3. Liên lạc1 Giám sát
2.3 Ưu nhược điểm của phát hiện bất thường
Phương pháp thăm dò bất thường của hệ thống rất hữu hiệu trong việc phát triển các cuộc tấn công như dạng tấn công từ chối dịch vụ. Ưu điểm của phương pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp do sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng lớn các cảnh
báo sai làm giảm hiệu suất hoạt động của mạng. Tuy nhiên vai trò của phương pháp này rất quan trọng, bởi một kẻ tấn công dù biết rõ về hệ thống cũng không thể tính toán được các hành vi nào là hành vi mà hệ thống coi là “bình thường”. Do đó đây sẽ là hướng được nghiên cứu nhiều hơn, hoàn thiện hơn để hệ thống chạy ngày càng chuẩn xác.
Ngoài IDS dựa trên phát hiện bất thường còn có thể phát hiện các cuộc tấn công từ bên trong, ví dụ như một người ăn cắp tài khoản của một người khác và thực hiện các hành vi không giống như chủ nhân của tài khoản đó thường làm, hệ thống IDS có thể nhận thấy các bất thường đó.
IDS dựa trên Misuse IDS dựa trên phân tích hành vi
Là phương pháp truyền thống, sử dụng một tập các mẫu mô tả hành vi bất thường
Là phương pháp tiên tiến, không cần sử dụng tập mẫu
Không phát hiện được các dạng tấn công lạ, chẳng hạn như Zero-Day attact
Có khả năng phát hiện các cuộc tấn công mới
Biến thể của bất thường không được phát hiện
Không bị điểm yếu này do không sử dụng tập mẫu
Tỉ lệ False positive thấp hơn Tỉ lệ False positive thường cao Tỉ lệ False negative thường cao Tỉ lệ False negative thấp hơn Khi tập dữ liệu lớn sẽ bị
overload
Không bị overload nhờ các phương pháp mô hình hóa dữ liệu và thuật toán heuristic
Dựa vào bảng trên chúng ta có thể thấy IDS dựa trên phát hiện bất thường mang tính trí tuệ và có nhiều ưu điểm hơn so với các hệ thống IDS truyền thống. Tuy nhiên, để tăng cường tính chính xác của cảnh báo thì nên có sự kết hợp giữa IDS bất thường và IDS kiểu cũ.
Cách nhận dạng các kiểu tấn công của IDS dựa trên phát hiện bất thường:
TT Dạng tấn công Cách phát hiện