Bài viết Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN nghiên cứu một mô hình phát hiện các cuộc tấn công DDoS trong mạng SDN dựa trên phương pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng việc sử dụng các tham số trong mạng. Mời các bạn cùng tham khảo!
Trang 1Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN
Cấn Quang Trường, Nguyễn Thanh Tùng, Phạm Minh Bảo, Nguyễn Tiến Đạt, Lâm Xuân Toàn,
Đinh Thị Thái Mai
Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội
Email: dttmai@vnu.edu.vn
Tóm tắt nội dung—Mạng định nghĩa bằng phần mềm (Software
Defined Network - SDN) là một kiến trúc mạng mới, hướng đến
sự linh hoạt trong hệ thống và sự đơn giản trong cách vận hành,
quản lý qua việc kiểm soát tập trung Điều này giúp cho SDN rất
dễ thích nghi với nhu cầu về mạng hiện nay nhưng nó cũng là 1
yếu điểm lớn khi SDN phải đối mặt với các cuộc tấn công mạng.
Tấn công từ chối dịch vụ (Distributed Denial of Service - DDoS)
là một kiểu tấn công phổ biến trong mạng nhằm chiếm dụng tài
nguyên hệ thống gây ra sự tắc nghẽn cho toàn mạng và sẽ đặc biệt
nguy hiểm với các hệ thống quản lý tập trung như mạng SDN.
Trong nghiên cứu này, chúng tôi nghiên cứu một mô hình phát
hiện các cuộc tấn công DDoS trong mạng SDN dựa trên phương
pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng
việc sử dụng các tham số trong mạng Bằng kết quả mô phỏng và
đặc biệt chúng tôi đã xây dựng một mô hình mạng SDN thực tế và
áp dụng mô hình nghiên cứu vào thực nghiệm, kết quả cho thấy
phương án của chúng tôi có khả năng phát hiện nhanh các cuộc
tấn công DDoS và đem lại độ chính xác rất cao.
Index Terms—SDN, tấn công DDoS, an ninh mạng, học máy,
phương pháp SVM.
I GIỚI THIỆU Ngày nay, với sự phát triển nhanh chóng của công nghệ cùng
với sự bùng nổ của Internet thì nhu cầu trong việc sử dụng
dịch vụ mạng từ người dùng ngày càng tăng, kéo theo đó là
thách thức về việc kiểm soát mạng cho người quản lý Với mô
hình mạng truyền thống, việc quản lý lên đến hàng triệu thiết
bị là cực kỳ khó khăn và phức tạp Từ đó, SDN, một kiến trúc
mạng mới ra đời với hy vọng xóa bỏ những hạn chế và khuyết
điểm của mạng truyền thống nhờ khả năng cho phép quản lý tâp
trung cùng tính mở rộng và linh động cao Kiến trúc mạng SDN
bao gồm 3 lớp tách biệt: Lớp ứng dụng (application layer), lớp
điều khiển (control layer) và lớp cơ sở hạ tầng (infrastructure
layer) [1]
Lớp ứng dụng bao gồm các ứng dụng và những chức năng
cần thiết cho mạng Lớp này sẽ kết nối trực tiếp đến lớp điều
khiển thông qua các API, các API này sẽ cho phép người quản
lý ở lớp ứng dụng có thể lập trình các chức năng điều khiển
trong mạng Bộ điều khiển trong lớp điều khiển đóng vai trò
cực kỳ quan trọng trong việc quản lý tất cả các hoạt động mạng
Bộ điều khiển sẽ tiếp nhận các gói tin và xử lý các gói tin đến
các thiết bị ở lớp dưới Lớp cơ sở hạ tầng bao gồm các thiết bị
phần cứng trong mạng thực hiện chức năng chuyển tiếp gói tin
dưới sự điều khiển của bộ điều khiển Việc sử dụng kiến trúc
quản lý tập trung là một điểm yếu của SDN bởi cả hệ thống sẽ sụp đổ nếu controller bị tấn công Đặc biệt là với DDoS, khi tại 1 thời điểm, rất nhiều gói tin với địa chỉ giả sẽ được gửi đến controller Điều này sẽ gây ra sự quá tải băng thông, lãng phí tài nguyên và dẫn đến việc bộ điều khiển không thể tiếp nhận được yêu cầu dịch vụ người dùng Chính vì thế, việc phát hiện sớm và ngăn chặn các cuộc tấn công DDoS là một yêu cầu cấp bách và cần thiết cho mạng này để đảm bảo được vấn đề an ninh mạng
Hình 1 Kiến trúc mạng SDN
Một số nghiên cứu áp dụng các phương pháp học máy vào việc phát hiện tấn công DDoS đã được đưa ra trước đây Nhóm tác giả của bài báo [7] đã phát triển phương pháp phát hiện tấn công dựa trên việc trích xuất sáu biến trạng thái lưu lượng lấy
từ bảng luồng trong thiết bị chuyển mạch và sử dụng nó làm đầu vào cho mô hình thuật toán SVM Sau đó, họ cũng dùng thuật toán SVM để phân loại dữ liệu giúp phát hiện tấn công một cách chính xác Dựa trên số liệu nghiên cứu, độ chính xác của phương pháp này là 95.24% mặc dù chỉ một lượng nhỏ các luồng dữ liệu được thu lại
Cùng chủ đề trên, nhóm nghiên cứu trong [8] đã đề xuất
ra một ý tưởng mới và phức tạp hơn với hệ thống phát hiện
Trang 2DDoS thời gian thực trong môi trường SDN sử dụng thuật toán
PCA (Principal Component Analysis) để phân tích trạng thái
mạng dựa trên các dữ liệu lưu lượng Để giảm thiếu khối lượng
phải tính toán, mạng sẽ được chia ra thành nhiều phần Giá trị
vector thặng dư (residual vector value) sẽ được ước tính trong
thời gian thực và cuộc tấn công sẽ được xác định nếu giá trị này
giảm xuống dưới một ngưỡng trong một khoảng thời gian nhất
định
Vẫn với kỹ thuật PCA nhưng cải tiến hơn, nhóm tác giả đã sử
dụng các thành phần chính có trọng số để đối phó với kiểu tấn
công DDoS ở bài báo [9] Kỹ thuật PCA cải tiến này sẽ được áp
dụng riêng rẽ cho từng mạng con sau khi toàn bộ mạng được
chia nhỏ Phương pháp này giúp phát hiện ra các mục tiêu bị
tấn công DDoS thành công tại bộ điều khiển với tỷ lệ chính xác
là 95.24%
Ở nghiên cứu [10], một kỹ thuật khác được áp dụng để phát
hiện tấn công DDoS Nghiên cứu này đề xuất một kỹ thuật
làm cho sử dụng các giá trị entropy của địa chỉ nguồn và đích
của luồng mà các controller SDN đã có được Sau đó, giá trị
sẽ được đối chiếu với ngưỡng xác định trước để xác định xem
kiến trúc mạng có đang bị tấn công hay không Tuy nhiên, hiệu
suất thành công của phương pháp này chỉ là 63.4%
Khác với các nghiên cứu khác, bài báo của chúng tôi chủ
yếu tập trung vào việc triển khai trên môi trường thực tế Một
mô hình phân loại SVM được sử dụng dựa trên năm giá trị đặc
trưng được trích xuất từ bảng luồng thu được trong bộ chuyển
mạch Chúng tôi đánh giá hiệu suất của mô hình này thông qua
mô phỏng và thử nghiệm qua mạng thực bằng phần mềm POX
và bộ chuyển mạch Aruba
Phần còn lại của bài báo sẽ được trình bày như sau: Trong
Phần II, chúng tôi sẽ giới thiệu tổng quan về mô hình hệ thống,
và trong Phần III, chúng tôi sẽ đánh giá hiệu suất của hệ thống
trong cả hai môi trường (mô phỏng và môi trường thực) và đưa
ra kết quả thực hiện Phần IV kết thúc với kết luận của chúng
tôi và hướng thực hiện công việc còn lại
II MÔ HÌNH HỆ THỐNG Trong phần này, chúng tôi đề cập về định nghĩa và công thức
được sử dụng để huấn luyện Support Vector Machine (SVM)
Sau đó, cuộc tấn công DDoS và kỹ thuật phát hiện sẽ được
thảo luận Cuối cùng, kỹ thuật học máy mà chúng tôi sử dụng
để phân biệt các cuộc tấn công và lưu lượng truy cập thông
thường sẽ được đề cập trong mô hình thực tế
A Support Vector Machine (SVM)
Các thuật toán học máy có thể được phân thành bốn loại:
Học có giám sát, học không giám sát, học bán giám sát và học
củng cố Support Vector Machine là một thuật toán học tập có
giám sát, có nghĩa là SVM sẽ dự đoán kết quả cho dữ liệu mới
dựa trên tập dữ liệu được huấn luyện từ trước SVM so sánh
dữ liệu đầu vào mới với dữ liệu gắn nhãn được huấn luyện từ
trước để tìm nhãn chính xác cho dữ liệu mới Trong nghiên cứu
này, lưu lượng truy cập bình thường sẽ được gắn nhãn là “0”
trong khi lưu lượng truy cập tấn công sẽ được gắn nhãn là “1”
SVM có thể phân loại dữ liệu thành các lớp khác nhau và nó
được cho là thuật toán học máy tốt nhất để phân loại dữ liệu
Điểm mạnh của SVM nằm ở khả năng biểu diễn dữ liệu dưới dạng điểm trong không gian n-chiều (n – số lượng đối tượng) Như minh họa trong Hình 2, SVM chuyển đổi một tập mẫu có thể phân tách không tuyến tính thành một chiều không gian cao hơn, cho phép phân tách tuyến tính mẫu dữ liệu Sau đó, một siêu mặt phẳng sẽ được tạo ra để phân loại rõ ràng hai lớp mẫu Siêu mặt phẳng này được gọi là "ranh giới quyết định"và hình dạng của nó sẽ dựa trên số lượng các đặc tính
Hình 2 Siêu mặt phẳng và không gian SVM (e (https://bom.so/E6KDDn)
B Phát hiện tấn công trong môi trường SDN sử dụng thuật toán SVM
Trong phần này, chúng ta sẽ tìm hiểu cách SVM có thể được
sử dụng để phát hiện các cuộc tấn công DDoS Để hiểu rõ về quy trình này, trước hết, ta cần tìm hiểu cách thu được các luồng trạng thái
Hình 3 Quy trình phát hiện DDoS sử dụng SVM
Lưu đồ trong Hình 3 có thể được sử dụng để tổng hợp quá trình phân loại Đầu tiên, thông tin trên bảng lưu lượng phải được thu thập Sau đó, các giá trị đặc trưng sẽ được trích xuất
từ luồng trạng thái Sau đó, nó sẽ được tính toán và sử dụng làm đầu vào dữ liệu cho mô hình SVM Cuối cùng, đầu ra của
mô hình phải cho biết hệ thống có bị tấn công hay không Các giá trị đặc trưng là tham số được sử dụng để đại diện cho trạng thái hệ thống và chúng được thu thập như các tính năng huấn luyện cho mô hình bộ phân loại Giá trị trong một sự kiện tấn công sẽ khác bất thường với giá trị của nó trong sự kiện bình thường, vì vậy bằng cách kiểm tra sự khác biệt giữa cuộc tấn công và giá trị bình thường, chúng tôi có thể phát hiện được cuộc tấn công Có 5 đặc điểm [2] mà chúng tôi sẽ thu thập để phát hiện các cuộc tấn công DDoS:
• Tốc độ gói tin nguồn (Speed of Source IP - SSIP): Đại diện cho tổng số gói tin đến trong một khoảng thời gian nhất định
SSIP = Sum_IPsrc
Trang 3Trong (1), Sum_IPsrclà tổng số gói tin được trích xuất
từ các luồng vào (flow entries) và T là thời gian (3 giây)
Khi tấn công xảy ra, một số lượng lớn các gói tin giả mạo
địa chỉ sẽ được gửi nhằm gây tắc nghẽn đường truyền và
gây ra một số giá trị lớn SSIP so với bình thường
• Độ lệch chuẩn gói tin (Standard Deviation of Flowpacket
- SDFP): Độ lệch chuẩn của gói tin trong một khoảng thời
gian nhất định
SDF P =
v
u1
N
N X
i=1 (n_packetsi− M ean_packets)2
(2)
M ean_packets = 1
N
PN j=1number_packeti Trong (2), N là tổng số các luồng vào mới trong khoảng
thời gian T M ean_packets đại điện cho số lượng trung
bình các gói tin đến trong khoảng thời gian T Trong khi
number_packetsi là số lượng gói tin ở luồng vào thứ i
Khi có cuộc tấn công xảy ra, các gói tin có kích thước nhỏ
sẽ được sử dụng để tăng tốc độ tấn công, kéo theo đó là
độ lệch chuẩn các gói tin cũng sẻ nhỏ hơn bình thường
• Độ lệch chuẩn gói tin theo bytes (Standard Deviation of
Flow Bytes - SDFB: Đại diện cho độ lệch chuẩn các bits
trong một khoảng thời gian nhất định
SDF B =
v
u1
N
N X
i=1 (n_bytesi− M ean_bytes)2 (3)
M ean_bytes = 1
N
PN j=1number_bytesi
Ở (3), giá trị của M ean_bytes biểu diễn cho số lượng
trung bình các bytes đến trong khoảng thời gian T
number_packetsi là số lượng gói tin ở luồng vào thứ i
Khi hệ thống bị tấn công, lưu lượng tấn công thường chứa
ít bytes trên mỗi dữ liệu gửi đi so với bình thường, từ đó
giá trị SDFB khi tấn công sẽ suy giảm so với bình thường
• Tốc độ các luồng vào (Speed of Flow Entries - SFE): Đây
là tổng số các luồng đi vào bộ chuyển mạch trong một
khoảng thời gian nhất định Nó cũng thể hiện được cách
bộ điều khiển xử lý các luồng vào nhanh đến đâu
SF E = N
Ở (4), như đã nhắc đến trước nó, N là tổng số các luồng
vào trong khoảng thời gian T Nếu cuộc tấn công xảy ra,
số lượng các luồng vào sẽ tăng rất nhanh và kéo theo giá
trị SFE sẽ rất lớn so với nó ở lưu lượng bình thường
• Tỷ lệ các luồng vào tương tác (Number of Interactive
Flowentries ratio - NIFE): Đại diện cho tỷ lệ giữa luồng
tương tác và luồng vào
N IF E = 2xP air_sum
Trong (5), P air_sum là số các luồng vào tương tác trong khi N là tổng số các luồng vào Hai luồng được gọi là tương tác nếu nó thỏa mãn các yêu cầu sau:
Src_IPi= Dst_IPj Src_porti= Dst_portj Src_IPj = Dst_IPi Dst_portj= Src_porti Trong đó Src_IPilà IP nguồn thứ i, Dst_IPjlà IP đích thứ j, Src_portilà cổng nguồn thứ i và Dst_portjlà cổng nguồn thứ j Có những luồng vào tương tác này bởi nếu 2 nodes muốn giao tiếp với nhau thì phải có ít nhất 1 luồng vào tương tác giữa chúng Khi có cuộc tấn công xảy ra, số các gói tin đến sẽ tăng nhanh và controller sẽ chưa thể đáp ứng việc xử lý các gói tin đủ nhanh khiến cho giá trị NIFE
sẽ giảm so với bình thường
III THỰC THI VÀ KẾT QUẢ
A Mô phỏng trong môi trường ảo
Qúa trình mô phỏng của chúng tôi được thực hiện trên máy tính ASUS F570zd với hệ điều hành Ubuntu 20.04 Chúng tôi sử dụng Mininet [8] làm công cụ giả lập mạng cùng Pox controller cho mục đích mô phỏng POX là bộ điều khiển SDN dựa trên python và là một phiên bản cải tiến của NOX So sánh với các bộ điều khiển khác, việc áp dụng POX vào các thuật toán phát hiện sẽ đơn giản và hiệu quả hơn Với Mininet [3] ta
có thể tạo ra một cuộc tấn công lên các server ảo và đánh giá kết quả của mô hình phát hiện tấn công DDoS
Trong nghiên cứu này, chúng tôi sẽ giả lập một cuộc tấn công DDoS với 64 hosts và 9 Open vSwitch, trong đó có 1 bộ chuyển mạch tập trung Để các hosts kết nối với nhau thông qua POX [5], chúng tôi sẽ sử dụng module l2_learning trong POX l2_learning sẽ phân tích và trích xuất các địa chỉ IP từ mỗi gói tin đến Thông tin này sẽ được so sánh với danh sách luồng đã có và nếu không có sự trùng khớp thì module sẽ khởi động giao thức ARP để bắt đầu yêu cầu giao tiếp
Hping3 [4] chịu trách nhiệm trong việc khởi tạo và truyền tải gói tin Hping3 được sử dụng để tạo ra và flood các gói tin TCP/UDP/ICMP cũng như giả mạo các địa chỉ IP nguồn để thực hiện luồng lưu lượng bình thường và tấn công trong hệ thống mô phỏng
Giả sử nếu dataset [11] mà chúng tôi đề cập trước đó đã được
sử dụng để huấn luyện và xây dựng mô hình phân loại SVM Quá trình mô phỏng có thể chia thành bốn giai đoạn như sau: i) chạy mô hình topo mạng; ii) chạy lưu lượng bình thường; iii) chạy chương trình phát hiện tấn công và cuối cùng là iv) tạo lưu lượng tấn công Trong mô phỏng, 3 hosts trong mạng sẽ tạo ra một luồng bình thường, bao gồm host 6, 7 và 8 thông qua công
cụ hping3 Sau đó, chương trình mô phỏng sẽ được chạy để thu thập lại các tham số mạng tại thời điểm đó và chuyển nó vào
mô hình dự đoán Sau đó, nó sẽ trả về trạng thái của hệ thống, trong trường hợp bình thường này thì sẽ có thông báo "Network
is normal"hiện lên trên màn hình
Lưu lượng tấn công được tạo ra bằng cách sử dụng cùng một chương trình với lưu lượng truy cập thông thường (Hping3) Máy tấn công sẽ là máy chủ 2 Sử dụng Hping3, lưu lượng giả
Trang 4được nhắm vào mục tiêu máy chủ 1 có thể dễ dàng được thực
hiện bằng một dòng lệnh Luồng lưu lượng đến máy chủ mục
tiêu 1 có tốc độ 100 gói mỗi giây và sử dụng hoàn toàn IP nguồn
giả Sau khi thu thập và tính toán tất cả các giá trị đặc trưng và
sử dụng các giá trị này cho mô hình dự đoán, chương trình phát
hiện thông báo rằng hệ thống đang bị tấn công
B Thực hiện trong môi trường thực tế
Trước đó, chúng tôi phát hiện cuộc tấn công DDoS trong môi
trường mô phỏng Trong phần này, mô hình sẽ được đưa vào
thực tế trên Aruba Switch 2930F trong đó giao thức OpenFlow
được kích hoạt
Chúng tôi xây dựng cấu trúc liên kết thực tế với 1 controller,
1 bộ chuyển mạch và 4 máy chủ như hình 4 Máy chủ 10.10.0.6
là máy tấn công Máy chủ 10.10.0.4 là mục tiêu tấn công Trong
khi máy chủ 10.10.0.3 và 10.10.0.5 tạo ra các mẫu lưu lượng
truy cập bình thường
Hình 4 Topology của mô hình thực nghiệm
Bằng cách sử dụng địa chỉ IP và cổng lắng nghe của giao
diện của controller, chúng ta có thể thu được trạng thái luồng
của công tắc Kịch bản tấn công sẽ được thực hiện bằng cách sử
dụng hping3 Máy có ip 10.10.0.6 là máy tấn công, từ đó chúng
ta sử dụng hping3 để làm tràn lưu lượng truy cập đến mục tiêu,
host 10.10.0.4 Mạng bị ảnh hưởng bởi DDoS và không thể
giao tiếp như bình thường
C Các thông số đo đạc
Chúng tôi đã tập hợp 4000 mẫu để đánh giá số liệu cho
phương pháp SVM Bảng I dưới đây cho thấy tổng quan về
tham số hệ thống Các tham số như trong [6] để xác định hiệu
suất của các phương pháp
Bảng I CÁC THAM SỐ ĐÁNH GIÁ CỦA PHƯƠNG PHÁP SVM
TP
(%)
FN
(%)
FP (%)
TN (%)
Precision (%)
Accuracy (%)
100 0.2 0 99.80 100 99.9
Kết quả ở Bảng I thực sự rất ấn tượng Giải thích cho kết quả
này, chúng tôi đề xuất nên triển khai một topo tương đối đơn
giản chỉ có 4 host nên lưu lượng thấp giúp dễ dàng phân loại
lưu lượng nên độ chính xác tương đối cao Tuy nhiên, trong
thực tế, sẽ là các mạng lưới hàng nghìn nút và với lưu lượng truy cập tăng lên, việc phân loại lưu lượng bình thường và bất thường sẽ trở nên khó khăn hơn, dẫn đến độ chính xác sẽ giảm
đi đôi chút
D So sánh hai môi trường
Các tham số hệ thống được thu thập và sau đó so sánh với
mô phỏng của hệ thống thực với cùng một cấu trúc liên kết tốc
độ tấn công Kết quả được trình bày ở Hình 5 - Hình 8 Bốn giá trị đặc trưng được đánh giá ngoại trừ SFE vì giá trị SFE gần giống với giá trị SSIP Các đường màu đỏ trên biểu đồ đại diện cho các tham số được thu thập trong trường hợp mô phỏng và các đường màu xanh lam là dữ liệu được thu thập trong thiết bị phần cứng thực
Đầu tiên, trong Hình 5, biểu đồ hiển thị giá trị SSIP Chúng tôi có thể quan sát thấy rằng trong cả phần cứng thực và mô phỏng, tốc độ của địa chỉ IP trong trường hợp tấn công tăng lên, do bản chất của cuộc tấn công DDoS là giả mạo IP Tuy nhiên, có một sự khác biệt nhỏ là tốc độ của địa chỉ IP trong trường hợp thực thấp hơn một chút so với tốc độ trong trường hợp giả lập Điều này có thể được giải thích là do khi cuộc tấn công xảy ra, do giới hạn của thiết bị phần cứng, một lượng lớn tin nhắn sẽ bị rớt ra và không được bộ điều khiển xử lý kịp thời
Do đó, không cài đặt các mục để tính toán Trong mô phỏng, số lượng gói tin bị rơi ít hơn trong thực tế, do đó, số lượng luồng vào được sử dụng để tính toán cao hơn làm cho tốc độ IP cao hơn Kết luận tương tự có thể được rút ra đối với tham số SFE
vì SFE và SSIP rất giống nhau
Hình 5 Giá trị SSIP
Tiếp theo, trong Hình 6 và Hình 7, đây là các đồ thị đại diện cho độ lệch chuẩn của gói tin và bytes (SDFP và SDFB)
Có thể nói rằng các tham số của độ lệch chuẩn rất giống nhau trong cả trường hợp thực tế cũng như trong mô phỏng Bởi vì
độ lệch chuẩn thể hiện độ lệch của giá trị so với giá trị trung bình Trong trường hợp bị tấn công, để đảm bảo tốc độ, các cuộc tấn công DDoS thường sử dụng các gói tin có kích thước
và số lượng gói tin cố định trong một lần truyền Điều này làm cho độ lệch chuẩn giảm xuống, điều này đúng với cả mô phỏng
và tạo ra sự tương đồng như ta thấy trong hình
Cuối cùng, ở Hình 8, biểu đồ thể hiện tham số NIFE Tham
số này được tính dựa trên số các luồng vào tương tác trên tổng
Trang 5Hình 6 Giá trị SDFP
Hình 7 Giá trị SDFB
số luồng vào hệ thống Có thể dễ thấy sự khác biệt giữa trường
hợp thực nghiệm và mô phỏng ở tham số này
Hình 8 Giá trị NIFE
Kết quả cho thấy rằng hệ thống hoàn toàn có khả năng để
phát hiện các cuộc tấn công DDoS và mô hình SVM cũng có
thể chạy trên thiết bị phần cứng thực Tuy nhiên, topo mạng
vẫn còn rất đơn giản và hệ thống sẽ cần thay đổi để có thể hoạt
động tốt ở một mô hình mạng lớn hơn Hơn nữa, việc tính toán
hoặc thêm các test cases để kiểm tra hiệu năng hệ thống có thể
được thực hiện Đây sẽ là một hướng để nghiên cứu có thể tiếp
tục phát triển trong tương lai
IV KẾT LUẬN Nội dung chính của nghiên cứu xoay quanh việc phát hiện
các cuộc tấn công DDoS sử dụng phương pháp học máy, mà
cụ thể là mô hình phân loại SVM với đầu vào là các giá trị đặc điểm lưu lượng được tính toán sử dụng chính các luồng trạng thái trong mạng Các vấn đề liên quan đến tấn công DDoS trong mạng SDN là rất cần thiết bởi vì toàn bộ kiến trúc của mạng SDN có một điểm tập trung để quản lý toàn bộ mặt phẳng dữ liệu dưới nó
Trong khuôn khổ của nghiên cứu này, việc mô phỏng được thực hiện bằng cách sử dụng mạng SDN ảo Mô hình phân loại SVM sử dụng một bộ năm giá trị đặc điểm lưu lượng được thu thập từ các luồng dữ liệu trong mạng Kết quả chỉ ra rằng SVM
có thể được sử dụng như một phương pháp có độ chính xác cao
để phát hiện các cuộc tấn công DDoS Đặc biệt hơn, mô hình cũng đã được thử nghiệm thành công trên hệ thống thưc Kết quả thu được cho thấy rằng mô hình có thể được thực thi trên một hệ thống mạng thực, các test cases và các phép đánh giá có thể được thực hiện thêm trên hệ thống để cải thiện mô hình này
Có rất nhiều hướng mà chủ đề này có thể phát triển thêm trong tương lai Một trong số đó có thể kể đến như kết hơp học máy với các giá trị thống kê để xây dựng một mô hình kết hợp chông DDoS hoặc bổ sung các phương pháp giảm thiểu sự ảnh hưởng của DDoS Hoặc có thể hướng đến việc nâng cao hiệu năng trong thời gian thực cho mô hình Điều này có thể được thực hiện bằng cách nâng cao các tính năng hoặc các giá trị lưu lượng cho mô hình để tăng tốc độ phát hiện tấn công
TÀI LIỆU [1] SDX Central, “Understanding the SDN Architecture”, [Online] Available: https://www.sdxcentral.com/resources/sdn/inside-sdn-architecture/ [Accessed Feb., 2022].
[2] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection method based on SVM in software defined network”, Security and Communication Networks, 2018.
[3] (2014, Feb) Mininet [Online] Available at: http:/ mininet.org/ [4] Hping3 [Online] Available at: https://linux.die.net/man/8/hping3 [5] Pox Controller [Online] Available at: https://github.com/noxrepo/pox [6] Gulshan Kumar, "Evaluation Metrics for Intrusion Detection Systems
- A Study", , International Journal of Computer Science and Mobile Applications, 2014.
[7] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection method based on SVM in software defined network”, Security and Communication Networks, 2018.
[8] Cui Y, Yan L, Li S, Xing H, Pan W, Zhu J, Zheng X, “SD-Anti-DDoS: fast and efficient DDoS defense in software-defined networks”, J Netw Comput Appl, 2016, pp 65–79.
[9] D Wu, J Li, S K Das, J Wu, Y Ji and Z Li, ”A Novel Distributed Denial-of-Service Attack Detection Scheme for Software Defined Net-working Environments,” 2018 IEEE International Conference on Com-munications (ICC), 2018, pp 1-6.
[10] S Salaria, S Arora, N Goyal, P Goyal and S Sharma, ”Implementation and Analysis of an Improved PCA technique for DDoS Detection,” 2020 IEEE 5th International Conference on Computing Communication and Automation (ICCCA), 2020, pp 280-285.
[11] The dataset [Online] Available at: https://github.com/surajiyer3/DDoS-Detection-SDN/blob/master/Training/Data.csv
[12] Reference code [Online] Available at: https://github.com/surajiyer3/DDoS-Detection-SDN