a) Sử dụng mô hình lƣu lƣợng mới với bộ lọc cũ:
Kịch bản phương pháp cũ sử dụng mô hình lưu lượng cũ: Trong 8 tiếng, tác giả thiết kế 3 client hợp lệ lần lƣợt kết nối tới server vào các thời điểm khác nhau. Các kết nối hợp lệ này tuân theo thống kê ngƣỡng của mô hình Choi&Lim: thời gian nghỉ ngẫu nhiên trong phạm vi từ 5 giây đến 30 giây và lƣu lƣợng ngẫu nhiên trong khoảng từ 30KB đến 100KB. Sau đó tác giả tiến hành đo mẫu tỉ lệ phiên 3 client truy cập thành công trong các trƣờng hợp: không có tấn công xảy ra, có tấn công dạng đơn giản (Simple Flooding), có tấn công dạng phức tạp (Low-rate). Kết quả thu đƣợc tác giả so sánh tỉ lệ phiên truy cập thành công của client hợp lệ khi có áp dụng bộ lọc WDA [4] và khi không áp dụng bộ lọc WDA để tìm độ hiệu quả của thuật toán.
Kịch bản phương pháp cũ sử dụng mô hình lưu lượng mới: Trong 8 tiếng, chúng tôi cũng sử dụng 3 client hợp lệ lần lƣợt kết nối tới server vào các thời điểm khác nhau. Các kết nối hợp lệ này sử dụng ngƣỡng thống kê theo mô hình Lee &
Gupta. Chúng tôi tiến hành xây dựng lại cách gửi tin và tƣơng tác của các truy vấn
hợp lệ tới server. Sau đó chúng tôi tiến hành đo mẫu tỉ lệ phiên 3 client truy cập thành công trong các trƣờng hợp: không có tấn công xảy ra, có tấn công dạng đơn giản (Simple Flooding), có tấn công dạng phức tạp (Low-rate). Kết quả thu đƣợc chúng tôi so sánh tỉ lệ phiên truy cập thành công của client hợp lệ khi có áp dụng bộ lọc WDA [4] để tính toán tỉ lệ phát hiện sai sót truy cập hợp lệ là tấn công của WDA có sử dụng mô hình lƣu lƣợng mới.
71 Chúng tôi tiến hành thử nghiệm theo nguyên tắc: Áp dụng bộ lọc cũ với trƣờng hợp đặc tính lƣu lƣợng gửi lên của ngƣời dùng hợp pháp đƣợc thay đổi theo mô hình mới. Chúng tôi tăng dần số lƣợng ngƣời dùng hợp pháp và không có kẻ tấn công nào. Kết quả thu đƣợc minh họa qua đồ thị 33 và 34
+ Với trƣờng hợp ngƣời dùng sử dụng băng thông 128kbps
Hình 33 Hiệu quả của thuật toán cũ trên mô hình mới trƣờng hợp 1 + Với trƣờng hợp ngƣời dùng sử dụng băng thông 512kbps:
Hình 34 Hiệu quả của thuật toán cũ trên mô hình mới trƣờng hợp 2 Nhận xét:
72 Trong trƣờng hợp sử dụng ngƣời dùng có băng thông 128Kbps thì khi chúng tôi tăng số lƣợng ngƣời dùng lên 100, tỉ lệ truy cập thành công của ngƣời dùng bị suy giảm nghiêm trọng < 50% - hình 33 - tức tỉ lệ phát hiện sai của WDA tăng lên. Để chắc chắn hơn, chúng tôi sử dụng ngƣời dùng có băng thông 512kbps – hình 34 mức gần nhất với lƣu lƣợng thực tế hiện nay thì chỉ cần 20 ngƣời dùng cũng đủ làm tỉ lệ truy cập thành công tụt giảm thảm hại tới 40%. Điều này lý giải rằng, với những lƣu lƣợng gửi lên càng cao mặc dù hợp pháp thì vẫn bị WDA phát hiện nhầm lẫn đó là dạng tấn công càng cao.
b) Sử dụng mô hình lƣu lƣợng mới với bộ lọc mới:
Kịch bản phương pháp mới sử dụng mô hình lưu lượng mới: Trong 8 tiếng, chúng tôi cũng sử dụng 3 client hợp lệ lần lƣợt kết nối tới server vào các thời điểm khác nhau. Các kết nối hợp lệ này sử dụng ngƣỡng thống kê theo mô hình Lee &
Gupta. Chúng tôi tiến hành xây dựng lại cách gửi tin và tƣơng tác của các truy vấn
hợp lệ tới server. Tiếp tục chúng tôi tiến hành đo mẫu tỉ lệ phiên 3 client truy cập thành công trong các trƣờng hợp: không có tấn công xảy ra, có tấn công dạng đơn giản (Simple Flooding), có tấn công dạng phức tạp (Low-rate). Kết quả thu đƣợc chúng tôi so sánh tỉ lệ phiên truy cập thành công của client hợp lệ khi có áp dụng bộ lọc mới TLF01. Kết quả này so sánh với kết quả của phƣơng pháp WDA sử dụng mô hình lƣu lƣợng mới bên trên để định lƣợng sự khác biệt và hiệu quả của phƣơng pháp TLF01 so với WDA.
Chúng tôi tiến hành thử nghiệm theo nguyên tắc: Áp dụng bộ lọc mới chúng tôi xây dựng với trƣờng hợp dữ liệu ngƣời dùng hợp pháp đƣợc thay đổi các thuộc tính theo mô hình mới. Chúng tôi tăng dần số lƣợng ngƣời dùng hợp pháp và không có kẻ tấn công nào. Kết quả thu đƣợc minh họa qua đồ thị 35 và 36:
73 Hình 35 Hiệu quả của thuật toán mới trên mô hình mới trƣờng hợp 1
+ Với trƣờng hợp ngƣời dùng sử dụng băng thông 512kbps:
Hình 36 Hiệu quả của thuật toán mới trên mô hình mới trƣờng hợp 2 Nhận xét:
74 Rõ ràng khi thay đổi bộ lọc WDA thành TLF01, tỉ lệ phát hiện sai sót giảm đi nhanh chóng, số lƣợng phiên truy cập thành công không bị suy giảm nhiều – hình 35 mặc dù có tăng số lƣợng ngƣời dùng truy cập đồng thời hoặc chỉ bị suy giảm đáng kể nếu tăng băng thông gửi lên đến server cho khoảng 100 kết nối cùng lúc – hình 36. Rõ ràng với những trƣờng hợp số lƣợng kết nối của ngƣời dùng hợp pháp đông đột biến thì không thể có phƣơng pháp nào chống đƣợc vì đây là những kết nối của toàn bộ ngƣời dùng thật.