Từ các dữ liệu đã trích xuất, hệ thống thực hiện tính toán phân tích dữ liệu hành vi dựa trên phương pháp thống kê theo mô hình toán học được áp dụng, tính điểm với mỗi hành vi. Với mỗi hành vi sau khi được phân tích, kết quả sẽ được so sánh với ngưỡng cho phép (ngưỡng này sẽ do bộ phận phụ trách về an toàn thông tin đánh giá và xác định) để đánh giá mức độ bất thường của hành vi. Hình 2.6 dưới mô tả mô hình toán học được áp dụng tính xác xuất của hành vi đăng nhập.
Hình 2.6: Mô hình phân bố của một thuộc tính.
Với mỗi hành vi đăng nhập xuất hiện trong ngày. Dựa trên phân bố của thuộc tính đã có sẽ đánh giá mức độ bất thường của từng thuộc tính theo Công thức 2.1 sau.
𝑷𝑎𝑖 = ∑∀𝑁𝑎𝑗 ≤𝑁𝑎𝑖𝑁𝑎𝑗+1
𝑁+2 (𝟐. 𝟏)
Trong đó:
- 𝑃𝑎𝑖: Xác suất xuất hiện của giá trị ai tương ứng với thuộc tính a của hành vi đang xét
- 𝑁𝑎𝑖: Số lần xuất hiện giá trị 𝑎𝑖 của thuộc tính a
- N: Tổng số lần xuất hiện hành vi đang xét
- 𝑎𝑖 : giá trị thứ i của thuộc tính a.
Theo đó mức độ bất thường của mỗi hành vi được tính bằng logarit của tích xác suất bất thường của các thuộc tính theo Công thức 2.2 sau.
𝑷𝒉𝒗 = − log ∏ 𝑃𝑎𝑖 (𝟐. 𝟐)
Trong đó:
- 𝑃ℎ𝑣: Giá trị mức độ bất thường của hành vi đang xét
- 𝑃𝑎𝑖: Xác suất xuất hiện của giá trị ai tương ứng với thuộc tính a của hành
vi đang xét
Và như vậy, cứ mỗi hành vi đăng nhập sẽ cho ra một kết quả để từ đó đánh giá mức độ bất thường của hành vi.
Như đã giới thiệu mô hình hệ thống phát hiện bất thường tại Mục 2.3, với các công cụ được xây dựng và liên thông với nhau. Trong phạm vi của đề tài này, luận văn tập trung vào việc tìm hiểu và xây dựng mô hình tính toán và xây dựng công cụ xử lý dữ liệu theo mô hình được mô tả trong Hình 2.1. Công cụ này sẽ là một phân hệ nằm trong hệ thống phân tích dữ liệu, phát hiện bất thường để đánh giá và đẩy ra cảnh báo trên hệ thống giám sát an toàn thông tin chung (Security Management) của đơn vị. Công cụ phân tích được lập lịch và chạy định kì, liên tục cập nhật dữ liệu mới để cập nhật, tính toán giá trị các hành vi đăng nhập vào hệ thống. Qua quá trình chạy thử, công cụ hỗ trợ việc xác định một ngưỡng cảnh bảo cho bài toán được đưa ra. Và căn cứ vào ngưỡng được thiết lập, hệ thống phân tích thực hiện tính điểm cho từng hành vi và so sánh với ngưỡng đề xuất để dự đoán các hành vi bất thường và đưa ra cảnh báo. Trong chương tiếp theo, tôi sẽ đi tiếp vào xây dựng công cụ, cách thức thực hiện, kết quả thực nghiệm về việc phát hiện hành vi đăng nhập (login) bất thường trên hệ thống.
Chương 3: Thực nghiệm
Chương 2 đã giới thiệu bài toán và mô tả phương án xây dựng mô hình hệ thống phát hiện bất thường đăng nhập. Trong chương này, tôi sẽ việc xây dựng hệ thống để thực hiện lưu trữ log, phân tích và phát hiện bất thường để cảnh báo, hỗ trợ công tác giám sát của đội ngũ đảm bảo an toàn thông tin.