Nhan đề : An ninh mạng trong mạng internet của vạn vật Tác giả : Hà Minh Vũ Người hướng dẫn: Trương Thu Hương Từ khoá : An ninh mạng; Internet của vạn vật; IoT Năm xuất bản : 2020 Nhà xuất bản : Trường đại học Bách Khoa Hà Nội Tóm tắt : Tổng quan về mạng IoT; phòng chống tấn công vào lớp ứng dụng trong mạng IoT; xây dựng mô hình thực nghiệm và đánh giá.
TỔNG QUAN VỀ MẠNG IOT
Xu hướng, tính chất và những thách thức của IoT
Internet of Things (IoT) là một cấu trúc kết hợp giữa "Internet" và "Things", trong đó IoT sử dụng Internet làm nền tảng cho các dịch vụ thông minh Các "Things" trong IoT là những thực thể được nâng cao khả năng tính toán và truyền thông, cho phép chúng tương tác với nhau trong mạng Internet IoT giúp thu thập, xử lý và hành động trên thông tin, kết nối thế giới máy tính với thế giới vật chất, từ đó hỗ trợ con người thực hiện các công việc hàng ngày và tối ưu hóa quy trình sản xuất trong công nghiệp Một số đặc trưng nổi bật của IoT bao gồm khả năng tự quyết định của các thực thể dựa trên tình huống và môi trường, cũng như khả năng giao tiếp và trao đổi thông tin giữa chúng Việc tích hợp trí thông minh vào IoT còn giúp thu thập và phân tích dữ liệu từ các tương tác của con người, từ đó phát hiện ra tri thức mới về cuộc sống, môi trường và hành vi xã hội IoT có khả năng mở rộng quy mô dễ dàng, với tiềm năng phát triển rất lớn trong tương lai.
Trong tương lai, số lượng đối tượng trong IoT có thể đạt từ 50 đến 100 tỉ Kiến trúc dựa trên sự kiện cho phép các thực thể trong IoT phản hồi ngay lập tức theo các sự kiện diễn ra trong thời gian thực, đáp ứng nhu cầu cập nhật tức thì cho việc giám sát và các ứng dụng khác.
IoT đang phát triển mạnh mẽ và đa dạng trong nhiều lĩnh vực khác nhau, bao gồm công nghệ nền tảng, quy mô và mục đích sử dụng, chẳng hạn như trong chăm sóc sức khỏe và giao thông.
2 thông, năng lượng, bảo mật Luận văn xin được trình bày một số ứng dụng tiêu biểu của IoT
Sự phát triển của IoT đã mang lại khả năng theo dõi sức khỏe dễ dàng hơn, cho phép người dùng giám sát các chỉ số quan trọng như huyết áp, nhịp tim, men gan, cholesterol và lượng đường huyết Các cảm biến hiện đại không chỉ theo dõi tình trạng sức khỏe của bệnh nhân mà còn tự động thông báo cho bác sĩ trong trường hợp khẩn cấp, đảm bảo sự an toàn và thoải mái cho người bệnh.
Với sự hỗ trợ của thiết bị thông minh và robot chuyên dụng, bác sĩ có thể tham gia chẩn đoán và phẫu thuật từ xa Bệnh nhân ngày càng có vai trò tích cực hơn trong việc chăm sóc sức khỏe thông qua các ứng dụng truy cập dữ liệu cá nhân Nhờ IoT, chi phí chăm sóc sức khỏe được giảm nhờ vào dữ liệu thời gian thực từ thiết bị đeo, giúp giám sát bệnh nhân hiệu quả hơn Điều này không chỉ cải thiện chất lượng chăm sóc mà còn giảm chi phí kiểm tra sức khỏe định kỳ và tăng tốc độ cung cấp dịch vụ y tế.
IoT đang cách mạng hóa ngành nông nghiệp toàn cầu, bao gồm cả Việt Nam, bằng cách áp dụng công nghệ vào các lĩnh vực như chăn nuôi và trồng trọt Trước đây, nông nghiệp phụ thuộc vào kinh nghiệm của người nông dân, nhưng giờ đây, IoT cho phép ứng dụng điện tử, viễn thông và công nghệ thông tin vào quy trình sản xuất, nâng cao độ chính xác và tự động hóa Khi nhu cầu về số lượng và chất lượng sản phẩm nông nghiệp ngày càng cao, IoT giúp nông dân kiểm soát thông tin quan trọng trong quá trình phát triển cây trồng và vật nuôi Chẳng hạn, mô hình Nhà kính với cảm biến kiểm soát thu thập dữ liệu về độ ẩm, nhiệt độ và ánh sáng đang ngày càng phổ biến tại Việt Nam.
Việc giám sát thường xuyên các yếu tố như phân bón và chất dinh dưỡng của đất là rất quan trọng để duy trì môi trường phát triển tối ưu cho nông sản Điều này cho phép con người thực hiện các điều chỉnh cần thiết, giúp cây trồng phát triển hiệu quả và đạt chất lượng, sản lượng tốt nhất Ngoài ra, việc gắn cảm biến vào cơ thể vật nuôi giúp theo dõi sức khỏe và tình trạng dinh dưỡng của chúng, từ đó có thể điều chỉnh chế độ chăm sóc để sản phẩm vật nuôi đạt chất lượng cao và đảm bảo vệ sinh.
Hình 1.1 Ứng dụng của IoT vào việc xây dựng nhà kính trong nông nghiệp [3]
Ngành công nghiệp ô tô đã tích cực áp dụng hệ thống nhúng để cải thiện trải nghiệm người dùng và tăng cường an toàn Hệ thống này thu thập dữ liệu từ cảm biến và kết nối với dịch vụ giao thông thông minh qua Internet, cung cấp thông tin giao thông hữu ích cho tài xế Trong những tình huống khẩn cấp, xe có khả năng tự động giành quyền điều khiển để ngăn ngừa tai nạn Gần đây, xu hướng "Xe thông minh" và "Xe tự hành" đã thu hút sự quan tâm lớn từ các tập đoàn công nghệ hàng đầu như Google, Tesla và Apple Trong tương lai, xe không chỉ hỗ trợ con người mà còn có khả năng tự vận hành nhờ vào trí tuệ nhân tạo.
Sản phẩm IoT giúp cải thiện việc giao tiếp, kiểm soát và xử lý thông tin trong các hệ thống giao thông vận tải, vượt trội hơn so với các hệ thống truyền thống phụ thuộc vào sự điều khiển của con người Chẳng hạn, hệ thống quản lý bãi đỗ xe tại các thành phố lớn được trang bị công nghệ IoT, giúp tối ưu hóa việc sử dụng không gian và nâng cao hiệu quả vận hành.
Hệ thống cảm biến được lắp đặt tại từng điểm đỗ xe cung cấp thông tin thời gian thực về số lượng chỗ trống còn lại Điều này giúp những chiếc xe đang di chuyển dễ dàng tìm kiếm ô đậu gần nhất mà không cần phải đến trực tiếp, tiết kiệm thời gian và nâng cao hiệu quả tìm kiếm bãi đậu.
Trong lĩnh vực bảo mật, "giám sát thông minh" cho phép các ứng dụng tự động hóa quy trình giám sát mà không cần sự tham gia của nhân viên an ninh, mang lại nhiều lợi ích từ việc ứng dụng IoT Tuy nhiên, việc triển khai IoT cũng đối mặt với thách thức như hạn chế về phần cứng, tiêu thụ năng lượng, chi phí và bảo mật hệ thống Để đảm bảo hiệu quả, thiết bị cần có kích thước nhỏ gọn, đặc biệt trong lĩnh vực chăm sóc sức khỏe, nơi cảm biến cần không gây cản trở hoạt động hàng ngày của bệnh nhân Việc tối ưu hóa linh kiện và đảm bảo tiêu chuẩn chính xác là cần thiết, nhưng sự đồng nhất trong giao thức giao tiếp giữa các thiết bị vẫn là một thách thức lớn Hơn nữa, tiết kiệm năng lượng là ưu tiên hàng đầu cho các thiết bị IoT, vì chúng thường được sản xuất với chi phí thấp và cần hoạt động lâu dài, khiến việc thay thế nguồn năng lượng trở nên khó khăn.
Các thực thể trong mạng, hay còn gọi là “Things”, thể hiện sự thông minh thông qua khả năng tương tác lẫn nhau Điều này là yếu tố quan trọng để nâng cao hiệu quả và giá trị trong hệ thống mạng.
Sự đồng bộ và chuẩn hóa là thách thức lớn nhất của IoT, vì các thiết bị cần giao tiếp qua giao thức chung Tuy nhiên, sự tồn tại của quá nhiều chuẩn hiện nay gây cản trở khả năng kết nối và tương tác của các thiết bị IoT trên quy mô rộng.
Trong mạng IoT, các thiết bị thu thập thông tin từ cảm biến và gửi về máy chủ qua Internet, điều này đòi hỏi tính bảo mật cao vì thông tin có thể là riêng tư Kết nối không dây dễ bị tấn công, trong khi các cơ chế bảo mật hiện tại thường gặp khó khăn do hạn chế về tài nguyên phần cứng trên các thiết bị IoT An ninh và quyền riêng tư trở thành vấn đề nan giải, đặc biệt khi khả năng giao tiếp tự động của các thiết bị làm tăng độ phức tạp trong việc bảo vệ thông tin Nếu một phần tử trong mạng bị tấn công, thông tin thu thập từ nó có thể bị khai thác bởi bên thứ ba với mục đích không chính đáng, gây thiệt hại cho hệ thống và tổ chức Do đó, an ninh mạng trong mạng IoT là vấn đề cấp thiết cần được đảm bảo cho mỗi hệ thống.
Kiến trúc và thành phần của hệ thống IoT
Một trong những thách thức lớn nhất của IoT hiện nay là thiếu một chuẩn thống nhất về kiến trúc và giao thức, dẫn đến khó khăn trong việc phát triển ứng dụng Để giải quyết vấn đề này, cần thiết phải thiết lập một kiến trúc tham chiếu chuẩn, đảm bảo rằng các thiết bị IoT có thể kết nối và tương tác qua hạ tầng mạng một cách đồng bộ và nhất quán Khi số lượng thiết bị gia tăng, số lượng kết nối cũng tăng nhanh chóng, do đó, cần có một kiến trúc linh hoạt, dễ mở rộng, sẵn sàng đáp ứng nhu cầu tương tác liên tục với các trung tâm dữ liệu toàn cầu và đảm bảo tính năng dự phòng khi xảy ra sự cố.
Các thiết bị IoT thường có cấu hình phần cứng thấp và kích thước nhỏ gọn nhằm tiết kiệm năng lượng Để đảm bảo hiệu quả, cần triển khai hệ thống cập nhật tự động và quản lý từ xa cho tất cả các thiết bị này Chúng thường được sử dụng để thu thập và phân tích dữ liệu cá nhân của người dùng, do đó, việc xây dựng mô hình quản lý nhận dạng và kiểm soát truy cập giữa các thiết bị IoT và dữ liệu là rất cần thiết.
Trong bài viết này, tôi sẽ trình bày về hai kiến trúc tham chiếu phổ biến nhất hiện nay, đó là WSO2 và Microsoft Azure, nhấn mạnh tầm quan trọng của vấn đề này.
1.2.1.1 Kiến trúc tham chiếu WSO2 [4]
Hình 1.1 Kiến trúc tham chiếu WSO2 [4]
Như được thể hiện trong Hình 1.1 thì kiến trúc này bao gồm hai lớp ngang và 5 lớp dọc bao gồm:
1 Devices management – Lớp quản lý thiết bị
Trong lớp Quản lý thiết bị, hệ thống máy chủ thực hiện việc giao tiếp với các thiết bị qua nhiều giao thức khác nhau, cho phép điều khiển một hoặc nhóm thiết bị, bao gồm khả năng khóa hoặc xóa dữ liệu khi cần thiết Hệ thống cũng quản lý định danh của các thiết bị và ánh xạ chúng với chủ sở hữu tương ứng Để đảm bảo việc điều khiển truy nhập vào thiết bị, máy chủ quản lý thiết bị cần phối hợp chặt chẽ với lớp Quản lý Định danh và Truy nhập, nhằm xác định quyền truy cập của người dùng và quyền hạn của quản trị hệ thống.
2 Identity and Acess management – Lớp định danh và truy cập
Lớp này cần cung cấp các dịch vụ: Phát hành và thẩm định token định danh Oauth2; dịch vụ định danh khác gồm SAML2 SSO và OpenID Connect;
XACMLPDP; danh bạ cho người dùng (ví dụ: LDAP); quản lý chính sách điều khiển truy nhập (PCP)
3 Client/External communications - Lớp giao tiếp người dùng đầu cuối
Lớp này cung cấp giao diện quản lý thiết bị IoT thông qua web/portal, dashboard và hệ thống quản lý API Kiến trúc web/portal hỗ trợ các công nghệ máy chủ như Java Servlets/JSP, PHP, Python và Ruby Dashboard tập trung vào việc trình bày đồ thị và mô tả dữ liệu từ các thiết bị cùng lớp xử lý sự kiện Lớp quản lý API có ba chức năng chính: cung cấp portal hỗ trợ lập trình viên, quản lý truy cập API và kiểm tra điều khiển truy cập dựa trên chính sách, định tuyến và cân bằng tải, cũng như thực hiện chức năng Gateway để đẩy dữ liệu vào lớp phân tích cho lưu trữ và xử lý.
4 Event Processing and Analytics - Lớp xử lý và phân tích
Lớp này chịu trách nhiệm xử lý sự kiện sau khi dữ liệu được chuyển từ lớp Hợp nhất, với chức năng chính là lưu trữ dữ liệu vào cơ sở dữ liệu Thay vì sử dụng ứng dụng server-side truyền thống, hiện nay có những phương pháp linh hoạt hơn Phương pháp đầu tiên là sử dụng các nền tảng phân tích dữ liệu lớn (Big Data Platform) dựa trên điện toán đám mây, cho phép mở rộng và hỗ trợ các công nghệ phân tích dữ liệu quy mô lớn Phương pháp thứ hai là áp dụng Xử lý sự kiện phức tạp (Complex Event Processing) để thực hiện các hoạt động theo thời gian thực và đưa ra quyết định dựa trên kết quả phân tích dữ liệu từ các thiết bị gửi đến.
5 Aggregation/Bus - Lớp hợp nhất
Lớp này đóng vai trò quan trọng trong việc hợp nhất và chuyển đổi các bản tin truyền thông, với chức năng chính là hỗ trợ máy chủ HTTP và chuyển đổi giữa MQTT/CoAP để giao tiếp với các thiết bị Nó giúp hợp nhất nội dung từ nhiều thiết bị khác nhau và định tuyến đến một thiết bị cụ thể, đồng thời chuyển đổi giữa các giao thức khác nhau.
Lớp truyền thông thực hiện kết nối các thiết bị thông qua các giao thức phổ biến hay được sử dụng như HTTP, MQTT, CoAP [6]
HTTP là giao thức phổ biến và lâu đời nhất, được hỗ trợ bởi nhiều thư viện Với cấu trúc ký tự đơn giản, HTTP có thể được sử dụng trên các thiết bị nhỏ với bộ điều khiển 8 bit, trong khi các thiết bị mạnh hơn có thể áp dụng các thư viện HTTP đầy đủ Phiên bản HTTP2 đã được phát triển để cải thiện hiệu suất năng lượng và khả năng kết nối cho các thiết bị nhỏ.
CoAP (Giao thức Ứng dụng Giới hạn) là một giao thức tối ưu cho môi trường IoT, được phát triển bởi IETF Nó dựa trên HTTP nhưng sử dụng mã nhị phân thay vì ký tự, giúp giảm kích thước dữ liệu so với HTTP.
MQTT (Message Queuing Telemetry Transport) được phát triển vào năm 1999 để giải quyết các vấn đề trong hệ thống nhúng và đã được chuẩn hóa bởi OASIS Giao thức này hoạt động theo mô hình phân tán, với hai lệnh cơ bản là Publish và Subscribe, giúp tối ưu hóa việc truyền tải dữ liệu trong các ứng dụng IoT.
Giao thức MQTT cho phép các client kết nối đến máy chủ MQTT Broker, nơi mỗi client có thể đăng ký theo dõi (subscribe) các kênh (topic) Khi một node gửi dữ liệu (publish) lên kênh, tất cả các node đã đăng ký sẽ nhận được thông tin MQTT được tối ưu hóa cho việc gửi nhận các bản tin nhỏ trong môi trường IoT, và thường được đánh giá cao hơn HTTPS khi kết nối các thiết bị IoT Trong những điều kiện mạng không ổn định, với băng thông thấp và độ trễ lớn, MQTT vẫn đảm bảo độ tin cậy cao và tiết kiệm năng lượng.
Lớp thiết bị ở tầng thấp nhất trong kiến trúc IoT bao gồm ba loại chính dựa trên phần cứng Loại đầu tiên sử dụng chip 8 bit nhúng mà không có hệ điều hành Loại thứ hai là các thiết bị với chip 32 bit rút gọn như Arduino, có khả năng chạy hệ điều hành Linux hoặc hệ điều hành nhúng Cuối cùng, loại thứ ba bao gồm các thiết bị 32 bit đầy đủ hoặc 64 bit như Raspberry Pi, Beagle, Intel Galileo và điện thoại di động Để tham gia vào mạng IoT, các thiết bị này cần kết nối Internet, có thể thông qua hai phương thức: kết nối trực tiếp và gián tiếp.
Gateway như Arduino và Raspberry Pi có khả năng kết nối trực tiếp với Internet thông qua Wifi hoặc Ethernet, đồng thời cũng hỗ trợ kết nối gián tiếp qua các giao thức như Zigbee hoặc Bluetooth.
Mỗi thiết bị được gán một định danh duy nhất nhằm quản lý tài nguyên và truy cập một cách dễ dàng Các loại định danh như UUID được lưu trữ trong phần cứng của thiết bị hoặc trong các module kết nối như địa chỉ MAC sử dụng cho Bluetooth, Zigbee, và Wi-Fi Định danh này thường được lưu trong bộ nhớ EEPROM.
1.2.1.2 Kiến trúc tham chiếu Microsoft Azure[5]
Kiến trúc IoT mà Microsoft giới thiệu vào năm 2016 nhằm phục vụ việc xây dựng các hệ thống IoT cho doanh nghiệp, cung cấp giải pháp thiết bị có khả năng mở rộng và tích hợp hiệu quả với các hệ thống back-end.
Hình 1.2 Kiến trúc Microsoft Azure[5]
Như được thể hiện trên Hình 1.2 ta có thể thấy trong kiến trúc này bao gồm
Hiện trạng tình hình an ninh mạng trong IoT hiện nay
Bảo mật an ninh mạng là một trong những thách thức lớn nhất đối với IoT, khi các cảm biến thu thập dữ liệu nhạy cảm về hoạt động của người dùng trong nhà và nơi làm việc Đảm bảo an toàn thông tin là rất quan trọng để duy trì niềm tin của người sử dụng ứng dụng IoT Tuy nhiên, hệ thống IoT hiện tại vẫn tồn tại nhiều lỗ hổng, dễ bị tấn công bởi tin tặc và tổ chức xấu Các thiết bị như bộ định tuyến và webcam thường là mục tiêu tấn công do thiếu bảo mật, trở thành phần tử trong mạng Botnet lớn, hỗ trợ tin tặc tấn công vào các hệ thống của doanh nghiệp Đây vẫn là một mối nguy hại cao trong lĩnh vực an ninh mạng.
BOT là viết tắt của roBOT, ám chỉ các chương trình tự động hóa phổ biến trên Internet Bài viết này tập trung vào IRC bot, hay còn gọi là zombie, là một loại bot trong Internet Relay Chat (IRC), một phương thức truyền thông thời gian thực dựa trên giao thức TCP Các Server IRC được kết nối trong cùng một mạng, cho phép một người truyền dữ liệu đến nhiều người khác, với người điều hành thiết lập kênh giao tiếp.
Mạng Botnet được hình thành từ các BOT kết nối với kênh IRC, nơi các quyền truy cập được phân chia thành mức điều hành và người dùng Các IRC bot hoạt động như người dùng bình thường nhưng bị điều khiển tự động bởi hacker thông qua lệnh để thiết lập kênh liên lạc với mục đích xấu Kẻ tấn công có thể sử dụng mạng BOT để thực hiện các hành vi phá hoại, tấn công máy chủ, gây ra gián đoạn và tiêu tốn tài nguyên máy tính của người dùng Khi nhiều mạng BOT kết nối với nhau, chúng tạo thành một botnet, có khả năng làm giảm năng suất làm việc và tăng nguy cơ đánh cắp dữ liệu quan trọng, đặc biệt là khi máy tính của các tổ chức, doanh nghiệp bị nhiễm mã độc.
Hình 1.2 Kiến trúc của mạng Botnet [12]
Quy mô của botnet thường dao động từ hàng nghìn đến hàng chục nghìn máy tính, thậm chí còn lớn hơn, khiến cho botnet trở thành một công cụ mạnh mẽ trong các hoạt động tấn công mạng.
Hacker thực hiện nhiều hình thức tấn công, trong đó có tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) Bằng cách điều khiển đồng thời hàng loạt máy tính trong mạng botnet, họ có thể gửi lưu lượng truy cập lớn đến một website chỉ định, dẫn đến tình trạng quá tải, nghẽn mạng, mất kết nối với server và thậm chí làm ngừng hoạt động dịch vụ.
Hệ thống IoT đối mặt với điểm yếu lớn về tính phân tán và bảo mật kém, đặc biệt khi số lượng thiết bị ngày càng tăng, dẫn đến lưu lượng mạng tăng cao Với bản chất phân tán và không đồng nhất, các thiết bị IoT trở thành mục tiêu dễ dàng cho hacker Theo báo cáo của HP, 70% thiết bị IoT phải chịu các cuộc tấn công mạng khai thác nhiều lỗ hổng khác nhau, khiến kẻ tấn công dễ dàng tiếp cận và thực hiện botnet hóa, trong khi người quản lý gặp khó khăn trong việc kiểm soát toàn bộ mạng.
Yêu cầu đặt ra trên thực tế
An ninh và quyền riêng tư là ưu tiên hàng đầu trong mọi hệ thống mạng, đặc biệt là mạng IoT, nơi dữ liệu cá nhân và quan trọng của người dùng được lưu trữ Sự gia tăng số lượng người dùng cùng với hành vi đa dạng và phức tạp đã khiến việc quản lý và kiểm soát an ninh trở nên khó khăn, biến IoT thành mục tiêu tấn công hấp dẫn cho tội phạm mạng Nguy cơ mất an toàn bảo mật chủ yếu xuất phát từ lỗ hổng trong hệ thống và hành vi người dùng, tạo điều kiện cho kẻ xấu xâm nhập và thực hiện các cuộc tấn công từ chối dịch vụ qua mạng botnet, không chỉ nhắm vào máy chủ mà còn có thể ảnh hưởng đến các mạng khác.
Vấn đề an ninh mạng cho mạng IoT vẫn đang gặp nhiều thách thức cần nghiên cứu thêm, đòi hỏi phát triển công nghệ và cơ chế mới để đáp ứng yêu cầu thực tiễn.
Kết luận
IoT là mạng lưới kết nối hàng tỷ thiết bị, với sự liên kết chặt chẽ và giá trị cốt lõi nằm ở tập dữ liệu khổng lồ Hệ sinh thái IoT đang ngày càng đa dạng và phát triển không ngừng Trong tương lai, mọi sự kết nối sẽ trở nên thông minh hơn, tạo ra nhiều cơ hội mới cho các lĩnh vực khác nhau.
21 vật dụng và thiết bị sẽ kết nối với nhau, hình thành nên IoE (Internet of Everything) IoT đóng vai trò quan trọng trong việc thúc đẩy số hóa thông minh cho các ngành và tầng lớp xã hội, trở thành động lực chính cho quá trình chuyển đổi số toàn cầu, mang lại giá trị kinh tế to lớn.
IoT mang lại nhiều lợi ích cho cuộc sống, bao gồm sức khỏe, nông nghiệp, an ninh và giao thông, nhưng cũng đặt ra nhiều thách thức, đặc biệt là vấn đề bảo mật và an ninh mạng Chương này đã trình bày các thành phần của hệ thống IoT cùng với các công nghệ hiện đang được áp dụng Mặc dù IoT cải thiện nhiều khía cạnh trong cuộc sống, nhưng vẫn tồn tại khó khăn cần giải quyết Các chương tiếp theo sẽ cụ thể hóa cơ chế tấn công vào lớp ứng dụng trong mạng IoT và các phương pháp phát hiện, phòng chống tấn công tại vùng biên của hệ thống.
PHÒNG CHỐNG TẤN CÔNG VÀO LỚP ỨNG DỤNG
Hình thức tấn công vào lớp ứng dụng
Tấn công từ chối dịch vụ (DoS) là hình thức tấn công nhằm ngăn chặn người dùng hợp pháp truy cập vào tài nguyên mạng, có thể làm ngưng hoạt động của máy tính, mạng nội bộ hoặc hệ thống mạng lớn Kẻ tấn công chiếm dụng tài nguyên mạng như băng thông và bộ nhớ, làm mất khả năng xử lý yêu cầu dịch vụ từ khách hàng khác Tấn công từ chối dịch vụ phân tán (DDoS) là phiên bản nâng cao của DoS, với phạm vi tấn công rộng lớn và diễn ra đồng thời từ nhiều máy tính khác nhau trên Internet.
Các cuộc tấn công DDoS được thể hiện như ở Hình 2.1 ngày càng tinh vi và rất khó phát hiện với các mục đích chính:
• Tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên máy nạn nhân
• Gây ngắt quãng kết nối của người dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông hoặc tài nguyên mạng
• Làm cạn kiệt các tài nguyên của máy chủ dịch vụ, như thời gian xử lý của CPU, bộ nhớ, cơ sở dữ liệu
Khi tấn công DDoS xảy ra, việc truy cập các kết nối an toàn vào hệ thống mạng trở nên khó khăn, dẫn đến các biểu hiện như mạng bị tắt hoặc hệ thống mạng không hoạt động.
Hình 2.1 Biểu đồ mô tả công cụ tấn công DDoS
Một kết nối mạng trên Internet bao gồm nhiều thành phần và lớp khác nhau, tương tự như việc xây dựng một ngôi nhà từ nền móng lên Mỗi bước trong mô hình mạng có mục đích riêng, và các vectơ tấn công DDoS nhắm vào các thành phần khác nhau của kết nối mạng Do đó, chúng ta có thể phân loại các dạng tấn công DDoS thành nhiều loại khác nhau.
• Tấn công lớp ứng dụng
Các kẻ tấn công có thể thực hiện nhiều hình thức tấn công khác nhau, bao gồm UDP Flood, ICMP Flood, SYN Flood, Ping of Death, Slowloris, NTP Amplification và HTTP Flood.
Tấn công HTTP Flood là một hình thức tấn công nhắm vào các ứng dụng của người dùng, không chỉ trong mạng IoT mà còn trong các hệ thống mạng thông thường Mục tiêu chính của loại tấn công này là làm cạn kiệt tài nguyên của hệ thống chạy ứng dụng, thường là các doanh nghiệp Tấn công nhằm vào lớp ứng dụng, nơi các trang web được tạo ra trên máy chủ và phân phối qua yêu cầu HTTP Một yêu cầu HTTP đơn giản từ phía máy khách có thể gây tốn kém cho máy chủ, vì nó cần tải nhiều tệp và thực hiện các truy vấn cơ sở dữ liệu để tạo trang web Các cuộc tấn công lớp 7 rất khó bảo vệ do lưu lượng có thể khó nhận diện là độc hại.
2.1.1 Cơ chế giao thức HTTP
HTTP (HyperText Transfer Protocol) is a fundamental internet protocol that facilitates communication between web servers and web clients It operates as a client/server protocol for the World Wide Web (WWW) and is an application layer protocol within the TCP/IP suite, which serves as the backbone of internet connectivity.
Hình 2.2 Mô hình Client – Server
HTTP hoạt động theo mô hình Client - Server, trong đó máy tính của người dùng đóng vai trò là máy khách (Client) Khi người dùng thực hiện một thao tác, các máy khách gửi yêu cầu (request) đến máy chủ (Server) và chờ phản hồi (response) Mỗi yêu cầu được coi là một phiên làm việc độc lập, không lưu trữ thông tin từ các yêu cầu trước đó Các phương thức phổ biến của HTTP bao gồm GET, POST, PUT và DELETE.
GET là phương thức được sử dụng để truy xuất thông tin từ Server thông qua một URL cụ thể Các yêu cầu sử dụng GET chỉ nhận dữ liệu mà không gây ảnh hưởng đến dữ liệu trên Server.
• POST: một yêu cầu POST được sử dụng để gửi dữ liệu tới Server, ví dụ, thông tin khách hàng, file tải lên, …, bởi sử dụng các mẫu HTML
• PATCH: thay đổi một phần đại diện hiện tại của nguồn mục tiêu với nội dung được tải lên
• PUT: thay đổi tất cả các đại diện hiện tại của nguồn mục tiêu với nội dung được tải lên
• DELETE: gỡ bỏ tất cả các đại diện hiện tại của nguồn mục tiêu bởi URI
• HEAD: tương tự như GET, nhưng nó truyền tải dòng trạng thái và khu vực Header
• CONNECT: thiết lập một tunnel tới Server được xác định bởi URI đã cung cấp
• TRACE: trình bày một vòng lặp kiểm tra thông báo song song với path tới nguồn mục tiêu
• OPTIONS: miêu tả các chức năng giao tiếp cho nguồn mục tiêu
Trong giao thức HTTP, hai phương thức phổ biến nhất là GET và POST Khi kết nối và trao đổi thông tin, trình duyệt sẽ tự động coi địa chỉ IP đến từ server của website mà bạn truy cập mà không có biện pháp xác thực Thông tin gửi qua HTTP, bao gồm địa chỉ IP và dữ liệu nhập vào website, không được mã hóa và bảo mật, tạo ra lỗ hổng mà hacker có thể lợi dụng để đánh cắp thông tin người dùng, thường được gọi là tấn công sniffing.
2.1.2 Cơ chế tấn công HTTP Flood
Cuộc tấn công này giống như việc nhấn làm mới trên trình duyệt web nhiều lần từ nhiều máy tính khác nhau, dẫn đến việc gửi một lượng lớn yêu cầu HTTP vào máy chủ và gây ra từ chối dịch vụ Tấn công có thể từ đơn giản đến phức tạp; phiên bản đơn giản chỉ cần truy cập một URL với cùng một dải địa chỉ IP, người giới thiệu và tác nhân người dùng, trong khi các phiên bản phức tạp có thể sử dụng nhiều địa chỉ IP khác nhau để tấn công.
URL ngẫu nhiên bằng cách sử dụng các tác nhân người dùng và người dùng ngẫu nhiên
Hình 2.3 Cơ chế tấn công HTTP Flood[15]
Cuộc tấn công HTTP Flood nhằm làm cạn kiệt tài nguyên của nạn nhân bằng cách gửi nhiều yêu cầu HTTP, điều này có thể gây tốn kém cho máy chủ khi phải tải nhiều tệp và thực hiện các truy vấn cơ sở dữ liệu để tạo ra trang web Các cuộc tấn công ở lớp 7 rất khó bảo vệ do lưu lượng truy cập có thể khó nhận diện là độc hại Cơ chế hoạt động của nó có thể được mô tả qua các bước cụ thể.
+ Các cuộc tấn công lớp 7 yêu cầu địa chỉ IP xác thực
Các thành phần trong Botnets gửi yêu cầu đến nạn nhân, yêu cầu này cần được đọc từ đĩa và lưu trữ trong bộ nhớ trước khi trả về cho người yêu cầu Vì vậy, với một phương pháp tấn công thích hợp, có thể chiếm đoạt toàn bộ tài nguyên của hệ thống.
+ HTTP flooding làm việc tốt hơn khi máy chủ mục tiêu cần phân bổ nhiều tài nguyên để đáp ứng 1 request
Một số phương thức tấn công HTTP Flood phổ biến:
Cuộc tấn công HTTP GET là hình thức tấn công mà nhiều máy tính hoặc thiết bị được điều phối để gửi hàng loạt yêu cầu về hình ảnh, tệp hoặc nội dung khác đến một máy chủ mục tiêu Hình thức tấn công này khiến máy chủ bị quá tải với các yêu cầu, dẫn đến tình trạng không thể đáp ứng hoặc ngừng hoạt động.
27 cầu và phản hồi đến, việc từ chối dịch vụ sẽ xảy ra đối với các yêu cầu bổ sung từ các nguồn lưu lượng truy cập hợp pháp
Cuộc tấn công HTTP POST xảy ra khi một biểu mẫu trên trang web được gửi và máy chủ phải xử lý yêu cầu, đẩy dữ liệu vào cơ sở dữ liệu Quá trình này tiêu tốn nhiều tài nguyên hơn so với việc gửi yêu cầu POST, do đó, kẻ tấn công lợi dụng sự chênh lệch này bằng cách gửi nhiều yêu cầu đăng trực tiếp đến máy chủ mục tiêu Hành động này tiếp tục cho đến khi máy chủ bị quá tải, dẫn đến tình trạng từ chối dịch vụ.
Hình 2.4 Một cuộc tấn công DDoS với phương thức HTTP Flood (GET/POST)
Phương pháp phát hiện và phòng chống tấn công
Các cuộc tấn công HTTP Flood rất khó phân biệt với lưu lượng hợp lệ do sử dụng các yêu cầu URL tiêu chuẩn, khiến chúng trở thành một trong những thách thức bảo mật lớn nhất hiện nay cho máy chủ và ứng dụng Phát hiện dựa trên tỷ lệ truyền thống không hiệu quả trong việc nhận diện các cuộc tấn công này, vì lưu lượng traffic trong HTTP flood thường nằm dưới ngưỡng phát hiện.
Trên thực tế đã có nhiều phương pháp tiếp cận và cơ chế giảm thiểu khác nhau mà ta có thể kể tới như:
Kết hợp giám sát luồng thời gian thực với việc ưu tiên và tổng hợp dữ liệu từ các tập thực thể được phát hiện tự động hoặc do người dùng cấu hình, bao gồm địa chỉ IP và danh tiếng miền.
• Capcha phát hiện Bot (Khi có lưu lượng bất thường)
Sử dụng tường lửa ứng dụng web (WAF) kết hợp với quản lý cơ sở dữ liệu IP có đánh dấu giúp theo dõi và chặn lưu lượng truy cập độc hại một cách có chọn lọc Việc này không chỉ đảm bảo an toàn cho hệ thống mà còn cho phép phân tích nhanh chóng, từ đó cập nhật quy tắc cho WAF thường xuyên.
Trong luận văn này, chúng tôi đề xuất giải pháp nhận diện và giảm thiểu tấn công bằng cách phân tích các file lưu lượng tấn công thực tế trong mạng IoT Mục tiêu là xác định các đặc điểm có thể áp dụng vào triển khai thực tế nhằm nâng cao khả năng bảo mật cho hệ thống IoT.
2.2.1 Phương pháp phân tích đặc thù của lưu lượng
Khi xảy ra tấn công HTTP Flood, hoạt động của các máy chủ có thể bị gián đoạn, nhưng không phải tất cả đều do tấn công Các vấn đề kỹ thuật hoặc bảo trì từ quản trị viên cũng có thể gây ra sự gián đoạn Do đó, việc phát hiện một cuộc tấn công trở nên khó khăn và đặt ra nhiều thách thức Tuy nhiên, dựa vào các đặc điểm của tấn công HTTP Flood, chúng ta có thể nhận diện được sự cố Nếu lưu lượng dữ liệu gửi đến một máy chủ tăng đột biến trong một khoảng thời gian nhất định, điều này có thể chỉ ra một cuộc tấn công Ví dụ, trong điều kiện bình thường, một máy chủ nhận khoảng 500 gói tin, nhưng trong trường hợp tấn công, con số này sẽ tăng mạnh.
Khi có tấn công xảy ra, số lượng gói tin gửi tới một server có thể tăng lên tới 10.000 gói tin trong 1 phút Dựa vào sự gia tăng này, chúng ta có thể thiết lập các giá trị ngưỡng để xác định dấu hiệu của một cuộc tấn công, từ đó đưa ra quyết định về việc có hay không một cuộc tấn công đang diễn ra nhằm vào server.
Luận văn này đề xuất phương pháp phát hiện và giảm thiểu tấn công bằng cách sử dụng bộ dữ liệu IoTID, bao gồm lưu lượng bình thường và lưu lượng tấn công từ các thiết bị IoT nhiễm malware Điểm nổi bật của bộ dữ liệu này là lưu lượng tấn công được phát ra từ các bot IoT, cho thấy tính phân tán của hệ thống IoT trong thực tế Nhiều loại tấn công, như HTTP Flood và UDP Flood, sẽ được xem xét, với trọng tâm chính là tấn công HTTP Flood và cơ chế của nó.
Phân tích các thông số liên quan đến tấn công HTTP Flood trên bộ dữ liệu cho thấy có sự khác biệt rõ rệt giữa các thông số trong hai trường hợp: khi hệ thống bị tấn công và khi ở trạng thái bình thường.
• Số lượng gói tin trên từng luồng
• Khoảng thời gian đến giữa các luồng
Dựa trên các kết quả phân tích từ Hình 2.6 và Hình 2.7, có sự khác biệt rõ rệt giữa số lượng gói tin trên từng luồng và khoảng thời gian đến giữa các luồng ở hai trạng thái khác nhau.
Hình 2.6 Phân bố số lượng gói tin của các luồng của lưu lượng b nh thường
Hình 2.7 Số lượng gói tin của mỗi luồng với lưu lượng tấn công
Theo Hình 2.6, số gói tin trong một luồng thường tập trung từ 1 đến 5 gói, với 4 đến 5 gói chiếm hơn 50%, trong khi chỉ hơn 5% luồng có 1 gói tin Số luồng có trên 5 gói tin rất ít Tuy nhiên, trong trường hợp dữ liệu tấn công, tỷ lệ luồng có 1 gói tin tăng lên gần 90%, trong khi tỷ lệ luồng có 2 gói tin lại thấp, cho thấy sự khác biệt rõ rệt trong cơ chế hoạt động.
Tỉ lệ p h ần tră m (% ) số lượng gói (gói)
Số lượng gói tin của các luồng (trạng thái bình thường)
Số lượng gói tin của các luồng (trạng thái tấn công)
Vào ngày 31, kẻ tấn công sẽ gửi nhiều luồng dữ liệu tương tự nhau, chỉ với một gói tin duy nhất trong đó, nhằm tăng tải cho hệ thống Các gói tin này không có ý nghĩa thông tin, nhưng hệ thống không thể nhận diện đây là một cuộc tấn công, dẫn đến việc vẫn cấp phát tài nguyên để xử lý, từ đó làm giảm hiệu suất hoạt động của hệ thống.
Một thách thức trong việc phát hiện tấn công qua giám sát lưu lượng là phân biệt giữa thời điểm tấn công và thời điểm hệ thống đang cao tải Để giải quyết vấn đề này, học viên đề xuất sử dụng thông số "thời gian tới giữa hai luồng liên tiếp" Thời gian này được định nghĩa là khoảng thời gian giữa hai luồng liên tiếp khi chúng đến hệ thống, tính từ lúc luồng đầu tiên tới cho đến khi luồng thứ hai tới Kết quả khảo sát được trình bày trong Hình 2.8 và Hình 2.9.
Hình 2.8 Thời gian đến giữa các luồng trong trạng thái b nh thường
Tỉ lệ p h ần tră m (% ) thời gian tới giữa hai luồng (ms)
Thời gian tới giữa hai luồng (trạng thái bình thường)
Hình 2.9 Thời gian đến giữa các luồng trong trạng thái tấn công
Sau khi phân tích các ngưỡng thời gian quan sát (3s, 6s, 10s), kết quả cho thấy trong dữ liệu bình thường, các luồng phân bố đồng đều, với 8% luồng có thời gian liên luồng từ 1,2s đến 1,4s và 14% luồng từ 0,4s đến 0,6s Ngược lại, trong trường hợp có tấn công, gần 90% luồng có khoảng thời gian liên luồng dưới 0,2s, cho thấy kẻ tấn công gửi gói tin liên tiếp với thời gian giữa các luồng chỉ 0,2ms Điều này giúp phân biệt lưu lượng cao tải và tấn công, vì luồng từ người dùng hợp pháp có thời gian liên luồng ổn định, trong khi kẻ tấn công gửi luồng theo cơ chế định trước Thời gian đến giữa các luồng liên tiếp là chỉ số quan trọng để nhận diện tấn công và phân biệt với tình trạng cao tải của hệ thống.
Thời gian tới giữa hai luồng (ms)
Thời gian tới giữa hai luồng (trạng thái tấn công)
2.2.2 Phát hiện và giảm thiểu tấn công
Các thông số từ việc phân tích lưu lượng của bộ dữ liệu IoTID sẽ được áp dụng để phát hiện dấu hiệu tấn công Trong quá trình theo dõi lưu lượng, chúng ta sẽ xác định các thông số như thời gian đến giữa các luồng Cụ thể, trong nghiên cứu này, khung thời gian giám sát được đặt là 2 giây Nếu trong khoảng thời gian này có một gói tin và thời gian giữa nó và luồng trước là 0.2ms, điều này cho thấy có dấu hiệu tấn công, từ đó hệ thống sẽ đưa ra cảnh báo và thực hiện các biện pháp giảm thiểu tấn công.
Để giảm thiểu tấn công, chúng ta sẽ áp dụng cơ chế điều chỉnh chặn cổng số 80 và 8080, ngăn chặn các luồng tấn công đi qua gateway và đồng thời loại bỏ chúng ngay tại đây Biện pháp này dựa vào tính chất của giao thức HTTP, vốn thường gắn liền với hai cổng này, và trong lưu lượng sử dụng, đây là hai cổng duy nhất cho mô phỏng tấn công Bởi vì cổng 80 và 8080 là hai cổng phổ biến nhất với giao thức HTTP, việc chặn chúng sẽ giúp giảm thiểu hiệu quả các cuộc tấn công HTTP Flood.
Kết luận
Chương 2 trình bày cơ chế tấn công HTTP Flood và phân tích lưu lượng từ bộ dữ liệu IoT, nhằm xác định dấu hiệu nhận biết cuộc tấn công dựa trên số lượng gói tin trong luồng và thời gian giữa các luồng Để giảm thiểu tấn công, cần chặn cổng dịch vụ mà các luồng tấn công truy vấn cho đến khi không còn cảnh báo Các kết quả thực nghiệm sẽ được trình bày trong các phần tiếp theo.