Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CƠNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THƠNG BÁO CÁO Mơn học: Ứng dụng truyền thông An ninh thông tin Giảng viên: ThS Tô Nguyễn Nhật Quang Đề tài: Intrusion Detection System (IDS) – Hệ thống phát xâm nhập Danh sách nhóm 21: Hồ Trọng Nghĩa Nguyễn Huỳnh Hải Nam Nguyễn Văn Tuyển Trương Quang Thạnh Nguyễn Vũ Toàn 07520249 07520238 07520393 07520324 07520365 Thành phố Hồ Chí Minh, tháng 03 năm 2014 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập Mục lục I.Khái niệm về IDS……………………………………………………………….1 1.1.Khái niệm về IDS…………………………………………………………….1 1.2 Lịch sử đời của IDS…………………………………………………… 1.3.Phân biệt những hệ thống IDS……………………………… II.Chức của IDS…………………………………………………………….4 III.Kiến trúc của IDS…………………………………………………………… 3.1.Trung tâm điều khiển…………………………………………………………5 3.2,Bộ cảm biến………………………………………………………………… 3.3.Bộ phân tích gói tin………………………………………………………… 3.4.Thành phần cảnh báo…………………………………………………………6 3.5.Vị trí đặt IDS…………………………………………………………………6 IV.Quy trình hoạt động của IDS………………………………………………….7 V.Các hành vi bất thường……………………………………………………… 5.1.Các hành động tấn công…………………………………………………… 5.2.Dấu vết của các hành động tấn công……………………………………… 12 5.2.1.Sử dụng các lỗ hổng đã được biết đến…………………………………….12 5.2.2.Hoạt động mạng khác thường có tính chất định kỳ……………………….13 5.2.3.Các lệnh không được đánh hoặc trả lời các session tự động……… 14 5.2.4.Mâu thuẫn trực tiếp lưu lượng………………………………………15 5.2.5.Các thuộc tính không mong muốn ……………………………………… 16 5.2.6.Các vấn đề không được giải thích…………………………………………18 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập VI.Phân loại IDS………………………………………………………… 19 6.1 Network - based IDS (NIDS)………………………………………………19 6.1.1.Mô hình thiết kế Network - based IDS……………………………………19 6.1.2.Lợi thế của Network - based IDS…………………………………………21 6.1.3.Hạn chế của Network - based IDS……………………………………… 21 6.1.4 Phân loại mô hình thiết kế Network - based IDS……………………… 22 6.2.Host - based IDS (HIDS)……………………………………………………25 6.2.1.Mô hình thiết kế Host - based IDS……………………………………… 25 6.2.2.Lợi thế của Host - based IDS…………………………………………… 27 6.1.3.Hạn chế của Host - based IDS…………………………………………….27 6.1.4 Phân loại mô hình thiết kế Host - based IDS…………………………… 28 VII.Phân tích IDS…………………………………………………………31 7.1.Xử lý kiểm định…………………………………………………………… 31 7.2.Xử lý online…………………………………………………………………33 VIII.Các kỹ thuật phân tích xử lý dữ liệu được xử dụng IDS…………….36 IX.Phát hiện hành vi bất thường……………………………………………… 40 9.1.Các mẫu hành vi thông thường - phát hiện bất thường…………………… 40 9.2.Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu………………………… 41 9.3.Tương quan các mẫu tham số……………………………………………….43 X.Những vấn đề mà IDS chưa thể giải quyết được…………………………… 45 Tài liệu tham khảo………………………………………………………………46 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập LỜI CÁM ƠN - Nhóm em xin chân thành cảm ơn Khoa Mạng máy tính truyền thông, trường Đại học Công nghệ thông tin Tp HCM đã tạo điều kiện cho em được học làm báo cáo môn “Ứng dụng truyền thông an ninh thông tin” Em xin chân thành cảm ơn thầy Tô Nguyễn Nhật Quang, người đã tận tâm truyền đạt những kiến thức nền tảng cho chúng em về môn học “Ứng dụng an ninh thông tin”.Em xin chân thành cảm ơn thầy với công lao trợ giúp không mệt mỏi của thầy Xin chân thành cảm ơn bạn bè lớp đã giúp đỡ chia sẻ tài liệu về môn học Mặc dù đã rất nỗ lực, cố gắng kiến thức kinh nghiệm thực tế hạn chế nên chắn báo cáo vẫn nhiều thiếu sót Em rất mong nhận được sự góp ý đánh giá của các thầy cô để em có thể phát triển báo cáo thêm hoàn chỉnh TpHCM, ngày 26 tháng năm 2011 Lớp MMT02 Nhóm sinh viên thực Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập I Khái niệm IDS Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô quan trọng hoạt động của xã hợi Vấn đề bảo đảm an ninh, an tồn cho thông tin mạng ngày mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngày tinh vi khiến các hệ thống an ninh mạng trở nên mất hiệu qủa Các hệ thống an ninh mạng truyền thống thuần túy dựa các tường lửa (firewall) nhằm kiểm soát luồng thông tin vào hệ thống mạng một cách cứng nhắc dựa các luật bảo vệ cố định Với kiểu phịng thủ này, các hệ thớng an ninh bất lực trước kỹ thuật tấn công mới, đặc biệt các cuộc tấn công nhằm vào điểm yếu của hệ thống Hệ thống phát hiện xâm phạm (IDS) một hệ thống gần được đông đảo những người liên quan đến bảo mật khá quan tâm, có những tính tốt I.1 Khái niệm IDS IDS (Intrusion Detection System- hệ thống phát xâm nhập) một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị IDS có thể phân biệt giữa những tấn công bên từ bên (từ những người công ty) hay tấn công từ bên (từ các hacker) IDS phát hiện dựa các dấu hiệu đặc biệt về các nguy đã biết (giống cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện diệt virus) hay dựa so sánh lưu thông mạng hiện với baseline (thông số đo đạc chuẩn của hệ thống) để tìm các dấu hiệu khác thường I.2 Lịch sử đời IDS: Khái niệm phát hiện xâm nhập xuất hiện qua một báo của James Anderson Khi đó người ta cần IDS với mục đích dò tìm nghiên cứu các hành vi bất thường thái độ của người sử dụng mạng, phát hiện các Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước được sử dụng mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS được xuất hiện các phòng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, một số công nghệ IDS bắt đầu phát triển dựa sự bùng nổ của công nghệ thông tin Đến năm 1997 IDS được biết đến rộng rãi thực sự đem lại lợi nhuận với sự đầu của công ty ISS, một năm sau đó, Cisco nhận tầm quan trọng của IDS đã mua lại một công ty cung cấp giải pháp IDS tên Wheel Hiện tại, các thống kê cho thấy IDS/IPS một các công nghệ an ninh được sử dụng nhiều nhất vẫn cịn phát triển I.3 Phân biệt hệ thống khơng phải IDS Các thiết bị bảo mật IDS: - Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) một mạng đó Ở đó có hệ thống kiêm tra lưu lượng mạng - Các công cụ đánh giá lỗ hổng kiểm tra lỗi lỗ hổng hệ điều hành, dịch vụ mạng (các bộ quét bảo mật) - Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm virus, Trojan horse, worm Mặc dù những tính mặc định có thể rất giống hệ thống phát hiện xâm phạm thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu - Tường lửa (firewall) - Các hệ thống bảo mật/mật mã, ví dụ VPN, SSL, S/MIME, Kerberos, Radius… Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập II Chức IDS Chức quan trọng nhất của IDS là: giám sát – cảnh báo - Giám sát: lưu lượng mạng các hoạt động khả nghi - Cảnh báo: báo cáo về tình trạng mạng cho hệ thống nhà quản trị Chức chính của IDS được cụ thể các hành động như: - Nhận những hành vi giống những cuộc tấn công mà hệ thống đã được cài đặt từ trước - Phân tích thống kê những luồng traffic không bình thường - Đánh giá kiểm tra tính toàn vẹn của các file được xác định - Thống kê phân tích các user hệ thống hoạt động - Phân tích luồng traffic - Phân tích event log (ghi chú sự kiện) Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập III Kiến trúc IDS Một IDS bao gồm: Trung tâm điều khiển (The Command Console), bộ cảm biến (Network Sensor), bộ phân tích gói tin (The Network Tap), thành phần cảnh báo (Alert Notification) III.1 Trung tâm điều khiển (The Command Console) Trung tâm điều khiển nơi mà IDS được giám sát quản lí Nó trì kiểm soát thông qua các thành phần của IDS, Trung tâm điều khiển có thể được truy cập từ bất cứ nơi Tóm lại Trung tâm điều khiển trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã hóa, nó một máy chuyên dụng III.2 Bộ cảm biến (Netword Sensor) Bộ cảm biến chương trình chạy các thiết bị mạng hoặc máy chuyên dụng các đường mạng thiết ́u Bợ cảm biến có mợt vai trị quan trọng vì có hàng nghìn mục tiêu cần được giám sát mạng Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến bấ kì port của hub vì luồng traffic được gửi tất các port hub, có thể phát hiện các luồng traffic bất thường Nhưng hệ thống cần sử dụng các switch, các switch gửi gói tin đến chính xác địa cần gửi port Để giải quyết vấn đề này, một kỹ thuật thông dụng sử dụng những switch có port mở rộng (expansion port) – khá nhiều thiết bị mạng ngày có cái này, ta kết nối IDS vào port Port được gọi Switched Port Analyzer (SPAN) port SPAN port cần được cấu hình các chuyên gia bảo mật để nhân luồng dữ liệu của switch Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập III.3 Bộ phân tích gói tin (The Network Tap) Bộ phân tích gói tin một thiết bị phần cứng được kết nối mạng, không có địa IP, kiểm soát các luồng dữ liệu mạng gửi cảnh báo phát hiện hành động xâm nhập III.4 Thành phần cảnh báo (Alert Notification) Thành phần cảnh báo có chức gửi những cảnh báo tới người quản trị Trong các hệ thống IDS hiện đại, lời cảnh báo có thể nhiều dạng như: cửa sở pop-up, tiếng chng, email, SNMP III.5 Vị trí đặt IDS Tùy vào quy mô doanh nghiệp mục đích mà ta có thể thiết kế vị trị kiến trúc của IDS khác Hình: Vị trí đặt IDS 10 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập các địa cổng nguồn đích được thiết lập 21 Điều không tuân theo chi tiết kỹ thuật FTP vì số cổng nguồn phải lớn 1024 Một ví dụ khác có thể loại dịch vụ giá trị 0, một gói có các cờ SYN FIN đều được thiết lập không hợp với việc đánh số của chuỗi hoặc những gì đã biết, giá trị ACK được lập khác cờ ACK không được thiết lập,… Tương phản với các phương pháp thẩm tra chuẩn, lựa chọn các gói luồng dữ liệu được tranh tra quá trình tra tìm kiếm thông tin trạng thái gói đó có gồm mã nguy hiểm hay không Một phương pháp khác đôi chút được áp dụng phân tích lớp ứng dụng (FTP, POP3, HTTP,…) IDS dựa ứng dụng sử dụng sự kiểm tra các gói chuẩn để phân tích tải trọng TCP (gồm có các header) Với phương pháp này, các gói có liên quan luồng dữ liệu được kiểm tra quá trình kiểm tra tìm kiếm thông tin về gói hợp lệ với gói điển hình (các lệnh) của một giao thức được cho Như vậy, lỗ hổng từ chối dịch vụ POP3 được khai thác việc làm bão hòa máy chủ POP3 với nhiều yêu cầu để thực thi một lệnh Do đó, dấu hiệu tấn công được mở rộng số lệnh đã gửi một hệ thống ngưỡng báo cảnh Phương pháp thừa nhận sự bất thường tìm thấy kiểm tra các gói, việc kiểm tra kích thước gói các giá trị ngưỡng để tìm các dấu hiệu biểu hiện tấn công từ chối dịch vụ, lớp truyền tải Các ví dụ khác về IDS kiểm tra gói chuẩn có việc phát hiện các virus email trước chúng đến được các hòm thư cách tìm tiêu đề email hợp lệ hoặc tên đính kèm Một công cụ có thể tìm kiếm mã nguy hiểm có thể thỏa hiệp hệ thống nếu bị tấn công, ví dụ, những khai thác về lỗ hổng bộ đệm tìm kiếm các dấu hiệu để kiểm tra trạng thái session người dùng để ngăn chặn, liệt kê cấu trúc thư mục một máy chủ FTP trước một người dùng đăng nhập thành công Một trở ngại của phương pháp phân tích lớp cao nằm chỗ thực tế nó rất tốn thời gian phụ thuộc vào môi trường làm việc (giao thức lớp ứng dụng thay đổi khác các hệ điều hành khác nhau) Những ưu điểm của IDS thời gian thực: 37 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập • Trội về việc phát hiện các tấn công thậm chí cịn xử lý (khóa) chúng; • Khả bao phủ các lỗ hổng bảo mật kế đã có từ trước được đối với các kiểu tấn công, cụ thể DoS, phát hiện sử dụng phương pháp phân tích kiểm định chung – phân tích lưu lượng mạng được cần đến đây; • Tiêu tốn ít tài nguyên hệ thống so với các trường hợp khác Điểm yếu: • Sự nhận dạng tài nguyên được thực hiện dựa địa mạng được lấy từ gói (ví dụ, không sử dụng ID mạng) Địa tài nguyên có thể bị giả mạo, tạo các tấn công khó việc lần vết xử lý tự đợng • Khơng thể quản lý được các gói đã mã hóa đó không cung cấp được các thông tin cần thiết cho phát hiện xâm nhập • Do module phân tích sử dụng tài nguyên hạn chế (chỉ bộ đệm) nên khả phát hiện bị hạn chế theo đó • Việc quét liên tục lưu lượng mạng làm giảm thông lượng của mạng Đây một vấn đề quan trọng các công cụ IDS được triển khai gần tường lửa 38 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập VIII Các kỹ thuật phân tích xử lý liệu sử dụng IDS Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các chế xử lý khác (kỹ thuật) được sử dụng cho dữ liệu đối với một IDS Hệ thống Expert, hệ thống làm việc một tập các nguyên tắc đã được định nghĩa từ trước để miêu tả các tấn công Tất các sự kiện có liên quan đến bảo mật đều được kết hợp vào cuộc kiểm định được dịch dạng nguyên tắc if-then-else Lấy ví dụ Wisdom & Sense ComputerWatch (được phát triển AT&T) Phân tích dấu hiệu giớng phương pháp hệ thớng Expert, phương pháp dựa những hiểu biết về tấn công Chúng biến đổi sự mô tả về ngữ nghĩa từ của mỗi tấn công thành định dạng kiểm định thích hợp Như vậy, dấu hiệu tấn công có thể được tìm thấy các ghi hoặc đầu vào của luồng dữ liệu theo một cách dễ hiểu Một kịch tấn công có thể được mô tả, ví dụ một chuỗi sự kiện kiểm định đối với các tấn công hoặc mẫu dữ liệu có thể tìm kiếm đã lấy được cuộc kiểm định Phương pháp sử dụng các từ tương đương trừu tượng của dữ liệu kiểm định Sự phát hiện được thực hiện cách sử dụng chuỗi văn chung hợp với các chế Điển hình, nó một kỹ thuật rất mạnh thường được sử dụng các hệ thống thương mại (ví dụ Stalker, Real Secure, NetRanger, Emerald eXpert-BSM) Phương pháp Colored Petri Nets thường được sử dụng để tổng quát hóa các tấn công từ những hiểu biết để thể hiện các tấn công theo đồ họa Hệ thống IDIOT của đại học Purdue sử dụng Colored Petri Nets Với kỹ thuật này, các quản trị viên dễ dàng việc bổ sung thêm dấu hiệu Mặc dù vậy, việc làm cho hợp một dấu hiệu phức tạp với dữ liệu kiểm định một vấn đề gây tốn nhiều thời gian Kỹ thuật không được sử dụng các hệ thống thương mại 39 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập Phân tích trạng thái phiên, mợt tấn cơng được miêu tả một tập các mục tiêu phiên cần được thực hiện một kẻ xâm nhập để gây tổn hại hệ thống Các phiên được trình bày sơ đồ trạng thái phiên Phương pháp phân tích thống kê, phương pháp thường được sử dụng Hành vi người dùng hoặc hệ thống (tập các thuộc tính) được tính theo một số biến thời gian Ví dụ, các biến là: đăng nhập người dùng, đăng xuất, số file truy nhập một chu kỳ thời gian, hiệu suất sử dụng không gian đĩa, bộ nhớ, CPU,… Chu kỳ nâng cấp có thể thay đổi từ một vài phút đến một tháng Hệ thống lưu giá trị có nghĩa cho mỗi biến được sử dụng để phát hiện sự vượt quá ngưỡng được định nghĩa từ trước Ngay phương pháp đơn giản không thế hợp được với mô hình hành vi người dùng điển hình Các phương pháp dựa vào việc làm tương quan profile người dùng riêng lẻ với các biến nhóm đã được gộp lại ít có hiệu Vì vậy, một mô hình tinh vi về hành vi người dùng đã được phát triển cách sử dụng profile người dùng ngắn hạn hoặc dài hạn Các profile thường xuyên được nâng cấp để bắt kịp với thay đổi hành vi người dùng Các phương pháp thống kê thường được sử dụng việc bổ sung IDS dựa profile hành vi người dùng thông thường Neural Networks sử dụng các thuật toán được nghiên cứu của chúng để nghiên cứu về mối quan hệ giữa các vector đầu vào - đầu tổng quát hóa chúng để rút mối quan hệ vào/ra Phương pháp neural network được sử dụng cho phát hiện xâm nhập, mục đích chính để nghiên cứu hành vi của người tham gia vào mạng (người dùng hay kẻ xâm phạm) Thực các phương pháp thống kê một phần được coi neural networks Sử dụng mạng neural thống kê hiện có hoặc tập trung vào các đơn giản để biểu diễn mối quan hệ không tuyến tính giữa các biến việc nghiên cứu các mối quan hệ một cách tự động Các thực nghiệm đã được tiến hành với sự dự đoán mạng neural về hành vi người dùng Từ những kết cho thấy các hành vi của người dùng UNIX (root) có thể dự đoán Với một số ít ngoại lệ, hành vi của 40 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập hầu hết người dùng khác có thể dự đoán Neural networks vẫn một kỹ thuật tính toán mạnh không được sử dụng rộng rãi cộng đồng phát hiện xâm nhập Phân biệt ý định người dùng Kỹ thuật mô hình hóa các hành vi thông thường của người dùng một tập nhiệm vụ mức cao mà họ có thể thực hiện được hệ thống (liên quan đến chức người dùng) Các nhiệm vụ đó thường cần đến một số hoạt động được điều chỉnh cho hợp với dữ liệu kiểm định thích hợp Bộ phân tích giữ một tập hợp nhiệm vụ có thể chấp nhận cho mỗi người dùng Bất cứ một sự không hợp lệ được phát hiện thì một cảnh báo được sinh Computer immunology Analogies với sự nghiên cứu miễn dịch được chủ định để phát triển các kỹ thuật được xây dựng từ mô hình hành vi thông thường các dịch vụ mạng UNIX người dùng riêng lẻ Mô hình gồm có các chuỗi ngắn cuộc gọi hệ thống được tạo thành các quá trình Các tấn công khai thác lỗ hổng mã ứng dụng rất có khả gây đường dẫn thực thi không bình thường Đầu tiên, một tập dữ liệu kiểm định tham chiếu được sưu tập để trình bày hành vi hợp lệ của các dịch vụ, sau đó kiến thức được bổ sung thêm với tất các chuỗi được biết rõ về cuộc gọi hệ thống Các mẫu đó sau đó được sử dụng cho việc kiểm tra liên tục các cuộc gọi hệ thống, để xem chuỗi được tạo đã được liệt kê sở kiến thức chưa; nếu không, một báo cảnh được tạo Kỹ thuật có tỉ lệ báo cảnh sai rất thấp Trở ngại của nó sự bất lực việc phát hiện lỗi cấu hình dịch vụ mạng Machine learning (nghiên cứu chế) Đây một kỹ thuật thông minh nhân tạo, nó lưu luồng lệnh đầu người dùng vào các biểu mẫu vector sử dụng một tham chiếu của profile hành vi người dùng thông thường Các profile sau đó được nhóm vào một thư viện lệnh người dùng có các thành phần chung đó 41 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập Việc tối thiểu hóa liệu thường phải dùng đến một số kỹ thuật sử dụng quá trình trích dữ liệu chưa biết có khả hữu dụng trước đó từ những vị trí dữ liệu được lưu trữ với số lượng lớn phương pháp tối thiểu dữ liệu vượt trội đối với việc sử lý ghi hệ thống lớn (dữ liệu kiểm định) Mặc dù vậy, chúng hữu dụng đối với việc phân tích luồng lưu lượng mạng Một những kỹ thuật tối thiểu hóa dữ liệu được sử dụng phát hiện xâm nhập được kết hợp với các phán quyết Các mô hình phán quyết cho phép đó có thể phát hiện các sự bất thường một sở dữ liệu lớn Kỹ thuật khác phải dùng đến các đoạn, cho phép trích mẫu của các tấn công chưa biết Điều đó được thực hiện việc hợp lệ hóa các mẫu đã được trích từ một tập kiểm định đơn giản với các mẫu khác được cung cấp cho tấn công chưa biết đã cất giữ Một kỹ thuật tối thiểu hóa dữ liệu điển hình được kết hợp với việc tìm kiếm các nguyên tắc kết hợp Nó cho phép đó có thể trích kiến thức chưa hiểu trước đó về các tấn công hoặc đã xây dựng mẫu hành vi thông thường Sự phát hiện bất thường thường gây các báo cảnh sai Với việc tối thiểu hóa dữ liệu, nó dễ dàng tương quan dữ liệu đã liên quan đến các báo cảnh với dữ liệu kiểm định tối thiểu, đó giảm đáng kể xác suất báo cảnh sai 42 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập IX Phát hành vi bất thường Hệ thống phát hiện xâm phạm phải có khả phân biệt giữa các hoạt động thông thường của người dùng hoạt động bất thường để tìm được các tấn công nguy hiểm kịp thời Mặc dù vậy, việc dịch các hành vi người dùng (hoặc session hệ thống người dùng hồn chỉnh) mợt qút định liên quan đến bảo mật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước không rõ ràng (Hình) Để phân loại các hành động, IDS phải lợi dụng phương pháp phát hiện dị thường, hành vi hoặc các dấu hiệu tấn công, … một thiết bị mô tả hành vi bất thường đã biết (phát hiện dấu hiêu) được gọi kiến thức Hình: Các hành vi của người dùng hệ thống 9.1 Các mẫu hành vi thông thường – phát bất thường Các mẫu hành vi thông thường rất hữu ích việc dự đoán người dùng hành vi hệ thống Do đó các bộ phát hiện bất thường xây dựng profile thể hiện việc sử dụng thông thường sau đó sử dụng dữ liệu hành vi thông thường để phát hiện sự không hợp lệ giữa các profile nhận tấn công có thể Để hợp lý với các profile sự kiện, hệ thống bị yêu cầu phải tạo profile người dùng ban đầu để “đào tạo” hệ thống quan tâm đến sự hợp pháp hóa hành vi người dùng Có một vấn đề liên quan đến việc làm profile đó là: hệ thống được phép “học” chính nó, thì những kẻ xâm nhập có thể đào tạo hệ thống điểm này, nơi mà các hành vi xâm phạm trước trở thành hành vi thông thường Một profile không tương thích có thể được phát hiện tất các hoạt động xâm nhập có thể Ngồi ra, cịn có mợt sự cần thiết nữa đó nâng cấp profile “đào tạo” hệ thống, một nhiệm vụ khó khăn tốn thời gian 43 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập Cho một tập các profile hành vi thông thường, thứ không hợp với profile được lưu được coi một hoạt động nghi ngờ Do đó, các hệ thống được đặc trưng hiệu phát hiện rất cao (chúng có thể nhận nhiều tấn công mặc dù tấn công đó có hệ thống), nhiên chúng lại có hiện tượng tạo các cảnh báo sai về một số vấn đề Ưu điểm của phương pháp phát hiện bất thường là: có khả phát hiện các tấn công có sự xâm nhập; các vấn đề không bình thường được nhận không cần nguyên nhân bên của chúng các tính cách; ít phụ thuộc vào IDS đối với môi trường hoạt động (khi so sánh với các hệ thống dựa vào dấu hiệu); khả phát hiện sự lạm dụng quyền của người dùng Những nhược điểm lớn nhất của phương pháp là: • Xác suất cảnh báo sai nhiều Hiệu suất hệ thống không được kiểm tra suốt quá trình xây dựng profile giai đoạn đào tạo Do đó, tất các hoạt động người dùng bị bỏ qua suốt giai đoạn không hợp lý Các hành vi người dùng có thể thay đổi theo thời gian, đó cần phải có một sự nâng cấp liên tục đối với sở dữ liệu profile hành vi thơng thường • Sự cần thiết về đào tạo hệ thống thay đổi hành vi làm hệ thống không có được phát hiện bất thường giai đoạn đào tạo (lỗi tiêu cực) 9.2 Các dấu hiệu có hành vi xấu –phát dấu hiệu Thông tin xử lý hệ thống các hành vi bất thường khơng an tồn (dấu hiệu tấn công – dựa vào các hệ thống) thường được sử dụng các hệ thống phát hiện xâm nhập thời gian thực (vì sự phức tạp tính toán của chúng không cao) Các dấu hiệu hành vi xấu được chia thành hai loại: • Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây mối đe dọa về bảo mật Điển hình, chúng được thể hiện mối quan hệ phụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính 44 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập • Các ch̃i văn được chọn – các dấu hiệu hợp với các chuỗi văn tìm kiếm các hoạt động nghi ngờ Bất kỳ hoạt động không rõ ràng đều có thể bị xem xét ngăn cản Do đó, độ chính xác của chúng rất cao (số báo cảnh sai thấp) Tuy nhiên chúng khơng thực hiện mợt cách hồn tồn khơng ngăn cản hồn tồn các tấn cơng Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này: • Việc kiểm tra vấn đề các gói lớp thấp – nhiều loại tấn công khai thác lỗ hổng các gói IP, TCP, UDP hoặc ICMP Với kiểm tra đơn giản về tập các cờ gói đặc trưng hoàn toàn có thể phát hiện gói hợp lệ, gói không Khó khăn có thể phải mở gói lắp ráp chúng lại Tương tự, một số vấn đề khác có thể liên quan với lớp TCP/IP của hệ thống được bảo vệ Thường thì kẻ tấn công hay sử dụng cách mở các gói để băng qua được nhiều cơng cụ IDS • Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công (WinNuke) khai thác các lỗ hổng chương trình, ví dụ, dữ liệu đặc biệt đã gửi đến một kết nối mạng đã được thành lập Để phát hiện có hiệu các tấn công vậy, IDS phải được bổ sung nhiều giao thức lớp ứng dụng Các phương pháp phát hiện dấu hiệu có một số ưu điểm đây: tỉ lệ cảnh báo sai thấp, thuật toán đơn giản, dễ dàng tạo sở dữ liệu dấu hiệu tấn công, dễ dàng bổ sung tiêu phí hiệu suất tài nguyên hệ thống tối thiểu Một số nhược điểm • Khó khăn việc nâng cấp các kiểu tấn cơng • Chúng khơng thể kế thừa để phát hiện các tấn công chưa biết Phải nâng cấp một sở dữ liệu dấu hiệu tấn cơng tương quan với nó • Sự quản lý trì một IDS cần thiết phải kết hợp với việc phân tích vá các lỗ hổng bảo mật, đó mợt quá trình tớn thời gian • Kiến thức về tấn công lại phụ thuộc vào môi trường hoạt đông – vì vậy, IDS dựa dấu hiệu những hành vi xấu phải được cấu hình tuân thủ 45 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập những nguyên tắc nghiêm ngặt của nó với hệ điều hành (phiên bản, nền tảng, các ứng dụng được sử dụng,…) • Chúng dường khó quản lý các tấn công bên Điển hình, sự lạm dụng quyền người dùng xác thực phát hiện có hoạt động mã nguy hiểm (vì chúng thiếu thông tin về quyền người dùng cấu trúc dấu hiệu tấn công) Các sản phẩm IDS thương mại thường sử dụng phương pháp phát hiện dấu hiệu cho hai lý Trước tiên, nó dễ dàng việc cung cấp dấu hiệu liên quan đến tấn công đã biết để gán tên đối với một tấn công Thứ hai, sở dữ liệu dấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công phát hiện) Ví dụ trình bày một dấu hiệu tấn công lấy từ chương trình Snort, đã phát hiện các gói ping ICMP có kích thước lớn 800byte đến từ mợt mạng bên ngồi đã kết hợp với bất kỳ cổng nào: alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"MISC large ICMP"; dsize: >800; reference:arachnids,246; classtype:bad-unknown; sid:499;) 9.3 Tương quan mẫu tham số Phương pháp thứ ba về phát hiện xâm nhập khá khôn ngoan hai phương pháp trước Nó được sinh nhu cầu thực tế rằng, các quản trị viên kiểm tra các hệ thống khác các thuộc tính mạng (không cần nhắm đến các vấn đề bảo mật) Thông tin đạt được cách có một môi trường cụ thể không thay đổi Phương pháp liên quan đến sử dụng kinh nghiệm hoạt động hàng ngày của các quản trị viên các vấn đề cho việc phát hiện dấu hiệu bất thường Nó có thể được xem trường hợp đặc biệt của phương pháp Profile thông thường Sự khác nằm chỗ thực tế, một profile một phần hiểu biết của người Đây một kỹ thuật mạnh, bời vì nó cho phép xâm nhập dựa các kiểu tấn công không biết Hoạt động hệ thống có thể phát hiện các thay đổi tinh vi không rõ ràng đối với chính hoạt động đó Nó kế thừa những nhược điểm thực tế 46 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập người hiểu một phần giới hạn thông tin một thời điểm, điều đó có nghĩa các tấn công đó có thể vượt qua mà không bị phát hiện 47 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập X Những vấn đề mà IDS chưa thể giải Mặc dù IDS rất tốt rất hữu ích việc bảo vệ hệ thống mạng, nó có nhũng hạn chế của nó Một IDS có thể thực hiện những gì mà nó được thiết kế để thực thi, đừng trông mong gì nhiều nó Sau đây, ta phân tích những vấn đề mà IDS không làm được - Cung cấp một “Giải pháp thần kì” - Quản lí sự cố phần cứng - Điều tra mợt c̣c tấn cơng - Phân tích tồn vẹn 100% 48 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập Tài liệu tham khảo - SCP – Tactical Perimeter Defense - http://www.quantrimang.com.vn/kienthuc/kien-thuc-coban/37334_He-thong-phat-hien-xam-pham-IDS-Phan-1.aspx - http://www.quantrimang.com.vn/kienthuc/kien-thuc-coban/37590_He-thong-phat-hien-xam-pham-IDS-Phan-2.aspx - http://rootbiez.blogspot.com/2009/08/hacking-he-thong-phat-hienxam-nhap-ids.html - http://www.skullbox.net/ids.php Questions & Answers 49 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập Có dạng IDS NIDS HIDS, vậy thì dùng NIDS, thì dùng HIDS? Nếu cài chương trình Antivirus thì có cần cài IDS không? Hệ thống phân tích dữ liệu IDS? Sử dụng Hub Switch IDS? IDS suốt với người sử dụng? Giải thích cụ thể báo động giả IDS? Phân biệt rõ NIDS HIDS? Nếu quản lý nhiều đoạn mạng thì cần phải tập trung về chỗ, nếu không có IP thì làm được? Nếu ta dùng Norton Security, có tấn công nó hiện cảnh báo, vậy nó có phải IDS không? IDS phần mềm phần cứng có gì khác nhau? 50 ... System (IDS) – Hệ thống phát xâm nhập Hình: Mơ hình phân tán (Distributed NIDS) 27 Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập. .. System (IDS) – Hệ thống phát xâm nhập Hình: Quy trình hoạt động IDS 12 Mơn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập V Các hành... Môn học: Ứng dụng truyền thông An ninh thông tin Đề tài: Intrusion Dectection System (IDS) – Hệ thống phát xâm nhập III Kiến trúc IDS Một IDS bao gồm: Trung tâm điều khiển (The Command Console),