3 GIẢI PHÁP QUẢN LÝ CÁC HỆ THỐNG PHÁT HIỆN PHÒNG CHỐNG
2.5 Kiến trúc mức cao sử dụng dịch vụ Tính toán đám mây để giảm lỗi cảnh báo
2.1.4 Giới thiệu chung về hệ thống phát hiện và ngăn chặn xâmnhập nhập
Như đã được giới thiệu hệ thống phát hiện và ngăn chặn xâm nhập (IDPS) là sự kết hợp phát hiện xâm nhập với ngăn chặn xâm nhập, được phân biệt chủ yếu bởi các loại sự kiện mà chúng có thể nhận ra và phương pháp luận mà chúng sử dụng để xác định sự cố.
Chức năng chính của IDPSNgoài việc theo dõi và phân tích các sự kiện để xác định hoạt động không mong muốn, tất cả các loại công nghệ IDPS thường thực hiện các chức năng sau:
• Ghi chép thông tin liên quan đến các sự kiện quan sát được. Thông tin thường được ghi lại cục bộ và cũng có thể được gửi đến các hệ thống riêng biệt như máy chủ ghi nhật ký tập trung, thông tin bảo mật và giải pháp quản lý sự kiện (SIEM) và hệ thống quản lý doanh nghiệp.
• Thông báo cho quản trị viên bảo mật về các sự kiện quan trọng được quan sát. Thông báo này, được gọi là cảnh báo, xảy ra thông qua bất kỳ phương pháp nào trong số các phương thức sau: e-mail, trang, thông báo trên giao diện người dùng IDPS, giao thức quản lý mạng Simple Network Management Protocol (SNMP), thông báo nhật ký hệ thống và các chương trình do người dùng xác định và các tập lệnh. Một tin nhắn thông báo thường chỉ bao gồm thông tin cơ bản liên quan đến một sự kiện; quản trị viên cần truy cập IDPS để biết thêm thông tin.
• Sinh báo cáo. Báo cáo tóm tắt các sự kiện được theo dõi hoặc cung cấp thông tin chi tiết về các sự kiện cụ thể được quan tâm.
Một số IDPS cũng có thể thay đổi hồ sơ bảo mật của họ khi phát hiện ra mối đe dọa mới. Ví dụ: một IDPS có thể thu thập thông tin chi tiết hơn cho một phiên cụ thể sau khi phát hiện hoạt động độc hại trong phiên đó. IDPS cũng có thể thay đổi cài đặt khi một số cảnh báo nhất định được kích hoạt hoặc mức độ ưu tiên nào sẽ được chỉ định cho các cảnh báo tiếp theo sau khi một mối đe dọa cụ thể được phát hiện.
Phản ứng của hệ thống IDPS IDPS có phản ứng chung tương tự như phản ứng của IPS. Dưới đây chi tiết hơn về các kiểu phản ứng của IDPS:
• IDPS tự dừng cuộc tấn công theo các cách thức sau đây: (i) Chấm dứt kết nối mạng hoặc phiên người dùng đang được sử dụng để tấn công; (ii) Chặn quyền truy cập vào mục tiêu (hoặc có thể là các mục tiêu có khả năng khác) từ tài khoản người dùng vi phạm, địa chỉ IP hoặc thuộc tính của kẻ tấn công khác; (iii) Chặn tất cả quyền truy cập vào máy chủ, dịch vụ, ứng dụng hoặc tài nguyên khác được nhắm mục tiêu; (iv) Các cách thức khác.
• IDPS thay đổi môi trường bảo mật. IPS có thể thay đổi cấu hình của các điều khiển bảo mật khác để ngăn chặn một cuộc tấn công. Các ví dụ phổ biến là định cấu hình lại thiết bị mạng (ví dụ: tường lửa, bộ định tuyến, bộ chuyển mạch) để chặn truy cập từ kẻ tấn công hoặc đến mục tiêu, và thay đổi tường lửa dựa trên máy chủ trên mục tiêu để chặn các cuộc tấn công đến. Một số IPS thậm chí có thể tạo ra các bản vá được áp dụng cho máy chủ nếu IPS phát hiện máy chủ có lỗ hổng.
• IDPS thay đổi nội dung của cuộc tấn công. Một số công nghệ IDPS có thể loại bỏ hoặc thay thế các phần độc hại của một cuộc tấn công để làm cho nó trở nên lành tính. Một ví dụ đơn giản là IPS xóa phần đính kèm tệp bị nhiễm khỏi e-mail và sau đó cho phép email đã được làm sạch đến với người nhận. Một ví dụ phức tạp hơn là IPS hoạt động như một proxy và bình thường hóa các yêu cầu đến, có nghĩa là proxy đóng gói lại trọng tải của các yêu cầu, loại bỏ thông tin tiêu đề. Điều này có thể khiến một số cuộc tấn công nhất định bị loại bỏ như một phần của quá trình chuẩn hóa.
Về đại thể, các hệ thống IDPS cũng bao gồm các chức năng bù đắp ứng phó sử dụng kỹ thuật trốn tránh (evasion) phổ biến. Trốn tránh là cách thức sửa đổi định dạng hoặc thời gian của hoạt động độc hại để hình thức của thực thể độc hại thay đổi nhưng tác dụng của nó vẫn như cũ. Kẻ tấn công sử dụng kỹ thuật trốn tránh để cố gắng lẩn tránh các công nghệ IDPS phát hiện ra các cuộc tấn công của chúng. Ví dụ, kẻ tấn công có thể mã hóa các ký tự văn bản theo một cách cụ thể, biết rằng mục tiêu tấn công hiểu mã hóa và hy vọng rằng mọi IDPS giám sát mục tiêu không hiểu được. Hầu hết công nghệ IDPS có khả năng ứng phó được các kỹ thuật trốn tránh thông thường bằng cách sao chép các quá trình xử lý đặc biệt được mục tiêu thực hiện. Nếu IDPS “nhìn thấy” được hoạt động giống như cách mà thực thể đích sẽ làm, thì kỹ thuật trốn tránh nói chung là không thành công trong việc che giấu tấn công.
Như trình bày trên đây, hoạt động phản ứng của IDPS (cũng như IPS) tập trung vào chính sách ngăn chặn xâm nhập cho nên các kỹ thuật phát hiện và ngăn chặn xâm nhập tập trung chủ yếu vào giai đoạn phát hiện xâm nhập. Như đề cập ở đầu chương, thông qua lượng bài báo công bố, kỹ thuật phát hiện xâm nhập có phần quan trọng đặc biệt trong phát hiện và ngăn chặn xâm nhập. Do đó, nội dung còn lại của chương này tập trong vào các chủ đề liên quan tới phát hiện xâm nhập.
2.2 Kỹ thuật phát hiện xâm nhập dựa trên bất thườngCác kỹ thuật phát hiện xâm nhập dựa trên bất thường bao gồm ba nhóm chính là dựa Các kỹ thuật phát hiện xâm nhập dựa trên bất thường bao gồm ba nhóm chính là dựa trên thống kê, dựa trên tri thức, và dựa trên học máy.
2.2.1 Kỹ thuật phát hiện xâm nhập dựa trên thống kê
IDS dựa trên số liệu thống kê xây dựng một mô hình phân phối cho hồ sơ hành vi bình thường (normal behaviour profile), sau đó phát hiện các sự kiện có xác suất thấp và gắn cờ chúng là xâm nhập tiềm ẩn. Phát hiện xâm nhập dựa trên một số chỉ số thống kê cơ bản như trung vị (median), trung bình (mean), mốt (mode) và độ lệch chuẩn của các gói tin. Thay vì kiểm tra lưu lượng dữ liệu, mỗi gói được khảo sát và cho biểu diễn chỉ dấu luồng. IDS thống kê xác định bất kỳ loại khác biệt nào trong hành vi hiện tại so với hành vi bình thường. Các mô hình thống kê thông dụng là đơn biến (univariate), đa biến (multi-variate) và chuỗi thời gian (time series).
• Mô hình đơn biến sử dụng hồ sơ “không xâm nhập” thống kê cho chỉ một đô đo hành vi (một biến) của hệ thống máy tính, tìm kiếm “bất thường” theo từng chỉ số thống kê riêng rẽ.
• Mô hình đa biến dựa trên quan hệ giữa hai hay nhiều độ đo để hiểu quan hệ giữa các biến này. Kết quả thực nghiệm cho biết tương quan giữa các biến phân biệt các tính huống tấn công với “không tấn công” tốt hơn so với khi sử dung mô hình đơn biến thì tiềm nang mô hình đa biến tốt hơn mô hình đa biến.
• Mô hình chuỗi thời gian xem xét các gói quan sát trong một khoảng thời gian (thay vì quan sát từng gói riêng). Một quan sát là bất thường nếu xác suất xuất nó tại thời điểm xem xét là quá thấp. Kỹ thuật mô phỏng thường được sử dụng trong mô hình này.
2.2.2 Kỹ thuật phát hiện xâm nhập dựa trên tri thức
Kỹ thuật phát hiện xâm nhập dựa trên tri thức còn được gọi là kỹ thuật hệ chuyên gia (expert system). Kỹ thuật này đòi hỏi tạo một cơ sở tri thức về hồ sơ lưu lượng truy cập hợp pháp, khi một hành động là khác với hồ sơ lưu lượng hợp pháp thì được coi là xâm nhập. Mô hình hồ sơ chuẩn thường được tạo ra dựa theo tri thức con người (hệ chuyên gia hướng mô hình) và tập các luật xác định được hoạt động hệ thống bình thường đựa xây dựng dựa trên sử dụng máy trạng thái hữu hạn hoặc ngôn ngữ mô tả (Description Language) hoặc hệ chuyên gia. Kỹ thuật phát hiện xâm nhập dựa trên chỉ dấu được coi một kỹ thuật phát hiện xâm nhập dựa trên tri thức ở mức đơn giản. Máy trạng thái hữu hạn được sử dụng để biểu diễn và giám sát dòng luồng thực thi để tạo ra một mô hình phát hiện xâm nhập thông qua ba thành phần trạng thái, chuyển và hành động. Máy trạng thái hữu hạn đại diện có hành vi hợp pháp của hệ thống mà bất kỳ sai lệch quan sát được đêu được coi là tấn công. Ngôn ngữ mô tả định nghĩa cú pháp của các luật (n-gram hoặc UML) được dùng để định nghĩa đặc điểm của các luật của hành động xâm nhập. Các luật trong hệ chuyên gia là kết quả cộng tác của kỹ sư tri thức và chuyên gia miền.
2.2.3 Kỹ thuật phát hiện xâm nhập dựa trên học máy
Các kiểu kỹ thuật phát hiện xâm nhập dựa trên học máy Kỹ thuật phát hiện xâm nhập dựa trên học máy, được dùng trong phát hiện xâm nhập dựa trên bất thường, là rất đa dạng và phong phú với xu thế ngày càng phát triển, đặc biệt là lớp các kỹ thuật dựa trên mạng nơ-ron học sâu (Báo cáo dành một mục riêng về kỹ thuật áp dụng học sâu vào phát hiện xâm nhập) như mô tả sơ bộ trên Hình 2.6.