Với việc sử lý online, một IDS thực hiện thẩm định các sự kiện hệ thống online. Nhìn chung, luồng gói mạng sẽ được kiểm tra một cách liên tục. Với loại xử lý này, phát hiện xâm nhập sử dụng kiến thức về hoạt động hiện hành trên mạng để nhận biết được các cố gắng tấn công có thể (nếu nó không tìm thấy tấn công thành công trong quá khứ).
Điều này tạo sự phức tạp trong tính toán, các thuật toán được sử dụng ở đây phải yêu cầu nhanh và hiệu quả do đó phải áp dụng thuật toán đơn giản. Điều này là do sự đáp ứng giữa những điều kiện cần thiết chính – khả năng phát hiện tấn công và sự phức tạp của các cơ chế xử lý dữ liệu được sử dụng trong đó.
Tại cùng một thời điểm, thiết lập một công cụ IDS xử lý “online” cần đến một số lượng lớn RAM bởi vì không có sự lưu trữ dữ liệu nào được sử dụng ở đây. Vì vậy, một IDS như vậy đôi khi bỏ lỡ các gói vì thực tế, ở đây có quá nhiều gói không phù hợp.
Số lượng dữ liệu được lựa chọn bằng bộ phát hiện rất nhỏ bởi vì nó chỉ quan sát các nội dung nhớ. Do vậy chỉ có một phần nhỏ thông tin được phân tích cho một chuỗi hoặc giá trị nào đó đang tìm kiếm.
Phương pháp chính được sử dụng trong phát hiện thời gian thực đơn giản là tìm kiếm các chuỗi kí tự trong gói lớp truyền tải, cụ thể là trong các header của chúng. Điều này có thể thực hiện bằng việc kiểm tra các địa chỉ IP khởi tạo kết nối hoặc bằng việc kiểm tra sự kết hợp cờ TCP/IP không thích hợp (để bắt các gói không hợp với các chuẩn đã biết). Một ví dụ về nghiên cứu gói ở đây là khi các địa
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
chỉ cổng nguồn và đích được thiết lập là 21. Điều này không tuân theo chi tiết kỹ thuật FTP bởi vì số cổng nguồn phải lớn hơn 1024. Một ví dụ khác có thể là loại dịch vụ giá trị 0, một gói có các cờ SYN và FIN đều được thiết lập không hợp với việc đánh số của chuỗi hoặc những gì đã biết, giá trị ACK được lập khác 0 khi cờ ACK không được thiết lập,…
Tương phản với các phương pháp thẩm tra chuẩn, chỉ lựa chọn các gói trong luồng dữ liệu được tranh tra và quá trình thanh tra chỉ tìm kiếm thông tin trạng thái như gói đó có gồm mã nguy hiểm hay không.
Một phương pháp khác đôi chút được áp dụng trong phân tích lớp ứng dụng (FTP, POP3, HTTP,…). IDS dựa trên ứng dụng sử dụng sự kiểm tra các gói chuẩn để phân tích tải trọng TCP (gồm có cả các header). Với phương pháp này, các gói có liên quan trong luồng dữ liệu được kiểm tra và quá trình kiểm tra sẽ tìm kiếm thông tin về gói nào hợp lệ với gói điển hình (các lệnh) của một giao thức được cho. Như vậy, lỗ hổng từ chối dịch vụ POP3 được khai thác bằng việc làm bão hòa máy chủ POP3 với nhiều yêu cầu để thực thi một lệnh. Do đó, dấu hiệu tấn công được mở rộng bằng số lệnh đã gửi bởi một hệ thống và ngưỡng báo cảnh. Phương pháp này thừa nhận sự bất thường tìm thấy trong khi kiểm tra các gói, việc kiểm tra kích thước gói và các giá trị ngưỡng là để tìm ra các dấu hiệu biểu hiện tấn công từ chối dịch vụ, cũng tại lớp truyền tải. Các ví dụ khác về IDS kiểm tra gói chuẩn còn có việc phát hiện các virus email trước khi chúng đến được các hòm thư bằng cách tìm tiêu đề email hợp lệ hoặc tên đính kèm. Một công cụ có thể tìm kiếm mã nguy hiểm có thể thỏa hiệp hệ thống nếu bị tấn công, ví dụ, những khai thác về lỗ hổng bộ đệm đang tìm kiếm các dấu hiệu để kiểm tra trạng thái session người dùng để ngăn chặn, liệt kê cấu trúc thư mục trên một máy chủ FTP trước khi một người dùng đăng nhập thành công. Một trở ngại của phương pháp phân tích lớp cao nằm ở chỗ thực tế rằng nó rất tốn thời gian và phụ thuộc vào môi trường làm việc (giao thức lớp ứng dụng thay đổi khác nhau trong các hệ điều hành khác nhau).
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
• Trội hơn về việc phát hiện các tấn công và thậm chí còn xử lý (khóa) chúng;
• Khả năng bao phủ các lỗ hổng bảo mật kế đã có từ trước được đối với các kiểu tấn công, cụ thể như DoS, không thể phát hiện bằng sử dụng phương pháp phân tích kiểm định chung – phân tích lưu lượng mạng được cần đến ở đây;
• Tiêu tốn ít tài nguyên hệ thống hơn so với các trường hợp khác. Điểm yếu:
• Sự nhận dạng tài nguyên được thực hiện dựa trên địa chỉ mạng được lấy từ gói (ví dụ, không sử dụng ID mạng). Địa chỉ tài nguyên có thể bị giả mạo, tạo các tấn công khó hơn trong việc lần vết và xử lý tự động.
• Không thể quản lý được các gói đã mã hóa do đó không cung cấp được các thông tin cần thiết cho phát hiện xâm nhập.
• Do module phân tích sử dụng tài nguyên hạn chế (chỉ trong bộ đệm) nên khả năng phát hiện bị hạn chế theo đó.
• Việc quét liên tục lưu lượng mạng sẽ làm giảm thông lượng của mạng. Đây là một vấn đề quan trọng khi các công cụ IDS được triển khai gần tường lửa.
Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát hiện xâm nhập
VIII. Các kỹ thuật phân tích xử lý dữ liệu được sử