b. Dữ liệu từ các giao thức quản trị mạng
2.5.1 Phát hiện bất thường bằng mạng Nơ-ron
Hệ thống IDS sử dụng mạng Nơ-ron thường là host-based IDS, tập trung vào việc phát hiện các thay đổi trong hành vi của chương trình như là dấu hiệu bất thường. Theo cách tiếp cận này, mạng Nơ-ron sẽ học và dự đoán hành vi của người sử dụng và các chương trình tương ứng. Ưu điểm của mạng Nơ-ron là dễ dàng thích ứng với các kiểu dữ liệu không đầy đủ, dữ liệu với độ chắc chắn không cao, đồng thời phương pháp này cũng có khả năng đưa ra các kết luận mà không cần cập nhật tri thức thường xuyên. Điểm yếu của mạng Nơ-ron là tốc độ xử lý do hệ thống cần thu thập dữ
hệ thống IDS điển hình như: IDS sử dụng mạng Nơ-ron lan truyền ngược trong nghiên cứu của Ghost hay mạng Nơ-ron hồi quy trong nghiên cứu của Elman
Một hướng khác để giải quyết vấn đề bất thường là sử dụng Bản đồ tự tổ chức SOM (Self Organizing Maps) như trong nghiên cứu của Ramadas. SOM được sử dụng nhằm mục đích đào tạo và phát hiện hành vi bất thường. SOM, còn được biết đến là SOFM (Self Organizing Feature Map) là một trong những mô hình biến dạng của mạng Nơ-ron. SOM được Kohonen phát triển vào đầu những năm 80, nên cũng thường được gọi là mạng Kohonen. SOM thường được dùng để học không có hướng dẫn (unsupervised learning).
Học không hướng dẫn dùng SOM cung cấp một phương thức đơn giản và hiệu quả để phân lớp các tập dữ liệu. SOM cũng được xem là một trong những hướng tiếp cận tốt cho việc phân lớp tập dữ liệu theo thời gian thực bởi tốc độ xử lý cao của thuật toán và tỷ lệ hội tụ nhanh khi so sánh với các kỹ thuật học khác.
Trong hệ thống phát hiện bất thường sử dụng SOM, người ta thiết lập các mạng nhằm phân lớp các hành vi, từ đó phát hiện ra các hành vi nghi vấn. Sơ đồ khối của giải thuật này như sau:
Thu thập dữ liệu
Chuẩn hóa
dữ liệu SOMs
Phân tích Cảnh báo
Hình 2.3 – IDS dựa trên SOM
Học Lớp hành
Đầu tiên các dữ liệu về mạng cần phân tích phải được thể hiện ở dạng vectơ các tham số đặc trưng. Tiếp theo các vectơ này được lưu trữ trong một input vectơ để tiến hành phân lớp. Việc phân lớp này tiến hành lặp đi lặp lại cho đến khi hội tụ. Sau đó với các SOMs đã xây dựng được ta có thể tiến hành phân tích để xác định “khoảng cách” giữa hành vi đang xét với hành vi “bình thường”. Nếu khoảng cách này ra ngoài ngưỡng cho phép thì tiến hành cảnh báo.