5. Bố cục của đề tài
2.2.2.Dữ liệu phỏt hiện bất thường
30
Nguồn dữ liệu đúng vai trũ quan trọng trong phương phỏp phỏt hiện bất thường. Số liệu chớnh xỏc về tỡnh trạng hoạt động của mạng sẽ cú tớnh chất quyết định đến việc cỏc bất thường cú được phỏt hiện hay khụng. Do bản chất của phương phỏp phỏt hiện bất thường là mụ hỡnh húa và lập một hồ sơ về trạng thỏi bỡnh thường rồi từ đú so sỏnh phõn biệt khi cú sự cố xảy ra, nờn nếu số liệu phõn tớch được cung cấp càng đầy đủ và chuẩn xỏc thỡ hiệu quả hoạt động của cỏc thuật toỏn phỏt hiện bất thường sẽ càng cao. Dưới đõy là một số nguồn dữ liệu thường được sử dụng.
Network Probes:
Network Probes là những cụng cụ chuyờn dụng để đo lường cỏc tham số mạng. Một vớ dụ đơn giản về Network Probes là 2 lệnh ping và tracerouter, cỏc lệnh này dựng để đo độ trễ (end – to – end delay), tỉ lệ mất gúi tin (packet loss), bước truyền,…
Network Probes cú thể cung cấp cỏc số liệu tức thời, phương phỏp này khụng yờu cầu sự phối hợp của nhà cung cấp dịch vụ. Tuy nhiờn, Network Probes cú thể khụng hoạt động nếu như Firewall đặt cỏc tập luật ngăn chặn loại traffic này. Ngoài ra cỏc gúi tin mà giao thức này sử dụng thường được cỏc thiết bị mạng đối sử một cỏch đặc biệt khụng giống như cỏc gúi tin bỡnh thường khỏc, do vậy cỏc số liệu Network Probes cần được tinh chỉnh thờm.
Lọc gúi tin:
Cú một kỹ thuật được dựng để cung cấp dữ liệu cho cỏc thuật toỏn phỏt hiện bất thường đú là kỹ thuật lọc gúi tin để thống kờ luồng (packet filtering for flow- based statistics). Luồng thụng tin được dẫn qua một bộ lọc để lấy mẫu, cỏc IP header của cỏc gúi tin trong những thời điểm khỏc nhau tại cỏc địa điểm khỏc nhau trong mạng được ghi lại.
Việc tổng hợp cỏc IP header cho phộp cung cấp cỏc thụng tin chi tiết về tỡnh trạng hoạt động của hệ thống mạng. Cỏc luồng thụng tin được giỏm sỏt, một luồng được xỏc định bằng địa chỉ nguồn-đớch và cổng nguồn-đớch. Phương phỏp lọc gúi tin cho phộp cú được cỏc thống kờ chớnh xỏc về giao dịch trong mạng.
31
Cỏc giao thức định tuyến là một nguồn cung cấp dữ liệu cho thuật toỏn phỏt hiện bất thường trong mạng. Trong quỏ trỡnh định tuyến, cỏc router liờn lạc với nhau để trao đổi cỏc thụng tin về trạng thỏi đường truyền vớ dụ như: bang thụng, độ trễ, kết nối cú bị tắc nghẽn hay khụng. Vớ dụ với giao thức định tuyến OSPF (Open- Shortest Path First), tại mỗi router cú cỏc băng thụng số mụ tả về hỡnh trạng mạng cũng như trạng thỏi cỏc đường truyền.
b. Dữ liệu từ cỏc giao thức quản trị mạng
Cỏc giao thức quản trị mạng cung cấp cỏc thống kờ về lưu thụng mạng. Những giao thức này cú cỏc tham số cú thể giỏm sỏt hoạt động của thiết bị mạng một cỏch hiệu quả. Cỏc tham số khụng cung cấp trực tiếp cỏc thụng tin đo lường về giao thụng mạng nhưng cú thể dựng để nhận dạng cỏc hành vi trờn mạng, do đú phự hợp với phương phỏp phỏt hiện bất thường.
SNMP: là giao thức hoạt động theo mụ hỡnh client-server cú mục đớch quản lý, giỏm sỏt, điều khiển cỏc thiết bị mạng từ xa. SNMP hoạt động dựa trờn giao thức UDP. SNMP server thu thập cỏc thụng tin gửi từ agent. Tuy nhiờn nú khụng cú chức năng xử lý thong tin. SNMP server lưu trữ cỏc thụng tin này trong một cơ sở dữ liệu gọi là MIB (Management Information Base). Cỏc giỏ trị trong CSDL này chứa cỏc thụng tin được ghi nhận khi cỏc thiết bị mạng thực hiện cỏc chức năng khỏc nhau.
Từng thiết bị mạng cú một tập cỏc giỏ trị MIB tương ứng với chức năng của nú. Cỏc giỏ trị MIB được xỏc định dựa trờn loại thiết bị và cỏc giao thức mạng hoạt động dựa trờn cỏc thiết bị đú. Vớ dụ như một Switch sẽ cú cỏc giỏ trị MIB đo lường lưu thụng mạng ở mức đường truyền (link level) trong khi một router sẽ cú cỏc tham số ở mức dạng (network level) cung cấp cỏc thụng tin về tầng mạng trong mụ hỡnh OSI. Ưu điểm của việc sử dụng SNMP là tớnh chuẩn húa do SNMP đó được chấp nhận và triển khai rộng rói trờn cỏc thiết bị khỏc nhau. Do tớnh đầy đủ và cú chọn lọc của dữ liệu trờn SNMP là nguồn thụng tin đầu vào quan trọng cho cỏc thuật toỏn phỏt hiện bất thường trong mạng.