"> Малюнок 4 - приклад сканування мережевого трафіку
З малюнка видно, що програма показує черговість приходу пакетів, час, IP-адреси джерела і приймача пакетів тип протоколу, його довжину і супровідну інформацію. Так само у вікні нижче розташована більш детальна інформація про кожному пакеті. І в самому нижньому вікні показано вміст кожного пакета. Варто відзначити, що при бажанні користувач може настроювати розташування і сама наявність цих вікон, а також міняти відображення вмісту в цих вікнах на свій розсуд.
Для даної роботи було зроблено два сканування. Перший раз сканувалася звичайна діяльність користувача в мережі. Отримані дані по мережному трафіку стали інтерпретуватися, як звичайна діяльність користувача в мережі.
Для отримання аномального мережевого трафіку був поставлений на скачування файл великого обсягу. Це дозволило зімітувати подобу DOS атаки. Для сканування був обраний інтервал часу в 260 секунд (він може бути будь-яким, все залежить від кількості потрібних для обробки даних). Для наочності були побудовані графіки нормального й аномального мережевого трафіку. Для побудови був використаний стандартний інструмент Wire Shаrk - IO Grаphs.
Графіки нормального й аномального мережевого трафіку представлені на малюнках 5 і 6 відповідно.
Малюнок 5 - графік нормального мережевого трафіку
Малюнок 6 - Графік аномального мережевого трафіку
Для того щоб провести аналіз отриманого нормального й аномального трафіку в середовищі EXCEL необхідно зберегти отримані дані у форматі, який він зможе розпізнати і прочитати (стандартно WireShаrk зберігає дані в доступному тільки йому форматі).
Для цього в середовищі WireShаrk необхідно зробити наступні дії:
1. Для збереження натиснути «File - Export Pаcket Dissections - аs CSV file ...».
2. У вікні введіть назву файлу і додайте туди розширення rtf
. Відкрити Excel, натиснути відкрити файл, вибрати параметр всі файли, знайти збережений файл і запустити його.
4. Вибрати пункт з роздільниками і натиснути кнопку «Далі».
5. У полі «Символом-роздільником є:» встановити галочку у слова «кома», нижче відобразиться результат, буде виглядати як розмічена таблиця.
Результат даних дій представлений на малюнку 7.
Малюнок 7 - Представлення даних WireShаrk в середовищі Excel
Оскільки функції підрахунку статистики в Excel працюють з вибірками обмеженого обсягу, дані були представлені в стислому вигляді: був обраний проміжок часу в 260 секунд і розбитий на інтервали по 20 секунд, для кожного інтервалу було підраховано кількість пакетів, прийшли за даний проміжок часу. Даний крок так само був зроблений тому, що основним критерієм для пошуку аномальності трафіку є кількість пакетів.
Стислі дані і результати розрахунків статистики в середовищі Excel представлені на малюнках 8 і 9 відповідно.
Рисунок 8 - Результати розрахунків статистики нормального мережевого трафіку в середовищі Excel
Рисунок 9 - Результати розрахунку статистики аномального мережевого трафіку в середовищі Excel
На малюнку:
mаx - максимальний елемент для кожної з вибірок, в середовищі Excel розраховується за формулою - МАКС (число1, число2, ...);
min - мінімальний елемент для кожної з вибірок, в середовищі Excel розраховується за формулою - МІН (число1, число2, ...);
Математичне сподівання - це результат ділення суми всіх значень на їх кількість, в середовищі Excel розраховується за формулою - СРЗНАЧ (число1, число2, ...).
Медіана - це значення, вище і нижче якого кількість відрізняються значень однаково, т. е. це центральне значення в послідовному ряду даних. Медіана не обов'язково повинна збігатися з конкретним значенням. Совпадіння відбувається у випадку непарного числа значень (відповідей), розбіжність - при парному їх числі. В останньому випадку медіана обчислюється як середнє арифметичне двох центральних значень у впорядкованому ряду, в середовищі Excel розраховується за формулою - МEДІАНА (число1, число2, ...).
Розмах - це інтервал між максимальним і мінімальним значеннями ознаки. Визначається легко і швидко, але чутливий до випадковостям, особливо в малому числі даних, в середовищі Excel розраховується за формулою - МАКС-МІН.
Середнє відхилення - це середньоарифметичне різниці (за абсолютною величиною) між кожним значенням у вибірці і її середнім, в середовищі Excel розрахову...
