D. Method overheadConsidering that

Mất phương pháp chi phí
xem xét rằng cách tiếp cận chúng tôi làm cho việc sử dụng dựa trên flow
thông tin để phân loại các mô hình của traffic trong một thời gian nhất định
khoảng thời gian, và rằng mẫu của các thông tin được thu thập
mỗi giây 3, đó là một sự giảm đáng kể trên không
cơ chế phát hiện toàn bộ khi so sánh với nhau
phương pháp tiếp cận dựa trên số liệu KDD-99. Của họ bổ sung
chi phí gây ra bởi sự cần thiết để thu thập mỗi gói tin gửi
cho một nạn nhân, và sau đó trước khi xử lý thông tin này để tạo ra
hồ sơ kết nối. Bên cạnh đó, nếu chúng ta xem xét trường hợp xấu nhất
kịch bản (DDoS tấn công flooding với một flow rất cao của
túi đựng tỷ lệ tấn công), sau đó chi phí thường phải
rất cao.
để so sánh các phương pháp của chúng tôi để bộ dữ liệu KDD-99
phương pháp tiếp cận chúng tôi xây dựng một thử nghiệm trong đó một DDoS
flooding traffic đã được tạo ra với một tỷ lệ cao của cuộc tấn công và
IP tiêu đề spoofing (trường hợp xấu nhất). Thử nghiệm này
sản xuất một số lớn các mục flow được hỗ trợ
bởi của chuyển đổi và nhấn mạnh các nhà sưu tập và Extractor
mô-đun như họ xử lý tất cả các flow mục.
bảng VI cho thấy một so sánh thời gian CPU để trích xuất
tính năng cần thiết để phát hiện cách tiếp cận số liệu KDD-99
và chúng ta. Các giá trị cho KDD-99 là những trình bày trong [15],
và báo cáo như thu được từ các thử nghiệm chạy trên một hệ thống
với 2.66 GHz, dual core CPU và 3,5 GB của RAM bộ nhớ.
giá trị của chúng tôi đã thu được từ các thử nghiệm chạy trên một hệ thống
với 1.8 GHz, dual core CPU và 2 GB RAM bộ nhớ.
khoảng thời gian tương ứng để tạo ra 30,000 mẫu
trong cả hai trường hợp.

D. Method overhead
Considering that our approach makes use of flow-based
information to classify patterns of traffic within a given time
interval, and that samples of such information are collected
every 3 seconds, there is a remarkable overhead reduction
to the whole detection mechanism when compared to other
approaches based on the KDD-99 dataset. Their additional
overhead is caused by the need to collect every packet sent
to a victim, and then pre-process this information to generate
connection records. Besides, if we consider the worst case
scenario (DDoS flooding attack with a very high flow of
packets for the attack rate), then the overhead tends to be
very high.
In order to compare our method to other KDD-99 dataset
approaches we built another experiment in which a DDoS
flooding traffic was generated with a high rate of attack and
IP header spoofing (worst-case scenario). This experiment
produced a huge number of flow entries that were supported
by the OF switch and stressed our Collector and Extractor
modules as they processed all flow entries.
Table VI shows a comparison of the CPU time to extract
features needed for detection for KDD-99 dataset approaches
and ours. The values for KDD-99 are those presented in [15],
and reported as obtained from experiments run on a system
with 2.66 GHz, dual core CPU, and 3.5 GB of RAM memory.
Our values were obtained from experiments run on a system
with 1.8 GHz, dual core CPU, and 2 GB of RAM memory.
The time interval corresponds to generating 30,000 samples
in both cases.