Bài viết tiến hành phân tích hiệu năng của IDS, đề xuất sử dụng mô hình hàng đợi để phân tích hiệu năng của hệ thống phát hiện xâm nhập dựa vào kết nối mạng (NIDS), một trong những phương pháp hiệu quả.
ISSN 2354-0575 PHÂN TÍCH HIỆU NĂNG CỦA HỆ THỐNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN MẠNG (NIDS) SỬ DỤNG MẠNG HÀNG ĐỢI Phạm Tư Cường, Hồ Khánh Lâm Trường Đại học Sư phạm Kỹ thuật Hưng Yên Ngày tòa soạn nhận báo: 10/08/2017 Ngày phản biện đánh giá sửa chữa: 26/08/2017 Ngày báo duyệt đăng: 10/09/2017 Tóm tắt: Hệ thống phát xâm nhập IDS đóng vai trị quan trọng cần thiết cấu trúc kết nối LAN nhằm đảm bảo an ninh cho sở, quan nhà nước, doanh nghiệp, trường học, Ngày gia tăng công mạng yêu cầu lớn loại IDS Công nghệ IDS, giải pháp an ninh mà IDS thực gia tăng hiệu đảm bảo an ninh mạng Do đó, phân tích hiệu IDS vấn đề quan tâm nghiên cứu Bài báo đề xuất sử dụng mơ hình hàng đợi để phân tích hiệu hệ thống phát xâm nhập dựa vào kết nối mạng (NIDS), phương pháp hiệu Từ khóa: NIDS, hiệu năng, LAN, mạng hàng đợi Đặt vấn đề IDS (Instrusion Detection System) ngày thông dụng xây dựng giải pháp đảm bảo an ninh mạng cho nhiều mạng máy tính kết nối Internet Có nhiều loại IDS áp dụng kết hợp thiết kế LAN kết nối Internet Mặc dù có nhược điểm hệ thống IDS dựa vào mạng NIDS (Network based Instrusion Detection System) lại dùng phổ biến kết hợp với loại IDS khác Trong kết nối LAN, NIDS sau Router+Firewall, tồn lưu lượng gói tin từ Internet phải qua NIDS để thực phát xâm nhập Vì vậy, NIDS dễ dàng bị tải hay bị công dạng DoS (từ chối dịch vụ Hiệu NIDS ảnh hưởng lớn đến tồn hoạt động LAN Cơng nghệ NIDS ảnh hưởng đến tốc độ xử lý (phục vụ) gói tin đến, có số yếu tố hiệu sau Khả kháng cự IDS (resistance to atackers directed at the IDS): số đo khả chống chọi IDS trước cố gắng công phá vỡ hoạt động IDS Các cơng vào IDS dạng: - Gửi lượng lớn lưu lượng không công với dung lượng vượt khả xử lý IDS - Gửi đến IDS gói khơng cơng lại khơn khéo kích hoạt nghi ngờ bên IDS, IDS đưa cảnh báo sai làm hỏng công cụ hiển thị - Gửi đến IDS số lượng gói cơng nhằm lãng người quản trị IDS kẻ công lại đưa vào công thực dấu “smokescreen” tạo vô số công khác - Gửi đến IDS gói chứa liệu khai thác đặc tính yếu (hay lỗ hổng an ninh) thuật tốn xử lý NIDS Kiểu cơng 56 thành cơng IDS chứa lỗi mã hóa bị khai thác kẻ cơng kinh nghiệm thông minh Khả xử lý lưu lượng băng thông cao NIDS: số đo NIDS vận hành có khối lượng lớn lưu lượng đến Hầu hết NIDS bắt đầu bỏ gói khối lượng lưu lượng tăng lên, dẫn đến chúng bỏ qua công Ở ngưỡng đó, hầu hết NIDS dừng phát công Thông số tương tự “khả kháng cự NIDS” kẻ công gửi khối lượng lớn lưu lượng không cơng đến NIDS Chỉ có khác số đo tính khả IDS xử lý khối lượng lưu lượng sở bình thường Khả liên hệ kiện: thông số IDS liên hệ kiện công Những kiện lấy từ IDS, router, firewall, log ứng dụng, thiết bị mạng Mục đích liên hệ kiện xác định công xâm nhập Khả phát công chưa có trước đó: thơng số IDS phát công mà công chưa xuất trước Khả nhận dạng cơng: số đo IDS nhận dạng tốt cơng mà phát nhờ gán nhãn công với tên chung tên dễ bị tổn thương nhờ gán công cho loại Khả xác định thành công cơng: thơng số IDS xác định thành công công từ nơi xa mà kẻ cơng có thẩm quyền cấp độ an ninh hệ thống bị công Khả sở để phân tích liên hệ cơng kịch công So sánh dung lượng cho NIDS: NIDS yêu Khoa học & Công nghệ - Số 15/Tháng - 2017 Journal of Science and Technology ISSN 2354-0575 cầu giao thức cấp độ cao so với thiết bị mạng khác router, switch Do đó, quan trọng đo khả NIDS để chiếm đoạt, xử lý thực cấp độ xác dựa vào tải mạng Một số thông số khác đưa vào đánh giá hiệu IDS: - Số lượng nút mạng - Xác suất lỗi công (cấp độ an ninh hệ thống) - Giới hạn số lượng lần cố công - Số lượng nút mạng bị công - Số lượng liên kết mà IDS theo vết từ nút bị công đến nguồn cơng Một số yếu tố khác như: tính dễ dàng sử dụng, dễ dàng bảo trì, cách đưa khai thác, yêu cầu tài nguyên, độ sẵn sàng chất lượng hỗ trợ, v.v Những yếu tố không trực tiếp liên quan đến hiệu IDS có ý nghĩa nhiều nhiều tình trạng thương mại Các nghiên cứu liên quan Nghiên cứu [1] đưa phân tích hiệu hệ thống phát ngăn chặn xâm nhập IDPS (Instrusion Detection and Prevention Systems) dịch vụ hàng đợi với mơ hình hàng đợi mở hữu hạn M/G/1/K Các tác giả [2] lại đưa định dạng hàng đợi phát xâm nhập để đánh giá chất lượng IDS qua đáp ứng tích cực thụ động với mục đích tìm cấu hình phù hợp định kiểm tra đáp ứng tích cực thụ động xâm nhập Các đáp ứng dựa cảnh báo Chất lượng IDS thể qua tỷ lệ phát tỷ lệ cảnh báo sai Các firewall mạng nói chung gồm IDS nghiên cứu [3] mơ hình hóa hàng đợi hữu hạn dựa chuỗi Markov nhúng (Embedded Markov Chain) để phân tích hiệu chúng có lưu lượng bình thường có lưu lượng công DoS qua thông số: thông lượng, gói, trễ gói, mức độ sử dụng CPU firewall Nghiên cứu [4] tổng hợp ứng dụng Markov ẩn cho IDS Một số nghiên cứu, ví dụ [5][6][7] ứng dụng mạng nơron để đánh giá hiệu IDS Mạng hàng đợi đóng NIDS đa lớp cơng việc [8][9] • Mạng hàng đợi đa lớp cơng việc: Một mạng hàng đợi (đóng, mở, kết hợp) có số lớp cơng việc Các lớp cơng việc (một luồng gói tin) khác thời gian phục vụ xác suất định tuyến chúng Một cơng việc chuyển từ lớp sang lớp khác chuyển từ nút đến nút khác Nếu khơng có cơng việc việc lớp cụ thể không chuyển từ bên ngồi mạng đến rời Khoa học & Cơng nghệ - Số 15/Tháng - 2017 khỏi mạng ngồi số lượng cơng việc lớp khơng thay đổi lớp cơng việc gọi đóng Ngược lại, lớp cơng việc khơng đóng gọi mở Nếu mạng hàng đợi chứa lớp đóng mở mạng gọi mạng kết hợp Có ký hiệu sau cần phải bổ sung để mô tả mạng hàng đợi nhiều lớp công việc: R - số lượng lớp công việc mạng nir - số lượng công việc lớp thứ r nút i; mạng đóng: K R / / nir = N i=1 r=1 Nr - số lượng công việc lớp thứ r tồn mạng; giá trị khơng thiết số mạng đóng, cơng việc chuyển từ nút đến nút khác chuyển lớp: K / nir = Nr i=1 N - tổng số công việc thuộc tất lớp toàn mạng vector tổng số lượng công việc lớp: N = (N1, N2, , NR) Si - trạng thái nút i mạng là: Si = (ni1, K ni2, , niR) thỏa mãn: / Si = N i=1 S - trạng thái toàn mạng gồm nhiều lớp công việc vector: S = (S1, S2, , SN) n ir - tốc độ phục vụ nút i cho tất các công việc thuộc lớp r r ir, js - xác suất định tuyến mà công việc lớp r nút i chuyển đến nút j lớp s r 0,js - xác suất mạng mở mà công việc từ mạng chuyển đến nút j thuộc lớp s r ir, - xác suất mạng mở mà công việc lớp r rời khỏi mạng sau phục vụ xong nút i: r ir, = - K R / / r ir,js j=1 s=1 m - tổng tốc độ đến từ mạng m 0,ir - tốc độ đến nút i từ ngồi mạng cơng việc thuộc lớp r, m 0,ir = m r 0,ir m ir - tốc độ đến nút i công việc thuộc lớp r, mạng mở: K R m ir = m r 0, ir + / / m js r js, ir ; j=1 s=1 • Đề xuất mạng hàng đợi mở cho LAN với Firewall NIDS: Mạng hàng đợi mở gồm nút hàng đợi dạng M/M/n, Router+Firewall mơ hình hàng đợi M/M/1, NIDS mơ hình hàng đọi M/M/1, máy chủ Servers mơ hình hàng đợi M/M/8 (cho LAN có khoảng servers), mạng Ethernet gồm 300 máy trạm mơ hình hàng đợi M/M/300 (Hình Journal of Science and Technology 57 ISSN 2354-0575 1) Mạng hàng đợi mở có nguồn vào (Source) từ Internet luồng liệu công (packet attack flow) - gọi lớp công việc (job class 1) và, luồng liệu bình thường (Packer normal service flow) gọi lớp công việc (job class 2) Mặc định cho nút hàng đợi có khả xử lý tất gói tin đến (khách hàng, hay cơng việc), kích thước hàng đợi ∞ Toàn lưu lượng gói tin từ Internet trước tiên phải qua Route+Firewall NIDS Để phân tích ảnh hưởng NIDS đến hiệu LAN (gồm servers máy trạm, cho NIDS xử lý lưu lượng công (class 2) không cho lưu lượng vào LAN, mà lượng bình thường (class 1) vào LAN Sự thay đổi tốc độ xử lý luồng công ảnh hưởng đến đáp ứng trung bình NIDS LAN Để thực mơ tính tốn hiệu mạng hàng đợi đề xuất, tác giả sử dụng công cụ mô JMT v.1.0.1 (Java Modelling Tools) [10] Sơ đồ Hình kết mô dạng đồ thị cho Hình 3: (1)-(24) nhận từ chạy chương trình JMT Hình Mạng hàng đợi mở LAN+NIDS Hình Mạng hàng đợi mở LAN+NIDS JMT v.1.0.1 Thực kịch với thay đổi thời gian phục vụ trung bình E[S] hàng đợi Router+Firewall NIDS luồng gói cơng (job class 2) Thời gian phục vụ trung bình hàng đợi luồng gói dịch vụ bình thường (job class 1) không thay đổi 0.5s cho kịch Tốc độ đến trung bình gói liệu cơng bình thường từ Source λ = 0.5s-1 Hai số đo hiệu tính mơ E[N] - số khách hàng trung bình (Number of Customers) E[R] - đáp ứng trung bình (Response Time) (s) Kết mô 1) Kịch 1: Các thời gian phục vụ trung bình, E[S]: Class 1: đặt thời gian phục vụ trung bình Router+firewall NIDS 0.5s, Servers Ethernet 0.5s 58 Class 2: đặt thời gian phục vụ trung bình Router+firewall NIDS 0.1s, Servers Ethernet 0.5s Tốc độ đến trung bình từ Source (Internet), λ: luồng gói tin Class Class 0.5sec-1; Các kết tính JMT cho hình (1) - (8) Hình 3: (1) Number of customers of NIDS (class1) 125.088 Khoa học & Công nghệ - Số 15/Tháng - 2017 Journal of Science and Technology ISSN 2354-0575 Hình 3: (2) Response Time of NIDS (class 1): 98.838s Hình 3: (3) Number of customers of NIDS (class 2) 52.305 Hình 3: (8) Response Time of Ethernet (class 1): 0.499s Từ Hình 3: (1) đến Hình 3: (8) thể kết số lượng khách hàng trung bình mức đáp ứng trung bình hệ thống kịch 2) Kịch 2: Các thời gian phục vụ trung bình, E[S]: Class 1: đặt thời gian phục vụ trung bình Router+firewall NIDS 0.5s, Servers Ethernet 0.5s Class 2: đặt thời gian phục vụ trung bình Router+firewall NIDS 0.5s, Servers Ethernet 0.5s Tốc độ đến trung bình từ Source (Internet), λ: luồng gói tin Class Class 0.5sec-1; Các kết tính JMT cho hình (9) - (16) Hình 3: (4) Response Time of NIDS (class 2): 14.31s Hình 3: (5) Number of Customers of Servers (class 1), 0.365 Hình 3: (6) Response Time of Servers (class 1): 0.500s Hình 3: (7) Number of customers of Ethernet (class 1), 0.699 Khoa học & Công nghệ - Số 15/Tháng - 2017 Hình 3: (9) Number of customer of NIDS (class 1), 89.832 Hình 3: (10) Response Time of NIDS (class 1), 59.901s Hình 3: (11) Number of customers of NIDS (class 2), 50.239 Journal of Science and Technology 59 ISSN 2354-0575 Hình 3: (12) Response Time of NIDS (class 2), 64.390s Hình 3: (13) Number of customer of servers (class 1), 0.349 Hình 3: (14) Response Time of Servers (class 1), 0.500s Hình 3: (15) Number of customer of Ethernet (class 1), 0.668 Router+firewall NIDS 0.5s, Servers Ethernet 0.5s Class 2: đặt thời gian phục vụ trung bình Router+firewall NIDS 1s, Servers Ethernet 0.5s Tốc độ đến trung từ Source (Internet), λ: luồng gói tin class class bằng 0.5 sec-1; Các kết (17) - (24) Hình 3: (17) Number of customers of NIDS (class 1), 164.158 Hình 3: (18) Response Time of NIDS (class 1), 172.876s Hình 3: (19) Number of customer of NIDS (class 2), 300.689 Hình 3: (20) Response Time of NIDS (class 2), 490.908s Hình 3: (16) Response Time of Ethernet (class 1), 0.500s Từ Hình 3: (9) đến Hình 3: (16) thể kết số lượng khách hàng trung bình mức đáp ứng trung bình hệ thống kịch 3) Kịch 3: Các thời gian phục vụ trung bình, E[S]: Class 1: đặt thời gian phục vụ trung bình 60 Hình 3: (21) Number of customer of Servers (class 1), 0.312 Khoa học & Công nghệ - Số 15/Tháng - 2017 Journal of Science and Technology ISSN 2354-0575 Hình 3: (22) Response Time of Servers (class 1), 0.498s Hình 3: (24) Response Time of Ethernet (class 1), 0.498s Từ Hình 3: (17) đến Hình 3: (24) thể kết số lượng khách hàng trung bình mức đáp ứng trung bình hệ thống kịch Hình 3: (23) Number of customer of Ethernet (class 1), 0.585 Bảng Tổng hợp giá trị trung bình kết mô mạng hàng đợi LAN+NIDS Kịch 1: Các thời gian phục vụ trung bình, E[S]: Với gói thuộc class 1: Router+firewall NIDS có E[S]=0.5s, Servers Ethernet có E[S]= 0.5s Với gói thuộc class 2: Router+firewall NIDS có E[S]=0.1s, Servers Ethernet có E[S]= 0.5s Tốc độ đến trung bình từ Source (Internet), λ: gói thuộc lớp class class 0.5sec-1 Class Class Class E[S]=0.5s NIDS Servers Ethernet E[S]=0.1s Number of customers 128.088 0.365 0.699 Response Time 98.838s 0.500s 0.499s NIDS 52.305 14.31s Class Kịch 2: Các thời gian phục vụ trung bình, E[S]: Với gói thuộc class 1: Router+firewall NIDS có E[S]=0.5s, Servers Ethernet E[S]=0.5s Với gói thuộc class 2: Router+firewall NIDS có E[S]=0.5s, Servers Ethernet có E[S]=0.5s Tốc độ đến trung bình từ Source (Internet), λ: gói thuộc class class 0.5sec-1 Class Class Class E[S]=0.5s NIDS Servers Ethernet E[S]=0.5s Number of customers 89.832 0.349 0.668 Response Time 59.901s 0.500s 0.500s NIDS 50.239 64.390s Class Kịch 3: Với gói thuộc class 1: Router+firewall NIDS có E[S]=0.5s, Servers Ethernet có E[S]=0.5s Với gói thuộc class 2: Router+firewall NIDS có E[S]=1s, Servers Ethernet có E[S]=0.5s Tốc độ đến trung bình từ Source (Internet), λ: gói thuộc class class 0.5 sec-1 E[S]=0.5s Number of customers Response Time NIDS 164.158 172.876s Class Class Servers 0.312 0.498s Class Ethernet 0.585 0.498s E[S]=0.5s NIDS 300.689 490.908s Class Khoa học & Công nghệ - Số 15/Tháng - 2017 Journal of Science and Technology 61 ISSN 2354-0575 Kết luận đánh giá Nhận thấy, thay đổi thời gian phục vụ trung bình E[S] NIDS gói cơng (job class 2) làm thay đổi đáp ứng trung bình E[R] NIDS: E[S] lớn (tốc độ phục vụ chập) E[R] lớn Điều chứng minh mạng hàng đợi mở đề xuất cho hình phù hợp cho mơ hiệu NIDS Tuy nhiên, sử dụng mạng hàng đợi M/M/c/K để phân tích hệ thống NIDS với hữu hạn (K giá trị hữu hạn tài nguyên NIDS) công suất xử lý NIDS trường hợp công dạng DoS làm đầy đệm NIDS, xác suất gói NIDS số gói tin đạt tới K Với xác suất gói NIDS NIDS khơng cịn khả đưa cảnh báo xác Cũng thể dùng mạng hàng đợi để phân tích hệ thống NNIDS kết hợp HIDS NIDS Sự nâng cấp công nghệ hệ thống NIDS giải pháp, ví dụ: ứng dụng kiến trúc tính tốn song song - đa xử lý - đa nhân, thuật tốn, phương pháp an ninh, hay ứng dụng trí tuệ nhân tạo làm tốc độ phục vụ trung bình NIDS tăng lên, nghĩa E[S] giảm đi, làm đáp ứng trung bình NIDS giảm, hiệu NIDS tăng Ngồi cơng cụ đo đạc thông dụng chạy hệ thống giám sát sẵn có hệ thống quản lý mạng, giải pháp ứng dụng mạng hàng đợi để mơ hình hóa phân tích hiệu NIDS hữu ích thiết kế nâng cấp mạng LAN có cài đặt hệ thống tường lửa Tài liệu tham khảo [1] Hồ Khánh Lâm, (2015), “Mạng hàng đợi chuỗi Markov: lý thuyết ứng dụng”, NXB KHKT [2] Sergey Zapechnikov, Natalia Miloslavskaya, Alexander Tolstoy, “Analysis of Intrusion Detection and Prevention Systems as Queueing Services”, Cyberneticsand Information Security Faculty, Information Security of BankingSystems Department, National Research Nuclear University MEPhI (Moscow Engineering Physics Institute), Moscow, Russia Switzerland, Crans-Montana, 24 March 2016 [3] Wei T Yue, Metin Cakanyildirim, Young U Ryu, “A Queuing Formulation of Intrusion Detection with Active and Passive Responses”, Department of Information Systems and Operations Management School of Management The University of Texas at Dallas Richardson, Texas 75083-0688, USA [4] Khaled Salah, “Performance Modeling and Analysis of Network Firewalls” IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT, VOL 9, NO 1, MARCH 2012 [5] Preeti Saini Ms Sunila Godara, “Modelling Intrusion Detection System using Hidden Markov Model: A Review” International Journal of Advanced Research in Computer Science and Software Engineering Volume 4, Issue 6, June 2014 ISSN: 2277 128X [6] Amit Kumar Choudhary and Akhilesh Swarup, “Performance of Intrusion Detection System using GRNN” IJCSNS International Journal of Computer Science and Network Security, Vol.9, No.12, December 2009 [7] Devarakonda, Nagaraju, et al “Intrusion Detection System using Bayesian Network and Hidden Markov Model.” Procedia Technology (2012): 506-514 [8] Khosronejad, Mahsa, et al “Developing a Hybrid Method of Hidden Markov Models and C5 as a Intrusion Detection System.” International Journal of Database Theory & Application 6.5 (2013) [9] John C.S Lui, “Introduction to Queueing Networks” Department of Computer Science & Engineering The Chinese University of Hong Kong [10] Politecnico di Milano Italy, Imperial College London, “JMT Java Modelling Tools, user manual for JMT version 1.0.1 and above, May 4th, 2017” http://jmt.sourceforge.net/Papers/JMT_ users_Manual.pdf PERFORMANCE ANALYSIS OF INTRUSION DETECTION SYSTEM NETWORK-BASED (NIDS) USE QUEUE NETWORK Abstract: Intrusion detection systems (IDS) play an important and necessary role in the LAN connection structure to ensure the security of a facility: public authorities, businesses, schools, etc Today, the increase in network attacks is increasing the demand big about types IDS The technology of IDS, security solutions that IDS perform increased performance in ensuring network security Therefore, the performance analysis of IDS is a problem be interested, research This paper proposes the use of a queue model to analyze the performance of Intrusion detection system Relies on network connection, one of the consequence methods (one of the effective methods) Keywords: NIDS, performance, LAN, network queue 62 Khoa học & Công nghệ - Số 15/Tháng - 2017 Journal of Science and Technology ... xuất mạng hàng đợi mở cho LAN với Firewall NIDS: Mạng hàng đợi mở gồm nút hàng đợi dạng M/M/n, Router+Firewall mơ hình hàng đợi M/M/1, NIDS mơ hình hàng đọi M/M/1, máy chủ Servers mô hình hàng đợi. .. phục vụ chập) E[R] lớn Điều chứng minh mạng hàng đợi mở đề xuất cho hình phù hợp cho mơ hiệu NIDS Tuy nhiên, sử dụng mạng hàng đợi M/M/c/K để phân tích hệ thống NIDS với hữu hạn (K giá trị hữu... hệ thống giám sát sẵn có hệ thống quản lý mạng, giải pháp ứng dụng mạng hàng đợi để mơ hình hóa phân tích hiệu NIDS hữu ích thiết kế nâng cấp mạng LAN có cài đặt hệ thống tường lửa Tài liệu tham