Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu

Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu Hệ thống phát hiện bất thường trong mạng khai phá dữ liệu

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

Lời cảm ơn

Trước hết tôi xin gửi lời cảm ơn đặc biệt nhất tới TS Nguyễn Linh Giang, Bộ môn Truyền Thông Mạng, Khoa Công nghệ thông tin, Trường Đại học Bách Khoa Hà Nội, người đã định hướng đề tài và tận tình hướng dẫn chỉ bảo tôi trong suốt quá trình thực hiện luận văn cao học

Tôi xin được gửi lời cảm ơn sâu sắc tới Trung tâm Đào tạo Sau đại học và các thầy cô giáo trong Khoa Công nghệ thông tin, Trường Đại học Bách Khoa Hà Nội đã tận tình giảng dạy và truyền đạt những kiến thức, những kinh nghiệm quý báu trong suốt 2 năm học Cao học

Cuối cùng tôi xin dành một tình cảm biết ơn tới gia đình và bạn bè, những người đã luôn luôn ở bên cạnh tôi, động viên, chia sẻ cùng tôi trong suốt thời gian học cao học cũng như quá trình thực hiện luận văn này

Hà Nội, tháng 11 năm 2007

Lê Thế Thắng

M ục lục

Lời cảm ơn i

Mục lục iv

Danh sách ký hiệu, từ viết tắt vi

Danh sách hình vẽ vii

Chương 1 Mở đầu 1

1 Bối cảnh nghiên cứu 1

2 Nội dung nghiên cứu 2

3 Cấu trúc luận văn 3

Chương 2 Tổng quan về Hệ thống phát hiện xâm nhập trái phép 5

1 Khái quát về bảo mật hệ thống thông tin 5

1.1 Các nguy cơ đe dọa 6

1.2 Các nguyên tắc bảo vệ hệ thống thông tin 10

1.3 Các biện pháp bảo vệ 11

2 Kỹ thuật phát hiện xâm nhập trái phép 14

2.1 Thành phần 14

2.2 Phân loại 17

2.2.1 Host-based IDS 17

2.2.2 Network-based IDS 18

2.2 Nguyên lý hoạt động 20

2.3 Chất lượng cảnh báo 24

2.4 Phát hiện xâm nhập 26

3 Kết chương 28

Chương 3 Hệ thống IDS dựa trên phát hiện bất thường 30

1 Định nghĩa Bất thường trong mạng 31

2 Kỹ thuật phát hiện Bất thường 33

3 Ưu nhược điểm của Phát hiện bất thường 34

4 Dữ liệu phát hiện bất thường 36

5 Các phương pháp phát hiện bất thường 39

5.1 Xác suất thống kê 39

5.1.3 SPADE 41

5.2 Máy trạng thái hữu hạn 44

5.3 P hát hiện bất thường bằng Mạng Nơ-ron 46

5.4 Hệ chuyên gia 48

5.5 Mạng Bayes 49

6 Kết chương 51

Chương 4 Phát hiện bất thường sử dụng kỹ thuật Khai phá dữ liệu 52

1 Khai phá dữ liệu 52

2 Ứng dụng Khai phá dữ liệu trong Phát hiện bất thường 54

2.1 Hình thành bài toán 54

2.2 Khái niệm phần tử tách biệt 56

2.3 Các thuật toán phát hiện phần tử tách biệt 58

2.3.1 Phát hiện tách biệt sử dụng Khoảng cách đến phần tử gần nhất thứ k 58

2.3.2 Thuật toán NN 59

2.3.3 Phát hiện Phần tử tách biệt dựa trên khoảng cách Mahalanobis 59

2.3.4 Thuật toán LOF 60

3 Mô hình Hệ thống Phát hiện bất thường dựa trên kỹ thuật Khai phá dữ liệu 63

3.1 Môđun Lọc tin 64

3.2 Môđun Trích xuất dữ liệu 65

3.3 Môđun Phát hiện Phần tử tách biệt 65

3.4 Môđun Tổng hợp 69

4 So sánh và Đánh giá 70

4.1 Hệ thống phát hiện bất thường MINDS 71

4.2 Đánh giá khả năng hoạt động của hệ thống MINDS 74

4.3 So sánh giữa MINDS và Snort 75

4.4 So sánh giữa MINDS và SPADE 76

5 Kết chương 78

Chương 5 Kết luận 79

5.1 Kết luận về luận văn 79

5.2 Hướng nghiên cứu tiếp theo 82

Tài liệu tham khảo 83

Danh sách ký hiệu, từ viết tắt

Từ viết tắt Tên đầy đủ

VPN Virtual Private Network

IPSec Internet Protocol Security

IPS Intrusion Prevention System

HTTPS Hypertext Transfer Protocol Secure

SNMP Simple Network Management Protocol

DoS Denial of Service

SSL Secure Socket Layer

IDS Intrusion Detection System

NIDS Network-based Intrusion Detection System

HIDS Host-based Intrusion Detection System

SOM Self Organized Map

FSM Finite States Machine

SPADE Statistical Packet Anomaly Detection Engine

MINDS Minnesota Intrusion Detection System

NN Nearest Neighbor

BTTM Bất thường trong mạng

LOF Local Outlier Factor

KPDL Khai phá dữ liệu

Thời gian có tấn công sau khi công bố lỗ hổng

Số lượng máy bị tấn công ngày càng tăng Thời gian lây nhiễm trên 10.000 máy rút ngắn

Hình 2.4 Vai trò của IDS trong hệ thống bảo mật

Hình 2.5 Hệ thống phòng thủ theo chiều sâu

Hình 2.6 Thành phần của một hệ thống IDS

Hình 2.7 Hoạt động của IDS

Hình 2.8 Vị trí NIDS và HIDS trong hệ thống mạng

Hình 2.9 Nguyên lý hoạt động của một hệ thống IDS

Hình 2.10 IDS gửi TCP Reset

Hình 2.11 IDS yêu cầu Firewall tạm dừng dịch vụ

Hình 2.12 Ví dụ về đường cong ROC

Hình 2.13 IDS dựa trên dấu hiệu

Hình 2.14 Thêm luật vào IDS dựa trên dấu hiệu

Hình 3.1 IDS dựa trên Phát hiện bất thường

Hình 3.2 Hoạt động của IDS dựa trên phát hiện bất thường

Hình 3.3 Mô hình cơ bản hệ thống Phát hiện xâm nhập bất thường

bằng thống kê xác suất

Hình 3.4 Mô hình IDS sử dụng FSM

Hình 3.5 Hoạt động của IDS sử dụng FSM

Hình 3.6 IDS dựa trên SOM

Hình 3.7 Sơ đồ Mạng Bayes tổng quát

PT Tách biệt

Hình 4.2 Kết nối bất thường là một phần tử tách biệt

Hình 4.3 Khoảng cách Mahalanobis

Hình 4.4 Khoảng cách tiếp cận R-dis

Hình 4.5 Phân bố điểm dữ liệu

Hình 4.6 Hệ thống Phát hiện bất thường sử dụng Kỹ thuật Khai Phá

dữ liệu

Hình 4.7 Đường cong ROC của các thuật toán

Hình 4.8 Sử dụng nhiều hướng quan sát bổ sung cho nhau

Hình 4.9 Ví dụ về tổng hợp luật

Hình 4.10 Hoạt động của Môđun Tổng hợp

M ở đầu

1 Bối cảnh nghiên cứu

Ngày nay, trên thế giới, công nghệ thông tin đóng một vai trò hết sức quan trọng và không thể thiếu trong bất kỳ một lĩnh vực nào từ văn hóa, giáo dục, tới đào tạo, sản xuất kinh doanh, quản lý Cùng với những lợi ích vô cùng to lớn mà công nghệ thông tin mang lại, chúng ta cũng nhận thấy nguy cơ ngày càng tăng của các hành vi trái phép, xâm phạm đến hệ thống thông tin

Những năm gần đây đã chứng kiến sự bùng phát các vụ tấn công vào hệ thống thông tin trên toàn thế giới Đặc điểm chung của các vụ tấn công này là trình

độ công nghệ ngày càng cao, khả năng lây lan phạm vi rộng trong thời gian ngắn Số vụ tấn công liên quan đến lợi ích kinh tế gia tăng đã gây ra tổn thất

to lớn cho các cá nhân, tổ chức và doanh nghiệp Báo cáo của hãng bảo mật Symantec năm 2006 cho thấy chỉ trong một ngày, trên thế giới có đến 6110

vụ tấn công Từ chối dịch vụ, 63.912 máy tính bị nhiễm mã độc hại [18] Tình hình an ninh mạng tại Việt Nam thời gian gần đây cũng diễn biến khá phức tạp khi số vụ tấn công không ngừng gia tăng Các dạng tấn công DoS, Deface xuất hiện ngày một nhiều, gây ảnh hưởng lớn đến quá trình hoạt động

và uy tín của tổ chức Số lượng máy tính bị nhiễm virus, worm tại Việt Nam được ước tính đến con số hàng triệu trong năm 2006

Để đối phó trước các nguy cơ đó, người ta đã đưa ra nhiều giải pháp nhằm tăng cường tính an ninh, hạn chế đến mức tối đa khả năng bị tấn công Hệ thống Phát hiện xâm nhập (Instrustion Detection System - IDS) là một thành

phần quan trọng trong chiến lược xây dựng Hệ thống An ninh Mạng theo chiều sâu Nhiệm vụ của IDS là thu thập dữ liệu Mạng, tiến hành phân tích, đánh giá, từ đó xác định xem có dấu hiệu của một cuộc tấn công hay không IDS sẽ cảnh bảo cho nhà quản trị trước khi thủ phạm có thể thực hiện hành vi đánh cắp thông tin hay phá hoại, và do đó sẽ giảm thiểu nguy cơ mất an ninh của hệ thống

Hệ thống Phát hiện xâm nhập có 2 hướng tiếp cận chính là Tiếp cận dựa trên dấu hiệu và Tiếp cận dựa trên phát hiện bất thường Nếu như dựa trên dấu hiệu, thì hệ thống sẽ sử dụng các mẫu tấn công đã có từ trước, tiến hành so sánh để xác định dữ liệu đang xét có phải là bất thường không Hướng này hiện đang được sử dụng rộng rãi tuy nhiên điểm yếu của nó là chỉ phát hiện được các tấn công có dấu hiệu đã biết trước

Kỹ thuật phát hiện bất thường khắc phục được nhược điểm này, bằng cách tiến hành xây dựng các hồ sơ mô tả “trạng thái bình thường” Một hành vi được hệ thống coi là “bất thường” nếu các thông số đo được có độ khác biệt đáng kể với mức “bình thường”, từ đó có thể suy luận rằng các “bất thường” này là dấu hiệu của hành vi tấn công Rõ ràng hướng tiếp cận dựa trên Hành

vi bất thường có tính “trí tuệ” cao hơn và hoàn toàn có thể nhận diện các cuộc tấn công mới mà chưa có dấu hiệu cụ thể

2 Nội dung nghiên cứu

Trong thời gian thực hiện luận văn, tác giả đã tiến hành nghiên cứu những vấn

đề như sau:

• Phân tích vai trò, chức năng của Hệ thống xâm nhập trái phép, tìm hiểu

thành phần, cách phân loại cũng như hoạt động của hệ thống này Đưa iêu chí đánh giá hệ thống IDS

• Tìm hiểu Hệ thống IDS dựa trên Phát hiện bất thường Phân tích ưu nhược điểm hướng tiếp cận này Nghiên cứu các kỹ thuật được sử dụng

để phát hiện bất thường: Khai phá dữ liệu (Data mining), Xác suất thống kê, mạng Neutral, Hệ chuyên gia, Máy trạng thái hữu hạn v.v Đưa ra các đánh giá về hiệu quả của các kỹ thuật này

• Nghiên cứu và khái quát hóa Hệ thống phát hiện bất thường1 dựa trên

kỹ thuật Khai phá dữ liệu Đưa ra các đề xuất cải tiến ở một số giai đoạn So sánh và đánh giá một hệ thống dựa trên Kỹ thuật này với các

hệ thống Phát hiện xâm nhập khác

3 Cấu trúc luận văn

Phần còn lại của luận văn được cấu trúc như sau:

Chương 2 giới thiệu tổng quan về Hệ thống Phát hiện xâm nhập trái phép Trong chương này tác giả sẽ trình bày một cách khái quát vai trò của IDS trong một hệ thống thông tin, các hình thức phân loại, cấu trúc và nguyên

lý hoạt động của Hệ thống IDS

Chương 3 mô tả nguyên tắc phát hiện tấn công dựa trên theo dõi các dấu hiệu bất thường trong hệ thống, so sánh và đánh giá ưu nhược điểm của

Hệ thống phát hiện xâm nhập trái phép dựa trên phát hiện bất thường Chương này cũng đưa ra đánh giá về một số hướng nghiên cứu đã và đang được thực hiện

Chương 4 giới thiệu kỹ thuật Khai phá Dữ liệu, đưa bài toán phát hiện bất thường trong mạng về bài toán Phát hiện phần tử tách biệt Tác giả đã trình bày các thuật toán Phát hiện phần tử tách biệt, sau đó đưa ra các đánh

1 Từ đây đến cuối luận văn, Hệ thống Phát hiện bất thường được hiểu là Hệ thống Phát hiện xâm nhập trái phép dựa trên hướng tiếp cận Phát hiện bất thường trong mạng

giá thực nghiệm để chứng tỏ thuật toán LOF là phù hợp nhất với dữ liệu mạng Chương này cũng đưa ra mô hình một Hệ thống phát hiện bất thường dựa trên kỹ thuật Khai phá dữ liệu, đề xuất cải tiến cho môđun Tổng hợp trong mô hình này

Chương 5 là các Kết luận về luận văn và đưa ra hướng nghiên cứu tiếp theo của đề tài

Tổng quan về Hệ thống phát hiện

xâm nhập trái phép

1 Khái quát về bảo mật hệ thống thông tin

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn Mục tiêu của việc đảm bảo an toàn an ninh cho hệ thống thông tin là đưa ra các giải pháp và ứng dụng các giải pháp này vào hệ thống để loại trừ hoặc giảm bớt các nguy hiểm Hiện nay các cuộc tấn công càng ngày càng tinh vi, gây ra mối đe doạ tới sự an toàn thông tin Các cuộc tấn công có thể đến từ nhiều hướng theo các cách khác nhau, do đó cần phải đưa ra các chính sách và biện pháp đề phòng cần thiết Mục đích cuối cùng của an toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau [9]:

 Đảm bảo tính tin cậy (Confidentiality): Thông tin không thể bị

truy nhập trái phép bởi những người không có thẩm quyền

 Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị sửa

đổi, bị làm giả bởi những người không có thẩm quyền

 Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để

đáp ứng sử dụng cho người có thẩm quyền

 Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin

được cam kết về mặt pháp luật của người cung cấp

Cần nhấn mạnh một thực tế rằng không có một hệ thống nào là an toàn tuyệt đối cả Bởi vì bất cứ một hệ thống bảo vệ dù hiện đại và chắc chắn đến đâu đi nữa thì cũng có lúc bị vô hiệu hoá bởi những kẻ phá hoại có trình độ cao và

có đủ thời gian Chưa kể rằng tính an toàn của một hệ thống thông tin còn phụ thuộc rất nhiều vào việc sử dụng của con người Từ đó có thể thấy rằng vấn

đề an toàn mạng thực tế là cuộc chạy tiếp sức không ngừng, và không ai dám khẳng định là có đích cuối cùng hay không

1.1 Các nguy cơ đe dọa

Có rất nhiều nguy cơ ảnh hướng đến sự an toàn của một hệ thống thông tin Các nguy cơ này có thể xuất phát từ các hành vi tấn công trái phép bên ngoài hoặc là từ bản thân các lỗ hổng bên trong hệ thống

Tất cả các hệ thống đều mang trong mình các lỗ hổng hay điểm yếu Nhìn một cách khái quát, ta có thể phân ra các loại điểm yếu chính sau [9]:

 Phần mềm: Việc lập trình phần mềm đã ẩn chứa sẵn các lỗ hổng Theo

ước tính cứ 1000 dòng mã sẽ có trung bình từ 5-15 lỗi, trong khi các Hệ điều hành được xây dựng từ hàng triệu dòng mã (Windows:50 triệu)

 Phần cứng: Lỗi thiết bị phần cứng như Firewall, Router, Switch v.v

 Chính sách: Đề ra các qui định không phù hợp, không đảm bảo an ninh,

ví dụ như chính sách về xác thực, qui định về nghĩa vụ và trách nhiệm người dùng trong hệ thống

 Sử dụng: Cho dù hệ thống có được trang bị hiện đại đến đâu nhưng vẫn

do con người sử dụng và quản lý, sự sai sót và bất cẩn của người dùng

có thể gây ra những lỗ hổng nghiêm trọng

Đối với các hành vi tấn công từ bên ngoài, ta có thể chia thành hai loại là : tấn công thụ động và tấn công chủ động “Thụ động” và “chủ động” ở đây được

hiểu theo nghĩa có can thiệp vào nội dung và vào luồng thông tin trao đổi hay không Tấn công “thụ động” chỉ nhằm đặt mục tiêu cuối cùng là nắm bắt được thông tin, có thể không biết được nội dung nhưng cũng có thể dò ra được người gửi, người nhận nhờ vào thông điều khiển giao thức chứa trong phần đầu của các gói tin Hơn thế nữa, kẻ xấu còn có thể kiểm tra được số lượng, độ dài và tần số trao đổi để biết được đặc tính của dữ liệu

Sau đây là một số hình thức tấn công điển hình :

a) Các hành vi dò quét :

Bất cứ sự xâm nhập vào một môi trường mạng nào đều bắt đầu bằng cách thăm dò để tập hợp thông tin người dùng, cấu trúc hệ thống bên trong và các điểm yếu bảo mật Việc thăm dò được tiến hành theo các bước thăm dò thụ động (thu thập các thông tin được công khai) và thăm dò chủ động (sử dụng các công cụ để tìm kiếm thông tin trên máy nạn nhân) Các công cụ dò quét được các hacker chuyên nghiệp thiết kế và công bố rộng rãi trên Internet Các công cụ thường hay dùng: Nmap, Essential Network tools,… thực hiện các hành động Port Scan, Ping Sweep, Packet Sniffer, DNS Zone Transfer…

b) Các tấn công từ chối dịch vụ (Denial of Service Attacks) :

Đây là kiểu tấn công khó phòng chống nhất và trên thế giới vẫn chưa có cách phòng chống triệt để Nguyên tắc chung của cách tấn công này là hacker sẽ gửi liên tục nhiều yêu cầu phục vụ đến máy nạn nhân Máy bị tấn công sẽ phải trả lời tất cả yêu cầu này Khi yêu cầu gửi đến quá nhiều, máy bị tấn công sẽ không phục vụ kịp dẫn đến việc đáp ứng yêu cầu của các máy hợp lệ

sẽ bị chậm trễ, thậm chí ngừng hẳn Máy bị tấn công sẽ bị ngừng hoạt động hoặc thậm chí cho phép hacker nắm quyền điều khiển

c) Các hành vi khai thác lỗ hổng bảo mật

Các hệ điều hành, cơ sở dữ liệu, các ứng dụng luôn có những điểm yếu xuất hiện hàng tuần thậm trí hàng ngày Những điểm yếu này thường xuyên được công bố rộng rãi trên nhiều website về bảo mật Do vậy các điểm yếu của hệ thống là nguyên nhân chính của các tấn công, một thống kê cho thấy hơn 90% các tấn công đều dựa trên các lỗ hổng bảo mật đã được công bố

Đối với một hệ thống mạng có nhiều máy chủ máy trạm, việc cập nhật các bản vá lỗ hổng bảo mật là một công việc đòi hỏi tốn nhiều thời gian và khó có thể làm triệt để Và do đó, việc tồn tại các lỗ hổng bảo mật tại một số điểm

trên mạng là một điều chắc chắn Người ta định nghĩa Tấn công Zero-Day là

các cuộc tấn công diễn ra ngay sau khi lỗi được công bố và chưa xuất hiện bản vá lỗi Như vậy kiểu tấn công này rất nguy hiểm vì các hệ thống bảo mật thông thường không thể phát hiện ra

Hình 2.1 : Thời gian có tấn công sau khi công bố lỗ hổng

(Nguồn McAfee 2005)

d ) Các tấn công vào ứng dụng (Application-Level Attacks)

Đây là các tấn công nhằm vào các phần mềm ứng dụng mức dịch vụ Thông thường các tấn công này, nếu thành công, cho phép kẻ xâm nhập nắm được quyền điều khiển các dịch vụ và thậm chí cả quyền điều khiển máy chủ bị tấn công

Số lượng các vụ tấn công liên tục tăng trong khi hình thức tấn công theo kiểu

Sophistication (hành vi tấn công dựa trên điểm yếu là con người) lại giảm Rõ ràng các hình thức tấn công vào hệ thống máy tính hiện nay ngày càng đa dạng và phức tạp với trình độ kỹ thuật rất cao Ngoài ra quá trình tấn công ngày các được tự động hóa với những công cụ nhỏ được phát tán khắp nơi trên mạng

0 20,000 40,000 60,000 80,000 100,000

120,000

Devices Infected

Hình 2.2: Số lượng máy bị tấn công ngày càng tăng

(Nguồn: IDC 2002)

Hình 2.3 : Thời gian lây nhiễm trên 10.000 máy rút ngắn

(Nguồn McAfee 2005)

Sau đây là một số nguyên tắc bảo vệ hệ thống thông tin :

 Nguyên tắc cơ bản nhất của chức năng bảo mật là cơ chế quyền hạn tối thiểu Về cơ bản, nguyên tắc này là bất kỳ một đối tượng nào (người sử dụng, người điều hành, chương trình…) chỉ nên có những quyền hạn nhất định mà đối tượng đó cần phải có để có thể thực hiện được các nhiệm vụ của mình và chỉ như vậy mà thôi Đây là nguyên tắc quan trọng để hạn chế sự phơi bày hệ thống cho kẻ khác tấn công và hạn chế

sự thiệt hại khi bị tấn công

 Thứ hai, cần phải bảo vệ theo chiều sâu Tư tưởng của chiến lược này

là hệ thống bảo mật gồm nhiều mức, sau mức bảo mật này thì có mức bảo mật khác, các mức bảo mật hỗ trợ lẫn nhau Không nên chỉ phụ thuộc vào một chế độ an toàn dù nó có mạnh đến thế nào đi nữa

 Thứ ba, cần tạo các điểm thắt đối với luồng thông tin Điểm thắt buộc

quản trị có thể điều khiển được Ở đây, người quản trị có thể cài đặt các

cơ chế giám sát, kiểm tra và điều khiển (cho phép hoặc không cho phép) các truy nhập vào hệ thống Trong an ninh mạng, IDS nằm giữa

hệ thống bên trong và Internet nhưng trước firewall như một nút thắt (giả sử chỉ có một con đường kết nối duy nhất giữa hệ thống bên trong với internet) Khi đó, tất cả những kẻ tấn công từ internet khi đi qua nút thắt này thì sẽ bị người quản trị theo dõi và phản ứng lại kịp thời Yếu điểm của phương pháp này là không thể kiểm soát, ngăn chặn được những hình thức tấn công đi vòng qua điểm đó

 Thứ tư, để đạt hiệu quả cao, các hệ thống an toàn cần phải đa dạng về giải pháp và có sự phối hợp chung của tất cả các thành phần trong hệ thống (người sử dụng, phần cứng bảo mật, phần mềm bảo mật, các cơ chế an toàn…) để tạo thành hệ bảo mật, giám sát và hỗ trợ lẫn nhau Hệ

thống phòng thủ gồm nhiều module, cung cấp nhiều hình thức phòng

thủ khác nhau Do đó, module này lấp “lỗ hổng” của các module khác Ngoài firewall, một mạng LAN hay một máy cục bộ cần sử dụng các module bảo vệ khác của ứng dụng, hệ điều hành, thiết bị phần cứng,

1.3 Các biện pháp bảo vệ

Network Firewall: Firewall là một thiết bị (phần cứng + phần mềm) nằm giữa mạng của một tổ chức, một công ty hay một quốc gia (mạng Intranet) và mạng Internet bên ngoài Vai trò chính của nó là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet Firewall là một thiết bị bảo vệ, vì vậy nó phải

là một thiết bị có độ an toàn rất cao Nhìn chung tất cả các thông tin

đi vào và ra khỏi mạng nội bộ đều phải qua firewall Firewall chịu trách nhiệm loại bỏ các thông tin không hợp lệ Để biết thông tin qua

nó có hợp lệ hay không thì firewall phải dựa vào tập luật (rules) mà

nó đặt ra Firewall thường được kết hợp làm bộ chuyển đổi địa chỉ NAT và có chức năng định tuyến Do vậy khả năng ngăn chặn tấn công của Firewall thường từ lớp 2 đến lớp 4 trong mô hình OSI Điểm yếu của Firewall là tính thụ động, Firewall hoạt động trên cơ sở các tập luật, các luật trên Firewall phải được người quản trị cấu hình hay chỉ định cho phép hay không cho phép gói tin đi qua Bản thân hệ thống Firewall không thể nhận biết được các mối nguy hại đến từ mạng mà nó phải được người quản trị mạng chỉ ra thông qua việc thiết lập các luật trên đó

IDS: Hệ thống Intrusion Detection là quá trình theo dõi các sự kiện xảy ra trong nhiều vùng khác nhau hệ thống mạng máy tính và phân tích chúng để tìm ra những dấu hiệu của sự xâm phạm nhằm đảm bảo tính mật, tính toàn vẹn, tính sẵn sàng cho hệ thống Những sự xâm phạm thường được gây ra bởi những kẻ tấn công truy cập vào hệ thống từ Internet, những người dùng hợp pháp cố gắng truy cập đến những tài nguyên không thuộc thẩm quyền của mình hoặc sử dụng sai những quyền đã được cho phép IDS thường ngăn chặn các cuộc tấn công có độ tinh vi cao, hoặc tấn công vào lớp Ứng dụng IDS khắc phục được điếm yếu Thụ động của hệ thống Firewall

Hình 2.4 : Vai trò của IDS trong hệ thống bảo mật

Các biện pháp khác: Cần phối hợp với các biện pháp bảo mật khác

như : Mã hóa (file/đường truyền), xác thực – phân quyền - nhận dạng, Antivirus, Lọc nội dung (Content Filtering) v.v để hình thành một hệ thống phòng thủ theo chiều sâu, nhiều lớp bảo vệ bổ sung cho nhau

Hình 2.5 : Hệ thống phòng thủ theo chiều sâu

2 Kỹ thuật phát hiện xâm nhập trái phép

Nếu như hiểu Firewall là một hệ thống “khóa” chốt chặn ở cửa ngõ mạng, thì

hệ thống IDS có thể được coi như các “cảm ứng giám sát” được đặt khắp nơi trong mạng để cảnh báo về các cuộc tấn công đã “qua mặt” được Firewall hoặc xuất phát từ bên trong mạng Một IDS có nhiệm vụ phân tích các gói tin

mà Firewall cho phép đi qua, tìm kiếm các dấu hiệu tấn công từ các dấu hiệu

đã biết hoặc thông qua việc phân tích các sự kiện bất thường, từ đó ngăn chặn các cuộc tấn công trước khi nó có thể gây ra nhưng hậu quả xấu với tổ chức

Hệ thống IDS hoạt động dựa trên 3 thành phần chính là Cảm ứng (Sensor), Giao diện (Interface) và Bộ phân tích (Engine) Xét trên chức năng IDS có thể phân làm 2 loại chính là Network-based IDS (NIDS) và Host-based IDS (HIDS) NIDS thường đặt tại cửa ngõ mạng để giám sát lưu thông trên toàn

bộ mạng, còn HIDS thì được cài đặt trên từng máy trạm để phân tích các hành

vi và dữ liệu đi đến máy trạm đó Xét về cách thức hoạt động thì hệ thống IDS

có thể chia thành 5 giai đoạn chính là : Giám sát, Phân tích, Liên lạc, Cảnh báo và Phản ứng

Thời gian gần đây, sự hoành hành của các loại virus, worm nhằm vào hệ điều hành rất lớn Nhiều loại virus, worm dùng phương pháp quét cổng theo địa chỉ để tìm ra lỗ hổng và sau đó mới lây lan vào Với những loại tấn công này nếu hệ thống mạng có cài hệ thống IDS thì khả năng phòng tránh được sẽ rất lớn

2.1 Thành phần

Một hệ thống IDS bao gồm 3 thành phần cơ bản là :

• Cảm ứng (Sensor): Là bộ phận làm nhiệm vụ phát hiện các sự kiện có

khả năng đe dọa an ninh của hệ thống mạng, Sensor có chức năng rà

quét nội dung của các gói tin trên mạng, so sánh nội dung với các mẫu

và phát hiện ra các dấu hiệu tấn công hay còn gọi là sự kiện

• Giao diện (Console): Là bộ phận làm nhiệm vụ tương tác với người

quản trị, nhận lệnh điều khiển hoạt động bộ Sensor, Engine và đưa ra cảnh báo tấn công

• Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự

kiện được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ thống các luật để đưa ra các cảnh báo trên các sự kiện an ninh nhận được cho hệ thống hoặc cho người quản trị

của tất cả các Sensor, lưu các báo cáo vào trong cơ sở dữ liệu của mình và quyết định đưa ra mức cảnh báo đối với sự kiện nhận được Console làm nhiệm vụ giám sát, cảnh báo đồng thời điều khiển hoạt động của các Sensor

Hình 2.7 : Hoạt động của IDS

Đối với các hệ thống IDS truyền thống, các Sensor hoạt động theo cơ chế “so sánh mẫu”, các Sensor bắt các gói tin trên mạng, đọc nội dung gói tin và so sánh các xâu trong nội dung gói tin với hệ thống các mẫu tín hiệu nhận biết các cuộc tấn công hoặc mã độc gây hại cho hệ thống, nếu trong nội dung gói tin có một xâu trùng với mẫu, Sensor đánh dấu đó là một sự kiện hay đã có dấu hiệu tấn công và sinh ra cảnh báo Các tín hiệu nhận biết các cuộc tấn

công được tổng kết và tập hợp thành một bộ gọi là mẫu hay signatures Thông

thường các mẫu này được hình thành dựa trên kinh nghiệm phòng chống các cuộc tấn công, người ta thành lập các trung tâm chuyên nghiên cứu và đưa ra các mẫu này để cung cấp cho hệ thống IDS trên toàn thế giới

2.2 Phân loại

Có nhiều cách để phân loại các hệ thống IDS tùy theo các tiêu chí khác nhau Xét về kiểu hành động của IDS có thể phân làm 2 loại là IDS chủ động và IDS bị động [15]:

 IDS chủ động (active detection): phát hiện và có hành động phản ứng

chống lại các cuộc tấn công nhằm giảm thiểu các nguy hiểm có thể xảy

ra với hệ thống Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ,

ngắt các kết nối, khóa địa chỉ IP tấn công IDS chủ động còn có tên gọi

là IPS (Intrusion Prevention System)

 IDS bị động (passive detection): phát hiện nhưng không có các hành

động trực tiếp chống lại các tấn công Nó có thể ghi lại log của toàn bộ

hệ thống và cảnh báo cho người quản trị hệ thống Loại IDS này không cần thiết phải đặt giữa kênh truyền (inline), do đó không làm gián đoạn các kết nối

Nếu xét về đối tượng giám sát thì có hai loại IDS cơ bản là: Host-based IDS

và Network-based IDS Từng loại có một cách tiếp cận khác nhau nhằm theo dõi và phát hiện xâm nhập, đồng thời cũng có những lợi thế và bất lợi riêng Nói một cách ngắn gọn, Host-based IDS giám sát dữ liệu trên những máy tính riêng lẻ trong khi Network-based IDS giám sát lưu thông của một hệ thống mạng

HIDS kiểm tra lưu thông mạng đang được chuyển đến máy trạm, bảo vệ máy trạm thông qua việc ngăn chặn gói tin nghi ngờ HIDS có khả năng kiểm tra hoạt động đăng nhập vào máy trạm, tìm kiếm các hoạt động không bình thường như dò tìm password, leo thang đặc quyền v.v Ngoài ra HIDS còn có thể giám sát sâu vào bên trong Hệ điều hành của máy trạm để kiểm tra tính toàn vẹn của Nhân (Kernel) hệ điều hành, file lưu trữ trong hệ thống v.v…

Hệ thống IDS có hiệu quả cao khi phát hiện việc người dùng sử dụng sai các tài nguyên trên mạng Nếu người dùng cố gắng thực hiện các hành vi không hợp pháp thì những hệ thống HIDS thông thường phát hiện và tập hợp thông tin thích hợp nhất và nhanh nhất

Điểm yếu của HIDS là cồng kềnh Với vài nghìn máy trạm trên một mạng lớn, việc thu thập và tập hợp các thông tin máy tính đặc biệt riêng biệt cho mỗi máy riêng lẻ có là không có hiệu quả Ngoài ra, nếu thủ phạm vô hiệu hóa việc thu thập dữ liệu trên máy tính thì HIDS trên máy đó sẽ không còn ý nghĩa

2.2.2 Network-based IDS

NIDS là một giải pháp xác định các truy nhập trái phép bằng cách kiểm tra các luồng thông tin trên mạng và giám sát nhiều máy trạm, Network Instrusion Detection Systems truy nhập vào luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switch để bắt các gói tin, phân tích nội dung gói tin

và từ đó sinh ra các cảnh báo

Trong hệ thống NIDS, các Sensor được đặt ở các điểm cần kiểm tra trong mạng, thường là trước miền DMZ hoặc ở vùng biên của mạng, các Sensor bắt tất cả các gói tin lưu thông trên mạng và phân tích nội dung bên trong của từng gói tin để phát hiện các dấu hiệu tấn công trong mạng

Điểm yếu của NIDS là gây ảnh hưởng đến băng thông mạng do trực tiếp truy cập vào lưu thông mạng NIDS nếu không được định lượng đúng về khả năng

xử lý sẽ trở thành một nút cổ chai gây ách tắc trong mạng Ngoài ra NIDS còn gặp khó khăn đối với các vấn đề giao thức truyền như việc Phân tách gói tin

(IP fragmentation 1), hay việc điều chỉnh thông số TTL trong gói tin IP v.v…

INTERNAL SERVER

HIDS HIDS

INTERNET

Hình 2.8 : Vị trí NIDS và HIDS trong hệ thống mạng

Sau đây là một số so sánh về 2 loại IDS trên :

Tính quản trị thấp Quản trị tập trung

Tính bao quát thấp Do mỗi máy

trạm chỉ nhận traffic của máy đó

Tính bao quát cao do có cái nhìn toàn diện về traffic mạng

1 Mỗi một switch hay router có khả năng xử lý gói tin với kích thước khác nhau MTU: Maximum

Tranmission Unit Nếu router phát hiện gói tin có kích thước to hơn khả năng xử lý, nó sẽ tiến hành chia nhỏ gói tin Quá trình này có tên gọi là IP Fragmentation

cho nên không thể có cái nhìn

tổng hợp về cuộc tấn công

Phụ thuộc vào hệ điều hành Do

HIDS được cài đặt trên máy trạm

nên phụ thuộc vào HĐH trên máy

Không gặp vấn đề về giao thức

truyền

Gặp vấn đề về giao thức truyền: Packet Fragment, TTL

Vấn đề mã hóa : nếu IDS được đặt trong một kênh mã hóa thì sẽ không phân tích được gói tin

Luận văn này nghiên cứu chủ yếu về NIDS, nên thuật ngữ IDS tạm được hiểu

là Network IDS Các thuật toán mà chúng ta nghiên cứu ở phần sau về nguyên lý có thể áp dụng được cho HIDS

Nguyên lý hoạt động của một hệ thống Phòng chống xâm nhập thường được chia làm 5 giai đoạn chính : Giám sát mạng, Phân tích lưu thông, Liên lạc giữa các thành phần, Cảnh báo về hành vi xâm nhập và cuối cùng có thể tiến

hành Phản ứng lại tùy theo chức năng của từng IDS

Hình 2.9 : Nguyên lý hoạt động của một hệ thống IDS

 Giám sát mạng (Monitoring): Giám sát mạng thu thập thông tin về

lưu thông trên mạng Việc này thông thường được thực hiện bằng các Sensor Yêu cầu đòi hỏi đối với giai đoạn Giám sát mạng là có được thông tin đầy đủ và toàn diện về Tình hình mạng Đây cũng là một vấn

đề khó khăn, bởi vì nếu theo dõi toàn bộ thông tin thì sẽ tiêu tốn khá nhiều tài nguyên, đồng thời gây ra nguy cơ tắt nghẽn mạng Nên cần thiết phải cân nhắc để không làm ảnh hưởng đến toàn bộ hệ thống Có thể sử dụng phương phương án là thu thập liên tục trong khoảng thời gian dài hoặc thu thập rời rạc theo từng chu kì Tuy nhiên khi đó

những hành vi bắt được chỉ là những hành vi trong khoảng thời gian giám sát Hoặc có thể theo vết những lưu thông TCP theo gói hoặc theo liên kết Bằng cách này sẽ thấy được những dòng dữ liệu vào ra được phép Nhưng nếu chỉ theo dõi những liên kết thành công sẽ có thể bỏ qua những thông tin có giá trị về những liên kết không thành công mà

đây lại thường là những phần cần quan tâm trong một hệ thống IDS, ví

dụ như hành động quét cổng

 Phân tích lưu thông (Analyzing): Khi đã thu thập được những thông

tin cần thiết từ những điểm trên mạng, IDS tiến hành phân tích những

dữ liệu thu thập được Mỗi hệ thống cần có một sự phân tích khác nhau

vì không phải môi trường nào cũng giống nhau Thông thường ở giai đoạn này, hệ thống IDS sẽ dò tìm trong dòng traffic mạng những dấu hiệu đáng nghi ngờ dựa trên kỹ thuật đối sánh mẫu hoặc phân tích hành

vi bất thường Nếu phát hiện ra dấu hiệu tấn công, các sensor sẽ gửi cảnh báo về cho trung tâm để tổng hợp

 Liên lạc: Giai đoạn liên lạc giữ một vai trò quan trọng trong hệ thống

IDS Việc liên lạc diễn ra khi Sensor phát hiện ra dấu hiệu tấn công hoặc Bộ xử lý thực hiện thay đổi cấu hình, điều khiển sensor Thông thường các hệ thống IDS sử dụng các bộ giao thức đặc biệt để trao đổi thông tin giữa các thành phần Các giao thức này phải đảm bảo tính Tin cậy, Bí mật và Chịu lỗi tốt, ví dụ: SSH, HTTPS, SNMPv3 v.v…Chẳng hạn hệ thống IDS của hãng Cisco thường sử dụng giao thức PostOffice định nghĩa một tập các Thông điệp để giao tiếp giữa các thành phần

 Cảnh báo: Sau khi đã phân tích xong dữ liệu, hệ thống IDS cần phải

đưa ra được những cảnh báo Ví dụ như:

o Cảnh báo địa chỉ không hợp lệ

o Cảnh báo khi một máy sử dụng hoặc cố gắng sử dụng những dịch vụ không hợp lệ

o Cảnh báo khi một máy cố gắng kết nối đến những máy nằm trong danh sách cần theo dõi ở trong hay ngoài mạng

o v.v

 Phản ứng (Response): Trong một số hệ thống IDS tiên tiến hiện nay,

sau khi các giai đoạn trên phát hiện được dấu hiệu tấn công, hệ thống không những cảnh báo cho người quản trị mà còn đưa ra các hành vi phòng vệ ngăn chặn hành vi tấn công đó Điều này giúp tăng cường khả năng tự vệ của Mạng, vì nếu chỉ cảnh báo cho người quản trị thì đôi khi cuộc tấn công sẽ tiếp tục xảy ra gây ra các tác hại xấu Một hệ thống IDS có thể phản ứng lại trước tấn công phải được cấu hình để có quyền can thiệp vào hoạt động của Firewall, switch và router Các hành động

mà IDS có thể đưa ra như :

IDS yêu cầu Firewall chặn port 80 trong 60 giây để chống lại các tấn công vào máy chủ Web cài IIS

Hình 2.11 : IDS yêu cầu Firewall tạm dừng dịch vụ

2.3 Chất lượng cảnh báo

IDS là một hệ thống cảnh báo do đó có thể có các kết quả đúng và sai Người

ta phân thành các loại chất lượng cảnh báo sau đây :

Loại Ý nghĩa

False Positive Trường hợp Hệ thống IDS sinh ra các cảnh báo

khi luồng dữ liệu bình thường đi qua, không có tấn công xâm nhập Loại cảnh báo sai này hầu hết hệ thống IDS đều có, nếu tỉ lệ False

Positive quá nhiều sẽ gây nhiễu cho người quản trị

True Positive Trường hệ thống IDS sinh ra các cảnh báo khi

cuộc tấn công thực sự diễn ra Nâng cao tỉ lệ cảnh báo True Positive là mục tiêu hàng đầu của tất cả các IDS

False Negative False Negative có ý nghĩa ngược lại với False

Positive Cảnh báo này xảy ra khi một IDS không nhận ra được những cuộc tấn công thật

sự Nguyên nhân của False Negative có thể là

do thông tin về dạng tấn công chưa được IDS biết, hoặc do chính sách an ninh và cách điều khiển của người quản trị Hầu hết các hệ thống IDS có khuynh hướng tối thiếu hóa false

negative Tuy nhiên, rất khó có thể loại trừ toàn bộ false negative Hơn nữa, khi hệ thống

có một vài false negative, người quản trị có xu hướng thắt chặt kiểm soát và lại làm tăng số lượng false possitive Ở đây cần có sự tính toán cân bằng cho hợp lý

True Negative Luồng dữ liệu bình thường đi qua và hệ thống

không sinh cảnh báo

Để đánh giá một hệ thống IDS, người ta sử dụng 2 yếu tố là Cảnh báo đúng Cảnh báo sai Người ta sử dụng Tỷ lệ hai yếu tố này để xây dựng Đường cong ROC (Receiver Operating Characteristic Curve) Đường cong ROC là công

cụ quan trọng trong các bài toán ra quyết định

Hình 2.12 : Ví dụ về đường cong ROC

Hiện nay trong đa số hệ thống IDS đều phát hiện xâm nhập bằng cách sử dụng các tập dấu hiệu, tập mẫu về cuộc tấn công Kỹ thuật này gọi là IDS dựa trên dấu hiệu (signature-based detection) hay phát hiện sự lạm dụng (Misuse detection)

Hình 2.13 : IDS dựa trên dấu hiệu

Kỹ thuật này sử dụng định nghĩa trừu tượng để mô tả về tấn công gọi là dấu

công Ví dụ như hệ NIDS có thể lưu trữ trong cơ sở dữ liệu nội dung các gói tin có liên quan đến kiểu tấn công đã biết Thường thì dấu hiệu được lưu ở dạng cho phép so sánh trực tiếp với thông tin có trong chuỗi sự kiện Trong quá trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có sự giống nhau thì hệ tạo ra cảnh báo

Hình 2.14: Thêm luật vào IDS dựa trên dấu hiệu

Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài nguyên tính toán Ngoài ra lợi thế của mô hình này là còn chúng ít khi tạo ra cảnh báo sai do dựa trên mô

tả chi tiết về kiểu tấn công Tuy nhiên, chúng có những điểm yếu :

 Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu

 Mỗi cuộc tấn công hay biến thể của nó đều cần thêm dấu hiệu đưa vào

cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn

 Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó phát hiện những biến thể của nó

 Với số lượng kiểu tấn công đa dạng với nhiều lỗ hổng khác nhau theo thời gian sẽ làm cơ sở dữ liệu trở nên quá lớn, gây khó khăn trong việc phân tích, thêm nữa chúng chỉ có thể phát hiện được các kiểu tấn công

đã biết trước nên cần phải được cập nhật thường xuyên khi phát hiện ra những kiểu tấn công và lỗ hổng mới

3 Kết chương

Chương này cung cấp một cái nhìn tổng quan về Hệ thống phát hiện xâm nhập trái phép IDS Trước tình hình mất an toàn an ninh mạng ngày gia tăng đòi hỏi các hệ thống máy tính phải có một chiến lược phòng thủ theo chiều sâu nhiều lớp Hệ thống IDS là một sự bổ sung cần thiết cho các thiết bị Firewall, có chức năng phát hiện và cảnh báo trước các dấu hiệu tấn công lên

hệ thống mạng, giúp cho người quản trị chủ động trong việc ngăn chặn các hành vi xâm nhập trái phép Hệ thống IDS có thể phân làm 2 loại chính là NIDS và HIDS tùy theo đối tượng mà nó giám sát Một hệ thống IDS điển hình thường có 3 thành phần là Sensor, Engine và Console, quá trình phát hiện tấn công theo 5 giai đoạn là : Giám sát, Phân tích, Liên lạc, Cảnh báo và Phản ứng Tính năng chủ động phản ứng lại với các cuộc tấn công có thể bằng các hành động như: Ngắt phiên, ngắt dịch vụ hoặc khóa IP tấn công Hiện tại

đa số các hệ thống IDS phát hiện xâm nhập bằng kỹ thuật dựa trên dấu hiệu

Kỹ thuật này so sánh các dấu hiệu hiện tại với các mẫu tấn công đã có sẵn trong dữ liệu để đánh giá có tấn công hay không Ưu điểm của phương pháp này là có thể hoạt động ngay lập tức, các cảnh báo đưa ra là chính xác, người quản trị có để dàng quản lý và chỉnh sửa tập các dấu hiệu

Tuy nhiên, vấn đề lớn nhất đối với hệ thống này là vấn đề lưu giữ trạng thái của dấu hiệu trong trường hợp hành vi xâm nhập dàn trải trên nhiều sự kiện rời rạc nhau, ví dụ như một cuộc tấn công kéo dài thực hiện trên rất nhiều gói tin Thêm vào đó, Hệ thống phát hiện xâm nhập dựa trên dấu hiệu còn có nhược điểm là nó không thể nhìn thấy các cuộc tấn công mới hoặc những tấn công cũ đã được thay đổi do không có dấu hiệu tương ứng trong CSDL Đồng thời nó cũng phụ thuộc rất lớn vào người quản trị, đòi hòi người quản trị phải không ngừng cập nhật các mẫu mới Điều này sẽ là khó khăn đối với một hệ

thống mạng lớn, nhiều dịch vụ trong khi các cuộc tấn công ngày càng đa dạng hơn Để khắc phục điểm yếu này, người ta sử dụng một kỹ thuật phát hiện xâm nhập mới là Kỹ thuật dựa trên bất thường

Hệ thống IDS dựa trên phát hiện

Hình 3.1: IDS dựa trên Phát hiện bất thường

Hình 3.2: Hoạt động của IDS dựa trên phát hiện bất thường

1 Định nghĩa Bất thường trong mạng

Trước hết chúng ta phải xác định bất thường là gì ? Bất thường trong mạng (BTTM) là thuật ngữ dùng để chỉ tình trạng mà hoạt động của hệ thống mạng biến động ra ngoài trạng thái bình thường BTTM có thể phát sinh từ nhiều nguyên nhân, có thể là do một hoặc nhiều thiết bị trong mạng bị hỏng hóc, băng thông mạng bị quá tải, nhưng thường thấy hơn cả là do hệ thống thông tin đang bị xâm nhập trái phép hoặc đang bị tấn công [1]

Để phân biệt giữa trạng thái bình thường và bất thường trong mạng, người ta

sử dụng khái niệm activity profile (hồ sơ hoạt động) Một cách khái quát, activity profile mô tả hành vi của một đối tượng (object) nào đó ở một số khía cạnh cụ thể (subject) Thông thường khía cạnh là các tham số có thể tiến hành

đo lường được Người ta theo dõi các tham số này trong một thời gian nhất định, theo một đơn vị nào đó như phút, giờ, ngày, tuần v.v Hoặc có thể đo lường thời gian xảy ra hai sự kiện liên tiếp, ví dụ như thời gian log-in và log-out hệ thống, thời gian kích hoạt và kết thúc các ứng dụng v.v

Để phát hiện một profile là “bất thường”, người ta phải tiến hành xây dựng

tập các profile mô tả hoạt động của hệ thống ở trạng thái “bình thường” Dựa

trên sự khác biệt của một tập các tham số trong profile, người ta có thể phát hiện ra các BTTM [12]

Các BTTM thông thường được phân thành 2 loại chính: Loại thứ nhất là BTTM do hỏng hóc, loại thứ hai là BTTM liên quan đến an ninh mạng :

• BTTM do hỏng hóc: Trong mạng nảy sinh các hiện tượng bất thường do

một hay nhiều thành phần trong mạng bị sự cố, ví dụ như khi một máy chủ bị lỗi, thiết bị router hay switch gặp sự cố, broadcast storm, network paging v.v Các sự cố này nói chung không ảnh hưởng đến các thành phần khác trong mạng, chủ yếu là làm giảm hiệu năng hoạt động, hạn chế khả năng đáp ứng dịch vụ của hệ thống Ví dụ như khi số lượng yêu cầu đến một File Server hay Web Server quá lớn, các Server

này sẽ gặp sự cố Lỗi Network paging xảy ra khi một ứng dụng bị tràn

bộ nhớ và tiến hành Phân trang bộ nhớ đến một File server Ngoài ra loại BTTM còn xảy ra do các phần mềm bị lỗi, ví dụ như việc triển khai một giao thức không đúng dẫn đến máy trạm liên tục gửi các gói tin nhỏ làm tắt nghẽn mạng v.v

• BTTM liên quan đến các sự cố an ninh: đây là loại BTTM phát sinh từ

các mối đe dọa đối với hệ thống thông tin Một ví dụ điển hình của loại BTTM này là tấn công từ chối dịch vụ DoS (Denial of Service), có thể

mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó Cách tiến hành tấn công DoS bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ v.v mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client) BTTM còn xuất hiện khi có hiện tượng lây lan và bùng nổ các loại mã xấu, mã nguy hiểm trong mạng như virus, spy Đôi khi hành vi dò quét trước khi tấn công

cũng tạo ra nhiều gói tin với số lượng bất thường Ngoài ra khi các chức năng cơ bản của mạng như DHCP, DNS bị làm ngưng hoạt động thì cũng tạo ra một số lượng lớn các yêu cầu không được đáp ứng làm giảm thiểu băng thông

Một trong những nghiên cứu đầu tiên về hệ thống IDS dựa trên phát hiện bất thường là của Anderson [16] Trong báo cáo này, Anderson đưa ra cách phân loại 3 mối đe dọa chính là :

 Xâm nhập từ bên ngoài (external penetrations) : Hệ thống bị tấn công

từ các máy tính hoặc hệ thống không được xác minh

 Xâm nhập từ bên trong (internal penetrations): Các máy tính được xác

minh truy cập vào các dữ liệu không được phân quyền

 Lạm quyền (misfeasance): Sử dụng sai quyền truy cập vào hệ thống và

dữ liệu

2 Kỹ thuật phát hiện Bất thường

Để phát hiện BTTM, người ta sử dụng một số kỹ thuật cụ thể, các kỹ thuật này có thể dùng tách biệt hoặc phối hợp với nhau Có 3 kỹ thuật phát hiện cơ bản là [1]:

 Threshold Detection: kỹ thuật này nhấn mạnh thuật ngữ “đếm” (count) Các mức ngưỡng (threshold) về các hoạt động bình thường được đặt ra, nếu có sự bất thường nào đó như login với số lần quá quy định, số lượng các tiến trình họat động trên CPU, số lượng một loại gói tin được gửi vượt quá mức…

 Self-learning Detection: kỹ thuật dò này bao gồm hai bước, khi thiết lập hệ thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học thiết lập một profile về cách cư xử của mạng với các họat động