ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN PHƯƠNG CHÍNH GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TRUY CẬP TRÁI PHÉP VÀO MẠNG Ngành: Công nghệ Thông tin Chuyên ngành: Truyền liệu Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS-TS Nguyễn Văn Tam Hà Nội – 2009 LỜI CẢM ƠN Lời đầu tiên, xin chân thành cảm ơn PGS TS Nguyễn Văn Tam, Viện công nghệ thông tin, ngƣời gợi ý đề tài tận tình hƣớng dẫn cho tơi hồn thành luận văn cao học Tôi xin gửi lời cảm ơn chân thành tới Phòng đào tạo sau đại học thầy cô giáo khoa Công nghệ - Trƣờng Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội giảng dạy, truyền đạt tạo điều kiện học tập tốt cho suốt trình học cao học nhƣ thời gian thực luận văn cao học Hà Nội, tháng 06 năm 2009 Nguyễn Phƣơng Chính I MỤC LỤC LỜI CẢM ƠN BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU MỤC LỤC MỞ ĐẦU Đặt vấn đề Nội dung đề tài Cấu trúc luận văn CHƢƠNG TỔNG QUAN VỀ HỆ THỐNG IPS 1.1 Lịch sử đời 1.2 Hệ thống IDS 1.2.1 Một hệ thống IDS bao gồm thành phần 1.2.2 Phân loại hệ thống IDS 1.2.2.1 Network-based Intrusion Detection System (NIDS) 1.2.2.2 Host-based Intrusion Detection System (HIDS) 1.2.2.3 Hybrid Intrusion Detection System 1.3 Hệ thống IPS 1.3.1 Phân loại IPS 10 1.3.2 Các thành phần 11 1.3.2.1 Module phân tích gói (packet analyzer) 11 1.3.2.2 Module phát công 11 1.3.2.3 Module phản ứng 14 1.3.3 Mơ hình hoạt động 15 1.3.4 Đánh giá hệ thống IPS 17 1.4 Kết chƣơng 18 I CHƢƠNG : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƢƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS 21 2.1 Tổng quan phƣơng pháp phát bất thƣờng 21 2.1.1 Thế bất thƣờng mạng? 21 2.1.2 Các nguồn liệu dùng cho phát bất thƣờng 22 2.1.2.1 Network Probes 23 2.1.2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) 23 2.1.2.3 Dữ liệu từ giao thức định tuyến 24 2.1.2.4 Dữ liệu từ giao thức quản trị mạng 24 2.1.3 Các phƣơng pháp phát bất thƣờng 25 2.1.3.1 Hệ chuyên gia ( Rule-based ) 25 2.1.3.2 Mạng Nơ-ron ( Artificial Neural Network) 27 2.1.3.3 Máy trạng thái hữu hạn 31 2.1.3.4 Phân tích thống kê 32 2.1.3.5 Mạng Bayes 34 2.2 Kết chƣơng 35 CHƢƠNG 3: PHƢƠNG PHÁP PHÁT HIỆN BẤT THƢỜNG DỰA TRÊN KHAI PHÁ DỮ LIỆU 36 3.1 Khai phá liệu 36 3.2 Các thuật toán phát bất thƣờng khai pháp liệu 39 3.2.1 Đánh giá chung hệ thống 39 3.2.2 Phần tử dị biệt 41 3.2.2.1 Phƣơng pháp điểm lân cận gần (NN) 42 3.2.2.2 Phƣơng pháp pháp điểm dị biệt dựa khoảng cách Mahalanobis 43 3.2.2.3 Thuật toán LOF 44 3.2.2.4 Thuật toán LSC-Mine 48 3.3 Mơ hình phát bất thƣờng dựa kỹ thuật KPDL 50 I 3.3.1 Module lọc tin 51 3.3.2 Module trích xuất thơng tin 51 3.3.3 Môđun phát phần tử di biệt 52 3.3.4 Module phản ứng 55 3.3.5 Module tổng hợp 55 3.4 Giới thiệu hệ thống phát xâm nhập MINDS 58 3.4.1 Giới thiệu hệ thống 58 3.4.2 So sánh SNORT MINDS 64 3.4.3.1 Tấn công dựa nội dung 64 3.4.3.2 Hoạt động scanning 65 3.4.3.3 Xâm phạm sách 66 3.5 Kết chƣơng 66 KẾT LUẬN 68 Hƣớng phát triển luặn văn: 69 TÀI LIỆU THAM KHẢO MỞ ĐẦU Đặt vấn đề Vấn đề an tồn, an ninh mạng khơng nhƣng ngày trở nên quan trọng với phát triển theo chiều rộng chiều sâu xã hội thơng tin Lấy ví dụ đơn giản nhƣ gần nhiều trang web, hệ thống mạng Việt Nam bị hacker công gây hậu đặc biệt nghiêm trọng Hơn công ngày tinh vi, phức tạp đến từ nhiều hƣớng khác Trƣớc tình hình hệ thống thơng tin cần phải có chiến lƣợc, giải pháp phòng thủ theo chiều sâu nhiều lớp IPS (Intrusion Prevension System – Hệ thống ngăn chặn truy nhập trái phép) hệ thống có khả phát trƣớc làm chệch hƣớng công vào mạng IPS đáp ứng đƣợc yêu cầu hệ thống phòng thủ chiến lƣợc theo chiều sâu, hoạt động dựa sở thu thập liệu mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không để đƣa cảnh báo cho nhà quản trị mạng tự động thực số thao tắc nhằm ngăn chặn chấm dứt cơng Các hệ thống IPS có hai hƣớng tiếp cận dựa dấu hiệu dựa phát bất thƣờng Đối với hƣớng dựa dấu hiệu, hệ thống sử dụng mẫu công từ lần công trƣớc tiến hành so sánh để xác định liệu xét có phải công không, hƣớng đƣợc sử dụng tƣơng đối rộng rãi nhƣng có điểm yếu phát đƣợc dạng công biết trƣớc Đối với hƣớng dựa phát bất thƣờng, hệ thống xây dựng hồ sơ mô tả trạng thái bình thƣờng, từ xét đƣợc hành động bất thƣờng thông số đo đƣợc hành động có độ khác biệt đáng kể với mức “bình thƣờng” Hƣớng tiếp cận có nhiều ƣu điểm cách tiếp cận dựa dấu hiệu có khả phát công Nội dung đề tài Xuất phát từ vấn đề nêu trên, nội dung đề tài bao gồm vấn đề sau:  Nghiên cứu, tìm hiểu vấn đề tơng quan hệ thống IPS bao gồm phân loại, chức hoạt động, hƣớng phát triển  Tìm hiểu hệ thống IPS dựa phát bất thƣờng, phân tích ƣu nhƣợc điểm hƣớng tiếp cận Nghiên cứu kỹ thuật đƣợc sử dụng nhƣ: Phân tích thống kê, mạng Neutral, Hệ chuyên gia, Máy trạng thái hữu hạn, Khai phá liệu …  Nghiên cứu cụ thể kỹ thuật sử dụng phát bất thƣờng kỹ thuật Khai phá liệu (data mining) Đƣa đánh giá, so sánh hệ thống sử dụng kỹ thuật so với kỹ thuật khác Cấu trúc luận văn Luận văn đƣợc chia thành chƣơng dựa vào nội dung nêu trên:  Chƣơng 1: Giới thiệu tổng quan hệ thống IPS , thành phần chức hệ thống  Chƣơng 2: Tìm hiểu phƣơng pháp phát công dựa phát bất thƣờng đƣợc áp dụng nhƣ: Phân tích thống kê, Mạng Neutral, Hệ chuyên gia…  Chƣơng 3: Tìm hiểu kỹ thuật Khai phá liệu nhƣ hệ thống IPS có sử dụng phƣơng pháp phát bất thƣờng ứng dụng khai phá liệu 3 CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG IPS 1.1 Lịch sử đời Hệ thống Firewall (tƣờng lửa) cổ điển đƣợc ứng dụng hệ thống mạng để bảo vệ mạng khỏi công truy nhập trái phép từ lâu Tuy nhiên trình hoạt động Firewall thể nhiều nhƣợc điểm cố hữu Thứ nhất, hệ thống Firewall hệ thống thụ động, Firewall hoạt động sở tập luật, luật Firewall phải đƣợc ngƣời quản trị cấu hình hay định cho phép hay khơng cho phép gói tin qua Bản thân hệ thống Firewall nhận biết đƣợc mối nguy hại đến từ mạng mà phải đƣợc ngƣời quản trị mạng thông qua việc thiết lập luật Thứ hai, Hệ thống Firewall hoạt động chủ yếu lớp mạng trở xuống, Firewall ngăn chặn truy nhập thơng qua trƣờng địa IP đích nguồn, cổng dịch vụ (TCP/UDP), số Firewall cịn ngăn chặn lớp vật lý thơng qua địa MAC Address Nhƣ vậy, thông tin mà Firewall dùng để ngăn chặn truy nhập phần tiêu đề gói tin, Firewall cổ điển khơng thể đọc thơng tin phần tải gói tin (Pay Load) nơi chứa nội dung thông tin đƣợc truyền đi, nơi tiềm ẩn mã nguy hiểm gây hại cho hệ thống Thứ ba, khơng có khả đọc nội dung gói tin nên hệ thống Firewall có khả bảo vệ vịng ngồi hệ thống, thân khơng có khả chống công xuất phát từ bên mạng Trong bối cảnh đó, IDS đời nhƣ bổ sung cho hệ thống Firewall cổ điển IDS có khả bắt đọc gói tin, phân tích gói tin để phát nguy công tiềm ẩn nội dung gói tin Tuy nhiên IDS lại sinh cảnh báo cho hệ thống cho ngƣời quản trị mạng, có nghĩa hoạt động IDS mang tính chất cảnh báo trợ giúp thông tin cho ngƣời quản trị mạng, thông tin cảnh báo bảo mật, ngƣời quản trị mạng phải tiến hành lệnh cho Firewall ngăn chặn công Nhƣ thân hệ thống IDS hệ thống thụ động IDS bổ sung cần thiết cho hệ thống an ninh cổ điển, nhiên chƣa triệt để, ngƣời ta phải kết hợp hoạt động IDS với hệ thống Firewall để tạo hệ thống an ninh có khả phát dấu hiệu công chủ động ngăn chặn cơng Hệ thống nhƣ đƣợc biết đến với tên hệ thống ngăn chặn truy nhập IPS Các phần trình bày cấu trúc nhƣ hoạt động hệ thống IDS IPS 1.2 Hệ thống IDS IDS từ viết tắt tiếng anh Intrusion Detection System hay gọi hệ thống phát truy nhập trái phép IDS có nhiệm vụ rà quét gói tin mạng, phát truy nhập trái phép, dấu hiệu cơng vào hệ thống từ cảnh báo cho ngƣời quản trị hay phận điều khiển biết nguy xảy cống trƣớc xảy Một hệ thống phát truy nhập trái phép có khả phát tất luồng liệu có hại từ mạng vào hệ thống mà Firewall phát đƣợc Thông thƣờng công mạng thuộc kiểu công: từ chối dịch vụ, phá hoại liệu ứng dụng, công vào máy trạm nhƣ thay đổi quyền máy, đăng nhập bất hợp pháp truy nhập vào tệp tin nhạy cảm loại Virus, Trojan, Worm độc hại khác 1.2.1 Một hệ thống IDS bao gồm thành phần  Bộ phát (Sensor): Là phận làm nhiệm vụ phát kiện có khả đe dọa an ninh hệ thống mạng, phát có chức rà quét nội dung gói tin mạng, so sánh nội dung với mẫu phát dấu hiệu công hay gọi kiện  Bộ giao diện (Console):Là phận làm nhiệm vụ giám sát kiện, cảnh báo đƣợc phát sinh từ Sensor điều khiển hoạt động Sensor  Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất báo cáo kiện đƣợc phát Sensor sở liệu sử dụng hệ thống luật để đƣa cảnh báo kiện an ninh nhận đƣợc cho hệ thống cho ngƣời quản trị Nhƣ vậy, hệ thống IDS hoạt động theo chế “phát cảnh báo” Các Sensor phận đƣợc trí hệ thống điểm cần kiểm sốt, Sensor bắt gói tin mạng, phân tích gói tin để tìm dấu hiệu cơng, gói tin có dấu hiệu công, Sensor đánh dấu kiện gửi báo cáo kết cho Engine, Engine ghi nhận tất báo cáo tất Sensor, lƣu báo cáo vào sở liệu định đƣa mức cảnh báo kiện nhận đƣợc Console làm nhiệm vụ giám sát kiện cảnh báo, đồng thời điều khiển hoạt động Sensor Các mẫu (Signatures): Các Sensor hoạt động theo chế “so sánh với mẫu”, Sensor bắt gói tin mạng, đọc nội dung gói tin so sánh xâu nội dung gói tin với hệ thống mẫu tín hiệu nhận biết công mã độc gây hại cho hệ thống, nội dung gói tin có xâu trùng với mẫu, Sensor đánh dấu kiện bình thƣờng hay có dấu hiệu cơng từ sinh cảnh báo Các tín hiệu nhận biết công đƣợc tổng kết tập hợp thành gọi mẫu hay signatures Thông thƣờng mẫu đƣợc hình thành dựa kinh nghiệm phịng chống cơng, ngƣời ta thành lập trung tâm chuyên nghiên cứu đƣa mẫu để cung cấp cho hệ thống IDS toàn giới 1.2.2 Phân loại hệ thống IDS Có nhiều mơ hình cách để phân loại hệ thống IDS, dựa theo loại vị trí đặt Sensor phƣơng pháp sử dụng Engine để sinh cảnh báo Hầu hết IDS đơn giản kết hợp ba thành phần Sensor, Console, Engine vào thiết bị phần cứng ứng dụng 1.2.2.1 Network-based Intrusion Detection System (NIDS) Network-based Instrusion Detection System (Hệ thống phát truy nhập cho mạng) giải pháp độc lập để xác định truy nhập trái phép cách kiểm tra luồng thông tin mạng giám sát nhiều máy trạm, Network Instrusion Detection Systems truy nhập vào luồng thông tin mạng cách kết nối vào Hub, Switch đƣợc cấu hình Port mirroring Network tap để bắt gói tin, phân tích nội dung gói tin từ sinh cảnh báo 6 Internet NIDS NIDS Web Server Mail Server Web Server DNS Server NIDS ` ` ` ` ` ` Hình 1.1: Hệ thống Network-based Intrusion Detection Port mirroring đƣợc sử dụng switch mạng để gửi tất gói tin mạng qua cổng Switch tới thiết bị giám sát mạng cổng khác Switch Nó thƣờng đƣợc sử dụng để thiết bị mạng cần giám sát luồng mạng, ví dụ hệ thống IDS, Port mirroring Switch Cisco System thƣờng đƣợc gọi Switched Port Analyzer (SPAN) 3Com Roving Analysis Port (RAP) Network tap thiết bị phần cứng cung cấp phƣơng tiện để truy nhập vào luồng liệu ngang qua máy tính mạng Các máy tính mạng bao gồm Internet tập hợp thiết bị nhƣ máy tính, router, switch nối với hệ thống khác Các kết nối đƣợc tạo nhiều công nghệ khác nhƣ Etherenet, 802.11, FDDI ATM Trong nhiều trƣờng hợp đƣợc xem nhƣ thành phần thứ để giám sát luồng liệu trao đổi hai điểm mạng, điểm A điểm B Nếu mạng điểm A điểm B chứa kết nối vật lý, network tap giải pháp tốt cho việc giám sát Network tap có cổng kết nối, cổng A, cổng B, cổng giám sát Để đặt Network tap điểm A điểm B, cáp mạng hai điểm A, B đƣợc thay cặp dây, dây đấu vào cổng A dây đấu vào cổng B Network tap cho qua tất liệu A B giao tiếp hai điểm A B diễn bình thƣờng, nhiên liệu trao đổi bị Network tap chép đƣa vào thiết bị giám sát thông qua cổng giám sát 7 Trong hệ thống Network-based Intrusion Detection System (NIDS), Sensor đƣợc đặt điểm cần kiểm tra mạng, thƣờng trƣớc miền DMZ vùng biên mạng, Sensor bắt tất gói tin lƣu thơng mạng phân tích nội dung bên gói tin để phát dấu hiệu công mạng Theo chức sử dụng, hệ thống NIDS đƣợc phân thành hai hệ thống nhỏ Protocol-based Intrusion Detection System (PIDS – Hệ thống phát truy cập dựa giao thức) Application Protocol-based Intrusion Detection System (APIDS – Hệ thống phát truy nhập dựa ứng dụng) PIDS APIDS đƣợc sử dụng để giám sát giao vận giao thức không hợp lệ không mong muốn luồng liệu hạn chế ngôn ngữ giao tiếp Hệ thống Protocol-based Intrusion Detection System (PIDS) chứa hệ thống (System) thành phần (Agent) thƣờng đƣợc đặt trƣớc máy chủ, giám sát phân tích giao thức trao đổi thiết bị đƣợc nối mạng (Một máy trạm hệ thống) Một hệ thống Application Protocol-based Intrusion Detection System (APIDS) bao gồm hệ thống (System) thành phần (Agent) thƣờng nằm nhóm máy chủ, giám sát phân tích trao đổi lớp ứng dụng giao thức định sẵn Ví dụ; máy chủ web với sở liệu giám sát giao thức SQL để ngăn chặn truy nhập vào ứng dụng trao đổi với sở liệu 1.2.2.2 Host-based Intrusion Detection System (HIDS) Trong hệ thống HIDS (Hệ thống phát truy nhập dựa máy trạm), Sensor thƣờng thƣờng phần mềm máy trạm (Software agent), giám sát tất hoạt động máy trạm mà nằm Hệ thống Host-based Intrusion Detection System bao gồm thành phần (Agent) cài đặt máy trạm, xác định truy nhập trái phép vào hệ thống cách phân tích trao đổi hệ thống, ghi ứng dụng, sửa đổi tệp tin hệ thống (Các file dạng binary, mật file, dung lƣợng acl sở liệu) hoạt động trạng thái khác hệ thống để từ phát dấu hiệu truy nhập trái phép vào hệ thống Khi phát truy nhập trái phép, Agent sinh kiện gửi báo cáo Engine, Engine lƣu báo cáo Agent vào sở liệu tiến hành phân tích thơng tin để đƣa cảnh báo cho ngƣời quản trị hệ thống Internet HIDS HIDS Web Server ` Mail Server ` HIDS Web Server ` ` HIDS ` DNS Server ` HIDS Hình 1.2: Hệ thống Host-based Intrusion Detection 1.2.2.3 Hybrid Intrusion Detection System Hybrid Intrusion Detection System hệ thống lai hệ thống Networkbased IDS Hệ thống Host-based IDS Nó kết hợp nhiều thành phần thích hợp hai hệ thống lại với Các thông tin thu thập đƣợc máy trạm (Host agent data) kết hợp với thông tin thu thập đƣợc mạng để có đƣợc phân tích cách chi tiết trạng hệ thống mạng 9 Internet NIDS NIDS Web server Mail Server Web Server DNS Server NIDS NIDS ` ` ` ` ` ` Private managemant network Private managemant network IDS Management station Hình 1.3: Hệ thống Hybrid Intrusion Detection 1.3 Hệ thống IPS IPS viết tắt tiếng anh Intrusion Prevention System hay thƣờng đƣợc gọi hệ thống ngăn chặn truy nhập trái phép Hiện nay, hệ thống IDS/IPS đƣợc triển khai rộng rãi toàn giới, với đặc điểm mơ hình triển khai đơn giản, cách thức phát truy nhập hiệu góp phần nâng cao độ tin cậy hệ thống an ninh IPS hệ thống kết hợp hệ thống IDS hệ thống Firewall, có ba thành phần là: Hệ thống Firewall, hệ thống IDS thành phần trung gian kết nối hai hệ thống lại với Firewall: thành phần bảo vệ hệ thống mạng vùng biên, Firewall tập luật mà đƣợc thiết lập từ trƣớc để xác định cho phép hay khơng cho phép gói tin đƣợc hay khơng đƣợc phép qua IDS: làm nhiệm vụ rà quét tất gói tin trƣớc sau vào mạng, đọc nội dung gói tin, phát dấu hiệu cơng chứa đựng gói tin, phát có dấu hiệu cơng, sinh cảnh báo cho hệ thống Thành phần trung gian kết nối: Thành phần trung gian kết nối nhận cảnh báo thông tin đƣa từ hệ thống IDS, phân tích mức độ cảnh báo, tiến hành tác động lên hệ thống Firewall để cấu hình lại tập luật nhằm ngăn chặn công IV TÀI LIỆU THAM KHẢO C Iheagwara (2004), “The effectiveness of intrusion detection systems” Computers & Security Journal, 23, pp 213-228 A Yee, “The intelligent IDS: next generation network intrusion management revealed.” NFR security white paper Available at: http://www.eubfn.com/arts/887_nfr.htm C Iheagwara (2004), “The Effect Of Intrusion Detection Management Methods On The Return On Investment” Computers & Security Journal, 23, pp 213-228 Marina Thottan and Chuanyi Ji (2003), “Anomaly Detection in IP Networks”, IEEE TRANSACTIONS ON SIGNAL PROCESSING, 51, Available at: http://users.ece.gatech.edu/~jic/sig03.pdf Paul Dokas, Levent Ertoz, Vipin Kumar, Aleksandar Lazarevic, Jaideep Srivastava, Pang-Ning Tan(2002) “Data Mining for Network Intrusion Detection” Available at: http://www.cs.umn.edu/research/MINDS/papers/nsf_ngdm_2002.pdf Varun Chandola, Eric Eilertson, Levent Ertăoz, Gyăorgy Simon and Vipin Kumar (2006), “Data Mining for Cyber Security” Available at: http://www.cs.umn.edu/research/MINDS/publications/chapter.pdf Markus M Breunig, Hans-Peter Kriegel, Raymond T Ng, Jörg Sander, (2000) “LOF: Identifying Density-Based Local Outliers“ Available at: http://www.cs.ualberta.ca/~joerg/papers/LOF-final.pdf Malik Agyemang, Christie I Ezeife, “ LSC-Mine: Algorithm for Mining Local Outliers” Available at: http://cs.uwindsor.ca/~cezeife/irma04.pdf Ertoz, L., Eilertson, E., Lazarevic, A., Tan, P., Srivastava, J., Kumar, V., Dokas, P, (2004) “MINDS - Minnesota Intrusion Detection System”, Available at: http://www.cs.umn.edu/research/MINDS/papers/minds_chapter.pdf 10 The Computer Economics Journal ( 2004), “Cost estimates for viruses and worms” 11 SourceFire, Inc (2004), “Real-time Network Defense - The Most Effective Way to Secure the Enterprise.” White Paper, Columbia, Maryland IV 12 E Hurley (2003), “Intrusion prevention: IDS' 800-pound gorilla”, News Article Availiable at: http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci892744,00.ht mlReferences Cont 13 C Iheagwara and A Blyth (2002), “Evaluation of the performance of IDS systems in a switched and distributed environment,” Computer Networks, 39,pp 93-112 14 C Iheagwara, A Blyth and M Singhal (2003), “A Comparative Experimental Evaluation Study of Intrusion Detection System Performance in a Gigabit Environment,” Journal of Computer Security, 11, pp 135,164 15 K Richards(1999), "Network Based Intrusion Detection: a review of technologies,” Computers & Security, 18, pp 671-682 16 C Iheagwara, A Blyth, K David, T Kevin (2004), “Cost – Effective Management Frameworks: The Impact of IDS Deployment on Threat Mitigation.” Information and Software Technology Journal, 46, pp.651-664 17 E Bloedorn, et al.(2001),” Data Mining for Network Intrusion Detection: How to Get Started”, MITRE Technical Report 18 S Manganaris, M Christensen, D Serkle, and K Hermix (1999), “A Data Mining Analysis of RTID Alarms, Proceedings of the 2nd International Workshop on Recent Advances in Intrusion Detection (RAID 99)”, West Lafayette 19 D.E Denning (1987), “An Intrusion Detection Model”, IEEE Transactions on Software Engineering 20 H.S Javitz, and A Valdes (1993), “The NIDES Statistical Component: Description and Justification”.Computer Science Laboratory, SRI International