Xâm phạm chính sách

Một phần của tài liệu LUẬN VĂN:GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TRUY CẬP TRÁI PHÉP VÀO MẠNG pot (Trang 75 - 80)

CHƯƠNG 1 TỔNG QUAN VỀ HỆ THỐNG IPS

3.4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS

3.4.3.3 Xâm phạm chính sách

Module MINDS có khả năng phát hiện xâm phạm chính sách (ví dụ các dịch vụ lạ và trái phép) cao hơn so với SNORT do nó tìm kiếm hành vi mạng bất thường. SNORT chỉ có thể phát hiện những xâm nhập nếu nó đặt quy tắc cho mỗi 1 hoạt động cụ thể. Do số lượng và sự đa dạng của những hoạt động này có thể rất lớn và chưa biết đến nên việc kết hợp chúng vào SNORT là không thực tế bởi những lý do sau. Thứ nhất, việc xử lý tất cả những quy tắc đó sẽ tốn rất nhiều thời gian và do đó dẫn đến việc giảm hiệu quả của làm việc SNORT. Một điều quan trọng khác cần chú ý ở đây đó là SNORT chỉ mong muốn giữ 1 số lượng giao thơng mạng được phân tích ở mức vừa nhỏ bằng cách kết hợp những quy tắc càng cụ thể càng tốt. Mặt khác, những quy tắc quá chi tiết sẽ hạn chế khả năng tổng hợp hóa của 1 hệ thống dự trên quy tắc điển hình, những thay đổi nhỏ trong tính chất của 1 tấn cơng có thể khiến cho tấn cơng đó khơng thể bị phát hiện. Thứ 2, cơ sở tri thức về các cuộc tấn công của SNORT cần phải được cập nhật bằng tay bởi các chuyên gia mỗi khi phát hiện ra 1 một kiểu tấn công mới. Trái lại, module MINDS thích nghi 1 cách tự nhiên, nó đặc biệt thành cơng trong việc phát hiện biểu hiện bất thường bắt nguồn từ 1 máy yếu thế/ phịng thủ lỏng lẻo (ví dụ kẻ tấn cơng xâm nhập vào 1 máy, cài đặt phần mềm trái phép và dùng máy này để phát động tấn công vào những máy khác). Những biểu như vậy thường xuyên bị bỏ qua bởi chúng không nằm trong các dấu hiệu nhận dạng tấn công SNORT.

3.5 Kết chương

Trong chương này chúng ta nghiên cứu việc áp dụng Kỹ thuật khai phá dữ liệu cho hệ thống IPS. Hướng áp dụng dựa trên KPDL mang lại khá nhiều ưu điểm, đầu

tiên giống như các kỹ thuật phát hiện bất thường khác, hệ thống IPS sử dụng KPDL khơng cần có các hiểu biết trước về các dạng tấn cơng cho nên nó có thể dễ dàng phát hiện các cuộc tấn cơng mới hình thành. Hơn nữa sử dụng phương pháp này chúng ta có thể phát hiện tương đối chính xác các kiểu tấn công dạng DoS hay dò quét cổng diễn ra trong thời gian kéo dài. Ngoài ra một đặc điểm quan trọng khác đó là kỹ thuật KPDL có thể sử dụng trong trường hợp dữ liệu dạng thơ, khơng đầy đủ, thiếu sót hoặc khơng chính xác. Chương này cũng đưa ra mơ hình cho một hệ thống IPS dựa trên KPDL, bao gồm các module: Lọc tin, Trích xuất dữ liệu, Phát hiện phần tử dị biệt, Phản ứng và Tổng hợp. Trong đó module Lọc tin và trích xuất dữ liệu là hai module ban đầu xử lý dữ liệu cho phù hợp với đầu vào của module phát hiện phần tử dị biệt, đây là module quan trọng nhất làm nhiệm vụ phát hiện ra các trường hợp dữ liệu có dấu hiệu bất thường có thể là các cuộc tấn công mạng, module này sử dụng một số thuật toán phát hiện phần tử dị biệt trong KPDL cũng được trình bày trong chương này. Module cuối cùng là module Tổng hợp có nhiệm vụ tổng hợp, rút gọn các dấu hiệu mà module phát hiện phần tử dị biệt đưa ra nhằm tạo thành các quy tắc dấu hiệu giúp quá trình phát hiện ở các lần sau nhanh hơn ( sử dụng trong module Lọc tin). Ở phần cuối chương, cũng giới thiệu một hệ thống thực đã được triển khai sử dụng kỹ thuật KPDL, đó là hệ thống MINDS của trường đại học Minnesota, Mỹ.

KẾT LUẬN

Hệ thống chống xâm nhập (Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IPS ra đời nhằm khắc phục những hạn chế của hệ thống IDS(Instrusion Detection System) như : IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives), là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục, kèm theo các cảnh báo tấn cơng là một quy trình xử lý an ninh rất vất vả, hơn thế nữa IDS khơng có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn. Xuyên suốt đề tài “Giải pháp phát hiện truy cập trái phép vào mạng”, tôi đã đi vào tìm hiểu và giới thiệu hệ thống IPS về thành phần, chức năng, phân loại và hoạt động cũng như các hướng tiếp cận và phát triển một hệ thống IPS.

Thông thường người ta chia IPS thành các loại NIPS (Network-based Intrusion Prevention System) theo dõi và phát hiện sự cố trên một hệ thống mạng, HIPS (Host- based Intrusion Prevention System) theo dõi và xử lý sự cố trên các máy tính riêng lẻ, và Hybrid Intrusion Prevention System kết hợp của 2 hệ thống NIPS và HIPS thu thập thông tin trên máy trạm kết hợp với thơng tin thu thập được ở trên mạng để có được sự phân tích một cách chi tiết về hiện trạng hệ thống mạng. Về mặt thành phần, hệ thống IPS bao gồm 3 module chính: module phân tích gói tin, module phát hiện tấn công và module phản ứng trong đó module phát hiện tấn cơng được quan tâm phát triển nhiều nhất. Module này được cài đặt dựa trên 2 phương pháp chính đó là : phương pháp phát hiện dựa trên dấu hiệu (mẫu) và phương pháp dò dựa trên phát hiện bất thường. Phương pháp phát hiện dựa trên dấu hiệu sử dụng các mẫu tấn cơng đã có sẵn trong cơ sở dữ liệu so sánh với các dấu hiệu hiện tại nhằm xác định xem nó có phải là một cuộc tấn cơng hay khơng. Phương pháp này có khá nhiều điểm hạn chế như nó địi hỏi phải mơ tả một cách chính xác các dấu hiệu, tốn nhiều tài nguyên để lưu trữ, phụ thuộc khá nhiều vào công việc của người quản trị khi thường xuyên phải cập nhật các cuộc tấn công mới. Phương pháp dò dựa trên phát hiện bất thường hoạt động dựa trên nguyên tắc, sẽ định ra các trạng thái hoạt động bình thường của hệ thống, các IPS sẽ dò và so sánh nếu tồn tại các cuộc tấn công sẽ có các hành động bất thường xảy ra. Phương

pháp này có nhiều ưu điểm hơn so với phương pháp sử dụng dấu hiệu có khả năng dị ra các cuộc tấn công chưa biết là rất cao, đồng thời tốn ít tài nguyên hơn nhưng nó cũng có nhược điểm đó là có thể đưa ra những cảnh báo sai nếu như hệ thống có những dấu hiệu bất thường nhưng khơng phải do các cuộc xâm nhập hay tấn công.

Tiếp đến luận văn đi vào nghiên cứu hệ thống IPS dựa trên phát hiện bất thường. Có nhiều phương pháp phát hiện bất thường như Phân tích thống kê, Máy trạng thái hữu hạn, Mạng Nơ-ron, Hệ chuyên gia, Mạng Bayes… Theo đó luận văn tiếp cận tương đối kỹ một phương pháp phát hiện bất thường đó là phương pháp dựa trên khai phá dữ liệu (KPDL). Đây là phương pháp tương đối mới có nhiều đặc điểm ưu việt ngồi việc có khả năng phát hiện ra các cuộc tấn công dạng mới, các cuộc tấn công kéo dài dạng DoS hay dị qt cổng, ưu điểm của nó thể hiển ở khả năng sử lý dữ liệu trong trường hợp dữ liệu dạng thô, không đầy đủ, thiếu sót hoặc khơng chính xác. Phần cuối luận văn giới thiệu một hệ thống tuy mới là dạng IDS nhưng đã được triển khai và ứng dụng kỹ thuật KPDL tương đối hiệu quả đó là hệ thống phát hiện xâm nhập của trường đại học Minnesota.

Hướng phát triển của luặn văn:

Ngày nay trong vấn đề an ninh mạng trước những cuộc tấn công ngày một tinh vi của các hacker cũng như sự lây lan của nhiều loại sâu, trojan … thì việc sử dụng các hệ thống tường lửa, chương trình anti-virus thơi là khơng đủ, mà chúng ta cần phải có những hệ thống bảo vệ có khả năng phát hiện kịp thời, thậm chí là trước khi có các cuộc tấn cơng diễn ra. Vì vậy việc nghiên cứu, phát triển và cải tiến các hệ thống IPS là nhu cấu tất yếu. Hướng phát triển của luận văn sẽ là:

 Nghiên cứu các thuật toán tốt hơn ứng dụng trong việc phát hiện các cuộc tấn cơng (các thuật tốn phát hiện phần tử dị biệt trong KPDL,…), giúp hệ thống giảm tỉ lệ cảnh báo sai, tăng tỉ lệ cảnh báo đúng.

 Xây dựng một chương trình phát hiện bất thường sử dụng KPDL với thuật toán phát hiện phần tử dị biệt cụ thể là thuật toán LOF hoặc LSC.

TÀI LIỆU THAM KHẢO

1. C. Iheagwara (2004), “The effectiveness of intrusion detection systems”

Computers & Security Journal, 23, pp 213-228

2. A. Yee, “The intelligent IDS: next generation network intrusion management revealed.” NFR security white paper. Available at:

http://www.eubfn.com/arts/887_nfr.htm

3. C. Iheagwara (2004), “The Effect Of Intrusion Detection Management Methods On The Return On Investment” Computers & Security Journal, 23, pp 213-228

4. Marina Thottan and Chuanyi Ji (2003), “Anomaly Detection in IP Networks”,

IEEE TRANSACTIONS ON SIGNAL PROCESSING, 51, Available at:

http://users.ece.gatech.edu/~jic/sig03.pdf

5. Paul Dokas, Levent Ertoz, Vipin Kumar, Aleksandar Lazarevic, Jaideep

Srivastava, Pang-Ning Tan(2002). “Data Mining for Network Intrusion Detection”. Available at: http://www.cs.umn.edu/research/MINDS/papers/nsf_ngdm_2002.pdf. 6. Varun Chandola, Eric Eilertson, Levent Ertăoz, Gyăorgy Simon and Vipin Kumar (2006), “Data Mining for Cyber Security”. Available at:

http://www.cs.umn.edu/research/MINDS/publications/chapter.pdf.

7. Markus M. Breunig, Hans-Peter Kriegel, Raymond T. Ng, Jörg Sander, (2000) “LOF: Identifying Density-Based Local Outliers“ . Available at:

http://www.cs.ualberta.ca/~joerg/papers/LOF-final.pdf.

8. Malik Agyemang, Christie I. Ezeife, “ LSC-Mine: Algorithm for Mining Local Outliers”. Available at: http://cs.uwindsor.ca/~cezeife/irma04.pdf

9. Ertoz, L., Eilertson, E., Lazarevic, A., Tan, P., Srivastava, J., Kumar, V., Dokas, P, (2004) “MINDS - Minnesota Intrusion Detection System”, Available at:

http://www.cs.umn.edu/research/MINDS/papers/minds_chapter.pdf

10. The Computer Economics Journal ( 2004), “Cost estimates for viruses and worms”.

11. SourceFire, Inc (2004), “Real-time Network Defense - The Most Effective Way to Secure the Enterprise.” White Paper, Columbia, Maryland.

12. E. Hurley (2003), “Intrusion prevention: IDS' 800-pound gorilla”, News Article. Availiable at:

http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci892744,00.ht mlReferences Cont.

13. C. Iheagwara and A. Blyth (2002), “Evaluation of the performance of IDS systems in a switched and distributed environment,” Computer Networks, 39,pp 93-112

14. C. Iheagwara, A. Blyth and M. Singhal (2003), “A Comparative Experimental Evaluation Study of Intrusion Detection System Performance in a Gigabit

Environment,” Journal of Computer Security, 11, pp 135,164.

15. K. Richards(1999), "Network Based Intrusion Detection: a review of technologies,” Computers & Security, 18, pp 671-682.

16. C. Iheagwara, A. Blyth, K. David, T. Kevin (2004), “Cost – Effective Management Frameworks: The Impact of IDS Deployment on Threat Mitigation.” Information and

Software Technology Journal, 46, pp.651-664.

17. E. Bloedorn, et al.(2001),” Data Mining for Network Intrusion Detection: How to Get Started”, MITRE Technical Report.

18. S. Manganaris, M. Christensen, D. Serkle, and K. Hermix (1999), “A Data Mining Analysis of RTID Alarms, Proceedings of the 2nd International Workshop on Recent Advances in Intrusion Detection (RAID 99)”, West Lafayette.

19. D.E. Denning (1987), “An Intrusion Detection Model”, IEEE Transactions on

Software Engineering.

20. H.S. Javitz, and A. Valdes (1993), “The NIDES Statistical Component: Description and Justification”.Computer Science Laboratory, SRI International.

Một phần của tài liệu LUẬN VĂN:GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TRUY CẬP TRÁI PHÉP VÀO MẠNG pot (Trang 75 - 80)

Tải bản đầy đủ (PDF)

(80 trang)