Đây là phân hệ được xây dựng để phục vụ cho bài toán mà luận văn đưa ra. Phân hệ phân tích và phát hiện các bất thường đăng nhập vào hệ thống được thiết kế chạy định kì để xây dựng hồ sơ hành vi và thực hiện đánh giá để phát hiện bất thường theo mô hình toán học được áp dụng tính điểm bất thường của hành vi đăng nhập như đã giới thiệu tại Chương 2. Từ các dữ liệu đã được lưu trữ và xử lý tại 3.2.1 và 3.2.2 dựa trên nền tảng có sẵn, phân hệ phân tích ca sử dụng phát hiện bất thường đăng nhập được được xây dựng bằng ngôn ngữ Scala. Phân hệ bao gồm nhiều tiến trình nhỏ. Tiến trình đầu tiên sẽ trích xuất các thông tin đầu vào từ cơ sở dữ liệu gốc phục vụ bài toán được nêu trong luận văn bao gồm đối tượng tác động, đối tượng chịu tác động, loại đăng nhập vào hệ thống (login hay logout), các thuộc tính gồm địa chỉ IP, thời gian đăng nhập. Tiến trình tiếp theo thực hiên bổ sung thêm thông tin phục vụ phân tích. Từ thông tin thuộc tính địa chỉ IP, thực hiện truy vấn danh mục quản lý địa chỉ IP và bổ sung thêm các thông tin về dải IP, nhà cung cấp dịch vụ Internet (ISP), thông tin quốc gia và từ thông tin về thời gian, phân hệ bổ sung thông tin về giờ trong ngày và ngày trong tuần. Tiến trình thứ ba, sau khi đã có các thông tin đầu vào sẽ thưc hiện lưu trữ và tính điểm các hành vi theo công thức đã giới thiệu tại Mục 2.3.2. Và tiến trình thứ tư thực hiện ghi nhận ngưỡng cảnh báo được thiết lập trên giao diện hệ thống với giữa kết quả phân tích từ tiến trình thứ ba và thực hiện đẩy cảnh báo sang hệ thống giám sát an toàn thông tin chung của đơn vị.
Phân hệ sau khi được viết bằng ngôn ngữ Scala, qua Framework Spark, Hadoop. Sau khi xây dựng xong chương trình được biên dịch qua Scala compiler thành tệp thực thi (.jar). Tệp thực thi này sẽ được đưa vào lên hệ thống Hadoop YARN để lập lịch chạy để thực hiện với các cấu hình như trong Hình 3.6 và các tham số cụ thể để phân tích bất thường.
Hình 3.6. Lập lịch và cấu hình chạy định kì phân tích dữ liệu.
Việc quản lý hoạt động phân tích hành vi đăng nhập bất thường trên hệ thống được đưa thành job để chạy định kì một lần hàng ngày như trong Hình 3.7 và 3.8. Trong Hình 3.7 mô tả một ca sử dụng là anomaly-bihavior-detection để phân tích hành vi bất thường. Hình 3.7 mô tả chi tiết các thành phần của tiến trình này.
Hình 3.8. Job chạy định kì phân tích dữ liệu hành vi bất thường.
Sau khi có kết quả phân tích các hành vi, hệ thống thực hiện so sánh với ngưỡng đã đặt ra để đánh giá mức độ bất thường. Nếu hành vi được đánh giá là bất thường thì hệ thống sẽ phát sinh cảnh báo và trình bày cụ thể hơn trong phần tiếp theo.