Tấn công DDoS được phát hiện theo hai nhóm kỹ thuật [2]: dựa vào dấu hiệu tấn công và dựa vào sự bất thường của lưu lượng.
a) Dựa vào dấu hiệu tấn công
Được áp dụng đối với các phương thức, kỹ thuật tấn công khai thác lỗ
hổng của giao thức mạng hoặc lỗ hổng của ứng dụng, dịch vụ mạng. Các kỹ thuật phát hiện này phải phân tích sâu nội dung hoặc tiêu đề của gói tin để phát hiện lỗi hoặc sự bất thường. Kỹ thuật này đem lại độ chính xác cao, tuy nhiên đòi hỏi tính toán lớn do phải phân tích sâu từng gói tin hoặc so sánh đặc tính lưu lượng với số
lượng lớn các mẫu tấn công. Ngoài ra kỹ thuật này không thể phát hiện các mẫu tấn công mới.
b) Dựa vào sự bất thường của lưu lượng
Các kỹ thuật này được áp dụng phổ biến hơn trong phát hiện tấn công DDoS trong đó một mô hình đặc tính lưu lượng bình thường được xây dựng và thống kê, cập nhật. Đặc tính lưu lượng tức thời chuyển qua hệ thống được so sánh với đặc tính lưu lượng bình thường. Tấn công được cho là xảy ra nếu có sự
khác biệt lớn giữa đặc tính lưu lượng tức thời với đặc tính lưu lượng bình thường. Kỹ thuật này còn được áp dụng để phân loại lưu lượng tấn công với lưu lượng lành tính khi có tấn công xảy ra. Sự khác biệt giữa các kỹ thuật phát hiện và phân loại tấn công ở chỗ lựa chọn tham số và mô hình đặc tính lưu lượng. Một bộ tham số và mô hình đặc tính lưu lượng phải đảm bảo hai yếu tố:
• Hầu hết các mẫu lưu lượng lành tính phải tuân thủđặc tính lưu lượng bình thường.
• Mẫu lưu lượng tấn công phải có sự khác biệt lớn so với đặc tính lưu lượng bình thường.
Tuy nhiên, trên thực tế, để xây dựng được bộ tham số và mô hình đặc tính lưu lượng thỏa mãn hai điều kiện trên là rất khó. Vì vậy việc phát hiện và phân loại lưu lượng tấn công thường có một phần lưu lượng tấn công không phát hiện
được hoặc phát hiện nhầm lưu lượng lành tính thành lưu lượng tấn công. Các kỹ thuật phát hiện tấn công DDoS bao gồm:
• Sử dụng mô hình thống kê (Statistical): Kỹ thuật này xây dựng mô hình thống kê cho các tham số lưu lượng của một dịch vụ, máy chủ, hệ thống
30
mạng cụ thể đối với lưu lượng lành tính. Một mẫu lưu lượng được trích xuất các tham số và so sánh với mô hình thống kê dựa trên các ngưỡng tham chiếu để xác định là lưu lượng lành tính hay lưu lượng tấn công. • Học máy (Machine learning): Kỹ thuật học máy được áp dụng rộng rãi
trong phát hiện xâm nhập (IDS), tấn công DDoS trong đó phân biệt đặc tính bình thường và đặc tính bất thường của lưu lượng nhờ quá trình học. • Khai phá dữ liệu (Data mining): Áp dụng tổng hợp các mô hình thống kê,
các phương pháp học máy với bộ lưu lượng ở các quy mô lớn để xây dựng, hệ thống hóa để tạo ra những đặc điểm riêng, những mô hình cho từng dịch vụ, máy chủ từđó áp dụng để phân biệt lưu lượng tấn công với lưu lượng lành tính với độ chính xác cao. Kỹ thuật này đòi hỏi tài nguyên tính toán và lưu trữ lớn, do đó hiện tại chưa có nhiều mô hình theo kỹ
thuật này được đề xuất phát hiện và phân loại lưu lượng tấn công DDoS trên thực tế.