MỞ ĐẦU 1. GIỚI THIỆU Hệ thống mạng máy tính và các ứng dụng trên mạng Internet phát triển ngày càng nhanh, đáp ứng và tạo ra môi trƣờng rộng lớn ảnh hƣởng đến nhiều lĩnh vực trong cuộc sống. Nâng cao hiệu quả hoạt động của hệ thống mạng để cung cấp dịch vụ ngày càng phong phú, đa dạng, nhanh chóng với chất lƣợng dịch vụ tốt hơn và an toàn là những vấn đề đƣợc đặt ra cho các nhà cung cấp dịch vụ, các nhà quản trị hệ thống mạng. Xuất phát từ thực tế nhƣ vậy, các giải pháp phát hiện sớm các đối tƣợng có khả năng gây nguy hại trên mạng, nhất là hệ thống mạng trung gian ở phía các nhà cung cấp dịch vụ, có ý nghĩa quan trọng trong việc giúp giảm thiểu các ảnh hƣởng xấu cho các máy chủ của khách hàng và các dịch vụ trên mạng Internet.
Phát hiện sớm các đối tƣợng này để tiến hành các giải pháp ứng phó, ngăn chặn kịp thời là vấn đề quan trọng trong bài toán an ninh mạng. Các gói tin lƣu thông trên mạng IP đều có gắn thông tin về địa chỉ IP trong phần IP-header để xác định máy gửi và nhận. Dựa trên thông tin các địa chỉ IP, bài toán phát hiện các đối tƣợng hoạt động với tần suất cao trong một khoảng thời gian ngắn đƣợc gọi là bài toán phát hiện các Hot-IP. Luận án nghiên cứu và đề xuất giải pháp phát hiện các Hot-IP trên mạng, đặc biệt là các mạng có số lƣợng ngƣời dùng và tần suất sử dụng rất lớn, nhằm mục đích phát hiện sớm các đối tƣợng có khả năng gây hại.
Các Hot-IP có thể là các mục tiêu hay nguồn phát trong các tấn công từ chối dịch vụ, có thể là các máy đang tiến hành quét mạng để tìm kiếm lỗ hổng và phát tán sâu Internet, có thể là các thiết bị hoạt động bất thƣờng trong hệ thống mạng. Phát hiện sớm các Hot-IP là bƣớc cơ bản và quan trọng đầu tiên, từ đó giúp ngƣời quản trị xác định và tiến hành các giải pháp phòng chống hiệu quả, kịp thời. LÝ DO CHỌN ĐỀ TÀI Lƣu lƣợng mạng và tốc độ truy cập mạng ngày một tăng cao. Điều này, một mặt mang lại rất nhiều lợi ích cho ngƣời sử dụng, mặt khác lại là nguy cơ của các tấn công mạng.
Một trong các dạng tấn công rất nguy hiểm là tấn công từ chối dịch vụ (DoS), đặc biệt là tấn công từ chối dịch vụ phân tán (DDoS) (gọi chung là tấn công từ chối dịch vụ), các máy quét mạng tìm kiếm lỗ hổng để phát tán sâu Internet. Đặc trƣng quan trọng của các dạng tấn công này là số lƣợng gói tin mang các đối tƣợng tấn công rất lớn trong dòng các gói tin IP xuất hiện trong khoảng thời gian rất ngắn. Phát hiện sớm các Hot-IP, những IP xuất hiện với tần suất cao trong một khoảng thời gian xác định, là bƣớc quan trọng đầu tiên để xác định các đối tƣợng có khả năng gây nguy hại trên mạng. Trong các mạng với số lƣợng rất lớn các gói tin lƣu thông nhƣ mạng trung gian của các nhà cung cấp dịch vụ cần phân tích và xử lý các dòng dữ liệu thời gian thực, các giải pháp phát hiện và phòng chống phải đơn giản, nhanh chóng và hiệu quả.
Trong các nghiên cứu liên quan đến phát hiện và phòng chống tấn công từ chối dịch vụ, căn cứ thời điểm tấn công các nhà nghiên cứu chia thành ba giai đoạn tƣơng ứng liên quan đến việc phòng chống: đề phòng (trƣớc khi tấn công), phát hiện và phòng chống (trong quá trình tấn công), truy tìm nguồn gốc tấn công (hậu tấn công) [1]. Các giải pháp hiện tại ở bƣớc phát hiện và phòng chống tấn công mới chỉ tập trung giải quyết vấn đề phát hiện có luồng lƣu lƣợng tấn công vào hệ thống hay không mà không chỉ ra đƣợc các đối tƣợng gây nên tấn công đó. Các kỹ thuật phát hiện các đối tƣợng phát tán tấn công thực hiện ở bƣớc hậu tấn công [2][3]. Để có thể vừa phát hiện nguy cơ tấn công đồng thời có thể chỉ ra các đối tƣợng gây ra nguy cơ đó trong dòng gói tin IP thời gian thực là vấn đề quan trọng đặt ra nhƣng chƣa có giải pháp, nhằm cảnh báo sớm để có giải pháp ứng phó kịp thời.
Phát hiện sớm các Hot-IP trên mạng và ứng dụng để phát hiện các đối tƣợng có khả năng là nguy cơ gây nên các cuộc tấn công từ chối dịch vụ, mục tiêu trong các cuộc tấn công này hay phát hiện các máy đang tiến hành quét mạng tìm kiếm lỗ 3 hổng để phát tán sâu Internet là vấn đề luận án tập trung nghiên cứu. Trong các phƣơng pháp mà luận án đã khảo sát thì phƣơng pháp thử nhóm bất ứng biến là giải pháp thích hợp nhất để triển khai áp dụng. Bên cạnh đó, các bộ xử lý đa luồng, kỹ thuật xử lý song song, kiến trúc phân tán, đặc điểm của hệ thống mạng tại vị trí triển khai là các yếu tố quan trọng cần xem xét. Đây là những yếu tố có ý nghĩa rất lớn trong việc đƣa ra các giải pháp kỹ thuật và có thể kết hợp chúng lại để nâng cao hiệu quả phát hiện Hot-IP và triển khai thực tế.
MỤC TIÊU NGHIÊN CỨU 3. Mục tiêu tổng quát Mục tiêu của luận án là xây dựng giải pháp phát hiện các Hot-IP trên mạng máy tính bằng phƣơng pháp thử nhóm bất ứng biến; sử dụng một số kỹ thuật và công cụ toán học kết hợp nhằm nâng cao hiệu quả phát hiện Hot-IP nhƣ xây dựng thuật toán và ma trận phân cách phù hợp với vị trí triển khai, xử lý song song, kiến trúc phân tán; áp dụng giải pháp này cho một số bài toán an ninh mạng nhƣ phát hiện các đối tƣợng có khả năng là mục tiêu trong các cuộc tấn công từ chối dịch vụ, phát hiện các đối tƣợng có khả năng là nguồn phát động tấn công từ chối dịch vụ, các thiết bị có khả năng đang hoạt động bất thƣờng, phát hiện các đối tƣợng có khả năng là nguồn phát tán sâu Internet và giám sát các Hot-IP trên mạng. Các mục tiêu cụ thể Nghiên cứu lý thuyết thử nhóm bất ứng biến để đề xuất giải pháp phát hiện các Hot-IP trên mạng. Đề xuất phƣơng pháp xây dựng ma trận phân cách tƣờng minh sao cho giảm chi phí tính toán và bộ nhớ khi sử dụng ma trận phân cách.
Đề xuất cải tiến thuật toán thử nhóm bất ứng biến để giảm thời gian tính toán và phát hiện Hot-IP trên dòng gói tin IP thời gian thực. 4 Đề xuất giải pháp kết hợp kỹ thuật xử lý song song, kiến trúc phân tán nhằm phát hiện nhanh các Hot-IP trên mạng. Mô hình hóa các bài toán ứng dụng: phát hiện các đối tƣợng có khả năng là nạn nhân trong các cuộc tấn công từ chối dịch vụ, phát hiện các đối tƣợng có khả năng là nguồn phát tấn công từ chối dịch vụ, phát hiện các đối tƣợng có khả năng là nguồn phát tán sâu Internet, phát hiện các thiết bị có khả năng đang hoạt động bất thƣờng về bài toán phát hiện các Hot-IP trên mạng. Giám sát các Hot-IP kết hợp với theo dõi tài nguyên hệ thống để điều phối lƣu lƣợng mạng, giảm thiểu các nguy hại trên hệ thống.
ĐỐI TƢỢNG, PHẠM VI NGHIÊN CỨU Nghiên cứu lý thuyết thử nhóm bất ứng biến và áp dụng vào bài toán phát hiện các Hot-IP trên mạng; đồng thời sử dụng kết hợp với kỹ thuật xử lý song song, kiến trúc phân tán để nâng cao hiệu quả của giải pháp phát hiện và cảnh báo sớm các Hot-IP trên mạng. PHƢƠNG PHÁP NGHIÊN CỨU Nghiên cứu lý thuyết thử nhóm bất ứng biến: - Hệ thống hóa các khái niệm - Phân tích và cải tiến các thuật toán trong thử nhóm bất ứng biến Triển khai thực nghiệm các giải pháp phát hiện Hot-IP: - Thực nghiệm nhằm xác định các tham số thích hợp - Phân tích số liệu và tham số thực nghiệm 6. NHỮNG ĐÓNG GÓP CHÍNH CỦA LUẬN ÁN Sau đây là những đóng góp chính của luận án tập trung vào mục tiêu phát hiện các Hot-IP trên mạng: (i) Đề xuất giải pháp phát hiện các Hot-IP trên mạng dựa trên thử nhóm bất ứng biến và một số kỹ thuật kết hợp để nâng cao hiệu quả 5 của giải pháp. Trong đó, kỹ thuật tính toán song song đƣợc sử dụng trong bƣớc tính vector kết quả của các nhóm thử, sử dụng kiến trúc phân tán trong các hệ thống mạng đa vùng để cảnh báo sớm từ các vùng phát hiện đƣợc Hot-IP và lựa chọn kích thƣớc ma trận phù hợp ở vị trí triển khai nhằm giảm áp lực tính toán.
Lý thuyết nền tảng cho phƣơng pháp đề xuất là sử dụng phƣơng pháp nối mã để xây dựng tƣờng minh ma trận phân cách. Nhờ đó, không gian lƣu trữ đƣợc tối ƣu thay vì phải lƣu trữ toàn bộ ma trận có kích thƣớc lớn trên trƣờng hữu hạn. (ii) Đề xuất cải tiến thuật toán thử nhóm bất ứng biến để giảm thời gian tính toán phát hiện các Hot-IP trực tuyến. Đặc điểm khác biệt của cải tiến là các nhóm thử đến ngƣỡng không cần phải cập nhật tiếp tục, danh sách các địa chỉ IP nghi ngờ đƣợc xác định và khởi tạo bộ đếm tƣơng ứng, các cập nhật đối với các IP có mặt trong danh sách nghi ngờ đƣợc thực hiện thay vì phải cập nhật trong tập tất cả các các bộ đếm của các nhóm thử dựa vào ma trận phân cách.
(iii) Mô hình hóa 4 bài toán ứng dụng: (1) phát hiện các đối tƣợng có khả năng là các nguồn phát tán sâu Internet, (2) phát hiện các thiết bị có khả năng đang hoạt động bất thƣờng, (3) phát hiện các đối tƣợng có khả năng là mục tiêu hay nguồn phát trong tấn công từ chối dịch vụ về bài toán phát hiện Hot-IP và (4) giám sát hoạt động của các Hot-IP kết hợp với theo dõi tài nguyên mạng để điều phối hay hạn chế hoạt động của các luồng dữ liệu chứa các Hot-IP này. Kỹ thuật đƣợc sử dụng là phân tích luồng dữ liệu dựa vào địa chỉ IP nguồn và đích trong các gói tin kết hợp với theo dõi tài nguyên hệ thống làm dữ liệu đầu vào trong thuật toán phát hiện các Hot-IP. GIỚI THIỆU TỔNG QUAN VỀ NỘI DUNG LUẬN ÁN Nội dung của luận án tập trung vào nghiên cứu phƣơng pháp thử nhóm bất ứng biến và áp dụng vào bài toán phát hiện các Hot-IP trên mạng; đề xuất thuật toán 6 cải tiến; đề xuất một số kỹ thuật kết hợp để tăng hiệu quả tính toán của giải pháp và đề xuất ứng dụng phát hiện các Hot-IP trong một số bài toán an ninh mạng.