Mô phát hiện bất thường, như minh họa trên hình 2.3, bao gồm bốn thành phần: Thu thập dữ liệu , hồ sơ hệ thống bình thường, phát hiện bất thường và thành phần phản hồi. Các hành động sử dụng hệ thống bình thường hay lưu lượng dữ liệu được thu thập và lưu lại bởi thành phần thu thập dữ liệu. Các kỹ thuật mơ hình cụ thể được sử dụng để tạo ra hồ sơ hệ thống bình thường. Thành phần phát hiện bất thường quyết định một hành vi được giám sát là bất thường thơng qua mức sai lệch của hành vi đó với các hành vi bình thường trong tập hồ sơ. Cuối cùng, các thành phần phản ứng báo cáo sự xâm nhập được phát hiện.
Ưu điểm chính của phương pháp dựa trên phát hiện bất thường là khả năng phát hiện các cuộc tấn cơng mới do nó khơng địi hỏi có hiểu biết về các dạng tấn cơng này. Tuy nhiên phương pháp này còn tồn tại một số hạn chế là tỷ lệ phát hiện sai thường khá cao do phương pháp này dựa trên giả định tấn công, xâm nhập đồng nghĩa với các bất thường. Trên thực tế, nhiều hành vi bất thường nhưng không phải
là hành vi tấn công. Hơn nữa, phương pháp này cũng gặp phải khó khăn trong việc thu thập dữ liệu để xây dựng hồ sơ các hành vị bình thường. Chẳng hạn, hồ sơ hành vi bình thường của người dùng được xây dựng dựa trên dữ liệu thu thập được trong một khoảng thời gian hoạt động bình thường, những hoạt động xâm nhập khơng bị phát hiện trong thời gian này có thể được coi là hành vi bình thường. Điều này dẫn đến giảm tỷ lệ phát hiện đúng. Một vấn đề khác là kỹ thuật phát hiện bất thường khó có thể phát hiện các cuộc tấn cơng tàng hình, là một kiểu tấn công mà các hành vi tấn công ẩn trong số lượng lớn các hành vi bình thường.
Phương pháp phát hiện dựa trên sự bất thường được chia thành các kỹ thuật chính như sau: kỹ thuật mơ hình thống kê mở rộng, kỹ thuật dựa trên mơ hình luật, kỹ thuật dựa trên mơ hình sinh học và kỹ thuật dựa trên mơ hình học.
2.4.2.1. Kỹ thuật phát hiện dựa trên mơ hình thống kê mở rộng
Kỹ thuật phát hiện dựa trên phân tích thống kê được Denning [1] đề xuất bao gồm tám thành phần: Chủ thể, đối tượng, bản ghi kiểm tra, thống kê số liệu, mô hình thống kê , hồ sơ và mẫu hồ sơ, bản ghi bất thường và các quy tắc hành động. Một chủ thể có thể là một người dùng, một tiến trình, hoặc cả hệ thống. Các đối tượng có thể là các tập tin, chương trình và các thơng báo. Bản ghi kiểm tra đại diện cho một tập hợp các hành động thực hiện bởi các chủ thể lên các đối tượng. Khi một sự kiện tạo ra các hồ sơ kiểm tra, mơ hình thống kê kết hợp hồ sơ kiểm tra với hồ sơ lưu và sau đó đưa ra quyết định liên quan đến việc cập nhật hồ sơ, kiểm tra các hành vi bất thường và báo cáo các dị thường được phát hiện. Hồ sơ hoạt động bao gồm các biến đo lường khác nhau của hành vi hệ thống dựa trên số liệu thống kê được xác định trước. Ý tưởng của mơ hình phát hiện của Denning được cài đặt trong hệ thống phát hiện xâm nhập Haystack và NIDES.
2.4.2.2. Kỹ thuật phát hiện dựa trên tập luật
Các mơ hình phát hiện điển hình sử dụng kỹ thuật phát hiện bất thường dựa trên tập luật là Wisdom & Sense [1] và NSM (Network System Monitor) [1] . Wisdom & Sensor gồm hai thành phần: kho tri thức và bộ cảm biến. Kho tri thức là tập hợp các luật mô tả hành vi bình thường của hệ thống dựa trên dữ liệu huấn luyện. Khoảng 10.000 bản ghi thông tin về hành vi của mỗi người dùng được thu
thập để tạo ra các luật. Bộ cảm biến là một hệ chuyên gia phân tích hành vi người dùng dựa trên các luật của kho tri thức để phát hiện các hành vi vi phạm.
Mơ hình giám sát bảo mật mạng NSM (Network System Monitor ) là một hệ thống phát hiện xâm nhập dựa trên luật nhằm phát hiện các hành vi dị thường trên mạng. Đây là hệ thống phát hiện xâm nhập đầu tiên sử dụng nguồn dữ liệu là lưu
lượng mạng trực tiếp. Tất cả các lưu lượng mạng quảng bá trên mạng LAN được
giám sát bởi NSM. Hồ sơ lưu lượng mạng được tạo ra bằng cách tạo ra các vectơ kết nối từ dữ liệu mạng. Trong đó, các Vector chủ và các Vector kết nối là các đầu vào chính của hệ chuyên gia trong NSM. Hành vi xâm nhập được quyết định theo kết quả phân tích của hệ chuyên gia NSM.
2.4.2.3. Kỹ thuật dựa trên mơ hình sinh học
Một số mơ hình phát hiện bất thường dựa trên cơ sở nguyên tắc sinh học đã được đề xuất bởi Forrest [1] và cộng sự . Họ đã nghiên cứu sự giống nhau giữa khả năng tự miễn dịch (self) và không tự miễn dịch (nonself) trong hệ thống miễn dịch của con người với hệ thống phát hiện xâm nhập. Trong hệ thống của con người, các tế bào T được tạo ra trong tuyến giáp và sau đó một quá trình kiểm duyệt xảy ra. Nếu tế bào T liên kết với các protein hoặc peptide (tiểu đơn vị protein), thì sau đó chúng sẽ được chuyển giao bởi vì chúng ràng buộc với chính mình. Một số tế bào T khơng liên kết với các protein thì sẽ được giải phóng để theo dõi các vật chất từ bên ngoài đưa vào cơ thể. Một giả thuyết là những tế bào T liên kết với các vật chất bên ngồi sau đó sẽ được loại bỏ khỏi cơ thể con người.
Khi áp dụng các kỹ thuật self và noneself để phát hiện xâm nhập, các hành vi của hệ thống được xem như là một chuỗi. Chuỗi này được chia thành các chuỗi con chiều dài bằng nhau k. Self bao gồm 2 chuỗi có thể. Phần còn lại của chuỗi con 2 được gọi noneself . Noneself có chứa một số dãy phát hiện có chiều dài và không tồn tại trong bộ self. Trong thực tế thực hiện, hành vi hiện tại của hệ thống đầu tiên được chia thành các chuỗi chiều dài k và sau đó được định kỳ so với chuỗi phát hiện trong noneself . Nếu trùng với chuỗi phát hiện trong noneself thì đó có thể là một hành vi xâm nhập.
Mơ hình học tập [1] kết hợp với khả năng học tập trong quá trình phát hiện xâm nhập sử dụng các kỹ thuật học nhân tạo. Trong những năm gần đây, kỹ thuật học đã được sử dụng rộng rãi trong phát hiện bất thường kể từ khi kỹ thuật tự học có thể được sử dụng để tự động xây dựng hồ sơ các hành vi bình thường của đối tượng. Dựa trên việc phân loại kỹ thuật học, phát hiện bất thường theo hướng này cũng được chia thành hai loại: phát hiện bất thường khơng có giám sát và phát hiện bất thường có giám sát. Phát hiện bất thường có giám sát thiết lập các cấu hình bình
thường của hệ thống hoặc mạng thông qua huấn luyện dựa trên bộ dữ liệu đã gán
nhãn. Ngược lại, Phát hiện bất thường không giám sát thiết lập các cấu hình bình thường của hệ thống hoặc mạng thông qua huấn luyện dựa trên bộ dữ liệu chưa gán nhãn. Hạn chế chính của phát hiện bất thường có giám sát là nhu cầu cần có dữ liệu huấn luyện đã gán nhãn. Q trình gán nhãn dữ liệu thường phải thực hiện thủ công, thường dễ bị lỗi, tốn kém nhân công và thời gian, và rất khó để tìm thấy các cuộc tấn cơng mới. Phát hiện bất thường có giám sát giải quyết những vấn đề này bằng cách cho phép huấn luyện dựa trên bộ dữ liệu khơng có nhãn và do đó tạo điều kiện học tập trực tuyến và cải thiện độ chính xác.
2.4.3. Kỹ thuật phát hiện dựa trên đặc trưng
Phương pháp phát hiện dựa trên đặc trưng [1] không sử dụng phương pháp
phát hiện dựa trên sự lạm dụng hoặc dị thường mà sử dụng hệ thống hành vi đặc trưng để phát hiện các cuộc tấn cơng. Thay vì học hành vi hệ thống, trong hệ thống dựa trên đặc trưng kiến thức của các chuyên gia sẽ xác định các giới hạn hoạt động ( ngưỡng ) của một hệ thống. Khi một hành vi hệ thống là chuẩn được xác định, các sự kiện sai lệch so với đặc trưng hệ thống chuẩn sẽ tạo ra một cảnh báo.
Phương pháp phát hiện dựa trên đặc trưng tập trung vào xây dựng các hành vi đặc trưng dựa trên các quy tắc quyền tối thiểu. Một trình tự thực hiện thực hiện của đối tượng vi phạm các đặc trưng của một chương trình sẽ được coi như một cuộc tấn công. Về mặt lý thuyết, cách tiếp cận này có thể phát hiện các cuộc tấn cơng vơ hình. Tuy nhiên, xác định các hành vi của một số lượng các chương trình chạy trong mơi trường hệ điều hành thực là một nhiệm vụ rất khó khăn. Mặc dù lập trình logic quy nạp được sử dụng để tự động tổng hợp các đặc trưng của chương trình, nhưng việc xác nhận tính hợp lệ nghiêm ngặt của các đặc trưng chương trình
vẫn cịn là một vấn đề mở. Do đó, phương pháp phát hiện dựa trên đặc trưng chưa được áp dụng rộng rãi.
2.4.4. Kỹ thuật phát hiện lai
Các cơng trình nghiên cứu đầu tiên trên hệ thống phát hiện xâm nhập cho rằng khả năng phát hiện sự xâm nhập có thể được cải thiện thơng qua một cách tiếp cận lai là sự kết hợp của phương pháp phát hiện sự lạm dụng và phát hiện bất thường. Trong một hệ thống lai [1] như vậy, kỹ thuật phát hiện dựa trên dấu hiệu phát hiện các cuộc tấn công đã biết và kỹ thuật phát hiện dựa trên sự bất thường phát hiện tấn công mới, chưa được biết đến. Tombini[1] cùng đồng sự đã ứng dụng phương pháp phát hiện dựa trên sự bất thường để tạo ra một danh sách các đối tượng đáng ngờ. Sau đó, sử dụng cách tiếp cận phát hiện dựa trên dấu hiệu để phân loại những đối tượng nghi ngờ thành ba loại, cụ thể là báo động giả, các cuộc tấn công và các cuộc tấn công chưa biết. Phương pháp này dựa trên một giả định rằng một tỷ lệ phát hiện cao có thể đạt được khi các hành động xâm nhập không được phát hiện trong bước đầu sẽ được tìm thấy trong thành phần phát hiện bất thường tiếp theo. Ngoài ra, để hệ thống hoạt động tốt, giả định rằng thành phần phát hiện dựa trên dấu hiệu cũng có khả năng phát hiện báo động giả.
Thay vì kết hợp kỹ thuật phát hiện dựa trên dấu hiệu và kỹ thuật phát hiện dựa trên sự bất thường, một số hệ thống lai khác kết hợp nhiều hệ thống phát hiện bất thường theo một số tiêu chí phát hiện cụ thể. Mục tiêu chính của một hệ thống lai như vậy là để giảm số lượng các cảnh báo sai được tạo ra bởi các phương pháp phát hiện bất thường hiện nay và đồng thời giữ tỷ lệ phát hiện đúng ở mức chấp nhận được.
2.5. Kết chương
Chương 2 đã trình bày về kiến trúc hệ thống của hệ thống phát hiện xâm
nhập IDS, các kỹ thuật thu thập dữ liệu và tiền xử lý, các kỹ thuật phát hiện tấn công cùng các ưu điểm và nhược điểm của từng phương pháp. Kỹ thuật phát hiện dựa trên các dấu hiệu hoặc chữ ký chỉ phát hiện được các tấn công, xâm nhập đã được biết. Trong khi đó, kỹ thuật phát hiện dựa trên bất thường có thể phát hiện được các hành vi tấn công, xâm nhập mới, nhưng tỷ lệ phát hiện sai thường tương
đối cao. Do đó để xây dựng một hệ thống phát hiện xâm nhập người ta thường kết hợp các kỹ thuật hay sử dụng kỹ thuật phát hiện lai.
CHƯƠNG 3: XÂY DỰNG MƠ HÌNH ỨNG DỤNG DỰA
TRÊN SNORT
Chương này giới thiệu về Snort – một hệ thống phát hiện tấn công, đột nhập mạng mã mở được sử dụng rộng rãi và xây dựng mơ hình ứng dụng Snort cho phát hiện tấn công, đột nhập tại mạng của công ty PAMA.
3.1. Giới thiệu hệ thống phát hiện xâm nhập mạng Snort
3.1.1. Giới thiệu chung về Snort
Snort [9] là một NIDS được Martin Roesh phát triển dưới mơ hình mã nguồn mở. Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được. Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module. Cơ sở dữ liệu luật của Snort đã lên tới 2930 luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng. Snort có thể chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS.
Bên cạnh việc có thể hoạt động như một ứng dụng thu bắt gói tin thơng thường, Snort cịn có thể được cấu hình để chạy như một NIDS. Snort hỗ trợ khả năng hoạt động trên các giao thức sau: Ethernet, 802.11,Token Ring, FDDI, Cisco HDLC, SLIP, PPP, và PF của OpenBSD.
3.1.2. Kiến trúc và cơ chế hoạt động của Snort
Kiến trúc của Snort [9] được mơ tả trong hình 3.1, bao gồm nhiều thành phần, với mỗi thành phần có một chức năng riêng. Các phần chính đó là:
Mơđun giải mã gói tin (Packet Decoder)
Mơđun tiền xử lý (Preprocessors)
Môđun phát hiện (Detection Engine)
Môđun log và cảnh báo (Logging and Alerting System)