CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG IPS
3.4.1Giới thiệu hệ thống
3.4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS
3.4.1Giới thiệu hệ thống
Hệ thống phát hiện xâm nhập Minnesota (MINDS) [9] là 1 hệ thống dựa trên phương pháp khai phá dữ liệu nhằm phát hiện xâm nhập mạng. Mơ hình của hệ thống thực chất đã được trình bày ở phần trên vì nó có đầy đủ các module cũng như các thành phần của một hệ thống phát hiện xâm nhập sử dụng khai phá dữ liệu, trong phần này chúng ta chỉ đi vào giới thiệu các thành phần được triển khai thực của hệ thống. Hình 3.11 minh họa tiến trình phân tích dữ liệu giao thơng mạng bằng hệ thống này.
Đầu vào của hệ thống MINDS là dữ liệu Netflow phiên bản 5 do các công cụ dịng ( Flow-tool) tập hợp lại. Các cơng cụ này chỉ bắt thông tin ở phần header của các gói tin (chứ khơng bắt nội dung) và xây dựng các phiên (các flows) 1 chiều. Chúng ta làm việc trên dữ liệu Netflow thay vì dữ liệu tcpdump bởi vì khả năng thu thập và lưu trữ dữ liệu tcpdump là tương đối tốn kém. Trong vòng 10 phút, dữ liệu Netflow sinh ra khoảng 1-2 triệu dòng và được lưu vào các tệp dữ liệu. Các chuyên gia sẽ dùng hệ thống MINDS để phân tích các tệp dữ liệu sinh ra trong 10 phút này cùng 1 đợt. Lý do hệ thống chạy các tệp đó cùng 1 đợt khơng phải do thời gian cần để phân tích những tệp này mà chủ yếu các chuyên gia cảm thấy thuận tiện hơn. Để chạy hệ thống với các
tệp sinh ra trong 10 phút trên một máy tính để bàn thường mất dưới 3 phút. Như chúng ta đã biết trước khi dữ liệu được chuyển vào module phát hiện bất thường, 1 bước lọc dữ liệu sẽ được tiến hành nhằm loại bỏ các dữ liệu mạng mà các chuyên gia khơng muốn phân tích. Ví dụ, dữ liệu sau khi lọc có thể gồm dữ liệu từ các nguồn đã xác thực hoặc các biểu hiện mang tính bất thường/ nguy hiểm nhưng lại được coi là khơng mang tính xâm phạm.
Hình 3.11 Mơ hình hoạt động của hệ thống MINDS
Bước đầu tiên của q trình MINDS là trích lọc các đặc điểm dùng cho việc phân tích khai phá dữ liệu. Những đặc điểm cơ bản bao gồm địa chỉ IP nguồn và IP đích, cổng nguồn, cổng đến, giao thức, cờ, số lượng bytes và số lượng gói. Các đặc điểm phát sinh gồm có cửa sổ thời gian và các đặc điểm dựa trên cửa sổ kết nối(trình bày ở phần trên). Chúng được tạo ra để bắt các liên kết có cùng tính chất trong khoảng T giây cuối cùng. Chúng đặc biệt hữu ích trong việc phân biệt các nguồn có lượng kết nối cao trong 1 đơn vị thời gian với phần cịn lại của giao thơng mạng được biết đến như là các hoạt động scanning nhanh. Phương pháp tương tự cũng đã được áp dụng vào việc xây dựng các tính năng trong bảng dữ liệu KDD Cup năm 1999. Bảng 3.3 dưới đây tóm tắt các tính năng dựa trên cửa sổ thời gian.
Tên đặc điểm Mô tả
count_src Số kết nối có cùng một nguồn đến các đích khác nhau trong t giây gần đây nhất
count_dest Số kết nối có cùng một đích nhưng từ nhiều nguồn khác nhau trong t giây gần đây nhất
count_serv_src Số kết nối đến cùng một địa chỉ cổng đích trong t giây gần đây nhất
count_serv_dest Số kết nối từ địa chỉ đích đến cùng một địa chỉ cổng đích trong T giây gần đây nhất.
Bảng 3.3 những đặc điểm chọn “dựa trên thời gian”
Khác với scan “nhanh” các hoạt động scanning “chậm” là những hoạt động scan host hoặc port sử dụng các khoảng thời gian nhiều hơn 1 vài giây, ví dụ 1 tiếp xúc (scan) trên 1 phút thậm chí 1 tiếp xúc trên 1 giờ và khơng thể bị chia cắt với phần cịn lại của giao thông mạng sử dụng đặc điểm dựa trên cửa sổ thời gian. Để làm được điều đó, chúng ta cũng tạo ra các đặc điểm dựa vào cửa sổ-kết nối nhằm bắt các đặc điểm tương tự của kết nối như các đặc tính dựa trên cửa sổ thời gian, tuy nhiên lại được tính tốn dựa trên N kết nối cuối cùng xuất phát từ (hoặc đến) các nguồn riêng biệt (đích). Các đặc điểm dựa trên cửa sổ liên kết được minh họa ở bảng 3.4
Tên đặc điểm Mô tả
count_dest_conn Số kết nối có cùng từ một nguồn đến các đích khác nhau trong N kết nối gần đây nhất
count_src_conn Số kết nối có cùng một đích nhưng từ nhiều nguồn khác nhau trong N kết nối gần đây nhất
count_serv_src_conn Số kết nối đến cùng một địa chỉ cổng đích trong N kết nối gần đây nhất
count_serv_des_conn Số kết nối từ địa chỉ đích đến cùng một địa chỉ cổng đích trong N kết nối gần đây nhất.
Sau bước rút ra các đặc điểm để phân tích, module phát hiện các cuộc tấn công đã biết sẽ được dùng để phát hiện các kết nối mạng tương ứng với các tấn công mà chúng có sẵn các dấu hiệu và loại bỏ chúng khỏi danh sách dữ liệu cần phân tích. Tiếp đến, dữ liệu được chuyển tiếp vào module phát hiện bất thường MINDS sử dụng thuật toán phát hiện điểm dị biệt để gán 1 giá trị bất thường cho mỗi kết nối mạng. MINDS sử dụng thuật toán LOF trong module phát hiện bất thường.Một chuyên gia sau đó chỉ phải xem xét những kết nối có giá trị bất thường nhất để quyết định liệu chúng có phải là những tấn công thực sự hay chỉ là những biểu hiện ngẫu nhiên bên ngoài. Module tổng hợp trong MINDS sẽ tổng kết các liên kết mạng và sắp xếp chúng theo mức độ bất thường từ cao xuống thấp. Cuối cùng chuyên gia sẽ đưa ra phản hồi sau khi phân tích các kết quả ở trên và quyết định chúng có ích trong việc tạo ra những luật mới sẽ được sử dụng trong module phát hiện tấn công đã biết hay không.
Tiếp theo chúng ta sẽ xem xét một số các kết quả thu được sau khi áp dụng module phát hiện bất thường MINDS vào giao thông mạng thực ở đại học Minnesota. Tuy nhiên chúng ta không thể đưa ra tỉ lệ phát hiện và tỉ lệ cảnh báo sai do khó khăn trong việc đánh dấu toàn bộ kết nối mạng.
Chuyên viên an ninh mạng tại ĐH Minnesota đã sử dụng phương pháp MINDS để phân tích giao thơng mạng từ năm 2002. Trong suốt thời gian này, MINDS đã phát hiện thành công rất nhiều tấn công mới và các biến dạng mà không thể bị phát hiện nếu dùng hệ thống dựa trên dấu hiệu (signature) như SNORT. Nhìn chung, MINDS có khả năng thường xuyên phát hiện những hành động xâm nhập nguy hại khác nhau (ví dụ xâm phạm chính sách - policy violations), phát tán sâu cũng như các hoạt động scan. Đầu tiên chúng ta sẽ đi vào quá trình một chuyên viên phân tích đầu ra của module phát hiện bất thường MINDS trên 1 dãy dữ liệu cụ thể. Sau đó chúng ta tiếp tục với 1 vài ví dụ về mỗi loại tấn cơng khác nhau được xác định bởi MINDS.
Hình 3.12 cho chúng ta thấy các kết nối đứng đầu do module phát hiện bất thường MINDS tìm được trong 10 phút khoảng 48 tiếng sau khi sâu Slammer/ Sapphire xuất hiện. Đầu ra bao gồm các dữ liệu gốc cùng với giá trị bất thường được gán cho các kết nối và các thành phần liên quan của mỗi một đặc điểm trong số 16 đặc điểm sử dụng trong thuật toán phát hiện bất thường. Lưu ý rằng hầu hết các kết nối đứng đầu đều thuộc về sâu Slammer/ Sapphire ( có giá trị bất thường cao nhất –cột đầu
tiên). Đó là do trong khoảng thời gian này, các kết nối mạng bị nhiễm sâu chỉ chiếm 2% tổng giao thông mạng. Điều này chứng tỏ sự hiệu quả của phương pháp MINDS trong việc xác định kết nối nhiễm sâu. Những kết nối này được đánh dấu màu xám nhạt. Chúng ta có thể quan sát trong hình để thấy những thành phần đóng góp nhiều nhất vào giá trị bất thường của những kết nối này là do đặc tính 9 và 11. Nguyên nhân là do những máy tính bị nhiễm ngồi hệ thống vẫn đang cố gắng kết nối với những máy tính bên trong mạng.
Hình 3.12 Bảng kết quả đầu ra của hệ thống MINDS – cột đầu tiên là giá trị bất thường
Cũng trong hình 3.12 chúng ta có thể thấy trong suốt khoảng thời gian này cịn có 1 hoạt động scanning khác (ping scan, đánh dấu bằng màu xám đậm) bị phát hiện do đặc tính 9 và 11. Hai dịng khơng đổi màu là phản hồi từ các server chơi game half-life bị đánh dấu là bất thường do những máy tính này đang giao tiếp qua 1 cổng duy nhất 27016/udp. Đối với các liên kết web, thông thường chúng giao tiếp qua cổng 80 và được trình bày trong mẫu dữ liệu thơng thường. Tuy nhiên, các kết nối half-life không phù hợp với bất kỳ 1 mẫu thơng thường nào mà số lượng đặc tính 15 tăng đột biến nên chúng bị coi là bất thường.
Phát hiện sâu
Vào ngày 10/10/2002, module MINDS phát hiện 2 hoạt động của sâu Slapper vượt qua sự truy quét của SNORT do chúng là biến thể của 1 loại mã sâu đã có. Một khi máy tính bị nhiễm sâu, nó sẽ giao tiếp vơi các máy khác và sẽ lây lan sang các máy đó. Phiên bản phổ biến nhất của loại sâu này dùng cổng 2002 để giao tiếp, nhưng 1 vài biến thể lại dùng những cổng khác. MINDS xác định những kết nối này là bất thường với 2 lý do sau: Thứ nhất, cổng nguồn hoặc cổng đích trong liên kết có thể khơng bất thường nếu tách riêng, nhưng các cặp đơi cổng nguồn-đích lại là bất thường (tuy máy phát hiện bất thường không lưu số liệu của tần suất các cặp thuộc tính, nhưng trong khi xây dựng vùng lân cận của các kết nối này, hầu hết điểm lân cận của chúng đều khơng có các cặp cổng nguồn-đích giống nhau, điều này tạo ra khoảng cách); Thứ 2, mẫu giao tiếp của loại sâu này trông giống như 1 hoạt động scan chậm khiến cho giá trị của các biến tương ứng với số lượng kết nối từ IP nguồn đến cùng 1 cổng đích ở các kết nối cuối trở nên lớn hơn. Nguyên tắc phát hiện sâu của SNORT là dùng cổng 2002 (và 1 vài cổng khác) nhưng khơng đủ cho tất cả các biến thể có thể xuất hiện. Một nguyên tắc tổng quát của SNORT được viết để phát hiện biến thể của loại sâu này có thể cảnh báo sai ở tỷ lệ cao hơn.
Hoạt động scanning và DoS(Scanning and DoS activities):
Ngày 9/8/2002, hệ thống CERT/CC cảnh báo về “sự lan rộng scanning và khả năng từ chối của hoạt động dịch vụ nhằm vào dịch vụ Microsoft-DS qua cổng 445/TCP” giống như 1 tấn công Từ chối Dịch vụ mới (DoS). Ngồi ra, CERT/CC cịn thể hiện “sự quan tâm khi nhận được những báo cáo như thế này từ những sites có bản báo cáo chi tiết và bằng chứng của vụ tấn công”. Các kết nối mạng thuộc loại scanning này được xếp trong top đầu có giá trị dị biệt cao vào ngày 13/08/2002 do module phát hiện bất thường của MINDS phát hiện ra trong khi làm nhiệm vụ phân tích thường nhật giao thông mạng ĐH Minnesota. Module scan cổng của SNORT đã không phát hiện ra tấn công này do việc scanning cổng diễn ra rất chậm chạp. Sau đó vào tháng 9/2002, SNORT đã bổ sung 1 quy tắc mới để bắt loại tấn công này.
Ngày 13/08/2002, module phát hiện ‘hoạt động scanning trên dịch vụ Oracle” thông qua việc các giá trị bất thường của các kết nối này nằm trong top2(top 1 bao gồm liên kết thuộc DoS nhằm vào Microsoft-DS service qua cổng 445/TCP như đã
trình bày ở trên). Tấn công dạng này thường rất khó bị phát hiện nếu dùng những phương pháp khác do Oracle scan được gắn vào 1 môi trường Web scan rộng lớn hơn nhiều và cảnh báo sinh ra bởi Web scan có thể đưa đến hàng núi công việc cho các chuyên gia. Ngày 13/06, CERT/CC đã đưa ra cảnh báo về vụ tấn cơng này.
Xâm phạm chính sách(Policy Violations): (adsbygoogle = window.adsbygoogle || []).push({});
- Từ ngày 8-10/08/2002, module của MINDS phát hiện ra 1 máy đang chạy dịch vụ Microsoft PPTP VPN và 1 máy khác đang chạy dịch vụ FTP qua các cổng không phải là các cổng chuẩn của chúng, đây bị coi là xâm phạm chính sách. Cả 2 loại xâm phạm này đều nằm trong top có giá trị dị biệt cao. MINDS đánh dấu những dịch vụ này thuộc dạng bất thường do chúng không được phép.
- Ngày 6/2/2003, MINDS đã phát hiện ra những thông điệp phản hồi lặp lại ICMP ngồi ý muốn đến 1 máy tính đã bị nhiễm sâu Stacheldract trước đó (1 nhân tố DDoS). Mặc dù chiếc máy bị nhiễm sâu này đã bị tách ra khỏi hệ thống nhưng những máy tính khác ngồi mạng vẫn cố giao tiếp với nó.