Hệ thống phát hiện và phản ứng lại tấn công DDoS dựa trên Entropy và địa chỉ IP – HEDDAD (History IP & Entropy-based Detection and Defense Against DDoS) được xây dựng kết hợp từ các mô hình
Theo dõi lịch sử IP kết nối
Theo dõi và phát hiện thay đổi entropy của các kết nối đến hệ thống.
Hệ thống sẽ được triển khai tại các router biên hoặc hệ thống firewall đứng tại vành ngoài của mạng. Tại đây,hệ thống sẽ đứng độc lập trước các thiết bị router, firewall hoặc được tích hợp kèm với thiết bị. Sơ đồ triển khai như sau:
Hình 12 Mô hình triển khai của HEDDAD
Với vị trí đứng trước hoặc tích hợp kèm với router biên, hệ thống HEDDAD sẽ có nhiệm vụ:
- Ghi nhận các kết nối TCP/IP đến hệ thống mạng - Tạo lập dữ liệu ghi vết các địa chỉ IP
- Xử lý các gói tin để tính toán trạng thái của hệ thống dựa trên lý thuyết về Entropy
- Liên tục kiểm tra entropy để phát hiện thay đổi trạng thái, đưa ra cảnh báo và kích hoạt hệ thống phòng vệ
- Kết hợp với các dạng tấn công đã biết để phát hiện tấn công DDoS.
Hệ thống đóng vai trò như một thiết bị theo dõi mạng trong thời gian không xảy ra tấn công DDoS. Như vậy, về mặt hiệu năng, hệ thống không làm ảnh hưởng đến hiệu năng chung của toàn mạng. Các gói tin đến hệ thống sẽ được tách làm 2 thành phần để xử lý:
- Đưa vào khối HEDDAD để xử lý theo dõi - Chuyển tiếp ngay lập tức gói tin.
Khi có tấn công DDoS xảy ra, hệ thống phát hiện và kích hoạt chức năng phòng vệ. Chức năng này sẽ được xây dựng dựa trên cơ sở về bộ lọc IP và van điều tiết.