Tải bản đầy đủ - 73 (trang)
4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS

4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS

Tải bản đầy đủ - 73trang

này chúng ta chỉ đi vào giới thiệu các thành phần được triển khai thực của hệ thống.

Hình 3.11 minh họa tiến trình phân tích dữ liệu giao thông mạng bằng hệ thống này.

Đầu vào của hệ thống MINDS là dữ liệu Netflow phiên bản 5 do các công cụ

dòng ( Flow-tool) tập hợp lại. Các công cụ này chỉ bắt thông tin ở phần header của các

gói tin (chứ không bắt nội dung) và xây dựng các phiên (các flows) 1 chiều. Chúng ta

làm việc trên dữ liệu Netflow thay vì dữ liệu tcpdump bởi vì khả năng thu thập và lưu

trữ dữ liệu tcpdump là tương đối tốn kém. Trong vòng 10 phút, dữ liệu Netflow sinh

ra khoảng 1-2 triệu dòng và được lưu vào các tệp dữ liệu. Các chuyên gia sẽ dùng hệ

thống MINDS để phân tích các tệp dữ liệu sinh ra trong 10 phút này cùng 1 đợt. Lý do

hệ thống chạy các tệp đó cùng 1 đợt không phải do thời gian cần để phân tích những

tệp này mà chủ yếu các chuyên gia cảm thấy thuận tiện hơn. Để chạy hệ thống với các

tệp sinh ra trong 10 phút trên một máy tính để bàn thường mất dưới 3 phút. Như

chúng ta đã biết trước khi dữ liệu được chuyển vào module phát hiện bất thường, 1

bước lọc dữ liệu sẽ được tiến hành nhằm loại bỏ các dữ liệu mạng mà các chuyên gia

không muốn phân tích. Ví dụ, dữ liệu sau khi lọc có thể gồm dữ liệu từ các nguồn đã

xác thực hoặc các biểu hiện mang tính bất thường/ nguy hiểm nhưng lại được coi là

không mang tính xâm phạm.



Hình 3.11 Mô hình hoạt động của hệ thống MINDS

Bước đầu tiên của quá trình MINDS là trích lọc các đặc điểm dùng cho việc

phân tích khai phá dữ liệu. Những đặc điểm cơ bản bao gồm địa chỉ IP nguồn và IP

đích, cổng nguồn, cổng đến, giao thức, cờ, số lượng bytes và số lượng gói. Các đặc

điểm phát sinh gồm có cửa sổ thời gian và các đặc điểm dựa trên cửa sổ kết nối(trình



bày ở phần trên). Chúng được tạo ra để bắt các liên kết có cùng tính chất trong khoảng

T giây cuối cùng. Chúng đặc biệt hữu ích trong việc phân biệt các nguồn có lượng kết

nối cao trong 1 đơn vị thời gian với phần còn lại của giao thông mạng được biết đến

như là các hoạt động scanning nhanh. Phương pháp tương tự cũng đã được áp dụng

vào việc xây dựng các tính năng trong bảng dữ liệu KDD Cup năm 1999. Bảng 3.3

dưới đây tóm tắt các tính năng dựa trên cửa sổ thời gian.



Tên đặc điểm



Mô tả



count_src



Số kết nối có cùng một nguồn đến các đích khác nhau trong t

giây gần đây nhất



count_dest



Số kết nối có cùng một đích nhưng từ nhiều nguồn khác nhau

trong t giây gần đây nhất



count_serv_src



Số kết nối đến cùng một địa chỉ cổng đích trong t giây gần đây

nhất



count_serv_dest



Số kết nối từ địa chỉ đích đến cùng một địa chỉ cổng đích trong

T giây gần đây nhất.

Bảng 3.3 những đặc điểm chọn “dựa trên thời gian”



Khác với scan “nhanh” các hoạt động scanning “chậm” là những hoạt động scan

host hoặc port sử dụng các khoảng thời gian nhiều hơn 1 vài giây, ví dụ 1 tiếp xúc

(scan) trên 1 phút thậm chí 1 tiếp xúc trên 1 giờ và không thể bị chia cắt với phần còn

lại của giao thông mạng sử dụng đặc điểm dựa trên cửa sổ thời gian. Để làm được

điều đó, chúng ta cũng tạo ra các đặc điểm dựa vào cửa sổ-kết nối nhằm bắt các đặc

điểm tương tự của kết nối như các đặc tính dựa trên cửa sổ thời gian, tuy nhiên lại

được tính toán dựa trên N kết nối cuối cùng xuất phát từ (hoặc đến) các nguồn riêng

biệt (đích).

Các đặc điểm dựa trên cửa sổ liên kết được minh họa ở bảng 3.4



Tên đặc điểm

count_dest_conn



Mô tả

Số kết nối có cùng từ một nguồn đến các đích khác nhau trong

N kết nối gần đây nhất



count_src_conn



Số kết nối có cùng một đích nhưng từ nhiều nguồn khác nhau

trong N kết nối gần đây nhất



count_serv_src_conn Số kết nối đến cùng một địa chỉ cổng đích trong N kết nối gần

đây nhất

count_serv_des_conn Số kết nối từ địa chỉ đích đến cùng một địa chỉ cổng đích trong

N kết nối gần đây nhất.

Bảng 3.4 những đặc điểm chọn “dựa trên kết nối”

Sau bước rút ra các đặc điểm để phân tích, module phát hiện các cuộc tấn công

đã biết sẽ được dùng để phát hiện các kết nối mạng tương ứng với các tấn công mà

chúng có sẵn các dấu hiệu và loại bỏ chúng khỏi danh sách dữ liệu cần phân tích. Tiếp

đến, dữ liệu được chuyển tiếp vào module phát hiện bất thường MINDS sử dụng thuật

toán phát hiện điểm dị biệt để gán 1 giá trị bất thường cho mỗi kết nối mạng. MINDS

sử dụng thuật toán LOF trong module phát hiện bất thường.Một chuyên gia sau đó chỉ

phải xem xét những kết nối có giá trị bất thường nhất để quyết định liệu chúng có phải

là những tấn công thực sự hay chỉ là những biểu hiện ngẫu nhiên bên ngoài. Module

tổng hợp trong MINDS sẽ tổng kết các liên kết mạng và sắp xếp chúng theo mức độ

bất thường từ cao xuống thấp. Cuối cùng chuyên gia sẽ đưa ra phản hồi sau khi phân

tích các kết quả ở trên và quyết định chúng có ích trong việc tạo ra những luật mới sẽ

được sử dụng trong module phát hiện tấn công đã biết hay không.

Tiếp theo chúng ta sẽ xem xét một số các kết quả thu được sau khi áp dụng

module phát hiện bất thường MINDS vào giao thông mạng thực ở đại học Minnesota.

Tuy nhiên chúng ta không thể đưa ra tỉ lệ phát hiện và tỉ lệ cảnh báo sai do khó khăn

trong việc đánh dấu toàn bộ kết nối mạng.

Chuyên viên an ninh mạng tại ĐH Minnesota đã sử dụng phương pháp MINDS

để phân tích giao thông mạng từ năm 2002. Trong suốt thời gian này, MINDS đã phát

hiện thành công rất nhiều tấn công mới và các biến dạng mà không thể bị phát hiện

nếu dùng hệ thống dựa trên dấu hiệu (signature) như SNORT. Nhìn chung, MINDS có



khả năng thường xuyên phát hiện những hành động xâm nhập nguy hại khác nhau (ví

dụ xâm phạm chính sách - policy violations), phát tán sâu cũng như các hoạt động

scan. Đầu tiên chúng ta sẽ đi vào quá trình một chuyên viên phân tích đầu ra của

module phát hiện bất thường MINDS trên 1 dãy dữ liệu cụ thể. Sau đó chúng ta tiếp

tục với 1 vài ví dụ về mỗi loại tấn công khác nhau được xác định bởi MINDS.

Hình 3.12 cho chúng ta thấy các kết nối đứng đầu do module phát hiện bất

thường MINDS tìm được trong 10 phút khoảng 48 tiếng sau khi sâu Slammer/

Sapphire xuất hiện. Đầu ra bao gồm các dữ liệu gốc cùng với giá trị bất thường được

gán cho các kết nối và các thành phần liên quan của mỗi một đặc điểm trong số 16 đặc

điểm sử dụng trong thuật toán phát hiện bất thường. Lưu ý rằng hầu hết các kết nối

đứng đầu đều thuộc về sâu Slammer/ Sapphire ( có giá trị bất thường cao nhất –cột

đầu tiên). Đó là do trong khoảng thời gian này, các kết nối mạng bị nhiễm sâu chỉ

chiếm 2% tổng giao thông mạng. Điều này chứng tỏ sự hiệu quả của phương pháp

MINDS trong việc xác định kết nối nhiễm sâu. Những kết nối này được đánh dấu màu

xám nhạt. Chúng ta có thể quan sát trong hình để thấy những thành phần đóng góp

nhiều nhất vào giá trị bất thường của những kết nối này là do đặc tính 9 và 11.

Nguyên nhân là do những máy tính bị nhiễm ngoài hệ thống vẫn đang cố gắng kết nối

với những máy tính bên trong mạng.



Hình 3.12 Bảng kết quả đầu ra của hệ thống MINDS – cột đầu tiên là giá trị bất

thường

Cũng trong hình 3.12 chúng ta có thể thấy trong suốt khoảng thời gian này còn

có 1 hoạt động scanning khác (ping scan, đánh dấu bằng màu xám đậm) bị phát hiện

do đặc tính 9 và 11. Hai dòng không đổi màu là phản hồi từ các server chơi game halflife bị đánh dấu là bất thường do những máy tính này đang giao tiếp qua 1 cổng duy

nhất 27016/udp. Đối với các liên kết web, thông thường chúng giao tiếp qua cổng 80

và được trình bày trong mẫu dữ liệu thông thường. Tuy nhiên, các kết nối half-life

không phù hợp với bất kỳ 1 mẫu thông thường nào mà số lượng đặc tính 15 tăng đột

biến nên chúng bị coi là bất thường.

Phát hiện sâu

Vào ngày 10/10/2002, module MINDS phát hiện 2 hoạt động của sâu Slapper

vượt qua sự truy quét của SNORT do chúng là biến thể của 1 loại mã sâu đã có. Một

khi máy tính bị nhiễm sâu, nó sẽ giao tiếp vơi các máy khác và sẽ lây lan sang các

máy đó. Phiên bản phổ biến nhất của loại sâu này dùng cổng 2002 để giao tiếp, nhưng

1 vài biến thể lại dùng những cổng khác. MINDS xác định những kết nối này là bất

thường với 2 lý do sau: Thứ nhất, cổng nguồn hoặc cổng đích trong liên kết có thể

không bất thường nếu tách riêng, nhưng các cặp đôi cổng nguồn-đích lại là bất thường

(tuy máy phát hiện bất thường không lưu số liệu của tần suất các cặp thuộc tính,

nhưng trong khi xây dựng vùng lân cận của các kết nối này, hầu hết điểm lân cận của

chúng đều không có các cặp cổng nguồn-đích giống nhau, điều này tạo ra khoảng

cách); Thứ 2, mẫu giao tiếp của loại sâu này trông giống như 1 hoạt động scan chậm

khiến cho giá trị của các biến tương ứng với số lượng kết nối từ IP nguồn đến cùng 1

cổng đích ở các kết nối cuối trở nên lớn hơn. Nguyên tắc phát hiện sâu của SNORT là

dùng cổng 2002 (và 1 vài cổng khác) nhưng không đủ cho tất cả các biến thể có thể

xuất hiện. Một nguyên tắc tổng quát của SNORT được viết để phát hiện biến thể của

loại sâu này có thể cảnh báo sai ở tỷ lệ cao hơn.

Hoạt động scanning và DoS(Scanning and DoS activities):



Ngày 9/8/2002, hệ thống CERT/CC cảnh báo về “sự lan rộng scanning và khả

năng từ chối của hoạt động dịch vụ nhằm vào dịch vụ Microsoft-DS qua cổng

445/TCP” giống như 1 tấn công Từ chối Dịch vụ mới (DoS). Ngoài ra, CERT/CC còn

thể hiện “sự quan tâm khi nhận được những báo cáo như thế này từ những sites có bản

báo cáo chi tiết và bằng chứng của vụ tấn công”. Các kết nối mạng thuộc loại

scanning này được xếp trong top đầu có giá trị dị biệt cao vào ngày 13/08/2002 do

module phát hiện bất thường của MINDS phát hiện ra trong khi làm nhiệm vụ phân

tích thường nhật giao thông mạng ĐH Minnesota. Module scan cổng của SNORT đã

không phát hiện ra tấn công này do việc scanning cổng diễn ra rất chậm chạp. Sau đó

vào tháng 9/2002, SNORT đã bổ sung 1 quy tắc mới để bắt loại tấn công này.

Ngày 13/08/2002, module phát hiện ‘hoạt động scanning trên dịch vụ Oracle”

thông qua việc các giá trị bất thường của các kết nối này nằm trong top2(top 1 bao

gồm liên kết thuộc DoS nhằm vào Microsoft-DS service qua cổng 445/TCP như đã

trình bày ở trên). Tấn công dạng này thường rất khó bị phát hiện nếu dùng những

phương pháp khác do Oracle scan được gắn vào 1 môi trường Web scan rộng lớn hơn

nhiều và cảnh báo sinh ra bởi Web scan có thể đưa đến hàng núi công việc cho các

chuyên gia. Ngày 13/06, CERT/CC đã đưa ra cảnh báo về vụ tấn công này.

Xâm phạm chính sách(Policy Violations):

-



Từ ngày 8-10/08/2002, module của MINDS phát hiện ra 1 máy đang chạy dịch



vụ Microsoft PPTP VPN và 1 máy khác đang chạy dịch vụ FTP qua các cổng không

phải là các cổng chuẩn của chúng, đây bị coi là xâm phạm chính sách. Cả 2 loại xâm

phạm này đều nằm trong top có giá trị dị biệt cao. MINDS đánh dấu những dịch vụ

này thuộc dạng bất thường do chúng không được phép.

-



Ngày 6/2/2003, MINDS đã phát hiện ra những thông điệp phản hồi lặp lại



ICMP ngoài ý muốn đến 1 máy tính đã bị nhiễm sâu Stacheldract trước đó (1 nhân tố

DDoS). Mặc dù chiếc máy bị nhiễm sâu này đã bị tách ra khỏi hệ thống nhưng những

máy tính khác ngoài mạng vẫn cố giao tiếp với nó.



3.4.2 So sánh SNORT và MINDS

Trong phần này chúng tôi tiến hành so sánh 2 phương pháp MINDS và SNORT

ở khía cạnh những loại tấn công mà chúng có thể phát hiện ra. Đặc biệt, chúng tôi so

sánh sự hiệu quả của chúng trên 3 loại của các hành vi mang tính bất thường trên

mạng:





các tấn công dựa trên nội dung







các hoạt động scanning







các hoạt động xâm nhập chính sách (policy)



3.4.3.1 Tấn công dựa trên nội dung

Những tấn công dạng này nằm ngoài tầm kiểm soát của MINDS do phiên bản

hiện tại của MINDS không tận dụng được các đặc tính dựa trên nội dung. Do đó,

SNORT tỏ rõ ưu thế vượt trôi hơn trong việc xác định những tấn công dạng này. Tuy

nhiên, SNORT chỉ có thể phát hiện những tấn công dựa trên nội dung đã biết dấu

hiệu/ quy tắc từ trước đó. Mặc dù SNORT có thể phát hiện những tấn công này nhưng

điều quan trọng hơn một khi máy tính bị đột nhập thành công, biểu hiện của nó có thể

trở nên bất thường và do đó sẽ bị module của MINDS phát hiện ra. Chúng ta sẽ thảo

luận nhiều hơn dạng biểu hiện bất thường này ở phần “xâm nhập chính sách”.



3.4.3.2 Hoạt động scanning

Trong khi đang tiến hành phát hiện các hoạt động scanning khác nhau, SNORT

và MINDS có thể có những biểu hiện giống nhau đối với 1 số loại scans nhất định,

nhưng chúng lại khác nhau về khả năng phát hiện những loại khác. Nói chung, chúng

ta có 2 loại scans: scan đến là loại scan trong đó kẻ tấn công ở ngoài hệ thống đang

quét những điểm dễ bị đột nhập trong 1 hệ thống được giám sát; scan đi là khi ai đó

trong hệ thống được giám sát đang truy quét ra bên ngoài. Các hoạt động scan đến

được chia làm 2 loại mà phương pháp SNORT và MINDS có thể có những biểu hiện

nhằm phát hiện ra chúng khác nhau.





scan nhanh (thông thường)







scan chậm



Khi phát hiện các hoạt động scan đến từ 1 nguồn bên ngoài, module của SNORT

kiểm soát số lượng địa chỉ IP đích từ mỗi địa chỉ IP nguồn trong 1 khoảng thời gian

nhất định (mặc định là 3 giây). Bất kể khi nào giá trị của countdest cao hơn ngưỡng cố

định (SNORT mặc định giá trị này bằng 4), hệ thống SNORT sẽ báo động và đó là

cách chỉ ra hoạt động scan bằng địa chỉ IP nguồn. Module của MINDS cũng có thể

gán 1 giá trị cao cho sự bất thường vào những kết nối mạng đó do trong hầu hết các

kết nối mạng thông thường, giá trị count-dest thường thấp. Ngoài ra, các kết nối từ

những loại hoạt động scanning khác nhau có xu hướng mang những đặc tính bất

thường (ví dụ mọi playload), chúng được cộng dồn vào giá trị bất thường.

SNORT có thể phát hiện 1 hoạt động scan đến miễn là hoạt dộng đó diễn ra đủ

nhanh trong 1 khung thời gian đã định (giá trị mặc định là 3 giây) và ở ngưỡng cho

phép (giá trị mặc định là 4). Nếu 1 hoạt động scanning diễn ra chậm hơn (nằm ngoài

các tham số cụ thể), nó sẽ không bị SNORT phát hiện ra. Tuy nhiên, SNORT vẫn có

thể tìm ra những hoạt động như vậy bằng cách tăng khung thời gian và/hoặc giảm số

lượng sự kiện đếm được trong khoảng thời gian đó, nhưng việc này sẽ dẫn đến tỷ lệ

cảnh báo nhầm cao hơn. Vì vậy, module của MINDS sẽ tỏ ra phù hợp hơn trong tình

huống này do nó xem xét cả 2 đặc tính dựa trên khung thời gian và dựa trên khung kết

nối (khác với SNORT chỉ dùng đặc tính dựa trên khung thời gian).

SNORT không thể phát hiện các hoạt động scan đi đơn giản là vì nó không kiểm

tra chúng. Trái lại, module của MINDS có thể phát hiện cả hoạt động scan đến và đi.

Việc thay đổi đầu vào cho 1 module quét cổng cũng sẽ cho phép SNORT phát hiện ra

các hoạt động scan đi này. Tuy nhiên, nó sẽ chiếm nhiều bộ nhớ hơn và SNORT vẫn

sẽ gặp vấn đề với các hoạt động scan đi chậm tương tự như các hoạt động scan đến

chậm.



3.4.3.3 Xâm phạm chính sách

Module MINDS có khả năng phát hiện xâm phạm chính sách (ví dụ các dịch vụ

lạ và trái phép) cao hơn so với SNORT do nó tìm kiếm hành vi mạng bất thường.

SNORT chỉ có thể phát hiện những xâm nhập nếu nó đặt quy tắc cho mỗi 1 hoạt động

cụ thể. Do số lượng và sự đa dạng của những hoạt động này có thể rất lớn và chưa biết



đến nên việc kết hợp chúng vào SNORT là không thực tế bởi những lý do sau. Thứ

nhất, việc xử lý tất cả những quy tắc đó sẽ tốn rất nhiều thời gian và do đó dẫn đến

việc giảm hiệu quả của làm việc SNORT. Một điều quan trọng khác cần chú ý ở đây

đó là SNORT chỉ mong muốn giữ 1 số lượng giao thông mạng được phân tích ở mức

vừa nhỏ bằng cách kết hợp những quy tắc càng cụ thể càng tốt. Mặt khác, những quy

tắc quá chi tiết sẽ hạn chế khả năng tổng hợp hóa của 1 hệ thống dự trên quy tắc điển

hình, những thay đổi nhỏ trong tính chất của 1 tấn công có thể khiến cho tấn công đó

không thể bị phát hiện. Thứ 2, cơ sở tri thức về các cuộc tấn công của SNORT cần

phải được cập nhật bằng tay bởi các chuyên gia mỗi khi phát hiện ra 1 một kiểu tấn

công mới. Trái lại, module MINDS thích nghi 1 cách tự nhiên, nó đặc biệt thành công

trong việc phát hiện biểu hiện bất thường bắt nguồn từ 1 máy yếu thế/ phòng thủ lỏng

lẻo (ví dụ kẻ tấn công xâm nhập vào 1 máy, cài đặt phần mềm trái phép và dùng máy

này để phát động tấn công vào những máy khác). Những biểu như vậy thường xuyên

bị bỏ qua bởi chúng không nằm trong các dấu hiệu nhận dạng tấn công SNORT.



3.5 Kết chương

Trong chương này chúng ta nghiên cứu việc áp dụng Kỹ thuật khai phá dữ liệu

cho hệ thống IPS. Hướng áp dụng dựa trên KPDL mang lại khá nhiều ưu điểm, đầu

tiên giống như các kỹ thuật phát hiện bất thường khác, hệ thống IPS sử dụng KPDL

không cần có các hiểu biết trước về các dạng tấn công cho nên nó có thể dễ dàng phát

hiện các cuộc tấn công mới hình thành. Hơn nữa sử dụng phương pháp này chúng ta

có thể phát hiện tương đối chính xác các kiểu tấn công dạng DoS hay dò quét cổng

diễn ra trong thời gian kéo dài. Ngoài ra một đặc điểm quan trọng khác đó là kỹ thuật

KPDL có thể sử dụng trong trường hợp dữ liệu dạng thô, không đầy đủ, thiếu sót hoặc

không chính xác. Chương này cũng đưa ra mô hình cho một hệ thống IPS dựa trên

KPDL, bao gồm các module: Lọc tin, Trích xuất dữ liệu, Phát hiện phần tử dị biệt,

Phản ứng và Tổng hợp. Trong đó module Lọc tin và trích xuất dữ liệu là hai module

ban đầu xử lý dữ liệu cho phù hợp với đầu vào của module phát hiện phần tử dị biệt,

đây là module quan trọng nhất làm nhiệm vụ phát hiện ra các trường hợp dữ liệu có

dấu hiệu bất thường có thể là các cuộc tấn công mạng, module này sử dụng một số



thuật toán phát hiện phần tử dị biệt trong KPDL cũng được trình bày trong chương

này. Module cuối cùng là module Tổng hợp có nhiệm vụ tổng hợp, rút gọn các dấu

hiệu mà module phát hiện phần tử dị biệt đưa ra nhằm tạo thành các quy tắc dấu hiệu

giúp quá trình phát hiện ở các lần sau nhanh hơn ( sử dụng trong module Lọc tin). Ở

phần cuối chương, cũng giới thiệu một hệ thống thực đã được triển khai sử dụng kỹ

thuật KPDL, đó là hệ thống MINDS của trường đại học Minnesota, Mỹ.



KẾT LUẬN

Hệ thống chống xâm nhập (Intrusion Prevention System –IPS) được định nghĩa

là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và

có thể ngăn chặn các nguy cơ gây mất an ninh. IPS ra đời nhằm khắc phục những hạn

chế của hệ thống IDS(Instrusion Detection System) như : IDS thường xuyên đưa ra rất

nhiều báo động giả ( False Positives), là gánh nặng cho quản trị an ninh hệ thống bởi

nó cần được theo dõi liên tục, kèm theo các cảnh báo tấn công là một quy trình xử lý

an ninh rất vất vả, hơn thế nữa IDS không có khả năng theo dõi các luồng dữ liệu

được truyền với tốc độ lớn. Xuyên suốt đề tài “Giải pháp phát hiện truy cập trái phép

vào mạng”, tôi đã đi vào tìm hiểu và giới thiệu hệ thống IPS về thành phần, chức

năng, phân loại và hoạt động cũng như các hướng tiếp cận và phát triển một hệ thống

IPS.

Thông thường người ta chia IPS thành các loại NIPS (Network-based Intrusion

Prevention System) theo dõi và phát hiện sự cố trên một hệ thống mạng, HIPS

(Hostbased Intrusion Prevention System) theo dõi và xử lý sự cố trên các máy tính

riêng lẻ, và Hybrid Intrusion Prevention System kết hợp của 2 hệ thống NIPS và HIPS

thu thập thông tin trên máy trạm kết hợp với thông tin thu thập được ở trên mạng để

có được sự phân tích một cách chi tiết về hiện trạng hệ thống mạng. Về mặt thành

phần, hệ thống IPS bao gồm 3 module chính: module phân tích gói tin, module phát

hiện tấn công và module phản ứng trong đó module phát hiện tấn công được quan tâm

phát triển nhiều nhất. Module này được cài đặt dựa trên 2 phương pháp chính đó là :

phương pháp phát hiện dựa trên dấu hiệu (mẫu) và phương pháp dò dựa trên phát hiện



bất thường. Phương pháp phát hiện dựa trên dấu hiệu sử dụng các mẫu tấn công đã có

sẵn trong cơ sở dữ liệu so sánh với các dấu hiệu hiện tại nhằm xác định xem nó có

phải là một cuộc tấn công hay không. Phương pháp này có khá nhiều điểm hạn chế

như nó đòi hỏi phải mô tả một cách chính xác các dấu hiệu, tốn nhiều tài nguyên để

lưu trữ, phụ thuộc khá nhiều vào công việc của người quản trị khi thường xuyên phải

cập nhật các cuộc tấn công mới. Phương pháp dò dựa trên phát hiện bất thường hoạt

động dựa trên nguyên tắc, sẽ định ra các trạng thái hoạt động bình thường của hệ

thống, các IPS sẽ dò và so sánh nếu tồn tại các cuộc tấn công sẽ có các hành động bất

thường xảy ra. Phương pháp này có nhiều ưu điểm hơn so với phương pháp sử dụng

dấu hiệu có khả năng dò ra các cuộc tấn công chưa biết là rất cao, đồng thời tốn ít tài

nguyên hơn nhưng nó cũng có nhược điểm đó là có thể đưa ra những cảnh báo sai nếu

như hệ thống có những dấu hiệu bất thường nhưng không phải do các cuộc xâm nhập

hay tấn công.

Tiếp đến luận văn đi vào nghiên cứu hệ thống IPS dựa trên phát hiện bất thường.

Có nhiều phương pháp phát hiện bất thường như Phân tích thống kê, Máy trạng thái

hữu hạn, Mạng Nơ-ron, Hệ chuyên gia, Mạng Bayes… Theo đó luận văn tiếp cận

tương đối kỹ một phương pháp phát hiện bất thường đó là phương pháp dựa trên khai

phá dữ liệu (KPDL). Đây là phương pháp tương đối mới có nhiều đặc điểm ưu việt

ngoài việc có khả năng phát hiện ra các cuộc tấn công dạng mới, các cuộc tấn công

kéo dài dạng DoS hay dò quét cổng, ưu điểm của nó thể hiển ở khả năng sử lý dữ liệu

trong trường hợp dữ liệu dạng thô, không đầy đủ, thiếu sót hoặc không chính xác.

Phần cuối luận văn giới thiệu một hệ thống tuy mới là dạng IDS nhưng đã được triển

khai và ứng dụng kỹ thuật KPDL tương đối hiệu quả đó là hệ thống phát hiện xâm

nhập của trường đại học Minnesota.



Hướng phát triển của luặn văn:

Ngày nay trong vấn đề an ninh mạng trước những cuộc tấn công ngày một tinh

vi của các hacker cũng như sự lây lan của nhiều loại sâu, trojan … thì việc sử dụng

các hệ thống tường lửa, chương trình anti-virus thôi là không đủ, mà chúng ta cần

phải có những hệ thống bảo vệ có khả năng phát hiện kịp thời, thậm chí là trước khi



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS

Tải bản đầy đủ ngay(73 tr)

×