PHÁT HIỆN XÂM NHẬP CƠ SỞ DỮ LIỆU TRÁI PHÉP

Giới thiệu Mục đích của các biện pháp phát hiện xâm nhập máy tính là phát hiện ra các loại xâm phạm an toàn cơ bản như: + Xâm phạm tính toàn vẹn. + Từ chối dịch vụ. + Truy nhập trái phép. Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu quả của các biện pháp phát hiện xâm nhập này, như: + Người dùng áp dụng các biện pháp này chưa đúng + Các kiểm soát an toàn làm giảm hiệu năng của hệ thống. + Những người dùng hợp pháp có thể lạm dụng quyền của mình bằng những điểm yếu mà các biện pháp phát hiện xâm nhập chưa phát hiện ra. Phát hiện xâm nhập là khả năng nhận dạng xâm nhập do các cá nhân gây ra, bao gồm: những người dùng hệ thống bất hợp pháp (tội phạm máy tính cracker) và những người dùng hợp pháp nhưng lại lạm dụng các đặc quyền của mình (đe doạ bên trong). Ví dụ về các xâm phạm như: + Sửa đổi trái phép các tệp để có thể truy nhập vào dữ liệu. + Truy nhập hoặc sửa đổi trái phép các tệp người dùng và thông tin. + Sửa đổi trái phép các bảng của hệ thống (chẳng hạn như sửa đổi các bảng định tuyến để chối bỏ sử dụng mạng). + Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có. Mô hình xâm nhập: Khả năng phát hiện xâm nhập máy tính phụ thuộc vào sự xuất hiện của một mô hình xâm nhập. Hiện nay có hai kiểu mô hình xâm nhập được các hệ thống phát hiện xâm nhập (Intrusion Detection System IDS) áp dụng là:  Mô hình phát hiện tình trạng bất thường (Anomaly detection models): Các mô hình này cho phép so sánh profile (trong đó có lưu các hành vi bình thường của một người dùng) một cách có thống kê với các tham số trong phiên làm việc của người dùng hiện tại. Các sai lệch đáng kể so với hành vi bình thường sẽ được hệ thống IDS báo cáo lại cho chuyên gia an ninh, các sai lệch được đo bằng một ngưỡng (do mô hình xác định hoặc chuyên gia an ninh đặt ra).  Mô hình phát hiện sự lạm dụng (Misuse detection models): Mô hình này trợ giúp việc so sánh các tham số trong phiên làm việc của người dùng với các mẫu tấn công đã có, được lưu trong hệ thống.. Cơ chế làm việc dựa vào kiểm toán: các IDS kiểm soát hành vi của người dùng trong hệ thống bằng cách theo dõi các yêu cầu mà người dùng thực hiện và ghi chúng vào một vết kiểm toán thích hợp. Sau đó phân tích vết kiểm toán này để phát hiện dấu hiệu đáng nghi của các yêu cầu đó. + Nhược điểm: trong các hệ thống kiểm toán truyền thống, các kiểm soát kiểm toán rất phức tạp và được tiến hành sau cùng, đồng thời việc kiểm toán được thực hiện thủ công với một khối lượng lớn dữ liệu kiểm toán, do đó hạn chế rất nhiều khả năng làm việc của hệ thống. Dẫn đến các kiểm soát kiểm toán này không được tiến hành thường xuyên. Kết quả là các tấn công vào hệ thống không được phát hiện thường xuyên, hoặc chỉ được phát hiện sau khi chúng đã xảy ra được một thời gian khá lâu. => Cần cung cấp các công cụ và các hệ thống sao cho việc kiểm tra dữ liệu kiểm toán xảy ra một cách tự động hoặc bán tự động, cố gắng phát hiện ra các xâm phạm trực tuyến, thời gian thực. (Chú ý: việc kiểm toán thực hiện thủ công, có nghĩa là các chuyên gia an ninh phải xem xét các vết kiểm toán, nếu thấy đáng nghi thì mới có thể phát hiện ra tấn công. Nhưng với các công cụ kiểm toán tự động, nó có thể kiểm tra các vết kiểm toán để xác định là có tấn công hay không và báo về cho chuyên gia an ninh).

CHƯƠNG 5 PHÁT HIỆN XÂM NHẬP CƠ SỞ DỮ LIỆU TRÁI PHÉP

5.1 Giới thiệu

- Mục đích của các biện pháp phát hiện xâm nhập máy tính là phát hiện ra các

loại xâm phạm an toàn cơ bản như:

+ Xâm phạm tính toàn vẹn

+ Từ chối dịch vụ

+ Truy nhập trái phép

- Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu quả của các biện pháp

phát hiện xâm nhập này, như:

+ Người dùng áp dụng các biện pháp này chưa đúng

+ Các kiểm soát an toàn làm giảm hiệu năng của hệ thống

+ Những người dùng hợp pháp có thể lạm dụng quyền của mình bằng nhữngđiểm yếu mà các biện pháp phát hiện xâm nhập chưa phát hiện ra

- Phát hiện xâm nhập là khả năng nhận dạng xâm nhập do các cá nhân gây ra,

bao gồm: những người dùng hệ thống bất hợp pháp ('tội phạm máy tính' cracker) và những người dùng hợp pháp nhưng lại lạm dụng các đặc quyền củamình ('đe doạ bên trong')

Ví dụ về các xâm phạm như:

+ Sửa đổi trái phép các tệp để có thể truy nhập vào dữ liệu

+ Truy nhập hoặc sửa đổi trái phép các tệp người dùng và thông tin

+ Sửa đổi trái phép các bảng của hệ thống (chẳng hạn như sửa đổi các bảngđịnh tuyến để chối bỏ sử dụng mạng)

+ Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có.

- Mô hình xâm nhập: Khả năng phát hiện xâm nhập máy tính phụ thuộc vào

sự xuất hiện của một mô hình xâm nhập Hiện nay có hai kiểu mô hình xâm

nhập được các hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS)

áp dụng là:

 Mô hình phát hiện tình trạng bất thường (Anomaly detection models):

Các mô hình này cho phép so sánh profile (trong đó có lưu các hành vibình thường của một người dùng) một cách có thống kê với các tham sốtrong phiên làm việc của người dùng hiện tại Các sai lệch 'đáng kể' sovới hành vi bình thường sẽ được hệ thống IDS báo cáo lại cho chuyên gia

an ninh, các sai lệch được đo bằng một ngưỡng (do mô hình xác định

hoặc chuyên gia an ninh đặt ra)

 Mô hình phát hiện sự lạm dụng (Misuse detection models): Mô hình này

trợ giúp việc so sánh các tham số trong phiên làm việc của người dùngvới các mẫu tấn công đã có, được lưu trong hệ thống

- Cơ chế làm việc dựa vào kiểm toán: các IDS kiểm soát hành vi của người

dùng trong hệ thống bằng cách theo dõi các yêu cầu mà người dùng thực hiện vàghi chúng vào một vết kiểm toán thích hợp Sau đó phân tích vết kiểm toán này

để phát hiện dấu hiệu đáng nghi của các yêu cầu đó

+ Nhược điểm: trong các hệ thống kiểm toán truyền thống, các kiểm soát

kiểm toán rất phức tạp và được tiến hành sau cùng, đồng thời việc kiểm toánđược thực hiện thủ công với một khối lượng lớn dữ liệu kiểm toán, do đó hạnchế rất nhiều khả năng làm việc của hệ thống Dẫn đến các kiểm soát kiểm toánnày không được tiến hành thường xuyên Kết quả là các tấn công vào hệ thốngkhông được phát hiện thường xuyên, hoặc chỉ được phát hiện sau khi chúng đãxảy ra được một thời gian khá lâu

=> Cần cung cấp các công cụ và các hệ thống sao cho việc kiểm tra dữ liệukiểm toán xảy ra một cách tự động hoặc bán tự động, cố gắng phát hiện ra cácxâm phạm trực tuyến, thời gian thực

(Chú ý: việc kiểm toán thực hiện thủ công, có nghĩa là các chuyên gia an ninh

phải xem xét các vết kiểm toán, nếu thấy đáng nghi thì mới có thể phát hiện ra tấn công Nhưng với các công cụ kiểm toán tự động, nó có thể kiểm tra các vết kiểm toán để xác định là có tấn công hay không và báo về cho chuyên gia an ninh)

- Một số IDS:

+ Các IDS dựa vào việc phân tích các vết kiểm toán do hệ điều hành (OS) đưa ra, ví dụ như IDES (hệ chuyên gia phát hiện xâm nhập) của SRI.

+ MIDAS của Trung tâm an ninh quốc gia.

+ Haystack System của Thư viện Haystack.

+ Wisdom & Sense của thư viện quốc gia Alamos

5.2 Các công cụ tự động phát hiện xâm nhập

- Các hệ thống phát hiện xâm nhập (IDS) được sử dụng kết hợp với các kiểmsoát truy nhập, nhằm phát hiện ra các xâm phạm hoặc các cố gắng xâm phạm cóthể xảy ra Hình 5.1 minh hoạ kiến trúc cơ bản của một IDS

Hình 5.1 Kiến trúc của một IDS

Vết kiểm toán (Audit trail)

Phát hiện sự bất thường (Anomaly detection)

Phân tích sự lạm dụng (Misuse analysis)

CSDL mẫu

Mức nghi ngờ (Suspicion level) Nhân viên an ninh

(Security officer)

- Khi phân tích an toàn dữ liệu kiểm toán, một mục đích của các công cụ tự

động là giảm khối lượng dữ liệu kiểm toán được xem xét một cách thủ công Các công cụ này có thể đưa ra các bằng chứng về sự cố gắng xâm phạm an toàn hệ thống trực tuyến hoặc ngoại tuyến.

- Sử dụng dữ liệu kiểm toán, ta phân loại các đe doạ có thể xảy ra với hệthống như: các đối tượng xâm nhập bên ngoài, xâm nhập bên trong và đối tượnglạm dụng quyền gây ra

+ Trong số các đối tượng xâm nhập bên trong, nguy hiểm chính là những

‘người dùng bí mật’ được định nghĩa là những người có thể tránh được các kiểmsoát truy nhập và kiểm toán, bằng cách sử dụng các đặc quyền của hệ thống,hoặc hoạt động tại mức thấp hơn mức kiểm toán

=> Chúng ta có thể giải quyết tình trạng này bằng cách:

+ Giảm mức kiểm toán xuống thấp hơn (Ví dụ, mức kiểm toán chỉ đến mứcfile, bảng CSDL, ta giảm xuống mức bản ghi, mức cột, mức phần tử )

Tiền

xử lý

Phân tích bất thường

So sánh mẫu

Cảnh báo

+ Định nghĩa các mẫu sử dụng thông thường của các tham số hệ thống (nhưhoạt động của CPU, bộ nhớ và sử dụng ổ đĩa) và so sánh chúng các giá trị thựctrong quá trình sử dụng hệ thống

- Từ các vết kiểm toán ghi lại được, các IDS tiến hành một số kiểu phân tíchnhư sau: một số chương trình so sánh hoạt động của người dùng với các profile

(phát hiện sự bất thường), một số chương trình khác tiến hành so sánh với các phương pháp tấn công đã biết (phát hiện lạm dụng) và một số chương trình thì

tiến hành cả hai

- Hoạt động của IDS:

+ Các IDS chấp nhận các bản ghi kiểm toán từ một (hoặc một số) máy chủ

(host).

+ Trích lọc ra các đặc điểm liên quan đến phân tích và tạo ra một profile cólưu các hoạt động

+ So sánh nó với CSDL bên trong của máy chủ Nếu CSDL này là một CSDL

cho phát hiện bất thường thì việc so sánh mang tính chất thống kê, còn nếu nó là

một CSDL lạm dụng thì tiến hành đối chiếu mẫu khi so sánh

+ Cuối cùng, IDS sử dụng các phương pháp so sánh như: suy diễn, phân tích

dự báo, hoặc các phương pháp xấp xỉ khác

=> Kết quả phân tích thu được:

+ Có thể được lưu giữ trong CSDL của IDS

+ Được dùng để sửa đổi các bản ghi kiểm toán, bằng cách bổ sung thêm/xoá

bỏ một số đặc điểm, rồi chuyển cho bộ phận phân tích của hệ thống, nhờ đó IDS

có thể kiểm soát được tình hình

Chúng ta có thể làm được điều này bằng cách kiểm soát các đặc điểm được

sử dụng khi phân tích, có nghĩa là tuân theo một mô hình hành vi

- Một hướng tiếp cận (đã được đề xuất từ lâu) là đưa các cửa sập (trapdoors) vào trong hệ thống để đối phó lại những kẻ xâm nhập

- Một hướng tiếp cận phổ biến là xác định các quy tắc Chúng định

nghĩa các mẫu hành vi cho các lớp người dùng Thông qua hướng tiếp cậnnày, người ta có thể phát triển các IDS chuyên gia Thông thường, cácphân tích trợ giúp có thể kết hợp các kiến thức chuyên gia (về các vấn đề

an toàn) với khả năng xử lý chính xác và kết hợp một khối lượng lớn dữliệu của hệ thống: tốc độ xử lý trợ giúp hệ thống tự động trong việc kiểmtoán các hoạt động đáng ngờ để phát hiện và ngừng ngay các hoạt động

đó, hoặc đảm bảo các biện pháp phòng thủ một cách tự trị (ví dụ, khôngcho kẻ xâm nhập tiến hành đăng nhập)

Hạn chế của hướng tiếp cận dựa vào quy tắc chính là dữ liệu kiểm toánđược tìm kiếm cho các tấn công đã biết, trong khi nhiều xâm nhập có thể xảy

ra theo các chế độ chưa được biết Hơn nữa, việc viết quy tắc rất phức tạp,đồng thời việc duy trì nó cũng rất khó khăn

- Một hướng tiếp cận nữa là sử dụng mô hình dựa vào lập luận (model-based reasoning) Đây là mô hình dựa vào các giả thiết, kẻ xâm

nhập sử dụng các thủ tục đặc thù để tấn công vào một hệ thống, chẳnghạn như tấn công mật khẩu hệ thống hoặc truy nhập vào các tệp đặcquyền Hệ thống phát hiện xâm nhập suy luận, lấy mô hình làm cơ sở, cónghĩa là hệ thống tìm kiếm những kẻ xâm nhập bằng cách tìm kiếm cáchoạt động nằm trong kịch bản tấn công đã được giả thiết từ trước Cáckịch bản biến đổi tuỳ thuộc vào kiểu của hệ thống và kẻ xâm nhập

Lợi ích của mô hình dựa vào lập luận trong việc phát hiện xâm nhập chính

là khả năng chọn lọc dữ liệu kiểm toán của nó: dữ liệu liên quan được tậptrung lại, do đó giảm bớt số lượng dữ liệu được mang ra xem xét Tuy nhiên,chúng ta có thể tuân theo các hoạt động ngăn ngừa chống xâm nhập, khi hệthống có khả năng dự báo Với các hệ chuyên gia, hướng tiếp cận bị hạn chế,bởi vì nó tìm kiếm các kịch bản xâm nhập đã biết, nhưng vẫn có thể tồn tạinhiều điểm yếu và các tấn công không được biết trước Do vậy, cần nghiêncứu kết hợp mô hình dựa vào lập luận với việc phát hiện sự không bìnhthường mang tính thống kê

Còn nhiều hướng tiếp cận khác (không dựa vào sự nghi ngờ) định nghĩa cáchành vi được chấp nhận

Các dự án gần đây khai thác khả năng của các mạng thần kinh để đối phó lại

các tấn công xâm nhập Mạng thần kinh giải quyết vấn đề của các phương phápthống kê Hiện nay, mặc dù có nhiều triển vọng nhưng hướng tiếp cận nàykhông được phát triển thích đáng để có thể thay thế các thành phần thống kênằm trong các nguyên mẫu hiện có

- Với các xâm nhập đặc biệt (như virus) và các xâm nhập nói chung, các hệthống hiện có được phân loại thành:

+ Các bộ giám sát sự xuất hiện (appearance monitors): Bộ giám sát sự xuất

hiện là công cụ phân tích tĩnh, được sử dụng để phát hiện sự không bình thườngtrong các tệp nguồn và các tệp thực hiện

+ Các bộ giám sát hành vi (behaviour monitors) Bộ giám sát hành vi tự động

xem xét hành vi của các tiến trình khi có hoạt động nguy hiểm xảy ra Theo sựphân loại này, IDES là một bộ giám sát hành vi trong thời gian thực, nó nhậndạng một tập các tham số kiểm toán, thiết lập hệ thống và các profile ngườidùng

5.3 Hướng tiếp cận dựa vào các hệ chuyên gia - hệ thống IDES

Sau đây là các lý do cơ bản lý giải tại sao người ta sử dụng các hệ chuyên giaphát hiện xâm phạm:

 Nhiều hệ thống đang tồn tại có các điểm yếu về an toàn, chính vìvậy các đe doạ xâm nhập có thể xảy ra Người ta thường khó có thể xácđịnh chính xác hoặc loại trừ các điểm yếu này, vì các lý do kỹ thuật vàkinh tế

 Việc thay thế các hệ thống đang tồn tại (với các điểm yếu đã biết)bằng các hệ thống an toàn lại không dễ dàng, bởi vì các hệ thống nàythường phụ thuộc vào hệ thống ứng dụng, hoặc việc thay thế đòi hỏi nhiều

phát hiện ra những hành vi bất thường bằng cách định nghĩa các hành vi bình

thường, các quy tắc đánh giá cho việc phát hiện hành vi bất thường.

Các mối quan hệ giữa các hành vi đe dọa

Các mối quan hệ cơ bản giữa các loại xâm nhập và hành vi bất thường trongIDES là:

- Sự cố gắng xâm nhập: Nhiều lần cố gắng đăng nhập sử dụng những mật

khẩu khác nhau với cùng một account-id, hoặc sử dụng cùng một mật khẩu vớinhiều tên account khác nhau

- Sự giả mạo: xâm nhập qua đăng nhập hợp pháp (nghĩa là tên tài khoản và

mật khẩu lấy cắp được hoặc sao chép được, chúng là hợp lệ) và sau đó sử dụng

hệ thống khác mẫu thông thường (như: duyệt thư mục thay vì những hành độngbình thường: soạn thảo, biên dịch, liên kết,…)

- Xâm nhập bằng những người dùng hợp pháp: những người dùng hợp pháp

cố gắng phá vỡ các kiểm soát an toàn (họ sử dụng các chương trình khác vớibình thường chúng vẫn chạy) Nếu sự xâm nhập này thành công, họ sẽ truy nhậpđược vào các file và các lệnh (bình thường bị cấm), do đó thể hiện những hành

vi bất thường

- Sự truyền bá dữ liệu bởi những người dùngh hợp pháp: một người dùng cố

gắng truy nhập vào dữ liệu nhạy cảm bằng cách đăng nhập ở những thời điểmkhác thường, bằng cách viết theo kiểu khác thường (nhiều lần thực hiện đọc), sửdụng các máy in từ xa, hoặc sinh ra nhiều bản sao hơn bình thường

- Suy diễn bởi những người dùng hợp pháp: lấy được dữ liệu bí mật bằng

cách gộp hoặc suy diến

- Con ngựa thành Troa: là một đoạn chương trình được chèn vào hoặc thay

thế một chương trình, nó có thể thay đổi tốc độ sử dụng CPU, bộ nhớ, thiết bị …

- Virus:

- DOS

Phân tích hành vi bất thường

Việc định nghĩa mô hình phát hiện xâm nhập này cần yêu cầu định nghĩa các

profile và các quy tắc Nói riêng, việc định nghĩa các profiles có thể dùng các

thuật ngữ metrics và các mô hình thống kê (statistical models) Một metric là

một biến ngẫu nhiên x thể hiện một lượng vượt quá khoảng thời gian quan sát

cho trước (hoặc là khoảng thời gian cố định, hoặc là khoảng thời gian giữa 2 sựkiện tương quan) Sự quan sát này là theo dõi các hành động của người dùng,

các hành động này là các điểm mẫu x i của x được sử dụng trong một mô hình

thống kê để xác định xem một biến quan sát mới có được coi là ‘bình thường’

hay không Mô hình thống kê này độc lập với sự phân phối của x, do đó tất cả hiểu biết về x có thể đạt được từ những biến quan sát đó.

Sau đây ta sẽ tìm hiểu các metrics và các mô hình thống kê để phân tích cáchành vi bất thường

Metrics

Các metrics thể hiện cách thức nhóm những biến quan sát đơn lẻ của hành vicủa một người dùng để tạo ra một profile liên quan đến hành vi của người dùng

đó Một số metric có thể được sử dụng như:

- Event Counter (bộ đếm sự kiện): x là số sự kiện liên quan đến một khoảng

thời gian cho trước, khoảng thời gian này thỏa mãn các thuộc tính đã cho Ví dụ,

x có thể mô tả số lần đăng nhập trong một giờ, số lần một lệnh cụ thể được thực

hiện trong một phiên làm việc, số lượng các mật khẩu sai trong một phút, hay sốlương các truy nhập trái phép vào một file trong một ngày

- Time interval: x là khoảng thời gian giữa hai sự kiện liên quan: ví dụ

khoảng thời gian giữa hai lần đăng nhập liên tiếp liên quan đến một tài khoảnđơn lẻ

- Resource measurement: x là lượng tài nguyên được sử dụng bởi một hoạt

động của hệ thống trong một khoảng thời gian đã cho: ví dụ, tổng số trang được

in bởi một người dùng trong một ngày, tổng thời gian CPU của một chươngtrình đang chạy, hay số lượng các bản ghi được đọc trong 1 ngày Chú ý

Resource measurement có thể thuộc kiểu event counter hay time interval, ví dụ

số lương các trang được in là một event counter

Mô hình thống kê – statistical models

Với một metric đã cho của một biến ngẫu nhiên x và n biến quan sát x 1 ,

x 2 , ,x n , mục đích của một mô hình thống kê của x là để xác định xem nếu có một biến quan sát mới x n+1 được so sánh là bất thường với các biến trước đó Một số

mô hình thống kê được sử dụng cho mục đích này là:

- Operational model – mô hình thao tác: Mô hình này giả thiết rằng

sự bất thường có thể xác định được bằng cách so sánh một biến quan sát

mới của x với một giới hạn cố định Giới hạn cố định này sẽ được tính

nhờ các biến quan sát trước của x Mô hình này có thể áp dụng với cácmetric để chỉ ra các giá trị ngưỡng tồn tại liên quan đến các xâm nhập Ví

dụ, 3 lần đăng nhập sai có thể bị nghi ngờ là một dạng đe dọa xâm nhập,hay một truy nhập được thực hiện bằng cách đăng nhập một tài khoản đãkhông sử dụng 2 tháng được coi là một xâm nhập

- Mô hình độ lệch trung bình và độ lệch chuẩn: mô hình này dựa vào

giả thiết rằng một biến quan sát mới được xem là ‘bình thường’ nếu nó

nằm trong khoảng tin cậy: avg d  stdev trong đó avg và độ lệnh chuẩn

- Multivaried model – Mô hình này tương tự với mô hình trên, trừ

thực tế là nó dựa vào tương quan giữa hai hoặc hơn hai metric Mô hìnhnày

- Markovian model: mô hình này xét mỗi kiểu sự kiện (yêu cầu của người

dùng) như một biến trạng thái, và sử dụng một ma trận chuyển đổi trạngthái để mô tả các tần suất biến đổi giữa các trạng thái Một biến quan sátmới được gọi là 'bình thường' nếu xác suất của nó được xác định bởi trạngthái trước đó và bởi ma trận chuỷên đổi, là cao Mô hình này chỉ có thể ápdụng cho metric event counter, hữu ích trong việc kiểm soát sự biến đổigiữa các lệnh đã cho, khi chuỗi các lệnh này liên quan đến nhau