Tải bản đầy đủ (.pdf) (80 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nghiên cứu ứng dụng mạng nơron trong bài toán phát hiện truy cập trái phé

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.56 MB, 80 trang )

i

MỤC LỤC
LỜI CẢM ƠN ....................................................................................................................... iii
MỞ ĐẦU................................................................................................................................ 2
Tính cấp thiết của đề tài ................................................................................................................ 2
Tổng quan về vấn đề nghiên cứu.................................................................................................... 2
Mục đích nghiên cứu ..................................................................................................................... 3
Đối tượng và phạm vi nghiên cứu .................................................................................................. 4
Phương pháp nghiên cứu ............................................................................................................... 5
Chương 1: Cơ sở lý thuyết ............................................................................................................. 5
Chương 2: Tìm hiểu và nghiên cứu các phương pháp phát hiện tấn công trong hệ thống IDS ....... 5
Chương 3: Phương pháp phát hiện xâm nhập dựa trên mạng Nơ-ron ........................................... 5

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT ......................................................................................... 6
1.1.

Tổng quan về tấn công mạng .............................................................................................. 6

1.1.1.

Khái niệm ............................................................................................................................................. 6

1.1.2.

Các kiểu tấn công mạng ....................................................................................................................... 6

1.2.

Bài toán phát hiện xâm nhập mạng .................................................................................... 7


1.2.1.

Phát hiện xâm nhập mạng .................................................................................................................... 7

1.2.2.

Phân loại phương pháp phát hiện xâm nhập mạng .............................................................................. 8

1.3.

Hệ thống phát hiện xâm nhập IDS .................................................................................... 10

1.3.1 Thành phần của hệ thống IDS ................................................................................................................... 10
1.3.2.

1.4.

Phân loại các hệ thống IDS................................................................................................................ 12

Kết luận chương ............................................................................................................... 16

CHƯƠNG 2: TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN
CÔNG TRONG HỆ THỐNG IDS......................................................................................... 17
2.1.

Thế nào là bất thường trong mạng.................................................................................... 17

2.2.

Các nguồn dữ liệu dùng cho phát hiện bất thường............................................................ 19


2.2.1.

Network Probes .................................................................................................................................. 19

2.2.2.

Lọc gói tin cho việc phân tích luồng .................................................................................................. 19

2.2.3.

Dữ liệu từ các giao thức định tuyến ................................................................................................... 20

2.2.4.

Dữ liệu từ các giao thức quản trị mạng ............................................................................................. 20

2.3.

Các phương pháp phát hiện bất thường ........................................................................... 21

2.3.1.

Phương pháp hệ chuyên gia (rule-based) .......................................................................................... 22

2.3.2.

Phương pháp mạng nơ-ron (Artificial Neural Network) .................................................................... 23

2.3.3.


Phân tích thống kê .............................................................................................................................. 28


ii
2.3.4.

Mạng Bayes (Bayesian network based).............................................................................................. 31

2.3.5.

Máy trạng thái hữu hạn ...................................................................................................................... 32

2.4.

Kết luận chương ............................................................................................................... 33

CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP DỰA TRÊN MẠNG NƠ-RON.... 35
3.1.

Mô hình mạng nơ-ron trong bài toán phát hiện xâm nhập ............................................... 35

3.1.1.

Mạng nhiều lớp truyền thẳng - MLP .................................................................................................. 38

3.1.2.

Thuật toán học theo phương pháp lan truyền ngược sai số trong mạng nơ-ron MLP ....................... 40


3.1.3.

Một số vấn đề cần chú ý khi sử dụng mạng MLP ............................................................................... 43

3.2.

Bộ dữ liệu KDD cup 99 ..................................................................................................... 49

3.3.

Tiền xử lý dữ liệu .............................................................................................................. 52

3.3.1.

Chuyển các giá trị phi số sang số....................................................................................................... 53

3.3.2.

Chuẩn hóa lại các giá trị đầu vào của tập dữ liệu 10% KDD 99 ...................................................... 55

3.3.3.

Loại bỏ các bản ghi trùng lặp trong tập dữ liệu 10% KDD 99 .......................................................... 57

3.3.4.

Loại bỏ các đặc trưng dư thừa trong tập KDD 99 ............................................................................. 58

3.4.


Đánh giá kết quả phát hiện xâm nhập bước đầu với 5 lớp đầu ra ..................................... 60

3.5.

Phương pháp cải tiến chất lượng hệ thống IDS sử dụng mạng nơ-ron .............................. 64

3.6.

Kết quả thực nghiệm sau khi cải tiến ................................................................................ 67

3.7.

Kết luận chương ............................................................................................................... 72

KẾT LUẬN .......................................................................................................................... 73
Kết quả đạt được ......................................................................................................................... 73
Hướng nghiên cứu tương lai ........................................................................................................ 74

DANH MỤC CÁC TÀI LIỆU THAM KHẢO ........................................................................ 75


iii

DANH MỤC ẢNH
Hình 1. 1: Mô hình cảnh báo với NIDS [1] ........................................................................ 12
Hình 1. 2: Hệ thống Host-based Intrusion Detection [1] ................................................... 15
Hình 1. 3: Hệ thống Hybrid Intrusion Detection ................................................................ 16
Hình 2. 1: Mô hình hệ thống phát hiện bất thường dựa trên rule-based [1] ....................... 23
Hình 2. 2: Mô hình mạng nơ-ron trong phát hiện bất thường ............................................ 25
Hình 2. 3: Cấu trúc một hệ thống phát hiện bất thường sử dụng SOM [1] ........................ 27

Hình 2. 4: Thiết kế của mạng SOM [1] .............................................................................. 28
Hình 2. 5: Mô hình FSM cho kết nối TCP [1] ................................................................... 33
Hình 3. 1: Các bước kiểm tra dữ liệu với mô hình mạng nơ-ron đã huấn luyện................ 36
Hình 3. 2: Sơ đồ hoạt động mạng nơ-ron trong quá trình huấn luyện ............................... 37
Hình 3. 3: Phát hiện gói tin bất thường sử dụng mạng nơ-ron ........................................... 38
Hình 3. 4: Mạng MLP tổng quát [3] ................................................................................... 39
Hình 3. 5: Đường nét đứt thể hiện cơ chế lan truyền ngược để điều chỉnh lại trọng số .... 41
Hình 3. 6: Hàm sigmoid g(x) = 1/(1+e-x) [4]..................................................................... 43
Hình 3. 7: Nội suy hàm y = sin(x/3) + v, 0≤ x ≤ 20 sử dụng MLP [12] ............................ 45
Hình 3. 8: Huấn luyện luân phiên trên hai tập mẫu [3] ...................................................... 46
Hình 3. 9: Tỉ lệ phát hiện thành công với hàm trainbfg ..................................................... 62
Hình 3. 10: Tỉ lệ phát hiện thành công với hàm traincgf ................................................... 63
Hình 3. 11: Tỉ lệ phát hiện thành công với hàm traingdm ................................................. 63
Hình 3. 12: Tỉ lệ phát hiện thành công với hàm traingdx................................................... 63
Hình 3. 13: Kết hợp mạng nơ-ron và Snort để cải tiến chất lượng phát hiện xâm nhập .... 66
Hình 3. 14: Giao diện chính chương trình phát hiện xâm nhập sử dụng mạng nơ-ron ...... 68
Hình 3. 15: Thông số các lớp đầu vào và đầu ra của mạng nơ-ron .................................... 68
Hình 3. 16: Quá trình học của mạng nơ-ron ....................................................................... 69
Hình 3. 17: Đồ thị huấn luyện của mạng ............................................................................ 70
Hình 3. 18: Kết quả test trên một dòng dữ liệu (1,0,0 là trạng thái Normal) ..................... 70
Hình 3. 19: Kết quả test trên 22544 dòng dữ liệu độc lập với bộ train .............................. 70
Hình 3. 20: Các luật dùng để phát hiện tấn công U2R và R2L .......................................... 72


iv

DANH MỤC BẢNG
Bảng 3. 1: Mô tả các đặc trưng của bộ dữ liệu KDD cup 99 ............................................. 49
Bảng 3. 2: Đặc điểm cơ bản của các tập con dữ liệu thuộc bộ KDD cup 99 [5]................ 52
Bảng 3. 3: Chuyển các chữ phi số sang chữ số .................................................................. 53

Bảng 3. 4: Nhãn lớp xuất hiện trong "10% KDD 99" dataset ............................................ 54
Bảng 3. 5: Giá trị nhỏ nhất và lớn nhất của các cột trong tập 10% KDD 99 ..................... 56
Bảng 3. 6: Số lượng mẫu dữ liệu của R2L, U2R sau khi đã loại bỏ trùng lặp ................... 64
Bảng 3. 7: Nhãn đầu ra của 3 lớp Normal, DoS, Probe ..................................................... 66
Bảng 3. 8: Kết quả phát hiện xâm nhập với nhiều mô hình mạng nơ-ron khác nhau. ....... 71


1

LỜI CẢM ƠN
Trước tiên tôi xin được gửi lời cảm ơn chân thành tới các thầy cô giáo trong
khoa Công nghệ thông tin, đã truyền đạt cho chúng tôi nguồn kiến thức vô cùng quý
báu, cũng như cách học tập và nghiên cứu khoa học hiệu quả.
Đặc biệt, tôi xin gửi lời cảm ơn chân thành nhất tới TS. Vũ Tất Thắng – viện
công nghệ thông tin – viện Hàn lâm Khoa học và Công nghệ Việt Nam. Thầy đã hướng
dẫn và định hướng giúp tôi hoàn thành tốt luận văn này.
Trong quá trình thực hiện luận văn, tôi đã nhận được sự giúp đỡ của các bạn
trong lớp Khoa học máy tính. Mặc dù rất cố gắng nhưng không thể tránh khỏi những
thiếu sót trong lúc thực hiện, tôi rất mong đón nhận những đóng góp ý kiến từ bạn bè,
thầy cô.
Một lần nữa tôi chân thành cảm ơn!


2

MỞ ĐẦU
Tính cấp thiết của đề tài
Mặc dù ra đời chưa lâu nhưng mạng Internet đã phát triển mạnh mẽ và ngày nay
nó có ảnh hưởng sâu rộng trong hầu hết tất cả các lĩnh vực của đời sống con người.
Bên cạnh những lợi ích to lớn thì nó cũng mang lại nguy cơ bị tấn công không nhỏ cho

các tổ chức và người dùng kết nối vào Internet. Các cuộc tấn công mạng trên toàn thế
giới không ngừng tăng về số lượng cũng như mức độ nguy hiểm của chúng [12].
Những cuộc tấn công mạng có thể gây ra những hậu quả nghiêm trọng về kinh tế, xã
hội thậm chí ảnh hưởng tới an ninh chính trị của một quốc gia. Tại Việt Nam, trong
những năm gần đây chúng ta không ít lần chứng kiến các hệ thống website nổi tiếng bị
tin tặc tấn công như:dantri.com.vn, vietnamnet.vn, vff.org.vn...[12], [13], [14], [15]. Việc
phát hiện và xử lý thủ phạm gây ra các cuộc tấn công là cực kì khó khăn. Giải pháp kỹ
thuật phổ biến cho vấn đề này là tìm cách phát hiện sớm các cuộc tấn công mạng để từ
đó có giải pháp thích hợp xử lý đối phó với chúng.

Tổng quan về vấn đề nghiên cứu
Một số hệ thống phát hiện xâm nhập ra đời (IDS – Intrusion Detection System)
nhằm phát hiện và ngăn chặn sớm các cuộc tấn công mạng. Hai hướng tiếp cận phổ
biến để xây dựng hệ thống IDS là: xây dựng Hệ chuyên gia (rule-based) [1] và hướng
ứng dụng Học máy (SVM, mạng nơ-ron...). Mỗi phương pháp đều mang lại những hiệu
quả nhất định, nhưng bên cạnh đó chúng còn tồn tại những hạn chế riêng:
-

Hệ chuyên gia (rule-based): Phương pháp này sử dụng các luật tấn công đã
biết trước, dựa vào các luật được định nghĩa trong hệ thống mà khi có cuộc
tấn công mới thì hệ thống sẽ so sánh các đặc trưng, dấu hiệu của gói tin với
tập luật đã có. Hệ thống phát hiện dựa trên hệ chuyên gia có thể kể đến như
Snort. Ưu điểm là khi đã được định nghĩa luật cho cuộc tấn công thì khả
năng phát hiện nhầm rất thấp, hệ thống này có thể thêm các luật mới rất linh
động, cơ chế hoạt động không quá phức tạp. Nhược điểm là khi không có


3

luật cho kiểu tấn công mới thì hệ thống không phát hiện được. Số lượng luật

nhiều hệ thống sẽ hoạt động chậm hơn. IDS dạng này phụ thuộc rất nhiều
vào khả năng cập nhật luật mới cũng như trình độ am hiểu về bảo mật của
người quản trị.
-

Ứng dụng học máy: Phương pháp này ra đời với mục đích khắc phục việc
phải cập nhật các luật mới có thể tạo ra xung đột trong tập luật đã có, vốn chỉ
phù hợp với các mô hình qui mô vừa và nhỏ. Thay vào đó hệ thống IDS sẽ
được học mô hình phát hiện bất thường dựa trên một số lượng nhất định các
mẫu dữ liệu được thu thập. Hiệu quả của phương pháp này thường cho ra hệ
thống có khả năng tốt hơn đồng thời lại linh động trong thay đổi huấn luyện.
Với cách tiếp cận này, người ta có thể dễ dàng hơn trong việc xây dựng các
hệ thống IDS phức tạp, việc phát hiện xâm nhập không đơn thuần chỉ là phát
hiện nhằm cảnh báo có tấn công hay không tấn công mà còn có thể đưa ra
loại hình, tính năng chi tiết của cuộc tấn công tương ứng. Mạng nơ-ron là
một phương pháp học máy được chọn trong luận văn để ứng dụng cho bài
toán phát hiện xâm nhập theo phương pháp học máy.

Trên thực tế, hướng tiếp cận ứng dụng học máy cũng không đảm bảo cho kết
quả tốt trong mọi tình huống. Ví dụ, các hình thức tấn công như DoS,DDoS, Probe
(thăm dò), U2R (leo thang đặc quyền)... thường có tần suất chênh lệch nhau rất nhiều.
Các cuộc tấn công DoS là rất phổ biến nhưng các cuộc tấn công leo thang đặc quyền
lại rất ít để lấy mẫu cho huấn luyện. Điều này dẫn đến tình trạng dữ liệu thu thập được
khi áp dụng cho học máy cũng có tỉ lệ chênh lệch rất lớn giữa các kiểu tấn công, dẫn
đến việc dự báo bị thiên vị cho các trường hợp dữ liệu nhiều và ít hiệu quả với các
trường hợp dữ liệu ít, đôi khi làm giảm cả chất lượng dự báo chung của cả hệ thống.

Mục đích nghiên cứu
Mục đích của đề tài là tìm hiểu mạng nơ-ron để áp dụng cho bài toán phát hiện
xâm nhập. Bên cạnh đó đề tài còn quan tâm đến việc cải tiến chất lượng hệ thống IDS,



4

nhằm mục đích phát hiện chính xác hơn và không thiên vị giữa các kiểu cảnh báo tấn
công trong điều kiện dữ liệu huấn luyện chênh lệch nhau. Trong quá trình thực hiện
luận văn có thể thực hiện một số giải pháp cải tiến sau:
-

Cải tiến bộ dữ liệu huấn luyện bằng cách loại bỏ các bản ghi trùng lặp, việc
loại bỏ này cũng giúp phần giảm bớt sự thiên vị trong cảnh báo. Luận văn
cũng muốn giảm bớt một số thuộc tính dư thừa trong mỗi bản ghi bằng cách
kế thừa một nghiên cứu của Mukkamala và Sung [10], việc loại bỏ thuộc tính
dư thừa giúp quá trình huấn luyện trở nên nhanh hơn, chính xác hơn.

-

Kết hợp hệ thống chuyên gia (rule-based) cùng với mạng nơ-ron. Hệ thống
rule-based sẽ được dùng để phát hiện các kiểu tấn công ít phổ biến, như thế
các luật thêm vào hệ thống cũng không nhiều, độ chính xác và thời gian phát
hiện nhanh. Hệ thống IDS sử dụng mạng nơ-ron sẽ dùng để phát hiện các
kiểu tấn công có tần suất lớn, nhằm hạn chế việc phải thêm quá nhiều luật
bằng tay.

Đối tượng và phạm vi nghiên cứu
Nghiên cứu kỹ thuật học máy mạng nơ-ron, sau đó ứng dụng để làm công cụ
phân loại các kết nối mạng trên bộ dữ liệu KDD cup 99.
Trong chương trình đánh giá phát hiện tấn công mạng của Cơ quan Quản lý
Nghiên cứu Dự Án Bộ quốc phòng Mỹ (DARPA), một môi trường đã được thiết lập để
thu được các dữ liệu thô về TCP/IP dump cho một mạng được mô phỏng giống như

mạng LAN của Không lực Hoa Kỳ. Với mỗi kết nối TCP/IP, 41 đặc trưng số và phi số
được trích xuất. Dữ liệu được sử dụng trong cuộc thi KDD cup 1999 là một phiên bản
của bộ dữ liệu này. Các cuộc tấn công thuộc về bốn loại chính: DoS, R2L, U2R,
Probing. Dữ liệu KDD cup 1999 có thể tải từ trang web của đại học California (UCI)
[5] />
Nghiên cứu các hệ thống IDS sử dụng mô hình hệ chuyên gia (rule-based) như
Snort để nắm được ưu nhược điểm để cái tiến hệ thống IDS sử dụng học máy.


5

Phương pháp nghiên cứu
Nghiên cứu và cài đặt kỹ thuật học máy mạng nơ-ron. Thu thập và tiền xử lý bộ
dữ liệu mẫu hiện có về tấn công mạng. Áp dụng giải pháp cải tiến trên dữ liệu đã xử lý,
đánh giá kết quả sau khi thực hiện với các kết quả nghiên cứu đã công bố trước đó.
Đó là lý do tôi chọn đề tài “Nghiên cứu ứng dụng mạng nơron trong bài toán
phát hiện truy cập trái phép”.

Nội dung luận văn gồm 3 chương:
Chương 1: Cơ sở lý thuyết
Chương này đưa ra các khái niệm về tấn công mạng và bài toán phát hiện xâm
nhập. Chương 1 cũng giới thiệu về hệ thống phát hiện xâm nhập (IDS), thành phần của
hệ thống IDS và phân loại các hệ thống IDS hiện nay.
Chương 2: Tìm hiểu và nghiên cứu các phương pháp phát hiện tấn công
trong hệ thống IDS
Để có thể nghiên cứu và phát triển được một hệ thống IDS chúng ta cần nắm
được các khái niệm liên quan như: dấu hiệu bất thường, các nguồn dữ liệu dùng cho
phát hiện bất thường, các phương pháp phát hiện bất thường...Từ đó chọn lọc các
phương pháp phù hợp cho xây dựng mô hình IDS.
Chương 3: Phương pháp phát hiện xâm nhập dựa trên mạng Nơ-ron

Có nhiều phương pháp học máy đã được sử dụng cũng như cần cải tiến cho bài
toán phát hiện xâm nhập. Hiệu quả của mỗi phương pháp thường được đánh giá qua độ
chính xác cảnh báo xâm nhập. Chương này sẽ tập trung trình bày phương pháp học
máy mạng nơ-ron cũng như đề xuất phương pháp cải tiến kết quả phát hiện xâm nhập.
Phần cuối chương sẽ demo thực nghiệm và phân tích.


6

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
1.1.

Tổng quan về tấn công mạng

1.1.1. Khái niệm
Trong thực tế có rất nhiều cách diễn giải khác nhau về tấn công mạng, theo
Sandeep Gutta thì tấn công mạng (cyber attack hay intrusion) có thể được hiểu là một
loạt các hoạt động máy tính nguy hiểm đe dọa và làm tổn hại tới sự bảo mật và tính
toàn vẹn của một máy tính hay hệ thống mạng. Tấn công mạng phá vỡ hoạt động bình
thường của hệ thống máy tính và có thể truy nhập trái phép hoặc phá hủy thông tin
trong các hệ thống máy tính [1].
Theo một cách định nghĩa khác tấn công mạng có thể được hiểu là bất kì hành
động nào cố gắng làm tổn hại sự toàn vẹn, bí mật, tính sẵn sàng của một tài nguyên
hoặc đi ngược lại mục tiêu bảo mật của một tài nguyên nào đó.

1.1.2. Các kiểu tấn công mạng
Trong lịch sử tồn tại của mạng máy tính đã từng xảy ra rất nhiều các cuộc tấn
công mạng với qui mô lớn, nhỏ khác nhau và cũng để lại nhiều thiệt hại nghiêm trọng.
Có nhiều cách thức tấn công nhưng chúng ta có thể phân thành bốn loại hình tấn công
mạng chính như sau:

DoS- Denial of Service attack : Là những tấn công làm cho tài nguyên máy tính
(ví dụ Web server) không phục vụ được theo yêu cầu của người dùng thực sự [2]. Dạng
phổ biến nhất của tấn DoS là làm cho tài nguyên máy tính quá bận vì bị sử dụng toàn
bộ với rất nhiều yêu cầu vô ích đến mức người dùng thực sự không thể sử dụng nó. Có
rất nhiều biến thể của tấn công DoS bao gồm TCP-SYN Flood, ICMP/UDP Flood,
Smurf, Ping of Death, Teardrop, Mailbomb, Apache2...
R2L - Remote to Local attack : Trong loại tấn công này, tin tặc cố gắng đạt
được quyền truy cập vào khu vực hệ thống máy tính bằng việc gửi các gói tin tới hệ
thống thông qua mạng. Một vài cách phổ biến mà loại này thực hiện là đoán mật khẩu


7

thông qua phương pháp từ điển brute-force, FTP Write,...
U2R - User to Root attack : Trong kiểu tấn công này, tin tặc với quyền của một
người dùng bình thường cố gắng để đạt được quyền truy nhập cao nhất (đặc quyền của
người quản trị) vào hệ thống một cách bất hợp pháp. Cách thức phổ biến của kiểu tấn
công này là gây tràn bộ đệm.
Probe - Surveillance : Trong loại tấn công này, tin tặc quét mạng hoặc máy tính
để tìm ra điểm yếu dễ tấn công mà thông qua đó tin tặc có thể khai thác hệ thống. Điều
này có phần giống như theo dõi, giám sát hệ thống. Một cách phổ biến của loại tấn
công này là thực hiện thông qua việc quét các cổng của hệ thống máy tính. Bằng việc
này, tin tặc có thể lấy được thông tin về cổng đang mở, dịch vụ đang chạy, và rất nhiều
thông tin chi tiết nhạy cảm khác như địa chỉ IP, địa chỉ MAC, các luật tường lửa đang
sử dụng,...[2]

1.2.

Bài toán phát hiện xâm nhập mạng


Khi một máy tính hay một hệ thống máy tính hoạt động trên môi trường mạng,
sẽ có rất nhiều kết nối giữa nó và các máy tính, các thiết bị khác. Có thể trong những
kết nối đó có những kết nối đang tìm cách tấn công hệ thống để đạt được mục đích nào
đó. Bản thân mỗi máy tính đều có những biện pháp để tự bảo vệ nhưng nó có những
điểm yếu và thực sự không đủ sức chống lại các cuộc tấn công mới với mức độ ngày
càng tinh vi hơn. Bên cạnh đó các máy tính hay hệ thống cũng phải chịu các nguy cơ
đến từ việc vi phạm chính sách an toàn thông tin một cách vô tình hay cố ý. Bài toán
được đặt ra là cần có cơ chếphát hiện sớm các cuộc tấn công để từ đó có những biện
pháp ngăn chặn hoặc giảm thiểu tối đa những thiệt hại, tác động do các cuộc tấn công
gây ra.

1.2.1. Phát hiện xâm nhập mạng
Phát hiện xâm nhập mạng là quá trình theo dõi các sự kiện xảy ra trong một hệ
thống máy tính hoặc mạng máy tính và phân tích chúng để tìm ra các dấu hiệu sự cố có
thể xảy ra, đó là các hành vi hoặc các mối đe dọa sắp xảy ra vi phạm các chính sách


8

bảo mật máy tính, các chính sách sử dụng được chấp nhận hoặc dựa trên bảo mật tiêu
chuẩn.

1.2.2. Phân loại phương pháp phát hiện xâm nhập mạng
Các IDS có thể giám sát các sự kiện ở 3 cấp độ khác nhau: mạng (network),
máy trạm (host), ứng dụng (application). Chúng có thể phân tích các sựkiện bằng
việcsửdụng một trong các phương pháp: dựa trên dấu hiệu(signature-based), dựa trên
dị thường (anomaly-based) và phân tích trạng thái giao thức (statefull protocol
analysic)[2]. Bên cạnh việc theo dõi và phân tích các sự kiện để nhận dạng các hoạt
động không mong muốn, các loại công nghệ IDS thường thực hiện các chức năng sau :
-


Ghi lại thông tin liên quan tới các sự kiện được quan sát.

-

Thông báo cho quản trị hệ thống về các sự kiện quan trọng quan sátđược.

-

Đưa ra các báo cáo về các sự kiện đã quan sát hoặc cung cấp chi tiết về các sự
kiện đặc biệt cần được quan tâm.
Có hai cách để phân loại IDS đó là dựa trên phương pháp giám sát và dựa trên
phương pháp phân tích của IDS.
Dựa trên phương pháp giám sát
Hệ thống phát hiện xâm nhập dựa trên mạng (Network-based Intrusion

Detection System - NIDS) : Đây là loại phổ biến nhất của sản phẩm thương mại. Cơ
chế phát hiện tấn công của nó là giám sát và theo dõi các gói tin mạng.
Điểm mạnh của IDS kiểu này là chỉ với một số ít các IDS được đặt ở vị trí tốt có
thể giám sát được một mạng lớn. Việc triển khai IDS dựa trên mạng ít tác động tới hiệu
suất của mạng hiện có. Chúng có thể tạo ra tính an toàn cao chống lại các cuộc tấn
công.
Điểm yếu của IDS dựa trên mạng là nó khó xử lý toàn bộ các gói tin trong một
mạng lớn hoặc bận.
Hệ thống phát hiện xâm nhập dựa trên máy trạm (Host-based IntrutionDetection
System - HIDS) phân tích hoạt động trên một máy tính riêng biệt. Vì vậy chúng phải


9


thu thập thông tin từ máy trạm mà chúng đang giám sát. Điều này cho phép một IDS
phân tích các hoạt động trên trạm rất tốt và quyết định chính xác tiến trình và user nào
đang thực hiện các hoạt động nguy hại trên hệ điều hành.
Trong các tổ chức đã triển khai NIDS thì việc triển khai HIDS có thể là một đề
xuất để tăng thêm mức bảo vệ...[2]
Dựa trên phương pháp phân tích
Hệ thống phát hiện xâm nhập dựa trên dấu hiệu (Signature-based IDS). Dấu hiệu
(signature) có thể là các thông tin về các kết nối nguy hiểm đã biết trước. Phát hiện dựa
trên dấu hiệu (signature-based detection) là quá trình so sánh signature với sự kiện
quan sát được để nhận dạng sự cố có thể xảy ra.
Phát hiện dựa trên dấu hiệu là phương pháp phát hiện đơn giản nhất bởi vì nó
chỉ so sánh hoạt động hiện thời, với danh sách các dấu hiệu bằng hoạt động so sánh
chuỗi. Ưu thế của phương pháp này là rất hiệu quả trong việc phát hiện sự tấn công mà
không tạo ra số lượng lớn các cảnh báo sai. Nhược điểm của nó là chỉ phát hiện được
các cuộc tấn công mà nó đã biết trong quá khứ hay nói khác đi là đã có trong cơ sở dữ
liệu signature, do vậy hệ thống phải liên tục cập nhật các dấu hiệu của các cuộc tấn
công mới.
Hệ thống phát hiện xâm nhập dựa trên dị thường (Anomaly-based IDS) : Phát
hiện dựa trên dấu hiệu dị thường là quá trình so sánh các định nghĩa của những gì được
coi hoạt động bình thường so với các sự kiện quan sát để xác định độ lệch đáng kể
(significal deviation). IDS sử dụng phát hiện dựa trên dị thường có những cấu hình
(profile) đại diện cho hành vi bình thường của người sử dụng, máy chủ, kết nối mạng
hay các ứng dụng... Các cấu hình được phát triển bằng việc quan sát các đặc trưng của
các hoạt động thông thường trong một khoảng thời gian[2].
Lợi ích chủ yếu của phương thức phát hiện dựa trên dị thường là nó rất hiệu quả
trong việc phát hiện các mối nguy hiểm không được biết trước đó.


10


1.3.

Hệ thống phát hiện xâm nhập IDS

Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần
cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tựđộng theo dõi các sự
kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến
an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị.
IDS cũng có thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ
những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện
dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm
diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh
lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra
các dấu hiệu khác thường.
Các thiết bị bảo mật dưới đây không phải là IDS:
-

Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn
công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra
lưu lượng mạng.

-

Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch
vụ mạng (các bộ quét bảo mật).

-

Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm
như virus, Trojan horse, worm… Mặc dù những tính năng mặc định có thể rất

giống hệ thống phát hiện xâm nhập và thường cung cấp một công cụ phát hiện
lỗ hổng bảo mật hiệu quả.

-

Tường lửa (firewall).

-

Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos,
Radius…

1.3.1 Thành phần của hệ thống IDS
Trung tâm điều khiển (The Command Console)


11

Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí. Nó duy trì kiểm
soát thông qua các thành phần của IDS, và Trung tâm điều khiển có thể được truy cập
từ bất cứ nơi nào. Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữa Bộ cảm
biến (Network Sensor) qua một đường mã hóa, và nó là một máy hoặc phần mềm
chuyên dụng.
Bộ cảm biến (Network Sensor)
Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy chuyên dụng
trên các đường mạng thiết yếu. Bộ cảm biến có một vai trò quan trọng vì có hàng nghìn
mục tiêu cần được giám sát trên mạng.
Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến trên bất kì port
nào của hub vì mọi luồng traffic được gửi ra tất cả các port trên hub, và có thể phát
hiện ra các luồng traffic bất thường. Nhưng khi hệ thống cần sử dụng các switch, các

switch chỉ gửi gói tin đến chính xác địa chỉ cần gửi trên từng port. Để giải quyết vấn đề
này, một kỹ thuật thông dụng là sử dụng những con switch có port mở rộng (expansion
port) – khá nhiều thiết bị mạng ngày nay có cái này, và ta kết nối IDS vào port này.
Port này được gọi là Switched Port Analyzer (SPAN) port. SPAN port cần được cấu
hình bởi các chuyên gia bảo mật để nhân bản mọi luồng dữ liệu của switch.
Bộ phân tích gói tin(Network Trap)
Bộ phân tích gói tin là một thiết bị phần cứng hoặc phần mềm được kết nối trên
mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi cảnh báo khi
phát hiện ra hành động xâm nhập.
Thành phần cảnh báo (Alert Notification)
Thành phần cảnh báo có chức năng gửi những cảnh báo tới người quản trị.
Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới nhiều dạng như: cửa sổ
pop-up, tiếng chuông, email, SNMP.


12

1.3.2. Phân loại các hệ thống IDS
Hệ thống phát hiện xâm nhập được chia làm nhiều loại khác nhau, chúng tacó
thể dựa theo loại và vị trí đặt của các Sensorhoặc phương pháp sử dụng choEngine để
sinh ra các cảnh báo. Hầu hết các IDS đơn giản đều kết hợp ba thành phần Sensor,
Console, Engine vào trong một thiết bị phần cứng hoặc một ứng dụng.
1.2.1.1.

Network-based Intrusion Detection System (NIDS)

Network-based InstrusionDetection System (hệ thống phát hiện xâm nhập cho
mạng) là một giải pháp độc lập để cảnh báo các xâm nhập trái phép thông qua việcphân
tích các gói tin trên mạng và giám sát hoạt động của nhiều máy trạm nội bộ, NIDSkiểm
soát các luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switchđược cấu

hình Port mirroringhoặc Network tapđể có thể bắt các gói tin, phân tích nội dung nhận
được và từ đó sinh ra các cảnh báo.

Hình 1. 1: Mô hình cảnh báo với NIDS [1]


13

Port mirroring là cơ chế của Switchmạng để gửi một bản sao của tất cả các gói
tin trên mạng khi nó đi qua cổng của Switchtới một thiết bị giám sát mạng trên cổng
khác của Switchđó. Nó thường được sử dụng để các thiết bị mạng có thể giám sát
luồng tin trên mạng, ví dụ hệ thống EDS, Port mirroring trên Switchcủa Cisco System
thường được gọi là Switched Port Analyzer (SPAN) hoặc của 3Com là Roving
Analysis Port (RAP).
Network tap là một thiết bị phần cứng cung cấp phương tiện để truy nhập vào
luồng dữ liệu đi ngang qua một máy tính trong mạng. Các máy tính mạng bao gồm cả
Internet là một tập hợp các thiết bị như máy tính, Router, Switchvà nối với các hệ thống
khác. Các kết nối có thể được tạo ra bằng nhiều công nghệ khác nhau như là Etherenet,
802.11, FDDI và ATM. Trong nhiều trường hợp nó được xem như là một thành phần
thứ 3 để giám sát luồng dữ liệu trao đổi giữa hai điểm trên mạng, điểm A và điểm B.
Nếu mạng giữa điểm A và điểm B chứa một kết nối vật lý, một network tap là giải
pháp tốt cho việc giám sát. Network tap có ít nhất là 3 cổng kết nối, một cổng A, một
cổng B, và một cổng giám sát. Để đặt Network tap giữa điểm A và điểm B, cáp mạng
giữa hai điểm A, B được thay thế bằng một cặp dây, một dây đấu vào cổng A và dây
kia đấu vào cổng B. Network tap cho qua tất cả các dữ liệu giữa A và B vì thế giao tiếp
giữa hai điểm A và B vẫn diễn ra bình thường, tuy nhiên dữ liệu trao đổi đã bị Network
tap sao chép và đưa vào thiết bị giám sát thông qua cổng giám sát[1].
Trong hệ thống Network-based Intrusion Detection System (NIDS), các
Sensorđược đặt ở các điểm cần kiểm tra trong mạng, thường là trước miền DMZ hoặc
ở vùng biên của mạng, các Sensorbắt tất cả các gói tin lưu thông trên mạng và phân

tích nội dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công trong mạng.
Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ thống nhỏ
đó là Protocol-based Intrusion Detection System (PIDS - Hệ thống phát hiện truy cập
dựa trên giao thức) và Application Protocol-based Intrusion Detection System (APEDS
- hệ thống phát hiện truy nhập dựa trên ứng dụng). PEDS và APIDS được sử dụng để


14

giám sát các giao vận và giao thức không hợp lệ hoặc không mong muốn trên luồng dữ
liệu hoặc hạn chế các ngôn ngữ giao tiếp. Hệ thống Protocol-based Intrusion Detection
System (PIDS) chứa một hệ thống (System) hoặc một thành phần (Agent) thường được
đặt ngay trước một máy chủ, giám sát và phân tích các giao thức trao đổi giữa các thiết
bị được nối mạng (một máy trạm hoặc một hệ thống)[1].
Một hệ thống Application Protocol-based Intrusion Detection System (APIDS)
bao gồm một hệ thống (system) hoặc một thành phần (Agent) thường nằm giữa một
nhóm các máy chủ, giám sát và phân tích các trao đổi ở lớp ứng dụng của một giao
thức định sẵn. Ví dụ: trên một máy chủ web với một cơ sở dữ liệu quan trọng thì IDS
giám sát cáctruy nhập bất thường để đưa ra cảnh báo kịp thời nhằm ngăn chặn kẻ xấu
đánh cắp hoặc làm tổn hại dữ liệu.
1.2.1.2.

Hệ thống phát hiện xâm nhập dựa trên mấy trạm (HIDS)

Trong hệ thống HIDS (hệ thống phát hiện truy nhập dựa trên máy trạm), các
Sensorthông thường là một phần mềm trên máy trạm (software agent), nó giám sát tất
cả các hoạt động của máy trạm mà nó nằm trên đó.
Hệ thống Host-based Intrusion Detection System bao gồm thành phần (Agent)
cài đặt trên các máy trạm, nó xác định các truy nhập trái phép vào hệ thống bằng cách
phân tích các trao đổi của hệ thống, các bản ghi của các ứng dụng, sự sửa đổi các tệp

tin trên hệ thống (các file dạng binary, mật khẩu của file, dung lượng và các acl của các
cơ sở dữ liệu) các hoạt động và trạng thái khác của hệ thống để từ đó phát hiện ra các
dấu hiệu truy nhập trái phép vào hệ thống. Khi phát hiện ra các truy nhập trái phép,
Agent lập tức sinh ra một sự kiện và gửi báo cáo về Engine, Engine lưu các báo cáocủa
Agent vào cơ sở dữ liệu và tiến hành phân tích thông tin để đưa ra các cảnh báo cho
người quản trị hoặc hệ thống[1].


15

Hình 1. 2: Hệ thống Host-based Intrusion Detection[1]

1.2.1.3.

Hệ thống
ng lai phát hiện
hi xâm nhập

Hybrid Intrusion Detection System là một hệ thống lai giữaa hhệ thống NetworkbasedIDSvà hệ thống Host-based
Host
IDS. Nó kết hợp một hoặc nhiềuu các thành ph
phần thích
hợp của hai hệ thống lạii với
v nhau. Các thông tin thu thập đượcc trên máy tr
trạm (host
agent data) kết hợp vớii thông tin thu thập
th được ở trên mạng để có sự phân tích một
cách chi tiết về hiện trạng
ng hệ
h thống mạng.



16

Hình 1. 3: Hệ thống Hybrid Intrusion Detection

1.4.

Kết luận chương
Chương này trình bày các khái niệm, kiến thức cơ bản nhất liên quan đến bảo mật

và hệ thống phát hiện xâm nhập. Đây là những kiến thức cơ bản nhưng rất cần thiết để
có thể đi vào tìm hiểu sâu hơncác công việc phát triển hệ thống IDS. Các kiến thức đã
trình bày như: các kiểu tấn công mạng, các phương pháp phát hiện xâm nhập mạng,
phân loại các hệ thống xâm nhập mạng. Tiếp theo đó trong chương 1 cũng giới thiệu
các thành phần của hệ thống IDS, phân loại các hệ thống IDS đã được phát triển và sử
dụng hiện nay. Trong chương tiếp theo tác giả đi trình bày nội dung liên quan đến
nguồn dữ liệu dành cho phát hiện xâm nhập cũng như phân tích ưu, nhược điểm của
các phương pháp xây dựng hệ thống IDS.


17

CHƯƠNG 2: TÌM HIỂUVÀ NGHIÊN CỨU CÁC PHƯƠNG
PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IDS
2.1.

Thế nào là bất thường trong mạng

Sự bất thường trong mạng thường dùng để chỉ những tình huống khi hoạt động

của mạng đi chệch so với các trạng thái được quy định là bình thường. Bất thường
trong mạng có thể phát sinh từ nhiều nguyên nhân như các thiết bị mạng bị hỏng hóc,
hệ thống mạng quá tải, hệ thống gặp phải các cuộc tấn công từ chối dịch vụ, hoặc các
cuộc xâm nhập phá vỡ khả năng vận chuyển của các dịch vụ mạng .... Những sự kiện
bất thường sẽ phá vỡ trạng thái bình thường của một vài dữ liệu mạng mà chúng ta có
thể đo được. Người ta sẽ dựa vào trạng thái của các dữ liệu này để xác định trạng thái
của mạng là bình thường hay không bình thường. Các dữ liệu dùng để xác định trạng
thái của mạng phụ thuộc vào một vài nhân tố đặc biệt như khả năng hoạt động của một
hệ thống dựa trên dung lượng lưu thông, loại dữ liệu hệ thống sẵn có, những ứng dụng
đang chạy trên hệ thống, các gói tin gửi đến với những yêu cầu hệ thống thực hiện
những câu lệnh nhạy cảm...
Như vậy những bất thường của hệ thống được xác định thông qua những thay
đổi nhanh liên tục trong dữ liệu hệ thống trước hoặc trong khi một sự kiện bất thường
đang xảy ra. Những thay đổi nhanh dùng để diễn tả sự thay đổi đột ngột trong dữ liệu
xảy ra theo một trật tự thời gian (tần suất). Khoảng thời gian diễn ra các thay đổi đột
ngột này biến thiên theo bản chất của sự kiện bất thường đó.
Bất thường trong mạng có thể được chia làm hai lớp chính:
-

Lớp bất thường thứ nhất: liên quan đến những sự cố và những lỗi về hiệu
năng của mạng như sự cố liên quan đến File Server, sự cố phân trang bộ nhớ
qua mạng (paging across the network), broadcast storms, babbling node, hay
tắc nghẽn đường truyền (transient congestion)[1]. Ví dụ cho sự cố File Serverđó
là sự cố của một Web Server, xảy ra khi có một số lượng lớn yêu cầu tới máy


18

chủvượt quá khả năng đáp ứng. Sự cố phân trang qua mạng (paging network)
xảy ra khi một chương trình ứng dụng phình to hơn dung lượng bộ nhớ giới hạn

của máy trạm làm việc và bắt đầu phân trang bộ nhớ tới một File Server, việc
này không ảnh hưởng đến cá nhân người dùng nhưng nó ảnh hưởng đến những
người dùng khác do sẽ gây ra sự thiếu hụt băng thông mạng. Vấn đề babbling
node là tình huống khi một nốt mạng gửi ra ngoài những gói tin nhỏ trong một
vòng lặp vô hạn để kiểm tra một vài thông tin như các báo cáo về trạng thái...
Trong một vài trường hợp những lỗi phần mềm cũng có thể gây ra các bất
thường trong mạng như những lỗi khi xây dựng giao thức mạng khiến cho một
máy liên tục gửi các gói tin gây tắc nghẽn mạng...

- Lớp bất thường thứ 2: là những vấn đề liên quan đến an ninh mạng[1]. Ví dụ
về những bất thường dạng này là tấn công từ chối dịch vụ (DoS).Tấn công từ
chối dịch vụlà một trong những thủ đoạn nhằm ngăn cản những người dùng hợp
pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. DoS có thể làm
ngưng hoạt động của một máy tính, một mạng nội bộ thậm chí cả một hệ thống
mạng rất lớn. Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một
lượng lớn tài nguyên mạng như băng thông, bộ nhớ... và làm mất khả năng xử
lý các yêu cầu dịch vụ từ các khách hàng khác. Tấn công DoS nói chung không
nguy hiểm như các kiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập
hay chiếm được thông tin dữ liệu của hệ thống. Tuy nhiên, nếu máy chủ tồn tại
mà không thể cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại này
là không có ý nghĩa, đặc biệt là các hệ thống phục vụ các giao dịch điện tử thì
thiệt hại là vô cùng lớn. Đối với hệ thống máy chủ được bảo mật tốt, khó thâm
nhập, việc tấn công từ chối dịch vụ DoS được các hacker sử dụng như là “quân
cờ cuối” để triệt hạ hệ thống đó.


19

2.2.


Các nguồn dữ liệu dùng cho phát hiện bất thường

Thu thập các loại dữ liệu liên quan đến hiệu năng của mạng là công việc cơ bản
cho việc phát hiện bất thuờng. Các loại bất thường có thể phát hiện được phụ thuộc vào
bản chất của dữ liệu mạng. Trong mục này chúng ta sẽ xem xét một số nguồn có thể
thu thập dữ liệu và phân tích sự phù hợp của chúng trong việc phát hiện bất thường.
Bản chất của phương pháp phát hiện bất thường là xây dựng tập các hồ sơ trạng thái
bình thường của mạng để so sánh do đó dữ liệu thu thập càng chính xác khả năng phát
hiện càng cao, thuật toán càng hiệu quả.

2.2.1. Network Probes
Network Probes là các công cụ đặc biệt như lệnh ping, traceroute...được sử dụng
để thu thập các thông số mạng cần thiết như thời gian trễ và tỉ lệ mất gói tin[9]. Các
công cụ Probing cung cấp các số liệu mạng một cách tức thời. Nhưng phương thức này
không yêu cầu sự phối hợp của các nhà cung cấp dịch vụ mạng. Tuy vậy, các nhà cung
cấp dịch vụ có thể chọn không cho phép các công cụ này hoạt động thông qua Firewall
của họ. Hơn nữa các gói tin IP được sử dụng bởi các công cụ này không nhất thiết phải
đi theo các con đường cố định hoặc được các thiết bị mạng xử lý giống như các gói tin
IP thông thường. Phương thức này cũng giả thiết tồn tại một con đường đối xứng giữa
nguồn và đích đến. Trên mạng Internet, giả thiết này là không được đảm bảo. Do đó
các thông số thu thập được từ các công cụ này có thể chỉ cho chúng ta cái nhìn ở mức
thô về hệ thống mạng. Vì thế dữ liệu lấy được từ các probing chưa đủ cho mục đích
phát hiện bất thường, cần kết hợp với loại dữ liệu khác để kết quả chính xác hơn.

2.2.2. Lọc gói tin cho việc phân tích luồng
Trong phương thức lọc gói tin, các luồng gói tin sẽ được thống kê, lấy mẫu bằng
cách ghi lại các thông tin IP header của các gói tin ở các thời điểm khác nhau và ở các
vị trí khác nhau. Các thông tin thu được từ IP header có thể cung cấp chi tiết về hoạt
động của mạng, chúng có thể được sử dụng trong việc phát hiện các bất thường về
luồng. Một luồng thông tin được xác định bởi địa chỉ nguồn, địa chỉ đích và số hiệu



20

cổng[9]. Tóm lại phương pháp này cho phép có được thống kê chính xác về giao dịch
trong mạng nhưng khó áp dụng trong thực tế vì nó đòi hỏi những công nghệ lấy mẫu
tinh vi cũng như các thiết bị phần cứng đặc biệt để lấy các thông tin từ các gói IP.

2.2.3. Dữ liệu từ các giao thức định tuyến
Thông tin về các sự kiện mạng có thể được thu thập thông qua các giao thức
định tuyến [9]. Ví dụ như sử dụng giao thức OSPF(open shortest path first), nó có thể
thu thập tất cả thông tin cập nhật về bảng định tuyến được trao đổi bởi các router. Dữ
liệu thu được có thể xây dựng topology (cách bố trí phần tử của mạng cũng như cách
nối giữa chúng với nhau) của mạng và cung cấp trạng thái cập nhật của đường truyền
như về băng thông, độ trễ, mức độ tắc nghẽn mạng...

2.2.4. Dữ liệu từ các giao thức quản trị mạng
Các giao thức quản trị mạng cung cấp tất cả thông tin thống kê về giao thông
trên mạng. Những giao thức này hỗ trợ rất nhiều thông số có thể giám sát chính xác
hoạt động thiết bị mạng. Những thông tin thu thập được có thể không cung cấp trực
tiếp các thông số đo lường về giao thông mạng nhưng có thể dùng để nhận dạng các
hành vi trên mạng do đó có thể được sử dụng trong phát hiện bất thường mạng. Sử
dụng loại thông tin này đòi hỏi sự kết hợp với phần mềm quản trị mạng của nhà cung
cấp dịch vụ. Tuy nhiên những giao thức này cung cấp một lượng thông tin phong phú
và chất lượng. Tiếp theo chúng ta xem xét chi tiết một giao thức là SNMP (Simple
Network Management Protocol)[1].
SNMP hoạt động dựa trên mô hình client-server. Giao thức này cung cấp một cơ
chế giúp các manager giao tiếp với agent. Một SNMP manager có thể giám sát hàng
trăm SNMP agent khác nằm trên các thiết bị mạng. SNMP được cài đặt ở tầng ứng
dụng và chạy trên giao thức UDP. SNMP manager có khả năng thu thập các dữ liệu

quản lý được cung cấp bởi SNMP agent nhưng lại không có khả năng xử lý những dữ
liệu này. SNMP server sẽ lưu giữ 1 cơ sở dữ liệu bao gồm những thông số quản lý
được gọi là những thông số thông tin quản lý cơ bản MIB (management information


21

base). Các thông số này chứa các thông tin liên quan đến hoạt động của các chức năng
khác nhau trên những thiết bị mạng[1].
Bất kỳ thiết bị mạng nào cũng có một tập các thông số MIB đặc trưng cho các
chức năng của nó. Các thông số MIB được định nghĩa dựa trên loại thiết bị cũng như
tầng giao thức mà nó hoạt động. Ví dụ như bridges (cầu) hoạt động ở tầng liên kết dữ
liệu chứa các thông số cung cấp thông tin về trao đổi thông tin ở mức liên kết dữ liệu.
Routers là thiết bị ở tầng mạng chứa các thông số cung cấp thông tin về tầng mạng. Lợi
ích của việc sử dụng giao thức SNMP vì nó là một giao thức được phát triển rộng rãi
và mang tính chuẩn hóa trên tất cả các thiết bị mạng. Nhờ đó các thông tin lấy được từ
giao thức SNMP là các dữ liệu lý tưởng sử dụng cho việc phát hiện bất thường.
Các thông số MIB được chia thành các nhóm: hệ thống, giao diện (if), dịch địa
chỉ (address translation - af), giao thức internet (ip), giao thức điều khiển tin nhắn
internet (icmp), giao thức điều khiển giao vận (tcp), giao thức udp (udp), giao thức
cổng ngoài (egp). Mỗi nhóm các thông số miêu tả chức năng của một giao thức chuyên
biệt của thiết bị mạng. Tùy thuộc vào loại nút mạng nào được theo dõi, một nhóm các
thông số cụ thể có thể được xem xét. Nếu nút đang được xem xét là router, nhóm thông
số ip sẽ được nghiên cứu. Các thông số ip mô tả các đặc điểm trao đổi dữ liệu ở tầng
mạng[1].
Không có một thông số MIB nào có thể nắm bắt được mọi bất thường trong hệ
thống hoặc những dấu hiệu bất thường hệ thống. Vì vậy, việc lựa chọn các thông số
MIB phụ thuộc vào hoàn cảnh tìm ra những bất thường đó. Ví dụ trong trường hợp
router, nhóm ip của MIB được chọn, ngược lại nếu là bridge nhóm if được sử dụng.


2.3.

Các phương pháp phát hiện bất thường

Trong phần này chúng ta sẽ đi xem xét các phương pháp hay được sử dụng
trong phát hiện xâm nhập. Các phương pháp này bao gồm hệ chuyên gia (rule-based),
mạng nơron,mô hình máy trạng thái hữu hạn, so sánh mẫu, phân tích thống kê. Chúng
ta sẽ nghiên cứu cơ chế hoạt động điểm mạnh, điểm yếu của từng phương pháp.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×