Hệ thống phát hiện xâm nhập IDS có khả năng ứng dụng phát hiện lỗ hổng bảo mật Website dựa trên các dữ liệu thu thập được kết hợp với các kỹ thuật phát hiện tấn công.
(1) Phát hiện tấn công dựa trên dấu hiệu
Phát hiện tấn công dựa trên dấu hiệu [4] là quá trình so sánh các sự kiện giám sát với các dấu hiệu để xác định các nguy cơ có thể là một tấn công. Trong đó dấu hiệu là các sự kiện, hành động tương ứng với các mối đe dọa được biết đến. Ví dụ:
- Một hành động cố gắng truy cập vào hệ thống với username “root” là hành động vi phạm tới chính sách bảo mật của công ty, tổ chức.
- Một e-mail với tiêu đề “ Free picture!” và file đính kèm là “freepics.exe” có các đặc điểm được biết đến thường là của phần mềm độc hại.
- Mục ghi log hệ điều hành với mã trạng thái là 645 được biết đến là sự kiểm tra máy trạm đã bị vô hiệu hóa.
Phát hiện tấn công dựa trên dấu hiệu là hữu hiệu để phát hiện các tấn công đã được biết đến và đã được định nghĩa, nhưng sẽ kém hiệu quả với các tấn công chưa được định nghĩa trước đó, hoặc các tấn công được che giấu bằng kỹ thuật lẩn tránh, và nhiều biến thể khác của các tấn công đã được biết đến. Ví dụ: nếu một kẻ tấn công thay đổi hình thức thể hiện trong ví dụ trước sử dụng tên file khác như “freepic2.exe”, và chuỗi tìm kiếm cho “freepics.exe” sẽ không trùng khớp.
(2) Phát hiện tấn công dựa trên bất thường
Phương pháp phát hiện dựa trên các bất thường [4] là quá trình so sánh tập các hành động được coi là bình thường và các hành vi được giám sát để xác định sự
sai lệch. Nếu phát hiện một sai lệch đủ lớn giữa tập hành vi bình thường và tập hành vi hiện tại, một cảnh báo về nguy cơ tấn công hoặc đột nhập có thể được gửi đi.
Kỹ thuật này nhấn mạnh việc đo đếm các hoạt động bình thường trên mạng. Các mức ngưỡng về các hoạt động bình thường được đặt ra. Nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt quá mức ... thì hệ thống có dấu hiệu bị tấn công.
Hệ thống phát hiện tấn công sử dụng phương pháp phát hiện dựa trên bất thường trước hết xây dựng hồ sơ (profile) miêu tả các hành vi bình thường của người dùng, máy trạm, kết nối mạng hoặc ứng dụng. Hồ sơ này được xây dựng thông qua việc giám sát các hành vi điển hình trong một giai đoạn thời gian. Ví dụ: một hồ sơ cho một mạng có thể chỉ ra hoạt động dịch vụ Web sử dụng trung bình 13% băng thông mạng trong suốt một ngày làm việc. Hệ thống phát hiện đột nhập sau đó sử dụng phương pháp thống kê để so sánh các đặc trưng của các hành vi hiện tại với một ngưỡng liên quan đến hồ sơ, như phát hiện khi dịch vụ Web sử dụng băng thông lớn hơn đáng kể so với mức sử dụng bình thường ghi trong hồ sơ và cảnh báo người quản trị về bất thường đã phát hiện. Hồ sơ có thể được phát triển cho nhiều thuộc tính hành vi, như số lượng email được gửi bởi một người, số lần đăng nhập sai cho một máy trạm, và mức sử dụng bộ xử lý trên một máy trạm trong một khoảng thời gian.
Lợi ích lớn nhất của phương pháp phát hiện dựa trên sự bất thường là có thể nhận biết những tấn công, đột nhập mới hoặc chưa biết. Chẳng hạn một máy tính bị nhiễm một loại phần mềm độc hại mới và phần mềm độc hại này có khả năng sử dụng nhiều tài nguyên của máy tính, gửi một lượng lớn e-mail, thiết lập nhiều kết nối mạng, và thực hiện các hành vi khác, tạo ra sự khác biệt đáng kể với các hồ sơ về các hành vi đã được thiết lập cho máy tính đó.
Một hồ sơ ban đầu được sinh ra trong một khoảng thời gian được gọi là giai đoạn huấn luyện. Hồ sơ cho phát hiện dựa trên sự bất thường có thể tĩnh hoặc động.
Sau khi được tạo ra, một hồ sơ tĩnh không thay đổi được trừ khi hệ thống phát hiện tấn công chỉ định tạo ra một hồ sơ mới. Do hệ thống và mạng thay đổi theo thời gian, tập các hành vi bình thường cũng thay đổi, một hồ sơ tĩnh sẽ trở lên không chính xác, do đó hồ sơ tĩnh cần được tái sinh định kỳ. Hồ sơ động không có vấn đề này do hồ sơ động có thể được cập nhật sử dụng các sự kiện được giám sát. Tuy nhiên, chúng nhạy cảm với sự lẩn tránh của những kẻ tấn công. Chẳng hạn, một kẻ tấn công có thể thực hiện số lượng nhỏ các hành vi độc hại, sau đó tăng dần tần suất và số lượng các hoạt động. Nếu tốc độ thay đổi là đủ chậm, hệ thống có thể nghĩ các hành vi phá hoại này là các hành vi bình thường và đưa vào hồ sơ bình thường.
(3) Phát hiện tấn công dựa trên phân tích trạng thái giao thức
Phương pháp phát hiện dựa trên phân tích trạng thái giao thức [6] là một quá trình so sánh hồ sơ của các hành vi giao thức tốt cho mỗi trạng thái giao thức với các sự kiện giám sát được để xác định sự sai lệch. Không giống như phương pháp dựa trên sự bất thường là sử dụng hồ sơ của máy trạm hoặc của mạng cụ thể, phương pháp dựa trên trạng thái của giao thức phân tích những phản hồi trên hồ sơ của nhà phát triển cung cấp chung để xác định một giao thức cụ thể nên sử dụng hay không. Thuật ngữ "trạng thái" trong phương pháp này có ý nghĩa là hệ thống phát hiện tấn công hiểu biết và có khả năng giám sát trạng thái của mạng, phương tiện và các giao thức ứng dụng. Chẳng hạn khi một người dùng bắt đầu một phiên giao thức trao đổi file (FTP), phiên làm việc sẽ được khởi tạo trong trạng thái không xác thực. Do người dùng chưa được xác thực nên họ chỉ có thể thực hiện một vài câu lệnh trong trạng thái này như là xem các thông tin hỗ trợ hoặc cung cấp tên tài khoản và mật khẩu. Sự quan trọng của việc hiểu trạng thái là sự kết hợp giữa yêu cầu và đáp ứng, như vậy khi một xác thực FTP xuất hiện, hệ thống phát hiện tấn công có thể xác định quá trình này có thành công hay không thông qua mã trạng thái của phản hồi được trả về. Khi người dùng xác thực thành công, phiên làm việc chuyển sang trạng thái đã xác thực và người dùng có thể thực thi các câu lệnh. Việc thực thi các
câu lệnh trong trạng thái không được xác thực có thể bị nghi ngờ là tấn công xâm nhập, những thực thi trong trạng thái đã xác thực thì được coi là hợp lệ.
Phương pháp phát hiện dựa trên phân tích trạng thái giao thức có thể xác định thứ tự không đúng của các câu lệnh, ví dụ phát hành cùng một lệnh liên tục hoặc phát hành một lệnh mà không phát hành lệnh mà nó phụ thuộc. Một tính năng khác của theo dõi trạng thái trong phương pháp này là cho các giao thức thực thi có xác thực, hệ thống phát hiện tấn công có thể giám sát việc xác thực được dùng cho mỗi phiên, và ghi lại việc xác thực được sử dụng cho các hành động mờ ám. Điều này rất hữu ích để đánh giá một hành động nghi ngờ. Một vài hệ thống phát hiện tấn công có thể sử dụng thông tin xác thực để định nghĩa các hành động có thể chấp nhận khác nhau của các lớp người dùng hoặc của các người dùng cụ thể.
Trong hình 2.9 dưới đây mô tả mô hình ứng dụng hệ thống IDS phát hiện lỗ hổng bảo mật Website.