Từ đó, phương pháp phát hiện nguồn gửi yêu cầu đồng đều với tần suất cao được thực hện như sau:
Bước 1: Xác định ngưỡng vi phạm dựa vào tần suất gửi trung bình µ và độ lệch trung bình giữa tần suất gửi yêu cầu lớn với với giá trị trung bình σ. Gọi f(i) là tần suất gửi yêu cầu của một srcIP tại lần lấy mẫu thứ i. Giá trị µ và σ được xác định sau k lần lấy mẫu như sau: Giá trị μ được xác định như sau:
1 1 k i fi k
Giá trị σ được xác định như sau:
2 1 1 ( ) k i i f k
Sau khi xác định được giá trị µ và 𝜎 theo công thức trên, chúng tôi sẽ đánh dấu các srcIP có tần suất gửi lớn hơn giá trị µ + 𝜎 theo mỗi lần lấy mẫu. Nếu sau k lần lấy mẫu và tại mỗi lần lấy lẫu (sau khoảng thời gian ∆t) mà tần suất gửi yêu cầu của các srcIP đó vẫn nằm trong khoảng vi phạm thì được cho rằng đây là những nguồn gửi tấn công thực sự. Số lần lấy mẫu k và thời gian lấy mẫu ∆t được thiết lập trước tùy theo từng hệ thống cần bảo vệ. Tuy nhiên những giá trị này cần thiết lập đủ nhỏ để có thể loại bỏ ngay các nguồn gửi yêu cầu tấn cơng sớm nhất có thể.
3.5.5. Xây dựng tiêu chí tương quan trong phương pháp FDDA
Tiêu chí về tương quan SAT2 được xây dựng dựa trên ý tưởng cơ bản là với người dùng bình thường khi truy cập ứng dụng Web thì họ sẽ truy cập các nội dung khác nhau trên máy chủ (lướt web). Do đó, khi quan sát ở phía máy chủ, chúng ta có thể thấy được mối quan hệ tương quan của các yêu cầu gửi tới máy chủ từ mỡi IP nguồn. Ví dụ khi người dùng gửi yêu cầu rA đến máy chủ thì tiếp theo đó họ cũng gửi u cầu rB đến máy chủ.
Vấn đề đặt ra là làm thế nào để xây dựng tập dữ liệu tương quan để đảm bảo rằng tin tặc khó có thể cố tình đưa các yêu cầu sai lệch đến máy chủ trong quá trình hoạt động bình thường và sử dụng tập các u cầu đó trong q trình tấn cơng.
Để giải quyết vấn đề này, trong quá trình hoạt động bình thường, chúng tơi đưa ra tập các tiêu chí áp dụng đối với mỡi IP nguồn gửi u cầu và tập các yêu cầu được gửi đi từ IP nguồn đó. Chỉ khi IP nguồn và các yêu cầu thỏa mãn đồng thời các điều kiện thì mới được đưa vào xây dựng tập các yêu cầu tương quan sử dụng thuật tốn Association Rule.
Từ đó, phương pháp đề xuất bao gồm 02 quá trình xây dựng tập tương quan và phát hiện yêu cầu tấn công, được mô tả cụ thể như dưới đây:
3.5.5.1 Xây dựng tập dữ liệu tương quan
Để xác định một yêu cầu là dị thường hay không, ta không thể dựa vào từng yêu cầu riêng lẻ, bởi vì các u cầu sử dụng trong tấn cơng DDoS được tạo ra như các u cầu bình thường. Do đó ta cần tìm ra sự tương quan giữa chúng để tìm ra sự bất thường. Qua quan sát thực nghiệm, chúng tơi phát hiện ra rằng có sự khác nhau giữa các yêu cầu gửi đi từ một máy tính bình thường và các yêu cầu gửi đi từ một máy tấn cơng. Cụ thể: đối với máy tính bình thường, khi truy cập một trang Web thì người dùng sẽ gửi các yêu cầu khác nhau đến máy chủ Web để truy cập các thông tin khác nhau trên một trang Web (được minh họa như hình dưới đây). Trong khi, các yêu cầu được gửi đi từ máy tấn cơng thường là các u cầu hoặc nhóm các yêu cầu giống nhau (do cùng được điều khiển từ một máy chủ C&C) hoặc có quy luật thay đổi giống nhau và lặp lại.