CHƢƠNG 1 TỔNG QUAN VỀ HOT-IP TRÊN MẠNG
1.6. KẾT LUẬN CHƢƠNG 1
Trong chƣơng này, luận án trình bày tổng quan về các thuật tốn tìm phần tử tần suất cao trong dịng dữ liệu, các nghiên cứu liên quan đến bài tốn phát hiện và xác định các đối tƣợng trong tấn cơng từ chối dịch vụ (DoS, DDoS), các nghiên cứu về phát hiện đối tƣợng phát tán sâu Internet loại “scanning worm”. Trong vấn đề tìm phần tử tần suất cao, luận án trình bày về Hot-IP, một số đặc điểm của Hot-IP trong dịng gĩi tin IP, giải pháp phát hiện và các vấn đề nghiên cứu đặt ra cho bài tốn này khi áp dụng vào dịng dữ liệu thời gian thực. Một số phân tích liên quan đến việc lựa chọn phƣơng pháp cho bài tốn phát hiện các phần tử tần suất cao và những thách thức trong các ứng dụng thời gian thực trên dịng dữ liệu nhƣ chi phí tính tốn và khơng gian lƣu trữ vốn hạn chế trên các thiết bị mạng.
Hạn chế trong các nghiên cứu đã khảo sát là ở bƣớc phát hiện tấn cơng, các giải pháp chỉ tập trung vào phát hiện cĩ tấn cơng hay khơng trong dịng dữ liệu mà khơng chỉ ra các đối tƣợng gây ra tấn cơng bằng các kỹ thuật phân tích thống kê, kỹ thuật khai phá dữ liệu, phƣơng pháp học máy. Sử dụng phƣơng pháp “dị ngƣợc” để phát hiện các đối tƣợng tấn cơng rất khĩ áp dụng trong mơi trƣờng Internet và phƣơng pháp này thƣờng thực hiện ở giai đoạn hậu tấn cơng.
Bài tốn phát hiện các Hot-IP trực tuyến là bài tốn cĩ nhiều ứng dụng quan trọng trên mạng nhƣ phát hiện các thiết bị cĩ khả năng hoạt động bất thƣờng, phát hiện các đối tƣợng cĩ khả năng là mục tiêu trong tấn cơng từ chối dịch vụ, phát hiện các đối tƣợng cĩ khả năng là nguồn phát động tấn cơng từ chối dịch vụ hay phát hiện nguồn phát tán sâu mạng. Việc triển khai ứng dụng giải pháp này trên hệ thống mạng lớn cĩ rất nhiều ngƣời truy cập hay mạng ở phía nhà cung cấp dịch vụ cĩ ý nghĩa quan trọng nhằm phát hiện sớm các đối tƣợng cĩ khả năng gây nguy hại trên mạng để từ đĩ giúp ngƣời quản trị cĩ những giải pháp ứng phĩ kịp thời, đảm bảo hệ thống hoạt động ổn định, thơng suốt.
Phƣơng pháp thử nhĩm bất ứng biến cĩ nhiều ƣu điểm để nghiên cứu triển khai với dịng dữ liệu lớn thời gian thực trên mạng nhƣ thời gian thực hiện nhanh,
độ chính xác cao và đơn giản. Tuy nhiên, hạn chế lớn nhất của phƣơng pháp này là cịn chiếm nhiều khơng gian lƣu trữ ma trận.
Bài tốn này mở ra nhiều hƣớng nghiên cứu để cải tiến giảm khơng gian lƣu trữ bằng cách xây dựng tƣờng minh ma trận phân cách sử dụng phƣơng pháp nối mã. Khi đĩ, chƣơng trình khơng cần phải lƣu trữ ma trận mà vẫn xác định đƣợc giá trị trong các phần tử của nĩ. Bên cạnh đĩ, giải pháp cĩ thể đƣợc cải tiến giảm thời gian tính tốn để ứng dụng trong phát hiện các Hot-IP trực tuyến và cĩ thể kết hợp một số giải pháp khác nhƣ kỹ thuật xử lý song song, kiến trúc phân tán, xem xét khả năng của hệ thống tại vị trí triển khai để nâng cao hiệu quả phát hiện nhanh và cảnh báo sớm các Hot-IP.
CHƢƠNG 2. PHÁT HIỆN CÁC HOT-IP SỬ DỤNG THỬ NHĨM BẤT ỨNG BIẾN