Bảng hiệu suất phát hiện xâm nhập của các công cụ phát hiện xâmnhập dựa trên đồ thị nguồn gốc...-Bảng số lượng hành động thêm vào so với toàn bộ nhật ký.... 11 Lý do chọn đề tài Việc chọ
Tổng quan eee 6
Đồ thị nguồn gốc (Provenance Graph) là cấu trúc dữ liệu mô tả lịch sử thực thi của hệ thống, được biểu diễn dưới dạng đồ thị tuần hoàn có hướng (DAGs) với các nút và cạnh Mỗi nút đại diện cho một hoạt động hoặc sự kiện, trong khi các cạnh thể hiện mối quan hệ giữa các hoạt động Đồ thị này ghi lại thông tin quan trọng như người dùng thực hiện hoạt động, các tệp tin được truy cập, quy trình thực thi và thông tin tương tác mạng.
Chương 2 của COSO lý thuyết e giới thiệu về các tiến trình (Processes), trong đó mỗi tiến trình được biểu diễn bằng một nút chứa thông tin về ID, người dùng thực hiện, thời gian bắt đầu và kết thúc cùng các thuộc tính liên quan Tệp tin (Files) cũng được thể hiện dưới dạng nút, cung cấp thông tin như đường dẫn, quyền truy cập và các thao tác thực hiện Cuối cùng, các sự kiện mạng (Network Events) được mô tả qua các nút, bao gồm địa chỉ IP, cổng, giao thức và dữ liệu liên quan khác.
Cạnh trong hệ thống thể hiện quan hệ nhân quả giữa các nút, như tiến trình A tạo ra tiến trình B hoặc tiến trình C truy cập tệp D Những quan hệ này đóng vai trò quan trọng trong việc xác định trình tự và mối liên hệ giữa các hoạt động, giúp người dùng hiểu rõ hơn về cách thức hoạt động của hệ thống.
Tương tác người dùng là các cạnh thể hiện sự giao tiếp giữa người dùng và hệ thống, ví dụ như khi người dùng X khởi chạy tiến trình Y hoặc người dùng Z thay đổi quyền truy cập của tệp W.
Các thuộc tính trong hệ thống bao gồm thuộc tính nút và thuộc tính cạnh Thuộc tính nút cung cấp thông tin chi tiết về mỗi nút, bao gồm thời gian tạo, thời gian chỉnh sửa cuối cùng và kích thước (đối với tệp tin) hoặc quyền hạn (đối với người dùng) Trong khi đó, thuộc tính cạnh mô tả mối quan hệ giữa các nút, bao gồm thời gian xảy ra sự kiện, loại sự kiện như tạo, đọc, viết, xóa, cùng với các thuộc tính bảo mật khác.
2.1.2 Đồ thị nguồn gốc đối với hệ thống phát hiện xâm nhập
D6 thị nguồn gốc cung cấp cái nhìn toàn diện về lịch sử của hệ thống, giúp phát hiện và phân tích các hoạt động bất thường Nó cũng hỗ trợ trong việc điều tra và phục hồi sau các cuộc tấn công, mang lại giá trị quan trọng cho việc bảo mật hệ thống.
Chương 2 COSO LY THUYẾT cung cấp cái nhìn tổng quát về lịch sử hoạt động trong hệ thống, giúp phát hiện và phản ứng nhanh chóng trước các mối đe dọa và hành vi không mong muốn Các thành phần chính của hệ thống nguồn gốc hỗ trợ quá trình phát hiện xâm nhập bao gồm:
Phân tích hành vi (Behavior Analysis) là một công cụ quan trọng trong việc phát hiện hành vi bất thường (Anomaly Detection) bằng cách phân tích các mẫu đồ thị nguồn gốc, cho phép hệ thống IDS nhận diện các hành vi không bình thường so với những hành vi đã được ghi nhận Những hành vi bất thường này có thể là dấu hiệu của một cuộc tấn công hoặc xâm nhập Bên cạnh đó, việc phân loại hành vi (Behavior Classification) thông qua đồ thị nguồn gốc giúp phân chia các hành vi thành các nhóm khác nhau, như hành vi của người dùng, hành vi của tiến trình hệ thống và hành vi mạng, từ đó xác định chính xác nguồn gốc và bản chất của các sự kiện xâm nhập.
Truy vết nguồn gốc sự kiện cho phép xác định nguồn gốc của các cuộc xâm nhập, giúp nhận diện các bước đi của kẻ tấn công và phương thức chúng sử dụng Thông qua thông tin chi tiết từ đồ thị nguồn gốc, các nhà điều tra có thể tiến hành điều tra sâu về các sự kiện xâm nhập, xác định các tiến trình, tệp tin, và sự kiện mạng liên quan đến cuộc tấn công.
Phản ứng và phục hồi là hai yếu tố quan trọng trong an ninh mạng Đồ thị nguồn gốc cung cấp thông tin chi tiết về các sự kiện xâm nhập, giúp các nhóm bảo mật phản ứng nhanh chóng và hiệu quả trước các mối đe dọa Đồng thời, việc xác định chính xác các thay đổi và hành vi bất thường cho phép các đội ngũ kỹ thuật thực hiện các biện pháp phục hồi hệ thống, đảm bảo rằng các cuộc tấn công không gây ra thiệt hại nghiêm trọng và hệ thống được khôi phục về trạng thái an toàn.
Chương 2 COSO LY THUYẾT isReceivedBy sends originatesFrom
"subclasor subClassOf asUse| subClassOf subClassO† mmap
HINH 2.1: Đồ thị nguồn gốc
Hỗ trợ cho hoc máy (Machine Learning Support):
Đồ thị nguồn gốc cung cấp nguồn dữ liệu phong phú cho các mô hình học máy, từ đó nâng cao khả năng dự đoán và phát hiện các cuộc tấn công.
Phân tích nhân quả thông qua đồ thị nguồn gốc cho phép các mô hình học máy hiểu rõ hơn về mối quan hệ giữa các sự kiện Điều này không chỉ nâng cao khả năng phát hiện các cuộc tấn công mà còn cải thiện độ chính xác trong việc phân loại chúng.
2.2 Hệ thống phát hiện xâm nhập dựa trên do thị nguồn gôc
Prov-HIDS (Hệ thống phát hiện xâm nhập dựa trên nguồn gốc) là công cụ giám sát hiệu quả, sử dụng dữ liệu về nguồn gốc và lịch sử hoạt động của hệ thống máy tính để phát hiện hành vi xâm nhập Các hệ thống này được thiết kế để nâng cao khả năng bảo mật bằng cách phân tích các hành động của người dùng và ứng dụng, từ đó phát hiện các mối đe dọa tiềm ẩn.
Chương 2 COSO LY THUYẾT áp dụng các kỹ thuật máy học và phân tích đồ thị để phát hiện hành vi không bình thường và các cuộc tấn công mạng Phương pháp này giúp nhận diện các mẫu hành vi bất thường dựa trên các mối quan hệ và mẫu hành vi trong dữ liệu nguồn gốc.
Các công cụ phát hiện xâm nhập dựa trên đồ thị nguồn gốc phân tích và theo dõi nguồn gốc sự kiện trong hệ thống để phát hiện hoạt động bất thường hoặc độc hại Tuy nhiên, chúng phải đối mặt với thách thức từ các kỹ thuật tấn công phức tạp như tạo đường dẫn giả mạo và làm mờ thông tin, ảnh hưởng đến hiệu quả và độ tin cậy Prov-HIDS có ưu điểm trong việc phát hiện mô hình hành vi bất thường, sử dụng kỹ thuật đồ thị để xử lý dữ liệu nguồn gốc, và tích hợp máy học để nâng cao độ chính xác Tuy nhiên, hệ thống này yêu cầu tài nguyên lớn và phức tạp trong triển khai, đồng thời có thể gặp khó khăn trong môi trường thực tế với biến động lớn Một số công cụ phát hiện xâm nhập nguồn gốc mới hiện nay bao gồm Magic, Flash, Kairos, Prographer và Threatrace.
Tổng quan về kiến trúc của MAGIC hình 2.2 gồm 4 bước chính:
Xây dựng đồ thị: Quá trình này bao gồm 3 bước: ® Bước 1: Phân tích nhật ky (Log Parsing), phân tích từng mục nhập nhật ký
Tổng quan ẶẶ ee n 9
MagiC Qua 10 Tổng quát 2 eee 10 Hạn chế
Tổng quan về kiến trúc của MAGIC hình 2.2 gồm 4 bước chính:
Xây dựng đồ thị: Quá trình này bao gồm 3 bước: ® Bước 1: Phân tích nhật ky (Log Parsing), phân tích từng mục nhập nhật ký
Trong bài viết này, chúng tôi trình bày quy trình trích xuất các thực thể hệ thống và các tương tác giữa chúng từ nhật ký Sau đó, một đồ thị nguồn gốc mẫu được xây dựng với các thực thể hệ thống làm đỉnh và các tương tác làm cạnh Tiếp theo, MAGIC thực hiện việc rút trích thông tin phân loại cho các đỉnh và cạnh, nhằm cung cấp một định dạng nhật ký đơn giản và hiệu quả.
Batched Log Level K) Detection COO Ị i ì Ẹ ` : x Nodes with |
| 2 Ol | ore ' em ổ Ô lieị ' Pooling : / ị
Latent Space Outlier Detection Oudlier Detection Latent Space || Embeddings | TT~TT~TT~TT~T~T~T~~T~~