Dựa vào cơ sở dữ liệu dữ liệu đã có, ta thống kê đƣợc số flow theo kích thƣớc gói tin đầu tiên trong các flow:
Bảng 10: Thống kê số Flow theo kích thƣớc gói tin đầu tiên của bộ dữ liệu CAIDA 2013.
Kích thƣớc gói tin đầu tiên trong Flow Số Flow Tỉ lệ Flow (%)
1-20 0 0 21-40 481549 9,631 41-60 2489159 49,7832 61-80 641354 12,8271 81-100 337284 6,7457 101-200 549581 10,9916 201-300 86276 1,7255 301-400 64198 1,284
Bùi Trung Thành – CB120730 – KTTT22012B Trang 81 401-500 38551 0,771 501-600 36318 0,7264 601-700 35616 0,7123 701-800 20268 0,4054 801-900 22842 0,4568 901-1000 42851 0,857 1001-1100 30053 0,6011 1101-1200 22055 0,4411 1201-1300 6772 0,1354 1301-1400 10280 0,2056 1401-1500 84993 1,6999
Thông qua bảng dữ liệu ta có thể thấy, kích thƣớc gói tin đầu tiên của các Flow chủ yếu là ở trong khoảng từ 20-200 byte (chiếm 89,97854%), còn lại các Flow đƣợc phân bố khá đồng đều với các kích thƣớc gói tin còn lại. Trong đó kích thƣớc tối đa của gói tin đầu tiên có thể lên đến 1500 byte.
Sử dụng phần mềm OriginPro [13] để xử lý dữ liệu thu đƣợc, ta có mô hình thống kê phân bố của tỉ lệ số Flow/Kích thƣớc gói tin đầu tiên của Flow nhƣ sau:
Bùi Trung Thành – CB120730 – KTTT22012B Trang 82
Hình 26: Mô hình thống kê phân bố Tỉ lệ số Flow/Kích thƣớc gói tin đầu của bộ dữ liệu CAIDA 2013. 4.2. Đặc điểm số lƣợng gói tin của một Flow
Dựa vào cơ sở dữ liệu dữ liệu đã có, ta thống kê đƣợc số flow theo số gói trong các flow:
Bảng 11: Thống kê số Flow theo số gói tin trong Flow của bộ dữ liệu CAIDA 2013.
Số gói trên một Flow Số Flow Tỉ lệ Flow (%)
1 2180568 43,611578 2 596972 11,9395 3 278745 5,574928 4 261668 5,233386 5 397013 7,9403 6-10 610597 12,2120 11-100 570288 11,405817 101-1000 83298 1,665968
Bùi Trung Thành – CB120730 – KTTT22012B Trang 83
1001-10000 20143 0,402862
10001-65535 683 0,01366
65536-283398 25 0,0005
Thông qua bảng số liệu trên ta có thể thấy đƣợc các Flow có số gói tin càng lớn thì càng ít xuất hiện, trong đó:
Số Flow có số gói ≤ 65535 gói là 4999975 flow.
Số Flow có số gói > 65535 gói là 25 flow.
Do đó ta lựa chọn lấy dữ liệu để xử lý là các flow có số gói ≤ 65535 gói. Sử dụng phần mềm OriginPro để xử lý dữ liệu thu đƣợc, ta có mô hình thống kê phân bố của tỉ lệ số Flow/Số gói tin một Flow nhƣ sau:
Bùi Trung Thành – CB120730 – KTTT22012B Trang 84
Dễ dàng nhận thấy rằng sự phân bố trên có thể tuân theo một mô hình phân bố nhất định. Các mô hình phân bố có dạng gần tƣơng tự nhƣ mô hình trên bao gồm:
Mô hình Logistic
Mô hình Exponential Association
Mô hình Exponential Decay
Mô hình Freundlich
Mô hình Log-normal
Mô hình Asymptotic Regression
Mô hình Two-Parameter Exponential
Sử dụng tính năng Curve Fitting trong phần mềm OriginPro để tìm mô hình phân phối phù hợp cho dữ liệu thực tế trên. Ta có bảng thống kê nhƣ sau:
Bảng 12: Thống kê sai số của các mô hình phân bố trong quá trình Curve Fitting.
Mô hình
phân bố
Sai số tuyệt đối trung bình của tỉ lệ số Flow
Số gói một Flow ≤ 10 Số gói một Flow ≤ 100 Số gói một Flow ≤ 1000 Số gói một Flow ≤ 10000 Số gói một Flow ≤ 65535 Logistic 1,143799 0,185011 0,018478 0,001851 0,000287 Exponential Association 0,709814 0,132644 0,064067 0,007005 0,001232 Exponential Decay 0,748098 0,132645 0,018764 0,002159 0,000346 Freundlich 1,35937 0,160017 0,018041 0,001863 0,000288 Log-normal 1,203205 0,517058 0,053789 0,005591 0,000869 Asymptotic Regression 1,372543 0,47036 0,064067 0,007005 0,001102 Two- Parameter Exponential 2,668938 0,380931 0,039759 0,004016 0,000613
Bùi Trung Thành – CB120730 – KTTT22012B Trang 85
Dựa vào bảng thống kê trên ta có thể thấy khi thực hiện Curve Fitting với mô hình phân bố Exponential Decay và Logistic cho sai số tỉ lệ các Flow đối với tất cả dữ liệu thống kê ít nhất. Bây giờ ta sẽ so sánh các sai số thu đƣợc từ hai mô hình phân bố trên để lựa chọn ra mô hình phân bố hợp lý nhất.
Theo bảng dữ liệu thống kế số Flow theo số gói trong Flow, thì số lƣợng Flow có số gói nhỏ (≤ 100) chiếm tỷ lệ rất lớn khoảng 97,9168%. Do đó mô hình phân bố có sai số đối với số gói trong một Flow ≤ 100 càng nhỏ thì càng gần đúng với phân bố thực tế của lƣu lƣợng mạng lựa chọn mô hình phân bố là Exponential Decay. Thông qua phần mềm OriginPro, ta thu đƣợc các thông số của mô hình phân bố nhƣ sau:
Biểu thức:
Giá trị các tham số:
Bảng 13: Giá trị các tham số của mô hình phân bố Exponential Decay cho dữ liệu CAIDA thực tế
y0 9,28535E-5 A1 176,81868 t1 0,41748 A2 186,20323 t2 0,41753 A3 12,89722 t3 4,94181
4.3. Tác động tới giải pháp PLA DFM
Phân tích đặc điểm của dữ liệu mạng từ bộ dữ liệu của CAIDA, ta thu đƣợc các kết quả sau:
1. Gần 90% các Flow có độ dài gói tin đầu tiên từ 20-200 byte, Đây là sở cứ để định nghĩa một ngƣỡng độ dài cho giải pháp PLA DFM, mà đảm bảo kích thƣớc gói tin khi có các thông tin đánh dấu không vƣợt quá MTU của mạng,
Bùi Trung Thành – CB120730 – KTTT22012B Trang 86
tránh đƣợc trƣờng hợp gây ra sai do phân mảnh gói tin tỉ lệ đánh dấu thành công sẽ đƣợc cải thiện.
2. Mô hình phân bố tỉ lệ số Flow theo số lƣợng gói tin của Flow, trong đó tỉ lệ số lƣợng Flow có 1 gói tin là rất lớn. Đây là sở cứ để chứng minh hiệu quả của giải pháp PLA DFM so với các giải pháp truy ngƣợc khác khi vẫn đảm bảo đánh dấu các Flow chỉ có một gói tin (do sử dụng trƣờng tùy chọn). PLA DFM sử dụng đặc tính của lƣu lƣợng thực tế rằng độ dài gói tin đầu tiên trong mỗi Flow thƣờng nhỏ hơn so với các gói khác; và các Flow có số gói tin cần để đánh dấu thành công nhỏ hơn DFM, điều này sẽ cho tỉ lệ thành công lớn hơn và cải thiện đƣợc hiệu suất. Sử dụng một cơ chế linh hoạt trong việc quyết định đánh dấu bằng độ dài của gói tin đầu tiên, tỉ lệ đánh dấu thành công của PLA DFM lớn hơn khá nhiều so với các sơ đồ truyền thống mà không phải quan tâm tới việc tăng kích thƣớc gói tin. Xa hơn số lƣợng và tổng kích thƣớc của các gói tin đánh dấu đƣợc giảm nhiều hơn so với DFM truyền thống. Điều này rất hữu ích khi thực hiện sử dụng một thiết bị độc lập đƣợc gắn bên ngoài của router biên.
Trong tƣơng lai, nghiên cứu này sẽ tập trung vào khả năng đánh dấu và truy ngƣợc trong điều kiện của tấn công từ chỗi dịch vụ, ứng dụng và thực hiện sơ đồ trong việc phát hiện và ngăn chặn tấn công. Việc đo một vài tham số hệ thống chẳng hạn nhƣ thời gian đáp ứng vƣợt quá, … cũng cần phải đƣợc thực hiện.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 87
KẾT LUẬN
Với đề tài của luận văn tốt nghiệp ―Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng‖, tôi đã rút ra đƣợc những kết luận nhƣ sau:
Giải pháp truy ngƣợc địa chỉ IP sử dụng thuật toán PLA DFM là giải pháp đem lại tỉ lệ đánh dấu gói tin thành công cao hơn so với giải pháp DFM truyền thống.
Giải pháp PLA DFM cũng có tỉ lệ gói tin đánh dấu và tỉ lệ kích thƣớc đánh dấu thấp hơn đem lại tốc độ đánh dấu nhanh hơn so với giải pháp DFM truyền thống.
Gần 90% các Flow có độ dài gói tin đầu tiên từ 20-200 byte, Đây là sở cứ để định nghĩa một ngƣỡng độ dài cho giải pháp PLA DFM, mà đảm bảo kích thƣớc gói tin khi có các thông tin đánh dấu không vƣợt quá MTU của mạng, tránh đƣợc trƣờng hợp gây ra sai do phân mảnh gói tin
tỉ lệ đánh dấu thành công sẽ đƣợc cải thiện.
Mô hình phân bố tỉ lệ số Flow theo số lƣợng gói tin của Flow, trong đó tỉ lệ số lƣợng Flow có 1 gói tin là rất lớn. Đây là sở cứ để chứng minh hiệu quả của giải pháp PLA DFM so với các giải pháp truy ngƣợc khác khi vẫn đảm bảo đánh dấu các Flow chỉ có một gói tin (do sử dụng trƣờng tùy chọn).
Bùi Trung Thành – CB120730 – KTTT22012B Trang 88
TÀI LIỆU THAM KHẢO
[1] Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Nguyen Tai Hung, Bart Puype, Didier Colle, Kris Steenhaut, "An Enhanced Deterministic Flow Marking Technique to Efficiently Support Detection of Network Spoofing
Attacks", accepted to the IEEE ATC 2014.
[2] Mehmud Abliz, ―Internet Denial of Service Attacks and Defense Mechanisms‖, University of Pittsburgh Department of Computer Science Technical Report, TR-11-178, March 2011.
[3] Aghaei-Foroushani and Zincir-Heywood, ―IP traceback through (authenticated) deterministic flow marking: an empirical evaluation‖, EURASIP Journal on
Information Security 2013.
[4] Aghaei-Foroushani and Zincir-Heywood, ―Deterministic and Authenticated Flow Marking for IP Traceback‖, 2013 IEEE 27th International Conference on Advanced Information Networking and Applications.
[5] Aghaei-Foroushani and Zincir-Heywood, ―On Evaluating IP Traceback Schemes: A Practical Perspective‖, 2013 IEEE Security and Privacy Workshops. [6] A. Belenky et al., ―IP traceback with deterministic packet marking‖, IEEE Communications Letters, vol. 7, no. 4, pp. 162-164, April 2003.
[7] S. Savage, D. Wetherall, A. Karlin and T. Anderson, ―Network support for IP traceback‖, IEEE/ACM Transactions on Networking, vol. 9, no.3, pp. 226-237, June 2001.
[8] Nguyễn Phƣơng Chính, Luận văn thạc sĩ: ―Giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng‖, Trƣờng Đại học Công nghệ - Đại học quốc gia Hà Nội.
[9] Phạm Đức Thọ, Đồ án đại học: ―Xây dựng hệ thống phát hiện xâm nhập bằng phần mềm Snort‖, Trƣờng Đại học Công nghệ thông tin và Truyền thông – Đại học Thái Nguyên.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 89
[10] The CAIDA UCSD Anonymized Internet Traces 2013,
http://www.caida.org/data/passive/passive_2013_dataset.xml .
[11] http://www.secdev.org/projects/scapy/ [12] http://www.sqlite.org/
[13] http://www.originlab.com/index.aspx?go=Products/OriginPro