5. Bố cục của đề tài
2.2. Kỹ thuật phỏt hiện dựa trờn sự bất thường
2.2.1. Định nghĩa
Bất thường trong mạng (BTTM) là thuật ngữ dựng để chỉ tỡnh trạng hoạt động của hệ thống mạng hoạt động ngoài trạng thỏi bỡnh thường. BTTM cú thể phỏt sinh từ nhiều nguyờn nhõn, cú thể là do một hoặc nhiều thiết bị trong mạng hỏng húc, băng thụng mạng bị quỏ tải, nhưng thường thấy hơn cả là do hệ thống thụng tin đang bị xõm nhập trỏi phộp hoặc đang bị tấn cụng.
Để phõn biệt giữa trạng thỏi bỡnh thường và trạng thỏi bất thường trong mạng. Người ta sử dụng khỏi niệm activity profile (hồ sơ hoạt động). Một cỏch khỏi quỏt, activity profile mụ tả hành vi của một đối tượng nào đú ở một số khớa cạnh cụ thể. Thụng thường khớa cạnh là cỏc tham số cú thể tiến hành đo lường được. Người ta theo dừi cỏc tham số này trong một thời gian nhất định, theo một đơn vị nào đú như phỳt, giờ, ngày, tuần… Hoặc cú thể đo lường thời gian xảy ra hai sự kiện liờn tiếp, vớ dụ như thời gian log-in và log-out hệ thống, thời gian kớch hoạt và kết thỳc cỏc ứng dụng…
Để phỏt hiện một profile là “bất thường”, người ta phải tiến hành xõy dựng tập cỏc profile mụ tả hoạt động của hệ thống ở trạng thỏi “bỡnh thường”. Dựa trờn sự khỏc biệt của một tập cỏc tham số trong profile, người ta cú thể phỏt hiện ra BTTM.
Cỏc BTTM thụng thường được chia thành 2 loại chớnh:
BTTM do hỏng húc: Trong mạng nảy sinh ra cỏc hiện tượng bất thường do một hay nhiều thành phần trong mạng bị sự cố, vớ dụ như khi một mỏy chủ bị lỗi,
29
thiết bị Switch hay Router gặp sự cố, broadcast storm, network paging… Cỏc sự cố này núi chung khụng ảnh hưởng đến cỏc thành phần khỏc trong mạng, chủ yếu là làm giảm hiệu năng hoạt động, hạn chế khả năng đỏp ứng dịch vụ của hệ thống. Vớ dụ như khi số lượng cỏc yờu cầu đến một File Server hay Web Server quỏ lớn, cỏc Server này sẽ gặp sự cố. Lỗi Network paging sảy ra khi một ứng dụng bị tràn bộ nhớ và tiến hành phõn trang bộ nhớ đến một File Server. Ngoài ra cỏc BTTM cũn xảy ra do cỏc phần mềm bị lỗi, vớ dụ việc triển khai một giao thức khụng đỳng, dẫn đến mỏy trạm liờn tục gởi cỏc gúi tin nhỏ nhất làm tắt nghẽn mạng…
BTTM liờn quan đến cỏc sự cố an ninh:Đõy là loại BTTM phỏt sinh từ cỏc mối đe dọa đối với hệ thống thụng tin. Một vớ dụ điển hỡnh của loại BTTM này là tấn cụng từ chối dịch vụ Dos (Denial of Service), cú thể mụ tả như hành động ngăn cản những người dựng hợp phỏp mất khả năng truy cập và sử dụng vào một dịch vụ nào đú. Cỏch tiến hành tấn cụng Dos bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đớch cuối cựng là mỏy chủ khụng thể đỏp ứng được cỏc yờu cầu sử dụng dịch vụ từ cỏc mỏy trạm. BTTM cũn xuất hiện khi cú hiện tượng lõy lan và bựng nổ cỏc loại mó xấu, mó nguy hiểm trong mạng như Virus, Spy. Đụi khi hành vi dũ quột khi tấn cụng cũng tạo ra nhiều gúi tin với số lượng bất thường. Ngoài ra khi cỏc chức năng cơ bản của mạng như DHCP, DNS bị làm ngưng hoạt động thỡ cũng tạo ra một số lượng lớn cỏc yờu cầu khụng được đỏp ứng làm giảm thiểu băng thụng.
Một trong những nghiờn cứu đầu tiờn của hệ thống IDS dựa trờn phỏt hiện bất thường là của Anderson. Trong bỏo cỏo của Anderson, ụng đưa ra cỏch phõn loại 3 mối đe dọa chớnh là:
Xõm nhập từ bờn ngoài (external penetration): Hệ thống bị tấn cụng từ cỏc
mỏy tớnh hoặc hệ thống khụng được xỏc minh.
Xõm nhập từ bờn trong (internal penetrations): Cỏc mỏy tớnh được xỏc minh
truy cập vào cỏc dữ liệu khụng được phõn quyền.
Lạm quyền: (misfeasance): Sử dụng sai quyền truy cập vào hệ thống và dữ liệu