Tài liệu An toàn cơ sở dữ liệu phần 4

Chương 4. PHÁT HIỆN XÂM NHẬP CƠ SỞ DỮ LIỆU TRÁI PHÉP GV: Nguyễn Phương Tâm MỤC TIÊU Giới thiệu một số công cụ phát hiện xâm nhập trái phép Trình bày hướng tiếp cận dựa vào các hệ chuyên gia Trình bày các xu hướng chung trong việc phát hiện xâm nhập Trường CĐ CNTT HN Việt Hàn 2/81 Nguyễn Phương Tâm NỘI DUNG 4.1 Giới thiệu 4.2 Các công cụ tự động phát hiện xâm nhập 4.3 Hướng tiếp cận dựa vào hệ chuyên gia 4.4 Kiểm toán trong các hệ thống quản trị CSDL tin cậy 4.5 Các xu hướng chung trong phát hiện xâm nhập Trường CĐ CNTT HN Việt Hàn 3/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Mục đích của các biện pháp phát hiện xâm nhập máy tính là phát hiện ra các loại xâm phạm an toàn cơ bản như:  Xâm phạm tính toàn vẹn.  Từ chối dịch vụ.  Truy nhập trái phép. Trường CĐ CNTT HN Việt Hàn 4/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu quả của các biện pháp phát hiện xâm nhập này, như:  Người sử dụng áp dụng các biện pháp này chưa đúng  Các kiểm soát an toàn làm giảm hiệu năng của hệ thống.  Những người sử dụng hợp pháp có thể lạm dụng quyền của mình bằng những điểm yếu mà các biện pháp phát hiện xâm nhập chưa phát hiện ra. Trường CĐ CNTT HN Việt Hàn 5/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Phát hiện xâm nhập là gì?  Phát hiện xâm nhập là khả năng nhận dạng xâm nhập do các cá nhân gây ra, bao gồm: những người sử dụng hệ thống bất hợp pháp (“tội phạm máy tính” - hacker) và những người sử dụng hợp pháp nhưng lại lạm dụng các đặc quyền của mình (“đe doạ bên trong”). Trường CĐ CNTT HN Việt Hàn 6/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Ví dụ:  Sửa đổi trái phép các tập tin để có thể truy nhập vào dữ liệu.  Truy nhập hoặc sửa đổi trái phép các tập tin người sử dụng và thông tin.  Sửa đổi trái phép các bảng của hệ thống (chẳng hạn như sửa đổi các bảng định tuyến để chối bỏ sử dụng mạng).  Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có. Trường CĐ CNTT HN Việt Hàn 7/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Mô hình phát hiện xâm nhập: Khả năng phát hiện xâm nhập máy tính phụ thuộc vào sự xuất hiện của một mô hình phát hiện xâm nhập. Hiện nay có hai kiểu mô hình phát hiện xâm nhập được các hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) áp dụng là:  Mô hình phát hiện tình trạng bất thường (Anomaly detection models)  Mô hình phát hiện sự lạm dụng (Misuse detection models) Trường CĐ CNTT HN Việt Hàn 8/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Mô hình phát hiện tình trạng bất thường: Các mô hình này cho phép so sánh profile (trong đó có lưu các hành vi bình thường của một người sử dụng) một cách có thống kê với các tham số trong phiên làm việc của người sử dụng hiện tại. Các sai lệch 'đáng kể' so với hành vi bình thường sẽ được hệ thống IDS báo cáo lại cho chuyên gia an ninh, các sai lệch được đo bằng một ngưỡng (do mô hình xác định hoặc chuyên gia an ninh đặt ra). Trường CĐ CNTT HN Việt Hàn 9/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Mô hình phát hiện sự lạm dụng: Mô hình này trợ giúp việc so sánh các tham số trong phiên làm việc của người sử dụng với các mẫu tấn công đã có, được lưu trong hệ thống. Trường CĐ CNTT HN Việt Hàn 10/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Cơ chế làm việc dựa vào kiểm toán: Các IDS kiểm soát hành vi của người sử dụng trong hệ thống bằng cách theo dõi các yêu cầu mà người sử dụng thực hiện và ghi chúng vào một vết kiểm toán thích hợp. Sau đó phân tích vết kiểm toán này để phát hiện dấu hiệu đáng nghi của các yêu cầu đó. Trường CĐ CNTT HN Việt Hàn 11/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Nhược điểm:  Các kiểm soát kiểm toán rất phức tạp và được tiến hành sau cùng.  Việc kiểm toán được thực hiện thủ công với một khối lượng lớn dữ liệu kiểm toán, do đó hạn chế rất nhiều khả năng làm việc của hệ thống.  Các kiểm soát kiểm toán này không được tiến hành thường xuyên. Kết quả là các tấn công vào hệ thống không được phát hiện thường xuyên, hoặc chỉ được phát hiện sau khi chúng đã xảy ra được một thời gian khá lâu. Trường CĐ CNTT HN Việt Hàn 12/81 Nguyễn Phương Tâm 4.1 GIỚI THIỆU Một số IDS:  Các IDS dựa vào việc phân tích các vết kiểm toán do hệ điều hành (OS) đưa ra, ví dụ như IDES (hệ chuyên gia phát hiện xâm nhập) của SRI.  MIDAS của Trung tâm an ninh quốc gia.  Haystack System của Thư viện Haystack.  Wisdom & Sense của thư viện quốc gia Alamos... Trường CĐ CNTT HN Việt Hàn 13/81 Nguyễn Phương Tâm 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Các hệ thống phát hiện xâm nhập (IDS) được sử dụng kết hợp với các kiểm soát truy nhập, nhằm phát hiện ra các xâm phạm hoặc các cố gắng xâm phạm có thể xảy ra. Kiến trúc cơ bản của một IDS Trường CĐ CNTT HN Việt Hàn 14/81 Nguyễn Phương Tâm 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Kiến trúc cơ bản của một IDS Vết kiểm toán (Audit trail) CSDL mẫu tấn công Nhân viên an ninh (Security officer) Trường CĐ CNTT HN Việt Hàn Phát hiện sự bất thường (Anomaly detection) Phân tích sự lạm dụng (Misuse analysis) CSDL profile Mức nghi ngờ (Suspicion level) 15/81 Nguyễn Phương Tâm 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Các bước xử lý Tiền xử lý Phân tích bất thường So sánh mẫu Cảnh báo Trường CĐ CNTT HN Việt Hàn 16/81 Nguyễn Phương Tâm 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP  Khi phân tích an toàn dữ liệu kiểm toán, một mục đích của các công cụ tự động là giảm khối lượng dữ liệu kiểm toán được xem xét một cách thủ công. Các công cụ này có thể đưa ra các bằng chứng về sự cố gắng xâm phạm an toàn hệ thống trực tuyến hoặc ngoại tuyến.  Sử dụng dữ liệu kiểm toán, ta phân loại các đe doạ có thể xảy ra với hệ thống như: các đối tượng xâm nhập bên ngoài, xâm nhập bên trong và đối tượng lạm dụng quyền gây ra.  Trong số các đối tượng xâm nhập bên trong, nguy hiểm chính là những „người sử dụng bí mật‟ được định nghĩa là những người có thể tránh được các kiểm soát truy nhập và kiểm toán, bằng cách sử dụng các đặc quyền của hệ thống, hoặc hoạt động tại mức thấp hơn mức kiểm toán. Trường CĐ CNTT HN Việt Hàn 17/81 Nguyễn Phương Tâm 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Chúng ta có thể giải quyết tình trạng này bằng cách:  Giảm mức kiểm toán xuống thấp hơn. (Ví dụ, mức kiểm toán chỉ đến mức file, bảng CSDL, ta giảm xuống mức bản ghi, mức cột, mức phần tử...)  Định nghĩa các mẫu sử dụng thông thường của các tham số hệ thống (như hoạt động của CPU, bộ nhớ và sử dụng ổ đĩa) và so sánh chúng các giá trị thực trong quá trình sử dụng hệ thống. Trường CĐ CNTT HN Việt Hàn 18/81 Nguyễn Phương Tâm 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP Từ các vết kiểm toán ghi lại được, các IDS tiến hành một số kiểu phân tích như sau:  So sánh hoạt động của người sử dụng với các profile để phát hiện sự bất thường,  So sánh với các phương pháp tấn công đã biết để phát hiện lạm dụng và một số chương trình thì tiến hành cả hai. Trường CĐ CNTT HN Việt Hàn 19/81 Nguyễn Phương Tâm 4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP  Hoạt động của IDS  Các IDS chấp nhận các bản ghi kiểm toán từ một (hoặc một số) máy chủ (host).  Trích lọc ra các đặc điểm liên quan đến phân tích và tạo ra một profile có lưu các hoạt động  So sánh nó với CSDL bên trong của máy chủ. Nếu CSDL này là một CSDL cho phát hiện bất thường thì việc so sánh mang tính chất thống kê, còn nếu nó là một CSDL lạm dụng thì tiến hành đối chiếu mẫu khi so sánh.  Cuối cùng, IDS sử dụng các phương pháp so sánh như: suy diễn, phân tích dự báo, hoặc các phương pháp xấp xỉ khác. Trường CĐ CNTT HN Việt Hàn 20/81 Nguyễn Phương Tâm