Đánh giá thực nghiệm B.
Để đánh giá sự phụ thuộc của hiệu suất IDS vào vị trí của nó trong mạng, chúng tôi tưởng tượng hai kịch bản thử nghiệm khác nhau. Trong cựu, chúng ta cài đặt IDS gần Controller Cloud, do đó cho phép nó để đánh hơi và phân tích tất cả các luồng lưu lượng đến và đi từ máy chủ ảo. Tại phía Controller của Cloud, thẻ VLAN được loại bỏ bởi các cầu ảo, như đã thảo luận trong phần trước. Vì vậy, tất cả lưu lượng truy cập có thể nhìn thấy và các VLAN phóng viên là không thể phân biệt. Năm thứ hai, thay vào đó, một Network IDS đã được cài đặt gần nhau của hai chines ma- vật lý. Vì mỗi nút đám mây vật chất có khả năng có thể lưu trữ máy ảo thuộc nhóm an ninh khác nhau, các IDS có để thực hiện các VLAN tag tước, trước khi có thể phân tích một cách chính xác mỗi gói. Đối với mỗi cấu hình, chúng tôi đánh giá khả năng phát hiện của IDS đối với việc tấn công lũ lụt chọn INVITE với. Trong cả hai trường hợp, của IDS có thể phát hiện chính xác các trường hợp tấn công, phát hành báo giao các kết quả phân tích gói tin. Tuy nhiên, nó là thú vị để chỉ ra làm thế nào "đắt" quá trình phát hiện như vậy được, cho thấy một số đặc tính thú vị và đưa ra một số cái nhìn sâu sắc. Đặc biệt, chúng tôi quan sát sử dụng CPU, để hiển thị cho dù các hệ thống lưu trữ IDS vẫn có một số tài nguyên để dành cho phát hiện trong một cuộc tấn công lũ lụt. Việc đánh giá đó là hữu ích vì các cuộc tấn công hiện đại bao gồm rất thường xuyên trong phối hợp hành động nhằm đánh trúng mục tiêu lớn và hoàn toàn phá vỡ mạng lưới và dịch vụ. Hơn nữa, trong trường hợp của điện toán đám mây, nơi mà khách hàng tiêu biểu có thể là một công ty dịch vụ gia công phần mềm lưu trữ, sự cạnh tranh không lành mạnh giữa các doanh nghiệp có thể trở thành một động lực tốt cho phạm vào các chiến dịch tấn công hiệu quả đáng kể. Điều đầu tiên chỉ ra trong cuộc thảo luận kết quả của bài kiểm tra là trong cả hai kịch bản, chúng tôi đã có thể phát hiện ra rằng một cuộc tấn công SIP lũ lụt là trong hành động. Chúng tôi tin tưởng rằng kết quả như vậy là do sự tác động tương đối nhỏ của các cuộc tấn công chính nó, mà là thực sự có thể thấm vào trong các nguồn tài nguyên của máy chủ SIP, nhưng không phải tài nguyên vật lý đám mây của chúng tôi. Trong hình 5, chúng ta thấy các tải CPU của máy vật lý lưu trữ máy ảo chứa các máy chủ SIP bị tấn công. Biểu đồ cho thấy rõ ràng một tăng đáng kể trong việc sử dụng CPU do cả sự hiện diện của các máy ảo và các lĩnh vực hành chính (Dom0). Điều này vẫn đúng cho đến khi Dom0 có thể thực hiện cả hai hành động chuyển tiếp gói tin
(tức là các gói tin chuyển tiếp từ các NIC vật lý để NIC ảo của máy ảo) và phân tích gói tin thông qua các IDS. Khi Dom0 đạt đến giới hạn hoạt động thể chất của nó, nó không thể chuyển tiếp các gói tin đến máy ảo tấn công nhiều hơn, và đó là lý do tại sao tải CPU máy của người đó sẽ giảm đáng kể. Rõ ràng, mô hình hiệu suất Dom0 thể hiện được gây ra bởi sự vắng mặt của các biện pháp đối phó tiếp theo để tấn công phát hiện. Đó là giá trị chỉ ra rằng trong cuộc tấn công, các máy ảo khác đang chạy đồng thời với một trong những tấn công trải qua một cuộc suy thoái hiệu suất, vì tình trạng quá tải của Dom0. Mặt khác, các máy vật lý thứ hai là hoàn toàn không bị ảnh hưởng bởi các cuộc tấn công. Nhìn vào kịch bản thứ hai, nơi IDS được triển khai gần Controller Cluster, chúng ta phải đưa vào tài khoản mà mỗi suy giảm hiệu suất được phản ánh trên toàn bộ đám mây. Hình 6 cho thấy tác động của Snort chạy đồng vị trí với các điều khiển Cluster. Các CPU "hệ thống cấp" tải được gây ra bởi các hoạt động chuyển tiếp gói tin, trong khi các "mức user-" tải chủ yếu là do hoạt động của IDS. Trong cuộc tấn công IDS sử dụng một số tiền gấp đôi thời gian của CPU theo thời gian CPU của hệ thống với, mặc dù dụ tấn công của chúng tôi không phải là rất mạnh mẽ. Kể từ khi một cụm điều khiển quá tải là một nút cổ chai cho các cluster, chúng ta nên tránh để thêm tải lớn như vậy vào nó. Ngay cả việc cài đặt IDS trên một máy tính riêng biệt bên cạnh các điều khiển cụm sẽ cho kết quả trong một máy quá tải, vì nó phải phân tích tất cả các lưu lượng truy cập, do đó bị ngăn cản hoạt động đúng cách.
đang được dịch, vui lòng đợi..