5. Bố ục cc ủa luận ỏn
4.3.2.3Cỏc thuộc tớnh thể hiện tớnh chất tương tỏc: dũng lệnh và bàn phớm
Cú nhiều định ngh a vĩ ề tớnh chất tương tỏc của mộ ứt ng dụng, tuy nhiờn thụng thường người ta định nghĩa mộ ứt ng dụng cú tớnh tương tỏc nế đu ú là ứng dụng truyền thụng giữa 2 đối tỏc là con người, ngược lại cỏc ng d ng truy n thụng ứ ụ ề
thực hiện giữa 2 đối tỏc là cỏc phần mềm gọi là khụng tương tỏc. Tuy nhiờn trong luận ỏn này khi quan sỏt một số ứ ng dụng nghiờn cứu sinh thấy định nghĩa trờn khụng hoàn toàn chớnh xỏc, vớ dụ lấy trường h p ng d ng ợ ứ ụ http, là phiờn làm vi c ệ
giữa 1 bờn là con người (sử dụng trỡnh duy t webệ ) và 1 bờn là mỏy chủ web, rất nhiều nghiờn cứu xếp đõy là ứng dụng tương tỏc bằng cỏch quan sỏt thờ đ ểi i m đến của cỏc luồng, tuy nhiờn khi xột bờn trong 1 luồng thỡ cơ chế trao đổi cỏc gúi rừ ràng là do cỏc cơ chế củ ứa ng d ng i u khi n t ụ đ ề ể ựđộng, vỡ th nghiờn c u sinh x p ế ứ ế http vào dạng ng dứ ụng ko tương tỏc hay núi cỏch khỏc là được đ ềi u khiển bởi mỏy.
Về dấu hi u ệ để nh n d ng tớnh tậ ạ ương tỏc c a ng d ng, nghiờn c u sinh c ủ ứ ụ ứ ơ
bản sử dụng định ngh a c a nghiờn c u [28], ch cú m t c i tiĩ ủ ứ ỉ ộ ả ến nh là chia cỏc ỏ
luồng lưu lượng do con người đ ềi u khiển (mang tớnh tương tỏc) thành 2 lớp riờng biệt: lớp cỏc luồng lưu lượng t ng tỏc gừ từ bàn phớm và ớp cỏc luồng lưu ươ l lượng tương tỏc dũng lệnh . Trong đú lớp luồng dũng lệnh thường cú kớch thước lớn hơn và cỏch nhau bởi những khoảng thời gian dài hơn là cỏc luồng bàn phớm. Việc phõn chia này cho phộp quỏ trỡnh phõn loạ ưi l u lượng được chi ti t h n, vớ d , ế ơ ụ
theo đú cú thể phõn biệt cỏc lệnh FTP với cỏc phiờn làm việc SSH và TELNET (cựng là tương tỏc). Sau đõy gọi hai lớp này một cỏch ngắn gọn là tương tỏc dũng lệnh và tương tỏc bàn phớm.
Để tớnh toỏn dấu hi u tệ ương tỏc bàn phớm, tr c h t c n ướ ế ầ định ngh a khỏi ĩ
niệm gúi bộ là cỏc gúi đầy đủ (cú phần tải tin khỏc 0) và cú kớch thước bộ hơn 60 bytes (giỏ trị 60 bytes là để bao gồm cả những gúi được mó hoỏ bảo mật). Liờn quan
đến trễ giữa cỏc lần gừ bàn phớm, nghiờn c u sinh s dứ ử ụng kho ng giỏ tr tả ị ừ dmin = 25ms đến dmax = 3000ms.
Với cỏc dấu hiệu tương tỏc dũng lệnh, gúi nhỏ được định nghĩa là cỏc gúi
đầ đủy và cú kớch thước bộ hơn 200 bytes, cũn th i l ng giờ ượ ữa cỏc gúi dũng l nh ệ được định nghĩa n m trong kho ng [dằ ả min = 250ms, dmax = 30000ms], tức lớn hơn 10 lần so với trường hợp tương tỏc bàn phớm.
Nghiờn cứu sinh đó sử dụng cỏc ký hi u là ệ κκκκκ βββββ γγγγγ δδδδδ, , , như là cỏc dấu hiệu thứ
nhất, thứ hai, thứ ba và thứ tư. Với mỗi hướng truy n c a lu ng, gề ủ ồ ọi ΩΩΩΩΩ là tập tất cả
cỏc giỏ trị ễ ữ tr gi a cỏc gúi nh liờn ti p, và ỏ ế ∆∆∆∆∆ = {ω{ω{ω{ω{ω∈∈∈∈∈ΩΩΩΩΩ, | dmin ≤≤ ω≤≤≤ω ≤≤ωωω≤≤≤ dmax}}}}}, dấu hiệu về thời lượng giữa cỏc lần phỏt gúi tương tỏc được định nghĩa như sau:
tt ∆ κ =
Ω (4-3-1) Và gọi S là số lượng gúi nh , là sỏ N ố lượng gúi đầy đủ và là sG ố kho ng ả
cỏch giữa cỏc gúi nhỏ ẫ d n đến d u hiấ ệu về ỉ ệ t l cỏc gúi nhỏ tương tỏc là:
S
tt N
β = (4-3-2) và dấu hiệu về cỏc gúi nhỏ tương tỏc liờn tiếp là:
1 tt S G N − − γ = (4-3-3) Giỏ trị γγγγγtt càng gần 1 chứng tỏ rằng s lố ượng gúi nhỏ nhi u và chỳng co c m ề ụ
lại với nhau, ngược lại giỏ trị bộ th hi n cỏc gúi nh nể ệ ỏ ằm rói rỏc trong su t phiờn ố
làm việc.
Từ 3 dấu hiệu trờn (giống với [28]), nghiờn cứu sinh tiếp tục phỏt triển thờm hai dấu hiệu nữa nhằ đm ỏnh giỏ chớnh xỏc một số ứng dụng khụng mang tớnh tương tỏc nhưng vẫn cú 3 dấu hiệu trờn đạt giỏ trị cao (gần 1) và gọi chỳng là cỏc dấu hiệu thứ 4 và thứ 5. Dấu hiệu thứ 4 là tỉ lệ ph n tr m cỏc gúi ầ ă đầy đủ và nh trờn t ng s ỏ ổ ố
gúi nhỏ bao gồm cả cỏc gúi rỗng (là cỏc gúi cú phần tải tin =0), mụ đc ớch của dấu hiệu này là để nhận diện cỏc ứng dụng do mỏy đ ềi u khiển và phỏt ra cỏc luồng lưu lượng với rất nhiều gúi nhỏ nhưng đa phần là cỏc gúi điều khiển rỗng như cỏc gúi phỳc đỏp ACK của giao thức TCP (khụng cú c ch ơ ếpiggy-packing). Gọi E là số
lượng gúi rỗng, ta cú: tt S S E δ = + (4-3-4) là dấu hiệu th hiể ện hi n tệ ượng piggy-backing (là hiện tượng cỏc gúi phỳc đỏp TCP ACK được gắn trờn cỏc gúi dữ liệu truyền theo chiều ngược lại).
Cuối cựng dấu hiệu thứ 5 để xỏc định tớnh bất thường (khụng qui luật) của tốc độ truyền cỏc gúi nhỏ liờn tiếp và nhằm đỏnh giỏ những chương trỡnh truyền số
liệu tựđộng v n thố ường gử đi i cỏc gúi một cỏch đề đặu n nh ng v i t c ư ớ ố độ ch m và ậ
vỡ thế cú thể cú dấu hiệu κκκκκtt cao. Một tốc độ truyền nào đấ đượy c xem là đề đặu n (theo qui luật) nếu phần lớn cỏc giỏ trị trễ giữa cỏc gúi gần với trị trung bỡnh của chỳng.
Gúi ààààà và tσσσσσ ương ứng là tr trung bỡnh và ị độ lệch tiờu chu n c a t c ẩ ủ ố độ
truyền cỏc gúi nh liờn ti p, và g i ỏ ế ọ ΛΛΛΛΛ = {ω{ω{ω{ω{ω ∈∈∈∈∈ΩΩΩΩΩ | ωωωωω∈∈∈∈∈[à[à[à[à[à σσ-σσσ, àààà σ]}à+σ]}σ]}σ]}σ]} và do đú dấu hiệu về tớnh khụng đồng đều của thời lượng giữa cỏc gúi nhỏ liờn tiế đượp c định nghĩa là: tt Λ ε = Ω (4-3-5) Túm lại nếu 5 chỉ số trờn cú giỏ trị càng gần 1 thỡ cỏc lu ng l u lồ ư ượng c a ủ ứng d ng tụ ương ng ứ được xem là cú tớnh tương tỏc càng cao. Vớ d vụ ớ ữ ệ đi d li u o của luận ỏn này, nghiờn cứu sinh đỏnh dấu hướng truyền của một luồng lưu lượng IP là tương tỏc khi thoả món (κtt>=0,3; βtt>=0,6; γtt>=0,6; δtt>=0,3 và εtt>= 0,3). Trong đú 3 dấu hiệu đầu tiờn là đủđể nhận dạng luồng lưu lượng tương tỏc, cũn 2 dấu hiệu sau là nhằm loại bỏ những trường hợp nhận dạng sai. Ngoài ra cũng cú thể
chỉ cần s d ng riờng bi t t ng d u hi u ử ụ ệ ừ ấ ệ để phõn bi t ệ được 1 ng d ng là tứ ụ ương tỏc hay khụng, vớ dụ trong trường hợp giao thức http thỡ rất hiếm khi g p hi n tặ ệ ượng cỏc đ ạo n gúi nhỏđược gửi đi liờn tiếp, hay núi cỏch khỏc khi đú cỏc chỉ sốγtt và γdl cú giỏ trị ấ r t bộ (~0).