CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP DỰA TRÊN MẠNG NƠ-RON
3.5. Phương pháp cải tiến chất lượng hệ thống IDS sử dụng mạng nơ-ron
Như đã đánh giá kết quả phát hiện xâm nhập bước đầu của mạng nơ-ron ở mục 3.4, tỉ lệ phát hiện đúng vẫn còn thiên vị giữa các lớp trạng thái do chênh lệch lớn về dữ liệu huấn luyện. Mục đích thiết kế hệ thống IDS không những có khả năng phát hiện được đâu là gói tin nguy hại, đâu là gói tin bình thường mà IDS còn có khả năng phân loạicác gói tinnguy hạithuộc nhóm tấn công nào. Trong tập dữ liệu huấn luyện bao gồm bốn loại hình tấn công chính là: DoS, Probe, R2L, U2R. Sử dụng mạng nơ- ron cho hệ thống IDS có khả năng phát hiện bốn loại tấn công này. Thế nhưng việc dữ liệu của U2R và R2L là quá ít so với các trạng thái mạng còn lại nên việc cải tiến chỉ dựa trên mạng nơ-ron là khá khó đạt được. Việc bổ sung thêm dữ liệu cho U2R và R2L cũng là không khả thi do trong thực tế hai loại tấn công này là ít gặp hơn. Tỉ lệ dữ liệu giữa các loại tấn công trong tập 10% KDD 99 và tập KDD 99 đầy đủ (Full KDD 99) là tỉ lệ phổ biến của các loại tấn công mạng trong thực tế, dữ liệu của bộ KDD cũng là dữ liệu có được từ các trạng thái mạng thu được trong thực tế.
Bảng 3. 6: Số lượng mẫu dữ liệu của R2L, U2R sau khi đã loại bỏ trùng lặp
Tập dữ liệu R2L U2R
10% KDD 99 995 52
Full KDD 99 999 52
Như bảng 3.6, số lượng dữ liệu R2L, U2R giữa tập 10% KDD 99 và Full KDD 99 là chênh lệch nhau không nhiều. Sau khi bổ sung thêm dữ liệu chênh lệch từ bộ đầy đủ sang bộ 10% và huấn luyện lại, kết quả thu được vẫn không có nhiều sự thay đổi.
Hiện nay, để đưa ra cảnh báo về xâm nhập mạng người ta vẫn còn sử dụng rộng rãi các hệ thống IDS dựa trên luật (rule-based). Một giải pháp rule-based được lựa chọn phổ biến nhất là Snort, đây là hệ thống IDS được cung cấp miễn phí và có chất lượng cao. Các tập luật thông dụng nhất cũng được cung cấp miễn phí, ngoài ra thì có tập luật nâng cao hơn được cung cấp có phí cho doanh nghiệp. Ưu điểm của Snort là hoạt động nhanh, hiệu quả khi số lượng luật không quá lớn (cỡ 3000 luật trở xuống).
Snort còn có ưu điểm là dễ xây dựng luật, dễ cấu hình sử dụng, tương thích cao với các thiết bị trong mạng...Nhược điểm của Snort là tốc độ đưa ra cảnh báo chậm khi số lượng luật lớn, không phát hiện được các xâm nhập mới chưa được định nghĩa trong tập luật và phải chờ người quản trị bổ sung luật. Vì ưu điểm của Snort là phát hiện nhanh với tập luật ít nên chúng ta hoàn toàn có thể kết hợp Snort với hệ thống IDS sử dụng mạng nơ-ron để tạo thành một hệ thống lai (hybrid) đưa ra cảnh báo tốt hơn. Cụ thể là với số lượng tấn công trong thực tế không quá phổ biến của hai loại R2L và U2R chúng ta có thể đưa vào luật để Snort giám sát. Còn các trạng thái Normal, Dos, Probe là các trạng thái mạng phổ biến hơn trong thực tế và cũng không thể cập nhật luật được thường xuyên thì chúng ta sử dụng mạng nơ-ron để phát hiện xâm nhập. Dưới đây là sơ đồ hoạt động hệ thống lai IDS sử dụng mạng nơ-ron và Snort IDS:
Hình 3. 13: Kết hợp mạ
Hai loại tấn công U2R và R2L bây gi sát các trạng thái: Normal, DoS, Probe đư trạng thái mạng trong hệ
Bảng 3.
Loại tấn công
normal smurf.
neptune.
back.
teardrop.
ạng nơ-ron và Snort để cải tiến chất lượng phát hi n công U2R và R2L bây giờ đã được Snort giám sát, nhi ng thái: Normal, DoS, Probe được dành cho nơ-ron IDS. Nhãn
thống nơ-ron IDS được cập nhật lại như bảng dư ng 3. 7: Nhãn đầu ra của 3 lớp Normal, DoS, Probe
# Số mẫu Thể loại tấn công
Nhãn
sang vector
67343 normal 1
45927
dos 0,
dos 0,
dos 0,
dos 0,
ng phát hiện xâm nhập c Snort giám sát, nhiệm vụ giám
IDS. Nhãn đầu ra của các ng dưới đây:
p Normal, DoS, Probe
Nhãn chuyển sang vector
1,0,0 0,1,0 0,1,0 0,1,0 0,1,0
Pod. dos 0,1,0
land dos 0,1,0
satan
11656
probe 0,0,1
ipsweep. probe 0,0,1
portsweep. probe 0,0,1
nmap. probe 0,0,1
Số lượng mẫu trong bảng 3.7 đã được loại bỏ trùng lặp dữ liệu so với tập 10%
KDD ban đầu.