Mô-đun phát hiện bất thường thực hiện những quan sát của Bảng 3 và sau đó làm tăng
báo động. Ví dụ, nếu báo động được kích hoạt do sự sụt giảm trong Destination IP và
cổng Điểm đến entropies, thuật toán của chúng tôi giả định rằng cuộc tấn công được phát hiện thực sự là một
cuộc tấn công DDoS. Cùng áp dụng cho các mô hình tấn công khác. Sau đó, cùng một module
phân tích có liên quan với các số liệu mạng lưới tấn công mô hình, từ nhiều thời gian cửa sổ để
xác định một trong hai kẻ tấn công, hoặc mục tiêu (s) bị tấn công. Do đó, trong trường hợp một cuộc tấn công DDoS, chúng tôi
xác định các máy chủ và dịch vụ bị tấn công, trong khi đối với phần còn lại của các mẫu tấn công chúng tôi
xác định những kẻ tấn công. Nói chung, mục đích của chúng tôi là xác định vị trí một dịch vụ cụ thể trong một máy chủ cụ thể,
và áp dụng các quy tắc chính sách giảm lưu lượng truy cập độc hại.
Một khi các mô-đun phát hiện bất thường đã xác định các máy chủ (cho dù đây là những kẻ tấn công hay
máy chủ bị tấn công), nó đi các thông tin liên quan đến các module bất thường giảm nhẹ.
mô-đun này có thể tạo một dòng chảy mới trong chuyển đổi OF-kích hoạt hoặc để sửa đổi một
hiện tại, bằng cách sử dụng địa chỉ IP và số cổng học bởi các module phát hiện bất thường
và gắn một hành động thả.
Mặc dù thuật toán của chúng tôi có thể xác định các mẫu tấn công đã nói ở trên, có một số
dị thường mạng lành tính, có ảnh hưởng đến số liệu mạng theo cùng một cách một độc hại
bất thường sẽ có. Ví dụ như một bất thường flash đám đông sẽ gây ra sự sụt giảm nặng nề trong
Destination IP và cổng Điểm đến số liệu, giống như một cuộc tấn công DDoS sẽ có. Để tránh
cắt một dịch vụ có giá trị cho mạng lưới của chúng tôi (tức là ftp), chúng tôi cũng thực hiện một trắng Danh sách
chức năng duy trì một danh sách các địa chỉ IP / cổng rằng hành vi bất thường mạng của họ
liên quan đến mạng lưới giao thông hợp pháp. Do đó, trước khi các mô-đun bất thường giảm nhẹ chèn một
quy tắc giảm trong chuyển đổi, đầu tiên nó sẽ kiểm tra sự kết hợp của địa chỉ IP và cổng đã được
xác định, đối với các bảng Danh sách trắng. White List có thể được duy trì thông qua một tự động
hoặc cơ chế thiết lập bằng tay bởi người quản trị mạng. Trong các thí nghiệm của chúng tôi, chúng tôi
thực hiện sau này vì lý do đơn giản.
đang được dịch, vui lòng đợi..