5. Bố ục cc ủa luận ỏn
4.3.2.5Cỏc thuộc tớnh thể hiện hướng truyề n
Khi xử lý dữ liệ đu o, để quan sỏt bi u hiể ện hướng truyền của cỏc luồng lưu lượng, nghiờn cứu sinh nhận thấy quỏ trỡnh này sẽ dễ dàng h n n u lo i b cỏc gúi ơ ế ạ ỏ
rỗng khỏi tập dữ liệu. Ngoài ra vỡ lý do khỏch quan đa phần dữ liệu sử dụng để đỏnh giỏ cỏc thuộc tớnh trong phần này là dữ liệu TCP, và đối với TCP cỏc gúi rỗng truyền trong 1 k t n i cú trế ố ường ACK thi t l p =1 và ế ậ được gử đi i để xỏc nhận việc nhận được dữ liệu, trong khi UDP khụng cú trường ACK nờn cơ chế xỏc nhận phải
được thực hiệ ở ớ ứn l p ng d ng n u yờu c u. Núi cỏch khỏc UDP g n nh khụng g i ụ ế ầ ầ ư ử đi cỏc gúi r ng, và i u này c ng ỗ đ ề ũ được ki m ch ng trong d li u o c a nghiờn c u ể ứ ữ ệ đ ủ ứ
sinh. Vỡ thế dưới đõy ch trỡnh bày ph ng phỏp xỏc ỉ ươ định cỏc thụng số động thể
hiện hướng truyền trong phầ đần u của cỏc luồng TCP và sau đú trỡnh bày cỏc dấu hiệu về luồng lưu lượng kiểu đối thoại và ki u giao dịchể trong suốt th i lờ ượng của luồng.
Thụng thường để xỏc định cỏc thuộc tớnh liờn quan đến hướng truyền thỡ việc xem xột một số gúi đầy đủ ban u cđầ ủa luồng rất quan trọng vỡ cỏc gúi đú nằm trong quỏ trỡnh thoả thuận kết nối và nhận th c và thự ường là được tiờu chuẩn hoỏ. Núi cỏch khỏc cú thể xỏc định cỏc c tr ng v hđặ ư ề ướng truyền c a t ng ng d ng b ng ủ ừ ứ ụ ằ
việc quan sỏt một số gúi đầ đủy đầu tiờn c a luủ ồng. Tuy nhiờn i u này khụng ỳng đ ề đ
1 ứng dụng cụ thể. Vỡ thế trong bảng 4-2 nghiờn cứu sinh đề xuất một thuộc tớnh là chuỗi chứa hướng truy n c a 10 gúi ề ủ đầy đủđầu tiờn (hướng_một_số_gúi_đầu).
Đặc biệt vi c bi t ệ ế được kớch thước và h ng truyướ ền c a gúi ủ đầu tiờn r t h u ấ ữ
ớch cho quỏ trỡnh nhận dạng lưu lượng ứng dụng. Vớ dụ, kớch thước gúi đầu tiờn (trong trường kớch_thước_gúi_đầu) thường khụng đổi trong tất cả cỏc lu ng c a 1 ồ ủ ứng d ng cho trụ ước. H ng truy n c a gúi này s xỏc ướ ề ủ ẽ định bờn nào (trong hai bờn của phiờn làm việc) gửi dữ liệu đầu tiờn sau khi phiờn làm việ đc ó được thiết lập, và nghiờn cứu sinh nhận thấy cú sự phụ thuộc vào giao thứ ức ng dụng của đặc tớnh này, vớ dụ với giao th c RLOGIN thỡ ứ mỏy khỏch là phớa gử đi i gúi đầ đủ đầy u tiờn trong khi đối với giao thức TELNET thỡ là phớa mỏy chủ.
Một thuộc tớnh quan trọng khỏc cho phộp phõn biệt luồng lưu lượng đú là tổng dữ liệu truyền theo mỗi hướng, vớ dụ, một phiờn làm vi c thành cụng c a giao ệ ủ
thức SMTP truyền khoảng hơn 300 bytes dữ liệu. Đồng thời việc so sỏnh dữ liệu truyền gi a cỏc hữ ướng c ng cho cỏc k t q a h u ớch, vớ d , cỏc ng d ng truy n d ũ ế ủ ữ ụ ứ ụ ề ữ
liệu theo khối như FTP thường là b t ấ đối x ng (dứ ữ liệu truyền theo cỏc hướng khỏc nhau), hay vớ ứi ng dụng TELNET t lỉ ệ byte d li u g i b i phớa mỏy tớnh và phớa ữ ệ ử ở
người sử dụng là 20:1. Thu c tớnh này ộ được ghi trong trường Tỉ_lệ_dữ_liệu trong bảng 4-2.
Đối thoại và giao d ch ị
Một phiờn truyền thụng trờn m ng Internet b t k cú thạ ấ ỳ ể được xõy d ng t ự ừ
nh ng ữ đ ạo n dữ liệu, trong đú một đ ạo n dữ liệ đượu c định nghĩa là chuỗi cỏc gúi thụng tin được đỏnh dấu bởi sự xảy ra c a 1 s ki n nào ủ ự ệ đấy ho c b ng s xu t hi n ặ ằ ự ấ ệ
của một đặc tớnh đặc biệt. Trong luận ỏn này để nắm bắt được cỏc thụng sốđộng thể
hiện hướng truyền của toàn bộ phiờn làm việc nghiờn cứu sinh đó phỏt triển 1 phương phỏp lặp để xỏc định số lượng cỏc “đ ạo n đối tho iạ” và “đ ạo n giao d chị ” và tỡm ra cỏc dấu hiệu tương ứng.
Cỏc dấu hiệu này chỉ tớnh với dữ liệu sau khi đó loạ ỏi b cỏc gúi rỗng để cỏc gúi ACK của TCP khụng ảnh hưởng đến kết quả tớnh toỏn cỏc dấu hiệu và khi tớnh thỡ cỏc gúi được xem như chuỗi cỏc giỏ tr õm và dị ương (dấu õm hoặc dương cho biết hướng truyền của gúi), vỡ mục đớch là theo dừi sự thay đổi về dấu trong chu i ỗ
giỏ trị.
Đặc tớnh hoỏ cỏc luồng l u lượng mang tớnh giao d ch: ư ị
Trước khi tớnh toỏn nghiờn cứu sinh định nghĩa lại hai khỏi niệm quan trọng này:
“ oĐ ạn đối thoại” được định ngh a là chu i cỏc gúi liờn tiếp truyền theo 1 ĩ ỗ hướng và theo sau bởi chuỗi cỏc gúi liờn tiếp theo chiều ngược lại.
“ oĐ ạn đối thoại trung bỡnh” được định nghĩa là chuỗi cỏc gúi liờn tiếp truyền theo 1 hướng theo sau bởi chuỗi cỏc gúi liờn tiếp theo hướng ngược lại và tiếp theo lại là chuỗi cỏc gúi truyền theo hướng đầu tiờn (vớ dụ: A->B, B->A, A- >B).
Dấu hiệu về đ ạ o n đối thoại sau đú được tớnh theo số lượng gúi. Gọi M là tổng số gúi đầy đủ trong 1 luồng, C là số lượng gúi đầy đủ của 1 đ ạo n đối thoại và ξξξξξ là số gúi đầy đủ của 1 o n đ ạ đối tho i trung bỡnh. D u hi u ạ ấ ệ κκκκκdt được xỏc định là số gúi đầy đủ thuộc 1 đ ạo n đối thoại trờn t ng s gúi: ổ ố
dt
C M
κ = (4-3-9) Và dấu hiệu βββββdt là tổng số gúi củ đ ạa o n đối tho i trung bỡnh trờn tạ ổng số gúi của đ ạo n đối thoại:
dt C
ξ
β = (4-3-10) Gọi O là tổng s gúi ố đầ đủy của 1 o n đ ạ đối tho i và ạ được truy n b i phớa ề ở
khởi tạo phiờn làm việc (chủ gọi), nghiờn c u sinh ứ định ngh a d u hi u v tớnh ĩ ấ ệ ề đối xứng của 1 luồng đối thoại là tỉ ệ l gúi c a o n ủ đ ạ đối tho i ạ được truyền b i ch g i: ở ủ ọ
dt O C
γ = (4-3-11) Ba dấu hiệu này ban đầu được khởi tạo giỏ tr 0, và chỳng ch hị ỉ ợp l khi ệ
C≠0, và chỉ số th ba b ng 0,5 núi lờn tớnh ứ ằ đối x ng c a o n ứ ủ đ ạ đối thoại trong khi hai chỉ ố s đầu càng gần 1 càng thể hi n tớnh ệ đối tho i cạ ủa lu ng. Th c t nghiờn c u ồ ự ế ứ
sinh thiết lập mức ngưỡng của chỳng là 0,4 nghĩa là nếu (κdt ≥ 0,4 và βdt ≥ 0,4) thỡ cú nghĩa luồng lưu lượng tương ứng cú chứa cỏc đ ạo n đối thoại.
Luồng lưu lượng chứa một hay nhiều giao dịch:
Phần trước đó trỡnh bày việc đặc tớnh hoỏ cỏc phiờn truyền s li u b ng tớnh ố ệ ằ
bất đối xứng trong tổng số byte truyền trờn mỗi hướng. Phần này đưa thờm 1 dấu hiệu khỏc nhằm phõn biệt những phiờn làm việc chỉ cú 1 lần trao đổi dữ liệu và những phiờn làm việc bao gồm nhiều lần tho thuả ận trao đổi dữ liệu. Vớ dụ FTP là ki u ể ứng dụng mà 1 phiờn làm việc chỉ cú một lần trao đổi dữ ệ li u, trong khi SMTP thuộc loại bao gồm nhiều lần trao đổi trong 1 phiờn làm việc giữa mỏy chủ và mỏy khỏch theo cơ chế truyền tựđộng lệnh/đỏp ứng. Cũng gi ng nh trố ư ường h p trờn, ợ ở
đõy khi xem xột chu i cỏc gúi thỡ xem chỳng nh chu i cỏc giỏ tr õm và dỗ ư ỗ ị ương, trong đú dấu õm hoặc dương thể hiện hướng truyền của gúi.
Cụ thể khi xem xột chuỗi cỏc giỏ trị cú d u sau khi ó lo i b cỏc gúi r ng t ấ đ ạ ỏ ỗ ừ
dữ liệu đo trong luận ỏn này của cỏc ứng dụng bao gồm nhiều lần trao đổi dữ liệu thỡ thấy cú hiện tượng “qua-lại”, là hiện tượng 1 gúi truy n ề được theo sau b i 1 gúi ở
truyền theo chi u ngề ược l i. Nghiờn c u sinh ỏnh giỏ hi n tạ ứ đ ệ ượng này b ng cỏch so ằ
sỏnh số ầ l n thay đổi dấu quan sỏt được.
Gọi ρρρρρ và tηηηηη ương ứng là số giỏ trị dương và õm cú trong chuỗi thỡ số lần thay
đổi dấu tố đi a cú thể là: 2 1, neu = 2min( , ), khac ρ ρ η ρ η − τ =⎨ (4-3-12)
Gọi δδδδδ là số ầ l n thay đổi dấu quan sỏt được:
gd δ
τ
κ = (4-3-13)
là dấu hiệu cho biết mức độ thường xuyờn của hiện tượng qua-lại xảy ra trong luồng lưu lượng. τ = 0 khi luồng là đơn hướng và khi ú d u hi u này khụng t n t i, đ ấ ệ ồ ạ
hay núi cỏch khỏc dấu hiệu này khụng phải cú đối v i tớ ấ ảt c cỏc lu ng l u lồ ư ượng. Dấu hiệu κκκκκgd càng gần 1 càng chứng tỏ ứng dụng cú phiờn làm việc bao gồm nhi u ề
giao dịch.