Rút trích và chuẩn hóa các tham số đặc trưng của hệ thống máy chủ IDS để làm tập giá trị đầu vào của thuật toán “Bản đồ tự tổ chức” là phần hết sức quan trọng.
Trong một thời gian dài thực nghiệm theo dõi tình trạng của hệ thống máy chủ IDS bao gồm tình trạng CPU, RAM, số tiến trình xử lý, số kết nối được mở, số lượng gói tin gửi nhận …Từ đó thu thập các tham số đặc trưng máy chủ IDS trong trạng thái “bình thường” không có mã độc tấn công và các tham số đặc trưng trong trạng thái “bất thường” có mã độc tấn công xâm nhập. Sau đó so sánh các tham số đặc trưng này với nhau, luận văn đề xuất 19 tham số có sự thay đổi và ảnh hưởng đến hệ thống máy chủ IDS như sau.
load.for1min: % bộ vi xử lý sử dụng trong 1 phút cuối cùng
load.for5min: % bộ vi xử lý sử dụng trong 5 phút cuối cùng
Uptime: Số giây hệ thống đã chạy
Idletime: Số giây idle hệ thống
processes: Số lượng tiến trình kể từ khi khởi động.
procs_running: Số các tiến trình trong trạng thái đang chạy.
procs_blocked: Số tiến trình bị chặn chờ đợi cho I/O để hoàn thành.
Memavg: Trung bình dung lượng Ram đã dùng cho các tiến trình
Buffers: Dung lượng bộ nhớ Ram sử dụng trong buffer cache
Cache: Dung lượng bộ nhớ Ram sử dụng trong Cached
HighFree: Dung lượng bộ nhớ còn trống ở vùng nhớ cao
LowFree: Dung lượng bộ nhớ còn trống ở vùng nhớ thấp
PageTables: Bảng phân trang (là số lượng bộ nhớ dành riêng cho mức thấp ở pagetables)
Committed_AS: Committed dung lượng bộ nhớ Ram cung cấp cho
hệ thống
SocketTotal: Tổng số lượng socket (socket là một quá trình thông tin mạng thực hiện bằng cách sử dụng giao thức liên mạng trên tầng vận chuyển Ethernet)
ICMP: Số lượng gói tin ICMP gửi tới máy chủ
UDP: Số lượng gói tin UDP gửi tới máy chủ
TCP: Số lượng TCP kết nối tới máy chủ
Đây là các tham số đặc trưng diễn tả được tình trạng của hệ thống máy chủ IDS. Tất cả các tham số này được định nghĩa thành một véc-tơ k chiều với k=19 và chính là số lượng tham số đề xuất.
