Một phần quan trọng của WDAQ là những giá trị của các tham số. Để xác định các tham số, Các tác giả chạy một mô phỏng chuyên dụng chỉ trên policer. Mô phỏng được thực hiện bằng cách sử dụng NS2 [31]. Mục tiêu ở đây là thông qua các mô phỏng với nhiều trường hợp, với một số tiêu chí như để lưu lượng hợp lệ bị gửi vào hàng đợi thấp là ít nhất, lưu lượng tấn công bị phát hiện tốt nhất,… có thể xác định được các tham số hợp lí nhất để áp dụng cho WDA.
2.3.1. Mô phỏng với lưu lượng hợp lệ
Ở trường hợp này, chúng ta mô phỏng policer của một client hợp lệ duy nhất. Đầu vào cho các mô phỏng là một loạt các yêu cầu lưu lượng upload của client hợp lệ, cũng như thời gian suy nghĩ – thinking time cho nửa triệu Web session. Đầu vào được chọn ngẫu nhiên qua việc phân phối theo mô hình của Choi-Limb. Những giá trị này đã được sử dụng thay cho BW[i] và OP[i] trong các công thức của policer. Chúng ta thực hiện đo được số lượng trung bình các byte gửi đến các hàng đợi độ ưu tiên thấp và hàng đợi độ ưu tiên cao. Mục tiêu chính của của mô phỏng này là để tìm một tập những tham số giúp cho policer gửi ít hơn 1% lưu lượng hợp pháp đến hàng đợi có độ ưu tiên thấp, tức là tỉ lệ false-positive dưới 1%.
Mô phỏng này tập trung quan tâm chủ yếu đến giá trị của tham số Session_Max_TH, là tham số kiểm soát dung lượng byte tối đa của một client được phép upload mà không bị coi là trường hợp nghi tấn công trong một session Web. Giá trị này liên quan chặt chẽ đến kích thước của các trang web (trang chính và các đối tượng in-line) trong các Web farm được bảo vệ bởi WDA.
2.3.2. Định lượng các chiến lược tấn công
Chúng ta cũng cần phải thiết lập các tham số WDA để đạt được sự suy giảm hiệu quả chống lại những kẻ tấn công. Để làm vậy, các tác giả thực hiện mô phỏng hành vi của các policer WDAQ, chống lại một kẻ tấn công duy nhất với nhiều chiến lược tấn công khác nhau. Đối với mỗi chiến lược các tác giả tính toán hai số liệu: “Aggressiveness” và “Attenuation” tương ứng đại diện cho “Độ gây hấn” và “Sự suy giảm”.
Các giá trị “Aggressiveness” được đo bởi giá trị khoảng thời gian mà các máy zombie của kẻ tấn công thực sự truyền lưu lượng tấn công đến hệ thống. Giá trị “Aggressiveness” gần với 1 có nghĩa là kẻ tấn công là truyền lưu lượng gần như liên tục. Công thức cụ thể:
𝐴𝑔𝑔𝑟𝑒𝑠𝑠𝑖𝑣𝑒𝑛𝑒𝑠𝑠 = 𝑂𝑁 𝑡𝑖𝑚𝑒
𝑂𝑁 𝑡𝑖𝑚𝑒 + 𝑂𝐹𝐹 𝑡𝑖𝑚𝑒 (2.4)
WDA áp đặt những hạn chế về băng thông upload (theo byte). Do đó các chiến lược tấn công khác nhau cũng được xác định theo lượng byte upload mỗi cụm. Để tính toán giá trị “Aggressiveness” ta cần phải chuyển đổi những cụm byte sang thời gian giai đoạn ON theo giây. Để làm điều này ta giả định rằng zombie tấn công có băng thông uplink là 128 Kbps, tốc độ uplink nhỏ nhất của đường ADSL hiện nay. Lưu ý rằng một zombie sử dụng cùng một chiến lược nếu như sử dụng một uplink có tốc độ cao hơn sẽ thực sự có một giá trị “Aggressiveness” thấp hơn, phù hợp với các suy luận lý thuyết: các zombie có thể hoàn thành nó giai đoạn upload nhanh hơn, nhưng khoảng thời gian giai đoạn OFF của nó vẫn là không đổi, do vậy trung bình nó sử dụng tỉ lệ băng thông nhỏ hơn.
Giá trị “Attenuation” là độ đo sự thành công của WDA chống lại những kẻ tấn công. Ở đây lưu lượng giao thông tấn công mà chuyển đến hàng đợi có độ ưu tiên thấp là vô hại, vì vậy nó sẽ là một sự lãng phí thời gian của kẻ tấn công. Chỉ có lưu lượng giao thông tấn công chuyển đến được hàng đợi có độ ưu tiên cao mới là hiệu quả, theo quan điểm của kẻ tấn công. Do đó ta xác định thời gian giai đoạn ON hiệu quả là tổng số thời gian (tính bằng giây) mà những kẻ tấn công đã sử dụng truyền lưu lượng đến hàng đợi có độ ưu tiên cao. Với điều này, chúng ta định nghĩa giá trị “Attenuation”:
Attenuation = 𝑂𝑁 𝑡𝑖𝑚𝑒 + 𝑂𝐹𝐹 𝑡𝑖𝑚𝑒
𝐸𝑓𝑓𝑒𝑐𝑡𝑖𝑣𝑒 − 𝑂𝑁 𝑡𝑖𝑚𝑒 (2.5)
2.3.3. Mô phỏng với lưu lượng tấn công
Ta thực hiện mô phỏng WDA chống lại các chiến lược tấn công sau: + (1) Kiểu tấn công gửi tràn đơn giản
+ (2) Kiểu tấn công “high-burst slow” + (3) Kiểu tấn công “low-burst fast “ + (4) Kiểu tấn công “low-burst slow“ + (5) Kiểu tấn công “ “ – ngẫu nhiên
Các kiểu tấn công (4) và (5) là các kiểu tấn công ít nguy hiểm hơn. Tuy vậy có thể nói các kiểu tấn công này đều là các kiểu tấn công có nhận thức được cơ chế WDA và được thiết kế đặc biệt nhằm cố gắng đánh bại các cơ chế phòng chống của WDA.
Thiết kế của kiểu tấn công “low-burst slow là để tránh session bẫy và cũng như trạng thái tối thiểu của WDA. Do đó, những kẻ tấn công định kỳ truyền Session_Min_TH byte, và là đợi một khoảng AOP_Low_TH giây để tiếp tục một session mới. Kiểu tấn công này sẽ không bao giờ rơi vào trạng thái tối thiểu, cũng như dễ dàng hồi phục sau các session bẫy do tốc độ upload thấp của nó.
Kiểu tấn công “random” cũng có độ nguy hại thấp, cố gắng sử dụng hàm ngẫu nhiên để tránh khỏi các session bẫy. Giả sử rằng kẻ tấn công biết được giá trị của ngưỡng session bẫy. Độ lớn của giai đoạn ON đối với kẻ tấn công “random” được chọn theo cách: với xác suất Trap_Session_TH, nó sẽ truyền đi Session_Min_TH byte, còn lại nó sẽ truyền đi lưu lượng có độ lớn ngẫu nhiên trong khoảng 0.1*Session_Max_TH cho đến (Session_Max_TH - 30KB) byte. Thời gian giai đoạn OFF của kiểu tấn công “random” được chọn theo cách: với xác suất Trap_Session_TH nó sẽ dừng truyền lưu lượng một khoảng AOP_Low_TH, nếu không nó dừng trong khoảng trung bình thời gian giai đoạn OFF: 39.5 giây, theo Choi-Limb.
2.3.4. Tham số policer và kết quả
Để chọn các giá trị tham số, các tác giả tập trung vào những cặp tham số sau: + (i) legitimacy_factor và suspicion_factor
+ (ii) legitimacy_factor và ran_BF
+ (iii) Trap_Session_TH và Think_Time_Trap_Min + (iv) Trap_Session_TH và BW_Trap_Session_Min + (v) WOP và AOP_Low_TH
Với mỗi cặp hoặc các tham số, thực hiện thử nghiệm 5 thiết lập (tổng số là 25 thiết lập), trong khi vẫn giữ tất cả các tham số khác cố định. Với mỗi thiết lập thực hiện chạy một mô phỏng nửa triệu session Web cho mỗi 6 kịch bản cô lập (1 hợp lệ, 5 là tấn công). Như mục tiêu đặt ra từ trước, tiêu chí đầu tiên là đảm bảo một tỉ lệ false- positive dưới 1% cho lưu lượng giao thông hợp lệ. Với lưu lượng giao thông tấn công, ta theo dõi giá trị “Attenuation” với mục tiêu tăng giá trị này càng cao càng tốt. Qua các mô phỏng, để cân bằng giữa các trường hợp, các giá trị được chọn cuối cùng được
cho trong bảng 2.2.