2.1.1. Mô hình cơ bản
Như chúng ta đã đề cập, WDA dựa vào đặc tính của lưu lượng truy cập web hợp pháp để phân biệt so với giao thông tấn công, do đó suy giảm băng thông DDoS. Để làm như vậy, chúng ta cần một sự hiểu biết về các mô hình mẫu trong lưu lượng uplink Web.
Các mẫu lưu lượng giao thông web được tạo ra bởi một sự kết hợp của cấu trúc các trang web, thực hiện trình duyệt Web và hành động của người sử dụng. Một trang web cổ điển bao gồm một tập tin HTML với các liên kết đến một số đối tượng web khác, cùng nhau tạo nên một trang web hoàn chỉnh. Các đối tượng Web có thể được phân loại thành hai loại: đối tượng chính và đối tượng in-line. Các tài liệu HTML là đối tượng chính (thường mỗi đối tượng trên một trang), và các đối tượng liên quan với nó (style sheet, hình ảnh, video, v.v.) là đối tượng in-line (nhiều đối tượng mỗi trang).
Sự tương tác của con người tạo ra một đặc tính cơ bản của lưu lượng web đó là tính chất ON-OFF. Giai đoạn HTTP OFF đại diện cho thời gian suy nghĩ hay thời gian xem trang web của con người tải các trang web. Giai đoạn HTTP ON đại diện cho tổng thời gian người dùng tương tác dữ liệu với tải trang web: tải trang, upload file lên trang web. Giai đoạn HTTP ON kết thúc sau khi người dùng hoàn thành tương tác dữ liệu với trang web: các đối tượng cuối cùng trong trang web được tải xong, đối tượng cuối cùng người dùng upload lên trang web thành công. Giai đoạn HTTP ON và HTTP OFF cùng nhau tạo nên một Web Session.
Bây giờ các tác giả mô tả chi tiết hơn cách HTTP hoạt động trên một kết nối TCP pipelined (như HTTP 1.1 [25]). Web bắt đầu với một session TCP bắt tay 3 bước gửi từ client về phía server. Giai đoạn HTTP ON bắt đầu khi trình duyệt Web của client gửi một yêu cầu HTTP GET để lấy về đối tượng chính của trang. Thông qua kết nối mở client truyền đi lệnh HTTP GET, và nhận được một gói TCP ACK. Server Web tạo ra một đáp ứng HTTP (trên liên kết tải xuống) với các đối tượng chính. Trình duyệt Web của client sau đó xử lý các đối tượng chính, và tạo ra thêm đường pipelined yêu cầu HTTP GET cho từng đối tượng in-line, thông qua cùng một kết nối TCP (hoặc mở nhiều kết nối TCP đồng thời để giảm thời gian load trang). Server trả lời bằng cách truyền nhiều đối tượng in-line khác nhau, trong khi client gửi ACK TCP cho tất cả các gói của lưu lượng tải về cho tất cả các đối tượng này.
Lưu ý rằng HTTP Response thường đòi hỏi nhiều gói tin IP, vì vậy client sẽ truyền nhiều TCP ACK trong quá trình tiếp nhận đối tượng in-line. Hơn nữa, trình duyệt hiện đại truyền một TCP ACK sau khi tiếp nhận thành công hai gói tin IP (RFC 1122) [26].
2.1.2. Mô hình định lượng
Để có thể thiết kế và xây dựng WDA, và để có thể đánh giá hiệu suất thực tế, chúng ta cần một mô hình thống kê định lượng của lưu lượng Web. Mô hình như [27,28] được dựa trên phân tích thống kê các vết lưu lượng web. Do chúng ta quan tâm chủ yếu đến các thông số tải lên như thời gian xem và băng thông từ các client đến server Web (“băng thông upload”), chúng ta chọn để áp dụng mô hình của Choi và Limb [28] vì nó không chỉ mô hình hóa kích thước và số lượng đối tượng Web, mà còn cả kích thước của thông điệp HTTP Get, một tham số quan trọng của lưu lượng truy cập từ client đến server. Bảng 2.1 cho thấy các thông số của mô hình Choi-Limb. Để đơn giản, chỉ có các thông số liên quan đến WDA là được liệt kê.
Lưu ý rằng nghiên cứu của Choi-Limb [28], và phần lớn khác các nghiên cứu về lưu lượng giao thông Web như “Surge” [27], đã được thực hiện từ trên 10 năm trước. Hiện tại cũng chưa có tác giả nào thực hiện lại các nghiên cứu này để xác định lại các thông số mới, trong khi Internet đã phát triển rất nhiều qua từng năm. Đặc biệt, số lượng đối tượng in-line hiện nay đã tăng lên rất nhiều: websiteoptimization.com [29]
quan sát thấy rằng số lượng các đối tượng in-line thường là lớn hơn nhiều so với trung bình của 5.55 báo cáo của Choi-Limb trong [28].
Vì vậy, các tác giả quyết định sử dụng một mô hình sửa đổi trong đó số lượng các đối tượng in-line vẫn tuân theo phân phối Gamma nhưng với trung bình 55,5 (tức là, tăng hệ số 10).