Trích chọn các tham số chứa đặc trưng cho máy IDS như: thông tin về bộ nhớ, CPU, ổ đĩa, hệ thống máy IDS, thông tin về tiến trình, luồng xử lí và thông tin về những dịch vụ Mail, Web... Sau khi chương trình đã bắt được các gói tin cho trước với các thuộc tính đã chọn trước. Từ đó, chúng ta có thể nhận biết được hệ thống mạng ở tình trạng „bình thường‟ hay „bất thường‟.
Chúng ta có thể phân nhóm các tài nguyên chính của hệ thống máy chủ IDS như sau:
Bộ nhớ máy chủ IDS (Server memory)
MemTotal: Tổng dung lượng bộ nhớ có thể sử dụng.
MemFree: Dung lượng bộ nhớ vật lý chưa sử dụng trong hệ thống.
Buffers: Dung lượng bộ nhớ vật lý được sử dụng cho bộ nhớ đệm.
Cache: Dung lượng bộ nhớ vật lý cache.
SwapCache: Dung lượng bộ nhớ Swapcache.
Active: Tổng dung lượng bộ nhớ đệm đang hoạt động.
HighTotal: Tổng dung lượng bộ nhớ ở vùng địa chỉ cao.
LowTotal: Tổng dung lượng bộ nhớ địa chỉ thấp.
LowFree: Dung lượng bộ nhớ trống của vùng bộ nhớ địa chỉ thấp.
SwapTotal: Tổng dung lượng bộ nhớ vật lý swap.
SwapFree: Tổng dung lượng trống của bộ nhớ vật lý swap.
Dirty: Tổng dung lượng bộ nhớ đang đợi để ghi lại vào đĩa.
Writeback: Tổng dung lượng bộ nhớ hoạt động được ghi vào đĩa.
PageTables: Số lượng bộ nhớ dành riêng cho mức thấp nhất của các bảng trang.
Committed_AS: Số lượng bộ nhớ ước lượng để phân bổ các ứng dụng trên hệ thống.
Map: Tổng dung lượng bộ nhớ được sử dụng để vẽ bản đồ, các tập tin, hoặc sử dụng cho thư viện lệnh nmap.
Slab: Tổng dung lượng bộ nhớ sử dụng riêng cho hạt nhân cấu trúc dữ liệu cache. Tài nguyên của bộ vi xử lí (Processor Usage)
- Cpu: Bộ xử lí trung tâm
- Processes: Số lượng tiến trình khi khởi động.
- Procs_running: Số các tiến trình trong trạng thái đang chạy
- Procs_blocked: Số tiến trình bị chặn chờ đợi cho I/O để hoàn thành. - Loadavg: Tải trung bình trên bộ vi xử lý
- Load.for1min: % bộ vi xử lý sử dụng trong 1 phút cuối cùng - Load.for5min: % bộ vi xử lý sử dụng trong 5 phút cuối cùng - Load.for15min: % bộ vi xử lý sử dụng trong 15 phút cuối cùng Tài nguyên ổ đĩa lƣu trữ (Disks).
- Giám sát những ổ đĩa giữ cho hệ thống hoạt động hiệu quả. Chúng ta cũng có thể dùng dữ liệu mà chúng ta thu thập được khi giám sát những ổ đĩa để biết được có cần nâng cấp phần cứng, phần mềm trong tương lai.
- Sự tồn tại của hiện tượng tắc nghẽn ổ đĩa được nhận biết dựa vào các điều kiện sau:
- Duy trì tỉ lệ của hoạt động ổ đĩa trên ngưỡng cho phép. - Hàng đợi trên mỗi ổ đĩa lớn hơn 2 được duy trì lâu. - Sự thiếu hụt nghiêm trọng số lượng phân trang
Tài nguyên mạng (Network Usage).
Tài nguyên mạng là tỉ lệ phần trăm của thông tin truyền mạng được dùng trong phân đoạn được giám sát.
Thông tin truyền mạng được đo bằng nhiều cách khác nhau: - Tỉ lệ số byte được vận chuyển đến và đi từ máy chủ.
- Tỉ lệ những gói dữ liệu được gửi từ máy chủ. Những gói dữ liệu này bao gồm: frames, những gói tin (packets), những phân đoạn (segments) và những datagrams.
- Tỉ lệ số tập tin được gửi và nhận bởi máy chủ.
Ngoài ra, để kiểm soát hệ thống máy chủ Mail Server, chúng ta cần phải quan tâm đến một số tài nguyên khác [9] như sau:
Thống kê các thông tin của giao thức HTTP hay ở cổng giao dịch 80.
Thống kê các thông tin của những dịch vụ Mail Server.
Thống kê các tài nguyên hệ thống máy chủ khác như: luồng (thread), tiến trình (process).