CHƢƠNG 1 TỔNG QUAN VỀ HOT-IP TRÊN MẠNG
1.4. CÁC NGHIÊN CỨU LIÊN QUAN
1.4.2. Các nghiên cứu về sâu Internet
Sâu máy tính là chƣơng trình máy tính cĩ khả năng tự nhân bản và phát tán đến các thiết bị trên mạng bằng cách khai thác các lỗ hổng của các thiết bị này. Sâu máy tính chia làm 2 loại: sâu mạng (network worm) và khơng phải sâu mạng (non-
network worm). Sâu mạng cĩ thể phát tán bằng cách khai thác các lỗ hổng của các
dịch vụ mạng. Sâu mạng đƣợc chia làm 2 loại: “scanning worm” và “non-scanning
worm”. “Scanning worm” tìm các thiết bị trên mạng cĩ các lỗ hổng dịch vụ mạng
bằng cách quét khơng gian địa chỉ và cổng dịch vụ. Trong các loại sâu “scanning worm”, “routing worm” và “hit-list worm” là những sâu nguy hiểm, phát tán dựa
vào thơng tin trong bảng định tuyến và danh sách địa chỉ IP (hit-list) với tốc độ cao. Sâu Internet khai thác lỗ hổng của các thiết bị trên mơi trƣờng Internet để tiến hành phát tán và lây nhiễm.
Giai đoạn trƣớc Giai đoạn phát tán Giai đoạn sau khi phát tán sâu sâu cách ly khi nhiễm sâu Giải pháp Đề phịng phát tán Hạn chế sâu lây lan Diệt sâu
sâu Phát hiện sâu
Hình 1.9 mơ tả các giải pháp phịng chống sâu ở từng giai đoạn hoạt động của chúng [21]. Trong các giai đoạn này, luận án xem xét một số nghiên cứu về các kỹ thuật trong giai đoạn phát tán sâu Internet. Mục tiêu của giải pháp là phát hiện sự tồn tại của sâu càng nhanh càng tốt bằng cách phân tích lƣu lƣợng trên mạng.
Loại sâu “routing worm” khai thác bảng định tuyến để quét mạng dựa trên thơng tin định tuyến BGP [20]. Trong đĩ, “hit-list worm” khơng chỉ lan truyền nhanh hơn mà cịn cĩ thể tiến hành các cuộc tấn cơng đến các quốc gia xác định, các cơng ty, ISP hay các AS. So với các loại sâu khác, “routing worm” cĩ thể gây ra tình trạng tắc nghẽn cho hệ thống đƣờng trục Internet và gây khĩ khăn trong việc phát hiện.
Hoạt động lây nhiễm sâu gồm các giai đoạn sau: phát hiện mục tiêu, truyền
sâu, kích hoạt và lây nhiễm [21], [22], [23]. Quá trình hoạt động lây nhiễm sâu
Internet ở hai giai đoạn đầu (phát hiện mục tiêu và truyền sâu) ảnh hƣởng đến hoạt động của mạng, nên các hành vi của chúng ở hai giai đoạn này rất quan trọng để tiến hành triển khai các giải pháp phát hiện. Một số đặc điểm quan trọng cần lƣu ý để tạo thuận lợi cho việc phát hiện chúng là: ở bƣớc phát hiện mục tiêu, phƣơng pháp đơn giản nhất các sâu hay sử dụng là “quét mù”, cĩ 3 phƣơng pháp đƣợc sử dụng trong “quét mù” là: quét tuần tự, quét ngẫu nhiên và quét kết hợp. Phƣơng pháp này cĩ tính cơ hội và tỷ lệ thất bại cao. Phiên bản nâng cấp từ phƣơng pháp quét này là “routing worm”. “Routing worm” là một bƣớc cải tiến với khơng gian quét nhỏ hơn. “Routing worm” sử dụng thơng tin đƣợc cung cấp bởi bảng định tuyến BGP để thu hẹp phổ quét và các hệ thống mục tiêu cụ thể trong một vị trí địa lý nhƣ một quốc gia, một nhà cung cấp dịch vụ (ISP), hoặc một hệ thống mạng tự trị (AS). “Routing worm” cĩ khả năng lây lan nhanh hơn sâu truyền thống gấp nhiều lần [24], [28].
Sau bƣớc phát hiện mục tiêu, sâu đƣợc nhân bản và gửi đến mục tiêu. Cĩ nhiều mơ hình phát tán sâu, theo [28] cĩ ba mơ hình phát tán sâu: self-carried,
payload đƣợc truyền trong gĩi tin của chính nĩ. Một số loại sâu khác truyền qua “second channel” nghĩa là truyền qua một kênh khác, sau khi tìm thấy mục tiêu,
sâu sẽ đến mục tiêu, worm-payload từ Internet hoặc một máy đã nhiễm trƣớc đĩ thơng qua “backdoor” đƣợc cài đặt sử dụng RPC hoặc các ứng dụng khác. Phƣơng pháp “embedded” hoạt động rất thận trọng, rất khĩ phát hiện. Bên cạnh 3 phƣơng pháp trên, botnet cũng đƣợc sử dụng để truyền sâu, thƣ rác và thực hiện tấn cơng từ chối dịch vụ phân tán [25]. Hai giao thức sử dụng ở bƣớc truyền sâu là TCP và UDP.
Các thuật tốn phát hiện cĩ thể chia thành 2 dạng: dựa vào dấu hiệu và dựa
vào sự bất thường [24], [26]:
(1) Phát hiện sâu dựa vào dấu hiệu được định nghĩa sẵn (signature-based):
phát hiện dựa vào dấu hiệu là kỹ thuật truyền thống đƣợc sử dụng cho hệ thống phát hiện xâm nhập (IDS) và thƣờng sử dụng cho phát hiện các cuộc tấn cơng đã biết.
Loại này khơng quan tâm tới làm thế nào để tìm các mục tiêu. Trong đĩ, các dấu hiệu đƣợc định nghĩa sẵn so khớp với payload (nơi chứa mã sâu thực sự) để phát hiện sâu. Giải pháp này bị hạn chế trong trƣờng hợp các sâu đƣợc thay đổi
payload để tránh hệ thống phát hiện. Ngồi thay đổi cách thể hiện của nĩ trong
payload, sâu cịn cĩ thể thay đổi hành vi. Nếu sâu sử dụng mơ hình mã hĩa phức tạp để che dấu mục đích thực sự của nĩ thì càng gây khĩ khăn hơn trong việc phịng chống.
(2) Phát hiện sâu dựa vào sự bất thường (anomaly-based): Các dấu hiệu của
một sâu mới xuất hiện là chƣa biết. Tất cả các sâu phát tán rộng đƣợc biết đến cho đến nay thơng thƣờng tạo ra lƣu lƣợng dữ liệu lớn và hầu hết là sử dụng cơ chế “quét mù” để tìm kiếm lỗ hổng của các thiết bị trên mạng và lây nhiễm [21]. Do đĩ
cĩ rất nhiều địa chỉ mục tiêu khơng tồn tại, từ đĩ xuất hiện dấu hiệu bất thƣờng. Hệ thống phát hiện sâu dựa vào sự bất thƣờng khơng dựa vào payload nhƣ dạng (1) mà dựa vào header của gĩi tin. Cĩ 3 mục đích phổ biến cho các gĩi tin đƣợc gửi hoặc nhận của một thiết bị là: khởi tạo kết nối, chỉ ra thất bại trong nỗ lực
kết nối và gửi dữ liệu qua một kết nối đã thiết lập. Hệ thống cũng cĩ thể tiếp tục
theo dõi các dữ liệu giữa địa chỉ nguồn và đích để tìm ra các đối tƣợng nào đang quét mạng.
Vấn đề thách thức lớn đối với giải pháp phát hiện dựa vào sự bất thƣờng là dựa trên việc định nghĩa những hành vi mạng bình thƣờng là gì, quyết định các ngƣỡng để kích hoạt báo động. Nếu các mơ hình bình thƣờng khơng đƣợc định nghĩa một cách cẩn thận sẽ cĩ rất nhiều cảnh báo sai.
Nhƣ vậy, qua các phân tích về hai lĩnh vực nghiên cứu liên quan là phát hiện các đối tƣợng và mục tiêu trong tấn cơng từ chối dịch vụ và vấn đề phát tán sâu Internet đối với một số loại sâu nhƣ “scanning-worm” liên quan đến nghiên cứu các IP tần suất cao trên mạng cho thấy các giải pháp hiện tại tập trung vào việc phát hiện cĩ tồn tại tấn cơng hay khơng trong bƣớc phát hiện và phịng chống tấn cơng. Việc xác định các đối tƣợng gây ra tấn cơng đƣợc thực hiện ở bƣớc hậu tấn cơng.
Do vậy, cần một giải pháp cĩ thể cân bằng điều này, nghĩa là cĩ thể nhanh chĩng phát hiện các nguy cơ và đồng thời chỉ ra đƣợc các đối tƣợng này là những IP nào ở giai đoạn xảy ra tấn cơng (trong tấn cơng từ chối dịch vụ) hay ở giai đoạn phát tán sâu Internet. Giải pháp đặt ra đƣợc đƣa về giải bài tốn phát hiện Hot-IP trên mạng mà luận án nghiên cứu giải quyết. Vấn đề này cĩ ý nghĩa quan trọng trong các mạng trung gian ở ISP hoặc các hệ thống cung cấp dịch vụ trên Internet đƣợc tổ chức dạng đa vùng nhằm hỗ trợ để tiến hành giám sát, hạn chế sớm các nguy hại, đảm bảo sự hoạt động ổn định trên mạng và cảnh báo sớm cho khách hàng.