Trong nghiên cứu này, phương pháp FDDA sử dụng hai tiêu chí:
a) Tiêu chí tần suất truy cập: Tiêu chí tần suất truy cập được áp dụng phổ biến trong các phương pháp phòng chống tấn cơng DDoS. Đối với phương pháp FDDA, tiêu chí về tần suất truy cập được sử dụng để có thể tìm ra nhanh các nguồn gửi u cầu tấn cơng có cường độ cao và chặn lại (Tiêu chí này sẽ được bày cụ thể trong phần 3.5.4). Đối với các nguồn gửi yêu cầu tấn cơng có cường độ gửi u cầu thấp hơn và khơng thể xác định dựa vào tiêu chí về tần suất truy cập thì sẽ được tiếp tục kiểm tra qua tiêu chí thứ hai về tương quan.
b) Tiêu chí tương quan: Tiêu chí này được xây dựng dựa trên ý tưởng cơ bản là khi quan sát tập các yêu cầu nhận được từ máy tính người dùng bình thường thì chúng sẽ có mối quan hệ tương quan và ngẫu nhiên nhất định. Trong khi các yêu cầu nhận được từ máy tấn cơng sẽ có những đặc trưng riêng khác với bình thường (Ví dụ như các máy này chỉ gửi lặp đi lặp lại
một yêu cầu hay một nhóm yêu cầu theo lệnh điều khiển của máy chủ C&C). Do đó, khi hệ thống hoạt động ở trạng thái bình thường, chưa xảy ra tấn cơng, chúng tơi tìm cách xây dựng một tập dữ liệu tương quan (được bày cụ thể trong phần 3.5.5) cho phép xác định các nguồn gửi yêu cầu tấn cơng và u cầu bình thường đối với những nguồn gửi yêu cầu khơng xác định được bởi tiêu chí tần suất.
3.5.2. Các khái niệm sử dụng trong phương pháp FDDA
Để có thể đi sâu, mơ tả chi tiết hơn về phương pháp FDDA, trong phần này, luận án trình bày và giải thích một số khái niệm được sử dụng trong phương pháp FDDA như sau: 1) Ngưỡng phát hiện tập các yêu cầu nghi ngờ tấn công FT:
Ngưỡng phát hiện tấn công FT là ngưỡng được thiết lập trước để xác định các yêu cầu giống nhau mà máy chủ nhận được trong một đơn vị thời gian. Ví dụ: Nếu giá trị FT = 500 requests/s thì trong một khoảng thời gian 1s, máy chủ web nhận được 500 yêu cầu giống nhau.
2) Tập các yêu cầu nghi ngờ tấn công:
Là yêu cầu thỏa mãn điều kiện với tần suất gửi yêu cầu FT từ cùng một địa chỉ IP nguồn. Tập các yêu cầu nghi ngờ tấn công được ký hiệu: RA = {R1, R2, …, Rn}.
3) Danh sách nguồn gửi yêu cầu tấn công Black-List (BL):
Danh sách BL được sử dụng để lưu thông tin địa chỉ IP nguồn được xác định là nguồn gửi tấn công sau khi các yêu cầu được gửi đi từ những địa chỉ IP nguồn này được kiểm tra qua tập các tiêu chí. Ứng với mỡi u cầu tấn cơng khác nhau R(i) ta có tập danh sách các địa chỉ IP nguồn khác nhau S(s,i) và ứng với tần suất gửi yêu cầu f(s,i).
Danh sách nguồn gửi yêu cầu tấn công Black-List được ký hiệu BL = {B1, B2, …, Bn}, Bi = [S(s,i),R(i),f(s,i)].
4) Tập các yêu cầu tương quan:
Tập yêu cầu tương quan thể hiện mối quan hệ tương quan giữa các yêu cầu được gửi đi từ cùng một IP nguồn. Ví dụ: Khi người dùng truy cập yêu cầu riA thì cũng truy cập yêu cầu riB.
Tập các yêu cầu tương quan được ký hiệu là C: C = {C1, C2, …, Cn | Ci = (riA, riB). 5) Tập dữ liệu đầu vào DInp:
Tập dữ liệu có cấu trúc như trong bảng 3.1, được sử dụng để lưu thông tin các yêu cầu gửi đến máy chủ. Mỗi yêu cầu mới gửi đến hệ thống thì thơng tin tập u cầu DInp sẽ được cập nhật. Định kỳ dữ liệu trong DInp sẽ được kiểm tra dựa vào điều kiện ngưỡng FT để tìm ra tập các yêu cầu nghi ngờ tấn công RA.
6) Tập dữ liệu lưu các yêu cầu nghi ngờ tấn công DSus:
Tập dữ liệu này có cấu trúc giống với tập DInp, được sử dụng để lưu tồn bộ thơng tin liên quan đến các yêu cầu được coi là nghi ngờ tấn cơng sau khi thỏa mãn điều kiện có tần số gửi yêu cầu ≥ FT, sau mỗi khoảng thời gian kiểm tra điều kiện từ DInp.
7) Tiêu chí tần suất truy nhập SAT1:
Tiêu chí tần suất truy nhập được sử dụng để tìm ra các nguồn gửi yêu cầu có tần suất gửi cao và đồng đều nhau. Tiêu chí này được xây dựng dựa trên ý tưởng cơ bản là khi các máy tính trong mạng botnet bị điều khiển, để tấn công thông qua cấu trúc lệnh điều khiển giống nhau từ máy chủ C&C thì các u cầu tấn cơng sẽ được gửi với tần suất đồng đều nhau. Do đó, tiêu chí này được sử dụng để xác định các IP nguồn và các yêu cầu được gửi đi từ nguồn đó mà có tần suất gửi cao và đồng đều nhau.
8) Tiêu chí tương quan SAT2:
Tiêu chí để xác định các yêu cầu được gửi đi từ một địa chỉ IP nguồn có tính chất tương quan hay không. Các yêu cầu thỏa mãn điều kiện tương quan thì IP nguồn gửi các u cầu đó sẽ được xác minh là sạch và cho vào White-List.
9) Thời gian lẫy mẫu ΔT:
Khoảng thời gian lặp lại thuật tốn FDDA để tìm ra các nguồn gửi tấn cơng mới và cập nhật vào BL. Để tối ưu hiệu năng hoạt động của hệ thống thì giá trị này được thiết lập là giá trị có thể thay đổi tùy theo hệ thống cần bảo vệ.
3.5.3. Thiết lập tham số đầu vào cho phương pháp FDDA
Giá trị FT là thông tin đầu vào quan trọng của phương pháp FDDA. Giá trị này được sử dụng để xác định những nguồn gửi yêu cầu nào trong tập dữ liệu đầu vào DInp được nghi ngờ là nguồn gửi tấn công và được đưa sang tập dữ liệu nghi ngờ tấn công DSus để tiếp tục xử lý. Để thiết lập được giá trị FT phù hợp với tần suất truy cập ứng dụng trên máy chủ tại từng thời điểm và cung cấp khả năng tự động cập nhật giá trị FT, phương pháp FDDA xác thực định giá trị FT như giải pháp được trình bày tại mục 3.4.1, với giá trị FT được xác định là FT = ∝*σ. Trong đó, giá trị ∝ được coi là một tham số đầu vào của phương pháp FDDA.
3.5.4. Tiêu chí về tần suất truy cập
Như đã phân tích ở phần trên, tiêu chí tần suất SAT1 được sử dụng để loại bỏ nhanh các nguồn gửi u cầu tấn cơng có tần suất cao, đồng đều nhau gửi đến hệ thống. Các nguồn gửi cịn lại với tuần suất thấp có thể là u cầu tấn cơng sẽ được xác minh qua tiêu chí tương quan SAT2.
Ý tưởng cơ bản để xây dựng tiêu chí này là chúng tơi quan sát trường hợp các máy tính tấn cơng được điều khiển thơng qua máy chủ C&C để thực hiện tấn cơng thì tần suất cao và sự đồng đều nhất định, bởi vì chúng cùng nhận lệnh điều khiển giống nhau từ máy chủ C&C. Trong khi các máy tính bình thường thì tần suất gửi của nó khơng đồng đều với các máy tính cịn lại. Ví dụ như hình dưới đây: