k (3.1)
Giá tr ị σ được xác định như sau:
2 1 1 k ( ) i i f k (3.2)
Sau khi xác định được giá tr µ và ị theo cơng th c trên, NCS s ứ ẽ đánh dấu các srcIP cĩ t n suầ ất g i lử ớn hơn giá trị µ + theo m i l n l y m u. N u sau k l n l y m u và t m i l n l mỗ ầ ấ ẫ ế ầ ấ ẫ ại ỗ ầ ấy ẫu (sau kho ng th i gian t) ả ờ ∆ mà t n su t g i yêu c u c a ầ ấ ử ầ ủ các srcIP đĩ vẫn n m trong kho ng vi ằ ả ph m thì ạ được cho rằng đây là những ngu n gồ ửi t n cơng th c s . S l n l y m u k và th i gian ấ ự ự ố ầ ấ ẫ ờ l y mấ ẫu ∆t được thi t lế ập trước tùy theo t ng h ừ ệthống c n b o vầ ả ệ. Tuy nhiên nh ng giá tr này ữ ị c n thi t lầ ế ập đủ nh cĩ th i b ngay các ngu n g i yêu c u t n cơng s m nh t cĩ th .ỏ để ểloạ ỏ ồ ử ầ ấ ớ ấ ể
3.3.4 Xây d. ựng tiêu chí tương quan trong phương pháp FDDA
Như NCS đã phân tích ở phần 3.3.3, điểm h n ch c a tiêu chí t n suạ ế ủ ầ ất truy c p trong vi c phát ậ ệ hi n các srcIP t n cơng là tiêu chí này khơng phát hiệ ấ ện được các srcIP ngu n g i yêu c u t n ồ ử ầ ấ cơng v i t n su t g i yêu cớ ầ ấ ử ầu thấp hoặc khơng đồng đều. Do đĩ, để giải quyết điểm h n ch ạ ế c a tiêu chí Sủ AT1, NCS đề xuất phương án sử ụng tiêu chí tương quan d SAT2 p t c phát đểtiế ụ hi n các srcIP tệ ấn cơng chưa được phát hi n b i tiêu chí Sệ ở AT1.
Tuy nhiên, do h n ch v ạ ế ềthời gian nghiên cứu, do đĩ đố ới v i tiêu chí này, NCS ch ỉ đưa ra ý tưởng cơ bản để hồn thiện mơ hình phương pháp FDDA với hai tiêu chí đề xu t. ấ
Việc th c hi n m r ng k t qu nghiên cự ệ ở ộ ế ả ứu đố ới tiêu chí tương quan, NCS coi đây là mội v t hướng phát tri n ti p theo c a lu n án và s ti p t c nghiên c u và hồn thi n vi c xây d ng ể ế ủ ậ ẽ ế ụ ứ ệ ệ ự tiêu chí này trong tương lai. Về cơ bản, tiêu chí tương quan SAT2 được mơ t ả như dưới đây. Tiêu chí v ề tương quan SAT2 được xây d ng dự ựa trên ý tưởng cơ bản là với người dùng bình thường khi truy c p ng d ng Web thì h s truy c p các n i dung khác nhau trên máy ch ậ ứ ụ ọ ẽ ậ ộ ủ (lướt web). Do đĩ, khi quan sát ở phía máy ch , chúng ta cĩ th thủ ể ấy được m i quan h ố ệ tương quan c a các yêu c u g i t i máy ch t m i IP ngu n. Ví d ủ ầ ử ớ ủ ừ ỗ ồ ụ khi người dùng g i yêu c u rử ầ A đến máy ch thì tiủ ếp theo đĩ họ cũng gửi yêu c u rầ B n máy ch . đế ủ
Vấn đề đặ t ra là làm th ế nào để xây d ng t p d ự ậ ữliệu tương quan để đả m b o r ng tin t c khĩ ả ằ ặ cĩ th c ể ố tình đưa các yêu cầu sai lệch đến máy ch trong quá trình hoủ ạt động bình thường và s d ng t p các yêu cử ụ ậ ầu đĩ trong quá trình tấn cơng.
Để ả gi i quy t vế ấn đề này, trong quá trình hoạt động bình thường, NCS đưa ra tập các tiêu chí áp dụng đố ới v i m i IP ngu n g i yêu c u và t p các yêu cỗ ồ ử ầ ậ ầu được gửi đi từ IP nguồn đĩ. Chỉ khi IP ngu n và các yêu c u th a mãn ng thồ ầ ỏ đồ ời các điều ki n thì mệ ới được đưa vào xây dựng t p các yêu cậ ầu tương quan sử ụ d ng thu t tốn Association Rule. ậ
T ừ đĩ, phương pháp đềxuất bao g m 02 quá trình xây d ng tồ ự ập tương quan và phát hiện yêu c u tầ ấn cơng, được mơ t c ả ụthể như dưới đây:
3.3.4.1 Xây d ng t p d u ự ậ ữ liệ tương quan
Để ác đị x nh m t yêu c u l d tộ ầ à ị hường hay khơng, chúng ta khơng th d a v o t ng yêu c u ể ự à ừ ầ riêng l , b i v c c yêu c u s d ng trong t n ẻ ở ì á ầ ử ụ ấ cơng DDoS đượ ạo ra như các t c yêu c u b nh ầ ì thườ g. Do đĩn ta c n t m ra s ầ ì ự tương quan giữa ch nú g để ì t m ra s bự ất thường. Qua quan s t á thực nghi m, NCS ph t hi n ra r ng c s kh c nhau gi a c c yêu c u gệ á ệ ằ ĩ ự á ữ á ầ ửi đi từ ộ m t m y t nh á í b nì h thường v c c yêu c u gà á ầ ửi đi từ ộ m t m t n cơng. C tháy ấ ụ ể: đố ới v i m y t nh bá í ình thường, khi truy c p m t trang Web th ậ ộ ì người dùng s g i các yêu cẽ ử ầu khác nhau đến máy ch ủ Web để truy c p các thơng tin khác nhau trên m t trang Web ậ ộ (được minh họa như hình dưới đây). Trong khi, các yêu cầu được gửi đi từ máy t n cơng ấ thường là các yêu c u ho c nhĩm các yêu c u ầ ặ ầ giống nhau (do cùng được điều khi n t m t máy ch C&C) ho c cĩ quy luể ừ ộ ủ ặ ật thay đổi gi ng ố nhau và l p l ặ ại.
Hình 3.7 Minh h a v g i yêu cọ ề ử ầu tương quan từ ộ m t máy tính
Như NCS phân tích trên, vở ấn đề đặ t ra là làm th ế nào để xây d ng t p d liự ậ ữ ệu tương quan s ch mà tin t c khĩ cĩ th ạ ặ ể đưa các yêu cầu sai l ch vào trong quá trình hu n luy n (training ệ ấ ệ phase) và s dử ụng để ấn cơng. Để ả t gi i quy t vế ấn đề này, NCS xây d ng m t t p các tiêu chí ự ộ ậ áp d ng cho các ngu n g i yêu c u và yêu cụ ồ ử ầ ầu tương ứng xác minh các yêu cđể ầu đĩ là các yêu cầu được cĩ phải được g i t ử ừ người dùng bình thường hay khơng? Sau m i kho ng thỗ ả ời gian, NCS l y thơng tin ấ trong cơ sở ữ d liệu ra để xác minh. Các yêu cầu và ngu n g i th a mãn ồ ử ỏ điều ki n s ệ ẽ là đầu vào cho thu t tốn Association Rule t o ra t p d liậ để ạ ậ ữ ệu tương quan. Các yêu cầu được gửi đi từ ột srcIP được coi là bình thườ m ng n u thế ỏa mãn đồng thời các điều ki n sau: ệ
i) Ng u nhiên v ẫ ềthời điểm truy c p ậ
Tiêu chí này nhằm tìm ra các url được gửi đi từ các IP nguồn khác nhau cĩ đủ điều kiện được s dử ụng để xây d ng t p d ự ậ ữliệu tương quan hay khơng. NCS quan sát th y r ng, khi h ấ ằ ệthống hoạt động ở ch ếđộbình thường, chưa bị t n cơng thì v i m t yêu c u gấ ớ ộ ầ ửi đến máy ch t nhiủ ừ ều IP ngu n khác nhau thì thồ ời điểm g i yêu c u c a m i IP nguử ầ ủ ỗ ồn đĩ sẽngẫu nhiên. Trong khi h ệthống b t n cơng thì thị ấ ời điểm g i yêu c u c a m i IP s khơng cịn ng u nhiên do cùng b ử ầ ủ ỗ ẽ ẫ ị điều khiển để ử g i yêu cầu đồng loạt như minh họ ạa t i hình 3.10.
Thời điểm gửi yêu cầu tấn cơng Thời điểm gửi yêu cầu bình thường
ii) Tính h p l c a mợ ệ ủ ỗi srcIP g i yêu c u ử ầ
Bước ti p theo NCS cế , ầ xác địn nh xem các IP ngu n ồ đã th a mãn tiêu chí trên thì cĩ th a ỏ ở ỏ mãn tập các tiêu chí dưới đây hay khơng Trườ. ng h p các IP ngu n th a mãn t p các tiêu chí ợ ồ ỏ ậ dưới đây thì các IP này s ẽ được đưa vào danh sách White-List và các yêu cầu được gửi đi từ ngu n này s ồ ẽ được xây d ng t p d ự ậ ữliệu tương quan. Các tiêu chí bao gồm:
- Các yêu cầu khơng được g i l p l i trong kho ng th i gian s. NCS ử ặ ạ ả ờ Δ thấy rằng, người dùng bình thường khi truy c p m t trang web thì c n thậ ộ ầ ời gian để đọ c n i dung cộ ủa trang đĩ và sẽ khơng g i l i yêu cử ạ ầu đã gửi trong kho ng th i gian nhả ờ ất định. Tuy nhiên v i các máy tính t n ớ ấ cơng thì cùng m t yêu c u cĩ th g i liên t c trong khoộ ầ ể ử ụ ảng th i gian nhờ ỏ. Do đĩ, NCS cho rằng ngu n gồ ửi bình thường ph i th a mãn ả ỏ điều ki n khơng gệ ử ại l i yêu cầu đã gửi trong kho ng thả ời gian nhất định s. Giá tr s cĩ th thay i theo t ng h Δ ị Δ ể đổ ừ ệthống c ụthể ự d a vào theo dõi hoạt động c a h thủ ệ ống khi chưa bị ấ t n cơng.
- Độ ệch l trung bình thời điể đếm n của các yêu cầu được gửi đi từ ộ m t IP ngu n Dồ TR: Thời điểm các yêu cầu được gửi đi từ cùng IP ngu n t ồ ừ máy bình thường s mẽ ức độ ngẫu nhiên nhất định, trong khi các yêu cầu được g i t máy t n cơng s ử ừ ấ ẽ cĩ độ tương quan nhất định (do cùng được g i thơng qua mử ột chương trình độc h . ại) Để xác định các ngu n g i sồ ử ạch, NCS xác định tổng độ ệ l ch v ềthời gian được tính theo thời điểm đến c a m i yêu c u. V i ngu n g i bình ủ ỗ ầ ớ ồ ử thường thì giá tr này s ị ẽ cĩ độ ớ l n nhất định, trong khi v i máy t n cơng thì giá tr này s th p. ớ ấ ị ẽ ấ - Độ ệ l ch trung bình dài url Dđộ L: Các máy bình thường khi g i yêu cử ầu đến máy ch ủ thường cĩ độ dài (tính theo s lưố ợng ký t cĩ trong url) khác nhau do n i dung truy c p trên máy ch ự ộ ậ ủ thường khác nhau. Trong khi độ dài c a các yêu c u g i t máy tủ ầ ử ừ ấn cơng thường gi ng nhau ố và l p lặ ại. Do đĩ, độ ệ l ch DL c a các máy t n cơng s nh ủ ấ ẽ ỏ hơn nhiều so với máy bình thường. Sau khi tìm được các IP ngu n và yêu cồ ầu được g i t ử ừ các IP đĩ thỏa mãn đồng thời các điều ki n trên, IP ngu n s ệ ở ồ ẽ được đưa vào White-List và t p d u bao g m IP và các yêu c u s ậ ữliệ ồ ầ ẽ được s dử ụng làm đầu vào c a thu t tốn Association Rule ủ ậ để xây d ng t p d ự ậ ữliệ tương quan. u Vấn đề ứ th hai t ra v i tiêu chí này là làm th đặ ớ ế nào để phát hi n nhanh các yêu c u là t n cơng ệ ầ ấ hay bình thường trong trường h p máy ch nhợ ủ ận đượ ấc r t nhi u các yêu c u khi cĩ t n cơng ề ầ ấ x y ra. ả
Để ả gi i quy t vế ấn đề ứ th hai, NCS thi t kế ế 02 b ng d ả ữliệu (TR và TA) cĩ c u trúc và thu t tốn ấ ậ cho phép lưu trữ và tìm ki m nhanh t p các yêu c u thế ậ ầ ỏa mãn điều kiện tương quan khi máy chủ nhận được nhi u yêu c u cùng lúc. C th ề ầ ụ ể như sau:
Index
Chỉ số của mỗi tập tương quan trong Hash-table
(2 bytes)
TR C
Tập tương quan của yêu cầu gửi đến
B ng d u Tả ữliệ R cĩ cấu trúc như hình 3.15, được s dử ụng để lưu thơng tin về giá tr hash cị ủa m url và ch s ỗi ỉ ố tương ứng trong b ng hash-table. NCS s d ng riêng b ng Tả ử ụ ả R để lưu thơng tin c a ch s và hash(url) là vì s ủ ỉ ố ố lượng các url cần lưu thơng tin là rấ ớt l n, việc lưu riêng các thơng tin này s làm tẽ ối ưu về khơng gian lưu trữ và th i gian x lý. C ờ ử ụthể, NCS s trình bày ẽ ở ph n thuầ ật tốn dưới đây.
SrcIP
timestamp Index Count
Số lượng các yêu cầu được gửi lặp lại
( bytes)8
C