Mơ hình phát hiện lạm dụng như minh họa trên hình 2.2 bao gồm bốn thành phần: thu thập dữ liệu, hồ sơ hệ thống, thành phần phát hiện sự lạm dụng, thành phần phàn hồi. Dữ liệu được thu thập từ một hoặc nhiều nguồn, bao gồm báo cáo
kiểm tra, lưu lượng mạng, dấu vết các lời gọi hệ thống, v.v. Dữ liệu thu thập được chuyển sang một định dạng mà các thành phần khác của hệ thống có thể xử lý được. Hồ sơ hệ thống thường một một tập các luật (rules), được sử dụng để mô tả các hành vi bình thường và khơng bình thường.
Phương pháp phát hiện dựa trên sự lạm dụng có bốn kỹ thuật thường được sử dụng, bao gồm: Kỹ thuật đối sánh mẫu, kỹ thuật dựa trên tập luật, kỹ thuật dựa trên trạng thái, và kỹ thuật dựa trên khai phá dữ liệu.
2.4.1.1. Kỹ thuật đối sánh mẫu (Pattern Matching)
Trong phương pháp phát hiện xâm nhập mạng dựa trên đối sánh mẫu [1], các mẫu tấn cơng và đột nhập được mơ hình hố, sau đó chúng được đối sánh các thơng tin trên tiêu đề gói tin và nội dung gói tin để xác định tấn công, đột nhập. Phương pháp này cũng có thể được sử dụng trong hệ thống phát hiện xâm nhập dựa trên máy trạm thông qua việc ghép các từ đại diện cho chuỗi các lời gọi hàm. Với việc các dạng tấn công mới liên tục xuất hiện các loại mới dưới nhiều hình thức khác nhau nên số lượng mẫu trở nên rất lớn làm tăng chi phí tính tốn khi đối sánh mẫu. Để giải quyết hạn chế này, Abbes[1] đề xuất phương pháp kết hợp cách tiếp cận lý thuyết phân tích giao thức với kỹ thuật đối sánh truyền thống để cải thiện hiệu suất của kỹ thuật đối sánh mẫu khi tìm kiếm dấu hiệu tấn cơng. Việc phân tích, kiểm tra mẫu được thực hiện trên phần tiêu đề của các gói dữ liệu hơn là trong tồn bộ gói dữ liệu và nó được thực hiện thông qua việc xây dựng một cây quyết định. Ưu điểm lớn nhất của phương pháp này làm giảm khơng gian tìm kiếm các mẫu và tăng tốc độ đối sánh.
2.4.1.2. Kỹ thuật dựa trên tập luật
Hệ thống phát hiện xâm nhập dựa trên tập luật là một trong những kỹ thuật đầu tiên sử dụng để phát hiện sự lạm dụng. Hệ thống chuyên gia mã hóa các kịch bản xâm nhập như là một bộ quy tắc. Bất kỳ sự sai lệch trong quá trình xử lý đối sánh luật được báo cáo như một sự xâm nhập. Ví dụ về các hệ thống dựa trên tập luật bao gồm: hệ thống đa cảnh báo phát hiện xâm nhập MIDAS, Hệ chuyên gia phát hiện xâm nhập IDES và hệ chuyên gia phát hiện xâm nhập thế hệ tiếp theo NIDES.
2.4.1.3. Kỹ thuật dựa trên trạng thái
Kỹ thuật dựa trên trạng thái phát [1] hiện xâm nhập bằng cách sử dụng các trạng thái và sử chuyển đổi giữa các trạng thái trong khơng gian trạng thái. Mơ hình trạng thái giúp đơn giản hóa các đặc điểm kỹ thuật của mơ hình phát hiện và có thể được sử dụng để mơ tả các tình huống tấn cơng dễ dàng hơn dựa trên các nguyên tắc ngôn ngữ. Trong các kỹ thuật dựa trên trạng thái, quá trình thực hiện xâm nhập được biểu diễn thơng qua q trình chuyển đổi giữa các trạng thái của hệ thống, và do đó kịch bản xâm nhập được xác định theo hình thức sơ đồ chuyển trạng thái.
2.4.1.4. Kỹ thuật dựa trên khai phá dữ liệu
Trong những năm gần đây, kỹ thuật khai phá dữ liệu (Data mining) [1] đã được ứng dụng để xây dựng mô phát hiện tấn công dựa trên sự lạm dụng. Trong kỹ thuật này, phát hiện xâm nhập được xem là q trình phân tích dữ liệu, trong đó các kỹ thuật khai phá dữ liệu được sử dụng để tự động thiết lập mơ hình mẫu các hành vi thơng thường của người sử dụng hoặc các hành vi xâm nhập. Có 3 giải thuật đặc biệt hữu ích cho khai phá dữ liệu, bao gồm phân loại, phân tích liên kết và phân tích trình tự.
Các thuật tốn phân loại như cây quyết định thực hiện phân loại bằng cách học dựa trên dữ liệu kiểm tra bình thường hoặc bất thường. Dữ liệu kiểm tra mới được gán nhãn có thể là bình thường hay bất bình thường theo kết quả phân loại. Phân tích liên kết xác định mối quan hệ giữa các trường trong các bản ghi cơ sở dữ liệu kiểm tra và hồ sơ bình thường thường bắt nguồn từ những mối quan hệ. Phân tích trình tự được sử dụng để tìm các mẫu tuần tự trong dữ liệu kiểm tra.
Kỹ thuật phát hiện dựa trên khai phá dữ liệu cho kết quả rất khả quan trong việc phát hiện các cuộc tấn công đã biết trong sự kiện KDD Cup 1998 [1]. Tuy nhiên, giống như kỹ thuật phát hiện dựa trên lạm dụng, phương pháp này hoạt động kém hiệu quả trong phát hiện các dạng tấn cơng mới. Ngồi ra, ứng dụng kỹ thuật khai phá dữ liệu yêu cầu gán nhãn trước cho bộ dữ liệu huấn luyện – là công việc thường phải thực hiện thủ công tốn nhiều thời gian và công sức.
2.4.2. Các kỹ thuật dựa trên phương pháp phát hiện sự bất thường
Khác với phát hiện dựa trên sự lạm dụng, phương pháp phát hiện dựa trên sự bất thường [1] là dựa vào việc thiết lập hồ sơ hoạt động bình thường cho hệ thống. Phương pháp này dựa trên giả định các hành vi tấn cơng, xâm nhập có quan hệ mật thiết với các hành vi bất thường. Các nghiên cứu phát hiện bất thường bắt đầu bằng cách định nghĩa những hành động như thế nào được coi là bình thường, và sau đó xác định những hoạt động nào là xâm nhập và phương pháp phân biệt từng hành động xâm nhập cụ thể.