Tài liệu Nghiên cứu ứng dụng mạng nơron trong bài toán phát hiện truy cập trái phép

i MỤC LỤC LỜI CẢM ƠN ....................................................................................................................... iii MỞ ĐẦU................................................................................................................................ 2 Tính cấp thiết của đề tài ................................................................................................................ 2 Tổng quan về vấn đề nghiên cứu.................................................................................................... 2 Mục đích nghiên cứu ..................................................................................................................... 3 Đối tượng và phạm vi nghiên cứu .................................................................................................. 4 Phương pháp nghiên cứu ............................................................................................................... 5 Chương 1: Cơ sở lý thuyết ............................................................................................................. 5 Chương 2: Tìm hiểu và nghiên cứu các phương pháp phát hiện tấn công trong hệ thống IDS ....... 5 Chương 3: Phương pháp phát hiện xâm nhập dựa trên mạng Nơ-ron ........................................... 5 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT ......................................................................................... 6 1.1. Tổng quan về tấn công mạng .............................................................................................. 6 1.1.1. Khái niệm ............................................................................................................................................. 6 1.1.2. Các kiểu tấn công mạng ....................................................................................................................... 6 1.2. Bài toán phát hiện xâm nhập mạng .................................................................................... 7 1.2.1. Phát hiện xâm nhập mạng .................................................................................................................... 7 1.2.2. Phân loại phương pháp phát hiện xâm nhập mạng .............................................................................. 8 1.3. Hệ thống phát hiện xâm nhập IDS .................................................................................... 10 1.3.1 Thành phần của hệ thống IDS ................................................................................................................... 10 1.3.2. 1.4. Phân loại các hệ thống IDS................................................................................................................ 12 Kết luận chương ............................................................................................................... 16 CHƯƠNG 2: TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IDS......................................................................................... 17 2.1. Thế nào là bất thường trong mạng.................................................................................... 17 2.2. Các nguồn dữ liệu dùng cho phát hiện bất thường............................................................ 19 2.2.1. Network Probes .................................................................................................................................. 19 2.2.2. Lọc gói tin cho việc phân tích luồng .................................................................................................. 19 2.2.3. Dữ liệu từ các giao thức định tuyến ................................................................................................... 20 2.2.4. Dữ liệu từ các giao thức quản trị mạng ............................................................................................. 20 2.3. Các phương pháp phát hiện bất thường ........................................................................... 21 2.3.1. Phương pháp hệ chuyên gia (rule-based) .......................................................................................... 22 2.3.2. Phương pháp mạng nơ-ron (Artificial Neural Network) .................................................................... 23 2.3.3. Phân tích thống kê .............................................................................................................................. 28 ii 2.3.4. Mạng Bayes (Bayesian network based).............................................................................................. 31 2.3.5. Máy trạng thái hữu hạn ...................................................................................................................... 32 2.4. Kết luận chương ............................................................................................................... 33 CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP DỰA TRÊN MẠNG NƠ-RON.... 35 3.1. Mô hình mạng nơ-ron trong bài toán phát hiện xâm nhập ............................................... 35 3.1.1. Mạng nhiều lớp truyền thẳng - MLP .................................................................................................. 38 3.1.2. Thuật toán học theo phương pháp lan truyền ngược sai số trong mạng nơ-ron MLP ....................... 40 3.1.3. Một số vấn đề cần chú ý khi sử dụng mạng MLP ............................................................................... 43 3.2. Bộ dữ liệu KDD cup 99 ..................................................................................................... 49 3.3. Tiền xử lý dữ liệu .............................................................................................................. 52 3.3.1. Chuyển các giá trị phi số sang số....................................................................................................... 53 3.3.2. Chuẩn hóa lại các giá trị đầu vào của tập dữ liệu 10% KDD 99 ...................................................... 55 3.3.3. Loại bỏ các bản ghi trùng lặp trong tập dữ liệu 10% KDD 99 .......................................................... 57 3.3.4. Loại bỏ các đặc trưng dư thừa trong tập KDD 99 ............................................................................. 58 3.4. Đánh giá kết quả phát hiện xâm nhập bước đầu với 5 lớp đầu ra ..................................... 60 3.5. Phương pháp cải tiến chất lượng hệ thống IDS sử dụng mạng nơ-ron .............................. 64 3.6. Kết quả thực nghiệm sau khi cải tiến ................................................................................ 67 3.7. Kết luận chương ............................................................................................................... 72 KẾT LUẬN .......................................................................................................................... 73 Kết quả đạt được ......................................................................................................................... 73 Hướng nghiên cứu tương lai ........................................................................................................ 74 DANH MỤC CÁC TÀI LIỆU THAM KHẢO ........................................................................ 75 iii DANH MỤC ẢNH Hình 1. 1: Mô hình cảnh báo với NIDS [1] ........................................................................ 12 Hình 1. 2: Hệ thống Host-based Intrusion Detection [1] ................................................... 15 Hình 1. 3: Hệ thống Hybrid Intrusion Detection ................................................................ 16 Hình 2. 1: Mô hình hệ thống phát hiện bất thường dựa trên rule-based [1] ....................... 23 Hình 2. 2: Mô hình mạng nơ-ron trong phát hiện bất thường ............................................ 25 Hình 2. 3: Cấu trúc một hệ thống phát hiện bất thường sử dụng SOM [1] ........................ 27 Hình 2. 4: Thiết kế của mạng SOM [1] .............................................................................. 28 Hình 2. 5: Mô hình FSM cho kết nối TCP [1] ................................................................... 33 Hình 3. 1: Các bước kiểm tra dữ liệu với mô hình mạng nơ-ron đã huấn luyện................ 36 Hình 3. 2: Sơ đồ hoạt động mạng nơ-ron trong quá trình huấn luyện ............................... 37 Hình 3. 3: Phát hiện gói tin bất thường sử dụng mạng nơ-ron ........................................... 38 Hình 3. 4: Mạng MLP tổng quát [3] ................................................................................... 39 Hình 3. 5: Đường nét đứt thể hiện cơ chế lan truyền ngược để điều chỉnh lại trọng số .... 41 Hình 3. 6: Hàm sigmoid g(x) = 1/(1+e-x) [4]..................................................................... 43 Hình 3. 7: Nội suy hàm y = sin(x/3) + v, 0≤ x ≤ 20 sử dụng MLP [12] ............................ 45 Hình 3. 8: Huấn luyện luân phiên trên hai tập mẫu [3] ...................................................... 46 Hình 3. 9: Tỉ lệ phát hiện thành công với hàm trainbfg ..................................................... 62 Hình 3. 10: Tỉ lệ phát hiện thành công với hàm traincgf ................................................... 63 Hình 3. 11: Tỉ lệ phát hiện thành công với hàm traingdm ................................................. 63 Hình 3. 12: Tỉ lệ phát hiện thành công với hàm traingdx................................................... 63 Hình 3. 13: Kết hợp mạng nơ-ron và Snort để cải tiến chất lượng phát hiện xâm nhập .... 66 Hình 3. 14: Giao diện chính chương trình phát hiện xâm nhập sử dụng mạng nơ-ron ...... 68 Hình 3. 15: Thông số các lớp đầu vào và đầu ra của mạng nơ-ron .................................... 68 Hình 3. 16: Quá trình học của mạng nơ-ron ....................................................................... 69 Hình 3. 17: Đồ thị huấn luyện của mạng ............................................................................ 70 Hình 3. 18: Kết quả test trên một dòng dữ liệu (1,0,0 là trạng thái Normal) ..................... 70 Hình 3. 19: Kết quả test trên 22544 dòng dữ liệu độc lập với bộ train .............................. 70 Hình 3. 20: Các luật dùng để phát hiện tấn công U2R và R2L .......................................... 72 iv DANH MỤC BẢNG Bảng 3. 1: Mô tả các đặc trưng của bộ dữ liệu KDD cup 99 ............................................. 49 Bảng 3. 2: Đặc điểm cơ bản của các tập con dữ liệu thuộc bộ KDD cup 99 [5]................ 52 Bảng 3. 3: Chuyển các chữ phi số sang chữ số .................................................................. 53 Bảng 3. 4: Nhãn lớp xuất hiện trong "10% KDD 99" dataset ............................................ 54 Bảng 3. 5: Giá trị nhỏ nhất và lớn nhất của các cột trong tập 10% KDD 99 ..................... 56 Bảng 3. 6: Số lượng mẫu dữ liệu của R2L, U2R sau khi đã loại bỏ trùng lặp ................... 64 Bảng 3. 7: Nhãn đầu ra của 3 lớp Normal, DoS, Probe ..................................................... 66 Bảng 3. 8: Kết quả phát hiện xâm nhập với nhiều mô hình mạng nơ-ron khác nhau. ....... 71 1 LỜI CẢM ƠN Trước tiên tôi xin được gửi lời cảm ơn chân thành tới các thầy cô giáo trong khoa Công nghệ thông tin, đã truyền đạt cho chúng tôi nguồn kiến thức vô cùng quý báu, cũng như cách học tập và nghiên cứu khoa học hiệu quả. Đặc biệt, tôi xin gửi lời cảm ơn chân thành nhất tới TS. Vũ Tất Thắng – viện công nghệ thông tin – viện Hàn lâm Khoa học và Công nghệ Việt Nam. Thầy đã hướng dẫn và định hướng giúp tôi hoàn thành tốt luận văn này. Trong quá trình thực hiện luận văn, tôi đã nhận được sự giúp đỡ của các bạn trong lớp Khoa học máy tính. Mặc dù rất cố gắng nhưng không thể tránh khỏi những thiếu sót trong lúc thực hiện, tôi rất mong đón nhận những đóng góp ý kiến từ bạn bè, thầy cô. Một lần nữa tôi chân thành cảm ơn! 2 MỞ ĐẦU Tính cấp thiết của đề tài Mặc dù ra đời chưa lâu nhưng mạng Internet đã phát triển mạnh mẽ và ngày nay nó có ảnh hưởng sâu rộng trong hầu hết tất cả các lĩnh vực của đời sống con người. Bên cạnh những lợi ích to lớn thì nó cũng mang lại nguy cơ bị tấn công không nhỏ cho các tổ chức và người dùng kết nối vào Internet. Các cuộc tấn công mạng trên toàn thế giới không ngừng tăng về số lượng cũng như mức độ nguy hiểm của chúng [12]. Những cuộc tấn công mạng có thể gây ra những hậu quả nghiêm trọng về kinh tế, xã hội thậm chí ảnh hưởng tới an ninh chính trị của một quốc gia. Tại Việt Nam, trong những năm gần đây chúng ta không ít lần chứng kiến các hệ thống website nổi tiếng bị tin tặc tấn công như:dantri.com.vn, vietnamnet.vn, vff.org.vn...[12], [13], [14], [15]. Việc phát hiện và xử lý thủ phạm gây ra các cuộc tấn công là cực kì khó khăn. Giải pháp kỹ thuật phổ biến cho vấn đề này là tìm cách phát hiện sớm các cuộc tấn công mạng để từ đó có giải pháp thích hợp xử lý đối phó với chúng. Tổng quan về vấn đề nghiên cứu Một số hệ thống phát hiện xâm nhập ra đời (IDS – Intrusion Detection System) nhằm phát hiện và ngăn chặn sớm các cuộc tấn công mạng. Hai hướng tiếp cận phổ biến để xây dựng hệ thống IDS là: xây dựng Hệ chuyên gia (rule-based) [1] và hướng ứng dụng Học máy (SVM, mạng nơ-ron...). Mỗi phương pháp đều mang lại những hiệu quả nhất định, nhưng bên cạnh đó chúng còn tồn tại những hạn chế riêng: - Hệ chuyên gia (rule-based): Phương pháp này sử dụng các luật tấn công đã biết trước, dựa vào các luật được định nghĩa trong hệ thống mà khi có cuộc tấn công mới thì hệ thống sẽ so sánh các đặc trưng, dấu hiệu của gói tin với tập luật đã có. Hệ thống phát hiện dựa trên hệ chuyên gia có thể kể đến như Snort. Ưu điểm là khi đã được định nghĩa luật cho cuộc tấn công thì khả năng phát hiện nhầm rất thấp, hệ thống này có thể thêm các luật mới rất linh động, cơ chế hoạt động không quá phức tạp. Nhược điểm là khi không có 3 luật cho kiểu tấn công mới thì hệ thống không phát hiện được. Số lượng luật nhiều hệ thống sẽ hoạt động chậm hơn. IDS dạng này phụ thuộc rất nhiều vào khả năng cập nhật luật mới cũng như trình độ am hiểu về bảo mật của người quản trị. - Ứng dụng học máy: Phương pháp này ra đời với mục đích khắc phục việc phải cập nhật các luật mới có thể tạo ra xung đột trong tập luật đã có, vốn chỉ phù hợp với các mô hình qui mô vừa và nhỏ. Thay vào đó hệ thống IDS sẽ được học mô hình phát hiện bất thường dựa trên một số lượng nhất định các mẫu dữ liệu được thu thập. Hiệu quả của phương pháp này thường cho ra hệ thống có khả năng tốt hơn đồng thời lại linh động trong thay đổi huấn luyện. Với cách tiếp cận này, người ta có thể dễ dàng hơn trong việc xây dựng các hệ thống IDS phức tạp, việc phát hiện xâm nhập không đơn thuần chỉ là phát hiện nhằm cảnh báo có tấn công hay không tấn công mà còn có thể đưa ra loại hình, tính năng chi tiết của cuộc tấn công tương ứng. Mạng nơ-ron là một phương pháp học máy được chọn trong luận văn để ứng dụng cho bài toán phát hiện xâm nhập theo phương pháp học máy. Trên thực tế, hướng tiếp cận ứng dụng học máy cũng không đảm bảo cho kết quả tốt trong mọi tình huống. Ví dụ, các hình thức tấn công như DoS,DDoS, Probe (thăm dò), U2R (leo thang đặc quyền)... thường có tần suất chênh lệch nhau rất nhiều. Các cuộc tấn công DoS là rất phổ biến nhưng các cuộc tấn công leo thang đặc quyền lại rất ít để lấy mẫu cho huấn luyện. Điều này dẫn đến tình trạng dữ liệu thu thập được khi áp dụng cho học máy cũng có tỉ lệ chênh lệch rất lớn giữa các kiểu tấn công, dẫn đến việc dự báo bị thiên vị cho các trường hợp dữ liệu nhiều và ít hiệu quả với các trường hợp dữ liệu ít, đôi khi làm giảm cả chất lượng dự báo chung của cả hệ thống. Mục đích nghiên cứu Mục đích của đề tài là tìm hiểu mạng nơ-ron để áp dụng cho bài toán phát hiện xâm nhập. Bên cạnh đó đề tài còn quan tâm đến việc cải tiến chất lượng hệ thống IDS, 4 nhằm mục đích phát hiện chính xác hơn và không thiên vị giữa các kiểu cảnh báo tấn công trong điều kiện dữ liệu huấn luyện chênh lệch nhau. Trong quá trình thực hiện luận văn có thể thực hiện một số giải pháp cải tiến sau: - Cải tiến bộ dữ liệu huấn luyện bằng cách loại bỏ các bản ghi trùng lặp, việc loại bỏ này cũng giúp phần giảm bớt sự thiên vị trong cảnh báo. Luận văn cũng muốn giảm bớt một số thuộc tính dư thừa trong mỗi bản ghi bằng cách kế thừa một nghiên cứu của Mukkamala và Sung [10], việc loại bỏ thuộc tính dư thừa giúp quá trình huấn luyện trở nên nhanh hơn, chính xác hơn. - Kết hợp hệ thống chuyên gia (rule-based) cùng với mạng nơ-ron. Hệ thống rule-based sẽ được dùng để phát hiện các kiểu tấn công ít phổ biến, như thế các luật thêm vào hệ thống cũng không nhiều, độ chính xác và thời gian phát hiện nhanh. Hệ thống IDS sử dụng mạng nơ-ron sẽ dùng để phát hiện các kiểu tấn công có tần suất lớn, nhằm hạn chế việc phải thêm quá nhiều luật bằng tay. Đối tượng và phạm vi nghiên cứu Nghiên cứu kỹ thuật học máy mạng nơ-ron, sau đó ứng dụng để làm công cụ phân loại các kết nối mạng trên bộ dữ liệu KDD cup 99. Trong chương trình đánh giá phát hiện tấn công mạng của Cơ quan Quản lý Nghiên cứu Dự Án Bộ quốc phòng Mỹ (DARPA), một môi trường đã được thiết lập để thu được các dữ liệu thô về TCP/IP dump cho một mạng được mô phỏng giống như mạng LAN của Không lực Hoa Kỳ. Với mỗi kết nối TCP/IP, 41 đặc trưng số và phi số được trích xuất. Dữ liệu được sử dụng trong cuộc thi KDD cup 1999 là một phiên bản của bộ dữ liệu này. Các cuộc tấn công thuộc về bốn loại chính: DoS, R2L, U2R, Probing. Dữ liệu KDD cup 1999 có thể tải từ trang web của đại học California (UCI) [5]http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html Nghiên cứu các hệ thống IDS sử dụng mô hình hệ chuyên gia (rule-based) như Snort để nắm được ưu nhược điểm để cái tiến hệ thống IDS sử dụng học máy. 5 Phương pháp nghiên cứu Nghiên cứu và cài đặt kỹ thuật học máy mạng nơ-ron. Thu thập và tiền xử lý bộ dữ liệu mẫu hiện có về tấn công mạng. Áp dụng giải pháp cải tiến trên dữ liệu đã xử lý, đánh giá kết quả sau khi thực hiện với các kết quả nghiên cứu đã công bố trước đó. Đó là lý do tôi chọn đề tài “Nghiên cứu ứng dụng mạng nơron trong bài toán phát hiện truy cập trái phép”. Nội dung luận văn gồm 3 chương: Chương 1: Cơ sở lý thuyết Chương này đưa ra các khái niệm về tấn công mạng và bài toán phát hiện xâm nhập. Chương 1 cũng giới thiệu về hệ thống phát hiện xâm nhập (IDS), thành phần của hệ thống IDS và phân loại các hệ thống IDS hiện nay. Chương 2: Tìm hiểu và nghiên cứu các phương pháp phát hiện tấn công trong hệ thống IDS Để có thể nghiên cứu và phát triển được một hệ thống IDS chúng ta cần nắm được các khái niệm liên quan như: dấu hiệu bất thường, các nguồn dữ liệu dùng cho phát hiện bất thường, các phương pháp phát hiện bất thường...Từ đó chọn lọc các phương pháp phù hợp cho xây dựng mô hình IDS. Chương 3: Phương pháp phát hiện xâm nhập dựa trên mạng Nơ-ron Có nhiều phương pháp học máy đã được sử dụng cũng như cần cải tiến cho bài toán phát hiện xâm nhập. Hiệu quả của mỗi phương pháp thường được đánh giá qua độ chính xác cảnh báo xâm nhập. Chương này sẽ tập trung trình bày phương pháp học máy mạng nơ-ron cũng như đề xuất phương pháp cải tiến kết quả phát hiện xâm nhập. Phần cuối chương sẽ demo thực nghiệm và phân tích. 6 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1. Tổng quan về tấn công mạng 1.1.1. Khái niệm Trong thực tế có rất nhiều cách diễn giải khác nhau về tấn công mạng, theo Sandeep Gutta thì tấn công mạng (cyber attack hay intrusion) có thể được hiểu là một loạt các hoạt động máy tính nguy hiểm đe dọa và làm tổn hại tới sự bảo mật và tính toàn vẹn của một máy tính hay hệ thống mạng. Tấn công mạng phá vỡ hoạt động bình thường của hệ thống máy tính và có thể truy nhập trái phép hoặc phá hủy thông tin trong các hệ thống máy tính [1]. Theo một cách định nghĩa khác tấn công mạng có thể được hiểu là bất kì hành động nào cố gắng làm tổn hại sự toàn vẹn, bí mật, tính sẵn sàng của một tài nguyên hoặc đi ngược lại mục tiêu bảo mật của một tài nguyên nào đó. 1.1.2. Các kiểu tấn công mạng Trong lịch sử tồn tại của mạng máy tính đã từng xảy ra rất nhiều các cuộc tấn công mạng với qui mô lớn, nhỏ khác nhau và cũng để lại nhiều thiệt hại nghiêm trọng. Có nhiều cách thức tấn công nhưng chúng ta có thể phân thành bốn loại hình tấn công mạng chính như sau: DoS- Denial of Service attack : Là những tấn công làm cho tài nguyên máy tính (ví dụ Web server) không phục vụ được theo yêu cầu của người dùng thực sự [2]. Dạng phổ biến nhất của tấn DoS là làm cho tài nguyên máy tính quá bận vì bị sử dụng toàn bộ với rất nhiều yêu cầu vô ích đến mức người dùng thực sự không thể sử dụng nó. Có rất nhiều biến thể của tấn công DoS bao gồm TCP-SYN Flood, ICMP/UDP Flood, Smurf, Ping of Death, Teardrop, Mailbomb, Apache2... R2L - Remote to Local attack : Trong loại tấn công này, tin tặc cố gắng đạt được quyền truy cập vào khu vực hệ thống máy tính bằng việc gửi các gói tin tới hệ thống thông qua mạng. Một vài cách phổ biến mà loại này thực hiện là đoán mật khẩu 7 thông qua phương pháp từ điển brute-force, FTP Write,... U2R - User to Root attack : Trong kiểu tấn công này, tin tặc với quyền của một người dùng bình thường cố gắng để đạt được quyền truy nhập cao nhất (đặc quyền của người quản trị) vào hệ thống một cách bất hợp pháp. Cách thức phổ biến của kiểu tấn công này là gây tràn bộ đệm. Probe - Surveillance : Trong loại tấn công này, tin tặc quét mạng hoặc máy tính để tìm ra điểm yếu dễ tấn công mà thông qua đó tin tặc có thể khai thác hệ thống. Điều này có phần giống như theo dõi, giám sát hệ thống. Một cách phổ biến của loại tấn công này là thực hiện thông qua việc quét các cổng của hệ thống máy tính. Bằng việc này, tin tặc có thể lấy được thông tin về cổng đang mở, dịch vụ đang chạy, và rất nhiều thông tin chi tiết nhạy cảm khác như địa chỉ IP, địa chỉ MAC, các luật tường lửa đang sử dụng,...[2] 1.2. Bài toán phát hiện xâm nhập mạng Khi một máy tính hay một hệ thống máy tính hoạt động trên môi trường mạng, sẽ có rất nhiều kết nối giữa nó và các máy tính, các thiết bị khác. Có thể trong những kết nối đó có những kết nối đang tìm cách tấn công hệ thống để đạt được mục đích nào đó. Bản thân mỗi máy tính đều có những biện pháp để tự bảo vệ nhưng nó có những điểm yếu và thực sự không đủ sức chống lại các cuộc tấn công mới với mức độ ngày càng tinh vi hơn. Bên cạnh đó các máy tính hay hệ thống cũng phải chịu các nguy cơ đến từ việc vi phạm chính sách an toàn thông tin một cách vô tình hay cố ý. Bài toán được đặt ra là cần có cơ chếphát hiện sớm các cuộc tấn công để từ đó có những biện pháp ngăn chặn hoặc giảm thiểu tối đa những thiệt hại, tác động do các cuộc tấn công gây ra. 1.2.1. Phát hiện xâm nhập mạng Phát hiện xâm nhập mạng là quá trình theo dõi các sự kiện xảy ra trong một hệ thống máy tính hoặc mạng máy tính và phân tích chúng để tìm ra các dấu hiệu sự cố có thể xảy ra, đó là các hành vi hoặc các mối đe dọa sắp xảy ra vi phạm các chính sách 8 bảo mật máy tính, các chính sách sử dụng được chấp nhận hoặc dựa trên bảo mật tiêu chuẩn. 1.2.2. Phân loại phương pháp phát hiện xâm nhập mạng Các IDS có thể giám sát các sự kiện ở 3 cấp độ khác nhau: mạng (network), máy trạm (host), ứng dụng (application). Chúng có thể phân tích các sựkiện bằng việcsửdụng một trong các phương pháp: dựa trên dấu hiệu(signature-based), dựa trên dị thường (anomaly-based) và phân tích trạng thái giao thức (statefull protocol analysic)[2]. Bên cạnh việc theo dõi và phân tích các sự kiện để nhận dạng các hoạt động không mong muốn, các loại công nghệ IDS thường thực hiện các chức năng sau : - Ghi lại thông tin liên quan tới các sự kiện được quan sát. - Thông báo cho quản trị hệ thống về các sự kiện quan trọng quan sátđược. - Đưa ra các báo cáo về các sự kiện đã quan sát hoặc cung cấp chi tiết về các sự kiện đặc biệt cần được quan tâm. Có hai cách để phân loại IDS đó là dựa trên phương pháp giám sát và dựa trên phương pháp phân tích của IDS. Dựa trên phương pháp giám sát Hệ thống phát hiện xâm nhập dựa trên mạng (Network-based Intrusion Detection System - NIDS) : Đây là loại phổ biến nhất của sản phẩm thương mại. Cơ chế phát hiện tấn công của nó là giám sát và theo dõi các gói tin mạng. Điểm mạnh của IDS kiểu này là chỉ với một số ít các IDS được đặt ở vị trí tốt có thể giám sát được một mạng lớn. Việc triển khai IDS dựa trên mạng ít tác động tới hiệu suất của mạng hiện có. Chúng có thể tạo ra tính an toàn cao chống lại các cuộc tấn công. Điểm yếu của IDS dựa trên mạng là nó khó xử lý toàn bộ các gói tin trong một mạng lớn hoặc bận. Hệ thống phát hiện xâm nhập dựa trên máy trạm (Host-based IntrutionDetection System - HIDS) phân tích hoạt động trên một máy tính riêng biệt. Vì vậy chúng phải 9 thu thập thông tin từ máy trạm mà chúng đang giám sát. Điều này cho phép một IDS phân tích các hoạt động trên trạm rất tốt và quyết định chính xác tiến trình và user nào đang thực hiện các hoạt động nguy hại trên hệ điều hành. Trong các tổ chức đã triển khai NIDS thì việc triển khai HIDS có thể là một đề xuất để tăng thêm mức bảo vệ...[2] Dựa trên phương pháp phân tích Hệ thống phát hiện xâm nhập dựa trên dấu hiệu (Signature-based IDS). Dấu hiệu (signature) có thể là các thông tin về các kết nối nguy hiểm đã biết trước. Phát hiện dựa trên dấu hiệu (signature-based detection) là quá trình so sánh signature với sự kiện quan sát được để nhận dạng sự cố có thể xảy ra. Phát hiện dựa trên dấu hiệu là phương pháp phát hiện đơn giản nhất bởi vì nó chỉ so sánh hoạt động hiện thời, với danh sách các dấu hiệu bằng hoạt động so sánh chuỗi. Ưu thế của phương pháp này là rất hiệu quả trong việc phát hiện sự tấn công mà không tạo ra số lượng lớn các cảnh báo sai. Nhược điểm của nó là chỉ phát hiện được các cuộc tấn công mà nó đã biết trong quá khứ hay nói khác đi là đã có trong cơ sở dữ liệu signature, do vậy hệ thống phải liên tục cập nhật các dấu hiệu của các cuộc tấn công mới. Hệ thống phát hiện xâm nhập dựa trên dị thường (Anomaly-based IDS) : Phát hiện dựa trên dấu hiệu dị thường là quá trình so sánh các định nghĩa của những gì được coi hoạt động bình thường so với các sự kiện quan sát để xác định độ lệch đáng kể (significal deviation). IDS sử dụng phát hiện dựa trên dị thường có những cấu hình (profile) đại diện cho hành vi bình thường của người sử dụng, máy chủ, kết nối mạng hay các ứng dụng... Các cấu hình được phát triển bằng việc quan sát các đặc trưng của các hoạt động thông thường trong một khoảng thời gian[2]. Lợi ích chủ yếu của phương thức phát hiện dựa trên dị thường là nó rất hiệu quả trong việc phát hiện các mối nguy hiểm không được biết trước đó. 10 1.3. Hệ thống phát hiện xâm nhập IDS Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tựđộng theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường. Các thiết bị bảo mật dưới đây không phải là IDS: - Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng. - Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật). - Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus, Trojan horse, worm… Mặc dù những tính năng mặc định có thể rất giống hệ thống phát hiện xâm nhập và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. - Tường lửa (firewall). - Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius… 1.3.1 Thành phần của hệ thống IDS Trung tâm điều khiển (The Command Console) 11 Trung tâm điều khiển là nơi mà IDS được giám sát và quản lí. Nó duy trì kiểm soát thông qua các thành phần của IDS, và Trung tâm điều khiển có thể được truy cập từ bất cứ nơi nào. Tóm lại Trung tâm điều khiển duy trì một số kênh mở giữa Bộ cảm biến (Network Sensor) qua một đường mã hóa, và nó là một máy hoặc phần mềm chuyên dụng. Bộ cảm biến (Network Sensor) Bộ cảm biến là chương trình chạy trên các thiết bị mạng hoặc máy chuyên dụng trên các đường mạng thiết yếu. Bộ cảm biến có một vai trò quan trọng vì có hàng nghìn mục tiêu cần được giám sát trên mạng. Khi hệ thống mạng dùng các hub, ta có thể đặt các bộ cảm biến trên bất kì port nào của hub vì mọi luồng traffic được gửi ra tất cả các port trên hub, và có thể phát hiện ra các luồng traffic bất thường. Nhưng khi hệ thống cần sử dụng các switch, các switch chỉ gửi gói tin đến chính xác địa chỉ cần gửi trên từng port. Để giải quyết vấn đề này, một kỹ thuật thông dụng là sử dụng những con switch có port mở rộng (expansion port) – khá nhiều thiết bị mạng ngày nay có cái này, và ta kết nối IDS vào port này. Port này được gọi là Switched Port Analyzer (SPAN) port. SPAN port cần được cấu hình bởi các chuyên gia bảo mật để nhân bản mọi luồng dữ liệu của switch. Bộ phân tích gói tin(Network Trap) Bộ phân tích gói tin là một thiết bị phần cứng hoặc phần mềm được kết nối trên mạng, không có địa chỉ IP, kiểm soát các luồng dữ liệu trên mạng và gửi cảnh báo khi phát hiện ra hành động xâm nhập. Thành phần cảnh báo (Alert Notification) Thành phần cảnh báo có chức năng gửi những cảnh báo tới người quản trị. Trong các hệ thống IDS hiện đại, lời cảnh báo có thể ở dưới nhiều dạng như: cửa sổ pop-up, tiếng chuông, email, SNMP. 12 1.3.2. Phân loại các hệ thống IDS Hệ thống phát hiện xâm nhập được chia làm nhiều loại khác nhau, chúng tacó thể dựa theo loại và vị trí đặt của các Sensorhoặc phương pháp sử dụng choEngine để sinh ra các cảnh báo. Hầu hết các IDS đơn giản đều kết hợp ba thành phần Sensor, Console, Engine vào trong một thiết bị phần cứng hoặc một ứng dụng. 1.2.1.1. Network-based Intrusion Detection System (NIDS) Network-based InstrusionDetection System (hệ thống phát hiện xâm nhập cho mạng) là một giải pháp độc lập để cảnh báo các xâm nhập trái phép thông qua việcphân tích các gói tin trên mạng và giám sát hoạt động của nhiều máy trạm nội bộ, NIDSkiểm soát các luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switchđược cấu hình Port mirroringhoặc Network tapđể có thể bắt các gói tin, phân tích nội dung nhận được và từ đó sinh ra các cảnh báo. Hình 1. 1: Mô hình cảnh báo với NIDS [1] 13 Port mirroring là cơ chế của Switchmạng để gửi một bản sao của tất cả các gói tin trên mạng khi nó đi qua cổng của Switchtới một thiết bị giám sát mạng trên cổng khác của Switchđó. Nó thường được sử dụng để các thiết bị mạng có thể giám sát luồng tin trên mạng, ví dụ hệ thống EDS, Port mirroring trên Switchcủa Cisco System thường được gọi là Switched Port Analyzer (SPAN) hoặc của 3Com là Roving Analysis Port (RAP). Network tap là một thiết bị phần cứng cung cấp phương tiện để truy nhập vào luồng dữ liệu đi ngang qua một máy tính trong mạng. Các máy tính mạng bao gồm cả Internet là một tập hợp các thiết bị như máy tính, Router, Switchvà nối với các hệ thống khác. Các kết nối có thể được tạo ra bằng nhiều công nghệ khác nhau như là Etherenet, 802.11, FDDI và ATM. Trong nhiều trường hợp nó được xem như là một thành phần thứ 3 để giám sát luồng dữ liệu trao đổi giữa hai điểm trên mạng, điểm A và điểm B. Nếu mạng giữa điểm A và điểm B chứa một kết nối vật lý, một network tap là giải pháp tốt cho việc giám sát. Network tap có ít nhất là 3 cổng kết nối, một cổng A, một cổng B, và một cổng giám sát. Để đặt Network tap giữa điểm A và điểm B, cáp mạng giữa hai điểm A, B được thay thế bằng một cặp dây, một dây đấu vào cổng A và dây kia đấu vào cổng B. Network tap cho qua tất cả các dữ liệu giữa A và B vì thế giao tiếp giữa hai điểm A và B vẫn diễn ra bình thường, tuy nhiên dữ liệu trao đổi đã bị Network tap sao chép và đưa vào thiết bị giám sát thông qua cổng giám sát[1]. Trong hệ thống Network-based Intrusion Detection System (NIDS), các Sensorđược đặt ở các điểm cần kiểm tra trong mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, các Sensorbắt tất cả các gói tin lưu thông trên mạng và phân tích nội dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công trong mạng. Theo chức năng sử dụng, hệ thống NIDS còn được phân thành hai hệ thống nhỏ đó là Protocol-based Intrusion Detection System (PIDS - Hệ thống phát hiện truy cập dựa trên giao thức) và Application Protocol-based Intrusion Detection System (APEDS - hệ thống phát hiện truy nhập dựa trên ứng dụng). PEDS và APIDS được sử dụng để 14 giám sát các giao vận và giao thức không hợp lệ hoặc không mong muốn trên luồng dữ liệu hoặc hạn chế các ngôn ngữ giao tiếp. Hệ thống Protocol-based Intrusion Detection System (PIDS) chứa một hệ thống (System) hoặc một thành phần (Agent) thường được đặt ngay trước một máy chủ, giám sát và phân tích các giao thức trao đổi giữa các thiết bị được nối mạng (một máy trạm hoặc một hệ thống)[1]. Một hệ thống Application Protocol-based Intrusion Detection System (APIDS) bao gồm một hệ thống (system) hoặc một thành phần (Agent) thường nằm giữa một nhóm các máy chủ, giám sát và phân tích các trao đổi ở lớp ứng dụng của một giao thức định sẵn. Ví dụ: trên một máy chủ web với một cơ sở dữ liệu quan trọng thì IDS giám sát cáctruy nhập bất thường để đưa ra cảnh báo kịp thời nhằm ngăn chặn kẻ xấu đánh cắp hoặc làm tổn hại dữ liệu. 1.2.1.2. Hệ thống phát hiện xâm nhập dựa trên mấy trạm (HIDS) Trong hệ thống HIDS (hệ thống phát hiện truy nhập dựa trên máy trạm), các Sensorthông thường là một phần mềm trên máy trạm (software agent), nó giám sát tất cả các hoạt động của máy trạm mà nó nằm trên đó. Hệ thống Host-based Intrusion Detection System bao gồm thành phần (Agent) cài đặt trên các máy trạm, nó xác định các truy nhập trái phép vào hệ thống bằng cách phân tích các trao đổi của hệ thống, các bản ghi của các ứng dụng, sự sửa đổi các tệp tin trên hệ thống (các file dạng binary, mật khẩu của file, dung lượng và các acl của các cơ sở dữ liệu) các hoạt động và trạng thái khác của hệ thống để từ đó phát hiện ra các dấu hiệu truy nhập trái phép vào hệ thống. Khi phát hiện ra các truy nhập trái phép, Agent lập tức sinh ra một sự kiện và gửi báo cáo về Engine, Engine lưu các báo cáocủa Agent vào cơ sở dữ liệu và tiến hành phân tích thông tin để đưa ra các cảnh báo cho người quản trị hoặc hệ thống[1]. 15 Hình 1. 2: Hệ thống Host-based Intrusion Detection[1] 1.2.1.3. Hệ thống ng lai phát hiện hi xâm nhập Hybrid Intrusion Detection System là một hệ thống lai giữaa hhệ thống NetworkbasedIDSvà hệ thống Host-based Host IDS. Nó kết hợp một hoặc nhiềuu các thành ph phần thích hợp của hai hệ thống lạii với v nhau. Các thông tin thu thập đượcc trên máy tr trạm (host agent data) kết hợp vớii thông tin thu thập th được ở trên mạng để có sự phân tích một cách chi tiết về hiện trạng ng hệ h thống mạng. 16 Hình 1. 3: Hệ thống Hybrid Intrusion Detection 1.4. Kết luận chương Chương này trình bày các khái niệm, kiến thức cơ bản nhất liên quan đến bảo mật và hệ thống phát hiện xâm nhập. Đây là những kiến thức cơ bản nhưng rất cần thiết để có thể đi vào tìm hiểu sâu hơncác công việc phát triển hệ thống IDS. Các kiến thức đã trình bày như: các kiểu tấn công mạng, các phương pháp phát hiện xâm nhập mạng, phân loại các hệ thống xâm nhập mạng. Tiếp theo đó trong chương 1 cũng giới thiệu các thành phần của hệ thống IDS, phân loại các hệ thống IDS đã được phát triển và sử dụng hiện nay. Trong chương tiếp theo tác giả đi trình bày nội dung liên quan đến nguồn dữ liệu dành cho phát hiện xâm nhập cũng như phân tích ưu, nhược điểm của các phương pháp xây dựng hệ thống IDS.