CHƢƠNG 4: XÂY DỰNG CÁC ĐẶC TRƢNG
4.1.Xác định các đặc trƣng
Sau khi đã bắt đƣợc các gĩi dữ liệu trên mạng, các gĩi dữ liệu này cĩ rất nhiều thuộc tính, làm sao cĩ thể rút trích ra những đặc trƣng đại diện cho thơng tin kết nối mạng, để từ đĩ mơ hình đƣợc hệ thống mạng ở tình trạng bình thƣờng hay đang cĩ những xâm nhập, tấn cơng.
Rút trích các đặc trƣng và chuẩn hĩa các đặc trƣng của kết nối mạng để làm đầu vào các thuật tốn khai thác dữ liệu là phần hết sức quan trọng. Nếu các đặc trƣng đƣợc rút trích hay chuẩn hĩa khơng tốt thì dùng thuật tốn gì cũng khơng cho kết quả tốt đƣợc.
Wenke Lee, Salvatore J. Stolfo [12] ứng dụng luật kết hợp (Association Rules) và chuỗi phổ biến (Frequent Episodes) để khám phá ra tri thức nhằm nhận dạng tấn cơng. Đối với hệ thống mạng đối tƣợng cần bảo vệ là máy chủ (host), dịch vụ (service),… nên Wenke Lee, Salvatore J. Stolfo khi ứng dụng luật kết hợp và chuỗi phổ biến chỉ quan tâm đến những đối tƣợng này gọi là các đặc trƣng tham chiếu (reference features), các đặc trƣng khác phải kết hợp với những đặc trƣng tham chiếu này để tìm ra chuỗi phổ biến. Từ chuỗi phổ biến mà Wenke Lee, Salvatore J. Stolfo đạt đƣợc tri thức khám phá các mẫu tấn cơng, xâm nhập. Đối với mỗi mẫu tấn cơng, xâm nhập đƣợc sử dụng nhƣ là các hƣớng dẫn để xây dựng thêm các đặc trƣng khác. Ta cĩ thể ứng dụng khai thác dữ liệu trên những đặc trƣng này để phân lớp, gom nhĩm tốt hơn.
Dƣới đây là bảng các đặc trƣng do Wenke Lee, Salvatore J. Stolfo đề xuất:
Đặc trƣng Diễn giải
Duration Thời gian của kết nối Protocol Giao thức nhƣ tcp, udp,…
Service Dịch vụ mạng trên destination nhƣ http, telnet, snmp,… Flag Trạng thái bình thƣờng hay lỗi của kết nối
Sourcebytes Số bytes từ source đến destination host Destbytes Số bytes từ destination đến source host Land 1 nếu kết nối cùng host/port; 0 ngƣợc lại Fragment Số fragment bị lỗi
Urgent Số gĩi dữ liệu urgent
Bảng 4.1: Các đặc trưng do Wenke Lee, Salvatore J.Stolfo đề xuất
Tên đặc trƣng Mơ tả
Count Số lƣợng kết nối đến cùng host nhƣ kết nối đang xét trong khoảng thời gian 2 giây vừa qua.
SYNErrorRate % số kết nối cĩ SYN bị lỗi. REJErrorRate % số kết nối cĩ REJ bị lỗi.
SameSrvRate % số kết nối cĩ cùng service.
DiffSrvRate % số kết nối đến những service khác nhau.
SrvCount Số lƣợng kết nối đến cùng dịch vụ nhƣ kết nối đang xét trong khoảng thời gian 2 giây vừa qua.
SrvSYNErrorRate % số kết nối cĩ SYN bị lỗi. SrvREJErrorRate % số kết nối cĩ REJ bị lỗi.
SrvDiffHostRate % số kết nối đến những host khác nhau.
Ngồi ra, Wenke Lee, Salvatore J. Stolfo cịn đƣa các đặc trƣng thuộc về phiên làm việc của kết nối. Các đặc trƣng này chỉ phù hợp phân tích offline và áp dụng trên Windows.
Theo [6], đặc trƣng mà đề tài đã nêu, chúng ta cĩ thể dễ dàng nhận thấy các đặc trƣng đĩ chỉ dùng cho việc giám sát hệ thống mạng theo thời gian thực. Do đĩ, để chọn các đặc trƣng cho hệ thống máy chủ nĩi chung và máy chủ Web cụ thể nĩi riêng là một vấn đề rất khĩ khăn.
Theo [7] trang 50, cĩ thể phân nhĩm tài nguyên chính của máy chủ Web thành các nhĩm sau:
Bộ nhớ máy chủ (Server memory)
Tài nguyên của bộ vi xử lí (Processor Usage) Tài nguyên ổ đĩa lƣu trữ (Disks).
Tài nguyên mạng (Network Usage).
Ngồi ra, để kiểm sốt hệ thống máy chủ Web, chúng ta cần phải quan tâm đến một số tài nguyên khác nhƣ sau:
Thống kê các thơng tin của giao thức HTTP hay ở cổng giao dịch 21, 80. Thống kê các thơng tin của những dịch vụ Web.
Thống kê các tài nguyên hệ thống máy chủ khác nhƣ: luồng (thread), tiến trình (process).