MỤC LỤC
IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (Detection), thành phần phản hồi (response) nếu gói tin đó được phát hiện là một cuộc tấn công. Thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các tham số cần thiết. Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho nó có thể đọc tất cả các gói tin).
Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có dấu hiệu vi phạm hay không. Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa sổ popup, trang web v.v…).
Snort IPS sử dụng một loạt các quy tắc để xác định hoạt động mạng độc hại và sử dụng những quy tắc đó để tìm các gói tin phù hợp và tạo ra cảnh báo cho người dùng. Snort có ba ứng dụng chính: Là một công cụ theo d]i gói tin như tcpdump, là một bộ ghi theo d]i gói tin — hữu ích để gỡ lgi lưu lượng mạng, hoặc nó có thể được sử dụng như một hệ thống ng\n chặn xâm nhập mạng toàn diện. Những thành phần này làm việc với nhau để phát hiện các cách tấn công cụ thể và tạo ra output theo một định dạng được đòi hci.
Tại đây tùy vào việc có phát hiện được xâm nhập hay không mà gói tin có thể bc qua để lưu thông tin tiếp hoặc đưa vào module Log và cảnh báo để xử lý. Khi các cảnh báo được xác định, module kết xuất thông tin sb thực hiện việc đưa ra cảnh báo theo đúng định dạng mong muốn. Mô tả: Module này chuyển đổi dữ liệu từ định dạng nhị phân sang dạng v\n bản, tạo điều kiện cho việc xử lý tiếp theo của Snort.
Mô tả: Tiền xử lý có thể bao gnm các chức n\ng như tái tạo gói tin, loại bc thông tin không cần thiết, hay giải mã mã hóa. Mô tả: Nơi chứa các quy tắc phát hiện, dựa trên cơ sở dữ liệu quy tắc, để xác định gói tin nào là có khả n\ng đe dọa đến hệ thống. Mô tả: Khi một gói tin được xác định là có khả n\ng tấn công, module này tạo ra các bản ghi log và cảnh báo để thông báo cho người quản trị.
Mô tả: Cung cấp khả n\ng trích xuất thông tin chi tiết từ các sự kiện, giúp phân tích và quản lý mạng hiệu quả hơn. Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in clng tnn tại để phát hiện sự bất thường trong các header của giao thức. Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ dữ liệu.
Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hci sự tinh tế, vì bạn càng sử dụng nhiều luật thì n\ng lực xử lý càng được đòi hci để thu thập dữ liệu trong thực. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động xâm nhập và bạn clng có thể thêm vào các luật của chính bạn. Một luật có thể được sử dụng để tạo nên một thông điệp cảnh báo, log một thông điệp hay có thể bc qua một gói tin.
[content; content options]: Nội dung hay dữ liệu cụ thể mà luật sb kiểm tra, có thể sử dụng các tùy chọn như nocase, offset, depth,. Trong ví dụ này, luật sb kích hoạt một cảnh báo nếu có 5 lượt truy cập HTTP GET từ một ngunn duy nhất trong vòng 60 giây.
Giao thức TCP, thuộc loại giao thức hướng kết nối, đặt ra quy trình thiết lập kết nối trước khi truyền dữ liệu, và các kỹ thuật quét Portscan thường sử dụng các kết nối với các flags như SYN, ACK, RST, FIN. Trong thời gian, một phạm vi cổng cụ thể được quét tại một thời điểm, và sau một khoảng thời gian, kẻ tấn công sb tiến hành quét các phần còn lại để làm khó kh\n quá trình phân loại. Nếu không phát hiện được xâm nhập, gói tin có thể được bc qua để tiếp tục lưu thông, ngược lại, nó sb được chuyển đến mô-đun Log và cảnh báo để xử lý.
Điều này t\ng cường khả n\ng theo d]i, phân tích, và báo cáo về các cuộc tấn công Portscan một cách hiệu quả và đnng thời cung cấp sự tích hợp linh hoạt vào hệ thống Snort. - Mô-đun xử lý bảng b\m( Hash tables processing) nhận các gói dữ liệu và ghi vào bảng b\m các tham số quan trọng được thu thập từ gói dữ liệu đó. - Mô-đun thu thập dữ liệu (Data adaptation for ANN) được chuẩn hoá và tạo quan hệ của các tham số để tạo đầu vào cho ANN, kết quả được biểu diễn trong khoảng [0,1].
- Mô-đun bộ lọc(Filter) sb áp dụng ngưỡng cho kết quả ANN, nếu giá trị kết quả lớn hơn hoặc nhc hơn ngưỡng, cảnh báo sb được tạo. Với bất kỳ hệ thống sử dụng học máy nào việc lựa chọn dữ liệu đầu vào cho mạng nơ-ron là rất quan trọng nó ảnh hưởng trức tiếp đến kết quả mà bài toán đặt ra. Ở đây các bộ dữ liệu đầu vào đnng thời clng là bộ dữ liệu huấn luyện mạng được thu thập dữ liệu bằng chính Snort thông qua tiền xử lý.
Giá trị cao trong tham số này có thể có nghĩa là IP này là nạn nhân của một portscan, bởi vì nó không bình thường khi một máy chủ nhận được quá nhiều yêu cầu kết nối đến các cổng đóng của nó. Mô hình mạng nở ron PortscanAI có hàm kích hoạt (hàm chuyền) là hàm sigmoid, hàm này đặc biệt thuận lợi khi ta sử dụng thuật toán huấn luyện lan truyền ngược, đồng thời phù hợp với chương trình xây dựng có đầu ra mong muốn rơi vào khoảng [0,1]. Quá trình này thu thập được được kiểm soát, sao cho các giá trị đầu ra của mạng trong các bộ huấn luyện tương ứng với giá trị lưu lượng thực tế.
Từ các tham số đầu vào được chọn để tạo ra bộ huấn luyện đầu tiên ta cho Snort lắng nghe để tạo ra mẫu đầu vào không bị xâm nhập mạng bằng phương thức quét cổng, các mẫu đầu vào này được liên kết với mạng nơ ron cho ra các giá trị đầu ra chỉ trạng thái không bị tấn công và ngược lại. Bằng cách tạo ra các mẫu thử này, hệ thống sẽ tự động xác định các đặc điểm thực tế của lưu lượng thông thường và lưu lượng bị tấn công nhờ năng lực học tập của mạng nơ ron. Khi PortscanAI được tích hợp vào Snort, Snort có khả n\ng phát hiện xâm nhập bất thường, phát hiện được các cuộc tấn công như TCPConnect, TCP SYN, Decoy.
Tuy nhiên vhn còn những cảnh báo dư thừa hay bc xót gói tin vì vậy để xây dựng được hệ thống sử dụng học máy cần lựa chọn chính xác giá trị các tham số đầu vào cho mạng để đưa ra kết quả tốt nhất. Nên để có được một mạng tốt thì phải trải qua thực nghiệm nhiều với các tham số khác nhau để có thể xây dựng được mô hình phù hợp.