Giám sát (Máy_chủ/Dịch_vụ S)
//Input: S: Địa chỉ IP của máy chủ nội bộ
// Hoặc: Địa chỉ IP của máy chủ nội bộ, số hiệu cổng dịch vụ cần bảo vệ trên máy chủ //Output: Chuyển S sang trạng thái Nghi ngờ bị tấn công
// Hoặc tính tốn và lưu giá trị SPACUM và PpFCUM vào database
1 Lấy tham số thống kê theo S 2 Tính SPA, PpF cho S
3 Lấy SPACUM, PpFCUM của S từ Database
4 Tính DSPA, DPpF theo SPA, PpF và SPACUM, PpFCUM
5 IF (DSPA >= KD OR DPpF >= KD) THEN
6 CALL Nghi ngờ bị tấn công (S)
7 ELSE
8 SPACUM = (SPA + SPACUM)/2 9 PpFCUM = (PpF + PpFCUM)/2
10 Lưu SPACUM, PpFCUM của S vào Database 11 CALL Giám sát (S) sau thời gian chu kỳ T
12 ENDIF
Khi một máy chủ/dịch vụ được xác định chuyển sang trạng thái “Nghi ngờ bị tấn công”, hệ thống thực hiện thống kê chi tiết đối với từng địa chỉ IP nguồn có các luồng gửi tới máy chủ/dịch vụ đó bao gồm (1) số cổng nguồn được mở SP, và (2) số gói tin trung bình trên mỗi luồng PN được gửi từ địa chỉ IP nguồn tương ứng. Các giá trị này được so sánh với giá trị trung bình tích lũy tương ứng theo hệ số lọc bỏ 𝐾𝐾𝐹𝐹 để xác định địa chỉ IP đó có là nguồn lưu lượng tấn cơng
hay khơng.
Nếu một địa chỉ IP nguồn có: 𝑆𝑆𝑇𝑇
𝑆𝑆𝑇𝑇𝑆𝑆𝐶𝐶𝐶𝐶𝐶𝐶 ≥ 𝐾𝐾𝐹𝐹 (2.10)
hoặc: 𝑇𝑇𝐹𝐹
𝑇𝑇𝑃𝑃𝐹𝐹𝐶𝐶𝐶𝐶𝐶𝐶 ≥ 𝐾𝐾𝐹𝐹 (2.11)
thì lưu lượng xuất phát từ địa chỉ IP đang xét được xác định là lưu lượng tấn công. Hệ số lọc bỏ 𝐾𝐾𝐹𝐹 được chọn tùy theo đặc điểm riêng của từng máy chủ/dịch vụ đảm bảo độ nhạy DR cao nhưng vẫn giới hạn được tỷ lệ báo động nhầm FPR ở mức thấp. Tiến trình phân loại lưu lượng khi một máy chủ/dịch vụ ở trạng thái “Nghi ngờ bị tấn công” được mô tả trong Bảng 2.3.