Tải bản đầy đủ
4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS

4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS

Tải bản đầy đủ

này chúng ta chỉ đi vào giới thiệu các thành phần được triển khai thực của hệ thống.
Hình 3.11 minh họa tiến trình phân tích dữ liệu giao thông mạng bằng hệ thống này.
Đầu vào của hệ thống MINDS là dữ liệu Netflow phiên bản 5 do các công cụ
dòng ( Flow-tool) tập hợp lại. Các công cụ này chỉ bắt thông tin ở phần header của các
gói tin (chứ không bắt nội dung) và xây dựng các phiên (các flows) 1 chiều. Chúng ta
làm việc trên dữ liệu Netflow thay vì dữ liệu tcpdump bởi vì khả năng thu thập và lưu
trữ dữ liệu tcpdump là tương đối tốn kém. Trong vòng 10 phút, dữ liệu Netflow sinh
ra khoảng 1-2 triệu dòng và được lưu vào các tệp dữ liệu. Các chuyên gia sẽ dùng hệ
thống MINDS để phân tích các tệp dữ liệu sinh ra trong 10 phút này cùng 1 đợt. Lý do
hệ thống chạy các tệp đó cùng 1 đợt không phải do thời gian cần để phân tích những
tệp này mà chủ yếu các chuyên gia cảm thấy thuận tiện hơn. Để chạy hệ thống với các
tệp sinh ra trong 10 phút trên một máy tính để bàn thường mất dưới 3 phút. Như
chúng ta đã biết trước khi dữ liệu được chuyển vào module phát hiện bất thường, 1
bước lọc dữ liệu sẽ được tiến hành nhằm loại bỏ các dữ liệu mạng mà các chuyên gia
không muốn phân tích. Ví dụ, dữ liệu sau khi lọc có thể gồm dữ liệu từ các nguồn đã
xác thực hoặc các biểu hiện mang tính bất thường/ nguy hiểm nhưng lại được coi là
không mang tính xâm phạm.

Hình 3.11 Mô hình hoạt động của hệ thống MINDS
Bước đầu tiên của quá trình MINDS là trích lọc các đặc điểm dùng cho việc
phân tích khai phá dữ liệu. Những đặc điểm cơ bản bao gồm địa chỉ IP nguồn và IP
đích, cổng nguồn, cổng đến, giao thức, cờ, số lượng bytes và số lượng gói. Các đặc
điểm phát sinh gồm có cửa sổ thời gian và các đặc điểm dựa trên cửa sổ kết nối(trình

bày ở phần trên). Chúng được tạo ra để bắt các liên kết có cùng tính chất trong khoảng
T giây cuối cùng. Chúng đặc biệt hữu ích trong việc phân biệt các nguồn có lượng kết
nối cao trong 1 đơn vị thời gian với phần còn lại của giao thông mạng được biết đến
như là các hoạt động scanning nhanh. Phương pháp tương tự cũng đã được áp dụng
vào việc xây dựng các tính năng trong bảng dữ liệu KDD Cup năm 1999. Bảng 3.3
dưới đây tóm tắt các tính năng dựa trên cửa sổ thời gian.

Tên đặc điểm

Mô tả

count_src

Số kết nối có cùng một nguồn đến các đích khác nhau trong t
giây gần đây nhất

count_dest

Số kết nối có cùng một đích nhưng từ nhiều nguồn khác nhau
trong t giây gần đây nhất

count_serv_src

Số kết nối đến cùng một địa chỉ cổng đích trong t giây gần đây
nhất

count_serv_dest

Số kết nối từ địa chỉ đích đến cùng một địa chỉ cổng đích trong
T giây gần đây nhất.
Bảng 3.3 những đặc điểm chọn “dựa trên thời gian”

Khác với scan “nhanh” các hoạt động scanning “chậm” là những hoạt động scan
host hoặc port sử dụng các khoảng thời gian nhiều hơn 1 vài giây, ví dụ 1 tiếp xúc
(scan) trên 1 phút thậm chí 1 tiếp xúc trên 1 giờ và không thể bị chia cắt với phần còn
lại của giao thông mạng sử dụng đặc điểm dựa trên cửa sổ thời gian. Để làm được
điều đó, chúng ta cũng tạo ra các đặc điểm dựa vào cửa sổ-kết nối nhằm bắt các đặc
điểm tương tự của kết nối như các đặc tính dựa trên cửa sổ thời gian, tuy nhiên lại
được tính toán dựa trên N kết nối cuối cùng xuất phát từ (hoặc đến) các nguồn riêng
biệt (đích).
Các đặc điểm dựa trên cửa sổ liên kết được minh họa ở bảng 3.4

Tên đặc điểm
count_dest_conn

Mô tả
Số kết nối có cùng từ một nguồn đến các đích khác nhau trong
N kết nối gần đây nhất

count_src_conn

Số kết nối có cùng một đích nhưng từ nhiều nguồn khác nhau
trong N kết nối gần đây nhất

count_serv_src_conn Số kết nối đến cùng một địa chỉ cổng đích trong N kết nối gần
đây nhất
count_serv_des_conn Số kết nối từ địa chỉ đích đến cùng một địa chỉ cổng đích trong
N kết nối gần đây nhất.
Bảng 3.4 những đặc điểm chọn “dựa trên kết nối”
Sau bước rút ra các đặc điểm để phân tích, module phát hiện các cuộc tấn công
đã biết sẽ được dùng để phát hiện các kết nối mạng tương ứng với các tấn công mà
chúng có sẵn các dấu hiệu và loại bỏ chúng khỏi danh sách dữ liệu cần phân tích. Tiếp
đến, dữ liệu được chuyển tiếp vào module phát hiện bất thường MINDS sử dụng thuật
toán phát hiện điểm dị biệt để gán 1 giá trị bất thường cho mỗi kết nối mạng. MINDS
sử dụng thuật toán LOF trong module phát hiện bất thường.Một chuyên gia sau đó chỉ
phải xem xét những kết nối có giá trị bất thường nhất để quyết định liệu chúng có phải
là những tấn công thực sự hay chỉ là những biểu hiện ngẫu nhiên bên ngoài. Module
tổng hợp trong MINDS sẽ tổng kết các liên kết mạng và sắp xếp chúng theo mức độ
bất thường từ cao xuống thấp. Cuối cùng chuyên gia sẽ đưa ra phản hồi sau khi phân
tích các kết quả ở trên và quyết định chúng có ích trong việc tạo ra những luật mới sẽ
được sử dụng trong module phát hiện tấn công đã biết hay không.
Tiếp theo chúng ta sẽ xem xét một số các kết quả thu được sau khi áp dụng
module phát hiện bất thường MINDS vào giao thông mạng thực ở đại học Minnesota.
Tuy nhiên chúng ta không thể đưa ra tỉ lệ phát hiện và tỉ lệ cảnh báo sai do khó khăn
trong việc đánh dấu toàn bộ kết nối mạng.
Chuyên viên an ninh mạng tại ĐH Minnesota đã sử dụng phương pháp MINDS
để phân tích giao thông mạng từ năm 2002. Trong suốt thời gian này, MINDS đã phát
hiện thành công rất nhiều tấn công mới và các biến dạng mà không thể bị phát hiện
nếu dùng hệ thống dựa trên dấu hiệu (signature) như SNORT. Nhìn chung, MINDS có

khả năng thường xuyên phát hiện những hành động xâm nhập nguy hại khác nhau (ví
dụ xâm phạm chính sách - policy violations), phát tán sâu cũng như các hoạt động
scan. Đầu tiên chúng ta sẽ đi vào quá trình một chuyên viên phân tích đầu ra của
module phát hiện bất thường MINDS trên 1 dãy dữ liệu cụ thể. Sau đó chúng ta tiếp
tục với 1 vài ví dụ về mỗi loại tấn công khác nhau được xác định bởi MINDS.
Hình 3.12 cho chúng ta thấy các kết nối đứng đầu do module phát hiện bất
thường MINDS tìm được trong 10 phút khoảng 48 tiếng sau khi sâu Slammer/
Sapphire xuất hiện. Đầu ra bao gồm các dữ liệu gốc cùng với giá trị bất thường được
gán cho các kết nối và các thành phần liên quan của mỗi một đặc điểm trong số 16 đặc
điểm sử dụng trong thuật toán phát hiện bất thường. Lưu ý rằng hầu hết các kết nối
đứng đầu đều thuộc về sâu Slammer/ Sapphire ( có giá trị bất thường cao nhất –cột
đầu tiên). Đó là do trong khoảng thời gian này, các kết nối mạng bị nhiễm sâu chỉ
chiếm 2% tổng giao thông mạng. Điều này chứng tỏ sự hiệu quả của phương pháp
MINDS trong việc xác định kết nối nhiễm sâu. Những kết nối này được đánh dấu màu
xám nhạt. Chúng ta có thể quan sát trong hình để thấy những thành phần đóng góp
nhiều nhất vào giá trị bất thường của những kết nối này là do đặc tính 9 và 11.
Nguyên nhân là do những máy tính bị nhiễm ngoài hệ thống vẫn đang cố gắng kết nối
với những máy tính bên trong mạng.

Hình 3.12 Bảng kết quả đầu ra của hệ thống MINDS – cột đầu tiên là giá trị bất
thường
Cũng trong hình 3.12 chúng ta có thể thấy trong suốt khoảng thời gian này còn
có 1 hoạt động scanning khác (ping scan, đánh dấu bằng màu xám đậm) bị phát hiện
do đặc tính 9 và 11. Hai dòng không đổi màu là phản hồi từ các server chơi game halflife bị đánh dấu là bất thường do những máy tính này đang giao tiếp qua 1 cổng duy
nhất 27016/udp. Đối với các liên kết web, thông thường chúng giao tiếp qua cổng 80
và được trình bày trong mẫu dữ liệu thông thường. Tuy nhiên, các kết nối half-life
không phù hợp với bất kỳ 1 mẫu thông thường nào mà số lượng đặc tính 15 tăng đột
biến nên chúng bị coi là bất thường.
Phát hiện sâu
Vào ngày 10/10/2002, module MINDS phát hiện 2 hoạt động của sâu Slapper
vượt qua sự truy quét của SNORT do chúng là biến thể của 1 loại mã sâu đã có. Một
khi máy tính bị nhiễm sâu, nó sẽ giao tiếp vơi các máy khác và sẽ lây lan sang các
máy đó. Phiên bản phổ biến nhất của loại sâu này dùng cổng 2002 để giao tiếp, nhưng
1 vài biến thể lại dùng những cổng khác. MINDS xác định những kết nối này là bất
thường với 2 lý do sau: Thứ nhất, cổng nguồn hoặc cổng đích trong liên kết có thể
không bất thường nếu tách riêng, nhưng các cặp đôi cổng nguồn-đích lại là bất thường
(tuy máy phát hiện bất thường không lưu số liệu của tần suất các cặp thuộc tính,
nhưng trong khi xây dựng vùng lân cận của các kết nối này, hầu hết điểm lân cận của
chúng đều không có các cặp cổng nguồn-đích giống nhau, điều này tạo ra khoảng
cách); Thứ 2, mẫu giao tiếp của loại sâu này trông giống như 1 hoạt động scan chậm
khiến cho giá trị của các biến tương ứng với số lượng kết nối từ IP nguồn đến cùng 1
cổng đích ở các kết nối cuối trở nên lớn hơn. Nguyên tắc phát hiện sâu của SNORT là
dùng cổng 2002 (và 1 vài cổng khác) nhưng không đủ cho tất cả các biến thể có thể
xuất hiện. Một nguyên tắc tổng quát của SNORT được viết để phát hiện biến thể của
loại sâu này có thể cảnh báo sai ở tỷ lệ cao hơn.
Hoạt động scanning và DoS(Scanning and DoS activities):

Ngày 9/8/2002, hệ thống CERT/CC cảnh báo về “sự lan rộng scanning và khả
năng từ chối của hoạt động dịch vụ nhằm vào dịch vụ Microsoft-DS qua cổng
445/TCP” giống như 1 tấn công Từ chối Dịch vụ mới (DoS). Ngoài ra, CERT/CC còn
thể hiện “sự quan tâm khi nhận được những báo cáo như thế này từ những sites có bản
báo cáo chi tiết và bằng chứng của vụ tấn công”. Các kết nối mạng thuộc loại
scanning này được xếp trong top đầu có giá trị dị biệt cao vào ngày 13/08/2002 do
module phát hiện bất thường của MINDS phát hiện ra trong khi làm nhiệm vụ phân
tích thường nhật giao thông mạng ĐH Minnesota. Module scan cổng của SNORT đã
không phát hiện ra tấn công này do việc scanning cổng diễn ra rất chậm chạp. Sau đó
vào tháng 9/2002, SNORT đã bổ sung 1 quy tắc mới để bắt loại tấn công này.
Ngày 13/08/2002, module phát hiện ‘hoạt động scanning trên dịch vụ Oracle”
thông qua việc các giá trị bất thường của các kết nối này nằm trong top2(top 1 bao
gồm liên kết thuộc DoS nhằm vào Microsoft-DS service qua cổng 445/TCP như đã
trình bày ở trên). Tấn công dạng này thường rất khó bị phát hiện nếu dùng những
phương pháp khác do Oracle scan được gắn vào 1 môi trường Web scan rộng lớn hơn
nhiều và cảnh báo sinh ra bởi Web scan có thể đưa đến hàng núi công việc cho các
chuyên gia. Ngày 13/06, CERT/CC đã đưa ra cảnh báo về vụ tấn công này.
Xâm phạm chính sách(Policy Violations):
-

Từ ngày 8-10/08/2002, module của MINDS phát hiện ra 1 máy đang chạy dịch

vụ Microsoft PPTP VPN và 1 máy khác đang chạy dịch vụ FTP qua các cổng không
phải là các cổng chuẩn của chúng, đây bị coi là xâm phạm chính sách. Cả 2 loại xâm
phạm này đều nằm trong top có giá trị dị biệt cao. MINDS đánh dấu những dịch vụ
này thuộc dạng bất thường do chúng không được phép.
-

Ngày 6/2/2003, MINDS đã phát hiện ra những thông điệp phản hồi lặp lại

ICMP ngoài ý muốn đến 1 máy tính đã bị nhiễm sâu Stacheldract trước đó (1 nhân tố
DDoS). Mặc dù chiếc máy bị nhiễm sâu này đã bị tách ra khỏi hệ thống nhưng những
máy tính khác ngoài mạng vẫn cố giao tiếp với nó.

3.4.2 So sánh SNORT và MINDS
Trong phần này chúng tôi tiến hành so sánh 2 phương pháp MINDS và SNORT
ở khía cạnh những loại tấn công mà chúng có thể phát hiện ra. Đặc biệt, chúng tôi so
sánh sự hiệu quả của chúng trên 3 loại của các hành vi mang tính bất thường trên
mạng:


các tấn công dựa trên nội dung



các hoạt động scanning



các hoạt động xâm nhập chính sách (policy)

3.4.3.1 Tấn công dựa trên nội dung
Những tấn công dạng này nằm ngoài tầm kiểm soát của MINDS do phiên bản
hiện tại của MINDS không tận dụng được các đặc tính dựa trên nội dung. Do đó,
SNORT tỏ rõ ưu thế vượt trôi hơn trong việc xác định những tấn công dạng này. Tuy
nhiên, SNORT chỉ có thể phát hiện những tấn công dựa trên nội dung đã biết dấu
hiệu/ quy tắc từ trước đó. Mặc dù SNORT có thể phát hiện những tấn công này nhưng
điều quan trọng hơn một khi máy tính bị đột nhập thành công, biểu hiện của nó có thể
trở nên bất thường và do đó sẽ bị module của MINDS phát hiện ra. Chúng ta sẽ thảo
luận nhiều hơn dạng biểu hiện bất thường này ở phần “xâm nhập chính sách”.

3.4.3.2 Hoạt động scanning
Trong khi đang tiến hành phát hiện các hoạt động scanning khác nhau, SNORT
và MINDS có thể có những biểu hiện giống nhau đối với 1 số loại scans nhất định,
nhưng chúng lại khác nhau về khả năng phát hiện những loại khác. Nói chung, chúng
ta có 2 loại scans: scan đến là loại scan trong đó kẻ tấn công ở ngoài hệ thống đang
quét những điểm dễ bị đột nhập trong 1 hệ thống được giám sát; scan đi là khi ai đó
trong hệ thống được giám sát đang truy quét ra bên ngoài. Các hoạt động scan đến
được chia làm 2 loại mà phương pháp SNORT và MINDS có thể có những biểu hiện
nhằm phát hiện ra chúng khác nhau.


scan nhanh (thông thường)



scan chậm

Khi phát hiện các hoạt động scan đến từ 1 nguồn bên ngoài, module của SNORT
kiểm soát số lượng địa chỉ IP đích từ mỗi địa chỉ IP nguồn trong 1 khoảng thời gian
nhất định (mặc định là 3 giây). Bất kể khi nào giá trị của countdest cao hơn ngưỡng cố
định (SNORT mặc định giá trị này bằng 4), hệ thống SNORT sẽ báo động và đó là
cách chỉ ra hoạt động scan bằng địa chỉ IP nguồn. Module của MINDS cũng có thể
gán 1 giá trị cao cho sự bất thường vào những kết nối mạng đó do trong hầu hết các
kết nối mạng thông thường, giá trị count-dest thường thấp. Ngoài ra, các kết nối từ
những loại hoạt động scanning khác nhau có xu hướng mang những đặc tính bất
thường (ví dụ mọi playload), chúng được cộng dồn vào giá trị bất thường.
SNORT có thể phát hiện 1 hoạt động scan đến miễn là hoạt dộng đó diễn ra đủ
nhanh trong 1 khung thời gian đã định (giá trị mặc định là 3 giây) và ở ngưỡng cho
phép (giá trị mặc định là 4). Nếu 1 hoạt động scanning diễn ra chậm hơn (nằm ngoài
các tham số cụ thể), nó sẽ không bị SNORT phát hiện ra. Tuy nhiên, SNORT vẫn có
thể tìm ra những hoạt động như vậy bằng cách tăng khung thời gian và/hoặc giảm số
lượng sự kiện đếm được trong khoảng thời gian đó, nhưng việc này sẽ dẫn đến tỷ lệ
cảnh báo nhầm cao hơn. Vì vậy, module của MINDS sẽ tỏ ra phù hợp hơn trong tình
huống này do nó xem xét cả 2 đặc tính dựa trên khung thời gian và dựa trên khung kết
nối (khác với SNORT chỉ dùng đặc tính dựa trên khung thời gian).
SNORT không thể phát hiện các hoạt động scan đi đơn giản là vì nó không kiểm
tra chúng. Trái lại, module của MINDS có thể phát hiện cả hoạt động scan đến và đi.
Việc thay đổi đầu vào cho 1 module quét cổng cũng sẽ cho phép SNORT phát hiện ra
các hoạt động scan đi này. Tuy nhiên, nó sẽ chiếm nhiều bộ nhớ hơn và SNORT vẫn
sẽ gặp vấn đề với các hoạt động scan đi chậm tương tự như các hoạt động scan đến
chậm.

3.4.3.3 Xâm phạm chính sách
Module MINDS có khả năng phát hiện xâm phạm chính sách (ví dụ các dịch vụ
lạ và trái phép) cao hơn so với SNORT do nó tìm kiếm hành vi mạng bất thường.
SNORT chỉ có thể phát hiện những xâm nhập nếu nó đặt quy tắc cho mỗi 1 hoạt động
cụ thể. Do số lượng và sự đa dạng của những hoạt động này có thể rất lớn và chưa biết

đến nên việc kết hợp chúng vào SNORT là không thực tế bởi những lý do sau. Thứ
nhất, việc xử lý tất cả những quy tắc đó sẽ tốn rất nhiều thời gian và do đó dẫn đến
việc giảm hiệu quả của làm việc SNORT. Một điều quan trọng khác cần chú ý ở đây
đó là SNORT chỉ mong muốn giữ 1 số lượng giao thông mạng được phân tích ở mức
vừa nhỏ bằng cách kết hợp những quy tắc càng cụ thể càng tốt. Mặt khác, những quy
tắc quá chi tiết sẽ hạn chế khả năng tổng hợp hóa của 1 hệ thống dự trên quy tắc điển
hình, những thay đổi nhỏ trong tính chất của 1 tấn công có thể khiến cho tấn công đó
không thể bị phát hiện. Thứ 2, cơ sở tri thức về các cuộc tấn công của SNORT cần
phải được cập nhật bằng tay bởi các chuyên gia mỗi khi phát hiện ra 1 một kiểu tấn
công mới. Trái lại, module MINDS thích nghi 1 cách tự nhiên, nó đặc biệt thành công
trong việc phát hiện biểu hiện bất thường bắt nguồn từ 1 máy yếu thế/ phòng thủ lỏng
lẻo (ví dụ kẻ tấn công xâm nhập vào 1 máy, cài đặt phần mềm trái phép và dùng máy
này để phát động tấn công vào những máy khác). Những biểu như vậy thường xuyên
bị bỏ qua bởi chúng không nằm trong các dấu hiệu nhận dạng tấn công SNORT.

3.5 Kết chương
Trong chương này chúng ta nghiên cứu việc áp dụng Kỹ thuật khai phá dữ liệu
cho hệ thống IPS. Hướng áp dụng dựa trên KPDL mang lại khá nhiều ưu điểm, đầu
tiên giống như các kỹ thuật phát hiện bất thường khác, hệ thống IPS sử dụng KPDL
không cần có các hiểu biết trước về các dạng tấn công cho nên nó có thể dễ dàng phát
hiện các cuộc tấn công mới hình thành. Hơn nữa sử dụng phương pháp này chúng ta
có thể phát hiện tương đối chính xác các kiểu tấn công dạng DoS hay dò quét cổng
diễn ra trong thời gian kéo dài. Ngoài ra một đặc điểm quan trọng khác đó là kỹ thuật
KPDL có thể sử dụng trong trường hợp dữ liệu dạng thô, không đầy đủ, thiếu sót hoặc
không chính xác. Chương này cũng đưa ra mô hình cho một hệ thống IPS dựa trên
KPDL, bao gồm các module: Lọc tin, Trích xuất dữ liệu, Phát hiện phần tử dị biệt,
Phản ứng và Tổng hợp. Trong đó module Lọc tin và trích xuất dữ liệu là hai module
ban đầu xử lý dữ liệu cho phù hợp với đầu vào của module phát hiện phần tử dị biệt,
đây là module quan trọng nhất làm nhiệm vụ phát hiện ra các trường hợp dữ liệu có
dấu hiệu bất thường có thể là các cuộc tấn công mạng, module này sử dụng một số

thuật toán phát hiện phần tử dị biệt trong KPDL cũng được trình bày trong chương
này. Module cuối cùng là module Tổng hợp có nhiệm vụ tổng hợp, rút gọn các dấu
hiệu mà module phát hiện phần tử dị biệt đưa ra nhằm tạo thành các quy tắc dấu hiệu
giúp quá trình phát hiện ở các lần sau nhanh hơn ( sử dụng trong module Lọc tin). Ở
phần cuối chương, cũng giới thiệu một hệ thống thực đã được triển khai sử dụng kỹ
thuật KPDL, đó là hệ thống MINDS của trường đại học Minnesota, Mỹ.

KẾT LUẬN
Hệ thống chống xâm nhập (Intrusion Prevention System –IPS) được định nghĩa
là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và
có thể ngăn chặn các nguy cơ gây mất an ninh. IPS ra đời nhằm khắc phục những hạn
chế của hệ thống IDS(Instrusion Detection System) như : IDS thường xuyên đưa ra rất
nhiều báo động giả ( False Positives), là gánh nặng cho quản trị an ninh hệ thống bởi
nó cần được theo dõi liên tục, kèm theo các cảnh báo tấn công là một quy trình xử lý
an ninh rất vất vả, hơn thế nữa IDS không có khả năng theo dõi các luồng dữ liệu
được truyền với tốc độ lớn. Xuyên suốt đề tài “Giải pháp phát hiện truy cập trái phép
vào mạng”, tôi đã đi vào tìm hiểu và giới thiệu hệ thống IPS về thành phần, chức
năng, phân loại và hoạt động cũng như các hướng tiếp cận và phát triển một hệ thống
IPS.
Thông thường người ta chia IPS thành các loại NIPS (Network-based Intrusion
Prevention System) theo dõi và phát hiện sự cố trên một hệ thống mạng, HIPS
(Hostbased Intrusion Prevention System) theo dõi và xử lý sự cố trên các máy tính
riêng lẻ, và Hybrid Intrusion Prevention System kết hợp của 2 hệ thống NIPS và HIPS
thu thập thông tin trên máy trạm kết hợp với thông tin thu thập được ở trên mạng để
có được sự phân tích một cách chi tiết về hiện trạng hệ thống mạng. Về mặt thành
phần, hệ thống IPS bao gồm 3 module chính: module phân tích gói tin, module phát
hiện tấn công và module phản ứng trong đó module phát hiện tấn công được quan tâm
phát triển nhiều nhất. Module này được cài đặt dựa trên 2 phương pháp chính đó là :
phương pháp phát hiện dựa trên dấu hiệu (mẫu) và phương pháp dò dựa trên phát hiện

bất thường. Phương pháp phát hiện dựa trên dấu hiệu sử dụng các mẫu tấn công đã có
sẵn trong cơ sở dữ liệu so sánh với các dấu hiệu hiện tại nhằm xác định xem nó có
phải là một cuộc tấn công hay không. Phương pháp này có khá nhiều điểm hạn chế
như nó đòi hỏi phải mô tả một cách chính xác các dấu hiệu, tốn nhiều tài nguyên để
lưu trữ, phụ thuộc khá nhiều vào công việc của người quản trị khi thường xuyên phải
cập nhật các cuộc tấn công mới. Phương pháp dò dựa trên phát hiện bất thường hoạt
động dựa trên nguyên tắc, sẽ định ra các trạng thái hoạt động bình thường của hệ
thống, các IPS sẽ dò và so sánh nếu tồn tại các cuộc tấn công sẽ có các hành động bất
thường xảy ra. Phương pháp này có nhiều ưu điểm hơn so với phương pháp sử dụng
dấu hiệu có khả năng dò ra các cuộc tấn công chưa biết là rất cao, đồng thời tốn ít tài
nguyên hơn nhưng nó cũng có nhược điểm đó là có thể đưa ra những cảnh báo sai nếu
như hệ thống có những dấu hiệu bất thường nhưng không phải do các cuộc xâm nhập
hay tấn công.
Tiếp đến luận văn đi vào nghiên cứu hệ thống IPS dựa trên phát hiện bất thường.
Có nhiều phương pháp phát hiện bất thường như Phân tích thống kê, Máy trạng thái
hữu hạn, Mạng Nơ-ron, Hệ chuyên gia, Mạng Bayes… Theo đó luận văn tiếp cận
tương đối kỹ một phương pháp phát hiện bất thường đó là phương pháp dựa trên khai
phá dữ liệu (KPDL). Đây là phương pháp tương đối mới có nhiều đặc điểm ưu việt
ngoài việc có khả năng phát hiện ra các cuộc tấn công dạng mới, các cuộc tấn công
kéo dài dạng DoS hay dò quét cổng, ưu điểm của nó thể hiển ở khả năng sử lý dữ liệu
trong trường hợp dữ liệu dạng thô, không đầy đủ, thiếu sót hoặc không chính xác.
Phần cuối luận văn giới thiệu một hệ thống tuy mới là dạng IDS nhưng đã được triển
khai và ứng dụng kỹ thuật KPDL tương đối hiệu quả đó là hệ thống phát hiện xâm
nhập của trường đại học Minnesota.

Hướng phát triển của luặn văn:
Ngày nay trong vấn đề an ninh mạng trước những cuộc tấn công ngày một tinh
vi của các hacker cũng như sự lây lan của nhiều loại sâu, trojan … thì việc sử dụng
các hệ thống tường lửa, chương trình anti-virus thôi là không đủ, mà chúng ta cần
phải có những hệ thống bảo vệ có khả năng phát hiện kịp thời, thậm chí là trước khi