Chương 3: XÂY DỰNG MƠ HÌNH PHÁT HIỆN ĐỘT NHẬP MẠNG DỰA TRÊN ĐỐI SÁNH CHUỖ
3.3.1Thử nghiệm hiệu năng các thuật tốn đối sánh chuỗ
3.3.1.1 Tập dữ liệu thử nghiệm
Tập CSDL luận văn sử dụng là CSDL được lưu vào file log khi sử dụng Snort bắt gĩi tin và xử lý bởi Wireshark (8).
log. Mặc định nĩ sẽ log ở thư mục /var/log/Snort . Nếu ta chỉ định thư mục log mà khơng tồn tại nĩ sẽ báo lỗi. Ví dụ câu lệnh sau đây để log:
#Snort –l /usr/local/log/Snort –d
Sau bước 1 ta thu được file log gồm thơng tin các gĩi tin do Snort bắt được trên mạng. File log này đã được mã hĩa.
Hình 3.6Gĩi tin được mã hĩa
Bước 2: Sử dụng Wireshark để đọc file log ở bước 1 và thực hiện export
ra file text là file chứa thơng tin các gĩi tin đã được xử lý.
Sau bước 2 ta thu được file text đã được xử lý như sau:
3.3.1.2 Tiền xử lý dữ liệu
Do thời gian làm luận văn cĩ hạn chế, vì vậy luận văn chỉ sử dụng tập dữ liệu mẫu cĩ sẵn, mà khơng thơng qua giai đoạn huấn luyện.
Tập dữ liệu mẫu bao gồm các bản ghi các gĩi tin tấn cơng đột nhập mạng như đã nĩi ở trên. Tập dữ liệu gĩi tin được chọn bất kì từ các bản ghi chi tiết các gĩi tin bắt được trên mạng.
3.3.1.3 Dữ liệu lựa chọn
Thử nghiệm mơ hình với các dữ liệu lựa chọn với kích thước khác nhau. Dữ liệu thử nghiệm gồm 2 phần:
• Với CSDL tập mẫu, sử dụng tập mẫu gồm cĩ kích thước tương ứng (mỗi dịng trong tập mẫu tương ứng 1 gĩi tin bắt trên mạng):
10000 gĩi tin 5000 gĩi tin 1500 gĩi tin
• Với CSDL tập gĩi tin kiểm tra, thiết kế ứng với mỗi loại tập mẫu trên là khác nhau (để cĩ thể thể hiện nhiều trường hợp nhất):
Với tập mẫu10000 gĩi tin: tập gĩi tin kiểm tratương ứng: 3500 gĩi tin, 1000 gĩi tin, 500 gĩi tin.
Với tập mẫu5000 gĩi tin: tập gĩi tinkiểm tra tương ứng: 5000 gĩi tin, 3000 gĩi tin, 1500 gĩi tin.
Với tập mẫu1500 gĩi tin: tập gĩi tin kiểm tratương ứng: 2000 gĩi tin, 1500 gĩi tin, 10 gĩi tin.
3.3.1.4 Thiết kế thử nghiệm
Do luận văn chỉ thực hiện các thuật tốn đối sánh chính xác, nên kết quả của thuật tốn là đúng 100%. Vấn đề cần quan tâm của luận văn chính là hiệu năng thực hiện của mỗi thuật tốn.
3.3.1.5 Kết quả thử nghiệm
Chạy chương trình với các trường hợp đã nêu ở trên. Cấu hình máy tính sử dụng:
- Bộ xử lý: Intel(R) Core(TM) i3-2350M CPU @ 2.30GHz (4 CPUs), ~2.3GHz
- Bộ nhớ Ram: 4.00 GB.
- Loại hệ thống: hệ điều hành 32-bit .
- Hệ điều hành: Windows 7 Ultimate 32-bit (6.1, Build 7600).
Với tập dữ liệu thử nghiệm và tập mẫu đưa vào, ta thu được kết quả là tổng các gĩi tin đột nhập (ta cĩ thể xử lý trên từng gĩi tin và cho ra kết quả trên từng gĩi), và thời gian thực hiện thuật tốn.
Do tốc độ xử lý của CPU và do trong lúc thực hiện luận văn CPU cịn thực hiện các chương trình khác, nên thời gian thực hiện thuật tốn thu được đúng tính tương đối và cĩ độ sai lệch trong giới hạn chấp nhận được.
Luận văn chỉ xem xét thời gian xử lý của tồn thuật tốn. Kết quả thu được cho ở Bảng 3.1 và các Hình 3.8, 3.9 và 3.10: (adsbygoogle = window.adsbygoogle || []).push({});
Bảng 3.1: Kết quả thử nghiệm thời gian xử lý của các thuật tốn đối sánh chuỗi
Tập gĩi tin mẫu Tập gĩi tin kiểm tra Naive (giây) BMH (giây) RK (giây) Aho Corasick (giây) 10000 3500 1074.9 10697.5 1515.0 34.0 10000 1000 1074.9 1724.3 421.3 9.2 10000 500 151.5 861.9 213.9 5.8 5000 5000 909.0 1685.7 950.8 58.4 5000 3000 653.1 1160.5 538.0 26.6 5000 1500 221.1 653.1 277.5 18.0
1500 2000 61.8 340.0 68.8 14.5
1500 1500 44.0 258.3 49.6 11.7
1500 10 0.34 1.5 0.35 0.23
Hình 3.8Thời gian xử lý của các thuật tốn với tập mẫu 10000 bản ghi
Hình 3.9 Thời gian xử lý của các thuật tốn với tập mẫu 5000 bản ghi
Hình 3.10 Thời gian xử lý của các thuật tốn với tập mẫu 1500 bản ghi 3.3.1.6 Nhận xét kết quả
Với sự áp dụng đối sánh chuỗi trong phát hiện đột nhập, thì thuật tốn Sơ khai, RK khơng phải quá tồi và hai thuật tốn cĩ kết quả khá tương tự nhau.Thuật tốn BMH khơng thực sự hiệu quả trong việc đối sánh chuỗi trong phát hiện đột nhập vì độ dài của mẫu và văn bản quá lớn, tốn thời gian tiền xử lý.
Với mẫu và văn bản ngắn thì thời gian đối sánh của thuật tốn Aho Corasick khơng quá chênh lệch so với 3 thuật tốn cịn lại. Tuy nhiên với những mẫu và văn bản dài thì thuật tốn Aho Corasick tỏ ra là một thuật tốn thực sự cĩ hiệu quả cao.