TH 1: Áp dụng bộ lọc TLF01 vào dạng tấn công Simple Flood, so sánh với WDA
Khi sử dụng mô hình dữ liệu mới, thì WDA phát hiện nhầm ngƣời dùng hợp lệ khá giống kẻ tấn công Simple Flood – vì không còn thời gian OFF nên tỉ lệ truy cập thành công suy giảm khá nhanh. Với khoảng 100 kẻ tấn công là mức đáp ứng của máy chủ suy giảm khá nhanh do tỉ lệ nhầm lẫn lớn giữa kẻ tấn công và ngƣời dùng bình thƣờng – lƣợng dữ liệu truyền tải phiên truy cập giữa ngƣời dùng bình thƣờng và kẻ tấn công không có sự khác biệt nhiều. Nhƣng với TLF01 thì vẫn đáp ứng tốt do đã loại bỏ đƣợc cơ chế tấn công dạng toàn bộ dữ liệu trong thời gian ngắn. Thống kê kết quả mô phỏng minh họa bên dƣới
75 Hình 37 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với
dạng tấn công Simple Flooding.
TH2: High-burst-slow
Kết quả mô phỏng đƣợc minh họa ở đồ thị hình dƣới: tham số đo là tỉ lệ truy cập thành công và lƣu lƣợng giảm tải đƣợc khi áp dụng bộ lọc
76 Hình 38 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với
dạng tấn công High-Burst-Slow Nhận xét:
Với trƣờng hợp này, kẻ tấn công gửi nhiều dữ liệu nhƣng tuân theo quy luật thời gian vẫn đảm bảo phiên truy cập không quá ngắn nhƣng lƣợng dữ liệu lại rải đều và cố gắng tiệm cận mức đỉnh để không coi là giả mạo. Kiểu tấn công này thì thuật toán bẫy tần suất của TLF01 vẫn đáp ứng đƣợc 58% tỉ lệ truy cập thành công, mặc dù có sự suy giảm đáng kể khi số lƣợng kẻ tấn công tăng lên. Nguyên nhân là khi số lƣợng kẻ tấn công tăng lên với cùng đặc tính thì xác suất phát hiện sai hoặc để lọt lƣới tấn công là truy cập hợp pháp tăng lên. Trong khi một trong số các kết nối bình thƣờng có thể bị nhầm sang một trong số các dạng tấn công.
TH3: Low-burst-fast
Kết quả mô phỏng đƣợc minh họa ở đồ thị hình dƣới: tham số đo là tỉ lệ truy cập thành công và lƣu lƣợng giảm tải đƣợc khi áp dụng bộ lọc
77 Hình 39 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với
dạng tấn công Low-burst-fast Nhận xét:
Kết quả tỉ lệ phát hiện đúng và cho qua với các lƣu lƣợng hợp pháp của phƣơng pháp TLF01 tốt hơn không đáng kể (5%) so với sử dụng WDA. Lý do đƣợc đƣa ra ở đây là kỹ thuật sử dụng tần suất gửi và trạng thái tối thiểu trong mô hình dữ liệu mới và các trƣờng hợp tấn công lƣu lƣợng thấp có hiệu ứng tƣơng đƣơng nhau trong cả mô hình dữ liệu mới và cũ.
78 Kết quả mô phỏng đƣợc minh họa ở đồ thị hình dƣới: tham số đo là tỉ lệ truy cập thành công và lƣu lƣợng giảm tải đƣợc khi áp dụng bộ lọc
Hình 40 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Low-burst-slow
Nhận xét:
Khi số lƣợng kẻ tấn công tăng lên khoảng 150 thì tỉ lệ truy cập thành công của ngƣời dùng hợp lệ bị suy giảm nghiêm trọng tƣơng tự trƣờng hợp sử dụng số lƣợng ngƣời dùng hợp lệ tƣơng đƣơng 100 kết nối cùng nhau truy cập đồng thời Webserver. Mặc dù lƣu lƣợng tấn công trƣờng hợp này là nhỏ hơn hẳn so với các trƣờng hợp High-burst-slow và Low-burst-fast nhƣng hiệu quả tấn công lại tốt hơn do kẻ tấn công đã giả danh khá tốt lƣu lƣợng truy cập thông thƣờng.
Chúng tôi tiến hành cải tiến TLF01 theo hƣớng sử dụng mở rộng phƣơng pháp RED Thì đƣợc kết quả nhƣ sau:
79 Hình 41 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với
dạng tấn công Low-burst-slow có áp dụng thêm cơ chế RED
Rõ ràng khi áp dụng cơ chế RED chuyên để xử lý trƣờng hợp tấn công tốc độ thấp vào điều kiện kiểm tra của bộ lọc TLF01, kết quả phát hiện chính xác các hành vi tấn công tốt hơn đến 80% so với không dùng RED.