Đang tải... (xem toàn văn)
CHƯƠNG I: TỔNG QUAN VỀ TẤN CÔNG DOSDDOS VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG1. Khái quát về DOSDDOS:1.1. Khái niệm DOS:Tấn công từ chối dịch vụ DOS (Denial of Service) là các cách thức tấn công mà kẻ tấn công làm cho hệ thống không thể sử dụng hoặc chậm đi đáng kể bằng cách làm quá tải tài nguyên hệ thống1.2. Khái quát về các dạng tấn công DOS:Các nguồn tài nguyên tin tặc nhắm tới trong một cuộc tấn công DoS có thể là một máy tính cụ thể, một cổng hoặc một dịch vụ trên hệ hống, toàn bộ mạng, một thành phần mạng hoặc cũng có thể nhắm đến giao tiếp giữa con người và hệ thốngNgoài ra tấn công DoS được thiết kế để thực thi malware có thể khuếch đại bộ vi xử lý, ngăn chặn khả năng sử dụng hệ thống; kích hoạt lỗi trong mã máy khiến máy tính rơi vào trạng thái không ổn định; khai thác lỗ hổng hệ điều hành khiến treo hoàn toàn thiết bị.1.3. Khái niệm DDOS:Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) là một dạng tấn công DOS phát triển ở mức độ cao hơn.Với DOS, lưu lượng tấn công thường chỉ khởi phát ở một hay một số ít host nguồn còn với DDOS, lưu lượng tấn công được khởi phát từ rất nhiều host nằm rải rác trên mạng Internet.Tập hợp các máy tính này được gọi là mạng máy tính ma hay botnet.2. Kiến trúc tấn công DDOS:Kiến trúc tấn công DDOS được chia làm 2 loại chính:Kiến trúc tấn công trực tiếpKiến trúc tấn công gián tiếp (phản chiếu)
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA AN TOÀN THÔNG TIN - - HỌC PHẦN: CHUYÊN ĐỀ AN TOÀN THÔNG TIN BÀI BÁO CÁO PHÁT HIỆN TẤN CÔNG DDoS DỰA TRÊN ENTROPY CỦA ĐỊA CHỈ IP HÀ NỘI, 04/2017 Mục Lục CHƯƠNG I: TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG Khái quát DOS/DDOS: 1.1 Khái niệm DOS: − Tấn công từ chối dịch vụ DOS (Denial of Service) cách thức công mà kẻ công làm cho hệ thống sử dụng chậm đáng kể cách làm tải tài nguyên hệ thống 1.2 Khái quát dạng công DOS: − Các nguồn tài nguyên tin tặc nhắm tới công DoS máy tính cụ thể, cổng dịch vụ hệ hống, toàn mạng, thành phần mạng nhắm đến giao tiếp người hệ thống − Ngoài công DoS thiết kế để thực thi malware khuếch đại vi xử lý, ngăn chặn khả sử dụng hệ thống; kích hoạt lỗi mã máy khiến máy tính rơi vào trạng thái không ổn định; khai thác lỗ hổng hệ điều hành khiến treo hoàn toàn thiết bị 1.3 Khái niệm DDOS: − Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) dạng công DOS phát triển mức độ cao − Với DOS, lưu lượng công thường khởi phát hay số host nguồn với DDOS, lưu lượng công khởi phát từ nhiều host nằm rải rác mạng Internet − Tập hợp máy tính gọi mạng máy tính ma hay botnet Kiến trúc công DDOS: − Kiến trúc công DDOS chia làm loại chính: Kiến trúc công trực tiếp Kiến trúc công gián tiếp (phản chiếu) a Kiến trúc công trực tiếp: Hình Kiến trúc công DDOS trực tiếp − Theo kiến trúc này, kẻ công tạo máy trung gian (master zombies) Để làm điều này, attacker rà quét số host Internet để tìm lỗ hổng Thông qua việc khai thác lỗ hổng này, attacker chiếm quyền điều khiển máy trung gian tiến hành cài đặt công cụ công chúng Các máy trung gian ngẫu nhiên Internet kết nối attacker chúng mã hóa Các máy trung gian không trực tiếp tiến hành công vào máy tính nạn nhân Với số lượng máy trung gian lớn khó để truy vết kẻ công − Tiếp theo, kẻ công sử dụng máy trung gian bị chiếm để tiếp tục quét chiếm quyền điều khiển nhiều host khác Internet Các máy mà bị điều khiển máy trung gian gọi zombies Kết nối máy trung gian zombies mã hóa Zombies tác nhân công tới victim cách gây ngập lụt đường truyền mạng Đa số người sở hữu máy zombies máy họ bị điều khiển tham gia công tới máy nạn nhân b Kiến trúc công gián tiếp: Hình Kiến trúc công gián tiếp − Với kiến trúc công này, attacker chiếm quyền điều khiển máy trung gian (masters) qua chiếm quyền điều khiển máy zombies (slaves) giống kiến trúc công trực tiếp − Khác với kiến trúc công trực tiếp, attacker thay sử dụng slave để công trực tiếp tới máy nạn nhân, họ dùng slave để gửi request đến reflectors (ví dụ DNS server) với địa nguồn địa máy nạn nhân Khi nhận request thường lệ reflectors gửi lại reply tới địa nguồn Và với việc nhận số lượng phản hồi lớn khiến máy nạn nhân bị cạn kiệt tài nguyên Phân loại công DDOS: − Tấn công DDOS phân loại dựa yếu tố chính: Dựa phương pháp công Dựa mức độ tự động Dựa giao thức mạng Dựa phương thức giao tiếp Dựa cường độ công Dựa việc khai thác lỗ hổng an ninh a Dựa phương pháp công: − Theo kiểu phân loại này, công DDOS chia thành dạng: Tấn công gây ngập lụt (Flooding attacks): kẻ công tạo lượng lớn gói tin giống với gói tin hợp lệ gửi đến hệ thống nạn nhân nhằm làm cho hệ thống phục vụ người dùng hợp pháp Tấn công logic (Logical attacks): loại công thường khai thác tính lỗi cài đặt giao thức dịch vụ chạy hệ thống nạn nhân nhằm làm cạn kiệt tài nguyên hệ thống b Dựa mức độ tự động: − Theo kiểu phân loại chia công DDOS thành dạng: Thủ công: kẻ công trực tiếp làm việc quét lỗ hổng, chiếm quyền điều khiển, cài đặt mã độc, lệnh công Bán tự động: giai đoạn khai thác lỗ hổng chiếm quyền điều khiển handler agent thực tự động Giai đoạn công tin tặc điều khiển cách gửi thông tin kiểu công, thời gian công đích công Tự động: tất giai đoạn thực tự động c Dựa giao thức mạng: − Theo kiểu phân loại chia công DDOS thành dạng: Tấn công vào tầng mạng tầng giao vận: dạng này, tin tặc sử dụng gói tin TCP, UDP, ICMP để công Tấn công vào tầng ứng dụng: dạng này, công thường hướng đến giao thức thông dụng tầng ứng dụng HTTP, SMTP, DNS d Dựa phương thức giao tiếp: − Theo dạng này, công DDOS chia thành dạng: Dựa agent-handler: công theo dạng gồm client, handler agent Tin tặc giao tiếp trực tiếp với client Client giao tiếp với agent để công thông qua handler Dựa IRC: công theo dạng này, tin tặc sử dụng IRC để giao tiếp với agent Dựa web: theo dạng công này, tin tặc sử dụng trang web để giao tiếp thay cho IRC Dựa P2P: dạng này, tin tặc sử dụng giao thức P2P để giao tiếp e Dựa cường độ công: − Theo dạng công này, công DDOS chia thành dạng: Tấn công cường độ cao: dạng công gửi lượng lớn yêu cầu từ agent thời điểm Tấn công cường độ thấp: agent gửi lượng lớn yêu cầu giả mạo với tần suất thấp giống yêu cầu đến từ người dùng hợp pháp Tấn công cường độ thay đổi: dạng công thay đổi cường độ để tránh bị phát đáp trả Tấn công cường độ hỗn hợp: dạng kết hợp cường độ cao thấp Tấn công cường độ liên tục: dạng công thực liên tục với cường độ tối đa f Dựa việc khai thác lỗ hổng an ninh: − Theo kiểu này, công DDOS chia thành dạng: Tấn công gây cạn kiệt băng thông: công dạng gây ngập lụt hệ thống mạng nạn nhân thông qua yêu cầu giả mạo, làm người dùng hợp pháp sử dụng dịch vụ Tấn công gây cạn kiệt tài nguyên: dạng công tiêu tốn hết tài nguyên máy nạn nhân dẫn đến việc phục vụ yêu cầu người dùng hợp pháp Các biện pháp phòng chống công DDOS: − Có thể chia biện pháp phòng chống thành dạng theo tiêu chí chính: Dựa vị trí triển khai Dựa giao thức mạng Dựa thời điểm hành động a Dựa vị trí triển khai: − Theo vị trí triển khai chia thành dạng Triển khai nguồn công: lọc gói tin có địa giả mạo định tuyến cổng mạng, sử dụng tường lửa để nhận dạng giảm tần suất chuyển gói tin không xác nhận Triển khai đích công: nhận dạng địa giả mạo, lọc đánh dấu gói tin để phân biệt gói tin công Triển khai mạng đích công: lọc phát gói tin độc hại định tuyến b Dựa giao thức mạng: − Các biện pháp chia thành dạng theo tầng ứng dụng, giao vận mạng Tầng ứng dụng: giám sát hành vi người dùng phiên làm việc, tối thiểu hóa việc truy nhập trang web, sử dụng phương pháp thống kê để phát công Tầng giao vận: lọc gói tin dựa địa IP, giảm thời gian chờ xác nhận yêu cầu kết nối, tăng kích thước cache để tăng số lượng kết nối chờ xác nhận, sử dụng tường lửa lọc gói tin, thực thi sách an toàn thiết lập Tầng mạng: giảm tần suất truyền gói tin qua lại định tuyến c Dựa thời điểm hành động: − Các biện pháp chia theo thời điểm: Trước bị công: cập nhật hệ thống, sửa vá lỗ hổng, cấu hình phù hợp Trong bị công: sử dụng tường lửa IDS/IPS (Intrusion Detection/Prevention System) để phát ngăn chặn công Sau bị công: ghi log, lần vết, truy tìm nguồn gốc công CHUƠNG 2: PHÁT HIỆN TẤN CÔNG DDoS DỰA TRÊN IP ENTROPY 2.1 Khái quát entropy 2.1.1 Khái niệm entropy ứng dụng phát bất thường mạng Entropy thước đo không chắn, sử dụng để tổng hợp phân bố tính chất dạng rút gọn Entropy thông tin mô tả mức độ hỗn loạn tín hiệu lấy từ kiện ngẫu nhiên Nói cách khác, entropy có thông tin tín hiệu, với thông tin phần không hỗn loạn ngẫu nhiên tín hiệu Ví dụ, nhìn vào dòng chữ tiếng Việt, mã hóa chữ cái, khoảng cách, dấu câu, tổng quát ký tự Dòng chữ có ý nghĩa không cách hoàn toàn hỗn loạn ngẫu nhiên; ví dụ tần số xuất chữ x không giống với tần số xuất chữ phổ biến t Đồng thời, dòng chữ viết hay truyền tải, khó đoán trước ký tự gì, có mức độ ngẫu nhiên định Entropy thông tin thang đo mức độ ngẫu nhiên Có nhiều dạng entropy, có số ứng dụng cho việc phát bất thường mạng phổ biến Shannon entropy Shannon entropy ứng dụng entropy tương đối entropy có điều kiện để phát dấu hiệu bất thường mạng Ngoài ra, Shannon entropy sử dụng để tổng hợp phân phối tính chất luồng mạng 2.1.2 Shannon entropy entropy tham số 2.1.2.1 Shannon entropy Định nghĩa entropy xuất lần đầu vào năm 1950 Clausius ngành nhiệt động lực học Năm 1948 Shannon đưa entropy vào lý thuyết thông tin Trong lý thuyết thông tin, entropy thước đo không chắn liên quan đến biến ngẫu nhiên Càng nhiều biến ngẫu nhiên entropy lớn ngược lại, biến chắn entropy nhỏ Đối với phân bố xác suất p (X = xi) biến rời rạc, ngẫu nhiên X, Shannon entropy định nghĩa sau: Định nghĩa entropy để thoả mãn giả định sau: ● Entropy phải tỷ lệ thuận liên tục với xác suất xuất phần tử ngẫu nhiên tín hiệu Thay đổi nhỏ xác suất phải dẫn đến thay đổi nhỏ entropy ● Nếu phần tử ngẫu nhiên có xác suất xuất nhau, việc tăng số lượng phần tử ngẫu nhiên phải làm tăng entropy ● Có thể tạo chuỗi tín hiệu theo nhiều bước, entropy tổng cộng phải tổng có trọng số entropy bước Shannon định nghĩa entropy, cho tín hiệu nhận giá trị rời rạc, thoả mãn giả định ông có dạng: H(x)= với ● K số, phụ thuộc vào đơn vị đo ● n tổng số giá trị nhận tín hiệu ● i giá trị rời rạc thứ i ● p(i) xác suất xuất giá trị i Dưới số tính chất quan trọng Shannon entropy: Tính không âm (Nonnegativity) ∀p(xi )∈[0,1] Hs (X) ≥ - Tính cân xứng (Symmetry) - Hs (p(x1 ), p(x2 ), … ) = Hs (p(x2), p(x1) … , ) Tính tối đa (Maximality) Hs(p(x1 ), … , p(xn )) ≤ Hs ( 1/1, … ,1/ n ) = loga (n) - Tính cộng (Additivity) Hs(X, Y) = Hs(X) + Hs(Y) với điều kiện X Y biến độc lập - 2.1.2.2 Entropy tham số Shannon entropy giả định có cân phân bố khối đuôi Để kiểm soát cân này, hai Shannon entropy tham số tổng quát đề xuất, Renyi Tsallis Nếu tham số ký hiệu α (hoặc q) có giá trị tích cực, cho thấy nhiều khối (tập trung kiện xảy thường xuyên), giá trị tiêu cực - đề cập đến đuôi (sự phân tán gây kiện xảy ra) Cả hai entropy tham số (Renyi Tsallis) xuất phát từ trung bình tổng quát Kolmogorov-Nagumo: ϕ công thức mà thỏa mãn định đề cộng (chỉ có hàm afin, hàm lũy thừa thỏa mãn điều này) Φ -1 hàm ngược Do phép biến đổi afin ∮(xi)→ λ(xi) = a ϕ (xi) + b (trong a b số tự nhiên) Renyi entropy tính toán từ Shannon entropy với biến đổi sau: Reney entropy thỏa mãn nguyên lý tương tự entropy Shannon có mối quan hệ sau đây: Tsallis đưa hàm ϕ sau: Chúng ta thấy entropy phi logarit Có vài mối quan hệ Shannon entropy Tsallis entropy: Tuy nhiên, Tsallis entropy mở rộng, thỏa mãn tính chất cộng Đối với biến ngẫu nhiên rời rạc độc lập X, Y ta có: Nó có nghĩa là: Có thể rút kết luận với hai Renyi Tsallis entropy tham số: ● Tập trung với α>1 phân tán α 2.1.3 Một số dạng entropy khác 2.1.3.1 N-gram entropy Shannon tìm trường hợp mà pi không xác định phải thu thập từ quan sát Shannon entropy dựa giả định ký hiệu liên tiếp sinh nguồn thông tin không liên quan Tuy nhiên, giả định không với nhiều nguồn thông tin thực tế, chẳng hạn ngôn ngữ tự nhiên tiếng Anh Shannon mở rộng khái niệm entropy cách đề xuất N-gram entropy Theo Shannon, chuỗi L ký hiệu chia thành khối có kích thước từ đến L gọi N-gram Shannon sử dụng số lần xuất N-gram để ước tính giá trị pi cho N-gram số N-gram có Đối với N, kết phân bố xác suất mà N- gram entropy FN dễ dàng tính toán với phương trình sau: Do N tiệm cận vô cực, Shannon khuyến nghị sử dụng giới hạn dãy giá trị kết entropy tổng thể chuỗi: Cách tiếp cận bộc lộ số vấn đề chuỗi hữu hạn Thứ nhất, giới hạn không tồn cho chuỗi hữu hạn Thứ hai, entropy trở nên vô nghĩa N đạt đến bậc log L: vào thời điểm không khả tính toán cho tất cảcác mẫu nhận việc dự toán xác suất kết ngày trở nên sai lệch 2.1.3.2 T-Thông tin T-entropy Titchener dự đoán giới hạn T-phức tạp (T- complexity) gần tương đương với li(|x|) Để có Shannon entropy đo thông tin tương thích từ T-phức tạp, Titchener đề xuất tích phân logarit nghịch đảo li-1 (x) hàm thích hợp cho việc tuyến tính hóa T-phức tạp Do Titchener đưa khái niệm sau: Định nghĩa T-thông tin: T-thông tin chuỗi x định nghĩa tích phân logarit nghịch đảo T-phức tạp x: Tích phân logarit li(x) định nghĩa sau: li(x) có điểm kỳ dị (singularity) x=1 số không dương x=1,4513692 ., Ramanujan-Soldner T-thông tin đo nats logarit tự nhiên sử dụng tính toán tích phân logarit nghịch đảo Nếu số logarit chọn 2, đơn vị sử dụng bit T-thông tin không mô tả tỷ lệ entropy Do đó, Titchener đưa phương pháp gọi T-entropy từ T-thông tin T-entropy xác định thông qua độ chênh lệch T-thông tin Định nghĩa T-entropy: Tentropy chuỗi x định nghĩa độ chênh lệch T-thông tin x chiều dài với |x| x: T-entropy khác khắp chiều dài chuỗi |x|, tính toán đơn vị nats ký hiệu logarit tự nhiên sử dụng cho việc tính toán T-thông tin Nếu số logarit đơn vị bit cho bit hay tổng quát hơn, bit cho ký hiệu sử dụng Các tính toán T-phức tạp (và T-entropy) liên quan đến khối có độ dài thay đổi phụ thuộc vào mẫu (patterns) đầu vào Đây cách tiếp cận khác phép đo N-gram entropy Shannon, kích thước khối N cố định 2.2 Mô hình phát công DDoS dựa entropy IP nguồn 2.2.1 Giới thiệu mô hình Mặc dù đặc điểm công DDoS nguồn khởi phát công có số lượng lớn phân tán mạng Internet, tần xuất gửi yêu cầu công từ host đến máy nạn nhân lớn Ngoài ra, địa IP giả mạo thường sử dụng yêu cầu công DDoS, nên miền địa IP nguồn yêu cầu giả mạo có nhiều khác biệt so với miền IP yêu cầu hợp lệ Trên sở tính mẫu entropy IP nguồn yêu cầu truy nhập hệ thống trạng thái làm việc bình thường, giám sát phát công DDoS sở liên tục tính entropy IP nguồn yêu cầu truy nhập so sánh với mẫu entropy thu thập trạng thái làm việc bình thường Mô hình phát công DDoS dựa entropy IP nguồn gồm giai đoạn: huấn luyện phát biểu diễn Hình : Mô hình phát công DDoS dựa entropy IP nguồn 2.2.2 Hoạt động mô hình Mô hình phát công DDoS dựa entropy IP nguồn gồm giai đoạn: (a) huấn luyện (b) phát 2.2.2.1 Giai đoạn huấn luyện Giai đoạn huấn luyện gồm bước: ● Thu thập liệu: Dữ liệu gói tin IP dùng cho huấn luyện thu thập điều kiện hệ thống làm việc bình thường, công DDoS Các gói tin thu thập liên tục card cổng mạng, sử dụng tập liệu gói tin IP có sẵn ● Trích địa IP nguồn: Địa IP nguồn gói tin trích phục vụ cho tính toán giá trị entropy ● Tính entropy chuỗi IP nguồn: sử dụng phương pháp cửa sổ trượt theo thời gian, theo số lượng gói tin để tính entropy liệu huấn luyện Entropy tính toán công thức : Trong pi giá trị xác suất xuất IP thứ i gửi yêu đến máy chủ tổng số IP gửi yêu cầu khoảng thời gian cửa sổ trượt Kết giá trị entropy lưu thành file để sử dụng cho giai đoạn phát đồng thời kết cho phép quản trị viên tính toán giá trị entropy mạng hoạt động thời điểm công nằm khoảng 2.2.2.2 Giai đoạn phát Giai đoạn phát gồm bước: ● Thu thập liệu: Dữ liệu gói tin IP thu thập điều kiện giám sát hệ thống, thực tương tự giai đoạn huấn luyện ● Trích địa IP nguồn: Địa IP nguồn gói tin trích phục vụ cho tính toán giá trị entropy giống giai đoạn huấn luyện ● Tính entropy chuỗi IP nguồn: sử dụng phương pháp cửa sổ trượt theo thời gian, theo số lượng gói tin để tính entropy liệu giám sát Cách thức tính toán entropy kích thước cửa sổ trượt chọn giống giai đoạn huấn luyện, sau kích thước cửa sổ trượt thay đổi thử nghiệm sau để xem xét ảnh hưởng kích thước cửa sổ lên khả phân biệt entropy miền lưu lượng bình thường miền lưu lượng mạng bị công Đối sánh với tập entropy mẫu: Thực đối sánh giá trị entropy liệu giám sát với mẫu entropy thu giai đoạn huấn luyện CHƯƠNG 3: CÀI ĐẶT THỬ NGHIỆM MÔ HÌNH PHÁT HIỆN TẤN CÔNG DDOS 3.1 Thử nghiệm phát công DDoS dựa tập liệu gói tin mẫu 3.1.1 Các liệu sử dụng để thử nghiệm Sử dụng liệu NZIX CAIDA để thử nghiệm mô hình phát công DDoS dựa entropy địa IP nguồn Bộ liệu NZIX liệu thu thập theo định dạng Ethernet Network Research Group trường đại học Waikato, New Zealand Bộ liệu gồm có 835 triệu gói tin với tổng dung lượng 200 GB thu thập liên tục ngày vào tháng năm 2000 Trong liệu này, thử nghiệm sử dụng file liệu có mã số 20000710-000000 chứa 19 triệu gói tin với dung lượng nén khoảng 475 MB Sử dụng traceconvert legacyeth:nzixII2000071.gz pcapfile:nzixII-20000710.pcap công cụ Libtrace để chuyển đổi file liệu nén lưu gói tin sang file liệu theo định dạng pcap để đọc hiểu Bộ liệu CAIDA sử dụng CAIDA "DdoS Attack 2007" chứa vết lưu lượng mạng khoảng hệ thống bị công DDoS vào ngày tháng năm 2007, từ 20:50:08 UTC đến 21:56:16 UTC, liệu với dung lượng 21GB không nén Tấn công DDoS gây ngập lụt toàn đường truyền kết nối máy chủ đích với Internet Bộ liệu chia thành file, thử nghiệm sử dụng liệu có mã CAIDA-ddos-20070804 3.1.2 Cài đặt thử nghiệm 3.1.2.1 Tính mẫu entropy giai đoạn huấn luyện Thực tính toán entropy phần trích tập liệu NZIX thời gian 600 giây Cửa sổ thời gian kéo dài giây nghĩa giá trị entropy tính toán giây cho luồng liệu hợp lệ mạng Kết tính toán entropy biểu biễn đồ thị Giá trị entropy đồ thị nằm khoảng 5,7 tới 7,6, điều cho thấy giá trị entropy nằm khoảng tương đương suốt khối liệu gói tin biến thiên lớn miền giá trị entropy Entropy giai đoạn huấn luyện 3.1.2.2 Tính mẫu entropy giai đoạn phát Tính mẫu entropy với cửa sổ thời gian Kịch xem xét ảnh hưởng công DDoS lên giá trị entropy: Kết hợp phần lưu lượng mạng 600 giây trích từ liệu NZIX với phần liệu công DDoS trích từ liệu CAIDA, giây thứ 250 kết thúc vào giây 300 Kịch tập trung vào việc phát công dựa địa nguồn (*) Tính toán entropy sử dụng cửa sổ kích thước giây: Trước công bắt đầu, entropy địa nguồn nằm hoàn toàn phạm vi 5,7-7,6 Trong công, entropy giảm xấp xỉ đạt mức gần 2,1 – 3,7 Tổng số lần tính entropy 600 Như vậy, thấy entropy sinh gói tin công có giá trị khác biệt hoàn toàn so với entropy sinh với gói tin hợp lệ Điều cho phép phát công cách xác (*) Tính toán entropy sử dụng cửa sổ kích thước giây: Thực kiểm tra luồng liệu hợp pháp hợp pháp liệu công mạng thời gian: tính entropy cho lưu lượng hợp pháp lưu lượng công tính toán sau giây Tổng số lần tính entropy 300 Kết tính toán entropy biểu biễn đồ thị sau Trong thời gian từ giây đến 250 giây, giá trị entropy đồ thị nằm phạm vi 6,3- 7,6 thời gian từ 250 giây đến 300 giây, giá trị entropy rơi xuống khoảng 2,2-3,8 Sau đó, giá trị entropy trở lại nằm phạm vi hẹp 6,3-7,6 khoảng thời gian từ 300 giây đến 600 giây Kết giá trị entropy nằm 6,3-7,6, hệ thống mạng hoạt động bình thường Chỉ giá trị entropy giảm đột ngột, hệ thống mạng bị công khoảng thời gian 300 giây đến 360 giây (*) Tính toán entropy sử dụng cửa sổ kích thước giây: Entropy tính cách lấy độ dài cửa sổ thời gian giây Đồ thị cho thấy suốt thời gian công, giá trị entropy nằm khoảng 2,4-3,9, giá trị entropy nằm khoảng 6,9-7,8 có lưu lượng mạng hợp pháp 3.1.2.3 Một số nhận xét Từ thử nghiệm, rút số nhận xét: - Miền giá trị entropy (theo thời gian) lưu lượng mạng bình thường thường ổn định khoảng hẹp, miền giá trị entropy lưu lượng mạng bị công có khác biệt rõ nét với miền giá trị entropy lưu lượng mạng bình thường Như vậy, sử dụng phân bố giá trị entropy để nhận dạng công DDoS cách xác - Kích thước cửa sổ thời gian có ảnh hưởng đến giá trị entropy, nhiên không ảnh hưởng định đến khả phân biệt lưu mạng bị công lưu mạng bình thường Chọn kích thước cửa số lớn giảm số lượng tính toán, giảm khả phát sớm công Ngược lại, chọn kích thước cửa sổ nhỏ làm tăng khả phát sớm công, yêu cầu lượng tính toán lớn ... để phát ngăn chặn công Sau bị công: ghi log, lần vết, truy tìm nguồn gốc công CHUƠNG 2: PHÁT HIỆN TẤN CÔNG DDoS DỰA TRÊN IP ENTROPY 2.1 Khái quát entropy 2.1.1 Khái niệm entropy ứng dụng phát. .. HÌNH PHÁT HIỆN TẤN CÔNG DDOS 3.1 Thử nghiệm phát công DDoS dựa tập liệu gói tin mẫu 3.1.1 Các liệu sử dụng để thử nghiệm Sử dụng liệu NZIX CAIDA để thử nghiệm mô hình phát công DDoS dựa entropy địa. .. huấn luyện phát biểu diễn Hình : Mô hình phát công DDoS dựa entropy IP nguồn 2.2.2 Hoạt động mô hình Mô hình phát công DDoS dựa entropy IP nguồn gồm giai đoạn: (a) huấn luyện (b) phát 2.2.2.1