CHƯƠNG 2 PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYNFLOOD
2.5. Phát hiện và loại bỏ các gói tin giả mạo trong tấn cơng DDoS TCP SynFlood
2.5.2. Kiểm chứng giả thuyết về tính chất tăng dần của giá trị PID
Các giải pháp phát hiện và loại bỏ các gói tin giả mạo trong tấn cơng TCP Syn Flood mà được đề xuất dựa trên giả định rằng các gói tin được gửi đi từ cùng một máy tính sẽ có giá trị PID tăng dần (theo dịng thời gian, nếu quan sát các packet được phát đi ra khỏi máy này). Tuy nhiên dịng PID đến từng máy đích thì có thể tăng ngắt qng. Trong phần này, chúng tôi sẽ đưa ra các kết quả khảo sát kiểm chứng và thực nghiệm để củng cố cho sự phổ biến của giả định này.
Tôi sử dụng hai tập dữ liệu để kiểm chứng tính chất tăng dần của giá trị PID như sau: Tập dữ liệu thứ nhất là tập dữ liệu kiểm thử DARPA Intrusion Detection Evaluation [12] do viện MIT cung cấp. Tập dữ liệu này được sử dụng nhiều bởi các nghiên cứu để đánh giá hiệu quả của các phương pháp phát hiện xâm nhập và tấn công DDoS.
Tập dữ liệu này bao gồm hai tập tin inside.tcpdump và outside.tcpdump được thu thập trên hệ thống DARPA vào tuần thứ 05 ngày thứ 04. Trong đó, tập tin inside.tcpdump được thu thập từ vùng mạng bên trong, bao gồm 3.404.824 gói tin từ 505 địa chỉ IP nguồn khác nhau. Tập tin outside.tcpdump được thu thập từ vùng mạng bên ngồi, bao gồm 2.558.481 gói tin từ 503 địa chỉ IP nguồn khác nhau.
Tập dữ liệu thứ hai là tập dữ liệu dhbkdata.pcap, chúng tôi thu thập tại hệ thống mạng của Trường Đại học Bách Khoa Hà Nội. Tập dữ liệu này được thu thập tại cổng kết nối Internet của hệ thống mạng trong khoảng thời gian 30s. Kết quả, chúng tôi thu thập được tập dữ liệu với 386.643 gói tin từ 8.258 địa chỉ IP nguồn khác nhau.
Các tệp tin PCAP ở trên, chúng tôi tải lên hệ thống lưu trữ của Google tại địa chỉ [46].