phân biệt hai kiểu phát hiện xâm nhập signature - based, anomaly - based và thực nghiệm

Trang 1

PHÂN BIỆT 2 KIỂU PHÁT HIỆN XÂM NHẬP:

SIGNATURE-BASED, ANOMALY-BASED

VÀ THỰC NGHIỆM

GVHD: THS.Nguyễn Thị Thanh Vân

Nguyễn Phước Đạt 10110025

Trang 2

Java Simplified / Session 22 / 2 of 45

Trang 4

 Là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị

 IDS cũng có thể phân biệt giữa những tấn công từ bên trong hay tấn công từ bên ngoài IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

1 Khái niệm

4

Trang 5

2 Thành phần

Trang 6

3 Chức năng của IDS

6

- Bảo vệ tính khả dụng: sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp

sách đối phó, khôi phục, sửa chữa…

Trang 7

4 Các hệ thống không phải là IDS

trojan horse, worm,

Trang 8

5 Phân loại dựa theo đối tượng

8

Network based – IDS (NIDS)

Trang 9

Lợi thế của NIDS

- Quản lý được cả một network segment (gồm nhiều host)

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh được tấn công từ chối dịch vụ (DoS) ảnh hưởng tới một host nào đó

- Độc lập với OS

Trang 10

Hạn chế của NIDS

10

- Không thể phân tích các lưu lượng đã được mã hóa (vd: SSL, SSH, IPSec…)

- Đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động

- Không cho biết việc tấn công có thành công hay không

- Giới hạn băng thông do những bộ dò mạng phải nhận tất cả các lưu lượng mạng

- Có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động

ở mức cao.

Trang 11

Host – based IDS (HIDS)

Trang 12

Lợi thế của HIDS

12

- Có khả năng xác đinh user liên quan tới một event

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này

- Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

Trang 13

Hạn chế của HIDS

- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

- HIDS có thể không hiệu quả khi bị DoS

Trang 14

6 Phân loại dựa theo hành vi

14

Phân loại dựa trên hành vi của IDS có thể phân làm 2 loại là phát hiện xâm nhập

dựa trên dấu hiệu (Signature-based IDS) và phát hiện xâm nhập dựa vào sự bất thường (Anomaly-based IDS)

Trang 15

Signature – based IDS

Match???

Trang 16

Anomaly – based IDS

16

Trang 17

8 Các loại tấn công IDS có thể phát hiện

Trang 18

Trang 19

 Giới thiệu

Match???

Trang 20

20

Mô hình hoạt động của Signature based

DATABASE/PARSER

SIGNATURE CLASSIFIER

SIGNATURE ENGINE LOG FILE

DROPPED PACKETS

Trang 21

 Signature-based Detection sử dụng phương pháp so sánh các dấu hiệu vào

hệ thống với những dấu hiệu đã biết thông qua phân tích lưu lượng mạng và log system.

Trang 22

 Có hiệu quả với những mối nguy hại đã biết

 Hầu như không có hiệu quả hoặc hiệu quả rất ít đối với các mối nguy hại chưa biết và chưa có trong cơ sở dữ liệu

22

Ưu - nhược điểm

Trang 23

 Là phương pháp thông dụng cho việc mô tả các cuộc tấn công và lỗ hỗng.

 Phát hiện những cuộc tấn công từ bên ngoài hệ thống từ những người dùng trái phép

 Phát hiện những cuộc tấn công từ bên trong hệ thống khi người dùng giả

danh, lạm dụng những đặc quyền của họ để tránh việc kiểm soát truy cập từ

hệ thống

Rule based System

Trang 24

Có 42 luật Gồm:

 Interface

 Đăng nhập (logins),

 Quyền của người dùng (user privilege),

 Truy cập tập tin (file access)

24

Rule based System

Trang 25

ANOMALY BASED - IDS

Trang 26

 Giới thiệu

 Định nghĩa bất thường trong mạng

 Kỹ thuật phát hiện bất thường

 Ưu – nhược điểm

 Nguồn dữ liệu được dùng

 Các phương pháp phát hiện bất thường

 So sánh Signature – based và Anomaly - based

Nội dung

26

Trang 27

Giới thiệu

Trang 28

Thế nào là bất thường trong mạng ?

28

- Là thuật ngữ dùng để chỉ tình trạng hoạt động của hệ thống mạng hoạt

động ngoài trạng thái bình thường

- Do thiết bị hỏng hóc, băng thông quá tải,… Nhưng phổ biến nhất vẫn là

do hệ thống đang bị xâm nhập trái phép hoặc đang bị tấn công

Trang 29

Activity Profile

như phút, giờ, ngày, …Hoặc có thể đo lường thời gian xảy ra hai sự kiện liên tiếp

Vd: Thời gian log-in và log-out hệ thống, thời gian kích hoạt và kết thúc các ứng dụng

Trang 30

Phân loại bất thường trong mạng

30

 Bất thường trong mạng do hỏng hóc:

- Máy chủ bị lỗi, thiết bị mạng gặp sự cố, bão broadcast, triển khai giao thức

không đúng …

 Bất thường trong mạng liên quan đến các sự cố an ninh:

- Phát sinh từ các mối đe dọa: tấn công từ chối dịch vụ; sự lây lan virus, spy, trojan,…

Trang 31

Kỹ thuật phát hiện bất thường

tiến trình hoạt động trên CPU, số lượng một gói tin được gửi,

động bất thường của mạng so với profile đã thiết lập

các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn công

Trang 32

Ưu – nhược điểm

32

 Phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích cho quản trị

 Phát hiện các cuộc tấn công từ bên trong

 Thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt

động của mạng

Trang 33

Nguồn dữ liệu phát hiện bất thường

các bất thường có được phát hiện hay không

các thuật toán phát hiện bất thường sẽ càng cao

Trang 34

Network Probes

34

Trang 35

Lọc gói tin (Packet Filtering)

- Luồng thông tin được dẫn qua một bộ lọc để lấy mẫu, các IP header của các gói tin trong những thời điểm khác nhau tại các địa điểm khác nhau trong mạng được ghi lại

- Việc tổng hợp các IP header cho phép cung cấp các thông tin chi tiết về tình trạng hoạt động của hệ thống mạng

- Phương pháp lọc gói tin cho phép có được các thống kê chính xác về giao dịch trong mạng

Trang 36

Dữ liệu từ các giao thức định tuyến

36

Trang 37

Dữ liệu từ giao thức quản trị mạng

- Các giao thức quản trị mạng cung cấp các thống kê về lưu thông mạng

- Những giao thức này có các tham số có thể giám sát hoạt động của thiết bị mạng một cách hiệu quả

- Các tham số có thể không cung cấp trực tiếp các thông tin đo lường về lưu thông mạng nhưng có thể dùng để nhận dạng các hành vi trên mạng, do đó phù hợp với phương pháp phát hiện bất thường

Trang 38

Dữ liệu từ giao thức quản trị mạng

38

SNMP (Simple Network Management Protocol)

Trang 39

Phương pháp phát hiện bất thường

(Finite State Machine)

Trang 40

Hệ chuyên gia (Rule – based)

ANOMALY

Trang 41

Máy trạng thái hữu hạn

Trang 42

Máy trạng thái hữu hạn

42

Trang 43

Mạng Nơ – ron (Neural Network)

o Tập trung vào việc phát hiện các thay đổi trong hành vi của chương trình như là dấu hiệu bất thường

o Mạng Nơ-ron sẽ học và dự đoán hành vi của người sử dụng và các chương trình tương ứng

o Ưu điểm của mạng Nơ-ron là dễ dàng thích ứng với các kiểu dữ liệu không đầy đủ, dữ liệu với độ chắc chắn không cao

o Điểm yếu của mạng Nơ-ron là tốc độ xử lý do hệ thống cần thu thập dữ liệu, phân tích và điều chỉnh từng Nơ-ron để cho kết quả chính xác

Trang 44

Mạng Nơ – ron (Neural Network)

44

Bản đồ tự tổ chức SOM ( Self Organizing Maps)

Trang 45

Khai phá dữ liệu (Data Mining)

Trang 46

Phần tử tách biệt

Phần tử tách biệt là một quan sát có độ sai lệch lớn hơn so với các quan sát khác và do đó có thể nghi ngờ nó

được sinh ra từ một cơ chế khác.

Trang 47

Modun Lọc tin

- Các bộ dữ liệu thông thường được lưu trên file ở dạng bản ghi

Hệ thống sẽ truy cập các file này để lấy thông tin

- Môđun lọc tin có chức năng loại bỏ những thông tin thừa, các lưu lượng mà hệ thống biết chắc không có tấn công

- Những thông tin có ích cho hệ thống chỉ chiếm khoảng 20% tổng số thông tin mà công cụ bắt gói tin đưa về.

Trang 48

Modun trích xuất dữ liệu

- Dữ liệu sau khi qua module lọc sẽ được tiến hành trích xuất các yếu tố quan sát

- Mỗi một thuật toán phát hiện bất thường sẽ có một tập các thông số quan sát riêng

- Thông thường đối với các gói tin mạng, thông tin qua trọng chủ yếu nằm ở phần Header của gói tin :

IP Header, TCP Header, UDP Header ,…

Trang 49

Module phát hiện phần tử tách biệt

- Trong module này thông thường người tả sử dụng thuật toán Phát hiện phần tử tách biệt

- Có nhiều thuật toán phát hiện phần tử tách biệt như : Phương pháp pháp hiện điểm tách biệt dựa trên khoảng cách Mahalanobis, thuật toán LOF (Local Outlier Factor),thuật toán LSC-Mine,…

- Tùy thuộc vào sự phân bố trên Bộ dữ liệu đầu vào mà thuật toán này hay thuật toán khác có được kết quả xử lý tốt hơn

Trang 50

Modun Tổng hợp

50

Trang 51

So sánh Signature base – Anomaly base

Trang 52

-Java Simplified / Session 22 / 52 of 45

I Khái niệm

52

Trang 54

2 Ưu điểm của Snort

54

- Hỗ trợ nhiều HĐH: Linux, Windows, MAC OS, Free BSD,…

- Kích thước nhỏ

- Có khả năng phát hiện một số lượng lớn các kiểu thăm dò, xâm nhập khác nhau

- Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng

- Là phần mềm Open Source và không tốn kém chi phí đầu tư

Trang 55

3 Các thành phần của Snort

Vd

Trang 56

Tập luật (rulesets) trong Snort

Trang 57

- Address: đây là địa chỉ IP nguồn và đích của paket mà rule này được áp dụng

- Port: xác định các cổng nguồn và đích của một gói tin mà trên đó luật được áp dụng

- Direction: phần này sẽ chỉ ra đâu là địa chỉ nguồn, đâu là địa chỉ đích

Trang 58

Rule Options

59

• Rule Options chứa một thông điệp cảnh báo và các thông tin về các phần của gói tin dùng để tạo nên cảnh báo

• Phần Rule Option nằm ngay sau phần Rule Header và được bao bọc trong dấu ngoặc đơn Nếu có nhiều option thì các option sẽ được phân cách với nhau bằng dấu chấm phẩy

Trang 59

Rule Options

Mọi option được định nghĩa bằng các từ khoá Một số các option còn chứa các tham số

Nói chung một option gồm 2 phần: một từ khoá và một tham số, hai phần này phân cách

nhau bằng dấu hai chấm.

Ví dụ: msg: “Detected confidential”;

msg là từ khoá còn “Detected confidential” là tham số.

Định dạng
Số trang	59
Dung lượng	756,76 KB