Nhƣ vậy thông qua quá trình thử nghiệm, chúng tôi đã chứng minh đƣợc rằng với mô hình lƣu lƣợng mới, các thuật toán cũ không còn hiệu quả do bản chất hành vi thay đổi, các phƣơng pháp tính toán trƣớc kia không còn chính xác. Từ đó chúng tôi đề xuất cách tiếp cận mới và xây dựng thuật toán giải quyết. Trong quá trình thử nghiệm, chúng tôi đã tìm cách đo những thông số cơ bản để kiểm nghiệm tính hiệu quả của thuật toán bao gồm:
Tỉ lệ phát hiện sai truy cập hợp pháp thành tấn công khi áp dụng mô hình dữ liệu mới vào thuật toán cũ lên đến 40%. Đây là tỉ lệ áp dụng với tối đa 200.000 kẻ tấn công đồng thời. Tỉ lệ phát hiện sai sẽ còn lớn hơn nữa nếu số lƣợng kẻ tấn công tăng lên.
Tỉ lệ phiên truy cập thành công trong các trƣờng hợp: bình thƣờng, có tấn công… khi áp dụng thuật toán mới có sử dụng thống kê kết quả của mô hình
81 dữ liệu mới đạt trên 78.56 %. Kết quả này lớn hơn một chút với kết quả mô hình cũ áp dụng trên phƣơng pháp cũ (37.15%) [4] trong trƣờng hợp tấn công đạt cực đại 200.000 kết nối từ mạng botnet.
Tỉ lệ sử dụng tài nguyên ( RAM + CPU) khi chạy bộ lọc tăng lên không đáng kể (4.5%)
Kết quả chứng minh phƣơng pháp chúng tôi đề xuất là hiệu quả, phát hiện tốt hơn 35-41% so với sử dụng bộ lọc của phƣơng pháp cũ.
Bảng sau đây mô tả tính hiệu quả của mỗi phƣơng pháp trong mỗi bộ dữ liệu hành vi tƣơng ứng: Số ngƣời dùng hợp lệ/ Số kẻ tấn công Tỉ lệ phát hiện đúng khi áp dụng bộ lọc TLF01 Tỉ lệ phát hiện đúng khi áp dụng bộ lọc WDA [4] Bộ dữ liệu Lee&Gupta Bộ dữ liệu Lee&Gupta
3000 /0 100% 99.85% 3000/ 10000 99.79% 95.21% 3000/ 20000 98.30% 92.73% 3000/ 30000 97.25% 87.02% 3000/ 40000 96.36% 82.47% 3000/ 50000 95.12% 79.07% 3000/ 60000 93.33% 76.82% 3000/ 70000 91.99% 71.54% 3000/ 80000 90.05% 66.19% 3000/ 90000 88.67% 61.91% 3000/ 100000 87.03% 57.85% 3000/ 1200000 85.72% 52.01% 3000/ 1300000 83.43% 47.17% 3000/ 1400000 81.02% 41.97% 3000/ 2000000 78.56% 37.15% 10000/ 10000 92.06% 83.72% 20000/10000 92.01% 74.05%
Bảng 2 Kết quả so sánh tỉ lệ phát hiện đúng lƣu lƣợng là tấn công giữa phƣơng pháp mới và phƣơng pháp cũ khi áp dụng mô hình dữ liệu mới Lee&Gupta
82
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 1. Kết luận
Chúng tôi đã đạt đƣợc một số kết quả tốt thể hiện sự hiệu quả của phƣơng pháp đề xuất so với một số công trình đã đƣợc công bố với những đánh giá rõ ràng. Một số thành tựu chính bao gồm:
+ Chứng minh đƣợc khi áp dụng mô hình dữ liệu mới thì các phƣơng pháp phát hiện tấn công DDoS không còn hiệu quả.
+ Nghiên cứu và lựa chọn mô hình dữ liệu thể hiện tốt nhất những hành vi truy cập của ngƣời dùng Web hiện đại, từ đó trích chọn những đặc tính sử dụng phù hợp.
+ Phân tích những điểm yếu của các phƣơng pháp tiếp cận cũ, từ đó xây dựng cơ chế phát hiện, xử lý mới phù hợp với mô hình dữ liệu mới.
Thông qua các kết quả thử nghiệm cho thấy hệ thống mới hoạt động rất tốt, chống đƣợc hiệu quả các dạng tấn công từ chối dịch vụ phân tán mà không làm suy giảm khả năng phục vụ của máy chủ dịch vụ Web.
2. Hƣớng phát triển
Vấn đề tồn tại hiện tại là chúng tôi chƣa tiến hành thử nghiệm trực tiếp với môi trƣờng của một Webserver thực sự để đánh giá tính hiệu quả của phƣơng pháp. Công việc này chúng tôi sẽ tiếp tục trong một nghiên cứu tiếp theo.
Thêm nữa, điểm yếu của phƣơng pháp phát hiện lƣu lƣợng tấn công dựa trên đặc tính lƣu lƣợng là sự tin cậy vào một số những đặc tính cốt lõi mà không phải khi nào cũng chính xác hoàn toàn cho một loại Website đặc thù nhƣ tin tức, blog cá nhân, mạng xã hội. Do đó điều cần thiết là chúng ta cần phải xây dựng đƣợc bảng chọn lựa những giá trị thuộc tính đặc thù cho đặc tính lƣu lƣợng tốt nhất cho mỗi loại Website.
Giá trị trọng số cho các hàng đợi cũng là việc cần quan tâm đến. Trong chƣơng trình mô phỏng, trọng số cho các hàng đợi Low queue, High queue lần lƣợt đƣợc gán giá trị là 0.2, 0.8. Cách lựa chọn giá trị này sẽ ảnh hƣởng đến thứ tự đƣợc xử lý của các gói tin cũng nhƣ mức độ ảnh hƣởng giữa các gói tin với nhau. Cần phải tìm đƣợc một giá trị thích hợp nhất cho trọng số này tùy thuộc vào mỗi Webserver sẽ triển khai.
83
TÀI LIỆU THAM KHẢO Tiếng Anh
1. Arbor Networks (2014), ATLAS DDoS Attack Data
2. Wikepedia, Denial of Service Attack.
3. US-CERT (2014), a novel UDP Port Denial-of-Service Attack,New York. 4. Ehud Doron, Avishai Wool (2011), WDA: A Web farm Distributed Denial Of
Serv-ice attack attenuator, Computer Networks, 1037–1051
5. A. Kuzmanovic, E.W. Knightly (2003), Low-rate TCP-targeted denial of
service attacks: the shrew vs. the mice and elephants, in: SIGCOMM, pp.
75–86
6. R.K.C. Chang (2005), On a new class of pulsing denial-of-service attacks
and the defense, in: NDSS
7. R.Sherwood, B. Bhattacharjee, R. Braud (2005), Misbehaving TCP receivers
can cause Internet-wide congestion collapse, in: ACM Conference on
Computer and Communications Security, pp. 383–392
8. J. Mirkovic, G. Prier, P.L. Reiher (2002), Attacking DDOS at the Source, ICNP
9. Roshan Thomas, Brian Mark, Tommy Johnson, James Croall (2003),
NetBouncer: Client-legitimacy-based High-performance DDoS Filtering, in:
DISCEX
10. A. Bremler-Barr, N. Halachmi, H. Levi (2006), Aggressiveness Protective
Fair Queueing for Bursty Applications, IWQoS
11. Y. Kim, W.-C. Lau, M.C. Chuah, H.J. Chao (2004), Packetscore: statisticalbased overload control against distributed denial-of-service
attacks, INFOCOM
12. Changwang Zhang, Zhiping Cai, Weifeng Chen, Xiapu Luo, Jianping Yin (2005), Flow level detection and filtering of low-rate DDoS, Computer Networks, Volume 56, pp. 3417–3431
13. S.Ihm,V.Pai (2011), Towards understanding Modern Web Traffic,Proceed- ings, of the 2011 ACM SIGCOMM conference on Internet measurement conference, Pages 295-312
14. J.Lee & M.Gupta (2012), A new traffic model for current user web browsing
behavior, Intel Press
15. K.Choi & J.Lim (1999),A Behavioral of Web Traffic, Journal of Computer Networks
16. B.Mah (1997), An empirical model of HTTP network traffic, Procedding of INFOCOM, Kobe, Japan
84 17. V. Vasilakos, Long Jin (2013), Understanding User Behavior in Online
Social Networks: A Survey, Communications Magazine
18. Paolo Losi, Wfq implementation,
http://www.isi.edu/nsnam/archive/ns-users/webarch/2000/msg04025.html 19. The Network Simulator, NS2,
http://nsnam.isi.edu/nsnam/index.php/User_Information
20. M.Cha (2007), I tube, you tube, everybody tubes: analyzing the world's
largest user generated content video system, Proceeding IMC '07 Proceedings of
the 7th ACM SIGCOMM conference on Internet measurement, Pages 1-14 21. Fabian Schneider, Sachin Agarwal, Tansu Alpcan, and Anja Feldmann (2008), The New Web: Characterizing AJAX Traffic, Proceeding PAM'08 Proceedings of the 9th international conference on Passive and active network measurement, Pages 31-40.