CHƢƠNG III : ĐỀ XUẤT CẢI TIẾN VÀ GIẢI PHÁP
3.3 Kiến trúc hệ thống mới
3.3.1 Kiến trúc cơ bản
Kế thừa kiến trúc từ mô hình xử lý của Doron [4], chúng tôi xây dựng kiến trúc mới với các thành phần xử lý điều kiện mới và mô hình dữ liệu khởi tạo cũng đƣợc thay đổi. Cụ thể các thành phần khác nhau giữa hai hệ thống đƣợc thống kê thông qua bảng bên dƣới:
Các thành phần thay đổi Phƣơng pháp của Doron [4] Phƣơng pháp của chúng tôi Dữ liệu thống kê hành vi ngƣời dùng Sử dụng thống kê của Choi&Lim(1999) Sử dụng thống kê của Lee&Gupta(2012)
Cơ chế bẫy thời gian Có Có nhƣng cách xử lý
khác – tham khảo 3.2.1
Bẫy tần suất gửi tin Không có Có
Trạng thái tối thiểu Có Có nhƣng thay điều kiện
đi vào trạng thái tối thiểu
Hàng đợi ƣu tiên Có Có và giống Doron
Lƣu lƣợng hợp lệ hỗ trợ Ajax
Không Có
Cơ chế tăng giảm điểm đối với các kết nối
Không Có
Kiến trúc tổng thể của bộ lọc TLF01 chúng tôi thiết kế:
Hình 29 Kiến trúc bộ xử lý lọc thế hệ mới Trong đó:
- ĐK1: kiểm tra điều kiện bẫy thời gian - ĐK2: kiểm tra điều kiện bẫy tần suất
- ĐK3: kiểm tra điều kiện bẫy trạng thái tối thiểu
- Tăng giảm điểm: Là thành phần chọn giá trị ƣu tiên dựa theo kết quả đầu ra của các biểu thức điều kiện.
Khi giá trị đầu vào là những gói tin đi vào bộ lọc, chúng sẽ đƣợc kiểm tra dựa trên các điều kiện đã đƣa ra ở phần 3.2. Sau khi đi qua các luật kiểm tra này, gói tin sẽ đƣợc gán nhãn và trọng số ƣu tiên thuộc một trong hai dạng: Gói tin có mức ƣu tiên cao (H) hoặc gói tin có mức ƣu tiên thấp (L) để đi tiếp vào hàng đợi ƣu tiên. Tại hàng đợi ƣu tiên sẽ thực hiện việc quyết định chuyển tiếp gói tin đến địa chỉ đích là máy chủ Web. Với những gói tin đang chờ ở hàng đợi ƣu tiên cao sẽ đƣợc ƣu tiên chuyển tiếp trƣớc và sẽ đƣợc server trả lời trƣớc. Những gói tin ở hàng đợi ƣu tiên thấp sẽ phải đợi cho đến khi các gói tin ở hàng đợi cao đã chuyển xong hoặc không còn gói tin nào nữa thì mới đƣợc phép chuyển tiếp. Nếu trong trƣờng hợp yêu cầu chuyển tiếp trong bộ nhớ của cả High Queue và Low Queue đều lớn và không thể nhận đƣợc thêm gói tin nữa thì hàng đợi ƣu tiên Low Queue sẽ phải tìm cách loại bỏ
dần các gói tin đang lƣu tạm trong đó để dành bộ nhớ phục vụ những gói tin tiếp theo.
3.3.2 So sánh với các kiến trúc khác
Để hình dung kiến trúc chúng tôi xây dựng tƣơng quan với các giải pháp đã nghiên cứu, chúng tôi mô tả kiến trúc nguyên gốc của phƣơng pháp mà chúng tôi từ đó cải tiến thêm hoặc thay đổi một số thành phần xử lý. Sự khác biệt cơ bản ở các kiến trúc này là cách sắp đặt các thành phần xử lý và bộ kiểm soát điều kiện.
Thành phần Phƣơng pháp của Doron [4] Phƣơng pháp của chúng tôi TLF01 Phƣơng pháp khác [12]
Bẫy thời gian Có Có Có
Bẫy tần suất Không Có Không
Bẫy trạng thái tối thiểu Có Có Không Sử dụng cơ chế RED chống tấn công dạng Low- rate Không Có Có Sử dụng hàng đợi ƣu tiên 2 hàng đợi High Q và Low Q 2 hàng đợi High Q và Low Q 3 hàng đợi High Q, Low Q, Min Q Chống hiệu quả các dạng tấn công - Simple Flood - HighBurst Slow - LowBurst Fast - Simple Flood - HighBurst Slow - LowBurst Fast - Low-rate - Random attack - Simple Flood - HighBurst Slow - LowBurst Fast - Low-rate
Tiến hành kiểm tra rồi đến lọc
Đúng Đúng Không đúng -
bị lặp bộ kiểm tra điều kiện
Khởi đầu tác giả Doron đã đƣa ra kiến trúc lý thuyết khi tiến hành xây dựng WDA [4], một phƣơng pháp đƣợc chứng minh lý thuyết và mô phỏng là hiệu quả
trong trƣờng hợp các đặc tính dữ liệu tuân theo đúng các kết quả thống kê của mô hình Choi&Lim [15].
Hình 30 Kiến trúc WDA chống tấn công các dạng tấn công
Tuy nhiên kiến trúc WDA bộc lộ nhiều điểm hạn chế khi không thể chống hiệu quả dạng tấn công Low-rate, nếu mô hình dữ liệu không tuân theo mô hình ON – OFF thì căn cứ tính toán và xác định ngƣỡng lƣu lƣợng mỗi phiên truy vấn là không còn chính xác dẫn đến sai số lớn trong việc phân biệt các dạng truy vấn thông thƣờng của ngƣời dùng với các dạng lƣu lƣợng do kẻ tấn công sinh ra.
Cũng có một số phƣơng pháp giải quyết hạn chế của WDA trƣờng hợp Low rate Attack hay “Low-burst-slow”. Hình 30 minh họa kiến trúc của một tác giả khác khi đề xuất sử dụng cơ chế Robust RED [12] vào thuật toán phát hiện tấn công Low- burst slow.
Hình 31 Kiến trúc của khối RWDA chống tấn công Low-burst-slow hiệu quả Điểm khác biệt so với WDA [4] là tác giả đã chèn thêm một hàng đợi có trọng số ƣu tiên siêu cao Super Q. Cụ thể ý tƣởng là thêm bộ lọc và phát hiện đặt trƣớc Policer trong WDA và sau khi một gói tin bị loại bỏ bởi High Queue, chỉ những gói
tin nào đến trong khoảng thời gian từ 1 giây đến AOP_Sus_TH giây mới có thể vào đƣợc hàng đợi Super queue. Nếu nhƣ kẻ tấn công chủ động giảm thời gian nghỉ xuống mức nhỏ hơn AOP_Sus_TH giây thì cũng chỉ có gói tin đầu tiên là vào đƣợc hàng đợi Super queue, còn các gói tin còn lại của phiên đó vẫn sẽ phải qua sự kiểm tra của khối Policer mới có thể vào đƣợc các hàng đợi.. Tuy nhiên điều này có thể dẫn đến hệ quả là gói tin đầu tiên của mỗi phiên của các hình thức tấn công có giai đoạn ON-OFF nhƣ “High-burst slow”, “Low-burst fast”… sẽ có khả năng cũng vào đƣợc hàng đợi này, do lƣợng gói tin bị hủy của các hình thức tấn công trên là khá lớn. Cũng nhƣ điểm yếu cố hữu của phƣơng pháp này đó là phải thực hiện kiểm tra hai lần. Bộ lọc và phát hiện thực hiện kiểm tra nhanh gói tin trƣớc rồi Policer lại thực hiện kiểm tra gói tin đó với các điều kiện khác. Rõ ràng phép kiểm tra lại này sẽ làm tăng độ trễ khi xử lý, tăng bộ nhớ dùng để kiểm tra lên gấp đôi.