HIDS thường phân tích các thành phần chính sau: - Các tiến trình;
- Các lối vào đăng nhập; - Mức độ sử dụng CPU;
- Kiểm tra tính tồn vẹn và truy cập trên tệp hệ thống; - Một vài thơng số khác.
Các thơng số này vượt qua một ngưỡng định trước hoặc thay đổi khả nghi trên hệ thống sẽ gây ra cảnh báo.
Trên đây đã giới thiệu khái quát về hệ thống IDS, phần tiếp theo sẽ trình bày cụ thể một hệ thống phát hiện xâm nhập đang được sử dụng rộng rãi trong thực tế cũng như nghiên cứu.
2.1.3.3. Hệ thớng phát hiện xâm nhập Snort
Snort [4] là một phần mềm dạng IDS được Martin Roesh phát triển dưới mơ hình mã nguồn mở cĩ chức năng ngăn chặn và phát hiện xâm nhập mạng dựa trên những dấu hiệu đã được thiết lập sẵn, hệ thống sẽ kết hợp dấu hiệu của các chữ ký, giao thức và sự bất thường dựa trên các phương pháp kiểm tra. Khi chạy, Snort sẽ trả về kết quả dưới dạng nhật ký hoặc cảnh báo và được lưu trữ nhờ sử dụng hệ quản trị cơ sở dữ liệu MySQL, PostgreSQL, MSQL hoặc Oracle. Tuy Snort miễn phí nhưng nĩ lại cĩ rất nhiều tính năng đặc biệt mà khơng phải sản phẩm thương mại nào cũng cĩ thể cĩ được. Với kiến trúc thiết kế theo kiểu mơ đun, người dùng cĩ thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các mơ đun. Snort cĩ thể chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS. Bên cạnh việc cĩ thể hoạt động như một ứng dụng thu bắt gĩi tin thơng thường, Snort cịn cĩ thể được cấu hình để chạy như một NIDS. Snort hỗ trợ khả năng hoạt động trên các giao thức sau: Ethernet, 802.11, Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD.
Snort là một hệ thống ngăn chặn xâm nhập và phát hiện xâm nhập kết hợp những lợi ích của dấu hiệu, giao thức và dấu hiệu bất thường. Snort là đã được triển khai rộng rãi trên tồn thế giới. Snort là một ứng dụng bảo mật hiện đại với các chức năng chính phục vụ như một bộ phận lắng nghe gĩi tin, lưu lại thơng tin gĩi tin và phát hiện xâm nhập mạng. Bên cạnh đĩ cĩ rất nhiều tính năng cho Snort để quản lý, tức ghi truy cập, quản lý, tạo các luật,… Tuy khơng phải là phần lõi của Snort nhưng các thành phần này đĩng vai trị quan trọng trong việc sử dụng cũng như khai thác các tính năng của Snort. Thơng thường, Snort chỉ phân tích và cảnh báo trên giao thức TCP/IP do giao thức này là giao thức của Internet. Mặc dù vậy, với các phần tùy chỉnh mở rộng, Snort cĩ thể thực hiện để hỗ trợ các giao thức mạng khác, chẳng hạn như Novell’s IPX.
Kiến trúc của Snort: Snort bao gồm nhiều thành phần (mơ đun), với mỗi mơ
- Giải mã gĩi tin; - Tiền xử lý; - Phát hiện;
- Truy cập và cảnh báo; - Kết xuất thơng tin.
Kiến trúc của Snort được mơ tả trong hình sau:
Kiến trúc hệ thống SNORT
Giải mã
gĩi tin Tiền xử lý Phát hiện Log &
Cảnh báo Tập luật Cơ sở dữ liệu cảnh báo `1 Cảnh báo Thu nhận và nắm bắt các gĩi tin Hình 2.4. Kiến trúc hệ thống Snort
Khi Snort hoạt động nĩ sẽ thực hiện việc lắng nghe và thu bắt tất cả các gĩi tin nào di chuyển qua nĩ. Các gĩi tin sau khi “bị bắt” được đưa vào mơ đun “giải mã gĩi tin”. Tiếp theo gĩi tin sẽ được đưa vào mơ đun “tiền xử lý”, rồi chuyển sang mơ đun “phát hiện”. Tại đây tùy theo việc cĩ phát hiện được xâm nhập hay khơng mà gĩi tin cĩ thể được bỏ qua để lưu thơng tiếp hoặc được đưa vào mơ đun “log và cảnh báo” để xử lý. Khi các cảnh báo được xác định, mơ đun “kết xuất thơng tin” sẽ thực hiện việc đưa cảnh báo ra theo đúng định dạng mong muốn. Sau đây ta sẽ đi sâu vào chi tiết hơn về cơ chế hoạt động và chức năng của từng thành phần.
2.1.4. Một số nghiên cứu liên quan đến hệ thống phát hiện xâm nhập
2.1.4.1. Giới thiệu
So với các lĩnh vực nghiên cứu khác, hệ thống phát hiện xâm nhập mạng là một lĩnh vực cịn mới. Tuy nhiên, do tính chất tối quan trọng, nĩ đã thu hút được rất nhiều sự quan tâm của cộng đồng nghiên cứu về an tồn mạng. Mật độ nghiên cứu về chủ đề này liên tục tăng cao và hàng ngày các nhà nghiên cứu đang tham gia nhiều hơn vì các mối đe dọa mới hoặc tấn cơng mạng khơng chỉ là khả năng mà nĩ cĩ thể xảy ra bất cứ lúc nào. Xu hướng hiện nay cho việc phát triển IDS cĩ thể khác một hệ thống bảo vệ
trong thực tế, nhưng nĩ phải đảm bảo ý tưởng chính là để làm hệ thống cĩ thể phát hiện các cuộc tấn cơng hoặc kỹ thuật xâm nhập mới.
Vấn đề quan tâm chính là đảm bảo trong trường hợp cĩ nguy cơ xâm nhập, hệ thống cĩ thể (i) phát hiện, theo chức năng của mơ đun phát hiện; (ii) và ra các báo cáo theo chức năng của mơ đun báo cáo. Sau khi phát hiện là đáng tin cậy, bước tiếp theo sẽ là để bảo vệ mạng theo chức năng của mơ đun phản ứng. Tuy nhiên, khơng cĩ một hệ thống IDS nào hiện nay đang ở một mức độ hồn tồn đáng tin cậy. Các nhà nghiên cứu đồng thời tham gia vào cả hai hoạt động (i) phát hiện; (ii) phản ứng, bên trong hệ thống. Vấn đề chính của hệ thống IDS là phải bảo đảm việc phát hiện xâm nhập nhưng điều này là rất khĩ chính xác với tỷ lệ chấp nhận cao. Đây là lý do mà hệ thống IDS thường được sử dụng cùng với một chuyên gia. Trong cách này, IDS là hệ thống trợ giúp các chuyên gia an ninh mạng phát hiện các xâm nhập trái phép bởi vì hệ thống IDS rất khĩ để tự thay đổi mơ hình để việc phát hiện các cuộc tấn cơng mới. Mặc dù thế hệ mới nhất của kỹ thuật phát hiện đã được cải thiện đáng kể tỷ lệ phát hiện xâm nhập, vẫn cịn là một chặng đường dài để phát triển.
Cĩ hai phương pháp chính để phát hiện xâm nhập mạng: dựa trên trên dấu hiệu đặc trưng và dựa trên dấu hiệu bất thường. Trong cách tiếp cận đầu tiên, mơ hình tấn cơng hay hành vi của kẻ xâm nhập được mơ hình hĩa. Ở đây, hệ thống sẽ báo hiệu xâm nhập xảy ra mỗi khi một phép so khớp trùng nhau được xác định. Trong cách tiếp cận thứ hai, hành vi bình thường của mạng là được mơ hình hĩa. Trong cách tiếp cận này, hệ thống sẽ đưa ra các cảnh bảo khi hành vi mạng khơng phù hợp với bình thường.
Việc cĩ một kẻ xâm nhập vào hệ thống mà khơng phát hiện ra là điều tồi tệ nhất cho bất kỳ người phụ trách an ninh mạng. Vì các cơng nghệ phát hiện xâm nhập hiện tại khơng đủ chính xác để cung cấp việc phát hiện xâm nhập đáng tin cậy, phương pháp phỏng đốn cĩ thể là một giải pháp. Để thu thập được các mẫu tấn cơng, người ta quản trị thường tạo ra các bẫy tựa như các bình mật dùng làm mồi cho các con ong để bẫy kẻ tấn cơng xâm nhập vào. Phương pháp này cĩ thể cài đặt trên bất kỳ hệ thống và hành động như cái bẫy hoặc mồi cho kẻ tấn cơng nhằm thu thập các mẫu tấn cơng.
Một vấn đề chính nữa của lĩnh vực này đĩ là tốc độ phát hiện. Dữ liệu và thơng tin trong mạng máy tính được thay đổi liên tục. Do đĩ, phát hiện xâm nhập phải chính
xác, kịp thời, và hệ thống phải hoạt động trong thời gian thực. Hoạt động trong thời gian thực khơng chỉ là phát hiện trong thời gian thực, nhưng là để thích ứng với các sự thay đổi mới trong mạng. Hệ thống IDS hoạt động thời gian thực là một lĩnh vực nghiên cứu được quan tâm của nhiều nhà nghiên cứu. Hầu hết các cơng trình nghiên cứu là nhằm mục đích giới thiệu các các phương pháp cĩ hiệu quả về thời gian phù hợp với thời gian thực hiện.
Từ một gĩc độ khác nhau, hai cách tiếp cận cĩ thể nhìn thấy trong việc triển khai một IDS. Trong phân loại này, IDS cĩ thể là đặt trên máy tính, hoặc đặt trên mạng. Trong IDS trên trạm chủ, hệ thống sẽ chỉ bảo vệ các máy tính cục bộ. Mặt khác, trong IDS trên mạng, quá trình phát hiện được triển khai trên mạng theo một cách nào nĩ và hệ thống sẽ bảo vệ mạng như một thực thể. Trong kiến trúc này IDS cĩ thể kiểm sốt hay giám sát các tường lửa, thiết bị định tuyến mạng hoặc chuyển mạng cũng như các máy trạm.
Các nhà nghiên cứu đã quan tâm đến các cách tiếp cận khác nhau hoặc kết hợp các phương pháp khác nhau để giải quyết các vấn đề này. Mỗi phương pháp đều cĩ lý thuyết và suy đốn riêng của mình. Lý do là khơng cĩ mơ hình hành vi chính xác cho người sử dụng hợp pháp, kẻ đột nhập hoặc mạng riêng.
2.1.4.2. Tiếp cận dựa vào trí tuệ nhân tạo
Ứng dụng của trí tuệ nhân tạo được sử dụng rộng rãi cho mục đích phát hiện xâm nhập. Các nhà nghiên cứu đã đề xuất một số phương pháp tiếp cận trong vấn đề này. Barbara và các cộng sự [27][28], sử dụng luật kết hợp để xây dựng hệ thống testbed cho việc phát hiện thâm nhập mạng. Yoshida [39] đề xuất việc phát hiện xâm nhập mạng dựa trên và Lee cùng các cộng sự [36] đề xuất mơ hình phát hiện xâm nhập mạng dựa trên khai phá các dữ liệu kiểm tốn hệ thống (Audit). Một số nhà nghiên cứu khác đã đề xuất áp dụng khái niệm logic mờ vào các vấn đề phát hiện xâm nhập [29], [30] [33]. Gomez và các cộng sự [41] đã kết hợp logic mờ, thuật tốn di truyền và luật kết hợp để phát triển hệ thống phát hiện xâm nhập mạng. S.B. Cho [32] kết hợp logic mờ và mơ hình Markov ẩn với nhau để phát hiện sự xâm nhập. Trong phương pháp này HMM được sử dụng để giảm số chiều của khơng gian đặc trưng.
Một số nhà nghiên cứu đã cố gắng sử dụng phương pháp Bayes để giải quyết vấn đề phát hiện xâm nhập. Ý tưởng chính đằng sau phương pháp này là tính năng độc
đáo của phương pháp Bayes. Đối với một kết quả nhất định, bằng cách sử dụng phương pháp tính tốn xác suất Bayes cĩ thể di chuyển ngược thời gian và tìm ra nguyên nhân của sự kiện. Tính năng này rất phù hợp cho việc tìm kiếm lý do cho một sự bất thường đặc biệt trong hành vi mạng. Sử dụng thuật tốn Bayes, hệ thống bằng cách nào đĩ cĩ thể quay trở lại và tìm ra nguyên nhân cho các sự kiện. Tiếp cận theo hướng này là các cơng trình được cơng bố bởi Barbara và các cộng sự [28] và Bilodeau cùng các đồng nghiệp, Bulatovic cùng các đồng nghiệp [31].
Mặc dù sử dụng Bayes để phát hiện xâm nhập hoặc dự báo hành vi xâm nhập cĩ thể rất hấp dẫn, tuy nhiên, cĩ một số vấn đề mà người ta phải quan tâm đến chúng. Vì độ chính xác của phương pháp này phụ thuộc vào giả định nào đĩ, khoảng cách với những giả định sẽ làm giảm độ chính xác. Thơng thường, những giả định này dựa trên các mơ hình hành vi của hệ thống đích. Lựa chọn một mơ hình khơng chính xác cĩ thể dẫn đến một hệ thống phát hiện khơng chính xác. Vì vậy, lựa chọn một mơ hình chính xác là bước đầu tiên hướng tới việc giải quyết các vấn đề. Thực tế cho thấy do sự phức tạp của mơ hình hành vi của hệ thống, đây là một nhiệm vụ rất khĩ khăn.
Nhĩm nghiên cứu như Zanero cùng cộng sự [40], Kayacik cùng cộng sự [35] và Lei cùng các cộng sự [38] đã sự dụng mạng nơ ron nhân tạo. Trong việc làm này, các nhà nghiên cứu đã phải vượt qua sự khĩ khăn về số chiều và đã đưa ra một mơ hình thích hợp gọi là bản đồ đặc trưng tự tổ chức Kohonen, SOM. Sau đĩ nhĩm của Hu [34] đã tiến cách tiếp cận SOM bằng việc sử dụng máy học véc tơ. Mục tiêu chính của việc sử dụng mạng nơ ron nhân tạo là cung cấp một phương pháp phân loại khơng giám sát để vượt qua số chiều nhiều đối với số lượng lớn các tính năng đầu vào. Vì một hệ thống rất phức tạp và tính năng đầu vào là rất nhiều, phân nhĩm các sự kiện cĩ thể là một nhiệm vụ rất tốn thời gian. Sử dụng phương pháp PCA hoặc SVD cĩ thể được sử dụng thay thế [26]. Tuy nhiên, nếu khơng sử dụng đúng cách cả hai phương pháp, thuật tốn cĩ thể phải tính tốn rất lớn. Thêm nữa, giảm số lượng các tính năng này sẽ dẫn đến một mơ hình kém chính xác hơn và do đĩ nĩ sẽ làm giảm tỷ lệ phát hiện xâm nhập.
Trong bài tốn phát hiện xâm nhập mạng máy tính, kích thước của khơng gian đặc trưng rõ ràng là rất lớn. Khi kích thước của khơng gian đặc trưng được nhân với số lượng mẫu trong khơng gian đặc trưng, kết quả chắc chắn sẽ là một số lượng rất rất
lớn. Đây là lý do tại sao một số nhà nghiên cứu, hoặc chọn một cửa sổ thời gian lấy mẫu nhỏ hoặc giảm số chiều của khơng gian đặc trưng. Vì thời gian xử lý là một yếu tố quan trọng trong việc phát hiện kịp thời các trường hợp xâm nhập, hiệu quả của các thuật tốn triển khai là rất quan trọng. Thời gian hạn chế đơi khi cĩ thể buộc chúng ta phải giảm bớt một số tính năng ít quan trọng, tức giảm chiều. Tuy nhiên, phương pháp cắt tỉa khơng phải là luơn luơn cĩ thể thực hiện. Trong việc triển khai các phương pháp khai phá dữ liệu, một số nhà nghiên cứu đã đề xuất phương pháp tiếp cận giảm dữ liệu bằng việc nén dữ liệu để giải quyết vấn đề số chiều lớn. Tạo ra các luật kết hợp đã được đề xuất bởi nhĩm của tác giả Lee [36] là giải pháp để giảm kích thước của dữ liệu đầu vào, theo tiếp cận dựa trên luật.
2.1.4.3. Tiếp cận so khớp mẫu
Các thuật tốn so khớp đa mẫu là trái tim của nhiều hệ thống IDS tiếp cận theo phương pháp dựa trên dấu hiệu đặc trưng. Chúng cho phép các cơng cụ nhanh chĩng tìm kiếm nhiều mẫu cùng một lúc trong đầu vào của hệ thống IDS. Rất nhiều các thuật tốn so khớp đã được cài đặt trong hệ thống Snort [19]. Tuy nhiên, các thuật tốn này vẫn tồn tài một số vấn đề như hiệu năng giảm và tiêu tốn nhiều thời gian thực hiện khi số lượng các mẫu tăng lên. Do vậy, việc nghiên cứu cải tiến hay đề xuất các thuật tốn so khớp mới đáp ứng việc so khớp đồng thời nhiều mẫu trong các hệ thống phát hiện xâm nhập là một nhu cầu cấp thiết và đây là mục tiêu thứ nhất của luận án này và được trình bày chi tiết trong phần tiếp theo.
2.2 Thuật tốn Aho-Corasick
Knuth, Morris và Pratt đưa ra thuật tốn KMP [7], [8] dựa trên tiếp cận tiền tố bằng cách khơng so sánh mẫu với lần lượt từng vị trí trong văn bản như trong thuật tốn Brute Force mà cĩ thể dịch chuyển mẫu sang phải văn bản một số vị trí do sử dụng những thơng tin của lần thử trước cho lần thử sau. Điều này được thực hiện như Hình 2.5 dưới đây.
Hình 2.5 Quá trình so sánh của thuật tốn KMP
Giả sử ta đang kiểm tra đến vị trí thứ j + i trên văn bản và đã cĩ i ký tự đầu của mẫu đã khớp với một đoạn u nào đĩ của văn bản x 0..i y j j.. i u. Nếu ký tự thứ i + 1 khơng khớp (tương ứng với vị trí thứ (j + i + 1) trong văn bản. Tức là
1 1
a x i y j i b thì ta khơng phải so sánh ký tự thứ nhất của mẫu với i - 1 ký tự tiếp theo trong văn bản. Ta dịch cửa sổ đi một số vị trí sao cho thỏa mãn v là
phần đầu của xâu x khớp với phần đuơi của xâu u trên văn bản. Hơn nữa ký tự c ở