c) Lọc giao thức
I.3. Các kỹ thuật xử lý dữ liệu ñược sử dụng trong các hệ thống phát hiện xâm nhập:
Phụ thuộc vào kiểu phương pháp ñược sử dụng ñể phát hiện xâm nhập, các cơ chế xử lý khác nhau cũng ñược sử dụng cho dữ liệu ñối với một IDS.
-Hệ thống Expert (Expert systems)
Hệ thống này làm việc trên một tập các nguyên tắc ñã ñược ñịnh nghĩa từ trước ñể miêu tả các tấn cơng. Tất cả các sự kiện có liên quan ñến bảo mật ñều ñược kết hợp vào cuộc kiểm ñịnh và ñược dịch dưới dạng nguyên tắc if-then-else. Lấy ví dụ Wisdom & Sense và ComputerWatch (ñược phát triển tại AT&T).
-Phát hiện xâm nhập dựa trên luật(Rule-Based Intrusion Detection):
Giống như phương pháp hệ thống Expert, phương pháp này dựa trên những hiểu biết về tấn cơng. Chúng biến đổi sự mơ tả của mỗi tấn cơng thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn cơng có thể được tìm thấy trong các bản ghi(record). Một kịch bản tấn cơng có thể được mơ tả, ví dụ như một chuỗi sự kiện kiểm ñịnh ñối với các tấn cơng hoặc mẫu dữ liệu có thể tìm kiếm ñã lấy ñược trong cuộc kiểm ñịnh. Phương pháp này sử dụng các từ tương ñương trừu tượng của dữ liệu kiểm ñịnh. Sự phát hiện ñược thực hiện bằng cách sử dụng chuỗi văn bản chung hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và thường ñược sử dụng trong các hệ thống thương mại (ví dụ như: Cisco Secure IDS, Emerald eXpert-BSM(Solaris)).
Đ Đ
Kỹ thuật này mơ hình hóa các hành vi thông thường của người dùng bằng một tập nhiệm vụ mức cao mà họ có thể thực hiện ñược trên hệ thống (liên quan ñến chức năng người dùng). Các nhiệm vụ đó thường cần ñến một số hoạt ñộng ñược ñiều chỉnh sao cho hợp với dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng. Bất cứ khi nào một sự khơng hợp lệ được phát hiện thì một cảnh báo sẽ được sinh ra.
-Phân tích trạng thái phiên (State-transition analysis):
Một tấn cơng được miêu tả bằng một tập các mục tiêu và phiên cần ñược thực hiện bởi một kẻ xâm nhập ñể gây tổn hại hệ thống. Các phiên được trình bày trong sơ ñồ trạng thái phiên. Nếu phát hiện ñược một tập phiên vi phạm sẽ tiến hành cảnh báo hay ñáp trả theo các hành ñộng ñã ñược ñịnh trước.
-Phương pháp phân tích thống kê (Statistical analysis approach): Đây là phương pháp thường ñược sử dụng.
Hành vi người dùng hay hệ thống (tập các thuộc tính) được tính theo một số biến thời gian. Ví dụ, các biến như là: ñăng nhập người dùng, ñăng xuất, số tập tin truy nhập trong một khoảng thời gian, hiệu suất sử dụng khơng gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút ñến một tháng. Hệ thống lưu giá trị có nghĩa cho mỗi biến ñược sử dụng ñể phát hiện sự vượt quá ngưỡng ñược ñịnh nghĩa từ trước. Ngay cả phương pháp đơn giản này cũng khơng thế hợp được với mơ hình hành vi người dùng điển hình. Các phương pháp dựa vào việc làm tương quan thông tin về người dùng riêng lẻ với các biến nhóm đã được gộp lại cũng ít có hiệu quả.
Vì vậy, một mơ hình tinh vi hơn về hành vi người dùng đã được phát triển bằng cách sử dụng thơng tin người dùng ngắn hạn hoặc dài hạn. Các thông tin này thường xuyên ñược nâng cấp ñể bắt kịp với thay ñổi trong hành vi người dùng. Các phương pháp thống kê thường ñược sử dụng trong việc bổ sung trong IDS dựa trên thông tin hành vi người dùng thơng thường.
Sau khi đã có một số khái niệm cơ bản về IDS ( Hệ thống phát hiện xâm nhập) dùng chung cho cả mạng có dây và mạng khơng dây. Phần II , sẽ tiếp tục đưa ta khái niệm và cách hoạt ñộng chi tiết hơn về Wireless IDS : II. Wireless IDS