Đăng ký Đăng nhập
Trang chủ Tìm hiểu, nghiên cứu hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu...

Tài liệu Tìm hiểu, nghiên cứu hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu

.PDF
70
261
127

Mô tả:

i ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG Trần Huy Phong TÌM HIỂU, NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN KHAI PHÁ DỮ LIỆU LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2015 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ii LỜI CAM ĐOAN Tôi xin cam đoan số liệu và kết quả nghiên cứu trong luận văn này là trung thực và chƣa đƣợc sử dụng để bảo vệ học hàm, học vị nào. Tôi xin cam đoan: Mọi sự giúp đỡ cho việc thực hiện luận văn này đã đƣợc cám ơn, các thông tin trích dẫn trong luận văn này đều đã đƣợc chỉ rõ nguồn gốc. Thái nguyên, ngày tháng năm TÁC GIẢ LUẬN VĂN Trần Huy Phong Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn iii LỜI CẢM ƠN Trong thời gian nghiên cứu và thực hiện luận văn này, em đã may mắn đƣợc các thầy cô chỉ bảo, dìu dắt và đƣợc gia đình, bạn bè quan tâm, động viên. Em xin bày tỏ lời cảm ơn sâu sắc nhất tới tất cả các tập thể, cá nhân đã tạo điều kiện giúp đỡ em trong suốt quá trình thực hiện nghiên cứu luận văn này. Trƣớc hết em xin trân trọng cảm ơn Ban giám hiệu trƣờng Đại học Công nghệ thông tin và truyền thông, Phòng Đào tạo và Khoa Sau đại học của nhà trƣờng cùng các thầy cô giáo, những ngƣời đã trang bị kiến thức cho em trong suốt quá trình học tập. Với lòng biết ơn chân thành và sâu sắc nhất, em xin trân trọng cảm ơn thầy giáo- TS. Trần Đức Sự, ngƣời thầy đã trực tiếp chỉ bảo, hƣớng dẫn khoa học và giúp đỡ em trong suốt quá trình nghiên cứu, hoàn thành luận văn này. Xin chân thành cảm ơn tất cả các bạn bè, đồng nghiệp đã động viên, giúp đỡ nhiệt tình và đóng góp nhiều ý kiến quý báu để em hoàn thành luận văn này. Do thời gian nghiên cứu có hạn, luận văn của em chắc hẳn không thể tránh khỏi những sơ suất, thiếu sót, em rất mong nhận đƣợc sự đóng góp của các thầy cô giáo cùng toàn thể bạn đọc. Xin trân trọng cảm ơn! Thái nguyên, ngày……tháng….năm…… TÁC GIẢ LUẬN VĂN Trần Huy Phong Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn iv MỤC LỤC MỞ ĐẦU..........................................................................................................................................1 1. Lý do chọn đề tài: ........................................................................................................................1 2. Mục tiêu nghiên cứu:..................................................................................................................2 3. Đối tƣợng và phạm vi nghiên cứu: ..........................................................................................2 4. Ý nghĩa thực tiễn của luận văn: ................................................................................................2 5. Phƣơng pháp nghiên cứu:..........................................................................................................3 CHƢƠNG I: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP ...................4 1.1 Khái niệm về hệ thống phát hiện xâm nhập. .......................................................................4 1.2 Chức năng và vai trò của hệ thống phát hiện xâm nhập. ...................................................5 1.2.1 Chức năng nhiệm vụ của IDS ........................................................................ 5 1.2.2 Vai trò của hệ thống phát hiện xâm nhập ..................................................... 8 1.3 Mô hình kiến trúc của hệ thống phát hiện xâm nhập. ........................................................9 1.3.1 Các thành phần cơ bản: .................................................................................. 9 1.3.2 Kiến trúc của hệ thống IDS:......................................................................... 11 1.4 Phân loại các hệ thống phát hiện xâm nhập ...................................................................... 13 1.4.1 Hệ thống phát hiện xâm nhập máy chủ (HIDS) ........................................ 14 1.4.2 Hệ thống phát hiện xâm nhập mạng (NIDS) ............................................. 16 1.5 Các kỹ thuật phát hiện xâm nhập của hệ thống IDS. ...................................................... 18 1.5.1 Phát hiện dựa vào dấu hiệu ( Signature-base detection) ........................... 18 1.5.2 Phát hiện dựa trên sự bất thƣờng (Abnormaly - base detection) .............. 19 1.5.3 Kỹ thuật phát hiện dựa vào phân tích trạng thái giao thức ....................... 19 1.5.4 Phát hiện dựa trên mô hình .......................................................................... 20 1.6 Hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu. ............................................... 20 CHƢƠNG II: KHAI PHÁ DỮ LIỆU .................................................................................... 23 2.1 Khái niệm về khai phá dữ liệu............................................................................................. 23 2.2 Các bài toán chính trong khai phá dữ liệu. ........................................................................ 25 2.2.1 Phân lớp (Classification) .............................................................................. 25 2.2.1.1 Quá trình phân lớp ..................................................................................................... 25 2.2.1.2 Dự đoán........................................................................................................................ 27 2.2.2. Phân cụm (Clustering) ................................................................................. 27 2.2.3. Hồi quy và dự báo ( Regression and Prediction). ..................................... 27 2.2.3.1. Hồi quy........................................................................................................................ 27 2.2.3.2. Dự báo......................................................................................................................... 28 2.2.4. Tổng hợp (summarization).......................................................................... 28 2.2.5. Mô hình hoá sự phụ thuộc (dependency modeling). ................................ 28 2.2.6. Phát hiện sự biến đổi và độ lệch (change and deviation dectection) ...... 29 2.3. Ứng dụng và phân loại khai phá dữ liệu........................................................................... 29 2.3.1 Ứng dụng ....................................................................................................... 29 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn v 2.3.2 Phân loại......................................................................................................... 30 2.4 Những thách thức và khó khăn trong khai phá dữ liệu. .................................................. 31 2.4.1. Những thách thức trong khai phá dữ liệu. ................................................. 31 2.4.2. Những khó khăn trong khai phá dữ liệu. ................................................... 31 2.4.2.1 Các vấn đề về cơ sở dữ liệu...................................................................................... 31 2.4.2.2 Một số vấn đề khác .................................................................................................... 34 CHƢƠNG III: MÔ HÌNH HỆ THỐNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN KHAI PHÁ DỮ LIỆU SỬ DỤNG KỸ THUẬT PHÂN LỚP ....................................................... 36 3.1. Đánh giá các kỹ thuật phân lớp .......................................................................................... 36 3.1.1. Khái niệm phân lớp...................................................................................... 36 3.1.1.1. Khái niệm ................................................................................................................... 36 3.1.1.2. Mục đích của phân lớp............................................................................................. 37 3.1.1.3. Các tiêu chí để đánh giá thuật toán phân lớp........................................................ 38 3.1.1.4. Các phƣơng pháp đánh giá độ chính xác của mô hình phân lớp ..................... 39 3.1.2 Phân lớp dựa trên phƣơng pháp học Naïve bayes ..................................... 39 3.1.2.1. Giới thiệu .................................................................................................................... 39 3.1.2.2. Bộ phân lớp Naïve bayes......................................................................................... 40 3.1.3 Phân lớp dựa trên cây quyết định (Decision Tree) .................................... 41 3.1.3.1. Khái niệm cây quyết định........................................................................................ 41 3.1.3.2. Giải thuật qui nạp cây quyết định (ID3)................................................................ 42 3.1.3.3. Độ lợi thông tin (Information Gain) trong cây quyết định................................. 43 3.1.3.4. Nội dung giải thuật học cây quyết định cơ bản ID3 ........................................... 43 3.1.3.5. Những thiếu sót của giải thuật ID3 ........................................................................ 46 3.1.3.6. Các vấn đề cần xem xét khi phân lớp dựa trên cây quyết định......................... 46 3.2 Xây dựng mô hình phát hiện xâm nhập trái phép sử dụng các kỹ thuật phân lớp..... 48 3.2.1 Mô hình bài toán ........................................................................................... 48 3.2.1.1 Thu thập dữ liệu.......................................................................................................... 49 3.2.1.2 Trích rút và lựa chọn các thuộc tính........................................................................ 52 3.2.1.3 Xây dựng bộ phân lớp............................................................................................... 55 3.2.2 Tiến hành thực nghiệm ................................................................................. 55 3.2.2.1 Phân lớp đa lớp ........................................................................................................... 55 3.2.2.2 Bộ phân lớp nhị phân ................................................................................................ 56 3.3 Phân tích đánh giá kết quả.................................................................................................... 58 KẾT LUẬN .................................................................................................................................. 60 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn vi DANH MỤC VIẾT TẮT Ký Hiệu Ý Nghĩa Tiếng Anh IDS Intrusion Detection System Hệ thống phát hiện xâm nhập NIDS Network-base IDS HIDS Host-based IDS KDD Knowledge Discovery and Phát hiện tri thức Data Mining AAFID Autonomous Agents for Tác nhân tự trị cho việc phát hiện Intrusion Detection xâm phạm Cơ sở dữ liệu CSDL OLAP On Line Analytical Processing Công cụ phân tích trực tuyến DARPA Defense Advanced Cơ quan dự án phòng thủ tiên tiến Research Projects Agency CPU Central Processing Unit Đơn vị xử lý trung tâm DoS Denial-of-Service Tấn công từ chối dịch vụ MADAMID Mining Audit Data for Automated Models for mô hình tự động để phát hiện xâm Instruction Detection nhập RIPPER WEKA Khai phá dữ liệu đƣợc sử dụng trong Thuật toán phân lớp dựa vào luật Waikato Enviroment for krowledge Analysis Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn vii DANH MỤC HÌNH VẼ Hình 1.1- IDS-giải pháp bảo mật bổ sung cho Firewall ................................... 5 Hình 1.2 - Quá trình thực hiện của IDS ............................................................ 7 Hình 1.3 - Mô tả chính sách bảo mật ................................................................ 8 Hình 1.4 - Các thành phần chính của IDS....................................................... 10 Hình 1.5- Một ví dụ về IDS ............................................................................ 11 Hình 1.6 - Giải pháp kiến trúc đa tác nhân. .................................................... 12 Hình 1.7 - Phân loại hệ thống phát hiện xâm nhập ........................................ 13 Hình 1.8 - Mô hình HIDS ............................................................................... 14 Hình 1.9 - Mô hình Network IDS ................................................................... 17 Hình 1.10 - Mô tả dấu hiệu xâm nhập............................................................. 18 Hình 1.11 - Quá trình khai phá dữ liệu nhằm xây dựng mô hình phát hiện xâm nhập trái phép [9]. ........................................................................................... 21 Hình 2.1 - Các bƣớc xây dựng một hệ thống khai phá dữ liệu ....................... 24 Hình 2.2 - Quá trình học ................................................................................. 26 Hình 2.3 - Quá trình phân lớp ......................................................................... 26 Hình 3.1 Ƣớc lƣợng độ chính xác mô hình phân lớp với phƣơng pháp holduot 39 Hình 3.2 - Các bƣớc xây dựng mô hình xâm nhập trái phép .......................... 48 Hình 3.3 - Quá trình khai phá tri thức ............................................................. 49 Hình 3.4 - Mô hình DoS attack ....................................................................... 50 DANH MỤC BẢNG Bảng 3.1 - Dữ liệu chơi tenis ......................................................................... 45 Bảng 3.2 - Mô tả lớp tấn công từ chối dịch vụ (DoS)..................................... 50 Bảng 3.3 - Bảng mô tả lớp tấn công trinh sát hệ thống Probe ........................ 51 Bảng 3.4 - Bảng mô tả lớp tấn công chiếm quyền hệ thống U2R .................. 51 Bảng 3.5 - Bảng mô tả lớp tấn công khai thác điểm yếu từ xa R2L ............... 52 Bảng 3.6- Mô tả 41 thuộc tính của tập dữ liệu KDD Cup 1999 ..................... 53 Bảng 3.7 – Phân phối số lƣợng bản ghi .......................................................... 54 Bảng 3.8- Độ chính xác bộ phân lớp đa lớp ................................................... 56 Bảng 3.9- Thống kê kết quả trên bộ phân lớp nhị phân sử dụng cây quyết định 57 Bảng 3.10 - Thống kê kết quả trên bộ phân lớp nhị phân sử dụng Naïve Bayes 57 DANH MỤC BIỂU ĐỒ Biểu đồ 3.1 - Biểu đồ so sánh độ chính xác (%) của hai thuật toán ............... 58 Biểu đồ 3.2 - Biểu đồ so sánh thời gian xây dựng mô hình (giây) của hai thuật toán. ................................................................................................ 59 Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 1 MỞ ĐẦU 1. Lý do chọn đề tài: Kể từ khi mạng Internet ra đời đến nay, thế giới đã chứng kiến sự thay đổi vô cùng to lớn và kì diệu về nhiều mặt của đời sống con ngƣời. Nền kinh tế thế giới và đời sống xã hội đã có nhiều sự biến đổi và ngày càng phụ thuộc vào công nghệ thông tin nói chung cũng nhƣ công nghệ Internet nói riêng. Điều đó cũng dẫn đến một mặt trái, đó là càng ngày càng nhiều các thông tin quan trọng của các cơ quan, tổ chức hay cá nhân lƣu trữ trên các mạng máy tính, mà đa số các mạng máy tính này lại không đảm bảo độ an toàn, bảo mật thông tin tuyệt đối. Đi cùng với sự phát triển đó là những nguy cơ tấn công và xâm nhập mạng không ngừng gia tăng. Các đối tƣợng tấn công và hình thức tấn công mạng ngày một đa dạng, tinh vi và phức tạp hơn. Vấn đề bảo mật, an toàn cho các hệ thống thông tin nói chung và hệ thống mạng nói riêng là một vấn đề cấp bách và rất đáng đƣợc quan tâm. Bởi vậy, để bảo vệ các hệ thống thông tin ngƣời ta sử dụng nhiều các giải pháp kỹ thuật khác nhau nhƣ hệ thống tƣờng lửa, mã hoá, mạng riêng ảo (VPN), phòng chống virus…Trong đó phát hiện xâm nhập trái phép (IDS) là một trong những công nghệ quan trọng nhất nhằm giúp các tổ chức phát hiện và ngăn chặn kịp thời các tấn công trong thời gian thực, cũng nhƣ dự đoán đƣợc các nguy cơ tấn công trong tƣơng lai [3], [5]. Chính vì vậy, nghiên cứu về hệ thống IDS sẽ giúp chúng ta nâng cao khả năng xây dựng hệ thống phòng thủ cho việc giám sát an ninh mạng. Hai phƣơng pháp cơ bản để phát hiện xâm nhập trái phép là dựa trên tập luật và dựa trên các dấu hiệu bất thƣờng [1], [2], [6], [7]. Phƣơng pháp dựa trên tập luật có thể phát hiện các tấn công dựa trên một cơ sở dữ liệu các dấu hiệu đã đƣợc định nghĩa trƣớc. Phƣơng pháp này thƣờng có độ chính xác cao cũng nhƣ ít đƣa ra các cảnh báo nhầm. Tuy nhiên, vấn đề của phƣơng pháp này là không thể phát hiện đƣợc các tấn công mới chƣa đƣợc định nghĩa hoặc cập nhật trong cơ sở dữ liệu. Phƣơng pháp dựa trên các dấu hiệu bất thƣờng có thể giúp xác định các tấn công mới nhƣng thƣờng cho độ chính xác thấp hơn so với phƣơng pháp dựa trên tập luật. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 2 Hiện nay, Khai phá dữ liệu đã có nhiều bƣớc phát triển vƣợt bậc và có nhiều ứng dụng kỹ thuật bằng các thuật toán khác nhau trong thực tế. Khai phá dữ liệu là một phƣơng pháp tiếp cận mới trong việc phát hiện xâm nhập. Xây dựng mô hình hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu là một hƣớng phát triển mới và hiệu quả trong xây dựng hệ thống IDS. Xuất phát từ những yêu cầu và lý do trên, em lựa chọn đề tài luận văn là: "Tìm hiểu, nghiên cứu hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu". Luận văn nghiên cứu khai phá dữ liệu và nghiên cứu ứng dụng mô hình hệ thống phát hiện xâm nhập trái phép dựa trên khai phá dữ liệu; Từ đó đánh giá hiệu năng của hệ thống phát hiện xâm nhập đối với các thuật toán phân lớp khác nhau trong thực tế. 2. Mục tiêu nghiên cứu: - Nghiên cứu tổng quan về hệ thống phát hiện xâm nhập. - Nghiên cứu một số thuật toán khai phá dữ liệu. - Ứng dụng một số thuật toán khai phá dữ liệu trong phát hiện xâm nhập, so sánh sự hiệu quả của các thuật toán. - Đánh giá hiệu năng cho mô hình đó bằng các thuật toán phân lớp khác nhau nhƣ: Naïve Bayes, Decision Tree. 3. Đối tƣợng và phạm vi nghiên cứu: - Nghiên cứu mô hình hệ thống IDS hiện nay và đánh giá ƣu, nhƣợc điểm của IDS. - Nghiên cứu các bài toán, kỹ thuật khai phá dữ liệu. - Ứng dụng của khai phá dữ liệu trong hệ thống phát hiện xâm nhập. - Một số thuật toán phân lớp dữ liệu. - Đánh giá hiệu năng các kỹ thuật phân lớp cho hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu. 4. Ý nghĩa thực tiễn của luận văn: - Nghiên cứu ứng dụng mô hình hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu giải quyết các vấn đề tồn tại của hệ thống IDS hiện nay. - Đánh giá hiệu quả phân lớp cho mô hình. Đồng thời đề xuất lựa chọn các kỹ thuật phân lớp phù hợp với từng loại tấn công cụ thể cho hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu đã đề xuất. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 3 5. Phƣơng pháp nghiên cứu: Việc giám sát các hành động trên mạng có thể thu thập và phân tích để phát hiện ra các tấn công mạng. Các hành động này có thể tìm thấy trong các tệp log của ứng dụng nhƣ tạo, xóa file, truy cập vào tệp có mật khẩu, gọi các lệnh của hệ thống... Việc phân tích phát hiện các tấn công dựa trên tập dữ liệu về các hành động này có thể thực hiện thông qua các thuật toán phân lớp dữ liệu, để phân lớp thành các lớp tấn công đã biết trƣớc hoặc lớp truy cập bình thƣờng. Nghiên cứu các tài liệu liên quan trong lĩnh vực khai phá dữ liệu và phát hiện xâm nhập. Tìm hiểu, nghiên cứu các kỹ thuật phát hiện xâm nhập dựa trên phƣơng pháp thống kê và khai phá dữ liệu. Trên cơ sở nghiên cứu và phân tích tập dữ liệu DARPA [15]. Phân tích bằng lý thuyết và thực nghiệm để xác định các thuộc tính quan trọng của tập dữ liệu có ảnh hƣởng đến một hành động tấn công cụ thể, từ đó trích rút và chuyển đổi thành định dạng phù hợp cho các thuật toán học phân lớp. Nghiên cứu xây dựng các thực nghiệm sử dụng phần mềm Weka [14], đánh giá hiệu quả của các thuật toán học phân lớp trên tập dữ liệu DARPA. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 4 CHƢƠNG I: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Hệ thống phát hiện xâm nhập trái phép ra đời cách đây khoảng hơn 30 năm và nó đã trở nên rất có ích cho việc bảo vệ các hệ thống mạng máy tính, bằng cách đƣa ra các cảnh báo khi có dấu hiệu tấn công vào hệ thống, từ đó cho phép ngƣời quản trị có thể xử lý kịp thời nhằm hạn chế các rủi ro do các tấn công gây ra. Chƣơng này sẽ trình bày tổng quan về IDS hiện nay, để làm cơ sở cho nghiên cứu tiếp theo trong luận văn. 1.1 Khái niệm về hệ thống phát hiện xâm nhập. Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn. Nó đƣợc đánh giá về giá trị không giống nhƣ firewall và VPN là ngăn ngừa các cuộc tấn công mà IDS cung cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công. Bởi vậy, một IDS có thể thoả mãn nhu cầu về an toàn hệ thống của bạn bằng cách cảnh báo cho bạn về khả năng các cuộc tấn công (và thỉnh thoảng thì ngoài những thông báo chính xác thì chúng cũng đƣa ra một số cảnh báo chƣa đúng). Nhìn chung, IDS không tự động cấm các cuộc tấn công hoặc là ngăn chặn những ngƣời khai thác một cách thành công, tuy nhiên, một sự phát triển mới nhất của IDS đó là hệ thống ngăn chặn xâm nhập (the intrusion prevention systems) đã có để thực hiện nhiều vai trò hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra. Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai đƣợc sử dụng để phát hiện các hành động truy nhập trái phép, có chức năng giám sát lƣu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đƣa ra cảnh báo cho nhà quản trị. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 5 Hình 1.1- IDS-giải pháp bảo mật bổ sung cho Firewall Hệ thống phát hiện xâm nhập thƣờng thực hiện việc giám sát, theo dõi và thu thập thông tin từ nhiều nguồn khác nhau. Sau đó sẽ phân tích, đánh giá nhằm phát hiện việc xâm nhập đã đƣợc thực hiện, đang xuất hiện hoặc khả năng đối phó với những xâm nhập khi đã bị xâm nhập trong các mạng và các hệ thống thông tin. Đồng thời tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ thống và thông báo đến ngƣời quản trị hệ thống. IDS đƣợc coi là công cụ bảo mật vô cùng quan trọng, nó đƣợc lựa chọn là giải pháp bảo mật đƣợc bổ sung cho Firewall. Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng, có khả năng vƣợt qua đƣợc Firewall. Nó có thể kết hợp với Firewall hoặc một số công cụ khác để đƣa ra cách đối phó với những đoạn mã độc đó. 1.2 Chức năng và vai trò của hệ thống phát hiện xâm nhập. 1.2.1 Chức năng nhiệm vụ của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác… Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 6 Ngày nay, IDS đã trở nên rất có ích và hiệu quả trong việc phòng chống và giảm thiểu các nguy cơ tấn công, bảo vệ an toàn cho các hệ thống thông tin. Hệ thống phát hiện xâm nhập trái phép IDS có các chức năng quan trọng nhất là: Giám sát – Cảnh báo – Bảo vệ. + Giám sát: Lƣu lƣợng mạng và các hoạt động khả nghi. + Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và nhà quản trị. + Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại bảo vệ sự toàn vẹn các hệ thống và các file dữ liệu quan trọng. - Ngoài ra IDS còn có các chức năng mở rộng: + Phân biệt: Phân biệt đƣợc những dấu hiệu xâm nhập (tấn công, xuất xứ từ ngoài tổ chức) và lạm dụng (tấn công, có nguồn gốc trong tổ chức). + Phát hiện: Những dấu hiệu bất thƣờng dựa trên những gì đã biết hoặc nhờ vào sự so sánh thông lƣợng mạng hiện tại với thông lƣợng gốc (baseline). Thêm vào đó, hệ thống phát hiện xâm nhập IDS còn có chức năng: - Ngăn chặn sự gia tăng của những tấn công. - Bổ sung những điểm yếu mà các hệ thống khác chƣa làm đƣợc. - Đánh giá chất lƣợng của việc thiết kế hệ thống. - Lƣu giữ thông tin liên quan đến các đối tƣợng quan sát. - Kiểm tra tính hiệu quả của firewall giữa các mạng. - Phong tỏa và kiểm tra đột nhập vào nút xác định của Internet. - Xuất báo cáo. Bên cạnh các chức năng trên, thì nhiệm vụ chính của hệ thống phát hiện xâm nhập trái phép là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công. Việc phát hiện các tấn công phụ thuộc vào số lƣợng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “mồi và bẫy” đƣợc trang bị cho việc nghiên cứu các mối đe dọa. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 7 Ngăn chặn (Prevention) Mô phỏng (Simulation) Giám sát xâm nhập (Intrusion Monitoring) Phân tích (Analysis) Kiểm tra xâm nhập (Intrusion Detection) Thông báo ( Notification) Trả lời ( Response) Hình 1.2 - Quá trình thực hiện của IDS Việc làm lệch hƣớng sự tập trung của kẻ xâm nhập vào tài nguyên đƣợc bảo vệ là một nhiệm vụ quan trọng khác. Toàn bộ hệ thống cần phải đƣợc kiểm tra một cách liên tục. Dữ liệu đƣợc tạo ra từ các hệ thống phát hiện xâm nhập đƣợc kiểm tra một cách cẩn thận để phát hiện các dấu hiệu tấn công (sự xâm phạm). Việc phòng chống xâm nhập đòi hỏi một sự kết hợp tốt đƣợc lựa chọn của "mồi và bẫy" nhằm điều tra các mối đe dọa, nhiệm vụ chuyển hƣớng sự chú ý của kẻ xâm nhập từ các hệ thống cần bảo vệ sang các hệ thống giả lập là nhiệm vụ của một dạng IDS riêng biệt (HoneypotIDS). Một khi xâm nhập đã đƣợc phát hiện, hệ thống IDS phát các cảnh báo đến ngƣời quản trị về sự kiện này. Bƣớc tiếp theo đƣợc thực hiện, hoặc bởi các quản trị viên hoặc bởi chính hệ thống IDS, bằng cách áp dụng các biện pháp đối phó (chấm dứt phiên làm việc, sao lƣu hệ thống, định tuyến các kết nối đến Honeypot IDS hoặc sử dụng các cơ sở hạ tầng pháp lý…) tùy thuộc vào chính sách an ninh của mỗi tổ chức. Hệ thống IDS là một thành phần của chính sách bảo mật. Trong số các nhiệm vụ IDS khác nhau, nhận dạng kẻ xâm nhập là một trong những nhiệm vụ cơ bản. Nó có thể hữu ích trong các nghiên cứu giám định sự cố và tiến hành cài đặt các bản patches thích hợp để cho phép phát hiện các cuộc tấn công trong tƣơng lai nhắm vào mục tiêu cụ thể. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 8 1.2.2 Vai trò của hệ thống phát hiện xâm nhập Hình 1.3 - Mô tả chính sách bảo mật Hệ thống phát hiện xâm nhập giúp giám sát lƣu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Nó cũng có thể phân biệt giữa những tấn công từ bên trong (từ những ngƣời trong công ty) hay tấn công từ bên ngoài (từ các hacker). Vai trò của hệ thống phát hiện xâm nhập ngày càng trở nên quan trọng và rất đƣợc quan tâm. Hệ thống phát hiện xâm nhập dùng để lắng nghe, dò tìm các gói tin qua hệ thống mạng để phát hiện những dấu hiệu bất thƣờng trong mạng. Thông thƣờng những dấu hiệu bất thƣờng là những dấu hiệu của những cuộc tấn công xâm nhập mạng. IDS sẽ phát những tín hiệu cảnh báo tới ngƣời quản trị mạng. * Phát hiện các nguy cơ tấn công và truy nhập trái phép - Đây là vai trò chính của một hệ thống phát hiện xâm nhập IDS, nó có nhiệm vụ xác định những tấn công và truy nhập trái phép vào hệ thống mạng bên trong. - Hệ thống IDS có khả năng hỗ trợ phát hiện các nguy cơ an ninh đe dọa mạng mà các hệ thống khác (nhƣ bức tƣờng lửa) không có, kết hợp với hệ thống ngăn chặn xâm nhập (IPS) giúp cho hệ thống chặn đứng, hạn chế các cuộc tấn công, xâm nhập từ bên ngoài. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 9 * Tăng khả năng hiểu biết về những gì đang hoạt động trên mạng IDS cung cấp khả năng giám sát xâm nhập và khả năng mô tả an ninh để cung cấp kiến thức tổng hợp về những gì đang chạy trên mạng từ góc độ ứng dụng cũng nhƣ góc độ mạng cùng với khả năng liên kết với phân tích, điều tra an ninh nhằm đƣa ra các thông tin về hệ thống nhờ đó giúp ngƣời quản trị nắm bắt và hiểu rõ những gì đang diễn ra trên mạng. * Khả năng cảnh báo và hỗ trợ ngăn chặn tấn công - IDS có thể hoạt động trong các chế độ làm việc của một thiết bị giám sát thụ động (sniffer mode) hỗ trợ cho các thiết bị giám sát chủ động hay nhƣ là một thiết bị ngăn chặn chủ động (khả năng loại bỏ lƣu lƣợng khả nghi). - IDS hỗ trợ cho các hệ thống an ninh đƣa ra các quyết định về lƣu lƣợng dựa trên địa chỉ IP hoặc cổng cũng nhƣ đặc tính của tấn công. - IDS còn có thể cảnh báo và ghi lại các biến cố cũng nhƣ thực hiện bắt giữ gói lƣu lƣợng khi phát hiện tấn công để cung cấp cho nhà quản trị mạng các thông tin để phân tích và điều tra các biến cố. - Ngay sau khi các phép phân tích và điều tra đƣợc thực hiện, một quy tắc loại bỏ lƣu lƣợng sẽ đƣợc đƣa ra dựa trên kết quả phân tích, điều tra đó. - Tổ hợp của những thuộc tính và khả năng này cung cấp cho nhà quản trị mạng khả năng tích hợp IDS vào mạng và tăng cƣờng an ninh đến một mức độ mà trƣớc đây không thể đạt đến bằng các biện pháp đơn lẻ nhƣ bức tƣờng lửa. 1.3 Mô hình kiến trúc của hệ thống phát hiện xâm nhập. Ngày nay ngƣời ta phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của các hệ thống. Mỗi hệ thống có những ƣu điểm cũng nhƣ khuyết điểm riêng . 1.3.1 Các thành phần cơ bản: Kiến trúc của một hệ thống IDS bao gồm các thành phần chính cơ bản sau: - Thành phần thu thập thông tin (information collection). - Thành phần phân tích thông tin (detection). - Thành phần phản hồi (respotion). Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 10 Trong ba thành phần này thì thành phần phân tích thông tin là quan trọng nhất và trong thành phần này sensor đóng vai trò quyết định. Sensor đƣợc tích hợp với thành phần thu thập dữ liệu. Cách thu thập này đƣợc xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống. Số chính sách này cùng với thông tin chính sách có thể đƣợc lƣu trong hệ thống đƣợc bảo vệ hoặc bên ngoài. - Sensor/ Agent: giám sát và phân tích các hoạt động. “Sensor” thƣờng đƣợc dùng cho dạng NIDS trong khi “Agent” thƣờng đƣợc dùng cho dạng HIDS. - Management Server: là một thiết bị trung tâm dùng thu nhận các thông tin từ Sensor/ Agent và quản lý chúng. - Database: dùng lƣu trữ thông tin từ Sensor/ Agent hay Management Server. - Console: là chƣơng trình cung cấp giao diện cho IDS users/ Admins. Có thể cài đặt trên một máy tính bình thƣờng dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích. Hình 1.4 - Các thành phần chính của IDS Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 11 1.3.2 Kiến trúc của hệ thống IDS: Bộ cảm biến (sensor) là yếu tố cốt lõi trong một hệ thống phát hiện xâm nhập, nó có trách nhiệm phát hiện các xâm nhập nhờ chứa những cơ cấu ra quyết định đối với sự xâm nhập. Sensor nhận dữ liệu thô từ ba nguồn thông tin chính: kiến thức cơ bản (knowledge base) của IDS, syslog và audit trail. Các thông tin này tạo cơ sở cho quá trình ra quyết định sau này. Hình 1.5- Một ví dụ về IDS Bộ cảm biến đƣợc tích hợp với thành phần sƣu tập dữ liệu, bộ tạo sự kiện. Cách sƣu tập này đƣợc xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể đƣợc lƣu trong hệ thống đƣợc bảo vệ hoặc bên ngoài. Trong những trƣờng hợp nhất định, dữ liệu không đƣợc lƣu trữ mà đƣợc chuyển trực tiếp đến các phân tích (thông thƣờng áp dụng với các gói packet). Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tƣơng thích đạt đƣợc từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện đƣợc các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Ngoài ra còn có các thành phần dấu hiệu tấn công, các hành vi thông thƣờng, các tham số cần thiết (ví dụ: các ngƣỡng). Thêm vào đó, cơ Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 12 sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với công cụ đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lƣu về các xâm nhập phức tạp tiềm ẩn (tạo ra từ nhiều hành động khác nhau). Giải pháp kiến trúc đa tác nhân đƣợc đƣa ra năm 1994 là AAFID (các tác nhân tự trị cho việc phát hiện xâm phạm). Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó. Ví dụ: một tác nhân có thể cho biết một số không bình thƣờng các telnet session bên trong hệ thống nó kiểm tra. Tác nhân có khả năng đƣa ra một cảnh báo khi phát hiện một sự kiện khả nghi. Các tác nhân có thể đƣợc nhái và thay đổi bên trong các hệ thống khác (tính năng tự trị). Vai trò của tác nhân là để kiểm tra và lọc tất cả các hành động bên trong vùng đƣợc bảo vệ và phụ thuộc vào phƣơng pháp đƣợc đƣa ra – tạo phân tích bƣớc đầu và thậm chí đảm trách cả hành động đáp trả. Mạng các tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm là một trong những thành phần quan trọng của IDS (IDS có thể sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt đƣợc trang bị sự phát hiện các tấn công phân tán). Hình 1.6 - Giải pháp kiến trúc đa tác nhân. Các vai trò khác của tác nhân liên quan đến khả năng lƣu động và tính roaming của nó trong các vị trí vật lý. Thêm vào đó, các tác nhân có thể đặc biệt dành cho việc phát hiện dấu hiệu tấn công đã biết nào đó. Đây là một hệ số quyết định khi nói đến nghĩa vụ bảo vệ liên quan đến các kiểu tấn công mới. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 13 Một phần trong các tác nhân, hệ thống có thể có các bộ phận thu phát để kiểm tra tất cả các hành động đƣợc kiểm soát bởi các tác nhân ở một host cụ thể nào đó. Các bộ thu nhận luôn luôn gửi các kết quả hoạt động của chúng đến bộ kiểm tra duy nhất. Các bộ kiểm tra nhận thông tin từ các mạng (không chỉ từ một host), điều đó có nghĩa là chúng có thể tƣơng quan với thông tin phân tán. Thêm vào đó một số bộ lọc có thể đƣợc đƣa ra để chọn lọc và thu thập dữ liệu. 1.4 Phân loại các hệ thống phát hiện xâm nhập * Phát hiện xâm nhập: - Là quy trình chính thức đƣợc đặc trƣng bằng việc thu thập các thông tin về các mẫu sử dụng không bình thƣờng cũng nhƣ làm gì, làm nhƣ thế nào, điểm yếu nào đã bị khai thác, nó xảy ra nhƣ thế nào và xảy ra khi nào. - Phát hiện xâm nhập là tập hợp các kỹ thuật và phƣơng pháp đƣợc sử dụng để phát hiện các hành vi đáng ngờ cả ở cấp độ mạng và máy chủ. Một IDS nghe ngóng tất cả các luồng thông tin vào trong các mạng nội bộ để xác định xâm nhập nào đã bị vi phạm, đang xảy ra, hay đã xảy ra và khả năng phản ứng với xâm nhập, cũng nhƣ cảnh báo cho ngƣời thích hợp. Hình 1.7 - Phân loại hệ thống phát hiện xâm nhập Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn
- Xem thêm -

Tài liệu liên quan