BÀI GIẢNG môn AN TOÀN cơ sở dữ LIỆU PHÁT HIỆN xâm NHẬP cơ sở dữ LIỆU TRÁI PHÉP NGUYỄN PHƯƠNG tâm

4.1 Giới thiệu4.2 Các công cụ tự động phát hiện xâm nhập 4.3 Hướng tiếp cận dựa vào hệ chuyên gia 4.4 Kiểm toán trong các hệ thống quản trị CSDL tin cậy 4.5 Các xu hướng chung trong phát

GV: Nguyễn Phương Tâm

Chương 4

PHÁT HIỆN XÂM NHẬP

CƠ SỞ DỮ LIỆU TRÁI PHÉP

 Giới thiệu một số công cụ phát hiện xâm nhập trái phép

 Trình bày hướng tiếp cận dựa vào các hệ chuyên gia

 Trình bày các xu hướng chung trong việc phát hiện xâm nhập

MỤC TIÊU

4.1 Giới thiệu

4.2 Các công cụ tự động phát hiện xâm nhập

4.3 Hướng tiếp cận dựa vào hệ chuyên gia

4.4 Kiểm toán trong các hệ thống quản trị CSDL tin cậy

4.5 Các xu hướng chung trong phát hiện xâm nhập

NỘI DUNG

4.1 GIỚI THIỆU

 Mục đích của các biện pháp phát hiện xâm

nhập máy tính là phát hiện ra các loại xâm

phạm an toàn cơ bản như:

 Xâm phạm tính toàn vẹn.

 Từ chối dịch vụ.

 Truy nhập trái phép.

4.1 GIỚI THIỆU

Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu

quả của các biện pháp phát hiện xâm nhập này, như:

 Người sử dụng áp dụng các biện pháp này chưađúng

 Các kiểm soát an toàn làm giảm hiệu năng của hệthống

 Những người sử dụng hợp pháp có thể lạm dụngquyền của mình bằng những điểm yếu mà các biệnpháp phát hiện xâm nhập chưa phát hiện ra

 Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có.

4.1 GIỚI THIỆU

Mô hình phát hiện xâm nhập:

Khả năng phát hiện xâm nhập máy tính phụ thuộc vào

sự xuất hiện của một mô hình phát hiện xâm nhập.Hiện nay có hai kiểu mô hình phát hiện xâm nhập đượccác hệ thống phát hiện xâm nhập (Intrusion DetectionSystem - IDS) áp dụng là:

 Mô hình phát hiện tình trạng bất thường (Anomaly detection models)

 Mô hình phát hiện sự lạm dụng (Misuse detection models)

4.1 GIỚI THIỆU

Mô hình phát hiện tình trạng bất thường:

Các mô hình này cho phép so sánh profile (trong đó cólưu các hành vi bình thường của một người sử dụng)một cách có thống kê với các tham số trong phiên làmviệc của người sử dụng hiện tại Các sai lệch 'đáng kể'

so với hành vi bình thường sẽ được hệ thống IDS báocáo lại cho chuyên gia an ninh, các sai lệch được đobằng một ngưỡng (do mô hình xác định hoặc chuyêngia an ninh đặt ra)

4.1 GIỚI THIỆU

Cơ chế làm việc dựa vào kiểm toán:

Các IDS kiểm soát hành vi của người sử dụng trong hệthống bằng cách theo dõi các yêu cầu mà người sửdụng thực hiện và ghi chúng vào một vết kiểm toánthích hợp Sau đó phân tích vết kiểm toán này để pháthiện dấu hiệu đáng nghi của các yêu cầu đó

 Các kiểm soát kiểm toán này không được tiến hànhthường xuyên Kết quả là các tấn công vào hệ thốngkhông được phát hiện thường xuyên, hoặc chỉ đượcphát hiện sau khi chúng đã xảy ra được một thờigian khá lâu.

4.1 GIỚI THIỆU

Một số IDS:

 Các IDS dựa vào việc phân tích các vết kiểm toán

do hệ điều hành (OS) đưa ra, ví dụ như IDES (hệ chuyên gia phát hiện xâm nhập) của SRI

 MIDAS của Trung tâm an ninh quốc gia

 Haystack System của Thư viện Haystack

 Wisdom & Sense của thư viện quốc gia Alamos

Các hệ thống phát hiện xâm nhập (IDS) được sử dụng kết hợp với các kiểm soát truy nhập, nhằm phát hiện

ra các xâm phạm hoặc các cố gắng xâm phạm có thể xảy ra

Kiến trúc cơ bản của một IDS

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

Vết kiểm toán (Audit trail)

Phát hiện sự bất thường (Anomaly detection)

Phân tích sự lạm dụng (Misuse analysis)

CSDL mẫu tấn

Mức nghi ngờ (Suspicion level)

Nhân viên an ninh (Security officer)

Kiến trúc cơ bản của một IDS

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

Các bước xử lý

Tiền

xử lý

Phân tích bất thường

So sánh mẫu

Cảnh báo

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

 Khi phân tích an toàn dữ liệu kiểm toán, một mục đích của các công cụ tự động là giảm khối lượng dữ liệu kiểm toán được xem xét một cách thủ công Các công cụ này có thể đưa ra các bằng chứng về sự cố gắng xâm phạm an toàn hệ thống trực tuyến hoặc ngoại tuyến.

 Sử dụng dữ liệu kiểm toán, ta phân loại các đe doạ có thể xảy

ra với hệ thống như: các đối tượng xâm nhập bên ngoài, xâm nhập bên trong và đối tượng lạm dụng quyền gây ra.

 Trong số các đối tượng xâm nhập bên trong, nguy hiểm chính

là những ‘người sử dụng bí mật’ được định nghĩa là những người có thể tránh được các kiểm soát truy nhập và kiểm toán, bằng cách sử dụng các đặc quyền của hệ thống, hoặc hoạt động tại mức thấp hơn mức kiểm toán.

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

Chúng ta có thể giải quyết tình trạng này bằng cách:

 Giảm mức kiểm toán xuống thấp hơn (Ví dụ, mứckiểm toán chỉ đến mức file, bảng CSDL, ta giảmxuống mức bản ghi, mức cột, mức phần tử )

 Định nghĩa các mẫu sử dụng thông thường của cáctham số hệ thống (như hoạt động của CPU, bộ nhớ

và sử dụng ổ đĩa) và so sánh chúng các giá trị thựctrong quá trình sử dụng hệ thống

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

Từ các vết kiểm toán ghi lại được, các IDS tiến hànhmột số kiểu phân tích như sau:

 So sánh hoạt động của người sử dụng với cácprofile để phát hiện sự bất thường,

 So sánh với các phương pháp tấn công đã biết đểphát hiện lạm dụng và một số chương trình thì tiếnhành cả hai

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

 Hoạt động của IDS

 Các IDS chấp nhận các bản ghi kiểm toán từ một (hoặc một số) máy chủ (host).

 Trích lọc ra các đặc điểm liên quan đến phân tích và tạo ra một profile có lưu các hoạt động

 So sánh nó với CSDL bên trong của máy chủ Nếu CSDL này là một CSDL cho phát hiện bất thường thì việc so sánh mang tính chất thống kê, còn nếu nó là một CSDL lạm dụng thì tiến hành đối chiếu mẫu khi so sánh.

 Cuối cùng, IDS sử dụng các phương pháp so sánh như: suy diễn, phân tích dự báo, hoặc các phương pháp xấp xỉ khác.

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

Hoạt động của IDS

Kết quả phân tích thu được:

 Có thể được lưu giữ trong CSDL của IDS

 Được dùng để sửa đổi các bản ghi kiểm toán, bằng cách bổ sung thêm/xoá bỏ một số đặc điểm, rồi

chuyển cho bộ phận phân tích của hệ thống, nhờ đó IDS có thể kiểm soát được tình hình

4.2 CÁC CÔNG CỤ TỰ ĐỘNG PHÁT HIỆN XÂM NHẬP

Các hướng tiếp cận của IDS

 Đưa các cửa sập (trapdoors) vào trong hệ thống

 Xác định các quy tắc (hướng tiếp cận phổ biến)

 Sử dụng mô hình dựa vào lập luận

 Định nghĩa các hành vi được chấp nhận

CÁC HƯỚNG TIẾP CẬN CỦA IDS

 Xác định các quy tắc là hướng tiếp cận phổ biến.

 Định nghĩa các mẫu hành vi cho các lớp người sử dụng,

 Phát triển các IDS chuyên gia Các phân tích trợ giúp có thể kết hợp các kiến thức chuyên gia (về các vấn đề an toàn) với khả năng xử lý chính xác và kết hợp một khối lượng lớn dữ liệu của hệ thống.

 Hạn chế:

• Quy tắc chính là dữ liệu kiểm toán được tìm kiếm cho các tấn công đã biết, trong khi nhiều xâm nhập có thể xảy ra theo các chế độ chưa được biết.

• Việc viết quy tắc rất phức tạp, đồng thời việc duy trì nó cũng rất khó khăn.

 Sử dụng mô hình dựa vào lập luận (model-based reasoning).

 Mô hình này dựa vào các giả thiết, kẻ xâm nhập sử dụng các thủ tục đặc thù để tấn công vào một hệ thống, chẳng hạn như tấn công mật khẩu hệ thống hoặc truy nhập vào các tập tin đặc quyền.

 Hệ thống phát hiện xâm nhập suy luận, lấy mô hình làm cơ sở,

có nghĩa là hệ thống tìm kiếm những kẻ xâm nhập bằng cách tìm kiếm các hoạt động nằm trong kịch bản tấn công đã được giả thiết từ trước Các kịch bản biến đổi tuỳ thuộc vào kiểu của

hệ thống và kẻ xâm nhập.

CÁC HƯỚNG TIẾP CẬN CỦA IDS

 Sử dụng mô hình dựa vào lập luận (model-based reasoning).

 Lợi ích: chính là khả năng chọn lọc dữ liệu kiểm toán của nó:

dữ liệu liên quan được tập trung lại, do đó giảm bớt số lượng

dữ liệu được mang ra xem xét Tuy nhiên, chúng ta có thể tuân theo các hoạt động ngăn ngừa chống xâm nhập, khi hệ thống

có khả năng dự báo.

 Hạn chế: Với các hệ chuyên gia, hướng tiếp cận bị hạn chế, bởi

vì nó tìm kiếm các kịch bản xâm nhập đã biết, nhưng vẫn có thể tồn tại nhiều điểm yếu và các tấn công không được biết trước Do vậy, cần nghiên cứu kết hợp mô hình dựa vào lập luận với việc phát hiện sự không bình thường mang tính thống kê.

CÁC HƯỚNG TIẾP CẬN CỦA IDS

Các dự án gần đây khai thác khả năng của các mạngnơron để đối phó lại các tấn công xâm nhập Mạng nơrongiải quyết vấn đề của các phương pháp thống kê Hiệnnay, mặc dù có nhiều triển vọng nhưng hướng tiếp cậnnày không được phát triển thích đáng để có thể thay thếcác thành phần thống kê nằm trong các nguyên mẫu hiệncó.

CÁC HƯỚNG TIẾP CẬN CỦA IDS

 Với các xâm nhập đặc biệt (như virus) và các xâm nhập nói chung, các hệ thống hiện có được phân loại thành:

 Các bộ giám sát sự xuất hiện (appearance monitors): Bộ giám

sát sự xuất hiện là công cụ phân tích tĩnh, được sử dụng để phát hiện sự không bình thường trong các tập tin nguồn và các tập tin thực hiện.

 Các bộ giám sát hành vi (behaviour monitors) Bộ giám sát

hành vi tự động xem xét hành vi của các tiến trình khi có hoạt động nguy hiểm xảy ra Theo sự phân loại này, IDES là một bộ giám sát hành vi trong thời gian thực, nó nhận dạng một tập các tham số kiểm toán, thiết lập hệ thống và các profile người

sử dụng.

CÁC HƯỚNG TIẾP CẬN CỦA IDS

4.3 HƯỚNG TIẾP CẬN DỰA VÀO HỆ CHUYÊN GIA

 Các lý do cơ bản của việc sử dụng các hệ chuyên gia phát hiện xâm phạm:

 Nhiều hệ thống đang tồn tại có các điểm yếu về an toàn, chính vì vậy các đe doạ xâm nhập có thể xảy ra Người ta thường khó có thể xác định chính xác hoặc loại trừ các điểm yếu này, vì các lý do kỹ thuật và kinh tế.

 Việc thay thế các hệ thống đang tồn tại (với các điểm yếu

đã biết) bằng các hệ thống an toàn lại không dễ dàng, bởi

vì các hệ thống này thường phụ thuộc vào hệ thống ứng dụng, hoặc việc thay thế đòi hỏi nhiều nỗ lực rất lớn về kỹ thuật và kinh tế.

4.3 HƯỚNG TIẾP CẬN DỰA VÀO

HỆ CHUYÊN GIA - IDES

 Các lý do cơ bản của việc sử dụng các hệ chuyên gia phát hiện xâm phạm:

 Việc phát triển các hệ thống an toàn tuyệt đối là vô cùng khó khăn, thường là không thể.

 Thậm chí, các hệ thống an toàn cao là các điểm yếu dễ bị người sử dụng hợp pháp lạm dụng.

4.3 HƯỚNG TIẾP CẬN DỰA VÀO

HỆ CHUYÊN GIA - IDES

 IDES là một hệ thống thời gian thực IDES giám sát các đe doạ bên ngoài (người sử dụng cố gắng xâm nhập vào hệ thống) và các đe doạ bên trong (người sử dụng cố gắng lạm dụng các quyền của mình).

 IDES sử dụng cách tiếp cận chuyên gia, bằng cách giả thiết rằng việc khai thác các điểm yếu của hệ thống do các hành vi xâm phạm gây ra sẽ dẫn đến việc sử dụng bất thường Do đó, bằng việc quan sát hành vi của người sử dụng, ta có thể phát hiện ra những hành vi bất thường bằng cách định nghĩa các hành vi bình thường, các quy tắc đánh giá cho việc phát hiện hành vi bất thường.

4.3.1 Các mối quan hệ giữa các hành vi đe dọa

 Các mối quan hệ cơ bản giữa các loại xâm nhập và hành vi bất thường trong IDES là:

 Sự cố gắng xâm nhập: Nhiều lần cố gắng đăng nhập sử

dụng những mật khẩu khác nhau với cùng một tài khoản, hoặc sử dụng cùng một mật khẩu với nhiều tên account

khác nhau.

 Sự giả mạo: xâm nhập qua đăng nhập hợp pháp (nghĩa là

tên tài khoản và mật khẩu lấy cắp được hoặc sao chép được, chúng là hợp lệ) và sau đó sử dụng hệ thống khác mẫu

thông thường (như: duyệt thư mục thay vì những hành động bình thường: soạn thảo, biên dịch, liên kết,…).

4.3.1 Các mối quan hệ giữa các hành vi đe dọa

 Xâm nhập của những người sử dụng hợp pháp: những

người sử dụng hợp pháp cố gắng phá vỡ các kiểm soát an toàn (họ sử dụng các chương trình khác với bình thường chúng vẫn chạy) Nếu sự xâm nhập này thành công, họ sẽ truy nhập được vào các file và các lệnh (bình thường bị cấm), do đó thể hiện những hành vi bất thường.

 Sự truyền bá dữ liệu bởi những người sử dụng hợp pháp:

một người sử dụng cố gắng truy nhập vào dữ liệu nhạy cảm bằng cách đăng nhập ở những thời điểm khác thường, bằng cách viết theo kiểu bất thường (nhiều lần thực hiện đọc), sử dụng các máy in từ xa, hoặc sinh ra nhiều bản sao hơn bình thường.

4.3.1 Các mối quan hệ giữa các hành vi đe dọa

 Suy diễn bởi những người sử dụng hợp pháp: lấyđược dữ liệu bí mật bằng cách gộp hoặc suy diến

 Trojan: là một đoạn chương trình được chèn vàohoặc thay thế một chương trình, nó có thể thay đổitốc độ sử dụng CPU, bộ nhớ, thiết bị …

 Virus

4.3.2 Phân tích hành vi bất thường

Một metric là một biến ngẫu nhiên x thể hiện mộtlượng vượt quá khoảng thời gian quan sát cho trước(hoặc là khoảng thời gian cố định, hoặc là khoảng thờigian giữa 2 sự kiện tương quan) Sự quan sát này làtheo dõi các hành động của người sử dụng, các hànhđộng này là các điểm mẫu xi của x được sử dụng trongmột mô hình thống kê để xác định xem một biến quansát mới có được coi là ‘bình thường’ hay không

Mô hình thống kê này độc lập với sự phân phối của x,

do đó tất cả hiểu biết về x có thể đạt được từ nhữngbiến quan sát đó

4.3.2 Phân tích hành vi bất thường

 Metrics

Các metrics thể hiện cách thức nhóm những biến quan sát đơn

lẻ của hành vi của một người sử dụng để tạo ra một profile liên quan đến hành vi của người sử dụng đó Một số metric có thể được sử dụng như:

 Event Counter (bộ đếm sự kiện): x là số sự kiện liên quan

đến một khoảng thời gian cho trước, khoảng thời gian này thỏa mãn các thuộc tính đã cho Ví dụ, x có thể mô tả số lần đăng nhập trong một giờ, số lần một lệnh cụ thể được thực hiện trong một phiên làm việc, số lượng các mật khẩu sai trong một phút, hay số lương các truy nhập trái phép vào một file trong một ngày.

4.3.2 Phân tích hành vi bất thường

 Metrics

 Time interval (khoảng thời gian): x là khoảng thời gian

giữa hai sự kiện liên quan: ví dụ khoảng thời gian giữa hai lần đăng nhập liên tiếp liên quan đến một tài khoản đơn lẻ.

 Resource measurement: x là lượng tài nguyên được sử

dụng bởi một hoạt động của hệ thống trong một khoảng thời gian đã cho: ví dụ, tổng số trang được in bởi một người sử dụng trong một ngày, tổng thời gian CPU của một chương trình đang chạy, hay số lượng các bản ghi được đọc trong 1 ngày Chú ý Resource measurement có thể thuộc kiểu event counter hay time interval, ví dụ số lượng các trang được in

là một event counter.

4.3.2 Phân tích hành vi bất thường

Mô hình thống kê – statistical models

Với một metric đã cho của một biến ngẫu nhiên x và n biến quan sát x1, x2, ,xn, mục đích của một mô hình thống kê của x là để xác định xem nếu có một biến

quan sát mới xn+1 được so sánh là bất thường với các biến trước đó

4.3.2 Phân tích hành vi bất thường

Mô hình thống kê – statistical models

Một số mô hình thống kê được sử dụng cho mục đích này là:

 Operational model – mô hình thao tác

 Mô hình độ lệch trung bình và độ lệch chuẩn

 Multivaried model – mô hình đa biến

 Markovian model – mô hình Mackop

 Time series model – mô hình chuỗi thời gian

4.3.2 Phân tích hành vi bất thường

 Operational model – mô hình thao tác:

 Giả thiết rằng sự bất thường có thể xác định được bằng cách

so sánh một biến quan sát mới của x với một giới hạn cố định.

 Giới hạn cố định này sẽ được tính nhờ các biến quan sát trước của x.

 Mô hình này có thể áp dụng với các metric để chỉ ra các giá trị ngưỡng tồn tại liên quan đến các xâm nhập.

 Ví dụ: 3 lần đăng nhập sai có thể bị nghi ngờ là một dạng đe dọa xâm nhập, hay một truy nhập được thực hiện bằng cách đăng nhập một tài khoản đã không sử dụng 2 tháng được coi

là một xâm nhập.

4.3.2 Phân tích hành vi bất thường

Mô hình độ lệch trung bình và độ lệch chuẩn: mô

hình này dựa vào giả thiết rằng một biến quan sát mới được xem là ‘bình thường’ nếu nó nằm trong khoảng tin cậy ,trong đó:

 avg độ lệch trung bình

 stdev là độ lệnh chuẩn

 d là một tham số.

stdev d

n

x

x avg  1   n

) 1

( stdev 2

2 2