Xuất các đặc trƣng

Một phần của tài liệu ứng dụng bản đồ tự tổ chức som (self organizing map) phát hiện phát tán virus máy tính qua hành vi (Trang 53 - 54)

Rút trích và chuẩn hóa các tham số đặc trưng của hệ thống máy chủ IDS để làm tập giá trị đầu vào của thuật toán “Bản đồ tự tổ chức” là phần hết sức quan trọng.

Trong một thời gian dài thực nghiệm theo dõi tình trạng của hệ thống máy chủ IDS bao gồm tình trạng CPU, RAM, số tiến trình xử lý, số kết nối được mở, số lượng gói tin gửi nhận …Từ đó thu thập các tham số đặc trưng máy chủ IDS trong trạng thái “bình thường” không có mã độc tấn công và các tham số đặc trưng trong trạng thái “bất thường” có mã độc tấn công xâm nhập. Sau đó so sánh các tham số đặc trưng này với nhau, luận văn đề xuất 19 tham số có sự thay đổi và ảnh hưởng đến hệ thống máy chủ IDS như sau.

 load.for1min: % bộ vi xử lý sử dụng trong 1 phút cuối cùng

 load.for5min: % bộ vi xử lý sử dụng trong 5 phút cuối cùng

 Uptime: Số giây hệ thống đã chạy

 Idletime: Số giây idle hệ thống

 processes: Số lượng tiến trình kể từ khi khởi động.

 procs_running: Số các tiến trình trong trạng thái đang chạy.

 procs_blocked: Số tiến trình bị chặn chờ đợi cho I/O để hoàn thành.

 Memavg: Trung bình dung lượng Ram đã dùng cho các tiến trình

 Buffers: Dung lượng bộ nhớ Ram sử dụng trong buffer cache

 Cache: Dung lượng bộ nhớ Ram sử dụng trong Cached

 HighFree: Dung lượng bộ nhớ còn trống ở vùng nhớ cao

 LowFree: Dung lượng bộ nhớ còn trống ở vùng nhớ thấp

 PageTables: Bảng phân trang (là số lượng bộ nhớ dành riêng cho mức thấp ở pagetables)

 Committed_AS: Committed dung lượng bộ nhớ Ram cung cấp cho

hệ thống

 SocketTotal: Tổng số lượng socket (socket là một quá trình thông tin mạng thực hiện bằng cách sử dụng giao thức liên mạng trên tầng vận chuyển Ethernet)

 ICMP: Số lượng gói tin ICMP gửi tới máy chủ

 UDP: Số lượng gói tin UDP gửi tới máy chủ

 TCP: Số lượng TCP kết nối tới máy chủ

Đây là các tham số đặc trưng diễn tả được tình trạng của hệ thống máy chủ IDS. Tất cả các tham số này được định nghĩa thành một véc-tơ k chiều với k=19 và chính là số lượng tham số đề xuất.

Một phần của tài liệu ứng dụng bản đồ tự tổ chức som (self organizing map) phát hiện phát tán virus máy tính qua hành vi (Trang 53 - 54)

Tải bản đầy đủ (PDF)

(96 trang)