Hình 14 Sơ đồ thiết kế hệ thống nhận dạng và phản ứng
Bộ tiền xử lý gói tin
Có nhiệm vụ thu thập gói tin đi qua và phát trở lại hệ thống mạng. Các gói tin đi qua sẽ được xử lý từ tầng IP và tầng TCP/UDP. Tại đây, các gói tin sẽ được phân loại sơ bộ, ghép lại thành các khuôn dạng gói tin chuẩn và chuyển lên tầng tiếp theo để xử lý.
Chức năng này làm nhiệm vụ ghi lại các địa chỉ IP nguồn kết nối đến hệ thống. Dựa trên dữ liệu từ cơ sở dữ liệu để tính ra những giá trị về tần xuất truy cập hệ thống, các thông tin liên quan như tên miền, chủ đăng ký… Sau khi có thông tin, cập nhật dữ liệu vào cơ sở dữ liệu. Trong cơ sở dữ liệu có sẵn một bảng lưu trữ gọi là bảng lịch sử địa chỉ IP.
Nhận dạng gói tin
Chức năng này có nhiệm vụ bóc tách gói tin IP hoặc TCP để kiểm tra dạng dịch vụ. Những cuộc tấn công DDoS sử dụng gói tin rác để làm tràn ngập băng thông (dạng có thể nhận biết 2.1.5 sẽ được bộ phận này phát hiện. Sau khi có thông tin nhận dạng, các thông tin sẽ được chuyển tiếp tới bộ phận xử lý trung tâm là bộ so sánh và phát hiện.
Xử lý Entropy
Như đã phân tích tại 3.2.2, dựa vào các khung thời gian theo dõi, bộ phận xử lý Entropy có chức năng tính toán entropy tại thời điểm t của các kết nối đến hệ thống mạng. Sau khi có kết quả, chuyển lên cho bộ xử lý trung tâm so sánh ngưỡng Entropy và phát hiện tấn công nếu có.
Van điều tiết
Hệ thống van điều tiết được thiết kế dựa trên ý tưởng về van điều tiết cho máy chủ của Williamson [25]. Cơ chế điều tiết có dựa vào lịch sử truy cập địa chỉ IP (3.3.2)
Bộ chữ ký tấn công
Sau khi bộ nhận dạng đã có kết quả trùng với dữ liệu được lưu trữ trong bộ chữ ký, bộ so sánh và phát hiện có thể kết luận được ngay rằng đang có tấn công từ chối dịch vụ mà không cần so sánh địa chỉ IP hoặc Entropy. Nếu có tấn công DDoS xảy ra, hệ thống sẽ cập nhật các đặc trưng của cuộc tấn công như ( dạng gói tin, tần suất truy cập, entropy tại thời điểm truy cập ..) để phục vụ cho những phát hiện về sau. Bộ chữ ký này cũng có thể được cập nhật thông qua giao diện với người quản trị.
Cơ sở dữ liệu
Cơ sở dữ liệu thực hiện lưu trữ các thông tin phục vụ cho việc phân tích và phát hiện tấn công. Các thông tin được lưu trữ gồm có:
Danh sách địa chỉ IP và tần suất truy cập trong 1 – 2 tuần.
Các giá trị Entropy theo thời gian của tập địa chỉ truy cập.
Các thông tin có liên quan về địa chỉ IP: tên miền, người sở hữu …
Các thông tin cảnh báo đã phát ra.
Khối quản lý sự kiện
Các sự kiện xảy ra trong hệ thống gồm có hai dạng: sự kiện quản lý và các sự kiện hoạt động.
Khối sự kiện quản lý phục vụ cho việc quản lý hệ thống, cập nhật thông tin. Khối sự kiện hoạt động liên quan đến việc cảnh báo về hệ thống.
Tùy theo dạng sự kiện mà bộ quản lý sự kiện có thể có những quyết định về việc khởi động bộ phận Van điều tiết để bảo vệ hệ thống hoặc bỏ qua.
Bộ so sánh và phát hiện tấn công
Bộ so sánh nhận dữ liệu từ các lớp dưới và kết hợp với những dữ liệu có trong cơ sở dữ liệu IP, cơ sở dữ liệu chữ ký tấn công để thực hiện xác định xem hệ thống có đang chịu sự tấn công nào hay không. Nếu có nghi ngờ về việc bị tấn công, bộ phát hiện sẽ gửi thông báo tới khối quản lý sự kiện một thông báo về dạng tấn công.
Báo cáo dữ liệu
Khối báo cáo này có chức năng nhận những yêu cầu báo cáo của người quản trị hệ thống và kết nối vào cơ sở dữ liệu để tạo các báo cáo theo yêu cầu. Các dạng báo cáo có thể có :
Báo cáo về những sự kiện đã xảy ra
Báo cáo về những sự kiện tùy theo độ quan trọng.
Báo cáo về lịch sử các địa chỉ IP truy cập.
Báo cáo về các chữ ký có trong dữ liệu hệ thống.