Các dữ liệu tấn công được thu thập, sau đó được phân tích nhằm phát hiện, phòng chống cuộc tấn công theo 2 cách thủ công hoặc tựđộng.
35
Hình 3.3 Mô hình phát hiện tấn công bằng phân tích dữ liệu thủ công
Giải pháp này được triển khai một cách dễ dàng bởi tính đơn giản, thủ công và được áp dụng khá phổ biến cho cả mạng IP truyền thống, tại những công ty có nhiều thiết bị mạng với lưu lượng lớn hoặc tại những trung tâm kiểm soát, an ninh mạng. Lưu lượng mạng từmôi trường Internet vào hạ tầng mạng công ty,
được ghi lại bằng các phần mềm bắt gói (TCP Dump [12] hoặc Wireshark) kết hợp với các công cụđo lường mạng (Speedometer hoặc sFlow-RT) sau đó người quản trị mới tìm cách phân tích dữ liệu thu được xem có bị tấn công hay không, có những địa chỉ IP nào tham gia tấn công.
b) Phân tích phát hiện/ngăn chặn tấn công tự động
DDoS Traffic
Internet OpenFlow Switch Victim
SDN Controller Flow Entry Collector DDoS Traffic Detect / Prevent
Hình 3.4 Mô hình phát hiện/ngăn chặn tấn công tự động
Trong mô hình tựđộng trên, các lưu lượng tấn công DDoS khi đi vào hạ
tầng mạng SDN trên OpenFlow Switch, sẽ được khối Collector trên SDN Controller trích xuất, thu thập các thông tin về Flow entry, số lượng packet. Sau
đó được phân tích, phát hiện tấn công tại khối Detect/Prevent, kết quả sau khi phân tích nếu phát hiện tấn công sẽ thực hiện các lệnh ngăn chặn tương ứng với từng loại hình tấn công được phát hiện. Hai khối này được lập trình bằng phần mềm tích hợp phía trên khối SDN Controller.