PHÂN TÍCH THỐNG KÊ LƯU LƯỢNG MẠNG
3.2.2. Kĩ thuật Phân tích trong điều tra
Trong phần này chúng ta lại có thêm một định nghĩa mới, đó là pháp chứng viên. Những người thực hiện kiểm tra, điều tra đối với những chứng cứ gọi là pháp chứng viên. Sau khi thu được những bản gi của lưu lượng mạng, có thể là tệp có đi .pdf, .xml hay phổ biến đó là .csv. Những pháp chứng viên cần chọn lọc để phát hiện và loại bỏ các mục tiêu không liên quan nhằm tăng tốc đố phân tích, bỏ qua những
luồng dữ liệu khơng liên quan. Việc phân tích lưu lượng cũng như phân tích log của một hệ thống do các quản trị viên bảo mật hệ thống hay làm. Những kĩ thuật phân tích gia tăng tỷ lệ phát hiện các bất thường trong q trình trao đổi thơng tin. Chúng ta có các kĩ thuật phân tích bản ghi lưu lượng sau.
- Lọc thông tin: Trong hệ thống mạng có nhiều hướng đi, cũng như nhiều luồng truy cập. Có khi trong cùng một thời điểm một máy chủ server có thể nhận vài nghìn lượt truy cập. Nếu không loại bỏ các chi tiết không liên quan, dịch vụ hay các sự kiện thì mất rất nhiều thời gian để xử lý với dữ liệu trên. Trong tính tốn, mỗi trường dữ liệu lại càng làm thuật toán trở nên phức tạp hơn. Quá trình lọc giúp chúng ta đáng kể thời gian phân tích dữ liệu log.
- Thống kê: Thống kê định hướng lưu lượng theo hướng mạng hoặc là hướng máy chủ để có thể tập chung dữ liệu. từ đây có thể dùng cách thuật tốn xác suất để đoán xem những host nào đang cố ý gây nghẽn tới hệ thống.
- Thông tin đen: tương tự như lọc nhưng ở đây tìm ra các dữ liệu nhảy cảm đã biết trước, ví dụ như địa chỉ IP khả nghi, cổng phục vụ dịch vụ nào đó, thời gian hệ thống gặp vấn đề để chọn ra mục tiêu có liên quan tới ảnh hưởng lưu lượng mạng.
- Mơ hình phân tích: phân tích theo định hướng các thơng tin về giao thức, cờ phục vụ. Như đã nói ở trên phát hiện giao thức TCP yêu cầu tới máy chủ nhưng khơng có cờ kết thúc quá trình bắt tay ba bước đặt trưng. Chứng tỏ đây là một kết nối có vấn đề và cần điều tra tới địa chỉ nguồn đó.
Tất cả những vấn đề vừa đề cập trên đây đều được thể hiện qua các cơng cụ giám sát. Có rất nhiều cơng cụ để thực hiện trong q trình này. Ở đây, nhóm xin giới thiệu PRTG Network.