CHƯƠNG 2. PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYN FLOOD
2.6. Đánh giá thực nghiệm
2.6.2. Đánh giá thực nghiệm cho giải pháp PIDAD1 và PIDAD2
Đối với giải pháp này, hiệu quả của việc phát hiện các gói tin giả mạo phụ thuộc vào các tham số:
- TCC: Khoảng thời gian tối đa để một Cluster có thể nhận được các thành viên mới và đủ điều kiện trở thành một Cluster. Khoảng thời gian này có ảnh hưởng tới số lượng các Cluster sẽ được tạo ra. Trường hợp, máy tấn công gửi 03 gói tin tấn công đến hệ thống, tuy nhiên nếu một gói tin đến chậm do đường truyền mạng, trong khi thời gian TCC quá nhỏ thì Cluster đó không được tạo thành, dẫn tới các gói tin giả mạo tiếp theo không được phát hiện.
Để có cơ sở lựa chọn giá trị TCC, có thể căn cứ theo tổng số lượng gói tin thu được trong khoảng thời gian lấy mẫu. Từ đó, có thể xác định tốc độ tương đối của các gói tin đến hệ thống làm căn cứ xác định giá trị TCC.
- Giá trị MinPts số lượng các gói tin có giá trị PID tăng liên tiếp đủ điều kiện tạo thành một Cluster. Trên thực tế, có thể có trường hợp hai gói tin được gửi đi từ một máy có giá trị PID tăng liên tiếp, nhưng gói thứ ba lại bị ngắt quãng do lỗi mạng hoặc các lý do khác. Do đó, giá trị này có ảnh hưởng tới hiệu quả của giải pháp. Tuy nhiên, xác suất xảy ra trường hợp này là nhỏ, do đó trong thực nghiệm này giá trị MinPts được thiết lập giá trị là 3.
Kết quả cụ thể như sau:
Npc/Tcc 0,01 ms 0,02 ms 0,03 ms 0,04 ms 24229 62,22% 65,21% 68,16% 61,17%
48459 75,14% 72,46% 89,19% 84,21%
72688 88,13% 89,15% 92,57% 79,13%
96918 89,14% 79,17% 92,18% 84,61%
121147 90,11% 88,41% 89,61% 80,91%
145377 88,15% 88,21% 91,37% 83,21%
Bảng 2.6 Kết quả thực nghiệm của giải pháp PIDAD1
Từ kết quả thực nghiệm trên có thể thấy giải pháp PIDAD1 sẽ đạt hiệu quả cao nhất khi chọn giá trị TCC là 0,03 ms.
2.6.2.2. Giải pháp PIDAD2
Kết quả đánh giá thực nghiệm giải pháp PIDAD2 sử dụng cùng tập dữ liệu kiểm thử với giải pháp PIDAD1 được thực hiện với các tham số sau:
Số lượng gói tin trong mẫu thử nghiệm (#Packets)
Số lượng gói tin giả mạo phát hiện được (#Detected Packets)
Số lượng các chuỗi có PID tăng dần được tạo ra (# PID-Groups)
DR: Tỷ lệ phát hiện đúng gói tin giả mạo
FP: Tỷ lệ phát hiện sai các gói tin giả mạo
#Packets #Detected Packets
# PID-
Groups DR FP
24229 92954 17043 92,95% 0,61%
48459 139189 25479 92,79% 0,61%
72688 185634 33980 92,81% 0,52%
96918 232061 42574 92,82% 0,48%
121147 278444 50959 92,81% 0,72%
145377 312583 57179 92,84% 0,51%
Bảng 2.7 Kết quả thực nghiệm giải pháp PIDAD2 2.6.2.3. So sánh hiệu quả của giải pháp PIDAD1 và PIDAD2
Sau khi đánh giá thực nghiệm với từng giải pháp đề xuất để xác định giá trị đầu vào phù hợp cho tỷ lệ phát hiện các gói tin giả mạo lớn nhất. Để so sánh hiệu quả của hai giải pháp đề xuất, luận án đề cập sử dụng tiêu chí về tỷ lệ gói tin giả mạo phát hiện được và thời gian xử lý số lượng các gói tin đã được lấy mẫu. Cụ thể như sau:
Hình 2.19 Tỷ lệ phát hiện đúng gói tin giả mạo của giải pháp PIDAD và PIDAD2
Hình 2.20 Thời gian xử lý của giải pháp PIDAD và PIDAD2
Từ kết quả ở hình trên cho thấy, khi thiết lập tham số đầu vào phù hợp cho mỗi giải pháp PIDAD1 và PIDAD2 thì giải pháp PIDAD2 có tỷ lệ phát hiện các gói tin giả mạo cao hơn và thời điểm phát hiện các gói tin giả mạo sớm hơn so với giải pháp PIDAD1.
Kết quả so sánh thực nghiệm phù hợp với đặc trưng của mỗi giải pháp đề xuất. Đối với giải pháp PIDAD1, giải pháp này cần thời gian thực hiện thuật toán DBSCAN để nhóm các gói tin có giá trị PID tăng liên tiếp vào trong một nhóm và xác định giá trị EPID cho mỗi Cluster.
Do đó, trong giai đoạn đầu, khi tấn công TCP Syn Flood xảy ra (trong 115s đầu tiên) thì giải pháp PIDAD1 có tỷ lệ phát hiện các gói tin tấn công thấp hơn PIDAD2.
0 10 20 30 40 50 60 70 80 90 100
24229 48459 72688 96918 121147 145377 DR(%)
Số lượng gói tin nhận được
PIDAD1 PIDAD2
0 20 40 60 80 100 120 140 160 180 200
24229 48459 72688 96918 121147 145377 Time(s)
Số lượng gói tin nhận được
PIDAD1 PIDAD2
Giải pháp PIDAD2 xử lý ngay mỗi gói tin gửi đến hệ thống (33s đầu tiên). Mỗi gói tin mới đến hệ thống chưa nằm chuỗi PID tăng dần nào thì chỉ cần xác minh gói tin đó trong khoảng thời gian Tcc là có thể xác định gói tin đó là giả mạo hay không. Do đó, giải pháp PIDAD2 có thể phát hiện ngay các gói tin giả mạo gửi đến hệ thống trong khoảng thời gian rất ngắn, ngay sau khi tấn công xảy ra.