Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN

Bài viết "Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN" nghiên cứu một mô hình phát hiện các cuộc tấn công DDoS trong mạng SDN dựa trên phương pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng việc sử dụng các tham số trong mạng. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022) Áp dụng phương pháp học máy để phát hiện tấn công DDoS trong môi trường thực nghiệm mạng SDN Cấn Quang Trường, Nguyễn Thanh Tùng, Phạm Minh Bảo, Nguyễn Tiến Đạt, Lâm Xuân Toàn, Đinh Thị Thái Mai Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội Email: dttmai@vnu.edu.vn Tóm tắt nội dung—Mạng định nghĩa bằng phần mềm (Software quản lý tập trung là một điểm yếu của SDN bởi cả hệ thống sẽ Defined Network - SDN) là một kiến trúc mạng mới, hướng đến sụp đổ nếu controller bị tấn công. Đặc biệt là với DDoS, khi sự linh hoạt trong hệ thống và sự đơn giản trong cách vận hành, tại 1 thời điểm, rất nhiều gói tin với địa chỉ giả sẽ được gửi đến quản lý qua việc kiểm soát tập trung. Điều này giúp cho SDN rất controller. Điều này sẽ gây ra sự quá tải băng thông, lãng phí dễ thích nghi với nhu cầu về mạng hiện nay nhưng nó cũng là 1 yếu điểm lớn khi SDN phải đối mặt với các cuộc tấn công mạng. tài nguyên và dẫn đến việc bộ điều khiển không thể tiếp nhận Tấn công từ chối dịch vụ (Distributed Denial of Service - DDoS) được yêu cầu dịch vụ người dùng. Chính vì thế, việc phát hiện là một kiểu tấn công phổ biến trong mạng nhằm chiếm dụng tài sớm và ngăn chặn các cuộc tấn công DDoS là một yêu cầu cấp nguyên hệ thống gây ra sự tắc nghẽn cho toàn mạng và sẽ đặc biệt bách và cần thiết cho mạng này để đảm bảo được vấn đề an nguy hiểm với các hệ thống quản lý tập trung như mạng SDN. ninh mạng. Trong nghiên cứu này, chúng tôi nghiên cứu một mô hình phát hiện các cuộc tấn công DDoS trong mạng SDN dựa trên phương pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng việc sử dụng các tham số trong mạng. Bằng kết quả mô phỏng và đặc biệt chúng tôi đã xây dựng một mô hình mạng SDN thực tế và áp dụng mô hình nghiên cứu vào thực nghiệm, kết quả cho thấy phương án của chúng tôi có khả năng phát hiện nhanh các cuộc tấn công DDoS và đem lại độ chính xác rất cao. Index Terms—SDN, tấn công DDoS, an ninh mạng, học máy, phương pháp SVM. I. GIỚI THIỆU Ngày nay, với sự phát triển nhanh chóng của công nghệ cùng với sự bùng nổ của Internet thì nhu cầu trong việc sử dụng dịch vụ mạng từ người dùng ngày càng tăng, kéo theo đó là thách thức về việc kiểm soát mạng cho người quản lý. Với mô hình mạng truyền thống, việc quản lý lên đến hàng triệu thiết bị là cực kỳ khó khăn và phức tạp. Từ đó, SDN, một kiến trúc mạng mới ra đời với hy vọng xóa bỏ những hạn chế và khuyết điểm của mạng truyền thống nhờ khả năng cho phép quản lý tâp trung cùng tính mở rộng và linh động cao. Kiến trúc mạng SDN Hình 1. Kiến trúc mạng SDN bao gồm 3 lớp tách biệt: Lớp ứng dụng (application layer), lớp điều khiển (control layer) và lớp cơ sở hạ tầng (infrastructure Một số nghiên cứu áp dụng các phương pháp học máy vào layer) [1]. việc phát hiện tấn công DDoS đã được đưa ra trước đây. Nhóm Lớp ứng dụng bao gồm các ứng dụng và những chức năng tác giả của bài báo [7] đã phát triển phương pháp phát hiện tấn cần thiết cho mạng. Lớp này sẽ kết nối trực tiếp đến lớp điều công dựa trên việc trích xuất sáu biến trạng thái lưu lượng lấy khiển thông qua các API, các API này sẽ cho phép người quản từ bảng luồng trong thiết bị chuyển mạch và sử dụng nó làm lý ở lớp ứng dụng có thể lập trình các chức năng điều khiển đầu vào cho mô hình thuật toán SVM. Sau đó, họ cũng dùng trong mạng. Bộ điều khiển trong lớp điều khiển đóng vai trò thuật toán SVM để phân loại dữ liệu giúp phát hiện tấn công cực kỳ quan trọng trong việc quản lý tất cả các hoạt động mạng. một cách chính xác. Dựa trên số liệu nghiên cứu, độ chính xác Bộ điều khiển sẽ tiếp nhận các gói tin và xử lý các gói tin đến của phương pháp này là 95.24% mặc dù chỉ một lượng nhỏ các các thiết bị ở lớp dưới. Lớp cơ sở hạ tầng bao gồm các thiết bị luồng dữ liệu được thu lại. phần cứng trong mạng thực hiện chức năng chuyển tiếp gói tin Cùng chủ đề trên, nhóm nghiên cứu trong [8] đã đề xuất dưới sự điều khiển của bộ điều khiển. Việc sử dụng kiến trúc ra một ý tưởng mới và phức tạp hơn với hệ thống phát hiện ISBN 978-604-80-7468-5 165 Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022) DDoS thời gian thực trong môi trường SDN sử dụng thuật toán Điểm mạnh của SVM nằm ở khả năng biểu diễn dữ liệu dưới PCA (Principal Component Analysis) để phân tích trạng thái dạng điểm trong không gian n-chiều (n – số lượng đối tượng). mạng dựa trên các dữ liệu lưu lượng. Để giảm thiếu khối lượng Như minh họa trong Hình. 2, SVM chuyển đổi một tập mẫu có phải tính toán, mạng sẽ được chia ra thành nhiều phần. Giá trị thể phân tách không tuyến tính thành một chiều không gian cao vector thặng dư (residual vector value) sẽ được ước tính trong hơn, cho phép phân tách tuyến tính mẫu dữ liệu. Sau đó, một thời gian thực và cuộc tấn công sẽ được xác định nếu giá trị này siêu mặt phẳng sẽ được tạo ra để phân loại rõ ràng hai lớp mẫu. giảm xuống dưới một ngưỡng trong một khoảng thời gian nhất Siêu mặt ...