So sánh và đánh giá hiệu năng của giải pháp

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu năng lực cạnh tranh của điểm đến du lịch thừa thiên huế, việt nam (Trang 87 - 93)

2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công

2.4.4. So sánh và đánh giá hiệu năng của giải pháp

Thiết lập các tham số đánh giá

Hiệu quả của PLA DFM so với DFM được đánh giá dựa trên kết quả phân tích, thống kê từ bộ lưu lượng CAIDA 2013 [107] trong đó 100.000 flows với tổng dụng lượng khoảng 85GB lấy ngẫu nhiên từ các dịch vụ khác nhau được phân tích thống kê bằng cơng cụ Scapy áp dụng thuật tốn đánh dấu gói tin PLA DFM và so sánh với kỹ thuật DFM. Các tham số được thiết lập bao gồm:

Số lượng gói tin đánh dấu K: Q trình phân tích thực hiện với 3 trường hợp giá trị K

khác nhau (K = 3, K = 5, và K = 7). Với K = 3 và K = 7, PLA DFM sử dụng thêm tùy chọn có sử dụng checksum (C) trong đánh dấu hoặc không. Trường hợp K = 5, tùy chọn tham số checksum (C) đánh dấu không được hỗ trợ do thiếu không gian để chứa thơng tin này.

Giá trị ngưỡng MT: ngưỡng thấp nhất được chọn là MT=288 bytes với giả định rằng

giao thức Point To Point (quy định bởi RFC 1661 [128]) xuất hiện trong kênh truyền dữ liệu của mạng vì giao thức này được sử dụng tại nhiều loại mạng vật lý và hỗ trợ hầu hết các tiêu

giao thức này là khá thấp hơn các giao thức liên kết dữ liệu khác. Để đánh giá hiệu quả của giải pháp với các giá trị MT, q trình phân tích và lấy thống kê được thực hiện với các giá trị MT khác nhau và so sánh với trường hợp MT=288.

Hình 2.26 so sánh và minh họa sự tác động của kỹ thuật đánh dấu gói tin PLA DFM đối với các trường thơng tin trong phần tiêu đề thuộc gói tin đầu tiên của một mục luồng với trường hợp FL = 60 bytes < MT. Cửa sổ bên trái là cấu trúc tiêu đề gói tin khi khơng áp dụng kỹ thuật đánh dấu. Cửa sổ bên phải mô tả cấu trúc tiêu đề gói tin khi áp dụng PLA DFM.

Hình 2.26. So sánh tác động của PLA DFM tới tiêu đề gói tin đầu tiên của luồng

Đánh giá hiệu năng đánh dấu gói tin với cùng giá trị ngưỡng MT

Kết quả thu được sau q trình phân tích được thể hiện trong Hình 2.27, Hình 2.28 và Hình 2.29. Phần mất ổn định ban đầu là do sự quá độ trong thời gian bắt đầu đánh dấu lưu lượng. Khi số lượng luồng là đủ lớn, ảnh hưởng của quá độ giảm dần và hiệu năng giải pháp dần ổn định. Các chỉ số tính được tính tốn và sử dụng cho việc so sánh hiệu năng gồm:

• Tỷ lệ đánh dấu thành cơng (SMR): Tỷ lệ giữa số luồng có đủ gói tin chứa tồn bộ thơng tin đánh dấu trên tổng số luồng được đánh dấu.

tin.

• Tỷ lệ dung lượng gói tin bị đánh dấu (MSR): Tỷ lệ giữa tổng kích thước các gói tin được đánh dấu bao gồm cả phần mở rộng (nếu có) trên tổng kích thước của tồn bộ lưu lượng.

Hình 2.27. SMR của PLA DFM và DFM khi MT=288

Hình 2.28. MPR của PLA DFM và DFM khi MT=288

Kết quả cho thấy hiệu năng đánh dấu gói tin của PLA DFM với giá trị MT = 288 luôn vượt trội so với DFM trong cả 3 trường hợp K khác nhau. Tỷ lệ đánh dấu SMR duy trì ở mức ổn định trên 90% trong khi ở DFM đạt dưới 50% (Hình 2.27). Số lượng gói tin đánh dấu MPR của PLA DFM xấp xỉ ở mức 5% trong khi DFM ở mức trên 8% (Hình 2.28). Tỷ lệ dung lượng gói tin bị đánh dấu MSR của PLA DFM giảm một nửa so với DFM (Hình 2.29).

Hình 2.29. MSR của PLA DFM và DFM khi MT=288

Đánh giá hiệu năng đánh dấu gói tin với giá trị MT khác nhau

Bảng 2.12 so sánh các chỉ số đánh giá hiệu năng trong các trường hợp MT khác nhau. Kết quả cho thấy khơng có sự thay đổi đáng kể vì phần lớn các gói tin đầu tiên trong các luồng có kích thước nhỏ hơn 200 bytes. Do đó việc tăng giá trị MT không làm ảnh hưởng nhiều tới số lượng luồng được đánh dấu bằng cách sử dụng trường Option trong phần đầu gói tin IP. Với kết quả này, giá trị MT = 288 nên được sử dụng để cân đối giữa tỷ lệ đánh dấu thành cơng cao và nguy cơ bị phân mảnh gói tin.

Bảng 2.12. So sánh giữa các PLA DFM khác nhau với các giá trị K và MT

MT K SMR MPR MSR 288 3 95,11 4,40 1,11 5 94,26 4,68 1,39 7 93,66 4,91 1,61 500 3 96,95 4,36 1,09 5 96,65 4,58 1,35 7 96,15 4,78 1,56 568 3 97,18 4,26 1,07 5 96,92 4,55 1,34 7 96,46 4,74 1,55

Sự gia tăng lưu lượng đánh dấu

Bảng 2.13. Tỷ lệ gia tăng lưu lượng trong PLA DFM

MT Tổng kích

thước ban đầu (byte)

Kích thước

tăng thêm (byte) Tỷ lệ (%)

288 85.209.121.130 36.390.376 0,043

500 85.209.121.130 37.503.744 0,044

Trong giải pháp PLA DFM, với các luồng được đánh dấu bằng cách sử dụng trường mở rộng Options, chiều dài gói tin sẽ mở rộng thêm dẫn tới việc làm tăng kích thước lưu lượng tổng trong mạng. Như thể hiện trong Bảng 2.13, mức độ gia tăng lưu lượng do đánh dấu là khơng đáng kể. Tỷ lệ kích thước tăng lên này khơng phụ thuộc vào K và duy trì ổn định ở mức dưới 0,05 % khi giá trị MT thay đổi.

Nhận xét, đánh giá

• Cơ chế xử lý gói tin và kỹ thuật quản lý lưu lượng theo luồng trong kiến trúc mạng SDN/Openflow có thể được khai thác để thực hiện đánh dấu gói tin nhằm cung cấp khả năng truy vết nguồn phát sinh lưu lượng tấn cơng trên mạng Internet.

• Giải pháp PLA DFM đánh dấu các gói tin đầu tiên của luồng dựa trên sự thích ứng chiều dài gói và thực hiện tại bộ điều khiển. Kết quả phân tích hiệu năng cho thấy PLA DFM cho tỷ lệ đánh dấu thành công cao ( trên 90%) so với DFM (thấp hơn 50%) với tỷ lệ gói tin bị đánh dấu thấp (5% so với 8% trở lên của DFM) và mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%).

• Nếu được chuẩn hóa trong kiến trúc mạng SDN/Openflow và sử dụng thống nhất trên các bộ chuyển mạch biên của ISP, các trung tâm dữ liệu hoặc các mạng SOHO, PLA DFM cho phép truy vết các nguồn tấn công giả mạo địa chỉ IP, hỗ trợ ngăn chặn tấn công DDoS trên Internet.

2.5. Kết luận chương

Kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện và giảm thiểu tấn cơng DDoS. Sử dụng các khả năng đó, nội dung Chương 2 trình bày 3 giải pháp đề xuất đối với 3 yêu cầu phòng chống DDoS khác nhau trong mạng quy mô lưu lượng nhỏ: phân loại và lọc bỏ lưu lượng tấn công DDoS, giảm thiểu tấn công SYN Flood và hỗ trợ truy vết lưu lượng tấn công. Qua phân tích, đánh giá các giải pháp cho thấy:

- Các tham số dữ liệu thống kê về lưu lượng từ các bộ chuyển mạch OFS có thể được sử

dụng để phát hiện, phân loại lưu lượng tấn công bằng cơ chế giám sát theo chu kỳ. Đồng thời,

có thể ứng dụng khả năng lập trình xử lý gói tin theo cơ chế SDN/Openflow để lọc bỏ, ngăn

lưu lượng tấn cơng đi vào mạng đích khi được phát hiện, phân loại. Giải pháp phát hiện và giảm thiểu tấn cơng DDoS dựa trên mơ hình dự đốn thống kê làm trơn hàm mũ có cấu trúc đơn giản, sử dụng thuần túy đặc tính thống kê các tham số lưu lượng cung cấp bởi bộ chuyển mạch biên Openflow đạt tương quan độ nhạy – tỷ lệ báo động nhầm tốt, cụ thể khả năng phân loại (DRC đạt 98,7% ở mức FPRC 0,44%) so với giải pháp dùng SOM 6 tham số (DRC ở mức 98,61% với FPRC 0,59%), và khả năng lọc bỏ chính xác (DRF đạt 95,1% ở mức FPRF 3,3%) vượt trội so với giải pháp sử dụng biến thiên entropy (DRF đạt 95% với FPRF 32%). Giải pháp không cần phải sử dụng lưu lượng mẫu tấn cơng, có thể phát hiện và giảm thiểu tấn công trực tuyến các luồng tấn công TCP/UDP/ICMP. Tuy nhiên, lưu lượng thống kê lớn nên chỉ phù hợp áp dụng trong mạng quy mô nhỏ.

- Giải pháp Ủy nhiệm xử lý gói tin SYN trên Bộ điều khiển kết hợp khả năng tổ chức các

mục luồng trên OFS và xử lý trên Bộ điều khiển để capture các gói tin liên quan, giám sát và xử lý quá trình bắt tay ba bước giúp giảm đáng kể số lượng kết nối dang dở trên máy chủ (lên tới 80% ở tốc độ tấn công 500 pps), làm tăng khả năng chịu đựng tấn công của máy chủ, tăng tỷ lệ kết nối của lưu lượng lành tính (duy trì ở mức 87% trong khi của cấu hình Openflow chuẩn suy giảm xuống mức 5% ở tốc độ tấn công 600 pps). Đồng thời SSP giúp giảm lên đến 94% thời gian chiếm dụng của mục luồng lưu lượng lành tính so với cơ chế CM của Avant-Guard, trong khi không làm ảnh hưởng đáng kể đến sự chiếm dụng tài nguyên trên Bộ chuyển mạch, Bộ điều khiển.

- Ứng dụng cơ chế xử lý gói tin và quản lý luồng trong SDN/Openflow, giải pháp đánh dấu

gói tin theo luồng thích ứng với chiều dài gói PLA DFM cho tỷ lệ đánh dấu thành công cao (trên 90%) so với DFM (dưới 50%) với tỷ lệ gói tin bị đánh dấu thấp hơn (5% so với 8% của DFM) và mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%). PLA DFM được xử lý tại Bộ điều khiển, không cần thay đổi cấu trúc, bổ sung thiết bị trong kiến trúc mạng SDN/Openflow, nếu được chuẩn hóa và triển khai thống nhất trên hệ thống mạng sẽ cung cấp giải pháp truy vết nguồn tấn công, xác thực địa chỉ IP nguồn trên Internet, điều mà hiện nay đang khó thực hiện bằng cơng nghệ mạng truyền thống.

Các kết quả nghiên cứu trong Chương 2 đã được trình bày trong các cơng trình [C1], [J1], [J3] (Xem Danh mục các cơng trình đã công bố ở trang 108).

CHƯƠNG 3

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu năng lực cạnh tranh của điểm đến du lịch thừa thiên huế, việt nam (Trang 87 - 93)

Tải bản đầy đủ (PDF)

(139 trang)