CHƯƠNG 2. ỨNG DỤNG SO KHỚP MẪU TRONG QUÁ TRÌNH PHÁT HIỆN XÂM NHẬP MẠNG
2.1.4. Một số nghiên cứu liên quan đến hệ thống phát hiện xâm nhập
So với các lĩnh vực nghiên cứu khác, hệ thống phát hiện xâm nhập mạng là một lĩnh vực còn mới. Tuy nhiên, do tính chất tối quan trọng, nó đã thu hút được rất nhiều sự quan tâm của cộng đồng nghiên cứu về an toàn mạng. Mật độ nghiên cứu về chủ đề này liên tục tăng cao và hàng ngày các nhà nghiên cứu đang tham gia nhiều hơn vì các mối đe dọa mới hoặc tấn công mạng không chỉ là khả năng mà nó có thể xảy ra bất cứ lúc nào. Xu hướng hiện nay cho việc phát triển IDS có thể khác một hệ thống bảo vệ
trong thực tế, nhưng nó phải đảm bảo ý tưởng chính là để làm hệ thống có thể phát hiện các cuộc tấn công hoặc kỹ thuật xâm nhập mới.
Vấn đề quan tâm chính là đảm bảo trong trường hợp có nguy cơ xâm nhập, hệ thống có thể (i) phát hiện, theo chức năng của mô đun phát hiện; (ii) và ra các báo cáo theo chức năng của mô đun báo cáo. Sau khi phát hiện là đáng tin cậy, bước tiếp theo sẽ là để bảo vệ mạng theo chức năng của mô đun phản ứng. Tuy nhiên, không có một hệ thống IDS nào hiện nay đang ở một mức độ hoàn toàn đáng tin cậy. Các nhà nghiên cứu đồng thời tham gia vào cả hai hoạt động (i) phát hiện; (ii) phản ứng, bên trong hệ thống. Vấn đề chính của hệ thống IDS là phải bảo đảm việc phát hiện xâm nhập nhưng điều này là rất khó chính xác với tỷ lệ chấp nhận cao. Đây là lý do mà hệ thống IDS thường được sử dụng cùng với một chuyên gia. Trong cách này, IDS là hệ thống trợ giúp các chuyên gia an ninh mạng phát hiện các xâm nhập trái phép bởi vì hệ thống IDS rất khó để tự thay đổi mô hình để việc phát hiện các cuộc tấn công mới. Mặc dù thế hệ mới nhất của kỹ thuật phát hiện đã được cải thiện đáng kể tỷ lệ phát hiện xâm nhập, vẫn còn là một chặng đường dài để phát triển.
Có hai phương pháp chính để phát hiện xâm nhập mạng: dựa trên trên dấu hiệu đặc trưng và dựa trên dấu hiệu bất thường. Trong cách tiếp cận đầu tiên, mô hình tấn công hay hành vi của kẻ xâm nhập được mô hình hóa. Ở đây, hệ thống sẽ báo hiệu xâm nhập xảy ra mỗi khi một phép so khớp trùng nhau được xác định.
Trong cách tiếp cận thứ hai, hành vi bình thường của mạng là được mô hình hóa.
Trong cách tiếp cận này, hệ thống sẽ đưa ra các cảnh bảo khi hành vi mạng không phù hợp với bình thường.
Việc có một kẻ xâm nhập vào hệ thống mà không phát hiện ra là điều tồi tệ nhất cho bất kỳ người phụ trách an ninh mạng. Vì các công nghệ phát hiện xâm nhập hiện tại không đủ chính xác để cung cấp việc phát hiện xâm nhập đáng tin cậy, phương pháp phỏng đoán có thể là một giải pháp. Để thu thập được các mẫu tấn công, người ta quản trị thường tạo ra các bẫy tựa như các bình mật dùng làm mồi cho các con ong để bẫy kẻ tấn công xâm nhập vào. Phương pháp này có thể cài đặt trên bất kỳ hệ thống và hành động như cái bẫy hoặc mồi cho kẻ tấn công nhằm thu thập các mẫu tấn công.
Một vấn đề chính nữa của lĩnh vực này đó là tốc độ phát hiện. Dữ liệu và thông tin trong mạng máy tính được thay đổi liên tục. Do đó, phát hiện xâm nhập phải chính
xác, kịp thời, và hệ thống phải hoạt động trong thời gian thực. Hoạt động trong thời gian thực không chỉ là phát hiện trong thời gian thực, nhưng là để thích ứng với các sự thay đổi mới trong mạng. Hệ thống IDS hoạt động thời gian thực là một lĩnh vực nghiên cứu được quan tâm của nhiều nhà nghiên cứu. Hầu hết các công trình nghiên cứu là nhằm mục đích giới thiệu các các phương pháp có hiệu quả về thời gian phù hợp với thời gian thực hiện.
Từ một góc độ khác nhau, hai cách tiếp cận có thể nhìn thấy trong việc triển khai một IDS. Trong phân loại này, IDS có thể là đặt trên máy tính, hoặc đặt trên mạng. Trong IDS trên trạm chủ, hệ thống sẽ chỉ bảo vệ các máy tính cục bộ. Mặt khác, trong IDS trên mạng, quá trình phát hiện được triển khai trên mạng theo một cách nào nó và hệ thống sẽ bảo vệ mạng như một thực thể. Trong kiến trúc này IDS có thể kiểm soát hay giám sát các tường lửa, thiết bị định tuyến mạng hoặc chuyển mạng cũng như các máy trạm.
Các nhà nghiên cứu đã quan tâm đến các cách tiếp cận khác nhau hoặc kết hợp các phương pháp khác nhau để giải quyết các vấn đề này. Mỗi phương pháp đều có lý thuyết và suy đoán riêng của mình. Lý do là không có mô hình hành vi chính xác cho người sử dụng hợp pháp, kẻ đột nhập hoặc mạng riêng.
2.1.4.2. Tiếp cận dựa vào trí tuệ nhân tạo
Ứng dụng của trí tuệ nhân tạo được sử dụng rộng rãi cho mục đích phát hiện xâm nhập. Các nhà nghiên cứu đã đề xuất một số phương pháp tiếp cận trong vấn đề này. Barbara và các cộng sự [27][28], sử dụng luật kết hợp để xây dựng hệ thống testbed cho việc phát hiện thâm nhập mạng. Yoshida [39] đề xuất việc phát hiện xâm nhập mạng dựa trên và Lee cùng các cộng sự [36] đề xuất mô hình phát hiện xâm nhập mạng dựa trên khai phá các dữ liệu kiểm toán hệ thống (Audit). Một số nhà nghiên cứu khác đã đề xuất áp dụng khái niệm logic mờ vào các vấn đề phát hiện xâm nhập [29], [30] [33]. Gomez và các cộng sự [41] đã kết hợp logic mờ, thuật toán di truyền và luật kết hợp để phát triển hệ thống phát hiện xâm nhập mạng. S.B. Cho [32] kết hợp logic mờ và mô hình Markov ẩn với nhau để phát hiện sự xâm nhập. Trong phương pháp này HMM được sử dụng để giảm số chiều của không gian đặc trưng.
Một số nhà nghiên cứu đã cố gắng sử dụng phương pháp Bayes để giải quyết vấn đề phát hiện xâm nhập. Ý tưởng chính đằng sau phương pháp này là tính năng độc
đáo của phương pháp Bayes. Đối với một kết quả nhất định, bằng cách sử dụng phương pháp tính toán xác suất Bayes có thể di chuyển ngược thời gian và tìm ra nguyên nhân của sự kiện. Tính năng này rất phù hợp cho việc tìm kiếm lý do cho một sự bất thường đặc biệt trong hành vi mạng. Sử dụng thuật toán Bayes, hệ thống bằng cách nào đó có thể quay trở lại và tìm ra nguyên nhân cho các sự kiện. Tiếp cận theo hướng này là các công trình được công bố bởi Barbara và các cộng sự [28] và Bilodeau cùng các đồng nghiệp, Bulatovic cùng các đồng nghiệp [31].
Mặc dù sử dụng Bayes để phát hiện xâm nhập hoặc dự báo hành vi xâm nhập có thể rất hấp dẫn, tuy nhiên, có một số vấn đề mà người ta phải quan tâm đến chúng.
Vì độ chính xác của phương pháp này phụ thuộc vào giả định nào đó, khoảng cách với những giả định sẽ làm giảm độ chính xác. Thông thường, những giả định này dựa trên các mô hình hành vi của hệ thống đích. Lựa chọn một mô hình không chính xác có thể dẫn đến một hệ thống phát hiện không chính xác. Vì vậy, lựa chọn một mô hình chính xác là bước đầu tiên hướng tới việc giải quyết các vấn đề. Thực tế cho thấy do sự phức tạp của mô hình hành vi của hệ thống, đây là một nhiệm vụ rất khó khăn.
Nhóm nghiên cứu như Zanero cùng cộng sự [40], Kayacik cùng cộng sự [35] và Lei cùng các cộng sự [38] đã sự dụng mạng nơ ron nhân tạo. Trong việc làm này, các nhà nghiên cứu đã phải vượt qua sự khó khăn về số chiều và đã đưa ra một mô hình thích hợp gọi là bản đồ đặc trưng tự tổ chức Kohonen, SOM. Sau đó nhóm của Hu [34] đã tiến cách tiếp cận SOM bằng việc sử dụng máy học véc tơ. Mục tiêu chính của việc sử dụng mạng nơ ron nhân tạo là cung cấp một phương pháp phân loại không giám sát để vượt qua số chiều nhiều đối với số lượng lớn các tính năng đầu vào. Vì một hệ thống rất phức tạp và tính năng đầu vào là rất nhiều, phân nhóm các sự kiện có thể là một nhiệm vụ rất tốn thời gian. Sử dụng phương pháp PCA hoặc SVD có thể được sử dụng thay thế [26]. Tuy nhiên, nếu không sử dụng đúng cách cả hai phương pháp, thuật toán có thể phải tính toán rất lớn. Thêm nữa, giảm số lượng các tính năng này sẽ dẫn đến một mô hình kém chính xác hơn và do đó nó sẽ làm giảm tỷ lệ phát hiện xâm nhập.
Trong bài toán phát hiện xâm nhập mạng máy tính, kích thước của không gian đặc trưng rõ ràng là rất lớn. Khi kích thước của không gian đặc trưng được nhân với số lượng mẫu trong không gian đặc trưng, kết quả chắc chắn sẽ là một số lượng rất rất
lớn. Đây là lý do tại sao một số nhà nghiên cứu, hoặc chọn một cửa sổ thời gian lấy mẫu nhỏ hoặc giảm số chiều của không gian đặc trưng. Vì thời gian xử lý là một yếu tố quan trọng trong việc phát hiện kịp thời các trường hợp xâm nhập, hiệu quả của các thuật toán triển khai là rất quan trọng. Thời gian hạn chế đôi khi có thể buộc chúng ta phải giảm bớt một số tính năng ít quan trọng, tức giảm chiều. Tuy nhiên, phương pháp cắt tỉa không phải là luôn luôn có thể thực hiện. Trong việc triển khai các phương pháp khai phá dữ liệu, một số nhà nghiên cứu đã đề xuất phương pháp tiếp cận giảm dữ liệu bằng việc nén dữ liệu để giải quyết vấn đề số chiều lớn. Tạo ra các luật kết hợp đã được đề xuất bởi nhóm của tác giả Lee [36] là giải pháp để giảm kích thước của dữ liệu đầu vào, theo tiếp cận dựa trên luật.
2.1.4.3. Tiếp cận so khớp mẫu
Các thuật toán so khớp đa mẫu là trái tim của nhiều hệ thống IDS tiếp cận theo phương pháp dựa trên dấu hiệu đặc trưng. Chúng cho phép các công cụ nhanh chóng tìm kiếm nhiều mẫu cùng một lúc trong đầu vào của hệ thống IDS. Rất nhiều các thuật toán so khớp đã được cài đặt trong hệ thống Snort [19]. Tuy nhiên, các thuật toán này vẫn tồn tài một số vấn đề như hiệu năng giảm và tiêu tốn nhiều thời gian thực hiện khi số lượng các mẫu tăng lên. Do vậy, việc nghiên cứu cải tiến hay đề xuất các thuật toán so khớp mới đáp ứng việc so khớp đồng thời nhiều mẫu trong các hệ thống phát hiện xâm nhập là một nhu cầu cấp thiết và đây là mục tiêu thứ nhất của luận án này và được trình bày chi tiết trong phần tiếp theo.