Phát hiện và phòng chống tấn công DDoS hiệu quả

LỜI CAM ĐOAN

LỜI CẢM ƠN

MỤC LỤC

MỞ ĐẦU

1. Tính cấp thiết của đề tài

2. Đối tượng nghiên cứu và phương pháp nghiên cứu

3. Nội dung nghiên cứu

4. Ý nghĩa khoa học và ý nghĩa thực tiễn của luận án

5. Điểm mới của luận án

6. Cấu trúc của luận án

1. CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

1.1. Tổng quan về tấn công từ chối dịch vụ phân tán DDoS

1.2. Các dạng tấn công DDoS phổ biến

1.2.1. Tấn công DDoS ở lớp mạng

1.2.2. Tấn công DDoS vào lớp ứng dụng

1.3. Các công cụ tấn công DDoS phổ biến

1.4. Những thách thức trong việc phát hiện và phòng chống tấn công DDoS

1.5. Tổng quan về các phương pháp phòng chống tấn công DDoS

1.5.1. Nhóm phương pháp phòng chống tấn công lớp mạng

1.5.1.1. Nhóm phương pháp áp dụng ở gần nguồn tấn công

1.5.1.2. Nhóm phương pháp áp dụng ở phía đối tượng được bảo vệ

1.5.1.3. Nhóm phương pháp áp dụng ở hạ tầng mạng trung gian

1.5.1.4. Nhóm phương pháp kết hợp

1.5.2. Nhóm phương pháp phòng chống tấn công lớp ứng dụng

1.5.2.1. Nhóm phương pháp áp dụng ở phía đối tượng được bảo vệ

1.5.2.2. Nhóm phương pháp kết hợp

1.5.3. Nhóm các phương pháp theo giai đoạn phòng chống

1.5.3.1. Giai đoạn phòng thủ

1.5.3.2. Giai đoạn phát hiện tấn công

1.5.3.3. Giai đoạn xử lý tấn công

1.6. Phân tích lựa chọn phương pháp theo vị trí triển khai

1.7. Các nghiên cứu liên quan đến phòng chống tấn công TCP Syn Flood

1.8. Các nghiên cứu liên quan đến phòng chống tấn công Web App-DDoS

1.9. Nghiên cứu tiêu chí đánh giá hiệu quả phương pháp

1.10. Nghiên cứu, khảo sát về đánh giá thực nghiệm

1.10.1. Khảo sát các tập dữ liệu đánh giá thực nghiệm

1.10.2. Đánh giá thực nghiệm với tấn công TCP Syn Flood và Web App-DDoS

1.11. Kết luận chương 1

2. CHƯƠNG 2: PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYN FLOOD

2.1. Giới thiệu bài toán

2.2. Tổng quan về nội dung nghiên cứu trong chương 2

2.3. Về hạn chế và phạm vi ứng dụng của phương pháp giải quyết

2.4. Tổng quan về dạng tấn công TCP Syn Flood

2.5. Mô hình triển khai phương pháp phát hiện và phòng chống tấn công TCP Syn Flood

2.5.1. Mô hình tổng thể và các thành phần cơ bản

2.5.2. Nguyên lý hoạt động cơ bản

2.6. Phát hiện tấn công TCP Syn Flood

2.6.1. Phát hiện và loại bỏ các gói tin giả mạo trong tấn công DDoS TCP Syn Flood

2.6.1.1. Đặc trưng của các gói tin IP được gửi đi từ cùng một máy nguồn

2.6.1.2. Kiểm chứng giả thuyết về tính chất tăng dần của giá trị PID

2.6.1.2.1. Kiểm chứng giả thuyết PID dựa trên quan sát ngẫu nhiên

2.6.1.2.2. Kiểm chứng giả thuyết PID trên toàn bộ tập dữ liệu thu được

2.6.2. Giải pháp phát hiện và loại bỏ các gói tin giả mạo PIDAD1

2.6.2.1. Thuật toán DBSCAN

2.6.2.2. Giải pháp PIDAD1

2.6.3. Giải pháp phát hiện và loại bỏ các gói tin giả mạo PIDAD2

2.6.3.1. Cơ chế thuật toán lọc bỏ nhanh gói tin giả mạo

2.6.3.2. Phân tích đánh giá về giải pháp PIDAD2 trên góc độ lý thuyết

2.6.3.3. Tăng tốc độ xử lý của giải pháp PIDAD2 với thuật toán Bloom Filter

2.6.3.4. Phương pháp xác thực địa chỉ IP nguồn

2.7. Đánh giá thực nghiệm

2.7.1. Xây dựng mô hình và dữ liệu đánh giá thực nghiệm

2.7.2. Đánh giá thực nghiệm cho giải pháp PIDAD1 và PIDAD2

2.7.2.1. Giải pháp PIDAD1

2.7.2.2. Giải pháp PIDAD2

2.7.3. So sánh hiệu quả của giải pháp PIDAD1 và PIDAD2

2.7.4. So sánh hiệu quả của giải pháp PIDAD2 với các giải pháp khác

2.8. Kết luận chương 2

3. CHƯƠNG 3: PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG WEB APP-DDOS

3.1. Giới thiệu bài toán

3.2. Tổng quan về tấn công Web App-DDoS

3.2.1. Ứng dụng Web

3.2.1.1. Nguyên lý hoạt động

3.2.1.2. Giao thức HTTP

3.2.2. Đặc trưng và thách thức trong phòng chống tấn công Web App-DDoS

3.2.2.1. Một số đặc trưng của tấn công Web App-DDoS

3.2.2.2. Vấn đề khó khăn trong phòng, chống tấn công Web App-DDoS

3.3. Mô hình, phương pháp phòng chống tấn công Web App-DDoS

3.3.1. Mô hình tổng thể và các thành phần cơ bản

3.3.2. Nguyên lý hoạt động cơ bản

3.4. Phát hiện tấn công Web App-DDoS

3.4.1. Tiêu chí phát hiện tấn công dựa trên tần suất truy nhập

3.4.2. Tiêu chí phát hiện tấn công dựa vào thời gian truy cập ngẫu nhiên

3.5. Phòng chống tấn công Web App-DDoS sử dụng phương pháp FDDA

3.5.1. Ý tưởng cơ bản của phương pháp FDDA

3.5.2. Các khái niệm sử dụng trong phương pháp FDDA

3.5.3. Thiết lập tham số đầu vào cho phương pháp FDDA

3.5.3.1. Tiêu chí về tần suất truy cập

3.5.3.2. Thiết kế bảng dữ liệu lưu vết truy cập TraTab

3.5.3.3. Thiết lập tham số đầu vào và cơ chế đồng bộ

3.5.3.4. Thuật toán chi tiết tính tần suất f thời gian thực

3.5.3.5. Cài đặt thuật toán

3.5.4. Tìm và loại bỏ nhanh các nguồn gửi yêu cầu tấn công tần suất cao

3.5.5. Xây dựng tiêu chí tương quan trong phương pháp FDDA

3.5.5.1. Xây dựng tập dữ liệu tương quan

3.5.5.2. Thiết kế cấu trúc dữ liệu cho thuật toán

3.5.6. Phát hiện nguồn gửi tấn công sử dụng tập dữ liệu tương quan

3.5.7. Thuật toán xử lý tấn công của phương pháp FDDA

3.6. Đánh giá thực nghiệm

3.6.1. Tạo dữ liệu thử nghiệm

3.6.2. Đánh giá thử nghiệm phương pháp FDDA

3.6.2.1. Kết quả xác định nguồn gửi yêu cầu tấn công theo tiêu chí tần suất

3.6.2.2. Kết quả xây dựng tập yêu cầu tương quan

3.6.2.3. Kết quả đánh giá thử nghiệm phương pháp FDDA

3.6.3. So sánh hiệu quả của phương pháp FDDA với các phương pháp khác

3.7. Kết luận chương 3

4. KẾT LUẬN VÀ ĐỀ XUẤT

4.1. Kiến nghị, đề xuất

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN

TÀI LIỆU THAM KHẢO

BẢN DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

BẢN DANH MỤC CÁC BẢNG

BẢN DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

I. Tổng quan về tấn công DDoS

Tấn công từ chối dịch vụ phân tán (DDoS) là một trong những mối đe dọa lớn nhất đối với an ninh mạng hiện nay. Các cuộc tấn công này thường được thực hiện bằng cách huy động nhiều máy tính để gửi một lượng lớn yêu cầu đến một hệ thống mục tiêu, làm cho hệ thống không thể phục vụ người dùng hợp pháp. Việc phát hiện và phòng chống tấn công DDoS là rất quan trọng để bảo vệ hạ tầng mạng và các dịch vụ trực tuyến. Các dạng tấn công DDoS phổ biến bao gồm tấn công ở lớp mạng và lớp ứng dụng. Tấn công ở lớp mạng thường nhằm vào băng thông, trong khi tấn công ở lớp ứng dụng nhắm đến các lỗ hổng trong ứng dụng web. Để phòng chống DDoS, cần có các giải pháp bảo mật mạng hiệu quả, bao gồm việc ngăn chặn DDoS và bảo vệ website.

1.1. Các dạng tấn công DDoS phổ biến

Các dạng tấn công DDoS phổ biến bao gồm tấn công TCP SYN Flood và Web App-DDoS. Tấn công TCP SYN Flood là một phương pháp tấn công ở lớp mạng, trong đó kẻ tấn công gửi một số lượng lớn gói tin SYN đến máy chủ, làm cho máy chủ không thể xử lý các yêu cầu hợp lệ. Ngược lại, tấn công Web App-DDoS nhắm vào các ứng dụng web, thường sử dụng các yêu cầu HTTP để làm quá tải máy chủ. Việc hiểu rõ các dạng tấn công này là cần thiết để phát triển các giải pháp phòng chống hiệu quả.

II. Phương pháp phát hiện và phòng chống tấn công DDoS

Để phát hiện và phòng chống tấn công DDoS, cần áp dụng nhiều phương pháp khác nhau. Các phương pháp này có thể được chia thành nhóm theo vị trí triển khai, bao gồm các phương pháp phòng chống ở lớp mạng, gần nguồn tấn công, và ở phía đối tượng được bảo vệ. Việc tăng cường bảo mật mạng là một trong những giải pháp quan trọng nhất. Các công cụ phòng chống DDoS như tường lửa, hệ thống phát hiện xâm nhập (IDS), và các giải pháp bảo mật khác có thể giúp phát hiện và ngăn chặn các cuộc tấn công. Ngoài ra, việc quản lý lưu lượng truy cập cũng rất quan trọng để đảm bảo rằng các yêu cầu hợp lệ không bị chặn.

2.1. Nhóm phương pháp phòng chống tấn công lớp mạng

Nhóm phương pháp này bao gồm các giải pháp như tường lửa và hệ thống phát hiện xâm nhập. Tường lửa có thể được cấu hình để chặn các gói tin đáng ngờ, trong khi IDS có thể phát hiện các mẫu tấn công DDoS. Việc sử dụng các công cụ này giúp bảo vệ hạ tầng mạng khỏi các cuộc tấn công DDoS. Tuy nhiên, cần lưu ý rằng các phương pháp này không thể hoàn toàn ngăn chặn các cuộc tấn công, mà chỉ có thể giảm thiểu tác động của chúng.

III. Đánh giá hiệu quả các phương pháp phòng chống DDoS

Đánh giá hiệu quả của các phương pháp phòng chống DDoS là rất quan trọng để xác định tính khả thi và hiệu quả của chúng trong thực tế. Các tiêu chí đánh giá bao gồm tỷ lệ phát hiện đúng, tỷ lệ giả dương, và thời gian xử lý. Việc sử dụng các tập dữ liệu thực nghiệm để kiểm tra các phương pháp là cần thiết để đảm bảo rằng các giải pháp được phát triển có thể hoạt động hiệu quả trong môi trường thực tế. Các nghiên cứu cho thấy rằng việc kết hợp nhiều phương pháp khác nhau có thể mang lại hiệu quả cao hơn trong việc phát hiện và phòng chống tấn công DDoS.

3.1. Nghiên cứu thực nghiệm về hiệu quả phương pháp

Nghiên cứu thực nghiệm cho thấy rằng các phương pháp như PIDAD1 và PIDAD2 có thể phát hiện và loại bỏ các gói tin giả mạo trong tấn công DDoS TCP SYN Flood. Kết quả cho thấy rằng việc sử dụng các thuật toán như DBSCAN có thể giúp nhóm các gói tin và phát hiện các mẫu tấn công. Việc đánh giá thực nghiệm cũng cho thấy rằng các phương pháp này có thể cải thiện đáng kể khả năng phát hiện và giảm thiểu tác động của các cuộc tấn công DDoS.

Luận án tiến sĩ về phát hiện và phòng chống tấn công từ chối dịch vụ phân tán (DDoS)