b. Dữ liệu từ các giao thức quản trị mạng
2.5.3 Phát hiện bất thường bằng Hệ chuyên gia
Phương pháp này có tên gọi là Rule-based Detection (Phát hiện dựa trên tập luật). Đây là một trong những hướng tiệp cận đầu tiên để giải quyết vấn đề phát hiện bất thường trong mạng. Phương pháp Rule-base này dựa trên Hệ chuyên gia, cần có một cơ sở dữ liệu đồ sộ bao gồm các luật để mô tả hành vi bất thường để phát hiện lỗi trong hệ thống. Các hệ thống Rule- based này trong thực tế không được sử dụng nhiều do hệ thống chạy quá chậm không thể đáp ứng thời gian thực, đồng thời cần phải có trước tri thức về triệu chứng của các cuộc tấn công. Một số triệu chứng như: mạng bị quá tải, số lượng kết nối TCP nhiều bất thường, thông lượng của các thiết bị đạt tới mức độ tối đa . . .
Phương pháp Rule-based phụ thuộc rất lớn vào kinh nghiệm của người quản trị vì khi hệ thống mạng có sự thay đổi và tăng trưởng về mô hình thì tập luật cũng phải thay đổi theo.
Phương pháp Rule-based bao gồm các bước sau: ZONE A Hình 2.7 – Tập hợp các tri thức tấn công ZONE B ZONE C Tri thức về dấu hiệu tấn công
Bước 1: Giả thiết rằng các sự kiện không xảy ra theo một trình tự
ngẫu nhiên mà theo các khuôn dạng cho trước
Bước 2: Sử dụng các luật qui nạp theo thời gian để mô tả hành vi
bình thường của người sử dụng
Bước 3: Các luật được chỉnh sửa và chỉ có những luật có mức entropy thấp mới lưu lại trong tập luật.
Bước 4: Nếu chuỗi các sư kiện phù hợp với vế trái của luật, thì sẽ tiếp
tục so sánh sự kiện tiếp theo để xác định bất thường nếu nó không nằm trong phần vế phải của luật. Ví dụ cóluật là: E1 ->E2 -> E3⇒ (E4=95%, E5=5%), nghĩa là nếu thấy liên tiếp các sự kiện E1, E2, E3 thì xác suất xảy ra sự kiện E4 là 95%, E5 là 5%.
2.6 Kết chương
Chương này trình bày một cách khá chi tiết về hệ thống IDS dựa trên phát hiện bất thường. Khác với hệ thống IDS truyền thống dựa trên dấu hiệu, các IDS dựa trên bất thường có một giai đoạn tự đào tạo để có thông tin về trạng thái bình thường, sau đó dựa vào các thông tìn này để xác định sự bất thường dễ dẫn tới nguy cơ tấn công. Chương này đã giới thiệu các khái niệm và kỹ thuật bất thường, tiến hành so sánh và làm rõ các ưu nhược điểm của hướng tiếp cận này. Có nhiều phương pháp phát hiện bất thường được sử dụng ví dụ như Xác suất thống kê, Máy trạng thái hữu hạn, Mạng Nơ-ron, Khai phá dữ liệu, Hệ chuyên gia . . . Mỗi phương pháp này đều có những ưu nhược điểm cụ thể trong quá trình thực hiện và triển khai trong thực tế. Ở chương sau ta sẽ đi xây dựng hệ thống phát hiện bất thường dựa trên tập luật (Rule-based Detection) với phần mềm phát hiện xâm nhập Snort.
CHƯƠNG 3