2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mơ hình dự đoán làm trơn hàm
2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động
vệ là các máy chủ hoặc dịch vụ chạy trên máy chủ bên trong mạng nội bộ của hệ thống. Module Ủy nhiệm an ninh SP trên bộ điều khiển thực hiện truy vấn tham số thống kê lưu lượng từ Internet đến hệ thống mạng và chuyển tới máy chủ an ninh qua giao diện REST API. Khi phát hiện và xác định được lưu lượng tấn công, SP thực hiện cài đặt các chính sách chặn gói tin tới các mục luồng trên bộ chuyển mạch biên để giảm thiểu tấn công.
Máy chủ an ninh SS phát hiện tấn cơng dựa trên mơ hình dự đốn tham số thống kê lưu lượng để xác định trạng thái tấn công của các máy chủ/dịch vụ cần bảo vệ bên trong mạng nội bộ. Khi phát hiện tấn công xảy ra, SS chuyển yêu cầu lọc bỏ lưu lượng tới bộ Điều khiển qua giao diện REST API.
Các trạng thái của máy chủ/dịch vụ cần bảo vệ và sự chuyển tiếp các trạng thái được thể hiện trong sơ đồ Hình 2.2. Hệ thống giám sát trạng thái của các máy chủ, dịch vụ cần bảo vệ sau mỗi chu kỳ thời gian T. Nếu không phát hiện tấn công xảy ra, máy chủ/dịch vụ tiếp tục ở trạng thái Giám sát. Khi xác định có dấu hiệu tấn cơng, máy chủ/dịch vụ chuyển sang trạng thái
“Nghi ngờ bị tấn công” và thực hiện lấy thống kê, chi tiết theo địa chỉ IP nguồn. Sau khi lấy
thống kê chi tiết, các lưu lượng tấn công được phân loại và lọc bỏ (Trạng thái “Lọc bỏ lưu
lượng tấn công”). Nếu không xác định được lưu lượng tấn công, máy chủ/dịch vụ lại được
chuyển về trạng thái “Giám sát”.
Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ
Để phân biệt lưu lượng giữa các máy chủ/dịch vụ cần bảo vệ, các trường so khớp của các mục luồng được xác định theo quy tắc:
• Nếu đối tượng bảo vệ là một máy chủ, mỗi luồng được xác định bởi 3 tham số: địa chỉ IP nguồn, địa chỉ IP đích và số hiệu cổng nguồn.
• Nếu đối tượng bảo vệ là một dịch vụ chạy trên một máy chủ, mỗi luồng được xác định bằng 4 tham số: địa chỉ IP nguồn, địa chỉ IP đích, số hiệu cổng nguồn và số hiệu cổng đích.