Kiến trúc hệ thống S2E2
Ngày nay, tỷ lệ các giao dịch mạng được mã hóa tăng lên không ngừng, không chỉ do việc sử dụng các mạng riêng ảo của các tổ chức mà còn bởi các giao thức như SSH hoặc SSL được sử dụng rộng rãi trong khu vực tư nhân. Các hệ thống phát hiện xâm nhập (IDS) truyền thống không có khả năng đối phó với giao dịch đã được mã hóa. Đã có một số ít hệ thống IDS có khả năng xử lý các kênh được mã hóa, nhưng không có hệ thống nào trong số đó được áp dụng rộng rãi, bởi vì các giao thức mạng đã bị thay đổi, miền áp dụng bị hạn chế (ví dụ, chỉ có thể tìm thấy được các tấn công đặc thù cho giao thức) hoặc tỷ lệ báo động nhầm rất cao. Các tác giả Roberr Koch và Gabi Dreo Rodosek đã đề xuất một IDS để phát hiện xâm nhập, phát hiện dựa trên hành vi, không can thiệp (non- intrusive, behavior- based intrusion- and extrusion detection) trong các môi trường được mã hóa.

Các hệ phát hiện xâm nhập dựa trên dấu hiệu (signature- based) được sử dụng rộng rãi để bảo vệ các mạng nhằm phát hiện việc sử dụng sai mục đích. Vì các mẫu của mã độc hại phải só sẵn ở trong cơ sở dữ liệu của IDS, nên chỉ những hiểm họa đã được biết mới có thể bị phát hiện. Một nghiên cứu của Đại học Công nghệ Massachutsetts (MIT) vào năm 2002 cho rằng, các miếng vá phần mềm thường sẵn sàng tại cùng thời điểm, khi dấu hiệu cho phát hiện xâm nhập đã có và vì thế đã làm giảm các ưu thế của IDS. Hơn nữa, việc tăng tỷ lệ của giao dịch mạng được mã hóa đã hạn chế thêm khả năng phát hiện của các hệ thống này,  vì chúng phải phân tích các tải trọng và không có khả năng đối phó với giao dịch được mã hóa. Không giống như hệ thống phát hiện sự lạm dụng, hệ thống dựa trên hành vi bất thường có thể phát hiện các hiểm họa mới hoặc chưa được biết đến. Ví dụ, việc lan truyền của các sâu mới có thể bị phát hiện, nhưng các tấn công bên trong giao dịch đã được mã hóa (trên tầng ứng dụng) thì khó bị phát hiện.

S2E2 là một hệ dựa trên hành vi bất thường. Tất cả các phần của hệ thống hoạt động theo nguyên tắc “không can thiệp” (non- intrusive), nên việc giải mã là không cần thiết. Dựa trên giao dịch mạng đã mã hóa quan sát được, dữ liệu đầu vào của người dùng được nhận dạng và được đánh trọng số. Đồng thời, người dùng thực hiện giao dịch mạng được nhận dạng bởi các thao tác gõ bàn phím (keystoke dynamics). Vì thế, các đặc tính cần thiết được khôi phục bằng việc tính toán thời gian của các gói trên mạng. Kiến trúc hệ thống bao gồm các môđun sau:
- Thu gộp giao dịch: Hệ thống ghi lại các tem thời gian (timestamp) của các gói trên mạng, kích thước (size) tải trọng và các hướng (direction) phát đi. Các dữ liệu này được nhóm lại thành các “bó”, trong khi một bó khác bao gồm dữ liệu đầu vào của người dùng và dữ liệu trả lời tương ứng của máy phục vụ.
- Đánh giá lệnh: được thực hiện bằng cách phân tích kích thước gói liên tiếp (consecutive payload size) của các gói mạng. Các tem thời gian cũng được xem xét, để phát hiện các độ trễ của máy chủ phục vụ. Trong bước đầu tiên, xác suất cho các tổ hợp lệnh- trả lời đơn lẻ đã được tính và các giá trị tốt nhất cho từng bó được chọn. Sau đó, xác suất cho các dãy (sequence) khác nhau được tạo ra. Vì vậy, thứ tự xếp hạng của các lệnh đã được nhận dạng có thể thay đổi dựa trên toàn bộ dãy các lệnh.
- Phân tích chiến lược: Dựa trên các lệnh đã được nhận dạng, chiến lược của người dùng được phân tích: Các “mục đích con” khác nhau được định nghĩa trong một “cây tấn công” (attack- tree) bởi nhiều bước. Ví dụ, các đặc quyền gốc (root privileges) của “mục đích khác” có thể đạt được bằng cách khai thác các chương trình được cấu hình sai.... Một loạt các bước xâm nhập có liên quan về mặt logic nhưng không nhất thiết đầy đủ được tìm kiếm. Nếu nỗ lực xâm nhập nhằm một số các mục đích khác được thực hiện thì cảnh báo sẽ được đưa ra.
- Nhận dạng người dùng: Người dùng thực hiện các kết nối đã được mã hóa, được nhận dạng dựa trên thao tác gõ bàn phím đã được khôi phục từ các gói mạng đã được mã hóa.
- Khẳng định chính sách: Dựa trên các tài nguyên đã được sử dụng, các lệnh và người dùng đã được nhận dạng, việc tính toán và sử dụng tài nguyên được cho phép kiểm tra.

Các kết quả và hướng phát triển trong tương lai

Roberr Koch và Gabi Dreo Rodosek đã thông báo rằng các môđun Đánh giá lệnh và Nhận dạng người dùng được cài đặt ở mẫu đầu tiên. Các thí nghiệm của họ chỉ ra rằng cả hai môđun trên đều có khả năng hoạt động tốt theo phương pháp được đề xuất. Đối với môđun Đánh giá lệnh, chỉ một tập hạn chế các lệnh đã được cài đặt tại thời điểm thí nghiệm và nó sẽ được cải tiến đặc biệt đối với các lệnh hệ thống, và vì thế, có liên quan tới các dạng tấn công. Đối với môđun Phân tích chiến lược, nhiều “cây tấn công” sẽ được định nghĩa và tích hợp. Sau đó, nhóm nghiên cứu sẽ tiến hành việc tổng kết đánh giá các kết quả đạt được và mẫu sản phẩm được hoàn thiện sẽ được kiểm thử rộng rãi tại trung tâm dữ liệu của một trường Đại học lớn của Đức