ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN PHƯƠNG CHÍNH GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TRUY CẬP TRÁI PHÉP VÀO MẠNG LUẬN VĂN THẠC SĨ Hà Nội – 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Lời đầu tiên, xin chân thành cảm ơn PGS TS Nguyễn Văn Tam, Viện công nghệ thông tin, người gợi ý đề tài tận tình hướng dẫn cho tơi hồn thành luận văn cao học Tôi xin gửi lời cảm ơn chân thành tới Phòng đào tạo sau đại học thầy cô giáo khoa Công nghệ - Trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội giảng dạy, truyền đạt tạo điều kiện học tập tốt cho suốt trình học cao học thời gian thực luận văn cao học Hà Nội, tháng 06 năm 2009 Nguyễn Phương Chính LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com I MỤC LỤC LỜI CẢM ƠN BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU MỤC LỤC MỞ ĐẦU Đặt vấn đề Nội dung đề tài Cấu trúc luận văn .2 CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG IPS 1.1 Lịch sử đời .3 1.2 Hệ thống IDS 1.2.1 Một hệ thống IDS bao gồm thành phần .4 1.2.2 Phân loại hệ thống IDS 1.2.2.1 Network-based Intrusion Detection System (NIDS) 1.2.2.2 Host-based Intrusion Detection System (HIDS) 1.2.2.3 Hybrid Intrusion Detection System 1.3 Hệ thống IPS 1.3.1 Phân loại IPS .10 1.3.2 Các thành phần 11 1.3.2.1 Module phân tích gói (packet analyzer) 11 1.3.2.2 Module phát công .11 1.3.2.3 Module phản ứng 14 1.3.3 Mơ hình hoạt động 15 1.3.4 Đánh giá hệ thống IPS 17 1.4 Kết chương 18 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com I CHƯƠNG : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS 21 2.1 Tổng quan phương pháp phát bất thường .21 2.1.1 Thế bất thường mạng? 21 2.1.2 Các nguồn liệu dùng cho phát bất thường 22 2.1.2.1 Network Probes 23 2.1.2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) 23 2.1.2.3 Dữ liệu từ giao thức định tuyến .24 2.1.2.4 Dữ liệu từ giao thức quản trị mạng 24 2.1.3 Các phương pháp phát bất thường 25 2.1.3.1 Hệ chuyên gia ( Rule-based ) 25 2.1.3.2 Mạng Nơ-ron ( Artificial Neural Network) 27 2.1.3.3 Máy trạng thái hữu hạn 31 2.1.3.4 Phân tích thống kê 32 2.1.3.5 Mạng Bayes 34 2.2 Kết chương 35 CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG DỰA TRÊN KHAI PHÁ DỮ LIỆU 36 3.1 Khai phá liệu 36 3.2 Các thuật toán phát bất thường khai pháp liệu .39 3.2.1 Đánh giá chung hệ thống 39 3.2.2 Phần tử dị biệt .41 3.2.2.1 Phương pháp điểm lân cận gần (NN) .42 3.2.2.2 Phương pháp pháp điểm dị biệt dựa khoảng cách Mahalanobis 43 3.2.2.3 Thuật toán LOF .44 3.2.2.4 Thuật toán LSC-Mine .48 3.3 Mô hình phát bất thường dựa kỹ thuật KPDL .50 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com I 3.3.1 Module lọc tin .51 3.3.2 Module trích xuất thơng tin 51 3.3.3 Môđun phát phần tử di biệt 52 3.3.4 Module phản ứng 55 3.3.5 Module tổng hợp 55 3.4 Giới thiệu hệ thống phát xâm nhập MINDS .58 3.4.1 Giới thiệu hệ thống 58 3.4.2 So sánh SNORT MINDS 64 3.4.3.1 Tấn công dựa nội dung 64 3.4.3.2 Hoạt động scanning 65 3.4.3.3 Xâm phạm sách 66 3.5 Kết chương 66 KẾT LUẬN 68 Hướng phát triển luặn văn: .69 TÀI LIỆU THAM KHẢO LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com II BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU Từ viết tắt Đầy đủ Tiếng Việt IPS Intrusion Prevension System Hệ thống ngăn chặn truy cập trái phép IDS Instrusion Detection System Hệ thống phát truy cập trái phép NIDS Network-based Intrusion Hệ thống phát truy cập cho mạng Detection System HIDS Host-based Intrusion Hệ thống phát truy cập cho máy trạm Detection System OOB IPS Out of band Intrusion Hệ thống IPS bố trí bên ngồi Prevension System In-line IPS In line Intrusion Prevension Hệ thống IPS bố trí thẳng hàng System UDP User Datagram Protocol Giao thức truyền liệu UDP TCP Transmission Control Giao thức truyền liệu TCP Protocol FTP File Transfer Protocol Giao thức truyền file FTP DNS Domain Name Server Dịch vụ phân giải tên miền ROC Recevier Operating Đường cong đặc trưng hoạt động Characteristic Curve DoS Denial of Service Tấn công từ chối dịch vụ OSPF Open shortest path first Giao thức định tuyến OSPF SNMP Simple Network Tập hớp giao thức quản lý mạng đơn giản Management Protocol MIB Management information Cơ sở quản lý thông tin base FCM Fuzzy cognitive map Bản đồ nhận thức mờ MLP Multi-layered Perceptron Kiến trúc nhận thức đa tầng SOM Self-Organizing Maps Bản đồ tổ chức độc lập LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com II FSM Finite states machine Máy trạng thái hữu hạn IDES Intrusion Detection Expert Hệ thống chuyên gia phát truy cập System trái phép Next Generation Intrusion Thế hệ hệ thống chuyên gia Detection Expert System phát truy cập trái phép Event Monitoring Enabling Hệ thống phát truy cập EMERALD NIDES EMERALD Responses to Anomalous Live Disturbances LOF Local Outlier Factor Nhân tố dị biệt địa phương MINDS Minnesota Intrusion Hệ thống phát truy cập Minnesota Detection System LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com III THÔNG TIN HÌNH VẼ/BẢNG Hình vẽ/bảng Trang Hình 1.1 : Hệ thống Network-based Intrusion Detection Hình 1.2 : Hệ thống Host-based Intrusion Detection Hình 1.3: Hệ thống Hybrid Intrusion Detection Hình 1.4 : Mơ hình thêm luật phương pháp phát dựa dấu 12 hiệu Hình 1.5: Mơ hình thêm luật phương pháp phát dựa phát 13 bất thường Hình 1.6 : Mơ hình hoạt động hệ thống IPS 15 Hình 1.7 : Minh họa đường cong ROC 18 Hình 2.1: Mơ hình hệ thống phát bất thường dựa tập luật 26 Hình 2.2: Mơ hình mạng nơron 27 Hình 2.3: Cấu trúc hệ thống phát bất thường sử dụng SOM 29 Hình 2.4: Cơng thức chuẩn hóa liệu đầu vào 30 Hình 2.5: Thiết kế mạng SOM 30 Hình 2.6: Mơ hình FSM cho kết nối TCP 31 Hình 3.1: Gán giá trị để lượng hóa cơng sơ đồ 40 Hình 3.2: Minh họa toán phát phần tử dị biệt 41 Hình 3.3: Minh họa phương pháp điểm lân cận gần phát 43 phần tử dị biệt Hình 3.4: Ưu điểm phương pháp dựa khoảng cách 44 Mahalanobis tính khoảng cách Hình 3.5: Ví dụ khoảng cách R-dis (reach-dist) 45 Hình 3.6: Ưu điểm phương pháp LOF 47 Hình 3.7: Thuật tốn LSC-Mine 50 Hình 3.8: Mơ hình hệ thống phát bất thường sử dụng kỹ thuật 50 KPDL Hình 3.9: Đường cong ROC thuật toán 54 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com III Hình 3.10: Mơ tả hoạt động mơđun tổng hợp 56 Hình 3.11: Mơ hình hoạt động hệ thống MINDS 59 Hình 3.12: Bảng kết đầu hệ thống MINDS – cột 62 giá trị bất thường Bảng 3.1: Danh sách cảnh báo chưa rút gọn 57 Bảng 3.2: Danh sách cảnh báo sau rút gọn 58 Bảng 3.3: Những đặc điểm chọn “dựa thời gian” 60 Bảng 3.4: Những đặc điểm chọn “dựa kết nối” 60 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỞ ĐẦU Đặt vấn đề Vấn đề an tồn, an ninh mạng khơng ngày trở nên quan trọng với phát triển theo chiều rộng chiều sâu xã hội thơng tin Lấy ví dụ đơn giản gần nhiều trang web, hệ thống mạng Việt Nam bị hacker công gây hậu đặc biệt nghiêm trọng Hơn công ngày tinh vi, phức tạp đến từ nhiều hướng khác Trước tình hình hệ thống thơng tin cần phải có chiến lược, giải pháp phòng thủ theo chiều sâu nhiều lớp IPS (Intrusion Prevension System – Hệ thống ngăn chặn truy nhập trái phép) hệ thống có khả phát trước làm chệch hướng công vào mạng IPS đáp ứng yêu cầu hệ thống phòng thủ chiến lược theo chiều sâu, hoạt động dựa sở thu thập liệu mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không để đưa cảnh báo cho nhà quản trị mạng tự động thực số thao tắc nhằm ngăn chặn chấm dứt cơng Các hệ thống IPS có hai hướng tiếp cận dựa dấu hiệu dựa phát bất thường Đối với hướng dựa dấu hiệu, hệ thống sử dụng mẫu công từ lần công trước tiến hành so sánh để xác định liệu xét có phải công không, hướng sử dụng tương đối rộng rãi có điểm yếu phát dạng công biết trước Đối với hướng dựa phát bất thường, hệ thống xây dựng hồ sơ mô tả trạng thái bình thường, từ xét hành động bất thường thông số đo hành động có độ khác biệt đáng kể với mức “bình thường” Hướng tiếp cận có nhiều ưu điểm cách tiếp cận dựa dấu hiệu có khả phát công Nội dung đề tài Xuất phát từ vấn đề nêu trên, nội dung đề tài bao gồm vấn đề sau: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 57 Đối với module tổng hợp đầu vào kết nối xác định bất thường từ module phát phần tử dị biệt, đầu mẫu rút gọn mô tả công Module tổng hợp sử dụng thuật toán heuristic để lựa chọn cách rút gọn tập cảnh báo cách phù hợp Các thuật toán bao gồm bước sau:  Xuất phát từ cảnh báo module phát phần tử dị biệt, xác định tần số xuất tập yếu tố quan sát  Đưa danh sách ứng cử viên rút gọn  Sử dụng vét cạn trường hợp sử dụng hàm định lượng S=k*(độ nén) – ( tỉ lệ tin)  Xác định ứng cử viên có hàm định lượng S lớn Thực rút gọn theo ứng cử viên Loại bỏ cảnh báo nằm trình rút gọn Cứ tiếp tục với ứng cử viên khác toàn danh sách rút gọn  Ta xem xét danh sách cảnh báo sau: SrcIp sPort dstIP dPort Pro Flags Packet Bytes T1 12.190.84.122 32178 100.10.20.4 80 Tcp _APRS_ [2,20] [504,1200] T2 88.34.224.2 51989 100.10.20.4 80 Tcp _APRS_ [2,20] [220,500] T3 12.190.19.23 2234 100.10.20.4 80 Tcp _APRS_ [2,20] [220,500] T4 98.198.66.23 27643 100.10.20.4 80 Tcp _ARSF_ [2,20] [42,200] T5 192.168.22.4 5002 100.10.20.3 21 Tcp _APRS_ [2,20] [42,200] T6 192.168.22.4 5001 100.10.20.3 21 Tcp _APRS_ [40,68] [200,500] T7 67.118.25.23 43532 100.10.20.3 21 Tcp _ARSF_ [40,68] [42,200] T8 192.168.22.4 2765 100.10.20.4 113 Tcp _APRS_ [2,20] [504,1200] Bảng 3.1 danh sách cảnh báo chưa rút gọn Tập ứng cử viên bao gồm yếu tố quan sát yếu tố quan sát có tần số xuất cao như: {[srcIP=192.168.22.4],[dstIP=100.10.20.4;pro=tcp;flags=_APRPS_, packets=2,20], [dport=80],[srcIP=192.168.22.4;dstIP=100.10.20.3],[dstIP=100.10.20.4;dport=80]…} Sử dụng thuật tốn rút gọn, cảnh báo cịn sau: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 58 SrcIp sPort dstIP dPort Pro Flags Packet Bytes S1 *.*.*.* *** 100.10.20.4 * Tcp _APRS_ [2,20] *** S2 *.*.*.* *** 100.10.20.3 21 Tcp *** *** *** S3 192.168.22.4 2765 100.10.20.4 113 Tcp _APRS_ [2,20] [504,1200] Bảng 3.2 Danh sách cảnh báo sau rút gọn Các hệ thống phát bất thường trước có điểm hạn chết khơng có q trình học phản hồi từ chuyên gia Nghĩa cảnh báo sai tiếp tục xuất lần sau Đối với hệ thống sử dụng KPDL, hình thành cảnh báo rút gọn, Module tổng hợp chuyển cho chuyên gia xem xét định cảnh báo cảnh báo thực có cơng, liệu cập nhật vào kho liệu hệ thống giúp cho việc phát công lần sau đơn giản 3.4 Giới thiệu hệ thống phát xâm nhập MINDS 3.4.1 Giới thiệu hệ thống Hệ thống phát xâm nhập Minnesota (MINDS) [9] hệ thống dựa phương pháp khai phá liệu nhằm phát xâm nhập mạng Mơ hình hệ thống thực chất trình bày phần có đầy đủ module thành phần hệ thống phát xâm nhập sử dụng khai phá liệu, phần vào giới thiệu thành phần triển khai thực hệ thống Hình 3.11 minh họa tiến trình phân tích liệu giao thơng mạng hệ thống Đầu vào hệ thống MINDS liệu Netflow phiên cơng cụ dịng ( Flow-tool) tập hợp lại Các cơng cụ bắt thông tin phần header gói tin (chứ khơng bắt nội dung) xây dựng phiên (các flows) chiều Chúng ta làm việc liệu Netflow thay liệu tcpdump khả thu thập lưu trữ liệu tcpdump tương đối tốn Trong vòng 10 phút, liệu Netflow sinh khoảng 1-2 triệu dòng lưu vào tệp liệu Các chuyên gia dùng hệ thống MINDS để phân tích tệp liệu sinh 10 phút đợt Lý hệ thống chạy tệp đợt thời gian cần để phân tích tệp mà chủ yếu chuyên gia cảm thấy thuận tiện Để chạy hệ thống với LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 59 tệp sinh 10 phút máy tính để bàn thường phút Như biết trước liệu chuyển vào module phát bất thường, bước lọc liệu tiến hành nhằm loại bỏ liệu mạng mà chun gia khơng muốn phân tích Ví dụ, liệu sau lọc gồm liệu từ nguồn xác thực biểu mang tính bất thường/ nguy hiểm lại coi khơng mang tính xâm phạm Hình 3.11 Mơ hình hoạt động hệ thống MINDS Bước q trình MINDS trích lọc đặc điểm dùng cho việc phân tích khai phá liệu Những đặc điểm bao gồm địa IP nguồn IP đích, cổng nguồn, cổng đến, giao thức, cờ, số lượng bytes số lượng gói Các đặc điểm phát sinh gồm có cửa sổ thời gian đặc điểm dựa cửa sổ kết nối(trình bày phần trên) Chúng tạo để bắt liên kết có tính chất khoảng T giây cuối Chúng đặc biệt hữu ích việc phân biệt nguồn có lượng kết nối cao đơn vị thời gian với phần cịn lại giao thơng mạng biết đến hoạt động scanning nhanh Phương pháp tương tự áp dụng vào việc xây dựng tính bảng liệu KDD Cup năm 1999 Bảng 3.3 tóm tắt tính dựa cửa sổ thời gian LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 60 Tên đặc điểm Mơ tả count_src Số kết nối có nguồn đến đích khác t giây gần count_dest Số kết nối có đích từ nhiều nguồn khác t giây gần count_serv_src Số kết nối đến địa cổng đích t giây gần count_serv_dest Số kết nối từ địa đích đến địa cổng đích T giây gần Bảng 3.3 đặc điểm chọn “dựa thời gian” Khác với scan “nhanh” hoạt động scanning “chậm” hoạt động scan host port sử dụng khoảng thời gian nhiều vài giây, ví dụ tiếp xúc (scan) phút chí tiếp xúc bị chia cắt với phần cịn lại giao thơng mạng sử dụng đặc điểm dựa cửa sổ thời gian Để làm điều đó, tạo đặc điểm dựa vào cửa sổ-kết nối nhằm bắt đặc điểm tương tự kết nối đặc tính dựa cửa sổ thời gian, nhiên lại tính tốn dựa N kết nối cuối xuất phát từ (hoặc đến) nguồn riêng biệt (đích) Các đặc điểm dựa cửa sổ liên kết minh họa bảng 3.4 Tên đặc điểm Mô tả count_dest_conn Số kết nối có từ nguồn đến đích khác N kết nối gần count_src_conn Số kết nối có đích từ nhiều nguồn khác N kết nối gần count_serv_src_conn Số kết nối đến địa cổng đích N kết nối gần count_serv_des_conn Số kết nối từ địa đích đến địa cổng đích N kết nối gần Bảng 3.4 đặc điểm chọn “dựa kết nối” LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 61 Sau bước rút đặc điểm để phân tích, module phát cơng biết dùng để phát kết nối mạng tương ứng với cơng mà chúng có sẵn dấu hiệu loại bỏ chúng khỏi danh sách liệu cần phân tích Tiếp đến, liệu chuyển tiếp vào module phát bất thường MINDS sử dụng thuật toán phát điểm dị biệt để gán giá trị bất thường cho kết nối mạng MINDS sử dụng thuật toán LOF module phát bất thường.Một chuyên gia sau phải xem xét kết nối có giá trị bất thường để định liệu chúng có phải công thực biểu ngẫu nhiên bên Module tổng hợp MINDS tổng kết liên kết mạng xếp chúng theo mức độ bất thường từ cao xuống thấp Cuối chuyên gia đưa phản hồi sau phân tích kết định chúng có ích việc tạo luật sử dụng module phát công biết hay không Tiếp theo xem xét số kết thu sau áp dụng module phát bất thường MINDS vào giao thông mạng thực đại học Minnesota Tuy nhiên đưa tỉ lệ phát tỉ lệ cảnh báo sai khó khăn việc đánh dấu toàn kết nối mạng Chuyên viên an ninh mạng ĐH Minnesota sử dụng phương pháp MINDS để phân tích giao thơng mạng từ năm 2002 Trong suốt thời gian này, MINDS phát thành công nhiều công biến dạng mà bị phát dùng hệ thống dựa dấu hiệu (signature) SNORT Nhìn chung, MINDS có khả thường xuyên phát hành động xâm nhập nguy hại khác (ví dụ xâm phạm sách - policy violations), phát tán sâu hoạt động scan Đầu tiên vào q trình chun viên phân tích đầu module phát bất thường MINDS dãy liệu cụ thể Sau tiếp tục với vài ví dụ loại cơng khác xác định MINDS Hình 3.12 cho thấy kết nối đứng đầu module phát bất thường MINDS tìm 10 phút khoảng 48 tiếng sau sâu Slammer/ Sapphire xuất Đầu bao gồm liệu gốc với giá trị bất thường gán cho kết nối thành phần liên quan đặc điểm số 16 đặc điểm sử dụng thuật toán phát bất thường Lưu ý hầu hết kết nối đứng đầu thuộc sâu Slammer/ Sapphire ( có giá trị bất thường cao –cột đầu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 62 tiên) Đó khoảng thời gian này, kết nối mạng bị nhiễm sâu chiếm 2% tổng giao thông mạng Điều chứng tỏ hiệu phương pháp MINDS việc xác định kết nối nhiễm sâu Những kết nối đánh dấu màu xám nhạt Chúng ta quan sát hình để thấy thành phần đóng góp nhiều vào giá trị bất thường kết nối đặc tính 11 Nguyên nhân máy tính bị nhiễm ngồi hệ thống cố gắng kết nối với máy tính bên mạng Hình 3.12 Bảng kết đầu hệ thống MINDS – cột giá trị bất thường Cũng hình 3.12 thấy suốt khoảng thời gian cịn có hoạt động scanning khác (ping scan, đánh dấu màu xám đậm) bị phát đặc tính 11 Hai dịng khơng đổi màu phản hồi từ server chơi game half-life bị đánh dấu bất thường máy tính giao tiếp qua cổng 27016/udp Đối với liên kết web, thông thường chúng giao tiếp qua cổng 80 trình bày mẫu liệu thông thường Tuy nhiên, kết nối half-life không phù hợp với mẫu thơng thường mà số lượng đặc tính 15 tăng đột biến nên chúng bị coi bất thường LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 63 Phát sâu Vào ngày 10/10/2002, module MINDS phát hoạt động sâu Slapper vượt qua truy quét SNORT chúng biến thể loại mã sâu có Một máy tính bị nhiễm sâu, giao tiếp vơi máy khác lây lan sang máy Phiên phổ biến loại sâu dùng cổng 2002 để giao tiếp, vài biến thể lại dùng cổng khác MINDS xác định kết nối bất thường với lý sau: Thứ nhất, cổng nguồn cổng đích liên kết khơng bất thường tách riêng, cặp đôi cổng nguồn-đích lại bất thường (tuy máy phát bất thường không lưu số liệu tần suất cặp thuộc tính, xây dựng vùng lân cận kết nối này, hầu hết điểm lân cận chúng khơng có cặp cổng nguồn-đích giống nhau, điều tạo khoảng cách); Thứ 2, mẫu giao tiếp loại sâu trông giống hoạt động scan chậm khiến cho giá trị biến tương ứng với số lượng kết nối từ IP nguồn đến cổng đích kết nối cuối trở nên lớn Nguyên tắc phát sâu SNORT dùng cổng 2002 (và vài cổng khác) không đủ cho tất biến thể xuất Một nguyên tắc tổng quát SNORT viết để phát biến thể loại sâu cảnh báo sai tỷ lệ cao Hoạt động scanning DoS(Scanning and DoS activities): Ngày 9/8/2002, hệ thống CERT/CC cảnh báo “sự lan rộng scanning khả từ chối hoạt động dịch vụ nhằm vào dịch vụ Microsoft-DS qua cổng 445/TCP” giống công Từ chối Dịch vụ (DoS) Ngồi ra, CERT/CC cịn thể “sự quan tâm nhận báo cáo từ sites có báo cáo chi tiết chứng vụ công” Các kết nối mạng thuộc loại scanning xếp top đầu có giá trị dị biệt cao vào ngày 13/08/2002 module phát bất thường MINDS phát làm nhiệm vụ phân tích thường nhật giao thơng mạng ĐH Minnesota Module scan cổng SNORT không phát công việc scanning cổng diễn chậm chạp Sau vào tháng 9/2002, SNORT bổ sung quy tắc để bắt loại công Ngày 13/08/2002, module phát ‘hoạt động scanning dịch vụ Oracle” thông qua việc giá trị bất thường kết nối nằm top2(top bao gồm liên kết thuộc DoS nhằm vào Microsoft-DS service qua cổng 445/TCP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 64 trình bày trên) Tấn cơng dạng thường khó bị phát dùng phương pháp khác Oracle scan gắn vào môi trường Web scan rộng lớn nhiều cảnh báo sinh Web scan đưa đến hàng núi công việc cho chuyên gia Ngày 13/06, CERT/CC đưa cảnh báo vụ cơng Xâm phạm sách(Policy Violations): - Từ ngày 8-10/08/2002, module MINDS phát máy chạy dịch vụ Microsoft PPTP VPN máy khác chạy dịch vụ FTP qua cổng cổng chuẩn chúng, bị coi xâm phạm sách Cả loại xâm phạm nằm top có giá trị dị biệt cao MINDS đánh dấu dịch vụ thuộc dạng bất thường chúng không phép - Ngày 6/2/2003, MINDS phát thông điệp phản hồi lặp lại ICMP ý muốn đến máy tính bị nhiễm sâu Stacheldract trước (1 nhân tố DDoS) Mặc dù máy bị nhiễm sâu bị tách khỏi hệ thống máy tính khác ngồi mạng cố giao tiếp với 3.4.2 So sánh SNORT MINDS Trong phần tiến hành so sánh phương pháp MINDS SNORT khía cạnh loại cơng mà chúng phát Đặc biệt, chúng tơi so sánh hiệu chúng loại hành vi mang tính bất thường mạng:  công dựa nội dung  hoạt động scanning  hoạt động xâm nhập sách (policy) 3.4.3.1 Tấn công dựa nội dung Những cơng dạng nằm ngồi tầm kiểm sốt MINDS phiên MINDS không tận dụng đặc tính dựa nội dung Do đó, SNORT tỏ rõ ưu vượt trôi việc xác định công dạng Tuy nhiên, SNORT phát cơng dựa nội dung biết dấu hiệu/ quy tắc từ trước Mặc dù SNORT phát công điều quan trọng máy tính bị đột nhập thành cơng, biểu trở LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 65 nên bất thường bị module MINDS phát Chúng ta thảo luận nhiều dạng biểu bất thường phần “xâm nhập sách” 3.4.3.2 Hoạt động scanning Trong tiến hành phát hoạt động scanning khác nhau, SNORT MINDS có biểu giống số loại scans định, chúng lại khác khả phát loại khác Nói chung, có loại scans: scan đến loại scan kẻ cơng ngồi hệ thống qt điểm dễ bị đột nhập hệ thống giám sát; scan hệ thống giám sát truy quét bên Các hoạt động scan đến chia làm loại mà phương pháp SNORT MINDS có biểu nhằm phát chúng khác  scan nhanh (thông thường)  scan chậm Khi phát hoạt động scan đến từ nguồn bên ngoài, module SNORT kiểm sốt số lượng địa IP đích từ địa IP nguồn khoảng thời gian định (mặc định giây) Bất kể giá trị countdest cao ngưỡng cố định (SNORT mặc định giá trị 4), hệ thống SNORT báo động cách hoạt động scan địa IP nguồn Module MINDS gán giá trị cao cho bất thường vào kết nối mạng hầu hết kết nối mạng thông thường, giá trị count-dest thường thấp Ngoài ra, kết nối từ loại hoạt động scanning khác có xu hướng mang đặc tính bất thường (ví dụ playload), chúng cộng dồn vào giá trị bất thường SNORT phát hoạt động scan đến miễn hoạt dộng diễn đủ nhanh khung thời gian định (giá trị mặc định giây) ngưỡng cho phép (giá trị mặc định 4) Nếu hoạt động scanning diễn chậm (nằm tham số cụ thể), khơng bị SNORT phát Tuy nhiên, SNORT tìm hoạt động cách tăng khung thời gian và/hoặc giảm số lượng kiện đếm khoảng thời gian đó, việc dẫn đến tỷ lệ cảnh báo nhầm cao Vì vậy, module MINDS tỏ phù hợp tình LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 66 xem xét đặc tính dựa khung thời gian dựa khung kết nối (khác với SNORT dùng đặc tính dựa khung thời gian) SNORT khơng thể phát hoạt động scan đơn giản khơng kiểm tra chúng Trái lại, module MINDS phát hoạt động scan đến Việc thay đổi đầu vào cho module quét cổng cho phép SNORT phát hoạt động scan Tuy nhiên, chiếm nhiều nhớ SNORT gặp vấn đề với hoạt động scan chậm tương tự hoạt động scan đến chậm 3.4.3.3 Xâm phạm sách Module MINDS có khả phát xâm phạm sách (ví dụ dịch vụ lạ trái phép) cao so với SNORT tìm kiếm hành vi mạng bất thường SNORT phát xâm nhập đặt quy tắc cho hoạt động cụ thể Do số lượng đa dạng hoạt động lớn chưa biết đến nên việc kết hợp chúng vào SNORT không thực tế lý sau Thứ nhất, việc xử lý tất quy tắc tốn nhiều thời gian dẫn đến việc giảm hiệu làm việc SNORT Một điều quan trọng khác cần ý SNORT mong muốn giữ số lượng giao thông mạng phân tích mức vừa nhỏ cách kết hợp quy tắc cụ thể tốt Mặt khác, quy tắc chi tiết hạn chế khả tổng hợp hóa hệ thống dự quy tắc điển hình, thay đổi nhỏ tính chất cơng khiến cho cơng khơng thể bị phát Thứ 2, sở tri thức công SNORT cần phải cập nhật tay chuyên gia phát kiểu công Trái lại, module MINDS thích nghi cách tự nhiên, đặc biệt thành cơng việc phát biểu bất thường bắt nguồn từ máy yếu thế/ phịng thủ lỏng lẻo (ví dụ kẻ cơng xâm nhập vào máy, cài đặt phần mềm trái phép dùng máy để phát động công vào máy khác) Những biểu thường xuyên bị bỏ qua chúng không nằm dấu hiệu nhận dạng công SNORT 3.5 Kết chương Trong chương nghiên cứu việc áp dụng Kỹ thuật khai phá liệu cho hệ thống IPS Hướng áp dụng dựa KPDL mang lại nhiều ưu điểm, đầu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 67 tiên giống kỹ thuật phát bất thường khác, hệ thống IPS sử dụng KPDL không cần có hiểu biết trước dạng cơng dễ dàng phát cơng hình thành Hơn sử dụng phương pháp phát tương đối xác kiểu cơng dạng DoS hay dò quét cổng diễn thời gian kéo dài Ngồi đặc điểm quan trọng khác kỹ thuật KPDL sử dụng trường hợp liệu dạng thơ, khơng đầy đủ, thiếu sót khơng xác Chương đưa mơ hình cho hệ thống IPS dựa KPDL, bao gồm module: Lọc tin, Trích xuất liệu, Phát phần tử dị biệt, Phản ứng Tổng hợp Trong module Lọc tin trích xuất liệu hai module ban đầu xử lý liệu cho phù hợp với đầu vào module phát phần tử dị biệt, module quan trọng làm nhiệm vụ phát trường hợp liệu có dấu hiệu bất thường cơng mạng, module sử dụng số thuật tốn phát phần tử dị biệt KPDL trình bày chương Module cuối module Tổng hợp có nhiệm vụ tổng hợp, rút gọn dấu hiệu mà module phát phần tử dị biệt đưa nhằm tạo thành quy tắc dấu hiệu giúp trình phát lần sau nhanh ( sử dụng module Lọc tin) Ở phần cuối chương, giới thiệu hệ thống thực triển khai sử dụng kỹ thuật KPDL, hệ thống MINDS trường đại học Minnesota, Mỹ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 68 KẾT LUẬN Hệ thống chống xâm nhập (Intrusion Prevention System –IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IPS đời nhằm khắc phục hạn chế hệ thống IDS(Instrusion Detection System) : IDS thường xuyên đưa nhiều báo động giả ( False Positives), gánh nặng cho quản trị an ninh hệ thống cần theo dõi liên tục, kèm theo cảnh báo cơng quy trình xử lý an ninh vất vả, IDS khơng có khả theo dõi luồng liệu truyền với tốc độ lớn Xuyên suốt đề tài “Giải pháp phát truy cập trái phép vào mạng”, tơi vào tìm hiểu giới thiệu hệ thống IPS thành phần, chức năng, phân loại hoạt động hướng tiếp cận phát triển hệ thống IPS Thông thường người ta chia IPS thành loại NIPS (Network-based Intrusion Prevention System) theo dõi phát cố hệ thống mạng, HIPS (Hostbased Intrusion Prevention System) theo dõi xử lý cố máy tính riêng lẻ, Hybrid Intrusion Prevention System kết hợp hệ thống NIPS HIPS thu thập thông tin máy trạm kết hợp với thông tin thu thập mạng để có phân tích cách chi tiết trạng hệ thống mạng Về mặt thành phần, hệ thống IPS bao gồm module chính: module phân tích gói tin, module phát cơng module phản ứng module phát công quan tâm phát triển nhiều Module cài đặt dựa phương pháp : phương pháp phát dựa dấu hiệu (mẫu) phương pháp dò dựa phát bất thường Phương pháp phát dựa dấu hiệu sử dụng mẫu cơng có sẵn sở liệu so sánh với dấu hiệu nhằm xác định xem có phải cơng hay khơng Phương pháp có nhiều điểm hạn chế địi hỏi phải mơ tả cách xác dấu hiệu, tốn nhiều tài nguyên để lưu trữ, phụ thuộc nhiều vào công việc người quản trị thường xuyên phải cập nhật cơng Phương pháp dị dựa phát bất thường hoạt động dựa nguyên tắc, định trạng thái hoạt động bình thường hệ thống, IPS dị so sánh tồn công có hành động bất thường xảy Phương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 69 pháp có nhiều ưu điểm so với phương pháp sử dụng dấu hiệu có khả dị công chưa biết cao, đồng thời tốn tài nguyên có nhược điểm đưa cảnh báo sai hệ thống có dấu hiệu bất thường xâm nhập hay công Tiếp đến luận văn vào nghiên cứu hệ thống IPS dựa phát bất thường Có nhiều phương pháp phát bất thường Phân tích thống kê, Máy trạng thái hữu hạn, Mạng Nơ-ron, Hệ chuyên gia, Mạng Bayes… Theo luận văn tiếp cận tương đối kỹ phương pháp phát bất thường phương pháp dựa khai phá liệu (KPDL) Đây phương pháp tương đối có nhiều đặc điểm ưu việt ngồi việc có khả phát công dạng mới, cơng kéo dài dạng DoS hay dị qt cổng, ưu điểm thể hiển khả sử lý liệu trường hợp liệu dạng thô, không đầy đủ, thiếu sót khơng xác Phần cuối luận văn giới thiệu hệ thống dạng IDS triển khai ứng dụng kỹ thuật KPDL tương đối hiệu hệ thống phát xâm nhập trường đại học Minnesota Hướng phát triển luặn văn: Ngày vấn đề an ninh mạng trước công ngày tinh vi hacker lây lan nhiều loại sâu, trojan … việc sử dụng hệ thống tường lửa, chương trình anti-virus thơi khơng đủ, mà cần phải có hệ thống bảo vệ có khả phát kịp thời, chí trước có cơng diễn Vì việc nghiên cứu, phát triển cải tiến hệ thống IPS nhu cấu tất yếu Hướng phát triển luận văn là:  Nghiên cứu thuật toán tốt ứng dụng việc phát công (các thuật toán phát phần tử dị biệt KPDL,…), giúp hệ thống giảm tỉ lệ cảnh báo sai, tăng tỉ lệ cảnh báo  Xây dựng chương trình phát bất thường sử dụng KPDL với thuật toán phát phần tử dị biệt cụ thể thuật toán LOF LSC LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com IV TÀI LIỆU THAM KHẢO C Iheagwara (2004), “The effectiveness of intrusion detection systems” Computers & Security Journal, 23, pp 213-228 A Yee, “The intelligent IDS: next generation network intrusion management revealed.” NFR security white paper Available at: http://www.eubfn.com/arts/887_nfr.htm C Iheagwara (2004), “The Effect Of Intrusion Detection Management Methods On The Return On Investment” Computers & Security Journal, 23, pp 213-228 Marina Thottan and Chuanyi Ji (2003), “Anomaly Detection in IP Networks”, IEEE TRANSACTIONS ON SIGNAL PROCESSING, 51, Available at: http://users.ece.gatech.edu/~jic/sig03.pdf Paul Dokas, Levent Ertoz, Vipin Kumar, Aleksandar Lazarevic, Jaideep Srivastava, Pang-Ning Tan(2002) “Data Mining for Network Intrusion Detection” Available at: http://www.cs.umn.edu/research/MINDS/papers/nsf_ngdm_2002.pdf Varun Chandola, Eric Eilertson, Levent Ertăoz, Gyăorgy Simon and Vipin Kumar (2006), “Data Mining for Cyber Security” Available at: http://www.cs.umn.edu/research/MINDS/publications/chapter.pdf Markus M Breunig, Hans-Peter Kriegel, Raymond T Ng, Jörg Sander, (2000) “LOF: Identifying Density-Based Local Outliers“ Available at: http://www.cs.ualberta.ca/~joerg/papers/LOF-final.pdf Malik Agyemang, Christie I Ezeife, “ LSC-Mine: Algorithm for Mining Local Outliers” Available at: http://cs.uwindsor.ca/~cezeife/irma04.pdf Ertoz, L., Eilertson, E., Lazarevic, A., Tan, P., Srivastava, J., Kumar, V., Dokas, P, (2004) “MINDS - Minnesota Intrusion Detection System”, Available at: http://www.cs.umn.edu/research/MINDS/papers/minds_chapter.pdf 10 The Computer Economics Journal ( 2004), “Cost estimates for viruses and worms” 11 SourceFire, Inc (2004), “Real-time Network Defense - The Most Effective Way to Secure the Enterprise.” White Paper, Columbia, Maryland LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com IV 12 E Hurley (2003), “Intrusion prevention: IDS' 800-pound gorilla”, News Article Availiable at: http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci892744,00.ht mlReferences Cont 13 C Iheagwara and A Blyth (2002), “Evaluation of the performance of IDS systems in a switched and distributed environment,” Computer Networks, 39,pp 93-112 14 C Iheagwara, A Blyth and M Singhal (2003), “A Comparative Experimental Evaluation Study of Intrusion Detection System Performance in a Gigabit Environment,” Journal of Computer Security, 11, pp 135,164 15 K Richards(1999), "Network Based Intrusion Detection: a review of technologies,” Computers & Security, 18, pp 671-682 16 C Iheagwara, A Blyth, K David, T Kevin (2004), “Cost – Effective Management Frameworks: The Impact of IDS Deployment on Threat Mitigation.” Information and Software Technology Journal, 46, pp.651-664 17 E Bloedorn, et al.(2001),” Data Mining for Network Intrusion Detection: How to Get Started”, MITRE Technical Report 18 S Manganaris, M Christensen, D Serkle, and K Hermix (1999), “A Data Mining Analysis of RTID Alarms, Proceedings of the 2nd International Workshop on Recent Advances in Intrusion Detection (RAID 99)”, West Lafayette 19 D.E Denning (1987), “An Intrusion Detection Model”, IEEE Transactions on Software Engineering 20 H.S Javitz, and A Valdes (1993), “The NIDES Statistical Component: Description and Justification”.Computer Science Laboratory, SRI International LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... thông thường Ngăn chặn truy cập trái phép tiến trình hoạt động bao gồm phát truy cập cố gắng ngăn chặn mối nguy hiểm phát Hệ thống ngăn chặn truy cập trái phép tập trung chủ yếu vào việc phát mối... Prevension System Hệ thống ngăn chặn truy cập trái phép IDS Instrusion Detection System Hệ thống phát truy cập trái phép NIDS Network-based Intrusion Hệ thống phát truy cập cho mạng Detection System... chuyên gia phát truy cập System trái phép Next Generation Intrusion Thế hệ hệ thống chuyên gia Detection Expert System phát truy cập trái phép Event Monitoring Enabling Hệ thống phát truy cập EMERALD