Tên luận án:
Phát hiện và phòng chống một số dạng tấn công từ chối dịch vụ phân tán
Ngành:
An toàn thông tin
Tóm tắt nội dung tài liệu:
Luận án này tập trung nghiên cứu và đề xuất các phương pháp phát hiện, phòng chống tấn công từ chối dịch vụ phân tán (DDoS), một dạng tấn công mạng nguy hiểm gây gián đoạn hoạt động hệ thống thông tin. Trong bối cảnh công nghệ 4.0 phát triển mạnh mẽ, các cuộc tấn công DDoS quy mô lớn gây ra những hậu quả nghiêm trọng về an toàn xã hội, lợi ích công cộng và quốc phòng. Tác giả, với kinh nghiệm thực tế về xử lý DDoS, nhận thấy cần có một nền tảng khoa học và tổng thể để giải quyết vấn đề này, thúc đẩy việc nghiên cứu chuyên sâu tại Đại học Bách Khoa Hà Nội.
Đề tài tập trung vào hai dạng tấn công DDoS phổ biến và nguy hiểm: TCP Syn Flood (tấn công lớp mạng) và Web App-DDoS (tấn công lớp ứng dụng). Đối với TCP Syn Flood, luận án đề xuất các phương pháp phát hiện và loại bỏ gói tin giả mạo dựa trên mối liên hệ giữa các gói tin IP, sử dụng thuật toán DBSCAN và Bloom Filter để tăng tốc độ xử lý. Một mô hình tổng thể cũng được đề xuất để phát hiện tấn công và xác thực IP nguồn.
Đối với Web App-DDoS, luận án giới thiệu phương pháp phát hiện nhanh các nguồn tấn công bằng cách kết hợp nhiều tiêu chí, đặc biệt là tần suất truy cập và mối quan hệ tương quan giữa các yêu cầu. Phương pháp FDDA được đề xuất để phân biệt yêu cầu tấn công và yêu cầu bình thường, sau đó đưa các nguồn tấn công vào Black-List và nguồn hợp lệ vào White-List. Tác giả đã xây dựng môi trường ảo hóa với mạng botnet để đánh giá thực nghiệm các phương pháp đề xuất. Kết quả thực nghiệm cho thấy phương pháp FDDA đạt hiệu quả cao với tỷ lệ phát hiện tấn công (Detection Rate) là 93.75% và tỷ lệ phát hiện nhầm (False Positive) thấp 0.89%.
Luận án đóng góp về mặt khoa học thông qua việc đề xuất các phương pháp mới, mô hình mở, bộ dữ liệu kiểm thử và nhiều công trình công bố. Về mặt thực tiễn, nghiên cứu đã góp phần vào hai đề tài khoa học cấp Bộ/quốc gia và xây dựng hệ thống phòng chống DDoS đang thử nghiệm tại Đại học Bách Khoa Hà Nội.
Mục lục chi tiết:
- MỞ ĐẦU
- 1. Tính cấp thiết của đề tài
- 2. Đối tượng nghiên cứu và phương pháp nghiên cứu
- Tổng quan về tấn công và phòng chống tấn công DDoS
- Phát hiện và phòng chống tấn công TCP Syn Flood (dạng tấn công gửi tràn ngập gói tin khởi tạo kết nối giả mạo địa chỉ IP nguồn, xảy ra ở lớp mạng)
- Phát hiện và phòng chống tấn công Web App-DDoS (dạng tấn công DDoS vào ứng dụng Web, xảy ra ở lớp ứng dụng)
- 3. Nội dung nghiên cứu
- 4. Ý nghĩa khoa học và ý nghĩa thực tiễn của Luận án
- 5. Điểm mới của Luận án
- Đề xuất phương pháp mới trong việc phát hiện và loại bỏ các gói tin giả mạo trong tấn công TCP SYN Flood (tấn công tràn ngập gói tin TCP SYN)
- Đề xuất mô hình khung phòng chống tấn công DDoS-Web, có tính mở, cho phép kết hợp nhiều tiêu chí phát hiện để làm tăng hiệu quả, mức độ chính xác trong việc phát hiện và phòng chống tấn công
- Xây dựng 02 tiêu chí phát hiện nhanh cho phép loại bỏ tức thời các nguồn gửi yêu cầu khả nghi tấn công và xác minh các nguồn gửi yêu cầu bình thường trong tấn công DDoS-Web. Các thuật toán đề xuất trên cơ sở sử dụng các tiêu chí này cho phép sử dụng tức thời vào chống tấn công (không cần thời gian chuẩn bị, huấn luyện dữ liệu), xử lý lọc bỏ nhanh và cần ít tài nguyên lưu trữ
- Xây dựng hệ thống mô phỏng và dữ liệu phục vụ kiểm thử cho hai dạng tấn công có đặc trưng riêng là TCP SYN Flood và tấn công DDoS-Web trên môi trường ảo hóa
- CHƯƠNG I. TỔNG QUAN VỀ TẤN CÔNG DDOS VÀ PHƯƠNG PHÁP PHÒNG CHỐNG
- Tổng quan về tấn công từ chối dịch vụ phân tán DDoS
- Các dạng tấn công DDoS phổ biến
- Các công cụ tấn công DDoS phổ biến
- Những thách thức trong việc phát hiện và phòng chống tấn công DDoS
- Tổng quan về các phương pháp phòng chống tấn công DDoS
- Nghiên cứu về tiêu chí đánh giá hiệu quả các phương pháp đề xuất
- Nghiên cứu khảo sát đánh giá thực nghiệm phương pháp phòng chống tấn công DDoS
- CHƯƠNG II. PHÓNG CHỐNG TẤN CÔNG TCP SYN FLOOD
- 2.1. Giới thiệu bài toán
- 2.1.1. Tổng quan về nội dung nghiên cứu trong chương 2
- 2.1.2. Phạm vi của bài toán
- 2.2. Tổng quan về dạng tấn công TCP Syn Flood
- 2.3. Mô hình phương pháp phát hiện và phòng chống tấn công TCP Syn Flood
- 2.3.1. Mô hình tổng thể và các thành phần cơ bản
- 2.3.2. Nguyên lý hoạt động cơ bản
- 2.4. Phát hiện tấn công TCP Syn Flood
- 2.5. Phát hiện và loại bỏ các gói tin giả mạo trong tấn công DDoS TCP Syn Flood
- 2.5.1. Đặc trưng của các gói tin IP được gửi đi từ cùng một máy nguồn
- 2.5.2. Kiểm chứng giả thuyết về tính chất tăng dần của giá trị PID
- 2.5.3. Phương pháp phát hiện và loại bỏ các gói tin giả mạo PIDAD1
- 2.5.4. Phương pháp phát hiện và loại bỏ các gói tin giả mạo PIDAD2
- 2.5.5. Phương pháp xác thực địa chỉ IP nguồn
- 2.6. Đánh giá thực nghiệm
- 2.6.1. Tạo dữ liệu thử nghiệm
- 2.6.2. Đánh giá thực nghiệm cho phương pháp PIDAD1 và PIDAD2
- 2.6.3. So sánh hiệu quả của phương pháp PIDAD2 với phương pháp khác
- CHƯƠNG III. PHÒNG CHỐNG TẤN CÔNG LỚP ỨNG DỤNG WEB
- 3.1. Giới thiệu bài toán
- 3.2. Tổng quan về tấn công Web App-DDoS
- 3.3. Mô hình, phương pháp phòng chống tấn công Web App-DDoS
- 3.3.1. Mô hình tổng thể và các thành phần cơ bản
- 3.3.2. Nguyên lý hoạt động cơ bản
- 3.4. Phát hiện tấn công Web App-DDoS
- 3.5. Phòng chống tấn công Web App-DDoS sử dụng phương pháp FDDA
- 3.5.1. Ý tưởng cơ bản của phương pháp FDDA
- 3.5.4. Tiêu chí về tần suất truy cập
- 3.5.5. Xây dựng tiêu chí tương quan trong phương pháp FDDA
- 3.5.5. Thuật toán xử lý tấn công của phương pháp FDDA
- 3.6. Đánh giá thực nghiệm
- 3.6.1. Tạo dữ liệu thử nghiệm
- 3.6.2. Đánh giá thử nghiệm phương pháp FDDA
- KẾT LUẬN VÀ ĐỀ XUẤT
- 1. Kết luận
- a) Về ý nghĩa khoa học:
- b) Về nghĩa thực tiễn:
- 2. Kiến nghị, đề xuất