Vấn đề đặt ra trong việc xây dựng tiêu chí này là làm thế nào để xác định tần suất gửi yêu cầu theo thời gian thực của các srcIP khi số lượng các yêu cầu gửi đến hệ thống rất lớn khi tấn công xảy ra.
Để giải quyết vấn đề này, chúng tôi đề xuất giải pháp cho phép xác định tần suất truy cập của các srcIP theo thời gian thực mà cần ít khơng gian lưu trữ và thời gian xử lý. Đề xuất này là một trong những đóng góp chính của chúng tơi trong phương pháp tổng thể FDDA và được mô tả cụ thể như dưới đây.
3.5.4.1. Thiết kế bảng dữ liệu lưu vết truy cập TraTab
Bảng dữ liệu TraTab được thiết kế bao gồm các dòng dữ liệu mà mỡi dịng sẽ được sử dụng để lưu trữ vết truy cập của mỗi địa chỉ IP nguồn trong khoảng thời gian ngắn ∆ vừa trơi qua, trong đó ∆ là một tham số hệ thống sẽ được điều chỉnh liên tục trong q trình hoạt động của thuật tốn. Bảng dữ liệu sẽ phản ánh kịp thời toàn bộ hoạt động các IP nguồn phát trong khoảng thời gian ∆ cho trước. Những dòng dữ liệu ứng với địa chỉ IP nguồn lâu không cập nhật (“già quá tuổi” ∆) sẽ bị xóa bỏ.
Mỡi dịng dữ liệu được cấu trúc với 04 trường như minh họa dưới đây, trong đó trường địa chỉ IP nguồn ScrIP đồng thời là khóa tìm kiếm. Cơ chế tìm kiếm theo nội dung (Content- Addresable Memory, vt, CAM) với cơ chế đặc thù TCAM (dùng trong Internet routers) – cho phép tìm kiếm theo tiền tố -- có thể được cài đặt để tối ưu hóa truy cập bảng theo khóa ScrIP.
SrcIP f Trace
010111...1001011
Bit Array of size TS that traces the request events in the last time interval ∆
tL
196.203.100.135
The souce IP address (4 bytes)
46 requests/second
Request Frequency from a srcIP: Number of request per time interval ∆
181012234309
Time label of the last update