CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG IPS
2.1 Tổng quan về phương pháp phát hiện bất thường
2.1.2.4 Dữ liệu từ các giao thức quản trị mạng
Các giao thức quản trị mạng cung cấp tất cả thông tin thống kê về giao thông trên mạng. Những giao thức này hỗ trợ rất nhiều thơng số có thể giám sát chính xác hoạt động thiết bị mạng. Những thơng tin thu thập được có thể không cung cấp trực tiếp các thông số đo lường về giao thơng mạng nhưng có thể dùng để nhận dạng các hành vi trên mạng do đó có thể được sử dụng trong phát hiện bất thường mạng. Sử dụng loại thơng tin này địi hỏi sự kết hợp với phần mềm quản trị mạng của nhà cung cấp dịch vụ. Tuy nhiên những giao thức này cung cấp một lượng thông tin phong phú và chất lượng. Tiếp theo chúng ta xem xét chi tiết một giao thức là SNMP ( Simple Network Management Protocol).
SNMP hoạt động dựa trên mơ hình client-server. Giao thức này cung cấp một cơ chế giúp các manager giao tiếp với agent. Một SNMP manager có thể giám sát hàng trăm SNMP agent khác nằm trên các thiết bị mạng. SNMP được cài đặt ở tầng ứng dụng và chạy trên giao thức UDP. SNMP manager có khả năng thu thập các dữ liệu quản lý được cung cấp bởi SNMP agent nhưng lại khơng có khả năng xử lý những dữ liệu này. SNMP server sẽ lưu giữ 1 cơ sở dữ liệu bao gồm những thông số quản lý được gọi là những thông số thông tin quản lý cơ bản MIB ( management information base). Các thông số này chứa các thông tin liên quan đến hoạt động của các chức năng khác nhau trên những thiết bị mạng.
Bất kỳ thiết bị mạng nào cũng có một tập các thơng số MIB đặc trưng cho các chức năng của nó. Các thơng số MIB được định nghĩa dựa trên loại thiết bị cũng như tầng giao thức mà nó hoạt động. Ví dụ như bridges (cầu) hoạt động ở tầng liên kết dữ
liệu chứa các thông số cung cấp thông tin về trao đổi thông tin ở mức liên kết dữ liệu. Routers là thiết bị ở tầng mạng chứa các thông số cung cấp thông tin về tầng mạng. Lợi ích của việc sử dụng giao thức SNMP vì nó là một giao thức được phát triển rộng rãi và mang tính chuẩn hóa trên tất cả các thiết bị mạng. Nhờ đó các thơng tin lấy được từ giao thức SNMP là các dữ liệu lý tưởng sử dụng cho việc phát hiện bất thường.
Các thơng số MIB được chia thành các nhóm : hệ thống, giao diện ( if), dịch địa chỉ ( address translation – af ), giao thức internet (ip), giao thức điều khiển tin nhắn internet (icmp), giao thức điều khiển giao vận (tcp), giao thức udp ( udp), giao thức cổng ngoài ( egp). Mỗi nhóm các thơng số miêu tả chức năng của một giao thức chuyên biệt của thiết bị mạng. Tùy thuộc vào loại nút mạng nào được theo dõi, một nhóm các thơng số cụ thể có thể được xem xét. Nếu nút đang được xem xét là router, nhóm thơng số ip sẽ được nghiên cứu. Các thơng số ip mô tả các đặc điểm trao đổi dữ liệu ở tầng mạng.
Khơng có một thơng số MIB nào có thể nắm bắt được mọi bất thường trong hệ thống hoặc những dấu hiệu bất thường hệ thống. Vì vậy, việc lựa chọn các thông số MIB phụ thuộc vào hồn cảnh tìm ra những bất thường đó. Ví dụ trong trường hợp router, nhóm ip của MIB được chọn, ngược lại nều là bridge nhóm if được sử dụng.