Tham số đƣợc sử dụng trong giải pháp của luận án là địa chỉ IP đƣợc trích ra trong phần IP-header của các gĩi tin trong dịng gĩi tin IP.
1.4. CÁC NGHIÊN CỨU LIÊN QUAN
Địa chỉ IP là địa chỉ đại diện cho thiết bị hoạt động trên mạng. Hot-IP là thuật ngữ đƣợc dùng để chỉ địa chỉ IP xuất hiện với tần suất cao trên mạng trong một khoảng thời gian ngắn. Các nghiên cứu liên quan đến Hot-IP chủ yếu đƣợc đề cập trong các cơng trình nghiên cứu về phát hiện và phịng chống tấn cơng từ chối dịch vụ, các nghiên cứu về một số loại sâu Internet quét khơng gian địa chỉ để tìm kiếm lỗ hổng và phát tán trên mơi trƣờng Internet nhƣ loại “scanning worm”. Do đĩ, luận án tập trung phân tích các nghiên cứu liên quan đến hƣớng này.
Để mở rộng phạm vi so sánh và lựa chọn giải pháp thích hợp, luận án khảo sát các thuật tốn phát hiện phần tử tần suất cao trong dịng dữ liệu. Từ đĩ, luận án cĩ cơ sở lựa chọn giải pháp phù hợp để áp dụng vào bài tốn phát hiện các Hot-IP trên mạng.
1.4.1. Các nghiên cứu về tấn cơng DoS/DDoS
Phát hiện các Hot-IP là phát hiện những IP xuất hiện với tần suất cao trong dịng gĩi tin IP trong một khoảng thời gian ngắn và là bài tốn cĩ ý nghĩa quan trọng. Những Hot-IP này là các đối tƣợng cĩ khả năng gây nguy cơ tấn cơng từ chối dịch vụ, cĩ thể là các đối tƣợng đang tiến hành quét mạng để khai thác lỗ hổng nhằm phát tán sâu Internet hoặc cĩ thể là các mục tiêu trong tấn cơng từ chối dịch vụ.
Trong quá trình vận chuyển gĩi tin qua hệ thống mạng, thiết bị định tuyến đĩng vai trị quan trọng. Thiết bị định tuyến hoạt động chính ở tầng mạng (Layer 3
– Network) trong mơ hình OSI đảm nhận chức năng lựa chọn đƣờng đi cho các gĩi
tin dựa vào địa chỉ IP đích trong các gĩi tin gửi tới nĩ và bảng định tuyến đƣợc xây dựng trƣớc.
Tần suất xuất hiện cao của các gĩi tin xuất phát từ một nguồn phát hay đến một nạn nhân nào đĩ đƣợc đề cập chủ yếu trong các nghiên cứu về tấn cơng từ chối dịch vụ, tấn cơng của các đối tƣợng quét mạng nhằm phát tán sâu Internet. Trong đĩ, các nghiên cứu xác định các đối tƣợng xuất hiện tần suất cao (các máy phát động tấn cơng từ chối dịch vụ, các mục tiêu trong tấn cơng từ chối dịch vụ) chủ yếu đƣợc đề cập ở bƣớc hậu tấn cơng. Các nghiên cứu về phát hiện và phịng chống ở giai đoạn bị tấn cơng chỉ mới tập trung vào việc kiểm tra luồng dữ liệu cĩ đang bị tấn cơng hay khơng [1].
Các nghiên cứu về phát hiện và phịng chống xâm nhập cĩ thể kể đến hai nhĩm giải pháp chính: dựa vào dấu hiệu đƣợc định nghĩa sẵn và thiết lập ngƣỡng tần suất. Giải pháp dựa vào dấu hiệu thực hiện việc so khớp các dấu hiệu đƣợc định nghĩa sẵn và thơng tin nội dung của các gĩi tin trong dịng dữ liệu thu thập đƣợc.
Việc thiết lập ngƣỡng dựa trên các chế độ bình thƣờng đƣợc định nghĩa sẵn và sử dụng trong phƣơng pháp thống kê [11], phƣơng pháp học máy [6], khai phá dữ liệu [7][8]. Các phƣơng pháp này gặp khĩ khăn trong việc định nghĩa các trạng thái bình thƣờng của hệ thống.
Tấn cơng từ chối dịch vụ, đặc biệt là tấn cơng từ chối dịch vụ phân tán là dạng tấn cơng nguy hiểm trên mạng, gây nhiều hậu quả nghiêm trọng và thiệt hại lớn. Mục tiêu của kẻ tấn cơng là làm tê liệt các ứng dụng, máy chủ, gián đoạn các kết nối, ngăn cản ngƣời dùng hợp lệ truy cập vào một dịch vụ nào đĩ trên mạng. Thơng thƣờng trong các cuộc tấn cơng này, các máy chủ sẽ bị “tràn ngập” bởi hàng loạt các truy vấn trong một khoảng thời gian rất ngắn, dẫn đến quá tải và mất khả năng phục vụ. Tấn cơng từ chối dịch vụ phân tán hiện nay đã phát triển một cách đáng lo ngại và là mối đe dọa thƣờng trực đối với các hệ thống mạng.