GI I PHÁP PHÁT HI N T N CÔNG NG P L T TRÊN M NG MANET
S D NG THU T TOÁN PHÂN L P
1
Lương Thái Ngọc 1,2, Võ Thanh Tú 1
Khoa Công nghệ Thông tin, Trường Đại học Khoa học, Đại học Huế
2
Khoa Sư phạm Toán – Tin, Trường Đại học Đồng Tháp
[email protected],
[email protected]
TÓM TẮT—Tấn công ngập lụt cản trở quá trình khám phá tuyến và tăng hao phí truyền thông của giao thức định tuyến trên
mạng MANET, tiêu biểu là AODV. Để thực hiện hành vi tấn công, nút độc hại phát tràn ngập gói tin như RREQ, HELLO và
DATA, trong đó tấn công ngập lụt sử dụng gói RREQ là gây thiệt hại nhiều nhất do cơ chế truyền gói RREQ theo hình thức
quảng bá. Một số nghiên cứu đã công bố gần đây chủ yếu là xây dựng giá trị ngưỡng dựa trên tầng suất phát gói RREQ để phát
hiện tấn công nên hiệu quả phát hiện tấn công thấp khi nút độc hại thực hiện hành vi tấn công với tầng suất thấp. Bài báo này đề
xuất giải pháp xây dựng một tác tử di động an ninh tên là SMAkNN để phát hiện tấn công ngập lụt gói RREQ sử dụng thuật toán
phân lớp k-láng giềng gần nhất (kNN). Tại giai đoạn huấn luyện, SMAkNN thu thập thông tin để tạo các véc-tơ trạng thái khám
phá tuyến của nút bình thường và nút độc hại ở nhiều tầng suất tấn công khác nhau, tạo hai lớp tên là lớp véc-tơ bình thường
(NVC) và lớp véc-tơ độc hại (MVC), mỗi lớp có 500 véc-tơ. Giai đoạn quyết định, SMAkNN sử dụng thuật toán kNN để phát hiện
nút độc hại dựa trên hai lớp NVC và MVC. Qua đó, bài báo tích hợp SMAkNN vào thuật toán khám phá tuyến của giao thức
AODV tạo ra giao thức cải tiến tên là kNNAODV. Kết quả mô phỏng trên NS2 cho thấy giao thức cải tiến có thể phát hiện thành
công trên 94% nút độc hại tấn công với nhiều tầng suất khác nhau trong môi trường mạng di chuyển ngẫu nhiên.
Từ khóa—AODV, kNNAODV, MANET, giao thức, tấn công ngập lụt.
I.
GIỚI THIỆU
Mạng tùy biến di động (MANET [1]) là một mạng không dây với ưu điểm là khả năng hoạt động độc lập, không
phụ thuộc vào cơ sở hạ tầng mạng cố định, triển khai nhanh và tính di động cao. Các nút trong mạng MANET phối
hợp với nhau để truyền thông nên đảm nhận chức năng của bộ định tuyến. Dịch vụ định tuyến được cung cấp tại
tầng mạng là mục tiêu của nhiều loại tấn công từ chối dịch vụ (DoS [2]), tiêu biểu là tấn công ngập lụt [3]. Hình
thức tấn công này được thực hiện bằng cách nút độc hại gửi tràn ngập các gói hệ thống cho các nút không tồn tại
trong mạng, hoặc truyền một lượng lớn các gói dữ liệu vô ích để gây nghẽn mạng. Kết quả là tạo ra bão quảng bá
gói tin trên mạng, làm tăng hao phí truyền thông, giảm khả năng đáp ứng tại mỗi nút vì phải xử lý các gói tin không
cần thiết.
Giao thức AODV [4] sử dụng cơ chế khám phá tuyến khi cần thiết, nút nguồn khởi động quá trình khám phá
tuyến bằng cách quảng bá gói yêu cầu RREQ. Nút đích trả lời tuyến về nguồn bằng cách gửi gói trả lời RREP, gói
HELLO và RERR được sử dụng để duy trì tuyến. AODV là giao thức tiêu biểu thuộc nhóm giao thức định tuyến
theo yêu cầu nên tin tặc dễ dàng thực hiện tấn công ngập lụt trên giao thức này, tiêu biểu là tấn công ngập lụt gói
HELLO, gói RREQ,và gói DATA. [5][6]
a) Ngập lụt gói HELLO
Gói HELLO được phát định kỳ để thông báo sự tồn tại của nút với láng giềng trong mạng không dây, đây là
điểm yếu bị tin tặc lợi dụng để phát tràn ngập gói HELLO buộc tất cả các nút láng giềng phải tiêu tốn tài nguyên và
thời gian xử lý gói tin không cần thiết. Hình 1, với hình thức tấn công này nút độc hại N8 gây hại đến các nút láng
giềng của nút độc hại gồm N5, N9, và N12.
1
6
2
3
5
7
8
10
RREQ
4
DATA
HELLO
11
9
12
Nút độc hại
Rớt gói
Hình 1. Mô tả tấn công ngập lụt trên mạng MANET
b) Ngập lụt gói DATA
Hình thức tấn công này chỉ gây hại tại một số nút trong mạng, để thực hiện tấn công, nút độc hại phát quá mức
gói DATA đến một nút bất kỳ trên mạng, điều này ảnh hưởng đến khả năng xử lý của các nút tham gia định tuyến
dữ liệu, tăng hao phí băng thông không cần thiết, gây nghẽn mạng và rớt gói. Hình 1, với hình thức tấn công này nút
độc hại N8 gây hại đến tất cả các nút trên tuyến từ N8 đến N1 gồm N12, N11, N10, N7, và N2.
c) Ngập lụt gói RREQ
Gói yêu cầu tuyến RREQ được sử dụng để thực hiện khám phá tuyến khi cần thiết, vì thế tin tặc lợi dụng gói này
để phát quảng bá quá mức làm tràn ngập lưu lượng không cần thiết trên mạng. Tấn công ngập lụt gói RREQ là gây
hại nặng nhất, bởi nó ảnh hưởng đến khả năng khám phá tuyến của tất cả các nút khác trong hệ thống, tạo ra các cơn
bão quảng bá gói tin trên mạng để chiếm dụng băng thông, tiêu hao tài nguyên tại các nút, và tăng hao phí truyền
thông. Hình 1, với hình thức tấn công này nút độc hại N8 gây hại đến tất cả các nút trên hệ thống do cơ chế truyền
quảng bá.
Tiếp theo, bài báo trình bày các công trình nghiên cứu liên quan đến phát hiện, ngăn ngừa tấn công. Phần 3 trình
bày giải pháp xây dựng tác tử di động bảo mật SMAkNN và tích hợp vào cơ chế khám phá tuyến của AODV nhằm
phát hiện tấn công ngập lụt. Phần 4 trình bày kết quả đánh giá bằng mô phỏng trên NS2, và cuối cùng là kết luận.
II. CÔNG TRÌNH NGHIÊN CỨU LIÊN QUAN
Các công trình nghiên cứu trong thời gian qua tập trung theo hướng phát hiện và ngăn ngừa tấn công ngập lụt.
Giải pháp theo hướng phát hiện tấn công có ưu điểm là chi phí thấp nhưng hiệu quả an ninh không cao, ngược lại
giải pháp theo hướng ngăn ngừa tấn công sử dụng cơ chế “chứng thực, toàn vẹn và chống chối từ” dựa trên nền
tảng chữ ký số nên khả năng an ninh rất cao, nhưng chi phí khám phá tuyến lớn nên khó ứng dụng vào thực tế do
khả năng xử lý của các thiết bị di động còn hạn chế.
Tiêu biểu trong các giải pháp phát hiện tấn công được Ping trình bày trong [3] với tên là FIFO nhằm phát hiện
tấn công ngập lụt gói RREQ. Tác giả cho rằng độ ưu tiên của một nút tỉ lệ nghịch với tần số phát sóng RREQ. Các
nút thực hiện yêu cầu tuyến quá nhiều sẽ có ưu tiên thấp, và sẽ bị loại khỏi quá trình định tuyến. Tuy nhiên, chi tiết
chọn giá trị ngưỡng ưu tiên để phát hiện tấn công ngập lụt gói RREQ chưa được trình bày cụ thể. Vấn đề này được
khắc phục trong [7], tác giả Ping cũng đã trình bày giải pháp phát hiện tấn công ngập lụt gói RREQ, gói DATA. Để
có thể phát hiện tấn công ngập lụt gói RREQ, một giá trị ngưỡng được thiết lập dựa vào dữ liệu của tất cả láng
giềng. Ngoài ra, vấn đề phát hiện tấn công ngập lụt gói DATA cũng được trình bày dựa vào dữ liệu nhận được tại
tầng ứng dụng. Tiếp theo Jiang [6] đề xuất một hệ thống tường vệ kép (DDWS) dựa trên kỹ thuật tiết kiệm năng
lượng nhằm giảm thiểu tác động của các cuộc tấn công ngập lụt trong giao thức định tuyến AODV. Dựa trên thông
số RREQ RATE-LIMIT định nghĩa trong tiêu chuẩn RFC, một nút mạng khởi tạo RREQ được ưu tiên theo tốc độ
dòng chảy với ba cấp độ: hợp pháp, vừa phải và mạnh mẽ. Các gói RREQ nhận được từ một nút có một ưu tiên hàng
đầu được chuyển tiếp, ngược lại sẽ bị loại bỏ. Đối với các nút có một ưu tiên vừa, chính sách nâng cấp và hạ cấp độ
ưu tiên được áp dụng theo sự thay đổi tốc độ dòng chảy RREQ của nút. Ngoài ra, Desilva [8] đã trình bày về tấn
công ngập lụt gói RREQ và tác hại đến thông lượng mạng dựa trên số lượng các nút độc hại. Để giảm thiểu những
ảnh hưởng của các cuộc tấn công ngập lụt, họ đề xuất một lược đồ thống kê gói tin hủy thích ứng. Phương pháp này
dựa trên kỹ thuật đánh giá độ trễ ngẫu nhiên để theo dõi các gói tin vừa nhận được trong một khoảng thời gian. Cuối
cùng, hồ sơ của một nút được tạo ra, và giá trị ngưỡng được tính vào cuối mỗi kỳ lấy mẫu. Giá trị ngưỡng này được
sử dụng để nhận biết xuất hiện tấn công ngập lụt gói RREQ hoặc bình thường. Cuối cùng, Balakrishnan [9] đã trình
bày giải pháp thêm thành phần mới vào mỗi nút có nhiệm vụ theo dõi ngưỡng giới hạn số gói tin yêu cầu tuyến của
tất cả láng giềng. Giải pháp này đã giải quyết vấn đề phát hiện tấn công ngập lụt gói RREQ, nhưng chưa giải quyết
vấn đề tấn công ngập lụt gói DATA.
Các giải pháp ngăn ngừa tấn công tiêu biểu như: SAODV [10], ARAN [11], SEAR [12], và SEAODV [13]. Đầu
tiên, SAODV được tác giả Zapata cải tiến từ AODV có thể ngăn ngừa tấn công mạo danh. Tồn tại của SAODV chỉ
hỗ trợ chứng thực đầu-cuối, không hỗ trợ chứng thực tại mỗi nút nên nút trung gian không thể chứng thực gói tin từ
nút tiền nhiệm. Ngoài ra, SAODV chưa có cơ chế quản lý cấp phát khóa cho nút, nút độc hại có thể vượt qua rào cản
an ninh bằng cách sử dụng bộ khóa giả mạo. Tiếp theo, Sanzgiri đã đề xuất giao thức ARAN [11] tiến bộ hơn
SAODV, gói khám phá tuyến RDP trong ARAN được ký và chứng thực tại tất cả các nút trung gian và chứng thực
đầu-cuối. Ngoài ra, ARAN đã bổ sung cơ chế quản lý khóa cho nút. Ngoài ra, SEAR [12] được Li thiết kế sử dụng
hàm băm để xây dựng bộ giá trị băm gắn với mỗi nút, được dùng để chứng thực các gói tin khám phá tuyến. Trong
SEAR, định danh (ID) của nút được mã hóa cùng với giá trị SN và HC nên ngăn ngừa tấn công lặp tuyến. Cuối
cùng, SEAODV [13] được phát triển từ AODV bằng cách sử dụng lược đồ chứng thực HEAP với khóa đối xứng và
hàm băm để bảo vệ gói tin khám phá tuyến. Thông qua mô phỏng, tác giả đã cho thấy SEAODV bảo mật hơn và có
hao phí truyền thông thấp hơn AODV.
III. GIẢI PHÁP PHÁT HIỆN TẤN CÔNG NGẬP LỤT
Trong ba hình thức tấn công ngập lụt trên giao thức AODV gồm tấn công ngập lụt gói HELLO, RREQ, và
DATA thì tấn công ngập lụt gói RREQ là nguy hại nhất vì nó dễ dàng tạo ra bão quảng bá. Phần này tập trung vào
giải pháp phát hiện hình thức tấn công ngập lụt gói RREQ bằng cách đề xuất tác tử di động bảo mật mới tên là
SMAkNN (Security Mobile Agent using kNN). Tác tử [14] là một thực thể vật lý hoặc mô hình logic có tính tự trị,
tính di động, tính thông minh, tính thích nghi, tính cộng tác và tính an ninh là điểm mới của SMAkNN.
1. Tác tử an ninh SMAkNN
Tác tử SMAkNN cho phép phát hiện tấn công ngập lụt gói RREQ hoạt động theo mô hình được mô tả tại Hình
2. SMAkNN hoạt động qua hai giai đoạn chính, tại giai đoạn huấn luyện, SMAkNN thu thập thông tin trạng thái
khám phá tuyến của tất cả các nút trong hệ thống, gồm nút bình thường và nút độc hại ở nhiều tầng suất tấn công
khác nhau. Mục đích là tạo hai lớp véc-tơ tên là NVC gồm các véc-tơ bình thường và lớp MVC gồm các véc-tơ độc
hại, mỗi lớp có 500 véc-tơ. Sau giai đoạn huấn luyện, SMAkNN sử dụng thuật toán kNN để phát hiện nút độc hại
dựa trên hai lớp NVC và MVC. Cấu trúc véc-tơ trạng thái khám phá tuyến, quá trình xây dựng hai lớp MVC, NVC
và thuật toán phát hiện nút độc hại sử dụng kNN sẽ được trình bày trong phần tiếp theo.
1. Huấn luyện (Offline)
Vào
2. Quyết định (Online)
Dữ liệu trạng thái khám phá
tuyến của nút bình thường và
nút độc hại với nhiều tầng suất
tấn công khác nhau
Ra
Thu thập thông tin thời gian
khám phá tuyến của các nút
Tạo vector trạng thái khám phá
tuyến (V) của tất cả nút nguồn
trong hệ thống
Tập dữ liệu học
Lớp NVC
Sử dụng kNN-Classifier
để phân lớp V
Lớp MVC
Bị tấn công
Bình thường
Hình 2. Mô hình hoạt động của tác tử SMAkNN
a) Véc-tơ trạng thái khám phá tuyến
Gói khám phá tuyến (RREQ) cho phép nút nguồn khám phá tuyến đến đích khi cần thiết, trong môi trường mạng
bình thường thì số lần khám phá tuyến phụ thuộc vào nhu cầu định tuyến tại mỗi nút nên tầng suất khám phá tuyến
thấp. Tuy nhiên, khi xuất hiện nút độc hại thực hiện hành vi tấn công ngập lụt gói RREQ thì tầng suất khám phá
tuyến dày đặc, đây là đặc điểm mà chúng tôi sử dụng để xây dựng véc-tơ trạng thái khám phá tuyến. Khi xây dựng
véc-tơ trạng thái khám phá tuyến, chúng tôi sử dụng hai định nghĩa liên quan đã được trình bày trong [15] gồm:
Thời gian khám phá tuyến và Khe thời gian khám phá tuyến.
•
Định nghĩa 1: Thời gian khám phá tuyến (t) là khoảng thời gian từ lúc thực hiện khám phá tuyến đến khi
nhận trả lời tuyến được tính theo công thức 1, trong đó s là thời điểm khám phá tuyến, e là thời điểm nhận
trả lời tuyến.
t =e−s
•
(1)
Định nghĩa 2: Khe thời gian khám phá tuyến (T) là khoảng thời gian giữa hai lần khám phá tuyến được
tính theo công thức 2, trong đó ei là thời điểm nhận trả lời tuyến thứ i, si + 1 thời điểm thực hiện khám phá
tuyến tiếp theo.
T = si +1 − ei
(2)
Ví dụ: Hình 3 mô tả chi tiết thời gian khám phá tuyến của nút N1 được ghi nhận, trong đó các ti là thời gian của
lần khám phá tuyến thứ i, Ti là khe thời gian khám phá tuyến thứ i.
Nút
t1
t2
N1
s1
e1
T1
s2
t3
T2
e2 s3
t4
e3
T3
s4
t5
T4
e4
s5
t6
e5
T5
Thời gian
s6
e6
Hình 3. Chi tiết thời gian khám phá tuyến của nút N1
Gọi V là véc-tơ trạng thái khám phá tuyến, V là một véc-tơ vô hướng gồm n phần tử V(T1, T2, …, Tn), phần tử thứ
i của V lưu trữ khe thời gian khám phá tuyến Ti.
b) Bộ phân lớp kNN-Classifier
kNN-Classifier là bộ phân lớp sử dụng thuật toán kNN [16], được dùng trong tác tử SMAkNN cho phép phân
loại véc-tơ trạng thái khám phá tuyến V của các nút. kNN cho phép phân lớp một đối tượng dựa vào k láng giềng
của nó. Số nguyên dương k được xác định trước khi thực hiện thuật toán, giá trị này ảnh hưởng kết quả phân lớp.
Hình 4 là một ví dụ về việc sử dụng kNN để phân lớp dữ liệu, khoảng cách Euclidean được dùng để tính khoảng
cách giữa hai đối tượng. Kết quả là đối tượng phân lớp (màu đỏ) thuộc MVC nếu với k=5, ngược lại với k=3 thì đối
tượng thuộc lớp NVC.
NVC
MVC
Vector thường
NVC
MVC
Vector độc hại
a) k=5
Vector thường
Vector độc hại
a) k=3
Hình 4. Mô tả hoạt động của bộ phân lớp kNN
c) Xây dựng hai lớp MVC và NVC
Chúng tôi sử dụng hệ mô phỏng NS2 [17] phiên bản 2.35 cài đặt kịch bản tấn công ngập lụt với nhiều tầng suất
khác nhau để thu thập véc-tơ tạo hai lớp MVC và NVC như 0.1s, 0.2s, 0.3s, 0.5s, 0.7s, 1s, 2s, 3s, 4s và 5s. Tầng suất
tấn công thấp nhất để huấn luyện là 5s vì qua mô phỏng chúng tôi thấy rằng tấn công ngập lụt gói RREQ sẽ không
ảnh hưởng đến hiệu quả định tuyến dữ liệu nếu tầng suất thấp hơn.
Trong quá trình huấn luyện để tạo lớp MVC, SMAkNN chỉ thu thập thông tin trạng thái khám phá tuyến của nút
độc hại ở gần nguồn (chi phí định tuyến HC ≤ 2 hop), nguyên nhân là do việc kiểm tra nút độc hại được thực hiện
trước tiên tại các nút láng giềng của nút độc hại. Lớp NVC gồm các véc-tơ do SMAkNN thu thập thông tin trạng
thái khám phá tuyến của tất cả các nút nguồn bình thường không phụ thuộc vào vị trí. Mô hình mạng sử dụng để
huấn luyện gồm 100 nút, các nút mạng chuyển động ngẫu nhiên với vận tốc di chuyển thay đổi tối đa 20m/s theo mô
hình Random Waypoint [18] được tạo bởi công cụ ./setdest. Hình 5 mô tả kết quả hai lớp MVC và NVC sau khi
huấn luyện.
a) NVC
b) MVC
Hình 5. Hai lớp véc-tơ trạng thái NVC và MVC sau khi huấn luyện
2. Giao thức cải tiến kNNAODV
Giao thức AODV nguyên bản chấp nhận tất cả các gói RREQ từ tất cả nút nguồn và quảng bá chúng đến láng
giềng, đây là điểm yếu bị tin tặc lợi dụng để thực hiện tấn công ngập lụt gói RREQ. Giải pháp của chúng tôi là tích
hợp tác tử SMAkNN vào quá trình khám phá tuyến của giao thức AODV tạo giao thức cải tiến tên là kNNAODV
với thuật toán khám phá tuyến cải tiến được mô tả tại Hình 6.
Điểm khác biệt so với AODV là tại mỗi nút trung gian (Ni) khi nhận được gói RREQ từ nút nguồn NS, nút Ni sử
dụng tác tử SMAkNN để thu thập thông tin tạo véc-tơ trạng thái khám phá tuyến của NS tên là VNs. Bộ phân lớp
kNN-Classifier được gọi để xác định véc-tơ VNs thuộc lớp MVC hoặc NVC. Nếu véc-tơ trạng thái khám phá tuyến
VNs của nút nguồn thuộc lớp MVC thì Ns là nút độc hại, gói RREQ bị hủy, Ns được lưu vào danh sách đen (BL);
ngược lại Ni quảng bá gói RREQ như giao thức AODV.
Bắt đầu
Nút nguồn (NS)
Nguồn tạo gói RREQ;
Quảng bá gói RREQ để khám phá tuyến.
Ni đã nhận gói RREQ?
Quảng bá gói RREQ
y
n
Lưu source_address và id_broadcast vào Cache
NS thuộc BL?
y
Huỷ gói RREQ
n
Nút trung gian (Ni)
SMAkNN thu thập thông tin tạo vector khám phá tuyến
của nguồn NS, và sử dụng kNN-Classifier để phân lớp
(VNs thuộc MVC)?
Xuất hiện tấn công;
Lưu NS vào Black List (BL);
y
n
(Ni là nút đích)?
y
Ni có tuyến đến ND
?
n
Thêm đường đi ngược về nguồn;
RREQ.hopcount ++; //Tăng chi phí
n
y
Nút đích (ND)
Gửi gói RREP về nguồn
Kết thúc
Hình 6. Thuật toán khám phá tuyến cải tiến trong giao thức kNNAODV
IV. ĐÁNH GIÁ KẾT QUẢ BẰNG MÔ PHỎNG
1. Thông số mô phỏng và tiêu chí đánh giá
Hệ mô phỏng NS2 được sử dụng để đánh giá hiệu quả phát hiện tấn công của giao thức kNNAODV và
SMAAODV là một cải tiến từ AODV được trình bày trong [15]. Mỗi mô hình mạng có 100 nút bình thường và 1
nút độc hại, hoạt động trong phạm vi 2000m x 2000m, các nút mạng chuyển động ngẫu nhiên với vận tốc di chuyển
thay đổi tối đa 20m/s theo mô hình chuyển động ngẫu nhiên.
Hình 7. Giao diện mô phỏng trên NS2
Bảng 1. Thông số mô phỏng trên NS2
Thông số
Giá trị
Khu vực địa lý
3200m x 1000m
Thời gian mô phỏng
200s
Tổng số nút mạng
101 (1 nút độc hại)
Vận tốc di chuyển (m/s)
1..20
Dạng truyền thông
CBR (Constant Bit Rate)
Số kết nối
10 UDP
Kích thước gói tin
512(bytes)
Hàng đợi
FIFO (DropTail)
Giao thức định tuyến
SMAAODV, kNNAODV
Hệ số k
50
Bắt đầu tấn công tại giây
100
Khoảng cách
Euclidean
Giao thức mô phỏng là SMAAODV và kNNAODV, thời gian mô phỏng 200s, vùng phát sóng 250m, hàng đợi
FIFO, có 10 kết nối UDP, nguồn phát CBR, kích thước gói tin 512byte, nút độc hại đứng yên tại vị trí trung tâm
(1000, 1000) và thực hiện hành vi tấn công ngập lụt gói RREQ bắt đầu tại giây thứ 100, nguồn phát UDP đầu tiên
bắt đầu tại giây thứ 0, các nguồn phát tiếp theo cách nhau 5 giây. Trong quá trình mô phỏng có 5 nguồn phát CBR
ngưng từ giây 100 đến giây 150 thì phát lại. Chi tiết các thông số mô phỏng được tổng hợp trong Bảng 1.
2. Kết quả mô phỏng
Kết quả phỏng trong môi trường mạng bị tấn công ngập lụt với tầng suất cao (một giây phát 10 gói RREQ giả
mạo) được biểu diễn trong đồ thị Hình 8a cho thấy cả hai giao thức cải tiến đều hoạt động hiệu quả với tỷ lệ phát
hiệtn hàn chông trên 99%. Tuy nhiên, trong môi trường mạng có nút độc hại tấn công ở tầng suất thấp thì giao thức
SMAAODV có tỷ lệ phát hiện thành công rất thấp (nhỏ hơn 85%), nguyên nhân là khe thời gian khám phá tuyến
giữa hai lần phát gói RREQ giả mạo của nút độc hại lớn hơn khe thời gian khám phá tuyến tối thiểu của hệ thống
(TSmin). Ngược lại, giao thức kNNAODV có tỷ phát hiện thành công gói RREQ giả mạo rất cao (hơn 94%) nhờ vào
thuật toán phân lớp dữ liệu kNN.
a) Tầng suất tấn công cao (0.1s)
b) Tầng suất tấn công thấp (1s)
Hình 8. Kết quả phát hiện tấn ngập lụt gói RREQ
V. KẾT LUẬN
Như vậy, bài báo đã đề xuất tác tử di động an ninh tên là SMAkNN có khả năng phát hiện tấn công ngập lụt gói
RREQ dựa trên thuật toán phân lớp kNN, và tích hợp vào AODV để tạo giao thức an ninh kNNAODV. Kết quả mô
phỏng cho thấy khi bị tấn công thì tỷ lệ phát hiện gói RREQ giả mạo thành công hơn 99% ở kịch bản bị tấn công với
tầng suất cao, tương đương với SMAAODV. Hơn nữa, với tầng suất tấn công gói RREQ thấp thì giao thức
kNNAODV vẫn cho kết quả phát hiện thành công là trên 94%, cao hơn rất nhiều so với một cải tiến trước đây là
SMAAODV.
Tương lai, chúng tôi tiếp tục cài đặt nhiều kịch bản mô phỏng để xác định hệ số k phù hợp nhằm nâng cao tỷ lệ
phát hiện gói RREQ giả mạo, tiếp tục cải tiến SMAkNN cho phép phát hiện tấn công ngập lụt gói HELLO và
DATA.
VI. TÀI LIỆU THAM KHẢO
[1] H. Jeroen, M. Ingrid, D. Bart, and D. Piet, “An overview of mobile ad hoc networks: Applications and
challenges”, Journal of the Communications Network, vol. 3, no. 3, pp. 60–66, 2004.
[2] E. Alotaibi and B. Mukherjee, “A survey on routing algorithms for wireless Ad-Hoc and mesh networks”,
Computer Networks, vol. 56, no. 2, pp. 940–965, 2012.
[3] T. Cholez, C. Henard, I. Chrisment, O. Festor, G. Doyen, and R. Khatoun, “A first approach to detect
suspicious peers in the KAD P2P network”, SAR-SSI Proceedings, pp. 1–8, 2011.
[4] Y. Ping, D. Zhoulin, Y. Zhong, and Z. Shiyong, “Resisting flooding attacks in ad hoc networks,” ITCC'05, vol.
2, pp. 657 – 662, 2005.
[5] C. E. Perkins, M. Park, and E. M. Royer, “Ad-hoc On-Demand Distance Véc-tơ Routing”, WMCSA, pp. 90–
100, 1999.
[6] H. Ehsan and F. A. Khan, “Malicious AODV: Implementation and analysis of routing attacks in MANETs”,
IUCC-2012, pp. 1181–1187, 2012.
[7] F. C. Jiang, C. H. Lin, and H. W. Wu, “Lifetime elongation of ad hoc networks under flooding attack using
power-saving technique”, Ad Hoc Networks, vol. 21, pp. 84–96, 2014.
[8] M. G. Zapata, “Secure ad hoc on-demand distance véc-tơ routing”, Mobile Computing and Communications
Review, vol. 6, no. 3, pp. 106–107, 2002.
[9] K. Sanzgiri, B. Dahill, B. N. Levine, C. Shields, and E. M. Belding-Royer, “A Secure Routing Protocol for Ad
Hoc Networks”, ICNP, pp. 78–89, 2002.
[10] Q. Li, M. Y. Zhao, J. Walker, Y. C. Hu, A. Perrig, and W. Trappe, “SEAR: a secure efficient ad hoc on
demand routing protocol for wireless networks,” Security and Communication networks, vol. 2, no. 4, pp. 325–
340, 2009.
[11] M. Mohammadizadeh, A. Movaghar, and S. Safi, “SEAODV: Secure Efficient AODV Routing Protocol for
MANETs Networks,” ICIS 09, pp. 940–944, 2009.
[12] P. Yi, Y. Hou, Y. Bong, S. Zhang, and Z. Dui, “Flooding Attacks and defence in Ad hoc networks,” Journal of
Systems Engineering and Electronics, vol. 17, no. 2, pp. 410– 416, 2006.
[13] S. Desilva and R. V. Boppana, “Mitigating malicious control packet floods in ad hoc networks,” IEEE
Wireless Communications and Networking Conference (WCNC), vol. 4, pp. 2112–2117, 2005
[14] V. Balakrishnan, V. Varadharajan, and I. Group, “Mitigating Flooding Attacks in Mobile Ad-hoc Networks
Supporting Anonymous Communications”, AUSWIRELESS '07 Proceedings, pp. 29-34, 2007.
[15] R. P. Ankala, D. Kavitha, and D. Haritha, “Mobile agent based routing in MANETS – attacks & defences”,
Network Protocols and Algorithms, vol. 3, no. 4, pp. 108–121, 2011.
[16] The network simulator NS2, URL:http://www.isi.edu/nsnam/ns/
[17] J. Yoon, M. Liu, and B. Noble, “Random waypoint considered harmful”, IEEE Infocom 2003, vol. 2, pp. 1–11,
2003.
[18]
H. L. Nguyen and U. T. Nguyen, “A study of different types of attacks on multicast in mobile ad hoc
networks”, Ad Hoc Networks, vol. 6, no. 1, pp. 32–46, 2008.
A SOLUTION TO DETECT FLOODING ATTACKS IN MANET USING
CLASSIFICATION ALGORITHM
Luong Thai Ngoc, Vo Thanh Tu
ABSTRACT—The flooding attacks prevent discovery route process and increase communication overhead of AODV routing
protocol in Mobile Ad hoc Network. In this article, we describe a solution to build security mobile agent using classification
algorithm named SMAkNN, and integrating SMAkNN into the discovery route process of AODV procotol. Improved protocol is
called kNNAODV which can detect RREQ flooding attacks. Using NS2, we compare the performance of kNNAODV and
improved SMAAODV with mobility nodes network topology under Flooding attacks.