PHÂN TÍCH DỮLIỆU LOGFILE FIREWALL ISA

Một phần của tài liệu Khai phá dữ liệu Logfile của Firewall trong hệ thống mạng IPTV nhằm phát hiện tấn công từ chối dịch vụ (Trang 47)

Mỗi một bản ghi (một dòng log) trong logfile của Firewall ISA Server 2006 chứa thông tin về một kết nối (connection). Các bản ghi này được tạo ra liên tục trong quá trình vận hành của hệ thống (ví dụ: người dùng duyệt web).

Máy giả lập tấn công DoS Firewall ISA + DoSAlert Web Server 192.168.0.48 192.168.0.219 10.0.0.124

Mỗi bản ghi này có cấu trúc như sau:

STT Tên trường Giải thích

1 Server Name Tên máy chủ cài đặt Firewall ISA 2 Log Date Ngày tạo bản ghi log

3 Log Time Thời gian tạo bản ghi log

4 Transport

Giao thức truyền dữ liệu được sử dụng (ví dụ: TCP, UDP)

5 Client IP and Port

Địa chỉ IP và cổng của máy trạm. Trường này có cấu trúc là IP:Port

6

Destination IP and Port

Địa chỉ IP và cổng của máy đích. Trường này có cấu trúc là IP:Port

7 Original Client IP Địa chỉ IP gốc của máy trạm 8 Source Network Lớp mạng của máy trạm

9

Destination

Network Lớp mạng của máy đích

10 Action

Hành động được thực thi bởi Firewall đối với kết nối hiện tại (ví dụ: denied, establish,…)

11 Result Code Mã lỗi thực thi

12 Rule

Tham chiếu đến luật được thiết lập trên ISA. Luật này sẽ xác định Action đối với kết nối hiện tại

13 Protocol

Giao thức ứng dụng mà kết nối hiện tại sử dụng (ví dụ: HTTP, NetBios Name Service)

14 Bytes Sent

Tổng số byte dữ liệu được gửi từ máy trạm trong kết nối hiện tại

15 Bytes Sent Delta

Tổng số byte dữ liệu được gửi từ máy trạm trong kết nối hiện tại tính đến thời điểm bản ghi log trước đó được tạo ra

16 Bytes Received

Tổng số byte dữ liệu máy đích nhận được trong kết nối hiện tại

Delta kết nối hiện tại tính đến thời điểm bản ghi log trước đó được tạo ra

18 Processing Time

Tổng số thời gian (tính theo milliseconds) mà ISA Server xử lý kết nối hiện tại

19

Processing Time Delta

Tổng số thời gian (tính theo milliseconds) mà ISA Server xử lý kết nối hiện tại tính đến thời điểm bản ghi log trước đó được tạo ra

20 Client Username

Tên đăng nhập của người dùng tạo ra yêu cầu kết nối

21 Client Agent

Tên và phiên bản hệ điều hành hoặc tên ứng dụng tạo yêu cầu kết nối của máy trạm

22 Session ID Mã phiên làm việc hiện tại 23 Connection ID Mã kết nối hiện tại

Bảng 4.1: Cấu trúc logfile Firewall ISA 2006

Các bản ghi dữ liệu logfile Firewall ISA cần quan tâm là các bản ghi thỏa mãn điều kiện sau đây:

- Trường dữ liệu Action có giá trị khác “denied”. - Trường dữ liệu Protocol có giá trị là “HTTP”.

Một phần của tài liệu Khai phá dữ liệu Logfile của Firewall trong hệ thống mạng IPTV nhằm phát hiện tấn công từ chối dịch vụ (Trang 47)

Tải bản đầy đủ (PDF)

(59 trang)