c) Lọc giao thức
I.3. Các kỹ thuật xử lý dữ liệu ñược sử dụng trong các hệ thống phát hiện xâm nhập:
Phụ thuộc vào kiểu phương pháp ñược sử dụng ñể phát hiện xâm nhập, các cơ chế xử lý khác nhau cũng ñược sử dụng cho dữ liệu ñối với một IDS.
-Hệ thống Expert (Expert systems)
Hệ thống này làm việc trên một tập các nguyên tắc ñã ñược ñịnh nghĩa từ trước ñể miêu tả các tấn công. Tất cả các sự kiện có liên quan ñến bảo mật ñều ñược kết hợp vào cuộc kiểm ñịnh và ñược dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (ñược phát triển tại AT&T).
-Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection):
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn công. Chúng biến ñổi sự mô tả của mỗi tấn công thành ñịnh dạng kiểm ñịnh thích hợp. Như vậy, dấu hiệu tấn công có thể ñược tìm thấy trong các bản ghi(record). Một kịch bản tấn công có thể ñược mô tả, ví dụ như một chuỗi sự kiện kiểm ñịnh ñối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm ñã lấy ñược trong cuộc kiểm ñịnh. Phương pháp này sử dụng các từ tương ñương trừu tượng của dữ liệu kiểm ñịnh. Sự phát hiện ñược thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường ñược sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)).
Đ Đ
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện ñược trên hệ thống (liên quan ñến chức năng người dùng). Các nhiệm vụ ñó thường cần ñến một số hoạt ñộng ñược ñiều chỉnh sao cho hợp với dữ liệu kiểm ñịnh thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự không hợp lệ ñược phát hiện thì một cảnh báo sẽ ñược sinh ra.
-Phân tích trạng thái phiên (State-transition analysis):
Một tấn công ñược miêu tả bằng một tập các mục tiêu và phiên cần ñược thực hiện bởi một kẻ xâm nhập ñể gây tổn hại hệ thống. Các phiên ñược trình bày trong sơ ñồ trạng thái phiên. Nếu phát hiện ñược một tập phiên vi phạm sẽ tiến hành cảnh báo hay ñáp trả theo các hành ñộng ñã ñược ñịnh trước.
-Phương pháp phân tích thống kê (Statistical analysis approach): Đây là phương pháp thường ñược sử dụng.
Hành vi người dùng hay hệ thống (tập các thuộc tính) ñược tính theo một số biến thời gian. Ví dụ, các biến như là: ñăng nhập người dùng, ñăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng không gian ñĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay ñổi từ một vài phút ñến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến ñược sử dụng ñể phát hiện sự vượt quá ngưỡng ñược ñịnh nghĩa từ trước. Ngay cả phương pháp ñơn giản này cũng không thế hợp ñược với mô hình hành vi người dùng ñiển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm ñã ñược gộp lại cũng ít có hiệu quả.
Vì vậy, một mô hình tinh vi hơn về hành vi người dùng ñã ñược phát triển bằng cách sử dụng thông tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên ñược nâng cấp ñể bắt kịp với thay ñổi trong hành vi người dùng. Các phương pháp thống kê thường ñược sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thông thường.
Sau khi ñã có một số khái niệm cơ bản về IDS ( Hệ thống phát hiện xâm nhập) dùng chung cho cả mạng có dây và mạng không dây. Phần II , sẽ tiếp tục ñưa ta khái niệm và cách hoạt ñộng chi tiết hơn về Wireless IDS : II. Wireless IDS