Tải bản đầy đủ (.pdf) (77 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nghien cứu ứng dụng GP trong phát hiện tấn công mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.35 MB, 77 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO

BỘ QUỐC PHÒNG

HỌC VIỆN KỸ THUẬT QUÂN SỰ

NGUYỄN VIỆT HÙNG

NGHIÊN CỨU ỨNG DỤNG TÍNH TOÁN TIẾN HÓA
TRONG PHÂN LOẠI TẤN CÔNG MẠNG.
Chuyên ngành: Khoa học máy tính

LUẬN VĂN THẠC SỸ KỸ THUẬT

Hà Nội - Năm 2015


BỘ GIÁO DỤC VÀ ĐÀO TẠO
BỘ QUỐC PHÒNG
HỌC VIỆN KỸ THUẬT QUÂN SỰ

Tr ng phụ

NGUYỄN VIỆT HÙNG

NGHIÊN CỨU ỨNG DỤNG TÍNH TOÁN TIẾN HÓA
TRONG PHÂN LOẠI TẤN CÔNG MẠNG
Chuyên ngành: Khoa học máy tinh
Mã số: 60 48 01 01

LUẬN VĂN THẠC SỸ NGHIÊN CỨU



Hà Nội - Năm 2015


CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI
HỌC VIỆN KỸ THUẬT QUÂN SỰ
Cán bộ hướng dẫn chính: TS. Lương Qu ng Tuấn

Cán bộ chấm phản biện 1:..................................................................
(Ghi rõ họ, tên, học hàm, học vị)
Cán bộ chấm phản biện 2:..................................................................
(Ghi rõ họ, tên, học hàm, học vị)

Luận văn thạc sĩ được bảo vệ tại:
HỘI ĐỒNG CHẤM LUẬN VĂN THẠC SĨ
HỌC VIỆN KỸ THUẬT QUÂN SỰ
Ngày ..... tháng ..... năm 2015


Tôi xin cam đoan:
Những kết quả nghiên cứu được trình bày trong luận văn là hoàn toàn
trung thực, của tôi, không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và
pháp luật Việt Nam. Nếu sai, tôi hoàn toàn chịu trách nhiệm trước pháp luật.
TÁC GIẢ LUẬN VĂN

NGUYỄN VIỆT HÙNG


MỤC LỤC
Trang

TRANG PHỤ BÌA ..............................................................................................
BẢN CAM ĐOAN .............................................................................................
MỤC LỤC ..........................................................................................................
TÓM TẮT LUẬN VĂN ....................................................................................
DANH MỤC CÁC CHỮ VIẾT TẮT ................................................................
DANH MỤC CÁC BẢNG .................................................................................
DANH MỤC CÁC HÌNH VẼ ...........................................................................
MỞ ĐẦU .......................................................................................................... 1
1. Tính cấp thiết của đề tài .......................................................................... 1
2. Các đóng góp cho đề tài........................................................................... 1
3. Bố cục của luận văn ................................................................................. 2
Chương 1
MỘT SỐ VẤN ĐỀ VỀ AN NINH MẠNG
1.1. Giới thiệu về an ninh mạng .................................................................. 3
1.2. Tấn công mạng ...................................................................................... 4
1.2.1. Các hình thức tấn công cơ bản...................................................... 4
1.2.1.1. Tấn công chủ động và tấn công bị động ................................ 4
1.2.1.2. Tấn công từ bên trong và tấn công từ bên ngoài .................. 5
1.2.2. Các bước tấn công thông thường .................................................. 5
1.2.3. Các kiểu tấn công mạng ................................................................. 6
1.3. Phòng thủ mạng .................................................................................... 7
1.4. Hệ thống phát hiện xâm nhập mạng ................................................... 8


1.4.1. Chức năng ....................................................................................... 8
1.4.2. Trạng thái của IDS ......................................................................... 8
1.4.3. Cơ chế phát hiện xâm nhập ........................................................... 9
1.4.3.1. Phát hiện dựa vào dấu hiệu..................................................... 9
1.4.3.2. Phát hiện dựa trên hành vi bất thường ................................. 9
1.4.4. Các mô hình chính của IDS ......................................................... 10

1.4.5. Một số kỹ thuật phát hiện tấn công mạng ................................. 12
1.4.5.1. Kỹ thuật Haystack ................................................................. 12
1.4.5.2. Kỹ thuật mạng Neural ........................................................... 12
1.4.5.3. Kỹ thuật khai phá và phân tích dữ liệu kiểm tra ............... 12
1.5. Kết luận chương 1 ............................................................................... 13
Chương 2
TÍNH TOÁN TIẾN HÓA
VÀ BÀI TOÁN PHÂN LOẠI TẤN CÔNG MẠNG
2.1. Giới thiệu về tính toán tiến hoá ......................................................... 14
2.1.1. Giải thuật di truyền ...................................................................... 15
2.1.1.1. Các bước thực hiện giải thuật di truyền .............................. 15
2.1.1.2. Dạng giả mã của giải thuật di truyền ................................... 18
2.1.2. Lập trình di truyền ....................................................................... 18
2.1.2.1. Biểu diễn chương trình .......................................................... 21
2.1.2.2. Khởi tạo quần thể .................................................................. 21
2.1.2.3. Hàm thích nghi ....................................................................... 22
2.1.2.4. Toán tử di truyền ................................................................... 22
2.1.2.5. Các tham số ............................................................................ 25


2.2. Nghiên cứu bài toán phân loại tấn công mạng................................. 26
2.2.1. Bài toán phân loại trong học máy và khai phá dữ liệu ............. 26
2.2.1.1. Học máy .................................................................................. 26
2.2.1.2. Khai phá dữ liệu ..................................................................... 27
2.2.2. Khai phá dữ liệu trong phát hiện tấn công mạng ..................... 31
2.3. Khảo sát một số ứng dụng của tính toán tiến hoá cho phân loại tấn
công mạng ................................................................................................... 33
2.4. Kết luận chương 2 ............................................................................... 35
Chương 3
ỨNG DỤNG LẬP TRÌNH DI TRUYỀN

CHO PHÂN LOẠI TẤN CÔNG MẠNG
3.1. Bộ dữ liệu KDD CUP 1999 ................................................................. 36
3.1.1. Giới thiệu chung ........................................................................... 36
3.1.2. Các thuộc tính ............................................................................... 37
3.1.3. Tập thuộc tính phát hiện ............................................................. 40
3.2. Đề xuất phân loại - lập trình di truyền mới ..................................... 42
3.2.1. Nhiệm vụ lập trình di truyền và phân loại................................. 42
3.2.2. Các pha huấn luyện ...................................................................... 45
3.2.2.1. Các Terminal và Function .................................................... 45
3.2.2.2. Hàm Fitness ............................................................................ 45
3.2.2.3. Các toán tử và tham số di truyền ......................................... 46
3.2.3. Pha kiểm tra: Phân loại các mẫu tấn công ................................ 47
3.3. Thiết kế, cài đặt thực nghiệm ............................................................ 49
3.3.1. Kịch bản thử nghiệm 1................................................................. 50


3.3.1.1. Thí nghiệm cho kiểu tấn công DDOS ................................... 50
3.3.1.2. Thí nghiệm cho kiểu tấn công PROBE ................................ 50
3.3.1.3. Thí nghiệm cho kiểu tấn công DDOS và PROBE ............... 51
3.3.2. Kịch bản thử nghiệm 2................................................................. 51
3.3.2.1. Thí nghiệm cho kiểu tấn công DDOS ................................... 51
3.3.2.2. Thí nghiệm cho kiểu tấn công PROBE ................................ 51
3.3.2.3. Thí nghiệm cho kiểu tấn công PROBE và DDOS ............... 52
3.3.3. Kịch bản thử nghiệm 3................................................................. 52
3.4. Phân tích và đánh giá kết quả. .......................................................... 52
3.4.1. Kịch bản thử nghiệm 1................................................................. 53
3.4.2. Kịch bản thử nghiệm 2................................................................. 55
3.4.3. Kịch bản thử nghiệm 3................................................................. 57
3.5. Kết luận chương 3 ............................................................................... 59
KẾT LUẬN .................................................................................................... 60

TÀI LIỆU THAM KHẢO ............................................................................ 61


TÓM TẮT LUẬN VĂN

Họ và tên: Nguyễn Việt Hùng
Chuyên ngành: Khoa học máy tính

Khóa: 25B

Cán bộ hướng dẫn: TS. Lương Qu ng Tuấn
Tên đề tài: Nghiên cứu ứng dụng tính toán tiến hóa trong phân loại
tấn công mạng.
Tóm tắt: Nghiên cứu đề xuất kỹ thuật lập trình di truyền mới trong
phân loại tấn công mạng. Các kết quả thử nghiệm của nghiên cứu được phân
tích, so sánh, đánh giá với một số phương pháp được các tác giả trước đây
nghiên cứu cho thấy kết quả phân loại khá tốt.


DANH MỤC CÁC CHỮ VIẾT TẮT

Ký hiệu

Thuật ngữ

ES

Evolution Strategies - Chiến lược tiến hóa

EP


Evolutionary Programming - Lập trình tiến hóa

EC

Evolutionary Computing - Tính toán tiến hóa

GA

Genetic Algorithm - Giải thuật di truyền

GP

Genetic Programing - Lập trình di truyền

LGP

Linear Genetic Programming - Lập trình gen tuyến tính

IDS

Intrusion Detection System - Hệ thống phát hiện xâm nhập

SVM

Support Vector Machine - Máy véc tơ hỗ trợ

DDOS

Distributed Denial of Services


DLBT

Dữ liệu

DLTC

Dữ liệu tấn công

DLTCNT

nh thường

Dữ liệu tấn công nhân tạo


DANH MỤC CÁC BẢNG
Trang
Bảng 3.1. Các kiểu tấn công trong bộ dữ liệu KDD Cup 99 .......................... 37
Bảng 3.2. Các thuộc tính của bộ dữ liệu KDD Cup 99 ................................... 38
Bảng 3.3. Nhóm các thuộc tính cơ ản ........................................................... 39
Bảng 3.4. Nhóm các thuộc tính lưu lượng ...................................................... 39
Bảng 3.5. Nhóm các thuộc tính nội dung ........................................................ 40
Bảng 3.6. Thuộc tính tấn công DoS ................................................................ 41
Bảng 3.7. Tập các tham số sử dụng trong quá trình tiến hóa di truyền .......... 47
Bảng 3.8.1. Thí nghiệm cho kiểu tấn công DDOS trên bộ dữ liệu không có
mẫu tấn công (%) ..................................................................................... 53
Bảng 3.8.2. Thí nghiệm cho kiểu tấn công PROBE trên bộ dữ liệu không có
mẫu tấn công (%) ..................................................................................... 53
Bảng 3.8.3. Thí nghiệm cho kiểu tấn công DDOS và PROBE trên bộ dữ liệu

không có mẫu tấn công (%)...................................................................... 54
Bảng 3.9.1. Thí nghiệm cho kiểu tấn công DDOS trên bộ dữ liệu có ít mẫu tấn
công (%) ................................................................................................... 55
Bảng 3.9.2. Thí nghiệm cho kiểu tấn công PROBE trên bộ dữ liệu có ít mẫu
tấn công (%) ............................................................................................. 55
Bảng 3.9.3. Thí nghiệm cho kiểu tấn công PROBE và DDOS trên bộ dữ liệu
có ít mẫu tấn công (%) ............................................................................. 56
Bảng 3.10. Thực hiện trên bộ dữ liệu có một số dạng tấn công mới (%) ....... 57


DANH MỤC CÁC HÌNH VẼ
Trang
H nh 1.1. Các ước tấn công thông thường ...................................................... 6
Hình 1.2. Mô hình Host based Intrusion Detection System ........................... 10
Hình 1.3. Mô hình Network-based Intrusion Detection System..................... 11
Hình 2.1. Quần thể mới mới được hình thành qua pha chọn lọc và tái tổ hợp .... 17
Hình 2.2. Quá trình thực hiện của hệ lập trình di truyền ................................ 20
Hình 2.3. Biểu diễn chương tr nh GP ............................................................. 21
Hình 2.4. Toán tử lai ghép trong GP ............................................................... 23
Hình 2.5. Toán tử đột biến trong GP............................................................... 25
H nh 2.6. Các ước của quá trình phát triển tri thức trong cơ sở dữ liệu ....... 28
Hình 3.1. Hai trạng thái riêng biệt giữa 2 tập điểm ........................................ 46
Hình 3.2. Thuật toán tạo mảng mật độ trong pha kiểm tra ............................. 48
Hình 3.3. Thuật toán xác định lớp các mẫu kiểm tra mới Yi .......................... 49
Hình 3.4. Giá trị trung bình fitness các thế hệ của kịch bản thử nghiệm 1..... 54
Hình 3.5. Giá trị trung bình fitness các thế hệ của kịch bản thử nghiệm 2..... 56
Hình 3.6. Giá trị trung bình fitnes các thế hệ của kịch bản thử nghiệm 3 ...... 58


1


MỞ ĐẦU
1. Tính cấp thiết của đề tài
Một trong số các vấn đề đáng lưu ý nhất của mọi tổ chức ngày nay là
việc bảo vệ và lưu trữ tính toàn vẹn, tính bí mật, và tính sẵn có của các dữ liệu
và thông tin. Rất nhiều nỗ lực đã được thực hiện để đạt được mục đích này:
các chính sách n ninh, tường lửa, hệ thống phát hiện xâm nhập (IDS), các
chương tr nh diệt virus, và các tiêu chuẩn cấu hình các dịch vụ trong hệ điều
hành và mạng. Trong đó, công cuộc tìm kiếm và phát hiện ra các cuộc tấn
công mạng mới h y chư

iết trước là một trong các mục tiêu quan trọng nhất

của các hệ thống phát hiện xâm nhập hiện n y. Đây là một vấn đề khó do tính
đ dạng của các mẫu lưu thông trong mạng và sự cần thiết về tính chính xác
trong việc xử lý thời gian thực.
Tính toán tiến hoá, một lĩnh vực mới của khoa học máy tính, kể từ khi ra
đời đã được nghiên cứu và áp dụng vào rất nhiều bài toán của học máy và khai
phá dữ liệu, trong đó có ài toán phân loại (classification). Do đó luận văn này
khảo sát các ứng dụng gần đây của tính toán tiến hoá cho bài toán phát hiện tấn
công mạng và đề ra một phương pháp mới sử dụng lập trình di truyền tạo ra
các luật mới để phát hiện các cuộc tấn công mạng chư

iết trước.

2. Các đóng góp cho đề tài
Trong luận văn này, tôi mong muốn sử dụng bộ dữ liệu KDD Cup 99
làm cơ sở cho các thực nghiệm củ m nh để phát hiện ra các cuộc tấn công
mạng chư


iết trước. Bằng việc áp dụng lập trình di truyền (Genetic

Programming - GP) trên bộ dữ liệu này, tôi đã nghiên cứu để đư r các kịch
bản cho các thử nghiệm của mình với hy vọng phân loại các cuộc tấn công
mạng (đó là chư tấn công hay tấn công, trong đó có những cuộc tấn công


2

mạng chư

iết trước) với kết quả bằng hoặc tốt hơn các phương pháp đã

được áp dụng trước đó.
3. Bố cục của luận văn
Với mục tiêu ứng dụng tính toán tiến hóa mà cụ thể là GP trong phân
loại tấn công mạng, ngoài phần mở đầu, kết luận và tài liệu tham khảo, luận
văn này được viết thành 3 chương như s u:
Chương 1. Một số vấn đề về an ninh mạng. Chương này, tập trung vào
một số cuộc tấn công, phòng thủ mạng và một số kỹ thuật tấn công mạng,
Chương 2. Giới thiệu về tính toán tiến hóa và bài toán phân loại tấn
công mạng. Nội dung của chương đề cập đến các vấn đề về tính toán tiến hóa,
tập trung vào GP, các bài toán tấn công mạng sử dụng kỹ thuật học máy và
một số kết quả thực nghiệm sử dụng tính toán tiến hóa trong phân loại tấn
công mạng.
Chương 3. Ứng dụng lập trình di truyền cho phân loại tấn công mạng.
Chương này sẽ giới thiệu về bộ dữ liệu KDD Cup 99, tạo ra các kịch bản tấn
công và ứng dụng GP trên các dữ liệu kịch bản để phân loại các cuộc tấn công
mạng. Trên cơ sở các kết quả thực nghiệm trên các kịch bản, tôi đã so sánh với
các kết quả của một số tác giả để đánh giá kết quả thực nghiệm của bản thân.



3

Chương 1
MỘT SỐ VẤN ĐỀ VỀ AN NINH MẠNG

Để có kiến thức cơ sở cho Luận văn, trước hết Luận văn xin giới thiệu
một số vấn đề an ninh mạng. Trong chương này sẽ đề cập đến vấn đề chung
nhất của an ninh mạng, s u đó sẽ trình bày về một số vấn đề của tấn công,
phòng thủ mạng. Cuối chương là một số vấn đề về hệ thống phát hiện xâm
nhập (IDS), trong đó có đề cập đến một số kỹ thuật phát hiện tấn công mạng
đã và đ ng được áp dụng.

1.1. Giới thiệu về an ninh mạng
Sự phát triển bùng nổ của công nghệ thông tin nói chung và mạng
internet nói riêng đã m ng lại nhiều lợi ích cho người dùng, ứng dụng rộng rãi
trong nhiều lĩnh vực kinh tế - xã hội, quốc phòng - n ninh,… Tuy nhiên, đi
kèm với những lợi ích có được cũng tiềm ẩn nhiều nguy cơ mất an toàn thông
tin. Vấn đề an ninh an toàn mạng hiện n y đ ng là vấn đề cấp ách, đặc biệt
trong những năm gần đây số lượng các cuộc tấn công vào hệ thống mạng
ngày càng gi tăng. Thủ đoạn của các hacker ngày càng tinh vi, họ kết hợp
nhiều phương thức tấn công để hạ gục “con mồi”. Đối tượng tấn công không
phải vu vơ mà là tấn công có chủ đích. Thiệt hại trong các cuộc tấn công đôi
khi không thể cân đo, đong đếm, định lượng bằng tiền mà nó ảnh hưởng đến
thương hiệu của tổ chức, cá nhân, doanh nghiệp và cả đến chính trị, an ninh
quốc gi . Điều đó đặt ra bài toán làm thế nào để có thể đảm bảo an ninh, an
toàn cho hệ thống mạng của các tổ chức, cơ qu n, do nh nghiệp; làm s o để
có thể phát hiện ra các cuộc tấn công mạng ngày càng phức tạp, tinh vi; và
đặc biệt làm thế nào để có thể quản lý các thông tin an ninh mạng tập trung tại

một điểm để có thể giám sát, cảnh báo các sự kiện an ninh mạng trong toàn bộ


4

mạng lưới rộng lớn của các tổ chức, cơ qu n, do nh nghiệp cùng tham gia kết
nối vào hệ thống mạng.
1.2. Tấn công mạng
Có rất nhiều cách hiểu khác nhau về tấn công mạng, theo Sandeep
Gutta thì tấn công mạng (cyber attack hay intrusion) có thể được định nghĩ là
một loạt các hoạt động máy tính nguy hiểm đe dọa hoặc làm tổn hại tới sự bảo
mật và tính toàn vẹn của một máy tính hay hệ thống mạng. Tấn công mạng là
các hành động làm phá vỡ hoạt động

nh thường của hệ thống máy tính và có

thể truy trái phép hoặc phá hủy thông tin trong hệ thống máy tính.
Tấn công mạng cũng có thể hiểu là các hành động đ ng cố gắng làm
tổn hại đến sự toàn vẹn, bí mật và tính sẵn sàng của một tài nguyên hoặc đi
ngược lại mục tiêu bảo mật của một tài nguyên nào đó.
1.2.1. Các hình thức tấn công cơ bản
1.2.1.1. Tấn công chủ động và tấn công bị động
Căn cứ vào hành động của các cuộc tấn công có thể chia thành tấn công
chủ động và tấn công bị động.
Tấn công chủ động: Là các cuộc tấn công mà người tấn công hoàn toàn
công khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích
làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ
thống. Một vài phương pháp tấn công chủ động khá nổi tiếng hiện n y như:
Tấn công từ chối dịch vụ, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ
SYN, và giả mạo IP, ...

Tấn công bị động: Kẻ tấn công cố gắng thu thập các thông tin trên
mạng. Có hai kiểu tấn công bị động là khai thác nội dung thông điệp và phân
tích dòng dữ liệu. Tấn công bị động rất khó bị phát hiện vì nó không làm thay
đổi dữ liệu và không để lại dấu vết rõ ràng.


5

1.2.1.2. Tấn công từ bên trong và tấn công từ bên ngoài
Dựa vào nguồn gốc của cuộc tấn công có thể phân loại tấn công thành
tấn công từ bên ngoài và tấn công từ bên trong.
Tấn công từ bên trong: Những tấn công xuất phát từ trong hệ thống
mạng. Kẻ tấn công là những người trong hệ thống mạng nội bộ muốn truy cập,
lấy thông tin nhiều hơn quyền cho phép.
Tấn công từ bên ngoài: Những tấn công xuất phát từ bên ngoài Internet
hay các kết nối truy cập từ xa.
1.2.2. Các bước tấn công thông thường
Có rất nhiều loại tấn công, nhưng để phân loại các cuộc tấn công được
dựa trên năm ước cơ ản [5] tạo nên một cuộc tấn như s u:
- Bước 1: Thăm dò thông tin. Thăm dò hệ thống để lấy thông tin có thể
được sử dụng để tấn công. Đây là kiểu “trinh sát” cần thiết để có được thông tin
chẳng hạn như: thông tin các loại phần cứng được sử dụng, phiên bản của phần
mềm và thậm chí cả thông tin cá nhân người sử dụng,… các thông tin này có
thể được sử dụng trong ước tiếp theo. Các công cụ thường được sử dụng cho
quá trình này là các công cụ quét cổng (scanport), quét IP, dò tìm lỗ hổng…
- Bước 2: Xâm nhập vào hệ thống. Khi một hệ thống tiềm năng đã được
xác định và thông tin về nó đã thu thập được th

ước tiếp theo là khởi động


các cuộc tấn công thâm nhập hệ thống.
- Bước 3: Sử đổi cài đặt bảo mật. Điều này cho phép kẻ tấn công có
thể đăng nhập lại hệ thống một cách dễ dàng.
- Bước 4: Lan truyền tới các hệ thống khác. Mỗi lần xâm nhập vào các
mạng hoặc hệ thống, kẻ tấn công sẽ sử dụng mạng hoặc hệ thống như một cơ
sở tấn công các mạng hoặc hệ thống khác. Các công cụ tương tự được sử
dụng để thăm dò thông tin nhằm vào các hệ thống khác.


6

- Bước 5: Làm tê liệt mạng và các thiết bị. Khi tấn công thành công thì
mạng hoặc máy tính bị nhiễm mã độc dẫn đến việc xóa hay sử đổi tập tin hệ
điều hành quan trọng hoặc lây nhiễm sang phần mềm làm cho máy tính hoạt
động không đúng.

Hình 1.1. Các bước tấn công thông thường
1.2.3. Các kiểu tấn công mạng
Có rất nhiều kiểu tấn công mạng nhưng chúng t có thể phân chúng vào
bốn loại chính như s u:


7

- DoS (Denial of Service attack): Tấn công kiểu DoS là tấn công làm
cho tài nguyên máy tính không khả dụng với người dùng thực sự. Dạng phổ
biến nhất của tấn công DoS là làm cho tài nguyên máy tính quá bận (do có
nhiều yêu cầu vô ích đối với tài nguyên máy tính) làm cho người dùng thực
sự không thể sử dụng được tài nguyên.
- R2L (Remote to Local attack): Ở tấn công này, tin tặc cố gắng đạt

được quyền truy cập khu vực vào hệ thống máy tính bằng việc gửi các gói tin
tới hệ thống thông qua mạng, chẳng hạn như: đoán mật khẩu thông qua các
phương pháp từ điển brute-force, FTP Write,…
- U2R (User to Root attack): Đây là loại tấn công mà tin tặc sử dụng
quyền của một người dùng

nh thường trong hệ thống cố gắng đạt được

quyền truy nhập cao nhất (đặc quyền củ người quản trị hệ thống) vào hệ
thống một cách bất hợp pháp. Cách phổ biến của tấn công này là thực hiện
phương pháp gây tràn ộ đệm.
- PROBE (Surveillance): Trong loại tấn công này, tin tặc quét mạng
hoặc máy tính (theo dõi hoặc giám sát hệ thống) t m r điểm yếu dễ tấn công
để thông qu đó khai thác hệ thống. Dạng phổ biến của loại tấn công này là
thực hiện quét các cổng của hệ thống máy tính. Với tấn công này, tin tặc có
thể lấy được thông tin về cổng đ ng mở, dịch vụ đ ng chạy và rất nhiều thông
tin chi tiết nhạy cảm khác như địa chỉ IP, địa chỉ MAC, các luật tường lửa
đ ng được sử dụng.
1.3. Phòng thủ mạng
Thách thức trong việc đảm bảo an toàn hệ thống mạng ngày càng được
coi trọng, không chỉ vì số lượng lớn các cuộc tấn công mà còn phải đối mặt
với những khó khăn để chống lại các cuộc tấn công này. Một số khó khăn
thường gặp như: Kết nối các thiết bị, sự gi tăng tốc độ tấn công, sự tinh tế
hơn của các cuộc tấn công, sự đơn giản và sẵn có của các công cụ tấn công,


8

sự phát hiện nh nh hơn các lỗ hổng, sự chậm chễ trong việc vá các lỗ hổng,
việc phân phối bản vá lỗi yếu, các cuộc tấn công phân tán, …[5].

Mặc dù có nhiều biện pháp phòng thủ để ngăn chặn một cuộc tấn công,
tuy nhiên, dưới góc độ củ đề tài này, chúng ta sẽ đi vào nghiên cứu, tìm hiểu
hệ thống phát hiện xâm nhập mạng (IDS) sẽ được đề cập ở mục 1.4 chương
này, trên cơ sở đó ứng dụng tính toán tiến hóa trong phân loại tấn công mạng.
1.4. Hệ thống phát hiện xâm nhập mạng
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là
một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo
cho hệ thống, nhà quản trị mạng. Ngoài ra, IDS còn thực hiện các hành động
đã được thiết lập trước như khó người dùng h y địa chỉ IP,… để phản ứng lại
với các lưu thông ất thường hay có hại cho hệ thống. IDS cũng có thể phân
biệt được các cuộc tấn công từ bên trong hay bên ngoài dự trên so sánh lưu
thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống).
1.4.1. Chức năng
Một IDS gồm các chức năng chính s u: nhận diện, ghi nhận thông tin,
ngăn chặn vi phạm.
- Nhận diện: các nguy cơ có thể xảy r đối với hệ thống, các hoạt động
thăm dò hệ thống, các yếu khuyết điểm của chính sách bảo mật hệ thống.
- Ghi nhận thông tin, log để phục vụ việc kiểm soát nguy cơ: Ghi lại và
lưu giữ log các sự kiện khả nghi xảy ra, báo cáo cho quản trị hệ thống.
- Ngăn chặn vi phạm chính sách bảo mật: Dùng những thiết lập mặc
định và sự cấu hình từ nhà quản trị để có những hành động thiết thực chống
lại kẻ xâm nhập và phá hoại.
1.4.2. Trạng thái của IDS
IDS gồm có các trạng thái sau:


9

- True-Positive: Sự kiện khi một thông điệp thông báo hệ thống phát
hiện một hành động xâm nhập thật sự.

- False-Positive: Sự kiện khi một thông điệp thông báo hệ thống phát
hiện một hành động xâm nhập nhưng lại không phải là một hành động xâm
nhập thực sự.
- True-Negative: Sự kiện khi một hệ thống không sinh r thông điệp
thông áo và không có hành động xâm nhập thực sự.
- False-Negative: Sự kiện khi hệ thống không sinh r thông điệp thông
áo trong khi có hành động xâm nhập thật sự đ ng diễn ra.
1.4.3. Cơ chế phát hiện xâm nhập
1.4.3.1. Phát hiện dựa vào dấu hiệu
Phát hiện dựa vào dấu hiệu (Signature-based Detection) sử dụng
phương pháp đối sánh dấu hiệu của các sự kiện thu nhận được với các dấu
hiệu của các mối nguy hại đã iết. Phương pháp này hiệu quả với các dấu
hiệu đã iết nhưng ít hiệu quả đối với các tấn công có dấu hiệu chư

iết, các

tấn công sử dụng kỹ thuật lẩn tránh (evasion techniques), hoặc các tấn công
biến thể.
1.4.3.2. Phát hiện dựa trên hành vi bất thường
Phát hiện dựa trên hành vi bất thường so sánh định nghĩ của những hoạt
động nh thường và các sự kiện n ninh thu được nhằm xác định các độ lệch.
IDS sử dụng phương pháp này với các hồ sơ dấu hiệu đặc trưng (profile)
cho các hành vi được coi là

nh thường (được phát triển bằng cách giám sát

các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian). S u khi đã
xây dựng được tập các profile này, IDS sử dụng phương pháp thống kê để so
sánh các đặc điểm của các hoạt động hiện tại với các ngưỡng định bởi profile
tương ứng để phát hiện ra những hành vi bất thường.



10

Ưu điểm chính củ phương pháp này là rất có hiệu quả trong việc phát
hiện ra các mối nguy hại chư được biết đến.
1.4.4. Các mô hình chính của IDS
IDS có thể triển khai theo các mô hình khác nhau tùy thuộc vào quy mô,
phạm vi, tính chất của hệ thống, lớp mạng cần bảo vệ.
- HIDS (Host-based Intrusion Detection System): Sử dụng dữ liệu kiểm
tra từ một máy trạm đơn để phát hiện xâm nhập. Đây là mô hình tập trung và
phân tán có chức năng giám sát: các gói tin đi vào, các tiến trình, các entry
của Registry, mức độ sử dụng CPU, kiểm tra tính toàn vẹn và truy cập trên hệ
thống file. Các thông số chức năng này khi vượt qua một ngưỡng định trước
hoặc những th y đổi khả nghi trên hệ thống file sẽ gây r

áo động.

Hình 1.2. Mô hình Host based Intrusion Detection System
HIDS cho phép thực hiện một cách linh hoạt trên các phân đoạn mạng
mà NIDS (sẽ được đề cập s u đây) không thực hiện được. Lưu lượng đã gửi
đến host được phân tích và chuyển qu host nếu chúng không tiềm ẩn các mã
nguy hiểm. HIDS cụ thể hơn với các nền ứng dụng và phục vụ mạnh mẽ cho
hệ điều hành.


11

- NIDS (Network-based Intrusion Detection System): sử dụng dữ liệ
trên toàn bộ lưu thông mạng cùng với dữ liệu kiểm tra từ một hoặc vài máy

trạm để phát hiện xâm nhập. Mô hình này sử dụng bộ dò và bộ cảm biến cài
đặt trên toàn mạng. Các bộ dò dùng để tìm kiếm những lưu lượng trùng với
những mô tả sơ lược được định nghĩ h y là những dấu hiệu, còn những bộ
cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi nhận được
một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh áo đến trạm
quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm
nhập x hơn.
Như vậy, NIDS là tập nhiều cảm biến được đặt ở toàn mạng để theo dõi
những gói tin trong mạng, so sánh với mẫu đã được định nghĩ để phát hiện
đó là tấn công hay không.

Hình 1.3. Mô hình Network-based Intrusion Detection System
Ngoài hai mô hình kể trên còn một số mô h nh như:
- DIDS (Distributed Intrusion Detection System).
- WIDS (Wireless Intrusion Detection System).
- NBAS (Network Behavior Analysis System) & HoneyPot IDS.


12

1.4.5. Một số kỹ thuật phát hiện tấn công mạng
1.4.5.1. Kỹ thuật Haystack
Kỹ thuật H yst ck (do Axelsson đề xuất năm 1999) sử dụng thuật toán
phát hiện dị thường theo thống kê và được áp dụng cho hệ thống phát hiện
xâm nhập phân tán (DIDS).
1.4.5.2. Kỹ thuật mạng Neural
Kỹ thuật mạng neur l do Fox, Henning và Simmoni n đề xuất năm
1990 sau khi họ cố gắng mô hình hóa hệ thống và hành vi người dùng bằng
mạng neural. Họ sử dụng bản đồ tự tổ chức SOM (Kohonen’s self organizing map), một kiểu kỹ thuật học không giám sát có thể phát hiện ra
cấu trúc cơ ản của dữ liệu mà không có mẫu trước về các hoạt động xâm

nhập hay không.
Trong một cố gắng áp dụng mạng neural khác vào việc phát hiện dị
thường, Ghosh và cộng sự (năm 1998) đã đề xuất sử dụng mạng lan truyền
ngước (back-prop g tion network) để giám sát các chương tr nh đ ng chạy.
Đây là mạng được phát triển cho việc học có giám sát. Nó cần các mẫu hoạt
thông thường và xâm nhập (dữ liệu huấn luyện) để xây dựng mô hình phát
hiện xâm nhập.
1.4.5.3. Kỹ thuật khai phá và phân tích dữ liệu kiểm tra
Khai thác và phân tích dữ liệu kiểm tra (Audit Data Analysis and
Mining - ADAM) đề xuất áp dụng các kỹ thuật khai phá dữ liệu vào việc
khám phá các mẫu dị thường trong một lượng lớn dữ liệu.
ADAM sử dụng vài kỹ thuật liên quan tới khai phá dữ liệu giúp phát
hiện các hoạt động mạng bất thường như: các luật kết hợp (Association Rules),
bộ ước lượng giả Bayes (Pseudo Beyes Estimator), hay kỹ thuật phân lớp
(phân loại).


13

1.5. Kết luận chương 1
Trong chương 1, Luận văn đã nghiên cứu một số vấn đề chung về an
ninh mạng, các cuộc tấn công và phòng thủ mạng, một số kỹ thuật phát hiện
tấn công mạng làm cơ sở cho nghiên cứu luận văn ở chương 2 và chương 3.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×