1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN 1 ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU THUẬT TOÁN SVM KẾT
HỢP ĐỒNG HUẤN LUYỆN VÀ ỨNG DỤNG
TRONG PHÁT HIỆN ĐỘT NHẬP
Giảng viên hướng dẫn : TS. HOÀNG XUÂN DẬU
Sinh viên thực hiện : HOÀNG MINH
Lớp : D08CNPM2

Giảng viên hướng dẫn : TS. HOÀNG XUÂN DẬU
Sinh viên thực hiện : HOÀNG MINH
Lớp : D08CNPM2
Khoá : 11 (2008-2013)
Hệ : Chính quy
Hà Nội, tháng 12 /2012
Đồ Án Tốt Nghiệp Đại Học Mở đầu
Hoàng Minh – D08CNPM2 3

MỞ ĐẦU

Với sự phát triển mạnh mẽ trong lĩnh vực khoa học và công nghệ, Internet đang dần đi sâu
hơn vào đời sống văn hóa, xã hội của con người, đã và đang mang lại nhiều lợi ích trong
nhiều lĩnh vực của cuộc sống. Nó đang dần trở thành một thành phần quan trọng không thể
tách rời của xã hội thông tin hiện đại. Ưu điểm của Internet so với các phương tiện trao đổi

Chương 3: Xây dựng mô hình phát hiện đột nhập: Nội dung của chương tập trung trình
bày quá trình xây dựng mô hình phát hiện đột nhập dựa trên phương pháp SVM kết hợp giải
thuật đồng huấn luyện và các kết quả thực tế rút ra được khi áp dụng vào tập dữ liệu KDD 99.
Chương 4: Kết luận: Tổng kết lại toàn bộ những vấn đề đã thực hiện được trong đồ án
này. Dựa trên những kết quả thu được để từ đó nêu ra những hướng nghiên cứu và phát triển
trong tương lai nhằm cải thiện hiệu quả của phương pháp được nghiên cứu.
Đồ Án Tốt Nghiệp Đại Học Mở đầu

Hoàng Minh – D08CNPM2 4

Do còn hạn chế về mặt kiến thức và thời gian, đồ án không tránh khỏi những thiếu sót. Vì
vậy em mong nhận được những ý kiến đóng góp của các thầy cô giáo và các bạn sinh viên để
em có thể nâng cao kiến thức của mình hơn nhằm phục vụ cho những nghiên cứu sau này.
Đồ Án Tốt Nghiệp Đại Học Lời cảm ơn

Hoàng Minh – D08CNPM2 5 LỜI CẢM ƠN Đầu tiên em xin gửi lời biết ơn sâu sắc nhất tới Thầy giáo, Tiến sĩ Hoàng Xuân Dậu,
người thầy đã tận tình chỉ bảo, định hướng cho em trong suốt quá trình thực hiện đồ án vừa
qua, đồng thời giúp em tiếp cận được nhiều phương pháp tư duy và nghiên cứu khoa học mới.
Em xin gửi lời cảm ơn chân thành tới tất cả các thầy cô giáo trong khoa Công nghệ
thông tin cùng các thầy cô giáo trong khoa Cơ bản – Học viện Công nghệ Bưu chính Viễn
thông đã tận tình giúp đỡ, dạy dỗ và động viên em trong suốt quá trình học tập và nghiên cứu

…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………………………………………………………
Điểm: …………………….………(bằng chữ: … …………… ….)
Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp?.
Hà Nội, ngày tháng 12 năm 2012
CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN
(ký, họ tên)
…………………………………………………………………………………………
…………………………………………………………………………………………
Điểm: …………………….………(bằng chữ: … …………… ….)
Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp?.
Hà Nội, ngày tháng 12 năm 2012
CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN
(ký, họ tên) Đồ Án Tốt Nghiệp Đại Học Mục lục

Hoàng Minh – D08CNPM2 8
MỤC LỤC

MỞ ĐẦU 3
LỜI CẢM ƠN 5
MỤC LỤC 8
DANH MỤC CÁC HÌNH VẼ 10
DANH MỤC CÁC BẢNG, BIỂU ĐỒ 11
KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT 12
CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP 13
1.1. TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP 13
1.1.1. Các yêu cầu an toàn hệ thống máy tính và mạng 13
1.1.2. Các phương pháp tấn công hệ thống 13

2.5. KẾT CHƯƠNG 46
CHƯƠNG 3: XÂY DỰNG MÔ HÌNH PHÁT HIỆN ĐỘT NHẬP 47
3.1. XÂY DỰNG MÔ HÌNH PHÁT HIỆN ĐỘT NHẬP 47
3.1.1. Tiền xử lý dữ liệu 48
3.1.2. Tách các đặc trưng riêng biệt 48
3.1.3. Huấn luyện xây dựng mô hình 48
Đồ Án Tốt Nghiệp Đại Học Mục lục

Hoàng Minh – D08CNPM2 9

3.1.4. Kiểm thử mô hình 48
3.2. CÀI ĐẶT MÔ HÌNH 49
3.2.1. Tập dữ liệu thử nghiệm 49
3.2.2. Cài đặt mô hình 53
3.3. KẾT QUẢ THỰC NGHIỆM 54
3.3.1.Thực nghiệm quan sát tính chính xác trong phân loại 54
3.3.2.Thực nghiệm quan sát sự phụ thuộc của độ chính xác vào tập dữ liệu huấn luyện đã
gán nhãn 57
3.4. KẾT CHƯƠNG 58
CHƯƠNG 4: KẾT LUẬN 59
4.1. KẾT QUẢ ĐẠT ĐƯỢC 59
4.2. HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 59
DANH MỤC TÀI LIỆU THAM KHẢO 60


Hình 2.13 Sơ đồ biểu diễn quy trình thuật toán đồng huấn luyện 45
Hình 2.14 Sơ đồ thiết lập thuật toán đồng huấn luyện 45
Hình 2.15 Mô tả thuật toán SVM kết hợp đồng huấn luyện 46
Hình 3.1 Mô hình phát hiện đột nhập 47

Đồ Án Tốt Nghiệp Đại Học Danh mục các bảng và biểu đồ

Hoàng Minh – D08CNPM2 11 DANH MỤC CÁC BẢNG, BIỂU ĐỒ

Bảng 3.1 Các kiểu tấn công và lớp tấn công của tập dữ liệu KDD Cup 99 50
Bảng 3.2 Các thuộc tính của tập dữ liệu KDD Cup 99 51
Bảng 3.3 Các giá trị của thuộc tính chuyển đổi sang dạng số 52

HIDS: Host Based IDS Hệ thống phát hiện đột nhập cục bộ
NIDS: Network Based IDS Hệ thống phát hiện đột nhập theo mạng
KDD: Knowledge Discovery and Data Mining Khám phá tri thức và khai phá dữ liệu
Đồ Án Tốt Nghiệp Đại Học Chương 1 – Tổng quan về phát hiện đột nhập

Hoàng Minh – D08CNPM2 13

CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP
1.1. TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP
1.1.1. Các yêu cầu an toàn hệ thống máy tính và mạng
Các hệ thống máy tính và mạng cần được đảm bảo các yêu cầu an toàn sau:
 Tính xác thực (Authentication): là một hành động nhằm xác nhận hay chứng
thực một người nào đó, một tài khoản nào đó hoặc một cái gì đó đáng tin cậy,
nghĩa là những thông tin, những khai báo do người đó đưa ra hoặc về cái đó là
sự thật và hợp lệ. Từ đó hệ thống đưa ra quyết định cho phép người dùng truy
cập vào tài nguyên của hệ thống hay không.
 Tính phân quyền (Authorization): là quá trình xác định quyền mà người dùng
sẽ được thực hiện sau khi xác thực và đăng nhập vào hệ thống. Mỗi loại tài
khoản trong hệ thống sẽ có quyền khác nhau với hệ thống đó. Tính phân quyền
nhằm ngăn chặn những hành động trái phép vượt quá quyền hạn có thể làm hệ
thống hoạt động thiếu ổn định hoặc gặp sự cố.
 Tình khả dụng (Availability): là khả năng thực hiện các chức năng yêu cầu tại
thời điểm quy định hoặc tại thời điểm bất kỳ trong khoảng thời gian quy định
với giả thiết là các điều kiện hoạt động được đáp ứng theo yêu cầu.

độc lập với chương trình chủ.
Phần mềm phá hoại độc lập với chương trình chủ bao gồm:
 Worm:
Chương trình tự nhân bản trên đĩa cứng, bộ nhớ của máy tính và qua mạng và vì thế
chiếm dụng tài nguyên máy tính. Worm khác với virus là không có mục đính “bỏ bom”
hay mục đích khác ngoài việc nhân bản. Một số worm có khả năng tự lây lan sang máy
tính khác qua e-mail.
Sâu máy tính ban đầu ( có thể là một tai nạn ngẫu nhiên ) bị phát tán trên mạng
Internet do Robert Tappan Morris vào năm 1988 . Sâu Internet dùng gửi thư và tự nó phát
tán trên mạng Internet . Sâu SQL Slammer Worm , năm 2003 , sử dụng lỗ hổng không
được bảo vệ trong Microsoft SQL Server 2000 để tự phát tán qua Internet . Sâu Blaster ,
năm 2003 , dùng kẽ hở trong Microsoft DCOM RPC để tự phát tán.
Sâu Melissa trong năm 1999 , sâu Sobig năm 2003 và Mydoom năm 2004 tất cả tự
phát tán qua Email . Những sâu này tương tự một vài đặc điểm của Trojan Horse , trong
đó chúng phát tán bằng cách thu hút sự tò mò của người dùng để mở những thư điện tử bị
lây nhiễm đính kèm.
Sâu Mydoom cũng cố gắng tự phát tán thông qua ứng dụng chia xẻ File Peer-to-Peer
của KaZaA . Sâu này cũng tấn công Từ chối Dịch vụ ( DoS – Denial of Service ) chống
lại SCO và Microsoft.
 Zombie:
Chương trình bí mật khống chế một máy tính kết nối Internet khác, sau đó dùng máy
tính này để bắt đầu những cuộc tấn công mà người ta không thể lần ra được dấu vết của
người đã tạo ra zombie này.
Thông thường zombie được sử dụng để khởi động tấn công từ chối các dịch vụ phân
tán (DDOS). Nó có thể sử dụng hàng trăm hoặc hàng nghìn máy tính bị lây nhiễn để làm
tràn ngập việc di chuyển thông tin trên Internet.
Phần mềm phá hoại phụ thuộc vào chương trình chủ bao gồm:
 Trojan Horse:
Là những chương trình được ngụy trang bằng vẻ ngoài vô hại nhưng ẩn chứa bên
trong những đoạn mã nguy hiểm nhằm đánh cắp thông tin cá nhân, mở các cổng để hacker

một vài cách bom Logic là được dùng với mục đích đe dọa ai đó bởi vì nó có thể nhắm tới
một nạn nhân có chủ định.
Bom Logic ban đầu được sử dụng để đảm bảo sự thanh toán một phần mềm . Nếu sự
thanh toán không được thực hiện ở một ngày xác định thì bom Logic tự động kích hoạt và
tự động xoá phần mềm . Nhiều dạng chương trình độc hại của bom Logic sẽ xoá những dữ
liệu khác trên máy tính.
 BackDoor:
Backdoor đơn giản là mã độc mở cổng (port) trên máy tính để gửi thông tin trên máy
ăn cắp được tới server hacker chỉ định hoặc phục vụ cho botnet tấn công từ chối dịch vụ
các website trên diện rộng Khi đã nhiễm backdoor rồi thì máy sẽ bị hacker kiểm soát
phục vụ mục đích xấu.
 Virus
Là một đoạn mã, một chương trình nhỏ được viết ra nhằm thực hiện một việc nào đó
trên máy tính bị nhiễm mà không được sự cho phép hoặc người dùng không biết. Chúng
có khả năng tự nhân bản, lây lan sang các tập tin, chương trình khác trong máy tính và
sang máy tính khác. Virus máy tính thường được chia thành một số loại như: File virus
(Jerusalem, Cascade ) là loại virus lây vào những tập tin của một số phần mềm thường sử
dụng trong hệ điều hành Windows như tập tin .com, .exe, .bat, .pif, .sys ; Boot virus
(Disk Killer, Michelangelo, Stoned ) là loại virus lây nhiễm vào đoạn mã trong cung từ
khởi động (boot sector) của đĩa cứng; Macro virus (W97M.Melissa, WM.NiceDay,
Đồ Án Tốt Nghiệp Đại Học Chương 1 – Tổng quan về phát hiện đột nhập

Hoàng Minh – D08CNPM2 16

W97M.Groov ) lây nhiễm vào tập tin trong MS. Office. Ngoài ra, còn một số loại virus
khác như virus lưỡng tính (kết hợp giữa boot virus và file virus), master boot record
virus

1.1.2.2. Tấn công vào các tài nguyên mạng
Tấn công vào các tài nguyên mạng có thể chia thành các loại chính như sau:


Hoàng Minh – D08CNPM2 17 Hình 1.2 Tấn công thay đổi
 Tấn công giả mạo
Đây là hình thức tấn công vào tính xác thực của hệ thống. Kẻ xâm nhập giả mạo người
dùng để thực hiện trao đổi thông tin với máy tính khác để khai thác thông tin, chiếm
quyền điều khiển của máy đó. Việc này có thể thực hiện thông qua việc dẫn đường trực
tiếp.Với các tấn công này , các hacker sẽ gởi các gói tin IP tới mạng bên trong với một địa
chỉ IP giả (Thông thường là IP của một mạng hoặc một máy tính được coi là an toàn đối
với mạng bên trong) ,đồng thời chỉ rõ đường dẫn má các gói tin IP phải gửi đi.

Hình 1.3 Tấn công giả mạo
 Tấn công nghe trộm
Đây là hình thức tấn công lên tính bảo mật của hệ thống, nhằm xem trộm thông tin
giao dịch giữa hai thực thể trên mạng hoặc thực hiện các phân tích mạng, vì thế nó khó bị
phát hiện. Việc nghe trộm thông tin trên mạng có thể đem lại những thông tin có ích như
tên, mật khẩu của người sử dụng, các thông tin chuyển qua mạng…Việc nghe trộm
thường được các hacker tiến hành sau khi chiếm được quyền truy cập hệ thống thông qua
các chương trình cho phép đưa giao tiếp mạng (NIC – Network Interface Card) vào chế độ
nhận toàn thông tin lưu truyền trên mạng. Những thông tin này cũng có thể lấy được trên
Internet.

Hình 1.4 Tấn công nghe trộm
 Tấn công từ chối dịch vụ
Là kiểu tấn công rất lợi hại. Với loại tấn công này, bạn chỉ cần một máy tính kết nối
Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương. Thực chất của
DoS là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server ( tài nguyên đó có thể
là băng thông, bộ nhớ, CPU, đĩa cứng ) làm cho server không thể nào đáp ứng các yêu

Đồ Án Tốt Nghiệp Đại Học Chương 1 – Tổng quan về phát hiện đột nhập

Hoàng Minh – D08CNPM2 19 Hình 1.6 Sơ đồ chức năng của hệ thống phát hiện xâm nhập

1.1.4. Các phương pháp phát hiện xâm nhập
Có hai cách phân loại các hệ thống phát hiện xâm nhập:
 Phân loại phát hiện xâm nhập dựa trên nguồn dữ liệu
 Phân loại phát hiện xâm nhập dựa trên kỹ thuật phân tích dữ liệu.
1.1.4.1. Phân loại phát hiện xâm nhập dựa trên nguồn dữ liệu
Dựa trên nguồn dữ liệu có hai loại hệ thống phát hiện xâm nhập: Network Based IDS
và Host Based IDS.
1.1.4.1.1. Network Based IDS
Đây là hệ thống được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để
giám sát toàn bộ lưu lượng vào ra. Một Network-Based IDS sẽ kiểm tra các giao tiếp trên
mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và
có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng
tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện
các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công
Denied of Service (DoS).
Nó có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt
trên máy tính, chủ yếu dùng để đo lưu lượng mạng được sử dụng.Tuy nhiên có thể xảy ra hiện
tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao.
VD: Cisco IDS, Dragon IDS/IPS…
Đồ Án Tốt Nghiệp Đại Học Chương 1 – Tổng quan về phát hiện đột nhập

Hoàng Minh – D08CNPM2 20


cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
Đồ Án Tốt Nghiệp Đại Học Chương 1 – Tổng quan về phát hiện đột nhập

Hoàng Minh – D08CNPM2 21

1.1.4.1.2. Host Based IDS
Hệ thống này được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn
nhiều so với NIDS. HIDS là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy
chủ, kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trên nhiều máy tính
trong hệ thống mạng. Một HIDS chỉ làm nhiệm vụ giám sát và ghi lại log cho một máy chủ
(host-system). Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng
của host-system (nó bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ service của
máy chủ đó). HIDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được
giám sát và ghi lại. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như
các máy chủ, máy trạm, máy tính xách tay. HIDS cho phép bạn thực hiện một cách linh hoạt
trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới máy tính
HIDS được phân tích và chuyển qua nếu chúng không chứa mã nguy hiểm.
Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền
truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn
công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network
traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi
qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console),
nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng
tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý.
Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công
dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu
lượng nên IDS dựa trên host có thể giám sát chuyện này.
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường
được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục

- Đa số chạy trên hệ điều hành Windows. Tuy nhiên cũng đã có 1 số chạy được trên
UNIX và những hệ điều hành khác.
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả
các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản,
bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và là những
việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy
chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực
hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ
sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans)
trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm
IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo
ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ
khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề
Đồ Án Tốt Nghiệp Đại Học Chương 1 – Tổng quan về phát hiện đột nhập

Hoàng Minh – D08CNPM2 23

bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn
một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều
hành.
1.1.4.2. Phân loại phát hiện xâm nhập dựa trên kỹ thuật phân tích dữ liệu
Dựa trên kỹ thuật phân tích dữ liệu có hai phương pháp chính là phát hiện mẫu sai
(Misuse Detection) và phát hiện sự không bình thường (Anomaly Detection).
1.1.4.2.1. Misuse Detection
Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống
với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn
công. Do vậy phương pháp này còn được gọi là phương pháp dò dấu hiệu (Signature
Detection). Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và
chính xác, không đưa ra các cảnh báo sai làm giảm khả năng họat động của mạng và giúp các

hành vi người dùng thông thường.
1.2.2. Phân biệt ý định người dùng
Kỹ thuật này mô hình hóa các hành vi thông thường của người dùng bằng một tập
nhiệm vụ mức cao mà họ có thể thực hiện được trên hệ thống (liên quan đến chức năng người
dùng). Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh sao cho hợp với
dữ liệu kiểm định thích hợp. Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho
mỗi người dùng. Bất cứ khi nào một sự không hợp lệ được phát hiện thì một cảnh báo sẽ được
sinh ra.
1.2.3. Phát hiện xâm nhập dựa trên luật
Phương pháp này dựa trên những hiểu biết có sẵn về các kiểu tấn công. Chúng biến
đổi sự mô tả của mỗi tấn công thành định dạng kiểm định thích hợp. Như vậy, dấu hiệu tấn
công có thể được tìm thấy trong các bản ghi. Sự phát hiện được thực hiện bằng cách sử dụng
những chuỗi văn bản chung kết hợp với các cơ chế. Điển hình, nó là một kỹ thuật rất mạnh và
thường được sử dụng trong các hệ thống thương mại. Ví dụ như: Cisco Secure IDS, Emerald
eXpert-BSM (Solaris)…
Đồ Án Tốt Nghiệp Đại Học Chương 1 – Tổng quan về phát hiện đột nhập

Hoàng Minh – D08CNPM2 25

1.2.4. Phân tích trạng thái phiên
Một tấn công được miêu tả bằng một tập các mục tiêu và phiên cần được thực hiện bởi
một kẻ xâm nhập để gây tổn hại hệ thống. Các phiên được trình bày trong sơ đồ trạng thái
phiên. Nếu phát hiện được một tập phiên vi phạm sẽ tiến hành cảnh báo hay đáp trả theo các
hành động đã được định trước.
1.2.5. Hệ thống chuyên gia
Hệ thống này làm việc trên một tập các nguyên tắc đã được định nghĩa từ trước để
miêu tả các tấn công. Tất cả các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc
kiểm định và được dịch dưới dạng nguyên tắc if-then-else. Ví dụ như hệ thống Wisdom &
Sense và ComputerWatch được phát triển tại AT&T.
1.2.6. Kỹ thuật mạng nơ-ron