1.2.2.1. Cơ sở lý thuyết
Phƣơng pháp này nhận diện một hành vi bất thƣờng, hay có dấu hiệu của sự tấn công – xâm nhập của một luồng dữ liệu dựa vào tập hồ sơ của các hành vi đƣợc xác định là bình thƣờng, hay hợp pháp, không gây hại.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 37
1.2.2.2. Kỹ thuật thực hiện
Tƣơng tự nhƣ phƣơng pháp phát hiện đột nhập dựa trên dấu hiệu, phƣơng pháp phát hiện đột nhập dựa trên bất thƣờng này gồm có hai bƣớc:
(i) Bƣớc huấn luyện: xây dựng cơ sở dữ liệu (CSDL) các hành vi bình thƣờng của đối tƣợng (ngƣời sử dụng, chƣơng trình ứng dụng, chƣơng trình hệ thống, lƣu lƣợng mạng, …);
(ii)Bƣớc kiểm tra: so sánh hành vi hiện tại của đối tƣợng với các hành vi đƣợc xác định là bình thƣờng đƣợc lƣu trong CSDL để xác định các hành vi tấn công, đột nhập.
Dựa trên 2 bƣớc cơ bản trên có rất nhiều phƣơng pháp phát hiện đột nhập dựa trên bất thƣờng khác nhau đƣợc sử dụng với những điểm mạnh yếu khác nhau. Các phƣơng pháp chính gồm [8][9]: hệ chuyên gia, mô hình máy trạng thái hữu hạn, phân tích thống kê, mạng nơ-ron.
a. Hệ chuyên gia (Rule-based)
Phƣơng pháp này đƣợc áp dụng từ rất sớm trong lĩnh vực dò lỗi hay phát hiện bất thƣờng trong mạng. Trong hệ chuyên gia, một cơ sở dữ liệu toàn diện chứa tập luật miêu tả hành vi của hệ thống đƣợc sử dụng để xác định nếu một lỗi nào đó xảy ra.
Trên thực tế phƣơng pháp này ít đƣợc áp dụng do hệ thống chạy quá chậm, không đáp ứng đƣợc yêu cầu của các ứng dụng thời gian thực và phụ thuộc nhiều vào cơ sở tri thức về các triệu chứng lỗi trƣớc đó. Những triệu chứng này có thể là: dung lƣợng đƣờng truyền bị quá tải, số lƣợng kết nối TCP mở nhiều trên mức cho phép, thông lƣợng đạt mức tối đa, … Phƣơng pháp này còn có một nhƣợc điểm là phụ thuộc khá nhiều vào ngƣời quản trị mạng và không đáp ứng kịp khi hệ thống mạng đƣợc mở rộng do mỗi khi hệ thống có sự thay đổi thì cần có sự bổ sung về tập luật. Để khắc phục ngƣời ta sử dụng mô hình hệ chuyên gia sử dụng bản đồ logic mờ (Fuzzy Cognitive Map - FCM). FCM đƣợc sử dụng để tạo ra một mô hình thông minh có sự thừa kế và tác động qua lại với nhau của các triệu chứng mạng.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 38
Cơ chế hoạt động của phƣơng pháp hệ chuyên gia (dựa vào tập luật) có thể xác định nhƣ sau:
Giả thiết các sự kiện phát triển theo một trình tự nhất định.
Mô tả hành vi hoạt động bình thƣờng của hệ thống dƣới dạng các luật đã đƣợc rút gọn nhất có thể. Ví dụ nhƣ A1A2=>B1, sự kiện A1 xảy ra xong đến sự kiện A2 thì có thể xảy ra sự kiện B1 tiếp theo.
Ta có một tập luật, so sánh các chuỗi sự kiện đƣa vào với tập luật, nếu các sự kiện đƣa vào phù hợp với vế trái của một luật mà không trùng với vế phải của luật thì có thể xem xét xác định bất thƣờng ở đây. Nhƣ ở ví dụ trên trong thực tế sự kiện A1, rồi sự kiện A2 lại dẫn đến sự kiện C1 xảy ra thì có thể kết luận là có sự kiện bất thƣờng diễn ra ở đây.
Hình 12: Mô hình hệ thống phát hiện bất thƣờng dựa trên tập luật [8].
b. Mô hình máy trạng thái hữu hạn
Mô hình máy trạng thái hữu hạn (FSM – Finite States Machine) phát hiện bất thƣờng bằng cách mô hình hóa các trạng thái hoạt động bình thƣờng của mạng, sau đó cho dữ liệu đi qua là chuỗi các hành vi cần do bất thƣờng, bất thƣờng có thể xác định nếu chuỗi đi qua không đạt đƣợc trạng thái kết thúc. Mô hình FSM xây dựng dựa trên cơ sở đặt các chuỗi báo động ở các điểm khác nhau trên mạng để ghi lại
Bùi Trung Thành – CB120730 – KTTT22012B Trang 39
trạng thái của máy. Theo cách thông thƣờng, một máy trạng thái hữu hạn đƣợc định nghĩa bởi một tập Q = (Q, Ʃ, q0, δ, F) với:
Q: tập các trạng thái có thể.
q0: trạng thái ban đầu.
Ʃ: tập ngôn ngữ hữu hạn.
δ: hàm chuyển Q x Ʃ Q.
F: tập con của Q và là tập các trạng thái kết thúc.
Ngƣời ta thƣờng dùng máy trạng thái hữu hạn để xác định bất thƣờng trong các giao thức, các giao thức này sẽ đƣợc theo dõi một cách độc lập và coi nhƣ không bị ảnh hƣởng bởi các sự kiện khác. Ví dụ với giao thức TCP chúng ta mô hình kiểm tra nhƣ sau:
Hình 13: Mô hình FSM cho kết nối TCP [8].
Tóm lại phƣơng pháp phát hiện bất thƣờng sử dụng máy trạng thái hữu hạn có ƣu điểm là chúng ta có thể xác định chính xác nguyên nhân gây ra bất thƣờng, phân biệt đƣợc đó có phải là một cuộc tấn công hay không vì xây dựng đƣợc mô hình hoạt động của các sự kiện. Nhƣng trên thực tế phƣơng pháp này rất khó triển
Bùi Trung Thành – CB120730 – KTTT22012B Trang 40
khai do rất tốn tài nguyên, phải có một tập dữ liệu lớn đầy đủ về hoạt động mạng, có máy hiệu năng lớn để tính toán. Các sự kiện khác nhau phải xây dựng các mô hình riêng, độc lập để theo dõi.
c. Phân tích thống kê
Sử dụng thống kê để xác định các sự kiện bất thƣờng đƣợc sử dụng rộng rãi trong các hệ thống phát hiện truy nhập từ nhiều năm nay. Hệ thống hoạt động trên nguyên tắc thu thập dữ liệu của các thông số trên mạng và áp dụng một số kỹ thuật thống kê trên dữ liệu đƣợc thu thập để tạo ra các tập hồ sơ cho các thông số trong thời điểm hoạt động bình thƣờng, ví dụ hệ thống có thể nghiên cứu sự phân phối của các thông số đƣợc giám sát. Hệ thống sau đó sẽ xem xét sự khác nhau giữa thông số đang xem xét ở thời điểm hiện tại với tệp hồ sợ của nó, thông thƣờng nếu dữ liệu của thông số hiện tại cao hơn thì nhiều khả năng hệ thống bị tấn công. Hệ thống có thể sử dụng nhiều quy luật đơn giản để phát hiện ra sự khác nhau. Sử dụng ngƣỡng (threshold) là cách đơn giản nhất, khi thông số đƣợc theo dõi vƣợt quá ngƣỡng đặt ra thì có cảnh báo. Các hệ thống sử dụng phân tích thống kê điển hình là Haystack (Smaha, 1988), IDES (Lunt et al, 1988), EMERALD (Porras and Neumann, 1997).
d. Mạng Nơ-ron (Artificial Neural Network)
Nhƣ chúng ta đã biết ở trên, một trong những phƣơng pháp phổ biến dùng để phát hiện bất thƣờng là hệ chuyên gia, tuy nhiên phƣơng pháp này có nhƣợc điểm là phụ thuộc khá nhiều vào tập luật đƣợc định nghĩa trƣớc bởi ngƣời quản trị và phải đƣợc cập nhật thƣờng xuyên. Nhƣợc điểm này có thể đƣợc khắc phục bằng cách áp dụng công nghệ mạng nơ-ron. Hệ thống phân tích bất thƣờng sử dụng mạng nơ-ron mạng nơ-ron sẽ học và dự đoán hành vi của ngƣời sử dụng ngƣời sử dụng và các chƣơng trình tƣơng ứng, để phát hiện các thay đổi trong hành vi nhƣ là dấu hiệu bất thƣờng.
Ƣu điểm của mạng nơ-ron là thích ứng đƣợc với các kiểu dữ liệu không đầy đủ, dữ liệu với độ chắc chắn không cao, đồng thời phƣơng pháp này cũng có khả năng đƣa ra các kết luận mà không cần cập nhật tri thức thƣờng xuyên. Điểm yếu
Bùi Trung Thành – CB120730 – KTTT22012B Trang 41
của mạng nơ-ron là tốc độ xử lý, do hệ thống cần thu thập dữ liệu, phân tích và điều chỉnh từng nơ-ron để cho kết quả chính xác.
Mạng nơ-ron nhân tạo hay thƣờng gọi ngắn gọn là mạng nơ-ron gồm có một nhóm các nơ-ron nhân tạo nối với nhau, và xử lý thông tin bằng cách truyền theo các kết nối và tính giá trị mới tại các nút.
Hình 14: Mô hình mạng nơ-ron [8].
Mạng nơ-ron bao gồm các nút input, nút output và các nút trong các lớp ẩn. Cấu trúc mạng nơ-ron đƣợc chia thành 2 loại:
Loại thứ nhất sử dụng các thuật toán đào tạo đƣợc giám sát (Supervised Training Algorithms): ở giai đoạn tự học, hệ thống sẽ nghiên cứu một đầu ra mong muốn cho mỗi đầu vào đã đƣợc định sẵn. Cấu trúc phổ biến của mạng nơ-ron giám sát là kiến trúc nhận thức đa tầng MLP (Multi-layered Perception). MLP là mạng chuyển tiếp đa tầng (feed-forward) bao gồm lớp đầu vào, một hoặc một vài lớp ẩn và lớp đầu ra. Lớp đầu ra cung cấp phản hồi của hệ thống đến các mẫu hoạt động áp dụng trong lớp đầu vào.
Loại thứ hai sử dụng các thuật toán đào tạo không qua giám sát (Unsupervised Tranining Algorithms): ở giai đoạn tự học, hệ thống sẽ nghiên cứu mà không xác định đầu ra mong muốn. Các bản đồ tổ chức độc lập (SOM - Self-organizing Map) là một dạng tiêu biểu của loại này. Trong hệ
Bùi Trung Thành – CB120730 – KTTT22012B Trang 42
thống phát hiện bất thƣờng sử dụng SOM, ngƣời ta tập trung vào việc phân lớp các hành vi, từ đó phát hiện ra các hành vi nghi vấn. Tiến trình xử lý của hệ thống diễn ra nhƣ sau: các dữ liệu về mạng đƣợc thể hiện dƣới dạng vecto tham số đặc trƣng, sau đó đƣợc lƣu trong một Input Vecto để tiến hành phân lớp, việc phân lớp sẽ lặp đi lặp lại cho đến khi hội tụ, khi đã xây dựng nên đƣợc các SOM, hệ thống sẽ tiến hành xác định khoảng cách giữa hành vi đang xét với hành vi bình thƣờng, nếu nó vƣợt quá ngƣỡng cho phép thì có bất thƣờng xảy ra ở đây.
e. Khai phá dữ liệu
Trong thời đại công nghệ thông tin, các hệ thống thông tin có thể lƣu trữ một khối lƣợng lớn dữ liệu về hoạt động hàng ngày của chúng. Từ khối dữ liệu này, chúng ta có thể áp dụng các kỹ thuật trong khai phá dữ liệu (KPDL) để lấy ra những thông tin hữu ích mà chúng ta quan tâm. Các thông tin thu đƣợc có thể vận dụng ngƣợc trở lại nhằm cải thiện hiệu năng của hệ thống ban đầu. Có thể nói KPDL chính là một quá trình học tri thức mới từ những dữ liệu thu thập đƣợc trƣớc đó.
Phƣơng pháp phát hiện bất thƣờng dựa trên khai phá dữ liệu mang lại nhiều cải tiến rõ rệt hơn so với các phƣơng pháp trƣớc đây nhƣ: khả năng tƣơng tác cao với các CSDL ở dạng thô, có nhiều nhiễu hay dữ liệu không đầy đủ, biến đổi liên tục, đặc biệt là phƣơng pháp này đòi hỏi mức độ sử dụng các chuyên gia không quá thƣờng xuyên. Các ƣu điểm này đem lại cho phƣơng pháp phát hiện bất thƣờng dựa trên khai phá dữ liệu khả năng xử lý khối lƣợng dữ liệu lớn, có thể sử dụng trong các hệ thống thời gian thực.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 43
Hình 15: Hệ thống phát hiện bất thƣờng dựa trên khai phá dữ liệu [9].
1.2.2.3. Đánh giá giải pháp a. Ƣu điểm a. Ƣu điểm
Linh hoạt: có thể phát hiện đƣợc các cuộc tấn công mới.
Phạm vi rộng: có thể phát hiện các cuộc tấn công tại nhiều giao thức của mạng, nhiều giao thức hoạt động của ứng dụng, …
b. Nhƣợc điểm
Khó thiết lập hệ thống: do yêu cầu phải có nhiều dữ liệu, phải có khái niệm về các hành vi thông thƣờng của các đối tƣợng.
Độ chính xác trong các phát hiện có thể không cao do khó xác định ranh giới giữa các hành vi thông thƣờng và hành vi bất thƣờng.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 44