CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG IPS
3.4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS
3.4.3.2 Hoạt động scanning
Trong khi đang tiến hành phát hiện các hoạt động scanning khác nhau, SNORT và MINDS có thể có những biểu hiện giống nhau đối với 1 số loại scans nhất định, nhưng chúng lại khác nhau về khả năng phát hiện những loại khác. Nói chung, chúng ta có 2 loại scans: scan đến là loại scan trong đó kẻ tấn cơng ở ngồi hệ thống đang quét những điểm dễ bị đột nhập trong 1 hệ thống được giám sát; scan đi là khi ai đó trong hệ thống được giám sát đang truy quét ra bên ngoài. Các hoạt động scan đến được chia làm 2 loại mà phương pháp SNORT và MINDS có thể có những biểu hiện nhằm phát hiện ra chúng khác nhau.
scan nhanh (thông thường) scan chậm
Khi phát hiện các hoạt động scan đến từ 1 nguồn bên ngoài, module của SNORT kiểm soát số lượng địa chỉ IP đích từ mỗi địa chỉ IP nguồn trong 1 khoảng thời gian nhất định (mặc định là 3 giây). Bất kể khi nào giá trị của countdest cao hơn ngưỡng cố định (SNORT mặc định giá trị này bằng 4), hệ thống SNORT sẽ báo động và đó là cách chỉ ra hoạt động scan bằng địa chỉ IP nguồn. Module của MINDS cũng có thể gán 1 giá trị cao cho sự bất thường vào những kết nối mạng đó do trong hầu hết các kết nối mạng thông thường, giá trị count-dest thường thấp. Ngoài ra, các kết nối từ những loại hoạt động scanning khác nhau có xu hướng mang những đặc tính bất thường (ví dụ mọi playload), chúng được cộng dồn vào giá trị bất thường.
SNORT có thể phát hiện 1 hoạt động scan đến miễn là hoạt dộng đó diễn ra đủ nhanh trong 1 khung thời gian đã định (giá trị mặc định là 3 giây) và ở ngưỡng cho phép (giá trị mặc định là 4). Nếu 1 hoạt động scanning diễn ra chậm hơn (nằm ngoài các tham số cụ thể), nó sẽ khơng bị SNORT phát hiện ra. Tuy nhiên, SNORT vẫn có thể tìm ra những hoạt động như vậy bằng cách tăng khung thời gian và/hoặc giảm số lượng sự kiện đếm được trong khoảng thời gian đó, nhưng việc này sẽ dẫn đến tỷ lệ cảnh báo nhầm cao hơn. Vì vậy, module của MINDS sẽ tỏ ra phù hợp hơn trong tình
huống này do nó xem xét cả 2 đặc tính dựa trên khung thời gian và dựa trên khung kết nối (khác với SNORT chỉ dùng đặc tính dựa trên khung thời gian).
SNORT khơng thể phát hiện các hoạt động scan đi đơn giản là vì nó khơng kiểm tra chúng. Trái lại, module của MINDS có thể phát hiện cả hoạt động scan đến và đi. Việc thay đổi đầu vào cho 1 module quét cổng cũng sẽ cho phép SNORT phát hiện ra các hoạt động scan đi này. Tuy nhiên, nó sẽ chiếm nhiều bộ nhớ hơn và SNORT vẫn sẽ gặp vấn đề với các hoạt động scan đi chậm tương tự như các hoạt động scan đến chậm.