CHƯƠNG 1 GIỚI THIỆU ĐỀ TÀI
3.1 Các loại dữ liệu trong dataset
3.1.2 Dữ liệu Flow-based
Flow-based là một định dạng cơ đọng hơn, chứa chủ yếu thơng tin meta về các kết nối mạng. Flow-based tổng hợp tất cả các packet mà cĩ chung một số thuộc tính trong một time window thành một luồng và thường khơng bao gồm bất kỳ payload nào. Định nghĩa mặc định của flow-based gồm 5 thành phần, cụ thể là địa chỉ IP nguồn, cổng nguồn, địa chỉ IP đích, cổng đích và giao thức truyền tải, được sử dụng rộng rãi trong việc đánh giá dataset.
Luồng cĩ thể xuất hiện ở định dạng một chiều hoặc hai chiều. Định dạng một chiều tổng hợp tất cả các gĩi từ máy chủ A đến máy chủ B chia sẻ các thuộc tính được đề cập ở trên thành một lưu lượng. Tất cả các gĩi từ máy chủ B đến máy chủ A được tổng hợp thành một luồng đơn hướng khác. Ngược lại, luồng hai chiều tĩm tắt tất cả các gĩi giữa máy chủ A và máy B, bất kể kể hướng nào. Các định dạng dựa trên luồng điển hình là NetFlow, IPFIX, sFlow và OpenFlow.
Một số thuộc tính điển hình trong flow-based network traffic là:
36
• Thời lượng (Duration)
• Giao thức truyền tải (Transport protocol)
• Địa chỉ IP nguồn (Source IP address)
• Cổng nguồn (Source port)
• Địa chỉ IP đích (Destination IP address)
• Cổng đích (Destination port)
• Số lượng bytes đã trao đổi (Number of transmitted bytes)
• Số lượng byte đã trao đổi 10 TCP flag (Number of transmitted packets 10
TCP flags)
Tùy các định dạng luồng cụ thể và trình xuất luồng mà sẽ cĩ thêm các thuộc tính như byte mỗi giây, byte mỗi gĩi, cờ TCP của gĩi đầu tiên hoặc thậm chí là entropy được tính tốn của payload cĩ thể được trích xuất. Ngồi ra, chúng ta cĩ thể chuyển đổi dữ liệu dựa trên gĩi sang dữ liệu dựa trên luồng (nhưng khơng phải ngược lại) bằng các cơng cụ như nfdump2 hoặc YAF3.