Tải bản đầy đủ (.pdf) (84 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Sử dụng kỹ thuật khai phá dữ liệu để xây dựng hệ thống phát hiện xâm nhập trái phép

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.62 MB, 84 trang )

Mục lục
Lời cảm ơn............................................................ Error! Bookmark not defined.
Mục lục.................................................................................................................. 1
Danh sách ký hiệu, từ viết tắt ............................................................................ 4
Danh sách hình vẽ ............................................................................................... 7
Lời mở đầu ........................................................................................................... 4
Chương 1 Tổng quan về Hệ thống phát hiện xâm nhập trái phép .............. 9
1. Khái quát về bảo mật hệ thống thông tin.......................................................... 9
1.1 Các nguy cơ đe dọa..................................................................................10
1.1.1 Mối đe dọa ở bên trong .....................................................................11
1.1.2 Mối đe dọa ở bên ngoài.....................................................................11
1.1.3 Mối đe dọa không có cấu trúc ...........................................................12
1.1.4 Mối đe dọa có cấu trúc ......................................................................12
1.2 Các nguyên tắc bảo vệ hệ thống thông tin ................................................13
1.3 Các biện pháp bảo vệ ...............................................................................14
2. Kỹ thuật phát hiện xâm nhập trái phép...........................................................15
2.1 Thành phần ..............................................................................................15
2.2 Phân loại..................................................................................................17
2.2.1 Host-based IDS .................................................................................18
2.2.2 Network-based IDS...........................................................................20
2.3 Nguyên lý hoạt động................................................................................23
2.4 Chất lượng cảnh báo ................................................................................26
2.5 Phát hiện xâm nhập...................................................................................28
3. Kết chương ....................................................................................................29

Chương 2 Hệ thống IDS dựa trên phát hiện bất thường .............................31
1. Định nghĩa Bất thường trong mạng................................................................32
2. Kỹ thuật phát hiện Bất thường .......................................................................34
3. Ưu nhược điểm của Phát hiện bất thường ......................................................35
4. Dữ liệu phát hiện bất thường..........................................................................36
1




5. Các Phương pháp phát hiện bất thường..........................................................39
5.1 Xác suất thống kê.....................................................................................39
5.1.1 Haystack ...........................................................................................39
5.1.2 NIDES ..............................................................................................40
5.1.3 SPADE .............................................................................................40
5.2 Máy trạng thái hữu hạn ............................................................................43
5.3 Phát hiện bất thường bằng Mạng Nơ-ron..................................................45
5.4 Hệ chuyên gia ..........................................................................................47
5.5 Mạng Bayes .............................................................................................48
6. Kết chương ....................................................................................................49

Chương 3 Phát hiện bất thường sử dụng kỹ thuật Khai phá dữ liệu ........50
1. Khai phá dữ liệu .............................................................................................50
2. Ứng dụng Khai phá dữ liệu trong phát hiện bất thường...................................53
2.1 Hình thành bài toán..................................................................................53
2.2 Khái niệm phần tử tách biệt .....................................................................55
2.3 Các thuật thoán phát hiện phần tử tách biệt ..............................................57
2.3.1 Phát hiện tách biệt sử dụng Khoảng cách đến phần tử gần nhất thứ k ..57
2.3.2 Thuật toán NN ..................................................................................57
2.3.3 Phát hiện phần tử tách biệt dựa trên khoảng cách Mahalanobis .........57
2.3.4 Thuật toán LOF.................................................................................58
3. Mô hình Hệ thống Phát hiện bất thường dựa trên kỹ thuật Khai phá dữ liệu....60
3.1 Môđun Lọc tin .........................................................................................61
3.2 Mô đun Trích xuất dữ liệu........................................................................62
3.3 Mô đun Phát hiện Phần tử tách biệt..........................................................63
3.4 Mô đun tổng hợp......................................................................................65
4. So sánh và đánh giá ........................................................................................69
4.1 Hệ thống phát hiện bất thường MINDS....................................................69

4.2 Đánh giá khả năng hoạt động của hệ thống MINDS.................................72
4.3 So sánh giữa MINDS và Snort .................................................................73
4.4 So sánh giữa MINDS và SPADE .............................................................74

2


5. Kết chương ....................................................................................................75

Kết luận................................................................................................................77
Tài liệu tham khảo .............................................................................................80
Phụ lục .................................................................................................................83

3


Lời mở đầu

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở nên vô
cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an
toàn thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty,
các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian các kỹ thuật tấn công
ngày càng tinh vi hơn khiến các hệ thống an ninh trở nên mất hiệu quả. Các hệ
thống an ninh mạng truyền thông thuần túy dựa trên các tường lửa nhằm kiểm
soát luồng thông tin ra vào hệ thống một cách cứng nhắc dựa trên các luật bảo vệ
cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật
tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.
Điều quan trọng nhất của bảo mật mạng máy tính là các mạng máy tính phải
có khả năng bảo vệ tốt. Các hệ thống bảo mật cần thiết phải có các giải pháp hỗ
trợ mềm dẻo và đa năng hơn.

Trong số các vấn đề về bảo mật, xâm nhập là vấn đề nguy hiểm và phổ biến
nhất. Xâm phạm có thể được định nghĩa là việc xâm phạm để gây tổn thất và tác
hại lớn cho các hệ thống mạng. Phát hiện xâm nhập bao gồm việc dò tìm các truy
cập trái phép và gây hại từ một hay nhiều máy tính. Ngoài vấn đề nhận diện tấn
công, hệ thống phát hiện xâm nhập trái phép (IDS) có thể được sử dụng để tìm ra
các điểm yếu trong mạng và các chính sách bảo mật khác. Đó là lý do vì sao em
chọn đề tài này. Nội dung đề tài bao gồm ba chương:
Chương 1: Tổng quan về Hệ thống phát hiện xâm nhập trái phép
Chương 2: Hệ thống IDS dựa trên phát hiện bất thường
Chương 3: Phát hiện bất thường sử dụng kỹ thuật Khai phá dữ liệu
Trong chương 1 tác giả phân tích vai trò, chức năng của Hệ thống xâm nhập
trái phép, tìm hiểu thành phần, cách phân loại cũng như hoạt động của hệ thống
này. Đưa ra tiêu chí đánh giá hệ thống IDS.

4


Trong chương 2 tác giả tìm hiểu Hệ thống IDS dựa trên Phát hiện bất
thường. Phân tích ưu nhược điểm hướng tiếp cận này. Nghiên cứu các kỹ thuật
được sử dụng để phát hiện bất thường: Khai phá dữ liệu, Xác suất thống kê,
Mạng Neutral, Hệ chuyên gia, Máy trạng thái hữu hạn v.v.. Đưa ra các đánh giá
về hiệu quả của các kỹ thuật này.
Trong chương 3 tác giả nghiên cứu và khái quát hóa Hệ thống phát hiện bất
thường1 dựa trên kỹ thuật Khai phá dữ liệu. Đưa ra các đề xuất cải tiến ở một số
giai đoạn. So sánh và đánh giá một hệ thống dựa trên Kỹ thuật này với các hệ
thống Phát hiện xâm nhập khác.
Tuy nhiên do thời gian có hạn, đề tài của em không thể tránh khỏi những
thiếu sót. Em rất mong nhận được sự góp ý của thầy, cô và các bạn.
Em xin chân thành cảm ơn thầy Lê Tuấn Anh đã trực tiếp hướng dẫn em
hoàn thành đề tài này.


1

Từ nay đến cuối đồ án, hệ thống Phát hiện bất thường được hiểu là Hệ thống Phát hiện xâm nhập trái
phép dựa trên hướng tiếp cận Phát hiện bất thường trong mạng.

5


Danh sách ký hiệu, từ viết tắt
Từ viết tắt

Tên đầy đủ

VPN

Virtual Private Network

IPSec

Internet Protocol Security

IPS

Intrusion Prevention System

HTTPS

Hypertext Transfer Protocol Secure


SNMP

Simple Network Managerment Protocol

DoS

Denial of Service

SSL

Secure Socket Layer

IDS

Intrusion Detection System

NIDS

Network-based Intrusion Detection System

HIDS

Host-based Intrusion Detection System

SOM

Self Organized Map

FSM


Finite States Machine

SPADE

Statistical Packet Anomal Detection Engine

MINDS

Minnesota Intrusion Detection System

NN

Nearest Neighbor

BTTM

Bất thường trong mạng

LOF

Local Outlier Factor

KPDL

Khai phá dữ liệu

TCP

Transmission Control Protocol


6


Danh sách hình vẽ
Hình

Nội dung

Hình 1.1

Thành phần của một hệ thống IDS

Hình 1.2

Hoạt động của IDS

Hình 1.3

Mô hình HIDS

Hình 1.4

Mô hình NIDS

Hình 1.5

Nguyên lý hoạt động của một hệ thống IDS

Hình 1.6


IDS gửi TCP reset

Hình 1.7

IDS yêu cầu Firewall tạm ngừng dịch vụ

Hình 1.8

Ví dụ về đường cong ROC

Hình 1.9

IDS dựa trên dấu hiệu

Hình 1.10

Thêm luật vào IDS dựa trên dấu hiệu

Hình 2.1

IDS dựa trên phát hiện bất thường

Hình 2.2

Hoạt động của IDS dựa trên phát hiện bất thường

Hình 2.3

Mô hình cơ bản hệ thống Phát hiện xâm nhập bất thường bắng
thống kê xác suất


Hình 2.4

Mô hình IDS sử dụng FSM

Hình 2.5

Hoạt động của IDS sử dụng FSM

Hình 2.6

IDS dựa trên SOM

Hình 3.1

Ánh xạ Bài toán Phát hiện bất thường về Bài toán Phát hiện PT
tách biệt

Hình 3.2

Kết nối bất thường là một phần tử tách biệt

Hình 3.3

Khoảng cách Mahalanobis

7


Hình 3.4


Khoảng cách tiếp cận R-dis

Hình 3.5

Phân bố điểm dữ liệu

Hình 3.6

Hệ thống Phát hiện bất thường sử dụng Kỹ thuật Khai phá dữ liệu

Hình 3.7

Đường cong ROC của thuật toán

Hình 3.8

Sử dụng nhiều hướng quan sát bổ sung cho nhau

Hình 3.9

Ví dụ về tổng hợp Luật

Hình 3.10

Hoạt động của Môđun Tổng hợp

Hình 3.11

Tập hợp các tri thức tấn công


8


Chương 1
Tổng quan về Hệ thống phát hiện
xâm nhập trái phép
1. Khái quát về bảo mật hệ thống thông tin
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống
chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ
thống đảm bảo hoạt động đúng đắn. Mục tiêu của việc đảm bảo an toàn an ninh
cho hệ thống thông tin là đưa ra các giải pháp và ứng dụng các giải pháp này vào
hệ thống để loại trừ hoặc giảm bớt các nguy hiểm. Hiện nay các cuộc tấn công
càng ngày càng tinh vi, gây ra mối đe dọa tới sự an toàn thông tin. Các cuộc tấn
công có thể đến từ nhiều hướng theo nhiều cách khác nhau, do đó cần phải đưa ra
các chính sách và các biện pháp đề phòng cần thiết. Mục đích cuối cùng của an
toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau [9]:


Đảm bảo tính tin cậy (Confidentiality): Thông tin không thể bị truy
cập trái phép bởi những người không có thẩm quyền.



Đảm bảo tính nguyên vẹn (Integrity): Đảm bảo tính toàn vẹn của
thông tin là đảm bảo thông tin không bị thay đổi trên đường truyền,
thông tin không bị làm giả, bị sửa đổi bởi những người không có thẩm
quyền.

 Đảm bảo tính sẵn sàng (Availability): Tính sẵn sàng có thể được diễn

tả như tỉ lệ thời gian mà hệ thống hay một thành phần dùng cho người
dùng. Tính sẵn sàng luôn luôn có ý nghĩa, nhưng trong một vài ứng
dụng thì đặc biệt cần thiết; chẳng hạn một phút ngừng hoạt động trong
mạng máy tính chỗ hàng không có thể làm thiệt hại mười ngàn đôla, còn
một giờ ngừng trong mạng ngân hàng làm mất khoảng triệu đôla. Tính
sẵn sàng dựa trên độ tin cậy của các thành phần cá nhân trong hệ thống.
Độ tin cậy là xác suất mà một thành phần sẽ thực hiện chức năng đặc
biệt trong thời gian đặc biệt với điều kiện đặc biệt.
9


 Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được
cam kết về mặt pháp luật của người cung cấp.
Cần nhấn mạnh một thực tế rằng không có một hệ thống nào an toàn tuyệt
đối cả. Bởi vì bất cứ một hệ thống bảo vệ dù hiện đại và chắc chắn đến đâu đi
nữa thì cũng có lúc bị vô hiệu hóa bởi những kẻ phá hoại có trình độ cao và có đủ
thời gian. Chưa kể rằng tính an toàn của một hệ thống thông tin còn phụ thuộc rất
nhiều vào việc sử dụng của con người. Từ đó có thể thấy rằng vấn đề an toàn
mạng thực tế là cuộc chạy tiếp sức không ngừng, và không ai dám khẳng định là
có đích cuối cùng hay không.

1.1 Các nguy cơ đe dọa
Nếu không có sự bảo mật thích hợp, bất kì phần nào của bất kì mạng nào có
thể bị ảnh hưởng của những vụ tấn công hay những hoạt động trái phép mang
tính xâm phạm. Những router, switch, và host tất cả có thể bị xâm phạm bởi
những hacker chuyên nghiệp, những người tấn công công ty, hay ngay cả những
nhân viên quốc tế. Thật vậy, theo nhiều sự nghiên cứu, nhiều hơn phân nửa
những người tấn công mạng trên thế giới được trả lương một cách bí mật.
Học viện bảo mật máy tính (CSI) ở San Francisco ước tính rằng khoảng 60
tới 80 phần trăm sự lạm dụng mạng đến từ bên trong những công trình mà sự lạm

dụng đã nắm được nơi đó. Để định rõ cách tốt nhất cho việc bảo vệ chống lại
những sự tấn công, những nhà quản lí công nghệ thông tin nên hiểu nhiều loại tấn
công mà có thể được sử dụng và những mối nguy hiểm mà những loại tấn công
này có thể gây ra cho cấu trúc hệ thống thông tin.
Để bảo vệ hệ thống của bạn, đầu tiên bạn phải nhận ra bạn cần bảo vệ chúng
khỏi ai và khỏi cái gì. Để có thể phòng thủ đối với các sự tấn công, bạn phải hiểu
các mối đe dọa đến sự bảo mật mạng của bạn. Có bốn mối đe dọa bảo mật:
● Mối đe dọa ở bên trong
● Mối đe dọa ở bên ngoài
● Mối đe dọa không có cấu trúc
10


● Mối đe dọa có cấu trúc
1.1.1 Mối đe dọa ở bên trong
Thuật ngữ “Mối đe dọa ở bên trong” được sử dụng để mô tả một kiểu tấn
công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập
mạng của bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực
được tin cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các
nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Hầu hết các công
ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào
các ACL (Access Control Lists) và quyền truy cập server để quy định cho sự bảo
mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng
không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong thường
được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty.
Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên
trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được
bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn.
Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi
chuyện còn lại thường là rất đơn giản.

Các mạng không dây giới thiệu một lĩnh vực mới về quản trị bảo mật.
Không giống như mạng có dây, các mạng không dây tạo ra một khu vực bao phủ
có thể bị can thiệp và sử dụng bởi bất kì ai có phần mềm đúng và một adapter của
mạng không dây. Không chỉ tất cả các dữ liệu mạng có thể bị xem và ghi lại mà
các sự tấn công vào mạng có thể được thực hiện từ bên trong, nơi mà cơ sở hạ
tầng dễ bị nguy hiểm hơn nhiều. Vì vậy, các phương pháp mã hóa mạnh luôn
được sử dụng trong mạng không dây.
1.1.2 Mối đe dọa ở bên ngoài
Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng
truy cập từ bên ngoài mạng của công ty và bao gồm tất cả những người không có
quyền truy cập vào mạng bên trong. Thông thường, các kẻ tấn công từ bên ngoài
cố gắng từ các server quay số hoặc các kết nối Internet. Mối đe dọa ở bên ngoài
11


là những gì mà các công ty thường phải bỏ nhiều hầu hết thời gian và tiền bạc để
ngăn ngừa.
1.1.3 Mối đe dọa không có cấu trúc
Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống
của một công ty. Các hacker mới vào nghề, thường được gọi là script kiddies, sử
dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn
công DoS (Denial of Server) vào một hệ thống của một công ty. Script kiddies
tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước. Khi script
kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại
lên các công ty không được chuẩn bị. Trong khi đây chỉ là trò chơi đối với các
kiddies, các công ty thường mất hàng triệu đô la cũng như là sự tin tưởng của
cộng đồng. Nếu một web server của một công ty bị tấn công, cộng đồng cho rằng
hacker đã phá vỡ được sự bảo mật của công ty đó, trong khi thật ra các hacker
chỉ tấn công được một chỗ yếu của server. Các server Web, FTP, SMTP và một
vài server khác chứa các dịch vụ có rất nhiều lỗ hổng để có thể bị tấn công, trong

khi các server quan trọng được đặt sau rất nhiều lớp bảo mật. Cộng đồng thường
không hiểu rằng phá vỡ một trang web của một công ty thì dễ hơn rất nhiều so
với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của công ty đó. Cộng đồng phải tin
tưởng rằng một công ty rất giỏi trong việc bảo mật các thông tin riêng tư của nó.
1.1.4 Mối đe dọa có cấu trúc
Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất
phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực
hiện tấn công. Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra
mối đe dọa này.
Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát
triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức. Họ cũng biết được
các biện pháp được sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ
thống IDS và cách chúng phát hiện ra các hành vi xâm nhập. Họ biết các phương
pháp để tránh những cách bảo vệ này.
12


Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện
với sự trợ giúp từ một vài người ở bên trong. Đây gọi là mối đe dọa có cấu trúc ở
bên trong. Cấu trúc hoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như
bên trong.

1.2 Các nguyên tắc bảo vệ hệ thống thông tin
Sau đây là một số nguyên tắc bảo vệ hệ thống thông tin:
 Nguyên tắc cơ bản nhất của chức năng bảo mật là cơ chế quyền hạn tối
thiểu.Về cơ bản, nguyên tắc này là bất kỳ một đối tượng nào (người sử
dụng, người điều hành, chương trình, …) chỉ nên có những quyền hạn
nhất định mà đối tượng đó cần phải có để có thể thực hiện được các
nhiệm vụ của mình và chỉ như vậy thôi. Đây là nguyên tắc quan trọng để
hạn chế sự phơi bày hệ thống cho kẻ khác tấn công và hạn chế sự thiệt

hại khi bị tấn công.
 Thứ hai, cần phải bảo vệ theo chiều sâu. Tư tưởng của chiến lược này là
hệ thống bảo mật gồm nhiều mức, sau mức bảo mật này thì có mức bảo
mật khác, các mức bảo mật hỗ trợ lẫn nhau. Không nên chỉ phụ thuộc
vào một chế độ an toàn dù nó có mạnh đến thế nào đi nữa.


Thứ ba, cần tạo các điểm thắt đối với luồng thông tin. Điểm thắt buộc
những kẻ tấn công vào hệ thống phải thông qua một kênh hẹp mà người
quản trị có thể điều khiển được. Ổ đây, người quản trị có thể cài đặt các
cơ chế giám sát, kiểm tra và điều khiển (cho phép hoặc không cho phép)
các truy cập vào hệ thống. Trong an ninh mạng, IDS nằm giữa hệ thống
bên trong và Internet nhưng trước Firewall như một nút thắt (giả sử chỉ
có một con đường kết nối duy nhất giữa hệ thống bên trong với
Internet). Khi đó, tất cả những kẻ tấn công từ Internet khi đi qua nút thắt
này thì sẽ bị người quản trị theo dõi và phản ứng lại kịp thời. Yếu diểm
của phương pháp này là không thể kiểm soát, ngăn chặn được những
hình thức tấn công đi vòng qua điểm đó.

13


 Thứ tư, để đạt hiệu quả cao, các hệ thống an toàn cần phải đa dạng về
giải pháp và có sự phối hợp chung của tất cả các thành phần bên trong
hệ thống (người sử dụng, phần cứng bảo mật, phần mềm bảo mật và các
cơ chế an toàn, …) để tạo thành hệ bảo mật, giám sát và hỗ trợ lẫn nhau.
Hệ thống phòng thủ gồm nhiều môđun, cung cấp nhiều hình thức phòng
thủ khác nhau. Do đó, môđun này lấp “lỗ hổng” của các môđun khác.
Ngoài Firewall, một mạng LAN hay một mạng cục bộ cần sử dụng các
môđun bảo vệ khác của ứng dụng, hệ điều hành, thiết bị phần cứng, …


1.3 Các biện pháp bảo vệ
Khi mà nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến
bộ về điện tử-viễn thông và công nghệ thông tin không ngừng được phát triển
ứng dụng để năng cao chất lượng về lưu lượng truyền tin thì các quan niệm ý
tưởng và biện pháp bảo vệ thông tin cho hệ thống của bạn cũng ngày càng được
đổi mới để chống lại các nguy cơ đang đe dọa đến sự an toàn của hệ thống thông
tin của bạn. Bảo vệ an toàn thông tin nói chung hay hệ thống thông tin là một chủ
đề rộng, có liên quan dến nhiều lĩnh vực và trong thực tế có rất nhiều phương
pháp được thực hiện để bảo vệ an toàn một hệ thống thông tin. Các biện pháp
bảo vệ an toàn hệ thống thông tin có thể được quy tụ vào ba nhóm sau đây:
● Bảo vệ hệ thống thông tin bằng các biện pháp hành chính
● Bảo vệ hệ thống thông tin bằng các biện pháp phần cứng
● Bảo vệ hệ thống thông tin bằng các biện pháp phần mềm
Ba nhóm biện pháp trên có thể ứng dụng riêng rẽ hoặc phối kết hợp. Một
thực tế mà chúng ta cần nhấn mạnh là: không có gì là an toàn tuyệt đối cả. Một
hệ thống dù có được bảo vệ chắc chắn đến đâu cũng chưa thể đảm bảo là an toàn
tuyệt đối và công việc bảo vệ an toàn thông tin cho hệ thống có thể nói là một
cuộc chạy tiếp sức không ngừng mà không ai dám khẳng định có đích cuối cùng
hay không.

14


2. Kỹ thuật phát hiện xâm nhập trái phép
Nếu hiểu như Firewall là một hệ thống “khóa” chốt chặn ở cửa ngõ mạng,
thì hệ thống IDS có thể được coi như các “cảm ứng giám sát” được đặt khắp nơi
trong mạng để cảnh báo về các cuộc tấn công đã “qua mặt” được Firewall hoặc
xuất phát từ bên trong mạng. Một số IDS có nhiệm vụ phân tích các gói tin mà
Firewall cho phép đi qua, tìm kiếm các dấu hiệu tấn công từ các dấu hiệu đã biết

hoặc thông qua phân tích các sự kiện bất thường, từ đó ngăn chặn các cuộc tấn
công trước khi nó có thể gây ra những hậu quả xấu đối với tổi chức.
Hệ thống IDS hoạt động dựa trên 3 thành phần chính là Cảm ứng (Sensor),
Giao diện (Console) và Bộ phân tích (Engine). Xét về chức năng IDS có thể phân
làm hai loại chính là Network-based IDS (NIDS) và Host-based IDS (HIDS).
NIDS thường đặt ở cửa ngõ mạng để giám sát lưu thông trên một vùng mạng,
còn HIDS thì được đặt trên từng máy trạm để phân tích các hành vi và dữ liệu đi
đến máy trạm đó. Xét về cách thức hoạt động thì hệ thống IDS có thể chia thành
5 giai đoạn chính là: Giám sát, Phân tích, Liên lạc, Cảnh báo và Phản ứng.
Thời gian gần đây sự hoành hành của các loại virus, worm nhằm vào hệ
điều hành rất lớn. Nhiều koại virus, worm dùng phương pháp quét cổng theo địa
chỉ để tìm ra lỗ hổng và sau đó mới lây lan vào. Với những loại tấn công này nếu
hệ thống mạng có cài đặt hệ thống IDS thì khả năng phòng tránh được sẽ rất lớn.

2.1 Thành phần
Một hệ thống IDS bao gồm ba thành phần cơ bản là: Cảm ứng (Sensor),
Giao diện (Console), Bộ xử lý (Engine).
● Cảm ứng (Sensor): Là một bộ phận làm nhiệm vụ phát hiện các sự kiện
có khả năng đe dọa anh ninh của hệ thống mạng, Sensor có chức năng rà
quét nội dung của các gói tin trên mạng, so sánh nội dung với các mẫu
và phát hiện các dấu hiệu tấn công hay còn gọi là các sự kiện.

15


● Giao diện (Console): Là bộ phận làm nhiệm vụ tương tác với người quản
trị, nhận lệnh điều khiển hoạt động bộ Sensor, Engine và đưa ra cảnh
báo tấn công.
● Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện
được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một

hệ thống các luật để đưa ra các cảnh báo trên các sự kiện anh ninh nhận
được cho hệ thống hoặc cho người quản trị.

Hình 1.1: Thành phần của một hệ thống IDS
Như vậy, hệ thống IDS hoạt động theo cơ chế “phát hiện và cảnh báo”.
Các Sensor là bộ phận được bố trí trên hệ thống tại những điểm cần kiểm soát,
Sensor bắt các gói tin trên mạng, phân tích các gói tin để tìm các dấu hiệu tấn
công, nếu gói tin có dấu hiệu tấn công, Sensor lập tức đánh dấu đấy là một sự
kiện và gửi báo cáo kết quả về cho Engine, Engine ghi nhận tất cả các báo cáo
của tất cả các Sensor, lưu các báo cáo vào trong cơ sở dữ liệu của mình và quyết
định đưa ra mức cảnh báo với các sự kiện nhận được. Consle làm nhiệm vụ giám
sát, cảnh báo đồng thời điều khiển hoạt động của các Sensor.

16


Hình 1.2: Hoạt động của IDS
Đối với các hệ thống IDS truyền thống, các Sensor hoạt động theo cơ chế
“so sánh mẫu”, các Sensor bắt các gói tin trên mạng, đọc nội dung các gói tin và
so sánh các xâu trong nội dung tin với hệ thống các mẫu tín hiệu nhận biết các
cuộc tấn công hoặc mã độc gây hại cho hệ thống, nếu nội dung gói tin có một xâu
trùng với mẫu, Sensor đánh dấu đó là một sự kiện hay đã có dấu hiệu tấn công và
sinh ra cảnh báo. Các tín hiệu nhận biết các cuộc tấn công được tổng kết và tập
hợp thành một bộ gọi là mẫu hay signatures. Thông thường các mẫu này được
hình thành dựa trên kinh nghiệm phòng chống các cuộc tấn công, người ta thành
lập các trung tâm nghiên cứu và đưa ra các mẫu này để cung cấp cho hệ thống
IDS trên toàn thế giới.

2.2 Phân loại
Có nhiều cách để phân loại các hệ thống IDS tùy theo các tiêu chí khác

nhau. Xét về kiểu hành động của IDS có thể phân loại làm 2 loại là IDS chủ động
và IDS bị động [15]:
● IDS chủ động (active detection): Phát hiện và có các hành động phản ứng
chống lại các cuộc tấn công nhằm giảm thiểu các nguy hiểm có thể xảy
ra với hệ thống. Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ,

17


ngắt các kết nối, khóa địa chỉ IP tấn công. IDS chủ động còn có tên gọi
là IPS (Intrusion Prevention System).
● IDS bị động (passive detection): Phát hiện nhưng không có các hành
động trực tiếp chống lại các tấn công. Nó có thể ghi lại log của toàn bộ
hệ thống và cảnh báo cho người quản trị hệ thống. Loại IDS này không
cần thiết phải đặt giữa các kênh truyền (inline), do đó không làm gián
đoạn các kết nối.
Nếu xét về đối tượng giám sát thì có hai loại IDS cơ bản là: Host-based IDS
và Network-based IDS. Từng loại có cách tiếp cận khác nhau nhằm theo dõi và
phát hiện xâm nhập, đồng thời cũng có những lợi thế và bất lợi riêng. Nói một
cách ngắn gọn, Host-based IDS giám các dữ liệu trên những máy tính riêng lẻ
trong khi Network-based IDS giám sát lưu thông của một hệ thống mạng.
2.2.1 Host-based IDS
Những hệ thống Host-based là những kiểu IDS được nghiên cứu và triển
khai đầu tiên. Bằng cách cài đặt những phần mềm IDS trên các máy trạm (gọi là
agent), Host-based IDS có thể giám sát toàn bộ hoạt động của hệ thống, các log
file và lưu thông mạng đi tới từng máy trạm.
HIDS kiểm tra lưu thông mạng đang được chuyển đến các máy trạm, bảo vệ
máy trạm thông qua ngăn chặn gói tin nghi ngờ. HIDS có khả năng kiểm tra hoạt
động đăng nhập vào máy trạm, tìm kiếm các hoạt động không bình thường như
dò tìm password, leo thang đặc quyền v.v.. Ngoài ra HIDS còn có thể giám sát

sâu vào bên trong Hệ điều hành của máy trạm để kiểm tra tính toàn vẹn của Nhân
(Kernel) hệ điều hành, file lưu trữ thông tin hệ thống v.v…
Hệ thống IDS có hiệu quả cao khi phát hiện việc người dùng sử dụng sai
các tài nguyên trên mạng. Nếu người dùng cố gắng thực hiện các hành vi không
hợp pháp thì những hệ thống HIDS thông thường phát hiện và tập hợp thông tin
thích hợp nhất và nhanh nhất.

18


Hình 1.3: Mô hình HIDS
Lợi thế của HIDS:
- Có khả năng xác định user liên quan tới một event.
-

HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy,
NIDS không có khả năng này.

- Có thể phân tích các dữ liệu mã hoá.
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host
này.
Hạn chế của HIDS:
- Điểm yếu của HIDS là cồng kềnh. Với vài nghìn máy trạm trên một hệ
thống mạng lớn, việc thu thập và tập hợp các thông tin máy tính đặc biệt
riêng biệt cho mỗi máy riêng lẻ có là không hiệu quả. Ngoài ra, nếu thủ
phạm vô hiệu hóa việc thu thập dữ liệu trên máy tính thì HIDS trên máy
đó sẽ không còn ý nghĩa.

19



- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host
này thành công.
- Khi hệ điều hành bị “hạ” do tấn công, đồng thời HIDS cũng bị “hạ”.
- HIDS phải được thiết lập trên từng host cần giám sát.
-

HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,
Netcat, …).

- HIDS cần tài nguyên trên host để hoạt động.
- HIDS có thể không hiệu quả khi bị DoS.
2.2.2 Network-based IDS
NIDS là một giải pháp xác định các truy cập trái phép bằng cách kiểm tra
các luồng thông tin trên mạng và giám sát nhiều máy trạm, Network Intrusion
Detection Systems truy cập vào luồng thông tin trên mạng bằng cách kết nối vào
các Hub, Switch để bắt các gói tin, phân tích nội dung gói tin và từ đó sinh ra các
cảnh báo.
Trong hệ thống NIDS, các Sensor được đặt ở các điểm cần kiểm tra trong
mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, các Sensor bắt tất
cả các gói tin lưu thông trên mạng và phân tích nội dung bên trong của từng gói
tin để phát hiện các dấu hiệu tấn công trong mạng.

20


Hình 1.4: Mô hình NIDS
Lợi thế của NIDS:
- Quản lý được cả một network segment (gồm nhiều host).
- “Trong suốt” với người sử dụng lẫn kẻ tấn công.

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng.
- Tránh DoS ảnh hưởng tới một Host nào đó.
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
- Độc lập với hệ điều hành.
Hạn chế của NIDS:
- Điểm yếu của NIDS là gây ảnh hưởng đến băng thông mạng do trực tiếp
truy cập vào lưu thông mạng. NIDS nếu không được định lượng đúng về
khả năng xử lý sẽ trở thành một nút cổ chai gây ách tắc trong mạng.
Ngoài ra NIDS còn gặp khó khăn đối với các vấn đề giao thức truyền
như việc Phân tách gói tin (IP fragmentation), hay việc điều chỉnh thông
số TTL trong gói tin v.v…

21


- Có thể xảy ra trường hợp báo động giả (false positive), tức không có
intrusion mà NIDS báo là có intrusion.
- Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec …).
-

NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an
toàn.

-

Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi
báo động được phát ra, hệ thống có thể đã bị tổn hại. Không cho biết
việc tấn công có thành công hay không.

Sau đây là một số so sánh về hai loại IDS trên:

HIDS
Tính quản trị thấp.

NIDS
Quản trị tập trung.

Tính bao quát thấp. Do mỗi máy trạm Tính bao quát cao do có cái nhìn toàn
chỉ nhận traffic của máy đó cho nên diện về traffic mạng.
không thể có cái nhìn tổng hợp về
cuộc tấn công.
Phụ thuộc vào hệ điều hành. Do Không phu thuộc vào hệ điều hành của
HIDS được cài đặt trên máy trạm nên máy trạm.
phụ thuộc vào HĐH trên máy đó.
Không ảnh hưởng đến băng thông NIDS do phân tích trên luồng dữ liệu
mạng.

chính nên có ảnh hưởng đến Băng
thông mạng.

Không gặp vấn đề về giao thức Gặp vấn đề về giao thức truyền: Packet
truyền.

Fragment, TTL
Vấn đề mã hóa: nếu IDS được đặt trong
một kênh mã hóa thì sẽ không phân
tích gói tin.

22



Đồ án này nghiên cứu chủ yếu về NIDS, nên thuật ngữ IDS tạm được hiểu
là Network-based IDS. Các thuật toán mà chúng ta nghiên cứu ở phần sau về
nguyên lý có thể áp dụng được cho HIDS.

2.3 Nguyên lý hoạt động
Nguyên lý hoạt động của hệ thống Phòng chống xâm nhập thường được
chia làm 5 giai đoạn chính: Giám sát mạng, Phân tích lưu thông, Liên lạc giữa
các thành phần, Cảnh báo về hành vi xâm nhập và cuối cùng có thể tiến hành
Phản ứng lại tùy theo chức năng của từng IDS.

Hình 1.5: Nguyên lý hoạt động của một hệ thống IDS
● Giám sát mạng (Monitoring): Giám sát mạng thu thập thông tin về lưu
thông trên mạng. Việc này thông thường được thực hiện bằng các
Sensor. Yêu cầu đòi hỏi đối với giai đoạn Giám sát mạng là có được
thông tin đầy đủ và toàn diện về Tình hình mạng. Đây cũng là một vấn
đề khó khăn, bởi vì nếu theo dõi toàn bộ thông tin thì sẽ tiêu tốn khá
nhiều tài nguyên, đồng thời gây ra nguy cơ tắc nghẽn mạng. Nên cần
thiết phải cân nhắc để không làm ảnh hưởng đến toàn bộ hệ thống. Có
23


thể sử dụng phương án là thu thập liên tục trong khoảng thời gian dài
hoặc thu thập theo từng chu kì. Tuy nhiên khi đó những hành vi bắt
được chỉ là những hành vi trong khoảng thời gian giám sát. Hoặc có thể
theo vết những lưu thông TCP theo gói hoặc theo liên kết. Bằng cách
này sẽ thấy được những dòng dữ liệu vào ra được phép. Nhưng nếu chỉ
theo dõi những liên kết thành công sẽ có thể bỏ qua những thông tin có
giá trị về những liên kết không thành công mà đây lại là những phần cần
quan tâm trong một hệ thống IDS, ví dụ như hành động quét cổng.
● Phân tích lưu thông (Analyzing): Khi đã thu thập được những thông tin

cần thiết từ những điểm trên mạng, IDS tiến hành phân tích những dữ
liệu thu thập được. Mỗi hệ thống cần có một sự phân tích khác nhau vì
không phải môi trường nào cũng giống nhau. Thông thường ở giai đoạn
này, hệ thống IDS sẽ dò tìm trong dòng traffic mạng những dấu hiệu
đáng nghi ngờ dựa trên kỹ thuật đối sánh mẫu hoặc phân tích hành vi bất
thường. Nếu phát hiện dấu hiệu tấn công, các Sensor sẽ gửi cảnh báo về
cho trung tâm tổng hợp.
● Liên lạc: Giai đoạn liên lạc giữ một vai trò quan trọng trong hệ thống
IDS. Việc liên lạc diễn ra khi Sensor phát hiện ra dấu hiệu tấn công hoặc
Bộ xử lý thực hiện thay đổi cấu hình, điều khiển Sensor. Thông thường
các hệ thống IDS sử dụng các bộ giao thức đặc biệt để trao đổi thông tin
giữa các thành phần. Các giao thức này phải đảm bảo tính Tin cậy, Bí
mật và Chịu lỗi tốt, ví dụ SSH, HTTPS, SNMPv3 v.v… Chẳng hạn hệ
thống IDS của hãng Cisco thường sử dụng giao thức PostOffice định
nghĩa một tập các Thông điệp để giao tiếp giữa các thành phần.
● Cảnh báo (Alert): Sau khi đã phân tích xong dữ liệu, hệt hống IDS cần
phải đưa ra được những cảnh báo. Ví dụ như:


Cảnh báo địa chỉ không hợp lệ.

 Cảnh báo khi một máy sử dụng hoặc cố gắng sử dụng những dịch
vụ không hợp lệ.
24


 Cảnh báo khi một máy cố gắng kết nối đến những máy nằm trong
danh sách cần theo dõi ở trong hay ngoài mạng.



v.v…

● Phản ứng (Response): Trong một hệ thống IDS tiên tiến hiện nay, sau
khi các giai đoạn trên phát hiện được dấu hiệu tấn công, hệ thống không
những cảnh báo cho người quản trị mà còn đưa ra các hành vi phòng vệ
ngăn chặn hành vi tấn công đó. Điều này giúp tăng cường khả năng tự
vệ của Mạng, vì nếu chỉ cảnh báo cho người quản trị thì đôi khi cuộc tấn
công sẽ tiếp tục xảy ra gây ra các tác hại xấu. Một hệ thống IDS có thể
phản ứng lại trước tấn công phải được cấu hình để có quyền can thiệp
vào hoạt động của Firewall, Switch và Router. Các hành động mà IDS
có thể đưa ra như sau:
 Ngắt dịch vụ
 Gián đoạn phiên
 Cấm địa chỉ IP tấn công
 Tạo log

Hình 1.6: IDS gửi TCP reset
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×