Chúng tơi phân tách chức năng phát hiện và phịng chống thành hai chức năng độc lập khác với các nghiên cứu liên quan đến phịng chống tấn cơng Web App-DdoS trong mục 3.2.3 là vì: Q trình phát hiện tấn cơng và phịng chống tấn cơng khi thực hiện độc lập sẽ tối ưu về hiệu năng và hiệu quả hơn. Tài nguyên hệ thống dành cho chức năng DDoS Detection sẽ ít hơn tài nguyên hệ thống dành cho chức năng DDoS Prevention. Do đó, chức năng DDoS Detection có thể thực hiện liên tục để kiểm tra máy chủ có bị tấn cơng hay khơng và chức năng DDoS Prevention chỉ được kích hoạt khi chức năng phát hiện phát hiện tấn công. Thêm nữa, việc xây dựng chức năng DDoS Detection và DDoS Prevention độc lập cho phép xây dựng các giải pháp/thuật toán riêng biệt cho từng chức năng giúp hiệu quả phát hiện và phịng chống tấn cơng DDoS.
Trên cơ sở đó, thành phần Web App-DDoS Defence được xây dựng dựa trên hai thức năng DDoS Detection và DDoS Prevention độc lập, có nguyên lý hoạt động như sau:
Khi hệ thống hoạt động ở trạng thái bình thường, hệ thống DDoS-Defence sẽ theo dõi thụ động kết nối mạng để thu thập các thông tin truy cập ứng dụng Web và lưu trữ trong CSDL. Thông tin lưu trữ trong CSDL bao gồm các thơng tin được mơ tả như hình dưới đây:
STT Trường Mơ tả
1 timestamp Thời điểm nhận được yêu cầu 2 method Phương thức gửi yêu cầu (Post/Get)
3 host Máy chủ nhận yêu cầu
4 url Yêu cầu gửi đến máy chủ
5 statuscode Trạng thái phản hồi của máy chủ 6 bytes Kích thước dữ liệu phản hồi
7 SrcIP Địa chỉ máy gửi yêu cầu
Bảng 3.1 CSLD của thành phần Web App-DDoS Defence
CSDL này là dữ liệu đầu vào cho hai chức năng DDoS Detection và DDoS Prevention. Sau mỗi khoảng thời gian nhất định, CSDL này được lấy ra để kiểm tra xem hệ thống có bị tấn cơng DDoS hay không, thông qua chức năng DDoS Detection.
Chức năng DDoS Detection sử dụng một tập các tiêu chí DDoS Detection (tập các tiêu chí được trình bày ở phần sau). Trường hợp, DDoS Detection phát hiện tấn cơng thì sẽ thiết lập cờ trạng thái tấn công (Attack Status) là 1 để khởi động chức năng DDoS Prevention. Chức năng DDoS Prevention hoạt động trong một vịng lặp vơ hạn, liên tục kiểm tra Attack Status, nếu giá trị này được thiết lập là 1 thì DDoS Prevention sẽ thực hiện chức năng phịng chống thơng qua việc tìm các nguồn gửi yêu cầu tấn công và cập nhật vào Black-List. Để tìm ra các nguồn gửi yêu cầu tấn công, DDoS Prevention sử dụng phương pháp FDDA [57] (được trình bày chi tiết ở phần sau).
Sau khi tìm ra danh sách các IP nguồn gửi yêu cầu tấn công, hệ thống DDoS-Defence sẽ gửi đến thiết bị mạng (Router)/thiết bị bảo mật (Firweall) để thực hiện ngăn chặn.
Trường hợp chức năng DDoS Detection khơng phát hiện tấn cơng thì tập dữ liệu lấy ra sẽ được sử dụng để cập nhật danh sách White-List. Việc cập nhật danh sách White-List phải thông qua tập các điều kiện để bảo đảm rằng, tin tặc khó có thể đưa những IP nguồn độc hại vào danh sách này.
Địa chỉ IP trong danh sách White-List được gửi đến thiết bị mạng (Router)/thiết bị bảo mật (Firweall) để ưu tiên cho phép kết nối tới máy chủ khi tấn công DDoS xảy ra.
Phần tiếp theo luận án sẽ trình bày cụ thể về phương pháp phát hiện và phịng chống tấn cơng Web App-DDoS trong hai chức năng DDoS Detection và DDoS Prevention.
3.4. Phát hiện tấn cơng Web App-DDoS
Như đã phân tích ở trên, chức năng DDoS Detection được xây dựng để phát hiện khi nào xảy ra tấn công DDoS vào Web Server. Khi tấn công xảy ra trạng thái Attack Status được thiết lập để kích hoạt chức năng DDoS Prevention.
Như chúng tơi đã phân tích ở trên, mục đích của việc phân tách q trình phát hiện và phịng chống ra làm hai giai đoạn khác nhau nhằm tối ưu và tăng mức độ chính xác của giải pháp tổng thể. Việc phát hiện tấn cơng Web App-DDoS có thể dùng các tiêu chí đơn giản để xác định khi nào tấn công xảy ra. Trong giai đoạn phát hiện, chúng tôi chưa quan tâm đến việc xử lý tấn công như thế nào mà chỉ quan tâm đến việc có tấn cơng xảy ra hay khơng. Trong giai đoạn phịng chống, chúng tơi sẽ áp dụng các tiêu chí, thuật tốn phức tạp hơn để xác định nguồn gửi tấn công để đưa vào Black-List và các nguồn sạch để đưa vào White-List. Chức năng phịng chống chỉ được kích hoạt khi hệ thống được thiết lập trạng thái là đang bị tấn công. Việc này sẽ tối ưu về hiệu năng xử lý khi tấn công DDoS chưa xảy ra.
Tấn công Web App-DDoS được phát hiện dựa vào tập các tiêu chí như được mơ tả ở hình sau: Input Data Coming Requests Attack Status Update Set of Criteria Loop Delay