Đang tải... (xem toàn văn)
Vấn đề an toàn, an ninh mạng không mới nhưng càng ngày càng trở nên quan trọng cùng với sự phát triển theo chiều rộng và chiều sâu của xã hội thông tin. Lấy ví dụ đơn giản như gần đây rất nhiều trang web, các hệ thống mạng ở Việt Nam bị hacker tấn công gây hậu quả đặc biệt nghiêm trọng. Hơn nữa các cuộc tấn công hiện nay ngày một tinh vi, phức tạp và có thể đến từ nhiều hướng khác nhau. Trước tình hình đó các hệ thống thông tin cần phải có những chiến lược, những giải pháp phòng thủ theo chiều sâu nhiều lớp. IPS (Intrusion Prevension System – Hệ thống ngăn chặn truy nhập trái phép) là một hệ thống có khả năng phát hiện trước và làm chệch hướng những cuộc tấn công vào mạng. IPS đáp ứng được yêu cầu là một hệ thống phòng thủ chiến lược theo chiều sâu, nó hoạt động dựa trên cơ sở thu thập dữ liệu mạng, tiến hành phân tích, đánh giá, từ đó xác định xem có dấu hiệu của một cuộc tấn công hay không để đưa ra các cảnh báo cho các nhà quản trị mạng hoặc tự động thực hiện một số thao tắc nhằm ngăn chặn hoặc chấm dứt tấn công. Các hệ thống IPS hiện nay có hai hướng tiếp cận chính là dựa trên dấu hiệu và dựa trên phát hiện bất thường. Đối với hướng dựa trên dấu hiệu, hệ thống sẽ sử dụng các mẫu tấn công từ các lần tấn công trước tiến hành so sánh để xác định dữ liệu đang xét có phải là một cuộc tấn công không, hướng này được sử dụng tương đối rộng rãi nhưng có điểm yếu là chỉ phát hiện được các dạng tấn công đã biết trước. Đối với hướng dựa trên phát hiện bất thường, hệ thống sẽ xây dựng các hồ sơ mô tả trạng thái bình thường, từ đó xét được một hành động là bất thường nếu các thông số đo được của hành động đó có độ khác biệt đáng kể với mức “bình thường”. Hướng tiếp cận này có nhiều ưu điểm hơn cách tiếp cận dựa trên dấu hiệu do nó có khả năng phát hiện ra các cuộc tấn công mới.
1 MỞ ĐẦU Đặt vấn đề Nội dung đề tài Cấu trúc luận văn CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG IPS .6 1.1 Lịch sử đời 1.2 Hệ thống IDS 1.2.1 Một hệ thống IDS bao gồm thành phần 1.2.2 Phân loại hệ thống IDS 1.2.2.1 Network-based Intrusion Detection System (NIDS) 1.2.2.2 Host-based Intrusion Detection System (HIDS) 10 1.2.2.3 Hybrid Intrusion Detection System 11 1.3 Hệ thống IPS 12 1.3.1 Phân loại IPS 13 1.3.2 Các thành phần .14 1.3.2.1 Module phân tích gói (packet analyzer) 14 1.3.2.2 Module phát công .14 1.3.2.3 Module phản ứng .17 1.3.3 Mô hình hoạt động 18 1.3.4 Đánh giá hệ thống IPS 20 1.4 Kết chương 21 CHƯƠNG : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IPS 24 2.1 Tổng quan phương pháp phát bất thường 24 2.1.1 Thế bất thường mạng? 24 2.1.2 Các nguồn liệu dùng cho phát bất thường 26 2.1.2.1 Network Probes 26 2.1.2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) 26 2.1.2.3 Dữ liệu từ giao thức định tuyến 27 2.1.2.4 Dữ liệu từ giao thức quản trị mạng 27 2.1.3 Các phương pháp phát bất thường 28 2.1.3.1 Hệ chuyên gia ( Rule-based ) 28 2.1.3.2 Mạng Nơ-ron ( Artificial Neural Network) 30 2.1.3.3 Máy trạng thái hữu hạn 34 2.1.3.4 Phân tích thống kê 35 2.1.3.5 Mạng Bayes .37 2.2 Kết chương 38 CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG DỰA TRÊN KHAI PHÁ DỮ LIỆU 38 3.1 Khai phá liệu 39 3.2 Các thuật toán phát bất thường khai pháp liệu 41 3.2.1 Đánh giá chung hệ thống 42 3.2.2 Phần tử dị biệt 44 3.2.2.1 Phương pháp điểm lân cận gần (NN) .45 3.2.2.2 Phương pháp pháp điểm dị biệt dựa khoảng cách Mahalanobis 46 3.2.2.3 Thuật toán LOF 47 3.2.2.4 Thuật toán LSC-Mine 50 3.3 Mô hình phát bất thường dựa kỹ thuật KPDL 53 3.3.1 Module lọc tin 54 3.3.2 Module trích xuất thông tin 54 3.3.3 Môđun phát phần tử di biệt .55 3.3.4 Module phản ứng 58 3.3.5 Module tổng hợp 58 3.4 Giới thiệu hệ thống phát xâm nhập MINDS .61 3.4.1 Giới thiệu hệ thống 61 3.4.2 So sánh SNORT MINDS 68 3.4.3.1 Tấn công dựa nội dung 68 3.4.3.2 Hoạt động scanning 68 3.4.3.3 Xâm phạm sách 69 3.5 Kết chương 70 KẾT LUẬN 71 Hướng phát triển luặn văn: .72 MỞ ĐẦU Đặt vấn đề Vấn đề an toàn, an ninh mạng không ngày trở nên quan trọng với phát triển theo chiều rộng chiều sâu xã hội thông tin Lấy ví dụ đơn giản gần nhiều trang web, hệ thống mạng Việt Nam bị hacker công gây hậu đặc biệt nghiêm trọng Hơn công ngày tinh vi, phức tạp đến từ nhiều hướng khác Trước tình hình hệ thống thông tin cần phải có chiến lược, giải pháp phòng thủ theo chiều sâu nhiều lớp IPS (Intrusion Prevension System – Hệ thống ngăn chặn truy nhập trái phép) hệ thống có khả phát trước làm chệch hướng công vào mạng IPS đáp ứng yêu cầu hệ thống phòng thủ chiến lược theo chiều sâu, hoạt động dựa sở thu thập liệu mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không để đưa cảnh báo cho nhà quản trị mạng tự động thực số thao tắc nhằm ngăn chặn chấm dứt công Các hệ thống IPS có hai hướng tiếp cận dựa dấu hiệu dựa phát bất thường Đối với hướng dựa dấu hiệu, hệ thống sử dụng mẫu công từ lần công trước tiến hành so sánh để xác định liệu xét có phải công không, hướng sử dụng tương đối rộng rãi có điểm yếu phát dạng công biết trước Đối với hướng dựa phát bất thường, hệ thống xây dựng hồ sơ mô tả trạng thái bình thường, từ xét hành động bất thường thông số đo hành động có độ khác biệt đáng kể với mức “bình thường” Hướng tiếp cận có nhiều ưu điểm cách tiếp cận dựa dấu hiệu có khả phát công Nội dung đề tài Xuất phát từ vấn đề nêu trên, nội dung đề tài bao gồm vấn đề sau: Nghiên cứu, tìm hiểu vấn đề tông quan hệ thống IPS bao gồm phân loại, chức hoạt động, hướng phát triển Tìm hiểu hệ thống IPS dựa phát bất thường, phân tích ưu nhược điểm hướng tiếp cận Nghiên cứu kỹ thuật sử dụng như: Phân tích thống kê, mạng Neutral, Hệ chuyên gia, Máy trạng thái hữu hạn, Khai phá liệu … Nghiên cứu cụ thể kỹ thuật sử dụng phát bất thường kỹ thuật Khai phá liệu (data mining) Đưa đánh giá, so sánh hệ thống sử dụng kỹ thuật so với kỹ thuật khác Cấu trúc luận văn Luận văn chia thành chương dựa vào nội dung nêu trên: Chương 1: Giới thiệu tổng quan hệ thống IPS , thành phần chức hệ thống Chương 2: Tìm hiểu phương pháp phát công dựa phát bất thường áp dụng như: Phân tích thống kê, Mạng Neutral, Hệ chuyên gia… Chương 3: Tìm hiểu kỹ thuật Khai phá liệu hệ thống IPS có sử dụng phương pháp phát bất thường ứng dụng khai phá liệu CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG IPS 1.1 Lịch sử đời Hệ thống Firewall (tường lửa) cổ điển ứng dụng hệ thống mạng để bảo vệ mạng khỏi công truy nhập trái phép từ lâu Tuy nhiên trình hoạt động Firewall thể nhiều nhược điểm cố hữu Thứ nhất, hệ thống Firewall hệ thống thụ động, Firewall hoạt động sở tập luật, luật Firewall phải người quản trị cấu hình hay định cho phép hay không cho phép gói tin qua Bản thân hệ thống Firewall nhận biết mối nguy hại đến từ mạng mà phải người quản trị mạng thông qua việc thiết lập luật Thứ hai, Hệ thống Firewall hoạt động chủ yếu lớp mạng trở xuống, Firewall ngăn chặn truy nhập thông qua trường địa IP đích nguồn, cổng dịch vụ (TCP/UDP), số Firewall ngăn chặn lớp vật lý thông qua địa MAC Address Như vậy, thông tin mà Firewall dùng để ngăn chặn truy nhập phần tiêu đề gói tin, Firewall cổ điển đọc thông tin phần tải gói tin (Pay Load) nơi chứa nội dung thông tin truyền đi, nơi tiềm ẩn mã nguy hiểm gây hại cho hệ thống Thứ ba, khả đọc nội dung gói tin nên hệ thống Firewall có khả bảo vệ vòng hệ thống, thân khả chống công xuất phát từ bên mạng Trong bối cảnh đó, IDS đời bổ sung cho hệ thống Firewall cổ điển IDS có khả bắt đọc gói tin, phân tích gói tin để phát nguy công tiềm ẩn nội dung gói tin Tuy nhiên IDS lại sinh cảnh báo cho hệ thống cho người quản trị mạng, có nghĩa hoạt động IDS mang tính chất cảnh báo trợ giúp thông tin cho người quản trị mạng, thông tin cảnh báo bảo mật, người quản trị mạng phải tiến hành lệnh cho Firewall ngăn chặn công Như thân hệ thống IDS hệ thống thụ động IDS bổ sung cần thiết cho hệ thống an ninh cổ điển, nhiên chưa triệt để, người ta phải kết hợp hoạt động IDS với hệ thống Firewall để tạo hệ thống an ninh có khả phát dấu hiệu công chủ động ngăn chặn công Hệ thống biết đến với tên hệ thống ngăn chặn truy nhập IPS Các phần trình bày cấu trúc hoạt động hệ thống IDS IPS 1.2 Hệ thống IDS IDS từ viết tắt tiếng anh Intrusion Detection System hay gọi hệ thống phát truy nhập trái phép IDS có nhiệm vụ rà quét gói tin mạng, phát truy nhập trái phép, dấu hiệu công vào hệ thống từ cảnh báo cho người quản trị hay phận điều khiển biết nguy xảy cống trước xảy Một hệ thống phát truy nhập trái phép có khả phát tất luồng liệu có hại từ mạng vào hệ thống mà Firewall phát Thông thường công mạng thuộc kiểu công: từ chối dịch vụ, phá hoại liệu ứng dụng, công vào máy trạm thay đổi quyền máy, đăng nhập bất hợp pháp truy nhập vào tệp tin nhạy cảm loại Virus, Trojan, Worm độc hại khác 1.2.1 Một hệ thống IDS bao gồm thành phần Bộ phát (Sensor): Là phận làm nhiệm vụ phát kiện có khả đe dọa an ninh hệ thống mạng, phát có chức rà quét nội dung gói tin mạng, so sánh nội dung với mẫu phát dấu hiệu công hay gọi kiện Bộ giao diện (Console):Là phận làm nhiệm vụ giám sát kiện, cảnh báo phát sinh từ Sensor điều khiển hoạt động Sensor Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất báo cáo kiện phát Sensor sở liệu sử dụng hệ thống luật để đưa cảnh báo kiện an ninh nhận cho hệ thống cho người quản trị Như vậy, hệ thống IDS hoạt động theo chế “phát cảnh báo” Các Sensor phận trí hệ thống điểm cần kiểm soát, Sensor bắt gói tin mạng, phân tích gói tin để tìm dấu hiệu công, gói tin có dấu hiệu công, Sensor đánh dấu kiện gửi báo cáo kết cho Engine, Engine ghi nhận tất báo cáo tất Sensor, lưu báo cáo vào sở liệu định đưa mức cảnh báo kiện nhận Console làm nhiệm vụ giám sát kiện cảnh báo, đồng thời điều khiển hoạt động Sensor Các mẫu (Signatures): Các Sensor hoạt động theo chế “so sánh với mẫu”, Sensor bắt gói tin mạng, đọc nội dung gói tin so sánh xâu nội dung gói tin với hệ thống mẫu tín hiệu nhận biết công mã độc gây hại cho hệ thống, nội dung gói tin có xâu trùng với mẫu, Sensor đánh dấu kiện bình thường hay có dấu hiệu công từ sinh cảnh báo Các tín hiệu nhận biết công tổng kết tập hợp thành gọi mẫu hay signatures Thông thường mẫu hình thành dựa kinh nghiệm phòng chống công, người ta thành lập trung tâm chuyên nghiên cứu đưa mẫu để cung cấp cho hệ thống IDS toàn giới 1.2.2 Phân loại hệ thống IDS Có nhiều mô hình cách để phân loại hệ thống IDS, dựa theo loại vị trí đặt Sensor phương pháp sử dụng Engine để sinh cảnh báo Hầu hết IDS đơn giản kết hợp ba thành phần Sensor, Console, Engine vào thiết bị phần cứng ứng dụng 1.2.2.1 Network-based Intrusion Detection System (NIDS) Network-based Instrusion Detection System (Hệ thống phát truy nhập cho mạng) giải pháp độc lập để xác định truy nhập trái phép cách kiểm tra luồng thông tin mạng giám sát nhiều máy trạm, Network Instrusion Detection Systems truy nhập vào luồng thông tin mạng cách kết nối vào Hub, Switch cấu hình Port mirroring Network tap để bắt gói tin, phân tích nội dung gói tin từ sinh cảnh báo Hình 1.1: Hệ thống Network-based Intrusion Detection Port mirroring sử dụng switch mạng để gửi tất gói tin mạng qua cổng Switch tới thiết bị giám sát mạng cổng khác Switch Nó thường sử dụng để thiết bị mạng cần giám sát luồng mạng, ví dụ hệ thống IDS, Port mirroring Switch Cisco System thường gọi Switched Port Analyzer (SPAN) 3Com Roving Analysis Port (RAP) Network tap thiết bị phần cứng cung cấp phương tiện để truy nhập vào luồng liệu ngang qua máy tính mạng Các máy tính mạng bao gồm Internet tập hợp thiết bị máy tính, router, switch nối với hệ thống khác Các kết nối tạo nhiều công nghệ khác Etherenet, 802.11, FDDI ATM Trong nhiều trường hợp xem thành phần thứ để giám sát luồng liệu trao đổi hai điểm mạng, điểm A điểm B Nếu mạng điểm A điểm B chứa kết nối vật lý, network tap giải pháp tốt cho việc giám sát Network tap có cổng kết nối, cổng A, cổng B, cổng giám sát Để đặt Network tap điểm A điểm B, cáp mạng hai điểm A, B thay cặp dây, dây đấu vào cổng A dây đấu vào cổng B Network tap cho qua tất liệu A B giao tiếp hai điểm A B diễn bình thường, nhiên liệu trao đổi bị Network tap chép đưa vào thiết bị giám sát thông qua cổng giám sát 10 Trong hệ thống Network-based Intrusion Detection System (NIDS), Sensor đặt điểm cần kiểm tra mạng, thường trước miền DMZ vùng biên mạng, Sensor bắt tất gói tin lưu thông mạng phân tích nội dung bên gói tin để phát dấu hiệu công mạng Theo chức sử dụng, hệ thống NIDS phân thành hai hệ thống nhỏ Protocol-based Intrusion Detection System (PIDS – Hệ thống phát truy cập dựa giao thức) Application Protocol-based Intrusion Detection System (APIDS – Hệ thống phát truy nhập dựa ứng dụng) PIDS APIDS sử dụng để giám sát giao vận giao thức không hợp lệ không mong muốn luồng liệu hạn chế ngôn ngữ giao tiếp Hệ thống Protocol-based Intrusion Detection System (PIDS) chứa hệ thống (System) thành phần (Agent) thường đặt trước máy chủ, giám sát phân tích giao thức trao đổi thiết bị nối mạng (Một máy trạm hệ thống) Một hệ thống Application Protocol-based Intrusion Detection System (APIDS) bao gồm hệ thống (System) thành phần (Agent) thường nằm nhóm máy chủ, giám sát phân tích trao đổi lớp ứng dụng giao thức định sẵn Ví dụ; máy chủ web với sở liệu giám sát giao thức SQL để ngăn chặn truy nhập vào ứng dụng trao đổi với sở liệu 1.2.2.2 Host-based Intrusion Detection System (HIDS) Trong hệ thống HIDS (Hệ thống phát truy nhập dựa máy trạm), Sensor thường thường phần mềm máy trạm (Software agent), giám sát tất hoạt động máy trạm mà nằm Hệ thống Host-based Intrusion Detection System bao gồm thành phần (Agent) cài đặt máy trạm, xác định truy nhập trái phép vào hệ thống cách phân tích trao đổi hệ thống, ghi ứng dụng, sửa đổi tệp tin hệ thống (Các file dạng binary, mật file, dung lượng acl sở liệu) hoạt động trạng thái khác hệ thống để từ phát dấu hiệu truy nhập trái phép vào hệ thống Khi phát truy nhập trái phép, Agent sinh kiện gửi báo cáo Engine, Engine lưu báo cáo nén tỉ lệ tin Độ nén đại diện cho tính rút gọn liệu, tỉ lệ tin mát thông tin sau sử dụng trình tổng hợp liệu Độ nén tỉ lệ tin tỉ lệ thuận với ta tăng độ nén, tỷ lệ tin tăng theo Vì cần có lựa chọn hợp lý hai yếu tố Chúng ta sử dụng hàm định lượng: M = k*(độ nén) – (tỉ lệ tin) Với k số mà ta lựa chọn, k điều chỉnh tùy theo mục địch mà ta mong muốn tỉ lệ nén hay tỉ lệ gói tin Hình 3.10 Mô tả hoạt động môđun tổng hợp Chúng ta xem xét ví dụ tổng hợp luật sau Giả sử ta có tập số liệu : {SrcIP:X.Y.Z.86, StartTime:10:08:20, DestIP:A.B.C.215, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:15:04, DestIP:A.B.C.217, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:29:08, DestIP:A.B.C.213, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:29:20, DestIP:A.B.C.219, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:32:29, DestIP:A.B.C.213, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:38:10, DestIP:A.B.C.225, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:38:40, DestIP:A.B.C.228, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:38:51, DestIP:A.B.C.235, DestPort:158} {SrcIP:X.Y.Z.86, StartTime:10:42:16, DestIP:A.B.C.217, DestPort:158} dựa vào quy tắc tổng hợp luật, rút gọn thành :{SrcIP:X.Y.Z.86,DestPort:158} Đối với module tổng hợp đầu vào kết nối xác định bất thường từ module phát phần tử dị biệt, đầu mẫu rút gọn mô tả công Module tổng hợp sử dụng thuật toán heuristic để lựa chọn cách rút gọn tập cảnh báo cách phù hợp Các thuật toán bao gồm bước sau: Xuất phát từ cảnh báo module phát phần tử dị biệt, xác định tần số xuất tập yếu tố quan sát Đưa danh sách ứng cử viên rút gọn Sử dụng vét cạn trường hợp sử dụng hàm định lượng S=k*(độ nén) – ( tỉ lệ tin) Xác định ứng cử viên có hàm định lượng S lớn Thực rút gọn theo ứng cử viên Loại bỏ cảnh báo nằm trình rút gọn Cứ tiếp tục với ứng cử viên khác toàn danh sách rút gọn Ta xem xét danh sách cảnh báo sau: SrcIp sPort dstIP dPort Pro Flags Packet Bytes T1 12.190.84.122 32178 100.10.20.4 80 Tcp _APRS_ [2,20] [504,1200] T2 88.34.224.2 51989 100.10.20.4 80 Tcp _APRS_ [2,20] [220,500] T3 12.190.19.23 2234 100.10.20.4 80 Tcp _APRS_ [2,20] [220,500] T4 98.198.66.23 27643 100.10.20.4 80 Tcp _ARSF_ [2,20] [42,200] T5 192.168.22.4 5002 100.10.20.3 21 Tcp _APRS_ [2,20] [42,200] T6 192.168.22.4 5001 100.10.20.3 21 Tcp _APRS_ [40,68] [200,500] T7 67.118.25.23 43532 100.10.20.3 21 Tcp _ARSF_ [40,68] [42,200] T8 192.168.22.4 2765 100.10.20.4 113 Tcp _APRS_ [2,20] [504,1200] Bảng 3.1 danh sách cảnh báo chưa rút gọn Tập ứng cử viên bao gồm yếu tố quan sát yếu tố quan sát có tần số xuất cao như: {[srcIP=192.168.22.4],[dstIP=100.10.20.4;pro=tcp;flags=_APRPS_, packets=2,20], [dport=80],[srcIP=192.168.22.4;dstIP=100.10.20.3],[dstIP=100.10.20.4;dport=80]…} Sử dụng thuật toán rút gọn, cảnh báo sau: SrcIp sPort dstIP dPort Pro Flags Packet Bytes S1 *.*.*.* *.*.*.* *** 100.10.20.4 * Tcp _APRS_ [2,20] *** *** S2 192.168.22.4 *** 100.10.20.3 21 Tcp *** *** [504,1200] 2765 100.10.20.4 113 Tcp _APRS_ [2,20] S3 Bảng 3.2 Danh sách cảnh báo sau rút gọn Các hệ thống phát bất thường trước có điểm hạn chết trình học phản hồi từ chuyên gia Nghĩa cảnh báo sai tiếp tục xuất lần sau Đối với hệ thống sử dụng KPDL, hình thành cảnh báo rút gọn, Module tổng hợp chuyển cho chuyên gia xem xét định cảnh báo cảnh báo thực có công, liệu cập nhật vào kho liệu hệ thống giúp cho việc phát công lần sau đơn giản 3.4 Giới thiệu hệ thống phát xâm nhập MINDS 3.4.1 Giới thiệu hệ thống Hệ thống phát xâm nhập Minnesota (MINDS) [9] hệ thống dựa phương pháp khai phá liệu nhằm phát xâm nhập mạng Mô hình hệ thống thực chất trình bày phần có đầy đủ module thành phần hệ thống phát xâm nhập sử dụng khai phá liệu, phần vào giới thiệu thành phần triển khai thực hệ thống Hình 3.11 minh họa tiến trình phân tích liệu giao thông mạng hệ thống Đầu vào hệ thống MINDS liệu Netflow phiên công cụ dòng ( Flow-tool) tập hợp lại Các công cụ bắt thông tin phần header gói tin (chứ không bắt nội dung) xây dựng phiên (các flows) chiều Chúng ta làm việc liệu Netflow thay liệu tcpdump khả thu thập lưu trữ liệu tcpdump tương đối tốn Trong vòng 10 phút, liệu Netflow sinh khoảng 1-2 triệu dòng lưu vào tệp liệu Các chuyên gia dùng hệ thống MINDS để phân tích tệp liệu sinh 10 phút đợt Lý hệ thống chạy tệp đợt thời gian cần để phân tích tệp mà chủ yếu chuyên gia cảm thấy thuận tiện Để chạy hệ thống với tệp sinh 10 phút máy tính để bàn thường phút Như biết trước liệu chuyển vào module phát bất thường, bước lọc liệu tiến hành nhằm loại bỏ liệu mạng mà chuyên gia không muốn phân tích Ví dụ, liệu sau lọc gồm liệu từ nguồn xác thực biểu mang tính bất thường/ nguy hiểm lại coi không mang tính xâm phạm Hình 3.11 Mô hình hoạt động hệ thống MINDS Bước trình MINDS trích lọc đặc điểm dùng cho việc phân tích khai phá liệu Những đặc điểm bao gồm địa IP nguồn IP đích, cổng nguồn, cổng đến, giao thức, cờ, số lượng bytes số lượng gói Các đặc điểm phát sinh gồm có cửa sổ thời gian đặc điểm dựa cửa sổ kết nối(trình bày phần trên) Chúng tạo để bắt liên kết có tính chất khoảng T giây cuối Chúng đặc biệt hữu ích việc phân biệt nguồn có lượng kết nối cao đơn vị thời gian với phần lại giao thông mạng biết đến hoạt động scanning nhanh Phương pháp tương tự áp dụng vào việc xây dựng tính bảng liệu KDD Cup năm 1999 Bảng 3.3 tóm tắt tính dựa cửa sổ thời gian Tên đặc điểm Mô tả count_src Số kết nối có nguồn đến đích khác t giây gần count_dest Số kết nối có đích từ nhiều nguồn khác t giây gần count_serv_src Số kết nối đến địa cổng đích t giây gần count_serv_dest Số kết nối từ địa đích đến địa cổng đích T giây gần Bảng 3.3 đặc điểm chọn “dựa thời gian” Khác với scan “nhanh” hoạt động scanning “chậm” hoạt động scan host port sử dụng khoảng thời gian nhiều vài giây, ví dụ tiếp xúc (scan) phút chí tiếp xúc bị chia cắt với phần lại giao thông mạng sử dụng đặc điểm dựa cửa sổ thời gian Để làm điều đó, tạo đặc điểm dựa vào cửa sổ-kết nối nhằm bắt đặc điểm tương tự kết nối đặc tính dựa cửa sổ thời gian, nhiên lại tính toán dựa N kết nối cuối xuất phát từ (hoặc đến) nguồn riêng biệt (đích) Các đặc điểm dựa cửa sổ liên kết minh họa bảng 3.4 Tên đặc điểm count_dest_conn Mô tả Số kết nối có từ nguồn đến đích khác N kết nối gần count_src_conn Số kết nối có đích từ nhiều nguồn khác N kết nối gần count_serv_src_conn Số kết nối đến địa cổng đích N kết nối gần count_serv_des_conn Số kết nối từ địa đích đến địa cổng đích N kết nối gần Bảng 3.4 đặc điểm chọn “dựa kết nối” Sau bước rút đặc điểm để phân tích, module phát công biết dùng để phát kết nối mạng tương ứng với công mà chúng có sẵn dấu hiệu loại bỏ chúng khỏi danh sách liệu cần phân tích Tiếp đến, liệu chuyển tiếp vào module phát bất thường MINDS sử dụng thuật toán phát điểm dị biệt để gán giá trị bất thường cho kết nối mạng MINDS sử dụng thuật toán LOF module phát bất thường.Một chuyên gia sau phải xem xét kết nối có giá trị bất thường để định liệu chúng có phải công thực biểu ngẫu nhiên bên Module tổng hợp MINDS tổng kết liên kết mạng xếp chúng theo mức độ bất thường từ cao xuống thấp Cuối chuyên gia đưa phản hồi sau phân tích kết định chúng có ích việc tạo luật sử dụng module phát công biết hay không Tiếp theo xem xét số kết thu sau áp dụng module phát bất thường MINDS vào giao thông mạng thực đại học Minnesota Tuy nhiên đưa tỉ lệ phát tỉ lệ cảnh báo sai khó khăn việc đánh dấu toàn kết nối mạng Chuyên viên an ninh mạng ĐH Minnesota sử dụng phương pháp MINDS để phân tích giao thông mạng từ năm 2002 Trong suốt thời gian này, MINDS phát thành công nhiều công biến dạng mà bị phát dùng hệ thống dựa dấu hiệu (signature) SNORT Nhìn chung, MINDS có khả thường xuyên phát hành động xâm nhập nguy hại khác (ví dụ xâm phạm sách - policy violations), phát tán sâu hoạt động scan Đầu tiên vào trình chuyên viên phân tích đầu module phát bất thường MINDS dãy liệu cụ thể Sau tiếp tục với vài ví dụ loại công khác xác định MINDS Hình 3.12 cho thấy kết nối đứng đầu module phát bất thường MINDS tìm 10 phút khoảng 48 tiếng sau sâu Slammer/ Sapphire xuất Đầu bao gồm liệu gốc với giá trị bất thường gán cho kết nối thành phần liên quan đặc điểm số 16 đặc điểm sử dụng thuật toán phát bất thường Lưu ý hầu hết kết nối đứng đầu thuộc sâu Slammer/ Sapphire ( có giá trị bất thường cao –cột đầu tiên) Đó khoảng thời gian này, kết nối mạng bị nhiễm sâu chiếm 2% tổng giao thông mạng Điều chứng tỏ hiệu phương pháp MINDS việc xác định kết nối nhiễm sâu Những kết nối đánh dấu màu xám nhạt Chúng ta quan sát hình để thấy thành phần đóng góp nhiều vào giá trị bất thường kết nối đặc tính 11 Nguyên nhân máy tính bị nhiễm hệ thống cố gắng kết nối với máy tính bên mạng Hình 3.12 Bảng kết đầu hệ thống MINDS – cột giá trị bất thường Cũng hình 3.12 thấy suốt khoảng thời gian có hoạt động scanning khác (ping scan, đánh dấu màu xám đậm) bị phát đặc tính 11 Hai dòng không đổi màu phản hồi từ server chơi game halflife bị đánh dấu bất thường máy tính giao tiếp qua cổng 27016/udp Đối với liên kết web, thông thường chúng giao tiếp qua cổng 80 trình bày mẫu liệu thông thường Tuy nhiên, kết nối half-life không phù hợp với mẫu thông thường mà số lượng đặc tính 15 tăng đột biến nên chúng bị coi bất thường Phát sâu Vào ngày 10/10/2002, module MINDS phát hoạt động sâu Slapper vượt qua truy quét SNORT chúng biến thể loại mã sâu có Một máy tính bị nhiễm sâu, giao tiếp vơi máy khác lây lan sang máy Phiên phổ biến loại sâu dùng cổng 2002 để giao tiếp, vài biến thể lại dùng cổng khác MINDS xác định kết nối bất thường với lý sau: Thứ nhất, cổng nguồn cổng đích liên kết không bất thường tách riêng, cặp đôi cổng nguồn-đích lại bất thường (tuy máy phát bất thường không lưu số liệu tần suất cặp thuộc tính, xây dựng vùng lân cận kết nối này, hầu hết điểm lân cận chúng cặp cổng nguồn-đích giống nhau, điều tạo khoảng cách); Thứ 2, mẫu giao tiếp loại sâu trông giống hoạt động scan chậm khiến cho giá trị biến tương ứng với số lượng kết nối từ IP nguồn đến cổng đích kết nối cuối trở nên lớn Nguyên tắc phát sâu SNORT dùng cổng 2002 (và vài cổng khác) không đủ cho tất biến thể xuất Một nguyên tắc tổng quát SNORT viết để phát biến thể loại sâu cảnh báo sai tỷ lệ cao Hoạt động scanning DoS(Scanning and DoS activities): Ngày 9/8/2002, hệ thống CERT/CC cảnh báo “sự lan rộng scanning khả từ chối hoạt động dịch vụ nhằm vào dịch vụ Microsoft-DS qua cổng 445/TCP” giống công Từ chối Dịch vụ (DoS) Ngoài ra, CERT/CC thể “sự quan tâm nhận báo cáo từ sites có báo cáo chi tiết chứng vụ công” Các kết nối mạng thuộc loại scanning xếp top đầu có giá trị dị biệt cao vào ngày 13/08/2002 module phát bất thường MINDS phát làm nhiệm vụ phân tích thường nhật giao thông mạng ĐH Minnesota Module scan cổng SNORT không phát công việc scanning cổng diễn chậm chạp Sau vào tháng 9/2002, SNORT bổ sung quy tắc để bắt loại công Ngày 13/08/2002, module phát ‘hoạt động scanning dịch vụ Oracle” thông qua việc giá trị bất thường kết nối nằm top2(top bao gồm liên kết thuộc DoS nhằm vào Microsoft-DS service qua cổng 445/TCP trình bày trên) Tấn công dạng thường khó bị phát dùng phương pháp khác Oracle scan gắn vào môi trường Web scan rộng lớn nhiều cảnh báo sinh Web scan đưa đến hàng núi công việc cho chuyên gia Ngày 13/06, CERT/CC đưa cảnh báo vụ công Xâm phạm sách(Policy Violations): - Từ ngày 8-10/08/2002, module MINDS phát máy chạy dịch vụ Microsoft PPTP VPN máy khác chạy dịch vụ FTP qua cổng cổng chuẩn chúng, bị coi xâm phạm sách Cả loại xâm phạm nằm top có giá trị dị biệt cao MINDS đánh dấu dịch vụ thuộc dạng bất thường chúng không phép - Ngày 6/2/2003, MINDS phát thông điệp phản hồi lặp lại ICMP ý muốn đến máy tính bị nhiễm sâu Stacheldract trước (1 nhân tố DDoS) Mặc dù máy bị nhiễm sâu bị tách khỏi hệ thống máy tính khác mạng cố giao tiếp với 3.4.2 So sánh SNORT MINDS Trong phần tiến hành so sánh phương pháp MINDS SNORT khía cạnh loại công mà chúng phát Đặc biệt, so sánh hiệu chúng loại hành vi mang tính bất thường mạng: công dựa nội dung hoạt động scanning hoạt động xâm nhập sách (policy) 3.4.3.1 Tấn công dựa nội dung Những công dạng nằm tầm kiểm soát MINDS phiên MINDS không tận dụng đặc tính dựa nội dung Do đó, SNORT tỏ rõ ưu vượt trôi việc xác định công dạng Tuy nhiên, SNORT phát công dựa nội dung biết dấu hiệu/ quy tắc từ trước Mặc dù SNORT phát công điều quan trọng máy tính bị đột nhập thành công, biểu trở nên bất thường bị module MINDS phát Chúng ta thảo luận nhiều dạng biểu bất thường phần “xâm nhập sách” 3.4.3.2 Hoạt động scanning Trong tiến hành phát hoạt động scanning khác nhau, SNORT MINDS có biểu giống số loại scans định, chúng lại khác khả phát loại khác Nói chung, có loại scans: scan đến loại scan kẻ công hệ thống quét điểm dễ bị đột nhập hệ thống giám sát; scan hệ thống giám sát truy quét bên Các hoạt động scan đến chia làm loại mà phương pháp SNORT MINDS có biểu nhằm phát chúng khác scan nhanh (thông thường) scan chậm Khi phát hoạt động scan đến từ nguồn bên ngoài, module SNORT kiểm soát số lượng địa IP đích từ địa IP nguồn khoảng thời gian định (mặc định giây) Bất kể giá trị countdest cao ngưỡng cố định (SNORT mặc định giá trị 4), hệ thống SNORT báo động cách hoạt động scan địa IP nguồn Module MINDS gán giá trị cao cho bất thường vào kết nối mạng hầu hết kết nối mạng thông thường, giá trị count-dest thường thấp Ngoài ra, kết nối từ loại hoạt động scanning khác có xu hướng mang đặc tính bất thường (ví dụ playload), chúng cộng dồn vào giá trị bất thường SNORT phát hoạt động scan đến miễn hoạt dộng diễn đủ nhanh khung thời gian định (giá trị mặc định giây) ngưỡng cho phép (giá trị mặc định 4) Nếu hoạt động scanning diễn chậm (nằm tham số cụ thể), không bị SNORT phát Tuy nhiên, SNORT tìm hoạt động cách tăng khung thời gian và/hoặc giảm số lượng kiện đếm khoảng thời gian đó, việc dẫn đến tỷ lệ cảnh báo nhầm cao Vì vậy, module MINDS tỏ phù hợp tình xem xét đặc tính dựa khung thời gian dựa khung kết nối (khác với SNORT dùng đặc tính dựa khung thời gian) SNORT phát hoạt động scan đơn giản không kiểm tra chúng Trái lại, module MINDS phát hoạt động scan đến Việc thay đổi đầu vào cho module quét cổng cho phép SNORT phát hoạt động scan Tuy nhiên, chiếm nhiều nhớ SNORT gặp vấn đề với hoạt động scan chậm tương tự hoạt động scan đến chậm 3.4.3.3 Xâm phạm sách Module MINDS có khả phát xâm phạm sách (ví dụ dịch vụ lạ trái phép) cao so với SNORT tìm kiếm hành vi mạng bất thường SNORT phát xâm nhập đặt quy tắc cho hoạt động cụ thể Do số lượng đa dạng hoạt động lớn chưa biết đến nên việc kết hợp chúng vào SNORT không thực tế lý sau Thứ nhất, việc xử lý tất quy tắc tốn nhiều thời gian dẫn đến việc giảm hiệu làm việc SNORT Một điều quan trọng khác cần ý SNORT mong muốn giữ số lượng giao thông mạng phân tích mức vừa nhỏ cách kết hợp quy tắc cụ thể tốt Mặt khác, quy tắc chi tiết hạn chế khả tổng hợp hóa hệ thống dự quy tắc điển hình, thay đổi nhỏ tính chất công khiến cho công bị phát Thứ 2, sở tri thức công SNORT cần phải cập nhật tay chuyên gia phát kiểu công Trái lại, module MINDS thích nghi cách tự nhiên, đặc biệt thành công việc phát biểu bất thường bắt nguồn từ máy yếu thế/ phòng thủ lỏng lẻo (ví dụ kẻ công xâm nhập vào máy, cài đặt phần mềm trái phép dùng máy để phát động công vào máy khác) Những biểu thường xuyên bị bỏ qua chúng không nằm dấu hiệu nhận dạng công SNORT 3.5 Kết chương Trong chương nghiên cứu việc áp dụng Kỹ thuật khai phá liệu cho hệ thống IPS Hướng áp dụng dựa KPDL mang lại nhiều ưu điểm, giống kỹ thuật phát bất thường khác, hệ thống IPS sử dụng KPDL không cần có hiểu biết trước dạng công dễ dàng phát công hình thành Hơn sử dụng phương pháp phát tương đối xác kiểu công dạng DoS hay dò quét cổng diễn thời gian kéo dài Ngoài đặc điểm quan trọng khác kỹ thuật KPDL sử dụng trường hợp liệu dạng thô, không đầy đủ, thiếu sót không xác Chương đưa mô hình cho hệ thống IPS dựa KPDL, bao gồm module: Lọc tin, Trích xuất liệu, Phát phần tử dị biệt, Phản ứng Tổng hợp Trong module Lọc tin trích xuất liệu hai module ban đầu xử lý liệu cho phù hợp với đầu vào module phát phần tử dị biệt, module quan trọng làm nhiệm vụ phát trường hợp liệu có dấu hiệu bất thường công mạng, module sử dụng số thuật toán phát phần tử dị biệt KPDL trình bày chương Module cuối module Tổng hợp có nhiệm vụ tổng hợp, rút gọn dấu hiệu mà module phát phần tử dị biệt đưa nhằm tạo thành quy tắc dấu hiệu giúp trình phát lần sau nhanh ( sử dụng module Lọc tin) Ở phần cuối chương, giới thiệu hệ thống thực triển khai sử dụng kỹ thuật KPDL, hệ thống MINDS trường đại học Minnesota, Mỹ KẾT LUẬN Hệ thống chống xâm nhập (Intrusion Prevention System –IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IPS đời nhằm khắc phục hạn chế hệ thống IDS(Instrusion Detection System) : IDS thường xuyên đưa nhiều báo động giả ( False Positives), gánh nặng cho quản trị an ninh hệ thống cần theo dõi liên tục, kèm theo cảnh báo công quy trình xử lý an ninh vất vả, IDS khả theo dõi luồng liệu truyền với tốc độ lớn Xuyên suốt đề tài “Giải pháp phát truy cập trái phép vào mạng”, vào tìm hiểu giới thiệu hệ thống IPS thành phần, chức năng, phân loại hoạt động hướng tiếp cận phát triển hệ thống IPS Thông thường người ta chia IPS thành loại NIPS (Network-based Intrusion Prevention System) theo dõi phát cố hệ thống mạng, HIPS (Hostbased Intrusion Prevention System) theo dõi xử lý cố máy tính riêng lẻ, Hybrid Intrusion Prevention System kết hợp hệ thống NIPS HIPS thu thập thông tin máy trạm kết hợp với thông tin thu thập mạng để có phân tích cách chi tiết trạng hệ thống mạng Về mặt thành phần, hệ thống IPS bao gồm module chính: module phân tích gói tin, module phát công module phản ứng module phát công quan tâm phát triển nhiều Module cài đặt dựa phương pháp : phương pháp phát dựa dấu hiệu (mẫu) phương pháp dò dựa phát bất thường Phương pháp phát dựa dấu hiệu sử dụng mẫu công có sẵn sở liệu so sánh với dấu hiệu nhằm xác định xem có phải công hay không Phương pháp có nhiều điểm hạn chế đòi hỏi phải mô tả cách xác dấu hiệu, tốn nhiều tài nguyên để lưu trữ, phụ thuộc nhiều vào công việc người quản trị thường xuyên phải cập nhật công Phương pháp dò dựa phát bất thường hoạt động dựa nguyên tắc, định trạng thái hoạt động bình thường hệ thống, IPS dò so sánh tồn công có hành động bất thường xảy Phương pháp có nhiều ưu điểm so với phương pháp sử dụng dấu hiệu có khả dò công chưa biết cao, đồng thời tốn tài nguyên có nhược điểm đưa cảnh báo sai hệ thống có dấu hiệu bất thường xâm nhập hay công Tiếp đến luận văn vào nghiên cứu hệ thống IPS dựa phát bất thường Có nhiều phương pháp phát bất thường Phân tích thống kê, Máy trạng thái hữu hạn, Mạng Nơ-ron, Hệ chuyên gia, Mạng Bayes… Theo luận văn tiếp cận tương đối kỹ phương pháp phát bất thường phương pháp dựa khai phá liệu (KPDL) Đây phương pháp tương đối có nhiều đặc điểm ưu việt việc có khả phát công dạng mới, công kéo dài dạng DoS hay dò quét cổng, ưu điểm thể hiển khả sử lý liệu trường hợp liệu dạng thô, không đầy đủ, thiếu sót không xác Phần cuối luận văn giới thiệu hệ thống dạng IDS triển khai ứng dụng kỹ thuật KPDL tương đối hiệu hệ thống phát xâm nhập trường đại học Minnesota Hướng phát triển luặn văn: Ngày vấn đề an ninh mạng trước công ngày tinh vi hacker lây lan nhiều loại sâu, trojan … việc sử dụng hệ thống tường lửa, chương trình anti-virus không đủ, mà cần phải có hệ thống bảo vệ có khả phát kịp thời, chí trước có công diễn Vì việc nghiên cứu, phát triển cải tiến hệ thống IPS nhu cấu tất yếu Hướng phát triển luận văn là: Nghiên cứu thuật toán tốt ứng dụng việc phát công (các thuật toán phát phần tử dị biệt KPDL,…), giúp hệ thống giảm tỉ lệ cảnh báo sai, tăng tỉ lệ cảnh báo Xây dựng chương trình phát bất thường sử dụng KPDL với thuật toán phát phần tử dị biệt cụ thể thuật toán LOF LSC ... thông thường Ngăn chặn truy cập trái phép tiến trình hoạt động bao gồm phát truy cập cố gắng ngăn chặn mối nguy hiểm phát Hệ thống ngăn chặn truy cập trái phép tập trung chủ yếu vào việc phát... thống phát truy nhập cho mạng) giải pháp độc lập để xác định truy nhập trái phép cách kiểm tra luồng thông tin mạng giám sát nhiều máy trạm, Network Instrusion Detection Systems truy nhập vào luồng... khác hệ thống để từ phát dấu hiệu truy nhập trái phép vào hệ thống Khi phát truy nhập trái phép, Agent sinh kiện gửi báo cáo Engine, Engine lưu báo cáo 11 Agent vào sở liệu tiến hành phân tích