CHƯƠNG 2 PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYNFLOOD
2.6. Đánh giá thực nghiệm
2.6.2. Đánh giá thực nghiệm cho giải pháp PIDAD1 và PIDAD2
2.6.2.1. Giải pháp PIDAD1
Đối với giải pháp này, hiệu quả của việc phát hiện các gói tin giả mạo phụ thuộc vào các tham số:
- TCC: Khoảng thời gian tối đa để một Cluster có thể nhận được các thành viên mới và đủ điều kiện trở thành một Cluster. Khoảng thời gian này có ảnh hưởng tới số lượng các Cluster sẽ được tạo ra. Trường hợp, máy tấn cơng gửi 03 gói tin tấn cơng đến hệ thống, tuy nhiên nếu một gói tin đến chậm do đường truyền mạng, trong khi thời gian TCC quá nhỏ thì Cluster đó khơng được tạo thành, dẫn tới các gói tin giả mạo tiếp theo khơng được phát hiện. Để có cơ sở lựa chọn giá trị TCC, có thể căn cứ theo tổng số lượng gói tin thu được trong khoảng thời gian lấy mẫu. Từ đó, có thể xác định tốc độ tương đối của các gói tin đến hệ thống làm căn cứ xác định giá trị TCC.
- Giá trị MinPts số lượng các gói tin có giá trị PID tăng liên tiếp đủ điều kiện tạo thành một Cluster. Trên thực tế, có thể có trường hợp hai gói tin được gửi đi từ một máy có giá trị PID tăng liên tiếp, nhưng gói thứ ba lại bị ngắt qng do lỡi mạng hoặc các lý do khác. Do đó, giá trị này có ảnh hưởng tới hiệu quả của giải pháp. Tuy nhiên, xác suất xảy ra trường hợp này là nhỏ, do đó trong thực nghiệm này giá trị MinPts được thiết lập giá trị là 3.
Npc/Tcc 0,01 ms 0,02 ms 0,03 ms 0,04 ms 24229 62,22% 65,21% 68,16% 61,17% 48459 75,14% 72,46% 89,19% 84,21% 72688 88,13% 89,15% 92,57% 79,13% 96918 89,14% 79,17% 92,18% 84,61% 121147 90,11% 88,41% 89,61% 80,91% 145377 88,15% 88,21% 91,37% 83,21% Bảng 2.6 Kết quả thực nghiệm của giải pháp PIDAD1
Từ kết quả thực nghiệm trên có thể thấy giải pháp PIDAD1 sẽ đạt hiệu quả cao nhất khi chọn giá trị TCC là 0,03 ms.