ng m ng ho c b n thân các máy chủ ặ ể ạ ầ ạ ặ ả ủ Trong trường hợp, đối tượng b ị

t n công DDoS là h t ng m ng, thì tin t c có th s d ng hình th c t n công Volumetric (hình ấ ạ ầ ạ ặ ể ử ụ ứ ấthứ ấc t n công làm c n kiạ ệt băng thông kế ốt n i Internet của đối tượng c n b o v v i các ISP) ầ ả ệ ớ

Đố ớ ại v i d ng tấn công này, thì phương pháp chặ ọn l c hi u qu ch có th th c hi n h th ng ệ ả ỉ ể ự ệ ở ệ ố

c a các ISP Thêm nủ ữa, đểthực hi n hình th c t n công Volumetric hi u qu , tin tệ ứ ấ ệ ả ặc cũng phải

s d ng ngu n tài nguyên r t l n (c n m t mử ụ ồ ấ ớ ầ ộ ạng botnet đủ ớn) để l thực hi n t n công Trong ệ ấtrường hợp, đối tượng b t n công DDoS là các máy ch , thì tin t c có th s d ng hình th c ị ấ ủ ặ ể ử ụ ứ

t n công DDoS d ng làm c n ki t tài nguyên trên các máy ấ ạ ạ ệ chủ

Trên th c tự ế, đối tượng t n công là máy ch xấ ủ ảy ra thường xuyên và ph biổ ến hơn, bởi vì các máy ch ủ là thường l m t tr c tiộ ặ ự ếp trên Internet nên đối tượng t n công d ấ ễ xác định hơn và tin

tặc cũng không cần tài nguyên quá l n mà v n có th ớ ẫ ể làm đối tượng b tị ấn công rơi vào trạng thái t ừchố ịi d ch v ụ

Khi đối tượng t n công là máy ch ấ ủ thì phương pháp phòng chống được tri n khai phía gần đích ể

là phù h p và hi u qu ợ ệ ả hơn Khi đó, nếu phương pháp chặ ọn l c hi u qu ệ ảvà băng thông kế ối t nInternet v n còn thì máy ch vẫ ủ ẫn có th cung cể ấp d ch v mà không b ị ụ ị rơi vào trạng thái t ừchối

d ch v ị ụ

Tin tặc thường s d ng hai d ng t n công TCP Syn Flood và Web App-ử ụ ạ ấ DDoS để ấ t n công các Máy ch Hai d ng tủ ạ ấn công này thường được th c hiự ện trên cơ sở khai thác điểm y u c a giao ế ủthức hay nguyên lý hoạt động c a giao th c mà máy ch s d ng ủ ứ ủ ử ụ

V ề phương pháp nghiên cứu, NCS k t h p gi a lý thuyế ợ ữ ết, kinh nghi m và nh ng quan sát thệ ữ ực

t tìm ra các vế để ấn đề ầ c n ph i gi i quyả ả ết Trên cơ sở đó, NCS đềxuất giải pháp phù hợp đểgiải quy t các vế ấn đề đặ t ra

3 N i dung nghiên c u ộ ứ

NCS đã có m t quá trình nghiên cộ ứu liên quan đến phát hi n và phòng ch ng t n công DDoS ệ ố ấ

t ừ trước và trong quá trình làm NCS tại trường Đạ ọi h c Bách Khoa Hà N ội

Trong quá trình công tác t i C c An toàn thông tin - B Thông tin và Truyạ ụ ộ ền thông, NCS đã trực ti p h ế ỗtrợ cơ quan trong tổ ứ ch c x ửlý, gi m thi u ả ể ảnh hưởng c a các cu c tủ ộ ấn công DDoS quy mô l n Tr i qua nhi u kinh nghi m th c t NCS ớ ả ề ệ ự ế, thấ ằy r ng hai d ng t n công TCP Syn ạ ấFlood và Web App-DDoS là hai d ng t n công ph bi n Các cu c t n công DDoS thu c hai ạ ấ ổ ế ộ ấ ộ

dạng này đều gây thi t h i nghiêm trệ ạ ọng cho các cơ quan, tổchức, m c dù h ặ ọ đã được trang b ị

và tri n khai các bi n pháp phòng ch ng nhể ệ ố ất định Sau m i l n h ỗ ầ ỗtrợ cơ quan, tổ chức x lý ử

tấn công DDoS, NCS có được kinh nghi m v ệ ề các đặc trưng riêng của mỗi đợ ất t n công và tại thời điểm đó NCS cũng đưa ra các biện pháp th ủ công để ử x lý t m th i Tuy nhiên, NCS t ạ ờ ự

nh n th y r ng kinh nghiậ ấ ằ ệm có được còn r t h n ch và luôn b ấ ạ ế ị động khi phải đối m t v i nh ng ặ ớ ữcuộ ấc t n công DDoS m i T ớ ừ đó, NCS thấy r ng c n t p trung và ti p t c nghiên cằ ầ ậ ế ụ ứu để có

nh ng ki n thữ ế ức chuyên sâu hơn về ấ t n công DDoS nói chung và v i hai d ng tớ ạ ấn công đã đề

c p trên ậ ở

Khi làm NCS t i Vi n Công ngh thông tin và Truy n thôngạ ệ ệ ề , trường Đạ ọi h c Bách Khoa Hà

N ội, được ự hướs ng d n c a t p th ẫ ủ ậ ể hướng d n, ẫ NCS có cơ hội nghiên c u chuyên sâu v tứ ề ấn công, phát hi n và phòng ch ng DDoS m t cách t ng th , có khoa h c ệ ố ộ ổ ể ọ

Trong những năm đầu c a quá trình nghiên c u, NCS t p trung nghiên c u t ng quan v các ủ ứ ậ ứ ổ ề

d ng tạ ấn công, các đặc trưng của m i d ng t n công, nhỗ ạ ấ ững khó khăn, thách thức trong việc phòng ch ng m i d ng tố ỗ ạ ấn công và các phương pháp phòng chống

Sau khi có được nh ng ki n th c mang tính n n t ng, NCS t p trung nghiên cữ ế ứ ề ả ậ ứu, đềxuất được các phương pháp cụ ể để ả th gi i quyết các bài toán đặt ra như sau:

Bài toán th nh tứ ấ v phát hi n và phòng ch ng t n công TCP Syn Flood V i bài toán này, NCS ề ệ ố ấ ớ

đã đề xuất các phương pháp cụ ể ự th d a trên phát hi n m i liên h giệ ố ệ ữa các gói tin IP khi được

g i ra t cùng m t máy tính D a vào kinh nghi m chuyên môn và quan sát th c t , NCS quan ử ừ ộ ự ệ ự ếsát th y rấ ằng các gói tin được g i ra ngoài t m t máy tính thì có giá tr ử ừ ộ ị trường Identification (PID) tăng liên tục cách nhau một đơn vị cơ sở ( cho phát hiện này, được lu n án trình bày chi ậ

ti t ế ở các ph n sau) Tuy nhiên, vi c phát hiầ ệ ện các gói tin có giá PID tăng liên tiế ởp phía máy chủ ị b t n công không h ấ ề đơn giản B i vì, m i máy tính khi tham gia tở ỗ ấn công DDoS đều ch y ạsong song nhi u ng d ng v i các k t n i mề ứ ụ ớ ế ố ạng khác nhau, có nghĩa là các gói tin gửi ra khỏi máy tính s ẽ đi nhiều hướng khác nhau mà không ph i ch ả ỉ hướng đến máy ch b t n công Do ủ ị ấ

đó, từ phía máy ch b t n công, chúng ta ch ủ ị ấ ỉ thu được các gói tin có giá tr ị PID tăng liên tục,

ng t quãng ắ

Bên cạnh đó, khi tấn công TCP Syn Flood x y ra thì phía máy ch s nhả ở ủ ẽ ận đượ ố lược s ng rất lớn các gói tin SYN Do đó, việ ửc x lý các gói tin SYN này như thế nào thật nhanh, để máy ch ủgiảm thi u thể ời gian rơi vào trạng thái t ch i d ch vừ ố ị ụ, cũng là mộ ấn đề ớn khác đặt ra đốt v l i

với các phương pháp mà NCS đềxuất

Để ả gi i quy t hai vế ấn đề đặt ra đố ới v i bài toán th nhứ ất, NCS đề xu t 02 gi i pháp t i công ấ ả ạtrình công b s 1 và 3 ố ố trên cơ sởgiả thuyết là trường thông tin PID c a các gói tin không b ịủgiả ạ m o Gi i pháp th nh t v i tên g i PIDAD1 t i công b s 1 NCS sả ứ ấ ớ ọ ạ ố ố , ử ụ d ng thu t toán ậDBSCAN để nhóm các gói tin SYN có giá tr ị PID tăng liên tiếp vào t ng nhóm Trong mỗi ừnhóm đó, NCS xác định m t giá tr PID c a gói tin gi m o ti p theo s gộ ị ủ ả ạ ế ẽ ửi đến h th ng ệ ốĐiểm h n chế cạ ủa giải pháp s d ng thu t toán DBSCAN là phử ụ ậ ải c n m t kho ng th i gian ban ầ ộ ả ờ

đầu nhất định cho vi c thu thệ ập các gói tin SYN đầu tiên, làm thông tin đầu vào cho thu t toán ậDBSCAN để xác định d u hi u c a các gói tin gi m o ti p theo gấ ệ ủ ả ạ ế ửi đến Trong th i gian này, ờmáy ch b t n công v n ph i h ng ch u các gói tin t n công gủ ị ấ ẫ ả ứ ị ấ ửi đến Thêm nữa, phương pháp này cũng yêu cầu ph i c p nh t liên t c tr ng thái các nhóm c a thu t toán DBSCAN khi có ả ậ ậ ụ ạ ủ ậgói tin hay nhóm mới đượ ạo ra Điềc t u này làm ảnh hưởng lớn đế ốc độ ửn t x lý chung c a c ủ ảphương pháp

Để ả gi i quy t các h n ch cế ạ ế ủa phương pháp thứ nhất, NCS đề xuất giải pháp th hai v i tên gứ ớ ọi PIDAD2 t i công b s 3 cho phép phát hi n và lo i b ngay các gói tin SYN t n côạ ố ố ệ ạ ỏ ấ ng đầu tiên gửi đến mà không cần kho ng th i gian x ả ờ ử lý lúc đầu như phương pháp thứ nh t Giải pháp này ấlưu trữ các giá tr PID trong các b ng d ị ả ữliệu có c u trúc k t h p v i mấ ế ợ ớ ột phương pháp tìm kiếm nhanh các giá tr ị PID tăng liên tiếp thay vì s d ng thu t toán DBSCAN ử ụ ậ

Tuy giải pháp PIDAD2 cho phép phát hi n và lo i b nhanh các gói tin gi m o gệ ạ ỏ ả ạ ửi đến nhưng

việc lưu trữ và truy v n các thông tin v a ch IP và giá tr PID mấ ề đị ỉ ị ới được lưu trữ trong các

b ng d u vả ữliệ ới phương pháp tìm kiếm đơn giản Vi c này d n t i gi m tệ ẫ ớ ả ốc độ ử x lý chung

của phương pháp đềxuất khi s ố lượng các gói tin gửi đến h ệthống là r t lấ ớn Để p ttiế ục tăng

tốc độ ử x lý của giả pháp PIDAD2, NCS đề xuất giả pháp lưu trữi i và tìm ki m nhanh thông ếtin PID, IP ngu n s d ng thu t toán Bloom Filter t i công trình s 5 ồ ử ụ ậ ạ ố

Các giải pháp mà NCS đề xuất ở trên m i ch t p trung vào vi c phát hi n và lo i b các gói tin ớ ỉ ậ ệ ệ ạ ỏgiả ạ m o trong quá trình phòng chống mà chưa đề ập đế c n vi c phát hi n tệ ệ ấn công như thế nào Thêm n a, vi c xác th c các IP nguữ ệ ự ồn để cho phép các IP ngu n thồ ực được k t n i v i máy ế ố ớchủ khi tấn công đang xảy ra cũng là một vấn đề quan tr ng trong bài toán t ng th v phát hiọ ổ ể ề ện

và phòng ch ng tố ấn công TCP Syn Flood Do đó, NCS đã đề xuất m t mô hình t ng th v ộ ổ ể ềphương pháp phát hiệ ấn công TCP Syn Flood và cơ chến t xác th c IP ngu n t i công b s 2 ự ồ ạ ố ố

C hai ả giả pháp đề xuất ởi trên d a trên gi thuy t là phía máy ch b t n công, chúng ta có ự ả ế ở ủ ị ấthể nhận đượ ốc t i thi u 03 gói tin có giá tr ể ị PID tăng liên tiếp Tuy nhiên, trong th c t s có ự ế ẽnhiều trường h p phía máy ch b t n công, chúng ta ch nhợ ở ủ ị ấ ỉ ận đượ ừ 01 đếc t n 02 gói tin gi ả

mạo Khi đó, hai giải pháp t i công b s 1 và s 3 s b sót các gói tin gi mạ ố ố ố ẽ ỏ ả ạo này Đây là

vấn đề p theo mà NCS c n ph i p t c tiế ầ ả tiế ụ giải quy t ế trong tương lai

Để ả gi i quy t vế ấn đề này, NCS s ti p t c nghiên c u mẽ ế ụ ứ ột giải pháp m i d a trên nghiên cớ ự ứu

NCS đã đề xuất trước đây [78] Trong gi i pháp này, NCS d ki n s s d ng thu t toán ả ự ế ẽ ử ụ ậDBSCAN m t cách hoàn toàn khác v i giá tr epsilon và minpts có giá tr c l p cho mộ ớ ị ị độ ậ ỗi nhóm trong thu t toán DBSCAN C p giá tr này c a m i Cluster là tham s ậ ặ ị ủ ỗ ố để xác định các gói tin gi m o ti p theo nhả ạ ế ận được vào t ng Cluster ừ

Bài toán th hai mà NCS ph i gi i quy t là phát hi n và phòng ch ng t n công Web App-DDoS ứ ả ả ế ệ ố ấ

Tuy nhiên, tin tặc thường s d ng t n công DDoS l p ng dử ụ ấ ở ớ ứ ụng đểthực hi n t n công Web ệ ấApp-DDoS v i mớ ức độ tinh vi và nguy hiểm hơn dạng t n công TCP Syn Flood Thêm n a, ấ ữ

vi c phát hi n và phòng ch ng t n công Web App-DDoS có nhệ ệ ố ấ ững đặc trưng và thách thức riêng

Để ả gi i quy t bài toán th ế ứ hai, NCS đề xuất phương pháp phát hiện nhanh các ngu n g i yêu ồ ử

c u t n công Web App-DDoS ngay khi t n công x y ra t i công b s 4ầ ấ ấ ả ạ ố ố Đềxuất này cũng đưa

ra m t mô hình m cho phép k t h p, b sung nhiộ ở ế ợ ổ ều tiêu chí khác nhau để phát hi n và xác ệ

định ngu n g i yêu c u tồ ử ầ ấn công Trong đó, có tiêu chí cho phép phát hiện ngay ra các ngu n ồ

g i yêu c u t n công mà không ph i tr i qua quá trình máy h c/hu n luyử ầ ấ ả ả ọ ấ ện như các phương pháp khác

T i công b s 4, NCS s d ng 02 tiêu chí (tiêu chí v t n su t truy c p và tiêu chí v ạ ố ố ử ụ ề ầ ấ ậ ề tương quan gi a các yêu c u gữ ầ ửi đến máy chủ) để xác định các ngu n g i yêu c u t n công Tuy nhiên, ồ ử ầ ấtrong nghiên c u này, cáứ c tiêu chí NCS đưa ra và thực hi n mệ ở ức độ ất cơ bản để đánh giá r

mô hình và phương pháp đề xu t ấ

Trong quá trình hoàn thi n lu n án và sau khi luệ ậ ận án được Hội đồng đánh giá cấp cơ sở thông qua, NCS ti p tế ục đi sâu nghiên cứu, đềxuất giải pháp c ể ơn cho 02 tiêu chíụ th h NCS đã sử

d ng t i công b s 4 C ụ ạ ố ố ụthể:

Đố ới v i tiêu chí v t n su t truy c pề ầ ấ ậ , NCS đề xu t gi i pháp cho phép tìm ra t n su t truy c p ấ ả ầ ấ ậ

t các IP ngu n g i yêu c u theo th i gian th c ừ ồ ử ầ ờ ự Giả pháp đề xuấ ầ ất ít tài nguyên để lưu i t c n r

trữ và x lý T n suử ầ ất xác định được s là d ệu đầẽ ữ li u vào cho thu t toán c a tiêu chí v t n ậ ủ ề ầsuất Bên cạnh đó, trong nghiên cứu này NCS cũng đề xu t m t giảấ ộ i pháp mới để xác định các ngu n g i yêu c u tồ ử ầ ấn công thay cho phương pháp sử ụ d ng DBSCAN trong công b s 4 tố ố ại công b s 6 ố ố

Đố ới v i tiêu chí v m i quan h ề ố ệ tương quan giữa các yêu c u gầ ửi đến máy ch t m t ngu n, ủ ừ ộ ồNCS đưa ra ả pháp đểgi i thi t l p t p các yêu cế ậ ậ ầu tương quan trong quá trình huấn luy n ệ(training) T p các yêu cậ ầu tương quan được thi t l p dế ậ ựa trên các điều kiện để ảo đả b m r ng ằ

t p các yêu c u này là s ch và tin t c rậ ầ ạ ặ ất khó để có th ể đưa các yêu cầu sai l ch vào t p d ệ ậ ữliệu này trong quá trình hu n luy n ấ ệ

Việc đánh giá th c nghiự ệm các phương pháp đề xuất cũng là mộ ấn đềt v lớn đặt ra đối với NCS Qua vi c nghiên c u các công trình liên quan, NCS th y r ng các công trình này không s d ng ệ ứ ấ ằ ử ụchung t p d u ki m th ậ ữliệ ể ử để đánh giá thực nghi m Ph n l n các tác gi u t xây d ng mô ệ ầ ớ ả đề ự ựhình và d u ki m th ữliệ ể ử riêng để ph c v viụ ụ ệc đánh giá hiệu qu ả phương pháp họ đề xuất Do

đó, tương tự ớ v i cách làm c a các tác gi , trong nghiên c u này, NCS xây d ng m t h th ng ủ ả ứ ự ộ ệ ốtrên môi trường ảo hóa để ạ t o ra t p d li u ki m th Mô hình bao g m C&C máy ch và mậ ữ ệ ể ử ồ ủ ột

mạng botnet được điều khi n b i máy ch ể ở ủ đó Tập d u ki m th ữliệ ể ử được s dử ụng để đánh giá

hi u qu cệ ả ủa các phương pháp NCS đề xu t và so sánh với các phương pháp khác trên cùng tập ấ

d ữliệu đượ ạc t o ra

4 Ý nghĩa khoa học và ý nghĩa thự c ti n c a lu n án ễ ủ ậ

Luận án có những đóng góp về ặ m t khoa h c và th c tiọ ự ễn như sau:

a) V ề ý nghĩa khoa học:

Đố ới lĩnh vựi v c an toàn thông tin nói chung và vi c phát hi n và phòng ch ng t n công DDoS ệ ệ ố ấnói riêng, luận án đã đóng góp thêm 06 công trình nghiên c u, bao g m 02 bài trên t p chí khoa ứ ồ ạ

h c chuyên ngành trong ọ nước có phản bi n và 04 báo cáo t i h i ngh khoa h c qu c t chuyên ệ ạ ộ ị ọ ố ếngành có uy tín Trong đó, kết qu nghiên c u bao gả ứ ồm 02 đóng góp chính: (1) Đềxuất giải pháp phát hi n và phòng ch ng t n công TCP Syn Flood dệ ố ấ ựa trên tính tăng dần c a s nh n ủ ố ậ

d ng gói tin (PID) thông qua các thuạ ật toán PIDAD1, PIDAD2 và phương pháp xác thực địa chỉ IP ngu n; (2) ồ Đềxuất gi i pháp phát hi n và phòng ch ng t n công Web-app DDoS dả ệ ố ấ ựa trên tính toán t n suầ ất truy c p theo th i gian thậ ờ ực và tính tương quan của các yêu c u truy c p ầ ậ

Đố ớ ộng đồi v i c ng nghiên c u khoa h c, k t qu c a lu n án s cung c p thêm ngu n tài li u ứ ọ ế ả ủ ậ ẽ ấ ồ ệtham khảo và t p d u ki m th , ph c v vi c nghiên cậ ữliệ ể ử ụ ụ ệ ứu và đề xuất các phương pháp phòng chống t n công DDoS ấ

tử” vớ ội n i dung nghiên c u v phát triứ ề ển, đềxuất các k thu t mỹ ậ ới/cả ếi ti n cho phát hi n dệ ấu

hi u c a các t n công DoS/DDoS d a trên phân tích d u log truy c p ệ ủ ấ ự ữliệ ậ

Trong quá trình th c hi n các nhi m v cự ệ ệ ụ ủa các đề tài nghiên c u khoa h c, NCS ứ ọ đã xây dựng được m t h ộ ệthống phòng ch ng t n công DDoS ố ấ và đang được tri n khai th nghiể ử ệm tại trường

Đạ ọi h c Bách Khoa Hà N i ộ

Bên cạnh đó, NCS cũng đã xây dựng được m t mộ ạng botnet trên môi trưởng o hóa cho phép ả

thực hi n nhi u hình th c tệ ề ứ ấn công DDoS khác nhau để ạ t o ra các d ệữli u ki m th cho các ể ửnghiên c u khác nhau D u ki m th này, NCS t i lên trang m ng tr c tuyứ ữliệ ể ử đã ả ạ ự ến và địa ch ỉ

t i d u ki m th trong ph n ph l c c a lu n án ả ữliệ ể ử ầ ụ ụ ủ ậ

5 Điể m m i c a lu n án ớ ủ ậ

Những điểm m i c a lu n ớ ủ ậ án được th hi n thông qua nhể ệ ững đóng góp chính như sau:

Đóng góp thứ nh tấ: Đề xu t gi i pháp phát hi n và phòng ch ng t n công TCP Syn Flood d a ấ ả ệ ố ấ ựtrên tính tăng dần c a s nh n d ng gói tin (PID) thông qua các thu t toán PIDAD1, PIDAD2 ủ ố ậ ạ ậ

và phương pháp xác thực địa ch IP ngu n ỉ ồ

Giải pháp được NCS đề xu t cho phép phát hi n và lo i b nhanh các gói tin gi m o trong tấ ệ ạ ỏ ả ạ ấn công TCP Syn Flood mà không yêu c u s can thi p c a các thi t b ầ ự ệ ủ ế ị định tuy n trên m ng Giế ạ ải pháp này cũng cho phép xác thực các IP s ch trong khi t n công x y ra và cho phép phát hi n ạ ấ ả ệ

và lo i b các gói tin gi mạ ỏ ả ạo đầu tiên gửi đến h ệthống mà không ph i th c hi n quá trình học ả ự ệmáy Những đặc trưng riêng này cũng đã giải quyết được m t s h n ch quan tr ng c a các ộ ố ạ ế ọ ủgiải pháp liên quan mà NCS đã đề ậ c p trong lu n án ậ

Bên cạnh đó, việc phát hi n gói tin gi m o d a trên ệ ả ạ ự tính tăng dần c a s nh n d ng gói tin PID ủ ố ậ ạcũng là một các ti p c n riêng mà theo hi u bi t c a NCS thì cách ti p cế ậ ể ế ủ ế ận này chưa tác giả nào

Do đó, NCS thấy r ng cách ti p c n này có th ằ ế ậ ể được các nhà nghiên c u quan tâm ứ và đề xu t ấ

ra các gi i pháp hi u qu và tả ệ ả ối ưu hơn nữa bài toán phòng ch ng t n công TCP Syn Flood ố ấtrong th i gian t ờ ới

Đóng góp thứ hai: Đề xu t gi i pháp phát hi n và phòng ch ng t n công Web-app DDoS dấ ả ệ ố ấ ựa trên tính toán t n suầ ất truy c p theo th i gian thậ ờ ực và tính tương quan của các yêu c u truy c p ầ ậGiải pháp NCS đề xu t có tính m , cho phép k t h p nhi u tiêu chí phát hi n t n công làm ấ ở ế ợ ề ệ ấ đểtăng hiệu qu , mả ức độ chính xác trong vi c phát hi n và phòng ch ng t n công ệ ệ ố ấ Trong đó, gi i ảpháp đề xu t s d ng 02 tiêu chí t n su t truy c p theo th i gian thấ ử ụ ầ ấ ậ ờ ực và tính tương quan của các yêu c u truy c p ầ ậ

Đố ới v i tiêu chí v t n su t truy cề ầ ấ ập, NCS đềxuất giải pháp cho phép xác định t n su t g i yêu ầ ấ ử

c u t mầ ừ ột địa ch IP ngu n theo th i gian th c mà c n ít tài nguyên c a h ỉ ồ ờ ự ầ ủ ệthống và có th xác ể

định t n su t g i yêu c u c a các ngu n g i t n công khi t n công x y ra và s ầ ấ ử ầ ủ ồ ử ấ ấ ả ố lượng g i yêu ử

cầu đến h ệthống b t n công r t l n ị ấ ấ ớ

Đố ới v i tiêu chí tính tương quan của các yêu c u truy c pầ ậ , NCS đề xuất ý tưởng cơ bản c a tiêu ủchí này để ả gi i quyết điểm h n ch c a tiêu chí v t n suạ ế ủ ề ầ ất NCS cũng đưa ra hướng nghiên cứu

tiếp theo để ế ụti p t c hoàn thi n tiêu chí nà ệ y

Bên c nh ạ hai đóng góp chính ở trên, NCS cũng nghiên cứu, xây d ng m t h ự ộ ệthống đánh giá

thực nghi m cho phép mô ph ng các d ng t n công DDoS và t o ra d ệệ ỏ ạ ấ ạ ữli u ki m th , ph c ể ử để ụ

v ụ đánh giá thực nghi m các giệ ải pháp NCS đềxuất

N i dung nghiên cộ ứu trong chương 1 trình bày t ng quan v các hình th c, cách th c t n công ổ ề ứ ứ ấDDoS mà tin t c s d ng trong các cu c tặ ử ụ ộ ấn công DDoS cũng như các khó khăn, thách thức trong vi c phòng ch ng t n công DDoS N i dung này là quan trệ ố ấ ộ ọng để làm cơ sở nghiên c u, ứ

đề xuất phương pháp phòng chống t n công phù h p ấ ợ

Bên cạnh đó, nội dung chương 1 cũng trình bày ổ t ng quan v ề các phương pháp phòng chống

t n công DDoS và h ấ ệthống l i m t cách có cạ ộ ấu trúc các phương pháp phòng chố Trên cơ sởng

đó, NCS có cơ sở để nghiên cứu, đề xuất phương pháp phù hợp và có th gi i quyể ả ết được h n ạchế ủa các phương pháp hiệ ạ c n t i

Chương 2, lu n án ậ đi vào giải quy t mế ột trong hai bài toán đặt ra thông qua vi c ệ đề xuất phương pháp phát hi n và phòng t n công DDoS d ng TCP Syn Flood v i các nệ ấ ạ ớ ội dung chính như sau: Nghiên cứu tổng quan về dạng tấn công TCP Syn Flood và các phương pháp phòng chống làm

cơ sở đề xuất cơ chế phòng chống phù hợp đối với dạng tấn công này Nghiên cứu đề xuất mô ; hình tổng thể để triển khai hệ thống phòng chống tấn công TCP Syn Flood Trong đó, NCS

trình bày về các thành phần với những năng cụ thể và nguyên lý hoạt động; Đề xuất phương pháp phòng chống tấn công TCP Syn Flood thông qua cơ chế phát hiện và loại bỏ các gói tin giả mạo sử dụng trong tấn công DDoS TCP Syn Flood với hai phương pháp cho phép phát hiện

và loại bỏ các gói tin giả mạo sử dụng trong tấn công TCP Syn Flood

Chương 3, luận án trình bày v ề phương pháp đề xuất để giải quy t bài toán th ế ứ hai đặt ra v ềphát hi n và phòng ch ng t n công Web App-DDoSệ ố ấ Trong đó, nội dung nghiên cứu trong chương này tập trung vào các nhóm vấn đề chính: Nội dung nghiên cứu tổng quan về tấn công Web App-DDoS và đặc trưng và thách thức trong phòng chống dạng tấn công này Phần tiếp theo, NCS đề xuất phương pháp hòng chống tấn công Web App p -DDoS sử dụng phương pháp FDDA với mô hình và 02 tiêu chí về tần suất và mối quan hệ tương quan Phần cuối của chương

3, NCS đề xuất mô hình đánh giá thực nghiệm, tạo ra dữ liệu kiểm thử, thực hiện các đánh giá hiệu quả của phương pháp đề xuất và so sánh hiệu quả với các phương pháp đề xuất khác trên cùng tập dữ liệu kiểm thử tạo ra

CHƯƠNG 1 TỔNG QUAN VỀ TẤN CÔNG VÀ PHÒNG

CHỐ NG TẤN CÔNG DDOS

Chương 1, luận án t p trung trình bày v các nậ ề ội dung cơ bản, tổng quan liên quan đến cách thứ ấc t n công và các nghiên c u liêứ n quan đến phát hi n và phòng ch ng t n công DDoS C ệ ố ấ ụthể, NCS đưa ra tổng quan v các hình th c t n công DDoS mà tin t c s d ng trong các cu c ề ứ ấ ặ ử ụ ộtấn công DDoS và các khó khăn, thách thức trong vi c phòng ch ng t n công DDoS và h ệ ố ấ ệthống

lại hoá các phương pháp phòng ch ng t n công Nố ấ ội dung chương 1 là cơ sở để NCS ti p tế ục nghiên cứu, đi sâu vào các phương pháp cụthể mà NCS đề xuất trong chương 2 và chương 3

Chương 1 bao gồm các n i dung chính sau: ộ

T ng quan v t n công t ổ ề ấ ừchố ịi d ch v phân tán DDoS; ụ

Các d ng t n công DDoS ph bi n; ạ ấ ổ ế

Các công c t n công DDoS ph bi n; ụ ấ ổ ế

Những thách th c trong vi c phát hi n và phòng ch ng t n công DDoS; ứ ệ ệ ố ấ

T ng quan v ổ ề các phương pháp phòng chống t n công DDoS; ấ

Nghiên c u v ứ ề tiêu chí đánh giá hiệu qu ả các phương pháp đềxuất;

Nghiên c u khứ ảo sát đánh giá thực nghiệm phương pháp phòng chống t n công DDoS ấ

1.1 T ng quan v t n công t ổ ề ấ ừ chối dị ch v phân tán DDoS ụ

T n công t ấ ừchố ịi d ch v là d ng t n công m ng v i mụ ạ ấ ạ ớ ục đích làm m t tính kh d ng c a mấ ả ụ ủ ột

h ệthống thông tin T n công t ấ ừchố ịi d ch v ụ khi được th c hi n t nhi u IP ngu n khác nhau ự ệ ừ ề ồthì được gọi là hình th c t n công t ứ ấ ừchố ịi d ch v phân tán ụ – DDoS V ề cơ bản, t n công DDoS ấ

có th ể được chia ra thành hai l p ph bi n: ớ ổ ế

L p ớ thứ nh t, tin t c ấ ặ thực hi n t n công b ng cá gệ ấ ằ ch ửi các gói tin độc h i (gói tin vạ ới các trường thông tin không bình thường) đến đích tấn công thông qua vi c khai thệ ác các điểm yếu an toàn thông tin [39] để làm máy ch phát sinh các l i làm treo, tê li t hoủ ỗ ệ ạt động và rơi vào trạng thái

t ừchố ịi d ch v ụ

L p ớ thứ hai là l p các d ng t n công DDoS ph biớ ạ ấ ổ ến, trong đó tin tặc làm gián đoạn các k t nế ối

h p l t i máy ch b ng cách (1) làm c n ki t h t ng m ng (network/transport-ợ ệ ớ ủ ằ ạ ệ ạ ầ ạ level flooding attacks) như: băng thông kế ốt n i, tài nguyên x lý c a thi t b mử ủ ế ị ạng… (2) hoặc c n ki t tài ạ ệnguyên x lý cử ủa máy ch thông qua các ứủ ng d ng/d ch v mà máy ch cung c p (application-ụ ị ụ ủ ấlevel flooding attacks) như: bộ nh chính, kh ớ ả năng xử lý của CPU, băng thông kết n i hay các ố

cổng vào ra…)

Thông thường, các cu c t n công ộ ấ DDoS được tin t c th c hiặ ự ện qua môi trường m ng s d ng ạ ử ụcác m ng máy tính ma (botnet) [35] Thông qua m ng botnet, tin t c g i tràn ng p liên t c các ạ ạ ặ ử ậ ụgói tin ho c các yêu c u tặ ầ ới đích tấn công, làm cho h ệthống đó bị ỗ l i ho c c n ki t tài nguyên ặ ạ ệ

và rơi vào ạ tr ng thái t ch i d ch v ừ ố ị ụ

M ng botnet là m ng c a các máy tính b nhiạ ạ ủ ị ễm mã độc và được điều khi n b i nhể ở ững máy chủ điều khi n (C&ể C Server) Để có m ng botnet, tin t c t o ra các ph n mạ ặ ạ ầ ềm độc h i và phát ạtán chúng qua môi trường m ng b ng các hình th c ạ ằ ứ khác nhau như gửi thư điệ ửn t gi m o, ả ạ

phát tán qua các ph n m m không chính th ng ho c lầ ề ố ặ ừa người dùng truy c p vào các trang ậthông tin độc h ại.

Hình dưới đây mô tả các thành phần cơ bản c a m ng botnet: ủ ạ

h u qu rậ ả ất l n, nhi u m ng botnet l n có quy mô hàng tri u máy tính t o thành ớ ề ạ ớ ệ ạ và được tin tặc

l i dợ ụng để thực hi n các cu c t n công DDoS quy mô l n Theo báo cáo c a hãng b o mệ ộ ấ ớ ủ ả ật Abor [106], cu c tộ ấn công DDoS đã ghi nhận được có băng thông lên tới hơn 662Gbps Thêm nữa, để vượt qua các phương pháp phòng, chống t n công DDoS, tin tấ ặc thường s d ng ử ụnhi u biề ện pháp khác nhau như giả ạo đị m a ch IP ngu n t n công ho c gi m o các yêu cỉ ồ ấ ặ ả ạ ầu

gửi đến máy ch ủ như các yêu cầu thông thường, làm phía h th ng b t n công không th phân ệ ố ị ấ ể

bi t yêu c u nào là yêu cệ ầ ầu được gửi đi từ ạ m ng botnet

1.2 Các d ng t n công DDoS ph ạ ấ ổ biế n

Trong ph n này, ầ luận án trình bày c ụthể hơn về các d ng t n công DDoS liên quan tr c tiạ ấ ự ếp

đế hướn ng nghiên c u c a n án là l p các dứ ủ luậ ớ ạng ấ t n công DDoS làm c n ki t tài nguyên cạ ệ ủa

h ệthống b t n công l p m ng và l p ng d ng N i dung trình bày trong ph n này, n án ị ấ ở ớ ạ ớ ứ ụ ộ ầ luậ

s d ng các thu t ng ng Anh, nh ng thu t ng ử ụ ậ ữtiế ữ ậ ữ này đã được s d ng ph bi n, s d ng t ử ụ ổ ế ử ụ ừ

ng ữngắn gọn nhưng thể ện đượ hi c b n ch t c a n i dung c n mô t ả ấ ủ ộ ầ ả

Hai l p c a các d ng t n công DDoS ph bi n liên quan tr c tiớ ủ ạ ấ ổ ế ự ếp đến nghiên c u cứ ủa Luận án, bao g m các n i dung sau: ồ ộ

1.2.1 T n công DDoS l p m ấ ở ớ ạ ng

Các d ng t n công DDoS x y ra ạ ấ ả ở l p mớ ạng thường s d ng các gói tin c a các giao th c ICMP, ử ụ ủ ứTCP, UDP ho c DNS làm c n ki t tài nguyên x lý hoặ để ạ ệ ử ặc băng thông của h t ng mạ ầ ạng Các

d ng tạ ấn công này được chia làm 04 lo i ph biạ ổ ến:

a) Flooding attacks: D ng t n công làm c n kiạ ấ ạ ệt băng thông của đối tượng c n b o v thông ầ ả ệqua cơ chế ử g i tràn ngập các gói tin có kích thướ ớn như: UDP flood, ICMP flood, c l TCP flood… [57]

b) Protocol exploitation flooding attacks: Dạng t n công làm c n ki t tài nguyên x lý c a h ấ ạ ệ ử ủ ệthống thông qua vi c khai thệ ác các điểm yếu an toàn thông tin c a các giao th c m ng mà h ủ ứ ạ ệthống đó sử ụng như: TCP SYN flood, TCP SYN ACK flood, ACK & PUSH ACK flood, d -RST/FIN flood… [86]

c) Reflection based flooding attacks: Dạ- ng t n công tin t c th c hi n b ng cách gấ ặ ự ệ ằ ửi yêu c u gi ầ ả

mạo đến m t h ộ ệthống trung gian, trong khi gi mả ạo địa ch IP ngu n gỉ ồ ửi là địa ch cỉ ủa đích bị

t n công H ấ ệthống trung gian s g i yêu c u ph n h i v h ẽ ử ầ ả ồ ề ệthống b t n công, thay vì g i v ị ấ ử ềmáy tính c a tin t c Hình th c tủ ặ ứ ấn công này cũng lợ ụng điểi d m y u an toàn thông tin c a các ế ủgiao th c s d ng ho c do l i thi t l p c u hình b o m t c a các h ứ ử ụ ặ ỗ ế ậ ấ ả ậ ủ ệthống trung gian, để ừ đó t cho phép tin t c g i m t yêu c u gi mặ ử ộ ầ ả ạo có kích thước nh n h ỏ đế ệ thống trung gian Sau đó,

h ệthống trung gian s g i ph n h i yêu cẽ ử ả ồ ầu có kích thước và s ố lượng l n v h ớ ề ệthống b t n ị ấcông như Smurf and Fraggle… [86]

d) Amplification based flooding attacks: ạ- D ng tấn công này được th c hiự ện tương tự các thực

hi n d ng tệ ạ ấn công Reflection-based Tuy nhiên, v i d ng t n công này, tin t c s d ng m ng ớ ạ ấ ặ ử ụ ạbotnet thay vì khai thác h ệthống trung gian như ở trên Khi đó, mạng botnet đượ ử ục s d ng với hai mục đích: Gửi gói tin ph n hả ồi đế đích bị ấn t n công và khuếch tán s ố lượng l n các gói tin ớ

ph n hả ồi thông qua các đặc trưng của gói tin qu ng bá (IP broadcast) ả

1.2.2 T n công DDoS vào l ấ ớp ứ ng d ụng

Các d ng t n công DDoS l p ng d ng t p trung vào vi c làm c n ki t tài nguyên x lý cạ ấ ở ớ ứ ụ ậ ệ ạ ệ ử ủa máy ch Các d ng tủ ạ ấn công này thường s dử ụng ít băng thông hơn so với các d ng t n công ạ ấDDoS x y ra l p mả ở ớ ạng

T n công DDoS vào l p ng dấ ớ ứ ụng thường x y ra vả ới ứng d ng Web Hình th c t n công DDoS ụ ứ ấvào ứng dụng Web được tin t c th c hiặ ự ện dưới nhi u hình thức và phương pháp khác nhau, bao ề

gồm 04 dạng cơ bản sau:

D ng t n công này, tin t c g i s ng l n phiên k t n i t máy

chủ T n su t và s ầ ấ ố lượng g i cao g p nhi u l n so v i các truy c p cử ấ ề ầ ớ ậ ủa người dùng bình thường,

d n t i c n ki t tài nguyên trên máy ch , làm máy ch ẫ ớ ạ ệ ủ ủ rơi vào trạng thái t ừchố ịi d ch v Hình ụ

thức ph bi n c a d ng t n công này là tin t c g i tràn ng p các phiên k t n i, m phiên kết ổ ế ủ ạ ấ ặ ử ậ ế ố ỗi

n i có t i thi u m t yêu c u HTTP h p l ố ố ể ộ ầ ợ ệ dướ ại d ng GET/POST t i máy ch b t n công thông ớ ủ ị ấqua m ng botnet [86]ạ Do đó, nếu m i máy tính trong m ng botnet g i s ỗ ạ ử ố lượng l n các yêu ớ

c u HTTP h p l (ví d g i 10 yêu c u tầ ợ ệ ụ ử ầ rong 1 giây) đến máy ch thì s ủ ố lượng yêu c u gầ ửi đến máy ch s r t l n ủ ẽ ấ ớ

b) Request flooding attacks: ạD ng t n công này, tin t c g i s ấ ặ ử ố lượng l n các yêu c u trong m t ớ ầ ộphiên k t n i t máy ch Dế ố ới ủ ạng t n công này dấ ựa trên đặc trưng của giao th c HTTP cho phép ứ

g i nhi u yêu c u trong m phiên k t n i T ử ề ầ ột ế ố ừ đó, tin tặc có th g i s ể ử ố lượng nh ỏcác phiên kết

n i t i máy ch ố ớ ủ nhưng chứ ố lượa s ng l n các yêu c u Hình th c t n công này cho phép ớ ầ ứ ấ vượt qua kh ả năng kiểm soát c a các thi t b b o m t v s ủ ế ị ả ậ ề ố lượng k n i t máy ch ết ố ới ủ

c) Asymmetric attacks: D ng t n công này, tin t c g phiên k t n i ạ ấ ặ ửi ế ố trong đó có các yêu cầu làm máy ch tiêu t n nhiủ ố ều tài nguyên để ử x lý (high-workload requests) D ng t n công này ạ ấ

có hai hình th c ph biứ ổ ến như sau:

- Multiple HTTP GET/POST ood: Hình th c t n công này, tin t c g i s fl ứ ấ ặ ử ố lượng l n các l nh ớ ệthực thi (HTTP VERB) trong m t yêu cộ ầu được đóng gói trong một gói tin t i máy ch trong ớ ủ

m t phiên k t n i V i hình th c này, tin t c có th duy trì khộ ế ố ớ ứ ặ ể ối lượng yêu c u c n x lý l n ầ ầ ử ớtrên máy ch v i tủ ớ ốc độ ử g i gói tin thấp Do đó, hình thứ ấc t n công này có th ể vượt qua các công ngh phát hi n t n công d a vào phát hi n d ệ ệ ấ ự ệ ị thường (Anomaly Detection) và các công ngh phát hi n xâm nh p d a trên phân tích gói tin ệ ệ ậ ự

- Faulty Application: Hình thức t n công này, tin t c l i d ng vi c thi t kấ ặ ợ ụ ệ ế ế hoặc thi t l p l i cế ậ ỗ ấu hình b o m t giả ậ ữa ứng dụng Web và cơ sở ữ d u T liệ ừ đó, tin tặc có th g i s ể ử ố lượng l n các ớyêu cầu như SQL like injections để- yêu c u máy ch liên t c th c hi n câu truy v n d u ầ ủ ụ ự ệ ấ ữliệ đểtiêu t n tài nguyên c máy ch ố ủa ủ

d) Slow request/response attacks: Tương tự d ng t n công Asymmetric attacks, tin t c g i phiên ạ ấ ặ ử

k t nế ối trong đó có các yêu cầu làm máy ch tiêu t n nhiủ ố ều tài nguyên để ử x lý Tuy nhiên v ềhình th c th c hi n l i khác nhau và có 04 hình thứ ự ệ ạ ức như sau:

- Slowloris attack [88]: Hình th c t n công này, tin t c g yêu c u dứ ấ ặ ửi ầ ạng GET nhưng không hoàn thi n t máy ch Vi c này làm máy ch ệ ới ủ ệ ủphải đợi ph n còn l i c a yêu cầ ạ ủ ầu để ử x lý mà không th h y b yêu c u S ể ủ ỏ ầ ố lượng các yêu c u không h p l này liên t c gầ ợ ệ ụ ửi đến máy ch ủvàmáy ch phủ ải dành tài nguyên để x lý m i yêu c u không hoàn thi n d n t i c n ki t tài nguyên ử ỗ ầ ệ ẫ ớ ạ ệ

- HTTP fragmentation attack: Tương tự hình th c t n công Slowloris, mứ ấ ục đích của hình thức

t n công này là gi s ấ ữ ố lượng l n các k t n i v i máy ch làm c n ki t tài nguyên máy chớ ế ố ớ ủ để ạ ệ ủ Nhưng hình thức th c hi n thì khác nhau Hình th c này, m t yêu c u g i t i máy ch ự ệ ứ ộ ầ ử ớ ủ được tin

t c phân chia ra thành các gói tin nh , phân m nh Các gói tin phân mặ ỏ ả ảnh được g i r t chử ấ ậm

t i máy ch trong kho ng th i gian timeout cho phép cớ ủ ả ờ ủa máy ch Vi c này d n t i máy ch ủ ệ ẫ ớ ủ

phải đợi, gom đủ các gói tin phân mảnh để ử x lý Khi s ố lượng các yêu c u b phân m nh gầ ị ả ửi

đến máy ch l n, máy ch ph i dành tài nguyên cho m i yêu c u dủ ớ ủ ả ỗ ầ ẫn đến c n ki t tài nguyên ạ ệ

- Slow post attack (R-U-Dead-Yet RUDY) [72]: Hình th c tứ ấn công này tương tự hình th c tứ ấn công Slowloris Tuy nhiên, thay vì g i yêu c u GET t i máy ch thì tin t c g i yêu c u POST ử ầ ớ ủ ặ ử ầ

t i máy ch v i cách ớ ủ ớ thức như sau: (1) tin tặc g i ph n header c a yêu cử ầ ủ ầu, trong đó có thông tin v chi u dài d u c a ph n n i dung; (2) tin t c gề ề ữliệ ủ ầ ộ ặ ửi các gói tin ti p theo ch a ph n n i ế ứ ầ ộdung của yêu c u v i tầ ớ ốc độ ấ r t ch m (1 byte/2 phút) T ậ ừ đó, máy ch phủ ải đợi, gom đủ các gói tin tiếp theo để hoàn thi n yêu cệ ầu POST Do đó, khi tin tặc điều khi n m ng bonet g i s ể ạ ử ố lượng

l n các yêu c u POST không hoàn thi n t i máy ch s làm máy ch c n ki t tài nguyên ớ ầ ệ ớ ủ ẽ ủ ạ ệ

- Slow reading attack [87] : Hình th c t n công này, tin t c s yêu c u máy ch g i r t chứ ấ ặ ẽ ầ ủ ử ấ ậm

ph n h i thay vì g i ch m các yêu cả ồ ử ậ ầu như các hình thức t n công ấ ở trên Khi đó, tin tặ ẽc s thiết

l p thông tin v ậ ề kích thước d u (window-size) có th nhữliệ ể ận đượ ừc t máy ch r t nh trong ủ ấ ỏquá trình kh i t o k t n i Vi c này dở ạ ế ố ệ ẫn đến máy ch ph i g i nhi u, r t ch m các ph n h i v ủ ả ử ề ấ ậ ả ồ ềphía máy g i yêu c u so v i các yêu cử ầ ớ ầu bình thường D n t máy ch ẫ ới, ủphải duy trì s ố lượng

l n các k t n i và khi tin tớ ế ố ặc điều khiển m ng botnet th c hi n hình th c t n công này, dạ ự ệ ứ ấ ẫn đến

c n ki t tài nguyên ạ ệ

1.3 Các công c t n công DDoS ph ụ ấ ổ biế n

Như đã đề ậ ở c p trên, m t trong nh ng hình th c ph bi n th c hi n t n công DDoS là tin ộ ữ ứ ổ ế để ự ệ ấ

t s d ng mặc ử ụ ạng botnet để ra l nh cho các máy tính trong mệ ạng đó (bot) thực hi n t n công ệ ấthông qua các máy ch ủ điều khi n (C&C Server) S ể ố lượng bot trong m ng botnet càng l n thì ạ ớnăng lự ấc t n công DDoS càng cao Trong ph n này, lu n án trình bày v c u trúc c a m ng ầ ậ ề ấ ủ ạbotnet và các công c ph biụ ổ ến đểthực hi n t n công DDoS ệ ấ

Cấu trúc cơ bản c a m ng botnet bao gủ ạ ồm 03 thành ph n: ầ

Master là thi t b u cu i mà tin tế ị đầ ố ặc ử ụng để ế ối và điềs d k t n u khi n các máy ch ể ủC&C

Handlers là h ệthống các máy ch ủ điều khi n C&C, các máy ch này nh n l nh tr c tiể ủ ậ ệ ự ếp

t các máy Master và g i lừ ử ệnh điều khi n cho các bot Các Handlers ể thường là các máy tính/máy ch b lây nhi m ph n mủ ị ễ ầ ềm độc h i và b tin t c chi m quyạ ị ặ ế ền điều khi n Tuy ểnhiên, v i cách th c này thì các máy ch C&C d b phát hi n b i các ph n m m diớ ứ ủ ễ ị ệ ở ầ ề ệt

vi rút Do đó, tin tặc có th s d ng m t kênh giao ti p khác v i các máy ch ể ử ụ ộ ế ớ ủ C&C như các ph n mầ ềm ứng d ng IRC - Internet Relay Chat ụ

Bot là các thi t b u cu i b lây nhi m phế ị đầ ố ị ễ ần mềm độc hại do tin t c phát tán trong quá ặtrình xây d ng, hình thành m ng botnet Các thi t b này khi b lây nhi m ph n mự ạ ế ị ị ễ ầ ềm

độc h i s tr thành thành viên c a m ng botnet, t ng k t n i v các máy Handlers ạ ẽ ở ủ ạ ự độ ế ố ề

và ch u s ị ự điều khi n tr c ti p c a nh ng máy này khi chúng nhể ự ế ủ ữ ận đượ ệc l nh t máy ừMaster

Căn cứ vào cách thức khác nhau để các máy Master điều khi n các Bot, mạng botnet được chia ểlàm 02 kênh điều khi n ể như sau [70, 85]:

1.3.1 Kênh điề u khi n qua giao th c g i nh n tin nh n IRC ể ứ ử ậ ắ

IRC [9] là m t giao thộ ức cho phép ngườ ử ụi s d ng g i tin nh n cho nhau qua m ng Internet ử ắ ạ

D ch v này hoị ụ ạt động trên c u trúc máy tính/máy ch có các kênh giao ti p ấ ủ ế giữa các máy ch ủ

v i nhau M t m ng IRC có th k t n i hàng tri u Client v i nhau thông qua các máy ch s ớ ộ ạ ể ế ố ệ ớ ủ ử

d ng giao thụ ức IRC Khi đó, máy Master và Bot đóng vai trò là các Client trong m ng IRC và ạ

máy Handlers đóng vai trò là các máy ch trong m ng IRC Tin tủ ạ ặc cũng có thể kiểm soát được trạng thái, s lư ng c a các Bot trong m ng Botnet ố ợ ủ ạ

Thông qua m ng IRC, tin t c có th g i lạ ặ ể ử ệnh điều khi n, các tể ệp tin độc h i, các mã th c thi ạ ự

đến các Bot Vi c s d ng giao th c và c u trúc mệ ử ụ ứ ấ ạng IRC để giao ti p trong m ng botnet cho ế ạphép vượt qua s giám sát c a các thi t b b o m t ự ủ ế ị ả ậ

Nhược điểm c a vi c s d ng IRC trong t n công DDoS là toàn b hoủ ệ ử ụ ấ ộ ạt động c a m ng t p ủ ạ ậtrung các máy ch ở ủ IRC Do đó, khi các máy ch có s c hay b cô l p thì hoủ ự ố ị ậ ạt động của

m ng bonet s b ạ ẽ ị gián đoạn ho c ng ng hoặ ừ ạt động

M t s công c tộ ố ụ ấn công DDoS được phát tri n d a trên n n t ng IRC, bao g m: Trinity v3 ể ự ề ả ồ[10] (sử ụ d ng giao th c v i các d ng gói tin: UDP, TCP SYN, TCP ACK và TCP NUL) và ứ ớ ạKaiten [60] (sử ụ d ng giao th c v i các d ng gói tin: UDP, TCP, SYN, and PUSH+ACH) ứ ớ ạ

1.3.2 Kênh điề u khi n qua giao th c HTTP ể ứ

Giao th c khác mà tin t c có th s dứ ặ ể ử ụng để điều khi n m ng botnet là HTTP [60] Cách ể ạ thức

hoạt động c a m ng botnet s d ng giao thủ ạ ử ụ ức HTTP cũng khác so với IRC C ụthể là, đố ới i v

d ng Web-based botnet, các Web Bot không k t n i và duy trì kạ ế ố ết n t i máy ch C&C Thay ối ớ ủvào đó, các Web Bot định k gửỳ i yêu c u truy v n t i máy ch ầ ấ ớ ủ điều khiển để nh n lậ ệnh điều khi n thông qua giao th c HTTP ể ứ

Web-based botnet có th ể vượt qua s giám sát c a các thi t b b o m t khi tr n l n k t n i t i ự ủ ế ị ả ậ ộ ẫ ế ố ớmáy ch ủ điều khi n v i truy c p h p l cể ớ ậ ợ ệ ủa ngườ ử ụng bình thường, đặi s d c bi t là khi các kệ ết

n i t i máy ch ố ớ ủ điều khiển được mã hóa thông tin

M t s công c tộ ố ụ ấn công DDoS được phát tri n d a trên n n t ng Web-based, bao g m: ể ự ề ả ồBlackEnergy [58], Low-Orbit Ion Cannon (LOIC) [71] và Aldi [27 ]

1.4 Những thách th c trong vi c phát hi n và phòng ch ng t n công ứ ệ ệ ố ấ DDoS

Ở ph n trên, lu n án ầ ậ đã trình bày về các d ng, hình th c t n công DDoS ph biạ ứ ấ ổ ến Qua đó, chúng ta có th ểthấy tin t c có th s d ng nhi u d ng, hình th c t n công DDoS khác nhau, rặ ể ử ụ ề ạ ứ ấ ất tinh vi có th để ể vượt qua các bi n pháp phòng, ch ng ệ ố

Trong ph n này ầ luận án s trình bày nh ng v n trong vi c phát hi n và phòng ch ng tẽ ữ ấ đề ệ ệ ố ấn công DDoS Qua đó người đọc có th ểthấy đượ khó khăn, thách thức c khác trong vi c phòng, ệchống tấn công DDoS, như sau:

a) T n t i nhiồ ạ ều hướng t n công vào h ấ ệthống (Multiple attack vectors)

Tin t c có th ặ ểthực hi n các hình th c t n công mệ ứ ấ ạng khác nhau để chi m quy n truy c p vào ế ề ậmáy ch , d ch v và th c hi n các mã thủ ị ụ ự ệ ực thi để khai thác máy ch , d ch v ủ ị ụ Thông thường,

m t h ộ ệthống thông tin s cung c p r t nhi u d ch v ẽ ấ ấ ề ị ụ như: Dịch v Web, Thư điện t , Phân giụ ử ải tên miền…Những d ch v ị ụ này được k t n i, l m t tr c ti p ngoài Internet T ế ố ộ ặ ự ế ừ đó, tin tặc có

th thể ực hi n nhiệ ều hướng t n công khác nhau vào m t h ốấ ộ ệth ng thông tin thông qua các d ch ị

v ụtrực tuy n B t k d ch v ế ấ ỳ ị ụtrực tuy n nào, tin tế ặc đều có th ểthực hi n tệ ấn công DDoS để làm

m t tính kh d ng c a d ch v ấ ả ụ ủ ị ụ đó Do đó, việc b o v an toàn cho m t h ả ệ ộ ệthống thông tin c n ầ

b) Tính phân tán c a ngu n t n công (Multiple distributed sources) ủ ồ ấ

Ngu n g i các yêu c u t n công trong m t cu c t n công DDoS có tính phân tán cao, ph thuồ ử ầ ấ ộ ộ ấ ụ ộc vào s ố lượng máy tính n m trong m t mằ ộ ạng botnet Do đó, khi tấn công DDoS xảy ra, vi c thệ ực

hiện ngăn chặn b ng tay các ngu n g i t n công là không kh thi ằ ồ ử ấ ả Thông thường, người qu n ả

trị ệ h ốth ng có th thi t l p nh ng lu t trên thi t b m ng/thi t b b o mể ế ậ ữ ậ ế ị ạ ế ị ả ật (Router/Firewall) đểphát hiện và ngăn chặn các gói tin gửi đế ừn t các ngu n t n công Tuy nhiên, s ồ ấ ố lượng lu t có ậthể thi t l p trên các thi t b là có gi i h n Thêm n a, v i các d ng t n công DDoS s d ng ế ậ ế ị ớ ạ ữ ớ ạ ấ ử ụ

địa ch ngu n t n công gi m o ỉ ồ ấ ả ạ thì phương pháp chặ ọn l c IP ngu n không th ồ ểthực hiện được

mà thay vào đó là phả ửi s dụng phương pháp chặn l c d a vào ph n n i dung (payload) c a gói ọ ự ầ ộ ủtin

c) S n l n gi a yêu c u cựtrộ ẫ ữ ầ ủa người dùng h p l và ngu n g i t n công (Mix of benign and ợ ệ ồ ử ấmalicious traffic)

Trong khi t n công DDoS x y ra, h ấ ả ệthống v n nhẫ ận được các yêu c u t ầ ừ ngườ ử ụi s d ng h p ợ

lệ Do đó, việc áp dụng các phương pháp để phát hi n, phân lo i và l c là m t th thách l n ệ ạ ọ ộ ử ớTrường h p, h th ng thi t l p các chính sách ch n lợ ệ ố ế ậ ặ ọc ở ức độ thấ m p thì có th ể không ngăn chặn được h t các ngu n gử ấn công Trườế ồ i t ng h p, h th ng thi t l p các chính sách ch n l c ợ ệ ố ế ậ ặ ọ

ở ức độ m cao thì có thể ch n c các k t n i cặ ả ế ố ủa người dùng h p l [31] ợ ệ

d) S ự đa dạng c a các hình th c t n công (Differentiation at various levels) ủ ứ ấ

T n công DDoS có th ấ ểthực hiện dưới nhi u d ng, hình th c khác nhau và ề ạ ứ ở khác l p giao thớ ức khác nhau c Mô hình OSI [2]ủa Như n án luậ đã trình bày ở trên, t n công DDoS có th x y ra ấ ể ả

ở ớ l p 3 (Network), l p 4 (Transport) c a Mô hình OSI thông qua các giao thớ ủ ức như TCP/UDP/ICMP… và tấn công DDoS vào l p 7 (Application) c Mô hình OSI thông qua các ớ ủa giao thức như HTTP/DNS/VoiIP… [58]

đ) ựS gia tăng đột bi n truy c p h p l (Flash crowds) ế ậ ợ ệ

Đố ới v i các d ch v tr c tuy n, s lư ng truy c p t i m t d ch v có th ị ụ ự ế ố ợ ậ ớ ộ ị ụ ể tăng độ t bi n khi x y ế ả

ra trường h p s lượ ố ợng người dùng truy cập đồng th i cùng m t lúc ờ ộ tăng nhanh chóng do c đặtrưng của d ch v cung c p ị ụ ấ Do đó, trong trường h p này h ợ ệthống có th ể như đang bị ấ t n công DDoS nhưng ự ế đây lạth c t i là các truy c p h p l t ậ ợ ệ ừ phía người dùng Vì v y, vi c phân biậ ệ ệt trường hợp tăng đột bi n các truy c p h p l v i t n công DDoS th c s ế ậ ợ ệ ớ ấ ự ự cũng là mộ ấn đềt v

lớn đố ới các phương pháp phòng, chối v ng

e) V trí ch n l c (Filter placement) ị ặ ọ

V trí triị ển khai các phương pháp phòng, chống tấn công DDoS cũng là mộ ấn đề ớt v l n V trí ịtri n khai khác nhau s ể ẽ có phương pháp phòng, chống khác nhau V ề cơ bản có th tri n khai ể ể

03 v trí phòng, ch ng khác nhau: (1) G n ngu n t n công, (2) Gị ố ầ ồ ấ ần đích bị ấ t n công, (3) T i h ạ ạ

t ng m ng trung giaầ ạ n thường là các m ng c a ISP [36] Tuy nhiên m i v trí triạ ủ ỗ ị ển khai đều có

nh ng h n ch nhữ ạ ế ất định Đố ới phương án triểi v n khai v trí gở ị ần ngu n, vi c ch n l c có th ồ ệ ặ ọ ểkhó khăn do tính phân tán của ngu n g i tồ ử ấn công Đố ới phương án triểi v n khai v trí g n ở ị ầđích thì vấn đề là băng thông kế ố ủt n i c a h th ng b t n công là gi i hệ ố ị ấ ớ ạn, nên băng thông kết

n i có th b quá tố ể ị ải trước khi áp dụng các phương pháp phòng, chống phía h ở ệthống b t n ị ấ

công Đố ới phương pháp triểi v n khai t i ISP thì phạ ải đối m t v i viặ ớ ệc lưu trữ và x lý thông ửtin c a các thi t b nh tuy n c a ISP ủ ế ị đị ế ủ

g) Thông lượng (Throughput)

Trên th c t , k t n i m ng c a các ISP là r t l n, m i k t n i có th lên t i hàng ự ế ế ố ạ ủ ấ ớ ỗ ế ố ể ớ trăm Gbps

C ác Website được thuê, tri n khai t i h t ng c a các ISP có s ể ạ ạ ầ ủ ố lượng l nớ Do đó việc kiểm soát lưu lượng và áp d ng các ụ phương pháp phân tích, chặ ọn l c là m t th thách r t l n [38] ộ ử ấ ớ

1.5 T ng quan v ổ ề các phương pháp phòng chố ng t n công DDoS ấ

Trong ph n này ầ luận án trình bày t ng quan và các phân loổ ại các phương pháp phòng chống t n ấcông trên cơ sở tham kh o các nghiên cả ứu liên quan đã được công b ố trước đây Theo nghiên

c u [89] vi c phân loứ ệ ại phương pháp phòng chống t n công ấ được mô t ả như hình dưới đây:

Phương pháp phòng chống tấn công DDoS

Vị trí triển khai Thời điểm phòng chống

(1.5.3)

Lớp mạng (1.5.1) Lớp ứng dụng (1.5.2) Phòng thủ(1.5.3.1)

Phát hiện tấn công (1.5.3.2)

Xử lý tấn công (1.5.3.3)

Gần nguồn (1.5.1.1)

Gần đích (1.5.1.2) Mạng trung gian (1.5.1.3)

Kết hợp (1.5.1.4)

Gần đích (1.5.2.1)

Kết hợp (1.5.2.2)

Hình 1.2 Phân loại phương pháp phòng chống t n công DDoS [89] ấ

Nhóm các phương pháp phòng, chống t n công d a theo tiêu chí v trí triấ ự ị ển khai được ti p t c ế ụphân chia làm hai l p phòng ch ng: ớ ố

L p th nh t là các ớ ứ ấ phương pháp phòng ch ng cho các d ng t n công x y ra t t ng ố ạ ấ ả ừ ầgiao v nậ /mạng (Network/Transport) của mô hình OSI trở xuống (sau đây gọi là lớp

m ng) ạ ;

Đối v i l p th nhớ ớ ứ ất, các phương pháp phòng, chống t n công l i ti p tấ ạ ế ục được chia làm

bốn nhóm phương pháp:

Nhóm phương pháp áp dụng g n ngu n t n công (Source-based); ở ầ ồ ấ

Nhóm phương pháp áp dụng ở phía đối tượng được b o v (Destination-based); ả ệ Nhóm phương pháp áp dụng h t ng m ng trung gian (Network-based); ở ạ ầ ạ

Nhóm phương pháp kế ợt h p (Hybrid)

L p t n công th hai là ớ ấ ứ các phương pháp phòng, chống t n công vào l p ng dấ ớ ứ ụng

Đố ớ ới v i l p th hai, các ứ phương pháp phòng ch ng t n công l i ti p tố ấ ạ ế ục được chia làm hai nhóm phương pháp:

Nhóm phương pháp áp dụng phía đối tượng được b o v ả ệ

Giai đoạn x lý t n công ử ấ

Các phương pháp phòng ch ng t n công c th ố ấ ụ ể được lu n án trình bày ậ ở dưới đây

1.5 1 Nhóm phương pháp phòng chố ng t n công l p m ấ ớ ạ ng

T n công DDoS x y ra l p m ng bao g m các d ng t n công ấ ả ở ớ ạ ồ ạ ấ được thực hi n thông qua các ệgiao thức ở ớ l p 4 Transport và l p 3 Network theo mô hình OSIớ Phương pháp phòng chống

t n công l p m ng bao g m 04 nhóm giấ ở ớ ạ ồ ải pháp như dưới đây:

1.5.1.1 Nhóm phương pháp áp dụng g n ngu n t n công ở ầ ồ ấ

Nhóm phương pháp này là các phương pháp được tri n khai phía g n ngu n g i các gói tin ể ở ầ ồ ử

t n công Pấ hương pháp này được tri n khai t i Router biên c a m t h ể ạ ủ ộ ệthống m ng ho c tạ ặ ại Router l p truy c p c a nhà cung c p d ch v (Edge Router) ớ ậ ủ ấ ị ụ

Ưu điểm của phương pháp này là có thể ngăn chặn s m ngu n g i tớ ồ ử ấn công để ả gi m thi u các ểgói t n công làm tiêu t n tài nguyên x lý c a m ng trung gian ấ ố ử ủ ạ

Nhược điểm của phương pháp này là do tính phân tán của các Router biên nên vi c tri n khai ệ ểphương pháp gần ngu n khó tri n khai trên ph m vi r ng Thêm n a, vi c phát hi n t n công ồ ể ạ ộ ữ ệ ệ ấ ởphía g n nguầ ồn là khó khăn hơn vì lưu ợlư ng t m i ngu n là nh , phân tán nên các thu t toán ừ ỗ ồ ỏ ậphát hi n t n công phía ngu n có hi u qu ệ ấ ồ ệ ảthấp hơn

M t s ộ ố phương pháp phòng chống t n công g n ngu n bao gấ ầ ồ ồm:

Phương pháp c ặ ọ ạh n l c t i Router biên [11]

Phương pháp D-WARD [22, 33]

Phương pháp MULTOPS [45]

Phương pháp ử ụs d ng Reverse Firewall [105]

1.5.1.2 Nhóm phương pháp áp dụng ở phía đối tượng được b o v ả ệ

Các phương pháp này được tri n khai tr c ti p t i các h th ng c n b o vể ự ế ạ ệ ố ầ ả ệ, có ưu điểm là vi c ệtri n khai gi i pháp d ể ả ễ dàng hơn vì chỉ cần tri n khai gi i pháp ể ả ở ệ h thống c n b o v mà không ầ ả ệ

ph i triả ển khai phân tán như phương pháp gần ngu n Vi c phát hi n t n công cồ ệ ệ ấ ủa phương pháp này cũng hiệu qu ả hơn do lưu lượng tấn công đượ ậc t p trung ở phía đích

Điểm h n ch cạ ế ủa các phương pháp này là khi lưu lượng t p trung t i ngu n thì tài nguyên h ậ ạ ồ ệthống và hiệu năng xử lý yêu c u cao Thêm nầ ữa, phương pháp này cũng không khả thi đố ới v i trường h p t n công m ng d ng tràn ngợ ấ ạ ạ ập băng thông (Volumetric Attack) B i vì khi không ở

còn băng thông cho kế ố ạch thì phương pháp chặ ọc phía đích có hiệt n i s n l u qu th nào thì h ả ế ệthống vẫn rơi vào trạng thái t ch i d ch v ừ ố ị ụ

M t s ộ ố phương pháp phòng chống t n công gấ ần đích bao gồm:

Phương pháp truy vấn ngược IP ngu n [47, 69] ồ

Phương pháp ử ụs d ng thông tin MIB [21-37]

Phương pháp đánh dấu và l c gói tin: ọ

Phương pháp History-based IP filtering [31]

Phương pháp Hop count filtering - [56]

Phương pháp Path Identifier [32]

Phương pháp Packetscore [49]

1.5.1.3 Nhóm phương pháp áp dụng h t ng m ng trung gian ở ạ ầ ạ

Nhóm phương pháp này được tri n khai t i các Router bên trong cể ạ ủa các h t [5] Trong ệ ự trị

đó, nhóm phương pháp này t p trung vào vi c phát hi n và ch n l c t n công t i các h t ng ậ ệ ệ ặ ọ ấ ạ ạ ầ

m ng trung gian thu c các h t ạ ộ ệ ựtrị

Ưu điểm của phương pháp này là có thể phòng ch ng d ng t n công Volumetric và có th triố ạ ấ ể ển khai các Router g n ngu n t n công ở ầ ồ ấ

Điểm h n ch cạ ế ủa phương pháp này là yêu cầu tài nguyên x lý c a các Router l n và yêu c u ử ủ ớ ầcác Router phải có cơ chế tương tác với nhau chia s thông tin Vi c phát hi n t n công cđể ẻ ệ ệ ấ ủa phương pháp này cũng khó khăn hơn vì lưu lượng t n công phân tán ấ

M t s ộ ố phương pháp phòng chống t n công h t ng m ng trung gian bao gấ ở ạ ầ ạ ồm:

Phương pháp ọl c gói tin trên Router [8, 59]

Phương pháp tìm ạ ỏ các Router độlo i b c h i: Watchers [13, 73], Packet sampling [42] ạ1.5.1.4 Nhóm phương pháp kế ợt h p

Nhóm phương pháp kết ợ đượ thựh p c c hiện trên cơ sở ế ợ các phương pháp đã đề ậ ở k t h p c p trên theo các v ịtrí khác nhau để thực hi n phòng, ch ng t n công ệ ố ấ Ví d : ụ Để phát hi n t n công ệ ấthì phương pháp sẽ tri n khai phía gể ở ần đích bị ấ t n công, còn vi c x lý, ch n l c t n công thì ệ ử ặ ọ ấthực hi n phân tán v i nhi u cách th c khác nhau ệ ớ ề ứ

Ưu điểm của phương pháp này là có thể ế ợ k t h p nhiều phương pháp để có th phát hi n và ể ệphòng ch ng t n công hi u qu ố ấ ệ ả hơn

Điểm h n ch cạ ế ủa phương pháp này là yêu c u có s k t h p gi a các thành ph n/gi i pháp ầ ự ế ợ ữ ầ ảtham gia phòng chống Khi các điểm tri n khai n m phân tán thì vi c tri n khai s ể ằ ệ ể ẽ khó khăn và yêu c u chi phí tri n khai cao M t yêu cầ ể ộ ầu khác đặt ra đố ới phương pháp này là yêu cầi v u các thành ph n ph i có kênh k t n i giao tiầ ả ế ố ếp tin tưởng để chia s và c p nh t thông tin ẻ ậ ậ

M t s ộ ố phương pháp phòng chống t n công s dấ ử ụng phương pháp ế ợk t h p bao gồm:

Phương pháp kiểm soát lưu trượn ACC [24, 25] g

Phương pháp Attack Diagnosis (AD) và parallel-AD [43]

Phương pháp COSSACK [29 ]

1.5 2 Nhóm phương pháp phòng chố ng t n công l p ng d ấ ớ ứ ụ ng

T n công DDoS x y ra l p m ng bao g m các d ng t n công th c hi n thông qua các giao ấ ả ở ớ ạ ồ ạ ấ ự ệthức ở ớ l p 5 - Session, l p 6 - Presentation và l p 7 - Application theo mô hình OSIớ ớ Phương pháp phòng ch ng t n công l p ng d ng bao g m 02 nhóm giố ấ ở ớ ứ ụ ồ ải pháp như dưới đây:

1.5.2.1 Nhóm phương pháp áp dụng ở phía đối tượng được b o v ả ệ

Phần l n các giao thớ ức ở ớ ứ l p ng d ng hoụ ạt động theo mô hình máy khách - máy ch Máy ch ủ ủcung c p m t d ch v c ấ ộ ị ụ ụthể (Ví d ụ DNS, Web, Mail…) Client là máy g i các yêu cử ầu t i máy ớchủ để khai thác các d ch v do máy ch cung c p ị ụ ủ ấ Như đã trình này ở các ph n trên, Nhóm ầphương pháp ầ g n đích là các phương pháp ể tri n khai ở phía gần đích bị t n công ấ Đích tấn công

là các máy ch cung c p d ch v ho c các máy ch Revese Proxy (máy ch i di n cho mủ ấ ị ụ ặ ủ ủ đạ ệ ột nhóm các máy ch nh n yêu c u t phía Client và g i tr thông tin ph n h i t phía nhóm ủ để ậ ầ ừ ử ả ả ồ ừcác máy chủ) Các phương pháp thuộc nhóm này th c hi n viự ệ ệc quan sát các đặc trưng trong

việc trao đổi thông tin, d u gi a máy ch và máy khách ữ liệ ữ ủ để có cơ sở phát hi n các hành ệvi/yêu c u d ầ ị thường T ừ đó, các yêu cầu d ị thường s b chặ ọẽ ị n l c ho c giới h n tặ ạ ốc độ truy cập

t ngu n gừ ồ ửi các yêu c u d ầ ị thường Nhóm phương pháp này bao gồm các phương pháp cụ ể th sau:

Phương pháp phòng chống d ng tạ ấn công Reflection/Amplification:

Các phương pháp phòng, chống d ng tạ ấn công Reflection/Amplification thường được tri n khai phía máy ch c n b o vể ở ủ ầ ả ệ và các phương pháp này tập trung vào việc các lưu lượng d ị thường t các giao thừ ức DNS, SIP…bằng cách s d ng các công ngh h c ử ụ ệ ọmáy Hai phương pháp phòng ch ng t n công DDoS l p ng d ng v i giao th c DNS ố ấ ớ ứ ụ ớ ứ

Phương pháp Anomaly detector based on hidden semi-Markov model [66]

Phương pháp DAT (Defense Against Tilt DDoS attacks) [76]

Phương pháp DOW (Defense and Offense Wall) [55]

Phương pháp Differentiate DDoS flooding bots from human [45, 63]

Phương pháp Admission control and congestion control [28]

1.5.3 N hóm các phương pháp theo giai đoạ n phòng ch ố ng

1.5.3.1 Giai đoạn phòng th ủ

Giai đoạn phòng th ủ là giai đoạn th c hi n các bi n pháp chu n b ự ệ ệ ẩ ị để ngăn ngừa ho c gi m ặ ảthi u ể ảnh hưởng t n công DDoS khi x y ra t n công Cấ ả ấ ác phương pháp trong giai đoạn này thường t p trung vào vi c phát hi n và x ậ ệ ệ ử lý các điểm yếu an toàn thông tin để tin t c không ặ

thể chi m quyế ền điều khi n h ống và các máy tính làm tay sai để ựể ệth th c hi n t n công ệ ấ

M t s ộ ố phương pháp phòng chống tấn công trong giai đoạn phòng th bao gủ ồm:

a) Tăng cường b o m t cho hả ậ ệ thống: Thực hi n ệ ngăn chặn các truy c p trái phép vào máy ậ chủ, cài đặt các b n vá l i ph n m m, g b ph n m m không s d ng ả ỗ ầ ề ỡ ỏ ầ ề ử ụ

b) Tăng cường kh ả năng dự phòng: Sao lưu dự phòng, tri n khai h ể ệ thống d phòng v trí ự ở ịkhác nhau

c) Phân b tài nguyên: Tài nguyên h ổ ệthống được phân b h p lý ổ ợ để tăng cường kh ả năng phòng chống khi x y ra t n công [14, 83] ả ấ

d) Thi t l p h ế ậ ệthống phòng th Tri n khai h ủ: ể ệ thống tường l a, phát hi n xâm nh p IDS/IPS ử ệ ậcho phép thi t l p chính sách qu n lý truy c p và phát hiế ậ ả ậ ện, ngăn chặn xâm nh p ậ

đ) S dử ụng cơ chế ọ l c gói tin: Thi t l p chính sách ch n l c gói tin theo danh sách các IP thu ế ậ ặ ọthập đượ ừ các phươngc t pháp: Ingress/Egress [11], History-based IP filtering [31], hop-count

filtering [56], Pi [32], route-based packet filtering [17, 18], ACC [24], Pushback [24, 25], AD and parallel-AD [48], TRACK [51]

e Thi t l) ế ập cơ chế cân b ng t [44] S d ng nhi u máy ch , ch y song song và chia t i cho ằ ải : ử ụ ề ủ ạ ảnhau để tăng cường kh ả năng phòng chống

1.5.3.2 Giai đoạn phát hi n t n công ệ ấ

Bước ti p theo trong vi c phòng ch ng t n công là phát hi n khi nào t n công x y ra ế ệ ố ấ ệ ấ ả Giai đoạn phát hi n t n công có th s dệ ấ ể ử ụng các phương pháp được tri n khai g n ngu n, m ng trung ể ầ ồ ạgian, g n ầ đích hoặc k t h p Có nhiế ợ ều cơ chế khác nhau để phát hi n t n công, m t s ệ ấ ộ ố phương pháp phát hiện phát hi n t n công khi các liên k t m ng b t c nghệ ấ ế ạ ị ắ ẽn đến một ngưỡng nhất định như [49, 15] M t s ộ ố phương pháp phát hi n t n công khác d a trên phân tích d u hi u cệ ấ ự ấ ệ ủa lưu lượng m ng nhạ ận đượ ạ ớc t i l p m ng và l p ng d ng (ví d , phân tích thông tin MIB [21], D-ạ ớ ứ ụ ụWARD [22, 33], MULTOPS [16], TOPS [30, 31], DDoS Shield [48, 65], DAT [76] Các phương pháp này giám sát lưu lượng mạng để thu th p tr ng thái c a k t n i m ng ho c các ậ ạ ủ ế ố ạ ặđặc trưng khi hệ th ng tr ng thái hoố ở ạ ạt động bình thường và thi t lế ập ngưỡng phát hi n t n ệ ấcông dựa vào thông tin phân tích được Đây là những thông tin được s dử ụng để phát hi n t n ệ ấcông khi phát hi n s ệ ự thay đổi các đặc trưng của lưu lượng khi t n công x y ra M t s nghiên ấ ả ộ ố

c u s dứ ử ụng phương pháp này như: [40, 41, 52]

1.5.3.3 Giai đoạn x lý t n công ử ấ

Sau khi phát hi n t n công, h ệ ấ ệthống phòng th phủ ải xác định và ngăn chặn các ngu n g i gói ồ ửtin t n công Trên th c t , hấ ự ế ầu h t các ế phương pháp phòng chống t n công không th ấ ể ngăn chặn hoàn toàn các cu c t n côngộ ấ Do đó, giảm thi u ể ảnh hưởng củ ấa t n công là mục đích chính của

các phương pháp phòng chống Có hai chức năng chính để ự th c hi n gi m thi u tệ ả ể ấn công như sau :

a) Phát hi n ngu n g i t n công Khi phát hi n t n công x y ra, vi c ti p theo mà h ệ ồ ử ấ : ệ ấ ả ệ ế ệ thống phòng ch ng ph i th c hi n là tìm ra các ngu n g i tố ả ự ệ ồ ử ấn công để thi t lế ập các chính sách ngăn chặn Vi c pháp hi n ra các ngu n gệ ệ ồ ử ấi t n công có th ể được th c hi n b ng nhiự ệ ằ ều phương pháp khác nhau Ví d ụ phương pháp truy v [69] cho phép phát hi n ra các IP gi m o b ng cách ết ệ ả ạ ằtruy v truy c p c a các gói tin d a vào thông tin cết ậ ủ ự ủa gói tin sau khi đi qua mỗi Router b) X lý ử giảm thi u, ể ngăn chặn: Vi c ti p theo sau khi phát hi n ngu n g i yêu c u t n công là ệ ế ệ ồ ử ầ ấthực hi n các chính sách gi m thiệ ả ểu, ngăn chặn H u h t các ầ ế phương pháp phòng chống áp d ng ụgiớ ại h n tốc độ ử g i gói tin ho l gói ặc ọc tin t n công Ví d , IP- ltering d a trên l ch s truy cấ ụ fi ự ị ử ập [31] Hop-count Filtering [56], Pi [32], AD [43], TRACK [51] và StopIt [62, 108] ACC [24], , Pushback [24], PAD [43], AITF [64] và DEFCOM [26] M t s ộ ố phương pháp khác được s ử

d ng trong phòng ch ng t n công l p ng d ng s d ng ụ ố ấ ớ ứ ụ ử ụ cơ chế ử g i xác minh ngu n g i yêu ồ ử

c u h p l ầ ợ ệ như: Speak-up [50] và DOW [55]

1.5.4 Phân tích l a ch ự ọn phương phá p theo v trí tri ị ể n khai

Trong ph n này, ầ luận án so sánh ưu, nhược điểm của các phương pháp phòng chống t n công ấtheo v trí tri n khai dị ể ựa vào các tiêu chí dưới đây để có cơ sở ự l a chọn phương pháp phù hợp cho hướng nghiên c u Theo nghiên c u [89] vi c so sánh ứ ứ ệ các phương pháp phòng chống t n ấcông DDoS l p m ng và l p ng d ng s dở ớ ạ ớ ứ ụ ử ụng các tiêu chí như sau:

1) Độ ạ m nh phòng th : Kh ủ ả năng phát hiện chính xác d u hi u t n công ấ ệ ấ

2) Khả năng tự ả b o v : ệ Khả năng tự ả b o v c a h ệ ủ ệthống phòng th ủ đểchống l i các t n công ạ ấ

c a tin t c vào tr c ti p h ủ ặ ự ế ệthống phòng th chi m quyủ để ế ền điều khi n h ể ệthống phòng th ủ3) Độ ễ tr trong quá trình phát hi n/phệ ản ứng: Kho ng th i gian h ả ờ ệthống phòng th củ ần để phát

hi n/ph n ng khi có t n công x y ra ệ ả ứ ấ ả

4) Yêu c u tài nguyên h ầ ệthống: Yêu c u tài nguyên c a h ầ ủ ệ thống (CPU, Memory…) để ự th c

hi n có ệ cơchế phòng th ủ

5) Khả năng chủ độ ng phòng th : Kh ủ ả năng của h ệthống phòng th trong vi c x lý t n công ủ ệ ử ấDDoS thông qua cơ chế ch ng phòng th ủ độ ủ trước khi t n công x y ra hay th ng phòng th ấ ả ụ độ ủkhi tấn công DDoS đã xảy ra

6) Khả năng phòng thủ toàn di n: Kh ệ ả năng cho phép kế ợt h p nhiều phương pháp cùng lúc đểthực hi n kh ệ ả năng phòng thủ toàn di n ệ

7) Độ ph c t p khi tri n khaiứ ạ ể : Đây là một trong nh ng tiêu chí quan tr ng so sánh tính hi u ữ ọ để ệ

qu c a các h ả ủ ệthống phòng th M t h ủ ộ ệthống phòng ch ng tố ấn công được coi là t t n u viố ế ệc tri n khai gi i pháp có th ể ả ểthực hi n m t cách d dàng ệ ộ ễ

8) D dàng s dễ ử ụng: Mức độ ễ d dàng s d ng, qu n tr h ử ụ ả ị ệthống phòng th i vủ đố ới ngườ ửi s

d ng ụ

9) V trí tri n khaiị ể : Như đã phân tích ở ph n trên, mầ ỗi phương pháp phòng thủ khác nhau s có ẽ

v trí tri n khai khác nhau và s ị ể ẽ có ưu điểm và h n ch ạ ế khác nhau Do đó vị trí triển khai cũng

là một tiêu chí để đánh giá hiệu qu c a h ả ủ ệthống phòng thủ

10) Khả năng mở ộng r : Kh ả năng ở ộm r ng c a h ủ ệthống phòng th có th phòng ch ng tủ để ể ố ấn công khi cường độ ấn công tăng lên t

Trên cơ sở 10 tiêu chí trên, cũng tại nghiên c u [89] ứ đưa ra kết qu ả so sánh các phương pháp theo các tiêu chí ở trên như sau:

a) So sánh hi u qu cệ ả ủa phương pháp phòng chống t n công DDoS l p m ng ấ ở ớ ạ

B ng 1.2 So sánh hi u qu cả ệ ả ủa phương pháp phòng chống t n công l p ng d ng [89] ấ ớ ứ ụ

T k t qu so sánh trên, NCS ừ ế ả ở thấ ằng có đủ cơ sở để ựy r l a chọn phương pháp triển khai ởphía phần đích ới các phương pháp cụv thể được trình bày trong chương 2 và chương 3

1.5.5 Các nghiên c ứu liên quan đế n phòng ch ng t n công TCP Syn Flood ố ấ

Trong ph n này, lu n án s rà soát m t s nghiên cầ ậ ẽ ộ ố ứu liên quan đến phương pháp phòng chống

tấn công TCP Syn Flood để làm cơ sở cho các đềxuấ ụ thể ủt c c a NCS được trình bày các ởchương 2 Các nghiên cứu liên quan đến d ng t n công TCP Syn Flood ạ ấ được chia làm 04 nhóm, như sau:

1.5.5.1 Nhóm phương pháp dựa vào cơ chế nh n dậ ạng đường đi (Path Identification)

Ý tưởng cơ bản của nhóm phương pháp này là lưu lại thông tin v ề đường đi của m i gói tin khi ỗ

đi qua các thiế ị địt b nh tuy n và s dế ử ụng thông tin này để phát hi n gói tin gi m o, bao g m ệ ả ạ ồcác nghiên c u sau: ứ

1) Tác gi A Yaar và ng nghiả đồ ệp (2003) đề xuất phương pháp Path Identifier [32] Phương pháp này lưu trữ giá tr th hiị ể ện đường đi (Path Identification – PI) c a mủ ỗi gói tin khi đi từnguồn đến đích ứng v i mớ ỗi địa ch nguỉ ồn Các gói tin đi cùng đường đến đích sẽ có thông tin

PI thường gi ng nhau, và s đư c s dố ẽ ợ ử ụng để ọ l c b t t c các gói tin gi mỏ ấ ả ả ạo có cùng đường

đi với m t gói tin gi mộ ả ạo đã phát hiện trước đó Phương pháp này cần không gian lưu trữ ớ l n

để lưu thông tin địa ch IP ngu n vỉ ồ ới đường đi tương ứng

2) Tác gi ả R Chen và đồng nghiệp (2006) đề xuất phương pháp IP Traceback [47] Phương pháp này dựa trên cơ chế truy v t k tế ẻ ấn công trên cơ sở lưu lại thông tin (thông tin c a giao ủ

di n c a các Router dệ ủ ọc đường) v ề đường đi từ nguồn đến đích cho mỗi địa ch IP nguỉ ồn đểtìm ra các gói tin gi mả ạo Theo phương pháp này các gói tin ả ạ gi m o là gói tin có thông tin có đường đi không khớp với thông tin được lưu trước đó tương ứng v i cùng mớ ột địa ch IP ngu n ỉ ồTuy nhiên, phương pháp này có hạn ch l n là yêu c u các thi t b nh tuy n trung gian phế ớ ầ ế ị đị ế ải

h ỗtrợ cơ chế đánh dấu đường đi nê ấn r t khó tri n khai trong th c t ể ự ế

3) Tác gi ả Krishna Kumar và đồng nghi p (2010) ệ đềxuất phương pháp sử ụ d ng thông tin Hop Count và k t h p v i Path Identification PI t i các Router [75ế ợ ớ – ạ ] Thông tin đường đi của gói tin IP được đưa vào trường identification của IP Header Các gói tin h p l ợ ệ là các gói tin có địa chỉ IP ngu n kh p v i giá tr ồ ớ ớ ị PI được lưu trước đó, khi chưa có t n công DDoS xấ ảy ra Phương pháp này yêu c u các Router ph i chia s thông tin v i nhau M Router cầ ả ẻ ớ ỗi ần không gian lưu trữ ớ l n và nhi u th i gian x lý, tính toán ề ờ ử

1.5.5.2 Nhóm phương pháp dựa vào cơ chế ị l ch s truy c p (History-ử ậ based IP filtering)

Ý tưởng cơ bản của nhóm phương pháp này là lưu lại thông tin các địa ch IP ngu n sỉ ồ ạch đã

k t n i vào h ế ố ệthống để ưu tiên, cho phép các IP này được k t n i vào h ế ố ệthống khi có t n công, ấbao g m các nghiên c u sau: ồ ứ

1) Tác gi ả T Peng (2003) và đồng nghiệp đềxuất phương pháp History based IP filtering - [31] Phương pháp này lưu lại thông tin các địa ch IP nguỉ ồn thường xuyên k t n i vào h th ng khi ế ố ệ ố

t n công ấ DD S chưa xảo y ra Khi x y ra tả ấn công, các địa ch ỉ IP đã lưu lại này s ẽ được k t nế ối vào h ệthống, còn l i s b l c bạ ẽ ị ọ ỏ Điểm h n ch cạ ế ủa phương pháp này là khi xảy ra t n công, ấcác k t n i có IP nguế ố ồn chưa được lưu trước đó sẽ không th k t n i vào h ể ế ố ệthống c n b o v ầ ả ệ2) Tác gi ả L Kavisankar và đồng nghiệp (2017) đề xuất mô hình và cơ chế phát hi n và phòng ệchống t n công TCP Syn Flood [99] Trong đó, tác giả đề xuất cơ chế lưu thông tin các IP sạấ ch trong Bloom Filter để cho phép các IP sạch được ưu tiên truy cập vào h th ng c n b o v khi ệ ố ầ ả ệ

t n công xấ ảy ra Đố ới các IP chưa nằi v m trong danh sách IP sạch thì được xác th c thông qua ựmáy ch ủ đại di nệ Khi đó, máy chủ đạ i di n cho máy ch b tệ ủ ị ấn công để ử g i gói tin SYN, ACK

v phía IP ngu n xác minh N u máy ch i di n nhề ồ để ế ủ đạ ệ ận được gói tin ACK t phía IP nguừ ồn thì IP đó được coi là s ch ạ

1.5.5.3 Nhóm phương pháp dựa vào cơ chế nh n dậ ạng đường đi (Hop-count filtering)

Ý tưởng cơ bản của nhóm phương pháp này là xác định khoảng cách đường đi dựa trên tính chất giảm đi 01 đơn vị ủa trườ c ng Hop-count sau khi đi qua mỗi thi t b nh tuy n, bao g m ế ị đị ế ồcác nghiên c u sau: ứ

1) Tác gi ả H Wang và đồng nghiệp (2007) đề xuất phương pháp Hop-count filtering [56] Phương pháp này ghi nhận thông tin hop-count tương ứng v i m i IP ngu n khi tớ ỗ ồ ấn công chưa

x y ra Khi t n công ả ấ DD S ảo x y ra, các gói tin có thông tin hop-count tương ứng với địa ch IP ỉngu n khác vồ ới thông tin đã lưu trước đó sẽ được coi là gi m o và b l c bả ạ ị ọ ỏ Phương pháp này

cần không gian lưu trữ ớn để lưu thông tin đị l a ch IP ngu n v i hop-ỉ ồ ớ count tương ứng

2) Tác gi ả B.R Swain và đồng nghiệp (2009) đềxuất phương pháp sử ụ d ng xác suất phương pháp Hop-count filtering [ ] để67 t ki m th i gian tính toán và x tiế ệ ờ ử lý Phương pháp này phân tích xác su t c a mấ ủ ỗi gói tin đến p, s ố gói tin độc h i n và s ạ ố gói tin bình thường m Phương pháp này chưa xử lý trường hợp các gói tin chưa được kiểm tra thì có bình thường hay không 3) Tác gi ả Ritu Maheshwari và đồng nghiệp (2013) đềxuất phương pháp dựa trên phân b xác ổsuấ ủt c a hop-count và k t h p v i kho ng thế ợ ớ ả ời tin gói tin đi từ nguồn đến đích (Round Trip Time - RTT) [90] Phương pháp này lưu thông tin hop-count và RTT c a m i gói tin khủ ỗ i chưa

x y ra t n công Giá tr ả ấ ị này là cơ sở để xác đị nh các gói tin gi m o Gói tin gi mả ạ ả ạo được xác

định n u thông tin v hop-count và RTT không kh p vế ề ớ ới thông tin được lưu trước đó Hiệu qu ảcủa phương pháp này ph thu c vào tính ụ ộ ổn định c a giá tr ủ ịRTT Trong th c t , giá trự ế ị này ph ụthuộc vào lưu lượng m ng theo t ng thạ ừ ời điểm, khi lưu lượng mạng tăng cao thì giá trị này cũng thay đổi

4) Tác gi ả Opeyemi.A Osanaiye và đồng nghiệp (2015) đề xuất phương pháp phát hiện các gói tin gi m o d a theo giá tr cả ạ ự ị ủa trường TTL k t h p vế ợ ới đặc trưng của h ệ điều hành c a máy ủ

g i gói tin [9ử 5] Phương pháp này thu thập các thông tin TTL, window size, DF và TL để xác định h ệ điều hành c a máy Client g i gói tin trong quá trình không x y ra t n công Giá tr TTL ủ ử ả ấ ịcùng v i thông tin lo i h ớ ạ ệ điều hành được lưu lại để làm cơ sở phát hi n các gói tin gi m o khi ệ ả ạ

t n công DDoS xấ ảy ra Phương pháp này chưa đề ậ c p tới trường h p có máy Client m i và ợ ớthông tin v TTL và h ề ệ điều hành chưa được lưu trước đó thì Client này sẽ không được k t n i ế ốvào h ệthống c n b o v khi t n công DDoS x y ra hay không ầ ả ệ ấ ả

5) Tác gi ả A Degirmencioglu và đồng nghiệp (2016) đưa ra đánh giá về các phương pháp giảm thi u t n công TCP Syn Flood s dể ấ ử ụng phương pháp phân loại - Classification [96] Trong đó, tác gi s dả ử ụng các trường thông tin như IP đích, TTL, MMS, ACK… để làm thông tin đầu vào cho các phương pháp phân loại Tác gi t o ra t p d ả ạ ậ ữliệu D1 và D2 để thực hiện đánh giá Các gói tin gi mả ạo được phát hi n s ệ ẽ được phương pháp này gửi thông tin đến Firewall đểthực

hiện ngăn chặn Phương pháp này mới ch ỉ được áp d ng v i t p d ụ ớ ậ ữliệu được ấl y mẫu và lưu

trữ trước đó mà chưa có cơ chế ử x lý theo th i gian th c khi có t ng gói tin gờ ự ừ ửi đến h ống ệth6) Tác gi T.ả Alharbi và đồng nghiệp (2018) đề xuất mô hình và phương pháp phát hiện và giảm thi u t n công TCP Syn Flood s d ng NFV (Network Functions Virtualization) [101] Trong ể ấ ử ụ

mô hình đề xuất, tác gi ả đưa ra thành phần Screener cho phép phân tích lưu lượng mạng để phát

hi n t n công TCP Syn Flood s d ng thu t toán DBSCAN Thành ph n Screener cho phép ệ ấ ử ụ ậ ầtương tác với các thành ph n chầ ức năng khác trong hệ thống như thành phần ngăn chặ ấn t n công l p mớ ạng/l p ớ ứng d ng, thành ph n cụ ầ ấp phát tài nguyên để g i c nh báo và th c hiử ả ự ện ngăn chặ ấn t n công Thu t toán DBSCAN s dậ ử ụng các trường thông tin l p IP (TTL, DF, TL) và các ớtrường thông tin c a l p TCP (Dst Port, Window size) làm các tiêu chí phân loủ ớ ại đầu vào cho thu t toán ậ

1.5.5.4 Nhóm phương pháp dựa vào cơ chế xác th c ngu n (Source Authentication) ự ồ

Ý tưởng cơ bản của nhóm phương pháp này là máy tính cài đặt phương pháp sẽ đạ i di n cho ệmáy ch b t n công g i gói tin xác thủ ị ấ ử ực địa ch IP ngu n, bao g m các nghiên c u sau: ỉ ồ ồ ứ

1) Tác gi ả Akshat Gaurav và đồng nghiệp (2017) đề xuất phương pháp phát hiện t n công DDoS ấ

d a vào tính toán Entropy c a IP ngu n [100ự ủ ồ ] Phương pháp này dựa trên ý tưởng là khi có t n ấcông DDoS x y ra, s ả ố lượng các k t n i mế ố ạng có địa ch IP nguỉ ồn khác nhau tăng một cách

ng u nhiên so v i khi h ẫ ớ ệthống không b tị ấn công Phương pháp này nhóm các địa ch IP nguỉ ồn theo từng nhóm để có cơ sở tính toán giá tr Entropy cho mị ỗi nhóm Hai ngưỡng threshold1 và threshold2 đượ ửc s dụng để xác định khi nào t n công DDoS x y ra và gói tin nào là gói tin tấ ả ấn công Trong đó, giá trị threshold1 được xác nh d a trên tính toán Entropy c a m i nhóm và đị ự ủ ỗgiá tr ị threshold2 được xác định d a trên thu t toán Load Shedding ự ậ

2) Tác gi ả Ryosuke Nagai và đồng nghiệp (2018) đề xuất phương pháp giảm thi u t n công ể ấTCP Syn Flood s d ng OpenFlow-based, công ngh SDN [102ử ụ ệ ] Phương pháp này thực hi n ệ

cơ chế xác thực địa ch IP ngu n bỉ ồ ằng cách đại di n máy ch gệ ủ ửi thông tin ph n h i v IP nguả ồ ề ồn gửi gói tin SYN đến Trường h p IP ngu n g i thông tin ph n h i h p l ợ ồ ử ả ồ ợ ệ thì IP đó sẽ được cho phép k t n i t i máy ch c n b o vế ố ớ ủ ầ ả ệ Cơ chế xác th c và cho phép các IP ngu n h p l ự ồ ợ ệ được

k t n i t i máy ch c n b o v ế ố ớ ủ ầ ả ệ được th c hi n trên OpenFlow switch và OpenFlow controller ự ệ1.5.5.5 Đánh giá các điểm h n ch cạ ế ủa nhóm các phương pháp và đề xu t gi i pháp ấ ả

1) Nhóm phương pháp dựa vào cơ chế nh n dậ ạng đường đi: Nhóm phương pháp này lưu vết đường đi qua mỗi thi t b nh tuyế ị đị ến Do đó, nhóm phương pháp này có điểm h n ch chung là ạ ế

vi c phát hi n các gói tin gi m o ph thu c vào các thi t b nh tuy n dệ ệ ả ạ ụ ộ ế ị đị ế ọc đường đi của gói tin

Để ả gi i quyết điểm h n ch này, ạ ế Phương pháp NCS đề xu t (PIDAD1 và PIDAD2) ấ được triển khai ở phía đích, phía hệ thống c n b o v , s d ng thông tin cầ ả ệ ử ụ ủa trường PID mà không ph ụthu c vào thông tin c a các thi t b nh tuy n dộ ủ ế ị đị ế ọc đường đi của gói tin

2) Nhóm phương pháp dựa vào cơ chế ị l ch s truy cử ập: Nhóm phương pháp này ỉch cho phép các IP sạch (IP thường xuyên k t n i vào h ế ố ệthống đã được lưu khi hệ thống không b t n công) ị ấ

k t n i vào h ế ố ệthống khi có t n công xấ ảy ra mà không đề ậ ớ c p t i vi c cho các IP m i k t n i ệ ớ ế ốvào h ệthống khi h ệthống b t n công ị ấ

Để ả gi i quy t vế ấn đề này, Phương pháp NCS đề xu t vấ ừa lưu thông tin các địa ch IP ngu n ỉ ồ

sạch để ưu tiên kế ốt n i vào h ệthống khi t n công và k t h p vấ ế ợ ới phương pháp xác định các IP ngu n h p l trong quá trình x y ra t n công ồ ợ ệ ả ấ

3) Nhóm phương pháp dựa vào cơ chế nh n dậ ạng đường đi: Nhóm phương pháp này phụ thu c ộvào đường đi từ nguồn đến đích của gói tin Trên th c t ự ế đường đi của gói tin có th ể thay đổi

hoặc đi nhiều đường khác nhau đến đích (cơ chế ầ c n b ng t ằ ải)

Để ả gi i quy t vế ấn đề này, NCS đã đề ập phương án như đố ới phương án để ả c i v gi i quy t h n ế ạchế ủa nhóm phương pháp dựa vào cơ chế c nh n dậ ạng đường đi

4) Nhóm phương pháp dựa vào cơ chế xác th c ngu n: ự ồ Nhóm phương pháp này yêu cầu máy tính cài đặt gi i pháp ả có năng lực x lý rử ất cao để có th thay m t máy ch b t n công g i các ể ặ ủ ị ấ ử

gói tin xác th c v nguự ề ồn Trong trường h p máy tính này b quá t i ho c x y ra s c thì giợ ị ả ặ ả ự ố ải pháp này lại như một điểm y u b t n công ế ị ấ

Để ả gi i quy t vế ấn đề này, Phương pháp NCS đề xu t không can thi p tr c tiấ ệ ự ếp vào lưu lượng

m ng g i t i máy ch mà ch theo dõi th ạ ử ớ ủ ỉ ụ động lưu lượng mạng để phát hi n gói tin gi m o ệ ả ạCác địa ch IP ngu n c a gói tin gi m o s ỉ ồ ủ ả ạ ẽ được lưu trong một danh sách đen (Black-List) và được gửi đến các thi t b b o mế ị ả ật để ự th c hiện ngăn chặn Phương án này có tính an toàn cao, ngay khi máy tính cài đặt gi i pháp có s c ả ự ố thì cũng không ảnh hưởng đến k t n i m ng t i ế ố ạ ớmáy ch c n b o v ủ ầ ả ệ

1.5.6 Các nghiên c ứu liên quan đế n phòng ch ng t n công Web App-DDoS ố ấ

Trong ph n này, lu n án s rà soát m t s nghiên cầ ậ ẽ ộ ố ứu liên quan đế phương pháp phòng chốn ng

t n công Web App-DDoS ấ để làm cơ sở cho các đề xuất cụ thể ủ c a NCS được trình bày các ởchương 3 Các phương pháp này được phân làm 03 nhóm như sau:

1.5.6.1 Nhóm phương pháp sử ụ d ng thu t toán phân nhóm ậ

1) Tác gi Yang Li ả và đồng nghi p (2009) ệ đề xuất phương pháp E-FCM [68] (Extend Fuzzy Means) Phương pháp này giải quy t h n ch cế ạ ế ủa phương pháp TCM-KNN (Transductive Confidence Machines K-Nearest Neighbors) v ềthời gian tính toán mà tác gi ả đã đềxuất trước

C-đó Để đánh giá thực nghi m, tác gi thi t l p m t máy ch tr c tuy n và th c hi n quá trình ệ ả ế ậ ộ ủ ự ế ự ệ

h c trong vòng vài ngày v i d ọ ớ ữliệu đượ ạc t o ra t 5000 máy Client Tác gi s d ng công c ừ ả ử ụ ụStacheldraht và TFN2K th c hi n t n công vào máy ch ự ệ ấ ủ để đánh giá thực nghiệm

2) Tác gi ả Qin Liao và đồng nghiệp (2014) đưa ra tập các đặc trưng đượ ử ụng đểc s d phát hi n ệ

t n công App-ấ DDoS trên cơ sở phân tích nh t ký truy c p cậ ậ ủa máy ch [92] Tác gi s d ng 9 ủ ả ử ụđặc trưng đượ ấc l y ra t nh t ký truy cừ ậ ập Các đặc trưng được chia làm các nhóm v th i gian, ề ờ

t n su t và chi u dài yêu cầ ấ ề ầu Để có d ữliệu đánh giá thực nghi m, tác gi s d ng t p d ệ ả ử ụ ậ ữliệu ClarkNet-HTTP T p d u ậ ữliệ này được thu th p trong 2 tu n t mậ ầ ừ ột máy ch v i 3.328.587 yêu ủ ớcầu bình thường Để có d ữliệu t n công, tác gi ấ ảthực hi n gi l p các cu c t n công và n l n ệ ả ậ ộ ấ trộ ẫ

v i t p d u ClarkNet-HTTP Tác gi n hành so sánh hi u qu cớ ậ ữliệ ảtiế ệ ả ủa 3 phương pháp Naive Bayes, RBF Network và C4.5 đố ớ ậi v i t p d ữliệu thu được và với 14 đặc trưng mà tác giả đề xuất

3) Tác gi ả K Munivara Prasad và đồng nghiệp (2018) đề xuất phương pháp học máy [103] Tác gi s d ng thu t toán K-ả ử ụ ậ Means để nhóm các phiên k t n i t máy ch vào các nhóm theo ế ố ới ủthời gian Ngoài ra, tác gi ả cũng sử ụ d ng tiêu chí v chi u dài yêu c u, t l s ề ề ầ ỷ ệ ố lượng gói tin và kho ng th i gian gi a các yêu cả ờ ữ ầu được g i t máy ch thi t lử ới ủ để ế ập các ngưỡng phát hiện tấn công Tác gi s d ng t p d u ki m th LLDOS 2.0.2 [7, 53ả ử ụ ậ ữ liệ ể ử ] để đánh giá thực nghiệm phương pháp đề xu t c a mình ấ ủ

4) Tác gi Mikhail Zolotukhin ả và đồng nghiệp (2016) đề xuất phương pháp phân nhóm (Clustering) [109] để nhóm các k t nế ối bình thường vào các nhóm Các k t n i không thuế ố ộc nhóm nào thì được coi là k t n i tế ố ấn công Đặc trưng của phương pháp này là tác giả ấ l y ra các đặc trưng không liên quan đế ộ n i dung gói tin l p ng dớ ứ ụng như các thông tin của ph n mào ầ

đầu c a gói tin TCP, IP và kho ng th i gian l y mủ ả ờ ấ ẫu Do đó, tác giả cho rằng phương pháp này

có th phát hi n t n công DDoS ngay c v i các k t nể ệ ấ ả ớ ế ối có mã hóa như HTTPS Trong nghiên

c u này, tác gi s d ng nhi u thu t toán phân nhóm khác nhau (ứ ả ử ụ ề ậ K−means, Fuzzy c−means, SOM, DBSCAN) để đánh giá thực nghi m và so sánh hi u qu ệ ệ ảgiữa các thu t toán ậ

1.5.6.2 Nhóm phương pháp thống kê

1) Tác gi ả Luis Campo Giralte và đồng nghiệp (2013) đề xuất phương pháp kết h p giợ ữa phương pháp thống kê và phân tích yêu c u ng d ng Web khi truy c p các tài nguyên khác nhau trên ầ ứ ụ ậmáy ch [91] Tác gi s dủ ả ử ụng 03 tiêu chí để xác định các ngu n gồ ửi yêu cầu không h p lợ ệ Các ngu n gồ ửi yêu cầu không h p l được đánh dấu và đượ ửợ ệ c x lý b i m t h ở ộ ệthống ngăn chặn độc

l p Tác gi s d ng tiêu chí v t n su t truy c p t m t nguậ ả ử ụ ề ầ ấ ậ ừ ộ ồn, đường d n truy cẫ ập được lưu trong b nh ộ ớ cache trước đó và tần su t l p yêu c u giấ ặ ầ ống nhau để là cơ sở phát hi n các nguệ ồn

g i yêu c u không h p lử ầ ợ ệ Để đánh giá thực nghi m, tác gi s d ng m máy ch trên môệ ả ử ụ ột ủ i trường th c Tác gi ự ả đã thu thập được 290.000 k t n i ng d ng Web t ế ố ứ ụ ừ 14.000 người dùng khác nhau Qua đánh giá thực nghi m, k t qu cho thệ ế ả ấy phương pháp tác giả đề xu t có kh ấ ảnăng phát hiện các d ng t n công mà tin t c s d ng công c Acunetix [ ] hoạ ấ ặ ử ụ ụ 81 ặc Google Bot [82] và web-crawlers

2 Tác gi ) ả Ko Ko Oo và đồng nghiệp (2015) đềxuất phương pháp Hidden Semi-Markov [94] Tác gi s d ng 03 nhóm tiêu chí v t n su t gả ử ụ ề ầ ấ ửi yêu c u tầ ới ứng d ng Web, thụ ời gian đọc trang Web và th t các yêu c u nhứ ự ầ ận được T 03 nhóm tiêu chí này tác gi l a ch n 7 tiêu chí c ừ ả ự ọ ụthể (tổng s gói tin nhố ận được, t ng s ổ ố kích thước d liệữ u nhận được, kích thước trung bình của gói tin, t n su t nhầ ấ ận được gói tin, kích thước d u trên mữliệ ột đơn vịthời gian, mức độ ế bi n

đổi th i gian và kích thước gói tin) để làm thông tin đầu vào cho phương pháp củờ a mình Tác giả cũng đề xu t mô hình thu t toán bao gấ ậ ồm 5 bước để ự th c hi n phân bi t gói tin t n công ệ ệ ấhay bình thường Tác gi t o d li u ki m th ả ạ ữ ệ ể ử đánh giá phương pháp của mình s d ng công ử ụ

c Hping3 ụ

3) Tác gi Hsing-Chung Chen ả và đồng nghiệp (2018) đềxuất phương pháp mô tả ế ố k t n i m ng ạ

của người dùng bình thường s dử ụng 10 trường thông tin t k t n i m ng s d ng thu t toán ừ ế ố ạ ử ụ ậ

luậ ế ợt k t h p (Association Rule) [111] Phương pháp này sử ụ d ng t p d ậ ữ ệli u thu th p khi h ậ ệ

thống hoạt động ạng thái bình thường đểởtr xây d ng m i quan h ự ố ệ tương quan giữu các tiêu chí s dử ụng được xác định t ừ 10 trường thông tin thu th p Khi t n công x y ra, t p d ậ ấ ả ậ ữliệu tương quan này đượ ử ụng đểc s d phát hi n các k t n i m ng t n công ệ ế ố ạ ấ

1.5.6.3 Phương pháp mô tả hành vi người dùng t log truy c p ừ ậ

1) Tác gi Jema David Ndibwile ả và đồng nghiệp (2015) đềxuất phương pháp xác thực người dùng [107] Theo phương pháp này, khi có tấn công x y ra, k t nả ế ối đến máy ch b t n công ủ ị ấ

mà chưa được xác thực trước đó sẽ được gửi đến m t máy ch ộ ủ khác để thực hi n xác th c Việ ự ệc xác th c tự ấn có tác động t ừ phía ngườ ử ụng đểi s d phân bi t k t nệ ế ối đó từ người dùng bình thường hay được gửi đi tự độ ng t m t máy ừ ộ Đố ới v i nh ng k t n i kữ ế ố hông được xác th c thì ựđược coi là ngu n g i tồ ử ấn công và được c p nh t vào t p d u hi u phát hi n t n công c a h ậ ậ ậ ấ ệ ệ ấ ủ ệthống IDS/IPS

2) Satyajit Yadav và đồng nghiệp (2016) đềxuất phương pháp học máy nhi u h p s d ng ề ợ ử ụ

“Stacked Autoencoder” [108] Phương pháp này s dử ụng 08 đặc trưng từ log truy c p c a máy ậ ủchủ web để làm d liệu đầu vào cho thu t toán h c máy D u hữ ậ ọ ữliệ ọc máy đượ ạc t o ra t phòng ừthí nghiệm “Smart and Secure Environment SSE” bao g m 02 t p d u T p d u bình ồ ậ ữ liệ ậ ữ liệ

thường t các yêu c u gừ ầ ửi đế ừ ngườn t i dùng th c và t p d ự ậ ữliệ ấu t n công t các từ ấn công được

t o ra t m ng AL-ạ ừ ạ DDOS Để phân l p các k t n i tớ ế ố ấn công và bình thường, tác gi s d ng ả ử ụphương pháp Logistic Regression trên t p d li u hậ ữ ệ ọc đượ ừc t 02 t p d li u trên ậ ữ ệ ở

3 Tác gi Jianguo Jiang ) ả và đồng nghiệp (2018) đề xuất phương án xây dựng tập hành vi người dùng d a trên các thông tin IP ngu n, t n su t g i yêu c u trung bình, s yêu c u thành công ự ồ ầ ấ ử ầ ố ầtrong m t kho ng th i gian, s ộ ả ờ ố lượng các yêu c u giầ ống nhau…[110 T các thông tin này tác ] ừgiả tính toán các giá tr ịtrung bình tương ứng để làm đầu vào cho thuật toán “Neutral Network”

ba lớp để phát hi n các IP ngu n tệ ồ ấn công và đưa vào Black-List

1.5.6.4 Đánh giá các điểm h n ch cạ ế ủa nhóm các phương pháp và đề xu t gi i pháp ấ ả

Các nhóm phương pháp liên quan đến phòng, ch ng t n công Web App-DDoS ố ấ được phân thành các nhóm trên có nhở ững điểm h n ch khác nhau ạ ế

Đố ới nhóm phương pháp sử ụng phương pháp phân nhóm thì có điểi v d m h n ch ạ ế là phương pháp này ch phù h p v i vi c phát hi n t n công trên các t p d u có s n mà không phù hỉ ợ ớ ệ ệ ấ ậ ữliệ ẵ ợp

v i các d ng d ớ ạ ữliệu động gửi đến h ệthống theo th i gian th c Khi d u gờ ự ữliệ ửi đến h ệthống theo th i gian thờ ực thì các phương pháp thuộc nhóm này s gẽ ặp khó khăn trong vi c c p nh t ệ ậ ậ

trạng thái các nhóm để phù h p v i tr ng thái th c t c a h ống đang thay đổợ ớ ạ ự ế ủ ệth i liên t c ụ

Để ả gi i quy t vế ấn đề này, NCS đề xuất phương pháp cho phép phát hiện nhanh các ngu n g i ồ ửyêu c u t n công s d ng giầ ấ ử ụ ải pháp cho phép xác định đượ ầc t n xu t truy c p theo th i gian ấ ậ ờthực để liên t c c p nh t tr ng thái và phát hiụ ậ ậ ạ ện được các ngu n g i yêu c u t n công ồ ử ầ ấ

Đố ới nhóm phương pháp thống kê thì điểi v m h n ch c a nhóm này là hi u qu c a vi c phát ạ ế ủ ệ ả ủ ệ

hi n t n công ph thu c nhi u vào d u trong quá trình hệ ấ ụ ộ ề ữ liệ ọc máy Trường h p tin t c bi t ợ ặ ếđược thu t toán c a giậ ủ ải pháp đề xuất và các tiêu chí đượ ực l a ch n thì tin t c có th ọ ặ ể đưa vào các thông tin gi mả ạo để ố c ý làm sai l ch d u h c máy trong quá trình h c làm ệ ữliệ ọ ọ ảnh hưởng

t i hi u qu c a quá trình phát hi n t n công ớ ệ ả ủ ệ ấ

Đố ới nhóm phươi v ng pháp mô t ả hành vi người dùng t log truy c p ừ ậ thì nhóm phương pháp này cũng có điểm h n ch ạ ế như nhóm phương pháp thống kê Ngoài ra, hi u qu c a nhóm ệ ả ủphương pháp này còn phụ thuộc vào các thông tin, tiêu chí đượ ực l a chọn để mô t ả được chính xác hành vi của người dùng t log truy c p ừ ậ

Để ả gi i quy t vế ấn đề này, NCS đề xuất phương pháp xác định các ngu n d li u th c s s ch ồ ữ ệ ự ự ạlàm d ữliệu đầu vào cho quá trình h c máyọ Phương pháp đề xuấ ử ụt s d ng t p các tiêu chí ậ để

mô t ả đặc trưng của người dùng bình thườ g, các tiêu chí này đượn c k t h p v i nhau làm tin ế ợ ớ

t c khó có th t o ra các d u sai l ch thặ ể ạ ữliệ ệ ỏa mãn đồng th i các tiêu chí này ờ

1.6 Nghiên cứu tiêu chí đánh giá hiệ u qu ả phương pháp

Trong ph n này, lu n án trình bày v ầ ậ ề các tiêu chí đánh giá hiệu qu cả ủa các phương pháp phòng chống tấn công DDoS Các tiêu chí được đề ậ ở đây được đưa ra trên cơ sở c p tham kh o các ảnghiên c u liên quan [89]ứ Các tiêu chí này cũng đượ ử ục s d ng ph bi n trong các nghiên c u ổ ế ứ

để đánh giá hiệu qu cả ủa các phương pháp được đề xu t ấ

Theo nghiên c u [89]ứ , tiêu chí đánh giá hiệu qu cả ủa phương pháp phòng thủ thường s d ng ử ụ

Quyết đị nh đúng mong mu n ố

Negative (Không C nh báo/X lý) ả ử

Positive (C nh báo/X ả ửlý)

B ng 1.3 Bả ảng tiêu chí đánh giá hiệu qu phòng th [89] ả ủ

M t ộ giải pháp phòng th có th ủ ể đưa ra một quyết định đố ớ ừng trười v i t ng h p c ợ ụthể B ng ảtrên đưa ra 04 trường h p mà h th ng phòng th có th ợ ệ ố ủ ể đưa ra:

Trường h p A (True Negativeợ ) là trường hợp đúng âm, có nghĩa là không có tấn công và h ệthống phòng th ủ cũng không đưa ra cảnh báo

Trường h p B (False Negativeợ ) là trường h p b ợ ỏ sót, có nghĩa là có tấn công nhưng hệ ố th ng phòng th ủ đưa không ra cảnh báo

Trường h p C (False Positive)ợ là trường h p d ợ ự đoán nhầm, có nghĩa là không có

tấn công nhưng hệthống phòng th ủ đưa ra cảnh báo

Trường h p D (True Positive ợ ) là trường hợp đúng dương, có nghĩa có tấn công và

Sensitivity là độ nh yạ , được tính theo công th c: D/(B+D) ứ

Specificity là độ đặ c hi uệ , được tính theo công th c: A/(A+C) ứ

Precision là độ chính xác, được tính theo công th c: D/(C+D) ứ

Reliability/False positive rate là ỷt l ệ sai dương, được tính theo công th c: C/(C+D) ứ

False negative rate là ỷ ệt l sai âm, được tính theo công th c: B/(A+B) ứ

V ề tiêu chí đánh giá đố ớ ừng phương pháp đềi v i t xuấ ụ thể, liên quan đết c n hai d ng t n công ạ ấTCP Syn Flood và Web App-DDoS mà NCS kh o sát m c 1.5.5 và 1.5.6, thì các tác gi s ả ở ụ ả ử

d ng 02 tiêu chí: T l phát hiụ ỷ ệ ện đúng tấn công TPR và t l c nh báo sai ỷ ệ ả FPR

Trên cơ sở đó , NCS l a ch n, s d ng 02 ự ọ ử ụ tiêu chí để đánh giá hiệu qu cả ủa các phương pháp

đề xu t bao gồm: ấ

T l phát hiỷ ệ ện đúng tấn công TPR được xác định b i công th c: TPR = D/(C+D) ở ứ