CHƢƠNG 5: THIẾT KẾ, CÀI ĐẶT THỰC NGHIỆM VÀ ĐÁNH GIÁ CHƢƠNG TRÌNH
5.7. Tìm ngƣỡng cảnh báo.
Để xác định đƣợc ngƣỡng cảnh báo phù hợp rất khĩ. Ngƣỡng này là tốt nếu tỷ lệ cảnh báo sai thấp nhất. Cảnh báo sai gồm 2 loại:
- False negative: cĩ tấn cơng nhƣng ứng dụng khơng cảnh báo, vì chƣa đạt đƣợc đến ngƣỡng cảnh báo cần thiết.
- False positive: trong tình trạng bình thƣờng nhƣng ứng dụng vẫn cảnh báo là cĩ tấn cơng do lƣu lƣợng bình thƣờng này đạt đến ngƣỡng cảnh báo. Nếu để ngƣỡng cảnh báo thấp (bán kính IDS lớn) sẽ phát hiện tấn cơng kịp thời, nhƣng khả năng false positive cao, vì lúc đĩ tình trạng bình thƣờng nhƣng ứng dụng vẫn cảnh báo. Ngƣợc lại, nếu để ngƣỡng cảnh báo cao (bán kính IDS nhỏ) thì tình trạng false positive thấp nhƣng lúc đĩ nhiều cuộc tấn cơng ứng dụng khơng nhận dạng ra đƣợc do chƣa đạt đến ngƣỡng cảnh báo. Nhƣ vậy, việc đƣa ngƣỡng cảnh báo vào phải làm sao cân bằng đƣợc giữa false negative và false positive.
Ví dụ:
Trƣờng hợp 1: Cho bán kính IDS = 0.02, sau đĩ tạo các tấn cơng vào máy chủ Web, chƣơng trình chạy giám sát khơng phát cảnh báo cĩ tấn cơng xâm nhập vì bán kính IDS nhỏ nên các vectơ phải ở rất gần nơron trạng thái đặc trƣng thì chƣơng trình mới cảnh báo cĩ tấn cơng. Trong nhiều trƣờng hợp cĩ tấn cơng nhƣng các vectơ hơi xa các nơron nên vẫn khơng cảnh báo cĩ tấn cơng.
Hình 5.5 : Chương trình báo khơng cĩ tấn cơng dù máy chủ Web đang bị tấn cống, xâm nhập
Trƣờng hợp 2: Cho bán kính IDS = 0.8, chƣơng trình chạy giám sát phát cảnh báo cĩ tấn cơng xâm nhập, dù máy chủ Web vẫn hoạt động bình thƣờng và khơng bị tấn cơng xâm nhập. Do bán kính IDS lớn nên các vectơ nhiều khả năng sẽ rơi vào gần nơron trạng thái đặc trƣng. Vì thế dù khơng cĩ tấn cơng nhƣng chƣơng trình vẫn phát cảnh báo cĩ tấn cơng.
Hình 5.6: Chương trình báo cĩ tấn cơng khi máy chủ Web đang hoạt động bình thường
Mục này tác giả đƣa ra một phƣơng pháp tìm ra ngƣỡng cảnh báo tƣơng đối phù hợp cho quá trình dị tìm tấn cơng xâm nhập.
Phƣơng pháp tìm ngƣỡng:
Tạo các cuộc tấn cơng xâm nhập vào máy chủ Web.
Cho bán kính IDS = lỗi lƣỡng tử trung bình, sau đĩ giảm dần bán kính IDS về 0 cho đến khi tìm ra đƣợc bán kính IDS tốt nhất.