CHƢƠNG 4: XÂY DỰNG CÁC ĐẶC TRƢNG
4.3.Xây dựng đặc trƣng
Với bộ tham số đặc trƣng đã đƣợc xác định tác giả tiến hành thu thập dữ liệu. Với mỗi khoảng thời gian xác định (ví dụ: 5 giây ), một vectơ về trạng thái của hệ thống sẽ đƣợc xác định với giá trị đƣợc rút từ hệ thống trong thời điểm đĩ.
Trong một khoảng thời gian dài khiểm nghiệm các trạng thái Web Server “bị tấn cơng, xâm nhập” của hệ thống, tác giả sẽ thu thập một tập các vectơ thơng số trong trạng thái Web Server khi bị tấn cơng, xâm nhập. Tập này đƣợc gọi là tập vectơ huấn luyện. Điều quan trọng là quá trình đƣợc tiến hành khi trong trạng thái hệ thống là “bất thƣờng”, Web server đang bị tấn cơng, xâm nhập. Các thơng số trên máy ở trạng thái “bất thƣờng”.
Khởi tạo ngẫu nhiên các nơron: một mảng s (kích thƣớc nxm) cĩ các vectơ k chiều (k=18) đƣợc khởi tạo ngẫu nhiên. Mỗi phần tử Vi,j , với i=1,2,3,…n, j=1,2,3,…m, là một vectơ k chiều đƣợc định nghĩa ở trên. Giá trị tọa độ các vectơ V đƣợc khởi tạo một cách ngẫu nhiên. Các vectơ này đƣợc gọi là nơron để phân biệt với các vectơ huấn luyện
Sử dụng nơron để đặc tả các trạng thái “bất thƣờng” của hệ thống: đây là quá trình chính, quá trình huấn luyện của bản đồ tự tổ chức SOM [7] [12]. Kết quả của quá trình huấn luyện là xác định vị trí mới của các nơron thuộc mảng S sau khi đƣợc thay đổi thơng qua tập hợp các vectơ huấn luyện đặc trƣng tốt nhất, gần nhất cho phân bố của các vectơ huấn luyện. Nĩi chung, hoạt động bất thƣờng của hệ thống sẽ đƣợc thể hiện qua một cụm các vectơ huấn luyện và mỗi cụm huấn luyện sẽ đƣợc đặc trƣng bởi một số nơron. Do đĩ mảng các nơron sau khi đƣợc huấn luyện sẽ diễn tả đƣợc tình trạng bất thƣờng của hệ thống. Ta gọi hệ thống nơron sau khi huấn luyện là bản đồ SOM của hệ thống.
Xây dựng hoạt động của hệ thống IDS theo hành vi bất thƣờng: Sau khi đã cĩ bản đồ SOM gồm các nơron đặc tả tình trạng bất thƣờng của hệ thống, chúng ta sẽ sử dụng bản đồ SOM này để phát hiện các hiện tƣợng bất thƣờng thơng qua so sánh khoảng cách của các nơron.
Phƣơng pháp hoạt động của IDS theo hành vi bất thƣờng: xây dựng các vectơ miêu tả trạng thái của hệ thống và tính khoảng cách vectơ trạng thái đến tất cả các nơron của bản đồ SOM. Nếu cĩ một khoảng cách nào đĩ nhỏ hơn bán kính IDS (vectơ trạng thái gần với 1 nơron nào đĩ) thì hệ thống sẽ cảnh báo cĩ tấn cơng, ngƣợc lại hệ thống sẽ cảnh báo khơng cĩ tấn cơng.
Trong thuật tốn trên, bán kính IDS quyết định “độ nhạy” trong việc cảnh báo của hệ thống IDS. Bán kính càng nhỏ hệ thống IDS càng dễ bị false positive và ngƣợc lại, bán kính càng lớn thì hệ thống càng dễ bị false negative. Việc xác định bán kính IDS tối ƣu cho hệ thống IDS là một việc khĩ, thƣờng dựa trên kinh nghiêm hoặc trên thực nghiệm trong khoảng thời gian dài. Trong bài này tác giả xác định bán kính IDS thơng qua lỗi lƣợng tử trung bình xác định trong quá trình huấn luyện để xây dựng bản đồ SOM.
Qua mơ hình huấn luyện và giám sát nhƣ trên, chúng ta nhận thấy rằng số nơron ban đầu phải đủ lớn để cĩ thể đặc trƣng cho tất cả các trạng thái bất thƣờng của hệ thống. Nhƣng số trạng thái bất thƣờng khác nhau là khơng biết trƣớc đƣợc
nên số nơron khởi tạo ban đầu phải rất lớn. Trong khi đĩ, chúng ta phải tính khoảng cách từ vectơ trạng thái đến tất cả các nơron sau mỗi đơn vị thời gian giám sát của IDS, và đây là một yêu cầu khơng nhỏ. Rõ ràng, nếu số lƣợng nơron lớn thì tốc độ phản ứng của hệ thống IDS sẽ giảm và hệ thống sẽ đƣa ra cảnh báo trễ, thẩm chí sau khi tấn cơng đã xảy ra một thời gian.