Quá trình thực nghiệm trên được thực hiện lặp lại nhiều lần. Sau đó thay đổi các thiết lập của phần mềm và tiếp tục thực hiện lại quá trình thực nghiệm. Cụ thể là bổ sung thêm 03 địa chỉ IP đích cần giám sát và cài đặt thêm một máy chủ Web ảo. Mục đích của việc thay đổi này là để đánh giá hiệu quả của phần mềm khi có thêm điều kiện kiểm tra trong quá trình khai phá dữ liệu logfile của Firewall ISA.
Kết quả thực nghiệm cho thấy phần mềm thực hiện tốt chức năng cảnh báo khi có tấn công từ chối dịch vụ. Trong các lần thử nghiệm tấn công, phần mềm đều phát hiện được và đưa ra thông điệp cảnh báo trên giao diện.
4.4.2. Đánh giá kết quả thực nghiệm
Trong quá trình tiến hành thực nghiệm, phần mềm DoSAlert đã thực hiện tốt chức năng đưa ra cảnh báo khi có tấn công từ chối dịch vụ với độ trễ khoảng 5-10 giây kể từ thời điểm bắt đầu chạy chương trình giả lập. Tiến hành so sánh với một số công cụ khác cũng cho phép cảnh báo tấn công từ chối dịch vụ dựa trên việc phân tích logfile hiện nay (như ArcSight, Nxlog, Splunk), cho thấy độ trễ như vậy là chấp nhận được.
Trong quá trình diễn ra tấn công từ chối dịch vụ, mức chiếm dụng CPU của phần mềm dao động trong khoảng 40%-70%. Khi kết thúc tấn công từ chối dịch vụ, mức chiếm dụng CPU khoảng 30%. Có thể thấy, mức độ chiếm dụng tài nguyên như vậy là tương đối cao. Tuy nhiên, do môi trường thực nghiệm sử dụng các máy ảo chạy trên cùng một máy tính vật lý nên việc đánh giá mức độ chiếm dụng tài nguyên chưa được chính xác vì thực tế chỉ có 01 CPU vật lý. Cần phải xây dựng môi trường thực nghiệm trong đó có các máy chủ vật lý riêng lẻ để đánh giá chính xác mức độ chiếm dụng tài nguyên của phần mềm, từ đó tiến hành điều chỉnh mã nguồn để đảm bảo phần mềm vận hành tối ưu nhất.
KẾT LUẬN
Kết quả đạt được của luận văn:
Luận văn này tiến hành khảo sát các giải pháp và đề nghị một mô hình thử nghiệm khai phá dữ liệu logfile của Firewall trong hệ thống mạng IPTV nhằm phát hiện tấn công từ chối dịch vụ. Luận văn cũng xác định một tiêu chí để nhận dạng tấn công từ chối dịch vụ.
Luận văn tiến hành thực nghiệm mô hình đã được đề nghị trên một hệ thống giả lập có đầy đủ các thành phần bao gồm: máy chủ dịch vụ, Firewall kiểm soát kết nối, máy chủ giả lập tấn công. Quá trình thực nghiệm đem lại những kết quả khả quan. Phần mềm DoSAlert sử dụng mô hình đề xuất đã hoạt động tốt trong môi trường giả lập. Các cuộc tấn công thử nghiệm đều được phát hiện và cảnh báo trong thời gian thuộc khoảng 5-10 giây; đây là độ trễ chấp nhận được.
Mô hình này có thể được tối ưu và áp dụng để phát hiện các loại hình tấn công khác, đặc biệt là những kiểu tấn công phức tạp, đòi hỏi phải có sự phân tích kết hợp giữa nhiều nguồn log khác nhau, nhiều yếu tố khác nhau, chẳng hạn: tấn công dò quét mật khẩu, leo thang đặc quyền, sql injection, xss, v.v…
Định hướng phát triển:
Mặc dù quá trình thực nghiệm cho kết quả tốt, mô hình cần được tiếp tục nghiên cứu phát triển, hoàn thiện để có thể đạt được hiệu quả cao hơn khi áp dụng vào những hệ thống có quy mô lớn.
Một số định hướng phát triển cần thực hiện như sau: - Cải tiến tốc độ của quá trình phân cụm.
- Tối ưu thực thi đa luồng (multithread) để giảm thiểu chiếm dụng tài nguyên, đồng thời tăng cường khả năng xử lý dữ liệu logfile.
TÀI LIỆU THAM KHẢO
Tài liệu tiếng Việt:
[1] Hà Quang Thụy, Phan Xuân Hiếu, Đoàn Sơn, Nguyễn Trí Thành, Nguyễn Thu Trang, Nguyễn Cẩm Tú (2009), Giáo trình khai phá dữ liệu web, Nhà xuất bản giáo dục, Hà Nội.
[2] Nguyễn Hoàng Tú Anh, Giáo trình khai thác dữ liệu và ứng dụng, Đại học KHTN TP.HCM, 2009.
[3] Nguyễn Thị Huế (2011), Nghiên cứu các kỹ thuật phân cụm dữ liệu và
ứng dụng, Luận văn thạc sỹ, trường ĐHCN, ĐHQG Hà nội
[4] Thủ tướng Chính phủ (2011), Chỉ thị về việc tăng cường triển khai các
hoạt động đảm bảo an toàn thông tin số, Chỉ thị số 897/CT-TTg, ngày
10/06/2011.
Tài liệu tiếng Anh:
[5] CERT/CC (2001), Denial of Service Attack .
[6] China Telecom (2008), Technical Specification of IPTV STB Equipments, vol 2.0.
[7] Osmar R.Zaiane (2001), Principles of knowledge discovery in databases, University of Alberta.
[8] Francisco José Lopes Lameira (2010), IPTV log events Profiling, MSc Thesis, University of Lisbon.
[9] Georgios Loukas, Gülay Öke (2009), Protection against Denial of Service
Attacks: A Survey, The Computer Journal, 53(7): 1020-1037.
[10] Kimmo Hätönen (2009), Data mining for telecommunications network log
analysis, PhD Thesis, the University of Helsinki.
[11] Tongqing Qiu (2011), Understanding A Large-Scale IPTV Network via
System Logs, PhD Thesis, Georgia Institute of Technology.
[12] Website: http://technet.microsoft.com/en-us/library/bb838824.aspx.
[13] Telecommunication Standardization Sector of ITU-T (2010), Terms and
defination for IPTV, Recommendation ITU-T Y.1991.
[14] Telecommunication Standardization Sector of ITU-T (2006), Overall
defination and description of IPTV in the business role model, FG IPTV-