Phát hiện tấn công DDoS trong mạng SDN sử dụng giá trị ngưỡng entropy động

Mạng định nghĩa bằng phần mềm (Software-Defined Network - SDN) là một mô hình mạng mới dựa trên sự phân tách giữa mặt phẳng dữ liệu và mặt phẳng điều khiển, giúp cho mạng trở nên linh hoạt, dễ quản lý, vận hành và được kiểm soát một cách tập trung. Tuy nhiên, đây cũng là một nhược điểm với SDN trước tác động của các cuộc tấn công mạng.
Nội dung trích xuất từ tài liệu:
Phát hiện tấn công DDoS trong mạng SDN sử dụng giá trị ngưỡng entropy động Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) Phát hiện tấn công DDoS trong mạng SDN sử dụng giá trị ngưỡng entropy động Lương Đức Huy, Đỗ Văn Nhất, Vũ Kim Thư, Bùi Quang Hiệu, Bùi Trung Ninh, Đinh Thị Thái Mai Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội {18020647, 18020974, 18021244, 18020522, ninhbt, dttmai}@vnu.edu.vn Tóm tắt— Mạng định nghĩa bằng phần mềm (Software-Defined Network - SDN) là một mô hình mạng mới dựa trên sự phân tách giữa mặt phẳng dữ liệu và mặt phẳng điều khiển, giúp cho mạng trở nên linh hoạt, dễ quản lý, vận hành và được kiểm soát một cách tập trung. Tuy nhiên, đây cũng là một nhược điểm với SDN trước tác động của các cuộc tấn công mạng. Các cuộc tấn công DDoS vào máy chủ gây ra tình trạng tắc nghẽn (băng thông bị chiếm dụng), thiếu hụt nguồn tài nguyên và khiến máy chủ không thể truy cập. Các nghiên cứu trước đây đã dựa trên giá trị của entropy được tính toán từ địa chỉ IP đích/nguồn nhằm phát hiện sớm các cuộc tấn công Hình 1. Kiến trúc mạng SDN [1] DDoS. Tuy nhiên, hạn chế của việc áp dụng các ngưỡng tĩnh trong các phương pháp hiện có bao Mặt phẳng dữ liệu bao gồm các bộ chuyển mạch gồm sự phụ thuộc vào cấu trúc liên kết mạng, cơ và bộ định tuyến tham gia vào quá trình chuyển tiếp sở hạ tầng phần cứng tốn kém cũng như độ chính lưu lượng mạng. Mặt phẳng điều khiển - nơi chứa bộ xác của thuật toán. Trong nghiên cứu này chúng điều khiển, được coi là hệ điều hành của SDN. Nó có tôi đề xuất phương pháp phân tích thống kê để xác chức năng xử lý các gói tin và đưa ra các quyết định định giá trị ngưỡng động thay đổi theo thời gian, chuyển tiếp hoặc loại bỏ rồi gửi tới bộ chuyển mạch. tùy thuộc vào lưu lượng được gửi đến mạng. Việc Chính việc xử lý tập trung các gói tin tại bộ điều khiển sử dụng ngưỡng động sẽ làm tăng tính linh hoạt cũng là một bất lợi khi mạng có thể dễ bị tấn công từ và không phụ thuộc vào cấu trúc của mạng. Kết chối dịch vụ phân tán (DDoS). Khi đó, một số lượng quả khảo sát, mô phỏng cho thấy, phương án của rất lớn các gói tin với địa chỉ nguồn giả mạo được gửi chúng tôi hoàn toàn khả thi để phát hiện nhanh tới bộ điều khiển. Điều này sẽ khiến cho hệ thống chóng các cuộc tấn công DDoS cũng như giúp mạng bị đình trệ do thiếu hụt nguồn tài nguyên và nâng cao độ tin cậy so với các phương pháp sử khiến nó không thể hoạt động. Do vậy, những lưu dụng giá trị ngưỡng tĩnh. lượng truy cập hợp lệ từ những người dùng bình thường sẽ không thể tiếp cận tới máy chủ. Phương Từ khóa— SDN, tấn công DDoS, an ninh mạng, pháp bảo vệ hiệu quả nhất để chống lại các cuộc tấn entropy, ngưỡng động, phân tích thống kê. công này chính là phát hiện sớm cuộc tấn công DDoS ngay từ giai đoạn đầu. Trong tài liệu [2], nhóm tác giả đã đề xuất một I. GIỚI THIỆU phương pháp để phát hiện cuộc tấn công DDoS dựa Ngày nay, với sự phát triển không ngừng của công trên việc trích xuất sáu giá trị đặc trưng từ lưu lượng nghệ mạng, sự bùng nổ của các thiết bị di động cũng trong bảng luồng (flow table) mà thu thập từ bộ như nhu cầu sử dụng các dịch vụ mạng ngày càng chuyển mạch. Sau đó, họ sử dụng thuật toán SVM để tăng nhanh. SDN là một kiến trúc mạng mới ra đời có hỗ trợ việc đánh giá lưu lượng, giúp phát hiện chính thể khắc phục được những hạn chế của mạng truyền xác các cuộc tấn công DDoS. Kết quả thực nghiệm thống. Kiến trúc SDN bao gồm ba lớp: ứng dụng, mặt cho thấy, tỷ lệ chính xác trung bình của phương pháp phẳng điều khiển và mặt phẳng dữ liệu [1]. là 95.24% với việc chỉ thu thập một phần nhỏ lưu lượng. ISBN 978-604-80-5958-3 107 Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021) Trong bài báo [3], một phương pháp đơn giản hơn vị được sử dụng để xác định và đo lường mức độ ngẫu được khai thác để phát hiện các cuộc tấn công DDoS nhiên của một sự kiện nào đó. Giá trị entropy có thể chính là dựa trên các giá trị entropy của địa chỉ nguồn được tính dựa trên các trường như địa chỉ cổng và đích của các luồng được quan sát bởi bộ điều khiển nguồn/đích hoặc địa chỉ IP nguồn/đích. Ở bài nghiên SDN. Các giá trị này sau đó sẽ được so sánh với cứu này, chúng tôi sẽ đánh giá trạng thái của lưu ngưỡng đặt trước. Ngoài ra, bài báo cũng cung cấp lượng sử dụng địa chỉ IP đích trong tiêu đề gói tin một mô-đun để giảm thiểu các cuộc tấn công vào hệ đến, thu thập bởi bộ điều khiển trung tâm. Nếu tính thống mà đã được phát hiện. ngẫu nhiên càng cao, tức là các gói tin được gửi đến ngẫu nhiên các địa chỉ đích khác nhau mà không có Một phương pháp phát hiện tấn công DDoS khác sự gia tăng bất ngờ đến một địa ...