Tải bản đầy đủ (.pdf) (88 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Hệ thống phát hiện bất thường trong mạng sử dụng mạng nơron

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.37 MB, 88 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

VŨ THANH BÌNH

HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRONG
MẠNG SỬ DỤNG MẠNG NƠRON

Chuyên ngành: Công nghệ thông tin

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC:
TS. NGUYỄN LINH GIANG

HÀ NỘI - 2009


Lời cảm ơn
Trước hết tôi xin gửi lời cảm ơn đặc biệt nhất tới TS. Nguyễn Linh Giang, Bộ
môn Truyền Thông Mạng, Khoa Công nghệ thông tin, Trường Đại học Bách
Khoa Hà Nội, người đã định hướng đề tài và tận tình hướng dẫn chỉ bảo tơi
trong suốt q trình thực hiện luận văn cao học.
Tôi xin được gửi lời cảm ơn sâu sắc tới Trung tâm Đào tạo Sau đại học và các
thầy cô giáo trong Khoa Công nghệ thông tin, Trường Đại học Bách Khoa Hà
Nội đã tận tình giảng dạy và truyền đạt những kiến thức, những kinh nghiệm
quý báu trong suốt 2 năm học Cao học.
Cuối cùng tơi xin dành một tình cảm biết ơn tới gia đình và bạn bè, những
người đã ln ln ở bên cạnh tôi, động viên, chia sẻ cùng tôi trong suốt thời
gian học cao học cũng như quá trình thực hiện luận văn này.



Hà Nội, tháng 03 năm 2009
Vũ Thanh Bình

ii


Mục lục
Lời cảm ơn ....................................................................................................... ii
Mục lục ............................................................................................................ iii
Danh sách ký hiệu, từ viết tắt ......................................................................... v
Danh sách hình vẽ .......................................................................................... vi
Chương 1 Mở đầu ......................................................................................... 1
1. Bối cảnh nghiên cứu .................................................................................. 1
2. Nội dung nghiên cứu ................................................................................. 2
3. Cấu trúc luận văn ....................................................................................... 3
Chương 2 Tổng quan về Hệ thống phát hiện xâm nhập trái phép ............ 4
1. Khái quát về bảo mật hệ thống thông tin ................................................... 4
1.1 Các nguy cơ đe dọa ................................................................................................ 5
1.2 Các nguyên tắc bảo vệ hệ thống thông tin ........................................................... 9
1.3 Các biện pháp bảo vệ ........................................................................................... 10

2. Kỹ thuật phát hiện xâm nhập trái phép .................................................... 13
2.1 Thành phần .......................................................................................................... 13
2.2 Phân loại ............................................................................................................... 16
2.2.1 Host-based IDS ............................................................................................... 16
2.2.2 Network-based IDS......................................................................................... 17
2.2 Nguyên lý hoạt động ............................................................................................ 19
2.3 Chất lượng cảnh báo............................................................................................ 23
2.4 Phát hiện xâm nhập ............................................................................................. 25


3. Kết chương............................................................................................... 27
Chương 3 Hệ thống IDS dựa trên phát hiện bất thường ....................... 29
1. Định nghĩa Bất thường trong mạng ......................................................... 30
2. Kỹ thuật phát hiện Bất thường................................................................. 32
3. Ưu nhược điểm của Phát hiện bất thường ............................................... 33
4. Dữ liệu phát hiện bất thường ................................................................... 35
5. Các phương pháp phát hiện bất thường ................................................... 38
5.1 Xác suất thống kê ................................................................................................. 38
5.1.1 Haystack.......................................................................................................... 39
5.1.2 NIDES ............................................................................................................. 39
5.1.3 SPADE ............................................................................................................ 40
5.2 Máy trạng thái hữu hạn ...................................................................................... 43
5.3 Phát hiện bất thường bằng Mạng Nơ-ron ......................................................... 45
iii


5.4 Hệ chuyên gia ....................................................................................................... 47
5.5 Mạng Bayes .......................................................................................................... 48

6. Kết chương............................................................................................... 50
Chương 4 Phát hiện bất thường sử dụng mạng nơron FANN .............. 51
1. Giới thiệu về mạng nơron ........................................................................ 51
2. Ứng dụng mạng nơ-ron trong phát hiện bất thường ................................ 54
2.1 Hình thành bài tốn ............................................................................................. 54
2.2 Ứng dụng mạng nơ-ron FANN trong Phát hiện bất thường ........................... 56
2.2.1 Bộ phân loại nơ-ron thích ứng nhanh FANNC ............................................... 56
2.2.2 Kiến trúc mơ hình mạng FANNC ................................................................... 57
2.2.3 Tiến trình học của FANNC ............................................................................. 58


3. Mơ hình Hệ thống Phát hiện bất thường dựa trên mạng nơron .............. 63
3.1 Mơđun đọc gói tin ................................................................................................ 64
3.2 Mơđun thu nhận gói tin ....................................................................................... 64
3.3 Mơđun Trích chọn đặc trưng ............................................................................. 65
3.4 Môđun mạng nơ-ron FANNC ............................................................................. 68
3.5 Môđun điều phối và hiển thị ............................................................................... 68

4. So sánh và Đánh giá ................................................................................ 69
5. Kết chương............................................................................................... 72
Chương 5 Kết luận ...................................................................................... 73
5.1 Kết luận về luận văn .............................................................................. 73
5.2 Hướng nghiên cứu tiếp theo .................................................................. 74
Tài liệu tham khảo ........................................................................................ 76
Phụ lục ............................................................................................................ 79
Tấn công từ chối dịch vụ ............................................................................. 79

iv


Danh sách ký hiệu, từ viết tắt
Từ viết tắt

Tên đầy đủ

VPN

Virtual Private Network

IPSec


Internet Protocol Security

IPS

Intrusion Prevention System

HTTPS

Hypertext Transfer Protocol Secure

SNMP

Simple Network Management Protocol

DoS

Denial of Service

SSL

Secure Socket Layer

IDS

Intrusion Detection System

NIDS

Network-based Intrusion Detection System


HIDS

Host-based Intrusion Detection System

SOM

Self Organized Map

FSM

Finite States Machine

SPADE

Statistical Packet Anomaly Detection Engine

MINDS

Minnesota Intrusion Detection System

NN

Nearest Neighbor

BTTM

Bất thường trong mạng

LOF


Local Outlier Factor

KPDL

Khai phá dữ liệu

v


Danh sách hình vẽ
Hình

Nội dung

Hình 2.1

Thời gian có tấn cơng sau khi cơng bố lỗ hổng

Hình 2.2

Số lượng máy bị tấn cơng ngày càng tăng

Hình 2.3

Thời gian lây nhiễm trên 10.000 máy rút ngắn

Hình 2.4

Vai trị của IDS trong hệ thống bảo mật


Hình 2.5

Hệ thống phịng thủ theo chiều sâu

Hình 2.6

Thành phần của một hệ thống IDS

Hình 2.7

Hoạt động của IDS

Hình 2.8

Vị trí NIDS và HIDS trong hệ thống mạng

Hình 2.9

Nguyên lý hoạt động của một hệ thống IDS

Hình 2.10

IDS gửi TCP Reset

Hình 2.11

IDS yêu cầu Firewall tạm dừng dịch vụ

Hình 2.12


Ví dụ về đường cong ROC

Hình 2.13

IDS dựa trên dấu hiệu

Hình 2.14

Thêm luật vào IDS dựa trên dấu hiệu

Hình 3.1

IDS dựa trên Phát hiện bất thường

Hình 3.2

Hoạt động của IDS dựa trên phát hiện bất thường

Hình 3.3

Mơ hình cơ bản hệ thống Phát hiện xâm nhập bất thường
bằng thống kê xác suất

Hình 3.4

Mơ hình IDS sử dụng FSM

Hình 3.5

Hoạt động của IDS sử dụng FSM


Hình 3.6

IDS dựa trên SOM

Hình 3.7

Sơ đồ Mạng Bayes tổng quát

Hình 4.1

Hệ thống Phát hiện bất thường sử dụng mạng nơ-ron FANNC

vi


Vũ Thanh Bình

1

Cao học CNTT 2006-2008

Chương 1
Mở đầu
1. Bối cảnh nghiên cứu
Ngày nay, trên thế giới, công nghệ thông tin đóng một vai trị hết sức quan
trọng và khơng thể thiếu trong bất kỳ một lĩnh vực nào từ văn hóa, giáo dục,
tới đào tạo, sản xuất kinh doanh, quản lý. Cùng với những lợi ích vơ cùng to
lớn mà công nghệ thông tin mang lại, chúng ta cũng nhận thấy nguy cơ ngày
càng tăng của các hành vi trái phép, xâm phạm đến hệ thống thông tin.

Những năm gần đây đã chứng kiến sự bùng phát các vụ tấn cơng vào hệ thống
thơng tin trên tồn thế giới. Đặc điểm chung của các vụ tấn cơng này là trình
độ công nghệ ngày càng cao, khả năng lây lan phạm vi rộng trong thời gian
ngắn. Số vụ tấn công liên quan đến lợi ích kinh tế gia tăng đã gây ra tổn thất
to lớn cho các cá nhân, tổ chức và doanh nghiệp. Báo cáo của hãng bảo mật
Symantec năm 2006 cho thấy chỉ trong một ngày, trên thế giới có đến 6110
vụ tấn cơng Từ chối dịch vụ, 63.912 máy tính bị nhiễm mã độc hại. [18].
Tình hình an ninh mạng tại Việt Nam thời gian gần đây cũng diễn biến khá
phức tạp khi số vụ tấn công không ngừng gia tăng. Các dạng tấn công DoS,
Deface xuất hiện ngày một nhiều, gây ảnh hưởng lớn đến quá trình hoạt động
và uy tín của tổ chức. Số lượng máy tính bị nhiễm virus, worm tại Việt Nam
được ước tính đến con số hàng triệu trong năm 2006.
Để đối phó trước các nguy cơ đó, người ta đã đưa ra nhiều giải pháp nhằm
tăng cường tính an ninh, hạn chế đến mức tối đa khả năng bị tấn công. Hệ
thống Phát hiện xâm nhập (Instrustion Detection System - IDS) là một thành
Chương 1: Mở đầu


Vũ Thanh Bình

2

Cao học CNTT 2006-2008

phần quan trọng trong chiến lược xây dựng Hệ thống An ninh Mạng theo
chiều sâu. Nhiệm vụ của IDS là thu thập dữ liệu Mạng, tiến hành phân tích,
đánh giá, từ đó xác định xem có dấu hiệu của một cuộc tấn cơng hay khơng.
IDS sẽ cảnh bảo cho nhà quản trị trước khi thủ phạm có thể thực hiện hành vi
đánh cắp thơng tin hay phá hoại, và do đó sẽ giảm thiểu nguy cơ mất an ninh
của hệ thống.

Hệ thống Phát hiện xâm nhập có 2 hướng tiếp cận chính là Tiếp cận dựa trên
dấu hiệu và Tiếp cận dựa trên phát hiện bất thường. Nếu như dựa trên dấu
hiệu, thì hệ thống sẽ sử dụng các mẫu tấn cơng đã có từ trước, tiến hành so
sánh để xác định dữ liệu đang xét có phải là bất thường khơng. Hướng này
hiện đang được sử dụng rộng rãi tuy nhiên điểm yếu của nó là chỉ phát hiện
được các tấn cơng có dấu hiệu đã biết trước.
Kỹ thuật phát hiện bất thường khắc phục được nhược điểm này, bằng cách
tiến hành xây dựng các hồ sơ mơ tả “trạng thái bình thường”. Một hành vi
được hệ thống coi là “bất thường” nếu các thơng số đo được có độ khác biệt
đáng kể với mức “bình thường”, từ đó có thể suy luận rằng các “bất thường”
này là dấu hiệu của hành vi tấn công. Rõ ràng hướng tiếp cận dựa trên Hành
vi bất thường có tính “trí tuệ” cao hơn và hồn tồn có thể nhận diện các cuộc
tấn cơng mới mà chưa có dấu hiệu cụ thể.

2. Nội dung nghiên cứu
Trong thời gian thực hiện luận văn, tác giả đã tiến hành nghiên cứu những vấn
đề như sau:
• Phân tích vai trị, chức năng của Hệ thống xâm nhập trái phép, tìm hiểu
thành phần, cách phân loại cũng như hoạt động của hệ thống này. Đưa
ra tiêu chí đánh giá hệ thống IDS.
Chương 1: Mở đầu


Vũ Thanh Bình

3

Cao học CNTT 2006-2008

• Tìm hiểu Hệ thống IDS dựa trên Phát hiện bất thường. Phân tích ưu

nhược điểm hướng tiếp cận này. Nghiên cứu các kỹ thuật được sử dụng
để phát hiện bất thường: Mạng nơ-ron (FANNC), Xác suất thống kê,
mạng Neutral, Hệ chuyên gia, Máy trạng thái hữu hạn v.v.. Đưa ra các
đánh giá về hiệu quả của các kỹ thuật này.
• Nghiên cứu và khái quát hóa Hệ thống phát hiện bất thường 1 dựa trên
0F

kỹ thuật Mạng nơ-ron. Đưa ra các đề xuất cải tiến ở một số giai đoạn.
So sánh và đánh giá một hệ thống dựa trên Kỹ thuật này với các hệ
thống Phát hiện xâm nhập khác.

3. Cấu trúc luận văn
Phần còn lại của luận văn được cấu trúc như sau:
Chương 2 giới thiệu tổng quan về Hệ thống Phát hiện xâm nhập trái
phép. Trong chương này tác giả sẽ trình bày một cách khái quát vai trò của
IDS trong một hệ thống thơng tin, các hình thức phân loại, cấu trúc và nguyên
lý hoạt động của Hệ thống IDS.
Chương 3 mô tả nguyên tắc phát hiện tấn công dựa trên theo dõi các dấu
hiệu bất thường trong hệ thống, so sánh và đánh giá ưu nhược điểm của Hệ
thống phát hiện xâm nhập trái phép dựa trên phát hiện bất thường. Chương này
cũng đưa ra đánh giá về một số hướng nghiên cứu đã và đang được thực hiện.
Chương 4 giới thiệu kỹ thuật Mạng nơ-ron (FANN), đưa bài toán phát
hiện bất thường trong mạng về bài toán phân loại gói tin bằng mạng nơ-ron
FANNC.
Chương 5 là các Kết luận về luận văn và đưa ra hướng nghiên cứu tiếp
theo của đề tài.
Từ đây đến cuối luận văn, Hệ thống Phát hiện bất thường được hiểu là Hệ thống Phát hiện xâm nhập trái
phép dựa trên hướng tiếp cận Phát hiện bất thường trong mạng.

1


Chương 1: Mở đầu


Vũ Thanh Bình

4

Cao học CNTT 2006-2008

Chương 2
Tổng quan về Hệ thống phát hiện
xâm nhập trái phép
1. Khái quát về bảo mật hệ thống thơng tin
Thơng tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống
chỉ có thể cung cấp các thơng tin có giá trị thực sự khi các chức năng của hệ
thống đảm bảo hoạt động đúng đắn. Mục tiêu của việc đảm bảo an tồn an
ninh cho hệ thống thơng tin là đưa ra các giải pháp và ứng dụng các giải pháp
này vào hệ thống để loại trừ hoặc giảm bớt các nguy hiểm. Hiện nay các cuộc
tấn công càng ngày càng tinh vi, gây ra mối đe doạ tới sự an tồn thơng tin.
Các cuộc tấn cơng có thể đến từ nhiều hướng theo các cách khác nhau, do đó
cần phải đưa ra các chính sách và biện pháp đề phịng cần thiết. Mục đích
cuối cùng của an tồn bảo mật là bảo vệ các thông tin và tài nguyên theo các
yêu cầu sau [9]:
 Đảm bảo tính tin cậy (Confidentiality): Thông tin không thể bị
truy nhập trái phép bởi những người khơng có thẩm quyền.
 Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị sửa
đổi, bị làm giả bởi những người khơng có thẩm quyền.
 Đảm bảo tính sẵn sàng (Availability): Thơng tin ln sẵn sàng để
đáp ứng sử dụng cho người có thẩm quyền.

 Đảm bảo tính khơng thể từ chối (Non-repudiation): Thơng tin
được cam kết về mặt pháp luật của người cung cấp.
Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

5

Cao học CNTT 2006-2008

Cần nhấn mạnh một thực tế rằng khơng có một hệ thống nào là an tồn tuyệt
đối cả. Bởi vì bất cứ một hệ thống bảo vệ dù hiện đại và chắc chắn đến đâu đi
nữa thì cũng có lúc bị vơ hiệu hố bởi những kẻ phá hoại có trình độ cao và
có đủ thời gian. Chưa kể rằng tính an tồn của một hệ thống thơng tin cịn phụ
thuộc rất nhiều vào việc sử dụng của con người. Từ đó có thể thấy rằng vấn
đề an toàn mạng thực tế là cuộc chạy tiếp sức không ngừng, và không ai dám
khẳng định là có đích cuối cùng hay khơng.
1.1 Các nguy cơ đe dọa
Có rất nhiều nguy cơ ảnh hướng đến sự an tồn của một hệ thống thơng tin.
Các nguy cơ này có thể xuất phát từ các hành vi tấn cơng trái phép bên ngoài
hoặc là từ bản thân các lỗ hổng bên trong hệ thống.
Tất cả các hệ thống đều mang trong mình các lỗ hổng hay điểm yếu. Nhìn
một cách khái quát, ta có thể phân ra các loại điểm yếu chính sau [9]:
 Phần mềm: Việc lập trình phần mềm đã ẩn chứa sẵn các lỗ hổng. Theo
ước tính cứ 1000 dịng mã sẽ có trung bình từ 5-15 lỗi, trong khi các Hệ
điều hành được xây dựng từ hàng triệu dòng mã (Windows:50 triệu) .
 Phần cứng: Lỗi thiết bị phần cứng như Firewall, Router, Switch v.v..
 Chính sách: Đề ra các qui định khơng phù hợp, khơng đảm bảo an ninh,
ví dụ như chính sách về xác thực, qui định về nghĩa vụ và trách nhiệm

người dùng trong hệ thống
 Sử dụng: Cho dù hệ thống có được trang bị hiện đại đến đâu nhưng vẫn
do con người sử dụng và quản lý, sự sai sót và bất cẩn của người dùng
có thể gây ra những lỗ hổng nghiêm trọng
Đối với các hành vi tấn công từ bên ngồi, ta có thể chia thành hai loại là : tấn
công thụ động và tấn công chủ động. “Thụ động” và “chủ động” ở đây được
Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

6

Cao học CNTT 2006-2008

hiểu theo nghĩa có can thiệp vào nội dung và vào luồng thông tin trao đổi hay
không. Tấn công “thụ động” chỉ nhằm đặt mục tiêu cuối cùng là nắm bắt
được thơng tin, có thể khơng biết được nội dung nhưng cũng có thể dị ra
được người gửi, người nhận nhờ vào thông điều khiển giao thức chứa trong
phần đầu của các gói tin. Hơn thế nữa, kẻ xấu cịn có thể kiểm tra được số
lượng, độ dài và tần số trao đổi để biết được đặc tính của dữ liệu.
Sau đây là một số hình thức tấn cơng điển hình :
a) Các hành vi dị qt :
Bất cứ sự xâm nhập vào một mơi trường mạng nào đều bắt đầu bằng cách
thăm dò để tập hợp thông tin người dùng, cấu trúc hệ thống bên trong và các
điểm yếu bảo mật. Việc thăm dò được tiến hành theo các bước thăm dò thụ
động (thu thập các thơng tin được cơng khai) và thăm dị chủ động (sử dụng
các cơng cụ để tìm kiếm thơng tin trên máy nạn nhân). Các cơng cụ dị qt
được các hacker chuyên nghiệp thiết kế và công bố rộng rãi trên Internet. Các
công cụ thường hay dùng: Nmap, Essential Network tools,… thực hiện các

hành động Port Scan, Ping Sweep, Packet Sniffer, DNS Zone Transfer…
b) Các tấn công từ chối dịch vụ (Denial of Service Attacks) :
Đây là kiểu tấn cơng khó phịng chống nhất và trên thế giới vẫn chưa có cách
phịng chống triệt để. Ngun tắc chung của cách tấn công này là hacker sẽ
gửi liên tục nhiều yêu cầu phục vụ đến máy nạn nhân. Máy bị tấn công sẽ
phải trả lời tất cả yêu cầu này. Khi yêu cầu gửi đến quá nhiều, máy bị tấn
công sẽ không phục vụ kịp dẫn đến việc đáp ứng yêu cầu của các máy hợp lệ
sẽ bị chậm trễ, thậm chí ngừng hẳn. Máy bị tấn cơng sẽ bị ngừng hoạt động
hoặc thậm chí cho phép hacker nắm quyền điều khiển. Chi tiết về một số hành
vi tấn công Từ chối dịch vụ được giới thiệu trong phần Phụ lục

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

7

Cao học CNTT 2006-2008

c) Các hành vi khai thác lỗ hổng bảo mật
Các hệ điều hành, cơ sở dữ liệu, các ứng dụng ln có những điểm yếu xuất
hiện hàng tuần thậm trí hàng ngày. Những điểm yếu này thường xuyên được
công bố rộng rãi trên nhiều website về bảo mật. Do vậy các điểm yếu của hệ
thống là ngun nhân chính của các tấn cơng, một thống kê cho thấy hơn 90%
các tấn công đều dựa trên các lỗ hổng bảo mật đã được công bố.
Đối với một hệ thống mạng có nhiều máy chủ máy trạm, việc cập nhật các
bản vá lỗ hổng bảo mật là một cơng việc địi hỏi tốn nhiều thời gian và khó có
thể làm triệt để. Và do đó, việc tồn tại các lỗ hổng bảo mật tại một số điểm
trên mạng là một điều chắc chắn. Người ta định nghĩa Tấn công Zero-Day là

các cuộc tấn công diễn ra ngay sau khi lỗi được công bố và chưa xuất hiện
bản vá lỗi. Như vậy kiểu tấn công này rất nguy hiểm vì các hệ thống bảo mật
thơng thường khơng thể phát hiện ra.

Hình 2.1: Thời gian có tấn cơng sau khi công bố lỗ hổng
(Nguồn McAfee 2005)

d) Các tấn công vào ứng dụng (Application-Level Attacks)
Đây là các tấn công nhằm vào các phần mềm ứng dụng mức dịch vụ. Thông
thường các tấn công này, nếu thành công, cho phép kẻ xâm nhập nắm được

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

Cao học CNTT 2006-2008

8

quyền điều khiển các dịch vụ và thậm chí cả quyền điều khiển máy chủ bị tấn
công.
Số lượng các vụ tấn công liên tục tăng trong khi hình thức tấn cơng theo kiểu
Sophistication (hành vi tấn công dựa trên điểm yếu là con người) lại giảm. Rõ
ràng các hình thức tấn cơng vào hệ thống máy tính hiện nay ngày càng đa
dạng và phức tạp với trình độ kỹ thuật rất cao. Ngồi ra q trình tấn cơng
ngày các được tự động hóa với những cơng cụ nhỏ được phát tán khắp nơi
trên mạng.
120,000
100,000

80,000

Devices
Infected

60,000
40,000
20,000
0

Code Red

Nimda

Goner

Slammer

Lovsan

2,777

6,250

12,500

100,000

120,000


Hình 2.2: Số lượng máy bị tấn công ngày càng tăng
(Nguồn: IDC 2002)

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

9

Cao học CNTT 2006-2008

Hình 2.3: Thời gian lây nhiễm trên 10.000 máy rút ngắn (Nguồn McAfee 2005)

1.2 Các nguyên tắc bảo vệ hệ thống thông tin
Sau đây là một số nguyên tắc bảo vệ hệ thống thông tin :
 Nguyên tắc cơ bản nhất của chức năng bảo mật là cơ chế quyền hạn tối
thiểu. Về cơ bản, nguyên tắc này là bất kỳ một đối tượng nào (người sử
dụng, người điều hành, chương trình…) chỉ nên có những quyền hạn
nhất định mà đối tượng đó cần phải có để có thể thực hiện được các
nhiệm vụ của mình và chỉ như vậy mà thơi. Đây là ngun tắc quan
trọng để hạn chế sự phơi bày hệ thống cho kẻ khác tấn công và hạn chế
sự thiệt hại khi bị tấn công
 Thứ hai, cần phải bảo vệ theo chiều sâu. Tư tưởng của chiến lược này
là hệ thống bảo mật gồm nhiều mức, sau mức bảo mật này thì có mức
bảo mật khác, các mức bảo mật hỗ trợ lẫn nhau. Không nên chỉ phụ
thuộc vào một chế độ an tồn dù nó có mạnh đến thế nào đi nữa.
 Thứ ba, cần tạo các điểm thắt đối với luồng thông tin. Điểm thắt buộc
những kẻ tấn công vào hệ thống phải thông qua một kênh hẹp mà người
quản trị có thể điều khiển được. Ở đây, người quản trị có thể cài đặt các

cơ chế giám sát, kiểm tra và điều khiển (cho phép hoặc không cho
Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

10

Cao học CNTT 2006-2008

phép) các truy nhập vào hệ thống. Trong an ninh mạng, IDS nằm giữa
hệ thống bên trong và Internet nhưng trước firewall như một nút thắt
(giả sử chỉ có một con đường kết nối duy nhất giữa hệ thống bên trong
với internet). Khi đó, tất cả những kẻ tấn công từ internet khi đi qua nút
thắt này thì sẽ bị người quản trị theo dõi và phản ứng lại kịp thời. Yếu
điểm của phương pháp này là khơng thể kiểm sốt, ngăn chặn được
những hình thức tấn cơng đi vịng qua điểm đó.
 Thứ tư, để đạt hiệu quả cao, các hệ thống an toàn cần phải đa dạng về
giải pháp và có sự phối hợp chung của tất cả các thành phần trong hệ
thống (người sử dụng, phần cứng bảo mật, phần mềm bảo mật, các cơ
chế an toàn…) để tạo thành hệ bảo mật, giám sát và hỗ trợ lẫn nhau. Hệ
thống phòng thủ gồm nhiều module, cung cấp nhiều hình thức phịng
thủ khác nhau. Do đó, module này lấp “lỗ hổng” của các module khác.
Ngoài firewall, một mạng LAN hay một máy cục bộ cần sử dụng các
module bảo vệ khác của ứng dụng, hệ điều hành, thiết bị phần cứng,...
1.3 Các biện pháp bảo vệ
Network Firewall: Firewall là một thiết bị (phần cứng + phần mềm)
nằm giữa mạng của một tổ chức, một công ty hay một quốc gia (mạng
Intranet) và mạng Internet bên ngồi. Vai trị chính của nó là bảo mật
thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài

(Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ
nhất định trên Internet. Firewall là một thiết bị bảo vệ, vì vậy nó phải
là một thiết bị có độ an tồn rất cao. Nhìn chung tất cả các thơng tin
đi vào và ra khỏi mạng nội bộ đều phải qua firewall. Firewall chịu
trách nhiệm loại bỏ các thông tin không hợp lệ. Để biết thơng tin qua
nó có hợp lệ hay khơng thì firewall phải dựa vào tập luật (rules) mà
nó đặt ra. Firewall thường được kết hợp làm bộ chuyển đổi địa chỉ
Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

11

Cao học CNTT 2006-2008

NAT và có chức năng định tuyến. Do vậy khả năng ngăn chặn tấn
công của Firewall thường từ lớp 2 đến lớp 4 trong mô hình OSI.
Điểm yếu của Firewall là tính thụ động, Firewall hoạt động trên cơ sở
các tập luật, các luật trên Firewall phải được người quản trị cấu hình
hay chỉ định cho phép hay khơng cho phép gói tin đi qua. Bản thân hệ
thống Firewall không thể nhận biết được các mối nguy hại đến từ
mạng mà nó phải được người quản trị mạng chỉ ra thông qua việc
thiết lập các luật trên đó.
IDS: Hệ thống Intrusion Detection là q trình theo dõi các sự kiện
xảy ra trong nhiều vùng khác nhau hệ thống mạng máy tính và phân
tích chúng để tìm ra những dấu hiệu của sự xâm phạm nhằm đảm bảo
tính mật, tính tồn vẹn, tính sẵn sàng cho hệ thống. Những sự xâm
phạm thường được gây ra bởi những kẻ tấn công truy cập vào hệ
thống từ Internet, những người dùng hợp pháp cố gắng truy cập đến

những tài ngun khơng thuộc thẩm quyền của mình hoặc sử dụng sai
những quyền đã được cho phép. IDS thường ngăn chặn các cuộc tấn
cơng có độ tinh vi cao, hoặc tấn công vào lớp Ứng dụng. IDS khắc
phục được điếm yếu Thụ động của hệ thống Firewall

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

12

Cao học CNTT 2006-2008

Hình 2.4: Vai trị của IDS trong hệ thống bảo mật

Các biện pháp khác: Cần phối hợp với các biện pháp bảo mật khác
như : Mã hóa (file/đường truyền), xác thực – phân quyền - nhận dạng,
Antivirus, Lọc nội dung (Content Filtering) v.v.. để hình thành một hệ
thống phòng thủ theo chiều sâu, nhiều lớp bảo vệ bổ sung cho nhau

Hình 2.5: Hệ thống phịng thủ theo chiều sâu

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

13


Cao học CNTT 2006-2008

2. Kỹ thuật phát hiện xâm nhập trái phép
Nếu như hiểu Firewall là một hệ thống “khóa” chốt chặn ở cửa ngõ mạng, thì
hệ thống IDS có thể được coi như các “cảm ứng giám sát” được đặt khắp nơi
trong mạng để cảnh báo về các cuộc tấn công đã “qua mặt” được Firewall
hoặc xuất phát từ bên trong mạng. Một IDS có nhiệm vụ phân tích các gói tin
mà Firewall cho phép đi qua, tìm kiếm các dấu hiệu tấn cơng từ các dấu hiệu
đã biết hoặc thơng qua việc phân tích các sự kiện bất thường, từ đó ngăn chặn
các cuộc tấn cơng trước khi nó có thể gây ra nhưng hậu quả xấu với tổ chức.
Hệ thống IDS hoạt động dựa trên 3 thành phần chính là Cảm ứng (Sensor),
Giao diện (Interface) và Bộ phân tích (Engine). Xét trên chức năng IDS có thể
phân làm 2 loại chính là Network-based IDS (NIDS) và Host-based IDS
(HIDS). NIDS thường đặt tại cửa ngõ mạng để giám sát lưu thơng trên một
vùng mạng, cịn HIDS thì được cài đặt trên từng máy trạm để phân tích các
hành vi và dữ liệu đi đến máy trạm đó. Xét về cách thức hoạt động thì hệ
thống IDS có thể chia thành 5 giai đoạn chính là : Giám sát, Phân tích, Liên
lạc, Cảnh báo và Phản ứng.
Thời gian gần đây, sự hoành hành của các loại virus, worm nhằm vào hệ điều
hành rất lớn. Nhiều loại virus, worm dùng phương pháp quét cổng theo địa
chỉ để tìm ra lỗ hổng và sau đó mới lây lan vào. Với những loại tấn cơng này
nếu hệ thống mạng có cài hệ thống IDS thì khả năng phịng tránh được sẽ rất
lớn.
2.1 Thành phần
Một hệ thống IDS bao gồm 3 thành phần cơ bản là :
• Cảm ứng (Sensor): Là bộ phận làm nhiệm vụ phát hiện các sự kiện có
khả năng đe dọa an ninh của hệ thống mạng, Sensor có chức năng rà

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép



Vũ Thanh Bình

14

Cao học CNTT 2006-2008

quét nội dung của các gói tin trên mạng, so sánh nội dung với các mẫu
và phát hiện ra các dấu hiệu tấn công hay cịn gọi là sự kiện.
• Giao diện (Console): Là bộ phận làm nhiệm vụ tương tác với người
quản trị, nhận lệnh điều khiển hoạt động bộ Sensor, Engine và đưa ra
cảnh báo tấn cơng
• Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự
kiện được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng
một hệ thống các luật để đưa ra các cảnh báo trên các sự kiện an ninh
nhận được cho hệ thống hoặc cho người quản trị.

Cảnh báo

Console

Traffic mạng

Sensor

Engine

Hình 2.6: Thành phần của một hệ thống IDS

Như vậy, hệ thống IDS hoạt động theo cơ chế “phát hiện và cảnh báo”. Các

Sensor là bộ phận được bố trí trên hệ thống tại những điểm cần kiểm sốt,
Sensor bắt các gói tin trên mạng, phân tích gói tin để tìm các dấu hiệu tấn
cơng, nếu gói tin có dấu hiệu tấn cơng, Sensor lập tức đánh dấu đấy là một sự
kiện và gửi báo cáo kết quả về cho Engine, Engine ghi nhận tất cả các báo cáo
Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

15

Cao học CNTT 2006-2008

của tất cả các Sensor, lưu các báo cáo vào trong cơ sở dữ liệu của mình và
quyết định đưa ra mức cảnh báo đối với sự kiện nhận được. Console làm
nhiệm vụ giám sát, cảnh báo đồng thời điều khiển hoạt động của các Sensor.

Hình 2.7: Hoạt động của IDS

Đối với các hệ thống IDS truyền thống, các Sensor hoạt động theo cơ chế “so
sánh mẫu”, các Sensor bắt các gói tin trên mạng, đọc nội dung gói tin và so
sánh các xâu trong nội dung gói tin với hệ thống các mẫu tín hiệu nhận biết
các cuộc tấn công hoặc mã độc gây hại cho hệ thống, nếu trong nội dung gói
tin có một xâu trùng với mẫu, Sensor đánh dấu đó là một sự kiện hay đã có
dấu hiệu tấn cơng và sinh ra cảnh báo. Các tín hiệu nhận biết các cuộc tấn
công được tổng kết và tập hợp thành một bộ gọi là mẫu hay signatures. Thông
thường các mẫu này được hình thành dựa trên kinh nghiệm phịng chống các
cuộc tấn công, người ta thành lập các trung tâm chuyên nghiên cứu và đưa ra
các mẫu này để cung cấp cho hệ thống IDS trên toàn thế giới.


Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

16

Cao học CNTT 2006-2008

2.2 Phân loại
Có nhiều cách để phân loại các hệ thống IDS tùy theo các tiêu chí khác nhau.
Xét về kiểu hành động của IDS có thể phân làm 2 loại là IDS chủ động và
IDS bị động [15]:
 IDS chủ động (active detection): phát hiện và có hành động phản ứng
chống lại các cuộc tấn cơng nhằm giảm thiểu các nguy hiểm có thể xảy
ra với hệ thống. Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ,
ngắt các kết nối, khóa địa chỉ IP tấn cơng. IDS chủ động cịn có tên gọi
là IPS (Intrusion Prevention System)
 IDS bị động (passive detection): phát hiện nhưng khơng có các hành
động trực tiếp chống lại các tấn cơng. Nó có thể ghi lại log của toàn bộ
hệ thống và cảnh báo cho người quản trị hệ thống. Loại IDS này không
cần thiết phải đặt giữa kênh truyền (inline), do đó khơng làm gián đoạn
các kết nối.
Nếu xét về đối tượng giám sát thì có hai loại IDS cơ bản là: Host-based IDS
và Network-based IDS. Từng loại có một cách tiếp cận khác nhau nhằm theo
dõi và phát hiện xâm nhập, đồng thời cũng có những lợi thế và bất lợi riêng.
Nói một cách ngắn gọn, Host-based IDS giám sát dữ liệu trên những máy tính
riêng lẻ trong khi Network-based IDS giám sát lưu thông của một hệ thống
mạng.
2.2.1 Host-based IDS

Những hệ thống host-based là kiểu IDS được nghiên cứu và triển khai đầu
tiên. Bằng cách cài đặt những phần mềm IDS trên các máy trạm (gọi là
agent), Host-based IDS có thể giám sát toàn bộ hoạt động của hệ thống, các
log file và lưu thông mạng đi tới từng máy trạm.

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

17

Cao học CNTT 2006-2008

HIDS kiểm tra lưu thơng mạng đang được chuyển đến máy trạm, bảo vệ máy
trạm thơng qua việc ngăn chặn gói tin nghi ngờ. HIDS có khả năng kiểm tra
hoạt động đăng nhập vào máy trạm, tìm kiếm các hoạt động khơng bình
thường như dị tìm password, leo thang đặc quyền v.v.. Ngồi ra HIDS cịn có
thể giám sát sâu vào bên trong Hệ điều hành của máy trạm để kiểm tra tính
tồn vẹn của Nhân (Kernel) hệ điều hành, file lưu trữ trong hệ thống v.v…
Hệ thống IDS có hiệu quả cao khi phát hiện việc người dùng sử dụng sai các
tài nguyên trên mạng. Nếu người dùng cố gắng thực hiện các hành vi khơng
hợp pháp thì những hệ thống HIDS thơng thường phát hiện và tập hợp thơng
tin thích hợp nhất và nhanh nhất.
Điểm yếu của HIDS là cồng kềnh. Với vài nghìn máy trạm trên một mạng
lớn, việc thu thập và tập hợp các thơng tin máy tính đặc biệt riêng biệt cho
mỗi máy riêng lẻ có là khơng có hiệu quả. Ngồi ra, nếu thủ phạm vơ hiệu
hóa việc thu thập dữ liệu trên máy tính thì HIDS trên máy đó sẽ khơng cịn ý
nghĩa.
2.2.2 Network-based IDS

NIDS là một giải pháp xác định các truy nhập trái phép bằng cách kiểm tra
các luồng thông tin trên mạng và giám sát nhiều máy trạm, Network
Instrusion Detection Systems truy nhập vào luồng thông tin trên mạng bằng
cách kết nối vào các Hub, Switch để bắt các gói tin, phân tích nội dung gói tin
và từ đó sinh ra các cảnh báo.
Trong hệ thống NIDS, các Sensor được đặt ở các điểm cần kiểm tra trong
mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, các Sensor bắt
tất cả các gói tin lưu thơng trên mạng và phân tích nội dung bên trong của
từng gói tin để phát hiện các dấu hiệu tấn công trong mạng.

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

Cao học CNTT 2006-2008

18

Điểm yếu của NIDS là gây ảnh hưởng đến băng thông mạng do trực tiếp truy
cập vào lưu thông mạng. NIDS nếu không được định lượng đúng về khả năng
xử lý sẽ trở thành một nút cổ chai gây ách tắc trong mạng. Ngoài ra NIDS cịn
gặp khó khăn đối với các vấn đề giao thức truyền như việc Phân tách gói tin
(IP fragmentation 1), hay việc điều chỉnh thơng số TTL trong gói tin IP v.v…
1F

LAN

`
HIDS

HIDS

`

FIREWALL

INTERNET

NIDS

NIDS

HIDS

INTERNAL
SERVER

HIDS

DMZ

HIDS

HIDS

Hình 2.8: Vị trí NIDS và HIDS trong hệ thống mạng

Sau đây là một số so sánh về 2 loại IDS trên :
HIDS
Tính quản trị thấp.


NIDS
Quản trị tập trung

Tính bao quát thấp. Do mỗi máy Tính bao quát cao do có cái nhìn
trạm chỉ nhận traffic của máy đó tồn diện về traffic mạng
Mỗi một switch hay router có khả năng xử lý gói tin với kích thước khác nhau MTU: Maximum
Tranmission Unit. Nếu router phát hiện gói tin có kích thước to hơn khả năng xử lý, nó sẽ tiến hành chia nhỏ
gói tin. Q trình này có tên gọi là IP Fragmentation.

1

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Vũ Thanh Bình

Cao học CNTT 2006-2008

19

cho nên khơng thể có cái nhìn
tổng hợp về cuộc tấn cơng.
Phụ thuộc vào hệ điều hành. Do Không phụ thuộc vào HĐH của
HIDS được cài đặt trên máy trạm máy trạm
nên phụ thuộc vào HĐH trên máy
trạm đó
Khơng ảnh hưởng đến băng NIDS do phân tích trên luồng dữ
thơng mạng


liệu chính nên có ảnh hưởng đến
Băng thông mạng.

Không gặp vấn đề về giao thức Gặp vấn đề về giao thức truyền:
truyền

Packet Fragment, TTL
Vấn đề mã hóa : nếu IDS được
đặt trong một kênh mã hóa thì sẽ
khơng phân tích được gói tin

Luận văn này nghiên cứu chủ yếu về NIDS, nên thuật ngữ IDS tạm được hiểu
là Network IDS. Các thuật toán mà chúng ta nghiên cứu ở phần sau về
nguyên lý có thể áp dụng được cho HIDS.
2.2 Nguyên lý hoạt động
Nguyên lý hoạt động của một hệ thống Phòng chống xâm nhập thường được
chia làm 5 giai đoạn chính : Giám sát mạng, Phân tích lưu thơng, Liên lạc
giữa các thành phần, Cảnh báo về hành vi xâm nhập và cuối cùng có thể tiến
hành Phản ứng lại tùy theo chức năng của từng IDS.

Chương 2: Tổng quan về Hệ thống phát hiện xâm nhập trái phép


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×