Các nghiên cứu về phát hiện tấn cơng từ chối dịch vụ:
Tấn cơng DoS/DDoS làm cạn kiệt tài nguyên và băng thơng truy cập đến các máy chủ nạn nhân bằng một số lƣợng rất lớn các gĩi tin tấn cơng đƣợc điều khiển gửi đến nạn nhân trong một khoảng thời gian rất ngắn. Mục tiêu quan trọng nhất của các cơ chế phát hiện DoS/DDoS là phát hiện chúng càng sớm càng tốt và tiến hành các giải pháp ngăn chặn càng gần nguồn phát tấn cơng càng tốt. Các giải pháp phát hiện tấn cơng từ chối dịch vụ gồm phƣơng pháp phân tích thống kê, phƣơng pháp khai phá dữ liệu, phƣơng pháp học máy, phƣơng pháp dựa vào dấu hiệu đã đƣợc định nghĩa sẵn.
Phát hiện tấn cơng sử dụng phƣơng pháp phân tích thống kê đƣợc trình bày trong [13], [15]. Trong phƣơng pháp này, dữ liệu đầu vào đƣợc thu thập và ƣớc lƣợng tần suất xuất hiện dựa vào các đặc trƣng luồng lƣu lƣợng để phát hiện cĩ tấn cơng hay khơng.
Phát hiện tấn cơng dùng phƣơng pháp học máy đƣợc đề cập trong nghiên cứu [6]. Phát hiện tấn cơng dùng phƣơng pháp khai phá dữ liệu đƣợc trình bày trong [7], phát hiện tấn cơng sử dụng phƣơng pháp phân tích entropy [11][17], sử dụng mạng nơron nhân tạo để phát hiện tấn cơng đƣợc trình bày trong [18].
Các giải pháp đang triển khai hiện tại trên các thiết bị tƣờng lửa, IDS/IPS để phát hiện, phịng chống tấn cơng DoS/DDoS gặp phải khĩ khăn trong việc xác định trạng thái bình thƣờng để đặt ngƣỡng và cho kết quả cĩ độ chính xác khơng cao. Trong các giải pháp này, điểm mạnh là dựa vào các dấu hiệu đã đƣợc định nghĩa trƣớc.
Dị tìm các nguồn phát tấn cơng:
Khi phát hiện cĩ tấn cơng DoS/DDoS xảy ra và ngắt hệ thống nạn nhân ra khỏi các tài nguyên, việc truy tìm nguồn gốc tấn cơng đƣợc tiến hành. Phƣơng pháp “dị ngƣợc” để phát hiện các kẻ tấn cơng từ chối dịch vụ đƣợc đề cập trong các nghiên cứu [2], [3]. Kỹ thuật “dị ngƣợc” xuất phát từ thiết bị định tuyến gần nhất với máy chủ nạn nhân và kiểm tra tƣơng tác với các thiết bị định tuyến chiều
“upstream” để xác định các kẻ tấn cơng. Hạn chế của các giải pháp này là phải cài đặt dấu hiệu nhận diện ở các router trên đƣờng đi của gĩi tin hoặc gắn thêm thơng tin ghi dấu đƣờng đi trong các gĩi tin. Điều này chỉ cĩ thể thực hiện trong mạng nội bộ, khĩ thực thi trong mơi trƣờng Internet vì khơng thể can thiệp vào tất cả các thiết bị định tuyến trên mơi trƣờng Internet. Đây là giải pháp đƣợc sử dụng ở giai đoạn hậu tấn cơng.
Một vài phƣơng pháp phát hiện kẻ tấn cơng đƣợc đề xuất trong tấn cơng dịch vụ Web nhƣ phƣơng pháp sử dụng CAPTCHA. Hiện tại cơ chế CAPTCHA gần nhƣ là cơ chế bảo mật hiệu quả để chống lại các kẻ tấn cơng DoS/DDoS [19]. Nhƣợc điểm của nĩ là làm khĩ chịu khi ngƣời dùng bị gián đoạn bởi CAPTCHA và khơng cĩ tác dụng trong các loại tấn cơng làm “tràn ngập” gây tê liệt hoạt động của máy chủ. Trong các loại tấn cơng làm “tràn ngập” thì giải pháp sử dụng là phát hiện luồng tấn cơng và phát hiện các đối tƣợng tấn cơng dựa vào phƣơng pháp “dị ngƣợc”, sử dụng kỹ thuật hạn chế tốc độ để hạn chế các tấn cơng này.
Hầu hết các nghiên cứu về giải pháp phát hiện tấn cơng từ chối dịch vụ ở giai đoạn tấn cơng chủ yếu tập trung vào việc phát hiện cĩ tấn cơng hay khơng hơn là xác định các kẻ tấn cơng [1]. Phƣơng pháp sử dụng trong bài tốn phát hiện tấn cơng là định thời so sánh trạng thái hiện tại của hệ thống với mơ hình hệ thống bình thƣờng đƣợc thiết lập trƣớc, từ đĩ phát hiện lƣu lƣợng tấn cơng. Ƣu điểm của phƣơng pháp này là đơn giản và phát hiện rất nhanh các tấn cơng xuất hiện, tuy nhiên khơng thể cung cấp thơng tin về địa chỉ của các kẻ tấn cơng. Do đĩ để phát hiện nguồn phát tấn cơng phải dựa vào cơ chế “dị ngƣợc” ở bƣớc hậu tấn cơng.
Cĩ ba vị trí triển khai giải pháp phát hiện và phịng chống tấn cơng từ chối dịch vụ: phía mạng của các máy chủ nạn nhân, vị trí mạng trung gian, vị trí mạng
nguồn phát tấn cơng [1]. Trong các mạng trung gian nhƣ mạng ở các nhà cung cấp
dịch vụ, việc phát hiện các đối tƣợng cĩ khả năng là mục tiêu trong các cuộc tấn cơng từ chối dịch vụ dựa vào phân tích lƣu lƣợng đi qua nĩ cĩ ý nghĩa quan trọng. Từ việc phát hiện này cĩ thể giúp cảnh báo sớm cho khách hàng để tiến hành các
giải pháp ứng phĩ kịp thời hoặc loại bỏ các nguy cơ này để đảm bảo hệ thống hoạt động ổn định, thơng suốt.
Phƣơng pháp thử nhĩm bất ứng biến cĩ thể xác định các đối tƣợng cĩ khả năng gây tấn cơng và các đối tƣợng cĩ khả năng là mục tiêu trong tấn cơng từ chối dịch ngay ở giai đoạn phát hiện tấn cơng. Đồng thời phƣơng pháp thử nhĩm bất ứng biến cho kết quả tốt ở khía cạnh thời gian, độ chính xác cao và mức độ đơn giản của giải pháp. Luận án sẽ trình bày một số nghiên cứu liên quan về phƣơng pháp thử nhĩm bất ứng biến trong dịng dữ liệu phát hiện phần tử tần suất cao để thấy đƣợc những ƣu điểm của phƣơng pháp này so sánh với các phƣơng pháp khác và khả năng áp dụng vào bài tốn phát hiện các Hot-IP trực tuyến trên mạng.
1.4.2. Các nghiên cứu về sâu Internet
Sâu máy tính là chƣơng trình máy tính cĩ khả năng tự nhân bản và phát tán đến các thiết bị trên mạng bằng cách khai thác các lỗ hổng của các thiết bị này. Sâu máy tính chia làm 2 loại: sâu mạng (network worm) và khơng phải sâu mạng (non-
network worm). Sâu mạng cĩ thể phát tán bằng cách khai thác các lỗ hổng của các
dịch vụ mạng. Sâu mạng đƣợc chia làm 2 loại: “scanning worm” và “non-scanning
worm”. “Scanning worm” tìm các thiết bị trên mạng cĩ các lỗ hổng dịch vụ mạng
bằng cách quét khơng gian địa chỉ và cổng dịch vụ. Trong các loại sâu “scanning worm”, “routing worm” và “hit-list worm” là những sâu nguy hiểm, phát tán dựa
vào thơng tin trong bảng định tuyến và danh sách địa chỉ IP (hit-list) với tốc độ cao. Sâu Internet khai thác lỗ hổng của các thiết bị trên mơi trƣờng Internet để tiến hành phát tán và lây nhiễm.
Giai đoạn trƣớc Giai đoạn phát tán Giai đoạn sau khi phát tán sâu sâu cách ly khi nhiễm sâu Giải pháp Đề phịng phát tán Hạn chế sâu lây lan Diệt sâu
sâu Phát hiện sâu