Kịch bản kiểm tra ban đầu đã được sửa đổi để cho phép cấu hình các thuộc tính nhất định, ví dụ như kênh băng thơng và thời gian trễ. Các công cụ wirefilter đã được sử dụng để cấu hình các liên kết giữa mạng 1 và 2 mạng với băng thông là 1 GBps và thời gian trễ là 30 ms. Mối liên hệ giữa mạng 1 và 3 mạng đã được thiết lập để một băng thông là 1 GBps và thời gian trễ là 10 ms. Tất cả các liên kết khác được giả định có băng thơng là 100 MBps. Kịch bản của thử nghiệm, cũng như tạo các SOM, trên một máy chủ với bộ xử lý Intel Quad Core Xeon E5410, 2.33 GHz, và bộ nhớ RAM 16GB.
4.6 Đánh giá kết quả thực hiện
4.6.1 Mẫu được thu thập trong các thí nghiệm
Hai thí nghiệm được hồn thành. Trong thí nghiệm đầu đã tạo ra 106.000 flow trong quá trình huấn luyện của SOM. Từ con số này, 43.000 dòng được thu thập trong một khoảng thời gian của cuộc tấn công, trong khi 63.000 luồng khác được thu thập trong giao thơng bình thường. Bảng 4.3 cho thấy số lượng các bộ dữ liệu được chiết xuất từ tổng số dòng. Trong thí nghiệm thứ hai đã đưa ra các cuộc tấn cơng với các gói kích thước thay đổi như thể hiện trong Bảng 4.2. Tổng cộng có
cơng DDoS, và 225.000 khác được tạo ra trong khi khơng có tấn cơng diễn ra. Bảng 4.3 liệt kê số lượng mẫu lấy từ mỗi chuyển mạch OF trong các thí nghiệm. Các giá trị tương ứng với flow tạo ra thu được từ chuyển mạch OF 1, khi tất cả các gói tin đi qua nó. Trong cả hai thí nghiệm, tương ứng với các giai đoạn huấn luyện SOM và các kịch bản tấn cơng, khoảng thời gian cho các vịng lặp phát hiện được thiết lập để 3 giây. Theo định nghĩa, một bộ các tính năng được tính tốn từ một tập hợp các mục dòng thu thập từ một chuyển mạch OF tại một thời điểm nhất định. Ví dụ, đối với một chuyển mạch OF có 150 mục flow bộ trích xuất sẽ tạo nên 6- tuple dựa trên thiết lập này khi nó được thu thập bởi các mô-đun thu.
Bảng 4.3 Cài đặt mẫu được sử dụng cho huấn luyện và thử nghiệm
Attack Traffic Phase Legitimate Traffic Phase Training Testing Training Testing OF switch 1 1750 11845 1703 9106
OF switch 2 1750 11834 1703 9104
OF switch 3 - 11892 1702 9107
Total 3500 35571 5108 27317
4.6.2 Thời gian để huấn luyện và phân loại giao thông mạng
Giai đoạn huấn luyện của SOM sử dụng 3.500 mẫu được thu thập trong một cuộc tấn công, và 5,108 mẫu thu thập trong một khoảng thời gian khơng có tấn công. Ở đây, đã không xem xét các mẫu được tạo ra bởi chuyển mạch OF 3 trong khoảng thời gian bị tấn cơng bởi vì nó khơng có trong lộ trình của cuộc tấn cơng, nhưng nó là một trong các tuyến truyền dẫn trả lời những gói tin tấn cơng. Bảng IV so sánh bộ 6 – tuple và 4-tuple về thời gian cần thiết để thực hiện nhiệm vụ SOM, chẳng hạn như huấn luyện lưới tế bào thần kinh, phân loại một mẫu nhất định, và thực hiện các chức năng phân biệt. Các giá trị của việc phân loại thu được bằng cách sử dụng một hệ thống với 1,8 GHz, CPU lõi kép và 2 GB bộ nhớ RAM, trong khi các giá trị cho việc huấn luyện thực hiện đã thu được bằng cách sử dụng máy chủ mô phỏng các kịch bản thử nghiệm, đã được mô tả ở cuối Phần 4.5
Bảng 4.4 Thời gian thực hiện các nhiệm vụ phát hiện SOM
SOM Training execution SOM Classification 4-tuple 5,53 hs 271 ms
6-Tuple 7,16 hs 352 ms
4.6.3 Hiệu suất phát hiện
Hiệu quả của cơ chế phát hiện này được đánh giá thông qua việc đo lường Tỷ lệ phát hiện - Detection Rate (DR) và tỷ lệ phát hiện lỗi - False Alarm (FA), tính tốn tương ứng sử dụng cơng thức 7 và 8. TP DR TP FN (4.7)
trong đó TP (True Positives) là các bản ghi giao thông tấn công được phân loại các tấn công, và FN (False Negatives) là các bản ghi giao thông tấn công được phân loại hợp pháp . FP FA TN FN (4.8)
+ Trong đó FP (False Positives), là các bản ghi giao thông hợp pháp phân loại là tấn công, và TN (True Negatives) là các bản ghi giao thông hợp pháp phân loại là hợp pháp.
Bảng 4.5 trình bày các kết quả thu được từ phân tích các tính năng của bộ 6- tuple bộ và 4-tuple. Trong đó khơng bao gồm các tính năng PPf và GSf. Hai tính năng này khơng góp phần vào việc phân biệt có sự tấn cơng vào mạng hay khơng trong chuyển mạch OF 1, vì giá trị của chúng không thay đổi khi bị tấn công. Điều này xảy ra bởi vì các chuyển mạch bị tấn công ngay lập tức kết nối với chuyển mạch OF 1, và các gói tin bị tấn công, cũng như đáp ứng tương ứng của chúng, đã được đăng ký với flow bắt đầu của chuyển mạch OF 1. Vì vậy, tất cả các chuyển mạch khi chia sẻ cả hai loại tính năng này trong các gói tin phải làm theo tương tự .
Bảng 4.5 Các kết quả của phương pháp phát hiện 6-tuple 4-tuple 6-tuple 4-tuple DR(%) FA(%) DR(%) FA(%) OF switch 1 98.61 0.59 98.57 0.48 OF switch 2 99.11 0.46 98.73 0.62 OF switch 3 3.52 0.12 3.27 0.13
Bảng 4.5 cho thấy đối với chuyển mạch OF 1 đổi 1 sử dụng bộ 4 - tuple (0,48) tốt hơn so với việc sử dụng 6- tuple (0,59) chủ yếu là khi các cảnh báo lỗi được đưa vào tài khoản. Điều này xảy ra bởi vì trong một số trường hợp các giá trị của PPf và GSf làm giải pháp SOM[5] đã đưa ra kết quả không đúng. Tuy nhiên, khi lấy các mẫu bắt đầu từ chuyển mạch 2 thì tình hình ngược lại, tức là bộ 6- tuple có một kết quả tốt hơn (0.46 báo động sai và tỷ lệ phát hiện 99,11), so với bộ 4-tuple (0,62 báo động sai và tỷ lệ phát hiện 98,73). Lý do là trong chuyển mạch này giá trị PPf và GSf khi bị tấn cơng và lúc bình thường cho giá trị khác nhau đáng kể, và làm cho việc phân loại mẫu là một nhiệm vụ dễ dàng.