b. Các tùy chọn của luật
3.4.3 Tìm hiểu thêm về phát hiện xâm nhập dựa trên thống kê
Đối với hầu hết các tổ chức, dữ liệu cảnh báo và phân tích thời gian thực cung cấp phần lớn các sự cố phải báo cáo trên mạng. Khi một cảnh báo mới được tạo ra, có thể hữu ích khi tạo ra các truy vấn thống kê sử dụng dữ liệu phiên để giúp phát hiện sự tồn tại của các IOC tương tự trên các máy khác.
Ví dụ, xem xét các cảnh báo được hiển thị trong Hình 3.29.
Hình 3.29 Một cảnh báo về Zeus tạo ra bởi Snort
Cảnh báo này được tạo ra do chứng cứ về liên lạc với một thiết bị có liên kết với lệnh máy chủ C&C của botnet Zeus. Nhìn sơ qua, lưu lượng này có vẻ như lưu lượng NTP do các kết nối xuất hiện giống như lưu lượng UDP, qua cổng 123.
Nếu không có quyền truy cập vào tải của gói tin, sự kiện này có thể bị che đậy bởi một số nhà phân tích vì không có các dấu hiệu về sự nhiễm mã độc nào khác ngay khi đó. Có khả năng lưu lượng này chỉ đơn thuần che dấu giao tiếp của mình bằng cách sử dụng cổng NTP chung. Tuy nhiên, nếu không có thêm chi tiết nào khác thì cũng không thể chắc chắn nhận định này. Muốn biết rõ hơn, cần phải xem thêm các liên lạc khác của máy tính. Để làm điều này, chỉ cần tìm các chi tiết duy nhất về cảnh báo và xác định xem máy tính đang liên lạc với "các máy chủ NTP" khác nữa mà có thể có dấu hiệu đáng ngờ. Cần thêm trường mã quốc gia vào truy vấn này, vì ở đây chỉ muốn các thiết bị trong mạng giao tiếp với máy chủ NTP tại Mỹ. Lệnh được thực hiện như sau:
rwfilter --start-date = 2013/09/02 --end-date = 2013/09/02 --any-address = 192.168.1.17 -- aport = 123 --proto = 17 --type = all --pass = stdout | rwstats --top --fields = dip,dcc,dport --count = 20
Lệnh này sử dụng rwstats để hiển thị các thiết bị mà 192.168.1.17 giao tiếp trên cổng 123. Các kết quả được trình bày trong Hình 3.30. Trong hình này, một số địa chỉ IP đã được ẩn danh.
Hình 3.30: Máy tính được bảo vệ giao tiếp với nhiều máy tính khác trên cổng 123
Như thấy trên hình 3.30, máy tính nội bộ trong câu hỏi dường như đang giao tiếp với nhiều máy tính bên ngoài qua cổng 123. Các bản ghi gắn với mỗi máy tính và số lượng các liên lạc cho thấy rằng có một cái gì đó nguy hại đang xảy ra ở đây, hoặc ít nhất là đây không thực sự lưu lượng NTP. Trong một tình huống thông thường, một máy tính sẽ chỉ đồng bộ hóa các thiết lập NTP với một hoặc một vài máy tính dễ nhận biết. Sự nguy hại của lưu lượng truy cập này có thể được xác nhận bởi sự tồn tại của các kết quả ở nước ngoài (Non-US), đây không phải là điển hình của việc đồng bộ NTP với một máy chủ / mạng có trụ sở tại Mỹ.
Tại thời điểm này, có một sự cố có thể leo thang. Như trước đây, cần phải đánh giá những gì cần trước khi xem xét dữ liệu trước. Trong sự kiện này, chúng ta đã tìm kiếm tất cả dữ liệu phiên, nơi 192.168.1.17 là địa chỉ nguồn và là nơi giao tiếp đã xảy ra, trên cổng UDP 123. Số lượng áp
đảo của các lưu lượng UDP / 123 truy cập vào rất nhiều máy chủ bên ngoài đã dẫn đến kết luận rằng có hành vi nguy hại xảy ra. Có thể tạo ra một bộ lọc phù hợp với những đặc điểm này cho bất kỳ địa chỉ cục bộ nào. Bộ lọc sẽ tương tự như thế này:
rwfilter --start-date = 2013/09/02 --end-date = 2013/09/02 --not-dipset = local.set -- dport = 123 --proto = 17 --type = all --pass = stdout | rwstats --top --fields = sip -- count = 20 --value = dip-distinct
Lệnh trên cho biết chỉ kiểm tra dữ liệu: từ /02/09/2013, không dành cho mạng nội bộ, và những gì đến cổng 123 sử dụng giao thức UDP. Những thông tin này sẽ được gửi đến rwstats, tạo ra số liệu thống kê cho nhóm đứng đầu gồm 20 địa chỉ IP cục bộ khác nhau đáp ứng các tiêu chí (Hình 3.31).
Hình 3.31 Hiển thị nhiều thiết bị có các mẫu liên lạc tương tự
Có thể thu hẹp bộ lọc này một chút bằng cách cho thêm điều kiện là: chỉ có lưu lưọng UDP/123 đi ra các máy tính ngoài nước Mỹ (là một tiêu chí chỉ ra các liên lạc ban đầu đáng nghi ngờ). Truy vấn này được xây dựng trên phần trước đó, rồi truyền đầu ra của rwfilter đầu tiên đến rwfilter thứ hai thực hiện loại bất kỳ bản ghi có chứa mã điểm đến là "us", đảm bảo là chỉ xem xét các dữ liệu đi ra nước ngoài.
rwfilter --start-date = 2013/09/02 --end-date = 2013/09/02 --not-dipset = local.set -- dport = 123 --proto = 17 --type = all --pass = stdout | rwfilter --input-pipe = stdin -- dcc = us --fail = stdout | rwstats --top --fields = sip --count = 20 --value = dip-distinct Kiểm tra kỹ hơn những kết quả này có thể dẫn đến việc phát hiện thành công các logic độc hại trên hệ thống khác có một hành vi tương tự như cảnh báo IDS ban đầu. Trong khi một cảnh báo IDS có thể bắt được một số trường hợp độc hại, nó sẽ bắt tất cả chúng, khi đó phân tích thống kê có thể có ích. Ví dụ thể hiện ở đây được lấy từ một cuộc điều tra thực tế, khi đó các phân tích cho thấy 9 máy chủ bị nhiễm khác mà cảnh báo IDS ban đầu đã không chỉ ra được.