Luận văn nghiên cứu thử nghiệm các phương pháp phát hiện xâm nhập trái phép dựa trên phát hiện bất thường

Vỉ thẻ, bên cạnh việc phát triển các địch vụ và ứng dụng liên mạng, việc làm thể nào để có thể phát hiện ra máy tính hoc mang may tinh eda minh dang bị xâm nhập trái phép góp phan bảo đả

BO GIAO DUC VA DAO TAO TRUONG DAI HOC BACH KHOA HA NOL

Nguyễn Thị Thu Hiền

NGIIÊN CỨU, THỨ NGIITỆM CÁC PHƯƠNG PHIÁP PHÁT IDEN

XAM NHAP TRAI PHEP DUA TREN PHAT HIEN BAT THƯỜNG

Chuyên ngành: Công nghệ Thông tin

LUẬN VĂN THẠC SĨ KỸ THUẬT

CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KIIOA HỌC:

TGS.TS Nguyễn Linh Giang

Ha NGi — 2015

anh mục các bãng, ccnerreererrerrre 6 Danh mục các hình vẽ, đổ hb cesses sieves sees 7

1.3, Kiến trủc của LDR án neeeeiiaieraearreoo.L4

1.6 lệ thống phát hiện xâm nhập với Snort 24

1.6.4 Một số minh hơa khả năng phát hiện xâm nhập của SnorL 30 Chương 2 - CÁC PHƯƠNG PHÁP PHÁT HIẾN XÂM NHẬP DỰA TRÊN

2

3.2 Các phương pháp kỹ thuật phát hiện xâm nhập dựa trên bắt thường 36

2.2.1 Phương pháp phát hiện xâm nhập bắt thường, dựa trên thống kê 37

3.3.2 Phương pháp phát hiện bất thường dựa trên khơi phá dữ liệu 41

3.4 Phương pháp phảt hiện đựa trên học mmáy "- Chương 3 - THỨ NGHIỆM THUẬT TOÁN CUSUM TRƠNG PHÁT HIẾN TAN CÔNG BYN FLOODING àà àirrrrrerrrrreeerouuil

3.3.3 Đánh giả kết quá thử nghiệm

KÉT LUẬN

TÀI LIỆU THAM KHẢO ác Ăn eeeeerere TỔ

Lời cam đoan

Trước tiên, tôi xu chân thành cảm ơn và bảy tổ lòng biết ơn sâu sắc tới thầy giáo PGS.TS Nguyễn Linh Giang, lộ môn Truyền thông và Mạng máy tỉnh, Viện

Công nghệ Thêng tin và Truyền thông, Trường Đại học Bách Khoa Hà Nội, người

đã tận tỉnh hưởng dẫn, giúp đỡ tôi trong suốt quả trình hoản thiện luận văn

Tỏi cũng xin chân thành cảm on cdc thay cô giáo trong Viện Công nghệ

Thông tin và Truyền thông nói riêng và Đại học Bách Khoa Hà Nội nói chung đã

chí dạy, cũng cấp những kiến thức quý bảu chơ tôi trong suốt quả trình học tập va

=phiên củu tại trường,

Cuỗi cùng lỗi xin gửi lời cầm ơn sâu sắc tới gia đình, bạn bè và đồng nghiệp, những người luôn cỗ vũ, quan tâm vả giúp đỡ tôi trong suốt thời gian học tập và

làm luận văn

Tôi cam đoạn đây là công trình nghiên cửu của riêng tôi

Cáo số liệu và kết quả nêu trong luận văn là trung thực vả chưa từng được ai công bổ trong bất kỹ cồng trình não khác

Tác giả

Nguyễn Thị Thu Ilén

Đanh mục các ký hiệu, các chữ viết tắt

2 ™s Tatrusion Detection System [Hệ thông phát hiện xâm nhập

3 NIDS Network-based IDS [Hệ thẳng phát biện xâm nhập dual

lưển mạng

4 HIDS Host-based INS [Hệ thống phát hiện xâm nhập dua

[trên host

5 DoS DenialOfService Tân công từ chối địch vụ

6 DDoS Distributed Denial Of Service |Tẩn công từ chối dịch vụ phân tán

7 SBLDS Signature Based IDS |Hệ thống phát hiện xâm nhập dựa

[rên dầu hiệu

8 ABIDS Anomaly Based IDS |I1ệ thống phát hiện xâm nhập dual

krên bắt thường

9 CUSUM Cumulative SUM [Thuật toán cộng tích luỹ

11 ADAM: Audit Dala Analysts and Mimmg [Khai phá và phân tích đữ liện|

|kiểm Loán

12 SOM_ 5cU-Orgauzmg Maps [Bản đồ tự lỗ chức

13 IƠMP hưemet Conrel MessagelGiao thúc thông điệp điều khiển

14 TCP ‘Transmission Comunication ÍGiao thức diểu khiểntruyền vân

Protocol

18 UDP User Datagram Protocol Giao thức không liên kết

16 SFD SYN Flooding detection [Phat hign tan céng SYN flooding

Danh mục các bắng

Bang 3.1 Số lượng gói tin SYN, FIN va Y trong trạng thái hoạt động bình thường,

Bang 3.2 Số lượng các gói tin và Y trong trạng thái bình thường với 64

Bang 3.3 Số lượng các gói tin va Y trong trạng thái binh thưởng với N=2 65

ng 3.11 Giá trị Y trong trạng thái có tân công SYN Elood với N 2 HÌ

Danh mục các hình vẽ, đỗ thị Hình 1.1 Các vị trí diễn hình của một ID8 | 15| ¬ _

linh 1.2 Kiển trúc của LDR eenieaiirearorroroT8

Hình 1.4 HIDS NetWork nnreereierrre wM `

Hình 1.7 Môđun phát hiện ò s3 nerererree "—- DB

Tình 1.9 Phát hiện gói tín kích thước bắt thường 31 Hình 1.10 Phát hiện Ping of Death à ennai D2

Hình 1.13 Thủ tắn công web với từ khóa "hacker” BS Hình 1.14 Phát hiện tấn công web ð Vi dụ 1 - - 33 Tình 1.15 Thứ tấn công web với từ khóa "sql" 34 Hình 1.16 Phát hiện tân công web ở Ví dụ 2 ccceeeieerereierou4

Hinh 1.18 Két qua phat hin SYN flooding trén Snort 35

linh 2.1 Phân loại hệ thống ID dựa trên bắt thường 137

Tlinh 3.3 So dé thudt toan phat hién bat thuéng dua trén CUSUM

Tlinh 3.6 Ghi két qua bat géi tin ra file - - él Tình 3.7 Giả lập người dùng thông thường gũi yêu cầu đến server 62 Hinh 3.8 Két quả chạy thuật toàn CƯSUM khi lưu lượng mạng bình thưởng 62

Hình 3.10 Kết quả thuật toán CUSUM lúc tân công với Ý<—N., ee

Tình 3.13 Đồ thị thuật toán CUSUM trong trạng thái lưu lượng mạng bình thường

và sự biến động số các gói tin SYN-EIN hợp lệ với N=0.5 "— 1 64

Tlinh 3.13 Dé thi thuat todn CUSUM trong trang thai luu long mang binh thudng

Hinb 3.14, Dé thi thudt ton CUSUM trong trạng thải lưu lượng mạng, bình thường,

THỉnh 3.18 Dễ thị thuật toán CUSUM khi có tắn oông với N = L 269

Hình 3.19 Sự biển đối các gói SYN va EIN lúc có tân công SYN Flood với N=1 70

Hình 3.20 Đỏ thị thuật toán TUSUM khi có tấn công vớiN 1 70 Hình 3.21 Sự biến động các gói SYN va KIN lúc có tân céng SYN Flood với N=2

71 Hinh 3.22, Dé thi thuật toán CUSUM khi có tân công với N 2 a

linh 3.23 Dễ thị phát hiện SYN flooding của phương pháp SID voi N=0.6 72

MO DAU

- Lý do chon để tài

An ninh thông tín nói chung và am ninh mạng nói riêng đang lá vẫn để được quan tâm không chỉ ở Viêt Nam mà trên toàn thể giới Thời gian gần đây, cáo cơ quan, tổ chức đã tăng cường triển khai đão tạo, dâu tư mua sim trang thiết bị và nghiên cứu các biện pháp nhằm đảm hảo an toàn thông tin cho máy tính cá nhân cững như các mạng nội bộ Tuy nhiên, tỉnh hình tân công mạng vẫn thường xuyên

xây ra, có nhiễu cơ quan, tổ chức bị đánh cắp thông từa gây nên những hậu quả vô cùng nghiêm trọng, thủ đoạn của kẻ phá hoại ngày cảng tỉnh ví Vỉ thẻ, bên cạnh việc phát triển các địch vụ và ứng dụng liên mạng, việc làm thể nào để có thể phát hiện ra máy tính hoc mang may tinh eda minh dang bị xâm nhập trái phép góp phan bảo đảm an toàn, bảo mật mạng lả một vân đề hết sức quan trọng cần được quan lãm nghiên cửu thường xuyên

Hiện nay, các nghiên cứu tại Việt Nam cũng, như trên thể giới về xảy dung một hệ thống phát hiện xâm nhập mạng trái phép dựa trên mã nguồn mở cũng phát

triển mạnh, tuy nhiên tại Việt Nam cóc nghiên cửu này cỏ mức độ triển khai vào

thực tế là chưa cao Ngoài ra, các chương trinh phát hiện xâm nhập hằu hết được tích hợp trên các thiết bị phần cứng nên việc khai thác chức năng, hoặc người đừng,

tự phát triển mở rộng thêm chức nẵng của các chương trình nảy bị bạn chế, Vì vậy,

lựa chọn để tài " Nghiên cứu, thử nghiệm các phương pháp phát hiện xâm nhập Trải phép dựa trên phát hiện bắt thường” nhằm phát hiện các hành động tân công

xuạng, nâng cao khả năng bao dam an toan thông tin là một yêu cẩu khách quan cần

thiết trong giai đoạn hiện nay

- Mục tiêu nghiên cứu

+ Nghiên cứu các phương pháp phái hiện xâm nhập trải phép dựa trên phải hiện bắt thường,

1 Thử nghiêm phát hiện xâm nhập dựa trên bất thường sử đụng phân lích thống kê lưu lượng nhằm áp dụng trong quản trị mạng hoặc phát hiện các xâm nhập

trái phép vào hệ thông mạng.

- Đối Lượng, phạm vỉ nghiên củu

+ Phương pháp phát hiện xãm nhập trái phép dựa trên bất thưởng;

+ Thuật toàn phát hiện xăm nhập bắt thường thẳng kế,

+ Thử nghiệm giải pháp phát hiện xăm nhập sử dụng phần mềm mã nguồn

md Snort;

+ Thử nghiệm thuật Loán CUSUM trong phát hiện tắn céng SYN flooding,

"Trong khuôn khổ đề tài, tôi đã tìm hiểu cơ bản về hệ thống phát hiện xâm

nhập, thử nghiệm hệ thẳng Snort để phát hiện xâm nhập dua trên dau hiệu, đặc biệt

tập trung nghiên cứu về các phương pháp phát hiện xâm nhập dựa trên bắt thường

và lựa chọn thuật toàn Tổng tích luỹ (CUSUM) để triển khai thứ nghiệm lễ tài đã

đề xuất mô hình phát hiện xâm nhập trái phép đựa trên phương pháp phát hiện bắt

thường thống kế bằng việc thử nghiệm thuật toán TUSUM để phát hiện tân công SYN flooding

- Ý nghĩa khoa học và thực tiễn của đề tài

+ Ý nghĩa khoa học

Quả trình xảy dựng đề tải tạo ra cơ sở nghiên cứu về các phương pháp kỹ thuật phát hiện xâm nhập trái phép dựa trên bắt thường, đưa ra cái nhìn tổng quái về

hệ thông hỗ trợ giám sát, bảo vệ mạng máy tính; góp phân nâng cao kiến thức về

báo mat va an toan théng tin

+ Ý nghĩa thực tiễn

Kết quả nghiền cứu cũa dễ tải nhằm bổ sung thêm giải pháp kỹ thuật phát

góp phân bảo dim an ninh an toàn thông tin; là cơ sở để tiể

thiện xâm nhập mạng,

tục nghiên cứu phát triển các giải pháp tiếp theo

- Phương pháp nghiên cứu

+ Nghiên cứu lý thuyết,

Chương t: Tổng quan về hệ thống phát hiện xâm nhập Chương này giới thiệu tổng quan về hệ thống phát hiện xâm nhập, các kỹ thuật phát hiện xâm nhập, trưng đó giỏi thiệu hệ thông SuerL và thử nghiệm đưa ra một số kết quả phát hiện xảm nhập dựa trên dâu hiệu

Chương 2: Các phương pháp phát hiện xâm nhập đựa trên bất thường Chương mày nghiên cứu về các phương pháp phát hiện xâm nhập dụa trên bất

thường, ưu nhược điểm của từng phương pháp

Chương 5: Thử nghiệm thuật toán CUSUM trong phát hiện tấn công

SYN flooding Chương này m hiển về một số đạng Lân ông tràn ngập mạng; giới thiệu về thuật toản CUSUM và để xuất mô hình phát hiện xâm nhập trải phép dựa

trên phương pháp phát hiện bât thường thống kê bằng việc triển khai thử nghiệm thuật toán CUSUM để phái hiện Lan céng SYN (ooding

11

Chương 1 - TÔNG QUAN VE IIE TIONG PIIAT HEN XÂM NHẬP

1.1 Giới thiệu về hệ thông phái hiện xâm nhận

1.1.1 Khải niệm phát hiện xâm nhập

hát hiện xâm nhập (Tưusion Detectiou - ID) |1§| là một loại hệ thông quân

lý an ninh cho máy tính và mạng Một hệ thông 1D tập hợp và phân tích thông tin từ các phạm vì khác nhau trong ruột máy tính hoặc mạng máy tính để xác định hành vì

vi phạm an ninh có thể, trong đó bao gồm cả sự xâm nhiập (các cuộc tắn công từ bên ngoải tổ chức) và sử dụng sai (tấn công từ bên trong tổ chức).ID sử

dung Vulnerability AssessmenL (đảnh giá tổn thương, đối khi được gọi là

scanning), dây là một công nghệ được phát triển đễ dánh giá sự an toàn của một hệ thông máy tính hoặc mạng máy tính, đề tìm ra các vẫn đẻ an ninh tiêm tảng hoặc đò tìm các dâu vét khi hệ thống bị tốn thương

1.1.2 Tiệ thắng phát hiện xâm nhập

Hệ thống phát hiện xâmu nhập (intrusion Detection System - TS) [1] 1a md

hệ thông phần cứng hoặc phản mẻm được sứ dụng dễ phát hiện các hành động truy nhập trải phép đến một hệ thống máy tính hoặc mạng IDS có khả năng phát hiện tắt

ude tin,

cũ các loại lưu lượng rang độc hại và việc sử dụng máy tính, bao gồm ¢

công mạng dồi với các dịch vụ có chế độ báo mật vếu, tần công vào dữ liệu, các ứng dụng, các tân công dựa trên host chẳng han nhur leo thang dic quyển, đăng nhập trái phép và truy cập vào các filc nhạy cảm và phần mềm độc hại IDS là một hệ thông, giám sát động bồ sung cho khá năng giảm sát tĩnh của tường lửa Các gói dữ liệu

mạng thu thập được sẽ được phân tích để phát hiện các đâu hiệu xâm nhập (tân

công, xuất xứ lừ ngoải tổ chức) và sử đụng sai (tân công, có ruguồn gốc Hong tổ chức) Khác với tường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất

ma chi thea doi cdc hoạt động trên mạng để tim ra các đâu hiệu của tấn công và

ngudi ding được ủy quyền, người không được quyên đối với các dữ liệu bị tồn hại;

và sự vi phạm được xác định là việc lạm dụng quyền truy cập đối với cả hệ thống và

dữ liệu của nó IDS phát hiện đựa trên các dâu hiệu đặc biệt về nguy cơ đã biết hay: dựa trên so sảnh lưu thông mạng hiện tại với thông số đo đạc chuẩn của hệ thông (baseline) dé tim ra cac dau hiệu bát thường

1.1.3 Lị trí cña IDS trong mô hình mạng

Tuỷ thuộc vào câu hình mạng của người dùng mả người dùng có thể đặt vị trí

IDS [15] tại một hoặc nhiều vị trí, và cũng tuỳ vào kiểu các hảnh động xâm nhập

người dủng muốn phát hiện: bên trong (internal), bén ngoài (external) hoặc cả hai

Ví dụ, nếu ta chỉ muón phát hiện các hành động xâm nhập tử bên ngoài, và ta chỉ cỏ một router kết nói với Internet, vị trí tốt nhất cho IDS chỉ cỏ thẻ là ở bên trong,

router hoặc firewall Còn nêu có nhiều đường kết nồi Internet thì ta có thẻ đặt IDS ở

nhiều vị trí Tuy nhiên, nêu muốn phát hiện các mối đe doa bên trong, ta cỏ thẻ đặt

IDS 6 méi phân đoạn mạng tuy vao chỉnh sách an ninh của người dùng Hình 1.1

chỉ ra các vị tri dién hinh cé the dat IDS

Hình 1.1 Các vị trí điển hình của một IDS

13

1.2 Chúc năng của IDS

11ệ thông phát hiện xâm nhập có chức năng tự động theo đối các sự kiện xây

ra, giám gái lưu thông mạng, phân tích để phát biên ra các vấn để liên quan đến am

nùnh, bảo mật và dưa ra cảnh bảo các hoạt dộng khả nghỉ cho nhá quần trị

- Chức năng chính [1] và quan trọng nhật của một hệ thống IDS là giám sát, cảnh báo và bão vệ

+ Giám sát: Giảm sát lơu lượng mạng, các lành động bất thưởng vá các hoạt động khả nghị

1 Cánh báo: Khi đã biết các hoại động bất thường của một (hoặc ruột rửtem)

truy cập náo đỏ, IDB sẽ đưa ra cảnh bảo cho hệ thông và người quấn trị

+ Bảo vệ: Dùng những thiết lập mặc định và những câu hình tử người quản trị để có những hành động chống lai kế xâm nhập và phá hoại

- Chức năng mẽ rộng [1] của IDS lá phân biệt được dau là những truy cập hẹp lệ (không hợp lê) từ bên trong và đâu là cuộc tấn công từ bên ngoài vào hệ thông; phát hiện nhữmg dấu hiệu bất thường dụa trên những gì đã biết hoặc nhờ vào

sự so sảnh lưu lượng mạng hiệu tại với baseline

1.3 Kiên trúc của IDS

Kiến trúc của IDS |2| bao gém 3 thành phần chính: Thành phần thu thập

di Liu (information collection), thanh phần phân tích göi tin và phát hiện xâm

nhập /2eciection), thành phần phản hồi (Respontion) uéu goi tin đó được phái hiện là một tấn công của tin tặc (hacker) Trong ba thành phản nay thi thanh phan phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến (sensor) đóng, vai trò quyết định, vì vậy sau đây chúng ta sẽ đi vào phân tích bộ cảm biển để hiểu +6 hon kién tric của hệ thống phát hiện xâm nhập

14

Hình 1.2 Kiên trúc của ID§

Sensor [2] [5] được tích hợp với thành phan thu thập dữ liệu một bộ tạo sự

kiện Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế

độ lọc thông tin sự kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cap một số chính sách thích hợp cho các sự kiện, cỏ thé la một bản ghi các sự kiên của

hệ thống hoặc các gói mạng Số chính sách này củng với thông tin chính sách có thể

được lưu trong hệ thống được bảo vệ hoặc bên ngoài Trong trường hop nao dé, vi

dụ khi luông dữ liệu sự kiện được truyền tải trực tiếp đền bộ phân tích mà không có

sự lưu đữ liêu nảo được thực hiện Điều nảy cũng cỏ liên quan đến các gói mạng

Sensor cỏ nhiệm vụ bắt các gói tin qua mạng (sniffer hoặc capture) và gửi tới

hệ CSDL theo các định dạng Thông thường cách thiết lập hệ thống sensor là đặt trước và ngay sau hệ thông tường lửa Việc đặt như vây sẽ đạt được 3 mục đích:

- Biết được những tân công mạng trước cả khi gỏi tin đi qua tường lửa: Một điều quan trọng đối với an ninh mạng lả hệ thông cân biết trước những tân công cỏ

thể xảy ra và những tấn công không thảnh công để cỏ giải pháp hợp lý cho việc ngăn ngừa những tân công trong tương lai Việc thiết lập một bộ thu thập dữ liệu

trước hệ thông tường lửa sẽ cho phép chúng ta thực hiện điều nảy,

15

~ Biết được những tắn công mạng bị hệ thống tường lửa chặn lại Có thể cho phép hệ thông 125 chỉ tập trung vào những tấn công thục sự trên mạng, bó qua

những tấn công đã bị chăn, do đó giảm được cảnh bảo sai

- Có thẻ dé dang kiểm tra dược câu hình của tường lửa đã chính xác hay chua: Che phép người quản trị mạng nhận ra được những lỗi trong câu hình của hệ thông lường lửa khi nhận được cảnh báo của hệ thống IDS Những tấn công vượt qua được hệ thẳng tường lửa văn cỏ thể bị phát hiện và ngăn chặn

Vai trò của bệ cảm biến là dùng để lọc thỏng tin và loại bỏ dữ liệu không,

tương thích đạt được từ các sự kiện liên quan với hệ thống bão về, vì vậy có thé

phát hiện được các hành động nghĩ ngờ Hộ phân tích sử dụng cơ sở đữ liệu chính sách phát hiện cho mục này Ngoài ra cẻn có các thành phân: Dâu hiệu tấn công, rolilb hành vi thông thường, các tham số cần thiết, chẳng bạn các ngưỡng Thêm

vào đó, cơ sở dữ liệu giữ các tham số cầu hình, gồm có các chế độ truyền thông với module dap tr BG câm biển cũng cỏ cơ sở đứt liệu của riêng nó, gồm đíữ liêu lưu về cáo xâm phạm phức tạp Hiểm ẩm được lạo ra từ nhiều hành động khá nhau |2|

1.4 Phân loại IDS

Tựa vào việc quan sắt và nơi đặt mà TDS được phần thành bai loại [5]

- Network-bascd IDS (Hệ thông phát hiện xâm nhập dựa trên mạng - NIDS):

"Phát hiện xâm nhập hướng vảo toán bộ mạng hay miễn mạng;

~ Host-basod TDS (Hệ thống phát hiện xâm nhập dựa trên hoa - RIDS): Phát hiện xâm nhập hưởng vào nút cụ thẻ của mạng,

1.41 NIDS

NIDS |5| là một hê thống phát hiên xâm nhập bằng cách thu thập dữ liệu của các gói tin lưu thông trên cáo phương tiện truyén din nhw cables, wireless bang cách sử dụng các card giao tiếp Ki một gói đứ liệu phù hợp với qui lắc cửa hệ thống, một cảnh báo được tạo ra dễ thông bảo dến nhá quản trị va cdc file log dược

lưu vào cơ sở đữ liệu

NIDS dược đặt giữa kết nối hệ thông mựng bên trong vả mạng bên ngoài (thường đặt sau Firewall) dé gid sát toàn bộ lưu lượng vào ra, phát hiện xâm nhập

16

trải phép từ Internet cho toàn bộ hệ thống mạng nội bộ Hệ thông này có thẻ là một

thiết bị phần cứng riêng biệt được thiết lập sẵn hoặc phần mềm cải đặt trên máy

tính Chủ yêu dùng để đo lưu lượng mạng được sử dụng Tuy nhiên có thể xảy ra

hiện tượng nghẽn cô chai khi lưu lượng mạng hoạt động ở mức cao NIDS làm

nhiệm vụ phân tích các gỏi tin và kiểm tra các dấu hiệu tân công dựa trên một tập

các đâu hiệu mau Neu phát hiện tân công, NIDS sẽ ghi vào log file hoặc gửi đi

cảnh bảo, cách thức cảnh bảo phụ thuộc vào tửng hệ thông IDS hoặc cách câu hình

‘Web Server Mail Server ‘Web Server

Hinh 1.3, NIDS Network

* Ưu điểm của NIDS [5] [15]

- Quản lý được cã một phân đoạn mang (network segment) bao gồm nhiều

host;

~ "Trong suốt" với người sử dụng lân kẻ tân công và không làm ảnh hưởng

đến hoạt động của một máy tính cụ thẻ nảo;

~ Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng;

~ Tránh được việc bị tân công từ chói địch vụ (DoS) tới một host nào đỏ;

17

~ Hoạt động phát hiện chủ yếu ở tầng mạng (trong mô hình OSD) nên có thể độc lập với các ứng dụng và các hệ điều hành sử dụng tại máy tỉnh trên mạng

* Han ché cia NEDS [5] [15]

- Giéi han bang, théng;

- Cé thé xay ra trưởng hợp báo động nhằm (false positive), tie la khéng cé

xâm thhập Gnlrusion) 1a NIDS vin bio,

- không, có khả năng phát hiện được các tắn công trên các đòng dữ liệu đã

duge ma hoa nhu: SSL, SSIL IPSec ;

- NIDS đổi hỏi phải được cập nhật các dân hiệu (gignaure) lắm công mới nhất để thực sự hoạt động hiệu quá;

- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động Khi bao

động được phát ra, hệ thông có thể đã bị tôn hại,

- Không cho biết việc mạng bị tấn công có thành công hay không

Một trong những hạn chế là giới hạn băng thông Những đâu đỏ mạng phải

thủ thập tắt cả các lưu lượng mạng, sắp xếp lại và phân tích chíng Khi tốc dộ mạng

tăng lên thủ khá năng của bộ thu thập thông tin cũng vậy Một giải pháp là phải báo đâm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều bộ thu thập

thông tin

142 IIDS

FIDS [5| thường được cải đặt trên một máy tính nhất định Thay vì giảm sát hoạt động của một network segrnent, IIIDS chỉ giám sát các hoạt động trên một

máy tính HIDS có thế được triển khai trêu nhiều máy tính rong hệ thống mang,

cho phép người dùng thực luện một cách linh hoạt trong các đoạn mạng mả NIDS

không thể thực hiện được Lưu lượng đã gửi tới máy tỉnh HIDS được phản tich va

chuyển qua nếu chúng không chứa mã nguy hiểm

18

Hinh 1.4, HIDS Network

* Ưu điểm của HIDS [5| [15]

~ Cỏ khả năng xác định người dùng liên quan tới một sự kiên,

~ HID§ có khả năng phát hiện các cuộc tấn công diễn ra trên một máy (NIDS

không có khả năng này);

~ Có thể phân tích các dữ liệu mã hoả,

- Cung cấp các thông tin về host trong lúc cuộc tân công diễn ra trên host nay

* Hạn chế của HIDS [5| [15]

~ Khả năng quản lý;

~ Tâm nhìn vi mô về các sự tắn công mạng;

~ Các máy chủ bị thỏa hiệp:

~ Những giới hạn của hệ điều hành: HIDS được thiết kế hoạt động chủ yêu

chay trên hệ điều hành Window Tuy nhiên cũng đã có 1 số chạy được trên UNIX

và những hệ điều hành khác

19

Vi hệ thống HIDS đòi hồi phân mềm phải dược cải đặt trên tất cả các máy chủ nên đây là khỏ khăn cho những nhá quản trị khi các điều khiển phiên bản, báo trì phân mềm và cầu hình phần mém trở thành công việc tốn nhiều thời gián và

phức tạp Bởi vi HIDS chí phân tịch những lưu lượng do máy chủ nhận dược, chúng,

không thẻ phát hiện những tin công thăm đẻ thông thường được thục hiện nhằm

chống lại một máy chủ hay là một nhỏm máy chi Hệ thống HIDS sẽ không phái

hiện được những chức năng quét ping hay đỏ công (pứng sweep and port scans) trén

nhiền máy chủ Nếu máy chủ bị thảa hiệp thì kế xâm nhập hoản toàn cé thẻ tắt phan

mém TD8 hay tắt kết nói của máy chủ đó Một khi điều này xây ra thì máy chủ sẽ

không thể tạo ra được cánh bảo náo cá

1.43 So sink NIDS via HIDS

Sự khác nhau cơ bán giữa chúng đó lả trong, khi XIDS phát hiện ra các cuộc tân công tiêm năng (những thứ sẽ được chuyển tới đích) thì IIIDS lại phát hiện ra

những cuộc tấn công dã thành công, Bởi vậy có thể nói rằng NIDS mang tinh tién

phong hơn Tuy nhiên, một LIIDS sẽ hiệu quả hơn đối với trong các môi trường có tốc độ chuyến địch lớn, ma hoa - đây là những môi trường mà NIDS rất khó hoạt động,

1.5 Kỹ thuật phát hiện xâm nhập

Ky thuật phát hiện xâm nhập được xếp vào một trang hai phương pháp [4]

[11]: Phu bign sit dung sai (misused detection) hoile phat hiện bất thường (amomaly detection)

Kỹ thuật phát hiện sử dụng sai, còn gọi là kỹ thuật phát hiện cựa trên đấu

hiệu (signaturo-based detccton) tìm kiếm hành vị tương ứng với một kịch bản tân công đã biết bằng cách phân tích cáo thông tín trong mạng, so sảnh nó với một cơ

sở đữ liệu lớn của các cuộc lân sông đã được biết đến dựa trên các đấu hiệu (signatares) Bất kỹ một cuộc tân công, mới nào má không có trong cơ sở dữ liệu thì

hệ thống không thể phát hiện được, vi vậy cơ sở dir ligu phải được cập nhật mới

thường xuyên, điều dó không phải đễ dàng thực hiện trong các mạng cm biển

Các kỹ thuật phát hiện bất thường |4| phát hiện các xâm nhập bằng cach tim kiểm hành vi khác với các hoạt động bình thường của người dùng hay hệ thông Những kỹ thuật này không yêu cầu hiểu biết về các cuộc tân công đã biết và có thế phat hiện cac kiểu xâm nhập mới, kỹ thuật nảy được xem là phù hợp hơn với các

mang cam bién

Câu hội đặt ra là làm thể nào đẻ phâu biệt durge cae hanh vi bat thudng Lit những hoạt động bình thường, làm sao để biết liệu một hảnh vị này là bình thưởng,

hay khêng là điều quan trọng nhất trong hệ thẳng phát hiện bắt thường,

1.%1 Phát biện xâm nhập dựa trên vữ dụng suí

Phương pháp phát hiện dựa trên sử đựng sai (Misuse-based Detection) [4] so

sánh các đầu hiệu môi de dọa đã biết với

e sự kiến được giám sát dễ nhận dang tin công Phương pháp nảy rất hiệu quả rong phát hiện các mối de doa đã biết

nhưmg không có tác đụng trong việc phát hiện mỗi de doa chưa biết và các mỗi đe

doa có nhiều biến thể, do chưa có dược thông tim về cuộc tấn công,

Phương pháp này gồm hai bước để phát hiện đột nhập:

(1) Xây đựng một tập hợp đâu hiệu tân công hay đột nhập đã biết trước (còn được gọi là mẫu - patlerri)

(2) Kiểm tra hành vi hiện tại xem cỏ khớp (match) với tập các đâu hiệu đã

xây dụng hay không để nhận biết mốt tân công

Wu diém [4]:

Tỉ lệ cảnh bảo sai (false positive) thấp hơn so với phương pháp dựa trên bắt thường, dễ triển khai, tạo cơ sở dữ liệu dâu hiệu lần công

Nhược điểm [4]:

- Không thể phát hiện những cuộc tản công mới khi chưa biết dâu hiệu;

- Không có khả răng phát hiện các biển thể cửa những cuộc tấn công đã biết Những file dâu hiệu là những file tình, bằng cách thay dỗi cách tấn công, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mnả không bị phát hiện,

~ Mỗi chộc tâm công hay biến thể của nó đều cần tạo thêm đầu hiệu dưa vào

CSDL, nên kich cỡ của nỏ ngày cảng lớn,

~- Kỹ thuật này có thể để bị sai bởi vì nó chỉ đựa trên các biểu thức thông,

thường và khớp với chuỗi trong mẫu

1.52 Phát biện xâm nhập dựa trên BÃI thường

Phương pháp phát hiện xâm nhập dựa vào bất thường (Anomaly-based Đeleelion) [3] [4] là quá trình so sánh các định nghĩa sự kiện được cho là bình

thường với các sự kiện được quan sát dễ xác định các vẫn đề bất thường, Trước hết,

hệ thẳng phát hiện bất thường tạo một hé so cơ bản (baseline) về các hoạt đẳng,

toán phát hiện bắt thường hiện nay rất hữu hiệu trong việc phát hiện các mối de doa

mạng như dạng tân công từ chỗi dịch vu (DoS§), DDoS, Worm, spam,v.¥

Tương tự như phương phép phát hiện đột nhập đựa trên dấu hiệu, phương,

pháp phát hiện đột nhập đựa trên bát thường này gồm có hái bước:

(1) Bước huấn luyện: Xây dựng cơ sở đữ: liệu (CSDL.) các hành vì bình

thường của đối tượng (người sử dụng, chương trình ứng đụng, chương trình hệ

thông, lưu lượng mạng ) Thông thường, người ta định nghĩa proBle lưu lượng

tình thường, còn profile đã được huấn luyện sẽ ấp dụng di với đữ liệu mới

(2) Bước kiếm tra: So sánh hành vi hiện tại của đổi tượng với các hành vi

được xúc định là bình thường được lưu trong C8DL để xác định các hành vi Lân

sông và đột nhập

Ưu điểm |4|: Có khả năng phát hiện các dang tin công xâm nhập chưa biết trước đỏ (hoặc các biến thể của các dang tan công đã biểU khi chúng xuất hiện; cung cấp các thông tì dễ xây dựng các dâu hiệu

Nhược điểm [4]: Việc thiết lập cdc profile khéng đủ tỉnh ví để phản ánh đúng hoạt động tinh Loan trên thực lễ Vi vậy, thường tạo ra nhiều cảnh báo sai lam giảm hiệư suất hoạt động của mạng Cần phải được đảo tạo thường xuyên

22

Phương pháp phát hiện đựa trên bất thường giải quyết vấn để phát hiện xâm nhập chưa biết Thông thường, nó không thể cung cấp thông tín chỉ tiết về các cuộc tấn công Một hệ thông phát hiện xâm nhập thiết kế tốt phải ó khả năng phát hiện

cả những tấn công dẫu hiệu và bất thưởng

1.53 So sảnh hơi phương pháp [3] [117

Phát hiện dựa trên sử dụng sai

(Misuse based detection)

Lá phương pháp truyền thống, sứ dụng

một lập các mẫu mô tả các đâu hiệu tắn

công,

- Tìm kiểm các hành động tương ứng với

các kỹ thuật xâm nhập đã biết (đựa trên

Tôm mm kết lậu dựa vào pháp sơ sánh

khớp mẫu (pattern matching)

Phra mm kết quả dựa vào độ lệch giữa

thông tin thực tế và ngưỡng cho

phép

- Hiệu quả trong việc phát hiện các dang

tin công hay các biến thê của các dạng tân

đạng tân công mới mà một hệ thống

phát hiện đấu biện sai bỏ qua, chẳng hạn như lấn công zcro-day

Khó câu bình hơn vì đưa ra nhiều đữ

liệu hơn, phải có được một khải miệm loàn điện vẻ hành vi binh

thường của của người dùng và hệ

Theo bảng trên, ta co thé thay IDS đựa trên bất thường có nhiều ưa diễm hơn

so với IDS đựa trên sử dụng sai Tuy nhiên, để tăng cường tính chỉnh xác của cánh

táo thì nên có sự kết hợp giữa hai phương pháp

1.6 Hệ thống phát hiện xâm nhập vửi Snort

1.61 Giỏi thiéu Snort

Snort |5| là một hệ thống phát hiện xâm nhập mạng được Martin Rocsch

phát triển đâu tiên vào nim 1998 đưới mê hình mã nguồn mở, hoản toàn miễn phí

va dé sử dụng với nhiều tính năng mạnh mẽ Với kiến trúc thiết kế theo kiểu

module, CSDIL luật của Sncrt rất lớn và dược cập nhật thường xuyên bởi một cộng

đồng người sử đựng Snort có thể triển khai trên nhiều nền tảng hệ điều hành như

Windows, Linux, OpenBSD, Solaris, MaxOS : theo déi 24/7 với thời gian thậi,

giúp phát hiện liên tụe các xâm nhập vào hệ thống,

Snort chủ yêu là một ID5 đựa trên luật, tuy nhiên các input pÏug-in cũng tốn

tại để phát hiện sự bát thường trong các heador của giao thức, Snort sử dụng các luật được định nghĩa trước vả lưu trữ trong các file text theo từng nhỏm loại, có thé

được thêm, chỉnh sửa bởi người quản trị, đồng thời cũng có thể xóa mội vài luật đã

được lạo trước để tránh việc báo động sai File câu hình chính của Snorl là

snort.conf Snort đọc những luật nay vào lúc khởi tao va xây dụng cầu trúc dữ liệu

dé cung cấp các luật nhằm bắt giữ đữ liệu Việc tim ra các đâu hiệu và sử đựng

lễ đội hỏi siz tinh

chúng trong các luật là mội vẫn di L vì tx cảng sử dụng nhiều luật

thì năng lực xử lý cảng được yên cần đề thu thập dữ liệu trang thực tế

Snorl cũng có điểm yếu, đủ là tương tự như các bộ quét virIs (Virus scaniner), Snort chi 6 thé chống lại các cuộc tân công một cách hiểu quả nếu như nó biết được đầu hiệu (signature) của các cuộc tắn công đó Dựa vào điểm nay, cao hacker

có thể điều chỉnh cáo cuộc tấn công để thay đổi signalure của cuộc Lin công đó Từ

dé gắc cuộc tắn công nay có thể vuợt qua được sự giám sắt của Snorl Như vậy có thé thay ring, để Snort hoal động một cách hiệu quả ủ một trong những yếu 16 quan trọng cần phải chủ ý là các luật viết cho nỏ

Snort có thể thực thì ở 3 chế độ chính:

- Chế dé Packet Sniffer G ché dé nay, Snort hoat động như một chương,

trinh thu thập vá phân tích gói tin thông thường, gởi tin sau khi giải mã đó sẽ trình

tây kết quả lrên giao điện hiển thụ

- Ché dé Packet Logger Goi tin sau khi giải mã được ghi vao tip tin cd câu

tric binary hay ASCIL

- Chế độ AIDS: Đây là ch 46 hoại động rất mạnh và được áp đụng nhiều nhất, sử dụng các rule để áp dụng lên g6i tin, Snort sé phân tích các gói tin luân

chuyên trên mạng và so sánh với các thông tin đã được người đủng định nghĩa, gói

tin sau khi giải má được chuyên sang Preprocessor Luong (mg,

1.62 Kiến trúc cita Snort

Suor có vải thành phan quan trọng thứ các mô-din tiển xử lý (Preprocessors) và các plug-in cảnh bảo, hẳu hết trong, số đó có thể được điểu chỉnh

thêm các plug-in đế thục thi Snort cho những yêu cầu cụ thế của người dùng Kiến

trúc Snort bao gồm bên thành phân chính sau dây |5]:

- Médun chin bit g6i tin (Sniffer),

- Médun tién xt ly (Preprocessor),

- Médun phat hién (Delection Engine);

- Môđm kết xuất thông tin (Output)

Pockets là

`ulheb ¿

Hình 1.5 Kiển trủe Snort [5]

Về cơ bản, Snort 1A một cổng cụ chặn bắt gói tin (packet sniffer) Tuy nhiên,

nó dược thiết kế để bắt các gói tin và xử lý chúng thông qua mỏ-dun tiền xử lý, sau

đó kiểm tra các gói lin đó dựa vào bộ luật (qua Detection lingine) Tại đây, tuỷ theo

bạ a

việc có phát hiện được xâm nhập hay không mà gói tin có thể dược bỏ qua dễ lưu thông tiếp hoặc được đưa vào mô-đun Output sẽ thục hiện việc cảnh bảo

Cáo thành phần Preprocessor, Deteclion Engine va Alert cla Snort déu 1d cdc

plug-in Cac plug-in nay Ja cae chuong trinh duge viét dua theo plug-in API cia Snort Phản sau sẽ giới thiệu chỉ tiết vẻ chức năng của từng thành phần

1.6.3 Chức năng của Snort

Snort xử lý gói tín theo quy trình như sau: Sncrt bắt đâu với việc tiếp nhận gói tin Sau khi gối tin được Snenl tiếp nhận, các gói tín lúc này được chuyên vào mô-dưn giải mã gói tin, Sau khi dược giải mã, gỏi tin sẽ dược chuyên dến Preprocessor dé tiéu chudn hóa gói tin, phân tích, phần tích thông kế và phát hiện các giao thức bắt thường Tiếp theo đó gói lin sẽ được chuyển vae Detection Engine

để đối chiêu kiểm tra với luật trong Snort Cuối cùng gỏi tiu được gửi vào các

Ouput plug-in dé loging và cảnh báo

1.6.3.1 Môdun chặn bắt gói tin

Médun chin bat g6i tin (Packet Sniffer) [5] la mét bé phan (phan cứng hoặc

phần mêm) được sử đựng để khai thác hệ thông mạng Nó hoạt động tương tự như công cụ nghe trộm điện thoại, nhưng nó được sử dụng cho các mạng dữ liệu thay vì

các mạng thoại Người dùng có thê mã hoá lưu lượng mạng của mình để có thể

ngăn cân việc gói tin bị chặn bắt có thể bị đọc Như bất ky céng cu mang nao, Packet Sniffer ed thé được sử dụng cho cáo ý đỗ xấu

'Mô-đun chặn bắt gói tỉn cân được thiết lập để nhận được càng nhiều gói tin

cảng Lối Như rnột smiffer, SnorL có thể lưu các gới lin được xử lý sau đỏ liển thị

uhu mét packet logger (ghi log gói tin)

1.6.3.2 Môấum tiền xứ by

Médun tién xit ly (preprocessor) [5] 12 cic plug-in d& Snort cho phép người ding phan tich dit ligu dén theo nhiều cách khác nhau mà có thể hữu ích cho việc phát hiện Nếu ta chạy Snert mà không có bất kỳ preprocessor nào được đặc tả

trong lập tín cần hình suort.conf của mình, thì chúng ta chỉ nhận các gói lín truyền

tới ở dạng những gói tín riêng, biệt, điều nảy có thể là nguyên nhân dẫn đến việc bố

lỡ phát hiện một số cuộc tin công, bởi vì nhiều cuộc tân công mới phụ thuộc vào những thứ nhu dit ligu ghi dé trong các phân mánh xép chéng

'Môiđun liền xử lý lây

gói tin thô và kiểm tra chúng adi ven mdi sé plug-in

đã biết (như plug-in RPC, HIP va plug-in quét công), Các plug-in nay kiểm tra

loại hành vi đã xác định từ gói tin, Khi một gói được xác định có hành vi khác biệt,

nó sẽ được gửi đến mô-dm phát hiện Từ Hình 1.7, la có thể thấy cách bộ tiền xứ lý

sử dụng các plug-m của nó để kiểm tra gỏi tin, Snort hỗ trợ nhiều loại preptocessor

và các plug-in của của chúng,

Preprocessor

4

HITP Encoding Plug-in

Port Scanning Plugin

Hình 1.6 Mô-dun tiền xử lý

Môđan tiên xử lý là một môđun rất quan trọng đôi với bất kỳ một hệ thống,

IDS nao dé co thé chuẩn hị gói đữ liệu dua va cho médun Phát hiện phân tích Các

plug-in tiến xd ly dé phat hiện bất thường (không dùng luật thường dùng để đối phỏ với các xâm nhập không thể hoặc rất khó phát hiện dược bằng các luật thông

thường hoặc các đâu hiệu bất thường trong giao thức Các möđun tiên xử ly dang

nay có thể thực hiện việc phát hiện xâm nhập theo bất cứ cách mảo mà người đảng, nhí ra từ đó tăng cường thêm tính năng cho Snort Chẳng hạn, một plusin tiền xứ

lý có nhiệm vụ thông kê lưu lượng mạng tại thời điểm bình thường, khi có hư lượng mạng bối thường xây ra nỗ có thể tính toán, phát hiệu và dua ra cảnh báo (phát hiện xâm nhập theo mô hình thống kế) Phiên bản hiện tại của 8nort có đi kèm

hai plugin giúp phát hiện các xâm nhập bất thường đó là Portscan và BƠ Portcan

117] dùng dé dưa ra cảnh báo khi ké tan công thực hiện việc quét các công của hệ

bà 3

thong de tim 16 hong BO [17] ding dé phat hiện Back Orifice, đưa ra cảnh bao khi

hệ thống đã bị nhiễm Trojan Back Orifice vả kẻ tân công từ xa kết nói tới Back

Orifice thực hiện các lệnh từ xa

Snort chủ yếu phát hiện xâm nhập dựa trên dâu hiệu Đề phát hiện các cuộc tan công mới thì người dùng càn phải nghiên cứu, phân tích các cuộc tân công, từ

đỏ viết luật cho Snort Tuy nhiên, Snort có khả năng phát hiện bắt thường bằng cách

tích hợp các plug-in (preproeessor của người dùng tự viết) cỏ tính năng phát hiện bất thường vào mô-đun Preprocessor của Snort

1.6.3.3 Môđun phát hiện

Detection Engine

Hình 1.7 Môđưn phát hiện

Médun phat hién (Detection Engine) [5] là thành phần mả mọi người nghĩ

đến khi nghĩ vẻ chức năng của Snort như một NIDS Nó là bộ phận cót lõi của một

IDS dua trén dấu hiệu trong Snort Mỏđun phát hiện lây dữ liêu đến từ möđun tiên

xử lý và các plug-in của nó, và dữ liệu đỏ được kiểm tra thông qua một tập các luật

ắNếu các luật khớp với dữ liêu trong gói tin thì chủng sẽ được gửi đên bộ xử lý cảnh báo,

Snort là một hệ thống IDS dựa trên dấu hiệu Chức năng IDS dựa trên dau

hiệu được hoàn thành bằng cách sử dụng các bộ luật khác nhau Các bộ luật được

nhóm thành các loại (Trojan horses, tràn bộ đệm, truy cập các ửng dụng) vả được

cập nhật thường xuyên

Các luật gồm hai phần:

- Rule header: Day 1a phan dâu của luật, phần này mô tả cách hành động (log,

hoặc alert), các loại giao thức (ICP, UDP, ICMP), dja chi LP nguén, dich va thông,

tant vé cde cdng (port)

- Rule oplion: Option chim thang dip bao déng va théng tin sé due Snort

tuy biển chúc năng IDS của Snort Ta có thể định nghĩa cáo luật theo môi trường ctia minh và tuỷ biến [heo yêu câu

1.6.3.5 Médun két xudt thing tin

ôđun kết xuất thông tin có thế thục hiện các thao tác khác nhau phụ thuộc

vào việu ta muốn lưu kết quả xuất ra như thé nao Tuy theo việc cầu hình hệ thông

xà nỏ có thể thực hiện các công việc như sau:

- Ghi log file;

- Ghi alert vào syslce: syslog là một chuẩn lưu trữ cdc file log duge st dung rất nhiều trên các hệ thông Unix, Linux;

- Ghi cảnh báo vào cơ sở đữ liệu;

- Tao file log dang xml,

- Câu hình lại Router, firewall;

- Gữi các thông dip SMB (Server Message Block) téi cdc may tinh chay

Windows.

Nếu không hải lỏng với các cách xuất thông tin như trên, ta có thể viết các môđun kết xuất thông tin riêng tuỷ theo mục đích sử dụng,

Ta có các cách xuất ra các cảnh bảo vả log như sau

Là các dạng thiết kế định dạng đẻ tối ưu hoá năng suất, tương thích với

Bamyard (hệ thông output nhanh của Snort được phát triển bởi Andrew R Baker)

1.6.4 Một số mình hoa khã năng phát hiện xâm nhập của Snort

Web server

Hình 1.8 Mô hình thử nghiệm Snort

(1) Test gói ping bình thường

~ Thêm rule vào file /usr/local/snort/rules/iemp rules:

30

alert icmp any any > $HOME_NET any (msg: "Test ping"; sid:100001)

- Chay snort

sudo /usr/local/snort/bin/snort -A console -q -u snort -g snort -c

/usr/local/snort/ete/snort.conf -i eth]

(2) Test gói ICMP kích thước bắt thường

- Thém mule vao file /usr/local/snort/rules/icmp rules: goi ping mac dinh kich thước = 32 byte, cảnh báo (alert) khi kích thước khác 32 byte

alert icmp any any > $HOME_NET any (msg: "Test anomaly payload size",

dsize:33<>65500, sid: 100004)

- Chay snort

- Tan céng thir: ping 192.168.5.1 -] 65500

Kết quả phát hiện như sau:

[1:16894:6] test anomarLy payLoad stze [**] [Prtortty

20] test anomarly payload size [**] [Prtorttỷ

naa SST Co [**] [Prtertty test anomarLy payLoad s(ze [**] (Prtortt

St anomarLy payLoad DU,

Thém rule vao file /usr/local/snort/rules/iemp rules:

alert icmp any any > $HOME_NET any (msg: "Ping of Death Detected", dsize:>10000; sid:777777)

alert imp any any -> $HOME_NET any (msg: "Stop smurlng me"; sid: 888888)

ping -1 655540 192.168.5.1

Kết quả ở may Snort

snottidst@ubuntu: /usrflocal/snart/rules X | snortids@pubuntu: /ust/local/snort/rules x

Settee err eae!

9f Death 0etected [**] [Prtortty: 8} (1

TỔ snurftng CeO MCCUE ec ie

I1 TẾ Cee)

em ert

ere es 192.168.5

168

Hinh 1.11 Ping -t dén may

Kết quả ở máy Snort

foamed

[1:888888:6]

CỔ [**] [1:888888:6]

888:0]

II cc, làn) Ce] ta

OLE}

eer ry) CE}

lập LES) [**] [1:888988:8]

ma snurfFing DU]

snurftng snurftng snurfing snurFtng snurftng Di) snurftng snurftng

Cr

et tneC1ns time<ine time<ins

In [Priority acon

ID

pc [Prtertty

ID [Can oat

rates [Prtertty:

Der) mec) Ome) 6} (rene) 0} (rene) Cec) ee) mec) 9] (re) 6] (ICHP)

8] {1CHP)

Hình 1.12 Kết quả phát hiện ping -t

(4) Test gói tin tắn công web với từ khoá

~ Thêm rule vào file: /usr/local/snort/rules/web-attacks.rules

Vi du 1: alert tep any any > $HOME_NET any (msg: "web attack test 1"; content: "hacker"; sid: 100002)

Vi du 2: alert tep any any -> $HOME_NET any (msg: "web attack test 2",

Kết quả ở máy Snort

PT NT

4:40.842736 TU TU attack test 1 [**] [Prtortty: 0] {TCP} 1

$0371 -> 192 t

TH HN [ 6] web attack test 1 [**] [Prtortty: 9] (TCP} 1|

DĐ g”) 55 6] web attack test 1 [**] [Priority: ð] (TCP} 1 feta

|oz/18-o9 A web attack test 1 [**] [Prtortty: 8] {TCP} 1| PIN

Hình 1.14 Phát hiện tân công web ở Ví dụ 1 Với từ khoá "sqÏ", http://192.168.5.1/eonfg.html2sql

Almost all configurable data is placed ia

their corsesponding default value sa Librar:

Hinh 1.15 Thử tắn công web với từ khóa "sq]"

Kết quả ở máy Snort

my onsote -q -u snort -g sno

~ Thêm rule vào file: /nsr/local/snorVrules/dos.rules hoặc local rules

alert tep any any -> $HOME_NET 80 (flags: S; msg:"Possible TCP SYN

sudo hping3 -S -p 80 flood rand-source 192.168.5.2

snortids@ubuntu:~$ sudo hping3 -5 -p 80 flood rand-source 192.168.5

PING 192,168.5.2 (eth1 192.168.5.2): 5 set, 46 h + 8 data byte hptng 1n ftood mode, no repLtes wtLL be shown

Hình 1.17 Thử tấn công SYN flooding Kết quả ở máy Snort phát hiện có tấn công TCP SYN flooding sau khi giả

lập tấn công khoảng 24 đến 30 giây tuỷ từng thời điểm khác nhau

@] (TCP) 2.193,60.121:25498 -> 192.168.5 39/18-91:16:69.721541 [**] [1:19691:1] Po TCP SVN ftoodtng [**] [PrterL 6] (TCP) 67.214.75.186:23491 -» 392.168-5-2

18/18-61:16:6 721552 re 1] Posstbte TCP SYN ftoodtng [**] [Prtorkty

thường (Anomaly Based LDS - ABLDS) [4] Hé thdng SBIDS (vi du nbw Snort dua trên các kỹ thuật nhận dang mau, Snort đuy trị cơ sở dữ liệu đâu hiệu của các cuộc

tấn công được biết đến trước đây và so sánh với số liệu phân lích Đưa ra cảnh báo khi các đấu hiệu khỏp với mẫu Còn với hệ thống ABIDS (vi dụ nhu PAYL,

POSEIDON, SPADE (Statistical Packet Anomaly Detection Engine), ALAD, PHAD, ) xây đựng một mô hình thống kê mô lá lưu lượng mạng bình thường, và

khi cô bắt kỳ hành vị bắt thường lệch với các mỏ hình được xác dịnh thì sinh ra

cảnh báo

Ống dựa Irên đấu hiệu, hệ thống đựa trên bát thường có

Trải ngược với

tru điểm lá chủng sỏ thể phốt hiện các cuộc tấn công chưa được biết đến như các

cuộc tân céng zero-day’, bởi vậy các cuộc tân công mới có thể bị phát hiện ngay sau

khi chủng diễn ra ABIDS (không giống như SBIDS) dỏi hỏi một giai doan huấn huyện để phát triển cơ sở dữ liệu của các cuộc tấn công nói chung và thiết lập mức

phát hiện nguõng kỹ lưỡng làm cho nó phức tạp Trong luận văn nảy tập trung vào

các hệ thông dựa trên sự bất thường, dic biệt là tìm hiểu thuật toán phát hiện bắt thường thống kê áp dụng để phát hiện tấn công SYN flooding, đó là thuật boản cộng

tích lug (Cumulative SUM - CUSUM)

2.2 Cac phuong pháp kỹ thuật phát hiện xâm nhập dựa trên bất thường

Co nhiéu kỹ thuật phát hiện bắt thường khác nhan Quan trọng nhất là các kỹ

thuật phải hiện bất thường Thống ké (Statistical anomaly detection), phat hién bat

+ Zero-day là thuật ngũ chỉ sự tắn công hay các mỗi ác đọa khai thác lỗ hồng của ứng dụng trong

xảy lính cải má chưa được công bề vá chưa được sửa chữa.

thường dua tén Khai pha dé ligu (Data mining based detection), phat hién dựa trên tri thir (Knowledge based detection) va phat hign dua trên Lọc máy (Machine learning based detection) Các phương pháp phát hiện xâm nhập bất thường |4] [10]

[11] duge minh hoa trong Hình 2.1

Phát hiện dựa trên khai phá dữ liệu

Phát hiện dựa trên tri thức

Phát hiện dựa học máy

Hình 2.1 Phân loại hệ thống TDS8 dựa trên bát thường,

321 Phương pháp phải hiện xâm nhập bất thưởng đựa trên thẳng kê

Mô hình thông kê là một trong những phương pháp đầu tiên được sử đụng để phat hiện sự xâm nhập vào hệ thẳng thông tin điện tử Các kỹ thuật phát hiện bắt thường dựa trên thống kế sử dựng các thuộc tinh thống kê (ví dụ trung bình và

phương sai) của các hoạt động bình thường để xây đựng một hỗ sơ bình thường và

triển khai các thử nghiệm thống kê để xá

định liệu các hoạt động được xem xét 6

thời điểm hiện tại có lệch dáng kể so với hồ sơ bình thường, hay không, nêu đữ liệu

các thông số được theo đôi vượt quá ngưỡng (threshold) đặt ra thi sẽ sinh ra cánh

báo Các hệ thống phát hiện bái thường như NIDES, và SPADE có một cách liếp

cận trong đó hệ thống sẽ học một mỗ hình thống kê về lưu lượng bình thường của

xrạng, và xem xét các sai khác sơ với rnö hình nảy

Quá trình phát hiện bất thường dựa trên thống kê có hai bước: Trước hết hệ thống thiết lập hồ sơ hảnh vị cho các hoạt dộng, bình thưởng vả hoạt dòng biện tại Sau đó, những hỗ sơ nảy được so khớp dụa trên các kỹ thuật khác nhau để phát hiện

tất kỷ loại sai lệch nào so với hành vĩ bình thường,

Một số kỹ thuật dựa trên thống kẽ dàng trong lĩnh vực phát hiện bắt thường,

có thế kế đến là [L0] [11]: Mô hình Hoạt động hay Số đo ngưỡng (Operational Model or Threshold Metric), M6 hinh xi ly Markov hay M6 hinh Marker (Markov

Process Model or Marker Mode), Mémen” thống kẻ hay Mô hình trưng binh và độ

lệch chuẩn (Statistieal Moments or Mean and Standard Deviatien Model) và Mô hink hén hop (Multivariate)

Tiiện nay, một phuong phép tiép can thống kê được đề nghị là việc thống kế

hm lượng để phát hiện các loại tân công mới trên mạng Theo phương pháp này, xuột mô hình hành vị của mạng được sử dụng để phát hiện mội lượng lớn các lân công từ chối dịch vụ và đỏ quét công bằng cách giảm sát lưu lượng mạng

TƯn điểm của phương pháp thống kê [11]:

~ Không doi hỏi kiến thức về lễ hồng bảo mật hay các cuộc tự tấn công, Kết

quá lá các hệ thống nay có thể phát hiện "zero days" hoặc các cuộc tán công rắt

tới

- Các phương pháp thông kê có thể cung cấp thông bảo chính xác về các hoạt động độc hại thường xây ra trong thời gian đài và những dự bảo sắp xảy ra các cuộc tân công từ chối địch vụ

- Phương pháp nảy có khả năng duy trì dễ dàng hơn, vì không cản phái cập

nhật các đâu hiện và hệ thẳng không dựa trên các cuộc tân công haặc điển kiện cụ

the

> ssomen là một thuật ngữ mê tà THÔNG KÊ tẻng có tác đụng để biểu thị đặc điểm tình dạng và vị

trí của một PHÂN PHOI XÁC SUÁT, hoặc một mẫu số liệu.

~ Có khả năng phát hiện các cuộc tin công “low and slow” (thap va chim)

- Tim kiếm các yếu tổ riêng có thể là một phần ca một sự xâm nhập má

không cần chờ đợi việc hoàn thành Ioàn bộ một chuối các hoại động cụ thể

Nhược điểm [f1]:

- Phương pháp thông kê cần các phân phối thông kê chính xác, nhưng không phải tất cũ những hành và có thể dược mô hình hóa bằng cách sử dụng phương pháp thống kê hoàn toàn,

- Phân lớn các kỹ thuật phát hiện bắt thưởng thông kê đòi hỏi sự giả định của

xnột quả trình không ổn định (quasisialionary), má không thể được giá định cho hầu

"hết các dữ liệu được xứ ly bằng hệ thông phát hiện bắt thường,

- Quá trình học của nó phải mắt nhiêu ngày hoặc nhiêu tuần thì mới chính xác và hiệu quã

- Thiết lập ngưỡng (threshold) là một vấn đề lớn đối với phương pháp này Thiết lập ngưỡng quá cao sẽ không cỏ cảnh báo với lưu lương can thiết (có thể bô sót các cuộc lấn công), trong khi tết lập nó quá thấp sẽ sinh ra nhiều cảnh báo sai

- Tạo ra một số lượng cảnh báo sai không chấp nhận được vi nó không có

khả năng thích ứng với những thay đổi hợp pháp trong hành vì cũa người dùng,

Sau day giới thiệu một số kỹ thuật dựa trên thống kẻ

2.2.1.1 Mõ hình hoạt động ba) số đo ngưỡng

Mô bình hoạt động hay số đo ngưỡng (Operatiomal Model or Threshold

Metie) [10] [11] [12] đựa trên giả sử rằng một hoạt dộng bát thường có thể dược

xác định thông qua sự so sánh việc quan sát với một giới bạn được xác định trước Dựa trên lượng quan sát xây ra vượt quá một khoáng thời gian thì sẽ có cảnh bảo

Mô bình Operational được áp dụng nhiễu nhất đến các sé do ma kinh nghiệm đã chỉ

ra rằng các giá trị nhất định thường được liên kết với sự xâm nhập Ví dụ một hệ

đếm sự kiện cho số thất bại khi nhập mật khẩu rong một thời gian ngắn, thường,

“hơn 10, thông báo đăng nhập thất bại [14]

Trong ứng đụng các thuật toán phát hiện xâm nhập bắt thường để phát hiện các tấn công SYN llooding, thuật toán ngưỡng giới hạn khả ning dap ứng