Để phát hiện tấn công Web App-DDoS, định kỳ sau mỗi khoảng thời gian ∆t (được thiết lập trước), dữ liệu trong CSDL (dữ liệu được lưu trong CSDL có cấu trúc được mơ tả trong hình 24) có thời gian trong khoảng ∆t tính từ thời điểm lấy dữ liệu sẽ được lấy ra để kiểm tra xem
máy chủ có bị tấn cơng hay khơng. Dữ liệu này được sử dụng làm thông tin đầu vào cho các tiêu chí phát hiện tấn cơng. Nếu dữ liệu đầu vào thỏa mãn một trong các tiêu chí thì máy chủ được cho là tấn cơng. Các tiêu chí phát hiện tấn công được xây dựng như dưới đây.
3.4.1. Tiêu chí phát hiện tấn cơng dựa trên tần suất truy nhập
a) Tiêu chí phát hiện tấn cơng dựa trên tần suất truy nhập D1 được xây dựng dựa trên tần suất gửi yêu cầu tới máy chủ theo từng khoảng thời gian lấy mẫu.
Khi máy chủ hoạt động ở chế độ bình thường, tần suất nhận được yêu cầu sẽ có một ngưỡng nhất định (Thd). Tuy nhiên, khi tấn cơng xảy ra, các máy tính trong mạng botnet tham gia tấn công dẫn tới số lượng yêu cầu nhận được trong một đơn vị thời gian sẽ rất cao.
Do đó, để phát hiện tấn cơng DoS/DDoS sử dụng tiêu chí D1, trước hết chúng tơi cần xác định một ngưỡng Thd về tần suất truy gửi yêu cầu trong một khoảng thời gian nhất định. Giá trị Thd được thiết lập dựa trên cơ sở thu thập thông tin về tần suất gửi yêu cầu khi hệ thống hoạt động bình thường và khơng bị tấn công. Cụ thể như sau:
Tôi xác định tần suất gửi yêu cầu tới máy chủ tại từng thời điểm (Ci), sau đó giá trị Thd sẽ được xác định dựa vào giá trị trung bình của tần số gửi yêu cầu sau n lần lấy mẫu (Mean - μ). Tiếp theo, chúng tôi xác định độ lệch lớn nhất (Deviation - σ) giữa giá trị Mean với gửi yêu cầu lớn nhất trong N lần lấy mẫu. Gọi Ci là giá trị tần suất gửi yêu cầu tại thời điểm lấy mẫu (Giá trị Ci được xác định theo giải pháp được đưa ra tại mục 3.5.4). Giải pháp xác định Thd được mơ tả như hình dưới đây:
Giá trị μ được xác định như sau:
1 1
(C .. CN)
N
Giá trị σ được xác định như sau:
2 1 1 ( ) n i i C N
Giá trị Thd được xác định là Thd = ∝*σ. Trong đó giá trị ∝ là số lần giá trị độ lệch giữa tần suất gửi yêu cầu lớn nhất với với giá trị trung bình.
Trường hợp, dữ liệu được kiểm tra khơng thỏa mãn điều kiện D1 thì giá trị này sẽ được sử dụng để cập nhất giá trị Thd.
3.4.2. Tiêu chí phát hiện tấn cơng dựa vào thời gian truy cập ngẫu nhiên
Tiêu chí phát hiện tấn công dựa vào thời gian truy cập ngẫu nhiên (C2) được xây dựng dựa trên ý tưởng như sau: Khi máy chủ hoạt động ở chế độ bình thường và khơng có tấn cơng xảy ra thì thời điểm các máy tính gửi yêu cầu đến máy chủ sẽ là ngẫu nghiên và khơng có sự liên quan lẫn nhau.
Tuy nhiên, khi tấn công xảy ra, máy tấn công sẽ đồng loạt gửi yêu cầu đến máy chủ theo lệnh điều khiển của máy chủ C&C. Do đó, thời điểm các máy tính sẽ gửi yêu cầu đến máy chủ sẽ có mối liên hệ nhất định, khơng ngẫu nhiên.
Ví dụ về thời điểm gửi yêu cầu đến máy chủ khi máy chủ hoạt động bình thường, khơng bị tấn cơng và khi bị tấn công như sau:
Thời điểm gửi yêu cầu tấn cơng Thời điểm gửi u cầu bình thường