Tải bản đầy đủ - 73 (trang)
CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS

CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS

Tải bản đầy đủ - 73trang

25

Tóm lại những sự bất thường của hệ thống được xác định thông qua những thay

đổi chớp nhoáng liên tục trong dữ liệu hệ thống trước hoặc trong khi 1 sự kiện bất

thường đang xảy ra. Thuật ngữ “những thay đổi chớp nhoáng” dùng để diễn tả những

thay đổi đột ngột trong dữ liệu xảy ra theo 1 trật tự thời gian giống như tần số hay tần

suất. Khoảng thời gian diễn ra các thay đổi đột ngột này biến thiên theo bản chất của

sự kiện bất thường đó.

Bất thường trong mạng có thể được chia làm 2 lớp chính. Lớp thứ nhất liên quan

đến những sự cố và những lỗi về hiệu năng của mạng như sự cố liên quan đến File

Server, sự cố phân trang bộ nhớ qua mạng (paging across the network), broadcast

storms, babbling node, hay tắc nghẽn đường truyền (transient congestion). Ví dụ cho

sự cố File server đó là sự cố của một web server, xảy ra khi có một số lượng lớn yêu

cầu tới server vượt quá khả năng đáp ứng. Sự cố phân trang qua mạng (paging

network) xảy ra khi một chương trình ứng dụng phình to hơn dung lượng bộ nhớ giới

hạn của máy trạm làm việc và bắt đầu phân trang bộ nhớ tới một File server, việc này

không ảnh hưởng đến cá nhân người dùng nhưng nó ảnh hưởng đến các người dùng

khác do sẽ gây ra sự thiếu hụt băng thông mạng. Vấn đề babbling node là tình huống

khi một nốt mạng gửi ra ngoài những gói tin nhỏ trong một vòng lặp vô hạn để kiểm

tra một vài thông tin như các báo cáo về trạng thái… Trong một vài trường hợp những

lỗi phần mềm cũng có thể gây ra các bất thường trong mạng như những lỗi khi xây

dựng giao thức mạng khiến cho một máy liên tục gửi các gói tin gây tắc nghẽn mạng…

Lớp bất thường thứ 2 là những vấn đề liên quan đến an ninh mạng. Ví dụ của

những bất thường dạng này là tấn công từ chối dịch vụ (DoS) và xâm nhập hệ thống.

Tấn công DoS diễn ra khi các dịch vụ được cung cấp bởi 1 hệ thống bị 1 phần tử độc

hại nào đó điều khiển. Bên cung cấp dịch vụ do đó có thể ngưng 1 dịch vụ trọng yếu

như DNS chẳng hạn và điều này sẽ gây ra 1 sự sụp đổ thực sự của cả 1 hệ thống. Trong

trường hợp mạng bị xâm nhập, các phần tử nguy hiểm ( virus, spyware, worm,

troyjan… ) cũng có thể chiếm dung lượng lớn đường truyền khiến cho hệ thống chạy

chậm đi và dẫn đến hiện tượng tắc nghẽn mạng.



26



2.1.2 Các nguồn dữ liệu dùng cho phát hiện bất thường

Thu thập các loại dữ liệu về hiệu năng của mạng là công việc cơ bản cho việc

phát hiện bất thường. Các loại bất thường có thể phát hiện được phụ thuộc vào bản

chất của dữ liệu mạng. Trong phần này chúng ta sẽ xem xét một số nguồn có thể thu

thập dữ liệu và phân tích sự thích hợp của chúng trong việc phát hiện bất thường. Bản

chất của phương pháp phát hiện bất thường là xây dựng nên tập các hồ sơ trạng thái

bình thường của mạng để so sánh do đó dữ liệu thu thập càng chính xác khả năng phát

hiện càng cao, thuật toán càng hiệu quả.



2.1.2.1 Network Probes

Network Probes [4] là các công cụ đặc biệt như lệnh ping và traceroute, được sử

dụng để thu thập các thông số mạng cần thiết như thời gian trễ và tỉ lệ mất gói tin. Các

công cụ Probing cung cấp các số liệu mạng một cách tức thời. Nhưng phương thức này

không yêu cầu sự phối hợp của các nhà cung cấp dịch vụ mạng. Tuy vậy, các nhà cung

cấp dịch vụ có thể chọn không cho phép các công cụ này hoạt động thông qua Firewall

của họ. Hơn nữa các gói tin IP được sử dụng bởi các công cụ này không nhất thiết phải

đi theo các quỹ đạo hoặc được các thiết bị mạng xử lý giống như các gói tin IP thông

thường. Phương thức này cũng giả thiết tồn tại một con đường đối xứng giữa nguồn và

đích đến. Trên mạng Internet, giả thiết này là không được đảm bảo. Do đó các thông số

thu thập được từ các công cụ này có thể chỉ cho chúng ta cái nhìn ở mức thô về hệ

thống mạng. Cho nên dữ liệu lấy từ các probing không có nhiều giá trị cho mục đích

phát hiện bất thường.



2.1.2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering )

Trong phương thức lọc gói tin [4], các luồng gói tin sẽ được thống kê, lấy mẫu

bằng cách ghi lại các thông tin IP header của các gói tin ở các thời điểm khác nhau ở

các vị trí khác nhau. Các thông tin thu được từ IP header có thể cung cấp chi tiết về

hoạt động của mạng, chúng có thể được sử dụng trong việc phát hiện các bất thường về

luồng. Một luồng thông tin được xác định bởi địa chỉ nguồn, địa chỉ đích và số hiệu

cổng. Tóm lại phương pháp này cho phép có được thống kê chính xác về giao dịch



27

trong mạng nhưng khó áp dụng trong thực tế vì nó đòi hỏi những công nghệ lấy mẫu

tinh vi cũng như các thiết bị phần cứng đặc biệt để lấy các thông tin từ các gói IP.



2.1.2.3 Dữ liệu từ các giao thức định tuyến

Thông tin về các sự kiện mạng có thể được thu thập thông qua các giao thức định

tuyến [4]. Ví dụ như sử dụng giao thức OSPF ( open shortest path first), nó có thể thu

thập tất cả thông tin cập nhật về bảng định tuyến được trao đổi bởi các router. Dữ liệu

thu được có thể xây dựng toplogy của mạng và cung cấp trạng thái cập nhật của đường

truyền như về băng thông, độ trễ, mức độ tắc nghẽn mạng…



2.1.2.4 Dữ liệu từ các giao thức quản trị mạng

Các giao thức quản trị mạng cung cấp tất cả thông tin thống kê về giao thông trên

mạng. Những giao thức này hỗ trợ rất nhiều thông số có thể giám sát chính xác hoạt

động thiết bị mạng. Những thông tin thu thập được có thể không cung cấp trực tiếp

các thông số đo lường về giao thông mạng nhưng có thể dùng để nhận dạng các hành

vi trên mạng do đó có thể được sử dụng trong phát hiện bất thường mạng. Sử dụng loại

thông tin này đòi hỏi sự kết hợp với phần mềm quản trị mạng của nhà cung cấp dịch

vụ. Tuy nhiên những giao thức này cung cấp một lượng thông tin phong phú và chất

lượng. Tiếp theo chúng ta xem xét chi tiết một giao thức là SNMP ( Simple Network

Management Protocol).

SNMP hoạt động dựa trên mô hình client-server. Giao thức này cung cấp một cơ

chế giúp các manager giao tiếp với agent. Một SNMP manager có thể giám sát hàng

trăm SNMP agent khác nằm trên các thiết bị mạng. SNMP được cài đặt ở tầng ứng

dụng và chạy trên giao thức UDP. SNMP manager có khả năng thu thập các dữ liệu

quản lý được cung cấp bởi SNMP agent nhưng lại không có khả năng xử lý những dữ

liệu này. SNMP server sẽ lưu giữ 1 cơ sở dữ liệu bao gồm những thông số quản lý

được gọi là những thông số thông tin quản lý cơ bản MIB ( management information

base). Các thông số này chứa các thông tin liên quan đến hoạt động của các chức năng

khác nhau trên những thiết bị mạng.

Bất kỳ thiết bị mạng nào cũng có một tập các thông số MIB đặc trưng cho các

chức năng của nó. Các thông số MIB được định nghĩa dựa trên loại thiết bị cũng như



28

tầng giao thức mà nó hoạt động. Ví dụ như bridges (cầu) hoạt động ở tầng liên kết dữ

liệu chứa các thông số cung cấp thông tin về trao đổi thông tin ở mức liên kết dữ liệu.

Routers là thiết bị ở tầng mạng chứa các thông số cung cấp thông tin về tầng mạng. Lợi

ích của việc sử dụng giao thức SNMP vì nó là một giao thức được phát triển rộng rãi

và mang tính chuẩn hóa trên tất cả các thiết bị mạng. Nhờ đó các thông tin lấy được từ

giao thức SNMP là các dữ liệu lý tưởng sử dụng cho việc phát hiện bất thường.

Các thông số MIB được chia thành các nhóm : hệ thống, giao diện ( if), dịch địa

chỉ ( address translation – af ), giao thức internet (ip), giao thức điều khiển tin nhắn

internet (icmp), giao thức điều khiển giao vận (tcp), giao thức udp ( udp), giao thức

cổng ngoài ( egp). Mỗi nhóm các thông số miêu tả chức năng của một giao thức

chuyên biệt của thiết bị mạng. Tùy thuộc vào loại nút mạng nào được theo dõi, một

nhóm các thông số cụ thể có thể được xem xét. Nếu nút đang được xem xét là router,

nhóm thông số ip sẽ được nghiên cứu. Các thông số ip mô tả các đặc điểm trao đổi dữ

liệu ở tầng mạng.

Không có một thông số MIB nào có thể nắm bắt được mọi bất thường trong hệ

thống hoặc những dấu hiệu bất thường hệ thống. Vì vậy, việc lựa chọn các thông số

MIB phụ thuộc vào hoàn cảnh tìm ra những bất thường đó. Ví dụ trong trường hợp

router, nhóm ip của MIB được chọn, ngược lại nều là bridge nhóm if được sử dụng.



2.1.3 Các phương pháp phát hiện bất thường

Trong phần này chúng ta sẽ xem xét các phương pháp hay được sử dụng trong

phát hiện bất thường. Các phương pháp này bao gồm hệ chuyên gia ( rule-based ), mô

hình máy trạng thái hữu hạn, so sánh mẫu, phân tích thống kê, mạng nơ-ron. Chúng ta

sẽ nghiên cứu cơ chế hoạt động điểm mạnh, điểm yếu của từng phương pháp.



2.1.3.1 Hệ chuyên gia ( Rule-based )

Phương pháp này được áp dụng từ rất sớm trong lĩnh vực dò lỗi hay phát hiện bất

thường trong mạng. Trong hệ chuyên gia, một cơ sở dữ liệu toàn diện chứa tập luật

miêu tả hành vi của hệ thống được sử dụng để xác định nếu một lỗi nào đó xảy ra. Trên

thực tế phương pháp này ít được áp dụng do hệ thống chạy quá chậm không đáp ứng

được yêu cầu của các ứng dụng thời gian thực và phụ thuộc nhiều vào cơ sở tri thức về



29

các triệu chứng lỗi trước đó. Những triệu chứng này có thể là : dung lượng đường

truyền bị quá tải, số lượng kết nối TCP mở nhiều trên mức cho phép, thông lượng đạt

mức tối đa … Phương pháp này còn có một nhược điểm là phụ thuộc khá nhiều vào

người quản trị mạng và không đáp ứng kịp khi hệ thống mạng được mở rộng do mỗi

khi hệ thống có sự thay đổi thì cần có sự bổ sung về tập luật. Người ta có thể sử dụng

mô hình hệ chuyên gia FCMs ( fuzzy cognitive maps) để khắc phục nhược điểm này.

FCM có thể được sử dụng để tạo ra một mô hình thông minh có sự thừa kế và tác động

qua lại với nhau của các triệu chứng mạng.

Cơ chế hoạt động của phương pháp dựa vào tập luật có thể xác định như sau :





Giả thiết các sự kiện phát triển theo một trình tự nhất định.







Mô tả hành vi hoạt động bình thường của hệ thống dưới dạng các luật đã được

rút gọn nhất có thể. Ví dụ như A1A2 ==> B1, sự kiện A1 xảy ra xong đến sự

kiện A2 thì có thể xảy ra sự kiện B1 tiếp theo.







Ta có một tập luật, so sánh các chuỗi sự kiện đưa vào với tập luật, nếu các sự

kiện đưa vào phù hợp với vế trái của một luật mà không trùng với về phải của

luật thì có thể xem xét xác định bất thường ở đây. Như ở ví dụ trên trong thực tế

sự kiện A1, sự kiện A2 xảy cuối cùng lại dẫn đến sự kiện C1 xảy ra thì có thể kết

luận là có sự kiện bất thường diễn ra ở đây.



Hình 2.1 : Mô hình hệ thống phát hiện bất thường dựa trên tập luật



30



2.1.3.2 Mạng Nơ-ron ( Artificial Neural Network)

Như chúng ta đã biết ở trên, một trong những phương pháp phổ biến dùng để phát

hiện bất thường là hệ chuyên gia, tuy nhiên phương pháp này có nhược điểm là phụ

thuộc khá nhiều vào tập luật được định nghĩa trước bởi người quản trị và phải được cập

nhật thường xuyên. Nhược điểm này có thể được khắc phục bằng cách áp dụng công

nghệ mạng nơ-ron. Hệ thống phân tích bất thường sử dụng mạng nơron tập trung vào

việc phát hiện các thay đổi trong hành vi của chương trình, theo đó mạng nơron sẽ học

và dự đoán hành vi của người sử dụng và các chương trình ứng dụng. Ưu điểm của

mạng nơron là thích ứng được với các kiểu dữ liệu không đầy đủ, dữ liệu với độ chắc

chắn không cao và không cần cập nhật tri thức thường xuyên do nó có quá trình tự học,

điểm yếu của mạng nơron là tốc độ xử lý, trong quá trình tự thu thập dữ liệu, phân tích

và điểu chỉnh các nơron. Chúng ta sẽ đi vào chi tiết hơn.

Mạng nơ-ron nhân tạo hay thường gọi ngắn gọn là mạng nơ-ron là một mô hình

tính toán được xây dựng dựa trên các mạng nơ-ron sinh học. Nó gồm có một nhóm các

nơ-ron nhân tạo (nút) nối với nhau, và xử lý thông tin bằng cách truyền theo các kết

nối và tính giá trị mới tại các nút. Trong nhiều trường hợp, mạng nơ-ron nhân tạo là

một hệ thống thích ứng (adaptive system) tự thay đổi cấu trúc của mình dựa trên các

thông tin bên ngoài hay bên trong chảy qua mạng trong quá trình học.



Hình 2.2 Mô hình mạng nơron

Một mạng nơron bao gồm các nút input, nút output và các nút trong các lớp ẩn

( hidden layer). Cấu trúc mạng nơ-ron được chia thành 2 loại:



31

Loại thứ nhất sử dụng các thuật toán đào tạo được giám sát (Supervised training

algorithms), ở giai đoạn tự học, hệ thống sẽ nghiên cứu một đầu ra mong muốn cho

mỗi đầu vào đã được định sẵn. Cấu trúc phổ biến của mạng nơ ron giám sát là kiến trúc

nhận thức đa tầng MLP (Multi-layered Perceptron). MLP là mạng chuyển tiếp đa tầng (

feed-forward) bao gồm lớp đầu vào, một hoặc một vài lớp ẩn và lớp đầu ra. Lớp đầu

ra cung cấp phản hồi của hệ thống đến các mẫu hoạt động áp dụng trong lớp đầu vào.

Nghiên cứu hiện tại của MLP mới nhằm giải quyết mẫu bài toán phát hiện 3 lớp, nghĩa

là tập trung xác định hệ thống là bình thường hoặc bị tấn công dạng neptune ( tấn công

từ chối dịch vụ - SYN) và tấn công dạng Satan( tấn công bằng cách dò quét tự động

mạng hoặc máy tính để tìm lỗ hổng xâm nhập), nó có thể mở rộng cho các trường hợp

có nhiều dạng tấn công. Mục đích của MLP là chuyển giao những mẫu đầu vào cho

một trong những nhóm mà chúng được đại diện xét theo khía cạnh các đầu ra ( bình

thường, neptune hoặc satan ) của mạng nơ ron sao cho chúng thể hiện đặc tính của một

thành viên lớp. Sự thể hiện mang tính biểu trưng này được dùng theo cách sau: số 1 ở

cột biểu thị sự xuất hiện/ tồn tại dấu hiệu tương ứng của cột đó, còn số 0 biểu thị sự

không tồn tại. Vì vậy chúng ta có 3 trường hợp có thể nhận biết được kết quả ở đầu ra,

đó là: [1 0 0] - tình trạng bình thường,[ 0 1 0] cho tấn công dạng Neptune và [ 0 0 1]

nếu gặp tấn công dạng satan.

Loại thứ hai sử dụng các thuật toán đào tạo không qua giám sát (Unsupervised

training algorithms): ở giai đoạn tự học, hệ thống sẽ nghiên cứu mà không xác định

đầu ra mong muốn. Các bản đồ tổ chức độc lập (SOM - Self-Organizing Maps) là một

dạng tiêu biểu của loại này. Trong hệ thống phát hiện bất thường sử dụng SOM, người

ta tập trung vào việc phân lớp các hành vi từ đó phát hiện ra các hành vi nghi vấn. Tiến

trình xử lý của hệ thống diễn ra như sau: các dữ liệu về mạng được thể hiện dưới dạng

vectơ tham số đặc trưng, sau đó được lưu trong một Input vectơ để tiến hành phân lớp,

việc phân lớp sẽ lặp đi lặp lại cho đến khi hội tụ, khi đã xây dựng nên được các SOM,

hệ thống sẽ tiến hành xác định khoảng cách giữa hành vi đang xét với hành vi bình

thường, nếu nó vượt quá ngưỡng cho phép thì có bất thường xảy ra ở đây. Ví dụ xét

nguồn dữ liệu mạng được xét lấy từ các tệp logs ghi lại hành vi của người dùng:





Thời gian họat động của người dùng ( User activity times): Thời gian một người

dùng hoạt động bình thường.



32





Các host người dùng đăng nhập ( User login hosts): Các host mà một người

dùng đăng nhập bình thường.







Các host người dùng bên ngoài ( User foreign hosts): Các host mà người dùng

truy bình thường nhập thông qua lệnh hệ thống như các host FTP.







Các tập lệnh (Command set): các lệnh mà người dùng bình thường sử dụng .







Sử dụng CPU ( CPU usage): Mức độ sử dụng CPU thông thường của một người

dùng.







Sử dụng bộ nhớ ( Memory Usage): Mức độ sử dụng bộ nhớ thông thường của

một người dùng.



Hình 2.3 Cấu trúc một hệ thống phát hiện bất thường sử dụng SOM

Hình 2.3 mô tả một kiến trúc hoành chỉnh cho một hệ thống phát hiện bất thường

sử dụng SOM. Bộ phận phối hợp xử lý ( coordianting process) chịu trách nhiệm cho

các kênh thông tin của mạng nơron. Mỗi một tính chất hành vi (Thời gian hoạt động

của người dùng, các host đăng nhập … ) được mô hình hóa bởi một mạng SOM cũng

như được kiểm tra bởi các quy tắc lọc cố định để phát hiện các lỗ hổng bảo mật đơn

giản. Dữ liệu thu được từ hệ thống logs được lọc tiếp thông qua bộ phận tiền xử lý đầu



33

vào ( data preprocessing ) chỉ chọn những dữ liệu cần thiết. Như chúng ta đã biết đầu

vào của mạng nơron là dữ liệu dạng vector bao gồm 6 thuộc tính đặc trưng cho thời

gian hoạt động, các host người dùng đăng nhập, các host người dùng bên ngoài, các tập

lệnh, việc sử dụng CPU, việc sử dụng bộ nhớ. Theo đó một số lượng lớn các biến của

dữ liệu này cần được chuẩn hóa để mỗi vectơ đầu vào có giá trị trong khoảng [1,1].

Khoảng xác định này được lấy từ các hệ thống phát hiện bất thường bằng mạng nơron

khác trước đây. Người ta sử dụng công thức trong hình 2.4 để chuẩn hóa dữ liệu:



Hình 2.4 Công thức chuẩn hóa dữ liệu đầu vào

Trong đó nv[i] là dữ liệu đã được chuẩn hóa của đặc điểm i, v[i] là giá trị của đặc

điểm i, K là số đặc điểm có trong vectơ dữ liệu đầu vào. Nếu giá trị lấy từ người dùng

vượt quá giá trị ngưỡng đặc biệt thu được thông qua mạng SOM chứng tỏ hành vi đó là

không bình thường. Nếu dữ liệu đầu ra nằm trên giá trị ngưỡng đặc biệt hành vi đó

cũng là bất thường.



Hình 2.5 Thiết kế của mạng SOM



34



2.1.3.3 Máy trạng thái hữu hạn

Mô hình máy trạng thái hữu hạn ( FSM – finite states machine ) phát hiện bất

thường bằng cách mô hình hóa các trạng thái hoạt động bình thường của mạng, sau đó

cho dữ liệu đi qua là chuỗi các hành vi cần dò bất thường, bất thường có thể xác định

nếu chuỗi đi qua không đạt được trạng thái kết thúc. Mô hình FSM xây dựng dựa trên

cơ sở đặt các chuỗi báo động ( sequence of alarm ) ở các điểm khác nhau trên mạng để

ghi lại trạng thái của máy. Theo cách thông thường một máy trạng thái hữu hạn được

định nghĩa bởi một tập Q = ( Q, ∑, q0, δ, F ) với:





Q : tập các trạng thái có thể







q0: trạng thái ban đầu







∑: tập ngôn ngữ hữu hạn







δ: hàm chuyển Q x ∑  Q







F là tập con của Q: tập các trạng thái kết thúc.

Người ta thường dùng máy trạng thái hữu hạn để xác định bất thường trong các



giao thức, các giao thức này sẽ được theo dõi một cách độc lập và coi như không bị

ảnh hưởng bới các sự kiện khác. Ví dụ với giao thức TCP chúng ta mô hình kiểm tra

như trong hình 2.6.

SYN?



q0



TRUE



SYN

/ACK?



TRUE



FALSE



FALSE



ACK?

FALSE

TRUE



FALSE

Anomaly



GET?



TRUE



Success



35

Hình 2.6 : Mô hình FSM cho kết nối TCP.

Tóm lại phương pháp phát hiện bất thường sử dụng máy trạng thái hữu hạn có ưu

điểm là chúng ta có thể xác định chính xác nguyên nhân gây ra bất thường phân biệt

được đó có phải là một cuộc tấn công hay không vì xây dựng được mô hình hoạt động

của các sự kiện. Nhưng trên thực tế phương pháp này rất khó triển khai do rất tốn tài

nguyên, phải có một tập dữ liệu lớn đầy đủ về hoạt động mạng, có máy hiệu năng lớn

để tính toán. Các sự kiện khác nhau phải xây dựng các mô hình riêng, độc lập để theo

dõi.



2.1.3.4 Phân tích thống kê

Sử dụng thống kê để xác định các sự kiện bất thường được sử dụng rộng rãi trong

các hệ thống phát hiện truy nhập từ nhiều năm nay. Hệ thống hoạt động trên nguyên

tắc thu thập dữ liệu của các thông số trên mạng và áp dụng một số kỹ thuật thống kê

trên dữ liệu được thu thập để tạo ra các tập hồ sơ cho các thông số trong thời điểm hoạt

động bình thường, ví dụ hệ thống có thể nghiên cứu sự phân phối của các thông số

được giám sát. Hệ thống sau đó sẽ xem xét sự khác nhau giữa thông số đang xem xét ở

thời điểm hiện tại với tệp hồ sơ của nó, thông thường nếu dữ liệu của thông số hiện tại

cao hơn thì nhiều khả năng hệ thống bị tấn công. Hệ thống có thể sử dụng nhiều quy

luật đơn giản để phát hiện ra sự khác nhau. Sự dụng ngưỡng ( threshold) là cách đơn

giản nhất, khi thông số được theo dõi vượt quá ngưỡng đặt ra thì có cảnh báo. Các hệ

thống sử dụng phân tích thống kê điển hình là Haystack(Smaha, 1988), IDES(Lunt et

al, 1988), EMERALD(Porras and Neumann, 1997).

Haystack(Smaha,1988) được phát triển cho việc phát hiện xâm nhập dựa trên tệp

thông tin người dùng log. Hệ thống được phát triển cho cả 2 phương thức dựa trên so

sánh mẫu và dựa trên bất thường. Đối với phương pháp dựa trên bất thường, từ các

thống kê điều kiện trước đây hệ thống trên cả 2 loại : từng người dùng riêng lẻ và mô

hình nhóm người dùng. Rất nhiều đặc điểm trong phiên làm việc của người dùng được

theo dõi, bao gồm : thời gian làm việc, số lượng tệp tạo ra, số lượng trang được in ra…

chúng sẽ được mô hình hóa như là các biến độc lập và ngẫu nhiên. Đối với từng đặc

điểm, hệ thống sẽ xác định một khoảng giá trị được coi là bình thường, trong một



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS

Tải bản đầy đủ ngay(73 tr)

×