CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG IPS
2.1.3.4Phân tích thống kê
2.1 Tổng quan về phương pháp phát hiện bất thường
2.1.3.4Phân tích thống kê
Sử dụng thống kê để xác định các sự kiện bất thường được sử dụng rộng rãi trong các hệ thống phát hiện truy nhập từ nhiều năm nay. Hệ thống hoạt động trên nguyên tắc thu thập dữ liệu của các thông số trên mạng và áp dụng một số kỹ thuật thống kê trên dữ liệu được thu thập để tạo ra các tập hồ sơ cho các thơng số trong thời điểm hoạt động bình thường, ví dụ hệ thống có thể nghiên cứu sự phân phối của các thông số được giám sát. Hệ thống sau đó sẽ xem xét sự khác nhau giữa thông số đang xem xét ở thời điểm hiện tại với tệp hồ sơ của nó, thơng thường nếu dữ liệu của thơng số hiện tại cao hơn thì nhiều khả năng hệ thống bị tấn cơng. Hệ thống có thể sử dụng nhiều quy luật đơn giản để phát hiện ra sự khác nhau. Sự dụng ngưỡng ( threshold) là cách đơn giản nhất, khi thông số được theo dõi vượt quá ngưỡng đặt ra thì có cảnh báo. Các hệ thống sử dụng phân tích thống kê điển hình là Haystack(Smaha, 1988), IDES(Lunt et al, 1988), EMERALD(Porras and Neumann, 1997).
Haystack(Smaha,1988) được phát triển cho việc phát hiện xâm nhập dựa trên tệp thông tin người dùng log. Hệ thống được phát triển cho cả 2 phương thức dựa trên so sánh mẫu và dựa trên bất thường. Đối với phương pháp dựa trên bất thường, từ các thống kê điều kiện trước đây hệ thống trên cả 2 loại : từng người dùng riêng lẻ và mơ hình nhóm người dùng. Rất nhiều đặc điểm trong phiên làm việc của người dùng được theo dõi, bao gồm : thời gian làm việc, số lượng tệp tạo ra, số lượng trang được in ra… chúng sẽ được mơ hình hóa như là các biến độc lập và ngẫu nhiên. Đối với từng đặc điểm, hệ thống sẽ xác định một khoảng giá trị được coi là bình thường, trong một phiên làm việc nếu yếu tố quan sát có giá trị nằm ngồi khoảng bình thường thì hệ
thống sẽ tính điểm dựa trên phân bố xác suất, một cảnh báo sẽ được sinh ra nếu điểm quá cao. Ngồi ra đối với người dùng Haystack cịn xác định quyền cho từng người, nếu hành vi của ai đó vượt qua quyền được cho phép thì sẽ bị coi là bất thường. Nhược điểm lớn nhất của hệ thống Haystack là thiết kế chỉ chạy offline, không giám sát được thời gian thực.
IDES ( Intrusion Detection Expert System – Lunt, 1988) là một trong những lớp hệ thống phát hiện xâm nhập đầu tiên. Dự án IDES được phát triển trong một số năm,sau khi hồn thành thì nó được cải tiến thành NIDES ( Next Generation Intrusion Detection Expert System). Các hệ thống IDES dựa trên nguyên tắc hành vi người dùng trong các trường hợp thích hợp sẽ được tổng kết, tính tốn thống kê, sau đó các hành động hiện tại sẽ được so sánh cùng các tệp hồ sơ tự nghiên cứu, và sự chênh lệch có thể được đánh dấu như là hành vi bất thường. IDES theo dõi ba loại đối tượng : người dùng, các host truy cập từ xa, các hệ thống đích. Trong đó có khoảng 36 thông số được xem xét: 25 cho người dùng, 6 cho các host truy cập từ xa, và 5 cho các hệ thống đích. IDES đo đạc các thơng số này trong mỗi phiên người dùng và dựa vào các tham số đó sinh ra các tệp hồ sơ, chúng cũng được cập nhật để phản ánh hành vi của người dùng từng ngày. IDES sau đó cũng sử dụng một hệ chuyên gia để kiểm tra từng bản ghi mới ngoài những bản ghi đã biết. Ngồi ra hệ thống cịn gán cho các bản ghi một trọng số đi kèm, cứ 30 ngày trọng số này giảm đi một nửa nhằm phân biệt các sự kiện xảy ra từ lâu với các sự kiện mới. Nhược điểm của phương pháp này là chỉ tính thống kê trên từng yếu tố quan sát nên không phát hiện được các cuộc tấn công ảnh hưởng trên diện rộng, tác động đến nhiều thành phần khác nhau của hệ thống.
EMERALD ( Event Monitoring Enabling Responses to Anomalous Live Disturbances – Porras and Naumann, 1997 ) là một hệ thống phát hiện xâm nhập có khả năng mở rộng và tích hợp cùng các hệ thống khác, nó tập trung vào việc phát hiện những xâm nhập từ bên ngoài, và được thiết kế để hoạt động tốt trên 3 mức : mức phân tích dịch vụ, mức domain, mức cho các tổ chức. Kiến trúc của EMERALD được xây dựng trên các hệ thống theo dõi EMERALD địa phương, chúng được phân bố và hoạt động tương đối độc lập trên các mức khác nhau. Mỗi hệ thống theo dõi kết nối với các hệ thống theo dõi khác thông qua mạng, chúng kết hợp việc phân tích dựa trên dấu hiệu và thống kê hồ sơ để tạo ra khả năng bảo vệ thời gian thực cho các dịch vụ người
dùng mạng rộng lớn trên internet. Một hệ thống theo dõi EMERALD bao gồm 4 thành phần chính: đối tượng tài nguyên (resource object), phương tiện hồ sơ (profiler engine), phương tiện dấu hiệu ( signature engine ) và thiết bị giải quyết chung ( universal resolver ). Đối tượng tài nguyên nắm bắt tất cả các thơng số cấu hình, duy trì danh sách các hệ thống khác có kết nối đến nó … Phương tiện hồ sơ thực hiện một số thao tác phát hiện bất thường trên các dữ liệu đã được kiểm tra, nó có thể phát triển trên các thành phần IDES và NIDES, các hồ sơ dữ liệu được cung cấp dưới dạng các lớp từ thành phần đối tượng tài nguyên. Phương tiện dấu hiệu cung cấp khả năng phát hiện dựa trên dấu hiệu, nó hoạt động cùng với một tập các quy tắc nhỏ. Thiết bị giải quyết chung đóng vai trị bộ xử lý trung tâm, nó tổng hợp các dữ liệu từ các thành phần địa phương, quyết định có hay khơng một sự xâm nhập xảy ra hoặc quyết định một phản ứng nào được sinh ra. Nó đồng thời cũng quản lý sự kết nối giữa các hệ thống theo dõi. Thiết bị giải quyết chung sử dụng một hệ chuyên gia để đưa ra kết luận từ các thông báo của phương tiện hồ sơ, phương tiện dấu hiệu và hệ thống theo dõi khác.