Tương tự, mức độ thuộc về các hàm thành viên của giá trị chỉ thị PpF được mô tả ở Hình 3.10. Theo mơ hình Sugeno với hàm liên thuộc dạng hình thang, mức độ giá trị PpF thuộc về các tập mờ Low(PpF) và High(PpF) được phản ánh bởi các công thức:
F𝐿𝐿𝐿𝐿𝐿𝐿(𝑇𝑇𝑃𝑃𝐹𝐹) = max�min�𝑇𝑇𝑃𝑃𝐹𝐹 − 𝑒𝑒𝑓𝑓 − 𝑒𝑒 , 1,ℎ − 𝑇𝑇𝑃𝑃𝐹𝐹ℎ − 𝑔𝑔 �, 0� (3.4) F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝑇𝑇𝑃𝑃𝐹𝐹) = max �min�𝑇𝑇𝑃𝑃𝐹𝐹 − 𝑒𝑒′𝑓𝑓′ − 𝑒𝑒′ , 1,ℎ′ − 𝑇𝑇𝑃𝑃𝐹𝐹ℎ′ − 𝑔𝑔′ �, 0� (3.5) với e, f, g, h và e’, f’, g’, h’ là các đỉnh của hai hình thang biểu diễn cho các hàm hợp thành
FLow(PpF) và FHigh(PpF).
Xác định luật hợp thành
Bước tiếp theo là cần xác định các luật điều khiển trong thuật toán suy luận logic mờ khi nhận được các số rõ IAT và PpF. Các action đầu ra bao gồm Chuyển tiếp (Fw – Forward) hay
Xóa bỏ (Dr – Drop).
Action = Fw: Chuyển tiếp tất cả các gói tin tới máy chủ đích. Action = Dr: Xóa bỏ đi tỷ lệ Z các gói tin.
Dựa trên phân tích cơ chế hoạt động của hệ thống, chúng ta có các luật như sau:
[Rule 1]: IF IAT is Low AND PpF is Low THEN Action = Fw (3.6) [Rule 2]: IF IAT is High AND PpF is High THEN Action = Dr (3.7) [Rule 3]: IF IAT is High AND PpF is Low THEN Action = Dr (3.8) [Rule 4]: IF IAT is Low AND PpF is High THEN Action = Dr (3.9)
Để áp dụng mơ hình Sugeno, mỗi luật được xác định một trọng số wi. Với bốn luật nêu
trên, các trọng số được xác định như sau:
[Rule 1]: 𝑤𝑤1 =𝑚𝑚𝑚𝑚𝑛𝑛[F𝐿𝐿𝐿𝐿𝐿𝐿(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐿𝐿𝐿𝐿𝐿𝐿(𝑇𝑇𝑃𝑃𝐹𝐹)] (3.10) [Rule 2]: 𝑤𝑤2 =𝑚𝑚𝑚𝑚𝑛𝑛�F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝑇𝑇𝑃𝑃𝐹𝐹)� (3.11) [Rule 3]: 𝑤𝑤3 =𝑚𝑚𝑚𝑚𝑛𝑛�F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐿𝐿𝐿𝐿𝐿𝐿(𝑇𝑇𝑃𝑃𝐹𝐹)� (3.12) [Rule 4]: 𝑤𝑤4 = 𝑚𝑚𝑚𝑚𝑛𝑛�F𝐿𝐿𝐿𝐿𝐿𝐿(𝐼𝐼𝑆𝑆𝑇𝑇), F𝐻𝐻𝑙𝑙𝐻𝐻ℎ(𝑇𝑇𝑃𝑃𝐹𝐹)� (3.13) trong đó FLow, FHigh là các hàm hợp thành của các chỉ thị đầu vào IAT và PpF.
Các lớp của các hành động đầu ra được xác định như sau:
Dr = 1; Fw = 0. (3.14)
Giải mờ
Theo mơ hình Sugeno trong hệ suy luận mờ, kết quả hành động đầu ra (được đánh giá qua chỉ thị Z) của hệ thống là sự kết hợp của các luật với các mức độ khả năng tương ứng. Khi đó, giá trị chỉ thị đầu ra là trung bình cộng theo trọng số của các giá trị đầu ra theo biến ngôn ngữ của mỗi luật trong Cơ chế suy luận. Cụ thể, trong trường hợp này, chỉ thị đầu ra Z được tính theo cơng thức:
𝑍𝑍 =∑ 𝑤𝑤𝑁𝑁 𝑙𝑙𝑍𝑍𝑙𝑙
𝑙𝑙=1
∑ 𝑤𝑤𝑁𝑁 𝑙𝑙 𝑙𝑙=1 với N là số luật. Ở đây N = 4.
(3.15)
𝑍𝑍= 𝑤𝑤1𝐹𝐹𝑤𝑤𝑤𝑤+ 𝑤𝑤2𝐷𝐷𝐷𝐷+𝑤𝑤3𝐷𝐷𝐷𝐷+ 𝑤𝑤4𝐷𝐷𝐷𝐷
1+𝑤𝑤2+𝑤𝑤3+𝑤𝑤4 (3.16)
Kết quả tính tốn chỉ thị đầu ra Z nằm trong khoảng giá trị [0 - 1]. Giá trị này cho biết máy chủ đang xét có ở trạng thái đang bị tấn công hay không, và trong trường hợp phát hiện tấn công đang xảy ra tới máy chủ thì giá trị này cho biết tỷ lệ tổng số luồng tại bộ chuyển mạch biên của máy chủ đó ở thời điểm hiện tại là lưu lượng tấn công và cần phải loại bỏ.
3.4.7. Đánh giá hiệu năng của giải pháp
Để đánh giá khả năng đáp ứng và hiệu năng của hệ thống về mức độ giảm thiểu tác hại tấn công DDoS, q trình phân tích mơ phỏng được thực hiện đối với bộ lưu lượng được capture từ mạng thực của công ty Netnam tới một máy chủ dịch vụ web trong khoảng thời gian 600s. Bộ lưu lượng gồm 2 phần: lưu lượng lành tính và lưu lượng tấn cơng được thu thập và phân lập như mô tả trong mục 3.4.2. Các tham số của hệ thống được chọn như sau:
• Thời gian timeout cho các mục luồng CF_FEs: tidle = 10s, thard = 60s. Các tham số này được lấy theo tham số luồng phổ biến mặc định của các sản phẩm bộ chuyển mạch thương mại [110].
• Qua phân tích đặc tính lưu lượng của máy chủ, căn cứ vào đặc tính thống kê của máy chủ Web hoạt động ở điều kiện bình thường trong nhiều khung giờ trong ngày và khả năng chịu tải của máy chủ, ngưỡng S1 được chọn là 300, ngưỡng S2 được chọn là 600.
• Tương tự, căn cứ đặc tính lưu lượng của máy chủ ở điều kiện bình thường và điều kiện bị tấn cơng, ngưỡng IAT cho tấn công DDoS được chọn ở mức 0,2ms. Theo đó, tỷ lệ IAT ở điều kiện bình thường là 0,5, tỷ lệ IAT chắc chắn ở điều kiện bị tấn công DDoS là 0,99. Tỷ lệ PpF ở điều kiện bình thường là 0,1 và chắc chắn ở điều kiện bị tấn cơng là 0,9.
• Lưu lượng ở trạng thái bình thường, khơng bị tấn cơng được duy trì trong suốt thời gian phân tích 10 phút. Từ giây thứ 120 bắt đầu phát lưu lượng tấn công với tổng thời gian tấn công là 5 phút, kéo dài tới hết giây thứ 420.
Độ nhạy lọc bỏ và tỷ lệ lọc bỏ nhầm
Giá trị chỉ thị đầu ra Z của hệ thống tính được sau mỗi chu kỳ thể hiện trong biểu đồ Hình 3.11.