Nghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụ (Luận văn thạc sĩ)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.37 MB, 77 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------
Phùng Văn Thuần
NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHO MÁY
CHỦ DỊCH VỤ
LUẬN VĂN THẠC SĨ KỸ THUẬT
HÀ NỘI – 2018
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------
PHÙNG VĂN THUẦN
NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHO MÁY
CHỦ DỊCH VỤ
CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 8480104
LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. NGUYỄN CHIẾN TRINH
HÀ NỘI – 2018
i
LỜI CAM ĐOAN
Tơi cam đoan đây là cơng trình nghiên cứu của riêng tơi. Nội dung của luận
văn có tham khảo và sử dụng các tài liệu, thông tin được đăng tải trên những tạp chí
và các trang web theo danh mục tài liệu tham khảo. Tất cả các tài liệu tham khảo
đều có xuất xứ rõ ràng và được trích dẫn hợp pháp.
Tơi xin hồn tồn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy
định cho lời cam đoan của mình.
Tác giả luận văn
Phùng Văn Thuần
ii
LỜI CẢM ƠN
Học viên xin chân thành cảm ơn các thầy, cô trong Khoa Quốc tế và Đào tạo
Sau đại học và Khoa Công nghệ thông tin 1, Học viện Bưu chính Viễn thơng đã tạo
điều kiện thuận lợi cho học viên trong quá trình học tập và nghiên cứu. Lời cảm ơn
trân trọng xin gửi tới Ban Giám hiệu Trường Đại học Công nghệ Giao thông vận tải
đã tạo điều kiện về thời gian, công việc để học viên theo học khóa đào tạo thạc sỹ
này. Và học viên xin chân thành cảm ơn Tiến sĩ Nguyễn Chiến Trinh là người đã
trực tiếp tận tình hướng dẫn học viên hoàn thành luận văn.
Học viên chân thành cảm ơn bạn bè và gia đình đã sát cánh giúp học viên có
được kết quả như ngày hơm nay.
Học viên xin trân trọng cảm ơn!
Tác giả luận văn
Phùng Văn Thuần
iii
MỤC LỤC
LỜI CAM ĐOAN ................................................................................................................... i
LỜI CẢM ƠN ........................................................................................................................ ii
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT............................................................ v
DANH MỤC CÁC BẢNG ................................................................................................... vi
DANH MỤC CÁC HÌNH VẼ ............................................................................................. vii
MỞ ĐẦU ............................................................................................................................... 1
Chương 1: TỔNG QUAN VỀ IDS ........................................................................................ 4
1.1. Khái quát về IDS......................................................................................................... 4
1.1.1. Lịch sử phát triển của IDS ................................................................................... 5
1.1.2 Lợi ích chung của IDS .......................................................................................... 6
1.1.3.
Những thành phần không phải IDS ................................................................. 6
1.2. Phân loại IDS .............................................................................................................. 7
1.2.1.
Hệ thống phát hiện xâm nhập dựa trên host .................................................... 7
1.2.2.
Hệ thống phát hiện xâm nhập dựa trên mạng .................................................. 8
1.2.3.
Phát hiện xâm nhập IDS lai ............................................................................. 9
1.3. Kiến trúc IDS .............................................................................................................. 9
1.4. Cơ chế phát hiện xâm nhập IDS ................................................................................ 11
1.5. Kết chương ................................................................................................................ 12
Chương 2: MỘT SỐ KỸ THUẬT PHÂN TÍCH LƯU LƯỢNG PHÁT HIỆN TẤN CƠNG
MẠNG ................................................................................................................................. 13
2.1. Tổng quan về các phương pháp, mơ hình phân tích và phát hiện lưu lượng bất
thường .............................................................................................................................. 13
2.2. Lưu lượng mạng bất thường ...................................................................................... 18
2.2.1.
Khái niệm về lưu lượng mạng bất thường ..................................................... 18
2.2.2.
Nguyên nhân gây ra lưu lượng mạng bất thường .......................................... 20
2.2.3.
Phân tích và phát hiện lưu lượng mạng bất thường ....................................... 21
2.3. Một số phương pháp phân tích và phát hiện lưu lượng bất thường điển hình .......... 22
2.3.1.
Phương pháp dựa trên mơ hình Markov ........................................................ 22
2.3.2.
Phương pháp dựa trên mạng Bayesian .......................................................... 23
2.3.3.
Phương pháp dựa trên phân tích thống kê ..................................................... 23
2.3.4.
Phương pháp dựa trên phân cụm ................................................................... 26
iv
2.3.5.
Phương pháp máy vector hỗ trợ ..................................................................... 26
2.3.6.
Phương pháp dựa trên hệ chuyên gia ............................................................. 27
2.3.7.
Phương pháp dựa trên luật học máy .............................................................. 28
2.3.8.
Phương pháp dựa trên khai phá dữ liệu ......................................................... 29
2.3.9.
Phương pháp dựa trên PCA ........................................................................... 31
2.4. Kết chương ................................................................................................................ 33
Chương 3: ỨNG DỤNG PCA XÂY DỰNG IDS CHO MÁY CHỦ DỊCH VỤ ................ 34
3.1. Thuật toán phân tích thành phần chính PCA ............................................................ 34
3.1.1. Giới thiệu ........................................................................................................... 34
3.1.2. Thuật tốn PCA ................................................................................................. 35
3.1.3. Phương pháp phân tích và phát hiện lưu lượng bất thường dựa trên PCA ........ 41
3.1.4. Thiết lập mức ngưỡng ........................................................................................ 44
3.2. Mơ hình hệ thống phân tích dữ liệu bất thường trên PCA ........................................ 44
3.3. Kiến trúc hệ thống giám sát máy chủ dịch vụ thi trắc nghiệm ................................. 46
3.3.1. Phạm vi thu thập dữ liệu .................................................................................... 46
3.2.2. Kiến trúc tổng thể của hệ thống giám sát........................................................... 47
3.2.3. Máy trinh sát ...................................................................................................... 47
3.3. Nhận dạng, phân loại bất thường và khả năng kết hợp phát hiện lưu lượng bất
thường với phát hiện tấn công mạng dựa trên mẫu dấu hiệu ........................................... 53
3.4. Mô hình phát hiện lưu lượng bất thường trên máy chủ dịch vụ ............................... 54
3.4.1. Các loại tấn công phổ biến đối với máy chủ dịch vụ: ........................................ 56
3.5. Mô phỏng thử nghiệm phát hiện tấn công của PCA trên máy chủ dịch vụ: ............. 58
3.5.1. Tập dữ liệu thử nghiệm ...................................................................................... 58
3.5.2. Mô phỏng thử nghiệm phát hiện bất thường và một số loại tấn công. .............. 60
KẾT LUẬN VÀ KIẾN NGHỊ ............................................................................................. 63
TÀI LIỆU THAM KHẢO ................................................................................................... 65
v
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT
DNS
Domain Name System
Hệ thống tên miền
IDS
Intrussion Detection System
Hệ thống phát hiện tấn công xâm
nhập
ISP
Internet Service Provider
Nhà cung cấp dịch vụ Internet
IP
Internet Protocol
Giao thức Internet
Khai phá dữ liệu
KPDL
PC
Principal Component
Thành phần chính
PCA
Principal Component Analysis
Phân tích thành phần chính
SVD
Singular Value Decompossition
SVM
Support Vector Machine
Véc tơ máy hỗ trợ
TCP
Transmision Control Protocol
Giao thức điều khiển truyền tin
VPN
Vitual Private Network
Mạng riêng ảo
vi
DANH MỤC CÁC BẢNG
Bảng 1.1. Ưu điểm, nhược điểm của hệ thống phát hiện xâm nhập dựa trên host ................ 7
Bảng 1.3. Ưu điểm, nhược điểm của hệ thống phát hiện xâm nhập dựa trên mẫu dấu hiệu 11
Bảng 1.4. Ưu điểm, nhược điểm của hệ thống phát hiện xâm nhập dựa trên sự bất thường12
Bảng 2.1. Các phương pháp phân tích và phát hiện lưu lượng bất thường ......................... 14
Bảng 2.2 Tổng kết tóm tắt một số ưu, nhược điểm của nhóm phương pháp phát hiện lưu
lượng bất thường. ................................................................................................................. 16
Bảng 2.3. Các nguyên nhân điển hình gây ra lưu lượng mạng bất thường.......................... 20
Bảng 3.1. Thuộc tính dùng trong thử nghiệm của tập dữ liệu NSL – KDD ....................... 59
Bảng 3.2. Kết quả phát hiện của PCA với một số loại tấn công ......................................... 61
vii
DANH MỤC CÁC HÌNH VẼ
Hình 1.1. Kiến trúc IDS ......................................................................................................... 4
Hình 1.2. IDS dựa trên host ................................................................................................... 7
Hình 1.3. IDS dựa vào mạng ................................................................................................. 8
Hình 2.1. Biểu diễn các tập dữ liệu bình thường và bất thường thu được từ mạng trên toạ
độ hai chiều ......................................................................................................................... 18
Hình 2.2. Mơ hình hệ thống phát hiện bất thường dựa trên tập luật ................................... 28
Hình 3.1. Minh họa PCA: tìm trục tọa độ mới sao cho dữ liệu biến thiên lớn nhất ........... 35
Hình 3.2. PCA trong mặt phẳng 2D..................................................................................... 41
Hình 3.3. Mơ hình chung hệ thống phân tích và phát hiện lưu lượng bất thường dựa trên
PCA...................................................................................................................................... 45
Hình 3.4. Hệ thống mạng thi trắc nghiệm có kết nối Internet ............................................. 46
Hình 3.5. Kiến trúc tổng thể của hệ thống giám sát............................................................. 47
Hình 3.6. Cấu trúc thiết bị trinh sát ..................................................................................... 48
Hình 3.7. Hệ thống phần mềm trinh sát .............................................................................. 49
Hình 3.8. Một số sự kiện thu được tại trung tâm giám sát................................................... 52
Hình 3.8. Mơ hình kết hợp phát hiện bất thường và mẫu dấu hiệu ..................................... 55
1
MỞ ĐẦU
Kể từ khi ra đời, Internet không ngừng phát triển và mở rộng đã mang lại rất
nhiều tiện ích hữu dụng như: hệ thống thư điện tử, trò chuyện trực tuyến, tìm kiếm
dữ liệu, trao đổi thơng tin. Khả năng kết nối trên toàn thế giới đang mang lại thuận
tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa
tới mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng
đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công gây từ chối dịch vụ
gây ảnh hưởng lớn đến hoạt động kinh doanh cho các cơng ty và gây phiền tối cho
người sử dụng Internet làm cho vấn đề bảo mật trên mạng ln là một vấn đề nóng
và được quan tâm đến trong mọi thời điểm.
Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn
chặn bảo mật, như Firewall ngăn chặn những kết nối khơng đáng tin cậy, mã hóa
làm tăng độ an tồn cho việc truyền dữ liệu, các chương trình diệt virus với các các
cơ sở dữ liệu được cập nhật. Những yêu cầu trên dẫn đến yêu cầu phải có một
phương pháp bảo mật mới hỗ trợ cho những phương pháp bảo mật truyền thống. Hệ
thống phát hiệm xâm nhập IDS (Intruction Detection System) là một hệ thống giám
sát lưu thơng mạng có khả năng phát hiện các hoạt động khả nghi hay các hành
động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn cơng, cung cấp
thơng tin nhận biết và đưa ra cảnh báo cho hệ thống, người quản trị.
Từ những lý do trên, học viên lựa chọn đề tài “Nghiên cứu hệ thống phát hiện
xâm nhập IDS cho máy chủ dịch vụ ” cho luận văn Thạc sĩ của mình.
2
▪ Mục đích nghiên cứu
-
Nghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụ.
-
Nghiên cứu các kỹ thuật phân tích lưu lượng dựa trên thống kê, học máy nhằm
phát hiện sớm các dấu hiệu tấn công bởi các phần mềm độc hại.
-
Nghiên cứu hệ thống phát hiện xâm nhập trái phép dựa trên phân tích lưu lượng
mạng bất thường.
-
Đề xuất xây dựng hệ thống phát hiện xâm nhập trái phép IDS cho máy chủ dịch
vụ. Xây dựng hệ thống IDS cho các thiết bị mạng, thiết lập các hệ thống thu
thập thông tin cho các vùng lưu lượng mạng, kết hợp với hệ thống IDS cho các
máy chủ tạo thành một hệ thống cho toàn mạng.
▪
Đối tượng và phạm vi nghiên cứu
- Tập trung vào phân tích rủi ro, lỗ hổng của mạng, cách thức tấn công, nhược
điểm của giao thức TCP/IP và phương pháp bảo vệ mạng khỏi tấn cơng. Tìm
hiểu kiến thức về các hệ thống dị tìm phát hiện xâm nhập (IDS), cấu trúc hệ
thống, phương pháp phân loại, cách thức dị tìm xâm nhập và phương pháp xử
lý dữ liệu. Nghiên cứu các mơ hình thống kê, các thành phần của hệ thống bao
gồm chủ thể và đối tượng, hồ sơ, bản ghi, luật hoạt động.
-
Nghiên cứu giải pháp dị tìm xâm nhập thời gian thực cho máy chủ dịch vụ.
Trình bày mơ hình, cấu trúc và một số kết quả được hệ thống IDS thử nghiệm
cho máy chủ dịch vụ.
▪
-
Phương pháp nghiên cứu
Kết hợp nghiên cứu lý thuyết, tìm hiểu mơ hình, cấu trúc và một số kết quả thu
được từ hệ thống IDS, thử nghiệm cho máy chủ dịch vụ.
3
Nội dung của luận văn được chia thành 3 chương với những nội dung cụ thể
như sau:
Chương 1: TỔNG QUAN VỀ IDS
-
Khái quát về IDS
-
Phân loại IDS
-
Kiến trúc và thành phần IDS
-
Cơ chế hoạt động IDS
-
Kết luận chương
Chương 2: MỘT SỐ KỸ THUẬT PHÂN TÍCH LƯU LƯỢNG PHÁT HIỆN TẤN
CƠNG MẠNG
-
Phân tích lưu lượng mạng điển hình
-
Phân tích lưu lượng mạng dựa trên học máy và khai phá dữ liệu
-
Phân tích lưu lượng bất thường
-
Kết luận chương
Chương 3: ỨNG DỤNG PCA XÂY DỰNG IDS CHO MÁY CHỦ DỊCH VỤ
-
Kiến trúc hệ thống giám sát
-
Phạm vi thu thập dữ liệu
-
Đề xuất phương pháp xây dựng IDS trên máy chủ dịch vụ và đánh giá kết
quả
-
Kết luận chương
Đề tài nghiên cứu của luận văn có nội dung bao phủ rộng. Tuy nhiên, thời gian
nghiên cứu của học viên cịn hạn hẹp. Vì vậy, luận văn cịn có những thiếu sót, học
viên rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn.
4
Chương 1: TỔNG QUAN VỀ IDS
1.1. Khái quát về IDS
Hệ thống phát hiện xâm nhập [31] (Intrusion Detection System - IDS) là hệ
thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động
theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn
đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị.
IDS cũng có thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ
những người trong hệ thống) hay tấn cơng từ bên ngồi (từ những hacker). IDS phát
hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (tương tự như các phần
mềm dựa virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa
trên so sánh lưu lượng mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ
thống) để tìm ra các dấu hiệu khác thường.
Hình 1.1. Kiến trúc IDS
Một hệ thống phát hiện xâm nhập trái phép cần thỏa mãn những yêu cầu sau:
✓ Tính chính xác (Accuracy): IDS khơng được coi là hành động thông thường
trong môi trường hệ thống là những hành động bất thường hay lạm dụng (hành
động thông thường bị coi là bất thường được gọi là false positive).
5
✓ Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm nhập
trái phép trong thời gian thực (hành động xâm nhập trái phép phải được phát hiện
trước khi xảy ra tổn thương nghiêm trọng đến hệ thống.
✓ Tính trọn vẹn (Completeness): IDS khơng được bỏ qua một xâm nhập trái
phép nào (xâm nhập không bị phát hiện gọi là false negative). Đây là một điều kiện
khó có thể thỏa mãn được vì gần như khơng thể có tất cả thông tin về các tấn công
từ quá khứ, hiện tại và tương lai.
✓ Chịu lỗi (False Tolerance): Bản thân IDS phải có khả năng chống lại tấn
cơng.
✓ Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạng thái
xấu nhất là khơng bỏ xót thơng tin. Yêu cầu này có liên quan đến hệ thống mà các
sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự
phát triển nhanh và mạnh của mạng máy tính, hệ thống có thể bị quá tải bởi sự tăng
trưởng của số lượng sự kiện.
1.1.1. Lịch sử phát triển của IDS
Trên thế giới: Ra đời đầu tiên cách đây khoảng 30 năm, khái niệm phát hiện
xâm nhập xuất hiện qua một bài báo của James Anderson. Khi đó người ta cần IDS
với mục đích là dị tìm và nghiên cứu các hành vi bất thường và thái độ của người
sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản
hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu
chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính
của khơng lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được
phổ biến, một số hệ thống IDS chỉ được xuất hiện trong phịng thí nghiệm và các
viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát
triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được
biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của cơng ty ISS, một
năm sau đó Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung
cấp giải pháp IDS tên là Wheel Group.
6
1.1.2. Lợi ích chung của IDS
Ưu điểm của hệ thống là có thể phát hiện được những kiểu tấn cơng chưa biết
trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá
chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này, hầu hết các cảnh
báo là cảnh báo sai, trong đó có nhiều cảnh báo là từ những hành động bình thường,
chỉ có một vài hành động là có ý đồ xấu, hầu hết các hệ thống đều có ít khả năng
giới hạn các cảnh báo nhầm.
Sử dụng hệ thống IDS để nâng cao khả năng quản lý và bảo vệ mạng, lợi ích mà
nó đem lại rất lớn. Một mặt nó giúp hệ thống an tồn trước những nguy cơ tấn cơng,
mặt khác nó cho phép nhà quản trị nhận dạng và phát hiện những nguy cơ tiềm ẩn
dựa trên những phân tích và báo cáo được IDS cung cấp. Từ đó, hệ thống IDS có
thể góp phần loại trừ một cách đáng kể những lỗ hổng về bảo mật trong môi trường
mạng.
1.1.3. Những thành phần không phải IDS
Các thiết bị bảo mật dưới đây không phải IDS:
-
Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề từ
chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu
lượng mạng.
-
Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch
vụ mạng (các bộ quét bảo mật).
-
Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm
như virus Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất
giống hệ thống phát hiện xâm nhập và thường cũng cấp một công cụ phát hiện
lỗ hổng bảo mật hiệu quả.
-
Tường lửa (firewall).
-
Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos,
Radius…
7
1.2.
Phân loại IDS
Chức năng cơ bản của IDS là phát hiện người xâm nhập, IDS có các dạng chính
như:
-
Hệ thống phát hiện xâm nhập dựa trên host (Host IDS)
-
Hệ thống phát hiện xâm nhập dựa trên mạng (Network IDS)
-
Hệ thống lai (Hybrid IDS – Distributed IDS)
Mỗi dạng của IDS đều có những ưu điểm và khuyết điểm riêng được trình bày ở
phần sau.
1.2.1. Hệ thống phát hiện xâm nhập dựa trên host
Hệ thống phát hiện xâm nhập dựa trên host (Host IDS) - Bằng cách cài đặt một
phần mềm trên tất cả các máy chủ, IDS dựa trên máy chủ quan sát tất cả các hoạt
động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống
dựa trên máy chủ cũng theo dõi hệ điều hành, ghi nhận các sự kiện và những thông
điệp báo lỗi trên hệ thống máy chủ.
Hình 1:
Hình 1.2. IDS dựa trên host
Bảng 1.1. Ưu điểm, nhược điểm của hệ thống phát hiện xâm nhập dựa trên host
-
Ưu Điểm
HIDS sẽ phân tích trước khi mã
-
hóa và sau khi giải mã.
-
Cho phép xác định một cuộc tấn
công đã thành công hay chưa.
Nhược Điểm
Yêu cầu một đại lý trên mỗi máy
chủ muốn để bảo vệ.
-
Yêu cầu một đại lý có thể hỗ trợ
nhiều hệ điều hành.
8
(NIDS có thể phát hiện các cuộc
tấn cơng, nhưng nó không xác định
được các cuộc tấn công đã thành
công chưa.)
-
Không yêu cầu phần cứng IDS
chuyên dụng
1.2.2. Hệ thống phát hiện xâm nhập dựa trên mạng
NIDS (Network IDS) liên quan đến việc đặt một IDS dành riêng cho một đoạn
mạng rõ ràng mà theo dõi lưu lượng truy cập thông qua phân đoạn này. Một NIDS
có thể được đặt trên các phân đoạn quan trọng trên toàn mạng để cung cấp bảo vệ
cho tồn bộ mạng.
Hình 1.3. IDS dựa vào mạng
Trong hình trên, tất cả lưu lượng truy cập Internet là thông qua router, giao
thông được phản ánh cho một cổng giám sát trên một IDS. NIDS thông thường bao
gồm một cổng giám sát cắm vào các đoạn mạng mà ta muốn theo dõi. Cổng giám
sát dễ dàng bị quá tải và sẽ có một số luồng giao thơng bị bỏ sót mà có thể chứa các
cuộc tấn cơng chống lại mạng. Vì vậy, ta cần phải đặt IDS cẩn thận, hợp lý để đảm
bảo cổng giám sát sẽ không bị quá tải.
9
Bảng 1.2. Ưu điểm, nhược điểm của hệ thống phát hiện xâm nhập dựa trên mạng
Ưu Điểm
- Một NIDS duy nhất có thể bảo vệ
phần lớn mạng trong hệ thống.
- Phát hiện tấn công dựa trên mạng,
chẳng hạn như port scan hoặc ping
rà soát.
Nhược Điểm
-
-
-
-
-
Yêu cầu cài đặt trên một đoạn
mạng mà việc giám sát các cổng
không bị quá tải.
Yêu cầu phải giám sát các thành
phần khác nhau của mạng sử
dụng nhiều thiết bị IDS.
Yêu cầu phải tập hợp các giao
thông bị phân mảnh (giao thông
IP được chia thành nhiều mảnh
IP).
Đòi hỏi CPU đáng kể và nhiều tài
nguyên bộ nhớ để có thể phân
tích lưu lượng truy cập theo dõi
trong thời gian thực.
Khơng thể phát hiện các cuộc tấn
cơng có trong thơng tin liên lạc
mã hóa.
1.2.3. Phát hiện xâm nhập IDS lai
Những hệ thống IDS lai (Distributed (Hybrid) IDS) là những hệ thống nhằm kết
hợp những ưu điểm của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế.
Trong hệ thống lai, cả những bộ cảm biến và những máy chủ đểu báo về một trung
tâm quản trị.
Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các hệ IDS
lai cịn có thể kết hợp được hai cơ chế là dựa trên dấu hiệu và cơ chế phát hiện bất
thường.
1.3.
Kiến trúc IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
-
Thành phần thu thập thông tin (Information Collection)
-
Thành phần phát hiện (Detection)
-
Thành phần phản ứng (Response)
10
Trong ba thành phần thì thành phần phân tích gói tin là quan trọng nhất và ở
thành phần này bộ cảm biến đóng vai trị quyết định.
Bộ cảm biến được tích hợp với các thành phần thu thập dữ liệu – một bộ tạo sự
kiện. Cách thu thập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế
độ lọc thông tin sự kiện.
Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích
hợp cho các sự kiện, có thể là một bản ghi ác sự kiện của hệ thống hoặc các gói
mạng. Số chính sách này cùng với thơng tin chính sách có thể được lưu trong hệ
thống được bảo vệ hoặc bên ngồi.
Vai trị của bộ cảm biến dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích. Vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng
cơ sở dữ liệu chính sách phát hiện cho mục này. Thêm vào đó, cơ sở dữ liệu giữ các
tham số cấu hình, gồm có các chế độ truyền thơng ví hệ thống đáp trả. Bộ cảm biến
cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm nhập phức tạp tiềm
ẩn. IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa)
hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất
cả chúng truyền thơng với nhau.
IDS có khả năng dị tìm và phát hiện những cuộc tấn công vào hệ thống mạng.
IDS tạo ra một báo động khi nó biết có sự xâm nhập bất thường vào hệ thống. IDS
dựa trên các tiêu chí báo động cho phép nó có thể xác định được các cuộc tấn cơng.
Tất nhiên, để có thể phát hiện các cuộc tấn công, một hoặc nhiều hệ thống IDS phải
được đặt một cách thích hợp trong mạng, hoặc cài đặt các thiết bị mạng lưới giám
sát lưu lượng truy cập trên mạng hoặc cài đặt như máy trạm theo dõi hệ điều hành
và ứng dụng đáng ngờ. IDS cịn có khả năng phát hiện các cuộc tấn cơng tinh vi sử
dụng các kỹ thuật lẩn tránh để qua mặt các IDS mà thâm nhập không bị phát hiện.
11
Cơ chế phát hiện xâm nhập IDS
1.4.
Mục đích của hệ thống IDS là nhằm cảnh báo cho người quản trị khi phát hiện
xâm nhập. Những hệ thống báo trộm kích hoạt một tín hiệu dựa trên sự chuyển
động của đầu dị. Các hệ thống IDS cũng có hai dạng cơ chế kích hoạt (triggering
mechanism):
-
Phát hiện sử dụng sai (dựa trên những dấu hiệu)
Phát hiện sử dụng sai còn được gọi là phát hiện dựa trên dấu hiệu (signature –
base detection). Phát hiện sử dụng sai đòi hỏi những file dấu hiệu (signature) để
nhận dạng những hành động xâm nhập. Những file dấu hiệu sử dụng trong phương
pháp phát hiện sử dụng sai thì tương tự như những file dấu hiệu trong những phần
mềm diệt virus.
Bảng 1.3. Ưu điểm, nhược điểm của hệ thống phát hiện xâm nhập dựa trên mẫu dấu
hiệu
Ưu Điểm
-
-
-
-
Nhược Điểm
Có ít nhất cảnh báo nhầm hơn -
Khơng phát hiện được những
kiểu phát hiện sự bất thường.
cuộc tấn công mới hay chưa
Không theo dõi những mẫu lưu
biết.
lượng hay tìm kiếm những sự bất -
Khơng phát hiện những thay đổi
thường.
của những cuộc tấn công đã
Theo dõi những hoạt động đơn
biết.
giản để tìm sự tương xứng đối với -
Khả năng quản trị cơ sở dữ liệu
bất kỳ dấu hiệu nào đã được định
những dấu hiệu là công việc mất
dạng.
nhiều thời gian cũng như khó
Dễ hiểu cũng như dễ định dạng
khăn.
hơn những hệ thống phát hiện sự -
Giống như tường lửa, bộ cảm
bất thường.
biến phải duy trì trạng thái dữ
liệu trong bộ nhớ để tìm lại
nhanh hơn, nhưng mà bộ nhớ
thì giới hạn.
12
Phát hiện sự bất thường (dựa trên mô tả sơ lược)
-
Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được kích hoạt. Chính vì
dạng phát hiện này tìm kiếm những bất thường nên người quản trị bảo mật phải
định nghĩa đâu là những hoạt động, lưu lượng bất thường.
Người quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng
cách tạo ra những bản mơ tả sơ lược nhóm người dùng (user group profile). Mỗi
profile được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt
động mạng. Nếu một người dùng làm lệch quá xa những gì họ định nghĩa trong
profile, hệ thống IDS sẽ phát sinh cảnh báo.
Bảng 1.4. Ưu điểm, nhược điểm của hệ thống phát hiện xâm nhập dựa trên sự bất
thường
-
-
Ưu Điểm
Kẻ xâm nhập sẽ không bao giờ
biết lúc nào có hoặc khơng phát
sinh cảnh báo bởi vì họ khơng có
quyền truy cập vào những profile
sử dụng để phát hiện những cuộc
tấn công.
Không dựa trên một tập những
dấu hiệu đã được định dạng hay
những đợt tấn công đã được biết
-
-
Nhược Điểm
Thời gian chuẩn bị ban đầu cao
Khơng có sự bảo vệ trong suốt
thời gian khởi tạo ban đầu.
Thường xuyên cập nhập profile
khi thói quen người dùng thay
đổi.
Khó khăn trong việc định nghĩa
các hành động thơng thường.
Cảnh báo nhầm
1.5.Kết chương
Chương 1 trình bày tổng quan về cơ sở lý thuyết, các nghiên cứu liên quan đến
IDS, đề tài luận văn bao gồm các nội dung cơ bản như sau:
-
Tổng quan về hệ thống phát hiện xâm nhập IDS, các ưu điểm, nhược điểm
của hệ thống phát hiện xâm nhập IDS.
-
Phân loại IDS theo dựa trên host và dựa trên mạng.
-
Kiến trúc và thành phần của hệ thống phát hiện IDS.
-
Cơ chế hoạt động – phát hiện xâm nhập của hệ thống IDS.
13
Chương 2: MỘT SỐ KỸ THUẬT PHÂN TÍCH LƯU LƯỢNG
PHÁT HIỆN TẤN CÔNG MẠNG
2.1. Tổng quan về các phương pháp, mơ hình phân tích và phát hiện lưu
lượng bất thường
Trong một số năm qua, nhiều giải pháp đã được đưa ra để phân tích và phát
hiện lưu lượng bất thường [8,6,20,12]. Các mơ hình, phương pháp phân tích và phát
hiện lưu lượng bất thường có thể được chia thành các nhóm chính là: nhóm phương
pháp thống kê, nhóm phương pháp dựa vào tri thức, nhóm các phương pháp dựa
vào khai phá dữ liệu và học máy.
Mỗi nhóm, phương pháp, mơ hình đề có thể được phân chia thành nhiều loại
khác nhau, tùy theo mỗi phương pháp, kỹ thuật đặc trưng được sử dụng. Ví dụ,
nhóm thống kê gồm: mơ hình hoạt động dựa trên số đo ngưỡng (mức ngưỡng được
thiết lập dựa trên ước lượng hoặc kinh nghiệm từ khoảng thời gian trước đó), mơ
hình phân bố xác suất, mơ hình chuỗi thời gian (sử dụng chuỗi dữ liệu thời gian),
mơ hình đa biến/đơn biến (sử dụng đa biến hoặc một biến), mơ hình Markov. Nhóm
mơ hình, phương pháp dựa vào tri thức bao gồm: hệ chuyên gia, phân tích mẫu dấu
hiệu, phân tích chuyển đổi trạng thái. Mơ hình, phương pháp dựa vào khai phá dữ
liệu và học máy bao gồm: phân cụm, mạng nơ-ron, logic mờ, hệ miễn dịch nhân
tạo, máy véc tơ hỗ trợ.
Phương pháp, mơ hình thống kê (statistical model) thường giả định tỷ lệ sự kiện
(dữ liệu) bình thường chiếm sác xuất cao trong mơ hình trong khi sự kiện bất
thường chiếm tỷ lệ nhỏ. Phương pháp thống kê dựa trên giả định mơ hình tuân theo
một phân bố thống kê biết trước (parametric model) trong điều kiện bình thường.
Những phân bố thường dùng là phân bố chuẩn, Chi-square, mơ hình hồi quy…
Những sự kiện có xác xuất thấp hoặc có độ lệch vượt một ngưỡng nhất định từ mơ
hình giả định bị coi là bất thường. Một hướng nghiên cứu khác là không giả định
phân bố biết trước mà dựa trên dữ liệu thực nghiệm (non-parametric model). Hướng
nghiên cứu này sử dụng các đặc tính thống kê của dữ liệu ở trạng thái bình thường
14
để thiết lập một tập dữ liệu tham chiếu (normal behavior profile). Tập này được
hình thành từ những dữ liệu “sạch”. Lưu lượng các luồng tin trên mạng được quan
sát, thu thập và so sánh với độ lệch hoặc khoảng cách với tập tham chiếu này để
phát hiện ra bất thường.
Bảng 2.1. Các phương pháp phân tích và phát hiện lưu lượng bất thường
Nhóm tri thức
Nhóm thống kê
Nhóm học máy và khai phá
dữ liệu
- Chuỗi Markov
-
Hệ chuyên gia
- Máy vector hỗ trợ
- Mạng Bayesian
-
Phân tích dấu hiệu
- Logic mờ
- Đơn biến/Đa biến
- Phân tích chuyển - Phân cụm
- Phát hiện ngoại lai
trạng thái
- Độ lệch chuẩn
- Số đo ngưỡng
- Chuỗi thời gian
- Cây quyết định
- Luật kết hợp
- K-nearest neighbor
- Mạng Neural nhân tạo
- Lọc Kalman
- Giải thuật di truyền
- Entropy
- Swarm Intelligence
- Wavelet
Phương pháp, mơ hình tri thức (Knowledge model) xây dựng các luật hoặc mẫu
dấu hiệu để phát hiện bất thường. Về căn bản, hệ thống cần thu thập thông tin tri
thức về những loại bất thường khác nhau. Các loại dữ liệu cần biểu diễn sao cho dễ
dàng xử lý. Các luật, tri thức phải được cập nhật thường xuyên. Phương pháp này
thường mất nhiều thời gian và tài nguyên để xây dựng tri thức. Trong lĩnh vực phát
hiện bất thường, phương pháp tri thức ít phổ biến hơn so với phương pháp thống kê
và khai phá dữ liệu/học máy.
Phương pháp khai phá dữ liệu và học máy (Data mining/Machine Learning)
thường áp dụng phân cụm (Clustering) hoặc phân lớp (Classification) để phát hiện
bất thường. Mục tiêu quan trọng khi áp dụng khai phá dữ liệu vào bài toán phát hiện
15
bất thường là dự đốn thơng tin mới chưa biết và giảm khối lượng dữ liệu cần xử lý.
Khai phá dữ liệu có thể dùng để trợ giúp cho quá trình học máy. Khi áp dụng học
máy, có thể dựa trên những dữ liệu đã biết để tự động hóa quá trình đánh giá, so
sánh và cải tiến hiệu suất dự đoán. Học máy về căn bản là một khả năng một
chương trình hoặc hệ thống cải thiện dần hiệu suất bằng tự học theo thời gian khi
thực hiện một cơng việc. Kết quả trước đó được phân tích để sửa sai và độ chính
xác dựa trên kỹ thuật học máy tự động được cải thiện. Điều này có nghĩa thông tin
thu thập gần đây được dùng để thay đổi sự thực thi. Nhược điểm của phương pháp
này là tốn nhiều tài ngun do mức độ tính tốn phức tạp.
Trong học máy, một phương pháp hay sử dụng là phân lớp (classification). Mục
đích của phân lớp là học từ những dữ liệu huấn luyện rồi áp dụng để phân lớp
những dữ liệu mới. Phương pháp này yêu cầu dữ liệu huấn luyện phải gắn nhãn (đã
phận loại bất thường và bình thường). Phân lớp xác định các quan sát dữ liệu mới
thuộc lớp nào dựa trên dữ liệu huấn luyện đã phận loại. Đường ranh giới phân loại
giữa các lớp dữ liệu có thể ở dưới dạng tuyến tính hoặc phi tuyến. Trong nhiều
trường hợp phương pháp phân lớp giống với phương pháp: giám sát, không giám
sát và bán giám sát.
• Phương phát giám sát (Supervised): Phương pháp này yêu cầu phải có tập dữ
liệu đã phân loại thành lớp bình thường và bất thường. Mỗi loại bất thường cần
được đánh dấu nhãn riêng (ví dụ mỗi loại tấn cơng có tên riêng). Từ tập dữ liệu đã
đánh nhãn có thể xây dựng được mơ hình dự đốn cho từng lớp bình thường và bất
thường. Do vậy, phương pháp giám sát mơ hình hóa tất cả các hành vi bình thường
và bất thường trong quá trình huấn luyện (training) hệ thống. Mơ hình đã học sau
huấn luyện được sử dụng để phát triển dấu hiệu bất thường với dữ liệu đã biết và
thường có độ phức tạp cao. Để huấn luyện được hệ thống cần nhiều dữ liệu đã đánh
nhãn. Tuy nhiên, việc phân loại, đánh nhãn cho dữ liệu, nhất là các loại bất thường
khác nhau rất khó thực hiện được. Những dữ liệu bất thường có số lượng khơng
nhiều nếu so sánh với dự liệu bình thường gây trở ngại cho việc mơ hình hóa và
tăng độ chính xác khi phân loại. Phương pháp thường dùng để thu được tập dữ liệu
16
đánh nhãn là tạo ra những dữ liệu mô phỏng gần với thực tế theo một kịch bản đã
được lập trình.
• Phương pháp bán giám sát (Semi-supervised): Phương pháp bán giám sát chỉ
huấn luyện với dữ liệu lớp bình thường và khơng có các lớp bất thường khác nhau.
Phương pháp này con gọi là phương pháp một lớp (one-class). Cách làm này phát
hiện được bất thường từ sự khác biệt với lớp bình thường đã huấn luyện nhưng
khơng phân biệt được các loại bất thường.
•
Phương pháp khơng giám sát (Unsupervised): Phương pháp này không cần
huấn luyện với các dữ liệu như hai phương pháp trên mà phát hiện bất thường trực
tiếp trên dữ liệu đầu vào. Tuy nhiên, phương pháp khơng giám sát u cầu số lượng
dữ liệu bình thường phải lớn hơn nhiều so với dữ liệu bất thường (ví dụ: 90% dữ
liệu là bình thường). Khi u cầu trên vi phạm, tỉ lệ cảnh báo sai sẽ rất cao.
Bảng 2.2 Tổng kết tóm tắt một số ưu, nhược điểm của nhóm phương pháp phát
hiện lưu lượng bất thường.
Nhóm
Ưu điểm
Nhược điểm
phương
pháp
Thống kê
- Dựa trên phân bố thống - Áp dụng phân bố thống kê không thể
kê biết trước hoặc dựa trên mơ hình hóa được tồn bộ trạng thái
thực nghiệm. Các tham số của hệ thống.
của trạng thái bình thường - Khó thiết lập các tham số, ví dụ mức
thu được từ dữ liệu thực ngưỡng.
nghiệm.
- Nếu hành vi hợp lệ nhưng gây đột
biến lưu lượng có thể dẫn đến cảnh báo
sai.
Học máy
- Cập nhật thông tin các - Yêu cầu số lượng dữ liệu lớn.
lớp có thể cải tiến hiệu - Phải huấn luyện trước thông tin các
lớp
