Phương pháp cảnh báo sớm tấn công DDoS dựa trên entropy

09:00 | 19/06/2019 | GP ATM

Bài viết này giới thiệu phương pháp cảnh báo sớm tấn công DDoS dựa trên entropy thông tin của địa chỉ IP nguồn và địa chỉ IP đích.

Tấn công từ chối dịch vụ phân tán hay còn gọi là tấn công DDoS (Distributed Denial of Service) là hành vi tấn công làm cho người dùng không thể sử dụng tài nguyên của hệ thống hoặc máy tính. Các cuộc tấn công DDoS thường nhắm mục tiêu vào các thiết bị định tuyến, hệ thống website, thư điện tử, DNS....

Hình 1. Mô hình tấn công DDoS

Tấn công từ DDoS có thể được thực hiện theo một số phương pháp nhất định. Có 05 kiểu tấn công DDoS cơ bản: Tiêu tốn tài nguyên tính toán (như băng thông, dung lượng ổ lưu trữ hoặc thời gian xử lý); Phá vỡ các thông tin cấu hình (như thông tin định tuyến); Phá vỡ các trạng thái thông tin (như việc tự động reset lại các phiên TCP); Phá vỡ các thành phần vật lý của mạng máy tính và làm tắc nghẽn thông tin liên lạc có chủ đích giữa người dùng và nạn nhân, dẫn đến việc liên lạc giữa hai bên không được thông suốt.

Việc nghiên cứu thuật toán cảnh báo sớm tấn công DDoS là rất quan trọng. Bởi nếu được cảnh báo sớm thì quản trị viên có thể thực hiện các biện pháp nhằm giảm thiểu, chống lại tấn công này. Đặc biệt, trong môi trường dữ liệu lớn trước khi tấn công DDoS gây hại cho hệ thống, từ đó sẽ tiết kiệm thời gian cho hệ thống bằng cách loại bỏ thiệt hại cho hệ thống do cuộc tấn công DDoS quy mô lớn. Ý tưởng về cảnh báo sớm tấn công DDoS là dựa trên những thay đổi bất thường của entropy thông tin của địa chỉ IP nguồn và địa chỉ IP đích trong luồng dữ liệu mạng. Entropy thông tin mô tả mức độ hỗn loạn trong một tín hiệu lấy từ một sự kiện ngẫu nhiên. Nói cách khác, entropy cũng chỉ ra có bao nhiêu thông tin trong tín hiệu, với thông tin là các phần không hỗn loạn ngẫu nhiên của tín hiệu và được tính theo công thức:

Trong (1), X đại diện cho một ký tự có n giá trị: X₁,X₂,....,X_n , mỗi giá trị xác suất tương ứng là: P₁,P₂,...,P_n . Vì mỗi ký tự nguồn xuất hiện độc lập của nhau, do đó:

Khi các cuộc tấn công DDoS được bắt đầu, hàng trăm máy tính sẽ gửi các luồng dữ liệu lớn đến mục tiêu. Để che giấu vị trí của mình, kẻ tấn công sẽ tạo ngẫu nhiên các địa chỉ IP nguồn giả cho các gói tin tấn công hoặc áp dụng các kỹ thuật tấn công ngập lụt nâng cao. Trong trường hợp này, lượng yêu cầu cho các địa chỉ IP nguồn được máy chủ theo dõi sẽ tăng mạnh và phân phối sẽ được phân tán nhiều hơn.

Ngoài ra, sẽ có một lượng lớn luồng yêu cầu gửi vào các cổng dịch vụ nhất định phía máy chủ. Đồng thời, phân phối yêu cầu cho các địa chỉ địa chỉ IP đích được theo dõi bởi máy chủ và các cổng đích sẽ ngày càng tập trung. Khi xảy ra tấn công DDoS, có thể sử dụng entropy thông tin của địa chỉ IP đích và địa chỉ IP nguồn của luồng dữ liệu đến máy chủ bị tấn công, có thể phản ánh sự không chắc chắn của hệ thống bằng cách tính entropy thông tin của địa chỉ IP đích và địa chỉ IP nguồn, hay cũng có thể các thông tin này được sử dụng cho cảnh báo tấn công DDoS trong lưu lượng mạng quy mô lớn.

Khi tiến hành thử nghiệm tấn công các máy chủ công cộng với lưu lượng truy cập DDoS 30GB trong 100 giây, kết quả cho thấy trong 100 giây đầu tiên khi xảy ra tấn công, entropy thông tin dựa trên địa chỉ IP đích và địa chỉ IP nguồn thay đổi đáng kể: entropy thông tin của địa chỉ IP đích giảm nhanh, trong khi entropy thông tin của địa chỉ IP nguồn tăng nhanh (Hình 2, 3).

Hình 2. Thay đổi entropy thông tin của địa chỉ IP đích

Hình 3. Thay đổi entropy thông tin của địa chỉ IP nguồn

Kết quả trên cho thấy, có thể sử dụng entropy thông tin của địa chỉ IP nguồn và địa chỉ IP đích trong việc cảnh báo sớm các cuộc tấn công DDoS.

Tài liệu tham khảo

Dezhi Han; Kun Bi; Han Liu; Jianxin Jia. A DDoS Attack Detection System Based on Spark Framework Computer Science & Information Systems . 2017, Vol. 14 Issue 3, pp. 769-788.

Đặng Bảo

‹ › ×

Tin liên quan

Năm 2018 tội phạm mạng giảm các hoạt động tấn công DDoS

10:00 | 04/03/2019

Theo thông tin thống kê của Kaspersky Lab, tổng số các cuộc tấn công DDoS trong năm 2018 giảm 13% so với năm 2017. Tuy nhiên, thời lượng của các cuộc tấn công hỗn hợp và HTTP đang gia tăng, điều này cho thấy kẻ tấn công đang chuyển sang những kỹ thuật tấn công DDoS tinh vi hơn.

Phương pháp đánh giá rủi ro cho ứng dụng Web

14:00 | 12/08/2019

Thông qua việc đánh giá lỗ hổng bảo mật, bài báo đề xuất một mô hình và phương pháp đánh giá định lượng rủi ro trên cơ sở đánh giá mức độ sự cố và tác động của sự cố đối với ứng dụng Web.

Tình hình tấn công DDoS Quý II/2018

16:00 | 18/09/2018

Tội phạm mạng đã không ngừng tìm kiếm các phương pháp khuếch đại phi tiêu chuẩn mới để thực hiện các cuộc tấn công DDoS.

Một số tấn công mạng di động 4G/LTE và giải pháp phòng ngừa

08:00 | 16/03/2020

Được giới thiệu lần đầu vào năm 2009, hệ thống mạng di động 4G/LTE qua 10 năm triển khai đã được ứng dụng, mang lại trải nghiệm tốt cho người dùng. Tuy nhiên, hệ thống mạng này thường xuyên phải đối mặt với những phương thức tấn công nguy hiểm, gây rò rỉ thông tin, ngưng trệ hoạt động hệ thống.

Dịch vụ cung cấp Entropy mở khóa toàn bộ tiềm năng của mật mã

13:00 | 17/02/2021

Độ an toàn của các hệ thống mật mã hiện nay phụ thuộc vào việc có các khóa mật mã mạnh (có entropy cao) và giữ bí mật các khóa đó. Khả năng tạo ra các khóa mật mã mạnh yêu cầu phải truy cập tới một nguồn ngẫu nhiên không thể dự đoán. Tuy nhiên, việc này trên các thiết bị máy tính thông thường hoặc các thiết bị IoT là khó và không đáng tin cậy. Dịch vụ entropy được đề xuất bởi Viện Tiêu chuẩn quốc gia Hoa Kỳ là một kiến trúc dịch vụ Internet mới, cho phép cung cấp dữ liệu ngẫu nhiên không thể dự đoán, với entropy cao được tạo bởi các nguồn entropy lượng tử từ các trung tâm tin cậy đến các máy khách gửi yêu cầu.

Đề xuất mô hình triển khai mạng SD-WAN chống lại tấn công DDoS (Phần 2)

10:00 | 21/12/2021

Phần I của bài báo đã giới thiệu về hệ thống SD-WAN và các ưu, nhược điểm của hệ thống này (Tạp chí An toàn thông tin, số 3 (061)2021). Trong Phần II, một mô hình triển khai mạng SD-WAN sẽ được đề xuất nhằm chống lại tấn công DDoS.

Tấn công DDoS năm 2020: hơn 10 triệu tấn công với tần suất tăng 22%

11:00 | 29/05/2021

Netscout (công ty cung cấp các sản phẩm quản lý hiệu suất mạng và ứng dụng tại Mỹ) đã công bố những phát hiện từ Báo cáo Thông tin tình báo mối đe dọa của họ, trong đó nhấn mạnh con số kỷ lục 10.089.687 cuộc tấn công DDoS được quan sát thấy trong năm 2020.

Tấn công DDoS vào giáo dục tăng cao trong năm 2020

15:00 | 11/09/2020

Giáo dục đã trở thành mục tiêu chính cho các cuộc tấn công từ chối dịch vụ (DDoS) khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến để đảm bảo an toàn cho học sinh trong đại dịch COVID-19. Các nhà nghiên cứu cũng báo cáo về sự gia tăng của các trang web và email lừa đảo, cũng như các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nền tảng học tập trực tuyến.

An Empirical Study of The Impact of DoS, DDoS Attacks on Various Web Servers and Application Servers

09:00 | 28/02/2019

CSKH-02.2017- (Abstract) In recent research, DoS and DDoS attack is a crucial topic where solutions have not been satisfied with the real problem. As a consequence of the fact that the former one mainly focuses on the vulnerabilities of protocols to conduct an invasion, while the latter one utilizes multiple compromised systems for a single target to make the services unavailable for legitimate users. In this paper, we will concentrate on making clear the impact of these attacks on RAM utilization, CPU usage, and network throughput of various Web Servers and Application Servers, which contributes to understanding deeply and constructing effective DoS, DDoS defense systems.

Tin cùng chuyên mục

Bảo vệ máy tính Windows 10 trước mã độc tống tiền

09:00 | 27/03/2023

Trong bối cảnh ngày càng xuất hiện nhiều hơn các cuộc tấn công mã độc tống tiền nhắm đến người dùng cuối, với các thủ đoạn vô cùng tinh vi, các tin tặc đang tích cực phát triển nhiều biến thể mã độc tống tiền nâng cao nhằm đạt được những mục đích nhất định như mã hóa dữ liệu, đòi tiền chuộc,… Bài viết này gửi đến độc giả hướng dẫn một số phương thức bảo vệ dữ liệu máy tính trên Windows 10, bao gồm cả cách sử dụng công cụ phòng chống mã độc tống tiền được tích hợp trên hệ thống.

Xây dựng văn hóa bảo mật với thiết kế hành vi

16:00 | 21/03/2023

Theo đánh giá của các chuyên gia, phần lớn các vi phạm bảo mật dẫn đến các chiến dịch lừa đảo thành công đến từ lỗi của con người. Bài báo sau đây sẽ đưa ra một số phương thức để chúng ta có thể củng cố bức tường lửa con người thông qua mô hình thiết kế hành vi của Fogg (Tiến sĩ BJ Fogg - Đại học Stanford Mỹ).

Nguy cơ tấn công mạng từ các hoạt động trò chơi trực tuyến

07:00 | 08/02/2023

Với sự phát triển không ngừng của công nghệ, những cuộc tấn công mạng thông qua mạng Internet cũng ngày càng trở nên đa dạng hơn. Đặc biệt là hoạt động trò chơi trực tuyến tiềm ẩn không ít những mối đe dọa bị tấn công bởi mã độc. Bài báo này sẽ đưa ra các mối đe dọa liên quan đến trò chơi trực tuyến, phân tích các phương thức, thủ đoạn mà tin tặc tấn công mạng dựa vào các trò chơi trực tuyến, từ đó đưa ra một số giải pháp phòng tránh.

Phát hiện xâm nhập website dựa trên cây quyết định và bộ dữ liệu huấn luyện IDS2021-WEB (Phần I)

16:00 | 30/11/2022

Trong phần I của bài báo, nhóm tác giả sẽ giới thiệu cách thức xây dựng bộ dữ liệu IDS2021-WEB trích xuất từ bộ dữ liệu gốc CSE-CIC-IDS2018. Theo đó, các bước tiền xử lý dữ liệu được thực hiện từ bộ dữ liệu gốc như lọc các dữ liệu trùng, các dữ liệu dư thừa, dữ liệu không mang giá trị. Kết quả thu được là một bộ dữ liệu mới có kích thước nhỏ hơn và số lượng thuộc tính ít hơn. Đồng thời, đề xuất mô hình sử dụng bộ dữ liệu về xây dựng hệ thống phát hiện tấn công ứng dụng website.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

GP Mật mã

Sự phát triển của lược đồ chữ ký số kháng lượng tử dựa trên hàm băm

Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.

09:00 | 01/04/2024
Về một phương pháp tấn công kênh kề lên mã khối Kalyna
Khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA trong một số tiêu chuẩn mật mã
Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)

Giải pháp khác

Cách bảo vệ email và tài khoản mạng xã hội

Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.

10:00 | 22/04/2024
Thiết lập chính sách mật khẩu an toàn trên Linux
Quản lý dữ liệu cá nhân an toàn thông qua tính năng Safety Check trên iOS 16
Tăng cường bảo mật tệp lưu trữ trên Google Drive