Tài liệu GIẢI PHÁP PHÁT HIỆN TẤN CÔNG NGẬP LỤT TRÊN MẠNG MANET SỬ DỤNG THUẬT TOÁN PHÂN LỚP

GI I PHÁP PHÁT HI N T N CÔNG NG P L T TRÊN M NG MANET S D NG THU T TOÁN PHÂN L P 1 Lương Thái Ngọc 1,2, Võ Thanh Tú 1 Khoa Công nghệ Thông tin, Trường Đại học Khoa học, Đại học Huế 2 Khoa Sư phạm Toán – Tin, Trường Đại học Đồng Tháp [email protected], [email protected] TÓM TẮT—Tấn công ngập lụt cản trở quá trình khám phá tuyến và tăng hao phí truyền thông của giao thức định tuyến trên mạng MANET, tiêu biểu là AODV. Để thực hiện hành vi tấn công, nút độc hại phát tràn ngập gói tin như RREQ, HELLO và DATA, trong đó tấn công ngập lụt sử dụng gói RREQ là gây thiệt hại nhiều nhất do cơ chế truyền gói RREQ theo hình thức quảng bá. Một số nghiên cứu đã công bố gần đây chủ yếu là xây dựng giá trị ngưỡng dựa trên tầng suất phát gói RREQ để phát hiện tấn công nên hiệu quả phát hiện tấn công thấp khi nút độc hại thực hiện hành vi tấn công với tầng suất thấp. Bài báo này đề xuất giải pháp xây dựng một tác tử di động an ninh tên là SMAkNN để phát hiện tấn công ngập lụt gói RREQ sử dụng thuật toán phân lớp k-láng giềng gần nhất (kNN). Tại giai đoạn huấn luyện, SMAkNN thu thập thông tin để tạo các véc-tơ trạng thái khám phá tuyến của nút bình thường và nút độc hại ở nhiều tầng suất tấn công khác nhau, tạo hai lớp tên là lớp véc-tơ bình thường (NVC) và lớp véc-tơ độc hại (MVC), mỗi lớp có 500 véc-tơ. Giai đoạn quyết định, SMAkNN sử dụng thuật toán kNN để phát hiện nút độc hại dựa trên hai lớp NVC và MVC. Qua đó, bài báo tích hợp SMAkNN vào thuật toán khám phá tuyến của giao thức AODV tạo ra giao thức cải tiến tên là kNNAODV. Kết quả mô phỏng trên NS2 cho thấy giao thức cải tiến có thể phát hiện thành công trên 94% nút độc hại tấn công với nhiều tầng suất khác nhau trong môi trường mạng di chuyển ngẫu nhiên. Từ khóa—AODV, kNNAODV, MANET, giao thức, tấn công ngập lụt. I. GIỚI THIỆU Mạng tùy biến di động (MANET [1]) là một mạng không dây với ưu điểm là khả năng hoạt động độc lập, không phụ thuộc vào cơ sở hạ tầng mạng cố định, triển khai nhanh và tính di động cao. Các nút trong mạng MANET phối hợp với nhau để truyền thông nên đảm nhận chức năng của bộ định tuyến. Dịch vụ định tuyến được cung cấp tại tầng mạng là mục tiêu của nhiều loại tấn công từ chối dịch vụ (DoS [2]), tiêu biểu là tấn công ngập lụt [3]. Hình thức tấn công này được thực hiện bằng cách nút độc hại gửi tràn ngập các gói hệ thống cho các nút không tồn tại trong mạng, hoặc truyền một lượng lớn các gói dữ liệu vô ích để gây nghẽn mạng. Kết quả là tạo ra bão quảng bá gói tin trên mạng, làm tăng hao phí truyền thông, giảm khả năng đáp ứng tại mỗi nút vì phải xử lý các gói tin không cần thiết. Giao thức AODV [4] sử dụng cơ chế khám phá tuyến khi cần thiết, nút nguồn khởi động quá trình khám phá tuyến bằng cách quảng bá gói yêu cầu RREQ. Nút đích trả lời tuyến về nguồn bằng cách gửi gói trả lời RREP, gói HELLO và RERR được sử dụng để duy trì tuyến. AODV là giao thức tiêu biểu thuộc nhóm giao thức định tuyến theo yêu cầu nên tin tặc dễ dàng thực hiện tấn công ngập lụt trên giao thức này, tiêu biểu là tấn công ngập lụt gói HELLO, gói RREQ,và gói DATA. [5][6] a) Ngập lụt gói HELLO Gói HELLO được phát định kỳ để thông báo sự tồn tại của nút với láng giềng trong mạng không dây, đây là điểm yếu bị tin tặc lợi dụng để phát tràn ngập gói HELLO buộc tất cả các nút láng giềng phải tiêu tốn tài nguyên và thời gian xử lý gói tin không cần thiết. Hình 1, với hình thức tấn công này nút độc hại N8 gây hại đến các nút láng giềng của nút độc hại gồm N5, N9, và N12. 1 6 2 3 5 7 8 10 RREQ 4 DATA HELLO 11 9 12 Nút độc hại Rớt gói Hình 1. Mô tả tấn công ngập lụt trên mạng MANET b) Ngập lụt gói DATA Hình thức tấn công này chỉ gây hại tại một số nút trong mạng, để thực hiện tấn công, nút độc hại phát quá mức gói DATA đến một nút bất kỳ trên mạng, điều này ảnh hưởng đến khả năng xử lý của các nút tham gia định tuyến dữ liệu, tăng hao phí băng thông không cần thiết, gây nghẽn mạng và rớt gói. Hình 1, với hình thức tấn công này nút độc hại N8 gây hại đến tất cả các nút trên tuyến từ N8 đến N1 gồm N12, N11, N10, N7, và N2. c) Ngập lụt gói RREQ Gói yêu cầu tuyến RREQ được sử dụng để thực hiện khám phá tuyến khi cần thiết, vì thế tin tặc lợi dụng gói này để phát quảng bá quá mức làm tràn ngập lưu lượng không cần thiết trên mạng. Tấn công ngập lụt gói RREQ là gây hại nặng nhất, bởi nó ảnh hưởng đến khả năng khám phá tuyến của tất cả các nút khác trong hệ thống, tạo ra các cơn bão quảng bá gói tin trên mạng để chiếm dụng băng thông, tiêu hao tài nguyên tại các nút, và tăng hao phí truyền thông. Hình 1, với hình thức tấn công này nút độc hại N8 gây hại đến tất cả các nút trên hệ thống do cơ chế truyền quảng bá. Tiếp theo, bài báo trình bày các công trình nghiên cứu liên quan đến phát hiện, ngăn ngừa tấn công. Phần 3 trình bày giải pháp xây dựng tác tử di động bảo mật SMAkNN và tích hợp vào cơ chế khám phá tuyến của AODV nhằm phát hiện tấn công ngập lụt. Phần 4 trình bày kết quả đánh giá bằng mô phỏng trên NS2, và cuối cùng là kết luận. II. CÔNG TRÌNH NGHIÊN CỨU LIÊN QUAN Các công trình nghiên cứu trong thời gian qua tập trung theo hướng phát hiện và ngăn ngừa tấn công ngập lụt. Giải pháp theo hướng phát hiện tấn công có ưu điểm là chi phí thấp nhưng hiệu quả an ninh không cao, ngược lại giải pháp theo hướng ngăn ngừa tấn công sử dụng cơ chế “chứng thực, toàn vẹn và chống chối từ” dựa trên nền tảng chữ ký số nên khả năng an ninh rất cao, nhưng chi phí khám phá tuyến lớn nên khó ứng dụng vào thực tế do khả năng xử lý của các thiết bị di động còn hạn chế. Tiêu biểu trong các giải pháp phát hiện tấn công được Ping trình bày trong [3] với tên là FIFO nhằm phát hiện tấn công ngập lụt gói RREQ. Tác giả cho rằng độ ưu tiên của một nút tỉ lệ nghịch với tần số phát sóng RREQ. Các nút thực hiện yêu cầu tuyến quá nhiều sẽ có ưu tiên thấp, và sẽ bị loại khỏi quá trình định tuyến. Tuy nhiên, chi tiết chọn giá trị ngưỡng ưu tiên để phát hiện tấn công ngập lụt gói RREQ chưa được trình bày cụ thể. Vấn đề này được khắc phục trong [7], tác giả Ping cũng đã trình bày giải pháp phát hiện tấn công ngập lụt gói RREQ, gói DATA. Để có thể phát hiện tấn công ngập lụt gói RREQ, một giá trị ngưỡng được thiết lập dựa vào dữ liệu của tất cả láng giềng. Ngoài ra, vấn đề phát hiện tấn công ngập lụt gói DATA cũng được trình bày dựa vào dữ liệu nhận được tại tầng ứng dụng. Tiếp theo Jiang [6] đề xuất một hệ thống tường vệ kép (DDWS) dựa trên kỹ thuật tiết kiệm năng lượng nhằm giảm thiểu tác động của các cuộc tấn công ngập lụt trong giao thức định tuyến AODV. Dựa trên thông số RREQ RATE-LIMIT định nghĩa trong tiêu chuẩn RFC, một nút mạng khởi tạo RREQ được ưu tiên theo tốc độ dòng chảy với ba cấp độ: hợp pháp, vừa phải và mạnh mẽ. Các gói RREQ nhận được từ một nút có một ưu tiên hàng đầu được chuyển tiếp, ngược lại sẽ bị loại bỏ. Đối với các nút có một ưu tiên vừa, chính sách nâng cấp và hạ cấp độ ưu tiên được áp dụng theo sự thay đổi tốc độ dòng chảy RREQ của nút. Ngoài ra, Desilva [8] đã trình bày về tấn công ngập lụt gói RREQ và tác hại đến thông lượng mạng dựa trên số lượng các nút độc hại. Để giảm thiểu những ảnh hưởng của các cuộc tấn công ngập lụt, họ đề xuất một lược đồ thống kê gói tin hủy thích ứng. Phương pháp này dựa trên kỹ thuật đánh giá độ trễ ngẫu nhiên để theo dõi các gói tin vừa nhận được trong một khoảng thời gian. Cuối cùng, hồ sơ của một nút được tạo ra, và giá trị ngưỡng được tính vào cuối mỗi kỳ lấy mẫu. Giá trị ngưỡng này được sử dụng để nhận biết xuất hiện tấn công ngập lụt gói RREQ hoặc bình thường. Cuối cùng, Balakrishnan [9] đã trình bày giải pháp thêm thành phần mới vào mỗi nút có nhiệm vụ theo dõi ngưỡng giới hạn số gói tin yêu cầu tuyến của tất cả láng giềng. Giải pháp này đã giải quyết vấn đề phát hiện tấn công ngập lụt gói RREQ, nhưng chưa giải quyết vấn đề tấn công ngập lụt gói DATA. Các giải pháp ngăn ngừa tấn công tiêu biểu như: SAODV [10], ARAN [11], SEAR [12], và SEAODV [13]. Đầu tiên, SAODV được tác giả Zapata cải tiến từ AODV có thể ngăn ngừa tấn công mạo danh. Tồn tại của SAODV chỉ hỗ trợ chứng thực đầu-cuối, không hỗ trợ chứng thực tại mỗi nút nên nút trung gian không thể chứng thực gói tin từ nút tiền nhiệm. Ngoài ra, SAODV chưa có cơ chế quản lý cấp phát khóa cho nút, nút độc hại có thể vượt qua rào cản an ninh bằng cách sử dụng bộ khóa giả mạo. Tiếp theo, Sanzgiri đã đề xuất giao thức ARAN [11] tiến bộ hơn SAODV, gói khám phá tuyến RDP trong ARAN được ký và chứng thực tại tất cả các nút trung gian và chứng thực đầu-cuối. Ngoài ra, ARAN đã bổ sung cơ chế quản lý khóa cho nút. Ngoài ra, SEAR [12] được Li thiết kế sử dụng hàm băm để xây dựng bộ giá trị băm gắn với mỗi nút, được dùng để chứng thực các gói tin khám phá tuyến. Trong SEAR, định danh (ID) của nút được mã hóa cùng với giá trị SN và HC nên ngăn ngừa tấn công lặp tuyến. Cuối cùng, SEAODV [13] được phát triển từ AODV bằng cách sử dụng lược đồ chứng thực HEAP với khóa đối xứng và hàm băm để bảo vệ gói tin khám phá tuyến. Thông qua mô phỏng, tác giả đã cho thấy SEAODV bảo mật hơn và có hao phí truyền thông thấp hơn AODV. III. GIẢI PHÁP PHÁT HIỆN TẤN CÔNG NGẬP LỤT Trong ba hình thức tấn công ngập lụt trên giao thức AODV gồm tấn công ngập lụt gói HELLO, RREQ, và DATA thì tấn công ngập lụt gói RREQ là nguy hại nhất vì nó dễ dàng tạo ra bão quảng bá. Phần này tập trung vào giải pháp phát hiện hình thức tấn công ngập lụt gói RREQ bằng cách đề xuất tác tử di động bảo mật mới tên là SMAkNN (Security Mobile Agent using kNN). Tác tử [14] là một thực thể vật lý hoặc mô hình logic có tính tự trị, tính di động, tính thông minh, tính thích nghi, tính cộng tác và tính an ninh là điểm mới của SMAkNN. 1. Tác tử an ninh SMAkNN Tác tử SMAkNN cho phép phát hiện tấn công ngập lụt gói RREQ hoạt động theo mô hình được mô tả tại Hình 2. SMAkNN hoạt động qua hai giai đoạn chính, tại giai đoạn huấn luyện, SMAkNN thu thập thông tin trạng thái khám phá tuyến của tất cả các nút trong hệ thống, gồm nút bình thường và nút độc hại ở nhiều tầng suất tấn công khác nhau. Mục đích là tạo hai lớp véc-tơ tên là NVC gồm các véc-tơ bình thường và lớp MVC gồm các véc-tơ độc hại, mỗi lớp có 500 véc-tơ. Sau giai đoạn huấn luyện, SMAkNN sử dụng thuật toán kNN để phát hiện nút độc hại dựa trên hai lớp NVC và MVC. Cấu trúc véc-tơ trạng thái khám phá tuyến, quá trình xây dựng hai lớp MVC, NVC và thuật toán phát hiện nút độc hại sử dụng kNN sẽ được trình bày trong phần tiếp theo. 1. Huấn luyện (Offline) Vào 2. Quyết định (Online) Dữ liệu trạng thái khám phá tuyến của nút bình thường và nút độc hại với nhiều tầng suất tấn công khác nhau Ra Thu thập thông tin thời gian khám phá tuyến của các nút Tạo vector trạng thái khám phá tuyến (V) của tất cả nút nguồn trong hệ thống Tập dữ liệu học Lớp NVC Sử dụng kNN-Classifier để phân lớp V Lớp MVC Bị tấn công Bình thường Hình 2. Mô hình hoạt động của tác tử SMAkNN a) Véc-tơ trạng thái khám phá tuyến Gói khám phá tuyến (RREQ) cho phép nút nguồn khám phá tuyến đến đích khi cần thiết, trong môi trường mạng bình thường thì số lần khám phá tuyến phụ thuộc vào nhu cầu định tuyến tại mỗi nút nên tầng suất khám phá tuyến thấp. Tuy nhiên, khi xuất hiện nút độc hại thực hiện hành vi tấn công ngập lụt gói RREQ thì tầng suất khám phá tuyến dày đặc, đây là đặc điểm mà chúng tôi sử dụng để xây dựng véc-tơ trạng thái khám phá tuyến. Khi xây dựng véc-tơ trạng thái khám phá tuyến, chúng tôi sử dụng hai định nghĩa liên quan đã được trình bày trong [15] gồm: Thời gian khám phá tuyến và Khe thời gian khám phá tuyến. • Định nghĩa 1: Thời gian khám phá tuyến (t) là khoảng thời gian từ lúc thực hiện khám phá tuyến đến khi nhận trả lời tuyến được tính theo công thức 1, trong đó s là thời điểm khám phá tuyến, e là thời điểm nhận trả lời tuyến. t =e−s • (1) Định nghĩa 2: Khe thời gian khám phá tuyến (T) là khoảng thời gian giữa hai lần khám phá tuyến được tính theo công thức 2, trong đó ei là thời điểm nhận trả lời tuyến thứ i, si + 1 thời điểm thực hiện khám phá tuyến tiếp theo. T = si +1 − ei (2) Ví dụ: Hình 3 mô tả chi tiết thời gian khám phá tuyến của nút N1 được ghi nhận, trong đó các ti là thời gian của lần khám phá tuyến thứ i, Ti là khe thời gian khám phá tuyến thứ i. Nút t1 t2 N1 s1 e1 T1 s2 t3 T2 e2 s3 t4 e3 T3 s4 t5 T4 e4 s5 t6 e5 T5 Thời gian s6 e6 Hình 3. Chi tiết thời gian khám phá tuyến của nút N1 Gọi V là véc-tơ trạng thái khám phá tuyến, V là một véc-tơ vô hướng gồm n phần tử V(T1, T2, …, Tn), phần tử thứ i của V lưu trữ khe thời gian khám phá tuyến Ti. b) Bộ phân lớp kNN-Classifier kNN-Classifier là bộ phân lớp sử dụng thuật toán kNN [16], được dùng trong tác tử SMAkNN cho phép phân loại véc-tơ trạng thái khám phá tuyến V của các nút. kNN cho phép phân lớp một đối tượng dựa vào k láng giềng của nó. Số nguyên dương k được xác định trước khi thực hiện thuật toán, giá trị này ảnh hưởng kết quả phân lớp. Hình 4 là một ví dụ về việc sử dụng kNN để phân lớp dữ liệu, khoảng cách Euclidean được dùng để tính khoảng cách giữa hai đối tượng. Kết quả là đối tượng phân lớp (màu đỏ) thuộc MVC nếu với k=5, ngược lại với k=3 thì đối tượng thuộc lớp NVC. NVC MVC Vector thường NVC MVC Vector độc hại a) k=5 Vector thường Vector độc hại a) k=3 Hình 4. Mô tả hoạt động của bộ phân lớp kNN c) Xây dựng hai lớp MVC và NVC Chúng tôi sử dụng hệ mô phỏng NS2 [17] phiên bản 2.35 cài đặt kịch bản tấn công ngập lụt với nhiều tầng suất khác nhau để thu thập véc-tơ tạo hai lớp MVC và NVC như 0.1s, 0.2s, 0.3s, 0.5s, 0.7s, 1s, 2s, 3s, 4s và 5s. Tầng suất tấn công thấp nhất để huấn luyện là 5s vì qua mô phỏng chúng tôi thấy rằng tấn công ngập lụt gói RREQ sẽ không ảnh hưởng đến hiệu quả định tuyến dữ liệu nếu tầng suất thấp hơn. Trong quá trình huấn luyện để tạo lớp MVC, SMAkNN chỉ thu thập thông tin trạng thái khám phá tuyến của nút độc hại ở gần nguồn (chi phí định tuyến HC ≤ 2 hop), nguyên nhân là do việc kiểm tra nút độc hại được thực hiện trước tiên tại các nút láng giềng của nút độc hại. Lớp NVC gồm các véc-tơ do SMAkNN thu thập thông tin trạng thái khám phá tuyến của tất cả các nút nguồn bình thường không phụ thuộc vào vị trí. Mô hình mạng sử dụng để huấn luyện gồm 100 nút, các nút mạng chuyển động ngẫu nhiên với vận tốc di chuyển thay đổi tối đa 20m/s theo mô hình Random Waypoint [18] được tạo bởi công cụ ./setdest. Hình 5 mô tả kết quả hai lớp MVC và NVC sau khi huấn luyện. a) NVC b) MVC Hình 5. Hai lớp véc-tơ trạng thái NVC và MVC sau khi huấn luyện 2. Giao thức cải tiến kNNAODV Giao thức AODV nguyên bản chấp nhận tất cả các gói RREQ từ tất cả nút nguồn và quảng bá chúng đến láng giềng, đây là điểm yếu bị tin tặc lợi dụng để thực hiện tấn công ngập lụt gói RREQ. Giải pháp của chúng tôi là tích hợp tác tử SMAkNN vào quá trình khám phá tuyến của giao thức AODV tạo giao thức cải tiến tên là kNNAODV với thuật toán khám phá tuyến cải tiến được mô tả tại Hình 6. Điểm khác biệt so với AODV là tại mỗi nút trung gian (Ni) khi nhận được gói RREQ từ nút nguồn NS, nút Ni sử dụng tác tử SMAkNN để thu thập thông tin tạo véc-tơ trạng thái khám phá tuyến của NS tên là VNs. Bộ phân lớp kNN-Classifier được gọi để xác định véc-tơ VNs thuộc lớp MVC hoặc NVC. Nếu véc-tơ trạng thái khám phá tuyến VNs của nút nguồn thuộc lớp MVC thì Ns là nút độc hại, gói RREQ bị hủy, Ns được lưu vào danh sách đen (BL); ngược lại Ni quảng bá gói RREQ như giao thức AODV. Bắt đầu Nút nguồn (NS) Nguồn tạo gói RREQ; Quảng bá gói RREQ để khám phá tuyến. Ni đã nhận gói RREQ? Quảng bá gói RREQ y n Lưu source_address và id_broadcast vào Cache NS thuộc BL? y Huỷ gói RREQ n Nút trung gian (Ni) SMAkNN thu thập thông tin tạo vector khám phá tuyến của nguồn NS, và sử dụng kNN-Classifier để phân lớp (VNs thuộc MVC)? Xuất hiện tấn công; Lưu NS vào Black List (BL); y n (Ni là nút đích)? y Ni có tuyến đến ND ? n Thêm đường đi ngược về nguồn; RREQ.hopcount ++; //Tăng chi phí n y Nút đích (ND) Gửi gói RREP về nguồn Kết thúc Hình 6. Thuật toán khám phá tuyến cải tiến trong giao thức kNNAODV IV. ĐÁNH GIÁ KẾT QUẢ BẰNG MÔ PHỎNG 1. Thông số mô phỏng và tiêu chí đánh giá Hệ mô phỏng NS2 được sử dụng để đánh giá hiệu quả phát hiện tấn công của giao thức kNNAODV và SMAAODV là một cải tiến từ AODV được trình bày trong [15]. Mỗi mô hình mạng có 100 nút bình thường và 1 nút độc hại, hoạt động trong phạm vi 2000m x 2000m, các nút mạng chuyển động ngẫu nhiên với vận tốc di chuyển thay đổi tối đa 20m/s theo mô hình chuyển động ngẫu nhiên. Hình 7. Giao diện mô phỏng trên NS2 Bảng 1. Thông số mô phỏng trên NS2 Thông số Giá trị Khu vực địa lý 3200m x 1000m Thời gian mô phỏng 200s Tổng số nút mạng 101 (1 nút độc hại) Vận tốc di chuyển (m/s) 1..20 Dạng truyền thông CBR (Constant Bit Rate) Số kết nối 10 UDP Kích thước gói tin 512(bytes) Hàng đợi FIFO (DropTail) Giao thức định tuyến SMAAODV, kNNAODV Hệ số k 50 Bắt đầu tấn công tại giây 100 Khoảng cách Euclidean Giao thức mô phỏng là SMAAODV và kNNAODV, thời gian mô phỏng 200s, vùng phát sóng 250m, hàng đợi FIFO, có 10 kết nối UDP, nguồn phát CBR, kích thước gói tin 512byte, nút độc hại đứng yên tại vị trí trung tâm (1000, 1000) và thực hiện hành vi tấn công ngập lụt gói RREQ bắt đầu tại giây thứ 100, nguồn phát UDP đầu tiên bắt đầu tại giây thứ 0, các nguồn phát tiếp theo cách nhau 5 giây. Trong quá trình mô phỏng có 5 nguồn phát CBR ngưng từ giây 100 đến giây 150 thì phát lại. Chi tiết các thông số mô phỏng được tổng hợp trong Bảng 1. 2. Kết quả mô phỏng Kết quả phỏng trong môi trường mạng bị tấn công ngập lụt với tầng suất cao (một giây phát 10 gói RREQ giả mạo) được biểu diễn trong đồ thị Hình 8a cho thấy cả hai giao thức cải tiến đều hoạt động hiệu quả với tỷ lệ phát hiệtn hàn chông trên 99%. Tuy nhiên, trong môi trường mạng có nút độc hại tấn công ở tầng suất thấp thì giao thức SMAAODV có tỷ lệ phát hiện thành công rất thấp (nhỏ hơn 85%), nguyên nhân là khe thời gian khám phá tuyến giữa hai lần phát gói RREQ giả mạo của nút độc hại lớn hơn khe thời gian khám phá tuyến tối thiểu của hệ thống (TSmin). Ngược lại, giao thức kNNAODV có tỷ phát hiện thành công gói RREQ giả mạo rất cao (hơn 94%) nhờ vào thuật toán phân lớp dữ liệu kNN. a) Tầng suất tấn công cao (0.1s) b) Tầng suất tấn công thấp (1s) Hình 8. Kết quả phát hiện tấn ngập lụt gói RREQ V. KẾT LUẬN Như vậy, bài báo đã đề xuất tác tử di động an ninh tên là SMAkNN có khả năng phát hiện tấn công ngập lụt gói RREQ dựa trên thuật toán phân lớp kNN, và tích hợp vào AODV để tạo giao thức an ninh kNNAODV. Kết quả mô phỏng cho thấy khi bị tấn công thì tỷ lệ phát hiện gói RREQ giả mạo thành công hơn 99% ở kịch bản bị tấn công với tầng suất cao, tương đương với SMAAODV. Hơn nữa, với tầng suất tấn công gói RREQ thấp thì giao thức kNNAODV vẫn cho kết quả phát hiện thành công là trên 94%, cao hơn rất nhiều so với một cải tiến trước đây là SMAAODV. Tương lai, chúng tôi tiếp tục cài đặt nhiều kịch bản mô phỏng để xác định hệ số k phù hợp nhằm nâng cao tỷ lệ phát hiện gói RREQ giả mạo, tiếp tục cải tiến SMAkNN cho phép phát hiện tấn công ngập lụt gói HELLO và DATA. VI. TÀI LIỆU THAM KHẢO [1] H. Jeroen, M. Ingrid, D. Bart, and D. Piet, “An overview of mobile ad hoc networks: Applications and challenges”, Journal of the Communications Network, vol. 3, no. 3, pp. 60–66, 2004. [2] E. Alotaibi and B. Mukherjee, “A survey on routing algorithms for wireless Ad-Hoc and mesh networks”, Computer Networks, vol. 56, no. 2, pp. 940–965, 2012. [3] T. Cholez, C. Henard, I. Chrisment, O. Festor, G. Doyen, and R. Khatoun, “A first approach to detect suspicious peers in the KAD P2P network”, SAR-SSI Proceedings, pp. 1–8, 2011. [4] Y. Ping, D. Zhoulin, Y. Zhong, and Z. Shiyong, “Resisting flooding attacks in ad hoc networks,” ITCC'05, vol. 2, pp. 657 – 662, 2005. [5] C. E. Perkins, M. Park, and E. M. Royer, “Ad-hoc On-Demand Distance Véc-tơ Routing”, WMCSA, pp. 90– 100, 1999. [6] H. Ehsan and F. A. Khan, “Malicious AODV: Implementation and analysis of routing attacks in MANETs”, IUCC-2012, pp. 1181–1187, 2012. [7] F. C. Jiang, C. H. Lin, and H. W. Wu, “Lifetime elongation of ad hoc networks under flooding attack using power-saving technique”, Ad Hoc Networks, vol. 21, pp. 84–96, 2014. [8] M. G. Zapata, “Secure ad hoc on-demand distance véc-tơ routing”, Mobile Computing and Communications Review, vol. 6, no. 3, pp. 106–107, 2002. [9] K. Sanzgiri, B. Dahill, B. N. Levine, C. Shields, and E. M. Belding-Royer, “A Secure Routing Protocol for Ad Hoc Networks”, ICNP, pp. 78–89, 2002. [10] Q. Li, M. Y. Zhao, J. Walker, Y. C. Hu, A. Perrig, and W. Trappe, “SEAR: a secure efficient ad hoc on demand routing protocol for wireless networks,” Security and Communication networks, vol. 2, no. 4, pp. 325– 340, 2009. [11] M. Mohammadizadeh, A. Movaghar, and S. Safi, “SEAODV: Secure Efficient AODV Routing Protocol for MANETs Networks,” ICIS 09, pp. 940–944, 2009. [12] P. Yi, Y. Hou, Y. Bong, S. Zhang, and Z. Dui, “Flooding Attacks and defence in Ad hoc networks,” Journal of Systems Engineering and Electronics, vol. 17, no. 2, pp. 410– 416, 2006. [13] S. Desilva and R. V. Boppana, “Mitigating malicious control packet floods in ad hoc networks,” IEEE Wireless Communications and Networking Conference (WCNC), vol. 4, pp. 2112–2117, 2005 [14] V. Balakrishnan, V. Varadharajan, and I. Group, “Mitigating Flooding Attacks in Mobile Ad-hoc Networks Supporting Anonymous Communications”, AUSWIRELESS '07 Proceedings, pp. 29-34, 2007. [15] R. P. Ankala, D. Kavitha, and D. Haritha, “Mobile agent based routing in MANETS – attacks & defences”, Network Protocols and Algorithms, vol. 3, no. 4, pp. 108–121, 2011. [16] The network simulator NS2, URL:http://www.isi.edu/nsnam/ns/ [17] J. Yoon, M. Liu, and B. Noble, “Random waypoint considered harmful”, IEEE Infocom 2003, vol. 2, pp. 1–11, 2003. [18] H. L. Nguyen and U. T. Nguyen, “A study of different types of attacks on multicast in mobile ad hoc networks”, Ad Hoc Networks, vol. 6, no. 1, pp. 32–46, 2008. A SOLUTION TO DETECT FLOODING ATTACKS IN MANET USING CLASSIFICATION ALGORITHM Luong Thai Ngoc, Vo Thanh Tu ABSTRACT—The flooding attacks prevent discovery route process and increase communication overhead of AODV routing protocol in Mobile Ad hoc Network. In this article, we describe a solution to build security mobile agent using classification algorithm named SMAkNN, and integrating SMAkNN into the discovery route process of AODV procotol. Improved protocol is called kNNAODV which can detect RREQ flooding attacks. Using NS2, we compare the performance of kNNAODV and improved SMAAODV with mobility nodes network topology under Flooding attacks.